[发明专利]进程行为溯源装置和方法

权利要求书

1.一种进程行为溯源装置，其特征在于，该进程行为溯源装置包括进程网络信息追踪模块、进程网络信息处理模块、进程资源行为追踪模块、网络归并模块以及行为运算模块；

其中所述进程网络信息处理模块包括：

进程网络数据处理模块，在该进程网络数据处理模块中，初始化环境变量，根据CPU核心数进行任务队列分配，所述任务队列主要用于接收来自进程网络信息追踪模块的数据；

网络完整性溯源模块，在该网络完整性溯源模块中，对来自进程网络信息追踪模块所获得的数据进行分析，根据通信交互的数据特征进行完整性还原；

网络数据统计分析模块，对完整性还原之后的完整的网络访问数据信息进行统计，确定整个进程网络交互过程中的网络属性特征、进程属性特征、流量特征与交互时间这些参数，并将这些参数数据存入进程网络溯源信息缓存管理器；

网络数据提取模块，在网络数据提取模块中，启动网络数据提取任务，监听来自网络归并模块的提取请求，并将提取请求存入数据提取控制器队列中；

数据提取控制器模块，从数据提取控制器队列中取出提取请求，根据提取请求从进程网络溯源信息缓存器中提取所有的缓存数据，并且传递给网络归并模块。

2.根据权利要求1所述的进程行为溯源装置，其特征在于，所述进程网络信息追踪模块包括：

进程网络行为溯源模块，在该进程网络行为溯源模块中，初始化环境变量，启动并配置网络数据捕获参数，开启网络数据捕获器，实时嗅探通过主机的网络数据包；

实时数据嗅探模块，在该实时数据嗅探模块中，通过网络数据捕获器实时嗅探通过主机的网络数据包；

基础合规检测模块，在该基础合规检测模块中，对所嗅探到的网络数据包进行基础合规检测，滤除无用的网络数据包；

进程关联追踪模块，在该进程关联追踪模块中，对经过滤且有用的网络数据包进行分析处理，且进行进程信息的初次关联。

3.根据权利要求2所述的进程行为溯源装置，其特征在于，在该基础合规检测模块中，对所嗅探到的网络数据包进行基础合规检测包括滤除TCP与UDP协议之外的数据包，以及滤除目的MAC地址为非本机的网络数据包。

4.根据权利要求1所述的进程行为溯源装置，其特征在于，所述进程资源行为追踪模块包括：

进程行为监控模块，通过该进程行为监控模块在系统内核中内置嗅探入口；

进程行为监视器，在进程行为监视器中设定有该嗅探入口，当进程存在资源访问行为时，则通过进程行为监控器监控该进程；

行为提取任务模块，通过该行为提取任务模块监听来自网络归并模块的提取请求，并将提取请求存入行为提取控制器队列；

行为提取控制器，通过该行为提取控制器从提取控制器队列中取出行为提取请求，并发送行为提取请求且监听来自进程资源行为数据处理模块的信息反馈，并及时将数据上传至网络归并模块；

进程资源行为数据处理模块，通过进程资源行为数据处理模块实时地对进程资源行为信息缓存管理器中的数据进行初步整合，且将初步整合的信息反馈至行为提取控制器。

5.根据权利要求4所述的进程行为溯源装置，其特征在于，所述进程行为监控器实时嗅探系统敏感资源的访问行为，形成进程资源的访问记录，且将该访问记录存入进程资源行为信息缓存管理器中。

6.根据权利要求4所述的进程行为溯源装置，其特征在于，所述初步整合包括对同一进程的资源访问行为进行连贯性动作猜测，将设定时间规则内的进程访问信息进行拼接，通过动作连贯性分析成立动作集合信息。