一種可疑進程的探測方法及裝置的制造方法
【專利摘要】本申請?zhí)峁┝艘环N可疑進程的探測方法及裝置,獲取待探測主機的數據流向特征的測試值及數據流向庫中的待探測主機對應的數據流向特征的樣本值�����,數據流向特征包括進程列表和網絡出口特征中的至少一個��、及數據源特征���,如果在數據源特征的測試值與數據源特征的樣本值相同的情況下�����,進程列表的測試值與進程列表的樣本值不同和/或網絡出口特征的測試值與網絡出口特征的樣本值不同�,確定探測到可疑進程,可見�,本申請所述的可疑進程探測方法及裝置,以數據的流向特征為依據來探測可疑進程���,而非依據應用程序的攻擊行為�����,又因為一旦發(fā)生數據的盜用�,數據的流向特征就會變化��,所以本申請所述方法及裝置能夠準確地檢測到數據被盜取的可疑進程����。
【專利說明】
一種可疑進程的探測方法及裝置
技術領域
[0001]本申請涉及計算機領域,尤其涉及一種可疑進程的探測方法及裝置�����。
【背景技術】
[0002]數據安全是云計算和數據開放面臨的核心問題之一�。以電商云為例�,獨立軟件開發(fā)商(Independent Software Vendors��,ISV)軟件系統(tǒng)部署在電商云環(huán)境中���,在獲得天貓和淘寶商戶的訂購授權后,ISV能通過TOP訪問商戶在天貓和淘寶的敏感數據�,如訂單和客戶關系等。ISV任何軟件或云資源管理上的漏洞�����,可能被人利用在云主機或應用中部署后門�����,非法讀取�����、拷貝或外傳這些敏感數據����,造成大批量的數據泄漏。
[0003]而傳統(tǒng)的病毒檢測方法����,通常針對病毒程序對系統(tǒng)的攻擊行為設計防御策略�,而在云主機或應用中盜取數據的后門程序�����,一般以獲取數據為目的�,并沒有主動攻擊系統(tǒng)的行為特征。
[0004]所以�����,傳統(tǒng)的病毒檢測技術����,并不能準確地檢測到數據被盜取的可疑進程。
【發(fā)明內容】
[0005]本申請?zhí)峁┝艘环N可疑進程的探測方法及裝置����,目的在于解決不能準確檢測到數據被盜取的可疑進程的問題。
[0006]為了實現(xiàn)上述目的����,本申請?zhí)峁┝艘韵录夹g方案:
[0007]一種可疑進程的探測方法,包括:
[0008]獲取待探測主機的數據流向特征的測試值��,以及,數據流向庫中所述待探測主機對應的數據流向特征的樣本值�;所述數據流向特征包括進程列表和網絡出口特征中的至少一個、以及數據源特征��,所述數據源特征用于指示流入所述待探測主機的預設類型數據的數據源�����,所述進程列表中包括按照時間順序排列的、調用所述數據源流出的數據的進程��,所述網絡出口特征用于指示所述數據源流出的數據在被所述進程列表中的進程調用后、流出所述待探測主機的出口 ;
[0009]如果在所述數據源特征的測試值與所述數據源特征的樣本值相同的情況下���,所述進程列表的測試值與所述進程列表的樣本值不同��,和/或��,所述網絡出口特征的測試值與所述網絡出口特征的樣本值不同,則確定探測到可疑進程。
[0010]可選地�����,所述數據流向庫的建立過程包括:
[0011]按照以下方式��,分別建立每一個數據源的數據流向特征:
[0012]從預先獲取的所述待探測主機的網絡事件表中確定與一個所述數據源特征相關的網絡事件����;
[0013]以所述網絡事件的進程編號和時間戳為查找條件,通過關聯(lián)所述網絡事件表�、所述待探測主機的進程事件表及所述待探測主機的文件讀寫事件表�,依次獲得調用所述數據源的數據的進程�����,以及,所述第二數據源的數據流出的第二網絡出口����。
[0014]可選地��,還包括:
[0015]獲取所述待探測主機中每一個應用程序的行為特征的測試值�,以及,應用行為庫中所述待探測主機的行為特征的樣本值�;所述行為特征至少包括以下一項:應用程序的級另IJ、應用程序訪問所述預設類型的數據的數據源的頻率�、應用程序對外連接的頻率、應用程序對外連接的目的地址��、應用程序對外連接的端口�����、運行應用程序的用戶、應用程序的進程命令參數、應用程序的運行頻率及應用程序的運行時長��;
[0016]如果任意一個應用程序的行為特征中任意一項的測試值與此應用程序在所述行為特征庫中此項行為特征的樣本值的差別不在預設范圍內�,則確定探測到可疑進程�。
[0017]可選地��,在行為特征中的任意一項為多維數據的情況下�����,此行為特征的測試值與所述行為特征庫中的此項行為特征的樣本值的差別的確定方法包括:
[0018]計算該項的測試值與所述行為特征庫中此項行為特征的樣本值之間的距離值�����。
[0019]可選地,所述應用行為庫的建立過程包括:
