CN110619214A - 一种监控软件正常运行的方法和装置 - Google Patents
一种监控软件正常运行的方法和装置 Download PDFInfo
- Publication number
- CN110619214A CN110619214A CN201910755696.1A CN201910755696A CN110619214A CN 110619214 A CN110619214 A CN 110619214A CN 201910755696 A CN201910755696 A CN 201910755696A CN 110619214 A CN110619214 A CN 110619214A
- Authority
- CN
- China
- Prior art keywords
- software
- monitoring
- starting
- module
- rules
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 98
- 238000000034 method Methods 0.000 title claims abstract description 75
- 230000006399 behavior Effects 0.000 claims abstract description 70
- 230000008569 process Effects 0.000 claims abstract description 34
- 230000004044 response Effects 0.000 claims abstract description 25
- 230000001960 triggered effect Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 230000000903 blocking effect Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 235000015122 lemonade Nutrition 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种监控软件正常运行的方法,包括以下步骤:启动模块在接收到启动软件的指令后根据所述软件的基本信息以及启动所述软件的判断策略来判断是否启动所述软件;监控模块在所述启动模块启动所述软件后通过行为库中预定义的行为和规则监控软件的运行过程;响应模块响应于所述监控模块监测到所述软件存在所述预定义的行为或所述软件触发所述规则超过阈值而产生告警信息。本发明可有效地控制软件的运行行为,降低软件被恶意修改或者运行过程中被黑客利用的风险。
Description
技术领域
本发明涉及计算机领域,并且更具体地,涉及一种监控软件正常运行的方法和装置。
背景技术
互联网技术已经深入到人们生活的各个方面,可以说当前互联网技术是百花齐放,虚拟化、物联网等技术已经融入到生活的各个方面。与此同时,大量的服务软件、新型终端也不断的被开发出来,服务于人们的生活各个方面。这期间产生了大量的数据,如何保证这些软件、终端和产生的数据安全已经成为人们关注的焦点之一。
恶意代码为运行在目标主机之中的代码,能够破坏计算机系统、获取用户数据、控制计算机系统。其类别包括计算机病毒、蠕虫、木马、勒索软件、僵尸网络、恶意广告、Rootkit等。恶意代码防范是当前网络最大的威胁之一。由于其攻击手段的多样化和不确定性,特别是有些是针对客户专门设计的攻击手段,导致防御恶意代码的攻击的能力越来越难以构建。
如何通过规范软件的运行行为来保证其不被入侵、从而保证软件及其数据的安全性成为本发明所要考虑的问题。
发明内容
鉴于此,本发明实施例的目的在于提出一种监控软件正常运行的方法和装置,对软件的启动、运行、停止进行监控,并能够在出现不合理的行为时发出告警、阻断等动作。
基于上述目的,本发明实施例的一方面提供了一种监控软件正常运行的方法,包括以下步骤:
启动模块在接收到启动软件的指令后根据所述软件的基本信息以及启动所述软件的判断策略来判断是否启动所述软件;
监控模块在所述启动模块启动所述软件后通过行为库中预定义的行为和规则监控软件的运行过程;
响应模块响应于所述监控模块监测到所述软件存在所述预定义的行为或所述软件触发所述规则超过阈值而产生告警信息。
在一些实施方式中,所述软件的基本信息包括:软件的哈希值、证书信息、厂商信息、文件路径。
在一些实施方式中,所述启动模块在接收到启动软件的指令后根据所述软件基本信息以及启动所述软件的判断策略来判断是否启动所述软件包括:
所述启动模块在接收到启动软件的指令后,获取所述软件的基本信息并从数据库中读取预存的所述软件的基本信息。
在一些实施方式中,所述启动模块在接收到启动软件的指令后根据所述软件的基本信息以及启动所述软件的判断策略来判断是否启动所述软件还包括:
