数据库表中一列或多列的值进行排序的一种结构,使用索引可快速访问数据库表中的特定信息。
[0018]进程分析模块(3)用于分析进程行为,并与信息系统中的其他进程进行比对。本实施例中分析进程行为指进行基于特征码的静态扫描。特征码是一串二进制位信息,它能唯一标识某一恶意代码。多种恶意代码的特征码共同构成特征码库。特征码技术通过在待测文件中查找特征码,一旦查找到,就判定该文件是恶意代码或恶意代码的寄生程序。以上可以检测出一些已知恶意代码程序或其寄生程序产生的恶意进程。而通过与信息系统中的其他进程进行比对,可以实现对于特征码未知的恶意代码程序产生的非法进程也具有检测能力。这种技术称为行为分析一一某些行为是病毒、木马等恶意代码的共同行为,但在合法程序中却比较罕见,也就是说,它们成了恶意代码的行为特征,可作为判别应用程序是否非法的依据或规则。本实施例中即通过与系统中其他进程进行比对例如占用系统内存大小等信息实现行为分析。
[0019]进程合法性逻辑判断模块(4)用于接收进程分析模块(3)对进程行为分析、比对的结果并进行合法性判断。通过进程行为分析和比对的结果,可以判断进程合法性。
[0020]报警模块(5)用于对由进程合法性逻辑判断模块(4)判定为异常的进程进行报警。
[0021]此外,所述记录存储模块(2)还存储进程分析模块(3)的分析结果和进程合法性逻辑判断模块(4)对进程合法性的判断结果。所述分析结果和判断结果可以构成特有的特征库,供下次进程管理时作为预设规则使用。
[0022]本发明实施例还具体描述了本实施例的信息系统进程安全管理系统实施信息系统进程安全管理方法,所述方法是通过特征码与行为分析相结合实现对进程行为合法性的判断并对异常进程进行报警。附图2是本发明实施例中信息系统进程安全管理方法的步骤流程图,可以看出,所述通过特征码与行为分析相结合实现对进程行为合法性的判断并对异常进程进行报警的方法具体包括如下步骤:
步骤A、进程PID采集模块对系统中进程的PID进行检测采集;
步骤B、记录存储模块对步骤A中进程PID采集模块的检测采集结果进行存储,并建立索弓I;
步骤C、进程分析模块对进程行为进行基于特征码的静态扫描,并与信息系统中其他进程行为相比对;静态扫描和行为比对的结果传输至记录存储模块存储;
步骤D、进程合法性逻辑判断模块接收步骤C中的静态扫描以及比对结果,并进行进程合法性判断;如果判断结果非法,则执行步骤E,如果判断结果合法,则执行步骤F;
步骤E、报警模块对步骤D中被判定为非法的进程进行报警提示;
步骤F、进程合法性逻辑判断模块将逻辑判断的结果传输至记录存储模块存储。
[0023]
以上实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。同时,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想,对于本领域的一般技术人员,依据本发明的思想,在【具体实施方式】及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
【主权项】
1.一种信息系统进程安全管理系统,其特征在于,包括: 进程PID采集模块,用于对信息系统中进程的PID进行检测采集; 记录存储模块,用于存储进程PID采集模块采集的进程PID信息并建立索引; 进程分析模块,用于分析进程行为,并与信息系统中的其他进程进行比对; 进程合法性逻辑判断模块,用于接收进程分析模块对进程行为分析、比对的结果并进行合法性判断; 报警模块,用于对由进程合法性逻辑判断模块判定为异常的进程进行报警。2.根据权利要求1所述的一种信息系统进程安全管理系统,其特征在于:所述记录存储模块还存储进程分析模块的分析结果。3.根据权利要求1所述的一种信息系统进程安全管理系统,其特征在于:所述记录存储模块还存储进程合法性逻辑判断模块对进程合法性的判断结果。4.一种信息系统进程安全管理方法,其特征在于:所述方法是通过特征码与行为分析相结合实现对进程行为合法性的判断并对异常进程进行报警; 所述通过特征码与行为分析相结合实现对进程行为合法性的判断并对异常进程进行报警的方法具体包括如下步骤: 步骤A、进程PID采集模块对系统中进程的PID进行检测采集; 步骤B、记录存储模块对步骤A中进程PID采集模块的检测采集结果进行存储,并建立索弓I; 步骤C、进程分析模块对进程行为进行基于特征码的静态扫描,并与信息系统中其他进程行为相比对;静态扫描和行为比对的结果传输至记录存储模块存储; 步骤D、进程合法性逻辑判断模块接收步骤C中的静态扫描以及比对结果,并进行进程合法性判断;如果判断结果非法,则执行步骤E,如果判断结果合法,则执行步骤F; 步骤E、报警模块对步骤D中被判定为非法的进程进行报警提示; 步骤F、进程合法性逻辑判断模块将逻辑判断的结果传输至记录存储模块存储。5.根据权利要求4所述的一种信息系统进程安全管理方法,其特征在于:报警模块进行报警提示的方式为在桌面终端弹出提示窗口。
【专利摘要】本发明公开了一种信息系统进程安全管理系统,包括进程PID采集模块、记录存储模块、进程分析模块、进程合法性逻辑判断模块和报警模块。本发明还公开了一种信息系统进程安全管理方法。本发明的信息系统进程安全管理系统及相应的进程安全管理方法能够快速高效地对系统进程进行分析和合法性判断,此外对于特征码未知的恶意代码也具有检测能力。本发明还可以实现对异常进程进行报警。
【IPC分类】G06F21/56
【公开号】CN105608377
【申请号】CN201510984024
【发明人】许畅, 王萍, 姚振, 王丽, 丁家田, 谢斌, 孙磊, 储世华, 刘涛
【申请人】国家电网公司, 国网安徽省电力公司信息通信分公司, 安徽继远软件有限公司
【公开日】2016年5月25日
【申请日】2015年12月24日