[发明专利]Linux服务器下的恶意进程检测方法

说明书

本发明提供一种Linux服务器下的恶意进程检测方法：包括以下步骤：1)、选择需要检测的服务器；2)、获取所有服务器中的进程信息；3)、根据步骤2得到的进程信息，得到共有进程信息和单一进程信息；4)、将进程信息与白名单进行匹配对比，得到判断结果；5)、将判断结果后进行反馈处理。本发明可以快速定位到隐蔽性强的恶意进程后门，方便相关服务器管理人员快速准确定位恶意服务器进程。在持久化部署的情况下，可以有效提升服务器管理人员的效率。

技术领域

本发明涉及一种恶意进程检测方法，具体涉及一种Linux服务器下的恶意进程检测方法。

背景技术

当下互联网中有大量Linux服务器作为业务服务器，若服务器安全防范措施布置不当时会导致服务器被他人种下恶意进程后门，后门具有一定隐蔽性，会造成管理人员无法发现或者忽略。若管理人员无法快速定位进行清除。会导致服务器被恶意长久控制，造成的危害难以估量。

隐蔽性即为:将进程名修改为正常服务名，混淆服务器相关管理人员，通过ps等命令无法发现的恶意进程后门，且非启用/启用状态占用内存CPU较低的进程。

企业服务器在生产环境中被种入被修改了进程名等具有隐蔽性的持久化恶意进程后门，管理人员难以发现或无法直观发现。

若隐藏的恶意进程后门未被发现，会造成该服务器被持续控制，对企业后期相关业务造成难以估摸的影响。

目前识别方案1：主要在于通过虚拟机监控器层。需借助虚拟机监控器层与系统命令PS进行对比判断，若非处于虚拟机环境则无法实现。方案2：通过判断进程执行路径是否属于预设的合法路径来识别恶意进程。为定制化检测方案，需专业人员进行路径的导入。且若恶意进程处于预设的合法路径下执行，会导致无法检测。

因此，需要对现有技术进行改进。

发明内容

本发明要解决的技术问题是提供一种高效的Linux服务器下的恶意进程检测方法。

为解决上述技术问题，本发明提供一种Linux服务器下的恶意进程检测方法：包括以下步骤：

1)、选择需要检测的服务器；

2)、获取所有服务器中的进程信息；

3)、根据步骤2得到的进程信息，得到共有进程信息和单一进程信息；

4)、将进程信息与白名单进行匹配对比，得到判断结果；

5)、将判断结果后进行反馈处理。

作为对本发明Linux服务器下的恶意进程检测方法的改进：

步骤2获取的信息包括进程名、进程PID、进程所属用户、进程路径、进程占用CPU、进程占用内存、启动时执行信息、进程主要调用信息、特殊唯一性判断信息。

作为对本发明Linux服务器下的恶意进程检测方法的进一步改进：

特殊唯一性判断信息为该进程在运行中携带的参数/创建的特殊文件。

作为对本发明Linux服务器下的恶意进程检测方法的进一步改进：

步骤2具体获取进程信息通过收集/proc/目录及ps等常用命令获取。

作为对本发明Linux服务器下的恶意进程检测方法的进一步改进：

步骤3包括：

3.1)、判断进程信息的进程名是否在所有服务器中皆出现，若进程名皆存在，执行步骤3.2；

3.2)、判断该进程信息在不同服务器的进程名/PID/所属用户/进程路径是否一致，若一致；执行步骤3.3；