一种基于指令的恶意进程确定方法技术

本申请提供一种基于指令的恶意进程确定方法

【技术实现步骤摘要】
一种基于指令的恶意进程确定方法、装置、设备及介质


[0001]本申请涉及网络安全领域，尤其涉及一种基于指令的恶意进程确定方法
、
装置
、
设备及介质
。

技术介绍

[0002]进程在为具有工作量证明机制的区块链执行共识合约时，会大量占用计算机的算力资源，同时也会消耗大量的电能
。
故而，一些非授权用户（如黑客）会通过在正常用户的电子设备中投放病毒或木马，从而使得正常用户的电子设备在用户不知情的情况下启动一个用于执行具有工作量证明机制的区块链执行共识合约的进程，从而给用户带来损失
。
[0003]故而，亟需一种能够识别出正在为具有工作量证明机制的区块链执行共识合约的进程
。

技术实现思路

[0004]有鉴于此，本申请提供一种基于指令的恶意进程确定方法
、
装置
、
设备及介质，旨在提供一种能够识别出正在为具有工作量证明机制的区块链执行共识合约的恶意进程的方法
。
[0005]在本申请的一方面，提供一种基于指令的恶意进程确定方法，包括：
S100
，连续
n
次，每当目标进程执行任一预设的关键指令时，获取关键指令对应的待执行寄存器内的所有待执行指令，以得到
n
个待执行指令列表；每一待执行指令列表中均包含至少一个待执行指令；所述关键指令为被执行后会使得所述目标进程发生控制流跳转的指令；
S200
，遍历每一待执行指令列表，确定目标指令数量列表
A=(A1，
A2，
…
，
A
i
，
…
，
A
n
)
；
i=1
，2，
…
，
n
；其中，
A
i
为目标进程执行第
i
个关键指令时获取到的待执行指令列表中目标指令的数量；所述目标指令为预设的指令；
S300
，获取目标进程每次执行关键指令后的第一时间长度内的内存平均占用率，以得到内存平均占用率列表
C=(C1，
C2，
…
，
C
i
，
…
，
C
n
)
；其中，
C
i
为目标进程执行第
i
个关键指令后的内存平均占用率；
S400
，获取目标进程每次执行关键指令后的第一时间长度内的显存平均占用率，以得到显存平均占用率列表
G=(G1，
G2，
…
，
G
i
，
…
，
G
n
)
；其中，
G
i
为目标进程执行第
i
个关键指令后的显存平均占用率；
S500
，根据
A、C
和
G
，确定进程指令特征向量
T=(T1，
T2，
…
，
T
i
，
…
，
T
n
)
；
T
i
=(A
i
，
C
i
，
G
i
)
；
T
i
为
T
中第
i
个进程指令特征参数组；
S600
，将
T
输入预设的恶意进程确定模块中，以得到输出的确定结果；所述确定结果用于表示所述目标进程是否为恶意进程
。
[0006]在本申请的一种示例性实施例中，在所述步骤
S100
和所述步骤
S200
之间，所述方法还包括：
S110
，根据目标进程每次执行关键指令的时间，获取时间间隔列表
S=(S1，
S2，
…
，
S
j
，
…
，
S
m
)
，
j=1
，2，
…
，
m
；
m=n
‑1；其中，
m
为时间间隔的数量，
S
j
为
S
中第
j
个时间间隔，
S
j
=TIME
j+1
‑
TIME
j
；
TIME
j
为
A
j
对应的关键指令的执行时间；
S120
，根据
S
，确定时间波动值
SD=(∑
j=1m
(S
j
‑
avg(S)))/m
；其中，
avg()
为预设的均值确定函数；
S130
，若
SD
＜
YSD
，则进入步骤
S200
；其中，
YSD
为预设的时间波动阈值
。
[0007]在本申请的一种示例性实施例中，第一时间长度符合以下条件：
L1=avg(S)
；其中，
L1
为所述第一时间长度
。
[0008]在本申请的一种示例性实施例中，所述方法还包括：
S010
，当目标进程第1次执行关键指令时，开启计时器；
S020
，在计时器的当前计时时长达到预设的第二时间长度时，确定目标进程当前执行关键指令的次数
N
now
；
S030
，若
N
now
＜
n
，则结束当前流程
。
[0009]在本申请的一种示例性实施例中，所述步骤
S200
，包括：
S210
，根据预设的
m
个目标指令遍历每一待执行指令列表，确定中间指令数量列表集
B=(B1，
B2，
…
，
B
i
，
…
，
B
n
)
，
B
i
=(B
i,1
，
B
i,2
，
…
，
B
i,j
，
…
，
B
i,m
)
；
j=1
，2，
…
，
m
；其中，
B
i
为
B
中第
i...

