進(jìn)程識(shí)別方法及系統(tǒng)的制作方法【專利摘要】本發(fā)明適用于計(jì)算機(jī)【
技術(shù)領(lǐng)域:
】,提供了一種進(jìn)程識(shí)別方法�����,包括如下步驟:信息采集步驟,采集目標(biāo)進(jìn)程的PE文件所述PE文件的屬性信息���;加密計(jì)算步驟���,對(duì)所述PE文件和所述屬性信息進(jìn)行加密算法計(jì)算,獲得對(duì)應(yīng)的特征值���;進(jìn)程識(shí)別步驟�����,將所述特征值與預(yù)存的效驗(yàn)值進(jìn)行比較�����,以識(shí)別所述目標(biāo)進(jìn)程是否為合法進(jìn)程。相應(yīng)地��,本發(fā)明還提供一種進(jìn)程識(shí)別系統(tǒng)�����。借此����,本發(fā)明具有識(shí)別準(zhǔn)確性高�、識(shí)別效率高����、安全性強(qiáng)的優(yōu)點(diǎn)?��!緦@f(shuō)明】進(jìn)程識(shí)別方法及系統(tǒng)【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明涉及計(jì)算機(jī)【
技術(shù)領(lǐng)域:
】�����,尤其涉及一種進(jìn)程識(shí)別方法及系統(tǒng)����?��!?br>背景技術(shù):
】[0002]進(jìn)程在啟動(dòng)過(guò)程中����,要經(jīng)過(guò)系統(tǒng)的多次檢查���,比如進(jìn)程映像文件的完整性���、可運(yùn)行系統(tǒng)的子系統(tǒng)環(huán)境�、需要導(dǎo)入的外部動(dòng)態(tài)鏈接庫(kù)�����、安全描述符��、系統(tǒng)資源等�����,然后才能向系統(tǒng)申請(qǐng)到所需的各類資源(內(nèi)存���、外設(shè)等)�,并建立該進(jìn)程的主線程來(lái)完成具體的工作�。[0003]系統(tǒng)如對(duì)運(yùn)行在內(nèi)部的所有線程行為不再做任何管控,其中一些非法的線程就可能會(huì)進(jìn)行破壞系統(tǒng)的穩(wěn)定性����、干擾其他線程的正常運(yùn)行����、盜取用戶電腦上的資料等程序����。因此�,需要對(duì)線程所屬的進(jìn)程身份進(jìn)行鑒定,確保對(duì)非法的進(jìn)程進(jìn)行處理���。[0004]在當(dāng)下經(jīng)濟(jì)的高速發(fā)展下�����,企業(yè)的信息越來(lái)越重要����,為防止非法進(jìn)程����,比如:病毒、木馬等�����,竊取企業(yè)機(jī)密���,提出了一些解決方案:[0005]一��、依靠進(jìn)程名來(lái)識(shí)別進(jìn)程���,但該方法無(wú)法有效識(shí)別偽造進(jìn)程名的非法進(jìn)程��。[0006]二����、通過(guò)校驗(yàn)進(jìn)程映像文件的雜湊值�����,比如:MD5(Message-Digestalgorithm5,信息摘要算法)值等識(shí)別進(jìn)程�����,但當(dāng)進(jìn)程映像文件過(guò)大時(shí)會(huì)導(dǎo)致計(jì)算時(shí)間過(guò)長(zhǎng)���,效率低下����。[0007]綜上可知����,現(xiàn)有技術(shù)在實(shí)際使用上顯然存在不便與缺陷,所以有必要加以改進(jìn)�����?����!?br/>發(fā)明內(nèi)容】[0008]針對(duì)上述的缺陷�����,本發(fā)明的目的在于提供一種進(jìn)程識(shí)別方法及系統(tǒng)�,其具有識(shí)別準(zhǔn)確性高、識(shí)別效率高�����、安全性強(qiáng)的優(yōu)點(diǎn)���。[0009]為了實(shí)現(xiàn)上述目的�,本發(fā)明提供一種進(jìn)程識(shí)別方法����,包括如下步驟:[0010]信息采集步驟�,采集目標(biāo)進(jìn)程的PE文件所述PE文件的屬性信息����;[0011]加密計(jì)算步驟,對(duì)所述PE文件和所述屬性信息進(jìn)行加密算法計(jì)算���,獲得對(duì)應(yīng)的特征值���;[0012]進(jìn)程識(shí)別步驟,將所述特征值與預(yù)存的效驗(yàn)值進(jìn)行比較���,以識(shí)別所述目標(biāo)進(jìn)程是否為合法進(jìn)程����。