[发明专利]一种隐蔽定时任务的检测方法

说明书

本发明公开一种隐蔽定时任务的检测方法，涉及工控网络安全技术领域。所述方法包括：拦截系统启动监测程序；添加合法的自启动进程进入白名单；分配内存资源；跟踪白名单进程的内存使用；预测进程的内容使用是否合法，如果是，则继续跟踪预测，否则发出告警信息。本发明能够找出隐藏在系统中的木马程序，保护重要业务网络的运行安全。

技术领域

本发明涉及工控网络安全技术领域，尤其涉及一种隐蔽定时任务的检测方法。

背景技术

网络安全已经成为全球各个国家都非常关注的领域，不仅关系到国防军事，也关心到百姓的日常生活，特别是那些涉及到，诸如发电、水厂、燃气等，国计民生的重点基础设施领域。

在网络安全领域，存在的一种典型攻击场景是，主机/设备的操作系统被植入了木马，木马程序与公网的被黑客操纵的主机进行通信，并被其控制，从而可以对基础设施网络进行攻击，导致其网络瘫痪、中断。

为了保证木马程序无论何时都能与公网上的黑客进行“通信”，木马程序会把自己加入到自动启动任务中，这样即使主机/设备重启，木马程序也能正常启动、工作。同时会对其进行伪装，使管理员无法察觉到。现有技术是通过文件扫描检测特定字符，该技术缺点在于效率低下，而且是一种静态的方法。本发明针对这一场景，提供一种可以检测出隐藏在自动执行任务中的木马程序的方法。

发明内容

本发明提供了一种隐蔽定时任务的检测方法，包括：

拦截系统启动监测程序；

添加合法的自启动进程进入白名单；

分配内存资源；

跟踪白名单进程的内存使用；

预测进程的内容使用是否合法，如果是，则继续跟踪预测，否则发出告警信息。

如上所述的一种隐蔽定时任务的检测方法，其中，在主机/设备的拦截系统上安装的监测程序，包括：

①hook进程：接管启动过程；

②WL_Create进程：将“合法”的自动启动的进程添加进白名单，具体为对白名单中的进程访问的内存地址块进行记录；

Mem_Compare进程：对第n次申请内存时的起始地址进行预测，如果该地址位于一个正确的范围，则是合法的进程申请使用；否则是非法进程使用，发出告警信息。

如上所述的一种隐蔽定时任务的检测方法，其中，在hook进程中，对于管理员“合法”创建的自动启动任务，加入到白名单中；只有位于白名单中的自启动任务，才会被允许创建进程，并为其分配内存资源，否则，不在白名单中的进程不能分配到内存资源进行。

如上所述的一种隐蔽定时任务的检测方法，其中，加入hook进程的启动流程，具体包括：执行bin/login程序，弹出登录框；启动rc.local文件；执行hook进程；加载内核模块；加载Kernel实时操作系统；GRUB多操作系统启动引导；读取MBR主引导记录；加载BIOS。

如上所述的一种隐蔽定时任务的检测方法，其中，在monitor程序中由Mem_Compare进程进行程序合法性预测，预测进程的内容使用是否合法，具体为使用比对计算公式进行进程合法性预测，比对计算公式为：其中，M＝Mem_n-1_start，即第n-1次申请内存的起始地址，Mem_n为第n次申请内存的起始地址，Mem_time为申请内存的次数，Log2ⁿ为纠偏系数；如果第n次申请内存的起始地址Mem_n_start与相等，则说明进程的内容使用合法，则继续进行跟踪预测，如果不相等，则说明进程的内容使用不合法，发出告警信息。