进程拦截方法及系统、电子设备、存储介质技术方案

本申请提供一种进程拦截方法及系统、电子设备、计算机可读存储介质，方法包括：生成目标进程的进程事件，并通过所述进程事件获取与所述目标进程对应的进程信息；在策略库中查找所述进程信息，判断是否命中黑名单策略；如果命中指示拦截的黑名单策略，拦截所述目标进程，并将所述目标进程的运行权限修改为不可运行。本申请方案，由于已拦截的目标进程被修改了运行权限，可以避免目标进程后续反复重启，避免客户端在拦截进程时产生的无效资源浪费，从而提升了客户端系统的运行效率。提升了客户端系统的运行效率。提升了客户端系统的运行效率。

【技术实现步骤摘要】
进程拦截方法及系统、电子设备、存储介质


[0001]本申请涉及计算机安全防御
，特别涉及一种进程拦截方法及系统、电子设备、计算机可读存储介质。

技术介绍

[0002]进程是计算机中程序关于某数据集合的一次运行活动，是系统进行资源分配和调试的基本单元，是构成系统结构的基础。在主机安全领域，进程是安全检测和入侵防护的主要对象。对可疑进程的识别和拦截是信息安全领域中常用的技术，也是计算机及网络安全的常用技术手段。
[0003]相关技术，可以基于sycall hook进程监控和特征匹配进行进程拦截。然而，对异常进程拦截后，被拦截的进程可能通过定时任务或其它方式反复启动，对反复重启的异常进程的处理浪费资源，导致系统性能低下。

