【技术实现步骤摘要】
一种恶意进程实时监控的方法、设备和计算机设备
本领域涉及计算机领域,并且更具体地涉及一种恶意进程实时监控的方法、设备和计算机设备。
技术介绍
当仅依靠传统的基于签名的检测时,检测复杂的现实世界中的恶意软件已成为一项具有挑战性的任务,因为基于行为进行恶意软件检测已成为目前流行的、公认最优的检测方案,但是目前的检测方案中存在误报,匹配效率较低等问题。
技术实现思路
有鉴于此,本专利技术实施例的目的在于提出一种恶意进程实时监控的方法、设备和计算机设备,通过使用本专利技术的方法,能够极大地减少待匹配恶意行为数量,提升匹配效率,进一步提升恶意行为判定的准确度,减低误报百分比。基于上述目的,本专利技术的实施例的一个方面提供了一种恶意进程实时监控的方法,包括以下步骤:建立恶意行为库和恶意行为组合库;监控并捕获进程中的行为,并将行为在恶意行为库中进行对比;响应于在恶意行为库中的对比表明行为是恶意行为且进程中的所有恶意行为的行为威胁值的和在恶意进程阈值以下,将进程中与行为相关联的其他行为与行...
【技术保护点】
1.一种恶意进程实时监控的方法,其特征在于,包括以下步骤:/n建立恶意行为库和恶意行为组合库;/n监控并捕获进程中的行为,并将所述行为在所述恶意行为库中进行对比;/n响应于在所述恶意行为库中的对比表明所述行为是恶意行为且所述进程中的所有恶意行为的行为威胁值的和在恶意进程阈值以下,将所述进程中与所述行为相关联的其他行为与所述行为进行组合,并将所述组合在所述恶意行为组合库中进行对比;/n响应于在所述恶意行为组合库中的对比表明所述组合是恶意行为组合,计算所述恶意行为组合的组合威胁值并将所述组合威胁值与组合威胁阈值进行比较;/n响应于所述组合威胁值超过所述组合威胁阈值,将所述进程按...
【技术特征摘要】 【专利技术属性】
1.一种恶意进程实时监控的方法,其特征在于,包括以下步骤:
建立恶意行为库和恶意行为组合库;
监控并捕获进程中的行为,并将所述行为在所述恶意行为库中进行对比;
响应于在所述恶意行为库中的对比表明所述行为是恶意行为且所述进程中的所有恶意行为的行为威胁值的和在恶意进程阈值以下,将所述进程中与所述行为相关联的其他行为与所述行为进行组合,并将所述组合在所述恶意行为组合库中进行对比;
响应于在所述恶意行为组合库中的对比表明所述组合是恶意行为组合,计算所述恶意行为组合的组合威胁值并将所述组合威胁值与组合威胁阈值进行比较;
响应于所述组合威胁值超过所述组合威胁阈值,将所述进程按第一阈值区分为恶意进程或高危进程以处理。
2.根据权利要求1所述的方法,其特征在于,建立恶意行为库和恶意行为组合库包括:
通过对现有恶意软件分析而整理出恶意行为,所述恶意行为库包括涉及的系统API、权重、包含的恶意行为,所述恶意行为组合库还包括恶意行为之间的关系设定。
3.根据权利要求1所述的方法,其特征在于,还包括:在建立恶意行为库和恶意行为组合库之前建立进程的黑名单和白名单,其中,所述黑名单中的进程禁止启动,所述白名单中的进程不监控。
4.根据权利要求3所述的方法,其特征在于,建立进程的黑名单和白名单包括:
通过进程中的MD5值和SHA1值将进程划分到所述黑名单和所述白名单中。
5.根据权利要求1所述的方法,其特征在于,还包括:
响应于在所述恶意行为库中的对比表明所述行为是恶意行为且所述进程中的所有恶意行为的行为威胁值的和在恶意进程阈值以上,将所述进程按第一阈值区分为恶意进程或高危进程以进行处理。
6.根据权利要求5所述的方法,其特征在于,响应于在所述恶意行为库中的对比表明所述行为是恶意行为且所述进程中的所有恶意行为的行为威胁值的和在恶意进程阈值以上,将所述进程按第一阈值区分为恶意进程或高危进程以进行处理包括:
将所述进程的行为威胁值与所述第一阈值进行比较;
技术研发人员:王传国,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。