專利名稱:一種檢測遠(yuǎn)程入侵計(jì)算機(jī)行為的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域��,特別是涉及ー種檢測遠(yuǎn)程入侵計(jì)算機(jī)行為的方法及系統(tǒng)�����。
背景技術(shù):
一臺擁有IP地址的計(jì)算機(jī)����,可以通過開放端ロ的方式���,提供各種服務(wù)給網(wǎng)絡(luò)中的其他計(jì)算機(jī)�。所謂端ロ�,是對英文port的意譯,通常被認(rèn)為是計(jì)算機(jī)與外界通訊交流的出ロ�。例如,HTTP (Hypertext Transport Protocol,超文本傳送協(xié)議)服務(wù)器會開放TCP端ロ 80��,這樣���,用戶的計(jì)算機(jī)就可以通過該端ロ 80與服務(wù)器連接���,并交換HTTP協(xié)議�,獲得最終呈現(xiàn)在用戶計(jì)算機(jī)上的HTTP頁面�����?���;蛘撸]件服務(wù)器可以開放端ロ 587��,用戶計(jì)算機(jī)可以通過端ロ 587與郵件服務(wù)器連接����,并交換SMTP (Simple Mail Transfer Protocol,簡單郵件傳 輸協(xié)議)協(xié)議,實(shí)現(xiàn)傳動郵件的功能�。再或者,用戶的計(jì)算機(jī)中還可能開放ー些端ロ�,以實(shí)現(xiàn)ー些功能。例如���,用戶的計(jì)算機(jī)可能默認(rèn)開放端ロ 135��,以便能夠與另一臺計(jì)算機(jī)進(jìn)行連接,實(shí)現(xiàn)遠(yuǎn)程協(xié)助功能�,等等�����。一般的用戶并沒有足夠的知識��,去管理自己的機(jī)器需要開放與關(guān)閉哪些端ロ��,這就給黑客留下了入侵計(jì)算機(jī)(可能是前述HTTP服務(wù)器���、郵件服務(wù)器,還有可能是普通用戶的計(jì)算機(jī))的機(jī)會��。入侵常用的手法之一就是掃描目標(biāo)機(jī)器���,找尋可利用的開放端ロ�,然后連線至這些端ロ操控目標(biāo)機(jī)器��。例如�����,入侵者可以通過SMTP端ロ 587傳遞垃圾郵件��,或者利用Telnet端ロ 23���,遠(yuǎn)程登錄到用戶機(jī)器等等�。為了防止受到這種遠(yuǎn)程入侵行為的攻擊,現(xiàn)有技術(shù)通常是使用防火墻技術(shù)進(jìn)行攔截����。防火墻技術(shù)主要是通過添加規(guī)則限制連接的方式來起到這種攔截的作用。也即����,可以以白名單的方式,設(shè)置能夠連接到某開放的端ロ的IP地址名單�����,或者以黑名單的方式���,設(shè)置不能連接到某開放的端ロ的IP地址名單�,當(dāng)一個(gè)連接請求被防火墻攔截����,便依照該白名單或黑名單,判斷該連接請求的IP地址是否為允許連接的IP地址����,以此來判斷此次連接請求是否為黑客入侵��,進(jìn)而決定是否報(bào)警或者阻止此次連接。防火墻技術(shù)可以從一定程度上起到防止遠(yuǎn)程入侵計(jì)算機(jī)的作用����,但是,至少存在以下弊端需要用戶設(shè)置規(guī)則����,對用戶的專業(yè)性要求較高;并且如果使用白名單的方式��,則造成誤判的可能性比較大���,并且��,隨著新增IP地址的加入���,名單也會過于龐大,影響連接的響應(yīng)速度��;如果使用黑名單的方式����,則難免百密ー疏��,并且同樣存在可能會膨脹過大及其所帶來的問題��。
發(fā)明內(nèi)容
本發(fā)明提供了一種檢測遠(yuǎn)程入侵計(jì)算機(jī)行為的方法及系統(tǒng)��,能夠在不需要用戶干預(yù)的情況下進(jìn)程遠(yuǎn)程入侵行為的檢測����,并且不至于使得保存的數(shù)據(jù)膨脹過大���。本發(fā)明提供了如下方案一種檢測遠(yuǎn)程入侵計(jì)算機(jī)行為的方法�����,包括
對系統(tǒng)中的進(jìn)程創(chuàng)建事件進(jìn)行監(jiān)控����;當(dāng)監(jiān)控到創(chuàng)建某進(jìn)程的請求時(shí)�,攔截該進(jìn)程創(chuàng)建請求;通過分析該進(jìn)程����、該進(jìn)程的祖先進(jìn)程,以及當(dāng)前開放的端ロ,判斷該進(jìn)程創(chuàng)建操作是否正常��;如果所述進(jìn)程創(chuàng)建請求不正常�,則將該進(jìn)程創(chuàng)建請求確定為遠(yuǎn)程入侵計(jì)算機(jī)的行為。