[0020]從預先獲取的所述待探測主機的網絡事件表及進程事件表中,獲取每一個應用程序的行為特征���;所述行為特征包括應用程序的級別����、應用程序訪問所述預設類型的數據的數據源的頻率��、應用程序對外連接的頻率、應用程序對外連接的目的地址�����、應用程序對外連接的端口、運行應用程序的用戶��、應用程序的進程命令參數��、應用程序的運行頻率及應用程序的運行時長����。
[0021]可選地����,還包括:
[0022]按照預設的進程風險規(guī)則,從所述待探測主機的進程中確定可疑進程��,所述進程風險規(guī)則包括:所述待探測主機發(fā)起對自身的網絡連接及該連接的目標端口為遠程登錄端
□ O
[0023]一種可疑進程的探測裝置��,包括:
[0024]第一獲取模塊����,用于獲取待探測主機的數據流向特征的測試值,以及�����,數據流向庫中所述待探測主機對應的數據流向特征的樣本值���;所所述數據流向特征包括進程列表和網絡出口特征中的至少一個���、以及數據源特征�����,所述數據源特征用于指示流入所述待探測主機的預設類型數據的數據源�,所述進程列表中包括按照時間順序排列的�����、調用所述數據源流出的數據的進程����,所述網絡出口特征用于指示所述數據源流出的數據在被所述進程列表中的進程調用后、流出所述待探測主機的出口 �;
[0025]第一確定模塊,用于如果在所述數據源特征的測試值與所述數據源特征的樣本值相同的情況下��,所述進程列表的測試值與所述進程列表的樣本值不同�����,和/或���,所述網絡出口特征的測試值與所述網絡出口特征的樣本值不同�,則確定探測到可疑進程。
[0026]可選地�����,還包括:
[0027]數據流向庫建立模塊��,用于按照以下方式���,分別建立每一個數據源的數據流向特征:從預先獲取的所述待探測主機的網絡事件表中確定與一個所述數據源特征相關的網絡事件�����;以所述網絡事件的進程編號和時間戳為查找條件,通過關聯(lián)所述網絡事件表��、所述待探測主機的進程事件表及所述待探測主機的文件讀寫事件表�����,依次獲得調用所述數據源的數據的進程����,以及��,所述第二數據源的數據流出的第二網絡出口���。
[0028]可選地,還包括:
[0029]第二獲取模塊���,用于獲取所述待探測主機中每一個應用程序的行為特征的測試值以及應用行為庫中所述待探測主機的行為特征的樣本值�����;所述行為特征至少包括以下一項:應用程序的級別��、應用程序訪問所述預設類型的數據的數據源的頻率�、應用程序對外連接的頻率��、應用程序對外連接的目的地址�����、應用程序對外連接的端口�、運行應用程序的用戶、應用程序的進程命令參數�����、應用程序的運行頻率及應用程序的運行時長;
[0030]第二確定模塊��,用于如果任意一個應用程序的行為特征中任意一項的測試值與此應用程序在所述行為特征庫中此項行為特征的樣本值的差別不在預設范圍內���,則確定探測到可疑進程����。
[0031]可選地�,所述第二確定模塊用于在行為特征中的任意一項為多維數據的情況下,確定此行為特征的測試值與所述行為特征庫中的此項行為特征的樣本值的差別的具體過程包括:
[0032]所述第二確定模塊具體用于�����,計算該項的測試值與所述行為特征庫中的此項行為特征的樣本值的距離值��。
[0033]可選地��,還包括:
[0034]應用行為庫建立模塊��,用于從預先獲取的所述待探測主機的網絡事件表及進程事件表中獲取每一個應用程序的行為特征����;所述行為特征包括應用程序的級別���、應用程序訪問所述預設類型的數據的數據源的頻率���、應用程序對外連接的頻率����、應用程序對外連接的目的地址���、應用程序對外連接的端口�����、運行應用程序的用戶����、應用程序的進程命令參數�、應用程序的運行頻率及應用程序的運行時長。
[0035]可選地���,還包括:
[0036]第三確定模塊�,用于按照預設的進程風險規(guī)則�����,從所述待探測主機的進程中確定可疑進程,所述進程風險規(guī)則包括:所述待探測主機發(fā)起對自身的網絡連接及該連接的目標端口為遠程登錄端口�。
[0037]與現(xiàn)有技術相比,本申請實施例具有以下有益效果:
[0038]本申請所述的可疑進程的探測方法及裝置�,獲取待探測主機的數據流向特征的測試值及數據流向庫中的待探測主機對應的數據流向特征的樣本值,其中���,數據流向特征包括數據源特征�、進程列表以及網絡出口特征����,如果在所述數據源特征的測試值與所述數據源特征的樣本值相同的情況下,進程列表的測試值與進程列表的樣本值不同或者網絡出口特征的測試值與網絡出口特征的樣本值不同�����,則確定探測到可疑進程�,可見,本申請所述的可疑進程探測方法及裝置�,以數據的流向特征為依據來探測可疑進程,而非依據應用程序的攻擊行為����,又因為一旦發(fā)生數據的盜用���,數據的流向特征就會變化���,所以本申請所述的可疑進程探測方法及裝置能夠準確地檢測到數據被盜取的可疑進程�����。
