CN111931177B - 信息处理方法、装置、电子设备和计算机存储介质 - Google Patents
信息处理方法、装置、电子设备和计算机存储介质 Download PDFInfo
- Publication number
- CN111931177B CN111931177B CN202010687244.7A CN202010687244A CN111931177B CN 111931177 B CN111931177 B CN 111931177B CN 202010687244 A CN202010687244 A CN 202010687244A CN 111931177 B CN111931177 B CN 111931177B
- Authority
- CN
- China
- Prior art keywords
- attribute information
- information
- target process
- cache data
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 41
- 238000003672 processing method Methods 0.000 title claims abstract description 29
- 238000000034 method Methods 0.000 claims abstract description 413
- 230000008569 process Effects 0.000 claims abstract description 386
- 230000002159 abnormal effect Effects 0.000 claims abstract description 40
- 238000012098 association analyses Methods 0.000 claims abstract description 19
- 238000012545 processing Methods 0.000 claims description 29
- 238000012544 monitoring process Methods 0.000 claims description 24
- 230000006399 behavior Effects 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 8
- 230000014509 gene expression Effects 0.000 claims description 3
- 238000011112 process operation Methods 0.000 description 17
- 230000006870 function Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 3
- KLDZYURQCUYZBL-UHFFFAOYSA-N 2-[3-[(2-hydroxyphenyl)methylideneamino]propyliminomethyl]phenol Chemical compound OC1=CC=CC=C1C=NCCCN=CC1=CC=CC=C1O KLDZYURQCUYZBL-UHFFFAOYSA-N 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000010367 cloning Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 201000001098 delayed sleep phase syndrome Diseases 0.000 description 2
- 208000033921 delayed sleep phase type circadian rhythm sleep disease Diseases 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请实施例提供了一种信息处理方法、装置、电子设备和计算机存储介质,该方法包括:获取目标进程的第一属性信息,所述第一属性信息用于表征所述目标进程是否为异常进程;在根据所述第一属性信息确定所述目标进程为异常进程时,获取与所述第一属性信息对应的第二属性信息;所述第二属性信息用于实现所述目标进程的安全关联分析;将所述第一属性信息和所述第二属性信息写入至缓存数据中。
Description
技术领域
本申请涉及信息安全领域,尤其涉及一种信息处理方法、装置、电子设备和计算机存储介质。
背景技术
在相关技术中,基于用户操作行为分析的进程行为检测方案,需要在物理机(Physical machine,PM)上安装特定的驱动模块,对用户的操作行为进行审计分析。在进行审计分析过程中,需要遍历proc文件***获取进程信息,而proc文件***存在于物理机的***内存中,在进程行为监测过程中占用了过多的内存资源。
发明内容
本申请主要提供一种信息处理方法、装置、电子设备和计算机存储介质,可以解决进程行为监测占用了过多的内存资源的问题。
本申请提供了一种信息处理方法,包括:
获取目标进程的第一属性信息,所述第一属性信息用于表征所述目标进程是否为异常进程;
在根据所述第一属性信息确定所述目标进程为异常进程时,获取与所述第一属性信息对应的第二属性信息;所述第二属性信息用于实现所述目标进程的安全关联分析;
将所述第一属性信息和所述第二属性信息写入至缓存数据中。
在一种实现方式中,所述将所述第一属性信息和所述第二属性信息写入至缓存数据中,包括:
在所述缓存数据中不存在与所述第一属性信息对应的第二属性信息时,将所述第一属性信息和所述第二属性信息写入至所述缓存数据中。
在一种实现方式中,所述第二属性信息包括进程时间信息,所述进程时间信息表示所述目标进程的进程启动时间;所述将所述第一属性信息和所述第二属性信息写入至缓存数据中,包括:
