[发明专利]进程行为溯源装置和方法

说明书

本发明涉及一种进程行为溯源装置，该进程行为溯源装置包括进程网络信息追踪模块、进程网络信息处理模块、进程资源行为追踪模块、网络归并模块以及行为运算模块。本发明还涉及一种进程行为溯源方法。本发明能够针对操作系统状态进行全方位监控，并对自主、非自主的网络行为进行安全审计，从进程行为角度提供细粒度的分析，为计算环境整体安全态势提供数据支持。

技术领域

本发明总体涉及网络安全技术领域。具体地，本发明涉及进程行为溯源装置和方法。更具体地,本发明涉及通过对进程的网络行为进行分析,对进程的资源行为进行分析,关联追踪进程的网络行为和进程的资源行为来对进程行为溯源的装置和方法。

背景技术

现有网络安全技术是指网络系统的硬件、软件及其系统中的数据能够受到保护，不会因为偶然原因或恶意原因而遭受破坏、更改、泄露，系统能连续可靠正常地运行，网络服务不中断。

当前的网络安全防护产品主要分为如下两大类：边界安全产品和主机安全产品。

边界安全产品主要包括如下几种：

第一，防火墙系统，防火墙系统可以根据IP地址或服务端口过滤数据包。然而，防火墙系统对于利用合法IP地址和端口所从事的破坏活动则无能为力，这是因为防火墙极少深入数据包检查内容。中国绝大多数企业都在采用网络版杀毒软件+防火墙的方式来保护企业的网络正常运行。网络版杀毒软件是部署在企业网络内部且进行统一集中管理的一套杀毒软件。它可以对企业内部的病毒进行查杀，能够在一定程度上保证企业网络系统的安全，但仍然存在很大的局限性。

第二，入侵防御系统(Intrusion Prevention System，IPS)，入侵防御系统是电脑网络安全设施，是对防病毒软件和防火墙的补充。入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时地中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

入侵防御系统作为入侵侦查系统和入侵响应系统二者的进一步发展，汲取了二者的长处。

入侵侦查系统(Intrusion Detection System，IDS)在发现异常情况后及时向网络安全管理人员或防火墙系统发出警报。在ISO/OSI网络层次模型中，防火墙主要在第二到第四层起作用，它的作用在第四到第七层一般很微弱，而防病毒软件、防毒墙主要在第五到第七层起作用。为了弥补防火墙和防病毒软件、防毒墙二者在第四到第五层之间留下的空档，工业界投入使用入侵侦查系统。

尽管入侵侦查系统可以减少灾害，但是这时灾害往往已经形成。防御机制最好的是应该在危害形成之前先期起作用，因此入侵响应系统应运而生。作为对入侵侦查系统的补充，入侵响应系统能够在发现入侵时，迅速作出反应，并自动采取阻止措施。

入侵防御系统也像入侵侦查系统一样，专门深入网络数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，以便事后分析。除此之外，更重要的是，大多数入侵防御系统同时结合考虑应用程序或网路传输中的异常情况，来辅助识别入侵和攻击。比如，用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等现象。入侵防御系统虽然也考虑已知病毒特征，但是它并不仅仅依赖于已知病毒特征。

应用于边界的防火墙及防病毒系统、入侵防御系统等可在网络边界及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然,或者至少使其危害性充分降低。在必要时，它还可以为追究攻击者的刑事责任而提供法律上有效的证据。

主机安全产品主要包括如下几种：防病毒软件、终端管理软件及操作系统加固软件等。

第一，防病毒软件作为一种计算机程序，可进行检测、防护，并采取行动来解除或删除恶意软件程序，如病毒和蠕虫。