CN105279432A - 一种软件监控处理方法以及装置 - Google Patents

一种软件监控处理方法以及装置 Download PDF

Info

Publication number
CN105279432A
CN105279432A CN201510657303.5A CN201510657303A CN105279432A CN 105279432 A CN105279432 A CN 105279432A CN 201510657303 A CN201510657303 A CN 201510657303A CN 105279432 A CN105279432 A CN 105279432A
Authority
CN
China
Prior art keywords
software
trend
target software
described target
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510657303.5A
Other languages
English (en)
Other versions
CN105279432B (zh
Inventor
谭昱
李雪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Baoqu Technology Co Ltd
Original Assignee
Beijing Kingsoft Internet Security Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kingsoft Internet Security Software Co Ltd filed Critical Beijing Kingsoft Internet Security Software Co Ltd
Priority to CN201510657303.5A priority Critical patent/CN105279432B/zh
Publication of CN105279432A publication Critical patent/CN105279432A/zh
Application granted granted Critical
Publication of CN105279432B publication Critical patent/CN105279432B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

本发明实施例公开了一种软件监控处理方法以及装置,其中方法包括:获取客户端上报的目标软件的软件动态行为信息;对所述客户端上报的所述软件动态行为信息进行统计,并根据统计后的所有软件动态行为信息,分析所述目标软件的安装行为趋势以及进程变动趋势;当根据所述目标软件的安装行为趋势以及进程变动趋势确定所述目标软件为异常软件时,通知所述客户端将所述目标软件标识为异常软件。采用本发明,可准确的对用户终端上的软件进行安全监控。