在所述缓存数据中存在与所述第一属性信息对应的第三属性信息,且所述第三属性信息与所述第二属性信息包含的进程时间信息不一致时,将所述缓存数据中的第三属性信息更新为所述第二属性信息;其中,所述第二属性信息与所述第三属性信息属于同一种属性信息。
在一种实现方式中,所述将所述第一属性信息和所述第二属性信息写入至缓存数据中,包括:
对所述第一属性信息和所述第二属性信息进行哈希运算,得到所述第一属性信息的哈希值和所述第二属性信息的哈希值;根据所述第一属性信息的哈希值和所述第二属性信息的哈希值,通过哈希存储方式将所述第一属性信息和所述第二属性信息写入至缓存数据中。
在一种实现方式中,所述方法还包括:
接收访问请求信息,所述访问请求信息中携带有所述目标进程的第一属性信息;
根据所述访问请求信息中的所述第一属性信息从所述缓存数据中读取与所述第一属性信息对应的第二属性信息。
本申请提供了一种信息处理的装置,包括:
监测模块,用于获取目标进程的第一属性信息,所述第一属性信息用于表征所述目标进程是否为异常进程;
第一处理模块,用于在根据所述第一属性信息确定所述目标进程为异常进程时,获取与所述第一属性信息对应的第二属性信息;所述第二属性信息用于实现所述目标进程的安全关联分析;
第二处理模块,用于将所述第一属性信息和所述第二属性信息写入至缓存数据中。
在一种实现方式中,所述第二处理模块具体用于:在所述缓存数据中不存在与所述第一属性信息对应的第二属性信息时,将所述第一属性信息和所述第二属性信息写入至所述缓存数据中。
在一种实现方式中,所述第二属性信息包括进程时间信息,所述进程时间信息表示所述目标进程的进程启动时间;所述第二处理模块具体用于:
在所述缓存数据中存在与所述第一属性信息对应的第三属性信息,且所述第三属性信息中的进程时间信息与所述第二属性信息中的进程时间信息不一致时,将所述第一属性信息写入所述缓存数据中,并将所述缓存数据中的第三属性信息更新为所述第二属性信息;其中,所述第三属性信息与所述第二属性信息的类型相同。
本申请实施例提供一种电子设备,所述电子设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现前述一个或多个技术方案提供的信息处理方法。
本申请实施例提供一种计算机存储介质,所述计算机存储介质存储有计算机程序;所述计算机程序被执行后能够实现前述一个或多个技术方案提供的信息处理方法。
本申请的信息处理方法,在根据目标进程的第一属性信息确定目标进程为异常进程时,获取与该目标进程的第一属性信息对应的第二属性信息,该第二属性信息用于实现该目标进程的安全关联分析。将该第一属性信息和第二属性信息写入至缓存数据中,当需要获取异常进程的进程信息时,可以从缓存数据中读取相应的进程信息,从而,可以降低进程监测过程对于内存资源的占用。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,而非限制本申请。
附图说明
图1为本申请实施例提供的一种信息处理方法的应用场景图;
图2为本申请实施例提供的一种信息处理方法的示意性流程图;
图3为本申请实施例提供的另一种信息处理方法的示意性流程图;
图4为本申请实施例提供的又一种信息处理方法的示意性流程图;
图5为本申请实施例提供的一种信息处理方法的示意***互图;
图6为本申请实施例提供的一种信息处理的装置的结构示意图;
图7为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所提供的实施例仅仅用以解释本申请,并不用于限定本申请。另外,以下所提供的实施例是用于实施本申请的部分实施例,而非提供实施本申请的全部实施例,在不冲突的情况下,本申请实施例记载的技术方案可以任意组合的方式实施。
需要说明的是,在本申请实施例中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的方法或者装置不仅包括所明确记载的要素,而且还包括没有明确列出的其他要素,或者是还包括为实施方法或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括该要素的方法或者装置中还存在另外的相关要素(例如方法中的步骤或者装置中的单元,例如的单元可以是部分电路、部分处理器、部分程序或软件等等)。
例如,本申请实施例提供的信息处理方法包含了一系列的步骤,但是本申请实施例提供的信息处理方法不限于所记载的步骤,同样地,本申请实施例提供的信息处理装置包括了一系列模块,但是本申请实施例提供的装置不限于包括所明确记载的模块,还可以包括为获取相关信息、或基于信息进行处理时所需要设置的模块。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
图1为本申请实施例提供的一种信息处理方法的应用场景图。如图1所示,物理机101是相对于云平台上虚拟机而言的对实体计算机的称呼,物理机可以提供给虚拟机一定的硬件环境,有时也称为“寄主机”或“宿主机”。云平台102也称为云计算平台,是指基于硬件资源和软件资源的服务平台,可以提供计算、网络和存储能力,云平台可以划分为三类:以数据存储为主的存储型云平台,以数据处理为主的计算型云平台以及计算和数据存储处理兼顾的综合云计算平台。
本申请实施例可以应用于物理机101和/或云平台102组成的计算机***中,并可以与众多其它通用或专用计算***环境或配置一起操作。这里,物理机101可以是瘦客户机、厚客户机、手持或膝上设备、基于微处理器的***、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机***,等等,云平台可以基于云计算技术实现。
物理机101、云平台102等可以在由计算机***执行的计算机***可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,执行特定的任务或者实现特定的抽象数据类型。云平台可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算***存储介质上。
