本發明一種檢測服務器中異常進程的方法與裝置，用以檢測服務器中存在的異常進程。所述方法與裝置包括：在目標服務器中部署采集進程日志的腳本程序，可以獲取服務器中的內核運行日志和進程快照，然后基于一種圖計算方法訓練進程日志以產生合法進程白名單，最后借助進程白名單在大數據平臺上實時分析服務器進程日志并從中找出異常信息。與現有技術相比，本發明的創新點在于：1)將圖計算方法應用于服務器異常進程檢測；2)可通過無監督的方式產生服務器進程白名單；3)結合大數據平臺實時分析大量服務器上的進程日志并提取異常進程相關信息。

技術領域

本發明屬于計算機技術領域，涉及服務器異常進程檢測，特別涉及一種檢測服務器中異常進程的方法與裝置。

背景技術

進程是系統動態執行操作的基本單位，服務器中的進程不僅是程序的動態實現，還包括對資源的調度和分配活動。服務器中任何惡意程序的執行都會啟動相應的異常進程，如木馬病毒、蠕蟲、僵尸網絡和DDoS攻擊等惡意攻擊都會事先在服務器中安插后門進程。如果能在惡意程序執行初期檢測出服務器中的相應異常進程，并采取一定的措施，就能避免遭受更大的損失。

目前對網絡攻擊的主要防護手段是防火墻和入侵檢測技術，防火墻作為內網和外網的一道警戒線，有效地阻擋了大部分的惡意攻擊。但防火墻的功能是有局限性的，它的防御策略是靜態的，且只能阻擋來自于外網的攻擊。

入侵檢測技術有效的彌補了防火墻的缺陷，它可以實時監控主機狀態以判斷用戶行為是否正常。進程監控是網絡安全技術的重要實現環節，許多入侵檢測系統和殺毒軟件都會有監控主機進程的功能。然而入侵檢測技術對于異常進程檢測的時效性較差，且忽略了進程的全局特性。

發明內容

針對現有異常進程檢測技術和工具存在的缺陷，本發明的目的在于提供一種檢測服務器中異常進程的方法與裝置，提高異常進程檢測的時效性。

為了實現上述目的，本發明采用的技術方案是：

一種檢測服務器中異常進程的方法，包括：

在目標服務器中部署腳本程序，并運行該程序采集服務器進程日志；

基于圖算法訓練歷史進程日志數據，并產生合法進程白名單；

在大數據平臺上利用合法進程白名單對目標服務器的進程日志實時分析并輸出異常進程信息。

所述采集進程日志的腳本程序包括：

監控服務器關于內核的偽文件系統中的進程信息文件夾，并實時將內核創建的進程寫入進程日志文件，進程信息包括但不限于進程的創建和銷毀、進程的運行狀態和運行時間、資源占用情況和進程訪問網絡資源情況等；

設置時間窗口定時獲取服務器中所有進程的快照并寫入進程日志文件，所述進程包括但不限于系統進程、第三方服務程序啟動的進程和用戶啟動的進程。

所述合法進程包括但不限于服務器系統進程、可信任第三方服務程序產生的進程、用戶啟動的進程，異常進程包括但不限于惡意代碼進程、黑客等安插的后門進程。

合法進程中的多數進程在服務器中很流行，即是它們均運行在多數服務器中，這些進程包括但不限于系統進程、較流行的可信任第三方服務程序產生的進程、部分用戶啟動的進程。在進程-服務器關聯圖中，上述合法進程對應的頂點在網絡中的重要性較高，也較為流行。

所述產生合法進程白名單的實現過程如下：