一种基于指令的恶意进程确定方法、装置、设备及介质与流程

所属的技术人员能够理解，本技术的各个方面可以实现为系统、方法或程序产品。因此，本技术的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式（包括固件、微代码等），或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。根据本技术的这种实施方式的电子设备。电子设备仅仅是一个示例，不应对本技术实施例的功能和使用范围带来任何限制。电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于：上述至少一个处理器、上述至少一个储存器、连接不同系统组件（包括储存器和处理器）的总线。其中，所述储存器存储有程序代码，所述程序代码可以被所述处理器执行，使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本技术各种示例性实施方式的步骤。储存器可以包括易失性储存器形式的可读介质，例如随机存取储存器（ram）和/或高速缓存储存器，还可以进一步包括只读储存器（rom）。储存器还可以包括具有一组（至少一个）程序模块的程序/实用工具，这样的程序模块包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。总线可以为表示几类总线结构中的一种或多种，包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。电子设备也可以与一个或多个外部设备（例如键盘、指向设备、蓝牙设备等）通信，还可与一个或者多个使得用户能与该电子设备交互的设备通信，和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备（例如路由器、调制解调器等等）通信。这种通信可以通过输入/输出（i/o）接口进行。并且，电子设备还可以通过网络适配器与一个或者多个网络（例如局域网（lan），广域网（wan）和/或公共网络，例如因特网）通信。网络适配器通过总线与电子设备的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是cd-rom，u盘，移动硬盘等）中或网络上，包括若干指令以使得一台计算设备（可以是个人计算机、服务器、终端装置、或者网络设备等）执行根据本公开实施方式的方法。在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本技术的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本技术各种示例性实施方式的步骤。所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子（非穷举的列表）包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器（ram）、只读存储器（rom）、可擦式可编程只读存储器（eprom或闪存）、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。可以以一种或多种程序设计语言的任意组合来编写用于执行本技术操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网（lan）或广域网（wan），连接到用户计算设备，或者，可以连接到外部计算设备（例如利用因特网服务提供商来通过因特网连接）。此外，上述附图仅是根据本技术示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本的技术人员在本技术揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以权利要求的保护范围为准。

背景技术：

1、进程在为具有工作量证明机制的区块链执行共识合约时，会大量占用计算机的算力资源，同时也会消耗大量的电能。故而，一些非授权用户（如黑客）会通过在正常用户的电子设备中投放病毒或木马，从而使得正常用户的电子设备在用户不知情的情况下启动一个用于执行具有工作量证明机制的区块链执行共识合约的进程，从而给用户带来损失。

2、故而，亟需一种能够识别出正在为具有工作量证明机制的区块链执行共识合约的进程。

技术实现思路

1、有鉴于此，本技术提供一种基于指令的恶意进程确定方法、装置、设备及介质，旨在提供一种能够识别出正在为具有工作量证明机制的区块链执行共识合约的恶意进程的方法。

2、在本技术的一方面，提供一种基于指令的恶意进程确定方法，包括：

3、s100，连续n次，每当目标进程执行任一预设的关键指令时，获取关键指令对应的待执行寄存器内的所有待执行指令，以得到n个待执行指令列表；每一待执行指令列表中均包含至少一个待执行指令；所述关键指令为被执行后会使得所述目标进程发生控制流跳转的指令；

4、s200，遍历每一待执行指令列表，确定目标指令数量列表a=(a1，a2，…，ai，…，an)；i=1，2，…，n；其中，ai为目标进程执行第i个关键指令时获取到的待执行指令列表中目标指令的数量；所述目标指令为预设的指令；

5、s300，获取目标进程每次执行关键指令后的第一时间长度内的内存平均占用率，以得到内存平均占用率列表c=(c1，c2，…，ci，…，cn)；其中，ci为目标进程执行第i个关键指令后的内存平均占用率；

6、s400，获取目标进程每次执行关键指令后的第一时间长度内的显存平均占用率，以得到显存平均占用率列表g=(g1，g2，…，gi，…，gn)；其中，gi为目标进程执行第i个关键指令后的显存平均占用率；

7、s500，根据a、c和g，确定进程指令特征向量t=(t1，t2，…，ti，…，tn)；ti=(ai，ci，gi)；ti为t中第i个进程指令特征参数组；

8、s600，将t输入预设的恶意进程确定模块中，以得到输出的确定结果；所述确定结果用于表示所述目标进程是否为恶意进程。

9、在本技术的一种示例性实施例中，在所述步骤s100和所述步骤s200之间，所述方法还包括：

10、s110，根据目标进程每次执行关键指令的时间，获取时间间隔列表s=(s1，s2，…，sj，…，sm)，j=1，2，…，m；m=n-1；其中，m为时间间隔的数量，sj为s中第j个时间间隔，sj=timej+1-timej；timej为aj对应的关键指令的执行时间；

11、s120，根据s，确定时间波动值sd=(∑j=1m(sj-avg(s)))/m；其中，avg()为预设的均值确定函数；

12、s130，若sd＜ysd，则进入步骤s200；其中，ysd为预设的时间波动阈值。

13、在本技术的一种示例性实施例中，第一时间长度符合以下条件：

14、l1=avg(s)；其中，l1为所述第一时间长度。

15、在本技术的一种示例性实施例中，所述方法还包括：

16、s010，当目标进程第1次执行关键指令时，开启计时器；

17、s020，在计时器的当前计时时长达到预设的第二时间长度时，确定目标进程当前执行关键指令的次数nnow；

18、s030，若nnow＜n，则结束当前流程。

19、在本技术的一种示例性实施例中，所述步骤s200，包括：

20、s210，根据预设的m个目标指令遍历每一待执行指令列表，确定中间指令数量列表集b=(b1，b2，…，bi，…，bn)，bi=(bi,1，bi,2，…，bi,j，…，bi,m)；j=1，2，…，m；其中，bi为b中第i个中间指令数量列表；bi,j为目标进程执行第i个关键指令时获取到的待执行指令列表中第j个目标指令的数量；

21、s220，根据b，确定目标指令数量列表a=(a1，a2，…，ai，…，an)；ai=∑j=1mbi,j。

22、在本技术的一种示例性实施例中，所述目标指令包括以下至少之一：

23、位运算指令、浮点运算指令、乘法指令、除法指令、减法指令、加法指令、向量运算指令。

24、在本技术的一种示例性实施例中，在所述步骤s100之前，所述方法还包括：

25、s000，响应于在第三时长内cpu占用率或gpu占用率持续大于预设占用率阈值，将当前cpu占用率或gpu占用率最大的进程确定为目标进程，并进入步骤s100。

26、在本技术的另一方面，提供一种基于指令的恶意进程确定装置，包括：

27、获取模块，用于连续n次，每当目标进程执行任一预设的关键指令时，获取关键指令对应的待执行寄存器内的所有待执行指令，以得到n个待执行指令列表；每一待执行指令列表中均包含至少一个待执行指令；所述关键指令为被执行后会使得所述目标进程发生控制流跳转的指令；

28、指令数量确定模块，用于遍历每一待执行指令列表，确定目标指令数量列表a=(a1，a2，…，ai，…，an)；i=1，2，…，n；其中，ai为目标进程执行第i个关键指令时获取到的待执行指令列表中目标指令的数量；所述目标指令为预设的指令；

29、内存确定模块，用于获取目标进程每次执行关键指令后的第一时间长度内的内存平均占用率，以得到内存平均占用率列表c=(c1，c2，…，ci，…，cn)；其中，ci为目标进程执行第i个关键指令后的内存平均占用率；

30、显存确定模块，用于获取目标进程每次执行关键指令后的第一时间长度内的显存平均占用率，以得到显存平均占用率列表g=(g1，g2，…，gi，…，gn)；其中，gi为目标进程执行第i个关键指令后的显存平均占用率；

31、特征确定模块，用于根据a、c和g，确定进程指令特征向量t=(t1，t2，…，ti，…，tn)；ti=(ai，ci，gi)；ti为t中第i个进程指令特征参数组；

32、判定模块，用于将t输入预设的恶意进程确定模块中，以得到输出的确定结果；所述确定结果用于表示所述目标进程是否为恶意进程。

33、在本技术的另一方面，提供一种电子设备，包括处理器和存储器；

34、所述处理器用于通过调用所述存储器存储的程序或指令，执行上述方法的步骤。

35、在本技术的另一方面，提供一种非瞬时性计算机可读存储介质，所述非瞬时性计算机可读存储介质存储程序或指令，所述程序或指令使计算机执行上述方法的步骤。

36、有益效果：

37、本技术提供的基于指令的恶意进程确定方法，连续n次，每当目标进程执行任一预设的关键指令（如jmp指令或函数调用指令等）时，获取关键指令对应的待执行寄存器内的所有待执行指令，以得到n个待执行指令列表，即每次会将获取到的关键指令对应的待执行寄存器内的所有待执行指令生成一个待执行指令列表。而通过实验验证，进程在执行共识合约的相关计算时，都是通过上述的关键指令将进程的控制流跳转至位运算指令等常见的共识合约需要执行的运算指令处从而进行相关的计算。故而，本技术中，可以通过每一待执行指令列表中的目标指令（如位运算指令等）的数量，确定出目标进程的指令执行特征。

38、同时通过获取每一执行关键指令后第一时间长度内的内存平均占用率和显存时间占用率，可以使得c和g能够体现出在执行关键指令后，所执行的相关指令对内存和显存的占用特征。而共识合约相关指令的在执行时，其对内存和显存的占用特征与机器学习和加密计算等正常行为的特征时存在差异的。故而，本技术中，通过a、c和g建立的特征向量，能够同时包含目标进程的指令执行特征、内存占用特征和显存占用特征。最终使得恶意进程确定模块根据t得到的确定结果能够在识别出恶意进程（即正在执行共识合约的进程）的同时，避免对执行加密计算和机器学习的进程产生误报。