[0039]當然���,實施本申請的任一產品并不一定需要同時達到以上所述的所有優(yōu)點。
【附圖說明】
[0040]為了更清楚地說明本申請實施例或現(xiàn)有技術中的技術方案���,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹�����,顯而易見地�,下面描述中的附圖僅僅是本申請的一些實施例��,對于本領域普通技術人員來講��,在不付出創(chuàng)造性勞動的前提下��,還可以根據這些附圖獲得其他的附圖。
[0041]圖1為申請實施例公開的一種可疑進程的探測方法的流程圖�����;
[0042]圖2為本申請實施例公開的又一種可疑進程的探測方法的流程圖��;
[0043]圖3為本申請實施例公開的數據流向庫及應用行為庫的建立方法的流程圖���;
[0044]圖4為本申請實施例公開的通過在待探測主機上部署的采集客戶端�����,采集在預設時間段內的事件數據的方法的流程圖�;
[0045]圖5為本申請實施例公開的一個數據源的數據流向特征的示意圖�����;
[0046]圖6為本申請實施例公開的一種可疑進程的探測裝置的結構示意圖���;
[0047]圖7為本申請實施例還公開的又一種可疑進程的探測裝置的結構示意圖���;
[0048]圖8為本申請實施例公開的可疑進程的探測裝置與待探測主機的連接關系結構示意圖。
【具體實施方式】
[0049]本申請實施例公開了一種可疑進程的探測方法及裝置���,可以應用在對于云主機的可疑進程的探測上���,以便于能夠準確發(fā)現(xiàn)盜取云主機中的數據的可疑進程。
[0050]下面將結合本申請實施例中的附圖���,對本申請實施例中的技術方案進行清楚�����、完整地描述�,顯然�,所描述的實施例僅僅是本申請一部分實施例,而不是全部的實施例���?;诒旧暾堉械膶嵤├?,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本申請保護的范圍��。
[0051]本申請實施例公開的一種可疑進程的探測方法�,如圖1所示,包括以下步驟:
[0052]SlOl:獲取待探測主機的數據流向特征的測試值及數據流向庫中的待探測主機對應的數據流向特征的樣本值�。
[0053]本實施例中,數據流向特征可以包括:進程列表和網絡出口特征中的至少一個、以及數據源特征�。也就是說,數據流向特征中包括數據源特征�����,除此以外�,可以包括進程列表和網絡出口特征,也可以包括兩者中的任意一個����。在包括進程列表和網絡出口特征的情況下,探測的準確性更高����,本申請以下實施例中,均以數據流向特征中包括數據源特征�����、進程列表和網絡出口特征為例進行描述�����。
[0054]其中���,數據源特征用于指示流入待探測主機的預設類型數據的數據源��,進程列表中包括按照時間順序排列的�、調用數據源流出的數據的進程,網絡出口特征用于指示數據源流出的數據在被進程列表中的進程調用后���、流出待探測主機的出口。
[0055]進程列表的測試值與樣本值均可以為進程列表中包含的文件的名稱或者編號�����。進程列表的測試值與樣本值不同���,說明調用數據的進行發(fā)生了改變��,改變可以包括增加了進程����,或者���,進程按照時間排序發(fā)生了變化�����。
[0056]數據源特征的測試值與樣本值均可以為數據源的地址或端口號����,網絡出口特征的測試值與樣本值均可以為網絡出口的地址或端口號。
[0057]S102:在數據源特征的測試值與數據源特征的樣本值相同的情況下�,如果滿足預設條件,則確定探測到可疑進程��。其中預設條件至少包括以下任意一項:
[0058]1����、進程列表的測試值與進程列表的樣本值不同;
[0059]2�����、網絡出口特征的測試值與網絡出口特征的樣本值不同����。
[0060]因為數據盜取方需要通過后門應用程序讀取數據或者將數據引流的方式盜取數據,所以����,本實施例中,從這兩方面入手����,設置以上條件����,以便從根本上發(fā)現(xiàn)數據盜取行為���。
[0061]可疑進程即為異常的特征對應的進程�。例如���,對于進程列表而言,可疑進程可以為進程列表的測試值與樣本值相比�����,多出來的名稱或編號對應的進程為可疑進程���;對于網絡出口特征而言�����,測試樣與樣本值不同�����,則通過此網絡出口向得探測主機外傳輸數據的進程即為可疑進程�。
