一种可疑进程的探测方法及装置制造方法及图纸

本申请提供了一种可疑进程的探测方法及装置，获取待探测主机的数据流向特征的测试值及数据流向库中的待探测主机对应的数据流向特征的样本值，数据流向特征包括进程列表和网络出口特征中的至少一个、及数据源特征，如果在数据源特征的测试值与数据源特征的样本值相同的情况下，进程列表的测试值与进程列表的样本值不同和/或网络出口特征的测试值与网络出口特征的样本值不同，确定探测到可疑进程，可见，本申请所述的可疑进程探测方法及装置，以数据的流向特征为依据来探测可疑进程，而非依据应用程序的攻击行为，又因为一旦发生数据的盗用，数据的流向特征就会变化，所以本申请所述方法及装置能够准确地检测到数据被盗取的可疑进程。

【技术实现步骤摘要】

本申请涉及计算机领域，尤其涉及一种可疑进程的探测方法及装置。
技术介绍
数据安全是云计算和数据开放面临的核心问题之一。以电商云为例，独立软件开发商(Independent Software Vendors，ISV)软件系统部署在电商云环境中，在获得天猫和淘宝商户的订购授权后，ISV能通过TOP访问商户在天猫和淘宝的敏感数据，如订单和客户关系等。ISV任何软件或云资源管理上的漏洞，可能被人利用在云主机或应用中部署后门，非法读取、拷贝或外传这些敏感数据，造成大批量的数据泄漏。而传统的病毒检测方法，通常针对病毒程序对系统的攻击行为设计防御策略，而在云主机或应用中盗取数据的后门程序，一般以获取数据为目的，并没有主动攻击系统的行为特征。所以，传统的病毒检测技术，并不能准确地检测到数据被盗取的可疑进程。
技术实现思路
本申请提供了一种可疑进程的探测方法及装置，目的在于解决不能准确检测到数据被盗取的可疑进程的问题。为了实现上述目的，本申请提供了以下技术方案：一种可疑进程的探测方法，包括：获取待探测主机的数据流向特征的测试值，以及，数据流向库中所述待探测主机对应的数据流向特征的样本值；所述数据流向特征包括进程列表和网络出口特征中的至少一个、以及数据源特征，所述数据源特征用于指示流入所述待探测主机的预设类型数据的数据源，所述进程列表中包括按照时间
顺序排列的、调用所述数据源流出的数据的进程，所述网络出口特征用于指示所述数据源流出的数据在被所述进程列表中的进程调用后、流出所述待探测主机的出口；如果在所述数据源特征的测试值与所述数据源特征的样本值相同的情况下，所述进程列表的测试值与所述进程列表的样本值不同，和/或，所述网络出口特征的测试值与所述网络出口特征的样本值不同，则确定探测到可疑进程。可选地，所述数据流向库的建立过程包括：按照以下方式，分别建立每一个数据源的数据流向特征：从预先获取的所述待探测主机的网络事件表中确定与一个所述数据源特征相关的网络事件；以所述网络事件的进程编号和时间戳为查找条件，通过关联所述网络事件表、所述待探测主机的进程事件表及所述待探测主机的文件读写事件表，依次获得调用所述数据源的数据的进程，以及，所述第二数据源的数据流出的第二网络出口。可选地，还包括：获取所述待探测主机中每一个应用程序的行为特征的测试值，以及，应用行为库中所述待探测主机的行为特征的样本值；所述行为特征至少包括以下一项：应用程序的级别、应用程序访问所述预设类型的数据的数据源的频率、应用程序对外连接的频率、应用程序对外连接的目的地址、应用程序对外连接的端口、运行应用程序的用户、应用程序的进程命令参数、应用程序的运行频率及应用程序的运行时长；如果任意一个应用程序的行为特征中任意一项的测试值与此应用程序在所述行为特征库中此项行为特征的样本值的差别不在预设范围内，则确定探测到可疑进程。可选地，在行为特征中的任意一项为多维数据的情况下，此行为特征的测试值与所述行为特征库中的此项行为特征的样本值的差别的确定方法包括：计算该项的测试值与所述行为特征库中此项行为特征的样本值之间的距离值。