一种应用防护监控方法、装置以及系统制造方法及图纸

本发明专利技术实施例公开了一种应用防护监控方法、装置以及系统，其中方法包括：客户端通过目标异常行为参数列表监控各目标操作类型分别对应的操作行为，以生成行为特征；当行为特征满足第一异常行为条件时，客户端将行为特征以及当前运行进程的信息发送至服务器；服务器在当前运行进程的信息中查找目标非法进程信息，并查找与行为特征以及目标非法进程信息相关联的异常行为参数更新列表，并发送目标非法进程信息和异常行为参数更新列表到客户端；客户端对目标非法进程信息对应的进程进行关闭操作，并将目标异常行为参数列表更新为异常行为参数更新列表。采用本发明专利技术，可以实现对客户端的主动防御，并可以同时降低人工成本、减轻用户的操作负担。

Application protection monitoring method, device and system

An application of the invention discloses an application protection monitoring method, device and system. The method includes: the client monitors the operation behavior of each target operation type by the list of abnormal behavior parameters of the target, and generates the behavior characteristics. When the behavior feature satisfies the first abnormal behavior condition, the client will act The information of the features and the current running process is sent to the server; the server finds the illegal process information of the target in the information of the current running process, and finds the update list of the abnormal behavior parameters associated with the behavior features and the illegal process information of the target, and sends the illegal process information and the exception behavior parameter update column. The table to the client; the client closes the process of the information corresponding to the illegal process information of the target and updates the list of the abnormal behavior parameter list of the target to the exception behavior parameter update list. By adopting the invention, the initiative defense of the client can be realized, and the labor cost can be reduced at the same time, and the user's operation burden can be lighten.

【技术实现步骤摘要】
一种应用防护监控方法、装置以及系统
本专利技术涉及互联网
，尤其涉及一种应用防护监控方法、装置以及系统。
技术介绍
目前的防恶意程序的软件的通常做法是通过在客户端的程序中通过hook最高级别的资源，来检查是否有恶意程序或者注入的DLL(DynamicLinkLibrary，动态链接库)来串改程序中的内存数据以及冒充客户端发送假的数据给服务器。虽然目前的防恶意程序的软件可以起到一定的安全防护功能，但是该防恶意程序的软件需要用户手动启动后才能实现对客户端的安全防护，一旦该防恶意程序的软件被退出，则无法实现对客户端的保护，可见通过该防恶意程序的软件来防护客户端的方式过于被动；而且该防恶意程序的软件需要由开发人员进行不定时的更新，并将更新后的防恶意程序的软件下发到用户终端，使得用户终端重新安装新的防恶意程序的软件，由于恶意程序的更新频率较快，所以需要开发人员经常的对防恶意程序的软件进行更新，导致人工成本升高，而且也需要用户不断的对更新后的防恶意程序的软件进行安装，增加了用户的操作负担。
技术实现思路
本专利技术提供一种应用防护监控方法、装置以及系统，可以实现对客户端的主动防御，并可以同时降低人工成本、减轻用户的操作负担。本专利技术第一方面提供了一种应用防护监控方法，包括：客户端获取目标异常行为参数列表；所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件；所述客户端监控各目标操作类型分别对应的操作行为，并统计各类操作行为的操作次数，将各类操作行为的操作次数确定为行为特征；当所述行为特征满足所述第一异常行为条件时，所述客户端将所述行为特征以及当前运行进程的信息发送至所述服务器；所述服务器在所述当前运行进程的信息中查找目标非法进程信息，并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表，并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端；所述客户端对所述目标非法进程信息对应的进程进行关闭操作，并将所述目标异常行为参数列表更新为所述异常行为参数更新列表，以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。本专利技术第二方面提供了一种应用防护监控方法，包括：客户端获取目标异常行为参数列表；所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件；所述客户端监控各目标操作类型分别对应的操作行为，并统计各类操作行为的操作次数，将各类操作行为的操作次数确定为行为特征；当所述行为特征满足所述第一异常行为条件时，所述客户端将所述行为特征以及当前运行进程的信息发送至所述服务器，以使所述服务器在所述当前运行进程的信息中查找目标非法进程信息，并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表；所述客户端接收所述服务器发送的所述目标非法进程信息和所述异常行为参数更新列表，并对所述目标非法进程信息对应的进程进行关闭操作，并将所述目标异常行为参数列表更新为所述异常行为参数更新列表，以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。本专利技术第三方面提供了一种应用防护监控方法，包括：服务器接收由所述客户端在检测出行为特征满足第一异常行为条件时所发送的所述行为特征以及当前运行进程的信息；所述行为特征是由所述客户端对目标异常行为参数列表中与所述客户端相关联的至少一个目标操作类型分别对应的操作行为进行监控所生成的；所述服务器在所述当前运行进程的信息中查找目标非法进程信息，并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表；所述服务器发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端，以使所述客户端对所述目标非法进程信息对应的进程进行关闭操作，并将所述目标异常行为参数列表更新为所述异常行为参数更新列表，以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。本专利技术第四方面提供了一种应用防护监控装置，包括：获取模块，用于获取目标异常行为参数列表；所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件；监控统计模块，用于监控各目标操作类型分别对应的操作行为，并统计各类操作行为的操作次数，将各类操作行为的操作次数确定为行为特征；发送模块，用于当所述行为特征满足所述第一异常行为条件时，将所述行为特征以及当前运行进程的信息发送至所述服务器，以使所述服务器在所述当前运行进程的信息中查找目标非法进程信息，并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表；更新处理模块，用于接收所述服务器发送的所述目标非法进程信息和所述异常行为参数更新列表，并对所述目标非法进程信息对应的进程进行关闭操作，并将所述目标异常行为参数列表更新为所述异常行为参数更新列表，以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。本专利技术第五方面提供了一种应用防护监控装置，包括：接收模块，用于接收由所述客户端在检测出行为特征满足第一异常行为条件时所发送的所述行为特征以及当前运行进程的信息；所述行为特征是由所述客户端对目标异常行为参数列表中与所述客户端相关联的至少一个目标操作类型分别对应的操作行为进行监控所生成的；查找模块，用于在所述当前运行进程的信息中查找目标非法进程信息，并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表；发送模块，用于发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端，以使所述客户端对所述目标非法进程信息对应的进程进行关闭操作，并将所述目标异常行为参数列表更新为所述异常行为参数更新列表，以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。本专利技术第六方面提供了一种应用防护监控系统，包括客户端和服务器；所述客户端包括上述第四方面所提供的应用防护监控装置，所述服务器包括上述第五方面所提供的应用防护监控装置。本专利技术实施例通过客户端获取目标异常行为参数列表；所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件；进而可以使所述客户端通过监控各目标操作类型分别对应的操作行为以生成行为特征，当所述行为特征满足所述第一异常行为条件时，所述客户端可以将所述行为特征以及当前运行进程的信息发送至所述服务器，使得所述服务器在所述当前运行进程的信息中查找目标非法进程信息，并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表，并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端；使得所述客户端可以对所述目标非法进程信息对应的进程进行关闭操作，并将所述目标异常行为参数列表更新为所述异常行为参数更新列表，以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。由此可见，所述客户端可以通过目标异常行为参数列表自主监控相关的异常行为进而发现恶意程序，即无需额外再启动防恶意程序的软件，从而可以保证对客户端进行防恶意程序的主动防御；而且只需通过服务器更新目标异常行为参数列表，并将异常行为参数更新列表下发给所述客户端，即可使所述客户端更新自身的防恶意程序功能，使得所述客户端可以实现防恶意程序功能的自主学习，以降低人工成本，而且用户也本文档来自技高网...

【技术保护点】
1.一种应用防护监控方法，其特征在于，包括：客户端获取目标异常行为参数列表；所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件；所述客户端监控各目标操作类型分别对应的操作行为，并统计各类操作行为的操作次数，将各类操作行为的操作次数确定为行为特征；当所述行为特征满足所述第一异常行为条件时，所述客户端将所述行为特征以及当前运行进程的信息发送至所述服务器；所述服务器在所述当前运行进程的信息中查找目标非法进程信息，并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表，并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端；所述客户端对所述目标非法进程信息对应的进程进行关闭操作，并将所述目标异常行为参数列表更新为所述异常行为参数更新列表，以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。

【技术特征摘要】
1.一种应用防护监控方法，其特征在于，包括：客户端获取目标异常行为参数列表；所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件；所述客户端监控各目标操作类型分别对应的操作行为，并统计各类操作行为的操作次数，将各类操作行为的操作次数确定为行为特征；当所述行为特征满足所述第一异常行为条件时，所述客户端将所述行为特征以及当前运行进程的信息发送至所述服务器；所述服务器在所述当前运行进程的信息中查找目标非法进程信息，并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表，并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端；所述客户端对所述目标非法进程信息对应的进程进行关闭操作，并将所述目标异常行为参数列表更新为所述异常行为参数更新列表，以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。2.如权利要求1所述的方法，其特征在于，在所述当所述行为特征满足所述第一异常行为条件时，所述客户端将所述行为特征以及当前运行进程的信息发送至所述服务器的步骤之前，还包括：获取所述目标异常行为参数列表中各目标操作类型分别对应的次数阈值；判断各目标操作类型分别对应的操作行为的操作次数是否均小于所对应的次数阈值；若判断为是，则确定所述行为特征不满足所述第一异常行为条件；若判断为否，则确定所述行为特征满足所述第一异常行为条件。3.如权利要求2所述的方法，其特征在于，所述判断各目标操作类型分别对应的操作行为的操作次数是否均小于所对应的次数阈值的步骤之前，还包括：检测对所述各目标操作类型分别对应的操作行为的监控时长是否达到预设时长阈值；若检测为是，则重置所述各种操作行为的操作次数，并重置所述监控时长，并重新统计所述各种操作行为的操作次数；若检测为否，则执行所述判断各目标操作类型分别对应的操作行为的操作次数是否均小于所对应的次数阈值的步骤。4.如权利要求1所述的方法，其特征在于，所述当前运行进程的信息包括：当前运行进程的进程名以及当前运行进程的程序特征码；所述程序特征码包括进程所触发的行为操作的信息；则所述服务器在所述当前运行进程的信息中查找目标非法进程信息，并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表，并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端，包括：所述服务器在预设的非法进程信息库中查找所述当前运行进程的进程名中的非法进程名，并根据与所述客户端关联的第二异常行为条件确定所述当前运行进程的程序特征码中的非法程序特征码；将查找出的所述非法进程名和所述非法程序特征码确定为目标非法进程信息；在预设的异常行为条件集合中确定与所述行为特征、所述目标非法进程信息中的所述非法进程名以及所述非法程序特征码分别对应的待监控操作类型，并在所述异常行为条件集合中获取与所述待监控操作类型对应的异常行为条件；将所述待监控操作类型以及所述待监控操作类型对应的异常行为条件添加至异常行为参数更新列表，并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端。5.如权利要求4所述的方法，其特征在于，所述根据与所述客户端关联的第二异常行为条件确定所述当前运行进程的程序特征码中的非法程序特征码，具体包括：分析所述当前运行进程的程序特征码所指示的进程行为特征，并将满足与所述客户端关联的第二异常行为条件的进程行为特征对应的程序特征码确定为非法程序特征码；所述第二异常行为条件是根据所述第一异常行为条件所设定的。6.一种应用防护监控方法，其特征在于，包括：客户端获取目标异常行为参数列表；所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件；所述客户端监控各目标操作类型分别对应的操作行为，并统计各类操作行为的操作次数，将各类操作行为的操作次数确定为行为特征；当所述行为特征满足所述第一异常行为条件时，所述客户端将所述行为特征以及当前运行进程的信息发送至所述服务器，以使所述服务器在所述当前运行进程的信息中查找目标非法进程信息，并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表；所述客户端接收所述服务器发送的所述目标非法进程信息和所述异常行为参数更新列表，并对所述目标非法进程信息对应的进程进行关闭操作，并将所述目标异常行为参数列表更新为所述异常行为参数更新列表，以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。7.一种应用防护监控方法，其特征在于，包括：服务器接收由所述客户端在检测出行为特征满足第一异常行为条件时所发送的所述行为特征以及当前运行进程的信息；所述行为特征是由所述客户端对目标异常行为参数列表中与所述客户端相关联的至少一个目标操作类型分别对应...

【专利技术属性】
技术研发人员：王志，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44