一种进程名单生成方法和装置制造方法及图纸

本发明专利技术公开了一种进程名单生成方法和装置，涉及网络安全技术领域，用以解决人工预设异常进程检测规则的方式效率较低，本发明专利技术方法包括：确定待检测的服务器正在运行的进程的进程标识；针对任意一个服务器，确定服务器对应的至少一个进程集合的权重，其中进程集合包含对应的服务器正在运行的至少一个进程的进程标识；针对任意一个进程标识，根据包含进程标识的进程集合对应的权重，确定进程标识对应的正常度，其中正常度用于表示各服务器运行同一进程标识对应的进程的频率信息；根据各进程标识对应的正常度生成用于检测异常进程的进程名单，由于本发明专利技术基于无监督零人工干预自动生成用于检测异常进程的进程名单，提高了进程名单的生成效率。

A process list generation method and device

【技术实现步骤摘要】
一种进程名单生成方法和装置
本专利技术涉及网络安全
，特别涉及一种进程名单生成方法和装置。
技术介绍
目前对网络攻击的主要防护手段是防火墙和入侵检测技术，防火墙作为内网和外网的一道警戒线，有效地阻挡了大部分的恶意攻击。但防火墙的功能是有局限性的，它的防御策略是静态的，且只能阻挡来自于外网的攻击。入侵检测技术有效的弥补了防火墙的缺陷，它可以实时监控服务器状态以判断用户行为是否正常。进程监控是网络安全技术的重要实现环节，许多入侵检测系统和杀毒软件都会有监控服务器进程的功能。然而入侵检测技术对于异常进程检测的时效性较差，且忽略了进程的全局特性，对于单个服务器上的进程独立做检测，忽略了实际业务中使用所有服务器的共性问题。综上所述，目前主要的入侵检测技术都属于人工预设规则，需要人工采集大量数据进行统计，使得人工预设规则的生成效率较低。
技术实现思路
本专利技术提供一种进程名单生成方法盒装置，用以解决相关技术中存在的人工预设异常进程检测规则的方式效率较低问题。第一方面，本专利技术实施例提供的一种进程名单生成方法包括：确定待检测的服务器正在运行的进程的进程标识；针对任意一个服务器，确定所述服务器对应的至少一个进程集合的权重，其中所述进程集合包含对应的所述服务器正在运行的至少一个进程的进程标识；针对任意一个进程标识，根据包含所述进程标识的进程集合对应的权重，确定所述进程标识对应的正常度，其中所述正常度用于表示各服务器运行同一进程标识对应的进程的频率信息；根据各进程标识对应的正常度生成用于检测异常进程的进程名单。在一种可选的实施方式中，通过下列方式确定所述服务器对应的至少一个进程集合：若所述服务器正在运行的进程只有一个，则将所述进程的进程标识作为所述服务器对应的进程集合；或若所述服务器正在运行的进程有多个，则将多个所述进程的进程标识两两组合形成所述服务器对应的多个进程集合。在一种可选的实施方式中，所述确定所述服务器对应的至少一个进程集合的权重，包括：针对任意一个进程集合，若所述进程集合包含一个进程标识，则确定所述进程集合对应的权重为预设权重；或针对任意一个进程集合，若所述进程集合包含两个进程标识，则将所述服务器正在运行的进程数量与所有服务器正在运行的进程总数量的比值作为所述进程集合的权重。在一种可选的实施方式中，所述根据包含所述进程标识的进程集合对应的权重，确定所述进程标识对应的正常度，包括：根据包含所述进程标识的进程集合对应的权重，对所述进程标识对应的正常度进行多次迭代，直至满足预设条件后停止迭代，其中所述预设条件为迭代次数大于第一阈值和/或至少X个进程标识对应的当前迭代得到的正常度与上一次迭代得到的正常度的差值小于第二阈值，X为正整数；将最后一次迭代得到的正常度作为所述进程标识对应的正常度，其中每次迭代过程为：针对任意一个进程标识，根据包含所述进程标识的各进程集合对应的权重，确定所述进程标识在各进程集合中的目标值；将所述进程标识在各进程集合中的目标值之和作为所述进程标识对应的正常度。