所述启动模块根据预先设置的判断策略将所述获取的软件的基本信息与所述从数据库中读取的所述软件的基本信息进行比对。
在一些实施方式中,所述监控模块在所述启动模块启动所述软件后通过行为库中预定义的行为和规则监控软件的运行过程包括:
所述监控模块监控所述软件的系统调用过程,并将所述调用过程构建为轨迹关系图,以将所述轨迹关系图与所述行为库中的行为和规则进行比较。
在一些实施方式中,所述监控模块在所述启动模块启动所述软件后通过行为库中预定义的行为和规则监控软件的运行过程还包括:
所述监控模块在内核层和应用层分别对所述软件进行监控,其中所述应用层的监控包括监控系统API,所述内核层的监控包括监控注册表、驱动、文件、内存。
在一些实施方式中,所述监控模块在所述启动模块启动所述软件后通过行为库中预定义的行为和规则监控软件的运行过程还包括:
所述行为库中预定义的规则对应于具有相应权值的种类,每个种类中包含具有相应分数的多个规则,并且所述每个种类中的所有规则的分数相加等于同一确定值。
在一些实施方式中,响应模块响应于所述监控模块监测到所述软件存在所述预定义的行为或所述软件触发所述规则超过阈值而产生告警信息包括:
响应于所述监控模块监测到所述软件触发的规则的分数与其对应的种类权值相乘后累计达到分数阈值,所述响应模块产生告警信息。
本发明实施例的另一方面提供了一种监控软件正常运行的装置,包括:
启动模块,所述启动模块在接收到启动软件的指令后根据所述软件的基本信息以及启动所述软件的判断策略来判断是否启动所述软件;
监控模块,所述监控模块在所述启动模块启动所述软件后通过行为库中预定义的行为和规则监控软件的运行过程;
响应模块,所述响应模块响应于所述监控模块监测到所述软件存在所述行为或所述软件触发所述规则超过阈值而产生告警信息。
本发明实施例的又一方面提供了一种监控软件正常运行的系统,包括:
至少一个处理器;和
存储器,所述存储器存储有处理器可运行的程序代码,所述程序代码在被处理器运行时实施上述方法。
本发明具有以下有益技术效果:本发明实施例提供的一种监控软件正常运行的方法和装置通过配置启动时的检测内容和运行过程中的内容,可有效的控制软件的运行行为,降低软件被恶意修改或者运行过程中被黑客利用的风险。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1是根据本发明的一种监控软件正常运行的方法的流程图;
图2是根据本发明的软件启动设置过程的示意图;
图3是根据本发明的软件启动过程的示意图;
图4是根据本发明的软件启动过程中的判断过程示意图;
图5是根据本发明的软件运行监控过程示意图;
图6是根据本发明的一种监控软件正常运行的装置示意图;
图7是根据本发明的一种监控软件正常运行的系统的硬件结构示意图。
具体实施方式
以下描述了本发明的实施例。然而,应该理解,所公开的实施例仅仅是示例,并且其他实施例可以采取各种替代形式。附图不一定按比例绘制;某些功能可能被夸大或最小化以显示特定部件的细节。因此,本文公开的具体结构和功能细节不应被解释为限制性的,而仅仅是作为用于教导本领域技术人员以各种方式使用本发明的代表性基础。如本领域普通技术人员将理解的,参考任何一个附图所示出和描述的各种特征可以与一个或多个其他附图中所示的特征组合以产生没有明确示出或描述的实施例。所示特征的组合为典型应用提供了代表性实施例。然而,与本发明的教导相一致的特征的各种组合和修改对于某些特定应用或实施方式可能是期望的。
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
基于上述目的,本发明的实施例一方面提出了一种监控软件正常运行的方法,如图1所示,包括以下步骤:
步骤S101:启动模块在接收到启动软件的指令后根据所述软件的基本信息以及启动所述软件的判断策略来判断是否启动所述软件;
步骤S102:监控模块在所述启动模块启动所述软件后通过行为库中预定义的行为和规则监控软件的运行过程;
步骤S103:响应模块响应于所述监控模块监测到所述软件存在所述预定义的行为或所述软件触发所述规则超过阈值而产生告警信息。
启动模块的作用是启动要监控的软件。要想通过本方法监控软件的执行,必须通过启动模块启动软件。启动模块在接收到启动软件的指令时会根据该软件的基本信息来判断是否启动该软件,如图2所示。在一些实施例中,所述启动模块在接收到启动软件的指令后根据所述软件基本信息以及启动所述软件的判断策略来判断是否启动所述软件包括:所述启动模块在接收到启动软件的指令后,获取所述软件的基本信息并从数据库中读取预存的所述软件的基本信息。
在一些实施例中,所述启动模块在接收到启动软件的指令后根据所述软件的基本信息以及启动所述软件的判断策略来判断是否启动所述软件还包括:所述启动模块根据预先设置的判断策略将所述获取的软件的基本信息与所述从数据库中读取的所述软件的基本信息进行比对。软件启动的判断策略是预先设置过的,可设置该软件启动的判断依据是对该软件的基本信息中的一项或者多项进行判断。判断依据中的任何一项不满足条件即阻断软件运行,如图3所示。为达到该目的,必须在软件启动之前先搜集软件的基本信息,并保存到数据库中,如图4所示。当软件启动时发现数据库中无此数据,则通知响应模块阻止运行并告警。
