[发明专利]一种监测和清除分裂炸弹程序攻击的方法

权利要求书

1.一种监测和清除分裂炸弹程序攻击的方法，用于计算机操作系统，其特征在于，包括：

步骤S1、利用所述计算机操作系统中的进程描述表，以添加原生父进程信息及子进程信息，形成一原生进程树；

步骤S2、判断所述计算机操作系统是否符合一分裂炸弹攻击条件，并在符合时转向步骤S3；

所述步骤S3、选择第一可疑进程对象按照通用算法进行处理，并同时记录所述第一可疑进程对象的原生父进程信息；

步骤S4、判断所述计算机操作系统是否仍符合所述分裂炸弹攻击条件，并在符合时转向步骤S5；

所述步骤S5、选择第二可疑进程对象，并根据所述原生进程树来确定所述第二可疑进程对象的原生父进程信息与最近的祖先进程信息作为可疑程序进行处理，以结束所述可疑程序及所述可疑进程对象的子进程。

2.根据权利要求1所述的监测和清除分裂炸弹程序攻击的方法，其特征在于，当所述计算机操作系统运行正常时，还包括一维护步骤；

所述维护步骤包括以定期维护保持所述原生进程树的进程间的创建关系。

3.根据权利要求2所述的监测和清除分裂炸弹程序攻击的方法，其特征在于，于所述步骤S2中，判断所述计算机操作系统不符合所述分裂炸弹攻击条件时，则转向所述维护步骤。

4.根据权利要求2所述的监测和清除分裂炸弹程序攻击的方法，其特征在于，于所述步骤S4中，判断所述计算机操作系统仍不符合所述分裂炸弹攻击条件时，转向所述维护步骤。

5.根据权利要求1所述的监测和清除分裂炸弹程序攻击的方法，其特征在于，于所述方法中采用最近公共祖先查询算法，选择所述第一可疑进程对象和所述第二可疑进程对象。

6.根据权利要求1所述的监测和清除分裂炸弹程序攻击的方法，其特征在于，通过对原生子进程的内存进行统计的方式选择所述第一可疑进程对象和所述第二可疑进程对象。

7.根据权利要求5所述的监测和清除分裂炸弹程序攻击的方法，其特征在于，于所述最近公共祖先查询算法的查询次数包括至少两次。

8.根据权利要求5所述的监测和清除分裂炸弹程序攻击的方法，其特征在于，所述最近公共祖先查询算法包括保守模式；和/或

温和模式；和/或

激进模式。