[發明專利]一種檢測服務器中異常進程的方法與裝置在審
| 申請號: | 201911068920.6 | 申請日: | 2019-11-05 |
| 公開(公告)號: | CN110855649A | 公開(公告)日: | 2020-02-28 |
| 發明(設計)人: | 陶敬;李陽;常躍;詹旭娜;王莞爾;郝傳洲;鄭寧;陳奕光 | 申請(專利權)人: | 西安交通大學 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;G06F21/52 |
| 代理公司: | 西安智大知識產權代理事務所 61215 | 代理人: | 段俊濤 |
| 地址: | 710049 陜*** | 國省代碼: | 陜西;61 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 檢測 服務器 異常 進程 方法 裝置 | ||
1.一種檢測服務器中異常進程的方法,其特征在于,包括:
在目標服務器中部署腳本程序,并運行該程序采集服務器進程日志;
基于圖算法訓練歷史進程日志數據,并產生合法進程白名單;
在大數據平臺上利用合法進程白名單對目標服務器的進程日志實時分析并輸出異常進程信息。
2.根據權利要求1所述檢測服務器中異常進程的方法,其特征在于,所述采集進程日志的腳本程序包括:
監控服務器關于內核的偽文件系統中的進程信息文件夾,并實時將內核創建的進程寫入進程日志文件,進程信息包括進程的創建和銷毀、進程的運行狀態和運行時間、資源占用情況和進程訪問網絡資源情況;
設置時間窗口定時獲取服務器中所有進程的快照并寫入進程日志文件,所述進程包括系統進程、第三方服務程序啟動的進程和用戶啟動的進程。
3.根據權利要求1所述檢測服務器中異常進程的方法,其特征在于,所述產生合法進程白名單的實現過程如下:
根據服務器進程日志構建進程-服務器關聯圖,若兩個獨立的進程pi和pj均在相同的nij(nij>0)臺服務器上運行過,則這兩個進程對應的頂點之間有一條連接邊e(pi,pj),且邊對應的權重為wij,nij取值越大時,對應的wij越大,所述圖算法為K-Core算法,利用K-Core圖算法計算進程-服務器關聯圖各頂點的Core值,Core值高于閾值的頂點對應的進程為合法進程,并寫入白名單。
4.根據權利要求3所述檢測服務器中異常進程的方法,其特征在于,所述利用K-Core圖算法計算進程-服務器關聯圖各頂點的Core值的方法是:
求取任意頂點所連接的邊的歸一化權重,后對其求和,取代原有的度值計算方式,將加權進程網絡轉化為無權網絡后,利用K-Core算法計算進程的合法度排名。
5.根據權利要求1所述檢測服務器中異常進程的方法,其特征在于,所述合法進程包括服務器系統進程、可信任第三方服務程序產生的進程、用戶啟動的進程,異常進程包括惡意代碼進程、黑客安插的后門進程。
6.一種檢測服務器中異常進程的裝置,其特征在于,包括:
進程日志采集模塊,用于采集服務器異常進程檢測所需的日志數據;
進程白名單生成模塊,用于從歷史進程日志中通過無監督的方式獲取合法進程的白名單;
服務器進程日志傳輸模塊,利用數據管道從目標服務器獲取進程數據并傳輸到大數據分析平臺;
異常進程檢測模塊,在大數據平臺上利用進程白名單實時檢測目標服務器異常進程,并從服務器進程日志中抽取異常進程的特征信息。
7.根據權利要求1所述檢測服務器中異常進程的裝置,其特征在于,所述進程日志采集模塊主要采集目標服務器的proc/偽文件系統中的進程信息和當前所有進程的快照數據并寫入日志。
8.根據權利要求1所述檢測服務器中異常進程的裝置,其特征在于,所述進程白名單生成模塊包括:
從歷史進程日志中獲取進程名和IP信息,構建加權進程-主機關聯圖;
計算加權網絡中每個頂點連接邊的歸一化權重;
將邊歸一化權重的加和作為頂點的度值,進而將加權進程網絡轉化為無權進程網絡;
利用K-Core算法計算,對無權進程網絡逐層分解,得到不同重要性的頂點分組;
設定閾值,重要性高于該閾值的頂點對應的進程為合法進程,并將它們寫入進程白名單。
9.根據權利要求1所述檢測服務器中異常進程的裝置,其特征在于,所述異常進程檢測模塊包括:
從數據管道接收來自目標服務器的進程數據;
在大數據平臺上利用進程白名單過濾合法進程數據,實時檢測目標服務器中的異常進程;
提取異常進程的特征信息并輸出。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于西安交通大學,未經西安交通大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201911068920.6/1.html,轉載請聲明來源鉆瓜專利網。