在一些实施例中,所述软件的基本信息包括:软件的哈希值、证书信息、厂商信息、文件路径。
在一些实施例中,所述监控模块在所述启动模块启动所述软件后通过行为库中预定义的行为和规则监控软件的运行过程包括:所述监控模块监控所述软件的系统调用过程,并将所述调用过程构建为轨迹关系图,以将所述轨迹关系图与所述行为库中的行为和规则进行比较。如图5所示,监控模块主要是通过监控软件的系统API调用、系统调用过程,并将这些调用过程构建为轨迹关系图,通过这些轨迹关系图与行为库中的异常行为和规则进行比较。若发现出现行为库的行为,则认为软件程序出现异常,通知响应模块告警;当触发的行为库中的规则大于行为库规定的阈值时,通知响应模块阻断程序运行并隔离程序。
在一些实施例中,所述监控模块在所述启动模块启动所述软件后通过行为库中预定义的行为和规则监控软件的运行过程还包括:所述监控模块在内核层和应用层分别对所述软件进行监控,其中所述应用层的监控包括监控系统API,所述内核层的监控包括监控注册表、驱动、文件、内存等关键位置。监控点在获取到这些软件运行信息时,会将这些信息发送到监控模块中的行为分析模块,行为分析模块根据行为库判断软件运行过程中是否违规。
行为分析过程中主要是根据预制的行为库进行。因为在软件运行时必须构建该软件的行为分析库。若该软件行为分析库为空。则不对该软件进行限制。构建软件行为库的方法可以有以下两种:比如经验判断法,根据经验判断该软件对系统及文件的影响范围,依次来制定规则;统计法,通过监控软件的运行过程,将软件的所有系统API调用、注册表、驱动、文件、内存等系统关键文件列出,来判断影响范围,依次制定规则。
在一些实施例中,所述监控模块在所述启动模块启动所述软件后通过行为库中预定义的行为和规则监控软件的运行过程还包括:所述行为库中预定义的规则对应于具有相应权值的种类,每个种类中包含具有相应分数的多个规则,并且所述每个种类中的所有规则的分数相加等于同一确定值。定制规则时,不同的规则可以分为不同的分数,当触发规则达到一定的分数(阈值)时,触发阻断动作。
在根据本发明的一个实施例中,采用百分制描述触发的规则,即每个种类都包含多个规则,每个种类中的所有规则的分数相加后都是100分。并且每个种类都对应相应的权值,所有种类的权值相加后等于1,例如,表1示出了某些规则种类和权值的对应关系。
序号 | 规则种类 | 权值范围 |
1 | 程序被注入其它程序的钩子 | 0-100% |
2 | 注册表 | 0-100% |
3 | 驱动 | 0-100% |
4 | 文件系统 | 0-100% |
5 | 执行文件 | 0-100% |
表1
其中,表1中所示规则种类包含的规则可以如下所示:程序被注入其它程序的钩子:检测软件是否被注入;注册表:检测检测软件是否对注册表有操作权限,注册表类检测可以包括是否对注册表有权限,如有权限则则确定对注册表的哪些键值有权限(权限分为查询、修改、创建、删除);驱动:检测软件是否有添加、删除、控制驱动的权限,若有权限检查软件对哪个驱动有权限;文件系统:检测软件是否文件系统有权限,若有权限检查对文件系统的哪些目录或文件有权限(读、写、创建、删除);执行文件:检测软件是否具有执行其它可执行文件的能力。若有检测软件具有的可执行文件的执行范围。
在一些实施例中,响应模块响应于所述监控模块监测到所述软件存在所述预定义的行为或所述软件触发所述规则超过阈值而产生告警信息包括:响应于所述监控模块监测到所述软件触发的规则的分数与其对应的种类权值相乘后累计达到分数阈值,所述响应模块产生告警信息。如上所述,所述阈值可以为0-100之间的数值。
在一些实施例中,响应模块响应于所述监控模块监测到所述软件存在所述行为或所述软件触发所述规则超过阈值而产生告警信息还包括;响应模块响应于所述监控模块监测到所述软件存在所述行为或所述软件触发所述规则超过阈值而阻断所述软件运行和/或隔离所述软件。即,响应模块根据监控模块的要求执行产生告警信息、阻断程序运行、隔离程序等操作。
在技术上可行的情况下,以上针对不同实施例所列举的技术特征可以相互组合,或者改变、添加以及省略等等,从而形成本发明范围内的另外实施例。
从上述实施例可以看出,本发明实施例提供的一种监控软件正常运行的方法通过配置启动时的检测内容和运行过程中的内容,可有效的控制软件的运行行为,降低软件被恶意修改或者运行过程中被黑客利用的风险。
基于上述目的,本发明实施例的另一个方面,提出了一种监控软件正常运行的装置,如图6所示,包括:
启动模块,所述启动模块在接收到启动软件的指令后根据所述软件的基本信息以及启动所述软件的判断策略来判断是否启动所述软件;
监控模块,所述监控模块在所述启动模块启动所述软件后通过行为库中预定义的行为和规则监控软件的运行过程;
响应模块,所述响应模块响应于所述监控模块监测到所述软件存在所述预定义的行为或所述软件触发所述规则超过阈值而产生告警信息。
基于上述目的,本发明实施例的又一个方面,提出了一种监控软件正常运行的系统的一个实施例。
