【技术实现步骤摘要】
本申请属于进程安全监控,尤其涉及一种进程威胁检测方法及装置。
技术介绍
1、进程威胁检测可以检测操作系统中存在的对操作系统具有潜在威胁的进程,例如进程威胁检测可以检测操作系统中的恶意进程。目前进程威胁检测方法是周期性调用系统命令来获取进程快照信息,对进程快照信息中每个进程的行为进行分析,以确定进程快照信息中记录的进程是否是具有潜在威胁的进程。但是目前进程威胁检测方法存在性能开销较大、实时性较差的问题。
技术实现思路
1、有鉴于此,本申请的目的在于提供一种进程威胁检测方法及装置,在进行进程威胁检测过程中降低性能开销以及提高实时性。技术方案如下:
2、第一方面,本申请提供一种进程威胁检测方法,所述进程威胁检测方法包括:
3、在检测到操作系统中的第一进程处于运行状态的情况下,拦截所述第一进程调用的系统命令,从所述系统命令中获取所述第一进程的特征数据;
4、若基于所述特征数据和预设特征数据确定所述第一进程是预设进程,控制所述第一进程继续运行,所述预设特征数据是所述预设进程的特征数据;
5、若基于所述特征数据和预设特征数据确定所述第一进程不是预设进程,基于预设进程威胁检测规则,对所述特征数据进行分析,以确定所述第一进程是否具备潜在威胁;
6、在确定所述第一进程具备潜在威胁的情况下,对所述第一进程作出响应,所述响应用于禁止所述第一进程攻击所述操作系统。
7、可选的,所述进程威胁检测方法还包括:将所述第一进程的特征数据存储到
8、在检测到所述操作系统中的第二进程处于运行状态的情况下,基于所述第二进程的进程标识,确定所述缓存中是否存储有第二进程的特征数据,所述缓存中每条特征数据标记有进程的标识,所述第二进程的启动时间晚于所述第一进程的启动时间;
9、若所述缓存中存储有所述第二进程的特征数据,从所述缓存中提取所述第二进程的特征数据,利用从所述缓存中提取到的特征数据,检测所述第二进程是否具备潜在威胁。
10、可选的,所述若所述缓存中存储有第二进程的特征数据,从所述缓存中提取所述第二进程的特征数据包括:
11、若所述缓存中存储有第二进程的特征数据,检查限流器是否允许从所述缓存中读取数据,所述限流器用于限定通过预设读取命令获取进程的特征数据的频率,在通过所述预设读取命令获取特征数据的频率大于所述限流器限定的频率时允许从所述缓存中读取数据,所述预设读取命令在获取所述特征数据时的效率低于从所述缓存中读取数据的效率;
12、若所述限流器允许从所述缓存中读取数据,从所述缓存中提取所述第二进程的特征数据;
13、若所述限流器不允许从所述缓存中读取数据,通过预设读取命令获取所述第二进程的特征数据。
14、可选的,所述从所述系统命令中获取所述第一进程的特征数据包括:
15、从所述系统命令中获取进程标识和/或用户标识,所述进程标识和/或所述用户标识用于确定所述第一进程是否是预设进程;
16、从所述系统命令中获取环境变量数据和调用路径数据,所述环境变量数据用于确定所述第一进程是否关联隐藏进程,所述调用路径数据用于指示所述第一进程与其他进程的调用关系;
17、所述第一进程的特征数据包括:所述进程标识和/或用户标识、所述环境变量数据、所述调用路径数据,在所述环境变量数据指示所述第一进程关联隐藏进程时确定所述第一进程具备潜在威胁,在所述调用关系中若其他进程具备潜在威胁则确定所述第一进程具备潜在威胁。
18、可选的,所述拦截所述第一进程调用的系统命令,从所述系统命令中获取所述第一进程的特征数据包括:
19、拦截所述第一进程调用的第一系统命令,从所述第一系统命令中读取进程标识、用户标识、环境变量ld_preload,所述进程标识用于确定所述特征数据在所述缓存中的存储地址,所述环境变量ld_preload用于确定所述第一进程是否关联隐藏进程,所述环境变量数据包括所述环境变量ld_preload;
20、拦截所述第一进程调用的第二系统命令,从所述第二系统命令中读取进程路径信息,基于所述进程路径信息得到进程链,所述进程链为所述第一进程的调用路径数据。
21、可选的,所述在确定所述第一进程具备潜在威胁的情况下,对所述第一进程作出响应包括:
22、在确定所述第一进程具备潜在威胁的情况下,调用预设函数以向所述第一进程下发终止指令,在所述终止指令作用下,所述第一进程被中断执行。
23、第二方面,本申请提供一种进程威胁检测装置,所述进程威胁检测装置包括:
24、获取单元,用于在检测到操作系统中的第一进程处于运行状态的情况下,拦截所述第一进程调用的系统命令,从所述系统命令中获取所述第一进程的特征数据;
25、控制单元,用于若基于所述特征数据和预设特征数据确定所述第一进程是预设进程,控制所述第一进程继续运行,所述预设特征数据是所述预设进程的特征数据;
26、分析单元,用于若基于所述特征数据和预设特征数据确定所述第一进程不是预设进程,基于预设进程威胁检测规则,对所述特征数据进行分析,以确定所述第一进程是否具备潜在威胁;
27、所述控制单元,用于在确定所述第一进程具备潜在威胁的情况下,对所述第一进程作出响应,所述响应用于禁止所述第一进程攻击所述操作系统。
28、可选的,所述进程威胁检测装置还包括:存储单元,用于将所述第一进程的特征数据存储到缓存中;
29、确定单元,用于在检测到所述操作系统中的第二进程处于运行状态的情况下,基于所述第二进程的进程标识,确定所述缓存中是否存储有第二进程的特征数据,所述缓存中每条特征数据标记有进程的标识,所述第二进程的启动时间晚于所述第一进程的启动时间;
30、提取单元,用于若所述缓存中存储有所述第二进程的特征数据,从所述缓存中提取所述第二进程的特征数据;
31、所述控制单元,还用于利用从所述缓存中提取到的特征数据,检测所述第二进程是否具备潜在威胁。
32、第三方面,本申请提供一种检测设备,所述检测设备包括:处理器和存储器;所述存储器用于存储计算机程序代码,所述计算机程序代码包括计算机指令,当所述一个或多个处理器执行所述计算机指令时,使得所述电子设备执行上述进程威胁检测方法。
33、第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质用于存储计算机程序,所述计算机程序被执行时实现上述进程威胁检测方法。
34、与现有技术相比,本申请提供的上述技术方案具有如下优点:
35、在检测到操作系统中的第一进程处于运行状态的情况下,基于第一进程的特征数据,确定第一进程是否具备潜在威胁,并在确定第一进程具备潜在威胁的情况下,对第一进程作出响应,以禁止第一进程攻击操作系统,由此可以在第一进程运行过程中及时发现具有潜在威胁的进程也可以及时对具有潜在威胁的本文档来自技高网...
【技术保护点】
1.一种进程威胁检测方法,其特征在于,所述进程威胁检测方法包括:
2.根据权利要求1所述的进程威胁检测方法,其特征在于,所述进程威胁检测方法还包括:将所述第一进程的特征数据存储到缓存中;
3.根据权利要求2所述的进程威胁检测方法,其特征在于,所述若所述缓存中存储有第二进程的特征数据,从所述缓存中提取所述第二进程的特征数据包括:
4.根据权利要求1至3中任意一项所述的进程威胁检测方法,其特征在于,所述从所述系统命令中获取所述第一进程的特征数据包括:
5.根据权利要求4所述的进程威胁检测方法,其特征在于,所述拦截所述第一进程调用的系统命令,从所述系统命令中获取所述第一进程的特征数据包括:
6.根据权利要求1至3中任意一项所述的进程威胁检测方法,其特征在于,所述在确定所述第一进程具备潜在威胁的情况下,对所述第一进程作出响应包括:
7.一种进程威胁检测装置,其特征在于,所述进程威胁检测装置包括:
8.根据权利要求7所述的进程威胁检测装置,其特征在于,所述进程威胁检测装置还包括:存储单元,用于将所述第一进程
9.一种检测设备,其特征在于,所述检测设备包括:处理器和存储器;
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储计算机程序,所述计算机程序被执行时实现如权利要求1至6中任意一项所述的进程威胁检测方法。
...【技术特征摘要】
1.一种进程威胁检测方法,其特征在于,所述进程威胁检测方法包括:
2.根据权利要求1所述的进程威胁检测方法,其特征在于,所述进程威胁检测方法还包括:将所述第一进程的特征数据存储到缓存中;
3.根据权利要求2所述的进程威胁检测方法,其特征在于,所述若所述缓存中存储有第二进程的特征数据,从所述缓存中提取所述第二进程的特征数据包括:
4.根据权利要求1至3中任意一项所述的进程威胁检测方法,其特征在于,所述从所述系统命令中获取所述第一进程的特征数据包括:
5.根据权利要求4所述的进程威胁检测方法,其特征在于,所述拦截所述第一进程调用的系统命令,从所述系统命令中获取所述第一进程的特征数据包括...
【专利技术属性】
技术研发人员:翁迟迟,
申请(专利权)人:北京奇艺世纪科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。