本申請公開了一種異常進程的處置方法，包括：檢測異常進程；根據(jù)進程行為關系對所述異常進程進行匹配，得到行為記錄；其中，所述進程行為關系包括進程與行為記錄的關聯(lián)關系；根據(jù)所述行為記錄執(zhí)行痕跡處置操作。通過當檢測到異常進程時，根據(jù)進程行為關系匹配出該異常進程相關的行為記錄，最后再根據(jù)行為記錄執(zhí)行痕跡處置操作，以便將該異常進程相關的行為的痕跡進行處理，而不用技術人員編寫規(guī)則再進行處理，提高行為痕跡處理的效率，同時，檢索出的多個行為記錄也更加全面，提高異常進程的處理效果，避免遺漏。本申請還公開了一種異常進程的處置裝置、服務器以及計算機可讀存儲介質，具有以上有益效果。

技術領域

本申請涉及計算機技術領域，特別涉及一種異常進程的處置方法、處置裝置、服務器以及計算機可讀存儲介質。

背景技術

隨著計算機技術的不斷發(fā)展，目前在計算機領域中安全問題越來越受到重視。為了提高數(shù)據(jù)和計算機安全性，可以通過特定軟件阻止異常進程的運行，避免異常進程造成不良后果。例如，通過安全軟件阻止惡意進程的運行，避免惡意進程造成嚴重后果。

但是，異常進程已經遺留的行為痕跡卻未能檢測并清除，還會在異常進程之后造成不良后果。例如，惡意進程A啟動創(chuàng)建了腳本B并添加了計劃任務或自啟動注冊表等。當計算機防護程序檢測到惡意進程A存在惡意行為并隔離后，惡意進程A創(chuàng)建的腳本B以及計劃任務或自啟動注冊表等并未刪除，仍有可能對計算機造成威脅。可見，檢測到異常進程后，需要對該異常進程的相關行為進行處理，以便避免不良后果。

相關技術中，首先檢測異常進程，將檢測到的異常進程直接進行隔離。然后，技術人員對該對該異常進程進行分析，然后手動編寫痕跡識別規(guī)則，最后采用該痕跡識別規(guī)則識別異常進程的行為痕跡，最后進行清理。但是，需要花費較高的人工成本，效率較低，不具備及時性。

因此，如何提高處理異常進程的行為的效率是本領域技術人員關注的重點問題。

發(fā)明內容

本申請的目的是提供一種異常進程的處置方法、處置裝置、服務器以及計算機可讀存儲介質，為了解決異常進程的行為處理還需要通過人工編寫規(guī)則的效率問題和準確性問題。

為解決上述技術問題，本申請?zhí)峁┮环N異常進程的處置方法，包括：

檢測異常進程；

根據(jù)進程行為關系對所述異常進程進行匹配，得到行為記錄；其中，所述進程行為關系包括進程與行為記錄的關聯(lián)關系；

根據(jù)所述行為記錄執(zhí)行痕跡處置操作。

可選的，獲取所述進程行為關系的步驟，包括：

獲取每個進程的操作行為；

以進程為單位對所有所述操作行為進行關聯(lián)，得到所述進程行為關系。

可選的，獲取每個進程的操作行為，包括：

通過內核驅動程序和/或應用層掛鉤接口獲取每個進程的操作行為。

可選的，檢測異常進程，包括：

根據(jù)云端獲取的異常進程行為特征庫檢測所述異常進程。

可選的，根據(jù)所述行為記錄執(zhí)行痕跡處置操作，包括：

根據(jù)行為結果信息對多個所述行為記錄進行篩選，得到多個關鍵行為；

對所述多個關鍵行為執(zhí)行痕跡處置操作。

可選的，根據(jù)所述行為記錄執(zhí)行痕跡處置操作，包括：

從云端平臺獲取關鍵行為特征庫；

根據(jù)所述關鍵行為特征庫對多個所述行為記錄進行篩選，得到多個關鍵行為；

對所述多個關鍵行為執(zhí)行痕跡處置操作。