CN113779583B - 一种行为检测方法、装置、存储介质及电子设备 - Google Patents
一种行为检测方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN113779583B CN113779583B CN202111323250.5A CN202111323250A CN113779583B CN 113779583 B CN113779583 B CN 113779583B CN 202111323250 A CN202111323250 A CN 202111323250A CN 113779583 B CN113779583 B CN 113779583B
- Authority
- CN
- China
- Prior art keywords
- action
- information
- behavior
- data
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Abstract
本公开提供了一种行为检测方法、装置、存储介质及电子设备,该行为检测包括:获取进程行为数据、文件关联数据以及设备关联数据;基于进程行为数据、文件关联数据以及设备关联数据,确定目标行为的动作主体信息、动作信息以及动作受众信息;基于动作主体信息、动作信息以及动作受众信息,确定目标行为是否为异常行为。本公开通过获取的进程行为数据、文件关联数据以及设备关联数据来确定目标行为的动作主体信息、动作信息以及动作受众信息,以基于动作主体信息、动作信息以及动作受众信息确定目标行为是否为异常行为,也即能够从多个维度来确定目标行为是否异常行为,大大提高了准确度,降低了误报率。
Description
技术领域
本公开涉及网络安全技术领域,特别涉及一种行为检测方法、装置、存储介质及电子设备。
背景技术
随着信息技术的飞速发展,计算机和网络已成为日常办公、通讯交流和协作互动的必备工具和途径。与此同时,病毒木马等恶意文件所使用的技术以及黑客攻击者使用的攻击手法也不断变化更新。
现有技术中,主要依靠特征码和行为特征来对异常行为/异常软件进行鉴别,特征码主要指的是恶意文件中的特征字串,行为特征则主要指的是恶意软件为了实现攻击/长期驻留系统而采取的常见行为动作,安全软件通常通过提取恶意软件的特征码及总结恶意行为来实现对恶意软件/恶意攻击的查杀。但是,现有的行为特征主要为单点的行为特征,即当软件存在某一特定敏感动作如写入注册表启动项,便对该动作进行报警,判定该动作及软件为异常的,这种仅仅依靠单一维度特征即动作的检测策略,其误报率较高。
发明内容
有鉴于此,本公开实施例的目的在于提供一种行为检测方法、装置、存储介质及电子设备,用于解决现有技术中误报率较高的问题。
第一方面,本公开实施例提供了一种行为检测方法,其中,包括:
获取进程行为数据、文件关联数据以及设备关联数据;
基于所述进程行为数据、所述文件关联数据以及所述设备关联数据,确定目标行为的动作主体信息、动作信息以及动作受众信息;
基于所述动作主体信息、所述动作信息以及所述动作受众信息,确定所述目标行为是否为异常行为。
在一种可能的实施方式中,所述获取进程行为数据、文件关联数据以及设备关联数据,包括:
利用设备的内核的进程回调接口、对象回调接口以及目标函数获取进程行为数据;
利用文件过滤驱动从所述内核层面捕获文件关联数据;
利用所述进程回调接口获取设备关联数据。
在一种可能的实施方式中,所述基于所述进程行为数据、所述文件关联数据以及所述设备关联数据,确定目标行为的动作主体信息、动作信息以及动作受众信息,包括:
从所述进程行为数据中提取所述目标行为的动作信息;
从所述进程行为数据和所述文件关联数据中提取所述目标行为的动作主体信息;
从所述进程行为数据、所述文件关联数据以及所述设备关联数据中提取所述目标行为的动作受众信息。
在一种可能的实施方式中,所述基于所述动作主体信息、所述动作信息以及所述动作受众信息,确定所述目标行为是否为异常行为,包括:
基于预设主体确定所述动作主体信息是否符合第一检测规则;
在所述动作主体信息符合所述第一检测规则的情况下,确定所述动作主体信息对应的所述动作信息和所述动作受众信息是否符合第二检测规则;
若符合,则确定所述目标行为为异常行为。
在一种可能的实施方式中,响应于所述目标行为所属进程的起止事件,编辑该进程对应的进程链的节点;
响应于所述进程的其他动作事件,随所述进程中的行为变化动态调整所述进程链中相应的节点。
第二方面,本公开实施例还提供了一种行为检测装置,包括:
获取模块,其配置为获取进程行为数据、文件关联数据以及设备关联数据;
第一确定模块,其配置为基于所述进程行为数据、所述文件关联数据以及所述设备关联数据,确定目标行为的动作主体信息、动作信息以及动作受众信息;
第二确定模块,其配置为基于所述动作主体信息、所述动作信息以及所述动作受众信息,确定所述目标行为是否为异常行为。
在一种可能的实施方式中,所述第二确定模块具体配置为:
基于预设主体确定所述动作主体信息是否符合第一检测规则;
在所述动作主体信息符合所述第一检测规则的情况下,确定所述动作主体信息对应的所述动作信息和所述动作受众信息是否符合第二检测规则;
若符合,则确定所述目标行为为异常行为。
在一种可能的实施方式中,行为检测装置还包括调整模块,其配置为:
响应于所述目标行为所属进程的起止事件,编辑该进程对应的进程链的节点;
响应于所述进程的其他动作事件,随所述进程中的行为变化动态调整所述进程链中相应的节点。
第三方面,本公开实施例还提供了一种存储介质,其中,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如下步骤:
获取进程行为数据、文件关联数据以及设备关联数据;
基于所述进程行为数据、所述文件关联数据以及所述设备关联数据,确定目标行为的动作主体信息、动作信息以及动作受众信息;
基于所述动作主体信息、所述动作信息以及所述动作受众信息,确定所述目标行为是否为异常行为。
第四方面,本公开实施例还提供了一种电子设备,其中,包括:处理器和存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如下步骤:
获取进程行为数据、文件关联数据以及设备关联数据;
基于所述进程行为数据、所述文件关联数据以及所述设备关联数据,确定目标行为的动作主体信息、动作信息以及动作受众信息;
基于所述动作主体信息、所述动作信息以及所述动作受众信息,确定所述目标行为是否为异常行为。
本公开实施例通过获取的进程行为数据、文件关联数据以及设备关联数据来确定目标行为的动作主体信息、动作信息以及动作受众信息,以基于动作主体信息、动作信息以及动作受众信息确定目标行为是否为异常行为,也即能够从多个维度来确定目标行为是否异常行为,大大提高了准确度,相较于现有技术中仅依靠单一维度特征即动作来确定是否异常,降低了误报率。
为使本公开的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本公开或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出了本公开所提供的行为检测方法的流程图;
图2示出了本公开所提供的行为检测方法中确定目标行为是否为异常行为的流程图;
图3示出了本公开所提供的行为检测装置的结构示意图;
图4示出了本公开所提供的电子设备的结构示意图。
具体实施方式
此处参考附图描述本公开的各种方案以及特征。
应理解的是,可以对此处申请的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本公开的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本公开进行了描述,但本领域技术人员能够确定地实现本公开的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本公开的具体实施例;然而,应当理解,所申请的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所申请的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。
第一方面,为便于对本公开进行理解,首先对本公开所提供的一种行为检测方法进行详细介绍,该行为检测方法能够降低现有技术中仅依靠单一维度特征即动作来确定是否异常产生的误报率。
如图1所示,为本公开实施例提供的行为检测方法的流程图,其中,具体步骤包括S101-S103。
S101,获取进程行为数据、文件关联数据以及设备关联数据。
在具体实施中,在设备上执行的每个行为均会被记录,行为即为设备执行的动作,例如开机这一行为,会被记录开机时间、开机时长等;例如打开某文档这一行为,会被记录打开时间、该文档的大小、该文档存储的位置等。
具体地,利用设备的内核的进程回调接口、对象回调接口以及目标函数获取进程行为数据,其中,利用进程回调接口获取进程创建结束信息,利用对象回调接口获取注册表等相关对象的操作信息,利用目标函数获取关键进程行为信息,进而基于进程创建结束信息、相关对象的操作信息以及关键进程行为信息确定出进程行为数据,其中,目标函数可以为HOOK。例如软件A在上午11点打开了存储在硬盘上的文档1。
进一步地,利用文件过滤驱动从内核层面捕获文件关联数据,其中,文件关联数据包括文件存储的位置、文件的创建者、是否被修改、修改时间、修改者等。以及,利用内核的目标函数获取设备关联数据,其中,设备关联数据包括该行为的执行主体如设备本身、软件A等。
采用上述获取方式能够较为全面、准确且精细地获取到进程行为数据、文件关联数据以及设备关联数据。
S102,基于进程行为数据、文件关联数据以及设备关联数据,确定目标行为的动作主体信息、动作信息以及动作受众信息。
