进程标记方法技术

本申请实施例公开了一种进程标记方法

【技术实现步骤摘要】
进程标记方法、装置、计算机设备及计算机存储介质


[0001]本申请涉及计算机
，尤其涉及一种进程标记方法
、
装置
、
计算机设备及计算机存储介质
。

技术介绍

[0002]在计算机
，进程可以理解为计算机系统中正在运行的程序的实例，是计算机系统进行资源分配的基本单位
。
在某一程序实例运行的过程中，可以在计算机系统内产生包含一个或多个进程的进程树，以采用该进程树中的各个进程协同实现相应的程序功能
。
为了保障计算机系统的安全性能及工作性能，需要基于计算机系统中各个进程
(
包括父进程和子进程
)
的进程标签所关联的管理方式，实现对各个进程的管理
。
进程标签用于指示相应进程所具备的进程属性
(
如进程类型
、
进程所属的进程树等
)。
[0003]在实际应用中，子进程通常具备和其父进程相似甚至相同的进程属性，这是因为父进程在创建子进程时，会将自己具备的进程标签继承给子进程
。
在实际应用中，部分子进程具备篡改进程继承关系的能力，而传统的进程标记方法在用于为此类子进程标记其父进程所继承下来的进程标签时，难以确定出准确的进程标签，从而影响到后续对该子进程的准确管理，最终可能导致计算机系统的安全受到威胁
。
有鉴于此，如何采用准确的进程标签对子进程进行标记，便成了系统安全领域中的必要研究课题
。

