【技术实现步骤摘要】
基于行为分析的木马检测方法及系统
本专利技术属于计算机网络安全
,具体涉及基于行为分析的木马检测方法及系统。
技术介绍
现有技术中,木马是指程序中包含的一些恶意行为,木马能够远程控制受害主机。木马能够窃取受害主机的资料,并为进一步入侵同一局域网中其它机器提供跳板。综合来看,木马的主要行为特征为窃取资料、实现远程控制、作为跳板机。目前恶意代码检测技术主要是根据特征码进行检测,即通过静态扫描文件是否有病毒库中的风险代码,然而这种传统的检测方式无法对新型的木马进行检测。且这种检测方式需要全盘遍历的方式去检测主机中是否存在木马,还需要加载整个病毒库进行扫描,通常病毒库的大小会根据病毒样本的增加而增加,因此这种检测技术对主机的性能影响很大,非常消耗资源。
技术实现思路
针对现有技术中的缺陷,本专利技术提供一种基于行为分析的木马检测方法及系统,降低系统资源的消耗量,能够进行实时木马检测。第一方面,一种基于行为分析的木马检测方法,包括以下步骤:采集应用程序中所有进程的行为数据;
【技术保护点】
1.一种基于行为分析的木马检测方法,其特征在于,包括以下步骤:/n采集应用程序中所有进程的行为数据;/n根据所述行为数据筛选出可疑进程;/n将可疑进程的行为数据与训练模型进行匹配,输出每个可疑进程的匹配值;/n当可疑进程的匹配值满足预设的阈值时,判定该可疑进程中存在木马,进行告警。/n
【技术特征摘要】
1.一种基于行为分析的木马检测方法,其特征在于,包括以下步骤:
采集应用程序中所有进程的行为数据;
根据所述行为数据筛选出可疑进程;
将可疑进程的行为数据与训练模型进行匹配,输出每个可疑进程的匹配值;
当可疑进程的匹配值满足预设的阈值时,判定该可疑进程中存在木马,进行告警。
2.根据权利要求1所述基于行为分析的木马检测方法,其特征在于,所述采集所有进程的行为数据具体包括:
监控进程的创建行为;
获取已创建进程的对外网络连接行为;
获取已创建进程的命令调用行为。
3.根据权利要求2所述基于行为分析的木马检测方法,其特征在于,所述监控进程的创建行为具体包括:
判断应用程序是否是初始安装;
如果是,获取应用程序中所有进程的行为数据;
如果不是,监测应用程序中是否存在新创建的进程,如果存在,获取该进程的行为数据。
4.根据权利要求1所述基于行为分析的木马检测方法,其特征在于,
所述根据所述行为数据筛选出可疑进程具体包括:
当已创建进程的命令调用被发送到对外网络时,判定该进程为可疑进程。
5.根据权利要求1~4中任一权利要求所述基于行为分析的木马检测方法,其特征在于,该方法还包括:
当筛选出可疑进程时,记录可疑进程的命令调用行为及对外网络连接行为;
将记录的命令调用行为及对外网络连接行为上传至外部管理平台。
...
【专利技术属性】
技术研发人员:常磊,孟昭宇,王志,
申请(专利权)人:深圳市联软科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。