[0062]例如,本實施例所述的方法應用在電商平臺����,對于電商平臺而言,預設類型數據可以為敏感數據�����,例如客戶的訂單信息�,為了防止云主機中的敏感數據泄露,探測電商平臺的云主機中的數據流向特征的測試值���,并從數據流向庫中獲取云主機的數據流向特征的樣本值��。如果敏感信息的數據源特征的測試值與樣本值相同����,而其進程列表中的測試值與樣本值不同�,例如,調用敏感信息的進程多了一個�����,多出的進程可能為盜取數據的進程。因此��,可以確定存在數據被盜取的風險����,則確定探測到可疑進程。網絡運維人員可以進一步確定是否確實為風險進程��,如確實為風險進程��,則采用相應的處理措施�����。
[0063]可見�,與現(xiàn)有的檢測病毒的技術相比�,本實施例中所述的方法,從數據盜取的特點為出發(fā)點�����,以待探測主機中的數據流向特征為依據進行可疑進程的探測�����,因此,能夠準確發(fā)現(xiàn)盜取數據的可疑進程����。
[0064]在上述實施例所述的方法的基礎上,還可以進一步增加其它步驟以提高探測可疑進程的準確性��,本申請實施例公開的又一種可疑進程的探測方法�����,與上一實施例相比����,探測可疑進程的依據不僅僅限于數據流向特征,如圖2所示����,包括以下具體步驟:
[0065]S201:獲取待探測主機的數據流向特征的測試值及數據流向庫中的待探測主機對應的數據流向特征的樣本值。
[0066]本實施例中���,數據流向特征可以參見上一實施例所示�����,這里不再贅述����。
[0067]S202:在數據源特征的測試值與數據源特征的樣本值相同的情況下,如果進程列表的測試值與進程列表的樣本值不同和/或網絡出口特征的測試值與網絡出口特征的樣本值不同�,則確定探測到可疑進程。
[0068]S203:獲取待探測主機中的每一個應用程序的行為特征的測試值以及應用行為庫中的����、待探測主機的行為特征的樣本值��。
[0069]本實施例中���,行為特征用于表示各個應用程序在待探測主機中的行為�,至少可以包括以下一項:應用程序的級別、應用程序訪問所述預設類型的數據的數據源的頻率�����、應用程序對外連接的頻率����、應用程序對外連接的目的地址�����、應用程序對外連接的端口、運行應用程序的用戶���、應用程序的進程命令參數����、應用程序的運行頻率及應用程序的運行時長�。
[0070]其中,本實施例中�����,應用程序可以分為四個級別�����,分別為:直接訪問數據源或中間文件并向外發(fā)起網絡連接的LI級程序����,訪問數據源或中間文件但無其它網絡連接的L2級程序,不訪問數據源或中間文件但有主動外連行為的L3級程序���,以及���,不訪問數據源或中間文件且無主動外連行為的L4級程序���。
[0071]S204:如果任意一個應用程序的行為特征中的任意一項的測試值與此應用程序在所述行為庫中的特征中的此項行為特征的樣本值的差別不在預設范圍內,則確定探測到可疑進程����。
[0072]本實施例中,在行為特征中的任意一項為多維數據的情況下�,此行為特征的測試值與行為特征庫中的此項行為特征的樣本值的差別的確定方法可以為:計算該項的測試值與行為特征庫中的此項行為特征的樣本值的距離值,所述距離值為該項的測試值與行為特征庫中的此項行為特征的樣本值的差別�����,其中���,距離值可以為K近鄰距離值����;在行為特征中的任意一項為多維數據的情況下����,可以直接計算測試值與樣本值之間的差別���。
[0073]本實施例中����,預設范圍可以預先設定,范圍越大��,容忍性越大���,則探測可疑進程的條件越寬松����,范圍越小�����,容忍性越小�����,則探測可疑進程的條件越嚴格�,實際應用中,可以依據實際需求設定�����。
[0074]例如,在云主機中�,某個應用程序向外連接的頻率的測試值明顯大于其樣本值,則說明此應用程序可能在進行數據的盜取�,從而確定探測到可疑進程,可疑進程即為此應用程序對應的進程��。
[0075]S205:按照預設的進程風險規(guī)則��,從所述待探測主機的進程中確定可疑進程�����。
[0076]其中����,進程風險規(guī)則可以包括:待探測主機發(fā)起對自身的網絡連接及該連接的目標端口為遠程登錄端口。
[0077]本實施例中���,進程風險規(guī)則可以通過由網絡維護人員通過先驗知識推導得到�。
[0078]設置S205的目的在于��,可以將一些可能導致重大安全事故的特征加入進程風險規(guī)則中����,一旦待探測主機中出現(xiàn)這些特征�����,可以直接確定存在可疑進程,而不必通過數據流向特征及行為特征的探測��。
[0079]從圖2中可以看出��,S201和S202��,S203和S204��,以及���,S205分別為探測可疑進程的3個分支�,需要說明的是���,本實施例中為步驟標記的序號僅為便于說明��,在實際應用中��,這三個分支的執(zhí)行順序不做限定����。
