[发明专利]进程拦截方法及系统、电子设备、存储介质

说明书

本申请提供一种进程拦截方法及系统、电子设备、计算机可读存储介质，方法包括：生成目标进程的进程事件，并通过所述进程事件获取与所述目标进程对应的进程信息；在策略库中查找所述进程信息，判断是否命中黑名单策略；如果命中指示拦截的黑名单策略，拦截所述目标进程，并将所述目标进程的运行权限修改为不可运行。本申请方案，由于已拦截的目标进程被修改了运行权限，可以避免目标进程后续反复重启，避免客户端在拦截进程时产生的无效资源浪费，从而提升了客户端系统的运行效率。

技术领域

本申请涉及计算机安全防御技术领域，特别涉及一种进程拦截方法及系统、电子设备、计算机可读存储介质。

背景技术

进程是计算机中程序关于某数据集合的一次运行活动，是系统进行资源分配和调试的基本单元，是构成系统结构的基础。在主机安全领域，进程是安全检测和入侵防护的主要对象。对可疑进程的识别和拦截是信息安全领域中常用的技术，也是计算机及网络安全的常用技术手段。

相关技术，可以基于sycall hook进程监控和特征匹配进行进程拦截。然而，对异常进程拦截后，被拦截的进程可能通过定时任务或其它方式反复启动，对反复重启的异常进程的处理浪费资源，导致系统性能低下。

发明内容

本申请实施例的目的在于提供一种进程拦截方法及系统、电子设备、计算机可读存储介质，用于避免拦截进程时无效的资源浪费。

一方面，本申请提供了一种进程拦截方法，应用于客户端，包括：

生成目标进程的进程事件，并通过所述进程事件获取与所述目标进程对应的进程信息；

在策略库中查找所述进程信息，判断是否命中黑名单策略；

如果命中指示拦截的黑名单策略，拦截所述目标进程，并将所述目标进程的运行权限修改为不可运行。

通过上述措施，在确定目标进程为命中指示拦截的黑名单策略后，在杀死目标进程之后修改其运行权限，避免目标进程后续反复重启，导致对目标进程反复拦截而造成资源浪费，从而提升了系统运行效率。

在一实施例中，在所述拦截所述目标进程，并将所述目标进程的运行权限修改为不可运行之前，所述方法还包括：

判断预设拦截状态表中是否存在所述目标进程的历史拦截记录；其中，所述历史拦截记录为此前对进程的拦截记录；

如果是，确定所述目标进程异常启动，向服务端通知所述目标进程的异常启动情况。

通过上述措施，客户端可以在拦截目标进程时，检查此前是否已经拦截该进程，从而发现已拦截进程的异常启动情况，进而通告服务端进行分析。

在一实施例中，在所述拦截所述目标进程，并将所述目标进程的运行权限修改为不可运行之后，所述方法还包括：

在所述拦截状态表中写入本次为所述目标进程进行拦截的拦截记录。

通过上述措施，以拦截状态表记录对已拦截进程的拦截状态，便于后续对进程的管理。

在一实施例中，所述方法还包括：

周期性向服务端发送标识查询请求，以查询当前策略标识；

判断所述当前策略标识与所述策略库中多条策略的历史策略标识是否一致；

若不一致，基于所述当前策略标识从所述服务端获取当前策略，并以所述当前策略更新所述策略库。

通过上述措施，客户端可以及时更新本地策略库中的安全策略，确保能够正常拦截异常进程。

在一实施例中，所述方法还包括：

当所述策略库发生更新后，根据已拦截进程的进程信息判断是否命中更新后的黑名单策略；