【技术实现步骤摘要】
识别软件行为主体的方法及系统
[0001]本申请涉及信息安全
,尤其涉及一种识别软件行为主体的方法、系统、计算机设备及计算机可读存储介质。
技术介绍
[0002]进程的行为可以是加载系统模块或自己私有模块,也可以是被入侵的第三方的模块发起的行为。现有基于软件行为的安全防护,大多都归类于进程主体的软件行为,这样对于被入侵的第三方的模块发起的行为引起行为归属的误判,从而放过利用可信进程作恶的行为。
[0003]针对相关技术中存在的上述问题,需要提供一种识别软件行为主体的方法,可以用来对软件行为做进一步的安全检测,提高软件行为的安全防护。
技术实现思路
[0004]本申请的目的是提供一种识别软件行为主体的方法、系统、计算机设备及计算机可读存储介质,用于解决软件行为的安全防护问题。
[0005]本申请实施例的一个方面提供了一种识别软件行为主体的方法,其特征在于,所述方法包括:监控软件行为;对所述软件行为的当前线程进行堆栈回溯,获取所述软件行为的目标模块文件,所述目标模块文件为不属于操作系统自带的...
【技术保护点】
【技术特征摘要】
1.一种识别软件行为主体的方法,其特征在于,所述方法包括:监控软件行为;对所述软件行为的当前线程进行堆栈回溯,获取所述软件行为的目标模块文件,所述目标模块文件为不属于操作系统自带的系统模块文件;根据所述目标模块文件的导入表,识别所述软件行为的真实主体,所述目标模块文件的导入表用于存储所述目标模块文件导入的函数信息。2.根据权利要求1所述的识别软件行为主体的方法,其特征在于,所述对所述软件行为的当前线程进行堆栈回溯,获取所述软件行为的目标模块文件,包括:获取系统文件列表,所述系统文件列表包括操作系统的多个系统模块文件;对所述当前线程的函数栈进行回溯,找到所述软件行为的函数调用序列;遍历所述函数调用序列,找出不属于所述系统文件列表的第一个非系统模块文件作为所述目标模块文件。3.根据权利要求2所述的识别软件行为主体的方法,其特征在于,所述函数调用序列包括所述软件行为调用的至少一个函数所属的模块文件。4.根据权利要求3所述的识别软件行为主体的方法,其特征在于,所述遍历所述函数调用序列,找出不属于所述系统文件列表的第一个非系统模块文件作为所述目标模块文件,包括:从下往上遍历所述函数调用序列,所述从下往上是指从所述函数栈的底层往顶层方向;将所述函数调用序列中的每一层函数所属模块文件与所述系统文件列表中的所述多个系统模块文件分别进行对比;若所述函数调用序列中从下往上第一个目标函数所属的目标模块文件与所述系统文件列表中的每个系统模块文件均不相同,则判定所述目标模块文件是不属于所述系统文件列表的第一个非系统模块文件。5.根据权利要求4所述的识别软件行为主体的方法,其特征在于,所述系统文件列表是哈希列表,所述哈希列表包括所述操作系统的每个系统模块文件的哈希值。6.根据权利要求5所述的识别软件行为主体的方法,其特征在于,所述将所述函数调用序列中的每一层函数所属模块文件与所述系统文件列表中的所述多个系统模块文件分别进行对比,包括:计算所述函数调用序列中的每一层函数所属模块文件的哈希值;将每一层函数所...
【专利技术属性】
技术研发人员:王明广,王丹阳,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。