The invention discloses a method and device for identifying escaping security monitoring behavior, which relates to the field of information security technology, and is invented to solve the problem that malicious code escaping security monitoring detection can not monitor its behavior in the prior art. This method mainly includes: injecting application layer behavior monitoring program into the kernel of the driver layer in all running processes and starting the driver layer behavior monitoring program; capturing behavior events according to the application layer behavior monitoring program; recording behavior events in the application layer cache is the application layer if the application layer behavior monitoring program monitors that the behavior events are suspicious abnormal behavior events of the application layer. Suspicious anomalous behavior events; if the driver layer behavior monitor monitors that the behavior event is a driver layer suspicious anomalous behavior event, it finds whether the record of the behavior event in the application layer cache is an application layer suspicious anomalous behavior event; if the search result does not exist, it identifies the behavior event as a malicious escape behavior event. This method is mainly used in the process of terminal electronic product safety protection.
【技术实现步骤摘要】
一种识别逃逸安全监控行为的方法及装置
本专利技术涉及一种信息安全
,特别是涉及一种识别逃逸安全监控行为的方法及装置。
技术介绍
为了保证终端电子产品的安全,通常在使用过程中检测异常行为。常见的异常行为常见的异常行为包括修改注册表启动项、感染系统文件、修改进程内存、非法外联网络等行为,在检测异常行为时以此作为检测范围。为了入侵终端电子产品,往往不断改变入侵方式以避免落入异常行为的检测范围,以实现隐藏自身、访问网络、控制主机系统、窃取私密文件、破坏数据等目的。为了避免落入异常行为检测范围的异常行为,被称为逃逸安全监控行为。现有技术中,只有在某种特定场景下,才识别是否存在逃逸安全监控行为,适用范围较小。一旦适用场景出现变化,则不再适用,可能漏检恶意代码。
技术实现思路
有鉴于此,本专利技术提供一种识别逃逸安全监控行为的方法及装置,主要目的在于解决现有技术中存在恶意代码逃避安全监控检测无法监控其行为的问题。依据本专利技术一个方面,提供了一种识别逃逸安全监控行为的方法,包括:将应用层的应用层行为监控程序通过数据传送通道传送至驱动层,并通过所述驱动层在所有运行进程中内核注入所述应用层行为监控程序,并启动驱动层行为监控程序,所述应用层行为监控程序用于监控所述运行进程的应用层进程信息,所述驱动层行为监控程序用于监控所述远程进程的驱动层进程信息;根据所述应用层行为监控程序,捕捉行为事件;如果所述应用层行为监控程序监控到所述行为事件是应用层可疑异常行为事件,则在应用层缓存中记录所述行为事件是所述应用层可疑异常行为事件;如果所述驱动层行为监控程序监控到所述行为事件是驱动层可疑 ...
【技术保护点】
1.一种识别逃逸安全监控行为的方法,其特征在于,包括:将应用层的应用层行为监控程序通过数据传送通道传送至驱动层,并通过所述驱动层在所有运行进程中内核注入所述应用层行为监控程序,并启动驱动层行为监控程序,所述应用层行为监控程序用于监控所述运行进程的应用层进程信息,所述驱动层行为监控程序用于监控所述远程进程的驱动层进程信息;根据所述应用层行为监控程序,捕捉行为事件;如果所述应用层行为监控程序监控到所述行为事件是应用层可疑异常行为事件,则在应用层缓存中记录所述行为事件是所述应用层可疑异常行为事件;如果所述驱动层行为监控程序监控到所述行为事件是驱动层可疑异常行为事件,则查找所述应用层缓存中是否记录所述行为事件是所述应用层可疑异常行为事件;如果查找结果为不存在,则识别所述行为事件为恶意逃逸行为事件。
【技术特征摘要】
1.一种识别逃逸安全监控行为的方法,其特征在于,包括:将应用层的应用层行为监控程序通过数据传送通道传送至驱动层,并通过所述驱动层在所有运行进程中内核注入所述应用层行为监控程序,并启动驱动层行为监控程序,所述应用层行为监控程序用于监控所述运行进程的应用层进程信息,所述驱动层行为监控程序用于监控所述远程进程的驱动层进程信息;根据所述应用层行为监控程序,捕捉行为事件;如果所述应用层行为监控程序监控到所述行为事件是应用层可疑异常行为事件,则在应用层缓存中记录所述行为事件是所述应用层可疑异常行为事件;如果所述驱动层行为监控程序监控到所述行为事件是驱动层可疑异常行为事件,则查找所述应用层缓存中是否记录所述行为事件是所述应用层可疑异常行为事件;如果查找结果为不存在,则识别所述行为事件为恶意逃逸行为事件。2.如权利要求1所述的方法,其特征在于,所述将应用层的应用层行为监控程序通过数据传送通道传送至驱动层,并通过所述驱动层在所有运行进程中内核注入所述应用层行为监控程序,并启动驱动层行为监控程序之前,所述方法还包括:建立连接所述应用层和所述驱动层的数据传送通道。3.如权利要求1所述的方法、其特征在于,所述如果所述应用层行为监控程序监控到所述行为事件是应用层可疑异常行为事件,则在应用层缓存中记录所述行为事件是所述应用层可疑异常行为事件,包括:采用APIHOOK方式拦截所述运行进程的系统API调用,并记录所述系统API调用时的应用层进程信息,所述应用层进程信息包括调用参数和运行环境;根据所述应用层进程信息,判断所述行为事件是否为应用层可疑异常行为事件;如果判断结果为是,则在应用层缓存中记录所述行为事件,并标识所述行为事件是所述应用层可疑异常行为事件。4.如权利要求3所述的方法,其特征在于,所述根据所述应用层进程信息,判断所述行为事件是否为应用层可疑异常行为事件,包括:根据所述应用层进程信息,建立所述行为事件的第一可执行PE文件;根据预置行为链规则库,在检测进程中执行所述第一可执行PE文件,并记录所述第一执行结果;如果所述第一执行结果中存在异常行为,则确定在所述应用层检测所述行为事件是应用层可疑异常行为事件,所述异常行为包括修改注册表启动项、感染系统文件、修改进程内存和非法外联网络。5.如权利要求3所述的方法,其特征在于,所述根据所述应用层进程信息,判断所述行为事件是否为应用层可疑异常行为事件,包括:获取所述行为事件的当前应用层堆栈地址序列;如果所述当前应用层堆栈地址序列与预置正常堆栈地址序列规则库中的地址不同,则确定在所述应用层检测所述行为事...
【专利技术属性】
技术研发人员:王明广,杨晓东,杨小波,
申请(专利权)人:三六零企业安全技术珠海有限公司,北京奇安信科技有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。