[发明专利]一种特征流量的配电物联网僵尸程序的检测方法及装置

权利要求书

1.一种特征流量的配电物联网僵尸程序的检测方法，其特征在于，包括：

获取各配电物联终端的终端标识、进程信息和网络信息；

将所述进程信息和网络信息与预设的僵尸特征数据库进行匹配；

响应于得到匹配结果，将所述终端标识对应的配电物联终端作为目标终端，将所述进程信息对应的进程作为目标进程。

2.根据权利要求1所述的方法，其特征在于，所述网络信息包括接收流量对应的进程信息、发送流量对应的进程信息；所述进程信息包括进程文件md5、进程文件SHA1、进程文件SHA256；

将所述进程信息和网络信息与预设的僵尸特征数据库进行匹配，包括：

将所述进程文件md5、进程文件SHA1、进程文件SHA256分别与所述僵尸特征数据库中的进程文件md5、进程文件SHA1、进程文件SHA256进行匹配；

响应于得到匹配结果，将所述进程信息对应的进程作为目标进程，包括：响应于其中一项或几项得到匹配结果，将所述进程信息对应的进程作为感染僵尸程序的目标进程。

3.根据权利要求2所述的方法，其特征在于，所述进程信息包括进程id和/或进程父id；响应于得到匹配结果之后，还包括：

根据所述进程id或进程父id，强制退出所述目标进程。

4.根据权利要求2所述的方法，其特征在于，所述进程信息包括进程拥有者权限和/或进行执行用户，响应于得到匹配结果之后，还包括：

根据进程拥有者权限和/或进行执行用户，确定感染僵尸程序的漏洞项。

5.根据权利要求1所述的方法，其特征在于，响应于得到匹配结果之后，还包括：

根据所述目标进程的发送流量，确定被攻击地址和/或下载地址；

根据所述被攻击地址和/或下载地址，更新所述僵尸特征数据库。

6.一种特征流量的配电物联网僵尸程序的检测装置，其特征在于，包括：

获取模块，用于获取各配电物联终端的终端标识、进程信息和网络信息；

匹配模块，用于将所述进程信息和网络信息与预设的僵尸特征数据库进行匹配；

检测模块，用于响应于得到匹配结果，将所述终端标识对应的配电物联终端作为目标终端，将所述进程信息对应的进程作为目标进程。

7.根据权利要求6所述的装置，其特征在于，所述网络信息包括接收流量对应的进程信息、发送流量对应的进程信息；所述进程信息包括进程文件md5、进程文件SHA1、进程文件SHA256；

所述匹配模块，用于将所述进程文件md5、进程文件SHA1、进程文件SHA256分别与所述僵尸特征数据库中的进程文件md5、进程文件SHA1、进程文件SHA256进行匹配；

所述检测模块，用于响应于其中一项或几项得到匹配结果，将所述进程信息对应的进程作为感染僵尸程序的目标进程。

8.根据权利要求7所述的装置，其特征在于，所述进程信息包括进程id和/或进程父id；所述装置还包括：

退出模块，用于根据所述进程id或进程父id，强制退出所述目标进程。

9.根据权利要求7所述的装置，其特征在于，所述进程信息包括进程拥有者权限和/或进行执行用户，所述装置还包括：

定位模块，用于根据进程拥有者权限和/或进行执行用户，确定感染僵尸程序的漏洞项。

10.根据权利要求6所述的装置，其特征在于，还包括：

更新模块，用于根据所述目标进程的发送流量，确定被攻击地址和/或下载地址；根据被攻击地址和/或下载地址，更新僵尸特征数据库。