[0013]根據(jù)本發(fā)明所述的進(jìn)程識(shí)別方法����,所述信息采集步驟進(jìn)一步包括:[0014]獲取所述目標(biāo)進(jìn)程的所述PE文件的文件大小數(shù)值;[0015]將所述文件大小數(shù)值與一預(yù)存的閾值進(jìn)行比較�;[0016]若所述文件大小數(shù)值大于所述閾值,則采集所述目標(biāo)進(jìn)程的所述PE文件的預(yù)定部分內(nèi)容和所述屬性信息�,否則采集所述目標(biāo)進(jìn)程的整個(gè)所述PE文件和所述屬性信息��。[0017]根據(jù)本發(fā)明所述的進(jìn)程識(shí)別方法��,所述PE文件的所述預(yù)定部分內(nèi)容包括:固定大小數(shù)值的一頭部文件段�����、一中部文件段和一尾部文件段。[0018]根據(jù)本發(fā)明所述的進(jìn)程識(shí)別方法�����,所述屬性信息包括所述PE文件的版本號(hào)����、文件大小和/或數(shù)字簽名;和/或[0019]所述加密算法計(jì)算采用SHAl值計(jì)算�。[0020]根據(jù)本發(fā)明所述的進(jìn)程識(shí)別方法,所述進(jìn)程識(shí)別步驟進(jìn)一步包括:[0021]將所述特征值與預(yù)存的白名單進(jìn)程的所述效驗(yàn)值進(jìn)行比較�����;[0022]若所述特征值與所述效驗(yàn)值相符�,則將所述目標(biāo)進(jìn)程識(shí)別為合法進(jìn)程,否則將所述目標(biāo)進(jìn)程識(shí)別為非法進(jìn)程�����。[0023]根據(jù)本發(fā)明所述的進(jìn)程識(shí)別方法,所述信息采集步驟之前還包括:[0024]獲取所述目標(biāo)進(jìn)程的進(jìn)程標(biāo)識(shí)符���;[0025]判斷所述目標(biāo)進(jìn)程的所述進(jìn)程標(biāo)識(shí)符是否存在于一合法進(jìn)程標(biāo)識(shí)符數(shù)據(jù)庫(kù)中���,若存在則判定所述目標(biāo)進(jìn)程合法,否則繼續(xù)進(jìn)行所述信息采集步驟����;[0026]在所述進(jìn)程識(shí)別步驟中,若所述目標(biāo)進(jìn)程判斷為合法進(jìn)程�����,則還包括步驟有:[0027]將所述目標(biāo)進(jìn)程的所述進(jìn)程標(biāo)識(shí)符存入所述合法進(jìn)程標(biāo)識(shí)符數(shù)據(jù)庫(kù)�����。[0028]本發(fā)明還提供一種進(jìn)程識(shí)別系統(tǒng)��,包括有:[0029]信息采集模塊�����,用于采集目標(biāo)進(jìn)程的PE文件所述PE文件的屬性信息;[0030]加密計(jì)算模塊�,用于對(duì)所述PE文件和所述屬性信息進(jìn)行加密算法計(jì)算,獲得對(duì)應(yīng)的特征值��;[0031]進(jìn)程識(shí)別模塊����,用于將所述特征值與預(yù)存的效驗(yàn)值進(jìn)行比較,以識(shí)別所述目標(biāo)進(jìn)程是否為合法進(jìn)程����。[0032]根據(jù)本發(fā)明所述的進(jìn)程識(shí)別系統(tǒng)��,所述信息采集模塊進(jìn)一步包括:[0033]數(shù)值獲取子模塊����,用于獲取所述目標(biāo)進(jìn)程的所述PE文件的文件大小數(shù)值;[0034]數(shù)值比較子模塊�,用于將所述文件大小數(shù)值與一預(yù)存的閾值進(jìn)行比較;[0035]信息采集子模塊�����,用于若所述文件大小數(shù)值大于所述閾值����,則采集所述目標(biāo)進(jìn)程的所述PE文件的預(yù)定部分內(nèi)容和所述屬性信息�����,否則采集所述目標(biāo)進(jìn)程的整個(gè)所述PE文件和所述屬性信息�����。[0036]根據(jù)本發(fā)明所述的進(jìn)程識(shí)別系統(tǒng)����,所述PE文件的所述預(yù)定部分內(nèi)容包括:固定大小數(shù)值的一頭部文件段��、一中部文件段和一尾部文件段����。[0037]根據(jù)本發(fā)明所述的進(jìn)程識(shí)別系統(tǒng),所述屬性信息包括所述PE文件的版本號(hào)�����、文件大小和/或數(shù)字簽名�����;和/或[0038]所述加密算法計(jì)算采用SHAl值計(jì)算。