在一种可选的实施方式中，所述根据包含所述进程标识的各进程集合对应的权重，确定所述进程标识在各进程集合中的目标值，包括：针对包含所述进程标识的任意一个进程集合，若所述进程集合包含两个进程标识，则将所述进程集合对应的权重与所述进程集合中其它进程标识对应的最新正常度的乘积，作为所述进程标识在所述进程集合中的目标值，其中所述最新正常度为上一次迭代得到的正常度，若本次迭代为第一次迭代则所述最新正常度为预设的正常度；或若所述进程集合包含一个进程标识，则将所述进程集合的权重与预设值的乘积作为所述进程标识在所述进程集合中的目标值。在一种可选的实施方式中，所述进程名单包含进程白名单，所述根据各进程标识对应的正常度生成用于检测异常进程的进程名单，包括：对各进程标识对应的正常度进行排序，根据排序结果选取正常度最高的N个进程标识生成进程白名单，N为正整数；或根据正常度高于第三阈值的进程标识生成进程白名单；和/或所述进程名单包含进程黑名单，所述根据各进程标识对应的正常度生成用于检测异常进程的进程名单，包括：对各进程标识对应的正常度进行排序，根据排序结果选取正常度最低的M个进程标识生成进程黑名单，M为正整数；或根据正常度低于第四阈值的进程标识生成进程黑名单。第二方面，本专利技术实施例提供的一种进程名单生成装置包括：第一确定单元，用于确定待检测的服务器正在运行的进程的进程标识；第二确定单元，用于针对任意一个服务器，确定所述服务器对应的至少一个进程集合的权重，其中所述进程集合包含对应的所述服务器正在运行的至少一个进程的进程标识；第三确定单元，用于针对任意一个进程标识，根据包含所述进程标识的进程集合对应的权重，确定所述进程标识对应的正常度，其中所述正常度用于表示各服务器运行同一进程标识对应的进程的频率信息；名单生成单元，用于根据各进程标识对应的正常度生成用于检测异常进程的进程名单。在一种可选的实施方式中，所述第二确定单元还用于通过下列方式确定所述服务器对应的至少一个进程集合：若所述服务器正在运行的进程只有一个，则将所述进程的进程标识作为所述服务器对应的进程集合；或若所述服务器正在运行的进程有多个，则将多个所述进程的进程标识两两组合形成所述服务器对应的多个进程集合。在一种可选的实施方式中，所述第二确定单元具体用于：针对任意一个进程集合，若所述进程集合包含一个进程标识，则确定所述进程集合对应的权重为预设权重；或针对任意一个进程集合，若所述进程集合包含两个进程标识，则将所述服务器正在运行的进程数量与所有服务器正在运行的进程总数量的比值作为所述进程集合的权重。在一种可选的实施方式中，所述第三确定单元具体用于：根据包含所述进程标识的进程集合对应的权重，对所述进程标识对应的正常度进行多次迭代，直至满足预设条件后停止迭代，其中所述预设条件为迭代次数大于第一阈值和/或至少X个进程标识对应的当前迭代得到的正常度与上一次迭代得到的正常度的差值小于第二阈值，X为正整数；将最后一次迭代得到的正常度作为所述进程标识对应的正常度，其中每次迭代过程为：针对任意一个进程标识，根据包含所述进程标识的各进程集合对应的权重，确定所述进程标识在各进程集合中的目标值；将所述进程标识在各进程集合中的目标值之和作为所述进程标识对应的正常度。在一种可选的实施方式中，所述第三确定单元具体用于：针对包含所述进程标识的任意一个进程集合，若所述进程集合包含两个进程标识，则将所述进程集合对应的权重与所述进程集合中其它进程标识对应的最新正常度的乘积，作为所述进程标识在所述进程集合中的目标值，其中所述最新正常度为上一次迭代得到的正常度，若本次迭代为第一次迭代则所述最新正常度为预设的正常度；或若所述进程集合包含一个进程标识，本文档来自技高网...

