[发明专利]一种检测远程入侵计算机行为的方法及系统

说明书

技术领域

本发明涉及计算机安全技术领域，特别是涉及一种检测远程入侵计算机行为的方法及系统。

背景技术

一台拥有IP地址的计算机，可以通过开放端口的方式，提供各种服务给网络中的其他计算机。所谓端口，是对英文port的意译，通常被认为是计算机与外界通讯交流的出口。例如，HTTP(Hypertext Transport Protocol，超文本传送协议)服务器会开放TCP端口80，这样，用户的计算机就可以通过该端口80与服务器连接，并交换HTTP协议，获得最终呈现在用户计算机上的HTTP页面。或者，邮件服务器可以开放端口587，用户计算机可以通过端口587与邮件服务器连接，并交换SMTP(Simple Mail Transfer Protocol，简单邮件传输协议)协议，实现传动邮件的功能。再或者，用户的计算机中还可能开放一些端口，以实现一些功能。例如，用户的计算机可能默认开放端口135，以便能够与另一台计算机进行连接，实现远程协助功能，等等。

一般的用户并没有足够的知识，去管理自己的机器需要开放与关闭哪些端口，这就给黑客留下了入侵计算机(可能是前述HTTP服务器、邮件服务器，还有可能是普通用户的计算机)的机会。入侵常用的手法之一就是扫描目标机器，找寻可利用的开放端口，然后连线至这些端口操控目标机器。例如，入侵者可以通过SMTP端口587传递垃圾邮件，或者利用Telnet端口23，远程登录到用户机器等等。

为了防止受到这种远程入侵行为的攻击，现有技术通常是使用防火墙技术进行拦截。防火墙技术主要是通过添加规则限制连接的方式来起到这种拦截的作用。也即，可以以白名单的方式，设置能够连接到某开放的端口的IP地址名单，或者以黑名单的方式，设置不能连接到某开放的端口的IP地址名单，当一个连接请求被防火墙拦截，便依照该白名单或黑名单，判断该连接请求的IP地址是否为允许连接的IP地址，以此来判断此次连接请求是否为黑客入侵，进而决定是否报警或者阻止此次连接。

防火墙技术可以从一定程度上起到防止远程入侵计算机的作用，但是，至少存在以下弊端：需要用户设置规则，对用户的专业性要求较高；并且如果使用白名单的方式，则造成误判的可能性比较大，并且，随着新增lP地址的加入，名单也会过于庞大，影响连接的响应速度；如果使用黑名单的方式，则难免百密一疏，并且同样存在可能会膨胀过大及其所带来的问题。

发明内容

本发明提供了一种检测远程入侵计算机行为的方法及系统，能够在不需要用户干预的情况下进程远程入侵行为的检测，并且不至于使得保存的数据膨胀过大。

本发明提供了如下方案：

一种检测远程入侵计算机行为的方法，包括：

对系统中的进程创建事件进行监控；

当监控到创建某进程的请求时，拦截该进程创建请求；

通过分析该进程、该进程的祖先进程，以及当前开放的端口，判断该进程创建操作是否正常；

如果所述进程创建请求不正常，则将该进程创建请求确定为远程入侵计算机的行为。

优选地，如果所述进程创建操作不正常，则还包括：

阻止进程创建操作的执行；

或者，

向发出异常报警，根据用户的选择操作，阻止或允许进程创建操作的执行。

优选地，如果所述进程创建请求正常，则还包括：

允许创建操作的执行。

其中，所述通过分析该进程、该进程的祖先进程，以及当前开放的端口，判断该进程创建请求是否正常包括：

判断该进程的祖先进程中是否存在当所述端口开放时常被利用于远程入侵的进程；

如果是，则判断该进程是否为当所述端口开放时常被利用于远程入侵的进程；

如果是，则判定所述进程创建请求不正常。

优选地，在所述判定所述进程创建请求不正常之前还包括：

判断该进程和/或其祖先进程的运行参数是否正常，如果不正常，则判定所述进程创建请求不正常。

一种检测远程入侵计算机行为的系统，包括：

监控单元，用于对系统中的进程创建事件进行监控；

拦截单元，用于当监控到创建某进程的请求时，拦截该进程创建请求；

分析单元，用于通过分析该进程、该进程的祖先进程，以及当前开放的端口，判断该进程创建操作是否正常；

确定单元，用于如果所述进程创建请求不正常，则将该进程创建请求确定为远程入侵计算机的行为。

优选地，如果所述进程创建操作不正常，则还包括：