异常进程检测方法、装置、设备和介质制造方法及图纸

本申请涉及一种异常进程检测方法、装置、设备和介质，方法包括：获取基于多个进程间的生成关系构建的目标进程树；目标进程树中包括进程节点；目标进程树中共边的两个进程节点之间存在生成关系；将目标进程树中的每个进程节点分别与预先构建的异常进程树库中的进程节点进行匹配，得到匹配到的异常进程节点；基于异常进程节点之间的连通情况对目标进程树初步异常检测；在初步检测目标进程树异常的情况下，对异常进程节点对应的进程行为特征进行映射，得到异常进程节点对应的攻击阶段；根据目标进程树中各异常进程节点分别对应的攻击阶段，对目标进程树进行进阶异常检测，得到针对目标进程树的异常检测结果。采用本方法可提升异常进程检测准确率。异常进程检测准确率。异常进程检测准确率。

【技术实现步骤摘要】
异常进程检测方法、装置、设备和介质


[0001]本申请涉及计算机技术，更涉及数据安全领域，特别是涉及一种异常进程检测方法、装置、设备和介质。

技术介绍

[0002]随着计算机技术的发展，出现了异常进程检测技术，异常进程检测是指对计算机设备接收到的进程进行异常检测的技术。比如，云主机上存储有很多重要数据，我们需要对云主机接收到的进程进行异常检测，并对检测异常的进程进行干预，以防止病毒传播、漏洞利用和数据泄露等安全风险事件的发生，从而保证云主机上数据的安全。
[0003]传统技术中，通常是通过单点检测，即基于单个进程的进程数据检测该进程是否异常，容易造成检测误报或遗漏的情况，从而导致检测准确率较低。

技术实现思路

[0004]基于此，有必要针对上述技术问题，提供一种能够提升异常进程检测准确率的异常进程检测方法、装置、设备和介质。
[0005]第一方面，本申请提供了一种异常进程检测方法，所述方法包括：
[0006]获取基于多个进程间的生成关系构建的目标进程树；所述目标进程树中包括至少一个进程节点；所述目标进程树本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异常进程检测方法，其特征在于，所述方法包括：获取基于多个进程间的生成关系构建的目标进程树；所述目标进程树中包括至少一个进程节点；所述目标进程树中共边的两个进程节点之间存在生成关系；将所述目标进程树中的每个进程节点分别与预先构建的异常进程树库中的进程节点进行匹配，得到匹配到的异常进程节点；基于所述异常进程节点之间的连通情况对所述目标进程树初步异常检测；在初步检测所述目标进程树异常的情况下，对所述异常进程节点对应的进程行为特征进行映射，得到所述异常进程节点对应的攻击阶段；根据所述目标进程树中各所述异常进程节点分别对应的攻击阶段，对所述目标进程树进行进阶异常检测，得到针对所述目标进程树的异常检测结果。2.根据权利要求1所述的方法，其特征在于，所述对所述异常进程节点对应的进程行为特征进行映射，得到所述异常进程节点对应的攻击阶段，包括：确定预设的进程行为特征与攻击阶段之间的映射关系；针对每个异常进程节点，基于所述映射关系，确定与所述异常进程节点对应的进程行为特征相映射的攻击阶段，得到所述异常进程节点对应的攻击阶段。3.根据权利要求1所述的方法，其特征在于，所述目标进程树包括至少一条进程链；每条进程链中包括至少一个进程节点；所述方法还包括：针对所述目标进程树中各异常进程节点生成对应的单点告警信息；在进阶检测到所述目标进程树异常之后，针对所述目标进程树中的每条进程链，将所述进程链上各异常进程节点对应的单点告警信息进行串联，得到所述进程链对应的告警信息；将所述目标进程树中的各条进程链分别对应的告警信息进行合并，得到目标告警信息并输出。4.根据权利要求1所述的方法，其特征在于，所述方法还包括异常进程树库的构建步骤；所述异常进程树库的构建步骤，包括：获取至少一条历史告警信息；所述历史告警信息，是针对至少一个历史进程树中各进程节点分别进行异常检测得到的告警信息；针对每条历史告警信息，确定所述历史告警信息所针对的进程节点，得到所述历史告警信息对应的告警进程节点，并从所述告警进程节点所在的进程树中，提取以所述告警进程节点为新的根节点的进程子树，得到所述历史告警信息对应的进程子树；根据各所述历史告警信息分别对应的进程子树，构建异常进程树库。5.根据权利要求1所述的方法，其特征在于，所述基于所述异常进程节点之间的连通情况对所述目标进程树初步异常检测，包括：从匹配到的异常进程节点中确定相连通的异常进程节点，得到目标异常进程节点；若所述目标异常进程节点的数量大于预设数量阈值，则初步判定所述目标进程树异常。6.根据权利要求5所述的方法，其特征在于，所述从匹配到的异常进程节点中确定相连通的异常进程节点，得到目标异常进程节点，包括：从匹配到的异常进程节点中确定相连通的异常进程节点，得到多个候选的异常进程节
点；从所述多个候选的异常进程节点中确定进程行为特征相同的异常进程节点；对所述进程行为特征相同的异常进程节点进行去重，得到目标异常进程节点。7.根据权利要求1所述的方法，其特征在于，所述目标进程树的进程节点中存储有进程行为特征；存储的进程行为特征是基于所述进程节点对应的进程命令提取得到的；所述方法还包括目标进程树的构建步骤，所述目标进程树的构建步骤，包括：获取基于多个进程间的生成关系构建的初始进程树；所述初始进程树中包括存储有所述进程命令的至少一个进程节点；所述初始进程树中共边的两个进程节点之间存在生成关系；将所述初始进程树中各进程节点存储的形态不同、但具有相同功能的各进程命令进行同质化转换，以使得具有相同功能的各进程命令具有相同的形态，得到同质化后的进程...

【专利技术属性】
技术研发人员：罗梦霞，任一林，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：