本申请实施例中,物理机101可以进行进程监测,在根据目标进程的部分进程信息确定目标进程为异常进程时,将目标进程的属性信息写入至缓存数据中,这里,目标进程的属性信息可以包括用于识别目标进程是否为异常进程的属性信息,还可以包括用于对目标进程进行安全关联分析的属性信息。
在一些实施例中,物理机101可以将上述目标进程的属性信息发送至云平台102,云平台102可以基于目标进程的属性信息,进行安全关联分析。
在一些实施例中,云平台102可以用于实现物理机的安全保护,例如,通过网络协议与部署于物理机内部的代理(Agent)应用程序进行通信交互,对运行于物理机的进程进行实时的进程监测,根据进程监测结果向物理机下发安全策略,从而达到收集进程信息、下发安全策略等安全防护效果。
在一些实施例中,物理机101和云平台102可以运行windows、linux、unix等操作***。
基于上述记载的应用场景,以下,对本申请的信息处理方法进行详细说明。
图2为本申请实施例提供的一种信息处理方法的示意性流程图,如图2所示,该流程可以包括:
步骤S201:获取目标进程的第一属性信息,目标进程的第一属性信息用于表征目标进程是否为异常进程。
这里,目标进程可以是需要进行进程监测的进程,或者,进程行为变更的进程。在一种实施方式中,当目标进程为进程行为变更的进程时,进程行为变更可以是以下进程操作中的任意一项:克隆(fork)进程操作、创建(exec)进程操作、退出(exit)进程操作、提权进程操作、销毁进程操作。
其中,fork进程操作表示进程的克隆行为,exec进程操作表示进程的创建行为,exit进程操作表示进程的退出行为,提权进程操作表示进程的提权行为,销毁进程操作表示进程的销毁行为。
在一种实施方式中,当目标进程对应的进程操作为fork进程操作时,目标进程所调用的函数为fork函数;当目标进程对应的进程操作为exec进程操作时,目标进程所调用的函数为exec函数;当目标进程对应的进程操作为exit进程操作时,目标进程所调用的函数为exit函数。
在实际应用中,可以采用GDB(GNU Project Debugger)调试器、或者逆向静态分析工具获取被监测进程的函数调用轨迹,根据调用的不同函数类型识别某一类型的进程是否属于目标进程。
这里,GNU是一个自由的操作***,其名称来自“GNU is Not Unix”的递归缩写。
在一些实施例中,目标进程的第一属性信息可以包括以下属性信息中的任一项:目标进程的进程参数、目标进程的标识信息、目标进程的进程路径。
应理解,目标进程的标识信息也可以为目标进程的进程名称、目标进程的身份标识(Identity document,ID)或其它标识信息,本申请实施例对此不作限定。
在一些实施例中,目标进程的进程参数可以包括目标进程的启动参数、目标进程的进程类型,其中,目标进程的启动参数可以是目标进程的命令行参数;目标进程的进程路径可以是目标进程的文件地址或者目标进程的运行路径;目标进程的运行路径可以为目标进程的当前工作目录。
在一种实施方式中,目标进程的进程参数可以是目录/proc/pid/cmdline对应的目标进程的命令行参数;目标进程的进程路径可以是目录/proc/pid/exe对应的目标进程的二进制文件地址,或者,目录/proc/pid/cwd对应的目标进程的当前工作目录。
在一些实施例中,步骤S201中,获取目标进程的第一属性信息的实现方式可以是:获取目标进程的标识信息,根据目标进程的标识信息从内存数据中获取目标进程的第一属性信息。
在一种实施方式中,在对目标进程类型的进程进行检测时,可以采用Linux内核中的Netlink套接字接口,开启与Netlink套接字接口对应的进程事件报告开关,以监测物理机中目标进程。
这里,Netlink套接字是用以实现用户进程与内核进程通信的一种特殊的进程间通信(Inter-Process Communication,IPC),可以通过Netlink套接字通信方式与物理机的内核进程进行通信,以获取运行于物理机的目标进程的进程信息。
在一种实施方式中,可以根据目标进程的标识信息从proc文件***中读取目录/proc/pid/cmdline、目录/proc/pid/exe、目录/proc/pid/cwd中的进程文件,以获取目标进程的第一属性信息。
其中,/proc/pid/cmdline为目标进程的标识信息对应的目标进程的进程参数;/proc/pid/exe为目标进程的标识信息对应的目标进程的二进制文件地址,/proc/pid/cwd为目标进程的标识信息对应的目标进程的当前工作目录。
步骤S202:在根据目标进程的第一属性信息确定目标进程为异常进程时,获取与目标进程的第一属性信息对应的第二属性信息,第二属性信息用于实现目标进程的安全关联分析。
在一些实施例中,目标进程的第二属性信息可以是与目标进程的第一属性信息相关的属性信息,或者,与该目标进程的第一属性信息对应的属性信息,目标进程的第二属性信息可用于实现目标进程的安全关联分析。
在一种实施方式中,目标进程的第二属性信息可以包括以下属性信息中的任一项:目标进程的进程所属组、目标进程的进程所属用户、目标进程的进程启动时间。
应理解,上述第一属性信息与上述第二属性信息同属于上述目标进程的属性信息,与目标进程的标识信息存在对应关系。
在一些实施例中,步骤S202中,根据第一属性信息确定目标进程为异常进程的实现方式可以是:根据第一属性信息、进程黑白名单信息的匹配结果确定目标进程是否为异常进程。
例如,通过红黑树将新获取到的进程信息与预设配置的进程黑白名单进行比对,当目标进程的进程名称不存在于进程黑白名单信息中的白名单时,或者目标进程的进程名称存在于进程黑白名单中的黑名单时,则确定目标进程为异常进程。
应理解,红黑树是一个自平衡二叉查找树,平衡二叉树的最小高度和最大高度的绝对值不超过1,利用红黑树可以缩短字符串的查找时间,进而提高进程信息的查询效率。