Description

一种软件监控处理方法以及装置
技术领域
本发明涉及计算机技术领域,尤其涉及一种软件监控处理方法以及装置。
背景技术
目前通常是基于二进制文件维度的监控体系对用户终端上的各个软件进行监控。目前的监控体系的具体监控过程可以为:后台服务器统计客户端上报的二进制文件维度的数据,然后获得单一文件的鉴定结果,再将鉴定结果通知到所有用户终端。当对二进制文件进行非法变形时,所获得的鉴定结果就不再准确,从而无法准确的分析出用户终端上的软件是否为恶意软件,即无法准确的对用户终端上的软件进行安全监控。
发明内容
本发明实施例提供一种软件监控处理方法以及装置,可准确的对用户终端上的软件进行安全监控。
本发明实施例提供了一种软件监控处理方法,包括:
获取客户端上报的目标软件的软件动态行为信息;
对所述客户端上报的所述软件动态行为信息进行统计,并根据统计后的所有软件动态行为信息,分析所述目标软件的安装行为趋势以及进程变动趋势;
当根据所述目标软件的安装行为趋势以及进程变动趋势确定所述目标软件为异常软件时,通知所述客户端将所述目标软件标识为异常软件。
其中,所述对所述客户端上报的所述软件动态行为信息进行统计,并根据统计后的所有软件动态行为信息,分析所述目标软件的安装行为趋势以及进程变动趋势,包括:
对所述客户端上报的所述软件动态行为信息进行统计;所述软件动态行为信息包括软件安装状态信息以及软件执行进程信息;
根据统计后的所有软件安装状态信息中属于被动安装状态的软件安装状态信息数量,分析所述目标软件的安装行为趋势;
计算与各个软件执行进程信息分别对应的广告推送频率,并根据所述与各个软件执行进程信息分别对应的广告推送频率计算广告推送平均频率,并根据所述广告推送平均频率分析所述目标软件的进程变动趋势。
其中,在所述当根据所述目标软件的安装行为趋势以及进程变动趋势确定所述目标软件为异常软件时,通知所述客户端将所述目标软件标识为异常软件的步骤之前,还包括:
判断所述目标软件的安装行为趋势是否为主动安装趋势,并判断所述进程变动趋势是否为广告正常推送趋势;
若判断均为是,则确定所述目标软件为正常软件;
否则,确定所述目标软件为异常软件。
其中,在所述判断所述目标软件的安装行为趋势是否为主动安装趋势,并判断所述进程变动趋势是否为广告正常推送趋势的步骤之前,还包括:
获取所述客户端上报的目标软件的软件基本属性信息;
对所述客户端上报的所述软件基本属性信息进行统计,并根据统计后的所有软件基本属性信息,判断所述目标软件是否具有合法性;
若判断为否,则确定所述目标软件为异常软件;
若判断为是,则执行所述判断所述目标软件的安装行为趋势是否为主动安装趋势,并判断所述进程变动趋势是否为广告正常推送趋势的步骤。
其中,在通知所述客户端将所述目标软件标识为异常软件的步骤之后,还包括:
通过虚拟机安装所述目标软件,以生成所述目标软件的清理脚本;
发送所述目标软件的清理脚本到所述客户端,以使所述客户端根据所述目标软件的清理脚本删除所述目标软件。
相应地,本发明实施例还提供了一种软件监控处理装置,包括:
获取模块,用于获取客户端上报的目标软件的软件动态行为信息;
统计分析模块,用于对所述客户端上报的所述软件动态行为信息进行统计,并根据统计后的所有软件动态行为信息,分析所述目标软件的安装行为趋势以及进程变动趋势;
第一通知模块,用于当根据所述目标软件的安装行为趋势以及进程变动趋势确定所述目标软件为异常软件时,通知所述客户端将所述目标软件标识为异常软件。
其中,所述统计分析模块包括:
统计单元,用于对所述客户端上报的所述软件动态行为信息进行统计;所述软件动态行为信息包括软件安装状态信息以及软件执行进程信息;
分析单元,用于根据统计后的所有软件安装状态信息中属于被动安装状态的软件安装状态信息数量,分析所述目标软件的安装行为趋势;
所述分析单元,还用于计算与各个软件执行进程信息分别对应的广告推送频率,并根据所述与各个软件执行进程信息分别对应的广告推送频率计算广告推送平均频率,并根据所述广告推送平均频率分析所述目标软件的进程变动趋势。
其中,还包括:
第一判断模块,用于判断所述目标软件的安装行为趋势是否为主动安装趋势,并判断所述进程变动趋势是否为广告正常推送趋势;
确定模块,用于若所述第一判断模块判断均为是,则确定所述目标软件为正常软件;
所述确定模块,还用于若所述第一判断模块判断不均为是,则确定所述目标软件为异常软件。
其中,还包括:
所述获取模块,还用于获取所述客户端上报的目标软件的软件基本属性信息;
第二判断模块,用于对所述客户端上报的所述软件基本属性信息进行统计,并根据统计后的所有软件基本属性信息,判断所述目标软件是否具有合法性;
所述确定模块,还用于若所述第二判断模块判断为否,则确定所述目标软件为异常软件;
第二通知模块,用于若所述第二判断模块判断为是,则通知所述第一判断模块判断所述目标软件的安装行为趋势是否为主动安装趋势,并判断所述进程变动趋势是否为广告正常推送趋势。
其中,还包括:
脚本生成模块,用于通过虚拟机安装所述目标软件,以生成所述目标软件的清理脚本;
脚本发送模块,用于发送所述目标软件的清理脚本到所述客户端,以使所述客户端根据所述目标软件的清理脚本删除所述目标软件。
本发明实施例通过获取客户端上报的目标软件的软件动态行为信息,并对所述客户端上报的所述软件动态行为信息进行统计,并根据统计后的所有软件动态行为信息,分析所述目标软件的安装行为趋势以及进程变动趋势,当根据所述目标软件的安装行为趋势以及进程变动趋势确定所述目标软件为异常软件时,通知所述客户端将所述目标软件标识为异常软件,由于对二进制文件进行非法变形是无法改变软件维度上的安装行为趋势以及进程变动趋势,所以基于软件维度的监控可以准确的对用户终端上的软件进行安全监控。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种网络架构示意图;