【技术保护点】
1.一种进程名单生成方法，其特征在于，该方法包括：/n确定待检测的服务器正在运行的进程的进程标识；/n针对任意一个服务器，确定所述服务器对应的至少一个进程集合的权重，其中所述进程集合包含对应的所述服务器正在运行的至少一个进程的进程标识；/n针对任意一个进程标识，根据包含所述进程标识的进程集合对应的权重，确定所述进程标识对应的正常度，其中所述正常度用于表示各服务器运行同一进程标识对应的进程的频率信息；/n根据各进程标识对应的正常度生成用于检测异常进程的进程名单。/n

【技术特征摘要】
1.一种进程名单生成方法，其特征在于，该方法包括：
确定待检测的服务器正在运行的进程的进程标识；
针对任意一个服务器，确定所述服务器对应的至少一个进程集合的权重，其中所述进程集合包含对应的所述服务器正在运行的至少一个进程的进程标识；
针对任意一个进程标识，根据包含所述进程标识的进程集合对应的权重，确定所述进程标识对应的正常度，其中所述正常度用于表示各服务器运行同一进程标识对应的进程的频率信息；
根据各进程标识对应的正常度生成用于检测异常进程的进程名单。


2.如权利要求1所述的方法，其特征在于，通过下列方式确定所述服务器对应的至少一个进程集合：
若所述服务器正在运行的进程只有一个，则将所述进程的进程标识作为所述服务器对应的进程集合；或
若所述服务器正在运行的进程有多个，则将多个所述进程的进程标识两两组合形成所述服务器对应的多个进程集合。


3.如权利要求2所述的方法，其特征在于，所述确定所述服务器对应的至少一个进程集合的权重，包括：
针对任意一个进程集合，若所述进程集合包含一个进程标识，则确定所述进程集合对应的权重为预设权重；或
针对任意一个进程集合，若所述进程集合包含两个进程标识，则将所述服务器正在运行的进程数量与所有服务器正在运行的进程总数量的比值作为所述进程集合的权重。


4.如权利要求1所述的方法，其特征在于，所述根据包含所述进程标识的进程集合对应的权重，确定所述进程标识对应的正常度，包括：
根据包含所述进程标识的进程集合对应的权重，对所述进程标识对应的正常度进行多次迭代，直至满足预设条件后停止迭代，其中所述预设条件为迭代次数大于第一阈值和/或至少X个进程标识对应的当前迭代得到的正常度与上一次迭代得到的正常度的差值小于第二阈值，X为正整数；
将最后一次迭代得到的正常度作为所述进程标识对应的正常度，其中每次迭代过程为：
针对任意一个进程标识，根据包含所述进程标识的各进程集合对应的权重，确定所述进程标识在各进程集合中的目标值；
将所述进程标识在各进程集合中的目标值之和作为所述进程标识对应的正常度。


5.如权利要求4所述的方法，其特征在于，所述根据包含所述进程标识的各进程集合对应的权重，确定所述进程标识在各进程集合中的目标值，包括：
针对包含所述进程标识的任意一个进程集合，若所述进程集合包含两个进程标识，则将所述进程集合对应的权重与所述进程集合中其它进程标识对应的最新正常度的乘积，作为所述进程标识在所述进程集合中的目标值，其中所述最新正常度为上一次迭代得到的正常度，若本次迭代为第一次迭代则所述最新正常度为预设的正常度；或
若所述进程集合包含一个进程标识，则将所述进程集合的权重与预设值的乘积作为所述进程标识在所述进程集合中的目标值。


6.如权利要求1～5任一所述的方法，其特征在于，所述进程名单包含进程白名单，所述根据各进程标识对应的正常度生成用于检测异常进程的进程名单，包括：
对各进程标识对应的正常度进行排序，根据排序结果选取正常度最高的N个进程标识生成进程白名单，N为正整数；或
根据正常度高于第三阈值的进程标识生成进程白名单；和/或
所述进程名单包含进程黑名单，所述根据各进程标识对应的正常度生成用于检测异常进程的进程名单，包括：
对各进程标识对应的正常度进行排序，根据排序结果选取正常度最低的M个进程标识生成进程黑名单，M为正整数；...

【专利技术属性】
技术研发人员：李忠义，李阳，郝传洲，袁帅，
申请(专利权)人：北京神州绿盟信息安全科技股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京;11