【技术保护点】

【技术特征摘要】
1.
一种基于指令的恶意进程确定方法，其特征在于，包括：
S100
，连续
n
次，每当目标进程执行任一预设的关键指令时，获取关键指令对应的待执行寄存器内的所有待执行指令，以得到
n
个待执行指令列表；每一待执行指令列表中均包含至少一个待执行指令；所述关键指令为被执行后会使得所述目标进程发生控制流跳转的指令；
S200
，遍历每一待执行指令列表，确定目标指令数量列表
A=(A1，
A2，
…
，
A
i
，
…
，
A
n
)
；
i=1
，2，
…
，
n
；其中，
A
i
为目标进程执行第
i
个关键指令时获取到的待执行指令列表中目标指令的数量；所述目标指令为预设的指令；
S300
，获取目标进程每次执行关键指令后的第一时间长度内的内存平均占用率，以得到内存平均占用率列表
C=(C1，
C2，
…
，
C
i
，
…
，
C
n
)
；其中，
C
i
为目标进程执行第
i
个关键指令后的内存平均占用率；
S400
，获取目标进程每次执行关键指令后的第一时间长度内的显存平均占用率，以得到显存平均占用率列表
G=(G1，
G2，
…
，
G
i
，
…
，
G
n
)
；其中，
G
i
为目标进程执行第
i
个关键指令后的显存平均占用率；
S500
，根据
A、C
和
G
，确定进程指令特征向量
T=(T1，
T2，
…
，
T
i
，
…
，
T
n
)
；
T
i
=(A
i
，
C
i
，
G
i
)
；
T
i
为
T
中第
i
个进程指令特征参数组；
S600
，将
T
输入预设的恶意进程确定模块中，以得到输出的确定结果；所述确定结果用于表示所述目标进程是否为恶意进程
。2.
根据权利要求1所述的恶意进程确定方法，其特征在于，在所述步骤
S100
和所述步骤
S200
之间，所述方法还包括：
S110
，根据目标进程每次执行关键指令的时间，获取时间间隔列表
S=(S1，
S2，
…
，
S
j
，
…
，
S
m
)
，
j=1
，2，
…
，
m
；
m=n
‑1；其中，
m
为时间间隔的数量，
S
j
为
S
中第
j
个时间间隔，
S
j
=TIME
j+1
‑
TIME
j
；
TIME
j
为
A
j
对应的关键指令的执行时间；
S120
，根据
S
，确定时间波动值
SD=(∑
j=1m
(S
j
‑
avg(S)))/m
；其中，
avg()
为预设的均值确定函数；
S130
，若
SD
＜
YSD
，则进入步骤
S200
；其中，
YSD
为预设的时间波动阈值
。3.
根据权利要求2所述的恶意进程确定方法，其特征在于，第一时间长度符合以下条件：
L1=avg(S)
；其中，
L1
为所述第一时间长度
。4.
根据权利要求1所述的恶意进程确定方法，其特征在于，所述方法还包括：
S010
，当目标进程第1次执行关键指令时，开启计时器；
S020
，在计时器的当前计时时长达到预设的第二时间长度时，确定目标进程当前执行关键指令的次数
N
now
；
S030
，若
N
now
＜
n
，则结束当前流程
。5.
根据权利要求1所述的恶意进程确定方法，其特征在于，所述步骤
S200
，包括：
S210
，根据预设的
m
...

【专利技术属性】
技术研发人员：关墨辰，李旗，肖新光，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：