(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113961920A(43)申请公布日2022.01.21(21)申请号202111194567.3(22)申请日2021.10.13(71)申请人安天科技集团股份有限公司地址150028黑龙江省哈尔滨市高新技术产业开发区科技创新城创新创业广场7号楼（世坤路838号）(72)发明人黄伟强曹鑫磊张慧云肖新光(74)专利代理机构北京科衡知识产权代理有限公司11928代理人王淑静(51)Int.Cl.G06F21/56(2013.01)G06F21/55(2013.01)权利要求书4页说明书11页附图5页(54)发明名称可疑进程处理方法、装置、存储介质及电子设备(57)摘要本发明提供了一种可疑进程处理方法、装置、存储介质及电子设备，涉及数据安全技术领域，为有效检测出勒索软件的攻击行为而发明。所述可疑进程处理方法，包括：对终端系统中运行的进程进行监测；响应于监测到进程所对应的操作满足预设条件，确定所述进程为可疑进程，挂起所述可疑进程；将所述可疑进程的信息发送至服务器，以请求所述服务器判断所述可疑进程是否具有窃密行为，得到判断结果；获取所述服务器发送的所述判断结果；根据所述判断结果对所述可疑进程进行处理，本发明实施例适用于检测勒索软件的攻击行为。CN113961920ACN113961920A权利要求书1/4页1.一种可疑进程处理方法，应用于终端，其特征在于，包括：对终端系统中运行的进程进行监测；响应于监测到进程所对应的操作满足预设条件，确定所述进程为可疑进程，挂起所述可疑进程；将所述可疑进程的信息发送至服务器，以请求所述服务器判断所述可疑进程是否具有窃密行为，得到判断结果；获取所述服务器发送的所述判断结果；根据所述判断结果对所述可疑进程进行处理。2.根据权利要求1所述的方法，其特征在于，所述预设条件包括：所述进程对应的预设文件类异常操作的种类不少于第一阈值和/或所述进程对应的预设系统组件类异常操作的种类不少于第二阈值。3.根据权利要求2所述的方法，其特征在于，所述预设文件类异常操作至少包括以下一种：文件遍历、磁盘遍历、批量修改文件后缀、在多个目录下创建同名的txt文件或hta文件、访问诱饵文件以及改写超过预设量的文件内容。4.根据权利要求2所述的方法，其特征在于，所述预设系统组件类异常操作至少包括以下一种：输出磁盘卷影副本、关闭系统还原功能、关闭系统数据库服务、禁用系统修复以及调用系统插件删除所有卷。5.根据权利要求1所述的方法，其特征在于，所述根据所述判断结果对所述可疑进程进行处理，包括：响应于获取的所述判断结果中包括所述可疑进程具有窃密行为，结束所述可疑进程；或者，响应于获取的所述判断结果中包括所述可疑进程不具有窃密行为，结束所述可疑进程。6.根据权利要求1所述的方法，其特征在于，在将所述可疑进程的信息发送至服务器之后，所述方法还包括：接收所述服务器发送的目标网络之间互连的协议IP地址；所述IP地址为所述可疑进程之外具有窃密行为的其它进程回传数据的目标IP地址；根据所述目标IP地址确定具有窃密行为的目标进程；结束所述目标进程以及所述可疑进程。7.一种可疑进程处理方法，应用于服务器，其特征在于，包括：接收终端的联动请求；所述联动请求中包括可疑进程的信息；获取所述终端在所述联动请求所对应的时间段内的上行流量数据；判断在所述联动请求所对应的时间段内，所述终端的上行流量数据是否符合异常数据回传的网络行为特征；所述联动请求所对应的时间段，为接收到所述联动请求的时刻前后预定时长的时间段；响应于所述上行流量数据符合异常数据回传的网络行为特征，根据所述联动请求所对应的时间段内异常数据回传的时机，确定所述可疑进程是否具有窃密行为，得到判断结果；2CN113961920A权利要求书2/4页或者，响应于所述上行流量数据不符合异常数据回传的网络行为特征，得出所述可疑进程不具有窃密行为的判断结果；将所述判断结果发送至所述终端。8.根据权利要求7所述的方法，其特征在于，所述判断在所述联动请求所对应的时间段内，所述终端上行流量数据是否符合异常数据回传的网络行为特征，包括：判断在所述联动请求对应的时间段内，所述终端的上行流量的数据量是否大于预设的数据量阈值；若在所述联动请求对应的时间段内，所述终端的上行流量的数据量大于预设的数据量阈值，则判断所述联动请求对应的时间段是否为非正常工作时间段；若所述联动请求对应的时间段为非正常工作时间段，则确定所述终端的上行流量数据符合异常数据回传的网络行为特征；否则，确定所述终端的上行流量数据不符合异常数据回传的网络行为特征。9.根据权利要求7所述的方法，其特征在于，所述根据所述联动请求所对应的时间段内异常数据回传的时机，确定所述可疑进程是否具有窃密行为