一种基于本地规则的进程检出方法及装置制造方法及图纸

本发明专利技术提供一种基于本地规则的进程检出方法及装置，方法包括：基于获取的目标进程的行为信息，得到回调信息，其中，所述目标进程是基于目标文件创建的；根据当前客户端网络与云端的连接情况，选定基于本地规则的匹配流程，其中，当前客户端网络与云端的连接情况不同，所选定的基于本地规则的匹配流程不同；基于选定的所述本地规则的匹配流程，针对所述回调信息进行匹配，如果匹配成功则检出所述目标进程。本发明专利技术在当地客户端网络的云端检出能力受限的情况下，通过将部分云端规则下沉构建本地规则来为当地客户端网络的隔离网环境提供了部分云端能力，增强了当地客户端网络的隔离网环境的检出能力。环境的检出能力。环境的检出能力。

【技术实现步骤摘要】
一种基于本地规则的进程检出方法及装置


[0001]本专利技术涉及网络安全
，尤其涉及一种基于本地规则的进程检出方法及装置。

技术介绍

[0002]现有的云端查询，最早的雏形是在云端将文件的哈希和级别对应起来，通过级别来描述该文件的危险程度，到后期衍生出将应用的行为作为查询字段上报到云端进行匹配，发现可疑行为后返回到云端进行报出的机制，如奇安信天擎的云查。但是无论是哪种机制，都无法摆脱对云端的重度依赖；在政企用户普遍存在的隔离网环境中，由于联网能力受限，其检出能力和运营能力都受到了极大的局限，无法满足对应环境客户的安全需求。