優(yōu)選地���,如果所述進(jìn)程創(chuàng)建操作不正常,則還包括阻止進(jìn)程創(chuàng)建操作的執(zhí)行��;或者�����,向發(fā)出異常報(bào)警����,根據(jù)用戶的選擇操作,阻止或允許進(jìn)程創(chuàng)建操作的執(zhí)行�。優(yōu)選地,如果所述進(jìn)程創(chuàng)建請求正常����,則還包括允許創(chuàng)建操作的執(zhí)行。其中���,所述通過分析該進(jìn)程���、該進(jìn)程的祖先進(jìn)程�����,以及當(dāng)前開放的端ロ����,判斷該進(jìn)程創(chuàng)建請求是否正常包括判斷該進(jìn)程的祖先進(jìn)程中是否存在當(dāng)所述端ロ開放時(shí)常被利用于遠(yuǎn)程入侵的進(jìn)程;如果是�����,則判斷該進(jìn)程是否為當(dāng)所述端ロ開放時(shí)常被利用于遠(yuǎn)程入侵的進(jìn)程���;如果是�����,則判定所述進(jìn)程創(chuàng)建請求不正常����。優(yōu)選地���,在所述判定所述進(jìn)程創(chuàng)建請求不正常之前還包括判斷該進(jìn)程和/或其祖先進(jìn)程的運(yùn)行參數(shù)是否正常�,如果不正常,則判定所述進(jìn)程創(chuàng)建請求不正常��。一種檢測遠(yuǎn)程入侵計(jì)算機(jī)行為的系統(tǒng)�����,包括監(jiān)控單元���,用于對系統(tǒng)中的進(jìn)程創(chuàng)建事件進(jìn)行監(jiān)控;攔截單元���,用于當(dāng)監(jiān)控到創(chuàng)建某進(jìn)程的請求時(shí)����,攔截該進(jìn)程創(chuàng)建請求�;分析単元,用于通過分析該進(jìn)程�、該進(jìn)程的祖先進(jìn)程,以及當(dāng)前開放的端ロ�����,判斷該進(jìn)程創(chuàng)建操作是否正常;確定單元�,用于如果所述進(jìn)程創(chuàng)建請求不正常,則將該進(jìn)程創(chuàng)建請求確定為遠(yuǎn)程入侵計(jì)算機(jī)的行為���。優(yōu)選地�,如果所述進(jìn)程創(chuàng)建操作不正常����,則還包括第一處理單元,用于阻止進(jìn)程創(chuàng)建操作的執(zhí)行��;或者���,第二處理單元���,用于向發(fā)出異常報(bào)警,根據(jù)用戶的選擇操作�,阻止或允許進(jìn)程創(chuàng)建操作的執(zhí)行。優(yōu)選地��,如果所述進(jìn)程創(chuàng)建請求正常����,則還包括第三處理單元����,用于允許創(chuàng)建操作的執(zhí)行�����。其中���,所述分析単元包括第一判斷子単元�,用于判斷該進(jìn)程的祖先進(jìn)程中是否存在當(dāng)所述端ロ開放時(shí)常被利用于遠(yuǎn)程入侵的進(jìn)程��;第二判斷子単元��,用于如果所述第一判斷子単元的判斷結(jié)果為是����,則判斷該進(jìn)程是否為當(dāng)所述端ロ開放時(shí)常被利用于遠(yuǎn)程入侵的進(jìn)程����;確定子単元,用于如果所述第二判斷子単元的判斷結(jié)果為是�����,則判定所述進(jìn)程創(chuàng)建請求不正常。優(yōu)選地����,還包括第三判斷子単元,用于判斷該進(jìn)程和/或其祖先進(jìn)程的運(yùn)行參數(shù)是否正常�,如果不正常,則所述確定子単元判定所述進(jìn)程創(chuàng)建請求不正常�。根據(jù)本發(fā)明提供的具體實(shí)施例,本發(fā)明公開了以下技術(shù)效果通過本發(fā)明��,可以通過對進(jìn)程創(chuàng)建請求進(jìn)行攔截及分析���,如果發(fā)現(xiàn)不正常的情況���,
就可以將該進(jìn)程創(chuàng)建請求看作是黑客入侵行為,進(jìn)而就可以采取相應(yīng)的措施�,以防止用戶的計(jì)算機(jī)收到侵害??梢姡灰A(yù)先統(tǒng)計(jì)了在正?��;虿徽G闆r下���,開放各個(gè)端ロ時(shí)���,將要創(chuàng)建的進(jìn)程與其祖先進(jìn)程之間的關(guān)系,就可以判斷出當(dāng)前的進(jìn)程創(chuàng)建請求是否正常�����,進(jìn)而避免黑客通過這些端ロ入侵并對用戶的計(jì)算機(jī)造成危害�����。在此過程中�,不需要用戶的干預(yù),雖然也需要統(tǒng)計(jì)ー些信息����,但是相對于防火墻使用的白名單或黑名單而言,其數(shù)量級要小得多����,不至于導(dǎo)致膨脹過大的現(xiàn)象發(fā)生���。