CN108280346A - 一种应用防护监控方法、装置以及系统 - Google Patents
一种应用防护监控方法、装置以及系统 Download PDFInfo
- Publication number
- CN108280346A CN108280346A CN201710008087.0A CN201710008087A CN108280346A CN 108280346 A CN108280346 A CN 108280346A CN 201710008087 A CN201710008087 A CN 201710008087A CN 108280346 A CN108280346 A CN 108280346A
- Authority
- CN
- China
- Prior art keywords
- abnormal behaviour
- client
- target
- illegal
- condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种应用防护监控方法、装置以及系统,其中方法包括:客户端通过目标异常行为参数列表监控各目标操作类型分别对应的操作行为,以生成行为特征;当行为特征满足第一异常行为条件时,客户端将行为特征以及当前运行进程的信息发送至服务器;服务器在当前运行进程的信息中查找目标非法进程信息,并查找与行为特征以及目标非法进程信息相关联的异常行为参数更新列表,并发送目标非法进程信息和异常行为参数更新列表到客户端;客户端对目标非法进程信息对应的进程进行关闭操作,并将目标异常行为参数列表更新为异常行为参数更新列表。采用本发明,可以实现对客户端的主动防御,并可以同时降低人工成本、减轻用户的操作负担。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种应用防护监控方法、装置以及系统。
背景技术
目前的防恶意程序的软件的通常做法是通过在客户端的程序中通过hook最高级别的资源,来检查是否有恶意程序或者注入的DLL(Dynamic Link Library,动态链接库)来串改程序中的内存数据以及冒充客户端发送假的数据给服务器。虽然目前的防恶意程序的软件可以起到一定的安全防护功能,但是该防恶意程序的软件需要用户手动启动后才能实现对客户端的安全防护,一旦该防恶意程序的软件被退出,则无法实现对客户端的保护,可见通过该防恶意程序的软件来防护客户端的方式过于被动;而且该防恶意程序的软件需要由开发人员进行不定时的更新,并将更新后的防恶意程序的软件下发到用户终端,使得用户终端重新安装新的防恶意程序的软件,由于恶意程序的更新频率较快,所以需要开发人员经常的对防恶意程序的软件进行更新,导致人工成本升高,而且也需要用户不断的对更新后的防恶意程序的软件进行安装,增加了用户的操作负担。
发明内容
本发明提供一种应用防护监控方法、装置以及系统,可以实现对客户端的主动防御,并可以同时降低人工成本、减轻用户的操作负担。
本发明第一方面提供了一种应用防护监控方法,包括:
客户端获取目标异常行为参数列表;所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件;
所述客户端监控各目标操作类型分别对应的操作行为,并统计各类操作行为的操作次数,将各类操作行为的操作次数确定为行为特征;
当所述行为特征满足所述第一异常行为条件时,所述客户端将所述行为特征以及当前运行进程的信息发送至所述服务器;
所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表,并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端;
所述客户端对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。
本发明第二方面提供了一种应用防护监控方法,包括:
客户端获取目标异常行为参数列表;所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件;
所述客户端监控各目标操作类型分别对应的操作行为,并统计各类操作行为的操作次数,将各类操作行为的操作次数确定为行为特征;
当所述行为特征满足所述第一异常行为条件时,所述客户端将所述行为特征以及当前运行进程的信息发送至所述服务器,以使所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表;
所述客户端接收所述服务器发送的所述目标非法进程信息和所述异常行为参数更新列表,并对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。
本发明第三方面提供了一种应用防护监控方法,包括:
服务器接收由所述客户端在检测出行为特征满足第一异常行为条件时所发送的所述行为特征以及当前运行进程的信息;所述行为特征是由所述客户端对目标异常行为参数列表中与所述客户端相关联的至少一个目标操作类型分别对应的操作行为进行监控所生成的;
所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表;
所述服务器发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端,以使所述客户端对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。
本发明第四方面提供了一种应用防护监控装置,包括:
获取模块,用于获取目标异常行为参数列表;所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件;
监控统计模块,用于监控各目标操作类型分别对应的操作行为,并统计各类操作行为的操作次数,将各类操作行为的操作次数确定为行为特征;
发送模块,用于当所述行为特征满足所述第一异常行为条件时,将所述行为特征以及当前运行进程的信息发送至所述服务器,以使所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表;
更新处理模块,用于接收所述服务器发送的所述目标非法进程信息和所述异常行为参数更新列表,并对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。
本发明第五方面提供了一种应用防护监控装置,包括:
接收模块,用于接收由所述客户端在检测出行为特征满足第一异常行为条件时所发送的所述行为特征以及当前运行进程的信息;所述行为特征是由所述客户端对目标异常行为参数列表中与所述客户端相关联的至少一个目标操作类型分别对应的操作行为进行监控所生成的;
查找模块,用于在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表;
发送模块,用于发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端,以使所述客户端对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。
本发明第六方面提供了一种应用防护监控系统,包括客户端和服务器;
所述客户端包括上述第四方面所提供的应用防护监控装置,所述服务器包括上述第五方面所提供的应用防护监控装置。
本发明实施例通过客户端获取目标异常行为参数列表;所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件;进而可以使所述客户端通过监控各目标操作类型分别对应的操作行为以生成行为特征,当所述行为特征满足所述第一异常行为条件时,所述客户端可以将所述行为特征以及当前运行进程的信息发送至所述服务器,使得所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表,并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端;使得所述客户端可以对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。由此可见,所述客户端可以通过目标异常行为参数列表自主监控相关的异常行为进而发现恶意程序,即无需额外再启动防恶意程序的软件,从而可以保证对客户端进行防恶意程序的主动防御;而且只需通过服务器更新目标异常行为参数列表,并将异常行为参数更新列表下发给所述客户端,即可使所述客户端更新自身的防恶意程序功能,使得所述客户端可以实现防恶意程序功能的自主学习,以降低人工成本,而且用户也无需进行额外的升级安装操作,以减轻用户的操作负担。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种网络架构的结构示意图;
图2是本发明实施例提供的一种应用防护监控方法的流程示意图;
图3是本发明实施例提供的一种应用防护监控方法的时序示意图;
图4是本发明实施例提供的另一种应用防护监控方法的流程示意图;
图5是本发明实施例提供的又一种应用防护监控方法的流程示意图;
图6是本发明实施例提供的一种应用防护监控装置的结构示意图;
图7是本发明实施例提供的另一种应用防护监控装置的结构示意图;
图8是本发明实施例提供的一种查找模块的结构示意图;
图9是本发明实施例提供的又一种应用防护监控装置的结构示意图;
图10是本发明实施例提供的又一种应用防护监控装置的结构示意图;
图11是本发明实施例提供的一种应用防护监控系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参见图1,是本发明实施例提供的一种网络架构的结构示意图,该网络架构可以包括多个客户端以及服务器,每个客户端均可以通过网络与所述服务器进行通信连接,所述客户端可以为任意的应用程序,如即时通信应用、浏览器等等。以其中任意一个客户端为例,所述客户端通过服务器获取目标异常行为参数列表;所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件;所述客户端可以监控各目标操作类型分别对应的操作行为,并统计各类操作行为的操作次数,将各类操作行为的操作次数确定为行为特征,当所述行为特征满足所述第一异常行为条件时,所述客户端可以将所述行为特征以及当前运行进程的信息发送至所述服务器,使得所述服务器可以在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表,并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端;所述客户端可以对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。由于所述客户端可以通过目标异常行为参数列表自主监控相关的异常行为进而发现恶意程序,所以无需额外再启动防恶意程序的软件,从而可以保证对客户端进行防恶意程序的主动防御;而且只需通过服务器更新目标异常行为参数列表,并将异常行为参数更新列表下发给所述客户端,即可使所述客户端更新自身的防恶意程序功能,使得所述客户端可以实现防恶意程序功能的自主学习,以降低人工成本,而且用户也无需进行额外的升级安装操作,以减轻用户的操作负担。
