CN109726601A - 违规行为的识别方法及装置、存储介质、计算机设备 - Google Patents
违规行为的识别方法及装置、存储介质、计算机设备 Download PDFInfo
- Publication number
- CN109726601A CN109726601A CN201811641246.1A CN201811641246A CN109726601A CN 109726601 A CN109726601 A CN 109726601A CN 201811641246 A CN201811641246 A CN 201811641246A CN 109726601 A CN109726601 A CN 109726601A
- Authority
- CN
- China
- Prior art keywords
- behavior
- application program
- equipment
- unlawful practice
- default
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 208
- 230000033001 locomotion Effects 0.000 claims abstract description 140
- 238000012544 monitoring process Methods 0.000 claims abstract description 29
- 230000008569 process Effects 0.000 claims description 159
- 238000004590 computer program Methods 0.000 claims description 9
- 239000012141 concentrate Substances 0.000 claims description 8
- 230000009471 action Effects 0.000 claims description 7
- 230000006399 behavior Effects 0.000 description 178
- 230000008859 change Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 231100001261 hazardous Toxicity 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种违规行为的识别方法及装置、存储介质、计算机设备,该方法包括:监控应用程序的行为;根据应用程序的行为,获取系统日志中与应用程序的行为对应的I/O设备实际操作动作;按照预设I/O设备标准操作动作列表,查找与应用程序的行为对应的I/O设备标准操作动作;若I/O设备实际操作动作与I/O设备标准操作动作不一致,则将应用程序的行为记录为疑似违规行为。本申请能够快速识别系统中的疑似违规行为,有助于防止操作系统中的软件受到恶意程序或恶意人员等的恶意操控,保护客户端中的信息不被恶意操作,避免系统信息被恶意利用造成损失。
Description
技术领域
本申请涉及计算机安全技术领域,尤其是涉及到一种违规行为的识别方法及装置、存储介质、计算机设备。
背景技术
随着计算机技术的快速发展,各种功能的应用程序大量出现,满足人们在工作和生活中的多样化需求。但是与此同时计算机设备上的恶意软件层出不穷,这些恶意软件往往通过操控计算机的白名单应用程序,在用户毫无知觉的情况下执行某些恶意操作。
而在现有的计算机防护体系中,如果一个应用程序为白名单应用程序,那么其相关操作都将被视为合法操作,这样黑客基于白程序的操作可轻易绕过防御产品,对数据进行泄露。例如,查看一份文档文件,通常需要鼠标点击该文件或者通过键盘操作打开该文件才能够查看,但在现有技术的防护体系中,只要打开文档文件的应用程序为白程序,无论是否通过鼠标或键盘进行操作,文件都会被打开,此时很可能是恶意程序操控了该应用程序打开了文件。
但是现有技术中暂时还没有一种解决以上技术问题的方法。
发明内容
有鉴于此,本申请提供了一种违规行为的识别方法及装置、存储介质、计算机设备,能够实现违规行为的识别,有助于保护系统信息安全。
根据本申请的一个方面,提供了一种违规行为的识别方法,包括:
监控应用程序的行为;
根据所述应用程序的行为,获取系统日志中与所述应用程序的行为对应的I/O设备实际操作动作;
按照预设I/O设备标准操作动作列表,查找与所述应用程序的行为对应的I/O设备标准操作动作;
若所述I/O设备实际操作动作与所述I/O设备标准操作动作不一致,则将所述应用程序的行为记录为所述疑似违规行为。
根据本申请的另一方面,提供了一种违规行为的识别装置,包括:
监控模块,用于监控应用程序的行为;
实际操作动作获取模块,用于根据所述应用程序的行为,获取系统日志中与所述应用程序的行为对应的I/O设备实际操作动作;
标准操作动作获取模块,用于按照预设I/O设备标准操作动作列表,查找与所述应用程序的行为对应的I/O设备标准操作动作;
第一违规行为记录模块,用于若所述I/O设备实际操作动作与所述I/O设备标准操作动作不一致,则将所述应用程序的行为记录为所述疑似违规行为。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述违规行为的识别方法。