���。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對實(shí)施例中所需要使用的附圖作簡單地介紹����,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動的前提下��,還可以根據(jù)這些附圖獲得其他的附圖����。圖I是本發(fā)明實(shí)施例提供的方法的流程圖;圖2是本發(fā)明實(shí)施例提供的系統(tǒng)的示意圖�����。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖��,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚���、完整地描述�����,顯然���,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例��,而不是全部的實(shí)施例�����?;诒景l(fā)明中的實(shí)施例�,本領(lǐng)域普通技術(shù)人員所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍���。首先需要說明的是���,黑客在遠(yuǎn)程入侵某目標(biāo)機(jī)器時(shí),首先需要通過目標(biāo)機(jī)器當(dāng)前開放的端ロ連接到該目標(biāo)機(jī)器�����,然后再操控目標(biāo)機(jī)器執(zhí)行具體的操作�。這兩個(gè)過程可以看做是有兩個(gè)階段組成的第一階段是連接,第二階段是執(zhí)行ー些操作?���,F(xiàn)有技術(shù)中的防火墻在防止黑客遠(yuǎn)程入侵時(shí),采用的思路是�,讓黑客無法完成第一個(gè)階段,也即無法通過端ロ與目標(biāo)機(jī)器連接�����,進(jìn)而黑客也就無法執(zhí)行后續(xù)的ー些操作了�����,從而保證目標(biāo)機(jī)器的安全性����。而在本發(fā)明人在實(shí)現(xiàn)本發(fā)明的過程中發(fā)現(xiàn),在黑客入侵的過程中����,其實(shí)真正會使得目標(biāo)機(jī)器受到威脅的是上述第二階段,也即��,如果黑客無法執(zhí)行后續(xù)的具體操作,則即使黑客通過端ロ連接到目標(biāo)機(jī)器���,也是不會對目標(biāo)機(jī)器的安全性造成影響的�����。因此��,本發(fā)明實(shí)施例就是從上述思路出發(fā)��,提出了ー種新型的檢測遠(yuǎn)程入侵計(jì)算機(jī)的行為的方法��,從而達(dá)到保護(hù)目標(biāo)機(jī)器安全性的目的����。參見圖1��,本發(fā)明實(shí)施例提供的檢測遠(yuǎn)程入侵計(jì)算機(jī)的方法包括以下步驟
SlOl :對系統(tǒng)中的進(jìn)程創(chuàng)建事件進(jìn)行監(jiān)控���;本發(fā)明實(shí)施例在檢測遠(yuǎn)程入侵計(jì)算機(jī)行為的過程中���,并不是在連接階段對黑客的入侵行為進(jìn)行限制,而是在執(zhí)行具體的操作階段進(jìn)行限制����。而在執(zhí)行具體操作的過程中�,總是會伴隨創(chuàng)建進(jìn)程的過程���,也即,在計(jì)算機(jī)系統(tǒng)中�����,如果想要執(zhí)行某種操作以達(dá)到某種目的�����,則需要創(chuàng)建相應(yīng)的進(jìn)程�����,在進(jìn)程中完成相應(yīng)的操作�,因此,可以通過檢查進(jìn)程創(chuàng)建是否正常����,來判斷是否被黑客入侵。 為此�,就需要對系統(tǒng)中創(chuàng)建進(jìn)程的事件進(jìn)行監(jiān)控�。S102 當(dāng)監(jiān)控到創(chuàng)建某進(jìn)程的請求時(shí)�����,攔截該進(jìn)程創(chuàng)建請求�����;在監(jiān)控的過程中�,一旦發(fā)現(xiàn)要創(chuàng)建某進(jìn)程,則首先將該創(chuàng)建事件攔截下來��。也就是說�,當(dāng)監(jiān)控到要創(chuàng)建某進(jìn)程吋,不是直接允許該進(jìn)程的創(chuàng)建����,而是暫時(shí)先攔截下來,進(jìn)行ー些判斷操作�����,主要是區(qū)分創(chuàng)建過程是否正常����,如果不正常則可能是黑客的遠(yuǎn)程入侵進(jìn)行的操作�����。