请参见图2,是本发明实施例提供的一种应用防护监控方法的流程示意图,所述方法可以包括:
S201,客户端获取目标异常行为参数列表;所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件;
具体的,服务器可以发送携带目标异常行为参数列表的敏捷组件到所述客户端,所述敏捷组件可以为DLL文件,且所述敏捷组件是以用户的需求进化为核心并采用迭代、循序渐进的方法进行软件开发的组件。所述客户端接收到所述敏捷组件后,即可获取所述敏捷组件中的目标异常行为参数列表,并提取所述目标异常行为参数列表中与所述客户端相关联的至少一个目标操作类型和第一异常行为条件。所述至少一个目标操作类型可以包括:所述客户端发起基于B2C(Business-to-Customer,商对客电子商务模式)的WPA(Wi-FiProtected Access,Wi-Fi网络安全接入)会话的操作类型、所述客户端发起加好友请求的操作类型、侦听所述客户端的窗口移动事件的操作类型等等。所述目标异常行为参数列表中的第一异常行为条件可以包括:在预设时间范围内所述客户端发起基于B2C的WPA会话的操作次数大于第一次数阈值、在预设时间范围内所述客户端发起加好友请求的操作次数大于第二次数阈值、在预设时间范围内任意一个程序侦听所述客户端的窗口移动事件大于第三次数阈值。
S202,所述客户端监控各目标操作类型分别对应的操作行为,并统计各类操作行为的操作次数,将各类操作行为的操作次数确定为行为特征;
具体的,所述客户端可以通过所述敏捷组件实时监控各目标操作类型分别对应的操作行为。例如,所述敏捷组件可以监控所述客户端是否有发起基于B2C的WPA会话的操作,并监控所述客户端是否有发起加好友请求的操作,并监控是否存在某程序在侦听所述客户端的窗口移动事件。所述敏捷组件可以进一步统计各种操作行为的操作次数,并将各种操作行为的操作次数确定为行为特征。例如,所述敏捷组件可以统计所述客户端发起基于B2C的WPA会话的操作次数,统计所述客户端发起加好友请求的操作次数,并统计某程序侦听所述客户端的窗口移动事件的操作次数,并将各种操作行为的操作次数确定为行为特征,如所述行为特征可以包括:所述客户端发起300次基于B2C的WPA会话、所述客户端发起340次加好友请求、A程序侦听1次所述客户端的窗口移动事件。
S203,当所述行为特征满足所述第一异常行为条件时,所述客户端将所述行为特征以及当前运行进程的信息发送至所述服务器;
具体的,当所述行为特征满足所述第一异常行为条件中的任一个判断条件时,即可确定所述行为特征满足所述第一异常行为条件。因此,在S202步骤之后,所述客户端即可通过所述敏捷组件获取所述目标异常行为参数列表中各目标操作类型分别对应的次数阈值(如包括第一次数阈值、第二次数阈值、第三次数阈值,这些次数阈值均存在于所述第一异常行为条件中),并判断监控时长在预设时长阈值内(如24小时内)各目标操作类型分别对应的操作行为的操作次数是否均小于所对应的次数阈值(如判断所述客户端发起基于B2C的WPA会话的操作次数是否大于第一次数阈值,且所述客户端发起加好友请求的操作次数是否大于第二次数阈值,且任意一个程序侦听所述客户端的窗口移动事件是否大于第三次数阈值),若判断均为是,则确定所述行为特征不满足所述目标异常行为参数列表中的第一异常行为条件,否则(即只要满足任一个判断条件)确定所述行为特征满足所述目标异常行为参数列表中的第一异常行为条件。例如,所述客户端在24小时内发起基于B2C的WPA会话的操作对应的第一次数阈值为2000、发起加好友请求的操作对应的第二次数阈值为1000、任意一个程序侦听所述客户端的窗口移动事件的操作对应的第三次数阈值为0,若所确定的行为特征为:所述客户端发起2001次基于B2C的WPA会话(即该操作行为的操作次数大于第一次数阈值)、发起160次加好友请求、没有程序侦听所述客户端的窗口移动事件,则该行为特征即可满足所述第一异常行为条件;或者,若所确定的行为特征为:所述客户端发起300次基于B2C的WPA会话、发起710次加好友请求、B程序侦听所述客户端的窗口移动事件(即该操作行为的操作次数大于第三次数阈值),则该行为特征即可满足所述第一异常行为条件;或者,若所确定的行为特征为:所述客户端发起107次基于B2C的WPA会话、发起190次加好友请求、没有程序侦听所述客户端的窗口移动事件,则该行为特征不满足所述第一异常行为条件。其中,所述行为特征是随着对各种操作行为的操作次数的统计而不断更新的。
所述客户端在统计所述行为特征的同时,可以实时检测对所述各目标操作类型分别对应的操作行为的监控时长是否达到预设时长阈值(如24小时),若达到所述预设时长阈值,且所述行为特征还未满足所述第一异常行为条件,则可以重置所述各种操作行为的操作次数(即将操作次数重置为0),并重置所述监控时长(即将监控时长重置为0),并重新统计所述各种操作行为的操作次数,此时可选的将所述预设时长阈值内所统计到的行为特征以及当前运行进程的信息发送到所述服务器。若未达到所述预设时长阈值,且所述行为特征满足所述第一异常行为条件,则为所述客户端可以通过所述敏捷组件将所述行为特征以及当前运行进程的信息发送至所述服务器。
其中,所述当前运行进程的信息可以包括当前运行进程的进程名以及当前运行进程的程序特征码;所述程序特征码包括进程所触发的行为操作的信息。例如,若当前运行的某个进程在当天内呼起所述客户端进行基于B2C的WPA会话的操作次数为100,则所计算出的该进程的程序特征码可以包括该进程的进程行为特征(该进程行为特征即为该进程呼起所述客户端进行100次基于B2C的WPA会话的特征)。
S204,所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表,并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端;
具体的,所述服务器获取到所述行为特征以及当前运行进程的信息后,所述服务器可以在预设的非法进程信息库中查找所述当前运行进程的进程名中的非法进程名,并根据与所述客户端关联的第二异常行为条件确定所述当前运行进程的程序特征码中的非法程序特征码。其中,所述预设的非法进程信息库可以包括多个已知的非法的进程名,因此,若所述服务器检测到所述当前运行进程的信息中的某个进程名存在于所述非法进程信息库中,则可以确定该进程名为非法进程名。其中,通过所述第二异常行为条件可以分析当前运行的各进程的程序特征码分别指示的进程行为特征是否为异常行为。所述第二异常行为条件可以是根据所述第一异常行为条件预先设置在所述服务器中的,例如,若所述第一异常行为条件为在预设时间范围内所述客户端发起基于B2C的WPA会话的操作次数大于2000次,则可以设置与所述客户端对应的所述第二异常行为条件为进程呼起所述客户端基于B2C的WPA会话的次数大于1000次(或2000次或其他数值)。又例如,若所述第一异常行为条件包括:所述客户端在24小时内发起基于B2C的WPA会话的操作次数大于2000的条件、发起加好友请求的操作次数大于1000的条件、进程侦听所述客户端的窗口移动事件的条件,且所述第二异常行为条件包括:进程呼起所述客户端发起基于B2C的WPA会话的操作次数大于1000的条件、进程呼起所述客户端发起加好友请求的操作次数大于500的条件、进程侦听所述客户端的窗口移动事件的条件,则所述服务器可以分析当前运行的各进程的程序特征码分别指示的行为特征,若A进程的程序特征码指示的进程行为特征为A进程呼起所述客户端进行130次基于B2C的WPA会话,则可以确定A进程的程序特征码为合法;若B进程的程序特征码指示的进程行为特征为B进程呼起所述客户端进行200次基于B2C的WPA会话、且呼起所述客户端进行700次发起加好友请求,则可以确定B进程的程序特征码为非法程序特征码(只要满足所述第二异常行为条件中的一条判断条件即可将其确定为非法程序特征码);若C进程的程序特征码指示的行为特征为C进程侦听所述客户端的窗口移动事件,且C进程呼起所述客户端进行301次发起加好友请求,则可以确定C进程的程序特征码为非法程序特征码(其中,由于B进程和C进程共同呼起所述客户端进行1001次发起加好友请求,所以所述客户端的行为特征满足所述第一异常行为条件)。所述服务器可以进一步将查找出的所述非法进程名和所述非法程序特征码确定为目标非法进程信息。
所述服务器进一步在预设的异常行为条件集合中确定与所述行为特征、所述目标非法进程信息中的所述非法进程名以及所述非法程序特征码分别对应的待监控操作类型,并在所述异常行为条件集合中获取与所述待监控操作类型对应的异常行为条件;所述异常行为条件集合可以包括多种不同的异常行为条件,如可以包括:所述客户端在24小时发起基于B2C的WPA会话的操作次数大于500的条件、所述客户端在24小时内发起基于B2C的WPA会话的操作次数大于1000的条件、所述客户端在24小时内发起加好友请求的操作次数大于400的条件、所述客户端在24小时内发起加好友请求的操作次数大于800的条件、程序侦听所述客户端的窗口移动事件的条件等等,且所述异常行为条件集合中的各个异常行为条件均可以分别映射不同的行为特征、非法进程名、非法程序特征码。例如,若所述异常行为条件集合中的所述客户端在24小时内发起加好友请求的操作次数大于1000的条件与A行为特征相关联、进程侦听所述客户端的窗口移动事件的条件均与B非法进程名、所述客户端在24小时发起基于B2C的WPA会话的操作次数大于500的条件与C非法程序特征码相关联,则当所述服务器所接收到的所述行为特征为A行为特征,且确定出所接收到的所述当前运行进程的信息包括B非法进程名和C非法程序特征码时,可以获取对应的待监控操作类型(所述待监控操作类型包括监控所述客户端发起加好友请求的操作类型、监控是否有进程侦听所述客户端的窗口移动事件的操作类型、监控所述客户端发起基于B2C的WPA会话的操作类型),并进一步获取该待监控操作类型对应的异常行为条件(所述客户端在24小时内发起加好友请求的操作次数大于1000的条件、进程侦听所述客户端的窗口移动事件的条件、所述客户端在24小时发起基于B2C的WPA会话的操作次数大于500的条件),所述服务器可以进一步将所述待监控操作类型以及所述待监控操作类型对应的异常行为条件添加至异常行为参数更新列表,并将所述目标非法进程信息和所述异常行为参数更新列表封装为新的敏捷组件,再将新的敏捷组件发送到所述客户端。可选的,所述服务器在确定出所述异常行为参数更新列表后,可以根据所述待监控操作类型对应的异常行为条件更新本地的第二异常行为条件(如原先的第二异常行条件为进程呼起所述客户端发起加好友请求的操作次数大于500的条件,更新后的第二异常行为条件可以包括进程呼起所述客户端发起加好友请求的操作次数大于400的条件和进程侦听所述客户端的窗口移动事件的条件)。