[0080]可選地,在確定探測到可疑進程后���,本實施例中還可以包括:
[0081]發(fā)出預警信號�,并將可疑進程的編號加入可疑進程列表中�����,以便于網絡運營人員查看可疑進程列表�,并對可疑進程進行審核,如確認無風險�����,在系統(tǒng)中標定���,該標定記錄將被加入該主機的應用行為庫或數據流向庫中����。如有風險��,能直觀地定位有風險的進程�����,或數據異常流動的模式,啟動應急措施控制風險����。
[0082]本實施例所述的方法應用在電商平臺的云主機中,可以分別從三個方面探測盜取數據的可疑進程���,云主機上部署的應用程序,由于沒有人機交互行為���,所以�����,數據在主機內的流轉��、以及主機內的應用程序的行為比較固定��,有明顯的特征��。本實施例所述的方法��,分別從待探測主機中的數據流向特征���、行為特征及進程風險規(guī)則三個方面探測待探測主機中盜取數據的可疑進程����,因此���,探測的角度更為多樣化�����,能夠更為及時準確地發(fā)現(xiàn)數據訪問行為中的異常�,定位到可疑的后門或程序�����。即使后門程序本身發(fā)生大的改變���,只要盜取數據的行為還存在�,就能被快速發(fā)現(xiàn)�。
[0083]需要說明的是,上述實施例中���,測試值可以從待探測主機第一時間段(例如某一天)的事件記錄中采集��,而樣本值可以依據待探測主機在第二時間段內(例如一個月)的時間記錄中采集的數據而生成����。
[0084]下面將詳細說明數據流向庫及應用行為庫的建立方法。
[0085]如圖3所示�����,數據流向庫及應用行為庫的建立方法可以包括以下具體步驟:
[0086]S301:通過在待探測主機上部署的采集客戶端����,采集在預設時間段(例如一個月)內的事件數據����。
[0087]其中,事件可以具體包括網絡事件�、進程事件以及文件讀寫事件。
[0088]具體地�����,網絡事件數據可以包括發(fā)起或接收網絡連接的進程的標號����、發(fā)起時間、來源IP和端口以及目的IP和端口。進程事件數據可以包括進程的編號��、事件類型(包括啟動或停止)�、活動時間、進程名以及命令行參數��。文件讀寫事件數據可以包括文件讀寫操作記錄進程的編號���、讀寫類型(包括讀或寫)以及活動時間�。
[0089]如圖4所示�����,S301的具體實現(xiàn)過程可以包括以下步驟:
[0090]1�、通過Windows事件收集器使用ETW框架,或者Linux事件收集器使用Audit框架�����,從操作系統(tǒng)底層抓取網絡事件數據��、進程事件數據和文件事件數據����,為了減小事件數據量����,抓取的粒度和事件類型由事件處理器通過配置來控制和過濾�,排除已知的無風險進程、網絡或文件活動�����。
[0091]2�、事件處理器可以將數據整理成統(tǒng)一格式,如果當前數據不足以建立數據流向庫����,事件處理器可以調用系統(tǒng)函數補全數據后,實時上傳到日志收集服務器����。
[0092]3�����、日志收集服務器在數據緩存到一定容量或者超過某個時間值后���,將已接收的數據同步到大數據處理平臺存儲���、以及等待進一步處理���。
[0093]S302:依據上述采集到的數據,在大數據處理平臺上���,事件數據被寫入網絡事件表�����、進程事件表及文件讀寫事件表��。
[0094]上述三種事件表可以按照時間維度進行分片存儲��。
[0095]S303:按照以下方式�,分別建立每一個數據源特征的數據流向特征:從所述網絡事件表中確定與一個所述數據源特征相關的網絡事件��,以所述網絡事件的進程編號和時間戳-為查找條件�,通過關聯(lián)所述網絡事件表、所述進程事件表及所述文件讀寫事件表����,依次獲得調用所述數據源的數據的進程以及所述第二數據源的數據流出的第二網絡出口。
[0096]其中�,每一個數據源特征均可以通過人工提取獲得�����,以電商云TOP數據源為例�����,TOP服務器的IP地址為一固定列表����,且服務端口為80�����。
[0097]如圖5所示�,一個數據源的數據流向特征為:數據從數據源(如電商云中的TOP)通過網絡事件到達云主機第一個進程,再通過文件寫事件存到本地文件�,服務進程(一般為Web服務器)通過文件讀事件讀取到數據,隨后通過網絡事件發(fā)送給客戶或者第三方系統(tǒng)(如電商云中的物流系統(tǒng))�?��?梢?����,一個數據源的流向特征表示的是從此數據源流出的數據在待探測主機中的流動路徑��。
[0098]需要說明的是�����,文件讀事件僅為連接前后進程的中間過程��,本申請的實施例中�,不將文件讀寫事件看作參與探測可疑進程的數據流向特征。
[0099]本實施例中�����,依據以下步驟建立應用行為庫:
