本發明公開了一種進程事件處理方法，所述方法包括：解析本地正在運行的各個進程事件，以獲取所述各個進程事件的進程信息；判斷所述各個進程事件中任意一個目標進程事件是否存在于監聽端口列表或進程信息列表中，若存在，則根據所述目標進程事件的進程信息完善所述進程信息列表；基于完善后的所述進程信息列表對所述目標進程事件進行行為分析，以判斷所述目標進程事件是否屬于惡意事件，若屬于，則建立所述目標進程事件的進程命令樹。本申請提供的技術方案，可以及時發現惡意攻擊事件。

技術領域

本發明涉及互聯網技術領域，特別涉及一種進程事件處理方法和裝置。

背景技術

隨著互聯網的快速發展，網絡上的惡意攻擊事件日漸增長，為提高網絡的安全性，人們越來越重視惡意攻擊事件的分析工作。現有的分析技術，主要依靠事件審計來實現，例如通過檢測文件的篡改記錄來發現入侵行為，或者依靠內核hook函數對進程事件進行檢測。

但是通過檢測文件的篡改記錄來發現入侵行為，屬于事后檢測，不僅無法及時發現惡意攻擊事件，而且無法獲取篡改入口，這就導致不能對惡意攻擊事件進行完整的分析。而通過內核hook函數對進程事件進行檢測，則需要重新編譯內核模塊，不僅使用不方便，而且性能開銷高，穩定性差。

鑒于此，有必要提供一種新的進程事件處理方法和裝置以解決上述不足。

發明內容

本申請的目的在于提供一種新的進程事件處理方法和裝置，可以及時發現惡意攻擊事件。

為實現上述目的，本申請一方面提供一種進程事件處理方法，所述方法包括：解析本地正在運行的各個進程事件，以獲取所述各個進程事件的進程信息；判斷所述各個進程事件中任意一個目標進程事件是否存在于監聽端口列表或進程信息列表中，若存在，則根據所述目標進程事件的進程信息完善所述進程信息列表；基于完善后的所述進程信息列表對所述目標進程事件進行行為分析，以判斷所述目標進程事件是否屬于惡意事件，若屬于，則建立所述目標進程事件的進程命令樹。

為實現上述目的，本申請另一方面還提供一種進程事件處理裝置，所述裝置包括：進程解析模塊，用于解析本地正在運行的各個進程事件，以獲取所述各個進程事件的進程信息；進程篩選模塊，用于判斷所述各個進程事件中任意一個目標進程事件是否存在于監聽端口列表或進程信息列表中，若存在，則根據所述目標進程事件的進程信息完善所述進程信息列表；行為分析模塊，用于基于完善后的所述進程信息列表對所述目標進程事件進行行為分析，以判斷所述目標進程事件是否屬于惡意事件，若屬于，則建立所述目標進程事件的進程命令樹。

為實現上述目的，本申請另一方面還提供一種進程事件處理裝置，所述進程事件處理裝置包括存儲器和處理器，所述存儲器用于存儲計算機程序，當所述計算機程序被所述處理器執行時，實現上述進程事件處理的方法。

由此可見，本申請提供的技術方案，一方面實時監測本地正在運行的各種進程事件，并對上述進程事件進行解析，進而獲取到各個進程事件對應的進程信息，另一方面以監聽端口上運行的進程事件作為關心進程，對監測到的各個進程事件進行篩選，這樣既可以及時發現惡意行為，也可以減少無效進程事件的干擾。在完成進程事件的篩選工作后，本申請還可以基于進程事件的進程信息，對篩選出的進程事件進行行為分析，以判斷該進程事件是否為惡意事件，從而及時發現惡意攻擊行為。對于被判斷為惡意攻擊行為的進程事件，本申請還可以生成該進程事件的進程命令樹，從而使得運維人員可以通過分析上述進程命令樹，對該進程事件的整個攻擊過程進行完整的分析，方便運維人員進行本地排查和溯源分析。

附圖說明

為了更清楚地說明本申請實施例中的技術方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本申請的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1是本申請實施方式一中進程事件處理方法的流程圖；