S205,所述客户端对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为;
具体的,所述客户端接收到所述服务器发送的新的敏捷组件后,所述客户端可以将原来的敏捷组件更新为该新的敏捷组件,进而通过该新的敏捷组件可以将所述目标非法进程信息所包含的非法进程名和/或非法程序特征码所对应的进程关闭,该新的敏捷组件可以将所述异常行为参数更新列表中的待监控操作类型确定为新的目标操作类型,并将所述待监控操作类型对应的异常行为条件确定为新的第一异常行为条件,进而继续监控与所述客户端相关联的所述新的目标操作类型对应的操作行为,并当所统计的行为特征再次满足所述新的第一异常行为条件时,可以再一次将当前运行进程的信息以及所述行为特征上报到所述服务器,以便于所述服务器可以继续根据所述非法进程信息库和更新后的第二异常行为条件分析所述客户端所在终端中的其他恶意进程,并再次根据这些恶意进程更新所述新的敏捷组件,从而可以使得敏捷组件一直处于自我学习的状态,以保证可以对所述客户端进行实时防护,避免开发人员需要花费大量时间对防恶意程序的应用进行软件更新,开发人员只需更新所述服务器中的所述非法进程信息库中的非法进程名和所述异常行为条件集合中的异常行为条件即可。
例如,所述客户端根据目标异常行为参数列表监控A操作行为和B操作行为,并统计A操作行为的操作次数和B操作行为的操作次数,当A操作行为的操作次数和/或B操作行为的操作次数满足第一异常行为条件时,所述客户端可以将A操作行为的操作次数、B操作行为的操作次数以及当前运行进程的信息发送到服务器,所述服务器在当前运行进程的信息中找出非法进程a,并确定行为特征(包括A操作行为的操作次数和B操作行为的操作次数)和非法进程a所对应的异常行为参数更新列表,并将所述非法进程a和所述异常行为参数更新列表发送回所述客户端,所述客户端可以关闭所述非法进程a,所述客户端并将所述目标行为参数列表更新为所述异常行为参数更新列表,进而所述客户端可以根据所述异常行为参数更新列表监控A操作行为、B操作行为以及C操作行为,当A操作行为的操作次数和/或B操作行为的操作次数(A操作行为的操作次数和B操作行为的操作次数需重新统计)和/或C操作行为的操作次数满足新的第一异常行为条件时,可以实现新的异常行为的上报,以进一步发现新的恶意进程,通过所述客户端的反馈和所述服务器的分析和更新目标异常行为参数列表,可以实现所述服务器与所述客户端之间的防恶意程序的完整闭环,且用于防恶意程序的敏捷组件可以实现自主学习。
可选的,所述客户端接收到所述目标非法进程信息和所述异常行为参数更新列表后,可以重置所述各种操作行为的操作次数(即将操作次数重置为0),并重置所述监控时长(即将监控时长重置为0),以便于从操作次数初始值(如零值)开始统计所述新的目标操作类型对应的操作行为的操作次数。
可选的,所述客户端也可以每间隔一段时间(如一天)上报一次当天内所统计出的行为特征以及当天所运行进程的信息,所述服务器即可执行上述S204步骤,以得到新的敏捷组件,并将新的敏捷组件发送到所述客户端,使得所述客户端可以执行上述S205步骤,即所述客户端可以在次日继续监控新定义的操作类型对应的操作行为,使得所述服务器发现所述客户端中的其他恶意进程。
本发明实施例通过客户端获取目标异常行为参数列表;所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件;进而可以使所述客户端通过监控各目标操作类型分别对应的操作行为以生成行为特征,当所述行为特征满足所述第一异常行为条件时,所述客户端可以将所述行为特征以及当前运行进程的信息发送至所述服务器,使得所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表,并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端;使得所述客户端可以对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。由此可见,所述客户端可以通过目标异常行为参数列表自主监控相关的异常行为进而发现恶意程序,即无需额外再启动防恶意程序的软件,从而可以保证对客户端进行防恶意程序的主动防御;而且只需通过服务器更新目标异常行为参数列表,并将异常行为参数更新列表下发给所述客户端,即可使所述客户端更新自身的防恶意程序功能,使得所述客户端可以实现防恶意程序功能的自主学习,以降低人工成本,而且用户也无需进行额外的升级安装操作,以减轻用户的操作负担。
请参见图3,是本发明实施例提供的一种应用防护监控方法的时序示意图,所述方法可以包括:
S301,服务器发送目标异常行为参数列表到客户端;
具体的,具体的,服务器可以发送携带目标异常行为参数列表的敏捷组件到所述客户端,所述敏捷组件可以为DLL文件,且所述敏捷组件是以用户的需求进化为核心并采用迭代、循序渐进的方法进行软件开发的组件。所述客户端接收到所述敏捷组件后,即可获取所述敏捷组件中的目标异常行为参数列表,并提取所述目标异常行为参数列表中与所述客户端相关联的至少一个目标操作类型和第一异常行为条件。所述至少一个目标操作类型可以包括:所述客户端发起基于B2C的WPA会话的操作类型、所述客户端发起加好友请求的操作类型、侦听所述客户端的窗口移动事件的操作类型等等。所述目标异常行为参数列表中的第一异常行为条件可以包括:在预设时间范围内所述客户端发起基于B2C的WPA会话的操作次数大于第一次数阈值、在预设时间范围内所述客户端发起加好友请求的操作次数大于第二次数阈值、在预设时间范围内任意一个程序侦听所述客户端的窗口移动事件大于第三次数阈值。
S302,所述客户端监控各目标操作类型分别对应的操作行为,并统计各类操作行为的操作次数,将各类操作行为的操作次数确定为行为特征;
具体的,所述客户端可以通过所述敏捷组件实时监控各目标操作类型分别对应的操作行为。例如,所述敏捷组件可以监控所述客户端是否有发起基于B2C的WPA会话的操作,并监控所述客户端是否有发起加好友请求的操作,并监控是否存在某程序在侦听所述客户端的窗口移动事件。所述敏捷组件可以进一步统计各种操作行为的操作次数,并将各种操作行为的操作次数确定为行为特征。例如,所述敏捷组件可以统计所述客户端发起基于B2C的WPA会话的操作次数,统计所述客户端发起加好友请求的操作次数,并统计某程序侦听所述客户端的窗口移动事件的操作次数,并将各种操作行为的操作次数确定为行为特征,如所述行为特征可以包括:所述客户端发起300次基于B2C的WPA会话、所述客户端发起340次加好友请求、A程序侦听1次所述客户端的窗口移动事件。
S303,所述客户端检测对所述各目标操作类型分别对应的操作行为的监控时长是否达到预设时长阈值;
S304,若检测为是,则所述客户端重置所述各种操作行为的操作次数,并重置所述监控时长,并重新统计所述各种操作行为的操作次数;
具体的,所述客户端在统计所述行为特征的同时,可以实时检测对所述各目标操作类型分别对应的操作行为的监控时长是否达到预设时长阈值(如24小时),若达到所述预设时长阈值,且所述行为特征还未满足所述第一异常行为条件,则可以重置所述各种操作行为的操作次数(即将操作次数重置为0),并重置所述监控时长(即将监控时长重置为0),并重新统计所述各种操作行为的操作次数,此时可选的将所述预设时长阈值内所统计到的行为特征以及当前运行进程的信息发送到所述服务器。
S305,若检测为否,且所述行为特征满足所述第一异常行为条件,则所述客户端发送所述行为特征以及当前运行进程的信息到所述服务器;
具体的,若未达到所述预设时长阈值,且所述行为特征满足所述第一异常行为条件,则为所述客户端可以通过所述敏捷组件将所述行为特征以及当前运行进程的信息发送至所述服务器。其中,当所述行为特征满足所述第一异常行为条件中的任一个判断条件时,即可确定所述行为特征满足所述第一异常行为条件。因此,所述客户端可以通过所述敏捷组件获取所述目标异常行为参数列表中各目标操作类型分别对应的次数阈值(如包括第一次数阈值、第二次数阈值、第三次数阈值,这些次数阈值均存在于所述第一异常行为条件中),并判断监控时长在预设时长阈值内(如24小时内)各目标操作类型分别对应的操作行为的操作次数是否均小于所对应的次数阈值(如判断所述客户端发起基于B2C的WPA会话的操作次数是否大于第一次数阈值,且所述客户端发起加好友请求的操作次数是否大于第二次数阈值,且任意一个程序侦听所述客户端的窗口移动事件是否大于第三次数阈值),若判断均为是,则确定所述行为特征不满足所述目标异常行为参数列表中的第一异常行为条件,否则(即只要满足任一个判断条件)确定所述行为特征满足所述目标异常行为参数列表中的第一异常行为条件。例如,所述客户端在24小时内发起基于B2C的WPA会话的操作对应的第一次数阈值为2000、发起加好友请求的操作对应的第二次数阈值为1000、任意一个程序侦听所述客户端的窗口移动事件的操作对应的第三次数阈值为0,若所确定的行为特征为:所述客户端发起2001次基于B2C的WPA会话(即该操作行为的操作次数大于第一次数阈值)、发起160次加好友请求、没有程序侦听所述客户端的窗口移动事件,则该行为特征即可满足所述第一异常行为条件;或者,若所确定的行为特征为:所述客户端发起300次基于B2C的WPA会话、发起710次加好友请求、B程序侦听所述客户端的窗口移动事件(即该操作行为的操作次数大于第三次数阈值),则该行为特征即可满足所述第一异常行为条件;或者,若所确定的行为特征为:所述客户端发起107次基于B2C的WPA会话、发起190次加好友请求、没有程序侦听所述客户端的窗口移动事件,则该行为特征不满足所述第一异常行为条件。其中,所述行为特征是随着对各种操作行为的操作次数的统计而不断更新的。其中,所述当前运行进程的信息可以包括当前运行进程的进程名以及当前运行进程的程序特征码;所述程序特征码包括进程所触发的行为操作的信息。例如,若当前运行的某个进程在当天内呼起所述客户端进行基于B2C的WPA会话的操作次数为100,则所计算出的该进程的程序特征码可以包括该进程的进程行为特征(该进程行为特征即为该进程呼起所述客户端进行100次基于B2C的WPA会话的特征)。
