一种进程管理系统及方法与流程

文档序号：13137483阅读：512来源：国知局

本发明涉及计算机终端安全技术领域，具体地说是一种进程管理系统及方法。

背景技术：

随着it技术的飞速发展以及互联网的广泛普及，各种木马、病毒、0day漏洞，以及类似apt攻击这种新型的攻击手段也日渐增多，传统的病毒防御技术以及安全管理手段已经无法满足现阶段网络安全的需要，终端随意私装软件，恶意进程持续消耗有限网络带宽资源。

技术实现要素：

本发明的技术任务是提供一种进程管理系统及方法。

本发明的技术任务是按以下方式实现的：

一种进程管理系统，包括管理平台和客户端两部分，所述的管理平台和客户端之间通过消息通信总线进行通信；

所述的管理平台包括如下模块：资产管理、进程管理、进程组管理、策略模板管理、日志报表；

所述的客户端包括如下模块：进程管理安全组件、策略管理模块以及日志管理模块。

所述的资产管理用于对客户端所保护的资产进行统计管理；

所述的进程管理用于客户端采集进程信息并上报至管理平台；

所述的进程组管理用于对采集的进程进行分类管理，便于维护；

所述的策略模板管理用于策略的保存和分发至客户端；策略模板管理包含基本设置和进程组设置两部分；

所述的日志报表用于管理平台日志记录、查询以及统计。

所述的基本设置用于设置策略的启用状态、黑名单白名单设置、红名单策略启用状态；

所述的进程组设置用于选择已创建的进程组，将策略模板分发至客户端或分组上。

所述的进程管理安全组件用于实现客户端拦截与防护；

所述的策略管理模块用于接收管理平台策略并下发至内核；

所述的日志管理模块用于客户端违规日志的记录和上传至管理平台。

一种进程管理方法，包括，

通过客户端采集进程信息；

将采集的进程进行分组；

设置策略模板并下发至客户端；

客户端进程保护与审计。

所述的通过客户端采集进程信息，包括；

获取每个服务器或终端当前正在运行的进程详细信息，所述的进程详细信息包括：进程名称、产品名称、版本、公司以及启动路径；

实时查看服务器或终端当前的运行状态，并可对进程进行结束操作，同时可以对进程进行反向查询，即查询某个进程在其他服务器或终端上的运行情况。

所述的将采集的进程进行分组，包括：

用户根据客户业务场景对进程进行分组管理，设置进程组：系统进程组或某业务进程组；

支持对进程的管理，包括：添加进程、删除进程、添加到进程组；

支持手动为进程添加启动路径，为红名单策略配置使用。

所述的设置策略模板并下发至客户端，包括：

策略配置完成后，策略保存至管理平台数据库，分发到指定的客户端上，客户端接收策略后保存至客户端数据库，然后下发至系统内核。

所述的客户端进程保护与审计，包括：

使用hook技术，通过客户端进程管理安全组件拦截进程创建，然后根据策略匹配目标进程是否在黑名单或白名单策略中，如果存在则根据其名单类型决定是否允许其运行，并记录日志进行安全审计；

通过客户端进程管理安全组件拦截进程结束，然后根据策略匹配目标进程是否在红名单策略中，如果存在则不允许结束进程，并记录日志进行安全审计；

同时，客户端程序每隔一段时间检查红名单中的进程是否运行，若发现未运行则由客户端程序调起运行。

所述的白名单：只允许运行此名单内进程，其它均不允许；

所述的黑名单：不允许运行此名单内进程，其它均允许；

所述的红名单：必须运行此名单内进程，若发现未运行则由客户端程序调起运行；

所述的黑名单与白名单为互斥关系，用户选择基于白名单或基于黑名单的策略管理，同时可以选择是否启用红名单策略。

本发明的一种进程管理系统及方法和现有技术相比，可以有效管理终端对应用程序的使用，只允许白名单中的进程运行，不允许黑名单中的进程运行，必须运行红名单中的程序运行；对于用户重要的进程，可通过加入到红名单中进行管理，对政府或企业中的终端提供基于名单的进程管理系统，来防止应用程序受外部威胁，从而提高终端的安全性，该方法简单、有效，避免由于缺乏管理导致的终端安全和数据安全，并且减少管理员的日常运维工作量。

附图说明

附图1为一种进程管理系统的架构示意图；

附图2为一种进程管理方法中客户端拦截流程示意图。

具体实施方式

实施例1：

创建进程管理系统，包括管理平台和客户端两部分，所述的管理平台和客户端之间通过消息通信总线进行通信；