本申請公開了一種追溯惡意進程的方法、裝置及存儲介質，所述方法包括：獲取惡意進程數據；從惡意進程數據中過濾出所述惡意進程的用戶標識；基于惡意進程的用戶標識和包名的對應關系，確定惡意進程的用戶標識對應的惡意進程包名；基于惡意進程包名對所述惡意進程進行追溯。如此，當存在至少一條惡意進程數據時，分別快速過濾出各自對應的惡意進程的用戶標識，依據進程的用戶標識和包名的對應關系，確定出每一條惡意進程數據對應的惡意進程包名，根據惡意進程包名可快速捕獲惡意進程，從而提高了惡意進程排查的效率。

技術領域

本申請涉及計算機技術，尤其涉及一種追溯惡意進程的方法、裝置、設備及存儲介質。

背景技術

針對一些操作系統的安全機制，普通廠商都是基于谷歌(Google)或平臺廠商的現有安全機制。然而，現有安全機制中并沒有攔截惡意進程的功能，也就不能進一步對惡意進程進行追溯和分析。

大型廠商擁有自主研發的安全機制，在開源的內核代碼中已證實了對惡意進程進行檢測后，可繼續對惡意進程進行追溯以及分析。這些自主研發的安全機制是利用task_struct進程結構體，打印出進程組組長標識(Thread Group Identification，TGID)并上報到用戶層。這里打印的TGID只有表示父進程時，才可追溯到被調用的子進程，也就是說，此時打印出的TGID才是有效的。然而，當存在第一進程去調用第二進程，且兩個進程并非父、子進程的關系，那么即使打印出第一進程的TGID，也不能追溯到第二進程，也就是說，打印出的TGID是無效的，進而導致后期研發部門無法開展抓取惡意進程的工作。

發明內容

為解決上述技術問題，本申請期望提供一種追溯惡意進程的方法、裝置及存儲介質，目的在于提高惡意進程排查的效率。

本申請的技術方案是這樣實現的：

第一方面，提供了一種追溯惡意進程的方法，該方法包括：

獲取惡意進程數據；

從所述惡意進程數據中過濾出所述惡意進程的用戶標識；

基于進程的用戶標識和包名的對應關系，確定所述惡意進程的用戶標識對應的惡意進程包名；

基于所述惡意進程包名對所述惡意進程進行追溯。

第二方面，提供了一種追溯惡意進程的裝置，該裝置包括：

獲取單元，用于獲取惡意進程數據；

過濾單元，用于從所述惡意進程數據中過濾出所述惡意進程的用戶標識；

確定單元，用于基于進程的用戶標識和包名的對應關系，確定所述惡意進程的用戶標識對應的惡意進程包名；

執行單元，用于基于所述惡意進程包名對所述惡意進程進行追溯。

第三方面，提供了一種追溯惡意進程設備，包括：處理器和配置為存儲能夠在處理器上運行的計算機程序的存儲器，其中，所述處理器配置為運行所述計算機程序時，執行前述方法的步驟。

第四方面，提供了一種計算機可讀存儲介質，其上存儲有計算機程序，其中，該計算機程序被處理器執行時實現前述方法的步驟。

采用上述技術方案，獲取惡意進程數據；從惡意進程數據中過濾出所述惡意進程的用戶標識；基于惡意進程的用戶標識和包名的對應關系，確定惡意進程的用戶標識對應的惡意進程包名；基于惡意進程包名對所述惡意進程進行追溯。如此，當存在至少一條惡意進程數據時，分別快速過濾出各自對應的惡意進程的用戶標識，依據進程的用戶標識和包名的對應關系，確定出每一條惡意進程數據對應的惡意進程包名，根據惡意進程包名可快速捕獲惡意進程，從而提高了惡意進程排查的效率。

附圖說明

圖1為本申請實施例中追溯惡意進程的方法的第一流程示意圖；