其中,若未达到所述预设时长阈值,且所述行为特征还未满足所述第一异常行为条件,则可以跳至S302,以继续统计所述行为特征。
S306,所述服务器在预设的非法进程信息库中查找所述当前运行进程的进程名中的非法进程名,并根据与所述客户端关联的第二异常行为条件确定所述当前运行进程的程序特征码中的非法程序特征码;
具体的,所述服务器获取到所述行为特征以及当前运行进程的信息后,所述服务器可以在预设的非法进程信息库中查找所述当前运行进程的进程名中的非法进程名,并根据与所述客户端关联的第二异常行为条件确定所述当前运行进程的程序特征码中的非法程序特征码。其中,所述预设的非法进程信息库可以包括多个已知的非法的进程名,因此,若所述服务器检测到所述当前运行进程的信息中的某个进程名存在于所述非法进程信息库中,则可以确定该进程名为非法进程名。其中,通过所述第二异常行为条件可以分析当前运行的各进程的程序特征码分别指示的进程行为特征是否为异常行为。所述第二异常行为条件可以是根据所述第一异常行为条件预先设置在所述服务器中的,例如,若所述第一异常行为条件为在预设时间范围内所述客户端发起基于B2C的WPA会话的操作次数大于2000次,则可以设置与所述客户端对应的所述第二异常行为条件为进程呼起所述客户端基于B2C的WPA会话的次数大于1000次(或2000次或其他数值)。又例如,若所述第一异常行为条件包括:所述客户端在24小时内发起基于B2C的WPA会话的操作次数大于2000的条件、发起加好友请求的操作次数大于1000的条件、进程侦听所述客户端的窗口移动事件的条件,且所述第二异常行为条件包括:进程呼起所述客户端发起基于B2C的WPA会话的操作次数大于1000的条件、进程呼起所述客户端发起加好友请求的操作次数大于500的条件、进程侦听所述客户端的窗口移动事件的条件,则所述服务器可以分析当前运行的各进程的程序特征码分别指示的行为特征,若A进程的程序特征码指示的进程行为特征为A进程呼起所述客户端进行130次基于B2C的WPA会话,则可以确定A进程的程序特征码为合法;若B进程的程序特征码指示的进程行为特征为B进程呼起所述客户端进行200次基于B2C的WPA会话、且呼起所述客户端进行700次发起加好友请求,则可以确定B进程的程序特征码为非法程序特征码(只要满足所述第二异常行为条件中的一条判断条件即可将其确定为非法程序特征码);若C进程的程序特征码指示的行为特征为C进程侦听所述客户端的窗口移动事件,且C进程呼起所述客户端进行301次发起加好友请求,则可以确定C进程的程序特征码为非法程序特征码(其中,由于B进程和C进程共同呼起所述客户端进行1001次发起加好友请求,所以所述客户端的行为特征满足所述第一异常行为条件)。
S307,所述服务器将查找出的所述非法进程名和所述非法程序特征码确定为目标非法进程信息;
S308,所述服务器在预设的异常行为条件集合中确定与所述行为特征、所述目标非法进程信息中的所述非法进程名以及所述非法程序特征码分别对应的待监控操作类型,并在所述异常行为条件集合中获取与所述待监控操作类型对应的异常行为条件;
具体的,所述服务器进一步在预设的异常行为条件集合中确定与所述行为特征、所述目标非法进程信息中的所述非法进程名以及所述非法程序特征码分别对应的待监控操作类型,并在所述异常行为条件集合中获取与所述待监控操作类型对应的异常行为条件;所述异常行为条件集合可以包括多种不同的异常行为条件,如可以包括:所述客户端在24小时发起基于B2C的WPA会话的操作次数大于500的条件、所述客户端在24小时内发起基于B2C的WPA会话的操作次数大于1000的条件、所述客户端在24小时内发起加好友请求的操作次数大于400的条件、所述客户端在24小时内发起加好友请求的操作次数大于800的条件、程序侦听所述客户端的窗口移动事件的条件等等,且所述异常行为条件集合中的各个异常行为条件均可以分别映射不同的行为特征、非法进程名、非法程序特征码。例如,若所述异常行为条件集合中的所述客户端在24小时内发起加好友请求的操作次数大于1000的条件与A行为特征相关联、进程侦听所述客户端的窗口移动事件的条件均与B非法进程名、所述客户端在24小时发起基于B2C的WPA会话的操作次数大于500的条件与C非法程序特征码相关联,则当所述服务器所接收到的所述行为特征为A行为特征,且确定出所接收到的所述当前运行进程的信息包括B非法进程名和C非法程序特征码时,可以获取对应的待监控操作类型(所述待监控操作类型包括监控所述客户端发起加好友请求的操作类型、监控是否有进程侦听所述客户端的窗口移动事件的操作类型、监控所述客户端发起基于B2C的WPA会话的操作类型),并进一步获取该待监控操作类型对应的异常行为条件(所述客户端在24小时内发起加好友请求的操作次数大于1000的条件、进程侦听所述客户端的窗口移动事件的条件、所述客户端在24小时发起基于B2C的WPA会话的操作次数大于500的条件)。可选的,所述服务器在确定出所述异常行为参数更新列表后,可以根据所述待监控操作类型对应的异常行为条件更新本地的第二异常行为条件(如原先的第二异常行条件为进程呼起所述客户端发起加好友请求的操作次数大于500的条件,更新后的第二异常行为条件可以包括进程呼起所述客户端发起加好友请求的操作次数大于400的条件和进程侦听所述客户端的窗口移动事件的条件)。
S309,所述服务器将所述待监控操作类型以及所述待监控操作类型对应的异常行为条件添加至异常行为参数更新列表,并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端;
具体的,所述服务器可以进一步将所述待监控操作类型以及所述待监控操作类型对应的异常行为条件添加至异常行为参数更新列表,并将所述目标非法进程信息和所述异常行为参数更新列表封装为新的敏捷组件,再将新的敏捷组件发送到所述客户端。
S310,所述客户端对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为;
具体的,所述客户端接收到所述服务器发送的新的敏捷组件后,所述客户端可以将原来的敏捷组件更新为该新的敏捷组件,进而通过该新的敏捷组件可以将所述目标非法进程信息所包含的非法进程名和/或非法程序特征码所对应的进程关闭,该新的敏捷组件可以将所述异常行为参数更新列表中的待监控操作类型确定为新的目标操作类型,并将所述待监控操作类型对应的异常行为条件确定为新的第一异常行为条件,进而继续监控与所述客户端相关联的所述新的目标操作类型对应的操作行为,并当所统计的行为特征再次满足所述新的第一异常行为条件时,可以再一次将当前运行进程的信息以及所述行为特征上报到所述服务器,以便于所述服务器可以继续根据所述非法进程信息库和更新后的第二异常行为条件分析所述客户端所在终端中的其他恶意进程,并再次根据这些恶意进程更新所述新的敏捷组件,从而可以使得敏捷组件一直处于自我学习的状态,以保证可以对所述客户端进行实时防护,避免开发人员需要花费大量时间对防恶意程序的应用进行软件更新,开发人员只需更新所述服务器中的所述非法进程信息库中的非法进程名和所述异常行为条件集合中的异常行为条件即可。
例如,所述客户端根据目标异常行为参数列表监控A操作行为和B操作行为,并统计A操作行为的操作次数和B操作行为的操作次数,当A操作行为的操作次数和/或B操作行为的操作次数满足第一异常行为条件时,所述客户端可以将A操作行为的操作次数、B操作行为的操作次数以及当前运行进程的信息发送到服务器,所述服务器在当前运行进程的信息中找出非法进程a,并确定行为特征(包括A操作行为的操作次数和B操作行为的操作次数)和非法进程a所对应的异常行为参数更新列表,并将所述非法进程a和所述异常行为参数更新列表发送回所述客户端,所述客户端可以关闭所述非法进程a,所述客户端并将所述目标行为参数列表更新为所述异常行为参数更新列表,进而所述客户端可以根据所述异常行为参数更新列表监控A操作行为、B操作行为以及C操作行为,当A操作行为的操作次数和/或B操作行为的操作次数(A操作行为的操作次数和B操作行为的操作次数需重新统计)和/或C操作行为的操作次数满足新的第一异常行为条件时,可以实现新的异常行为的上报,以进一步发现新的恶意进程,通过所述客户端的反馈和所述服务器的分析和更新目标异常行为参数列表,可以实现所述服务器与所述客户端之间的防恶意程序的完整闭环,且用于防恶意程序的敏捷组件可以实现自主学习。
可选的,所述客户端接收到所述目标非法进程信息和所述异常行为参数更新列表后,可以重置所述各种操作行为的操作次数(即将操作次数重置为0),并重置所述监控时长(即将监控时长重置为0),以便于从操作次数初始值(如零值)开始统计所述新的目标操作类型对应的操作行为的操作次数。
可选的,所述客户端也可以每间隔一段时间(如一天)上报一次当天内所统计出的行为特征以及当天所运行进程的信息,所述服务器即可执行上述S306-S309步骤,以得到新的敏捷组件,并将新的敏捷组件发送到所述客户端,使得所述客户端可以执行上述S310步骤,即所述客户端可以在次日继续监控新定义的操作类型对应的操作行为,使得所述服务器发现所述客户端中的其他恶意进程。
本发明实施例通过客户端获取目标异常行为参数列表;所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件;进而可以使所述客户端通过监控各目标操作类型分别对应的操作行为以生成行为特征,当所述行为特征满足所述第一异常行为条件时,所述客户端可以将所述行为特征以及当前运行进程的信息发送至所述服务器,使得所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表,并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端;使得所述客户端可以对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。由此可见,所述客户端可以通过目标异常行为参数列表自主监控相关的异常行为进而发现恶意程序,即无需额外再启动防恶意程序的软件,从而可以保证对客户端进行防恶意程序的主动防御;而且只需通过服务器更新目标异常行为参数列表,并将异常行为参数更新列表下发给所述客户端,即可使所述客户端更新自身的防恶意程序功能,使得所述客户端可以实现防恶意程序功能的自主学习,以降低人工成本,而且用户也无需进行额外的升级安装操作,以减轻用户的操作负担。
请参见图4,是本发明实施例提供的另一种应用防护监控方法的流程示意图,所述方法可以包括:
S401,客户端获取目标异常行为参数列表;所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件;
S402,所述客户端监控各目标操作类型分别对应的操作行为,并统计各类操作行为的操作次数,将各类操作行为的操作次数确定为行为特征;
S403,当所述行为特征满足所述第一异常行为条件时,所述客户端将所述行为特征以及当前运行进程的信息发送至所述服务器,以使所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表;
S404,所述客户端接收所述服务器发送的所述目标非法进程信息和所述异常行为参数更新列表,并对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。
其中,S404-S405步骤具体实现方式可以参见上述图3对应实施例中的S301-S310,这里不再进行赘述。
请参见图5,是本发明实施例提供的又一种应用防护监控方法的流程示意图,所述方法可以包括:
S501,服务器接收由所述客户端在检测出行为特征满足第一异常行为条件时所发送的所述行为特征以及当前运行进程的信息;所述行为特征是由所述客户端对目标异常行为参数列表中与所述客户端相关联的至少一个目标操作类型分别对应的操作行为进行监控所生成的;
S502,所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表;
S503,所述服务器发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端,以使所述客户端对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。
其中,S501-S503步骤的具体实现方式可以参见上述图3对应实施例中的S301-S310,这里不再进行赘述。
请参见图6,是本发明实施例提供的一种应用防护监控装置1的结构示意图,所述应用防护监控装置1可以应用于客户端,所述应用防护监控装置1可以包括:获取模块11、监控统计模块12、检测模块15、重置模块16、通知模块17、判断模块18、确定模块19、发送模块13、更新处理模块14;
所述获取模块11,用于获取目标异常行为参数列表;所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件;
所述监控统计模块12,用于监控各目标操作类型分别对应的操作行为,并统计各类操作行为的操作次数,将各类操作行为的操作次数确定为行为特征;
所述获取模块11,还用于获取所述目标异常行为参数列表中各目标操作类型分别对应的次数阈值;
所述检测模块15,用于检测对所述各目标操作类型分别对应的操作行为的监控时长是否达到预设时长阈值;
所述重置模块16,用于若所述检测模块15检测为是,则重置所述各种操作行为的操作次数,并重置所述监控时长,并重新统计所述各种操作行为的操作次数;
所述通知模块17,用于若所述检测模块15检测为否,则通知所述判断模块18判断各目标操作类型分别对应的操作行为的操作次数是否均小于所对应的次数阈值。
所述确定模块19,用于若所述判断模块18判断为是,则确定所述行为特征不满足所述第一异常行为条件;
所述确定模块19,还用于若所述判断模块18判断为否,则确定所述行为特征满足所述第一异常行为条件;
所述发送模块13,用于当所述行为特征满足所述第一异常行为条件时,将所述行为特征以及当前运行进程的信息发送至所述服务器,以使所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表;
所述更新处理模块14,用于接收所述服务器发送的所述目标非法进程信息和所述异常行为参数更新列表,并对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。
其中,所述获取模块11、所述监控统计模块12、所述检测模块15、所述重置模块16、所述通知模块17、所述判断模块18、所述确定模块19、所述发送模块13的具体功能实现方式可以参见上述图3对应实施例中的S301-S305,所述更新处理模块14的具体功能实现方式可以参见上述图3对应实施例中的S310,这里不再进行赘述。
本发明实施例通过客户端获取目标异常行为参数列表;所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件;进而可以使所述客户端通过监控各目标操作类型分别对应的操作行为以生成行为特征,当所述行为特征满足所述第一异常行为条件时,所述客户端可以将所述行为特征以及当前运行进程的信息发送至所述服务器,使得所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表,并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端;使得所述客户端可以对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。由此可见,所述客户端可以通过目标异常行为参数列表自主监控相关的异常行为进而发现恶意程序,即无需额外再启动防恶意程序的软件,从而可以保证对客户端进行防恶意程序的主动防御;而且只需通过服务器更新目标异常行为参数列表,并将异常行为参数更新列表下发给所述客户端,即可使所述客户端更新自身的防恶意程序功能,使得所述客户端可以实现防恶意程序功能的自主学习,以降低人工成本,而且用户也无需进行额外的升级安装操作,以减轻用户的操作负担。
请参见图7,是本发明实施例提供的另一种应用防护监控装置2,所述应用防护监控装置2可以应用于服务器中,所述应用防护监控装置2可以包括:接收模块21、查找模块22、发送模块23;
所述接收模块21,用于接收由所述客户端在检测出行为特征满足第一异常行为条件时所发送的所述行为特征以及当前运行进程的信息;所述行为特征是由所述客户端对目标异常行为参数列表中与所述客户端相关联的至少一个目标操作类型分别对应的操作行为进行监控所生成的;
其中,所述接收模块21的具体功能实现方式可以参见上述图3对应实施例中的S305,这里不再进行赘述。
所述查找模块22,用于在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表;
具体的,所述当前运行进程的信息包括:当前运行进程的进程名以及当前运行进程的程序特征码;所述程序特征码包括进程所触发的行为操作的信息。请一并参见图8,是本发明实施例提供的一种查找模块22的结构示意图,所述查找模块22可以包括:查找单元221、非法确定单元222、信息确定单元223、条件获取单元224、添加单元225;
所述查找单元221,用于在预设的非法进程信息库中查找所述当前运行进程的进程名中的非法进程名;
所述非法确定单元222,用于根据与所述客户端关联的第二异常行为条件确定所述当前运行进程的程序特征码中的非法程序特征码;
所述信息确定单元223,用于将查找出的所述非法进程名和所述非法程序特征码确定为目标非法进程信息;
所述条件获取单元224,用于在预设的异常行为条件集合中确定与所述行为特征、所述目标非法进程信息中的所述非法进程名以及所述非法程序特征码分别对应的待监控操作类型,并在所述异常行为条件集合中获取与所述待监控操作类型对应的异常行为条件;
所述添加单元225,用于将所述待监控操作类型以及所述待监控操作类型对应的异常行为条件添加至异常行为参数更新列表;
其中,所述非法确定单元222具体用于分析所述当前运行进程的程序特征码所指示的进程行为特征,并将满足与所述客户端关联的第二异常行为条件的进程行为特征对应的程序特征码确定为非法程序特征码;所述第二异常行为条件是根据所述第一异常行为条件所设定的。
其中,所述查找单元221、所述非法确定单元222、所述信息确定单元223、所述条件获取单元224、所述添加单元225的具体功能实现方式可以参见上述图3对应实施例中的S306-S309,这里不再进行赘述。
所述发送模块23,用于发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端,以使所述客户端对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为;
其中,所述发送模块23的具体功能实现方式可以参见上述图3对应实施例中的S309-S310,这里不再进行赘述。
本发明实施例通过客户端获取目标异常行为参数列表;所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件;进而可以使所述客户端通过监控各目标操作类型分别对应的操作行为以生成行为特征,当所述行为特征满足所述第一异常行为条件时,所述客户端可以将所述行为特征以及当前运行进程的信息发送至所述服务器,使得所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表,并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端;使得所述客户端可以对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。由此可见,所述客户端可以通过目标异常行为参数列表自主监控相关的异常行为进而发现恶意程序,即无需额外再启动防恶意程序的软件,从而可以保证对客户端进行防恶意程序的主动防御;而且只需通过服务器更新目标异常行为参数列表,并将异常行为参数更新列表下发给所述客户端,即可使所述客户端更新自身的防恶意程序功能,使得所述客户端可以实现防恶意程序功能的自主学习,以降低人工成本,而且用户也无需进行额外的升级安装操作,以减轻用户的操作负担。