[0100]S304:從所述網絡事件表及所述進程事件表中獲取每一個應用程序的行為特征����,所述行為特征包括應用程序的級別、應用程序訪問所述預設類型的數據的數據源的頻率���、應用程序對外連接的頻率��、應用程序對外連接的目的地址�����、應用程序對外連接的端口��、運行應用程序的用戶�����、應用程序的進程命令參數���、應用程序的運行頻率及應用程序的運行時長���。
[0101]需要說明的是,S303和S304的執(zhí)行順序可以互換�。
[0102]從上述過程可以看出,數據流向庫以及應用行為特征庫從待探測主機的日程運行數據得到�,因此,具有時效性高的特點����,并且,數據采集過程不會影響待探測的主機的正常運行���。
[0103]與圖1所示的方法實施例相對應地��,本申請實施例還公開了一種可疑進程的探測裝置�,如圖6所示�,包括:
[0104]第一獲取模塊601,用于獲取待探測主機的數據流向特征的測試值以及數據流向庫中的所述待探測主機對應的數據流向特征的樣本值��,所述數據流向特征包括進程列表和網絡出口特征中的至少一個�、以及數據源特征,所述數據源特征用于指示流入所述待探測主機的預設類型數據的數據源��,所述進程列表中包括按照時間順序排列的�����、調用所述數據源流出的數據的進程�����,所述網絡出口特征用于指示所述數據源流出的數據在被所述進程列表中的進程調用后����、流出所述待探測主機的出口 ;
[0105]第一確定模塊602�����,用于如果在所述數據源特征的測試值與所述數據源特征的樣本值相同的情況下,所述進程列表的測試值與所述進程列表的樣本值不同和/或所述網絡出口特征的測試值與所述網絡出口特征的樣本值不同���,則確定探測到可疑進程��。
[0106]本實施例中所述的裝置����,以數據盜取的特點為出發(fā)點�����,以待探測主機中的數據流向特征為依據進行可疑進程的探測����,因此,能夠準確發(fā)現(xiàn)盜取數據的可疑進程����。
[0107]與圖2所示的方法實施例相對應地,本申請實施例還公開的又一種可疑進程的探測裝置如圖7所示���,包括:第一獲取模塊701��、第一確定模塊702����、第二獲取模塊703、第二確定模塊704以及第三確定模塊705���。
[0108]其中,第一獲取模塊701和第一確定模塊702的功能與上一實施例相同���,這里不再贅述�����。
[0109]第二獲取模塊703�,用于獲取所述待探測主機中的每一個應用程序的行為特征的測試值以及應用行為庫中的���、所述待探測主機的行為特征的樣本值�,所述行為特征至少包括以下一項:應用程序的級別�、應用程序訪問所述預設類型的數據的數據源的頻率、應用程序對外連接的頻率�、應用程序對外連接的目的地址、應用程序對外連接的端口��、運行應用程序的用戶�����、應用程序的進程命令參數、應用程序的運行頻率及應用程序的運行時長�����。
[0110]第二確定模塊704���,用于如果任意一個應用程序的行為特征中的任意一項的測試值與此應用程序在所述行為特征庫中的此項行為特征的樣本值的差別不在預設范圍內��,則確定探測到可疑進程�。
[0111]具體地����,第二確定模塊在行為特征中的任意一項為多維數據的情況下,確定此行為特征的測試值與所述行為特征庫中的此項行為特征的樣本值的差別的具體過程可以為:計算該項的測試值與所述行為特征庫中的此項行為特征的樣本值的距離值�,所述距離值為該項的測試值與所述行為特征庫中的此項行為特征的樣本值的差別。
[0112]第三確定模塊705���,用于按照預設的進程風險規(guī)則�����,從所述待探測主機的進程中確定可疑進程���,所述進程風險規(guī)則包括:所述待探測主機發(fā)起對自身的網絡連接及該連接的目標端口為遠程登錄端口���。
[0113]可選地,本實施例所述裝置還可以包括:
[0114]數據流向庫建立模塊706�,用于按照以下方式,分別建立每一個數據源的數據流向特征:從預先獲取的所述待探測主機的網絡事件表中確定與一個所述數據源特征相關的網絡事件���;以所述網絡事件的進程編號和時間戳為查找條件,通過關聯(lián)所述網絡事件表����、所述待探測主機的進程事件表及所述待探測主機的文件讀寫事件表,依次獲得調用所述數據源的數據的進程以及所述第二數據源的數據流出的第二網絡出口���。
[0115]以及����,應用行為庫建立模塊707��,用于從預先獲取的所述待探測主機的網絡事件表及進程事件表中獲取每一個應用程序的行為特征�����,所述行為特征包括應用程序的級別、應用程序訪問所述預設類型的數據的數據源的頻率�����、應用程序對外連接的頻率�����、應用程序對外連接的目的地址�����、應用程序對外連接的端口��、運行應用程序的用戶����、應用程序的進程命令參數、應用程序的運行頻率及應用程序的運行時長�。