可选地，所述应用行为库的建立过程包括：从预先获取的所述待探测主机的网络事件表及进程事件表中，获取每一个应用程序的行为特征；所述行为特征包括应用程序的级别、应用程序访问所述预设类型的数据的数据源的频率、应用程序对外连接的频率、应用程序对外连接的目的地址、应用程序对外连接的端口、运行应用程序的用户、应用程序的进程命令参数、应用程序的运行频率及应用程序的运行时长。可选地，还包括：按照预设的进程风险规则，从所述待探测主机的进程中确定可疑进程，所述进程风险规则包括：所述待探测主机发起对自身的网络连接及该连接的目标端口为远程登录端口。一种可疑进程的探测装置，包括：第一获取模块，用于获取待探测主机的数据流向特征的测试值，以及，数据流向库中所述待探测主机对应的数据流向特征的样本值；所所述数据流向特征包括进程列表和网络出口特征中的至少一个、以及数据源特征，所述数据源特征用于指示流入所述待探测主机的预设类型数据的数据源，所述进程列表中包括按照时间顺序排列的、调用所述数据源流出的数据的进程，所述网络出口特征用于指示所述数据源流出的数据在被所述进程列表中的进程调用后、流出所述待探测主机的出口；第一确定模块，用于如果在所述数据源特征的测试值与所述数据源特征的样本值相同的情况下，所述进程列表的测试值与所述进程列表的样本值不同，和/或，所述网络出口特征的测试值与所述网络出口特征的样本值不同，则确定探测到可疑进程。可选地，还包括：数据流向库建立模块，用于按照以下方式，分别建立每一个数据源的数据流向特征：从预先获取的所述待探测主机的网络事件表中确定与一个所述数据源特征相关的网络事件；以所述网络事件的进程编号和时间戳为查找条件，通过关联所述网络事件表、所述待探测主机的进程事件表及所述待探测主机的文件读写事件表，依次获得调用所述数据源的数据的进程，以及，所述第二数据源的数据流出的第二网络出口。可选地，还包括：第二获取模块，用于获取所述待探测主机中每一个应用程序的行为特征的测试值以及应用行为库中所述待探测主机的行为特征的样本值；所述行为特征至少包括以下一项：应用程序的级别、应用程序访问所述预设类型的数据的数据源的频率、应用程序对外连接的频率、应用程序对外连接的目的地址、应用程序对外连接的端口、运行应用程序的用户、应用程序的进程命令参数、应用程序的运行频率及应用程序的运行时长；第二确定模块，用于如果任意一个应用程序的行为特征中任意一项的测试值与此应用程序在所述行为特征库中此项行为特征的样本值的差别不在预设范围内，则确定探测到可疑进程。可选地，所述第二确定模块用于在行为特征中的任意一项为多维数据的情况下，确定此行为特征的测试值与所述行为特征库中的此项行为特征的样本值的差别的具体过程包括：所述第二确定模块具体用于，计算该项的测试值与所述行为特征库中的此项行为特征的样本值的距离值。可选地，还包括：应用行为库建立模块，用于从预先获取的所述待探测主机的网络事件表及进程事件表中获取每一个应用程序的行为特征；所述行为特征包括应用程序的级别、应用程序访问所述预设类型的数据的数据源的频率、应用程序对外连接的频率、应用程序对外连接的目的地址、应用程序对外连接的端口、
运行应用程序的用户、应用程序的进程命令参数、应用程序的运行频率及应用程序的运行时长。可选地，还包括：第三确定模块，用于按照预设的进程风险规则，从所述待探测主机的进程中确定可疑进程，所述进程风险规则包括：所述待探测主机发起对自身的网络连接及该连接的目标端口为远程登录端口。与现有技术相比，本申请实施例具有以下有益效果：本申请所述的可疑进程的探测方法及装置，获取待探测主机的数据流向特征的测试值及数据流向库中的待探测主机对应的数据流向特征的样本值，其中，数据流向特征包括数据源特征、进程列表以及网络出口特征，如果在所述数据源特征的测试值与所述数据源特征的样本值相同的情况下，进程列表的测试值与进程列表的样本值不同或者网络出口特征的测试值与网络出口特征的样本值不同，则确定探测到可疑进程，可见，本申请所述的可疑进程探测方法及装置，以数据的流向特本文档来自技高网...