图2是本发明实施例提供的一种软件监控处理方法的流程示意图;
图3是本发明实施例提供的另一种软件监控处理方法的流程示意图;
图4是本发明实施例提供的其中一种软件分析方法的流程示意图;
图5是本发明实施例提供的一种软件监控处理装置的结构示意图;
图6是本发明实施例提供的一种统计分析模块的结构示意图;
图7是本发明实施例提供的另一种软件监控处理装置的结构示意图;
图8是本发明实施例提供的一种服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参见图1,是本发明实施例提供的一种网络架构示意图。所述网络架构可以包括服务器100,客户端200a、客户端200b、……、客户端200n。其中,所述服务器100通过网络分别与客户端200a、客户端200b、……、客户端200n连接。在图1所示的网络构架中,客户端200a、客户端200b、……、客户端200n均可以在安装好目标软件后,上报目标软件的软件动态行为信息到服务器100中,服务器100可以对所有客户端上报的软件动态行为信息进行统计,并根据统计后的所有软件动态行为信息,分析目标软件的安装行为趋势以及进程变动趋势,当根据目标软件的安装行为趋势以及进程变动趋势确定出目标软件为异常软件时,通知所有客户端将目标软件标识为异常软件。
基于图1所示的网络构架,本发明实施例提供了一种软件监控处理方法。请参见图2,是本发明实施例提供的一种软件监控处理方法的流程示意图,所述方法可以包括:
S101,获取客户端上报的目标软件的软件动态行为信息;
具体的,服务器获取客户端上报的目标软件的软件动态行为信息;其中,所述软件动态行为信息可以包括软件安装状态信息以及软件执行进程信息,所述软件安装状态信息包括主动安装状态信息或被动安装状态信息,所述软件安装状态信息可以表明所述目标软件是否为用户自愿安装;所述软件执行进程信息可以表明所述目标软件是否存在广告推送进程。其中,所述客户端可以在检测到安装并运行所述目标软件时,上报所述目标软件的软件动态行为信息到所述服务器。
S102,对所述客户端上报的所述软件动态行为信息进行统计,并根据统计后的所有软件动态行为信息,分析所述目标软件的安装行为趋势以及进程变动趋势;
具体的,所述服务器在获取到所述客户端上报的目标软件的软件动态行为信息后,可以对所述客户端上报的所述软件动态行为信息进行统计,并根据统计后的所有软件动态行为信息,分析所述目标软件的安装行为趋势以及进程变动趋势,即根据所有软件安装状态信息分析所述目标软件的安装行为趋势,并根据所有软件执行进程信息分析所述目标软件的进程变动趋势。根据统计后的所有软件动态行为信息可以具体分析出所述目标软件的安装行为趋势为主动安装趋势还是被动安装趋势,并可以具体分析出所述目标软件的进程变动趋势为广告正常推送趋势还是广告异常推送趋势。
S103,当根据所述目标软件的安装行为趋势以及进程变动趋势确定所述目标软件为异常软件时,通知所述客户端将所述目标软件标识为异常软件;
具体的,当所述服务器在分析出所述目标软件的安装行为趋势为被动安装趋势,和/或所述进程变动趋势为广告异常推送趋势时,可以确定所述目标软件为异常软件,此时,可以通知所述客户端将所述目标软件标识为异常软件,即所述客户端可以根据通知消息将所述目标软件标识为异常软件并向用户提示所述目标软件为异常软件,以便于用户可以做出相应措施。另外,所述服务器在分析出所述目标软件的安装行为趋势为主动安装趋势,且所述进程变动趋势为广告正常推送趋势时,可以确定所述目标软件为正常软件,并也通知所述客户端将所述目标软件标识为正常软件。
本发明实施例通过获取客户端上报的目标软件的软件动态行为信息,并对所述客户端上报的所述软件动态行为信息进行统计,并根据统计后的所有软件动态行为信息,分析所述目标软件的安装行为趋势以及进程变动趋势,当根据所述目标软件的安装行为趋势以及进程变动趋势确定所述目标软件为异常软件时,通知所述客户端将所述目标软件标识为异常软件,由于对二进制文件进行非法变形是无法改变软件维度上的安装行为趋势以及进程变动趋势,所以基于软件维度的监控可以准确的对用户终端上的软件进行安全监控。
再请参见图3,是本发明实施例提供的另一种软件监控处理方法的流程示意图,所述方法可以包括:
S201,获取客户端上报的目标软件的软件动态行为信息;
S201步骤的具体实现方式可以参见上述图2对应实施例中的S101,这里不再进行赘述。
S202,对所述客户端上报的所述软件动态行为信息进行统计;所述软件动态行为信息包括软件安装状态信息以及软件执行进程信息;
S203,根据统计后的所有软件安装状态信息中属于被动安装状态的软件安装状态信息数量,分析所述目标软件的安装行为趋势;
具体的,服务器统计好各个所述软件动态行为信息后,即可根据统计后的所有软件安装状态信息中属于被动安装状态的软件安装状态信息数量,分析所述目标软件的安装行为趋势。分析所述目标软件的安装行为趋势的具体过程可以为:计算所述属于被动安装状态的软件安装状态信息数量与所有软件安装状态信息数量的比值,判断所计算的比值是否大于预设数值,若大于所述预设数值,说明大部分客户端中的所述目标软件是被动安装的,即可以分析出所述目标软件的安装行为趋势为被动安装趋势;若小于或等于所述预设数值,则可以分析出所述目标软件的安装行为趋势为主动安装趋势。
S204,计算与各个软件执行进程信息分别对应的广告推送频率,并根据所述与各个软件执行进程信息分别对应的广告推送频率计算广告推送平均频率,并根据所述广告推送平均频率分析所述目标软件的进程变动趋势;
具体的,S204步骤可以与S203步骤同时执行,所述服务器统计好各个所述软件动态行为信息后,可以根据各个软件执行进程信息中的广告推送进程信息分别计算与各个软件执行进程信息分别对应的广告推送频率,即计算每个客户端中所述目标软件的广告推送频率,再根据所述与各个软件执行进程信息分别对应的广告推送频率计算广告推送平均频率,并判断所述广告推送平均频率是否大于预设的频率阈值,若判断为大于所述频率阈值,说明所述目标软件的广告推送过于频繁,即可以分析出所述进程变动趋势为广告异常推送趋势;若判断为小于所述频率阈值,则可以分析出所述进程变动趋势为广告正常推送趋势。
