【技术实现步骤摘要】
【国外来华专利技术】恶意进程跟踪相关申请本申请要求2018年3月20日提交的,标题为“MaliciousProcessTracking”的美国非临时申请No.15/926,352的优先权,其全部内容通过引用合并于此。
本申请通常与跟踪恶意进程有关。
技术介绍
恶意软件删除工具专注于清理检测到的恶意文件。例如,当确定计算设备上的特定文件是恶意的时,可以从计算设备中删除该特定文件。但是,此类方法可能无法解决恶意软件对计算设备所做的更改。例如,恶意软件可能已经在计算设备上运行了一段时间,并且可能在计算设备上进行了许多更改,例如,更改计算设备的注册表或下载/安装其他恶意软件。又例如,恶意软件可以是后门,并且恶意参与者可能已经通过恶意软件访问了计算设备以修改计算设备。
技术实现思路
本申请的一方面针对一种用于跟踪恶意进程的方法。所述方法可以包括:获得计算设备的进程历史信息;获取计算设备上恶意软件的标识;基于进程历史信息和计算设备上的恶意软件的标识,识别恶意软件的关联进程;基于进程历史信息识别关联进程的动作;基于进程历史...
【技术保护点】
1.一种跟踪恶意进程的系统,所述系统包括:/n一个或多个处理器;和/n存储指令的存储器,当所述指令被所述一个或多个处理器执行时,使所述系统执行:/n获取计算设备的进程历史信息;/n获取所述计算设备上恶意软件的标识;/n基于所述进程历史信息和所述计算设备上的所述恶意软件的标识,识别所述恶意软件的关联进程;/n基于所述进程历史信息,识别所述关联进程的动作;/n基于所述进程历史信息,迭代识别所述关联进程的相关进程和所述相关进程的动作;以及/n基于所述关联进程、所述关联进程的动作、所述相关进程以及所述相关进程的动作,生成所述恶意软件的跟踪信息。/n
【技术特征摘要】
【国外来华专利技术】20180320 US 15/926,3521.一种跟踪恶意进程的系统,所述系统包括:
一个或多个处理器;和
存储指令的存储器,当所述指令被所述一个或多个处理器执行时,使所述系统执行:
获取计算设备的进程历史信息;
获取所述计算设备上恶意软件的标识;
基于所述进程历史信息和所述计算设备上的所述恶意软件的标识,识别所述恶意软件的关联进程;
基于所述进程历史信息,识别所述关联进程的动作;
基于所述进程历史信息,迭代识别所述关联进程的相关进程和所述相关进程的动作;以及
基于所述关联进程、所述关联进程的动作、所述相关进程以及所述相关进程的动作,生成所述恶意软件的跟踪信息。
2.根据权利要求1所述的系统,其中,生成所述恶意软件的所述跟踪信息包括:生成所述恶意软件的图,所述图包括表示所述关联进程的动作的节点、表示所述相关进程的节点以及表示所述相关进程的动作的节点。
3.根据权利要求2所述的系统,其中,生成所述恶意软件的所述跟踪信息包括:基于所述计算设备的预期操作,过滤所述图。
4.根据权利要求2所述的系统,其中,生成所述恶意软件的所述跟踪信息包括:基于非恶意操作的标识,过滤所述图。
5.根据权利要求1所述的系统,其中,所述指令进一步使所述系统执行:基于所述跟踪信息,提供对所述恶意软件的跟踪。
6.根据权利要求1所述的系统,其中,所述指令进一步使所述系统执行:基于所述跟踪信息,从所述计算设备中移除所述恶意软件。
7.根据权利要求1所述的系统,其中:
所述一个或多个处理器包括在网络的服务器内,所述计算设备是所述网络的节点;以及
所述进程历史信息由所述计算设备周期性地生成,并通过所述网络提供给所述服务器。
8.根据权利要求1所述的系统,其中,迭代识别所述相关进程包括:对所识别的进程创建的文件或注册表,搜索与所述文件或所述注册表交互过的进程。
9.根据权利要求1所述的系统,其中,迭代识别所述相关进程包括:对所识别的进程进行的网络通信,搜索进行过类似网络通信的进程。
10.根据权利要求1所述的系统,其中,迭代识别所述相关进程包括:对作为服务的所识别的进程,搜索写入过与所述服务相关联的一个或多个注册表项的进程。
11.一种用于跟踪恶意进程的方法,所述方法由包括一个或多个处理器和存储机器可读指令的非暂时性存储介质的计算系统实现,所述方法包括:
获取计算设备的进程历史信息;
获取所述计算设备上恶意软件的标识;
基于所述进程历史信息和所述计算设备上的...
【专利技术属性】
技术研发人员:张胤弘,
申请(专利权)人:北京嘀嘀无限科技发展有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。