请参见图9,是本发明实施例提供的又一种应用防护监控装置的结构示意图。如图9所示,所述应用防护监控装置1000可以应用于客户端中,所述应用防护监控装置1000可以包括:至少一个处理器1001,例如CPU,至少一个网络接口1004,用户接口1003,存储器1005,至少一个通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。其中,用户接口1003可以包括显示屏(Display)、键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatilememory),例如至少一个磁盘存储器。存储器1005可选的还可以是至少一个位于远离前述处理器1001的存储装置。如图9所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及设备控制应用程序。
在图9所示的应用防护监控装置1000中,网络接口1004主要用于连接服务器;而用户接口1003主要用于为用户提供输入的接口;而处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现
获取目标异常行为参数列表;所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件;
监控各目标操作类型分别对应的操作行为,并统计各类操作行为的操作次数,将各类操作行为的操作次数确定为行为特征;
当所述行为特征满足所述第一异常行为条件时,将所述行为特征以及当前运行进程的信息发送至所述服务器,以使所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表;
接收所述服务器发送的所述目标非法进程信息和所述异常行为参数更新列表,并对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。
在一个实施例中,所述处理器1001在执行在所述当所述行为特征满足所述第一异常行为条件时,所述客户端将所述行为特征以及当前运行进程的信息发送至所述服务器之前,还执行以下步骤:
获取所述目标异常行为参数列表中各目标操作类型分别对应的次数阈值;
判断各目标操作类型分别对应的操作行为的操作次数是否均小于所对应的次数阈值;
若判断为是,则确定所述行为特征不满足所述第一异常行为条件;
若判断为否,则确定所述行为特征满足所述第一异常行为条件。
在一个实施例中,所述处理器1001在执行判断各目标操作类型分别对应的操作行为的操作次数是否均小于所对应的次数阈值之前,还执行以下步骤:
检测对所述各目标操作类型分别对应的操作行为的监控时长是否达到预设时长阈值;
若检测为是,则重置所述各种操作行为的操作次数,并重置所述监控时长,并重新统计所述各种操作行为的操作次数;
若检测为否,则执行判断各目标操作类型分别对应的操作行为的操作次数是否均小于所对应的次数阈值的步骤。
本发明实施例通过客户端获取目标异常行为参数列表;所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件;进而可以使所述客户端通过监控各目标操作类型分别对应的操作行为以生成行为特征,当所述行为特征满足所述第一异常行为条件时,所述客户端可以将所述行为特征以及当前运行进程的信息发送至所述服务器,使得所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表,并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端;使得所述客户端可以对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。由此可见,所述客户端可以通过目标异常行为参数列表自主监控相关的异常行为进而发现恶意程序,即无需额外再启动防恶意程序的软件,从而可以保证对客户端进行防恶意程序的主动防御;而且只需通过服务器更新目标异常行为参数列表,并将异常行为参数更新列表下发给所述客户端,即可使所述客户端更新自身的防恶意程序功能,使得所述客户端可以实现防恶意程序功能的自主学习,以降低人工成本,而且用户也无需进行额外的升级安装操作,以减轻用户的操作负担。
请参见图10,是本发明实施例提供的又一种应用防护监控装置的结构示意图。如图10所示,所述应用防护监控装置2000可以应用于服务器中,所述应用防护监控装置2000可以包括:至少一个处理器2001,例如CPU,至少一个网络接口2004,用户接口2003,存储器2005,至少一个通信总线2002。其中,通信总线2002用于实现这些组件之间的连接通信。其中,用户接口2003可以包括显示屏(Display)、键盘(Keyboard),可选用户接口2003还可以包括标准的有线接口、无线接口。网络接口2004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器2005可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器2005可选的还可以是至少一个位于远离前述处理器2001的存储装置。如图10所示,作为一种计算机存储介质的存储器2005中可以包括操作系统、网络通信模块、用户接口模块以及设备控制应用程序。
在图10所示的应用防护监控装置2000中,网络接口2004主要用于连接客户端;而用户接口2003主要用于为用户提供输入的接口;而处理器2001可以用于调用存储器2005中存储的设备控制应用程序,以实现
接收由所述客户端在检测出行为特征满足第一异常行为条件时所发送的所述行为特征以及当前运行进程的信息;所述行为特征是由所述客户端对目标异常行为参数列表中与所述客户端相关联的至少一个目标操作类型分别对应的操作行为进行监控所生成的;
在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表;
发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端,以使所述客户端对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。
在一个实施例中,所述当前运行进程的信息包括:当前运行进程的进程名以及当前运行进程的程序特征码;所述程序特征码包括进程所触发的行为操作的信息;
所述处理器2001在执行在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表,并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端时,具体执行以下步骤:
在预设的非法进程信息库中查找所述当前运行进程的进程名中的非法进程名;
根据与所述客户端关联的第二异常行为条件确定所述当前运行进程的程序特征码中的非法程序特征码;
将查找出的所述非法进程名和所述非法程序特征码确定为目标非法进程信息;
在预设的异常行为条件集合中确定与所述行为特征、所述目标非法进程信息中的所述非法进程名以及所述非法程序特征码分别对应的待监控操作类型,并在所述异常行为条件集合中获取与所述待监控操作类型对应的异常行为条件;
将所述待监控操作类型以及所述待监控操作类型对应的异常行为条件添加至异常行为参数更新列表。
在一个实施例中,所述处理器2001在执行根据与所述客户端关联的第二异常行为条件确定所述当前运行进程的程序特征码中的非法程序特征码时,具体执行以下步骤:
分析所述当前运行进程的程序特征码所指示的进程行为特征,并将满足与所述客户端关联的第二异常行为条件的进程行为特征对应的程序特征码确定为非法程序特征码;所述第二异常行为条件是根据所述第一异常行为条件所设定的。
本发明实施例通过客户端获取目标异常行为参数列表;所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件;进而可以使所述客户端通过监控各目标操作类型分别对应的操作行为以生成行为特征,当所述行为特征满足所述第一异常行为条件时,所述客户端可以将所述行为特征以及当前运行进程的信息发送至所述服务器,使得所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表,并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端;使得所述客户端可以对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。由此可见,所述客户端可以通过目标异常行为参数列表自主监控相关的异常行为进而发现恶意程序,即无需额外再启动防恶意程序的软件,从而可以保证对客户端进行防恶意程序的主动防御;而且只需通过服务器更新目标异常行为参数列表,并将异常行为参数更新列表下发给所述客户端,即可使所述客户端更新自身的防恶意程序功能,使得所述客户端可以实现防恶意程序功能的自主学习,以降低人工成本,而且用户也无需进行额外的升级安装操作,以减轻用户的操作负担。
请参见图11,是本发明实施例提供的一种应用防护监控系统的结构示意图,所述应用防护监控系统包括客户端100、服务器200,所述客户端100可以通过网络与所述服务器200连接。其中,所述客户端100具体可以包括上述图6对应实施例中的应用防护监控装置1,所述服务器200具体可以包括上述图7-图8对应实施例中的应用防护监控装置2,这里不再对客户端100和服务器200的具体实现方式进行赘述;或者,所述客户端100具体可以为上述图9对应实施例中的应用防护监控装置1000,所述服务器200具体可以为上述图10对应实施例中的应用防护监控装置2000,这里不再对客户端100和服务器200的具体实现方式进行赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (14)
1.一种应用防护监控方法,其特征在于,包括:
客户端获取目标异常行为参数列表;所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件;
所述客户端监控各目标操作类型分别对应的操作行为,并统计各类操作行为的操作次数,将各类操作行为的操作次数确定为行为特征;
当所述行为特征满足所述第一异常行为条件时,所述客户端将所述行为特征以及当前运行进程的信息发送至所述服务器;
所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表,并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端;