[0039]根據(jù)本發(fā)明所述的進(jìn)程識(shí)別系統(tǒng)����,所述進(jìn)程識(shí)別模塊進(jìn)一步包括:[0040]特征值比較子模塊,用于將所述特征值與預(yù)存的白名單進(jìn)程的所述效驗(yàn)值進(jìn)行比較�;[0041]進(jìn)程識(shí)別子模塊,用于若所述特征值與所述效驗(yàn)值相符��,則將所述目標(biāo)進(jìn)程識(shí)別為合法進(jìn)程�,否則將所述目標(biāo)進(jìn)程識(shí)別為非法進(jìn)程。[0042]根據(jù)本發(fā)明所述的進(jìn)程識(shí)別系統(tǒng)����,還包括有:[0043]標(biāo)識(shí)符獲取模塊�,用于在執(zhí)行所述信息采集模塊之前,獲取所述目標(biāo)進(jìn)程的進(jìn)程標(biāo)識(shí)符�����;[0044]標(biāo)識(shí)符判斷模塊�����,用于判斷所述目標(biāo)進(jìn)程的所述進(jìn)程標(biāo)識(shí)符是否存在于一合法進(jìn)程標(biāo)識(shí)符數(shù)據(jù)庫(kù)中��,若存在則判定所述目標(biāo)進(jìn)程合法,否則交由所述信息采集模塊處理���;[0045]標(biāo)識(shí)符存儲(chǔ)模塊���,用于若所述進(jìn)程識(shí)別模塊判斷出所述目標(biāo)進(jìn)程判斷為合法進(jìn)程時(shí),則將所述目標(biāo)進(jìn)程的所述進(jìn)程標(biāo)識(shí)符存入所述合法進(jìn)程標(biāo)識(shí)符數(shù)據(jù)庫(kù)�����。[0046]本發(fā)明提供一種基于信息摘要的進(jìn)程識(shí)別技術(shù)��,采集PE文件及其屬性信息進(jìn)行加密算法計(jì)算����,獲得對(duì)應(yīng)的特征值,再將所述特征值與預(yù)存的效驗(yàn)值進(jìn)行比較并識(shí)別目標(biāo)進(jìn)程是合法進(jìn)程或是非法進(jìn)程��,其并不只依靠進(jìn)程名進(jìn)行進(jìn)程識(shí)別���,可有效識(shí)別偽造進(jìn)程名的非法進(jìn)程�,使得進(jìn)程識(shí)別的準(zhǔn)確性更高�����。本發(fā)明優(yōu)選在采集PE文件時(shí)先進(jìn)行PE文件大小的判斷,對(duì)于大于設(shè)定范圍的PE文件只采集預(yù)定部分內(nèi)容��,在保證識(shí)別精準(zhǔn)度的前提下��,大幅度減少了檢驗(yàn)時(shí)間�,加快了整個(gè)識(shí)別過(guò)程的速度。本發(fā)明優(yōu)選采用SHAl值計(jì)算����,SHAl值具有唯一性,不可偽造����,從而提高了進(jìn)程識(shí)別的安全性。更好的是����,本發(fā)明將判定為合法進(jìn)程的進(jìn)程標(biāo)識(shí)符存入一合法進(jìn)程標(biāo)識(shí)符數(shù)據(jù)庫(kù)����,使得下一次對(duì)同一目標(biāo)進(jìn)程進(jìn)行識(shí)別時(shí)可直接根據(jù)進(jìn)程標(biāo)識(shí)符進(jìn)行識(shí)別,省去了對(duì)同一進(jìn)程進(jìn)行重復(fù)判斷的過(guò)程��,避免了識(shí)別的重復(fù)性,從而減少了識(shí)別進(jìn)程所需的時(shí)間�����,加快了識(shí)別速度�����?!緦@綀D】【附圖說(shuō)明】[0047]圖1是本發(fā)明進(jìn)程識(shí)別系統(tǒng)的結(jié)構(gòu)示意圖;[0048]圖2是本發(fā)明優(yōu)選進(jìn)程識(shí)別系統(tǒng)的結(jié)構(gòu)示意圖����;[0049]圖3是本發(fā)明進(jìn)程識(shí)別方法的流程圖;[0050]圖4是本發(fā)明第一實(shí)施例中進(jìn)程識(shí)別方法的流程圖��;[0051]圖5是本發(fā)明第二實(shí)施例中進(jìn)程識(shí)別方法的流程圖�����?��!揪唧w實(shí)施方式】[0052]為了使本發(fā)明的目的����、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合附圖及實(shí)施例�,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解����,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明�。