依据本申请再一个方面,提供了一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述违规行为的识别方法。
借由上述技术方案,本申请提供的一种违规行为的识别方法及装置、存储介质、计算机设备,当监控到待检测的应用程序的行为后,在系统监控日志中查询该行为的行为记录,从而在行为记录中提取出此次行为对应的I/O设备的实际操作动作,进而将I/O设备的实际操作动作与预设I/O设备标准操作动作列表种对应的标准操作动作进行比较,并在二者不一致时,将该行为记录为违规行为,实现违规行为的识别。本申请能够快速识别系统中的违规行为,有助于防止操作系统中的软件受到恶意程序或恶意人员等的恶意操控,保护客户端中的信息不被恶意操作,避免系统信息被恶意利用造成损失。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种违规行为的识别方法的流程示意图;
图2示出了本申请实施例提供的另一种违规行为的识别方法的流程示意图;
图3示出了本申请实施例提供的一种违规行为的识别装置的结构示意图;
图4示出了本申请实施例提供的另一种违规行为的识别装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本实施例中提供了一种违规行为的识别方法,如图1所示,该方法包括:
步骤101,监控应用程序的行为。
在本申请的实施例中,操作系统实时对系统中应用程序的行为进行监控,具体地,可以采用函数调用监控工具对待评估软件的应用程序进行跟踪监控,并形成记录有每次程序运行时留下的行为记录的监控日志,从而根据监控日志监控应用程序的行为。
另外,为了减少系统内存占用,提高系统运行效率,也可以设置监控周期,按周期在系统日志中查询应用程序的行为,在此不做限定。
步骤102,根据应用程序的行为,获取系统日志中与应用程序的行为对应的I/O设备实际操作动作。
在监控到待检测应用程序的行为后,在系统监控日志中获取应用程序的行为记录对应的I/O设备的操作动作,其中,I/O设备可以为鼠标、键盘、摄像头等等。例如,如果用户需要打开电脑桌面上的一个文档文件,需要使用鼠标双击该文件的图标、或者通过键盘上下左右按键选择到该文件再按回车键打开等途径实现,也就是说,文件读写行为应对应有鼠标、键盘等I/O设备的操作。
因而,当监控到应用程序的行为后,应获取该行为对应的I/O设备的实际操作动作,以便根据行为对应的实际操作动作,判断应用程序的行为是否为违规行为。
步骤103,按照预设I/O设备标准操作动作列表,查找与应用程序的行为对应的I/O设备标准操作动作。
按照监控到的应用程序的行为,从预先规定的I/O设备标准操作动作列表中,查询与该行为相匹配的I/O设备标准操作动作。预设I/O设备标准操作动作列表中一般包含了全部的应用程序的合法行为对应的I/O设备操作动作,例如文件读写行为应对应有鼠标双击、或者键盘输入等I/O设备的操作。
步骤104,若I/O设备实际操作动作与I/O设备标准操作动作不一致,则将应用程序的行为记录为疑似违规行为。
通过对应用程序的行为对应的I/O设备的实际操作动作及其对应的I/O设备的标准操作动作进行分析,可以判断出此次行为是否存在被恶意应用程序操控而产生的可能,若I/O设备的实际操作动作与标准操作动作不一致,说明此次行为可能是由恶意应用程序操控而产生的,因此,将本次行为记录为疑似违规行为,另外,还可以拦截该次行为,并将此次行为对应的系统日志发送给管理员进行人工审核后,选择是否放行该行为,避免上述的应用程序因受到恶意应用程序的操控产生恶意行为,有助于避免系统中的信息被恶意应用程序操控造成信息损失,提高了设备信息的安全性。
通过应用本实施例的技术方案,当监控到待检测的应用程序的行为后,在系统监控日志中查询该行为的行为记录,从而在行为记录中提取出此次行为对应的I/O设备的实际操作动作,进而将I/O设备的实际操作动作与预设I/O设备标准操作动作列表种对应的标准操作动作进行比较,并在二者不一致时,将该行为记录为违规行为,实现违规行为的识别。本申请能够快速识别系统中的违规行为,有助于防止操作系统中的软件受到恶意程序或恶意人员等的恶意操控,保护客户端中的信息不被恶意操作,避免系统信息被恶意利用造成损失。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,提供了另一种违规行为的识别方法,如图2所示,该方法包括:
步骤201,获取应用程序的至少一次正常行为对应的系统日志;
步骤202,解析至少一次正常行为对应的系统日志,并根据解析所得的合法行为对应的I/O设备操作动作建立预设I/O设备标准操作动作列表中。
在本申请的实施例中,为了分析系统中的应用程序行为是否是被恶意操控产生的,应预先建立预设I/O设备标准操作动作列表,从而为分析程序行为是否是正常操作提供依据。其中,预设I/O设备标准操作动作列表是根据对待检测应用程序的多次正常行为进行分析得到的。
具体地,可以由管理员对待检测的应用程序进行操作,以使系统响应管理员对待检测软件的操作实现相应功能,从而在一次操作完成后,从系统监控日志中针对该次行为,提取出与该次软件行为对应的I/O设备操作动作,经过专家系统对多次操作所得结果进行分析确认后,将判定为正常行为的I/O设备操作动作作为该行为对应的I/O设备操作动作作为I/O设备标准操作动作,保存在预设I/O设备标准操作动作列表中,从而可以根据预设I/O设备标准操作动作列表对监测到的程序行为对应的实际的I/O设备操作动作进行分析,为分析程序行为是否是违规操作行为提供依据。
步骤203,监控应用程序的行为。
