一种ATM系统资源异常报警系统及方法与流程

本发明涉及信息安全技术领域，尤其涉及一种ATM系统资源异常报警系统及方法。

背景技术：

随着计算机技术的飞速发展，各行各业采用计算机，以及计算机辅助程序进行办公，或对外提供服务的场景越来越多。大量人工作业的重复冗余工作逐渐被高速计算机所替代，计算机对于业务的熟练程度高，误操作率低是优势是人工操作所不具备的。ATM机的出现代替了大量的银行柜员操作，既节省财力也节省人力物力。

由于计算机的应用以及对外的服务由软件组成，而软件又是人为编写的，大量的不法分子利用恶意软件来在各行各业的计算机系统中获取非法利益成为现在计算机领域的一大难题。特别在ATM机上，利用恶意软件对终端用户进行诈骗，或在利用恶意软件通过ATM机向银行内网散布病毒窃取用户信息的重大案例比比皆是。

技术实现要素：

针对ATM机的攻击主要为窃取用户信息、将用户信息发送至互联网，且会造成大量占用ATM系统资源使计算机变慢、死机等情况，本发明提出一种ATM系统资源异常报警系统及方法，动态监控ATM终端系统内存中进程的运行；根据进程运行情况判断是否存在敏感进程，若存在则将相应敏感进程挂起，否则视为ATM终端系统安全；针对被挂起的敏感进程，提取具体的进程信息，生成报告；将生成的报告上传给服务器。

具体发明内容包括：

一种ATM系统资源异常报警系统，包括：

系统资源监控模块，用于动态监控ATM终端系统内存中进程的运行；

系统防御模块，用于根据进程运行情况判断是否存在敏感进程，若存在则将相应敏感进程挂起，否则视为ATM终端系统安全；

报告生成模块，用于针对被挂起的敏感进程，提取具体的进程信息，生成报告；

数据上传模块，用于向服务器上传报告生成模块生成的报告。

进一步地，所述系统资源监控模块，具体用于：将自身植入到ATM终端系统内存中每个正在运行的进程的地址空间中，并根据系统中正在运行的进程的类型动态创建相应类型的进程，用以动态监控系统中的CPU以及磁盘IO的使用情况。

进一步地，所述敏感进程包括：调用访问Internet的API的进程、使得磁盘IO使用率在规定时间内持续升高并达到规定阈值的进程、在规定时间内打开文件句柄超过规定数量的进程。

进一步地，还包括：管理员根据数据上传模块上传的报告的具体信息，选择对相应敏感进程进行放行处理，并将相应的放行指令下发给系统防御模块。

一种ATM系统资源异常报警方法，包括：

动态监控ATM终端系统内存中进程的运行；

根据进程运行情况判断是否存在敏感进程，若存在则将相应敏感进程挂起，否则视为ATM终端系统安全；

针对被挂起的敏感进程，提取具体的进程信息，生成报告；

将生成的报告上传给服务器。

进一步地，所述动态监控ATM终端系统内存中进程的运行，具体为：锁定ATM终端系统内存中每个正在运行的进程的地址空间，根据系统中正在运行的进程的类型动态创建相应类型的进程，用以动态监控系统中的CPU以及磁盘IO的使用情况。

进一步地，所述敏感进程包括：调用访问Internet的API的进程、使得磁盘IO使用率在规定时间内持续升高并达到规定阈值的进程、在规定时间内打开文件句柄超过规定数量的进程。

进一步地，还包括：管理员根据上报的报告的具体信息，选择对相应敏感进程进行放行处理。

本发明的有益效果是：

本发明通过进程植入动态监控ATM终端中的进程行为，能够第一时间发现敏感进程，保障ATM终端数据的安全；进一步地，本发明为管理员提供开放接口，可以由管理员人工选择可放行的敏感进程，以满足业务需求。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种ATM系统资源异常报警系统的结构图；

图2为本发明一种ATM系统资源异常报警方法的流程图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。

本发明给出了一种ATM系统资源异常报警系统的实施例，如图1所示，包括：

系统资源监控模块101，用于动态监控ATM终端系统内存中进程的运行；

系统防御模块102，用于根据进程运行情况判断是否存在敏感进程，若存在则将相应敏感进程挂起，否则视为ATM终端系统安全；

报告生成模块103，用于针对被挂起的敏感进程，提取具体的进程信息，生成报告；

数据上传模块104，用于向服务器上传报告生成模块103生成的报告。

优选地，所述系统资源监控模块101，具体用于：将自身植入到ATM终端系统内存中每个正在运行的进程的地址空间中，并根据系统中正在运行的进程的类型动态创建相应类型的进程，用以动态监控系统中的CPU以及磁盘IO的使用情况。

优选地，所述敏感进程包括：调用访问Internet的API的进程、使得磁盘IO使用率在规定时间内持续升高并达到规定阈值的进程、在规定时间内打开文件句柄超过规定数量的进程。

优选地，还包括：管理员根据数据上传模块104上传的报告的具体信息，选择对相应敏感进程进行放行处理，并将相应的放行指令下发给系统防御模块102。

本发明还给出了一种ATM系统资源异常报警方法的实施例，如图2所示，包括：

S201：动态监控ATM终端系统内存中进程的运行；

S202：根据进程运行情况判断是否存在敏感进程，若存在则将相应敏感进程挂起，否则视为ATM终端系统安全；

S203：针对被挂起的敏感进程，提取具体的进程信息，生成报告；

S204将生成的报告上传给服务器。

优选地，所述动态监控ATM终端系统内存中进程的运行，具体为：锁定ATM终端系统内存中每个正在运行的进程的地址空间，根据系统中正在运行的进程的类型动态创建相应类型的进程，用以动态监控系统中的CPU以及磁盘IO的使用情况。

优选地，所述敏感进程包括：调用访问Internet的API的进程、使得磁盘IO使用率在规定时间内持续升高并达到规定阈值的进程、在规定时间内打开文件句柄超过规定数量的进程。

优选地，还包括：管理员根据上报的报告的具体信息，选择对相应敏感进程进行放行处理。

本说明书中系统的实施例采用递进的方式描述，对于方法的实施例而言，由于其基本相似于系统实施例，所以描述的比较简单，相关之处参见系统实施例的部分说明即可。针对ATM机的攻击主要为窃取用户信息、将用户信息发送至互联网，且会造成大量占用ATM系统资源使计算机变慢、死机等情况，本发明提出一种ATM系统资源异常报警系统及方法，动态监控ATM终端系统内存中进程的运行；根据进程运行情况判断是否存在敏感进程，若存在则将相应敏感进程挂起，否则视为ATM终端系统安全；针对被挂起的敏感进程，提取具体的进程信息，生成报告；将生成的报告上传给服务器。本发明通过进程植入动态监控ATM终端中的进程行为，能够第一时间发现敏感进程，保障ATM终端数据的安全；进一步地，本发明为管理员提供开放接口，可以由管理员人工选择可放行的敏感进程，以满足业务需求。

虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。