技術領域

本發(fā)明涉及計算機技術領域，尤其涉及一種進程識別方法及系統(tǒng)。

背景技術

進程在啟動過程中，要經過系統(tǒng)的多次檢查，比如進程映像文件的完整性、可運行系統(tǒng)的子系統(tǒng)環(huán)境、需要導入的外部動態(tài)鏈接庫、安全描述符、系統(tǒng)資源等，然后才能向系統(tǒng)申請到所需的各類資源（內存、外設等），并建立該進程的主線程來完成具體的工作。

系統(tǒng)如對運行在內部的所有線程行為不再做任何管控，其中一些非法的線程就可能會進行破壞系統(tǒng)的穩(wěn)定性、干擾其他線程的正常運行、盜取用戶電腦上的資料等程序。因此，需要對線程所屬的進程身份進行鑒定，確保對非法的進程進行處理。

在當下經濟的高速發(fā)展下，企業(yè)的信息越來越重要，為防止非法進程，比如：病毒、木馬等，竊取企業(yè)機密，提出了一些解決方案：

一、依靠進程名來識別進程，但該方法無法有效識別偽造進程名的非法進程。

二、通過校驗進程映像文件的雜湊值，比如：MD5（Message-Digest?algorithm5，信息摘要算法）值等識別進程，但當進程映像文件過大時會導致計算時間過長，效率低下。

綜上可知，現有技術在實際使用上顯然存在不便與缺陷，所以有必要加以改進。

發(fā)明內容

針對上述的缺陷，本發(fā)明的目的在于提供一種進程識別方法及系統(tǒng)，其具有識別準確性高、識別效率高、安全性強的優(yōu)點。

為了實現上述目的，本發(fā)明提供一種進程識別方法，包括如下步驟：

信息采集步驟，采集目標進程的PE文件所述PE文件的屬性信息；

加密計算步驟，對所述PE文件和所述屬性信息進行加密算法計算，獲得對應的特征值；

進程識別步驟，將所述特征值與預存的效驗值進行比較，以識別所述目標進程是否為合法進程。

根據本發(fā)明所述的進程識別方法，所述信息采集步驟進一步包括：

獲取所述目標進程的所述PE文件的文件大小數值；

將所述文件大小數值與一預存的閾值進行比較；

若所述文件大小數值大于所述閾值，則采集所述目標進程的所述PE文件的預定部分內容和所述屬性信息，否則采集所述目標進程的整個所述PE文件和所述屬性信息。

根據本發(fā)明所述的進程識別方法，所述PE文件的所述預定部分內容包括：固定大小數值的一頭部文件段、一中部文件段和一尾部文件段。

根據本發(fā)明所述的進程識別方法，所述屬性信息包括所述PE文件的版本號、文件大小和/或數字簽名；和/或

所述加密算法計算采用SHA1值計算。

根據本發(fā)明所述的進程識別方法，所述進程識別步驟進一步包括：

將所述特征值與預存的白名單進程的所述效驗值進行比較；

若所述特征值與所述效驗值相符，則將所述目標進程識別為合法進程，否則將所述目標進程識別為非法進程。

根據本發(fā)明所述的進程識別方法，所述信息采集步驟之前還包括：

獲取所述目標進程的進程標識符；

判斷所述目標進程的所述進程標識符是否存在于一合法進程標識符數據庫中，若存在則判定所述目標進程合法，否則繼續(xù)進行所述信息采集步驟；

在所述進程識別步驟中，若所述目標進程判斷為合法進程，則還包括步驟有：

將所述目標進程的所述進程標識符存入所述合法進程標識符數據庫。

本發(fā)明還提供一種進程識別系統(tǒng)，包括有：

信息采集模塊，用于采集目標進程的PE文件所述PE文件的屬性信息；

加密計算模塊，用于對所述PE文件和所述屬性信息進行加密算法計算，獲得對應的特征值；

進程識別模塊，用于將所述特征值與預存的效驗值進行比較，以識別所述目標進程是否為合法進程。

根據本發(fā)明所述的進程識別系統(tǒng)，所述信息采集模塊進一步包括：

數值獲取子模塊，用于獲取所述目標進程的所述PE文件的文件大小數值；

數值比較子模塊，用于將所述文件大小數值與一預存的閾值進行比較；

信息采集子模塊，用于若所述文件大小數值大于所述閾值，則采集所述目標進程的所述PE文件的預定部分內容和所述屬性信息，否則采集所述目標進程的整個所述PE文件和所述屬性信息。

根據本發(fā)明所述的進程識別系統(tǒng)，所述PE文件的所述預定部分內容包括：固定大小數值的一頭部文件段、一中部文件段和一尾部文件段。

根據本發(fā)明所述的進程識別系統(tǒng)，所述屬性信息包括所述PE文件的版本號、文件大小和/或數字簽名；和/或

所述加密算法計算采用SHA1值計算。