所述监控软件正常运行的系统包括存储器、和至少一个处理器,存储器存储有可在处理器上运行的计算机程序,处理器执行程序时执行上述任意一种方法。
如图7所示,为本发明提供的监控软件正常运行的系统的一个实施例的硬件结构示意图。
以如图7所示的计算机设备为例,在该计算机设备中包括处理器701以及存储器702,并还可以包括:输入装置703和输出装置704。
处理器701、存储器702、输入装置703和输出装置704可以通过总线或者其他方式连接,图7中以通过总线连接为例。
存储器702作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本申请实施例中的所述监控软件正常运行的方法对应的程序指令/模块。处理器701通过运行存储在存储器702中的非易失性软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例的监控软件正常运行的方法。
存储器702可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据监控软件正常运行的方法所创建的数据等。此外,存储器702可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器702可选包括相对于处理器701远程设置的存储器,这些远程存储器可以通过网络连接至本地模块。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置703可接收输入的数字或字符信息,以及产生与监控软件正常运行的方法的计算机设备的用户设置以及功能控制有关的键信号输入。输出装置304可包括显示屏等显示设备。
所述一个或者多个监控软件正常运行的方法对应的程序指令/模块存储在所述存储器702中,当被所述处理器701执行时,执行上述任意方法实施例中的监控软件正常运行的方法。
所述执行所述监控软件正常运行的方法的计算机设备的任何一个实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。
此外,典型地,本发明实施例公开所述的装置、设备等可为各种电子终端设备,例如手机、个人数字助理(PDA)、平板电脑(PAD)、智能电视等,也可以是大型终端设备,如服务器等,因此本发明实施例公开的保护范围不应限定为某种特定类型的装置、设备。本发明实施例公开所述的客户端可以是以电子硬件、计算机软件或两者的组合形式应用于上述任意一种电子终端设备中。
此外,根据本发明实施例公开的方法还可以被实现为由CPU执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被CPU执行时,执行本发明实施例公开的方法中限定的上述功能。
此外,上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
此外,应该明白的是,本文所述的计算机可读存储介质(例如,存储器)可以是易失性存储器或非易失性存储器,或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的,非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦写可编程ROM(EEPROM)或快闪存储器。易失性存储器可以包括随机存取存储器(RAM),该RAM可以充当外部高速缓存存储器。作为例子而非限制性的,RAM可以以多种形式获得,比如同步RAM(DRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据速率SDRAM(DDR SDRAM)、增强SDRAM(ESDRAM)、同步链路DRAM(SLDRAM)、以及直接Rambus RAM(DRRAM)。所公开的方面的存储设备意在包括但不限于这些和其它合适类型的存储器。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现所述的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里所述功能的下列部件来实现或执行:通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器,但是可替换地,处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP和/或任何其它这种配置。
结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器,使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中,所述存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在ASIC中。ASIC可以驻留在用户终端中。在一个替换方案中,处理器和存储介质可以作为分立组件驻留在用户终端中。