操作系统实时对系统中软件的软件行为进行监控,具体地,可以采用函数调用监控工具对待检测的应用程序的程序进行跟踪监控。
步骤204,获取应用程序的行为对应的操作主体进程;
当监控到系统中的行为记录后,应根据行为记录确定该行为对应的操作主体进程,即确定该行为由哪个进程操控而产生的。
步骤205,按照预设主动操作进程集,判断操作主体进程是否在预设主动操作进程集中。
预设主动操作进程集中,记录了用户可以操作和使用的进程,例如对于计算机设备中的某办公软件的卸载行为,用户可以通过点击开始菜单,找到卸载该办公软件的卸载程序来实现对该办公软件的卸载,或者可以通过开始菜单下的控制面板,在展示的控制面板界面找到“卸载或更改程序”来实现对该办公软件的卸载,上述的软件卸载方式都是可以由用户主动操作的方式,是用户的主动意愿行为,预设主动操作进程集中包括上述操作对应的进程。
步骤206,若操作主体进程在预设主动操作进程集中,则获取与应用程序的行为对应的I/O设备实际操作动作。
如果操作主体进程在预设主动操作进程集中,说明此时的进程行为可能是受用户控制的,是用户的主动意愿,但这也并不能说明此时的程序行为就是合法行为,还存在恶意程序获取到了主动操作进程的操作权限从而通过主动操作进程集中的进程控制应用程序产生该行为的可能,因此,为了进一步判断监控到的程序行为是否是疑似违规行为,应获取该行为对应的I/O设备实际操作动作,从而进行判断确定对此次行为的处理方案,以免放行由恶意应用程序操控的程序行为,将系统中的信息置于危险环境。
步骤207,若操作主体进程不在预设主动操作进程集中,则将应用程序的行为记录为疑似违规行为。
而如果操作主体进程不属于预设主动操作进程集中的进程,则说明该行为不是用户的主动操作,此时的软件行为可能是恶意应用程序在操作系统后台进行的不易被用户察觉的恶意操作,应直接将监控到的应用程序的行为标记为疑似违规行为,并将该行为进行拦截,保护系统信息安全。
在上述实施例中,为了避免武断的标记和拦截疑似违规行为,影响用户的正常使用,步骤207具体可以包括:
步骤2071,根据预设恶意进程集,判断应用程序的行为对应的操作主体进程是否属于预设恶意进程集中包括的恶意进程。
在该实施例中,检测程序行为对应的操作主体进程是否为恶意进程,具体可以根据软件安全公司提供的恶意进程检测平台进行检测,也可以根据事先约定好的预设恶意进程集进行检测,从而判断操作主体进程是否为已经被认定的恶意进程。
需要说明的是,上述判断操作主体进程是否属于预设恶意进程的方式,具体还可以为:在系统监控日志中查询分层服务提供商LSP的注册表的更改情况;如果LSP注册表在预设时间内存在更改,则获取更改注册表的更改程序以及注册表更改后的动态链接库DLL文件;利用一个或多个预设的恶意应用程序检测库,检测更改程序和/或DLL文件是否为恶意程序;当检测到更改程序和/或DLL文件是恶意程序时,进行上报。以便用户或管理员对设备内的恶意应用程序及时进行处理,避免造成信息损失。
步骤2072,若操作主体进程属于恶意进程,则将应用程序的行为记录为疑似违规行为。
若经过检测得知应用程序的行为对应的操作主体进程属于预设恶意进程集中包含的恶意进程,则应将监控到的应用程序的行为标记为疑似违规行为,进而可以将该行为进行拦截,避免系统信息损失。
步骤2073,若操作主体进程不属于恶意进程,则获取应用程序的进程对应的系统调用序列;
步骤2074,若系统调用序列与预设标准调用序列表中记录的应用程序的进程对应的标准调用序列不一致,则将应用程序的行为记录为疑似违规行为。
若程序行为通过恶意进程检测,可以进一步获取应用程序的进程对应的系统调用序列,从而根据系统调用序列判断程序行为是否违规,在本实施例中,根据系统监控日志,提取应用程序的行为对应的系统调用序列,以便分析系统调用序列是否合理,从而确定该行为是否违规。
具体地,由于软件被恶意攻击后产生的系统调用序列通常会发生改变,因此如果实际的系统调用序列与预设标准调用序列表中的标准调用序列不一致,说明该待检测软件可能已经被恶意攻击,正在受恶意应用程序的控制,因此,应将此次行为记录为疑似违规行为,另外,若允许此次行为运行会对系统的信息安全造成威胁,因此,应终止此次行为,以确保系统免受恶意程序的操控,防止系统信息的泄露威胁信息安全。
步骤208,根据应用程序的行为,获取系统日志中与应用程序的行为对应的I/O设备实际操作动作;
步骤209,按照预设I/O设备标准操作动作列表,查找与应用程序的行为对应的I/O设备标准操作动作;
具体地,与应用程序的行为对应的I/O设备标准操作动作包括多种。
步骤210,若I/O设备实际操作动作与每一种I/O设备标准操作动作都不一致,则将应用程序的行为记录为疑似违规行为。
另外,在步骤208至步骤210中,根据预设主动操作进程集对操作主体进程进行分析,确认该行为对应的操作主体进程为主动操作进程后,进一步分析本次行为对应的I/O设备实际操作动作与预设I/O设备标准操作动作列表中记录的I/O设备标准操作动作的一致性,从而确定该行为是否违规。
需要说明的是,以打开电脑桌面上的一个文档文件为例,可以使用鼠标双击该文件的图标打开该文件,也可以通过键盘上下左右按键选择到该文件后再按回车键打开该文件,还可以通过其他的诸如手写板等I/O设备进行操作打开该文件,这些操作都是合法的I/O设备标准操作动作,也就是说,某个行为可以对应有多种的I/O设备标准操作动作。只要实际的I/O设备操作动作与任意一种一致,就可以认为该行为是合法行为,可以放行该行为,而如果实际的I/O设备操作动作与对应的多种I/O设备标准操作动作均不一致,则将本次行为标记为疑似违规行为,并将其拦截避免留下系统信息安全隐患。