在一些实施例中,步骤S202中,获取与第一属性信息对应的第二属性信息的实现方式可以是:根据目标进程的标识信息从proc文件***中读取目标进程的第二属性信息。
步骤S203:将目标进程的第一属性信息和目标进程的第二属性信息写入至缓存数据中。
在一种实施方式中,当需要对异常进程进行安全关联分析时,可以从缓存数据中读取与第一属性信息对应的第二属性信息。这样,减少了对于物理机内存资源的占用,相应地,提高了异常进程监测过程中物理机的可用性。
在一些实施例中,步骤S203中,将目标进程的第一属性信息和第二属性信息写入至缓存数据中的实现方式可以是:在缓存数据中不存在与第一属性信息对应的第二属性信息时,将第二属性信息写入至缓存数据中;或者,在缓存数据中存在与第一属性信息对应的第三属性信息,且第三属性信息与第二属性信息包含的时间信息不一致时,将缓存数据中的第三属性信息更新为第二属性信息。
这里,第二属性信息与第三属性信息属于同一种属性信息,第三属性信息与第二属性信息包含的时间信息可以是目标进程的启动时间。
在实际应用中,目标进程的属性信息的可以以数据结构的形式存储,数据结构是存储数据及数据元素之间的关系的集合,例如,数据结构可以是哈希(HASH)表、红黑树、二叉树等形式,用于在进程行为监测时对目标进程的属性信息进行查询。
在一个示例中,可以采用进程信息HASH表存储目标进程的第一属性信息和第二属性信息,进程信息HASH表可以用于记录异常进程的进程信息。
在一些实施例中,步骤S203中,将第一属性信息和第二属性信息写入至缓存数据中的实现方式可以是:对第一属性信息和第二属性信息进行哈希运算,得到第一属性信息的哈希值和第二属性信息的哈希值;根据第一属性信息的哈希值和第二属性信息的哈希值,通过哈希存储方式将第一属性信息和第二属性信息写入至缓存数据中。
本申请实施例中,将目标进程的第一属性信息和第二属性信息写入至缓存数据中的实现方式可以包括以下步骤:
(1)解析上述目标进程的第一属性信息、目标进程的第二属性信息;
(2)分别对该目标进程的第一属性信息、目标进程的第二属性信息进行HASH运算,得到该目标进程的第一属性信息的HASH值、目标进程的第二属性信息的HASH值;
(3)将目标进程的第一属性信息、目标进程的第二属性信息添加到HASH表对应的HASH项队列中,从而,建立缓存数据中的进程信息HASH表。
在实际应用中,在进程信息HASH表中,每个HASH表项对应一组HASH值相同的进程信息,相同HASH值的进程信息组成队列,映射到对应的HASH表项,从而,提高进程信息的检索速度。
在实际应用中,上述步骤S201至步骤S203均可以由物理机上的处理器实现,上述处理器可以为特定用途集成电路(Application Specific Integrated Circuit,ASIC)、数字信号处理器(Digital Signal Processor,DSP)、数字信号处理装置(Digital SignalProcessing Device,DSPD)、可编程逻辑装置(Programmable Logic Device,PLD)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、中央处理器(Central ProcessingUnit,CPU)、控制器、微控制器、微处理器中的至少一种。
在相关技术中,在对异常进程进行进程监测时,需要遍历proc文件***获取异常进程的进程信息,而proc文件***存在于***内存中,获取异常进程的进程信息的过程中占用了过多的内存资源。
基于上述信息处理方法,本申请在根据目标进程的第一属性信息确定目标进程为异常进程时,获取与该目标进程的第一属性信息对应的第二属性信息,该第二属性信息用于实现该目标进程的安全关联分析。将该第一属性信息和第二属性信息写入至缓存数据中,当需要获取目标进程的进程信息时,可以从缓存数据中读取相应的进程信息,从而,降低进程监测过程对于物理机内存资源的占用,当该方法应用于物理机进程监测时,可以提高物理机内存资源的可用性。
在一些实施例中,步骤S203中,将目标进程的第一属性信息和第二属性信息写入至缓存数据中后,如图3所示,上述信息处理方法还包括以下步骤:
步骤S204:接收访问请求信息,访问请求信息中携带有目标进程的第一属性信息;
在一种实施方式中,该外部请求信息可以是关于目标进程的第二属性信息的访问请求信息,该访问请求信息可以携带目标进程的第一属性信息。
步骤S205:根据访问请求信息中的第一属性信息从缓存数据中读取与目标进程的第一属性信息对应的第二属性信息;
在一种实施方式中,访问请求信息中携带有目标进程的第一属性信息,可以根据该目标进程的第一属性信息从缓存数据中获取与该第一属性信息对应的第二属性信息。
步骤S206:向云平台上报目标进程的第一属性信息和/或目标进程的第二属性信息。
进一步地,当该信息处理方法由运行于物理机上的进程监测***执行时,物理机可以向云平台上报目标进程的第一属性信息和目标进程的第二属性信息,由云平台根据该目标进程的第一属性信息和目标进程的第二属性信息进行安全关联分析,从而识别该进程的潜在威胁信息。云平台可以将安全关联分析的结果反馈至物理机,由物理机执行相应的异常进程处理,从而提高物理机***的安全稳定性。
应理解,在将第一属性信息和第二属性信息写入至缓存数据中的基础上,当需要对异常进程进行安全关联分析时,可以从缓存数据中读取与第一属性信息对应的第二属性信息。这样,减少了对于物理机内存资源的占用,相应地,提高了异常进程监测过程中物理机的可用性。
在实际应用中,步骤S204至步骤S206可以利用信息处理装置中物理机的处理器实现,上述处理器可以为特定用途集成电路、数字信号处理器、数字信号处理装置、可编程逻辑装置、FPGA、中央处理器、控制器、微控制器、微处理器中的至少一种。
图4为本申请实施例提供的另一种信息处理方法的示意性流程图,如图4所示,该流程可以包括:
步骤S401:开启进程事件报告开关;
这里,进程事件报告开关用于触发进程监测或者退出进程监测。在开启进程事件报告开关后,可以采用进程事件连接器(NETLINK_CONNECTOR)对对目标进程进行进程监测。
