技术特征:
1.linux服务器下的恶意进程检测方法,其特征在于:包括以下步骤:
1)、选择需要检测的服务器;
2)、获取所有服务器中的进程信息;
3)、根据步骤2得到的进程信息,得到共有进程信息和单一进程信息;
4)、将进程信息与白名单进行匹配对比,得到判断结果;
5)、将判断结果后进行反馈处理。
2.根据权利要求1所述的linux服务器下的恶意进程检测方法,其特征在于:
步骤2获取的信息包括进程名、进程pid、进程所属用户、进程路径、进程占用cpu、进程占用内存、启动时执行信息、进程主要调用信息、特殊唯一性判断信息。
3.根据权利要求2所述的linux服务器下的恶意进程检测方法,其特征在于:
特殊唯一性判断信息为该进程在运行中携带的参数/创建的特殊文件。
4.根据权利要求3所述的linux服务器下的恶意进程检测方法,其特征在于:
步骤2具体获取进程信息通过收集/proc/目录及ps等常用命令获取。
5.根据权利要求4所述的linux服务器下的恶意进程检测方法,其特征在于:
步骤3包括:
3.1)、判断进程信息的进程名是否在所有服务器中皆出现,若进程名皆存在,执行步骤3.2;
3.2)、判断该进程信息在不同服务器的进程名/pid/所属用户/进程路径是否一致,若一致;执行步骤3.3;
3.3)、若该进程信息拥有特殊唯一性判断信息,作为共有进程,执行步骤3.4;
3.4)、根据共有进程生成共有进程列表,进程信息的非共有进程作为单一进程。
6.根据权利要求5所述的linux服务器下的恶意进程检测方法,其特征在于:
在步骤4中:将进程信息与白名单进行匹配对比,得到未通过白名单的进程信息。
7.根据权利要求6所述的linux服务器下的恶意进程检测方法,其特征在于:
在步骤5中:服务器管理人员对未通过白名单的进程信息进行人工判断。
8.根据权利要求7所述的linux服务器下的恶意进程检测方法,其特征在于:
白名单包括:
一、通过步骤三生成的共有进程列表通过恶意进程检测后生成的进程白名单;
二、服务器管理人员手动添加的进程相关信息;
三、确认为正常进程的相关信息。
9.根据权利要求8所述的linux服务器下的恶意进程检测方法,其特征在于:
恶意进程检测包括:
a、互联网上已知恶意进程信息;
b、各大安全厂商公开披露恶意进程相关信息;
c、其他渠道获取;
d、运行目录为/tmp/下的进程。