一种异常进程检测方法、装置、设备及介质制造方法及图纸

本发明专利技术公开了一种异常进程检测方法、装置、设备及介质，用以解决现有技术中对异常进程检测不够准确的问题。基于通常情况下，多个主机中出现某进程的主机的占比越大，即出现该进程的主机数量越多，该进程为正常进程的概率越大；相反，多个主机中出现某进程的主机的占比越小，即出现该进程的主机数量越少，该进程为异常进程的概率越大。由于本申请可以针对每个第一进程的进程标识，确定产生该进程标识的主机的第一数量，根据该第一数量和主机的总数量，确定该进程标识对应的第一占比，若该第一占比小于预设的占比阈值，则可以确定该第一进程为异常进程，从而可以快捷的提高检测异常进程的准确性。程的准确性。程的准确性。

【技术实现步骤摘要】
一种异常进程检测方法、装置、设备及介质


[0001]本专利技术涉及网络安全
，尤其涉及一种异常进程检测方法、装置、设备及介质。

技术介绍

[0002]现有在检测异常进程时，通常采用以下两种方案：
[0003]方案一：将已知的异常进程加入黑名单中，在检测到黑名单中的进程出现时，将该进程视为异常进程。
[0004]方案二：根据进程的固有属性，如占用内存，响应时间等来检测，当检测到进程的固有属性出现异常时，将该进程视为异常进程。
[0005]但是上述两种检测异常进程的方案存在以下问题：
[0006]方案一存在的问题是：只能检测到已知的异常进程，对未知的异常进程无法检测。
[0007]方案二存在的问题是：有些异常进程的固有属性与正常进程是没有区别的，从而导致不能检测到有些异常进程。
[0008]由此可以看出，现有检测异常进程的方法均存在检测不准确的问题。

