【技术实现步骤摘要】
本专利技术涉及计算机安全技术,尤其涉及一种进程行为分析方法及系统。
技术介绍
计算机安全已成为人们日益关注的问题,进程行为分析是重要的计算机安全监控技术之一,其通过对程序代码运行中的行为进行分析确定相应程序的行为目的,使得计算机安全技术人员可以根据这些行为目的确定采取相应的安全防范措施。现有技术中,进程行为分析一般采用对计算机的一个进程的行为进行分析,判断出该进程执行的程序代码的行为功能。例如目前很多恶意进程都具有将自身代码注入到正常进程中的行为,以达到隐藏运行的目的,这些恶意进程仅仅是一个注入代码,目前对其进行进程行为分析,是对其注入行为进程进行分析或者对恶意进程本身进行分析,因此可以获取这些恶意进程的注入行为或者恶意进程自身的行为目的。然而这种方法对其注入到正常进程后的行为等是分析不到的,使得计算机安全技术人员对恶意进程的行为无法达到全面了解,从而影响进程行为分析的质量效率。
技术实现思路
本专利技术提供一种进程行为分析方法及系统,用以对与一个进程相关的所有进程的行为进行全面地分析,提高进程行为分析的质量效率。本专利技术的第一个方面是提供一种进程行为分析方法,包...
【技术保护点】
一种进程行为分析方法,其特征在于,包括:获取对预设的敏感进程进行监控的监控记录数据;根据所述监控记录数据模拟重现监控过程中的句柄、进程和线程,获取分别与所述句柄、进程和线程对应的虚拟表项,所述虚拟表项记录敏感进程创建的句柄、进程和线程及对应的属性;设定敏感进程的相关进程,根据所述虚拟表项将相关进程对应的句柄、进程和线程操作及对应的属性关联到敏感进程的进程行为分析结果中。
【技术特征摘要】
1.一种进程行为分析方法,其特征在于,包括: 获取对预设的敏感进程进行监控的监控记录数据; 根据所述监控记录数据模拟重现监控过程中的句柄、进程和线程,获取分别与所述句柄、进程和线程对应的虚拟表项,所述虚拟表项记录敏感进程创建的句柄、进程和线程及对应的属性; 设定敏感进程的相关进程,根据所述虚拟表项将相关进程对应的句柄、进程和线程操作及对应的属性关联到敏感进程的进程行为分析结果中。2.根据权利要求1所述的方法,其特征在于,根据所述监控记录数据模拟重现监控过程中的句柄、进程和线程之前,还包括: 将所述监控记录数据存入预定义的二进制文件中; 将所述二进制文件导入监控记录数据库中; 相应地,根据所述监控记录数据模拟重现监控过程中的句柄、进程和线程,具体为: 根据所述监控记录数据库中存储的二进制文件模拟重现监控过程中的句柄、进程和线程。3.根据权利要求1或2所述的方法,其特征在于,所述敏感进程为与安全相关、系统关键数据操作相关的应用程序接口调用, 相应地,获取对预设的敏 感进程进行监控的监控记录数据,包括: 在对操作系统内的与安全相关、系统关键数据操作相关的应用程序接口调用的头部和尾部设置监控断点; 根据设置的监控断点触发监控,并将应用程序接口调用开始及返回处的参数值记录为监控记录数据。4.根据权利要求3所述的方法,其特征在于,设定敏感进程的相关进程,根据所述虚拟表项将相关进程对应的句柄、进程和线程操作及对应的属性关联到敏感进程的进程行为分析结果中,包括: 根据应用程序接口调用函数及参数确定所述应用程序接口调用影响的进程是否为敏感进程的相关进程; 若是,则以应用程序接口调用的标识号为关联点,根据虚拟表项将相关进程在所述关联点之后的所有句柄、进程和线程操作及对应的属性关联到敏感进程的进程行为分析结果中。5.根据权利要求4所述的方法,其特征在于,当应用程序接口调用函数及参数对应于创建进程操作、注入操作和本地进程调用时,将所述应用程序接口调用影响的进程设定为敏感进程的相关进程。6.根据权利要求1或2所述的方法,其特征在于,设定敏感进程的相关进程包括: 将敏感进程进行的创建子进程、注入进程、本地进程调用、远程COM调用和/或窗口消息操作的进程设定为敏感进程的相关进程。7.—种进程行...
【专利技术属性】
技术研发人员:刘业欣,曲富平,邱鹏,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,北京神州绿盟科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。