[发明专利]一种检测远程入侵计算机行为的方法及系统

权利要求书

1.一种检测远程入侵计算机行为的方法，其特征在于，包括：

对系统中的进程创建事件进行监控；

当监控到创建某进程的请求时，拦截该进程创建请求；

通过分析该进程、该进程的祖先进程，以及当前开放的端口，判断该进程创建操作是否正常；

如果所述进程创建请求不正常，则将该进程创建请求确定为远程入侵计算机的行为。

2.根据权利要求1所述的方法，其特征在于，如果所述进程创建操作不正常，则还包括：

阻止进程创建操作的执行；

或者，

向发出异常报警，根据用户的选择操作，阻止或允许进程创建操作的执行。

3.根据权利要求1所述的方法，其特征在于，如果所述进程创建请求正常，则还包括：

允许创建操作的执行。

4.根据权利要求1至3任一项所述的方法，其特征在于，所述通过分析该进程、该进程的祖先进程，以及当前开放的端口，判断该进程创建请求是否正常包括：

判断该进程的祖先进程中是否存在当所述端口开放时常被利用于远程入侵的进程；

如果是，则判断该进程是否为当所述端口开放时常被利用于远程入侵的进程；

如果是，则判定所述进程创建请求不正常。

5.根据权利要求4所述的方法，其特征在于，在所述判定所述进程创建请求不正常之前还包括：

判断该进程和/或其祖先进程的运行参数是否正常，如果不正常，则判定所述进程创建请求不正常。

6.一种检测远程入侵计算机行为的系统，其特征在于，包括：

监控单元，用于对系统中的进程创建事件进行监控；

拦截单元，用于当监控到创建某进程的请求时，拦截该进程创建请求；

分析单元，用于通过分析该进程、该进程的祖先进程，以及当前开放的端口，判断该进程创建操作是否正常；

确定单元，用于如果所述进程创建请求不正常，则将该进程创建请求确定为远程入侵计算机的行为。

7.根据权利要求6所述的系统，其特征在于，如果所述进程创建操作不正常，则还包括：

第一处理单元，用于阻止进程创建操作的执行；

或者，

第二处理单元，用于向发出异常报警，根据用户的选择操作，阻止或允许进程创建操作的执行。

8.根据权利要求6所述的系统，其特征在于，如果所述进程创建请求正常，则还包括：

第三处理单元，用于允许创建操作的执行。

9.根据权利要求6至8任一项所述的系统，其特征在于，所述分析单元包括：

第一判断子单元，用于判断该进程的祖先进程中是否存在当所述端口开放时常被利用于远程入侵的进程；

第二判断子单元，用于如果所述第一判断子单元的判断结果为是，则判断该进程是否为当所述端口开放时常被利用于远程入侵的进程；

确定子单元，用于如果所述第二判断子单元的判断结果为是，则判定所述进程创建请求不正常。

10.根据权利要求9所述的系统，其特征在于，还包括：

第三判断子单元，用于判断该进程和/或其祖先进程的运行参数是否正常，如果不正常，则所述确定子单元判定所述进程创建请求不正常。