通过应用本实施例的技术方案,当监控到待检测的应用程序的行为后,先判断行为对应的操作主体进程是否为预设主动操作进程集中预先记录的可能由用户主动发起的进程,从而在确定本次行为对应的操作主体进程存在于预设主动操作进程集中时,通过判断行为对应的I/O设备的实际操作动作与I/O设备标准操作动作的一致性,确定该行为是否违规,而在确定本次行为对应的操作主体进程不在于预设主动操作进程集中时,利用预设恶意进程集以及进程对应的系统调用序列,对此次行为的合法性进行分析,实现疑似违规行为的识别。本申请结合多种手段识别系统中的疑似违规行为,有助于防止操作系统中的软件受到恶意程序或恶意人员等的恶意操控,保护客户端中的信息不被恶意操作,避免系统信息被恶意利用造成损失。
进一步的,作为图1方法的具体实现,本申请实施例提供了一种违规行为的识别装置,如图3所示,该装置包括:监控模块31、实际操作动作获取模块32、标准操作动作获取模块33、第一违规行为记录模块34。
监控模块31,用于监控应用程序的行为;
实际操作动作获取模块32,用于根据应用程序的行为,获取系统日志中与应用程序的行为对应的I/O设备实际操作动作;
标准操作动作获取模块33,用于按照预设I/O设备标准操作动作列表,查找与应用程序的行为对应的I/O设备标准操作动作;
第一违规行为记录模块34,用于若I/O设备实际操作动作与I/O设备标准操作动作不一致,则将应用程序的行为记录为疑似违规行为。
在具体的应用场景中,与应用程序的行为对应的I/O设备标准操作动作包括多种;如图4所示,该装置还包括:违规行为识别模块35。
违规行为识别模块35,具体用于若I/O设备实际操作动作与每一种I/O设备标准操作动作都不一致,则将应用程序的行为记录为疑似违规行为。
在具体的应用场景中,如图4所示,该装置还包括:操作主体进程获取模块36、操作主体进程判断模块37、实际操作动作获取模块38、第二违规行为记录模块39。
操作主体进程获取模块36,用于根据应用程序的行为,获取系统日志中与应用程序的行为对应的I/O设备实际操作动作之前,获取应用程序的行为对应的操作主体进程;
操作主体进程判断模块37,用于按照预设主动操作进程集,判断操作主体进程是否在预设主动操作进程集中;
实际操作动作获取模块32,还用于若操作主体进程在预设主动操作进程集中,则获取与应用程序的行为对应的I/O设备实际操作动作;
第二违规行为记录模块38,用于若操作主体进程不在预设主动操作进程集中,则将应用程序的行为记录为疑似违规行为。
在具体的应用场景中,如图4所示,实际操作动作获取模块32,具体包括:恶意进程识别单元321、第一违规行为记录单元322、系统调用序列获取单元323、第二违规行为记录单元324、恶意进程集建立单元325。
恶意进程识别单元321,用于根据预设恶意进程集,判断应用程序的行为对应的操作主体进程是否属于预设恶意进程集中包括的恶意进程;
第一违规行为记录单元322,用于若操作主体进程属于恶意进程,则将应用程序的行为记录为疑似违规行为;
系统调用序列获取单元323,用于若操作主体进程不属于恶意进程,则获取应用程序的进程对应的系统调用序列;
第二违规行为记录单元324,用于若系统调用序列与预设标准调用序列表中记录的应用程序的进程对应的标准调用序列不一致,则将应用程序的行为记录为疑似违规行为;
恶意进程集建立单元325,用于若系统调用序列与预设标准调用序列表中记录的应用程序的进程对应的标准调用序列不一致,将应用程序的进程加入预设恶意进程集中。
在具体的应用场景中,如图4所示,该装置还包括:正常行为获取模块39、标准操作动作列表建立模块310。
正常行为获取模块39,用于按照预设I/O设备标准操作动作列表,查找与应用程序的行为对应的I/O设备标准操作动作之前,获取应用程序的至少一次正常行为对应的系统日志;
标准操作动作列表建立模块310,用于解析至少一次正常行为对应的系统日志,并根据解析所得的合法行为对应的I/O设备操作动作建立预设I/O设备标准操作动作列表中。
需要说明的是,本申请实施例提供的一种违规行为的识别装置所涉及各功能单元的其他相应描述,可以参考图1和图2中的对应描述,在此不再赘述。
基于上述如图1和图2所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1和图2所示的违规行为的识别方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1、图2所示的方法,以及图3、图4所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种计算机设备,具体可以为个人计算机、服务器、网络设备等,该计算机设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1和图2所示的违规行为的识别方法。
可选地,该计算机设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种计算机设备结构并不构成对该计算机设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现当监控到待检测的应用程序的行为后,在系统监控日志中查询该行为的行为记录,从而在行为记录中提取出此次行为对应的I/O设备的实际操作动作,进而将I/O设备的实际操作动作与预设I/O设备标准操作动作列表种对应的标准操作动作进行比较,并在二者不一致时,将该行为记录为违规行为,实现违规行为的识别。本申请能够快速识别系统中的违规行为,有助于防止操作系统中的软件受到恶意程序或恶意人员等的恶意操控,保护客户端中的信息不被恶意操作,避免系统信息被恶意利用造成损失。