在获取到进程行为数据、文件关联数据以及设备关联数据之后,从进程行为数据中提取目标行为的动作信息,从进程行为数据和文件关联数据中提取目标行为的动作主体信息,从进程行为数据、文件关联数据以及设备关联数据中提取目标行为的动作受众信息。
例如软件A在上午11点打开了存储在硬盘上的文档1中,动作信息为打开,动作主体信息为软件A,动作受众信息为文档1;设备访问地址为X.X.X.X的网页,动作信息为访问,动作主体信息为设备,动作受众信息为地址为X.X.X.X的网页。
进一步地,响应于目标行为所属进程的起止事件,编辑该进程对应的进程链的节点;响应于进程的其他动作事件,随进程中的行为变化动态调整进程链中相应的节点。在具体实施中,一旦识别到进程创建/结束的相关事件,便在进程链中创建/删除一个节点,当捕获到进程的其它动作时,对进程链中的相应节点的属性进行编辑修改,使之随着进程行为变化而动态调整。也就是说,本公开实施例的行为检测方法可以针对一个行为进行检测,也可以针对多个连续行为进行检测。
S103,基于动作主体信息、动作信息以及动作受众信息,确定目标行为是否为异常行为。
在提取出动作主体信息、动作信息以及动作受众信息之后,参照图2示出的方法流程图来确定目标行为是否为异常行为,其中,具体步骤包括S201-S203。
S201,基于预设主体确定动作主体信息是否符合第一检测规则。
S202,在动作主体信息符合第一检测规则的情况下,确定动作主体信息对应的动作信息和动作受众信息是否符合第二检测规则。
S203,若符合,则确定目标行为为异常行为。
在提取出动作主体信息、动作信息以及动作受众信息之后,确定动作主体信息是否符合第一检测规则,第一检测规则为动作主体信息包括的动作主题与预设主体相同。其中,预设主体为基于历史行为信息确定的异常主体。
在动作主体信息符合第一检测规则的情况下,确定动作主体信息对应的动作信息和动作受众信息是否符合第二检测规则,该第二检测规则为动作信息中的动作与预设动作相同,或动作受众信息中的动作受众预设动作受众与相同,同样地,预设动作和预设动作受众为基于历史行为信息确定的异常动作和异常动作受众。
本公开实施例通过获取的进程行为数据、文件关联数据以及设备关联数据来确定目标行为的动作主体信息、动作信息以及动作受众信息,以基于动作主体信息、动作信息以及动作受众信息确定目标行为是否为异常行为,也即能够从多个维度来确定目标行为是否异常行为,大大提高了准确度,相较于现有技术中仅依靠单一维度特征即动作来确定是否异常,降低了误报率。
基于同一发明构思,本公开的第二方面还提供了一种与行为检测方法对应的行为检测装置,由于本公开中的装置解决问题的原理与本公开上述查询方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
参见图3所示,行为检测装置包括:
获取模块301,其配置为获取进程行为数据、文件关联数据以及设备关联数据;
第一确定模块302,其配置为基于所述进程行为数据、所述文件关联数据以及所述设备关联数据,确定目标行为的动作主体信息、动作信息以及动作受众信息;
第二确定模块303,其配置为基于所述动作主体信息、所述动作信息以及所述动作受众信息,确定所述目标行为是否为异常行为。
在另一实施例中,所述获取模块301具体配置为:
利用设备的内核的进程回调接口、对象回调接口以及目标函数获取进程行为数据;
利用文件过滤驱动从所述内核层面捕获文件关联数据;
利用所述进程回调接口获取设备关联数据。
在另一实施例中,第一确定模块302具体配置为:
从所述进程行为数据中提取所述目标行为的动作信息;
从所述进程行为数据和所述文件关联数据中提取所述目标行为的动作主体信息;
从所述进程行为数据、所述文件关联数据以及所述设备关联数据中提取所述目标行为的动作受众信息。
在另一实施例中,第二确定模块303具体配置为:
基于预设主体确定所述动作主体信息是否符合第一检测规则;
在所述动作主体信息符合所述第一检测规则的情况下,确定所述动作主体信息对应的所述动作信息和所述动作受众信息是否符合第二检测规则;
若符合,则确定所述目标行为为异常行为。
在另一实施例中,行为检测装置还包括调整模块304,其配置为:
响应于所述目标行为所属进程的起止事件,编辑该进程对应的进程链的节点;
响应于所述进程的其他动作事件,随所述进程中的行为变化动态调整所述进程链中相应的节点。
本公开实施例通过获取的进程行为数据、文件关联数据以及设备关联数据来确定目标行为的动作主体信息、动作信息以及动作受众信息,以基于动作主体信息、动作信息以及动作受众信息确定目标行为是否为异常行为,也即能够从多个维度来确定目标行为是否异常行为,大大提高了准确度,相较于现有技术中仅依靠单一维度特征即动作来确定是否异常,降低了误报率。
本公开的第三方面还提供了一种存储介质,该存储介质为计算机可读介质,存储有计算机程序,该计算机程序被处理器执行时实现本公开任意实施例提供的方法,包括如下步骤:
S11,获取进程行为数据、文件关联数据以及设备关联数据;
S12,基于所述进程行为数据、所述文件关联数据以及所述设备关联数据,确定目标行为的动作主体信息、动作信息以及动作受众信息;