[0053]圖1是本發(fā)明進(jìn)程識(shí)別系統(tǒng)的結(jié)構(gòu)示意圖,所述進(jìn)程識(shí)別系統(tǒng)100包括有信息采集模塊10���、加密計(jì)算模塊20以及進(jìn)程識(shí)別模塊30��,其中:[0054]所述信息采集模塊10����,用于采集目標(biāo)進(jìn)程的PE文件(PortableExecute,可移植執(zhí)行文件)所述PE文件的屬性信息�����。優(yōu)選的是�,所述屬性信息包括所述PE文件的版本號(hào)、文件大小和/或數(shù)字簽名等�����。[0055]所述加密計(jì)算模塊20�����,用于對(duì)所述PE文件和屬性信息進(jìn)行加密算法計(jì)算�,獲得對(duì)應(yīng)的特征值。優(yōu)選的是�,所述加密算法計(jì)算采用SHAl(SecureHashAlgorithm,安全哈希算法)值計(jì)算,SHAl值具有唯一性����,不可偽造,從而提高了進(jìn)程識(shí)別的安全性�����。[0056]所述進(jìn)程識(shí)別模塊30�,用于將所述特征值與預(yù)存的效驗(yàn)值進(jìn)行比較,以識(shí)別所述目標(biāo)進(jìn)程是否為合法進(jìn)程���。[0057]本發(fā)明優(yōu)選采用的是文件過(guò)濾驅(qū)動(dòng)�����,采用微軟封裝的Minifilter的框架實(shí)現(xiàn)��,在所有線程通過(guò)CreateFiIe函數(shù)打開(kāi)文件或設(shè)備時(shí)�,在PreCreate回調(diào)函數(shù)中可以對(duì)要訪問(wèn)的目的文件及發(fā)起訪問(wèn)的線程和進(jìn)程等信息進(jìn)行信息采集分析,從而完成進(jìn)程身份的識(shí)別過(guò)程���。[0058]圖2是本發(fā)明優(yōu)選進(jìn)程識(shí)別系統(tǒng)的結(jié)構(gòu)示意圖����,所述進(jìn)程識(shí)別系統(tǒng)100包括有信息采集模塊10���、加密計(jì)算模塊20以及進(jìn)程識(shí)別模塊30����,其中:[0059]所述信息采集模塊10���,用于采集目標(biāo)進(jìn)程的PE文件所述PE文件的屬性信息����。所述屬性信息優(yōu)選包括所述PE文件的版本號(hào)��、文件大小和/或數(shù)字簽名等���。優(yōu)選的是��,所述信息采集模塊10進(jìn)一步包括:[0060]數(shù)值獲取子模塊11��,用于獲取所述目標(biāo)進(jìn)程的PE文件的文件大小數(shù)值���。[0061]數(shù)值比較子模塊12,用于將所述文件大小數(shù)值與一預(yù)存的閾值進(jìn)行比較�。本實(shí)施例中所述閾值優(yōu)選為10MB。[0062]信息采集子模塊13���,用于若所述文件大小數(shù)值大于所述閾值����,則采集所述目標(biāo)進(jìn)程的所述PE文件的預(yù)定部分內(nèi)容和所述屬性信息���,否則采集所述目標(biāo)進(jìn)程的整個(gè)所述PE文件和屬性信息����。優(yōu)選的是�����,所述PE文件的預(yù)定部分內(nèi)容包括:固定大小數(shù)值的一頭部文件段�、一中部文件段和一尾部文件段�����。本實(shí)施例中固定大小數(shù)值為4KB��。[0063]本實(shí)施例在采集PE文件時(shí)先進(jìn)行PE文件大小的判斷�����,對(duì)于大于設(shè)定范圍的PE文件只采集預(yù)定部分內(nèi)容�����,在保證識(shí)別精準(zhǔn)度的前提下���,大幅度減少了檢驗(yàn)時(shí)間,加快了整個(gè)識(shí)別過(guò)程的速度����。[0064]所述加密計(jì)算模塊20,用于對(duì)所述PE文件和屬性信息進(jìn)行加密算法計(jì)算�,獲得對(duì)應(yīng)的特征值。所述加密算法計(jì)算采用SHAl值計(jì)算����。[0065]所述進(jìn)程識(shí)別模塊30��,用于將所述特征值與預(yù)存的效驗(yàn)值進(jìn)行比較�����,以識(shí)別所述目標(biāo)進(jìn)程是否為合法進(jìn)程。所述預(yù)存的效驗(yàn)值優(yōu)選為預(yù)存白名單進(jìn)程的效驗(yàn)值�。更好的是,所述進(jìn)程識(shí)別模塊30進(jìn)一步包括:[0066]特征值比較子模塊31���,用于將所述特征值與預(yù)存的白名單進(jìn)程的效驗(yàn)值進(jìn)行比較���。[0067]進(jìn)程識(shí)別子模塊32,用于若特征值與效驗(yàn)值相符���,則將目標(biāo)進(jìn)程識(shí)別為合法進(jìn)程�,否則將目標(biāo)進(jìn)程識(shí)別為非法進(jìn)程��。