[发明专利]一种可疑进程的探测方法及装置有效
| 申请号: | 201510124614.5 | 申请日: | 2015-03-20 |
| 公开(公告)号: | CN106033514B | 公开(公告)日: | 2019-08-09 |
| 发明(设计)人: | 陈艳军 | 申请(专利权)人: | 阿里巴巴集团控股有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京三友知识产权代理有限公司 11127 | 代理人: | 李辉 |
| 地址: | 英属开曼群岛大开*** | 国省代码: | 开曼群岛;KY |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本申请提供了一种可疑进程的探测方法及装置,获取待探测主机的数据流向特征的测试值及数据流向库中的待探测主机对应的数据流向特征的样本值,数据流向特征包括进程列表和网络出口特征中的至少一个、及数据源特征,如果在数据源特征的测试值与数据源特征的样本值相同的情况下,进程列表的测试值与进程列表的样本值不同和/或网络出口特征的测试值与网络出口特征的样本值不同,确定探测到可疑进程,可见,本申请所述的可疑进程探测方法及装置,以数据的流向特征为依据来探测可疑进程,而非依据应用程序的攻击行为,又因为一旦发生数据的盗用,数据的流向特征就会变化,所以本申请所述方法及装置能够准确地检测到数据被盗取的可疑进程。 | ||
| 搜索关键词: | 一种 可疑 进程 探测 方法 装置 | ||
【主权项】:
1.一种可疑进程的探测方法,其特征在于,包括:获取待探测主机的数据流向特征的测试值,以及,数据流向库中所述待探测主机对应的数据流向特征的样本值;所述数据流向特征表示从数据源流出的数据在待探测主机中的流动路径,所述数据流向特征包括进程列表、网络出口特征、以及数据源特征,所述数据源特征用于指示流入所述待探测主机的预设类型数据的数据源,所述进程列表中包括按照时间顺序排列的、调用所述数据源流出的数据的进程,所述网络出口特征用于指示所述数据源流出的数据在被所述进程列表中的进程调用后、流出所述待探测主机的出口;如果在所述数据源特征的测试值与所述数据源特征的样本值相同的情况下,所述进程列表的测试值与所述进程列表的样本值不同,和/或,所述网络出口特征的测试值与所述网络出口特征的样本值不同,则确定探测到数据被盗取的可疑进程。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于阿里巴巴集团控股有限公司,未经阿里巴巴集团控股有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510124614.5/,转载请声明来源钻瓜专利网。
- 上一篇:图片验证码生成方法、装置和系统
- 下一篇:网页内容抽取方法、装置及系统