S13,基于所述动作主体信息、所述动作信息以及所述动作受众信息,确定所述目标行为是否为异常行为。
计算机程序被处理器执行获取进程行为数据、文件关联数据以及设备关联数据时,还具体被处理器执行如下步骤:利用设备的内核的进程回调接口、对象回调接口以及目标函数获取进程行为数据;利用文件过滤驱动从所述内核层面捕获文件关联数据;利用所述进程回调接口获取设备关联数据。
计算机程序被处理器执行基于所述进程行为数据、所述文件关联数据以及所述设备关联数据,确定目标行为的动作主体信息、动作信息以及动作受众信息时,具体被处理器执行如下步骤:从所述进程行为数据中提取所述目标行为的动作信息;从所述进程行为数据和所述文件关联数据中提取所述目标行为的动作主体信息;从所述进程行为数据、所述文件关联数据以及所述设备关联数据中提取所述目标行为的动作受众信息。
计算机程序被处理器执行基于所述动作主体信息、所述动作信息以及所述动作受众信息,确定所述目标行为是否为异常行为时,还被处理器执行如下步骤:基于预设主体确定所述动作主体信息是否符合第一检测规则;在所述动作主体信息符合所述第一检测规则的情况下,确定所述动作主体信息对应的所述动作信息和所述动作受众信息是否符合第二检测规则;若符合,则确定所述目标行为为异常行为。
计算机程序被处理器执行行为检测方法时,具体被处理器执行如下步骤:响应于所述目标行为所属进程的起止事件,编辑该进程对应的进程链的节点;响应于所述进程的其他动作事件,随所述进程中的行为变化动态调整所述进程链中相应的节点。
本公开实施例通过获取的进程行为数据、文件关联数据以及设备关联数据来确定目标行为的动作主体信息、动作信息以及动作受众信息,以基于动作主体信息、动作信息以及动作受众信息确定目标行为是否为异常行为,也即能够从多个维度来确定目标行为是否异常行为,大大提高了准确度,相较于现有技术中仅依靠单一维度特征即动作来确定是否异常,降低了误报率。
需要说明的是,本公开上述的存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何存储介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
本公开的第四方面还提供了一种电子设备,如图4所示,该电子设备至少包括存储器401和处理器402,存储器401上存储有计算机程序,处理器402在执行存储器401上的计算机程序时实现本公开任意实施例提供的方法。示例性的,电子设备计算机程序执行的方法如下:
S21,获取进程行为数据、文件关联数据以及设备关联数据;
S22,基于所述进程行为数据、所述文件关联数据以及所述设备关联数据,确定目标行为的动作主体信息、动作信息以及动作受众信息;
S23,基于所述动作主体信息、所述动作信息以及所述动作受众信息,确定所述目标行为是否为异常行为。
处理器在执行存储器上存储的获取进程行为数据、文件关联数据以及设备关联数据时,还执行如下计算机程序:利用设备的内核的进程回调接口、对象回调接口以及目标函数获取进程行为数据;利用文件过滤驱动从所述内核层面捕获文件关联数据;利用所述进程回调接口获取设备关联数据。
处理器在执行存储器上存储的基于所述进程行为数据、所述文件关联数据以及所述设备关联数据,确定目标行为的动作主体信息、动作信息以及动作受众信息时,还执行如下计算机程序:从所述进程行为数据中提取所述目标行为的动作信息;从所述进程行为数据和所述文件关联数据中提取所述目标行为的动作主体信息;从所述进程行为数据、所述文件关联数据以及所述设备关联数据中提取所述目标行为的动作受众信息。
处理器在执行存储器上存储的基于所述动作主体信息、所述动作信息以及所述动作受众信息,确定所述目标行为是否为异常行为时,还执行如下计算机程序:基于预设主体确定所述动作主体信息是否符合第一检测规则;在所述动作主体信息符合所述第一检测规则的情况下,确定所述动作主体信息对应的所述动作信息和所述动作受众信息是否符合第二检测规则;若符合,则确定所述目标行为为异常行为。
处理器在执行存储器上存储的行为检测方法时,还执行如下计算机程序:响应于所述目标行为所属进程的起止事件,编辑该进程对应的进程链的节点;响应于所述进程的其他动作事件,随所述进程中的行为变化动态调整所述进程链中相应的节点。
本公开实施例通过获取的进程行为数据、文件关联数据以及设备关联数据来确定目标行为的动作主体信息、动作信息以及动作受众信息,以基于动作主体信息、动作信息以及动作受众信息确定目标行为是否为异常行为,也即能够从多个维度来确定目标行为是否异常行为,大大提高了准确度,相较于现有技术中仅依靠单一维度特征即动作来确定是否异常,降低了误报率。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本邻域技术人员应当理解,本公开中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