[0068]更好的是��,所述進(jìn)程識(shí)別系統(tǒng)100還包括:[0069]標(biāo)識(shí)符獲取模塊40��,用于在執(zhí)行信息采集模塊10之前����,獲取目標(biāo)進(jìn)程的進(jìn)程標(biāo)識(shí)符(PID)��。[0070]標(biāo)識(shí)符判斷模塊50����,用于判斷目標(biāo)進(jìn)程的進(jìn)程標(biāo)識(shí)符是否存在于一合法進(jìn)程標(biāo)識(shí)符數(shù)據(jù)庫(kù)中���,若存在則判定所述目標(biāo)進(jìn)程合法�,否則交由信息采集模塊10繼續(xù)處理��。[0071]標(biāo)識(shí)符存儲(chǔ)模塊60�����,用于若進(jìn)程識(shí)別模塊30判斷出目標(biāo)進(jìn)程判斷為合法進(jìn)程時(shí)��,則將所述目標(biāo)進(jìn)程的所述進(jìn)程標(biāo)識(shí)符存入所述合法進(jìn)程標(biāo)識(shí)符數(shù)據(jù)庫(kù)�。[0072]本實(shí)施例將判定為合法進(jìn)程的進(jìn)程標(biāo)識(shí)符存入一合法進(jìn)程標(biāo)識(shí)符數(shù)據(jù)庫(kù),使得下一次對(duì)同一目標(biāo)進(jìn)程進(jìn)行識(shí)別時(shí)可直接根據(jù)進(jìn)程標(biāo)識(shí)符進(jìn)行識(shí)別��,省去了對(duì)同一進(jìn)程進(jìn)行重復(fù)判斷的過(guò)程��,避免了識(shí)別的重復(fù)性,從而減少了識(shí)別進(jìn)程所需的時(shí)間��,加快了識(shí)別速度��。[0073]圖3是本發(fā)明進(jìn)程識(shí)別方法的流程圖���,其可通過(guò)如圖1或圖2所示的進(jìn)程識(shí)別系統(tǒng)100實(shí)現(xiàn)�����,所述方法包括如下步驟:[0074]步驟S301,信息采集步驟�����,采集目標(biāo)進(jìn)程的PE文件和PE文件的屬性信息��。優(yōu)選的是�,所述屬性信息包括PE文件的版本號(hào)、文件大小和/或數(shù)字簽名等�����。[0075]步驟S302���,加密計(jì)算步驟�����,對(duì)PE文件和屬性信息進(jìn)行加密算法計(jì)算�,獲得對(duì)應(yīng)的特征值。優(yōu)選的是�����,所述加密算法計(jì)算采用SHAl值計(jì)算�,SHAl值具有唯一性,不可偽造�,從而提高了進(jìn)程識(shí)別的安全性。[0076]步驟S303����,進(jìn)程識(shí)別步驟,將特征值與預(yù)存的效驗(yàn)值進(jìn)行比較���,以識(shí)別目標(biāo)進(jìn)程是否為合法進(jìn)程��。[0077]圖4是本發(fā)明第一實(shí)施例中進(jìn)程識(shí)別方法的流程圖��,其可通過(guò)如圖2所示的進(jìn)程識(shí)別系統(tǒng)100實(shí)現(xiàn)��,所述方法包括如下步驟:[0078]步驟S401����,獲取目標(biāo)進(jìn)程的進(jìn)程標(biāo)識(shí)符(PID)。[0079]步驟S402��,判斷目標(biāo)進(jìn)程的進(jìn)程標(biāo)識(shí)符是否存在于一合法進(jìn)程標(biāo)識(shí)符數(shù)據(jù)庫(kù)中�,若存在則執(zhí)行步驟S403,否則執(zhí)行步驟S404�����。[0080]步驟S403���,判定目標(biāo)進(jìn)程合法。[0081]步驟S404�����,采集目標(biāo)進(jìn)程的PE文件和PE文件的屬性信息��。優(yōu)選的是��,所述屬性信息包括PE文件的版本號(hào)���、文件大小和/或數(shù)字簽名等�。[0082]步驟S405,對(duì)PE文件和屬性信息進(jìn)行SHAl值計(jì)算�����,獲得對(duì)應(yīng)的特征值�����。[0083]步驟S406��,判斷特征值與預(yù)存的效驗(yàn)值是否相符�����,若是則執(zhí)行步驟S408�,否則執(zhí)行步驟S407。所述預(yù)存的效驗(yàn)值優(yōu)選為預(yù)存白名單進(jìn)程的效驗(yàn)值�����。[0084]步驟S407��,若特征值與效驗(yàn)值不相符�,則將目標(biāo)進(jìn)程識(shí)別為非法進(jìn)程����。