本发明实施例提供了以下技术方案:
1、一种违规行为的识别方法,包括:
监控应用程序的行为;
根据所述应用程序的行为,获取系统日志中与所述应用程序的行为对应的I/O设备实际操作动作;
按照预设I/O设备标准操作动作列表,查找与所述应用程序的行为对应的I/O设备标准操作动作;
若所述I/O设备实际操作动作与所述I/O设备标准操作动作不一致,则将所述应用程序的行为记录为疑似违规行为。
2、根据1所述的方法,所述与所述应用程序的行为对应的I/O设备标准操作动作包括多种;
所述若所述I/O设备实际操作动作与所述I/O设备标准操作动作不一致,则将所述应用程序的行为记录为所述疑似违规行为,具体包括:
若所述I/O设备实际操作动作与每一种所述I/O设备标准操作动作都不一致,则将所述应用程序的行为记录为所述疑似违规行为。
3、根据1所述的方法,所述根据所述应用程序的行为,获取系统日志中与所述应用程序的行为对应的I/O设备实际操作动作之前,所述方法还包括:
获取所述应用程序的行为对应的操作主体进程;
按照预设主动操作进程集,判断所述操作主体进程是否在所述预设主动操作进程集中;
若所述操作主体进程在所述预设主动操作进程集中,则获取与所述应用程序的行为对应的I/O设备实际操作动作;
若所述操作主体进程不在所述预设主动操作进程集中,则将所述应用程序的行为记录为所述疑似违规行为。
4、根据3所述的方法,所述若所述操作主体进程不在所述预设主动操作进程集中,则将所述应用程序的行为记录为所述疑似违规行为,具体包括:
根据预设恶意进程集,判断所述应用程序的行为对应的操作主体进程是否属于所述预设恶意进程集中包括的恶意进程;
若所述操作主体进程属于所述恶意进程,则将所述应用程序的行为记录为所述疑似违规行为。
5、根据4所述的方法,所述方法还包括:
若所述操作主体进程不属于所述恶意进程,则获取所述应用程序的进程对应的系统调用序列;
若所述系统调用序列与预设标准调用序列表中记录的所述应用程序的进程对应的标准调用序列不一致,则将所述应用程序的行为记录为所述疑似违规行为。
6、根据5所述的方法,若所述系统调用序列与预设标准调用序列表中记录的所述应用程序的进程对应的标准调用序列不一致,所述方法还包括:
将所述应用程序的进程加入所述预设恶意进程集中。
7、根据1至6中任一项所述的方法,所述按照预设I/O设备标准操作动作列表,查找与所述应用程序的行为对应的I/O设备标准操作动作之前,所述方法还包括:
获取所述应用程序的至少一次正常行为对应的系统日志;
解析所述至少一次正常行为对应的系统日志,并根据解析所得的合法行为对应的I/O设备操作动作建立所述预设I/O设备标准操作动作列表中。
8、一种违规行为的识别装置,包括:
监控模块,用于监控应用程序的行为;
实际操作动作获取模块,用于根据所述应用程序的行为,获取系统日志中与所述应用程序的行为对应的I/O设备实际操作动作;
标准操作动作获取模块,用于按照预设I/O设备标准操作动作列表,查找与所述应用程序的行为对应的I/O设备标准操作动作;
第一违规行为记录模块,用于若所述I/O设备实际操作动作与所述I/O设备标准操作动作不一致,则将所述应用程序的行为记录为所述疑似违规行为。
9、根据8所述的装置,所述与所述应用程序的行为对应的I/O设备标准操作动作包括多种;
所述疑似违规行为识别模块,具体用于若所述I/O设备实际操作动作与每一种所述I/O设备标准操作动作都不一致,则将所述应用程序的行为记录为所述疑似违规行为。
10、根据8所述的装置,所述装置还包括:
操作主体进程获取模块,用于根据所述应用程序的行为,获取系统日志中与所述应用程序的行为对应的I/O设备实际操作动作之前,获取所述应用程序的行为对应的操作主体进程;
操作主体进程判断模块,用于按照预设主动操作进程集,判断所述操作主体进程是否在所述预设主动操作进程集中;
实际操作动作获取模块,还用于若所述操作主体进程在所述预设主动操作进程集中,则获取与所述应用程序的行为对应的I/O设备实际操作动作;
第二违规行为记录模块,用于若所述操作主体进程不在所述预设主动操作进程集中,则将所述应用程序的行为记录为所述疑似违规行为。
11、根据10所述的装置,所述实际操作动作获取模块,具体包括:
恶意进程识别单元,用于根据预设恶意进程集,判断所述应用程序的行为对应的操作主体进程是否属于所述预设恶意进程集中包括的恶意进程;
第一违规行为记录单元,用于若所述操作主体进程属于所述恶意进程,则将所述应用程序的行为记录为所述疑似违规行为。
12、根据11所述的装置,所述实际操作动作获取模块,具体还包括:
系统调用序列获取单元,用于若所述操作主体进程不属于所述恶意进程,则获取所述应用程序的进程对应的系统调用序列;
第二违规行为记录单元,用于若所述系统调用序列与预设标准调用序列表中记录的所述应用程序的进程对应的标准调用序列不一致,则将所述应用程序的行为记录为所述疑似违规行为。
13、根据12所述的装置,所述实际操作动作获取模块,具体还包括:
恶意进程集建立单元,用于若所述系统调用序列与预设标准调用序列表中记录的所述应用程序的进程对应的标准调用序列不一致,将所述应用程序的进程加入所述预设恶意进程集中。
14、根据8至13中任一项所述的装置,所述装置还包括:
正常行为获取模块,用于按照预设I/O设备标准操作动作列表,查找与所述应用程序的行为对应的I/O设备标准操作动作之前,获取所述应用程序的至少一次正常行为对应的系统日志;
标准操作动作列表建立模块,用于解析所述至少一次正常行为对应的系统日志,并根据解析所得的合法行为对应的I/O设备操作动作建立所述预设I/O设备标准操作动作列表中。
15、一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现1至7中任一项所述的违规行为的识别方法。
16、一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现1至7中任一项所述的违规行为的识别方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (10)
1.一种违规行为的识别方法,其特征在于,包括:
监控应用程序的行为;
根据所述应用程序的行为,获取系统日志中与所述应用程序的行为对应的I/O设备实际操作动作;
按照预设I/O设备标准操作动作列表,查找与所述应用程序的行为对应的I/O设备标准操作动作;
若所述I/O设备实际操作动作与所述I/O设备标准操作动作不一致,则将所述应用程序的行为记录为疑似违规行为。
2.根据权利要求1所述的方法,其特征在于,所述与所述应用程序的行为对应的I/O设备标准操作动作包括多种;
所述若所述I/O设备实际操作动作与所述I/O设备标准操作动作不一致,则将所述应用程序的行为记录为所述疑似违规行为,具体包括:
若所述I/O设备实际操作动作与每一种所述I/O设备标准操作动作都不一致,则将所述应用程序的行为记录为所述疑似违规行为。
3.根据权利要求1所述的方法,其特征在于,所述根据所述应用程序的行为,获取系统日志中与所述应用程序的行为对应的I/O设备实际操作动作之前,所述方法还包括:
获取所述应用程序的行为对应的操作主体进程;
按照预设主动操作进程集,判断所述操作主体进程是否在所述预设主动操作进程集中;
若所述操作主体进程在所述预设主动操作进程集中,则获取与所述应用程序的行为对应的I/O设备实际操作动作;
若所述操作主体进程不在所述预设主动操作进程集中,则将所述应用程序的行为记录为所述疑似违规行为。
4.根据权利要求3所述的方法,其特征在于,所述若所述操作主体进程不在所述预设主动操作进程集中,则将所述应用程序的行为记录为所述疑似违规行为,具体包括:
根据预设恶意进程集,判断所述应用程序的行为对应的操作主体进程是否属于所述预设恶意进程集中包括的恶意进程;
若所述操作主体进程属于所述恶意进程,则将所述应用程序的行为记录为所述疑似违规行为。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
若所述操作主体进程不属于所述恶意进程,则获取所述应用程序的进程对应的系统调用序列;
若所述系统调用序列与预设标准调用序列表中记录的所述应用程序的进程对应的标准调用序列不一致,则将所述应用程序的行为记录为所述疑似违规行为。
6.根据权利要求5所述的方法,其特征在于,若所述系统调用序列与预设标准调用序列表中记录的所述应用程序的进程对应的标准调用序列不一致,所述方法还包括:
将所述应用程序的进程加入所述预设恶意进程集中。
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述按照预设I/O设备标准操作动作列表,查找与所述应用程序的行为对应的I/O设备标准操作动作之前,所述方法还包括:
获取所述应用程序的至少一次正常行为对应的系统日志;
解析所述至少一次正常行为对应的系统日志,并根据解析所得的合法行为对应的I/O设备操作动作建立所述预设I/O设备标准操作动作列表中。
8.一种违规行为的识别装置,其特征在于,包括:
监控模块,用于监控应用程序的行为;
实际操作动作获取模块,用于根据所述应用程序的行为,获取系统日志中与所述应用程序的行为对应的I/O设备实际操作动作;
标准操作动作获取模块,用于按照预设I/O设备标准操作动作列表,查找与所述应用程序的行为对应的I/O设备标准操作动作;
第一违规行为记录模块,用于若所述I/O设备实际操作动作与所述I/O设备标准操作动作不一致,则将所述应用程序的行为记录为所述疑似违规行为。
9.一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至7中任一项所述的违规行为的识别方法。
10.一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7中任一项所述的违规行为的识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811641246.1A CN109726601A (zh) | 2018-12-29 | 2018-12-29 | 违规行为的识别方法及装置、存储介质、计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811641246.1A CN109726601A (zh) | 2018-12-29 | 2018-12-29 | 违规行为的识别方法及装置、存储介质、计算机设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109726601A true CN109726601A (zh) | 2019-05-07 |
Family
ID=66299267
