[发明专利]一种虚拟机中的寄生进程检测方法和装置有效
| 申请号: | 201510149759.0 | 申请日: | 2015-03-31 |
| 公开(公告)号: | CN104732145B | 公开(公告)日: | 2018-04-13 |
| 发明(设计)人: | 罗凯 | 申请(专利权)人: | 北京奇虎科技有限公司;奇智软件(北京)有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京市隆安律师事务所11323 | 代理人: | 权鲜枝,何立春 |
| 地址: | 100088 北京市西城区新*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种虚拟机中的寄生进程检测方法和装置。所述方法包括截获进出指定虚拟机的数据包,确定指定虚拟机中的当前活动的网络连接;在指定虚拟机的外部重构指定虚拟机中的进程所持有的当前活动的网络连接的相关信息;对于当前活动的网络连接,通过将其相关信息与对应的安全检测规则进行匹配判断该网络连接是否为异常连接;当判断出一个网络连接为异常连接,则确定该网络连接所属的进程是被注入恶意代码或被注入恶意动态链接库DLL的寄生进程。本发明的技术方案,以网络行为为驱动,进行虚拟机中进程级别的网络行为监测,根据进程的异常网络行为检测出寄生进程,并且具有较好的通用性,针对大量变种恶意软件的情况能满足检测的实时性要求。 | ||
| 搜索关键词: | 一种 虚拟机 中的 寄生 进程 检测 方法 装置 | ||
【主权项】:
一种虚拟机中的寄生进程检测方法,其中,该方法包括:截获进出指定虚拟机的数据包;根据所截获的数据包,确定指定虚拟机中的当前活动的网络连接;在所述指定虚拟机的外部重构所述指定虚拟机中的进程所持有的当前活动的网络连接的相关信息;对于当前活动的一个网络连接,通过将其相关信息与对应的安全检测规则进行匹配判断该网络连接是否为异常连接;如果判断出一个网络连接为异常连接,则确定该网络连接所属的进程是被注入恶意代码或被注入恶意动态链接库DLL的寄生进程。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京奇虎科技有限公司;奇智软件(北京)有限公司,未经北京奇虎科技有限公司;奇智软件(北京)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510149759.0/,转载请声明来源钻瓜专利网。
- 上一篇:一种移动终端开机方法及装置
- 下一篇:一种程序数据处理方法
