[發明專利]一種檢測遠程入侵計算機行為的方法及系統有效
| 申請號: | 201210026317.3 | 申請日: | 2012-02-07 |
| 公開(公告)號: | CN102663274A | 公開(公告)日: | 2012-09-12 |
| 發明(設計)人: | 范紀鍠;鄭文彬;路健華;張曉霖 | 申請(專利權)人: | 奇智軟件(北京)有限公司 |
| 主分類號: | G06F21/00 | 分類號: | G06F21/00 |
| 代理公司: | 北京市德權律師事務所 11302 | 代理人: | 劉麗君 |
| 地址: | 100016 北京市朝陽*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 檢測 遠程 入侵 計算機 行為 方法 系統 | ||
1.一種檢測遠程入侵計算機行為的方法,其特征在于,包括:
對系統中的進程創建事件進行監控;
當監控到創建某進程的請求時,攔截該進程創建請求;
通過分析該進程、該進程的祖先進程,以及當前開放的端口,判斷該進程創建操作是否正常;
如果所述進程創建請求不正常,則將該進程創建請求確定為遠程入侵計算機的行為。
2.根據權利要求1所述的方法,其特征在于,如果所述進程創建操作不正常,則還包括:
阻止進程創建操作的執行;
或者,
向發出異常報警,根據用戶的選擇操作,阻止或允許進程創建操作的執行。
3.根據權利要求1所述的方法,其特征在于,如果所述進程創建請求正常,則還包括:
允許創建操作的執行。
4.根據權利要求1至3任一項所述的方法,其特征在于,所述通過分析該進程、該進程的祖先進程,以及當前開放的端口,判斷該進程創建請求是否正常包括:
判斷該進程的祖先進程中是否存在當所述端口開放時常被利用于遠程入侵的進程;
如果是,則判斷該進程是否為當所述端口開放時常被利用于遠程入侵的進程;
如果是,則判定所述進程創建請求不正常。
5.根據權利要求4所述的方法,其特征在于,在所述判定所述進程創建請求不正常之前還包括:
判斷該進程和/或其祖先進程的運行參數是否正常,如果不正常,則判定所述進程創建請求不正常。
6.一種檢測遠程入侵計算機行為的系統,其特征在于,包括:
監控單元,用于對系統中的進程創建事件進行監控;
攔截單元,用于當監控到創建某進程的請求時,攔截該進程創建請求;
分析單元,用于通過分析該進程、該進程的祖先進程,以及當前開放的端口,判斷該進程創建操作是否正常;
確定單元,用于如果所述進程創建請求不正常,則將該進程創建請求確定為遠程入侵計算機的行為。
7.根據權利要求6所述的系統,其特征在于,如果所述進程創建操作不正常,則還包括:
第一處理單元,用于阻止進程創建操作的執行;
或者,
第二處理單元,用于向發出異常報警,根據用戶的選擇操作,阻止或允許進程創建操作的執行。
8.根據權利要求6所述的系統,其特征在于,如果所述進程創建請求正常,則還包括:
第三處理單元,用于允許創建操作的執行。
9.根據權利要求6至8任一項所述的系統,其特征在于,所述分析單元包括:
第一判斷子單元,用于判斷該進程的祖先進程中是否存在當所述端口開放時常被利用于遠程入侵的進程;
第二判斷子單元,用于如果所述第一判斷子單元的判斷結果為是,則判斷該進程是否為當所述端口開放時常被利用于遠程入侵的進程;
確定子單元,用于如果所述第二判斷子單元的判斷結果為是,則判定所述進程創建請求不正常。
10.根據權利要求9所述的系統,其特征在于,還包括:
第三判斷子單元,用于判斷該進程和/或其祖先進程的運行參數是否正常,如果不正常,則所述確定子單元判定所述進程創建請求不正常。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于奇智軟件(北京)有限公司,未經奇智軟件(北京)有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201210026317.3/1.html,轉載請聲明來源鉆瓜專利網。