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811641246.1A Pending CN109726601A (zh) | 2018-12-29 | 2018-12-29 | 违规行为的识别方法及装置、存储介质、计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109726601A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110633872A (zh) * | 2019-09-26 | 2019-12-31 | 山东鲁能软件技术有限公司 | 一种基于大数据分析的违规行为识别方法及系统 |
| CN110955894A (zh) * | 2019-11-22 | 2020-04-03 | 深信服科技股份有限公司 | 一种恶意内容检测方法、装置、电子设备及可读存储介质 |
| CN111310183A (zh) * | 2020-03-04 | 2020-06-19 | 深信服科技股份有限公司 | 一种软件风险识别方法、装置、设备、存储介质及系统 |
| CN112380540A (zh) * | 2020-11-13 | 2021-02-19 | 武汉虹旭信息技术有限责任公司 | Android应用安全检测方法及装置 |
| CN112818868A (zh) * | 2021-02-03 | 2021-05-18 | 招联消费金融有限公司 | 基于行为序列特征数据的违规用户识别方法和装置 |
| CN116383020A (zh) * | 2023-01-18 | 2023-07-04 | 广州市神推网络科技有限公司 | 一种基于区块链的互联网数据分析管理系统及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110041179A1 (en) * | 2009-08-11 | 2011-02-17 | F-Secure Oyj | Malware detection |
| CN102890641A (zh) * | 2012-08-30 | 2013-01-23 | 北京奇虎科技有限公司 | 一种进程行为控制的方法和装置 |
| CN103108320A (zh) * | 2011-11-15 | 2013-05-15 | 网秦无限(北京)科技有限公司 | 一种监控移动设备的应用程序的方法和系统 |
| CN104205111A (zh) * | 2012-03-19 | 2014-12-10 | 高通股份有限公司 | 用以检测恶意软件的计算装置 |
| CN105740707A (zh) * | 2016-01-20 | 2016-07-06 | 北京京东尚科信息技术有限公司 | 恶意文件的识别方法和装置 |
| CN107580699A (zh) * | 2015-05-11 | 2018-01-12 | 高通股份有限公司 | 用于特定于行为的致动以实时白名单化的方法和系统 |
-
2018
- 2018-12-29 CN CN201811641246.1A patent/CN109726601A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110041179A1 (en) * | 2009-08-11 | 2011-02-17 | F-Secure Oyj | Malware detection |
| CN103108320A (zh) * | 2011-11-15 | 2013-05-15 | 网秦无限(北京)科技有限公司 | 一种监控移动设备的应用程序的方法和系统 |
| CN104205111A (zh) * | 2012-03-19 | 2014-12-10 | 高通股份有限公司 | 用以检测恶意软件的计算装置 |
| CN102890641A (zh) * | 2012-08-30 | 2013-01-23 | 北京奇虎科技有限公司 | 一种进程行为控制的方法和装置 |
| CN107580699A (zh) * | 2015-05-11 | 2018-01-12 | 高通股份有限公司 | 用于特定于行为的致动以实时白名单化的方法和系统 |
| CN105740707A (zh) * | 2016-01-20 | 2016-07-06 | 北京京东尚科信息技术有限公司 | 恶意文件的识别方法和装置 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110633872A (zh) * | 2019-09-26 | 2019-12-31 | 山东鲁能软件技术有限公司 | 一种基于大数据分析的违规行为识别方法及系统 |
| CN110955894A (zh) * | 2019-11-22 | 2020-04-03 | 深信服科技股份有限公司 | 一种恶意内容检测方法、装置、电子设备及可读存储介质 |
| CN111310183A (zh) * | 2020-03-04 | 2020-06-19 | 深信服科技股份有限公司 | 一种软件风险识别方法、装置、设备、存储介质及系统 |
| CN112380540A (zh) * | 2020-11-13 | 2021-02-19 | 武汉虹旭信息技术有限责任公司 | Android应用安全检测方法及装置 |