此外,虽然采用特定次序描绘了各操作,但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
以上对本公开多个实施例进行了详细说明,但本公开不限于这些具体的实施例,本邻域技术人员在本公开构思的基础上,能够做出多种变型和修改实施例,这些变型和修改都应落入本公开所要求保护的范围之内。
Claims (8)
1.一种行为检测方法,其特征在于,包括:
获取进程行为数据、文件关联数据以及设备关联数据;
基于所述进程行为数据、所述文件关联数据以及所述设备关联数据,确定目标行为的动作主体信息、动作信息以及动作受众信息;
基于所述动作主体信息、所述动作信息以及所述动作受众信息,确定所述目标行为是否为异常行为;
所述获取进程行为数据、文件关联数据以及设备关联数据,包括:
利用设备的内核的进程回调接口、对象回调接口以及目标函数获取进程行为数据;
利用文件过滤驱动从所述内核层面捕获文件关联数据;
利用所述进程回调接口获取设备关联数据;
所述基于所述进程行为数据、所述文件关联数据以及所述设备关联数据,确定目标行为的动作主体信息、动作信息以及动作受众信息,包括:
从所述进程行为数据中提取所述目标行为的动作信息;
从所述进程行为数据和所述文件关联数据中提取所述目标行为的动作主体信息;
从所述进程行为数据、所述文件关联数据以及所述设备关联数据中提取所述目标行为的动作受众信息。
2.根据权利要求1所述的行为检测方法,其特征在于,所述基于所述动作主体信息、所述动作信息以及所述动作受众信息,确定所述目标行为是否为异常行为,包括:
基于预设主体确定所述动作主体信息是否符合第一检测规则;其中,所述第一检测规则为所述动作主体信息包括的动作主体与预设主体相同,所述预设主体为基于历史行为信息确定的异常主体;
在所述动作主体信息符合所述第一检测规则的情况下,确定所述动作主体信息对应的所述动作信息和所述动作受众信息是否符合第二检测规则;其中,所述第二检测规则为所述动作信息中的动作与预设动作相同,或所述动作受众信息中的动作受众与预设动作受众相同,所述预设动作和所述预设动作受众为基于历史行为信息确定的异常动作和异常动作受众;
若符合,则确定所述目标行为为异常行为。
3.根据权利要求1所述的行为检测方法,其特征在于,还包括:
响应于所述目标行为所属进程的起止事件,编辑该进程对应的进程链的节点;
响应于所述进程的其他动作事件,随所述进程中的行为变化动态调整所述进程链中相应的节点。
4.一种行为检测装置,其特征在于,包括:
获取模块,其配置为获取进程行为数据、文件关联数据以及设备关联数据;
第一确定模块,其配置为基于所述进程行为数据、所述文件关联数据以及所述设备关联数据,确定目标行为的动作主体信息、动作信息以及动作受众信息;
第二确定模块,其配置为基于所述动作主体信息、所述动作信息以及所述动作受众信息,确定所述目标行为是否为异常行为;
所述获取模块具体配置为:
利用设备的内核的进程回调接口、对象回调接口以及目标函数获取进程行为数据;
利用文件过滤驱动从所述内核层面捕获文件关联数据;
利用所述进程回调接口获取设备关联数据;
所述第一确定模块具体配置为:
从所述进程行为数据中提取所述目标行为的动作信息;
从所述进程行为数据和所述文件关联数据中提取所述目标行为的动作主体信息;
从所述进程行为数据、所述文件关联数据以及所述设备关联数据中提取所述目标行为的动作受众信息。
5.根据权利要求4所述的行为检测装置,其特征在于,所述第二确定模块具体配置为:
基于预设主体确定所述动作主体信息是否符合第一检测规则;其中,所述第一检测规则为所述动作主体信息包括的动作主体与预设主体相同,所述预设主体为基于历史行为信息确定的异常主体;
在所述动作主体信息符合所述第一检测规则的情况下,确定所述动作主体信息对应的所述动作信息和所述动作受众信息是否符合第二检测规则;其中,所述第二检测规则为所述动作信息中的动作与预设动作相同,或所述动作受众信息中的动作受众与预设动作受众相同,所述预设动作和所述预设动作受众为基于历史行为信息确定的异常动作和异常动作受众;
若符合,则确定所述目标行为为异常行为。
6.根据权利要求4所述的行为检测装置,其特征在于,还包括调整模块,其配置为:
响应于所述目标行为所属进程的起止事件,编辑该进程对应的进程链的节点;
响应于所述进程的其他动作事件,随所述进程中的行为变化动态调整所述进程链中相应的节点。
7.一种存储介质,其特征在于,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如下步骤:
获取进程行为数据、文件关联数据以及设备关联数据;
基于所述进程行为数据、所述文件关联数据以及所述设备关联数据,确定目标行为的动作主体信息、动作信息以及动作受众信息;
基于所述动作主体信息、所述动作信息以及所述动作受众信息,确定所述目标行为是否为异常行为;
所述获取进程行为数据、文件关联数据以及设备关联数据,包括:
利用设备的内核的进程回调接口、对象回调接口以及目标函数获取进程行为数据;