[0116]數據流向庫建立模塊和應用行為庫建立模塊的工作流程可以參見圖3所示的方法實施例。
[0117]本實施例中所述的裝置��,可以設置在數據處理平臺上�,例如電商的大數據處理平臺。所述數據處理平臺與待探測主機相連�����,圖8所示為本實施例所述的裝置與待探測主機的連接關系。數據處理平臺可以通過現(xiàn)有的數據采集模塊及數據傳輸模塊�����,將待探測主機中的數據傳輸到數據處理平臺����,數據處理平臺的事件數據存儲模塊可以將這些數據進行存儲,本實施例所述的裝置按照以上所述的功能對數據進行分析整理���,并依據分析整理的結果探測待探測主機中的可疑進程。
[0118]需要說明的是��,本申請實施例中所述的裝置可以設置在電子設備中�,所述電子設備除了可以為專業(yè)的監(jiān)測設備外,也可以為移動終端設備���。
[0119]本實施例所述的可疑進程的探測方法����,從多個角度探測可疑進程����,因此具有更高的準確性以及更小的時延����。
[0120]本申請實施例方法所述的功能如果以軟件功能單元的形式實現(xiàn)并作為獨立的產品銷售或使用時���,可以存儲在一個計算設備可讀取存儲介質中����?����;谶@樣的理解����,本申請實施例對現(xiàn)有技術做出貢獻的部分或者該技術方案的部分可以以軟件產品的形式體現(xiàn)出來,該軟件產品存儲在一個存儲介質中�����,包括若干指令用以使得一臺計算設備(可以是個人計算機���,服務器�,移動計算設備或者網絡設備等)執(zhí)行本申請各個實施例所述方法的全部或部分步驟。而前述的存儲介質包括:u盤�、移動硬盤、只讀存儲器(ROM�����,Read-Only Memory)����、隨機存取存儲器(RAM,Random Access Memory)��、磁碟或者光盤等各種可以存儲程序代碼的介質����。
[0121]本說明書中各個實施例采用遞進的方式描述,每個實施例重點說明的都是與其它實施例的不同之處����,各個實施例之間相同或相似部分互相參見即可�。
[0122]對所公開的實施例的上述說明,使本領域專業(yè)技術人員能夠實現(xiàn)或使用本申請�����。對這些實施例的多種修改對本領域的專業(yè)技術人員來說將是顯而易見的,本文中所定義的一般原理可以在不脫離本申請的精神或范圍的情況下����,在其它實施例中實現(xiàn)。因此�,本申請將不會被限制于本文所示的這些實施例,而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍���。
【主權項】
1.一種可疑進程的探測方法����,其特征在于�����,包括: 獲取待探測主機的數據流向特征的測試值�,以及,數據流向庫中所述待探測主機對應的數據流向特征的樣本值�����;所述數據流向特征包括進程列表和網絡出口特征中的至少一個��、以及數據源特征,所述數據源特征用于指示流入所述待探測主機的預設類型數據的數據源���,所述進程列表中包括按照時間順序排列的�、調用所述數據源流出的數據的進程����,所述網絡出口特征用于指示所述數據源流出的數據在被所述進程列表中的進程調用后、流出所述待探測主機的出口����; 如果在所述數據源特征的測試值與所述數據源特征的樣本值相同的情況下,所述進程列表的測試值與所述進程列表的樣本值不同�����,和/或�����,所述網絡出口特征的測試值與所述網絡出口特征的樣本值不同��,則確定探測到可疑進程�。2.根據權利要求1所述的方法�����,其特征在于,所述數據流向庫的建立過程包括: 按照以下方式��,分別建立每一個數據源的數據流向特征: 從預先獲取的所述待探測主機的網絡事件表中確定與一個所述數據源特征相關的網絡事件���; 以所述網絡事件的進程編號和時間戳為查找條件�����,通過關聯(lián)所述網絡事件表���、所述待探測主機的進程事件表及所述待探測主機的文件讀寫事件表,依次獲得調用所述數據源的數據的進程���,以及��,所述第二數據源的數據流出的第二網絡出口�����。3.根據權利要求1或2所述的方法�,其特征在于���,還包括: 獲取所述待探測主機中每一個應用程序的行為特征的測試值�,以及,應用行為庫中所述待探測主機的行為特征的樣本值�����;所述行為特征至少包括以下一項:應用程序的級別�����、應用程序訪問所述預設類型的數據的數據源的頻率�����、應用程序對外連接的頻率����、應用程序對外連接的目的地址、應用程序對外連接的端口�、運行應用程序的用戶、應用程序的進程命令參數��、應用程序的運行頻率及應用程序的運行時長���; 如果任意一個應用程序的行為特征中任意一項的測試值與此應用程序在所述行為特征庫中此項行為特征的樣本值的差別不在預設范圍內�����,則確定探測到可疑進程���。4.