[发明专利]一种追溯恶意进程的方法、装置及存储介质

说明书

本申请公开了一种追溯恶意进程的方法、装置及存储介质，所述方法包括：获取恶意进程数据；从恶意进程数据中过滤出所述恶意进程的用户标识；基于恶意进程的用户标识和包名的对应关系，确定恶意进程的用户标识对应的恶意进程包名；基于恶意进程包名对所述恶意进程进行追溯。如此，当存在至少一条恶意进程数据时，分别快速过滤出各自对应的恶意进程的用户标识，依据进程的用户标识和包名的对应关系，确定出每一条恶意进程数据对应的恶意进程包名，根据恶意进程包名可快速捕获恶意进程，从而提高了恶意进程排查的效率。

技术领域

本申请涉及计算机技术，尤其涉及一种追溯恶意进程的方法、装置、设备及存储介质。

背景技术

针对一些操作系统的安全机制，普通厂商都是基于谷歌(Google)或平台厂商的现有安全机制。然而，现有安全机制中并没有拦截恶意进程的功能，也就不能进一步对恶意进程进行追溯和分析。

大型厂商拥有自主研发的安全机制，在开源的内核代码中已证实了对恶意进程进行检测后，可继续对恶意进程进行追溯以及分析。这些自主研发的安全机制是利用task_struct进程结构体，打印出进程组组长标识(Thread Group Identification，TGID)并上报到用户层。这里打印的TGID只有表示父进程时，才可追溯到被调用的子进程，也就是说，此时打印出的TGID才是有效的。然而，当存在第一进程去调用第二进程，且两个进程并非父、子进程的关系，那么即使打印出第一进程的TGID，也不能追溯到第二进程，也就是说，打印出的TGID是无效的，进而导致后期研发部门无法开展抓取恶意进程的工作。

发明内容

为解决上述技术问题，本申请期望提供一种追溯恶意进程的方法、装置及存储介质，目的在于提高恶意进程排查的效率。

本申请的技术方案是这样实现的：

第一方面，提供了一种追溯恶意进程的方法，该方法包括：

获取恶意进程数据；

从所述恶意进程数据中过滤出所述恶意进程的用户标识；

基于进程的用户标识和包名的对应关系，确定所述恶意进程的用户标识对应的恶意进程包名；

基于所述恶意进程包名对所述恶意进程进行追溯。

第二方面，提供了一种追溯恶意进程的装置，该装置包括：

获取单元，用于获取恶意进程数据；

过滤单元，用于从所述恶意进程数据中过滤出所述恶意进程的用户标识；

确定单元，用于基于进程的用户标识和包名的对应关系，确定所述恶意进程的用户标识对应的恶意进程包名；

执行单元，用于基于所述恶意进程包名对所述恶意进程进行追溯。

第三方面，提供了一种追溯恶意进程设备，包括：处理器和配置为存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器配置为运行所述计算机程序时，执行前述方法的步骤。

第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，其中，该计算机程序被处理器执行时实现前述方法的步骤。

采用上述技术方案，获取恶意进程数据；从恶意进程数据中过滤出所述恶意进程的用户标识；基于恶意进程的用户标识和包名的对应关系，确定恶意进程的用户标识对应的恶意进程包名；基于恶意进程包名对所述恶意进程进行追溯。如此，当存在至少一条恶意进程数据时，分别快速过滤出各自对应的恶意进程的用户标识，依据进程的用户标识和包名的对应关系，确定出每一条恶意进程数据对应的恶意进程包名，根据恶意进程包名可快速捕获恶意进程，从而提高了恶意进程排查的效率。

附图说明

图1为本申请实施例中追溯恶意进程的方法的第一流程示意图；