[发明专利]一种线程识别方法、装置、设备及计算机存储介质

说明书

本申请实施例公开了一种线程识别方法、装置、设备及计算机存储介质，其中，所述方法包括：在确定系统中待识别的内核线程存在访问令牌的情况下，基于栈回溯机制，在所述内核线程的堆栈中获取至少一个函数的返回地址；在确定任一所述返回地址在预设地址区间的情况下，确定所述内核线程为所述系统中用于网络服务的线程；其中，所述预设地址区间的起始地址为所述网络服务的驱动代码段的起始地址，所述预设地址区间的结束地址为所述网络服务的驱动代码段的结束地址。

技术领域

本申请实施例涉及互联网服务技术领域，涉及但不限于一种线程识别方法、装置、设备及计算机存储介质。

背景技术

目前，在某些场景下，由于安全性要求，需要对终端操作所对应的操作者身份是否为网络服务进行确定，然而由于某些原因，无法准确识别操作者身份是否为网络服务。

比如，现有的安全软件为了病毒防护或者防止自身程序被恶意篡改，可以基于驱动技术实现文件操作过滤，该技术的原理是基于文件系统过滤驱动(minifilter)，拦截文件的破坏性操作，对操作者身份进行验证，从而达到拦截恶意篡改的目的；然而，目前业内方案由于某些提供网络服务协议的服务是工作在内核态，由于该服务属于系统进程，其它第三方内核驱动或者系统内核驱动的线程也工作在系统进程，所以文件系统过滤驱动无法区分是正常的系统行为还是网络访问行为。

发明内容

有鉴于此，本申请实施例提供一种线程识别方法、装置、设备及计算机存储介质。

本申请实施例的技术方案是这样实现的：

第一方面，本申请实施例提供一种线程识别方法包括：在确定系统中待识别的内核线程存在访问令牌的情况下，基于栈回溯机制，在所述内核线程的堆栈中获取至少一个函数的返回地址；在确定任一所述返回地址在预设地址区间的情况下，确定所述内核线程为所述系统中用于网络服务的线程；其中，所述预设地址区间的起始地址为所述网络服务的驱动代码段的起始地址，所述预设地址区间的结束地址为所述网络服务的驱动代码段的结束地址。

第二方面，本申请实施例提供一种线程识别装置所述装置包括：第一获取模块，用于在确定待识别的内核线程存在访问令牌的情况下，基于栈回溯机制，获取所述内核线程的堆栈的至少一个返回地址；第一确定模块，用于在确定任一所述返回地址在预设地址区间的情况下，确定所述内核线程为用于网络服务的线程；其中，所述预设地址区间的起始地址为所述网络服务的驱动代码段的起始地址，所述预设地址区间的结束地址为所述网络服务的驱动代码段的结束地址。

第三方面，本申请实施例提供一种电子设备，包括存储器和处理器，所述存储器存储有可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述方法。

第四方面，本申请实施例提供一种计算机存储介质，存储有可执行指令，用于引起处理器执行时，实现上述方法。

本申请实施例中，首先，在确定待识别的内核线程存在访问令牌的情况下，基于栈回溯机制，获取至少一个返回地址，然后在确定任一返回地址在预设地址区间的情况下，确定所述内核线程为用于网络服务的线程。这样，在网络共享服务工作在内核态的情况下，可以有效确定内核线程为用于网络服务的线程，对终端操作所对应的操作者身份是否为网络服务进行确定，准确识别操作者身份是否为网络服务。

附图说明

图1为本申请实施例提供的一种线程识别方法的实现流程示意图；

图2为本申请实施例提供的一种线程识别方法的实现流程示意图；

图3为本申请实施例提供的一种线程识别方法的实现流程示意图；

图4为本申请实施例提供的一种线程识别方法的实现流程示意图；

图5为本申请实施例提供的线程识别装置的组成结构示意图；

图6为本申请实施例提供的电子设备的一种硬件实体示意图。