所述客户端对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。
2.如权利要求1所述的方法,其特征在于,在所述当所述行为特征满足所述第一异常行为条件时,所述客户端将所述行为特征以及当前运行进程的信息发送至所述服务器的步骤之前,还包括:
获取所述目标异常行为参数列表中各目标操作类型分别对应的次数阈值;
判断各目标操作类型分别对应的操作行为的操作次数是否均小于所对应的次数阈值;
若判断为是,则确定所述行为特征不满足所述第一异常行为条件;
若判断为否,则确定所述行为特征满足所述第一异常行为条件。
3.如权利要求2所述的方法,其特征在于,所述判断各目标操作类型分别对应的操作行为的操作次数是否均小于所对应的次数阈值的步骤之前,还包括:
检测对所述各目标操作类型分别对应的操作行为的监控时长是否达到预设时长阈值;
若检测为是,则重置所述各种操作行为的操作次数,并重置所述监控时长,并重新统计所述各种操作行为的操作次数;
若检测为否,则执行所述判断各目标操作类型分别对应的操作行为的操作次数是否均小于所对应的次数阈值的步骤。
4.如权利要求1所述的方法,其特征在于,所述当前运行进程的信息包括:当前运行进程的进程名以及当前运行进程的程序特征码;所述程序特征码包括进程所触发的行为操作的信息;
则所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表,并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端,包括:
所述服务器在预设的非法进程信息库中查找所述当前运行进程的进程名中的非法进程名,并根据与所述客户端关联的第二异常行为条件确定所述当前运行进程的程序特征码中的非法程序特征码;
将查找出的所述非法进程名和所述非法程序特征码确定为目标非法进程信息;
在预设的异常行为条件集合中确定与所述行为特征、所述目标非法进程信息中的所述非法进程名以及所述非法程序特征码分别对应的待监控操作类型,并在所述异常行为条件集合中获取与所述待监控操作类型对应的异常行为条件;
将所述待监控操作类型以及所述待监控操作类型对应的异常行为条件添加至异常行为参数更新列表,并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端。
5.如权利要求4所述的方法,其特征在于,所述根据与所述客户端关联的第二异常行为条件确定所述当前运行进程的程序特征码中的非法程序特征码,具体包括:
分析所述当前运行进程的程序特征码所指示的进程行为特征,并将满足与所述客户端关联的第二异常行为条件的进程行为特征对应的程序特征码确定为非法程序特征码;所述第二异常行为条件是根据所述第一异常行为条件所设定的。
6.一种应用防护监控方法,其特征在于,包括:
客户端获取目标异常行为参数列表;所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件;
所述客户端监控各目标操作类型分别对应的操作行为,并统计各类操作行为的操作次数,将各类操作行为的操作次数确定为行为特征;
当所述行为特征满足所述第一异常行为条件时,所述客户端将所述行为特征以及当前运行进程的信息发送至所述服务器,以使所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表;
所述客户端接收所述服务器发送的所述目标非法进程信息和所述异常行为参数更新列表,并对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。
7.一种应用防护监控方法,其特征在于,包括:
服务器接收由所述客户端在检测出行为特征满足第一异常行为条件时所发送的所述行为特征以及当前运行进程的信息;所述行为特征是由所述客户端对目标异常行为参数列表中与所述客户端相关联的至少一个目标操作类型分别对应的操作行为进行监控所生成的;
所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表;
所述服务器发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端,以使所述客户端对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。
8.一种应用防护监控装置,其特征在于,包括:
获取模块,用于获取目标异常行为参数列表;所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件;
监控统计模块,用于监控各目标操作类型分别对应的操作行为,并统计各类操作行为的操作次数,将各类操作行为的操作次数确定为行为特征;
发送模块,用于当所述行为特征满足所述第一异常行为条件时,将所述行为特征以及当前运行进程的信息发送至所述服务器,以使所述服务器在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表;
更新处理模块,用于接收所述服务器发送的所述目标非法进程信息和所述异常行为参数更新列表,并对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。
9.如权利要求8所述的装置,其特征在于,还包括:
所述获取模块,还用于获取所述目标异常行为参数列表中各目标操作类型分别对应的次数阈值;
判断模块,用于判断各目标操作类型分别对应的操作行为的操作次数是否均小于所对应的次数阈值;
确定模块,用于若所述判断模块判断为是,则确定所述行为特征不满足所述第一异常行为条件;
所述确定模块,还用于若所述判断模块判断为否,则确定所述行为特征满足所述第一异常行为条件。
10.如权利要求9所述的装置,其特征在于,还包括:
检测模块,用于检测对所述各目标操作类型分别对应的操作行为的监控时长是否达到预设时长阈值;
重置模块,用于若所述检测模块检测为是,则重置所述各种操作行为的操作次数,并重置所述监控时长,并重新统计所述各种操作行为的操作次数;
通知模块,用于若所述检测模块检测为否,则通知所述判断模块判断各目标操作类型分别对应的操作行为的操作次数是否均小于所对应的次数阈值。
11.一种应用防护监控装置,其特征在于,包括:
接收模块,用于接收由所述客户端在检测出行为特征满足第一异常行为条件时所发送的所述行为特征以及当前运行进程的信息;所述行为特征是由所述客户端对目标异常行为参数列表中与所述客户端相关联的至少一个目标操作类型分别对应的操作行为进行监控所生成的;
查找模块,用于在所述当前运行进程的信息中查找目标非法进程信息,并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表;
发送模块,用于发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端,以使所述客户端对所述目标非法进程信息对应的进程进行关闭操作,并将所述目标异常行为参数列表更新为所述异常行为参数更新列表,以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。
12.如权利要求11所述的装置,其特征在于,所述当前运行进程的信息包括:当前运行进程的进程名以及当前运行进程的程序特征码;所述程序特征码包括进程所触发的行为操作的信息;
则所述查找模块包括:
查找单元,用于在预设的非法进程信息库中查找所述当前运行进程的进程名中的非法进程名;
非法确定单元,用于根据与所述客户端关联的第二异常行为条件确定所述当前运行进程的程序特征码中的非法程序特征码;
信息确定单元,用于将查找出的所述非法进程名和所述非法程序特征码确定为目标非法进程信息;
条件获取单元,用于在预设的异常行为条件集合中确定与所述行为特征、所述目标非法进程信息中的所述非法进程名以及所述非法程序特征码分别对应的待监控操作类型,并在所述异常行为条件集合中获取与所述待监控操作类型对应的异常行为条件;
添加单元,用于将所述待监控操作类型以及所述待监控操作类型对应的异常行为条件添加至异常行为参数更新列表。
13.如权利要求12所述的装置,其特征在于,
所述非法确定单元,具体用于分析所述当前运行进程的程序特征码所指示的进程行为特征,并将满足与所述客户端关联的第二异常行为条件的进程行为特征对应的程序特征码确定为非法程序特征码;所述第二异常行为条件是根据所述第一异常行为条件所设定的。
14.一种应用防护监控系统,其特征在于,包括客户端和服务器;
所述客户端包括权利要求8-10任一项所述的应用防护监控装置,所述服务器包括权利要求11-13任一项所述的应用防护监控装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710008087.0A CN108280346B (zh) | 2017-01-05 | 2017-01-05 | 一种应用防护监控方法、装置以及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710008087.0A CN108280346B (zh) | 2017-01-05 | 2017-01-05 | 一种应用防护监控方法、装置以及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108280346A true CN108280346A (zh) | 2018-07-13 |
| CN108280346B CN108280346B (zh) | 2022-05-31 |
Family
ID=62800605
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710008087.0A Active CN108280346B (zh) | 2017-01-05 | 2017-01-05 | 一种应用防护监控方法、装置以及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108280346B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109495378A (zh) * | 2018-12-28 | 2019-03-19 | 广州华多网络科技有限公司 | 检测异常帐号的方法、装置、服务器及存储介质 |
| CN109582901A (zh) * | 2018-11-14 | 2019-04-05 | 咪咕文化科技有限公司 | 一种控制方法、终端、服务器及存储介质 |
