本发明专利技术公开了一种恶意进程阻断方法及相关组件,在预存储的域名与IP对应关系中包括了恶意域名和与恶意域名对应的预设IP的对应关系。由于预设IP为与所述恶意域名的真实IP不同的安全IP,因此在本机中的进程请求解析的域名为恶意域名时,本机中的进程会访问预存储的域名与IP对应关系中储存的与恶意域名对应的预设IP,使得本机中的进程不会访问与恶意域名对应的真实IP,因此达到了阻断威胁的目的,提高了主机的安全性。了主机的安全性。了主机的安全性。
【技术实现步骤摘要】
一种恶意进程阻断方法及相关组件
[0001]本专利技术涉及信息安全领域,特别是涉及一种恶意进程阻断方法及相关组件。
技术介绍
[0002]现如今,网络威胁时刻威胁着互联网安全,例如,C&C(Command and Control Server,命令和控制服务器)僵尸网络、挖矿和DGA(Domain Generation Algorithm,域名生成算法)域名等远程控制类威胁,隐蔽性高,免杀能力强。现有技术通过网络流量感知设备来对主机的网络传输通道上的流量进行解析,并将主机要访问的域名与网络流量感知设备中储存的恶意域名表中的恶意域名进行对比,从而确定请求访问恶意域名的主机,但是网络流量感知设备无法阻断主机访问恶意域名,降低了主机的安全性。
技术实现思路
[0003]本专利技术的目的是提供一种恶意进程阻断方法及相关组件,使得本机中的进程不会访问与恶意域名对应的真实IP,因此达到了阻断威胁的目的,提高了主机的安全性。
[0004]为解决上述技术问题,本专利技术提供了一种恶意进程阻断方法,包括:
[0005]在接收到本机中的进程发送的域名解析请求时,根据所述域名解析请求确定所述进程请求解析的域名;
[0006]若预存储的域名与IP对应关系中存在所述域名,根据所述域名和所述预存储的域名与IP对应关系确定与所述域名对应的IP;所述预存储的域名与IP对应关系包括恶意域名和预设IP的对应关系,所述预设IP为与所述恶意域名的真实IP不同的安全IP;
[0007]将与所述域名对应的IP发送给所述进程,以便所述进程访问与所述域名对应的IP。
[0008]优选的,所述预设IP指向本机;
[0009]所述恶意进程阻断方法还包括:
[0010]在监测到存在进程访问所述预设IP时,判定访问所述预设IP的进程为恶意进程。
[0011]优选的,判定访问所述预设IP的进程为恶意进程之后,还包括:
[0012]根据所述恶意域名和预设IP的对应关系和所述预设IP确定与被访问的预设IP对应的恶意域名,所述预设IP与所述恶意域名一一对应;
[0013]确定所述恶意进程的名称及所述恶意进程的存储路径。
[0014]优选的,确定所述恶意进程的名称及所述恶意进程的存储路径之后,还包括:
[0015]上报所述恶意进程的名称、所述恶意进程的存储路径和与被访问的预设IP对应的恶意域名到服务端。
[0016]优选的,所述预存储的域名与IP对应关系存储在hosts文件中。
[0017]优选的,还包括:
[0018]在监测所述本机的操作系统记录的日志更新时,读取所述操作系统记录的进程的域名访问记录,所述本机上安装有sysmon服务;
[0019]根据所述恶意域名和预设IP的对应关系和所述域名访问记录判断是否存在访问恶意域名的进程;
[0020]若存在,则判定访问恶意域名的进程为恶意进程;
[0021]根据所述域名访问记录确定被访问的恶意域名、所述恶意进程的名称及所述恶意进程的存储路径。
[0022]优选的,还包括:
[0023]周期性的发送所述恶意域名和预设IP的对应关系的更新请求至服务端;
[0024]接收所述服务端发送的恶意域名和预设IP的对应关系的版本号;
[0025]若所述服务端发送的恶意域名和预设IP的对应关系的版本号高于本机储存的恶意域名和预设IP的对应关系的版本号,则向所述服务端发送所述恶意域名和预设IP的对应关系获取请求;
[0026]接收所述服务端发送的恶意域名和预设IP的对应关系;
[0027]将所述服务端发送的恶意域名和所述预设IP的对应关系作为新的本机储存的恶意域名和预设IP的对应关系。
[0028]本专利技术还提供了一种恶意进程阻断系统,包括:
[0029]域名确定单元,用于在接收到本机中的进程发送的域名解析请求时,根据所述域名解析请求确定所述进程请求解析的域名;
[0030]IP确定单元,用于在预存储的域名与IP对应关系中存在所述域名时,根据所述域名和所述预存储的域名与IP对应关系确定与所述域名对应的IP;所述预存储的域名与IP对应关系包括恶意域名和预设IP的对应关系,所述预设IP为与所述恶意域名的真实IP不同的安全IP;
[0031]IP发送单元,用于将与所述域名对应的IP发送给所述进程,以便所述进程访问与所述域名对应的IP。
[0032]本专利技术还提供了一种恶意进程阻断设备,包括:
[0033]存储器,用于存储计算机程序;
[0034]处理器,用于执行所述计算机程序时实现如上述的恶意进程阻断方法的步骤。
[0035]本专利技术还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述的恶意进程阻断方法的步骤。
[0036]本专利技术提供了一种恶意进程阻断方法及相关组件,在预存储的域名与IP对应关系中包括了恶意域名和与恶意域名对应的预设IP的对应关系。由于预设IP为与所述恶意域名的真实IP不同的安全IP,因此在本机中的进程请求解析的域名为恶意域名时,本机中的进程会访问预存储的域名与IP对应关系中储存的与恶意域名对应的预设IP,使得本机中的进程不会访问与恶意域名对应的真实IP,因此达到了阻断威胁的目的,提高了主机的安全性。
附图说明
[0037]为了更清楚地说明本专利技术实施例中的技术方案,下面将对现有技术和实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0038]图1为本专利技术提供的一种恶意进程阻断方法的流程图;
[0039]图2为本专利技术提供的一种恶意进程阻断系统的结构示意图;
[0040]图3为本专利技术提供的一种恶意进程阻断设备的结构示意图。
具体实施方式
[0041]本专利技术的核心是提供一种恶意进程阻断方法及相关组件,使得本机中的进程不会访问与恶意域名对应的真实IP(Internet Protocol,网际互连协议),因此达到了阻断威胁的目的,提高了主机的安全性。
[0042]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0043]具体请参照图1,图1为本专利技术提供的一种恶意进程阻断方法的流程图。
[0044]该恶意进程阻断方法,包括:
[0045]S11:在接收到本机中的进程发送的域名解析请求时,根据域名解析请求确定进程请求解析的域名;
[0046]考虑到本机中的进程在访问IP时,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意进程阻断方法,其特征在于,包括:在接收到本机中的进程发送的域名解析请求时,根据所述域名解析请求确定所述进程请求解析的域名;若预存储的域名与IP对应关系中存在所述域名,根据所述域名和所述预存储的域名与IP对应关系确定与所述域名对应的IP;所述预存储的域名与IP对应关系包括恶意域名和预设IP的对应关系,所述预设IP为与所述恶意域名的真实IP不同的安全IP;将与所述域名对应的IP发送给所述进程,以便所述进程访问与所述域名对应的IP。2.如权利要求1所述的恶意进程阻断方法,其特征在于,所述预设IP指向本机;所述恶意进程阻断方法还包括:在监测到存在进程访问所述预设IP时,判定访问所述预设IP的进程为恶意进程。3.如权利要求2所述的恶意进程阻断方法,其特征在于,判定访问所述预设IP的进程为恶意进程之后,还包括:根据所述恶意域名和预设IP的对应关系和所述预设IP确定与被访问的预设IP对应的恶意域名,所述预设IP与所述恶意域名一一对应;确定所述恶意进程的名称及所述恶意进程的存储路径。4.如权利要求3所述的恶意进程阻断方法,其特征在于,确定所述恶意进程的名称及所述恶意进程的存储路径之后,还包括:上报所述恶意进程的名称、所述恶意进程的存储路径和与被访问的预设IP对应的恶意域名到服务端。5.如权利要求1所述的恶意进程阻断方法,其特征在于,所述预存储的域名与IP对应关系存储在hosts文件中。6.如权利要求1所述的恶意进程阻断方法,其特征在于,还包括:在监测所述本机的操作系统记录的日志更新时,读取所述操作系统记录的进程的域名访问记录,所述本机上安装有sysmon服务;根据所述恶意域名和预设IP的对应关系和所述域名访问记录判断是否存在访问恶意域名的进程;若存在,则...
【专利技术属性】
技术研发人员:田炜,左兴海,赵彬恒,赖彬,张婷,
申请(专利权)人:成都星云智联科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。