[0085]步驟S408�����,若特征值與效驗(yàn)值相符�,則將目標(biāo)進(jìn)程識(shí)別為合法進(jìn)程。[0086]步驟S409����,將目標(biāo)進(jìn)程的進(jìn)程標(biāo)識(shí)符存入合法進(jìn)程標(biāo)識(shí)符數(shù)據(jù)庫(kù)。[0087]本實(shí)施例將判定為合法進(jìn)程的進(jìn)程標(biāo)識(shí)符存入一合法進(jìn)程標(biāo)識(shí)符數(shù)據(jù)庫(kù)���,使得下一次對(duì)同一目標(biāo)進(jìn)程進(jìn)行識(shí)別時(shí)可直接根據(jù)進(jìn)程標(biāo)識(shí)符進(jìn)行識(shí)別����,省去了對(duì)同一進(jìn)程進(jìn)行重復(fù)判斷的過(guò)程����,避免了識(shí)別的重復(fù)性��,從而減少了識(shí)別進(jìn)程所需的時(shí)間����,加快了識(shí)別速度�����。[0088]圖5是本發(fā)明第二實(shí)施例中進(jìn)程識(shí)別方法的流程圖�,其可通過(guò)如圖2所示的進(jìn)程識(shí)別系統(tǒng)100實(shí)現(xiàn)�,所述方法包括如下步驟:[0089]步驟S501,獲取目標(biāo)進(jìn)程的進(jìn)程標(biāo)識(shí)符(PID)���。[0090]步驟S502����,判斷目標(biāo)進(jìn)程的進(jìn)程標(biāo)識(shí)符是否存在于一合法進(jìn)程標(biāo)識(shí)符數(shù)據(jù)庫(kù)中����,若存在則執(zhí)行步驟S503,否則執(zhí)行步驟S504�����。[0091]步驟S503����,判定目標(biāo)進(jìn)程合法�。[0092]步驟S504�,獲取目標(biāo)進(jìn)程的PE文件的文件大小數(shù)值。[0093]步驟S505��,將文件大小數(shù)值與一預(yù)存的閾值進(jìn)行比較���,判斷文件大小數(shù)值是否大于閾值����,若是則執(zhí)行步驟S506���,否則執(zhí)行步驟S507���。本實(shí)施例中所述閾值優(yōu)選為10MB。[0094]步驟S506���,若文件大小數(shù)值大于閾值��,則采集目標(biāo)進(jìn)程的PE文件的預(yù)定部分內(nèi)容和屬性信息��。優(yōu)選的是��,所述固定大小數(shù)值的一頭部文件段��、一中部文件段和一尾部文件段�。本實(shí)施例中固定大小數(shù)值優(yōu)選為4KB����。[0095]本實(shí)施例在采集PE文件時(shí)先進(jìn)行PE文件大小的判斷,對(duì)于大于設(shè)定范圍的PE文件只采集預(yù)定部分內(nèi)容���,在保證識(shí)別精準(zhǔn)度的前提下�����,大幅度減少了檢驗(yàn)時(shí)間���,加快了整個(gè)識(shí)別過(guò)程的速度。[0096]步驟S507�����,若文件大小數(shù)值小于或等于閾值��,則采集目標(biāo)進(jìn)程的整個(gè)PE文件和屬性信息��。優(yōu)選的是,所述屬性信息包括PE文件的版本號(hào)���、文件大小和/或數(shù)字簽名等��。[0097]步驟S508��,對(duì)PE文件(或PE文件的預(yù)定部分內(nèi)容)和屬性信息進(jìn)行加密算法計(jì)算����,獲得對(duì)應(yīng)的特征值����。優(yōu)選的是,所述加密算法計(jì)算采用SHAl值計(jì)算���。[0098]步驟S509��,將特征值與預(yù)存的白名單進(jìn)程的效驗(yàn)值進(jìn)行比較是否相符����,若是則執(zhí)行步驟S511���,否則執(zhí)行步驟S510����。[0099]步驟S510,若特征值與效驗(yàn)值不相符����,則將目標(biāo)進(jìn)程識(shí)別為非法進(jìn)程�。[0100]步驟S511,若特征值與效驗(yàn)值相符���,則將目標(biāo)進(jìn)程識(shí)別為合法進(jìn)程�����。[0101]步驟S512��,將目標(biāo)進(jìn)程的進(jìn)程標(biāo)識(shí)符存入合法進(jìn)程標(biāo)識(shí)符數(shù)據(jù)庫(kù)�����。