一种检测远程入侵计算机行为的方法及系统技术方案

本发明专利技术公开了一种检测远程入侵计算机行为的方法及系统，其中，所述方法包括：对系统中的进程创建事件进行监控；当监控到创建某进程的请求时，拦截该进程创建请求；通过分析该进程、该进程的祖先进程，以及当前开放的端口，判断该进程创建操作是否正常；如果所述进程创建请求不正常，则将该进程创建请求确定为远程入侵计算机的行为。通过本发明专利技术，能够在不需要用户干预的情况下进程远程入侵行为的检测，并且不至于使得保存的数据膨胀过大。

【技术实现步骤摘要】

本专利技术涉及计算机安全
，特别是涉及ー种检测远程入侵计算机行为的方法及系统。
技术介绍
一台拥有IP地址的计算机，可以通过开放端ロ的方式，提供各种服务给网络中的其他计算机。所谓端ロ，是对英文port的意译，通常被认为是计算机与外界通讯交流的出ロ。例如，HTTP (Hypertext Transport Protocol,超文本传送协议)服务器会开放TCP端ロ 80，这样，用户的计算机就可以通过该端ロ 80与服务器连接，并交换HTTP协议，获得最終呈现在用户计算机上的HTTP页面。或者，邮件服务器可以开放端ロ 587，用户计算机可以通过端ロ 587与邮件服务器连接，并交换SMTP (Simple Mail Transfer Protocol,简单邮件传 输协议)协议，实现传动邮件的功能。再或者，用户的计算机中还可能开放ー些端ロ，以实现ー些功能。例如，用户的计算机可能默认开放端ロ 135，以便能够与另一台计算机进行连接，实现远程协助功能，等等。一般的用户并没有足够的知识，去管理自己的机器需要开放与关闭哪些端ロ，这就给黑客留下了入侵计算机(可能是前述HTTP服务器、邮件服务器，还本文档来自技高网...

【技术保护点】

【技术特征摘要】

【专利技术属性】
技术研发人员：范纪鍠，郑文彬，路健华，张晓霖，
申请(专利权)人：奇智软件北京有限公司，
类型：发明
国别省市：