S205,判断所述目标软件的安装行为趋势是否为主动安装趋势,并判断所述进程变动趋势是否为广告正常推送趋势;
具体的,所述服务器在分析出所述目标软件的安装行为趋势和所述进程变动趋势后,可以判断所述目标软件的安装行为趋势是否为主动安装趋势,并判断所述进程变动趋势是否为广告正常推送趋势。
S206,确定所述目标软件为正常软件;
具体的,若S205判断出所述目标软件的安装行为趋势为主动安装趋势,且所述进程变动趋势为广告正常推送趋势,则可以确定所述目标软件为正常软件。所述服务器还可以通知所述客户端将所述目标软件标识为正常软件。
S207,确定所述目标软件为异常软件;
具体的,若S205判断判断出所述目标软件的安装行为趋势为被动安装趋势,和/或所述进程变动趋势为广告异常推送趋势,则可以确定所述目标软件为异常软件,即所述目标软件是被恶意推广和安装的软件。
S208,通知所述客户端将所述目标软件标识为异常软件;
具体的,S207步骤确定出所述目标软件为异常软件后,所述服务器可以通知所述客户端将所述目标软件标识为异常软件,即所述客户端可以根据通知消息将所述目标软件标识为异常软件并向用户提示所述目标软件为异常软件,以便于用户可以做出相应措施。进一步的,所述服务器还可以通过虚拟机安装并运行所述目标软件,并根据安装后的形态生成所述目标软件的清理脚本,发送所述目标软件的清理脚本到所述客户端,以使所述客户端根据所述目标软件的清理脚本删除所述目标软件。其中,所述清理脚本可以为反向清理脚本。
可选地,所述服务器通过所述虚拟机安装并运行所述目标软件,也可以获得所述目标软件的软件执行进程信息。
可选地,所述服务器还可以根据二进制同源、推广数字签名以及软件动态行为信息共同分析软件是否为恶意软件,以进一步准确的对用户终端上的软件进行安全监控。
本发明实施例通过获取客户端上报的目标软件的软件动态行为信息,并对所述客户端上报的所述软件动态行为信息进行统计,并根据统计后的所有软件动态行为信息,分析所述目标软件的安装行为趋势以及进程变动趋势,当根据所述目标软件的安装行为趋势以及进程变动趋势确定所述目标软件为异常软件时,通知所述客户端将所述目标软件标识为异常软件,由于对二进制文件进行非法变形是无法改变软件维度上的安装行为趋势以及进程变动趋势,所以基于软件维度的监控可以准确的对用户终端上的软件进行安全监控。
进一步的,再请参见图4,是本发明实施例提供的其中一种软件分析方法的流程示意图,所述方法可以在上述图3对应实施例的S205步骤之前执行,所述方法可以包括:
S301,获取所述客户端上报的目标软件的软件基本属性信息;
具体的,S301步骤可以与S201步骤同时执行,即所述服务器可以同时获取所述客户端上报的目标软件的软件动态行为信息和软件基本属性信息。所述软件基本属性信息可以包括MD5(Message-DigestAlgorithm5,信息-摘要算法5)、路径以及来源。
S302,对所述客户端上报的所述软件基本属性信息进行统计,并根据统计后的所有软件基本属性信息,判断所述目标软件是否具有合法性;
具体的,所述服务器可以对所述客户端上报的所述软件基本属性信息进行统计,以获得所有MD5、路径以及来源,并计算MD5、路径以及来源均为合法的软件基本属性信息的数量与所有软件基本属性信息的数量的比值,并判断所计算出的比值是否大于预设数值,即判断所述目标软件是否具有合法性,若判断出所计算出的比值大于所述预设数值,说明大部分客户端中的所述目标软件具有合法性,则可以确定所述目标软件具有合法性。若判断出所计算出的比值小于或等于所述预设数值,则确定所述目标软件不具有合法性。
S303,当判断出所述目标软件不具有合法性时,确定所述目标软件为异常软件;
具体的,当S302步骤判断出所述目标软件不具有合法性时,可以确定所述目标软件为异常软件,并可以通知所述客户端将所述目标软件标识为异常软件;当S302步骤判断出所述目标软件具有合法性时,可以进一步执行上述图3对应实施例中的S205步骤。
本发明实施例通过进一步获取客户端上报的目标软件的软件基本属性信息,使得可以在判断所述目标软件的安装行为趋势是否为主动安装趋势,并判断所述进程变动趋势是否为广告正常推送趋势之前,判断目标软件是否具有合法性,从而可以进一步准确的对用户终端上的软件进行安全监控。
请参见图5,是本发明实施例提供的一种软件监控处理装置的结构示意图,所述监控处理装置1可以应用于服务器中,所述监控处理装置1可以包括:获取模块10、统计分析模块20、第一通知模块30;
所述获取模块10,用于获取客户端上报的目标软件的软件动态行为信息;
具体的,所述获取模块10获取客户端上报的目标软件的软件动态行为信息;其中,所述软件动态行为信息可以包括软件安装状态信息以及软件执行进程信息,所述软件安装状态信息包括主动安装状态信息或被动安装状态信息,所述软件安装状态信息可以表明所述目标软件是否为用户自愿安装;所述软件执行进程信息可以表明所述目标软件是否存在广告推送进程。其中,所述客户端可以在检测到安装并运行所述目标软件时,上报所述目标软件的软件动态行为信息到所述服务器。
所述统计分析模块20,用于对所述客户端上报的所述软件动态行为信息进行统计,并根据统计后的所有软件动态行为信息,分析所述目标软件的安装行为趋势以及进程变动趋势;
具体的,所述获取模块10在获取到所述客户端上报的目标软件的软件动态行为信息后,所述统计分析模块20可以对所述客户端上报的所述软件动态行为信息进行统计,并根据统计后的所有软件动态行为信息,分析所述目标软件的安装行为趋势以及进程变动趋势,即所述统计分析模块20根据所有软件安装状态信息分析所述目标软件的安装行为趋势,并根据所有软件执行进程信息分析所述目标软件的进程变动趋势。所述统计分析模块20根据统计后的所有软件动态行为信息可以具体分析出所述目标软件的安装行为趋势为主动安装趋势还是被动安装趋势,并可以具体分析出所述目标软件的进程变动趋势为广告正常推送趋势还是广告异常推送趋势。
所述第一通知模块30,用于当根据所述目标软件的安装行为趋势以及进程变动趋势确定所述目标软件为异常软件时,通知所述客户端将所述目标软件标识为异常软件;
具体的,当所述统计分析模块20在分析出所述目标软件的安装行为趋势为被动安装趋势,和/或所述进程变动趋势为广告异常推送趋势时,可以确定所述目标软件为异常软件,此时,所述第一通知模块30可以通知所述客户端将所述目标软件标识为异常软件,即所述客户端可以根据所述第一通知模块30发送的通知消息将所述目标软件标识为异常软件并向用户提示所述目标软件为异常软件,以便于用户可以做出相应措施。另外,所述统计分析模块20在分析出所述目标软件的安装行为趋势为主动安装趋势,且所述进程变动趋势为广告正常推送趋势时,可以确定所述目标软件为正常软件,并也通知所述客户端将所述目标软件标识为正常软件。
进一步的,再请参见图6,是本发明实施例提供的一种统计分析模块20的结构示意图,所述统计分析模块20可以包括:统计单元201、分析单元202;
所述统计单元201,用于对所述客户端上报的所述软件动态行为信息进行统计;所述软件动态行为信息包括软件安装状态信息以及软件执行进程信息;
所述分析单元202,用于根据统计后的所有软件安装状态信息中属于被动安装状态的软件安装状态信息数量,分析所述目标软件的安装行为趋势;
具体的,所述统计单元201统计好各个所述软件动态行为信息后,所述分析单元202可以根据统计后的所有软件安装状态信息中属于被动安装状态的软件安装状态信息数量,分析所述目标软件的安装行为趋势。所述分析单元202分析所述目标软件的安装行为趋势的具体过程可以为:所述分析单元202计算所述属于被动安装状态的软件安装状态信息数量与所有软件安装状态信息数量的比值,判断所计算的比值是否大于预设数值,若大于所述预设数值,说明大部分客户端中的所述目标软件是被动安装的,即所述分析单元202可以分析出所述目标软件的安装行为趋势为被动安装趋势;若小于或等于所述预设数值,则所述分析单元202可以分析出所述目标软件的安装行为趋势为主动安装趋势。
所述分析单元202,还用于计算与各个软件执行进程信息分别对应的广告推送频率,并根据所述与各个软件执行进程信息分别对应的广告推送频率计算广告推送平均频率,并根据所述广告推送平均频率分析所述目标软件的进程变动趋势;
具体的,所述分析单元202可以同时对所述安装行为趋势和所述进程变动趋势进行分析,即所述统计单元201统计好各个所述软件动态行为信息后,所述分析单元202还可以根据各个软件执行进程信息中的广告推送进程信息分别计算与各个软件执行进程信息分别对应的广告推送频率,即计算每个客户端中所述目标软件的广告推送频率,再根据所述与各个软件执行进程信息分别对应的广告推送频率计算广告推送平均频率,并判断所述广告推送平均频率是否大于预设的频率阈值,若判断为大于所述频率阈值,说明所述目标软件的广告推送过于频繁,即所述分析单元202可以分析出所述进程变动趋势为广告异常推送趋势;若判断为小于所述频率阈值,则所述分析单元202可以分析出所述进程变动趋势为广告正常推送趋势。
本发明实施例通过获取客户端上报的目标软件的软件动态行为信息,并对所述客户端上报的所述软件动态行为信息进行统计,并根据统计后的所有软件动态行为信息,分析所述目标软件的安装行为趋势以及进程变动趋势,当根据所述目标软件的安装行为趋势以及进程变动趋势确定所述目标软件为异常软件时,通知所述客户端将所述目标软件标识为异常软件,由于对二进制文件进行非法变形是无法改变软件维度上的安装行为趋势以及进程变动趋势,所以基于软件维度的监控可以准确的对用户终端上的软件进行安全监控。
再请参见图7,是本发明实施例提供的另一种软件监控处理装置的结构示意图,所述监控处理装置1可以应用于服务器中,而且所述软件监控处理装置1可以包括上述图5对应实施例中的获取模块10、统计分析模块20、第一通知模块30,进一步的,所述软件监控处理装置1还可以包括:第一判断模块40、确定模块50、第二判断模块60、第二通知模块70、脚本生成模块80、脚本发送模块90;
所述第一判断模块40,用于判断所述目标软件的安装行为趋势是否为主动安装趋势,并判断所述进程变动趋势是否为广告正常推送趋势;
具体的,在所述统计分析模块20分析出所述目标软件的安装行为趋势以及进程变动趋势后,所述第一判断模块40可以判断所述目标软件的安装行为趋势是否为主动安装趋势,并判断所述进程变动趋势是否为广告正常推送趋势。
所述确定模块50,用于若所述第一判断模块40判断均为是,则确定所述目标软件为正常软件;
具体的,若所述第一判断模块40判断出所述目标软件的安装行为趋势为主动安装趋势,且所述进程变动趋势为广告正常推送趋势,则所述确定模块50可以确定所述目标软件为正常软件,此时,所述第一通知模块30还可以通知所述客户端将所述目标软件标识为正常软件。
所述确定模块50,还用于若所述第一判断模块40判断不均为是,则确定所述目标软件为异常软件;
具体的,若所述第一判断模块40判断出所述目标软件的安装行为趋势为被动安装趋势,和/或所述进程变动趋势为广告异常推送趋势,所述确定模块50还可以确定所述目标软件为异常软件。
所述获取模块10,还用于获取所述客户端上报的目标软件的软件基本属性信息;
具体的,所述获取模块10还可以获取所述客户端上报的目标软件的软件基本属性信息,所述获取模块10可以同时获取所述客户端上报的目标软件的软件动态行为信息和软件基本属性信息。其中,所述软件基本属性信息可以包括MD5、路径以及来源。
所述第二判断模块60,用于对所述客户端上报的所述软件基本属性信息进行统计,并根据统计后的所有软件基本属性信息,判断所述目标软件是否具有合法性;
具体的,所述获取模块10获取到所述软件基本属性信息后,所述第二判断模块60可以对所述客户端上报的所述软件基本属性信息进行统计,以获得所有MD5、路径以及来源,并计算MD5、路径以及来源均为合法的软件基本属性信息的数量与所有软件基本属性信息的数量的比值,并判断所计算出的比值是否大于预设数值,即所述第二判断模块60判断所述目标软件是否具有合法性,若所述第二判断模块60判断出所计算出的比值大于所述预设数值,说明大部分客户端中的所述目标软件具有合法性,则可以确定所述目标软件具有合法性。若所述第二判断模块60判断出所计算出的比值小于或等于所述预设数值,则确定所述目标软件不具有合法性。
所述确定模块50,还用于若所述第二判断模块60判断为否,则确定所述目标软件为异常软件;
具体的,若所述第二判断模块60判断出所述目标软件不具有合法性,则所述确定模块50还可以确定所述目标软件为异常软件,此时,所述第一通知模块30可以通知所述客户端将所述目标软件标识为异常软件。
所述第二通知模块70,用于若所述第二判断模块60判断为是,则通知所述第一判断模块40判断所述目标软件的安装行为趋势是否为主动安装趋势,并判断所述进程变动趋势是否为广告正常推送趋势;
具体的,若所述第二判断模块60判断出所述目标软件具有合法性时,所述第二通知模块70可以通知所述第一判断模块40判断所述目标软件的安装行为趋势是否为主动安装趋势,并判断所述进程变动趋势是否为广告正常推送趋势。所述第二判断模块60所执行的判断合法性的操作是在所述第一判断模块40执行操作之前执行的。
所述脚本生成模块80,用于通过虚拟机安装所述目标软件,以生成所述目标软件的清理脚本;
具体的,在所述第一通知模块30通知所述客户端将所述目标软件标识为异常软件后,所述脚本生成模块80可以通过虚拟机安装并运行所述目标软件,并根据安装后的形态生成所述目标软件的清理脚本。其中,所述清理脚本可以为反向清理脚本。
所述脚本发送模块90,用于发送所述目标软件的清理脚本到所述客户端,以使所述客户端根据所述目标软件的清理脚本删除所述目标软件。
本发明实施例通过获取客户端上报的目标软件的软件动态行为信息,并对所述客户端上报的所述软件动态行为信息进行统计,并根据统计后的所有软件动态行为信息,分析所述目标软件的安装行为趋势以及进程变动趋势,当根据所述目标软件的安装行为趋势以及进程变动趋势确定所述目标软件为异常软件时,通知所述客户端将所述目标软件标识为异常软件,由于对二进制文件进行非法变形是无法改变软件维度上的安装行为趋势以及进程变动趋势,所以基于软件维度的监控可以准确的对用户终端上的软件进行安全监控。
请参见图8,是本发明实施例提供的一种服务器的结构示意图,所述服务器1000可以包括处理器1001、通信接口1002和存储器1003(服务器1000中的处理器1001的数量可以为一个或多个,图8中以一个处理器1001为例)。本发明的一些实施例中,处理器1001、通信接口1002和存储器1003可通过通信总线或其他方式连接,其中,图8以通过通信总线连接为例。
其中,所述通信接口1002,用于与客户端进行通信;
所述存储器1003用于存储程序;
所述处理器1001用于执行所述程序;
其中,所述通信接口1002,用于获取客户端上报的目标软件的软件动态行为信息;
所述处理器1001,用于对所述客户端上报的所述软件动态行为信息进行统计,并根据统计后的所有软件动态行为信息,分析所述目标软件的安装行为趋势以及进程变动趋势;
所述通信接口1002,还用于当根据所述目标软件的安装行为趋势以及进程变动趋势确定所述目标软件为异常软件时,通知所述客户端将所述目标软件标识为异常软件。
其中,所述处理器1001,具体用于对所述客户端上报的所述软件动态行为信息进行统计;所述软件动态行为信息包括软件安装状态信息以及软件执行进程信息;根据统计后的所有软件安装状态信息中属于被动安装状态的软件安装状态信息数量,分析所述目标软件的安装行为趋势;计算与各个软件执行进程信息分别对应的广告推送频率,并根据所述与各个软件执行进程信息分别对应的广告推送频率计算广告推送平均频率,并根据所述广告推送平均频率分析所述目标软件的进程变动趋势。
其中,所述处理器1001,还用于判断所述目标软件的安装行为趋势是否为主动安装趋势,并判断所述进程变动趋势是否为广告正常推送趋势;若判断均为是,则确定所述目标软件为正常软件;否则,确定所述目标软件为异常软件。
其中,所述处理器1001,还用于获取所述客户端上报的目标软件的软件基本属性信息,并对所述客户端上报的所述软件基本属性信息进行统计,并根据统计后的所有软件基本属性信息,判断所述目标软件是否具有合法性;若判断为否,则确定所述目标软件为异常软件;若判断为是,则执行所述判断所述目标软件的安装行为趋势是否为主动安装趋势,并判断所述进程变动趋势是否为广告正常推送趋势的步骤。
其中,所述处理器1001,还用于通过虚拟机安装所述目标软件,以生成所述目标软件的清理脚本;
所述通信接口1002,还用于发送所述目标软件的清理脚本到所述客户端,以使所述客户端根据所述目标软件的清理脚本删除所述目标软件。
本发明实施例通过获取客户端上报的目标软件的软件动态行为信息,并对所述客户端上报的所述软件动态行为信息进行统计,并根据统计后的所有软件动态行为信息,分析所述目标软件的安装行为趋势以及进程变动趋势,当根据所述目标软件的安装行为趋势以及进程变动趋势确定所述目标软件为异常软件时,通知所述客户端将所述目标软件标识为异常软件,由于对二进制文件进行非法变形是无法改变软件维度上的安装行为趋势以及进程变动趋势,所以基于软件维度的监控可以准确的对用户终端上的软件进行安全监控。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。

Claims (10)

1.一种软件监控处理方法,其特征在于,包括:
获取客户端上报的目标软件的软件动态行为信息;
对所述客户端上报的所述软件动态行为信息进行统计,并根据统计后的所有软件动态行为信息,分析所述目标软件的安装行为趋势以及进程变动趋势;
当根据所述目标软件的安装行为趋势以及进程变动趋势确定所述目标软件为异常软件时,通知所述客户端将所述目标软件标识为异常软件。
2.如权利要求1所述的方法,其特征在于,所述对所述客户端上报的所述软件动态行为信息进行统计,并根据统计后的所有软件动态行为信息,分析所述目标软件的安装行为趋势以及进程变动趋势,包括:
对所述客户端上报的所述软件动态行为信息进行统计;所述软件动态行为信息包括软件安装状态信息以及软件执行进程信息;
根据统计后的所有软件安装状态信息中属于被动安装状态的软件安装状态信息数量,分析所述目标软件的安装行为趋势;
计算与各个软件执行进程信息分别对应的广告推送频率,并根据所述与各个软件执行进程信息分别对应的广告推送频率计算广告推送平均频率,并根据所述广告推送平均频率分析所述目标软件的进程变动趋势。
3.如权利要求2所述的方法,其特征在于,在所述当根据所述目标软件的安装行为趋势以及进程变动趋势确定所述目标软件为异常软件时,通知所述客户端将所述目标软件标识为异常软件的步骤之前,还包括:
判断所述目标软件的安装行为趋势是否为主动安装趋势,并判断所述进程变动趋势是否为广告正常推送趋势;
若判断均为是,则确定所述目标软件为正常软件;
否则,确定所述目标软件为异常软件。
4.如权利要求3所述的方法,其特征在于,在所述判断所述目标软件的安装行为趋势是否为主动安装趋势,并判断所述进程变动趋势是否为广告正常推送趋势的步骤之前,还包括:
获取所述客户端上报的目标软件的软件基本属性信息;
对所述客户端上报的所述软件基本属性信息进行统计,并根据统计后的所有软件基本属性信息,判断所述目标软件是否具有合法性;
若判断为否,则确定所述目标软件为异常软件;
若判断为是,则执行所述判断所述目标软件的安装行为趋势是否为主动安装趋势,并判断所述进程变动趋势是否为广告正常推送趋势的步骤。
5.如权利要求1所述的方法,其特征在于,在通知所述客户端将所述目标软件标识为异常软件的步骤之后,还包括:
通过虚拟机安装所述目标软件,以生成所述目标软件的清理脚本;
发送所述目标软件的清理脚本到所述客户端,以使所述客户端根据所述目标软件的清理脚本删除所述目标软件。
6.一种软件监控处理装置,其特征在于,包括:
获取模块,用于获取客户端上报的目标软件的软件动态行为信息;
统计分析模块,用于对所述客户端上报的所述软件动态行为信息进行统计,并根据统计后的所有软件动态行为信息,分析所述目标软件的安装行为趋势以及进程变动趋势;
第一通知模块,用于当根据所述目标软件的安装行为趋势以及进程变动趋势确定所述目标软件为异常软件时,通知所述客户端将所述目标软件标识为异常软件。
7.如权利要求6所述的装置,其特征在于,所述统计分析模块包括:
统计单元,用于对所述客户端上报的所述软件动态行为信息进行统计;所述软件动态行为信息包括软件安装状态信息以及软件执行进程信息;
分析单元,用于根据统计后的所有软件安装状态信息中属于被动安装状态的软件安装状态信息数量,分析所述目标软件的安装行为趋势;
所述分析单元,还用于计算与各个软件执行进程信息分别对应的广告推送频率,并根据所述与各个软件执行进程信息分别对应的广告推送频率计算广告推送平均频率,并根据所述广告推送平均频率分析所述目标软件的进程变动趋势。
8.如权利要求7所述的装置,其特征在于,还包括:
第一判断模块,用于判断所述目标软件的安装行为趋势是否为主动安装趋势,并判断所述进程变动趋势是否为广告正常推送趋势;
确定模块,用于若所述第一判断模块判断均为是,则确定所述目标软件为正常软件;
所述确定模块,还用于若所述第一判断模块判断不均为是,则确定所述目标软件为异常软件。
9.如权利要求8所述的装置,其特征在于,还包括:
所述获取模块,还用于获取所述客户端上报的目标软件的软件基本属性信息;
第二判断模块,用于对所述客户端上报的所述软件基本属性信息进行统计,并根据统计后的所有软件基本属性信息,判断所述目标软件是否具有合法性;
所述确定模块,还用于若所述第二判断模块判断为否,则确定所述目标软件为异常软件;
第二通知模块,用于若所述第二判断模块判断为是,则通知所述第一判断模块判断所述目标软件的安装行为趋势是否为主动安装趋势,并判断所述进程变动趋势是否为广告正常推送趋势。
10.如权利要求6所述的装置,其特征在于,还包括:
脚本生成模块,用于通过虚拟机安装所述目标软件,以生成所述目标软件的清理脚本;
脚本发送模块,用于发送所述目标软件的清理脚本到所述客户端,以使所述客户端根据所述目标软件的清理脚本删除所述目标软件。
CN201510657303.5A 2015-10-12 2015-10-12 一种软件监控处理方法以及装置 Active CN105279432B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510657303.5A CN105279432B (zh) 2015-10-12 2015-10-12 一种软件监控处理方法以及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510657303.5A CN105279432B (zh) 2015-10-12 2015-10-12 一种软件监控处理方法以及装置

Publications (2)

Publication Number Publication Date
CN105279432A true CN105279432A (zh) 2016-01-27
CN105279432B CN105279432B (zh) 2018-11-23

Family

ID=55148429

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510657303.5A Active CN105279432B (zh) 2015-10-12 2015-10-12 一种软件监控处理方法以及装置

Country Status (1)

Country Link
CN (1) CN105279432B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109711168A (zh) * 2018-06-26 2019-05-03 360企业安全技术(珠海)有限公司 基于行为的服务识别方法、装置、设备及可读存储介质
CN113569206A (zh) * 2021-06-30 2021-10-29 深信服科技股份有限公司 一种软件识别方法、系统、设备及计算机可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101924762A (zh) * 2010-08-18 2010-12-22 奇智软件(北京)有限公司 一种基于云安全的主动防御方法
CN102082802A (zh) * 2011-03-01 2011-06-01 陈彪 一种基于行为的移动终端的安全防护系统和方法
US8266698B1 (en) * 2009-03-09 2012-09-11 Symantec Corporation Using machine infection characteristics for behavior-based detection of malware
CN104123490A (zh) * 2014-07-02 2014-10-29 珠海市君天电子科技有限公司 恶意捆绑软件的处理方法、装置和移动终端

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8266698B1 (en) * 2009-03-09 2012-09-11 Symantec Corporation Using machine infection characteristics for behavior-based detection of malware
CN101924762A (zh) * 2010-08-18 2010-12-22 奇智软件(北京)有限公司 一种基于云安全的主动防御方法
CN102082802A (zh) * 2011-03-01 2011-06-01 陈彪 一种基于行为的移动终端的安全防护系统和方法
CN104123490A (zh) * 2014-07-02 2014-10-29 珠海市君天电子科技有限公司 恶意捆绑软件的处理方法、装置和移动终端

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109711168A (zh) * 2018-06-26 2019-05-03 360企业安全技术(珠海)有限公司 基于行为的服务识别方法、装置、设备及可读存储介质
CN109711168B (zh) * 2018-06-26 2021-01-15 360企业安全技术(珠海)有限公司 基于行为的服务识别方法、装置、设备及可读存储介质
CN113569206A (zh) * 2021-06-30 2021-10-29 深信服科技股份有限公司 一种软件识别方法、系统、设备及计算机可读存储介质

Also Published As

Publication number Publication date
CN105279432B (zh) 2018-11-23

Similar Documents

Publication Publication Date Title
CN109347827B (zh) 网络攻击行为预测的方法、装置、设备及存储介质
CN112988501B (zh) 一种告警信息生成方法、装置、电子设备及存储介质
KR101720686B1 (ko) 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법
US10205734B2 (en) Network sampling based path decomposition and anomaly detection
KR101043299B1 (ko) 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체
CN110851834B (zh) 融合多特征分类的安卓恶意应用检测方法
CN111935172A (zh) 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质
CN111600880A (zh) 异常访问行为的检测方法、系统、存储介质和终端
CN105512045A (zh) 一种应用程序的测试方法、装置及测试设备
CN110879889A (zh) Windows平台的恶意软件的检测方法及系统
CN117290803B (zh) 一种储能逆变器远程故障诊断方法、系统及介质
CN111277561A (zh) 网络攻击路径预测方法、装置及安全管理平台
CA3172788A1 (en) Endpoint security using an action prediction model
CN115426154A (zh) 一种挖矿行为监测方法、装置、设备及存储介质
CN105279432A (zh) 一种软件监控处理方法以及装置
EP3011454A1 (en) Generating a fingerprint representing a response of an application to a simulation of a fault of an external service
KR101619691B1 (ko) 프로그램 오류 분석 방법 및 시스템
CN106899977B (zh) 异常流量检验方法和装置
CN105245591A (zh) 一种桌面云性能体验的监控方法及系统
CN111124818B (zh) 一种扩展器Expander的监控方法、装置及设备
KR20130085483A (ko) 모바일 악성 행위 어플리케이션 탐지 시스템 및 방법
CN107633173B (zh) 文件处理方法和装置
CN115499239A (zh) 智慧城市网络安全处理方法和系统
CN117391214A (zh) 模型训练方法、装置及相关设备
CN107196916A (zh) 一种病毒文件检测的方法、网络侧设备和终端

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20181129

Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province

Patentee after: Zhuhai Leopard Technology Co.,Ltd.

Address before: 100085 East District, Second Floor, 33 Xiaoying West Road, Haidian District, Beijing

Patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.