[发明专利]一种进程名单生成方法和装置

说明书

本发明公开了一种进程名单生成方法和装置，涉及网络安全技术领域，用以解决人工预设异常进程检测规则的方式效率较低，本发明方法包括：确定待检测的服务器正在运行的进程的进程标识；针对任意一个服务器，确定服务器对应的至少一个进程集合的权重，其中进程集合包含对应的服务器正在运行的至少一个进程的进程标识；针对任意一个进程标识，根据包含进程标识的进程集合对应的权重，确定进程标识对应的正常度，其中正常度用于表示各服务器运行同一进程标识对应的进程的频率信息；根据各进程标识对应的正常度生成用于检测异常进程的进程名单，由于本发明基于无监督零人工干预自动生成用于检测异常进程的进程名单，提高了进程名单的生成效率。

技术领域

本发明涉及网络安全技术领域，特别涉及一种进程名单生成方法和装置。

背景技术

目前对网络攻击的主要防护手段是防火墙和入侵检测技术，防火墙作为内网和外网的一道警戒线，有效地阻挡了大部分的恶意攻击。但防火墙的功能是有局限性的，它的防御策略是静态的，且只能阻挡来自于外网的攻击。入侵检测技术有效的弥补了防火墙的缺陷，它可以实时监控服务器状态以判断用户行为是否正常。进程监控是网络安全技术的重要实现环节，许多入侵检测系统和杀毒软件都会有监控服务器进程的功能。然而入侵检测技术对于异常进程检测的时效性较差，且忽略了进程的全局特性，对于单个服务器上的进程独立做检测，忽略了实际业务中使用所有服务器的共性问题。

综上所述，目前主要的入侵检测技术都属于人工预设规则，需要人工采集大量数据进行统计，使得人工预设规则的生成效率较低。

发明内容

本发明提供一种进程名单生成方法盒装置，用以解决相关技术中存在的人工预设异常进程检测规则的方式效率较低问题。

第一方面，本发明实施例提供的一种进程名单生成方法包括：

确定待检测的服务器正在运行的进程的进程标识；

针对任意一个服务器，确定所述服务器对应的至少一个进程集合的权重，其中所述进程集合包含对应的所述服务器正在运行的至少一个进程的进程标识；

针对任意一个进程标识，根据包含所述进程标识的进程集合对应的权重，确定所述进程标识对应的正常度，其中所述正常度用于表示各服务器运行同一进程标识对应的进程的频率信息；

根据各进程标识对应的正常度生成用于检测异常进程的进程名单。

在一种可选的实施方式中，通过下列方式确定所述服务器对应的至少一个进程集合：

若所述服务器正在运行的进程只有一个，则将所述进程的进程标识作为所述服务器对应的进程集合；或

若所述服务器正在运行的进程有多个，则将多个所述进程的进程标识两两组合形成所述服务器对应的多个进程集合。

在一种可选的实施方式中，所述确定所述服务器对应的至少一个进程集合的权重，包括：

针对任意一个进程集合，若所述进程集合包含一个进程标识，则确定所述进程集合对应的权重为预设权重；或

针对任意一个进程集合，若所述进程集合包含两个进程标识，则将所述服务器正在运行的进程数量与所有服务器正在运行的进程总数量的比值作为所述进程集合的权重。

在一种可选的实施方式中，所述根据包含所述进程标识的进程集合对应的权重，确定所述进程标识对应的正常度，包括：

根据包含所述进程标识的进程集合对应的权重，对所述进程标识对应的正常度进行多次迭代，直至满足预设条件后停止迭代，其中所述预设条件为迭代次数大于第一阈值和/或至少X个进程标识对应的当前迭代得到的正常度与上一次迭代得到的正常度的差值小于第二阈值，X为正整数；

将最后一次迭代得到的正常度作为所述进程标识对应的正常度，其中每次迭代过程为：