技术实现思路

[0009]本申请提供了一种异常进程检测方法、装置、设备及介质，用以解决现有技术中对异常进程检测不够准确的问题。
[0010]本专利技术的一方面提供了一种异常进程检测方法，所述方法包括：
[0011]获取每个主机在设定时间内产生的每个第一进程；
[0012]针对所述每个第一进程的进程标识，确定产生该进程标识的主机的第一数量；根据所述第一数量和所述每个主机的总数量，确定该进程标识对应的第一占比；判断所述第一占比是否小于预设的占比阈值，若是，则确定该第一进程为异常进程。<br/>[0013]进一步的，所述判断所述第一占比小于预设的占比阈值之后，确定该第一进程为异常进程之前，所述方法还包括：
[0014]将该第一进程确定为候选进程，基于产生该候选进程的主机在所述设定时间内产生的每个第二进程，确定该主机的进程拓扑序列，并获取包含该候选进程在内的子目标进程序列，其中所述子目标进程序列包含设定数量进程；
[0015]确定该子目标进程序列中每个进程创建行为对应的父进程和子进程；
[0016]针对每个进程创建行为，基于该进程创建行为的第二占比以及所述父进程的第一稳定度和所述子进程的第二稳定度，确定该候选进程的异常分值；
[0017]若该候选进程的异常分值满足预设的异常进程判断条件，则进行后续确定该候选进程为异常进程的步骤。
[0018]进一步的，确定该进程创建行为的第二占比的过程包括：
[0019]确定在所述设定时间内该进程创建行为的第二数量以及所述进程拓扑序列中该
进程创建行为的父进程创建的所有进程创建行为的第三数量，根据所述第二数量和所述第三数量的商，确定该进程创建行为的第二占比。
[0020]进一步的，确定所述父进程的第一稳定度的过程包括：
[0021]将该进程创建行为首次被创建的时间作为第一时间，根据当前时间和所述第一时间，确定第一时长，并确定所述第一时长中包含设定的第二时长的时间窗口总数量；
[0022]确定所述父进程没有创建子进程的时间窗口的第四数量；根据所述第四数量和所述时间窗口总数量的商，确定所述父进程的第一稳定度；
[0023]确定所述子进程的第二稳定度的过程包括：
[0024]确定所述子进程没有被任一父进程创建的时间窗口的第五数量；根据所述第五数量和所述时间窗口总数量的商，确定所述子进程的第二稳定度。
[0025]进一步的，所述针对每个进程创建行为，基于该进程创建行为的第二占比以及所述父进程的第一稳定度和所述子进程的第二稳定度，确定该候选进程的异常分值包括：
[0026]针对每个进程创建行为，确定该进程创建行为的第二占比、所述父进程的第一稳定度和所述子进程的第二稳定度的第一乘积，根据由所述每个进程创建行为的第一乘积相乘得到的第二乘积，确定该候选进程的正常分值；
[0027]根据1与所述正常分值的差值，确定该候选进程的异常分值。
[0028]进一步的，若该候选进程的异常分值满足预设的异常进程判断条件，则确定该候选进程为异常进程包括：
[0029]针对所述第一占比小于预设的占比阈值的每个候选进程，根据所述每个候选进程的异常分值对所述每个候选进程进行排序，按照异常分值由大到小的顺序，选取第六数量的候选进程，将所述第六数量的候选进程确定为异常进程。
[0030]本专利技术的再一方面提供了一种异常进程检测装置，所述装置包括：
[0031]获取模块，用于获取每个主机在设定时间内产生的每个第一进程；
[0032]检测模块，用于针对所述每个第一进程，确定产生该第一进程的主机的第一数量；根据所述第一数量和所述每个主机的总数量，确定该第一进程对应的第一占比；判断所述第一占比是否小于预设的占比阈值，若是，则确定该第一进程为异常进程。
[0033]进一步的，所述检测模块，还用于所述判断所述第一占比小于预设的占比阈值之后，确定该第一进程为异常进程之前，将该第一进程确定为候选进程，基于产生该候选进程的主机在所述设定时间内产生的每个第二进程，确定该主机的进程拓扑序列，并获取包含该候选进程在内的子目标进程序列，其中所述子目标进程序列包含设定数量进程；确定该子目标进程序列中每个进程创建行为对应的父进程和子进程；针对每个进程创建行为，基于该进程创建行为的第二占比以及所述父进程的第一稳定度和所述子进程的第二稳定度，确定该候选进程的异常分值；若该候选进程的异常分值满足预设的异常进程判断条件，则进行后续确定该候选进程为异常进程的步骤。
[0034]进一步的，所述检测模块，具体用于确定在所述设定时间内该进程创建行为的第二数量以及所述进程拓扑序列中该进程创建行为的父进程创建的所有进程创建行为的第三数量，根据所述第二数量和所述第三数量的商，确定该进程创建行为的第二占比。
[0035]进一步的，所述检测模块，具体用于将该进程创建行为首次被创建的时间作为第一时间，根据当前时间和所述第一时间，确定第一时长，并确定所述第一时长中包含设定的
第二时长的时间窗口总数量；确定所述父进程没有创建子进程的时间窗口的第四数量；根据所述第四数量和所述时间窗口总数量的商，确定所述父进程的第一稳定度；确定所述子进程没有被任一父进程创建的时间窗口的第五数量；根据所述第五数量和所述时间窗口总数量的商，确定所述子进程的第二稳定度。
[0036]进一步的，所述检测模块，具体用于针对每个进程创建行为，确定该进程创建行为的第二占比、所述父进程的第一稳定度和所述子进程的第二稳定度的第一乘积，根据由所述每个进程创建行为的第一乘积相乘得到的第二乘积，确定该候选进程的正常分值；根据1与所述正常分值的差值，确定该候选进程的异常分值。
[0037]进一步的，所述检测模块，具体用于针对所述第一占比小于预设的占比阈值的每个候选进程，根据所述每个候选进程的异常分值对所述每个候选进程进行排序，按照异常分值由大到小的顺序，选取第六数量的候选进程，将所述第六数量的候选进程确定为异常进程。
[0038]本本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异常进程检测方法，其特征在于，所述方法包括：获取每个主机在设定时间内产生的每个第一进程；针对所述每个第一进程的进程标识，确定产生该进程标识的主机的第一数量；根据所述第一数量和所述每个主机的总数量，确定该进程标识对应的第一占比；判断所述第一占比是否小于预设的占比阈值，若是，则确定该第一进程为异常进程。2.根据权利要求1所述的方法，其特征在于，所述判断所述第一占比小于预设的占比阈值之后，确定该第一进程为异常进程之前，所述方法还包括：将该第一进程确定为候选进程，基于产生该候选进程的主机在所述设定时间内产生的每个第二进程，确定该主机的进程拓扑序列，并获取包含该候选进程在内的子目标进程序列，其中所述子目标进程序列包含设定数量进程；确定该子目标进程序列中每个进程创建行为对应的父进程和子进程；针对每个进程创建行为，基于该进程创建行为的第二占比以及所述父进程的第一稳定度和所述子进程的第二稳定度，确定该候选进程的异常分值；若该候选进程的异常分值满足预设的异常进程判断条件，则进行后续确定该候选进程为异常进程的步骤。3.根据权利要求2所述的方法，其特征在于，确定该进程创建行为的第二占比的过程包括：确定在所述设定时间内该进程创建行为的第二数量以及所述进程拓扑序列中该进程创建行为的父进程创建的所有进程创建行为的第三数量，根据所述第二数量和所述第三数量的商，确定该进程创建行为的第二占比。4.根据权利要求2所述的方法，其特征在于，确定所述父进程的第一稳定度的过程包括：将该进程创建行为首次被创建的时间作为第一时间，根据当前时间和所述第一时间，确定第一时长，并确定所述第一时长中包含设定的第二时长的时间窗口总数量；确定所述父进程没有创建子进程的时间窗口的第四数量；根据所述第四数量和所述时间窗口总数量的商，确定所述父进程的第一稳定度；确定所述子进程的第二稳定度的过程包括：确定所述子进程没有被任一父进程创建的时间窗口的第五数量；根据所述第五数量和所述时间窗口总数量的商，确定所述子进程的第二稳定度。5.根据权利要求2所述的方法，其特征在于，所述针对每个进程创建行为，基于该进程创建行为的第二占比以及所述父进程的第一稳定度和所述子进程的第二稳定度，确定该候选进程的异常分值包括：针对每个进程创...

【专利技术属性】
技术研发人员：李璇，黄俊，闻楷，余丽辉，钟敏，杨钦，
申请(专利权)人：北京神州绿盟科技有限公司，
类型：发明
国别省市：