【技术保护点】
一种可疑进程的探测方法，其特征在于，包括：获取待探测主机的数据流向特征的测试值，以及，数据流向库中所述待探测主机对应的数据流向特征的样本值；所述数据流向特征包括进程列表和网络出口特征中的至少一个、以及数据源特征，所述数据源特征用于指示流入所述待探测主机的预设类型数据的数据源，所述进程列表中包括按照时间顺序排列的、调用所述数据源流出的数据的进程，所述网络出口特征用于指示所述数据源流出的数据在被所述进程列表中的进程调用后、流出所述待探测主机的出口；如果在所述数据源特征的测试值与所述数据源特征的样本值相同的情况下，所述进程列表的测试值与所述进程列表的样本值不同，和/或，所述网络出口特征的测试值与所述网络出口特征的样本值不同，则确定探测到可疑进程。

【技术特征摘要】
1.一种可疑进程的探测方法，其特征在于，包括：获取待探测主机的数据流向特征的测试值，以及，数据流向库中所述待探测主机对应的数据流向特征的样本值；所述数据流向特征包括进程列表和网络出口特征中的至少一个、以及数据源特征，所述数据源特征用于指示流入所述待探测主机的预设类型数据的数据源，所述进程列表中包括按照时间顺序排列的、调用所述数据源流出的数据的进程，所述网络出口特征用于指示所述数据源流出的数据在被所述进程列表中的进程调用后、流出所述待探测主机的出口；如果在所述数据源特征的测试值与所述数据源特征的样本值相同的情况下，所述进程列表的测试值与所述进程列表的样本值不同，和/或，所述网络出口特征的测试值与所述网络出口特征的样本值不同，则确定探测到可疑进程。2.根据权利要求1所述的方法，其特征在于，所述数据流向库的建立过程包括：按照以下方式，分别建立每一个数据源的数据流向特征：从预先获取的所述待探测主机的网络事件表中确定与一个所述数据源特征相关的网络事件；以所述网络事件的进程编号和时间戳为查找条件，通过关联所述网络事件表、所述待探测主机的进程事件表及所述待探测主机的文件读写事件表，依次获得调用所述数据源的数据的进程，以及，所述第二数据源的数据流出的第二网络出口。3.根据权利要求1或2所述的方法，其特征在于，还包括：获取所述待探测主机中每一个应用程序的行为特征的测试值，以及，应用行为库中所述待探测主机的行为特征的样本值；所述行为特征至少包括以下一项：应用程序的级别、应用程序访问所述预设类型的数据的数据源的频率、应用程序对外连接的频率、应用程序对外连接的目的地址、应用程序对
\t外连接的端口、运行应用程序的用户、应用程序的进程命令参数、应用程序的运行频率及应用程序的运行时长；如果任意一个应用程序的行为特征中任意一项的测试值与此应用程序在所述行为特征库中此项行为特征的样本值的差别不在预设范围内，则确定探测到可疑进程。4.根据权利要求3所述的方法，其特征在于，在行为特征中的任意一项为多维数据的情况下，此行为特征的测试值与所述行为特征库中的此项行为特征的样本值的差别的确定方法包括：计算该项的测试值与所述行为特征库中此项行为特征的样本值之间的距离值。5.根据权利要求4所述的方法，其特征在于，所述应用行为库的建立过程包括：从预先获取的所述待探测主机的网络事件表及进程事件表中，获取每一个应用程序的行为特征；所述行为特征包括应用程序的级别、应用程序访问所述预设类型的数据的数据源的频率、应用程序对外连接的频率、应用程序对外连接的目的地址、应用程序对外连接的端口、运行应用程序的用户、应用程序的进程命令参数、应用程序的运行频率及应用程序的运行时长。6.根据权利要求1或2所述的方法，其特征在于，还包括：按照预设的进程风险规则，从所述待探测主机的进程中确定可疑进程，所述进程风险规则包括：所述待探测主机发起对自身的网络连接及该连接的目标端口为远程登录端口。7.一种可疑进程的探测装置，其特征在于，包括：第一获取模块，用于获取待...

【专利技术属性】
技术研发人员：陈艳军，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY