一种进程数据的处理方法、装置、存储介质和计算机设备与流程

一种进程数据的处理方法、装置、存储介质和计算机设备
【技术领域】
1.本发明涉及网络安全技术领域，尤其涉及一种进程数据的处理方法、装置、存储介质和计算机设备。


背景技术：

2.目前针对异常进程检测的技术方案主要是人为构建进程白名单，然后基于白名单对待检测进程进行检测。
3.基于虚拟机系统模拟构建的业务平台，根据虚拟机系统模拟构建的业务平台部署相关业务系统，经过一段时间运行后，统计出该业务平台内进程数据的相关信息，进程数据包括进程名以及进程路径，并将这些进程数据添加入进程白名单，降低了进程数据的安全性。


技术实现要素：

4.有鉴于此，本发明实施例提供了一种进程数据的处理方法、装置、存储介质和计算机设备，用以提高进程数据的安全性。
5.一方面，本发明实施例提供了一种进程数据的处理方法，包括：
6.根据获取的进程数据构建网络拓扑图，所述网络拓扑图包括多个节点和至少一个连接两个节点之间的边，所述节点对应于进程数据，所述两个节点包括位于同一服务器中的两个进程数据对应的节点；
7.根据获取的网络拓扑图中每个边对应的权重，生成所述每个节点的度值；
8.根据所述每个节点的度值，从网络拓扑图中选取出合法的节点；
9.将所述合法的节点对应的进程数据添加入预先设置的白名单中。
10.可选地，所述根据所述每个节点的度值，从网络拓扑图中选取出合法的节点，包括：
11.从所述网络拓扑图中去除度值最小的节点和度值最小的节点连接的边；
12.根据剩余的节点的第一度值和所述剩余的节点的第二度值，生成所述剩余的节点的度值，所述剩余的节点包括与去除的节点连接的节点，所述第一度值包括所述当前节点连接的边对应的权重，所述第二度值包括去除的与当前节点连接的边的权重；
13.根据去除的节点生成节点分组，所述节点分组包括去除的节点，所述节点分组对应于去除顺序；
14.判断所述网络拓扑图中所有的边是否均被去除；
15.若判断出所述网络拓扑图中不是所有的边均被去除，继续执行所述从所述网络拓扑图中去除度值最小的节点和度值最小的节点连接的边的步骤；
16.若判断出所述网络拓扑图中所有的边均被去除，按照去除顺序选取排序靠后的设定数量个节点分组，将设定数量个节点分组中去除的节点确定为所述合法的节点。
17.可选地，还包括：
18.将所述网络拓扑图中合法的节点之外的节点对应的进程数据，确定为异常进程数据。
19.可选地，所述根据获取的网络拓扑图中每个边对应的权重之前，还包括：
20.通过公式计算出每个边对应的权重，其中s(i,j)表示节点i、节点j位于同一服务器s
k
的集合，表示服务器s
k
上存在的进程数据的数量，n表示各个服务器上进程数据的数量之和。
21.可选地，所述根据获取的网络拓扑图中每个边对应的权重，生成所述每个节点的度值，包括：
22.通过公式对每个节点所连接的边对应的权重进行计算，生成每个节点的度值，其中，s(i,j)表示节点i、节点j位于同一服务器s
k
的集合，wij表示节点i和节点j所连接的边对应的权重。
23.可选地，所述根据剩余的节点的第一度值和所述剩余的节点的第二度值，生成所述剩余的节点的度值，包括：
24.通过公式k
now
＝k
remain
+α*∑k
removed
对剩余的节点的第一度值和第二度值进行计算生成剩余的节点的度值，其中，k
remain
为剩余的节点的第一度值，k
removed
为剩余的节点的第二度值，α的取值范围为0<α<1。
25.可选地，所述根据获取的进程数据构建网络拓扑图之前，还包括：
26.采集历史进程数据；
27.通过预先设置的黑名单和白名单，将历史进程数据中与所述黑名单中的进程数据相同的历史进程数据过滤，并将历史进程数据中与所述白名单中的进程数据相同的历史进程数据过滤，得到过滤后的进程数据。
28.另一方面，本发明实施例提供了一种进程数据的处理装置，包括：
29.构建模块，用于根据获取的进程数据构建网络拓扑图，所述网络拓扑图包括多个节点和至少一个连接两个节点之间的边，所述节点对应于进程数据，所述两个节点包括位于同一服务器中的两个进程数据对应的节点；
30.生成模块，用于根据获取的网络拓扑图中每个边对应的权重，生成所述每个节点的度值；
31.选取模块，用于根据所述每个节点的度值，从网络拓扑图中选取出合法的节点；
32.添加模块，用于将所述合法的节点对应的进程数据添加入预先设置的白名单中。
33.另一方面，本发明实施例提供了一种存储介质，包括：所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行上述进程数据的处理方法。
34.另一方面，本发明实施例提供了一种计算机设备，包括存储器和处理器，所述存储器用于存储包括程序指令的信息，所述处理器用于控制程序指令的执行，所述程序指令被处理器加载并执行时实现上述进程数据的处理方法的步骤。
35.本发明实施例提供的技术方案中，根据获取的进程数据构建网络拓扑图，网络拓扑图包括多个节点和至少一个连接两个节点之间的边，节点对应于进程数据，两个节点包括位于同一服务器中的两个进程数据对应的节点，根据获取的网络拓扑图中每个边对应的
权重，生成每个节点的度值，根据每个节点的度值，从网络拓扑图中选取出合法的节点，将合法的节点对应的进程数据添加入预先设置的白名单中，本发明实施例中，根据每个节点的度值，从网络拓扑图中选取出合法的节点，将合法的节点对应的进程数据添加入预先设置的白名单中，提高了进程数据的安全性。
【附图说明】
36.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。
37.图1为本发明实施例提供的一种进程数据的处理方法的流程图；
38.图2为本发明实施例提供的另一种进程数据的处理方法的流程图；
39.图3a为本发明实施例提供的进程数据的处理方法的一种示意图；
40.图3b为本发明实施例提供的进程数据的处理方法的另一种示意图；
41.图3c为本发明实施例提供的进程数据的处理方法的另一种示意图；
42.图4为本发明实施例提供的一种进程数据的处理装置的结构示意图；
43.图5为本发明实施例提供的一种计算机设备的示意图。
【具体实施方式】
44.为了更好的理解本发明的技术方案，下面结合附图对本发明实施例进行详细描述。
45.应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
46.在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。
47.应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，甲和/或乙，可以表示：单独存在甲，同时存在甲和乙，单独存在乙这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。
48.图1为本发明实施例提供的一种进程数据的处理方法的流程图，如图1所示，该方法包括：
49.步骤101、根据获取的进程数据构建网络拓扑图，网络拓扑图包括多个节点和至少一个连接两个节点之间的边，节点对应于进程数据，两个节点包括位于同一服务器中的两个进程数据对应的节点。
50.步骤102、根据获取的网络拓扑图中每个边对应的权重，生成所述每个节点的度值。
51.步骤103、根据每个节点的度值，从网络拓扑图中选取出合法的节点。
52.步骤104、将合法的节点对应的进程数据添加入预先设置的白名单中。
53.本发明实施例提供的进程数据的处理方法的技术方案中，根据获取的进程数据构建网络拓扑图，网络拓扑图包括多个节点和至少一个连接两个节点之间的边，节点对应于进程数据，两个节点包括位于同一服务器中的两个进程数据对应的节点，根据获取的网络拓扑图中每个边对应的权重，生成每个节点的度值，根据每个节点的度值，从网络拓扑图中选取出合法的节点，将合法的节点对应的进程数据添加入预先设置的白名单中，本发明实施例中，根据每个节点的度值，从网络拓扑图中选取出合法的节点，将合法的节点对应的进程数据添加入预先设置的白名单中，提高了进程数据的安全性。
54.图2为本发明实施例提供的另一种进程数据的处理方法的流程图，如图2所示，该方法包括：
55.步骤201、采集历史进程数据。
56.本发明实施例中，各步骤由服务器执行。
57.本发明实施例中，历史进程数据包括多个进程数据，进程数据包括进程名及进程路径。
58.步骤202、通过预先设置的黑名单和白名单，将历史进程数据中与黑名单中的进程数据相同的历史进程数据过滤，并将历史进程数据中与白名单中的进程数据相同的历史进程数据过滤，得到过滤后的进程数据。
59.本发明实施例中，黑名单中的进程数据包括运行恶意软件时产生的进程数据，例如：黑名单中的进程数据包括conficker、cryptowall、hackerdefender或hummingbad中的一个或多个。
60.本发明实施例中，白名单中的进程数据包括运行安全软件时产生的进程数据，例如：白名单中的进程数据包括kswapd0、kjournald、pdfflush或kthreadd中的一个或多个。
61.本步骤中，将历史进程数据中的进程名与黑名单中的进程名进行对比，去除历史进程数据中进程名与黑名单中的进程名相同的进程，将历史进程数据中的进程名与白名单中的进程名进行对比，去除历史进程数据中进程名与白名单中的进程名相同的进程，得到过滤后的进程数据。
62.步骤203、根据获取的进程数据构建网络拓扑图，网络拓扑图包括多个节点和至少一个连接两个节点之间的边，节点对应于进程数据，两个节点包括位于同一服务器中的两个进程数据对应的节点。
63.本步骤中，根据步骤202中过滤后的进程数据构建网络拓扑图。
64.本发明实施例中，一个服务器中包括多个进程数据，一个进程数据对应一个节点。
65.如图3a所示，网络拓扑图中包括多个节点，多个节点包括节点a、节点b、节点c、节点d和节点e，节点a与节点b之间连接形成一条边，节点a与节点c之间连接形成一条边，节点a与节点d之间连接形成一条边，节点a与节点e之间连接形成一条边，节点d与节点e之间连接形成一条边。
66.步骤204、通过公式计算出每个边对应的权重，其中s(i,j)表示节点i、节点j位于同一服务器s
k
的集合，表示服务器s
k
上存在的进程数据的数量，n表示各个服务器上进程数据的数量之和。
67.如图3a所示，连接节点d与节点a的边的权重为3/7，连接节点a与节点e的边的权重
为3/7，连接节点d与节点e的边的权重为3/7，连接节点a与节点b的边的权重为2/7，连接节点a与节点c的边的权重为2/7。
68.步骤205、通过公式对每个节点所连接的边对应的权重进行计算，生成每个节点的度值，其中，s(i,j)表示节点i、节点j位于同一服务器s
k
的集合，wij表示节点i和节点j所连接的边对应的权重。其中，例如：节点i可以为节点a，节点j可以为节点b，节点i与节点j仅代表同一服务器下的两个节点。而i和j为节点的标识，其中，i和j可以为字母或者数字。
69.本步骤中，换言之，每个节点的度值等于每个节点所连接的边对应的权重之和。
70.如图3a所示，节点d的度值等于连接节点d与节点e的边的权重3/7与连接节点d与节点a的边的权重3/7之和，节点d的度值等于6/7。
71.步骤206、从网络拓扑图中去除度值最小的节点和度值最小的节点连接的边。
72.如图3a所示，节点b与节点c的度值都为2/7，节点a的度值为10/7，节点d与节点e的度值都为6/7，这时去除度值最小的节点b与节点c和度值最小的节点b与节点c连接的边。
73.步骤207、通过公式k
now
＝k
remain
+α*∑k
removed
对剩余的节点的第一度值和第二度值进行计算生成剩余的节点的度值，其中，k
remain
为剩余的节点的第一度值，k
removed
为剩余的节点的第二度值，α的取值范围为0<α<1，剩余的节点包括与去除的节点连接的节点，第一度值包括当前节点连接的边对应的权重，第二度值包括去除的与当前节点连接的边的权重。
74.本发明实施例中，作为一种可选方案，α取值可以为0.7。
75.如图3b所示，去除与节点a连接的节点b与节点c后，节点a的度值发生变化，节点a的度值需重新计算，新的节点a的度值根据节点a与节点d连接的边对应的权重3/7与节点a与节点e连接的边对应的权重3/7的和加上去除的与节点a与节点b连接的边的权重2/7与去除的与节点a与节点c连接的边的权重2/7的和乘以α，具体地，节点a的度值＝(3/7+3/7)+0.7*(2.7+2.7)＝44/35。
76.步骤208、根据去除的节点生成节点分组，节点分组包括去除的节点，节点分组对应于去除顺序。
77.如图3c所示，去除的节点顺序为节点b和节点c，节点d和节点e和节点a，节点分组为(节点b、节点c)、(节点d、节点e)和(节点a)。
78.步骤209、判断网络拓扑图中所有的边是否均被去除，若是，执行步骤210；若否，执行步骤206。
79.本步骤中，若判断出网络拓扑图中所有的边均被去除，表明网络拓扑图中节点与节点之间没有边或网络拓扑图中没有节点；若判断出网络拓扑图中所有的边未均被去除，表明节点与节点之间还存在边，需要进一步去除节点。
80.步骤210、按照去除顺序选取排序靠后的设定数量个节点分组，将设定数量个节点分组中去除的节点确定为合法的节点。
81.作为一种可选方案，例如：将节点分组为(节点b、节点c)、(节点d、节点e)和(节点a)的设定数量给节点分组中(节点d、节点e)和(节点a)确定为合法节点。
82.步骤211、将合法的节点对应的进程数据添加入预先设置的白名单中。
83.步骤212、将网络拓扑图中合法的节点之外的节点对应的进程数据，确定为异常进程数据。
84.作为一种可选方案，例如：将节点分组中(节点b、节点c)对应的进程数据确定为异常进程数据。
85.本发明实施例提供的进程数据的处理方法的技术方案中，根据获取的进程数据构建网络拓扑图，网络拓扑图包括多个节点和至少一个连接两个节点之间的边，节点对应于进程数据，两个节点包括位于同一服务器中的两个进程数据对应的节点，根据获取的网络拓扑图中每个边对应的权重，生成每个节点的度值，根据每个节点的度值，从网络拓扑图中选取出合法的节点，将合法的节点对应的进程数据添加入预先设置的白名单中，本发明实施例中，根据每个节点的度值，从网络拓扑图中选取出合法的节点，将合法的节点对应的进程数据添加入预先设置的白名单中，提高了进程数据的安全性。
86.本发明实施例提供了一种进程数据的处理装置。图4为本发明实施例提供的一种进程数据的处理装置的结构示意图，如图4所示，该装置包括：构建模块11、第一生成模块12、选取模块13和添加模块14。
87.构建模块11用于根据获取的进程数据构建网络拓扑图，网络拓扑图包括多个节点和至少一个连接两个节点之间的边，节点对应于进程数据，两个节点包括位于同一服务器中的两个进程数据对应的节点。
88.生成模块12用于根据获取的网络拓扑图中每个边对应的权重，生成每个节点的度值。
89.选取模块13用于根据每个节点的度值，从网络拓扑图中选取出合法的节点。
90.添加模块14用于将合法的节点对应的进程数据添加入预先设置的白名单中。
91.本发明实施例中，选取模块13具体包括：去除子模块131、第一生成子模块132、第二生成子模块133、判断子模块134、选取子模块135和确定子模块136。
92.去除子模块131用于从网络拓扑图中去除度值最小的节点和度值最小的节点连接的边。
93.第一生成子模块132用于根据剩余的节点的第一度值和剩余的节点的第二度值，生成剩余的节点的度值，剩余的节点包括与去除的节点连接的节点，第一度值包括当前节点连接的边对应的权重，第二度值包括去除的与当前节点连接的边的权重。
94.第二生成子模块133用于根据去除的节点生成节点分组，节点分组包括去除的节点，节点分组对应于去除顺序。
95.判断子模块134用于判断网络拓扑图中所有的边是否均被去除。
96.判断子模块134若判断出网络拓扑图中不是所有的边均被去除，继续执行去除子模块131从网络拓扑图中去除度值最小的节点和度值最小的节点连接的边的步骤。
97.判断子模块134若判断出网络拓扑图中所有的边均被去除，选取子模块135按照去除顺序选取排序靠后的设定数量个节点分组，确定子模块136将设定数量个节点分组中去除的节点确定为合法的节点。
98.本发明实施例中，该装置还包括：计算模块15。
99.计算模块15用于通过公式计算出每个边对应的权重，其中s(i,j)表示节点i、节点j位于同一服务器s
k
的集合，表示服务器s
k
上存在的进程数据的数量，n表示各个服务器上进程数据的数量之和。
100.本发明实施例中，生成模块12具体用于通过公式对每个节点所连接的边对应的权重进行计算，生成每个节点的度值，其中，s(i,j)表示节点i、节点j位于同一服务器s
k
的集合，wij表示节点i和节点j所连接的边对应的权重。
101.本发明实施例中，第一生成子模块132具体用于通过公式k
now
＝k
remain
+α*∑k
removed
对剩余的节点的第一度值和第二度值进行计算生成剩余的节点的度值，其中，k
remain
为剩余的节点的第一度值，k
removed
为剩余的节点的第二度值，α的取值范围为0<α<1。
102.本发明实施例中，该装置还包括：采集模块16和过滤模块17。
103.采集模块16用于采集历史进程数据。
104.过滤模块17用于通过预先设置的黑名单和白名单，将历史进程数据中与黑名单中的进程数据相同的历史进程数据过滤，并将历史进程数据中与白名单中的进程数据相同的历史进程数据过滤，得到过滤后的进程数据。
105.本实施例提供的进程数据的处理装置可用于实现上述图1和图2中的进程数据的处理方法，具体描述可参见上述进程数据的处理方法的实施例，此处不再重复描述。
106.本发明实施例提供的进程数据的处理装置的技术方案中，构建模块用于根据获取的进程数据构建网络拓扑图，网络拓扑图包括多个节点和至少一个连接两个节点之间的边，节点对应于进程数据，两个节点包括位于同一服务器中的两个进程数据对应的节点，生成模块用于根据获取的网络拓扑图中每个边对应的权重，生成每个节点的度值，选取模块用于根据每个节点的度值，从网络拓扑图中选取出合法的节点，添加模块用于将合法的节点对应的进程数据添加入预先设置的白名单中，本发明实施例中，根据每个节点的度值，从网络拓扑图中选取出合法的节点，将合法的节点对应的进程数据添加入预先设置的白名单中，提高了进程数据的安全性。
107.本发明实施例提供了一种存储介质，存储介质包括存储的程序，其中，在程序运行时控制存储介质所在设备执行上述进程数据的处理方法的实施例的各步骤，具体描述可参见上述进程数据的处理方法的实施例。
108.本发明实施例提供了一种计算机设备，包括存储器和处理器，存储器用于存储包括程序指令的信息，处理器用于控制程序指令的执行，程序指令被处理器加载并执行时实现上述进程数据的处理方法的实施例的各步骤，具体描述可参见上述进程数据的处理方法的实施例。
109.图5为本发明实施例提供的一种计算机设备的示意图。如图5所示，该实施例的计算机设备30包括：处理器31、存储器32以及存储在存储32中并可在处理器31上运行的计算机程序33，该计算机程序33被处理器31执行时实现实施例中的应用于进程数据的处理方法，为避免重复，此处不一一赘述。或者，该计算机程序被处理器31执行时实现实施例中应用于进程数据的处理装置中各模型/单元的功能，为避免重复，此处不一一赘述。
110.计算机设备30包括，但不仅限于，处理器31、存储器32。本领域技术人员可以理解，图5仅仅是计算机设备30的示例，并不构成对计算机设备30的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如计算机设备还可以包括输入输出设备、网络接入设备、总线等。
111.所称处理器31可以是中央处理单元(central processing unit，cpu)，还可以是其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路
(application specific integrated circuit，asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
112.存储器32可以是计算机设备30的内部存储单元，例如计算机设备30的硬盘或内存。存储器32也可以是计算机设备30的外部存储设备，例如计算机设备30上配备的插接式硬盘，智能存储卡(smart media card,smc)，安全数字(secure digital,sd)卡，闪存卡(flash card)等。进一步地，存储器32还可以既包括计算机设备30的内部存储单元也包括外部存储设备。存储器32用于存储计算机程序以及计算机设备所需的其他程序和数据。存储器32还可以用于暂时地存储已经输出或者将要输出的数据。
113.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
114.在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
115.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
116.另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
117.上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机装置(可以是个人计算机，服务器，或者网络装置等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
118.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。