[0102]綜上所述�����,本發(fā)明提供一種基于信息摘要的進(jìn)程識(shí)別技術(shù)��,采集PE文件及其屬性信息進(jìn)行加密算法計(jì)算����,獲得對(duì)應(yīng)的特征值,再將所述特征值與預(yù)存的效驗(yàn)值進(jìn)行比較并識(shí)別目標(biāo)進(jìn)程是合法進(jìn)程或是非法進(jìn)程���,其并不只依靠進(jìn)程名進(jìn)行進(jìn)程識(shí)別��,可有效識(shí)別偽造進(jìn)程名的非法進(jìn)程�����,使得進(jìn)程識(shí)別的準(zhǔn)確性更高��。本發(fā)明優(yōu)選在采集PE文件時(shí)先進(jìn)行PE文件大小的判斷��,對(duì)于大于設(shè)定范圍的PE文件只采集預(yù)定部分內(nèi)容�,在保證識(shí)別精準(zhǔn)度的前提下�,大幅度減少了檢驗(yàn)時(shí)間,加快了整個(gè)識(shí)別過(guò)程的速度�����。本發(fā)明優(yōu)選采用SHAl值計(jì)算�����,SHAl值具有唯一性,不可偽造��,從而提高了進(jìn)程識(shí)別的安全性�。更好的是,本發(fā)明將判定為合法進(jìn)程的進(jìn)程標(biāo)識(shí)符存入一合法進(jìn)程標(biāo)識(shí)符數(shù)據(jù)庫(kù)�����,使得下一次對(duì)同一目標(biāo)進(jìn)程進(jìn)行識(shí)別時(shí)可直接根據(jù)進(jìn)程標(biāo)識(shí)符進(jìn)行識(shí)別����,省去了對(duì)同一進(jìn)程進(jìn)行重復(fù)判斷的過(guò)程��,避免了識(shí)別的重復(fù)性�,從而減少了識(shí)別進(jìn)程所需的時(shí)間,加快了識(shí)別速度�����。[0103]當(dāng)然���,本發(fā)明還可有其它多種實(shí)施例�����,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下�����,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形����,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍?!緳?quán)利要求】1.一種進(jìn)程識(shí)別方法,其特征在于����,包括如下步驟:信息采集步驟,采集目標(biāo)進(jìn)程的PE文件所述PE文件的屬性信息��;加密計(jì)算步驟�,對(duì)所述PE文件和所述屬性信息進(jìn)行加密算法計(jì)算,獲得對(duì)應(yīng)的特征值�����;進(jìn)程識(shí)別步驟����,將所述特征值與預(yù)存的效驗(yàn)值進(jìn)行比較����,以識(shí)別所述目標(biāo)進(jìn)程是否為合法進(jìn)程���。2.根據(jù)權(quán)利要求1所述的進(jìn)程識(shí)別方法��,其特征在于�����,所述信息采集步驟進(jìn)一步包括:獲取所述目標(biāo)進(jìn)程的所述PE文件的文件大小數(shù)值;將所述文件大小數(shù)值與一預(yù)存的閾值進(jìn)行比較�����;若所述文件大小數(shù)值大于所述閾值��,則采集所述目標(biāo)進(jìn)程的所述PE文件的預(yù)定部分內(nèi)容和所述屬性信息���,否則采集所述目標(biāo)進(jìn)程的整個(gè)所述PE文件和所述屬性信息���。3.根據(jù)權(quán)利要求2所述的進(jìn)程識(shí)別方法��,其特征在于�,所述PE文件的所述預(yù)定部分內(nèi)容包括:固定大小數(shù)值的一頭部文件段�����、一中部文件段和一尾部文件段����。4.根據(jù)權(quán)利要求1所述的進(jìn)程識(shí)別方法,其特征在于���,所述屬性信息包括所述PE文件的版本號(hào)��、文件大小和/或數(shù)字簽名��;和/或所述加密算法計(jì)算采用SHAl值計(jì)算��。5.根據(jù)權(quán)利要求1所述的進(jìn)程識(shí)別方法�,其特征在于�,所述進(jìn)程識(shí)別步驟進(jìn)一步包括:將所述特征值與預(yù)存的白名單進(jìn)程的所述效驗(yàn)值進(jìn)行比較;若所述特征值與所述效驗(yàn)值相符��,則將所述目標(biāo)進(jìn)程識(shí)別為合法進(jìn)程�,否則將所述目標(biāo)進(jìn)程識(shí)別為非法進(jìn)程��。6.