| CN109711168A (zh) * | 2018-06-26 | 2019-05-03 | 360企业安全技术(珠海)有限公司 | 基于行为的服务识别方法、装置、设备及可读存储介质 |
| CN109992940A (zh) * | 2019-03-29 | 2019-07-09 | 北京金山云网络技术有限公司 | 身份验证方法、装置、系统及身份校验服务器 |
| CN110941825A (zh) * | 2019-12-13 | 2020-03-31 | 支付宝(杭州)信息技术有限公司 | 一种应用监控方法及装置 |
| CN111159702A (zh) * | 2019-12-12 | 2020-05-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种进程名单生成方法和装置 |
| CN114629696A (zh) * | 2022-02-28 | 2022-06-14 | 天翼安全科技有限公司 | 一种安全检测方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103368987A (zh) * | 2012-03-27 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 云服务器、应用程序的审核认证及管理系统和方法 |
| CN105488398A (zh) * | 2015-12-04 | 2016-04-13 | 北京航空航天大学 | Web应用程序行为提取方法和恶意行为检测方法 |
| CN105631334A (zh) * | 2015-12-25 | 2016-06-01 | 北京奇虎科技有限公司 | 应用的安全检测处理方法和系统 |
| US9516053B1 (en) * | 2015-08-31 | 2016-12-06 | Splunk Inc. | Network security threat detection by user/user-entity behavioral analysis |
-
2017
- 2017-01-05 CN CN201710008087.0A patent/CN108280346B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103368987A (zh) * | 2012-03-27 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 云服务器、应用程序的审核认证及管理系统和方法 |
| US9516053B1 (en) * | 2015-08-31 | 2016-12-06 | Splunk Inc. | Network security threat detection by user/user-entity behavioral analysis |
| CN105488398A (zh) * | 2015-12-04 | 2016-04-13 | 北京航空航天大学 | Web应用程序行为提取方法和恶意行为检测方法 |
| CN105631334A (zh) * | 2015-12-25 | 2016-06-01 | 北京奇虎科技有限公司 | 应用的安全检测处理方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 朱佳佳: "标识专网中用户异常行为分析的设计与实现", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》, 31 July 2016 (2016-07-31), pages 139 - 72 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109711168A (zh) * | 2018-06-26 | 2019-05-03 | 360企业安全技术(珠海)有限公司 | 基于行为的服务识别方法、装置、设备及可读存储介质 |
| CN109711168B (zh) * | 2018-06-26 | 2021-01-15 | 360企业安全技术(珠海)有限公司 | 基于行为的服务识别方法、装置、设备及可读存储介质 |
| CN109582901A (zh) * | 2018-11-14 | 2019-04-05 | 咪咕文化科技有限公司 | 一种控制方法、终端、服务器及存储介质 |
| CN109495378A (zh) * | 2018-12-28 | 2019-03-19 | 广州华多网络科技有限公司 | 检测异常帐号的方法、装置、服务器及存储介质 |
| CN109992940A (zh) * | 2019-03-29 | 2019-07-09 | 北京金山云网络技术有限公司 | 身份验证方法、装置、系统及身份校验服务器 |
| CN111159702A (zh) * | 2019-12-12 | 2020-05-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种进程名单生成方法和装置 |
| CN111159702B (zh) * | 2019-12-12 | 2022-02-18 | 绿盟科技集团股份有限公司 | 一种进程名单生成方法和装置 |
| CN110941825A (zh) * | 2019-12-13 | 2020-03-31 | 支付宝(杭州)信息技术有限公司 | 一种应用监控方法及装置 |
| CN110941825B (zh) * | 2019-12-13 | 2022-05-27 | 支付宝(杭州)信息技术有限公司 | 一种应用监控方法及装置 |
| CN114629696A (zh) * | 2022-02-28 | 2022-06-14 | 天翼安全科技有限公司 | 一种安全检测方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108280346B (zh) | 2022-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108280346A (zh) | 一种应用防护监控方法、装置以及系统 | |
| EP3895046B1 (en) | Systems and methods for behavioral threat detectiion | |
| RU2477929C2 (ru) | Система и способ предотвращения инцидентов безопасности на основании рейтингов опасности пользователей | |
| CN109117250B (zh) | 一种模拟器识别方法、识别设备及计算机可读介质 | |
| JP2021164144A (ja) | 機械学習モデルを介したネットワークシステム不良解決 | |
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| US20130132565A1 (en) | Method and system for application security evaluation | |
| US20140113588A1 (en) | System for detection of mobile applications network behavior- netwise | |
| KR101143999B1 (ko) | Api 기반 어플리케이션 분석 장치 및 방법 | |
| US11805005B2 (en) | Systems and methods for predictive assurance | |
| US20200012990A1 (en) | Systems and methods of network-based intelligent cyber-security | |
| EP3085023B1 (en) | Communications security | |
| US20200184847A1 (en) | A system and method for on-premise cyber training | |
| CN104836781A (zh) | 区分访问用户身份的方法及装置 | |
| Anuar et al. | Incident prioritisation using analytic hierarchy process (AHP): Risk Index Model (RIM) | |
| EP3895048B1 (en) | Systems and methods for behavioral threat detection | |
| Kotenko et al. | Security metrics based on attack graphs for the Olympic Games scenario | |
| CN110222243B (zh) | 确定异常行为的方法、装置和存储介质 | |
| US20200244693A1 (en) | Systems and methods for cybersecurity risk assessment of users of a computer network | |
| JP2007164465A (ja) | クライアントセキュリティ管理システム | |
| Faiella et al. | A distributed framework for collaborative and dynamic analysis of android malware | |
| EP4009586B1 (en) | A system and method for automatically neutralizing malware | |
| JP2006146600A (ja) | 動作監視サーバ、端末装置及び動作監視システム | |
| CN116134785A (zh) | 网络设备属性的低时延识别 | |
| CN116436689A (zh) | 漏洞处理方法、装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |