[发明专利]一种监测和清除分裂炸弹程序攻击的方法

说明书

本发明公开一种监测和清除分裂炸弹程序攻击的方法，利用计算机操作系统中的进程描述表，以添加原生父进程信息及子进程信息形成原生进程树；判断计算机操作系统是否符合分裂炸弹攻击条件在符合时选择第一可疑进程对象按照通用算法进行处理，并同时记录第一可疑进程对象的原生父进程信息；判断计算机操作系统是否仍符合分裂炸弹攻击条件在符合时选择第二可疑进程对象，并根据原生进程树来确定第二可疑进程对象的原生父进程信息与最近的祖先进程信息作为可疑程序进行处理，以结束可疑程序及可疑进程对象的子进程。利用原生进程树与最近公共祖先查询算法，有效的定位分裂炸弹或者问题故障进程，避免计算机系统的崩溃或重启，或者发生拒绝服务。

技术领域

本发明涉及软件系统技术领域，尤其涉及一种监测和清除分裂炸弹程序攻击的方法。

背景技术

当前各类通用计算机操作系统，包括Unix类，即含BSD系统，Linux系统，安卓系统，iOS系统，和Windows系统等，针对分裂炸弹(Fork Bomb)的拒绝服务(DoS)攻击，都还不能进行有效的监测和防护；通常有的系统是不采取任何抵御措施；有的采取简单的抵御措施，如通过限制单一用户的最大进程数量；有的系统用简单的试探规则进行判断，选择本身占用内存大或者包含其子进程占用的内存量大的进程，判断，这种方式正确率不高或者是根本无效。

目前，只有少量可信用户登录访问的计算机系统，例如个人PC，不设防通常危害不严重，针对使用用户较多的大型公共服务器，则必须设防；但是简单设置用户进程限制，又不方便灵活，不利于计算资源的有效使用。使用简单的试探算法，无论依据单个进程的内存资源占用，还是包含子进程内存占用，都无法保证定位到炸弹程序；后者还容易误判合法的拥有很多子进程的程序，如WEB服务，窗口管理器等，结果都是正确率不高或者是根本无效。

并且，简单试探算法无效的深层原因是，POSIX系统从设计上就没有考虑保持进程间的创建关系，现有进程关系树无法满足要求；如前所述，现有的方法是设置用户最大可拥有进程数量，使用内存不足终结者程序(OOM，out-of-memory killer)试探算法结束占用内存资源最大的进程，通常两者结合使用，内存不足终结者程序作为最后一道防线使用，进一步给用户带来不便。

发明内容

针对现有技术中存在的上述问题，现提供一种监测和清除分裂炸弹程序攻击的方法。

具体技术方案如下：

一种监测和清除分裂炸弹程序攻击的方法，用于计算机操作系统，其中包括：

步骤S1、利用所述计算机操作系统中的进程描述表，以添加原生父进程信息及子进程信息，形成一原生进程树；

步骤S2、判断所述计算机操作系统是否符合一分裂炸弹攻击条件，并在符合时转向步骤S3；

所述步骤S3、选择第一可疑进程对象按照通用算法进行处理，并同时记录所述第一可疑进程对象的原生父进程信息；

步骤S4、判断所述计算机操作系统是否仍符合所述分裂炸弹攻击条件，并在符合时转向步骤S5；

所述步骤S5、选择第二可疑进程对象，并根据所述原生进程树来确定所述第二可疑进程对象的原生父进程信息与最近的祖先进程信息作为可疑程序进行处理，以结束所述可疑程序及所述可疑进程对象的子进程。

优选的，当所述计算机操作系统运行正常时，还包括一维护步骤；

所述维护步骤包括以定期维护保持所述原生进程树的进程间的创建关系。

优选的，于所述步骤S2中，判断所述计算机操作系统不符合所述分裂炸弹攻击条件时，则转向所述维护步骤。

优选的，于所述步骤S4中，判断所述计算机操作系统仍不符合所述分裂炸弹攻击条件时，转向所述维护步骤。