S103 :通過分析該進(jìn)程����、該進(jìn)程的祖先進(jìn)程�,以及當(dāng)前開放的端ロ��,判斷該進(jìn)程創(chuàng)建操作是否正常���;具體在分析一個(gè)進(jìn)程創(chuàng)建過程是否正常時(shí)�,可以通過分析當(dāng)前要創(chuàng)建的進(jìn)程及其祖先進(jìn)程����,以及當(dāng)前開放的端ロ等進(jìn)行判斷。其中��,進(jìn)程的祖先進(jìn)程可以通過查詢進(jìn)程樹獲知��。一些程序進(jìn)程運(yùn)行后���,會調(diào)用其他進(jìn)程來執(zhí)行ー些特定功能�����,這樣就組成了一個(gè)進(jìn)程樹����。進(jìn)程樹是ー個(gè)形象化的比喩,比如一個(gè)進(jìn)程啟動了ー個(gè)程序��,而啟動的這個(gè)進(jìn)程就是原來那個(gè)進(jìn)程的子進(jìn)程�����,依此形成的一種樹形的結(jié)構(gòu)�。例如,在Windows XP的“運(yùn)行”對話框中輸入“cmd”啟動命令行控制臺��,然后在命令行中輸入“not印ad”啟動記事本?���,F(xiàn)在,命令行控制臺進(jìn)程“cmd. exe”和記事本進(jìn)程“notepad, exe”就組成了一個(gè)進(jìn)程樹,其中“notepad,exe”進(jìn)程是由“ cmd. exe”進(jìn)程創(chuàng)建的����,前者稱為子進(jìn)程,后者稱為父進(jìn)程�����。一般的情況下,從當(dāng)前要創(chuàng)建的進(jìn)程與其祖先進(jìn)程之間的關(guān)系����,能夠發(fā)現(xiàn)ー些不正常的現(xiàn)象。例如 WMI (Windows Management Instrumentation, Windows 管理規(guī)范)在正常使用情況下不應(yīng)該創(chuàng)建ftp進(jìn)程�,如果畫I創(chuàng)建ftp進(jìn)程,通常是黑客經(jīng)由端ロ 135入侵之后��,下載后門程序的動作����。也就是說�,在某端ロ開啟的情況下,黑客經(jīng)常被利用于進(jìn)行遠(yuǎn)程入侵的進(jìn)程及其祖先進(jìn)程����,是可以預(yù)先統(tǒng)計(jì)出來的,這樣�,具體在判斷一個(gè)進(jìn)程創(chuàng)建過程是否正常時(shí),就可以與預(yù)先統(tǒng)計(jì)的結(jié)果進(jìn)行比對����,首先判斷該進(jìn)程的祖先進(jìn)程中是否存在當(dāng)所述端ロ開放時(shí)常被利用于遠(yuǎn)程入侵的進(jìn)程����,如果不存在�,則該進(jìn)程創(chuàng)建過程一般可以被認(rèn)為是正常的;否則�,如果存在,則可以進(jìn)ー步判斷當(dāng)前要創(chuàng)建的進(jìn)程是否為當(dāng)前的端ロ開放時(shí)常被利用于遠(yuǎn)程入侵的進(jìn)程��,如果不是����,則可以認(rèn)為該進(jìn)程創(chuàng)建過程是正常的,否貝1J�����,如果是�,就可以將當(dāng)前的進(jìn)程創(chuàng)建過程判定為黑客的遠(yuǎn)程入侵行為產(chǎn)生的。當(dāng)然���,在實(shí)際應(yīng)用中�,在開啟某端ロ的情況下��,可能并不是所有的進(jìn)程都會被黑客用于遠(yuǎn)程入侵,而只有ー些特定的進(jìn)程才會被黑客利用��,因此����,在具體對進(jìn)程創(chuàng)建進(jìn)行監(jiān)控吋,也可以僅在監(jiān)控到創(chuàng)建ー些特定的進(jìn)程創(chuàng)建請求吋�����,才進(jìn)行攔截�����,并進(jìn)ー步檢查該進(jìn)程創(chuàng)建操作是否正常�����。例如���,如果系統(tǒng)產(chǎn)生ー個(gè)新的ftp進(jìn)程創(chuàng)建請求,就可以檢查ftp的祖先進(jìn)程是否有WMI�����,并且端ロ 135為開啟狀態(tài),如果是��,則可以認(rèn)為該創(chuàng)建ftp進(jìn)程的請求是不正常的��,可能是黑客遠(yuǎn)程入侵的行為��。此外��,在具體實(shí)現(xiàn)時(shí)�,針對ー些特殊情況,如果僅判斷當(dāng)前要創(chuàng)建的進(jìn)程及其祖先進(jìn)程之間的關(guān)系��,來判斷當(dāng)前的進(jìn)程創(chuàng)建請求是否正常�����,可能會出現(xiàn)誤判的情況���。