步骤S402:获取目标进程的标识信息;
在一种实施方式中,可以通过调用GetCurrentProcessId()获取目标进程的标识信息,实现函数可以为DWORDpid=GetCurrentProcessId();其中,pid用于表示目标进程的标识信息。
步骤S403:对目标进程进行分析处理;
在一些实施例中,步骤S403中,对目标进程进行分析处理,包括:步骤S4031:获取目标进程的第一属性信息,目标进程的第一属性信息用于表征目标进程是否为异常进程;步骤S4032:在根据目标进程的第一属性信息确定目标进程为异常进程时,获取与目标进程的第一属性信息对应的第二属性信息;步骤S4033:将目标进程的第一属性信息和目标进程的第二属性信息写入至缓存数据中;步骤S4034,向云平台上报目标进程的第一属性信息和/或目标进程的第二属性信息。
本申请实施例中,步骤S4031至步骤S4033可以参考步骤S201至步骤S203,步骤S4034可以参考步骤S206,为了简洁,此处不再赘述。
在一些实施例中,进程信息HASH表可以用于存储目标进程的属性信息,步骤S403中,对目标进程进行分析处理,具体可以由以下处理过程实现:
(1)根据目标进程的第一属性信息中包含的进程名称匹配进程信息hash表,在进程信息hash表中存在与第一属性信息对应的第二属性信息,且该第二属性信息与第一属性信息包含的时间信息一致时,从进程信息hash表中获取与该第一属性信息对应的第二属性信息;
(2)在进程信息hash表中不存在与第一属性信息对应的第二属性信息时,根据目标进程的标识信息pid从proc文件***中读取目标进程的第二属性信息,该第二属性信息包括以下信息中的任一项:目标进程所属组、目标进程所属用户、目标进程的启动时间信息;然后,将该第一属性信息和与该第一属性信息对应的第二属性信息写入至缓存数据中;
(3)在进程信息hash表中存在与第一属性信息对应的第三进程信息,且第三进程信息与该第二属性信息包含的时间信息不一致时,将该第三进程信息更新为该第二属性信息,从而,实现进程信息hash表的实时更新。
本申请实施例中,在根据目标进程的第一属性信息确定目标进程为异常进程时,获取与该目标进程的第一属性信息对应的第二属性信息,将该第一属性信息和第二属性信息写入至进程信息HASH表中,可以提高异常进程的进程信息的查询效率。
步骤S404:关闭进程事件报告开关。
在一种实施方式中,,可以循环执行上述步骤S403,当不需要继续对目标进程进行进程监测时,可以关闭进程事件报告开关,退出进程监测。
图5为本申请实施例提供的一种信息处理方法的示意***互图,该信息处理方法可以包括:
步骤S501:物理机获取目标进程的第一属性信息,目标进程的第一属性信息用于表征目标进程是否为异常进程。
步骤S502:物理机在根据目标进程的第一属性信息确定目标进程为异常进程时,获取与目标进程的第一属性信息对应的第二属性信息。
步骤S503:物理机将目标进程的第一属性信息和目标进程的第二属性信息写入至缓存数据中。
本申请实施例中,步骤S501至步骤S503可以参考步骤S201至步骤S203,为了简洁,此处不再赘述。
步骤S504:物理机接收访问请求信息,根据访问请求信息中携带的目标进程的第一属性信息,从缓存数据中读取与该第一属性信息对应的第二属性信息。
在一种实施方式中,该访问请求信息可以携带目标进程的第一属性信息,由于目标进程的第一属性信息与目标进程的第二属性信息存在对应关系,进而,物理机可以根据访问请求信息中的第一属性信息从缓存数据中读取与第一属性信息对应的第二属性信息。
步骤S505:向云平台上报目标进程的第一属性信息和/或目标进程的第二属性信息。
在一种实施方式中,物理机在根据第一属性信息确定目标进程为异常进程时,可以向云平台上报目标进程的第一属性信息和/或第二属性信息。
步骤S506:云平台根据目标进程的第一属性信息和/或目标进程的第二属性信息对目标进程进行安全关联分析。
在一种实施方式中,云平台根据第一属性信息和/或第二属性信息对目标进程进行安全关联分析,以识别目标进程相关的潜在威胁信息,该潜在威胁信息可以包括以下信息中的任意一项:目标进程的进程文件存在可疑文件、目标进程的命令行参数存在可疑指令。
在一种实施方式中,云平台可以通过正则表达式匹配目标进程行为的命令行参数,以判断目标进程行为的进程文件是否存在可疑指令。这里,可疑指令可以包括以下指令中的任一项:反弹壳(shell)指令、异常端口转发指令、修改***敏感文件指令。
这里,反弹shell指令为操作***最外面的一层命令行程序,反弹shell指令产生的进程通常会重定向到某个外部设备,使得外部设备获取物理机的控制权,,从而威胁物理机的安全。
在一种实施方式中,云平台根据目标进程文件的md5值、以及对应的文件特征,以判断目标进程行为的进程文件存在可疑文件。
图6为本申请实施例提供的一种信息处理的装置的结构示意图。
基于前述实施例相同的技术构思,参见图6,本申请实施例提供的一种信息处理的装置,可以包括:监测模块610、第一处理模块620和第二处理模块630;其中,
监测模块610,用于获取目标进程的第一属性信息,第一属性信息用于表征目标进程是否为异常进程;
第一处理模块620,用于在根据第一属性信息确定目标进程为异常进程时,获取与第一属性信息对应的第二属性信息;第二属性信息用于实现目标进程的安全关联分析;
第二处理模块630,用于将第一属性信息和第二属性信息写入至缓存数据中。
本申请实施例中,第一处理模块620在根据目标进程的第一属性信息确定目标进程为异常进程时,获取与该目标进程的第一属性信息对应的第二属性信息,该第二属性信息用于实现该目标进程的安全关联分析;第二处理模块630将该第一属性信息和第二属性信息写入至缓存数据中。
基于该信息处理的装置,可以降低进程监测过程对于内存资源的占用。当该信息处理的装置为物理机时,可以降低进程监测过程对于物理机内存资源的占用,相应地,提高了物理机内存资源的可用性。
在一种实现方式中,第二处理模块630具体用于:在缓存数据中不存在与第一属性信息对应的第二属性信息时,将第一属性信息和第二属性信息写入至缓存数据中。
在一种实现方式中,第二属性信息包括进程时间信息,进程时间信息表示目标进程的进程启动时间;第二处理模块630具体用于:在缓存数据中存在与第一属性信息对应的第三属性信息,且第三属性信息中的进程时间信息与第二属性信息中的进程时间信息不一致时,将第一属性信息写入缓存数据中,并将缓存数据中的第三属性信息更新为第二属性信息;其中,第三属性信息与第二属性信息的类型相同。
图7为本申请实施例提供的一种电子设备的结构示意图。
基于前述实施例相同的技术构思,参见图7,本申请实施例提供的一种电子设备700,可以包括:存储器701和处理器702;其中,
存储器701,用于存储计算机程序和数据;
处理器702,用于执行存储器中存储的计算机程序,以实现前述实施例中的任意一种信息处理方法。
在实际应用中,上述存储器701可以是易失性存储器(volatile memory),例如RAM;或者非易失性存储器(non-volatile memory),例如ROM,快闪存储器(flash memory),硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid-State Drive,SSD);或者上述种类的存储器的组合,并向处理器702提供指令和数据。
上述处理器702可以为ASIC、DSP、DSPD、PLD、FPGA、CPU、控制器、微控制器、微处理器中的至少一种。可以理解地,对于不同的电子设备,用于实现上述处理器功能的电子器件还可以为其它,本申请实施例不作具体限定。
在一些实施例中,本申请实施例提供的装置具有的功能或包含的模块可以用于执行上文方法实施例描述的方法,其具体实现可以参照上文方法实施例的描述,为了简洁,这里不再赘述。
上文对各个实施例的描述倾向于强调各个实施例之间的不同之处,其相同或相似之处可以互相参考,为了简洁,本文不再赘述
本申请所提供的各方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的各产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的各方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个***,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种信息处理方法,其特征在于,所述方法包括:
获取目标进程的第一属性信息,所述第一属性信息用于表征所述目标进程是否为异常进程;
在根据所述第一属性信息确定所述目标进程为异常进程时,获取与所述第一属性信息对应的第二属性信息;
将所述第一属性信息和所述第二属性信息写入至缓存数据中,向云平台上报所述第一属性信息和/或所述第二属性信息,以供所述云平台根据所述第一属性信息和/或所述第二属性信息对所述目标进程进行安全关联分析,以识别所述目标进程相关的潜在威胁信息;
其中,所述识别所述目标进程相关的潜在威胁信息,包括以下之一:
所述云平台通过正则表达式匹配目标进程行为的命令行参数,判断所述目标进程行为的进程文件是否存在可疑指令;
所述云平台根据目标进程文件的md5值、以及对应的文件特征,判断所述目标进程行为的进程文件是否存在可疑文件。
2.根据权利要求1所述的方法,其特征在于,所述将所述第一属性信息和所述第二属性信息写入至缓存数据中,包括:
在所述缓存数据中不存在与所述第一属性信息对应的第二属性信息时,将所述第一属性信息和所述第二属性信息写入至所述缓存数据中。
3.根据权利要求1所述的方法,其特征在于,所述第二属性信息包括进程时间信息,所述进程时间信息表示所述目标进程的进程启动时间;
所述将所述第一属性信息和所述第二属性信息写入至缓存数据中,包括:
在所述缓存数据中存在与所述第一属性信息对应的第三属性信息,且所述第三属性信息中的进程时间信息与所述第二属性信息中的进程时间信息不一致时,将所述第一属性信息写入所述缓存数据中,并将所述缓存数据中的第三属性信息更新为所述第二属性信息;其中,所述第三属性信息与所述第二属性信息的类型相同。
4.根据权利要求1所述的方法,其特征在于,所述将所述第一属性信息和所述第二属性信息写入至缓存数据中,包括:
对所述第一属性信息和所述第二属性信息进行哈希运算,得到所述第一属性信息的哈希值和所述第二属性信息的哈希值;
根据所述第一属性信息的哈希值和所述第二属性信息的哈希值,通过哈希存储方式将所述第一属性信息和所述第二属性信息写入至缓存数据中。
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述方法还包括:
接收访问请求信息,所述访问请求信息中携带有所述目标进程的第一属性信息;
根据所述访问请求信息中的所述第一属性信息,从所述缓存数据中读取与所述第一属性信息对应的第二属性信息。
6.一种信息处理装置,其特征在于,所述装置包括:
监测模块,用于获取目标进程的第一属性信息,所述第一属性信息用于表征所述目标进程是否为异常进程;
第一处理模块,用于在根据所述第一属性信息确定所述目标进程为异常进程时,获取与所述第一属性信息对应的第二属性信息;
第二处理模块,用于将所述第一属性信息和所述第二属性信息写入至缓存数据中,向云平台上报所述第一属性信息和/或所述第二属性信息,以供所述云平台根据所述第一属性信息和/或所述第二属性信息对所述目标进程进行安全关联分析,以识别所述目标进程相关的潜在威胁信息;
其中,所述识别所述目标进程相关的潜在威胁信息,包括以下之一:
所述云平台通过正则表达式匹配目标进程行为的命令行参数,判断所述目标进程行为的进程文件是否存在可疑指令;
所述云平台根据目标进程文件的md5值、以及对应的文件特征,判断所述目标进程行为的进程文件是否存在可疑文件。
7.根据权利要求6所述的装置,其特征在于,所述第二处理模块具体用于:
在所述缓存数据中不存在与所述第一属性信息对应的第二属性信息时,将所述第一属性信息和所述第二属性信息写入至所述缓存数据中。
8.根据权利要求6所述的装置,其特征在于,所述第二属性信息包括进程时间信息,所述进程时间信息表示所述目标进程的进程启动时间;所述第二处理模块具体用于:
在所述缓存数据中存在与所述第一属性信息对应的第三属性信息,且所述第三属性信息中的进程时间信息与所述第二属性信息中的进程时间信息不一致时,将所述第一属性信息写入所述缓存数据中,并将所述缓存数据中的第三属性信息更新为所述第二属性信息;
其中,所述第三属性信息与所述第二属性信息的类型相同。
9.一种电子设备,其特征在于,所述电子设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求1至5中任一项所述的信息处理方法。
10.一种计算机存储介质,所述计算机存储介质存储有计算机程序;其特征在于,所述计算机程序被执行后能够实现权利要求1至5中任一项所述的信息处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010687244.7A CN111931177B (zh) | 2020-07-16 | 2020-07-16 | 信息处理方法、装置、电子设备和计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010687244.7A CN111931177B (zh) | 2020-07-16 | 2020-07-16 | 信息处理方法、装置、电子设备和计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111931177A CN111931177A (zh) | 2020-11-13 |
| CN111931177B true CN111931177B (zh) | 2023-12-29 |
Family
ID=73313721
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010687244.7A Active CN111931177B (zh) | 2020-07-16 | 2020-07-16 | 信息处理方法、装置、电子设备和计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111931177B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0111469D0 (en) * | 2000-05-17 | 2001-07-04 | Hewlett Packard Co | System and method for a process attribute based computer network filter |
| WO2004031956A1 (ja) * | 2002-09-30 | 2004-04-15 | Fujitsu Limited | 関連情報管理方法、プログラム及び装置 |
| CN102693388A (zh) * | 2012-06-07 | 2012-09-26 | 腾讯科技(深圳)有限公司 | 数据安全防护处理***及方法及存储介质 |
| CN103281325A (zh) * | 2013-06-04 | 2013-09-04 | 北京奇虎科技有限公司 | 基于云安全的文件处理方法及装置 |
| CN107145421A (zh) * | 2016-03-01 | 2017-09-08 | ***通信集团福建有限公司 | 一种异常信息获取方法和装置 |
| CN107357790A (zh) * | 2016-05-09 | 2017-11-17 | 阿里巴巴集团控股有限公司 | 一种异常消息检测方法、装置及*** |
| CN107729755A (zh) * | 2017-09-28 | 2018-02-23 | 努比亚技术有限公司 | 一种终端安全管理方法、终端及计算机可读存储介质 |
| CN107861773A (zh) * | 2017-11-21 | 2018-03-30 | 广东欧珀移动通信有限公司 | 关联启动的管控方法、装置、存储介质及移动终端 |
| CN109768896A (zh) * | 2018-12-14 | 2019-05-17 | 平安普惠企业管理有限公司 | 监控服务器环境状态的方法、装置和计算机设备 |
| CN111368864A (zh) * | 2018-12-26 | 2020-07-03 | 阿里巴巴集团控股有限公司 | 识别方法、可用性评估方法及装置、电子设备、存储介质 |
-
2020
- 2020-07-16 CN CN202010687244.7A patent/CN111931177B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0111469D0 (en) * | 2000-05-17 | 2001-07-04 | Hewlett Packard Co | System and method for a process attribute based computer network filter |
| WO2004031956A1 (ja) * | 2002-09-30 | 2004-04-15 | Fujitsu Limited | 関連情報管理方法、プログラム及び装置 |
| CN102693388A (zh) * | 2012-06-07 | 2012-09-26 | 腾讯科技(深圳)有限公司 | 数据安全防护处理***及方法及存储介质 |
| CN103281325A (zh) * | 2013-06-04 | 2013-09-04 | 北京奇虎科技有限公司 | 基于云安全的文件处理方法及装置 |
| CN107145421A (zh) * | 2016-03-01 | 2017-09-08 | ***通信集团福建有限公司 | 一种异常信息获取方法和装置 |
| CN107357790A (zh) * | 2016-05-09 | 2017-11-17 | 阿里巴巴集团控股有限公司 | 一种异常消息检测方法、装置及*** |
| CN107729755A (zh) * | 2017-09-28 | 2018-02-23 | 努比亚技术有限公司 | 一种终端安全管理方法、终端及计算机可读存储介质 |
| CN107861773A (zh) * | 2017-11-21 | 2018-03-30 | 广东欧珀移动通信有限公司 | 关联启动的管控方法、装置、存储介质及移动终端 |
| CN109768896A (zh) * | 2018-12-14 | 2019-05-17 | 平安普惠企业管理有限公司 | 监控服务器环境状态的方法、装置和计算机设备 |
| CN111368864A (zh) * | 2018-12-26 | 2020-07-03 | 阿里巴巴集团控股有限公司 | 识别方法、可用性评估方法及装置、电子设备、存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| NP控制平面OS中基于分组属性的进程调度技术;闫守孟;周兴社;张凡;;计算机工程(第18期);全文 * |
| 一种计算机网络信息安全模型及其应用;邵萍, 班世敏, 彭勤科;微电子学与计算机(第04期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111931177A (zh) | 2020-11-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9906548B2 (en) | Mechanism to augment IPS/SIEM evidence information with process history snapshot and application window capture history | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN109586282B (zh) | 一种电网未知威胁检测***及方法 | |
| CN110213207B (zh) | 一种基于日志分析的网络安全防御方法及设备 | |
| EP3455773A1 (en) | Inferential exploit attempt detection | |
| CN111221625A (zh) | 文件检测方法、装置及设备 | |
| CN109359092B (zh) | 文件管理方法、桌面显示方法、装置、终端及介质 | |
| JP7451476B2 (ja) | 根本原因解析のために経時的にフォレンジックスナップショットを相互参照するためのシステムおよび方法 | |
| CN111381989A (zh) | 微服务链路生成方法、装置、服务器及存储介质 | |
| CN114297630A (zh) | 恶意数据的检测方法、装置、存储介质及处理器 | |
| US9646157B1 (en) | Systems and methods for identifying repackaged files | |
| CN111931177B (zh) | 信息处理方法、装置、电子设备和计算机存储介质 | |
| KR20230156262A (ko) | 기계 학습 기반 멀웨어 검출을 위한 시스템 및 방법 | |
| US20230315855A1 (en) | Exact restoration of a computing system to the state prior to infection | |
| CN110659478A (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
| JP2020004127A (ja) | コンピュータ資産管理システムおよびコンピュータ資産管理方法 | |
| EP3848835B1 (en) | Systems and methods for protecting against unauthorized memory dump modification | |
| CN114707144A (zh) | 虚拟机逃逸行为检测方法及装置 | |
| US11513884B2 (en) | Information processing apparatus, control method, and program for flexibly managing event history | |
| US11340964B2 (en) | Systems and methods for efficient management of advanced functions in software defined storage systems | |
| US11050766B2 (en) | Generating unique virtual process identifiers for use in network security mechanisms | |
| CN113010885A (zh) | 一种检测伪装起始地址的内核线程的方法及装置 | |
| CN110909349A (zh) | docker容器内反弹shell的检测方法和*** | |
| US10489267B2 (en) | Taking an action in response to detecting an unsupported language in a log | |
| US20230128474A1 (en) | Gathering universal serial bus threat intelligence |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |