[发明专利]一种进程事件处理方法和装置

说明书

本发明公开了一种进程事件处理方法，所述方法包括：解析本地正在运行的各个进程事件，以获取所述各个进程事件的进程信息；判断所述各个进程事件中任意一个目标进程事件是否存在于监听端口列表或进程信息列表中，若存在，则根据所述目标进程事件的进程信息完善所述进程信息列表；基于完善后的所述进程信息列表对所述目标进程事件进行行为分析，以判断所述目标进程事件是否属于恶意事件，若属于，则建立所述目标进程事件的进程命令树。本申请提供的技术方案，可以及时发现恶意攻击事件。

技术领域

本发明涉及互联网技术领域，特别涉及一种进程事件处理方法和装置。

背景技术

随着互联网的快速发展，网络上的恶意攻击事件日渐增长，为提高网络的安全性，人们越来越重视恶意攻击事件的分析工作。现有的分析技术，主要依靠事件审计来实现，例如通过检测文件的篡改记录来发现入侵行为，或者依靠内核hook函数对进程事件进行检测。

但是通过检测文件的篡改记录来发现入侵行为，属于事后检测，不仅无法及时发现恶意攻击事件，而且无法获取篡改入口，这就导致不能对恶意攻击事件进行完整的分析。而通过内核hook函数对进程事件进行检测，则需要重新编译内核模块，不仅使用不方便，而且性能开销高，稳定性差。

鉴于此，有必要提供一种新的进程事件处理方法和装置以解决上述不足。

发明内容

本申请的目的在于提供一种新的进程事件处理方法和装置，可以及时发现恶意攻击事件。

为实现上述目的，本申请一方面提供一种进程事件处理方法，所述方法包括：解析本地正在运行的各个进程事件，以获取所述各个进程事件的进程信息；判断所述各个进程事件中任意一个目标进程事件是否存在于监听端口列表或进程信息列表中，若存在，则根据所述目标进程事件的进程信息完善所述进程信息列表；基于完善后的所述进程信息列表对所述目标进程事件进行行为分析，以判断所述目标进程事件是否属于恶意事件，若属于，则建立所述目标进程事件的进程命令树。

为实现上述目的，本申请另一方面还提供一种进程事件处理装置，所述装置包括：进程解析模块，用于解析本地正在运行的各个进程事件，以获取所述各个进程事件的进程信息；进程筛选模块，用于判断所述各个进程事件中任意一个目标进程事件是否存在于监听端口列表或进程信息列表中，若存在，则根据所述目标进程事件的进程信息完善所述进程信息列表；行为分析模块，用于基于完善后的所述进程信息列表对所述目标进程事件进行行为分析，以判断所述目标进程事件是否属于恶意事件，若属于，则建立所述目标进程事件的进程命令树。

为实现上述目的，本申请另一方面还提供一种进程事件处理装置，所述进程事件处理装置包括存储器和处理器，所述存储器用于存储计算机程序，当所述计算机程序被所述处理器执行时，实现上述进程事件处理的方法。

由此可见，本申请提供的技术方案，一方面实时监测本地正在运行的各种进程事件，并对上述进程事件进行解析，进而获取到各个进程事件对应的进程信息，另一方面以监听端口上运行的进程事件作为关心进程，对监测到的各个进程事件进行筛选，这样既可以及时发现恶意行为，也可以减少无效进程事件的干扰。在完成进程事件的筛选工作后，本申请还可以基于进程事件的进程信息，对筛选出的进程事件进行行为分析，以判断该进程事件是否为恶意事件，从而及时发现恶意攻击行为。对于被判断为恶意攻击行为的进程事件，本申请还可以生成该进程事件的进程命令树，从而使得运维人员可以通过分析上述进程命令树，对该进程事件的整个攻击过程进行完整的分析，方便运维人员进行本地排查和溯源分析。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施方式一中进程事件处理方法的流程图；