技术实现思路

[0004]本申请实施例的目的在于提供一种进程拦截方法及系统、电子设备、计算机可读存储介质，用于避免拦截进程时无效的资源浪费。
[0005]一方面，本申请提供了一种进程拦截方法，应用于客户端，包括：
[0006]生成目标进程的进程事件，并通过所述进程事件获取与所述目标进程对应的进程信息；
[0007]在策略库中查找所述进程信息，判断是否命中黑名单策略；
[0008]如果命中指示拦截的黑名单策略，拦截所述目标进程，并将所述目标进程的运行权限修改为不可运行。
[0009]通过上述措施，在确定目标进程为命中指示拦截的黑名单策略后，在杀死目标进程之后修改其运行权限，避免目标进程后续反复重启，导致对目标进程反复拦截而造成资源浪费，从而提升了系统运行效率。
[0010]在一实施例中，在所述拦截所述目标进程，并将所述目标进程的运行权限修改为不可运行之前，所述方法还包括：
[0011]判断预设拦截状态表中是否存在所述目标进程的历史拦截记录；其中，所述历史拦截记录为此前对进程的拦截记录；
[0012]如果是，确定所述目标进程异常启动，向服务端通知所述目标进程的异常启动情况。
[0013]通过上述措施，客户端可以在拦截目标进程时，检查此前是否已经拦截该进程，从而发现已拦截进程的异常启动情况，进而通告服务端进行分析。
[0014]在一实施例中，在所述拦截所述目标进程，并将所述目标进程的运行权限修改为不可运行之后，所述方法还包括：
[0015]在所述拦截状态表中写入本次为所述目标进程进行拦截的拦截记录。
[0016]通过上述措施，以拦截状态表记录对已拦截进程的拦截状态，便于后续对进程的管理。
[0017]在一实施例中，所述方法还包括：
[0018]周期性向服务端发送标识查询请求，以查询当前策略标识；
[0019]判断所述当前策略标识与所述策略库中多条策略的历史策略标识是否一致；
[0020]若不一致，基于所述当前策略标识从所述服务端获取当前策略，并以所述当前策略更新所述策略库。
[0021]通过上述措施，客户端可以及时更新本地策略库中的安全策略，确保能够正常拦截异常进程。
[0022]在一实施例中，所述方法还包括：
[0023]当所述策略库发生更新后，根据已拦截进程的进程信息判断是否命中更新后的黑名单策略；
[0024]若未命中，将所述已拦截进程的运行权限修改为可运行。
[0025]通过上述措施，在策略库更新后，可以对已拦截进程重新进行处理，从而更改当前最新安全策略下正常进程的运行权限，使得正常进程可以正常运行。
[0026]另一方面，本申请提供了一种进程拦截系统，包括：
[0027]服务端，用于下发处理进程的策略；
[0028]客户端，与所述服务端连接，用于将所述服务端下发的策略写入策略库；生成目标进程的进程事件，并通过所述进程事件获取与所述目标进程对应的进程信息；在策略库中查找所述进程信息，判断是否命中黑名单策略；如果命中指示拦截的黑名单策略，拦截所述目标进程，并将所述目标进程的运行权限修改为不可运行。
[0029]本系统中，服务端下发策略后，客户端可以依据策略拦截目标进程后，修改其运行权限，避免目标进程后续反复重启，导致对目标进程反复拦截而造成资源浪费，从而提升了系统运行效率。
[0030]在一实施例中，包括：
[0031]所述服务端，还用于在下发处理进程的策略时，根据每一客户端的安全等级/所属网络，向所述客户端下发与所述安全等级/所属网络匹配的策略。
[0032]本系统中，服务端可以根据客户端的安全等级或所属网络下发针对性的安全策略，使得客户端后续实现更精准的进程拦截。
[0033]在一实施例中，包括：
[0034]所述客户端，还用于判断预设拦截状态表中是否存在所述目标进程的历史拦截记录；其中，所述历史拦截记录为此前对进程的拦截记录；如果是，确定所述目标进程异常启动，向服务端通知所述目标进程的异常启动情况；
[0035]所述服务端，还用于确定所述目标进程存在异常启动情况后，判断预设网络特征库中，是否存在与所述目标进程的进程信息匹配的异常特征；若存在，输出提示信息，以确定是否生成新策略。
[0036]本系统中，服务端可以动态生成新的安全策略。由于服务端可以对接多个客户端，通过多个客户端上报的日志信息，服务端可以进行整合分析，从而得到大量新的安全策略，提高了整个进程拦截系统的有效性和可预测性。
[0037]在一实施例中，包括：
[0038]所述客户端，还用于周期性向服务端发送标识查询请求，以查询当前策略标识；判断所述当前策略标识与所述策略库中多条策略的历史策略标识是否一致；若不一致，基于所述当前策略标识向所述服务端发起策略更新请求；
[0039]所述服务端，还用于响应于标识查询请求，返回当前策略标识；响应于策略更新请求，返回所述当前策略标识指示的当前策略。
[0040]本系统中，客户端通过周期性查询最新的安全策略，可以及时更新自身的安全策略，从而保证进程拦截的准确性。
[0041]进一步的，本申请提供了一种电子设备，所述电子设备包括：
[0042]处理器；
[0043]用于存储处理器可执行指令的存储器；
[0044]其中，所述处理器被配置为执行上述进程拦截方法。
[0045]此外，本申请还提供了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序可由处理器执行以完成上述进程拦截方法。
附图说明
[0046]为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍。
[0047]图1为本申请一实施例提供的进程拦截方法的应用场景示意图；
[0048]图2为本申请一实施例提供的电子设备的结构示意图；
[0049]图3为本申请一实施例提供的进程拦截方法的流程示意图；
[0050]图4为本申请一实施例提供的安全策略的更新方法的流程示意图；
[0051]图5为本申请一实施例提供的进程拦截装置的框图。本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种进程拦截方法，应用于客户端，其特征在于，包括：生成目标进程的进程事件，并通过所述进程事件获取与所述目标进程对应的进程信息；在策略库中查找所述进程信息，判断是否命中黑名单策略；如果命中指示拦截的黑名单策略，拦截所述目标进程，并将所述目标进程的运行权限修改为不可运行。2.根据权利要求1所述的方法，其特征在于，在所述拦截所述目标进程，并将所述目标进程的运行权限修改为不可运行之前，所述方法还包括：判断预设拦截状态表中是否存在所述目标进程的历史拦截记录；其中，所述历史拦截记录为此前对进程的拦截记录；如果是，确定所述目标进程异常启动，向服务端通知所述目标进程的异常启动情况。3.根据权利要求2所述的方法，其特征在于，在所述拦截所述目标进程，并将所述目标进程的运行权限修改为不可运行之后，所述方法还包括：在所述拦截状态表中写入本次为所述目标进程进行拦截的拦截记录。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：周期性向服务端发送标识查询请求，以查询当前策略标识；判断所述当前策略标识与所述策略库中多条策略的历史策略标识是否一致；若不一致，基于所述当前策略标识从所述服务端获取当前策略，并以所述当前策略更新所述策略库。5.根据权利要求1或4所述的方法，其特征在于，所述方法还包括：当所述策略库发生更新后，根据已拦截进程的进程信息判断是否命中更新后的黑名单策略；若未命中，将所述已拦截进程的运行权限修改为可运行。6.一种进程拦截系统，其特征在于，包括：服务端，用于下发处理进程的策略；客户端，与所述服务端连接，用于将所述服务端下发的策略写入策略库；生成目标进程的进程事件，并通过所述进程事件获取与所述目标进程对应的进程信息；在策略库中查找所述进程信...

【专利技术属性】
技术研发人员：唐雨，马建刚，车志林，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：