例如��,Sqlserver創(chuàng)建cmd進(jìn)程,可能是ー個(gè)正常的操作,但也可能是ー個(gè)被入侵的危險(xiǎn)訊號,此時(shí)��,就無法直接用前述方法進(jìn)行判定���。但是經(jīng)過判斷sqlserver發(fā)送給cmd的命令行參數(shù)����,可以判定這是ー個(gè)正常的創(chuàng)建��,或是異常的創(chuàng)建�。比方說sqlserver創(chuàng)建ー個(gè)cmd進(jìn)程,命令行參數(shù)為“wmiccpu get processrid”,則這是一個(gè)正常的情況���。然而若sqlserver創(chuàng)建ー個(gè)cmd進(jìn)程,命令行參數(shù)為“ftp ip地址\木馬.exe”,則這就是ー個(gè)異常的情況���。也就是說,在判斷出一個(gè)進(jìn)程或者其祖先進(jìn)程是經(jīng)常被用于遠(yuǎn)程入侵的進(jìn)程之后��,可以進(jìn)一歩判斷進(jìn)程中的命令行參數(shù)��,來進(jìn)ー步確定當(dāng)前的進(jìn)程創(chuàng)建請求是否正常����,從而進(jìn)一歩判斷當(dāng)前是否存在遠(yuǎn)程入侵計(jì)算機(jī)的行為。其中�,命令行參數(shù)是進(jìn)程的運(yùn)行參數(shù)中的ー種,并且��,在實(shí)際應(yīng)用中�,命令行參數(shù)只是ー個(gè)舉例,除此之外���,還可以獲取進(jìn)程關(guān)系中的其他運(yùn)行參數(shù)作為可供參考的資料��,例如祖先進(jìn)程對應(yīng)程序的版本號(對于當(dāng)前要創(chuàng)建的進(jìn)程及其祖先進(jìn)程����,在ー些版本的程序中可能是正常的����,但在另ー些版本中可能是不正常的)、進(jìn)程創(chuàng)建過程中的安裝路徑(例如���,在創(chuàng)建cmd進(jìn)程吋����,正常的安裝路徑通常是在系統(tǒng)盤下���,如果是系統(tǒng)盤以外的其他路徑���,則可能是不正常的)、祖先進(jìn)程(sqlserver)的命令行參數(shù)等���,協(xié)助進(jìn)行判斷����。 具體實(shí)現(xiàn)時(shí),為了避免過多地占用用戶的本地計(jì)算機(jī)資源����,可以收集常見的進(jìn)程運(yùn)行參數(shù),保存在云后臺�,并且不斷更新調(diào)整,客戶端在收集到進(jìn)程的運(yùn)行參數(shù)之后�,上傳給云后臺,在云后臺進(jìn)行具體的檢查及判斷工作��,以減少誤報(bào)�����。需要說明的是����,在具體實(shí)現(xiàn)時(shí),単獨(dú)根據(jù)進(jìn)程的各種運(yùn)行參數(shù)來判斷當(dāng)前的進(jìn)程創(chuàng)建請求是否正常���,或者首先判斷各種運(yùn)行參數(shù)是否正常��,如果不正常���,再判斷進(jìn)程或祖先進(jìn)程是否為常被用于遠(yuǎn)程入侵的進(jìn)程,從而來綜合判定當(dāng)前的進(jìn)程創(chuàng)建請求是否正常���,都是可以的��,這里不再進(jìn)行詳述��。S104 :如果所述進(jìn)程創(chuàng)建請求不正常�����,則將該進(jìn)程創(chuàng)建請求確定為遠(yuǎn)程入侵計(jì)算機(jī)的行為���。如果發(fā)現(xiàn)進(jìn)程創(chuàng)建請求存在不正常的情況,則將當(dāng)前的進(jìn)程創(chuàng)建請求判定為遠(yuǎn)程入侵的行為��。進(jìn)一歩地��,就可以直接阻止當(dāng)前進(jìn)程的創(chuàng)建操作�,或者,為了進(jìn)一歩避免誤判���,可以首先向用戶發(fā)出報(bào)警�,由用戶進(jìn)一歩判斷當(dāng)前的進(jìn)程創(chuàng)建請求是否正常,如果用戶選擇阻止�,再阻止當(dāng)前的進(jìn)程創(chuàng)建操作,否則�����,用戶選擇允許��,則允許進(jìn)程創(chuàng)建操作的執(zhí)行�����,也即將攔截的請求放行�����,允許其繼續(xù)執(zhí)行即可��。當(dāng)然�,如果發(fā)現(xiàn)進(jìn)程創(chuàng)建請求是正常的,同樣可以將其放行����,進(jìn)行正常的進(jìn)程創(chuàng)建即可�?���?傊?�,在本發(fā)明實(shí)施例中�����,通過對進(jìn)程創(chuàng)建請求進(jìn)行攔截及分析��,如果發(fā)現(xiàn)不正常的情況���,就可以將該進(jìn)程創(chuàng)建請求看作是黑客入侵行為����,進(jìn)而就可以采取相應(yīng)的措施�,以防止用戶的計(jì)算機(jī)收到侵害?��?梢?����,只要預(yù)先統(tǒng)計(jì)了在正?����;虿徽G闆r下���,開放各個(gè)端ロ吋����,將要創(chuàng)建的進(jìn)程與其祖先進(jìn)程之間的關(guān)系�����,就可以判斷出當(dāng)前的進(jìn)程創(chuàng)建請求是否正常����,進(jìn)而避免黑客通過這些端ロ入侵并對用戶的計(jì)算機(jī)造成危害。在此過程中��,不需要用戶的干預(yù)�����,雖然也需要統(tǒng)計(jì)ー些信息,但是相對于防火墻使用的白名單或黑名單而言��,其數(shù)量級要小得多���,不至于導(dǎo)致膨脹過大的現(xiàn)象發(fā)生��。與本發(fā)明實(shí)施例提供的檢測遠(yuǎn)程入侵計(jì)算機(jī)行為的方法相對應(yīng)�,本發(fā)明實(shí)施例還提供了一種檢測遠(yuǎn)程入侵計(jì)算機(jī)行為的系統(tǒng)���,參見圖2,該系統(tǒng)包括監(jiān)控單元201�����,用于對系統(tǒng)中的進(jìn)程創(chuàng)建事件進(jìn)行監(jiān)控���;
攔截單元202����,用于當(dāng)監(jiān)控到創(chuàng)建某進(jìn)程的請求時(shí)����,攔截該進(jìn)程創(chuàng)建請求;分析単元203,用于通過分析該進(jìn)程�����、該進(jìn)程的祖先進(jìn)程��,以及當(dāng)前開放的端ロ�����,判斷該進(jìn)程創(chuàng)建操作是否正常����;確定單元204,用于如果所述進(jìn)程創(chuàng)建請求不正常�����,則將該進(jìn)程創(chuàng)建請求確定為遠(yuǎn)程入侵計(jì)算機(jī)的行為��。其中���,如果所述進(jìn)程創(chuàng)建操作不正常�,則該系統(tǒng)還包括
第一處理單元����,用于阻止進(jìn)程創(chuàng)建操作的執(zhí)行�;或者�,第二處理單元,用于向發(fā)出異常報(bào)警���,根據(jù)用戶的選擇操作�,阻止或允許進(jìn)程創(chuàng)建操作的執(zhí)行�����。如果所述進(jìn)程創(chuàng)建請求正常��,則該系統(tǒng)還包括第三處理單元���,用于允許創(chuàng)建操作的執(zhí)行。具體實(shí)現(xiàn)時(shí)�,分析單元203具體可以包括第一判斷子単元,用于判斷該進(jìn)程的祖先進(jìn)程中是否存在當(dāng)所述端ロ開放時(shí)常被利用于遠(yuǎn)程入侵的進(jìn)程�;第二判斷子単元,用于如果所述第一判斷子単元的判斷結(jié)果為是�����,則判斷該進(jìn)程是否為當(dāng)所述端ロ開放時(shí)常被利用于遠(yuǎn)程入侵的進(jìn)程;確定子単元��,用于如果所述第二判斷子単元的判斷結(jié)果為是��,則判定所述進(jìn)程創(chuàng)建請求不正常��。為了降低誤判的可能���,分析単元203還可以包括第三判斷子単元����,用于判斷該進(jìn)程和/或其祖先進(jìn)程的運(yùn)行參數(shù)是否正常����,如果不正常,則所述確定子単元判定所述進(jìn)程創(chuàng)建請求不正常���?����?傊?���,在本發(fā)明實(shí)施例提供的系統(tǒng)中,通過對進(jìn)程創(chuàng)建請求進(jìn)行攔截及分析����,如果發(fā)現(xiàn)不正常的情況,就可以將該進(jìn)程創(chuàng)建請求看作是黑客入侵行為���,進(jìn)而就可以采取相應(yīng)的措施����,以防止用戶的計(jì)算機(jī)收到侵害��?��?梢?�,只要預(yù)先統(tǒng)計(jì)了在正?���;虿徽G闆r下����,開放各個(gè)端ロ吋���,將要創(chuàng)建的進(jìn)程與其祖先進(jìn)程之間的關(guān)系���,就可以判斷出當(dāng)前的進(jìn)程創(chuàng)建請求是否正常�,進(jìn)而避免黑客通過這些端ロ入侵并對用戶的計(jì)算機(jī)造成危害���。在此過程中�����,不需要用戶的干預(yù)�����,雖然也需要統(tǒng)計(jì)ー些信息�����,但是相對于防火墻使用的白名單或黑名單而言���,其數(shù)量級要小得多,不至于導(dǎo)致膨脹過大的現(xiàn)象發(fā)生��。通過以上的實(shí)施方式的描述可知���,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺的方式來實(shí)現(xiàn)�。基于這樣的理解���,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來�,該計(jì)算機(jī)軟件產(chǎn)品可以存儲在存儲介質(zhì)中��,如R0M/RAM���、磁碟�����、光盤等�����,包括若干指令用以使得一臺計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)����,服務(wù)器�,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法���。本說明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述����,各個(gè)實(shí)施例之間相同相似的部分互相參見即可,每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處�。尤其,對于裝置或系統(tǒng)實(shí)施例而言��,由于其基本相似于方法實(shí)施例�,所以描述得比較簡單,相關(guān)之處參見方法實(shí)施例的部分說明即可����。以上所描述的裝置及系統(tǒng)實(shí)施例僅僅是示意性的,其中所述作為分離部件說明的単元可以是或者也可以不是物理上分開的��,作為單元顯示的部件可以是或者也可以不是物理単元�,即可以位于ー個(gè)地方,或者也可以分布到多個(gè)網(wǎng)絡(luò)単元上�����?���?梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本實(shí)施例方案的目的��。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下����,即可以理解并實(shí)施��。以上對本發(fā)明所提供的一種檢測遠(yuǎn)程入侵計(jì)算機(jī)行為的方法及系統(tǒng)���,進(jìn)行了詳細(xì)介紹�����,本文中應(yīng)用了具體個(gè)例對本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述�����,以上實(shí)施例的說明
只是用于幫助理解本發(fā)明的方法及其核心思想��;同時(shí)��,對于本領(lǐng)域的一般技術(shù)人員�����,依據(jù)本發(fā)明的思想���,在具體實(shí)施方式
及應(yīng)用范圍上均會有改變之處。綜上所述��,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制�。
權(quán)利要求
1.一種檢測遠(yuǎn)程入侵計(jì)算機(jī)行為的方法,其特征在于����,包括 對系統(tǒng)中的進(jìn)程創(chuàng)建事件進(jìn)行監(jiān)控; 當(dāng)監(jiān)控到創(chuàng)建某進(jìn)程的請求時(shí)�����,攔截該進(jìn)程創(chuàng)建請求���; 通過分析該進(jìn)程�����、該進(jìn)程的祖先進(jìn)程�����,以及當(dāng)前開放的端ロ����,判斷該進(jìn)程創(chuàng)建操作是否正常; 如果所述進(jìn)程創(chuàng)建請求不正常���,則將該進(jìn)程創(chuàng)建請求確定為遠(yuǎn)程入侵計(jì)算機(jī)的行為�。
2.根據(jù)權(quán)利要求I所述的方法��,其特征在于�����,如果所述進(jìn)程創(chuàng)建操作不正常����,則還包括 阻止進(jìn)程創(chuàng)建操作的執(zhí)行; 或者���, 向發(fā)出異常報(bào)警���,根據(jù)用戶的選擇操作,阻止或允許進(jìn)程創(chuàng)建操作的執(zhí)行��。
3.根據(jù)權(quán)利要求I所述的方法,其特征在于���,如果所述進(jìn)程創(chuàng)建請求正常��,則還包括 允許創(chuàng)建操作的執(zhí)行���。
4.根據(jù)權(quán)利要求I至3任一項(xiàng)所述的方法����,其特征在于,所述通過分析該進(jìn)程���、該進(jìn)程的祖先進(jìn)程�����,以及當(dāng)前開放的端ロ����,判斷該進(jìn)程創(chuàng)建請求是否正常包括 判斷該進(jìn)程的祖先進(jìn)程中是否存在當(dāng)所述端ロ開放時(shí)常被利用于遠(yuǎn)程入侵的進(jìn)程���; 如果是���,則判斷該進(jìn)程是否為當(dāng)所述端ロ開放時(shí)常被利用于遠(yuǎn)程入侵的進(jìn)程���; 如果是,則判定所述進(jìn)程創(chuàng)建請求不正常����。
5.根據(jù)權(quán)利要求4所述的方法,其特征在干�����,在所述判定所述進(jìn)程創(chuàng)建請求不正常之前還包括 判斷該進(jìn)程和/或其祖先進(jìn)程的運(yùn)行參數(shù)是否正常��,如果不正常�����,則判定所述進(jìn)程創(chuàng)建請求不正常���。
6.一種檢測遠(yuǎn)程入侵計(jì)算機(jī)行為的系統(tǒng)����,其特征在于����,包括 監(jiān)控單元���,用于對系統(tǒng)中的進(jìn)程創(chuàng)建事件進(jìn)行監(jiān)控; 攔截單元����,用于當(dāng)監(jiān)控到創(chuàng)建某進(jìn)程的請求時(shí),攔截該進(jìn)程創(chuàng)建請求�; 分析単元,用于通過分析該進(jìn)程���、該進(jìn)程的祖先進(jìn)程,以及當(dāng)前開放的端ロ����,判斷該進(jìn)程創(chuàng)建操作是否正常; 確定單元��,用于如果所述進(jìn)程創(chuàng)建請求不正常����,則將該進(jìn)程創(chuàng)建請求確定為遠(yuǎn)程入侵計(jì)算機(jī)的行為。
7.根據(jù)權(quán)利要求6所述的系統(tǒng)�,其特征在干��,如果所述進(jìn)程創(chuàng)建操作不正常���,則還包括 第一處理單元,用于阻止進(jìn)程創(chuàng)建操作的執(zhí)行����; 或者, 第二處理單元��,用于向發(fā)出異常報(bào)警����,根據(jù)用戶的選擇操作,阻止或允許進(jìn)程創(chuàng)建操作的執(zhí)行���。
8.根據(jù)權(quán)利要求6所述的系統(tǒng)���,其特征在于,如果所述進(jìn)程創(chuàng)建請求正常��,則還包括 第三處理單元���,用于允許創(chuàng)建操作的執(zhí)行�。
9.根據(jù)權(quán)利要求6至8任一項(xiàng)所述的系統(tǒng),其特征在于����,所述分析単元包括 第一判斷子単元,用于判斷該進(jìn)程的祖先進(jìn)程中是否存在當(dāng)所述端ロ開放時(shí)常被利用于遠(yuǎn)程入侵的進(jìn)程�����; 第二判斷子単元����,用于如果所述第一判斷子単元的判斷結(jié)果為是,則判斷該進(jìn)程是否為當(dāng)所述端ロ開放時(shí)常被利用于遠(yuǎn)程入侵的進(jìn)程�; 確定子単元,用于如果所述第二判斷子単元的判斷結(jié)果為是�����,則判定所述進(jìn)程創(chuàng)建請求不正常����。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)��,其特征在于�,還包括 第三判斷子単元����,用于判斷該進(jìn)程和/或其祖先進(jìn)程的運(yùn)行參數(shù)是否正常���,如果不正常�,則所述確定子単元判定所述進(jìn)程創(chuàng)建請求不正常���。
全文摘要
本發(fā)明公開了一種檢測遠(yuǎn)程入侵計(jì)算機(jī)行為的方法及系統(tǒng)�,其中�,所述方法包括對系統(tǒng)中的進(jìn)程創(chuàng)建事件進(jìn)行監(jiān)控;當(dāng)監(jiān)控到創(chuàng)建某進(jìn)程的請求時(shí)��,攔截該進(jìn)程創(chuàng)建請求�;通過分析該進(jìn)程、該進(jìn)程的祖先進(jìn)程���,以及當(dāng)前開放的端口�����,判斷該進(jìn)程創(chuàng)建操作是否正常�����;如果所述進(jìn)程創(chuàng)建請求不正常����,則將該進(jìn)程創(chuàng)建請求確定為遠(yuǎn)程入侵計(jì)算機(jī)的行為。通過本發(fā)明�����,能夠在不需要用戶干預(yù)的情況下進(jìn)程遠(yuǎn)程入侵行為的檢測����,并且不至于使得保存的數(shù)據(jù)膨脹過大。
文檔編號G06F21/00GK102663274SQ20121002631
公開日2012年9月12日 申請日期2012年2月7日 優(yōu)先權(quán)日2012年2月7日
發(fā)明者張曉霖, 范紀(jì)鍠, 路健華, 鄭文彬 申請人:奇智軟件(北京)有限公司