利用文件过滤驱动从所述内核层面捕获文件关联数据;
利用所述进程回调接口获取设备关联数据;
所述基于所述进程行为数据、所述文件关联数据以及所述设备关联数据,确定目标行为的动作主体信息、动作信息以及动作受众信息,包括:
从所述进程行为数据中提取所述目标行为的动作信息;
从所述进程行为数据和所述文件关联数据中提取所述目标行为的动作主体信息;
从所述进程行为数据、所述文件关联数据以及所述设备关联数据中提取所述目标行为的动作受众信息。
8.一种电子设备,其特征在于,包括:处理器和存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如下步骤:
获取进程行为数据、文件关联数据以及设备关联数据;
基于所述进程行为数据、所述文件关联数据以及所述设备关联数据,确定目标行为的动作主体信息、动作信息以及动作受众信息;
基于所述动作主体信息、所述动作信息以及所述动作受众信息,确定所述目标行为是否为异常行为;
所述获取进程行为数据、文件关联数据以及设备关联数据,包括:
利用设备的内核的进程回调接口、对象回调接口以及目标函数获取进程行为数据;
利用文件过滤驱动从所述内核层面捕获文件关联数据;
利用所述进程回调接口获取设备关联数据;
所述基于所述进程行为数据、所述文件关联数据以及所述设备关联数据,确定目标行为的动作主体信息、动作信息以及动作受众信息,包括:
从所述进程行为数据中提取所述目标行为的动作信息;
从所述进程行为数据和所述文件关联数据中提取所述目标行为的动作主体信息;
从所述进程行为数据、所述文件关联数据以及所述设备关联数据中提取所述目标行为的动作受众信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111323250.5A CN113779583B (zh) | 2021-11-10 | 2021-11-10 | 一种行为检测方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111323250.5A CN113779583B (zh) | 2021-11-10 | 2021-11-10 | 一种行为检测方法、装置、存储介质及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113779583A CN113779583A (zh) | 2021-12-10 |
| CN113779583B true CN113779583B (zh) | 2022-02-22 |
Family
ID=78873648
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111323250.5A Active CN113779583B (zh) | 2021-11-10 | 2021-11-10 | 一种行为检测方法、装置、存储介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113779583B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102394859A (zh) * | 2011-07-27 | 2012-03-28 | 哈尔滨安天科技股份有限公司 | 基于线程行为的木马窃取文件检测方法和系统 |
| WO2013184281A1 (en) * | 2012-06-08 | 2013-12-12 | Crowdstrike, Inc. | Kernel-level security agent |
| CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
| CN105184166A (zh) * | 2015-10-21 | 2015-12-23 | 南京大学 | 基于内核的安卓程序实时行为分析方法及系统 |
| CN106557695A (zh) * | 2015-09-25 | 2017-04-05 | 卓望数码技术(深圳)有限公司 | 一种恶意应用检测方法和系统 |
-
2021
- 2021-11-10 CN CN202111323250.5A patent/CN113779583B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102394859A (zh) * | 2011-07-27 | 2012-03-28 | 哈尔滨安天科技股份有限公司 | 基于线程行为的木马窃取文件检测方法和系统 |
| WO2013184281A1 (en) * | 2012-06-08 | 2013-12-12 | Crowdstrike, Inc. | Kernel-level security agent |
| CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
