[发明专利]凭据扫描进程的识别方法和系统

说明书

本申请涉及凭据扫描进程的识别方法和系统，通过设定合法的文件遍历进程和凭据扫描关键词，然后通过监控操作系统文件遍历API的调用，如果发现非法调用遍历系统API的进程，再提取进程的命令行参数，如果命令行参数中包含凭据扫描关键字，则判定该进程正在执行扫描文件内凭据行为，最后终止该进程继续运行，并将进程信息上报展示给用户，用户可按需对进程文件进行处理，解决了相关技术中无法精准地检测出具有扫描文件凭据行为的进程并且无法精准地判断出非法扫描文件凭据行为的问题，大大地提高了计算机中凭据文件的安全性，保护文件内凭据不被泄漏。

技术领域

本申请涉及计算机信息安全技术领域，特别是涉及一种凭据扫描进程的识别方法和系统。

背景技术

现在很多服务系统会将一些访问凭据存储在文件中，有的甚至于是明文存储。这些文件可以是用户创建的文件，用于存储自己的凭据、一组用户的共享凭据、包含系统或服务密码的配置文件，或包含嵌入密码的源代码，构成凭据文件。而凭据文件中含有凭据，凭据可以是系统或服务的登陆账号密码，也可以是特定服务访问的key码，也可以是用于数据加密解密的密钥。因此存在以下风险：文件中的凭据可以被攻击者扫描出并恶意使用，攻击者可以通过合法凭据轻易的访问相关系统或服务，危害极大。

针对相关技术中无法精准地检测出具有扫描文件凭据行为的进程并且无法精准地判断出非法扫描文件凭据行为的问题，目前还没有提出有效的解决方案。

发明内容

在本实施例中提供了一种凭据扫描进程的识别方法、装置、系统、电子装置和存储介质，以至少解决相关技术中无法精准地检测出具有扫描文件凭据行为的进程并且无法精准地判断出非法扫描文件凭据行为的问题。

第一方面，本申请实施例中提供了一种凭据扫描进程的识别方法，包括：

获取待识别的调用进程的进程信息，其中，调用进程包括调用遍历文件扫描操作系统的应用程序接口的进程，进程信息至少包括进程路径信息和命令参数信息；

在进程信息的进程路径信息中检测目标进程路径信息，并根据检测目标进程路径信息的结果，确定调用进程是否为非法调用进程；

在确定调用进程为非法调用进程的情况下，从进程信息中提取命令参数信息，并在命令参数信息中检测凭据扫描关键词，得到检测结果，其中，凭据扫描关键词用于表征调用进程执行的扫描文件内凭据的操作；

根据检测结果，确定调用进程的识别结果。

在其中的一些实施例中，根据检测目标进程路径信息的结果，确定调用进程是否为非法调用进程包括：

在检测到目标进程路径信息的情况下，确定调用进程为非法调用进程；

在未检测到目标进程路径信息的情况下，确定调用进程为预设合法扫描进程其中之一。

在其中的一些实施例中，命令参数信息包括命令行参数，在命令参数信息中检测凭据扫描关键词，得到检测结果包括：

提取命令参数信息中的命令行参数；

在命令行参数中检测凭据扫描关键词，其中，凭据扫描关键词包括多个凭据扫描标识；

在检测到至少一个凭据扫描标识的情况下，确定检测结果包括调用进程在执行扫描文件内凭据。

在其中的一些实施例中，根据检测结果，确定调用进程的识别结果包括：在确定检测结果包括调用进程在执行扫描文件内凭据的情况下，确定调用进程为扫描文件内凭据的进程。

在其中的一些实施例中，识别方法还包括：在确定调用进程为扫描文件内凭据的进程之后，关闭调用进程。

在其中的一些实施例中，进程信息还包括进程地址，在关闭调用进程之后，识别方法还包括：

获取进程地址，并根据进程地址查询调用进程是否运行；