在一个或多个示例性设计中,所述功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现,则可以将所述功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质,该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的,该计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储设备、磁盘存储设备或其它磁性存储设备,或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外,任何连接都可以适当地称为计算机可读介质。例如,如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(DSL)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件,则上述同轴线缆、光纤线缆、双绞线、DSL或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的,磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘、蓝光盘,其中磁盘通常磁性地再现数据,而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器、磁盘或光盘等。
上述实施例是实施方式的可能示例,并且仅仅为了清楚理解本发明的原理而提出。所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上所述的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (10)
1.一种监控软件正常运行的方法,其特征在于,包括以下步骤:
启动模块在接收到启动软件的指令后根据所述软件的基本信息以及启动所述软件的判断策略来判断是否启动所述软件;
监控模块在所述启动模块启动所述软件后通过行为库中预定义的行为和规则监控软件的运行过程;
响应模块响应于所述监控模块监测到所述软件存在所述预定义的行为或所述软件触发所述规则超过阈值而产生告警信息。
2.根据权利要求1所述的方法,其特征在于,所述软件的基本信息包括:软件的哈希值、证书信息、厂商信息、文件路径。
3.根据权利要求2所述的方法,其特征在于,所述启动模块在接收到启动软件的指令后根据所述软件基本信息以及启动所述软件的判断策略来判断是否启动所述软件包括:
所述启动模块在接收到启动软件的指令后,获取所述软件的基本信息并从数据库中读取预存的所述软件的基本信息。
4.根据权利要求3所述的方法,其特征在于,所述启动模块在接收到启动软件的指令后根据所述软件的基本信息以及启动所述软件的判断策略来判断是否启动所述软件还包括:
所述启动模块根据预先设置的判断策略将所述获取的软件的基本信息与所述从数据库中读取的所述软件的基本信息进行比对。
5.根据权利要求1所述的方法,其特征在于,所述监控模块在所述启动模块启动所述软件后通过行为库中预定义的行为和规则监控软件的运行过程包括:
所述监控模块监控所述软件的系统调用过程,并将所述调用过程构建为轨迹关系图,以将所述轨迹关系图与所述行为库中的行为和规则进行比较。
6.根据权利要求5所述的方法,其特征在于,所述监控模块在所述启动模块启动所述软件后通过行为库中预定义的行为和规则监控软件的运行过程还包括:
所述监控模块在内核层和应用层分别对所述软件进行监控,其中所述应用层的监控包括监控系统API,所述内核层的监控包括监控注册表、驱动、文件、内存。
7.根据权利要求6所述方法,其特征在于,所述监控模块在所述启动模块启动所述软件后通过行为库中预定义的行为和规则监控软件的运行过程还包括:
所述行为库中预定义的规则对应于具有相应权值的种类,每个种类中包含具有相应分数的多个规则,并且所述每个种类中的所有规则的分数相加等于同一确定值。
8.根据权利要求7所述的方法,其特征在于,响应模块响应于所述监控模块监测到所述软件存在所述预定义的行为或所述软件触发所述规则超过阈值而产生告警信息包括:
响应于所述监控模块监测到所述软件触发的规则的分数与其对应的种类权值相乘后累计达到分数阈值,所述响应模块产生告警信息。
9.一种监控软件正常运行的装置,其特征在于,包括:
启动模块,所述启动模块在接收到启动软件的指令后根据所述软件的基本信息以及启动所述软件的判断策略来判断是否启动所述软件;
监控模块,所述监控模块在所述启动模块启动所述软件后通过行为库中预定义的行为和规则监控软件的运行过程;
响应模块,所述响应模块响应于所述监控模块监测到所述软件存在所述行为或所述软件触发所述规则超过阈值而产生告警信息。
10.一种监控软件正常运行的系统,其特征在于,包括:
至少一个处理器;和
存储器,所述存储器存储有处理器可运行的程序代码,所述程序代码在被处理器运行时实施如权利要求1-8中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910755696.1A CN110619214A (zh) | 2019-08-15 | 2019-08-15 | 一种监控软件正常运行的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910755696.1A CN110619214A (zh) | 2019-08-15 | 2019-08-15 | 一种监控软件正常运行的方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110619214A true CN110619214A (zh) | 2019-12-27 |
Family
ID=68921191
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910755696.1A Pending CN110619214A (zh) | 2019-08-15 | 2019-08-15 | 一种监控软件正常运行的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110619214A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111241546A (zh) * | 2020-01-12 | 2020-06-05 | 苏州浪潮智能科技有限公司 | 一种恶意软件行为检测方法和装置 |
CN112765604A (zh) * | 2020-12-30 | 2021-05-07 | 上海磐御网络科技有限公司 | 一种基于人工智能的网络安全系统 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102831356A (zh) * | 2011-06-14 | 2012-12-19 | 武汉安珈教育科技有限公司 | 基于软件指纹的软件动态可信认证方法 |
CN102891752A (zh) * | 2011-07-22 | 2013-01-23 | 武汉安珈教育科技有限公司 | 基于网络指纹的软件动态可信认证方法 |
CN103782303A (zh) * | 2011-06-01 | 2014-05-07 | 迈可菲公司 | 对于恶意过程的基于非签名的检测的系统和方法 |
CN104517057A (zh) * | 2014-12-22 | 2015-04-15 | 中国人民解放军信息工程大学 | 基于可信计算的软件混合度量方法 |
CN104899511A (zh) * | 2015-05-21 | 2015-09-09 | 成都中科慧创科技有限公司 | 一种基于程序行为算法的主动防御方法 |
CN104933366A (zh) * | 2015-07-17 | 2015-09-23 | 成都布林特信息技术有限公司 | 一种移动终端应用程序处理方法 |
CN105069352A (zh) * | 2015-07-29 | 2015-11-18 | 浪潮电子信息产业股份有限公司 | 一种在服务器上构建可信应用程序运行环境的方法 |
CN107004089A (zh) * | 2014-08-11 | 2017-08-01 | 森蒂内尔实验室以色列有限公司 | 恶意软件检测方法及其系统 |
CN107992751A (zh) * | 2017-12-21 | 2018-05-04 | 郑州云海信息技术有限公司 | 一种基于分支行为模型的实时威胁检测方法 |
-
2019
- 2019-08-15 CN CN201910755696.1A patent/CN110619214A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103782303A (zh) * | 2011-06-01 | 2014-05-07 | 迈可菲公司 | 对于恶意过程的基于非签名的检测的系统和方法 |
CN102831356A (zh) * | 2011-06-14 | 2012-12-19 | 武汉安珈教育科技有限公司 | 基于软件指纹的软件动态可信认证方法 |
CN102891752A (zh) * | 2011-07-22 | 2013-01-23 | 武汉安珈教育科技有限公司 | 基于网络指纹的软件动态可信认证方法 |
CN107004089A (zh) * | 2014-08-11 | 2017-08-01 | 森蒂内尔实验室以色列有限公司 | 恶意软件检测方法及其系统 |
CN104517057A (zh) * | 2014-12-22 | 2015-04-15 | 中国人民解放军信息工程大学 | 基于可信计算的软件混合度量方法 |
CN104899511A (zh) * | 2015-05-21 | 2015-09-09 | 成都中科慧创科技有限公司 | 一种基于程序行为算法的主动防御方法 |
CN104933366A (zh) * | 2015-07-17 | 2015-09-23 | 成都布林特信息技术有限公司 | 一种移动终端应用程序处理方法 |
CN105069352A (zh) * | 2015-07-29 | 2015-11-18 | 浪潮电子信息产业股份有限公司 | 一种在服务器上构建可信应用程序运行环境的方法 |
CN107992751A (zh) * | 2017-12-21 | 2018-05-04 | 郑州云海信息技术有限公司 | 一种基于分支行为模型的实时威胁检测方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111241546A (zh) * | 2020-01-12 | 2020-06-05 | 苏州浪潮智能科技有限公司 | 一种恶意软件行为检测方法和装置 |
CN111241546B (zh) * | 2020-01-12 | 2022-06-21 | 苏州浪潮智能科技有限公司 | 一种恶意软件行为检测方法和装置 |
CN112765604A (zh) * | 2020-12-30 | 2021-05-07 | 上海磐御网络科技有限公司 | 一种基于人工智能的网络安全系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10893068B1 (en) | Ransomware file modification prevention technique | |
US11086983B2 (en) | System and method for authenticating safe software | |
US10430592B2 (en) | Integrity checking for computing devices | |
US9280664B2 (en) | Apparatus and method for blocking activity of malware | |
US10289838B2 (en) | Scoring for threat observables | |
US9479357B1 (en) | Detecting malware on mobile devices based on mobile behavior analysis | |
CN109155774B (zh) | 用于检测安全威胁的系统和方法 | |
US10867048B2 (en) | Dynamic security module server device and method of operating same | |
KR20160148544A (ko) | 예측에 기초한 보호 수준의 조정 및 멀웨어 취약 활동의 경고 방법 | |
US8898777B1 (en) | Systems and methods for detecting user activities to identify deceptive activity | |
US11785044B2 (en) | System and method for detection of malicious interactions in a computer network | |
US9679133B2 (en) | Contextual alert of an invasion of a computer system | |
JP5102659B2 (ja) | 悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、プログラム | |
CN106850509B (zh) | 网络访问控制方法及装置 | |
US11256802B1 (en) | Application behavioral fingerprints | |
CN111241546B (zh) | 一种恶意软件行为检测方法和装置 | |
CN110619214A (zh) | 一种监控软件正常运行的方法和装置 | |
CN103679024A (zh) | 病毒的处理方法及设备 | |
US20230283632A1 (en) | Detecting malicious url redirection chains | |
JP6591832B2 (ja) | ソフトウェア改ざん検知システム、及びネットワークセキュリティシステム | |
CN116611058A (zh) | 一种勒索病毒检测方法及相关系统 | |
JP7255681B2 (ja) | 実行制御システム、実行制御方法、及びプログラム | |
CN117271269A (zh) | 一种进程权限检测方法、装置、电子设备及存储介质 | |
CN114969727A (zh) | 基于区块链的攻击行为识别方法、装置和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191227 |