| CN106557695A (zh) * | 2015-09-25 | 2017-04-05 | 卓望数码技术(深圳)有限公司 | 一种恶意应用检测方法和系统 |
| CN105184166A (zh) * | 2015-10-21 | 2015-12-23 | 南京大学 | 基于内核的安卓程序实时行为分析方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113779583A (zh) | 2021-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3316166B1 (en) | File-modifying malware detection | |
| US10915659B2 (en) | Privacy detection of a mobile application program | |
| US11030311B1 (en) | Detecting and protecting against computing breaches based on lateral movement of a computer file within an enterprise | |
| US8290994B2 (en) | Obtaining file system view in block-level data storage systems | |
| US10409980B2 (en) | Real-time representation of security-relevant system state | |
| US10216934B2 (en) | Inferential exploit attempt detection | |
| KR102534334B1 (ko) | 컴퓨팅 디바이스들에서 프로세스들에 대한 소프트웨어 공격들의 검출 | |
| WO2017193036A1 (en) | Machine learning model for malware dynamic analysis | |
| US8448243B1 (en) | Systems and methods for detecting unknown malware in an executable file | |
| WO2015081791A1 (zh) | 内核级恶意软件查杀的方法和装置 | |
| KR101937325B1 (ko) | 악성코드 감지 및 차단방법 및 그 장치 | |
| US10623426B1 (en) | Building a ground truth dataset for a machine learning-based security application | |
| US11297083B1 (en) | Identifying and protecting against an attack against an anomaly detector machine learning classifier | |
| CN113779583B (zh) | 一种行为检测方法、装置、存储介质及电子设备 | |
| CN105162765B (zh) | 一种基于断尾求生的云数据安全实现方法 | |
| CN113778826B (zh) | 一种日志处理方法及装置 | |
| GB2546567A (en) | Method of associating a person with a digital object | |
| CN113596044B (zh) | 一种网络防护方法、装置、电子设备及存储介质 | |
| CN113672925B (zh) | 阻止勒索软件攻击的方法、装置、存储介质及电子设备 | |
| US8621632B1 (en) | Systems and methods for locating malware | |
| CN110555307B (zh) | 识别和处理伪装型系统动态库的方法、装置、设备及介质 | |
| CN109472138B (zh) | 一种检测snort规则冲突的方法、装置和存储介质 | |
| US20220114253A1 (en) | Action plan estimation apparatus, action plan estimation method, and computer-readable recording medium | |
| CN114154155B (zh) | 目标程序生成方法、勒索程序检测方法、装置、设备 | |
| CN116506222B (zh) | 一种安全防护系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |