本发明专利技术提供了一种恶意进程实时监控的方法、设备和计算机设备,该方法包括以下步骤:建立恶意行为库和恶意行为组合库;监控并捕获进程中的行为,将行为在恶意行为库中进行对比;响应于行为是恶意行为且进程中的所有恶意行为的行为威胁值的和在恶意进程阈值以下,将进程中与行为相关联的其他行为与行为进行组合并将该组合在恶意行为组合库中进行对比;响应于组合是恶意行为组合,计算恶意行为组合的组合威胁值并将组合威胁值与组合威胁阈值进行比较;响应于组合威胁值超过组合威胁阈值,将进程按第一阈值区分为恶意进程或高危进程以处理。通过使用本发明专利技术的方法,能够极大地减少待匹配恶意行为数量,提升匹配效率,进一步提升恶意行为判定的准确度。
A method, device and computer device for real-time monitoring of malicious processes
【技术实现步骤摘要】
一种恶意进程实时监控的方法、设备和计算机设备
本领域涉及计算机领域,并且更具体地涉及一种恶意进程实时监控的方法、设备和计算机设备。
技术介绍
当仅依靠传统的基于签名的检测时,检测复杂的现实世界中的恶意软件已成为一项具有挑战性的任务,因为基于行为进行恶意软件检测已成为目前流行的、公认最优的检测方案,但是目前的检测方案中存在误报,匹配效率较低等问题。
技术实现思路
有鉴于此,本专利技术实施例的目的在于提出一种恶意进程实时监控的方法、设备和计算机设备,通过使用本专利技术的方法,能够极大地减少待匹配恶意行为数量,提升匹配效率,进一步提升恶意行为判定的准确度,减低误报百分比。基于上述目的,本专利技术的实施例的一个方面提供了一种恶意进程实时监控的方法,包括以下步骤:建立恶意行为库和恶意行为组合库;监控并捕获进程中的行为,并将行为在恶意行为库中进行对比;响应于在恶意行为库中的对比表明行为是恶意行为且进程中的所有恶意行为的行为威胁值的和在恶意进程阈值以下,将进程中与行为相关联的其他行为与行为进行组合,并将该组合在恶意行为组合库中进行对比;响应于在恶意行为组合库中的对比表明该组合是恶意行为组合,计算恶意行为组合的组合威胁值并将组合威胁值与组合威胁阈值进行比较;响应于组合威胁值超过组合威胁阈值,将进程按第一阈值区分为恶意进程或高危进程以处理。根据本专利技术的一个实施例,建立恶意行为库和恶意行为组合库包括:通过对现有恶意软件分析而整理出恶意行为,恶意行为库包括涉及的系统API、权重、包含的恶意行为,恶意行为组合库还包括恶意行为之间的关系设定。API(ApplicationProgrammingInterface,应用程序接口)是一些预先定义的函数,或指软件系统不同组成部分衔接的约定。目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问原码,或理解内部工作机制的细节。根据本专利技术的一个实施例,还包括:在建立恶意行为库和恶意行为组合库之前建立进程的黑名单和白名单,其中,黑名单中的进程禁止启动,白名单中的进程不监控。根据本专利技术的一个实施例,建立进程的黑名单和白名单包括:通过进程中的MD5值和SHA1值将进程划分到黑名单和白名单中。根据本专利技术的一个实施例,还包括:响应于在恶意行为库中的对比表明行为是恶意行为且进程中的所有恶意行为的行为威胁值的和在恶意进程阈值以上,将进程按第一阈值区分为恶意进程或高危进程以进行处理。根据本专利技术的一个实施例,响应于在恶意行为库中的对比表明行为是恶意行为且进程中的所有恶意行为的行为威胁值的和在恶意进程阈值以上,将进程按第一阈值区分为恶意进程或高危进程以进行处理包括:将进程的行为威胁值与第一阈值进行比较;响应于行为威胁值大于第一阈值,将进程标记为恶意进程并将进程关闭;响应于行为威胁值小于第一阈值,将进程标记为高危进程并将进程挂起。根据本专利技术的一个实施例,响应于组合威胁值超过组合威胁阈值,将进程按第一阈值区分为恶意进程或高危进程以处理包括:将进程的组合威胁值与第一阈值进行比较;响应于组合威胁值大于第一阈值,将进程标记为恶意进程并将进程关闭;响应于组合威胁值小于第一阈值,将进程标记为高危进程并将进程挂起。根据本专利技术的一个实施例,计算恶意行为组合的组合威胁值包括:将行为组合所在的进程中的每个恶意行为的行为威胁值的和再加上所有恶意行为组合的权值得到组合威胁值。本专利技术的实施例的另一个方面,还提供了一种恶意进程实时监控的设备,设备包括:数据库模块,数据库模块配置为建立恶意行为库和恶意行为组合库;行为对比模块,行为对比模块配置为监控并捕获进程中的行为,并将行为在恶意行为库中进行对比;行为组合对比模块,行为组合对比模块配置为响应于在恶意行为库中的对比表明行为是恶意行为且进程中的所有恶意行为的行为威胁值的和在恶意进程阈值以下,将进程中与行为相关联的其他行为与行为进行组合,并将该组合在恶意行为组合库中进行对比;计算模块,计算模块配置为响应于在恶意行为组合库中的对比表明该组合是恶意行为组合,计算恶意行为组合的组合威胁值并将组合威胁值与组合威胁阈值进行比较;处理模块,处理模块配置为响应于组合威胁值超过组合威胁阈值,将进程按第一阈值区分为恶意进程或高危进程以处理。本专利技术的实施例的另一个方面,还提供了一种计算机设备,其特征在于,包括:至少一个处理器;以及存储器,存储器存储有可在处理器上运行的计算机程序,处理器执行程序时执行上述任意一项的方法。本专利技术具有以下有益技术效果:本专利技术实施例提供的恶意进程实时监控的方法,通过建立恶意行为库和恶意行为组合库;监控并捕获进程中的行为,将行为在恶意行为库中进行对比;响应于在恶意行为库中的对比表明行为是恶意行为且行为威胁值在恶意进程阈值以下,将进程中与行为相关联的其他行为与行为进行组合,并将该组合在恶意行为组合库中进行对比;响应于在恶意行为组合库中的对比表明该组合是恶意行为组合,计算恶意行为组合的组合威胁值并将组合威胁值与组合威胁阈值进行比较;响应于组合威胁值超过组合威胁阈值,将进程按第一阈值区分为恶意进程或高危进程以处理的技术方案,能够极大地减少待匹配恶意行为数量,提升匹配效率,进一步提升恶意行为判定的准确度,减低误报百分比。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。图1为根据本专利技术一个实施例的恶意进程实时监控的方法的示意性流程图;图2为根据本专利技术一个实施例的恶意进程实时监控的设备的示意图;图3为根据本专利技术一个实施例的恶意进程实时监控的方法的流程图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本专利技术实施例进一步详细说明。基于上述目的,本专利技术的实施例的第一个方面,提出了一种恶意进程实时监控的方法的一个实施例。图1示出的是该方法的示意性流程图。如图1中所示,该方法可以包括以下步骤:S1建立恶意行为库和恶意行为组合库,其中每个API调用都会被记录为一个动作,行为是描述软件操作的最小单元,一个或多个动作共同构成一个行为,如果该行为具有严重危险性,那么将该行为定义为恶意行为,另外多个行为在一起可能会形成非常严重的后果,风险极大,所以把这些行为放在一起形成行为组合,如果该行为组合具有严重危险性,那么将该行为组合定义为恶意行为组合,也就是说,单个行为可能不是恶意行为,但是与这个行为有关系的行为组合也可能使恶意行为组合;S2监控并捕获进程中的行为,并将行为在恶意行为库中进行对比,监控进程中的每个行为,根据本文档来自技高网...
【技术保护点】
1.一种恶意进程实时监控的方法,其特征在于,包括以下步骤:/n建立恶意行为库和恶意行为组合库;/n监控并捕获进程中的行为,并将所述行为在所述恶意行为库中进行对比;/n响应于在所述恶意行为库中的对比表明所述行为是恶意行为且所述进程中的所有恶意行为的行为威胁值的和在恶意进程阈值以下,将所述进程中与所述行为相关联的其他行为与所述行为进行组合,并将所述组合在所述恶意行为组合库中进行对比;/n响应于在所述恶意行为组合库中的对比表明所述组合是恶意行为组合,计算所述恶意行为组合的组合威胁值并将所述组合威胁值与组合威胁阈值进行比较;/n响应于所述组合威胁值超过所述组合威胁阈值,将所述进程按第一阈值区分为恶意进程或高危进程以处理。/n
【技术特征摘要】
1.一种恶意进程实时监控的方法,其特征在于,包括以下步骤:
建立恶意行为库和恶意行为组合库;
监控并捕获进程中的行为,并将所述行为在所述恶意行为库中进行对比;
响应于在所述恶意行为库中的对比表明所述行为是恶意行为且所述进程中的所有恶意行为的行为威胁值的和在恶意进程阈值以下,将所述进程中与所述行为相关联的其他行为与所述行为进行组合,并将所述组合在所述恶意行为组合库中进行对比;
响应于在所述恶意行为组合库中的对比表明所述组合是恶意行为组合,计算所述恶意行为组合的组合威胁值并将所述组合威胁值与组合威胁阈值进行比较;
响应于所述组合威胁值超过所述组合威胁阈值,将所述进程按第一阈值区分为恶意进程或高危进程以处理。
2.根据权利要求1所述的方法,其特征在于,建立恶意行为库和恶意行为组合库包括:
通过对现有恶意软件分析而整理出恶意行为,所述恶意行为库包括涉及的系统API、权重、包含的恶意行为,所述恶意行为组合库还包括恶意行为之间的关系设定。
3.根据权利要求1所述的方法,其特征在于,还包括:在建立恶意行为库和恶意行为组合库之前建立进程的黑名单和白名单,其中,所述黑名单中的进程禁止启动,所述白名单中的进程不监控。
4.根据权利要求3所述的方法,其特征在于,建立进程的黑名单和白名单包括:
通过进程中的MD5值和SHA1值将进程划分到所述黑名单和所述白名单中。
5.根据权利要求1所述的方法,其特征在于,还包括:
响应于在所述恶意行为库中的对比表明所述行为是恶意行为且所述进程中的所有恶意行为的行为威胁值的和在恶意进程阈值以上,将所述进程按第一阈值区分为恶意进程或高危进程以进行处理。
6.根据权利要求5所述的方法,其特征在于,响应于在所述恶意行为库中的对比表明所述行为是恶意行为且所述进程中的所有恶意行为的行为威胁值的和在恶意进程阈值以上,将所述进程按第一阈值区分为恶意进程或高危进程以进行处理包括:
将所述进程的行为威胁值与所述第一阈值进行比较;
【专利技术属性】
技术研发人员:王传国,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。