技术实现思路

[0004]本申请实施例提供了一种进程标记方法
、
装置
、
计算机设备及计算机存储介质，可实现采用准确的进程标签对子进程进行标记
。
[0005]一方面，本申请实施例提供了一种进程标记方法，包括：
[0006]在检测到目标进程创建子进程时，获取所述目标进程的进程描述符中的目标字段；其中，所述进程标签用于指示所述目标进程所具备的进程属性；所述目标字段是通过从所述进程描述符包含的各个描述字段中选取继承字段，并在所述继承字段中添加所述进程标签后得到的；所述继承字段是指：由所述目标进程继承给所述子进程的，用于生成所述子进程的进程描述符的描述字段；
[0007]生成所述子进程的包含所述目标字段的进程描述符，以采用生成的进程描述符中的目标字段所包含的进程标签，指示所述子进程所具备的进程属性
。
[0008]再一方面，本申请实施例提供了一种进程标记装置，包括：
[0009]检测单元，用于在检测到目标进程创建子进程时，获取所述目标进程的进程描述符中的目标字段；其中，所述进程标签用于指示所述目标进程所具备的进程属性；所述目标字段是通过从所述进程描述符包含的各个描述字段中选取继承字段，并在所述继承字段中添加所述进程标签后得到的；所述继承字段是指：由所述目标进程继承给所述子进程的，用于生成所述子进程的进程描述符的描述字段；
[0010]生成单元，用于生成所述子进程的包含所述目标字段的进程描述符，以采用生成
的进程描述符中的目标字段所包含的进程标签，指示所述子进程所具备的进程属性
。
[0011]再一方面，本申请实施例还提供了一种计算机设备，包括：
[0012]处理器，所述处理器用于实现一条或多条计算机程序；
[0013]计算机存储介质，所述计算机存储介质存储有一条或多条计算机程序，所述一条或多条计算机程序适于由所述处理器加载并实现如第一方面的进程标记方法
。
[0014]再一方面，本申请实施例还提供了一种计算机存储介质，所述计算机存储介质存储有一条或多条计算机程序，所述一条或多条计算机程序适于由处理器加载并实现如第一方面的进程标记方法
。
[0015]再一方面，本申请实施例提供了一种程序产品，该程序产品包括计算机程序，所述计算机程序适于由处理器加载并执行如第一方面的进程标记方法
。
[0016]在本申请实施例中，目标进程的进程标签是添加在其子进程必须继承的描述字段中的，使得目标进程在创建子进程时，针对该子进程生成的进程描述符必须包括存在进程标签的描述字段
(
即目标字段
)
，实现了采用目标进程具备的进程标签自动对子进程进行进程标记
。
也就是说，目标进程所创建的子进程，将天然地包含该目标进程所具备的进程标签，使得子进程即使具备篡改进程继承关系的能力，也无法通过篡改进程继承关系来修改或混淆该子进程所具备的进程标签，保证了对子进程进行进程标记时所采用的进程标签，为其准确的父进程所继承下来的进程标签
。
附图说明
[0017]为了更清楚地说明本申请实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图
。
[0018]图
1a
是本申请实施例提供的一种父进程与子进程的关系示意图；
[0019]图
1b
是本申请实施例提供的一种进程树中自动标记进程的原理示意图；
[0020]图2是本申请实施例提供的一种进程标记方法的示意流程图；
[0021]图3是本申请实施例提供的又一种进程标记方法的示意流程图；
[0022]图4是本申请实施例提供的一种对目标进程进行进程标记的原理示意图；
[0023]图
5a
是本申请实施例提供的一种结合
EDR
的进程标记原理的示意图；
[0024]图
5b
是本申请实施例提供的一种结合
EDR
的进程筛选原理的示意图；
[0025]图6是本申请实施例提供的一种进程标记装置的结构示意图；
[0026]图7是本申请实施例提供的一种计算机设备的结构示意图
。
具体实施方式
[0027]在计算机设备所运行的操作系统中，父进程在创建子进程时，通常会将自身所具备的进程标签继承给创建的子进程，而为了使得子进程可以从其父进程处准确地继承相应进程标签，本申请实施例提出了一种进程标记方案
。
以目标进程为父进程为例，对该进程标记方案的大致原理进行阐述
。
[0028]该方案指出：目标进程中的进程标签，是在计算机设备从目标进程的进程描述符所包含的各个描述字段中，选取出该目标进程的子进程必须从该目标进程处继承的描述字
段
(
可称为继承字段
)
后，通过在选取出的描述字段里添加该进程标签得到的
。
其中，进程标签用于指示目标进程具备的进程属性
。
添加进程标签之后的继承字段可以被称为目标字段，因而目标字段也可以理解为：目标进程创建的子进程需要从本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种进程标记方法，其特征在于，包括：在检测到目标进程创建子进程时，获取所述目标进程的进程描述符中的目标字段；其中，所述进程标签用于指示所述目标进程所具备的进程属性；所述目标字段是通过从所述进程描述符包含的各个描述字段中选取继承字段，并在所述继承字段中添加所述进程标签后得到的；所述继承字段是指：由所述目标进程继承给所述子进程的，用于生成所述子进程的进程描述符的描述字段；生成所述子进程的包含所述目标字段的进程描述符，以采用生成的进程描述符中的目标字段所包含的进程标签，指示所述子进程所具备的进程属性
。2.
根据权利要求1所述的方法，其特征在于，在所述继承字段中添加所述进程标签，得到所述目标字段的方式包括：获取所述继承字段所使用的比特位的第一数量，并获取预先为所述继承字段分配的比特位的第二数量；当所述第一数量小于所述第二数量时，采用所述第二数量个比特位中未被占用的比特位，存储所述进程标签；将存储所述进程标签后的继承字段，作为所述目标字段
。3.
根据权利要求1所述的方法，其特征在于，从所述进程描述符包含的各个描述字段中选取所述继承字段的方式包括：从所述进程描述符包含的各个描述字段中，选取出一个或多个候选字段，所述候选字段是指：由所述目标进程继承给所述子进程的，用于生成所述子进程的进程描述符的描述字段；获取所述一个或多个候选字段中，任一候选字段所使用的比特位的第一数量，并获取预先为所述任一候选字段分配的比特位的第二数量；当所述任一候选字段对应的第二数量，与所述任一候选字段对应的第一数量之间的差值，大于或等于差值阈值时，将所述任一候选字段确定为所述继承字段
。4.
根据权利要求1所述的方法，其特征在于，从所述进程描述符包含的各个描述字段中选取所述继承字段的方式包括：从所述进程描述符包含的各个描述字段中，选取出一个或多个候选字段，所述候选字段是指：由所述目标进程继承给所述子进程的，用于生成所述子进程的进程描述符的描述字段；获取所述一个或多个候选字段中，任一候选字段的赋值方式；当所述赋值方式为按位赋值时，将所述任一候选字段确定为所述继承字段
。5.
根据权利要求4所述的方法，其特征在于，所述当所述赋值方式为按位赋值时，将所述任一候选字段确定为所述继承字段，包括：当所述赋值方式为按位赋值时，获取所述任一候选字段所使用的比特位的第一数量，以及预先为所述任一候选字段分配的比特位的第二数量；当所述任一候选字段对应的第二数量，与所述任一候选字段对应的第一数量之间的差值，大于或等于差值阈值时，将所述任一候选字段确定为所述继承字段
。6.
根据权利要求1所述的方法，其特征在于，所述方法还包括：在检测到所述目标进程被创建后，对所述目标进程的运行行为进行实时检测；
若检测到所述目标进程存在网络活动，则生成用于指示所述目标进程存在网络活动属性的进程标签，所述网络活动是指：基于网络执行进程任务的行为；将生成的进程标签，添加至所述目标进程的进程描述符所包含的继承字段中
。7.
根据权利要求1所述的方法，其特征在于，所述方法还包括：检测...

【专利技术属性】
技术研发人员：卜凡钢，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：