一种检测远程入侵计算机行为的方法及系统.pdfVIP

(19)中华人民共和国国家知识产权局

(12)发明专利说明书

(10)申请公布号CN102663274A

(43)申请公布日2012.09.12

(21)申请号CN201210026317.3

(22)申请日2012.02.07

(71)申请人奇智软件(北京)有限公司

地址100016北京市朝阳区酒仙桥路14号兆维大厦4层东侧单元

(72)发明人范纪鍠郑文彬路健华张晓霖

(74)专利代理机构北京市德权律师事务所

代理人刘丽君

(51)Int.CI

权利要求说明书说明书幅图

(54)发明名称

一种检测远程入侵计算机行为的方

法及系统

(57)摘要

本发明公开了一种检测远程入侵计

算机行为的方法及系统，其中，所述方法

包括：对系统中的进程创建事件进行监

控；当监控到创建某进程的请求时，拦截

该进程创建请求；通过分析该进程、该进

程的祖先进程，以及当前开放的端口，判

断该进程创建操作是否正常；如果所述进

程创建请求不正常，则将该进程创建请求

确定为远程入侵计算机的行为。通过本发

明，能够在不需要用户干预的情况下进程

远程入侵行为的检测，并且不至于使得保

存的数据膨胀过大。

法律状态

法律状态公告日法律状态信息法律状态

专利权的转移IPC(主分

类):G06F21/55专利

号:ZL2012100263173登记生效

日更事项:专利权人

变更前权利人:北京奇虎科技有限

公司变更后权利人:北京奇虎科技

有限公司变更事项:地址变更前权

专利申请权、专利权

2022-07-29利人:100088北京市西城区新街

的转移

口外大街28号D座112室(德胜

园区)变更后权利人:100015北京

市朝阳区酒仙桥路6号院2号楼

1至19层104号内8层801变更

事项:专利权人变更前权利人:奇

智软件(北京)有限公司变更后权

利人:

权利要求说明书

1.一种检测远程入侵计算机行为的方法，其特征在于，包括：

对系统中的进程创建事件进行监控；

当监控到创建某进程的请求时，拦截该进程创建请求；

通过分析该进程、该进程的祖先进程，以及当前开放的端口，判断该进程

创建操作是否正常；

如果所述进程创建请求不正常，则将该进程创建请求确定为远程入侵计算

机的行为。

2.根据权利要求1所述的方法，其特征在于，如果所述进程创建操作不

正常，则还包括：

阻止进程创建操作的执行；

或者，

向发出异常报警，根据用户的选择操作，阻止或允许进程创建操作的执行。

3.根据权利要求1所述的方法，其特征在于，如果所述进程创建请求正

常，则还包括：

允许创建操作的执行。

4.根据权利要求1至3任一项所述的方法，其特征在于，所述通过分