技术实现思路

[0003]本专利技术提供一种基于本地规则的进程检出方法、装置、电子设备与存储介质，用以解决现有的安全检出机制过于依赖云端的问题，通过采用将一部分重点云端规则下沉到本地的形式，提高了隔离网的安全能力和运营能力。
[0004]本专利技术提供一种基于本地规则的进程检出方法，包括：
[0005]基于获取的目标进程的行为信息，得到回调信息，其中，所述目标进程是基于目标文件创建的；
[0006]根据当前客户端网络与云端的连接情况，选定基于本地规则的匹配流程，其中，所述当前客户端网络与云端的连接情况不同，所选定的基于本地规则的匹配流程不同；
[0007]基于选定的所述本地规则的匹配流程，针对所述回调信息进行匹配，如果匹配成功则检出所述目标进程。
[0008]根据本专利技术提供的基于本地规则的进程检出方法，所述根据当前客户端网络与云端的连接情况，选定基于本地规则的匹配流程，包括：
[0009]在当前客户端网络与云端无法连接的情况下，选定Crule匹配流程，所述Crule匹配流程为利用本地存储的第一匹配规则对回调信息进行匹配；
[0010]在当前客户端网络与云端能够连接，但在云端除进行级别云查外无法执行其他查询的情况下，选定Locallev匹配流程，所述Locallev匹配流程为在级别云查确定为非风险事件的情况下利用本地存储的第二匹配规则对回调信息进行匹配。
[0011]根据本专利技术提供的基于本地规则的进程检出方法，当选定Crule匹配流程时，所述基于选定的所述本地规则的匹配流程，针对所述回调信息进行匹配，包括：
[0012]基于所述回调信息，确定与所述回调信息对应的分组信息；
[0013]根据所述分组信息查找对应的规则列表；
[0014]遍历所述规则列表，以确定与对象相匹配的规则，所述回调信息包括至少一个对象；
[0015]遍历与所述对象相匹配的规则的各子规则，以确定与所述对象的值相匹配的子规
则。
[0016]根据本专利技术提供的基于本地规则的进程检出方法，如果匹配成功则检出所述目标进程，包括：
[0017]利用布尔表达式对与所述对象的值相匹配的子规则的值进行匹配；
[0018]如果布尔表达式为真，则判断匹配成功，并检出所述目标进程。
[0019]根据本专利技术提供的基于本地规则的进程检出方法，当选定Locallev匹配流程时，所述基于选定的所述本地规则的匹配流程，针对所述回调信息进行匹配，包括：
[0020]基于所述回调信息，获取规则ID；
[0021]判断所述规则ID是否与第二匹配规则中的对应配置匹配，如果匹配成功，则判断所述目标进程的相关进程级别是否与第二匹配规则中的对应级别信息匹配，在匹配成功的情况下，检出所述目标进程。
[0022]根据本专利技术提供的基于本地规则的进程检出方法，在所述基于所述回调信息，获取规则ID之前，还包括：
[0023]判断所述目标进程是否是风险事件，在判断不是风险事件的情况下，判断所述目标进程是否是同步事件；其中，所述同步事件是指需要在内核中挂起，等待应用层判断后决定是否要继续进行的事件；
[0024]在所述目标进程是同步事件的情况下，基于所述回调信息，转入执行所述获取规则ID的步骤。
[0025]根据本专利技术提供的基于本地规则的进程检出方法，所述相关进程级别包括源级别、目标级别、源父进程级别和进程链级别，判断所述目标进程的相关进程级别是否与本地规则中的对应级别信息匹配，在匹配成功的情况下，检出所述目标进程，包括：
[0026]判断所述目标进程的源级别是否符合第二匹配规则中的源云网级别；
[0027]在所述目标进程的源级别符合第二匹配规则中的源云网级别的情况下，判断所述目标进程的目标级别是否符合第二匹配规则中的目标云网级别；
[0028]在所述目标进程的目标级别符合第二匹配规则中的目标云网级别的情况下，判断所述目标进程的源父进程级别是否符合第二匹配规则中的源父进程云网级别；
[0029]在所述目标进程的源父进程级别符合第二匹配规则中的源父进程云网级别的情况下，获取目标进程的进程链的级别；
[0030]判断所述进程链的级别是否符合第二匹配规则中的云网进程链级别；
[0031]在所述进程链的级别符合第二匹配规则中的云网进程链级别的情况下，检出所述目标进程。
[0032]本专利技术还提供一种基于本地规则的进程检出装置，包括：
[0033]回调信息获取模块，用于基于获取的目标进程的行为信息，得到回调信息，其中，所述目标进程是基于目标文件创建的；
[0034]匹配流程确定模块，用于根据当前客户端网络与云端的连接情况，选定基于本地规则的匹配流程，其中，所述当前客户端网络与云端的连接情况不同，所选定的基于本地规则的匹配流程不同；
[0035]检出模块，用于基于选定的所述本地规则的匹配流程，针对所述回调信息进行匹配，如果匹配成功则检出所述目标进程匹配成功。
[0036]本专利技术还提供一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一项所述基于本地规则的进程检出方法。
[0037]本专利技术还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述任一项所述基于本地规则的进程检出方法。
[0038]本专利技术提供的基于本地规则的进程检出方法、装置、电子设备与存储介质，通过基于获取的目标进程的行为信息，得到回调信息，其中，所述目标进程是基于目标文件创建的；根据当前客户端网络与云端的连接情况，选定基于本地规则的匹配流程，其中，所述当前客户端网络与云端的连接情况不同，所选定的基于本地规则的匹配流程不同；基于选定的所述本地规则的匹配流程，针对所述回调信息进行匹配，如果匹配成功则检出所述目标进程。本专利技术在当地客户端网络的云端检出能力受限的情况下，通过将部分云端规则下沉构建本地规则来为当地客户端网络的隔离网环境提供了部分云端能力，增强了当地客户端网络的隔离网环境的检出能力。
附图说明
[0039]为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于本地规则的进程检出方法，其特征在于，包括：基于获取的目标进程的行为信息，得到回调信息，其中，所述目标进程是基于目标文件创建的；根据当前客户端网络与云端的连接情况，选定基于本地规则的匹配流程，其中，所述当前客户端网络与云端的连接情况不同，所选定的基于本地规则的匹配流程不同；基于选定的所述本地规则的匹配流程，针对所述回调信息进行匹配，如果匹配成功则检出所述目标进程。2.根据权利要求1所述的基于本地规则的进程检出方法，其特征在于，所述根据当前客户端网络与云端的连接情况，选定基于本地规则的匹配流程，包括：在当前客户端网络与云端无法连接的情况下，选定Crule匹配流程，所述Crule匹配流程为利用本地存储的第一匹配规则对回调信息进行匹配；在当前客户端网络与云端能够连接，但在云端除进行级别云查外无法执行其他查询的情况下，选定Locallev匹配流程，所述Locallev匹配流程为在级别云查确定为非风险事件的情况下利用本地存储的第二匹配规则对回调信息进行匹配。3.根据权利要求2所述的基于本地规则的进程检出方法，其特征在于，当选定Crule匹配流程时，所述基于选定的所述本地规则的匹配流程，针对所述回调信息进行匹配，包括：基于所述回调信息，确定与所述回调信息对应的分组信息；根据所述分组信息查找对应的规则列表；遍历所述规则列表，以确定与对象相匹配的规则，所述回调信息包括至少一个对象；遍历与所述对象相匹配的规则的各子规则，以确定与所述对象的值相匹配的子规则。4.根据权利要求3所述的基于本地规则的进程检出方法，其特征在于，如果匹配成功则检出所述目标进程，包括：利用布尔表达式对与所述对象的值相匹配的子规则的值进行匹配；如果布尔表达式为真，则判断匹配成功，并检出所述目标进程。5.根据权利要求2所述的基于本地规则的进程检出方法，其特征在于，当选定Locallev匹配流程时，所述基于选定的所述本地规则的匹配流程，针对所述回调信息进行匹配，包括：基于所述回调信息，获取规则ID；判断所述规则ID是否与第二匹配规则中的对应配置匹配，如果匹配成功，则判断所述目标进程的相关进程级别是否与第二匹配规则中的对应级别信息匹配，在匹配成功的情况下，检出所述目标进程。6.根据权利要求5所述的基于本地规则的进程检出方法，其特征在于，...

【专利技术属性】
技术研发人员：付旻，
申请(专利权)人：奇安信安全技术珠海有限公司，
类型：发明
国别省市：