【技术实现步骤摘要】
一种恶意进程风险等级评估方法、终端设备及存储介质
[0001]本专利技术涉及计算机安全
,尤其涉及一种恶意进程风险等级评估方法、终端设备及存储介质。
技术介绍
[0002]一些读取机密信息的恶意进程或工具,为了逃避检测,会采用脚本,或自己编写的恶意程序启动,或多层级交替启动命令行后再启动威胁进程获取机密信息。
[0003]大部分进程的风险等级通常是根据读取的进程的工具类型来判定的,却忽视了该进程可能是用户自己启动的情况;另外还存在部分低风险等级的工具,由于被多层级嵌套,隐蔽启动,启动后对多个文件或其他进程进行扫描,窃取数据,从而获取到了大量的用户信息,会引起更大范围的信息泄露风险,或受到进一步的入侵。
[0004]当前对于有威胁性的进程,通过分析启动进程的工具类型、工具权限等信息,可以判断该进程的风险等级。但是在部分环境中,需要正常使用部分被定义为存在威胁的工具,因此无法将其加入白名单。并且由于某些工具被定义为了低风险类型,从而没有引起安全人员的注意,当该工具持续运行,多次扫描到不同的数据信息后有可能会
【技术保护点】
【技术特征摘要】
1.一种恶意进程风险等级评估方法,其特征在于,包括以下步骤:S1:构建威胁进程列表和存储有各已知威胁进程的风险等级的知识库;采集所有已启动进程的进程信息;S2:针对每个已启动进程,根据其进程信息判断是否属于恶意工具启动的威胁进程,如果是,将该已启动进程设定为威胁进程,进入S3;否则,结束该已启动进程的风险等级评定;S3:将威胁进程与威胁进程列表中的各进程进行匹配,如果匹配成功,进入S5;否则进入S4;S4:根据威胁进程在知识库中对应的风险等级得到该威胁进程的风险分值,将威胁进程和其对应的风险等级和风险分值存入威胁进程列表内,进入S7;S5:判断威胁进程的进程ID与匹配到的进程的进程ID是否相同,如果是,进入S6;否则,进入S7;S6:判断威胁进程的进程启动路径与匹配到的进程的进程启动路径是否相同,如果是,设定威胁进程的风险分值为匹配到的进程的风险分值,进入S7;否则,设定威胁进程的风险分值为匹配到的进程的风险分值加一,进入S7;S7:根据威胁进程的已运行时间的长短增加威胁进程的风险分值;S8:根据威胁进程读取到的文件和扫描到的进程信息的数量增加威胁进程的风险分值;S9:根据威胁进程包含的...
【专利技术属性】
技术研发人员:刘映江,陈奋,陈荣有,李伟彬,张志灿,
申请(专利权)人:厦门服云信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。