凭据扫描进程的识别方法和系统与流程

技术特征：
1.一种凭据扫描进程的识别方法，其特征在于，包括：获取待识别的调用进程的进程信息，其中，所述调用进程包括调用遍历文件扫描操作系统的应用程序接口的进程，所述进程信息至少包括进程路径信息和命令参数信息；在所述进程信息的所述进程路径信息中检测目标进程路径信息，并根据检测所述目标进程路径信息的结果，确定所述调用进程是否为非法调用进程；在确定所述调用进程为非法调用进程的情况下，从所述进程信息中提取所述命令参数信息，并在所述命令参数信息中检测凭据扫描关键词，得到检测结果，其中，所述凭据扫描关键词用于表征所述调用进程执行的扫描文件内凭据的操作；根据所述检测结果，确定所述调用进程的识别结果。2.根据权利要求1所述的凭据扫描进程的识别方法，其特征在于，根据检测所述目标进程路径信息的结果，确定所述调用进程是否为非法调用进程包括：在检测到所述目标进程路径信息的情况下，确定所述调用进程为非法调用进程；在未检测到所述目标进程路径信息的情况下，确定所述调用进程为预设合法扫描进程其中之一。3.根据权利要求1所述的凭据扫描进程的识别方法，其特征在于，所述命令参数信息包括命令行参数，在所述命令参数信息中检测凭据扫描关键词，得到检测结果包括：提取所述命令参数信息中的所述命令行参数；在所述命令行参数中检测所述凭据扫描关键词，其中，所述凭据扫描关键词包括多个凭据扫描标识；在检测到至少一个所述凭据扫描标识的情况下，确定所述检测结果包括所述调用进程在执行扫描文件内凭据。4.根据权利要求3所述的凭据扫描进程的识别方法，其特征在于，根据所述检测结果，确定所述调用进程的识别结果包括：在确定所述检测结果包括所述调用进程在执行扫描文件内凭据的情况下，确定所述调用进程为扫描文件内凭据的进程。5.根据权利要求4所述的凭据扫描进程的识别方法，其特征在于，所述识别方法还包括：在确定所述调用进程为扫描文件内凭据的进程之后，关闭所述调用进程。6.根据权利要求5所述的凭据扫描进程的识别方法，其特征在于，所述进程信息还包括进程地址，在关闭所述调用进程之后，所述识别方法还包括：获取所述进程地址，并根据所述进程地址查询所述调用进程是否运行；在确定所述调用进程在运行的情况下，生成告警信息，并基于所述告警信息进行告警提示。7.根据权利要求4所述的凭据扫描进程的识别方法，其特征在于，在确定所述调用进程为扫描文件内凭据的进程之后，所述识别方法还包括：判断所述调用进程是否关联第一应用程序，其中，所述第一应用程序包括所述文件扫描操作系统携带的应用程序；在判断到所述调用进程关联所述第一应用程序的情况下，确定所述文件扫描操作系统包括威胁漏洞；在判断到所述调用进程未关联所述第一应用程序的情况下，删除所述调用进程。8.根据权利要求1所述的凭据扫描进程的识别方法，其特征在于，在获取待识别的调用
进程的进程信息之前，所述识别方法包括：捕获文件扫描操作系统的应用程序接口的调用事件，从所述调用事件中获取待识别的调用进程及对应的所述进程信息。9.一种凭据扫描进程的识别装置，其特征在于，包括：获取模块，用于获取待识别的调用进程的进程信息，其中，所述调用进程包括调用遍历文件扫描操作系统的应用程序接口的进程，所述进程信息至少包括进程路径信息和命令参数信息；检测模块，用于在所述进程信息的所述进程路径信息中检测目标进程路径信息，并根据检测所述目标进程路径信息的结果，确定所述调用进程是否为非法调用进程；识别模块，用于在确定所述调用进程为非法调用进程的情况下，从所述进程信息中提取所述命令参数信息，并在所述命令参数信息中检测凭据扫描关键词，得到检测结果，其中，所述凭据扫描关键词用于表征所述调用进程执行的扫描文件内凭据的操作；确定模块，用于根据所述检测结果，确定所述调用进程的识别结果。10.一种凭据扫描进程的识别系统，其特征在于，包括：防护终端设备、传输设备以及服务器设备；其中，所述防护终端设备通过传输设备连接服务器设备；所述服务器设备用于配设目标进程路径信息和凭据扫描关键词；所述传输设备用于将所述目标进程路径信息和所述凭据扫描关键词传输至所述防护终端设备；所述防护终端设备用于执行权利要求1至8中任一项所述的凭据扫描进程的识别方法。11.一种电子装置，包括存储器和处理器，其特征在于，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行权利要求至8任一所述的一种凭据扫描进程的识别方法。12.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至8任一所述的一种凭据扫描进程的识别方法。

技术总结
本申请涉及凭据扫描进程的识别方法和系统，通过设定合法的文件遍历进程和凭据扫描关键词，然后通过监控操作系统文件遍历API的调用，如果发现非法调用遍历系统API的进程，再提取进程的命令行参数，如果命令行参数中包含凭据扫描关键字，则判定该进程正在执行扫描文件内凭据行为，最后终止该进程继续运行，并将进程信息上报展示给用户，用户可按需对进程文件进行处理，解决了相关技术中无法精准地检测出具有扫描文件凭据行为的进程并且无法精准地判断出非法扫描文件凭据行为的问题，大大地提高了计算机中凭据文件的安全性，保护文件内凭据不被泄漏。据不被泄漏。据不被泄漏。


技术研发人员：郑云超 黄进
受保护的技术使用者：安徽安恒数智信息技术有限公司
技术研发日：2021.06.10
技术公布日：2021/10/23