| CN112380540B (zh) * | 2020-11-13 | 2024-09-03 | 武汉虹旭信息技术有限责任公司 | Android应用安全检测方法及装置 |
| CN112818868A (zh) * | 2021-02-03 | 2021-05-18 | 招联消费金融有限公司 | 基于行为序列特征数据的违规用户识别方法和装置 |
| CN112818868B (zh) * | 2021-02-03 | 2024-05-28 | 招联消费金融股份有限公司 | 基于行为序列特征数据的违规用户识别方法和装置 |
| CN116383020A (zh) * | 2023-01-18 | 2023-07-04 | 广州市神推网络科技有限公司 | 一种基于区块链的互联网数据分析管理系统及方法 |
| CN116383020B (zh) * | 2023-01-18 | 2023-10-24 | 广州市神推网络科技有限公司 | 一种基于区块链的互联网数据分析管理系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109726601A (zh) | 违规行为的识别方法及装置、存储介质、计算机设备 | |
| KR102017756B1 (ko) | 이상행위 탐지 장치 및 방법 | |
| US8479276B1 (en) | Malware detection using risk analysis based on file system and network activity | |
| Han et al. | Malware analysis using visualized image matrices | |
| Sethi et al. | A novel malware analysis framework for malware detection and classification using machine learning approach | |
| US9680859B2 (en) | System, method and apparatus to visually configure an analysis of a program | |
| EP3566166B1 (en) | Management of security vulnerabilities | |
| SA515360536B1 (ar) | طريقة وجهاز وبرنامج حاسب لمراقبة نظام تحكم صناعي | |
| CN108763951B (zh) | 一种数据的保护方法及装置 | |
| CN109997143A (zh) | 敏感数据的安全共享 | |
| CN107392028A (zh) | 敏感信息的检测方法及其检测装置、存储介质、电子设备 | |
| KR101444308B1 (ko) | 정보 유출 조기 경보 시스템 | |
| CN107247902A (zh) | 恶意软件分类系统及方法 | |
| JP7531816B2 (ja) | イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム | |
| CN109815700A (zh) | 应用程序的处理方法及装置、存储介质、计算机设备 | |
| CN109815701A (zh) | 软件安全的检测方法、客户端、系统及存储介质 | |
| Ouda et al. | The impact of cloud computing on network security and the risk for organization behaviors | |
| CN109800569A (zh) | 程序鉴别方法及装置 | |
| CN114036059A (zh) | 面向电网系统的自动化渗透测试系统、方法和计算机设备 | |
| CN111581621A (zh) | 数据安全处理方法、装置、系统及存储介质 | |
| CN116226865A (zh) | 云原生应用的安全检测方法、装置、服务器、介质及产品 | |
| US8978150B1 (en) | Data recovery service with automated identification and response to compromised user credentials | |
| CN109684863A (zh) | 数据防泄漏方法、装置、设备及存储介质 | |
| CN117272308A (zh) | 软件安全测试方法、装置、设备、存储介质及程序产品 | |
| KR102541888B1 (ko) | 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Applicant after: Qianxin Safety Technology (Zhuhai) Co.,Ltd. Applicant after: QAX Technology Group Inc. Address before: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Applicant before: 360 ENTERPRISE SECURITY TECHNOLOGY (ZHUHAI) Co.,Ltd. Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190507 |