【技术实现步骤摘要】
一种隐蔽定时任务的检测方法
[0001]本专利技术涉及工控网络安全
,尤其涉及一种隐蔽定时任务的检测方法。
技术介绍
[0002]网络安全已经成为全球各个国家都非常关注的领域,不仅关系到国防军事,也关心到百姓的日常生活,特别是那些涉及到,诸如发电、水厂、燃气等,国计民生的重点基础设施领域。
[0003]在网络安全领域,存在的一种典型攻击场景是,主机/设备的操作系统被植入了木马,木马程序与公网的被黑客操纵的主机进行通信,并被其控制,从而可以对基础设施网络进行攻击,导致其网络瘫痪、中断。
[0004]为了保证木马程序无论何时都能与公网上的黑客进行“通信”,木马程序会把自己加入到自动启动任务中,这样即使主机/设备重启,木马程序也能正常启动、工作。同时会对其进行伪装,使管理员无法察觉到。现有技术是通过文件扫描检测特定字符,该技术缺点在于效率低下,而且是一种静态的方法。本专利技术针对这一场景,提供一种可以检测出隐藏在自动执行任务中的木马程序的方法。
技术实现思路
[0005]本专利技术提供了一种隐...
【技术保护点】
【技术特征摘要】
1.一种隐蔽定时任务的检测方法,其特征在于,包括:拦截系统启动监测程序;添加合法的自启动进程进入白名单;分配内存资源;跟踪白名单进程的内存使用;预测进程的内容使用是否合法,如果是,则继续跟踪预测,否则发出告警信息。2.如权利要求1所述的一种隐蔽定时任务的检测方法,其特征在于,在主机/设备的拦截系统上安装的监测程序,包括:
①
hook进程:接管启动过程;
②
WL_Create进程:将“合法”的自动启动的进程添加进白名单,具体为对白名单中的进程访问的内存地址块进行记录;Mem_Compare进程:对第n次申请内存时的起始地址进行预测,如果该地址位于一个正确的范围,则是合法的进程申请使用;否则是非法进程使用,发出告警信息。3.如权利要求2所述的一种隐蔽定时任务的检测方法,其特征在于,在hook进程中,对于管理员“合法”创建的自动启动任务,加入到白名单中;只有位于白名单中的自启动任务,才会被允许创建进程,并为其分配内存资源,否则,不在白名单中的进程不能分配到内存资源进行。4.如权利要求3所述的一种隐蔽定时任务的检测方法,其特征在于,加入hook进程的启动流程,具体包括:执行bin/log...
【专利技术属性】
技术研发人员:雷海波,
申请(专利权)人:北京威努特技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。