根據(jù)權(quán)利要求1~5任一項(xiàng)所述的進(jìn)程識(shí)別方法����,其特征在于�����,所述信息采集步驟之前還包括:獲取所述目標(biāo)進(jìn)程的進(jìn)程標(biāo)識(shí)符����;判斷所述目標(biāo)進(jìn)程的所述進(jìn)程標(biāo)識(shí)符是否存在于一合法進(jìn)程標(biāo)識(shí)符數(shù)據(jù)庫(kù)中,若存在則判定所述目標(biāo)進(jìn)程合法���,否則繼續(xù)進(jìn)行所述信息采集步驟����;在所述進(jìn)程識(shí)別步驟中�����,若所述目標(biāo)進(jìn)程判斷為合法進(jìn)程�����,則還包括步驟有:將所述目標(biāo)進(jìn)程的所述進(jìn)程標(biāo)識(shí)符存入所述合法進(jìn)程標(biāo)識(shí)符數(shù)據(jù)庫(kù)����。7.—種進(jìn)程識(shí)別系統(tǒng),其特征在于���,包括有:信息采集模塊���,用于采集目標(biāo)進(jìn)程的PE文件所述PE文件的屬性信息;加密計(jì)算模塊����,用于對(duì)所述PE文件和所述屬性信息進(jìn)行加密算法計(jì)算,獲得對(duì)應(yīng)的特征值����;進(jìn)程識(shí)別模塊,用于將所述特征值與預(yù)存的效驗(yàn)值進(jìn)行比較�����,以識(shí)別所述目標(biāo)進(jìn)程是否為合法進(jìn)程���。8.根據(jù)權(quán)利要求7所述的進(jìn)程識(shí)別系統(tǒng)����,其特征在于,所述信息采集模塊進(jìn)一步包括:數(shù)值獲取子模塊�,用于獲取所述目標(biāo)進(jìn)程的所述PE文件的文件大小數(shù)值;數(shù)值比較子模塊��,用于將所述文件大小數(shù)值與一預(yù)存的閾值進(jìn)行比較�;信息采集子模塊,用于若所述文件大小數(shù)值大于所述閾值�,則采集所述目標(biāo)進(jìn)程的所述PE文件的預(yù)定部分內(nèi)容和所述屬性信息,否則采集所述目標(biāo)進(jìn)程的整個(gè)所述PE文件和所述屬性信息�����。9.根據(jù)權(quán)利要求8所述的進(jìn)程識(shí)別系統(tǒng)��,其特征在于��,所述PE文件的所述預(yù)定部分內(nèi)容包括:固定大小數(shù)值的一頭部文件段�����、一中部文件段和一尾部文件段�����。10.根據(jù)權(quán)利要求7所述的進(jìn)程識(shí)別系統(tǒng)��,其特征在于�����,所述屬性信息包括所述PE文件的版本號(hào)����、文件大小和/或數(shù)字簽名;和/或所述加密算法計(jì)算采用SHAl值計(jì)算�。11.根據(jù)權(quán)利要求7所述的進(jìn)程識(shí)別系統(tǒng),其特征在于�����,所述進(jìn)程識(shí)別模塊進(jìn)一步包括:特征值比較子模塊�����,用于將所述特征值與預(yù)存的白名單進(jìn)程的所述效驗(yàn)值進(jìn)行比較�;進(jìn)程識(shí)別子模塊,用于若所述特征值與所述效驗(yàn)值相符��,則將所述目標(biāo)進(jìn)程識(shí)別為合法進(jìn)程,否則將所述目標(biāo)進(jìn)程識(shí)別為非法進(jìn)程���。12.根據(jù)權(quán)利要求7~11任一項(xiàng)所述的進(jìn)程識(shí)別系統(tǒng)��,其特征在于����,還包括有:標(biāo)識(shí)符獲取模塊����,用于在執(zhí)行所述信息采集模塊之前,獲取所述目標(biāo)進(jìn)程的進(jìn)程標(biāo)識(shí)符;標(biāo)識(shí)符判斷模塊����,用于判斷所述目標(biāo)進(jìn)程的所述進(jìn)程標(biāo)識(shí)符是否存在于一合法進(jìn)程標(biāo)識(shí)符數(shù)據(jù)庫(kù)中,若存在則判定所述目標(biāo)進(jìn)程合法���,否則交由所述信息采集模塊處理��;標(biāo)識(shí)符存儲(chǔ)模塊�����,用于若所述進(jìn)程識(shí)別模塊判斷出所述目標(biāo)進(jìn)程判斷為合法進(jìn)程時(shí)���,則將所述目標(biāo)進(jìn)程的所述進(jìn)程標(biāo)識(shí)符存入所述合法進(jìn)程標(biāo)識(shí)符數(shù)據(jù)庫(kù)?�!疚臋n編號(hào)】G06F21/52GK103559438SQ201310530137【公開(kāi)日】2014年2月5日申請(qǐng)日期:2013年10月31日優(yōu)先權(quán)日:2013年10月31日【發(fā)明者】曾洪寧申請(qǐng)人:上海上訊信息技術(shù)有限公司