根據權利要求3所述的方法,其特征在于����,在行為特征中的任意一項為多維數據的情況下,此行為特征的測試值與所述行為特征庫中的此項行為特征的樣本值的差別的確定方法包括: 計算該項的測試值與所述行為特征庫中此項行為特征的樣本值之間的距離值�����。5.根據權利要求4所述的方法���,其特征在于�,所述應用行為庫的建立過程包括: 從預先獲取的所述待探測主機的網絡事件表及進程事件表中����,獲取每一個應用程序的行為特征;所述行為特征包括應用程序的級別����、應用程序訪問所述預設類型的數據的數據源的頻率��、應用程序對外連接的頻率�����、應用程序對外連接的目的地址�、應用程序對外連接的端口�、運行應用程序的用戶、應用程序的進程命令參數����、應用程序的運行頻率及應用程序的運行時長。6.根據權利要求1或2所述的方法�,其特征在于,還包括: 按照預設的進程風險規(guī)則���,從所述待探測主機的進程中確定可疑進程�����,所述進程風險規(guī)則包括:所述待探測主機發(fā)起對自身的網絡連接及該連接的目標端口為遠程登錄端口�����。7.—種可疑進程的探測裝置���,其特征在于�,包括: 第一獲取模塊�,用于獲取待探測主機的數據流向特征的測試值,以及����,數據流向庫中所述待探測主機對應的數據流向特征的樣本值��;所述數據流向特征包括進程列表和網絡出口特征中的至少一個���、以及數據源特征����,所述數據源特征用于指示流入所述待探測主機的預設類型數據的數據源����,所述進程列表中包括按照時間順序排列的、調用所述數據源流出的數據的進程����,所述網絡出口特征用于指示所述數據源流出的數據在被所述進程列表中的進程調用后、流出所述待探測主機的出口 �; 第一確定模塊�,用于如果在所述數據源特征的測試值與所述數據源特征的樣本值相同的情況下���,所述進程列表的測試值與所述進程列表的樣本值不同��,和/或�����,所述網絡出口特征的測試值與所述網絡出口特征的樣本值不同�����,則確定探測到可疑進程����。8.根據權利要求7所述的裝置�,其特征在于,還包括: 數據流向庫建立模塊���,用于按照以下方式�,分別建立每一個數據源的數據流向特征:從預先獲取的所述待探測主機的網絡事件表中確定與一個所述數據源特征相關的網絡事件�����;以所述網絡事件的進程編號和時間戳為查找條件,通過關聯(lián)所述網絡事件表�����、所述待探測主機的進程事件表及所述待探測主機的文件讀寫事件表��,依次獲得調用所述數據源的數據的進程��,以及�,所述第二數據源的數據流出的第二網絡出口����。9.根據權利要求7所述的裝置,其特征在于��,還包括: 第二獲取模塊����,用于獲取所述待探測主機中每一個應用程序的行為特征的測試值以及應用行為庫中所述待探測主機的行為特征的樣本值;所述行為特征至少包括以下一項:應用程序的級別���、應用程序訪問所述預設類型的數據的數據源的頻率�、應用程序對外連接的頻率�、應用程序對外連接的目的地址�����、應用程序對外連接的端口�、運行應用程序的用戶�、應用程序的進程命令參數、應用程序的運行頻率及應用程序的運行時長��; 第二確定模塊���,用于如果任意一個應用程序的行為特征中任意一項的測試值與此應用程序在所述行為特征庫中此項行為特征的樣本值的差別不在預設范圍內�����,則確定探測到可疑進程�。10.根據權利要求9所述的裝置��,其特征在于�����,所述第二確定模塊用于在行為特征中的任意一項為多維數據的情況下����,確定此行為特征的測試值與所述行為特征庫中的此項行為特征的樣本值的差別的具體過程包括: 所述第二確定模塊具體用于���,計算該項的測試值與所述行為特征庫中的此項行為特征的樣本值的距離值。11.根據權利要求10所述的裝置����,其特征在于,還包括: 應用行為庫建立模塊�����,用于從預先獲取的所述待探測主機的網絡事件表及進程事件表中獲取每一個應用程序的行為特征��;所述行為特征包括應用程序的級別����、應用程序訪問所述預設類型的數據的數據源的頻率����、應用程序對外連接的頻率、應用程序對外連接的目的地址��、應用程序對外連接的端口�����、運行應用程序的用戶、應用程序的進程命令參數����、應用程序的運行頻率及應用程序的運行時長。12.根據權利要求7或8所述的裝置�,其特征在于,還包括: 第三確定模塊����,用于按照預設的進程風險規(guī)則,從所述待探測主機的進程中確定可疑進程����,所述進程風險規(guī)則包括:所述待探測主機發(fā)起對自身的網絡連接及該連接的目標端口為遠程登錄端口。
【文檔編號】G06F21/56GK106033514SQ201510124614
【公開日】2016年10月19日
【申請日】2015年3月20日
【發(fā)明人】陳艷軍
【申請人】阿里巴巴集團控股有限公司