CN114021134A - 基于关联程序追踪的程序处理方法及装置、存储介质 - Google Patents

基于关联程序追踪的程序处理方法及装置、存储介质 Download PDF

Info

Publication number
CN114021134A
CN114021134A CN202111294512.XA CN202111294512A CN114021134A CN 114021134 A CN114021134 A CN 114021134A CN 202111294512 A CN202111294512 A CN 202111294512A CN 114021134 A CN114021134 A CN 114021134A
Authority
CN
China
Prior art keywords
target
behavior chain
behavior
program
similarity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111294512.XA
Other languages
English (en)
Inventor
陈俊儒
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qianxin Technology Group Co Ltd
Secworld Information Technology Beijing Co Ltd
Original Assignee
Qianxin Technology Group Co Ltd
Secworld Information Technology Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qianxin Technology Group Co Ltd, Secworld Information Technology Beijing Co Ltd filed Critical Qianxin Technology Group Co Ltd
Priority to CN202111294512.XA priority Critical patent/CN114021134A/zh
Publication of CN114021134A publication Critical patent/CN114021134A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请公开了一种基于关联程序追踪的程序处理方法及装置、存储介质,该方法包括:监控目标应用程序以及所述目标应用程序的关联程序各自对应的执行操作行为;基于所述执行操作行为,确定所述目标应用程序的目标行为链以及所述关联程序的关联行为链;识别所述目标行为链以及所述关联行为链是否属于恶意行为链;在所述目标行为链和/或所述关联行为链属于所述恶意行为链时,拦截所述目标应用程序以及所述关联程序。本申请有助于提升恶意程序的识别准确率和识别效率。

Description

基于关联程序追踪的程序处理方法及装置、存储介质
技术领域
本申请涉及计算机安全技术领域,尤其是涉及到一种基于关联程序追踪的程序处理方法及装置、存储介质。
背景技术
恶意软件是指在计算机系统上执行恶意任务的应用程序。企业的计算机设备若被安装恶意软件,恶意软件会进行窃取终端信息或发送欺诈信息等操作,严重影响企业的信息安全。防止恶意软件在计算机设备上进行恶意操作,是提高企业信息安全要解决的关键问题之一。
目前在恶意软件的检测中,一般是在软件发生恶意行为后,针对恶意行为产生的文件的特征值来进行恶意软件识别,例如通过预先收集的恶意软件对应的特征值,从而对本地软件文件的特征值进行比对来识别恶意软件。
上述查杀体系虽然能在一定程度上达到保护客户端设备的目的,然而,很多恶意软件窃取信息是通过多个恶意软件协同完成的,且特征值一般在恶意行为执行完成后获取,由于收集的恶意特征的局限性、特征获取的滞后性、恶意软件的多变性,短时内可能难以准确识别出全部的恶意软件。对于这种情况,现有技术缺乏相关的防护手段,难以及时阻止恶意行为,对计算机信息安全造成了严重威胁。
发明内容
有鉴于此,本申请提供了一种基于关联程序追踪的程序处理方法及装置、存储介质,有助于提升恶意程序的识别准确性和识别效率。
根据本申请的一个方面,提供了一种基于关联程序追踪的程序处理方法,包括:
监控目标应用程序以及所述目标应用程序的关联程序各自对应的执行操作行为;
基于所述执行操作行为,确定所述目标应用程序的目标行为链以及所述关联程序的关联行为链;
识别所述目标行为链以及所述关联行为链是否属于恶意行为链;
在所述目标行为链和/或所述关联行为链属于所述恶意行为链时,拦截所述目标应用程序以及所述关联程序。
可选地,所述关联程序包括上游关联程序和/或下游关联程序,所述目标应用程序通过执行所述上游关联程序的进程创建和/或下载,所述下游关联程序通过执行所述目标应用程序的进程创建和/或下载。
可选地,所述识别所述目标行为链以及所述关联行为链是否属于恶意行为链,具体包括:
根据预设恶意行为链,分别确定所述目标行为链与所述预设恶意行为链之间的目标相似度以及所述关联行为链与所述预设恶意行为链之间的关联相似度;
依据所述目标相似度、所述关联相似度以及预设相似度条件,识别所述目标行为链以及所述关联行为链是否属于所述恶意行为链。
可选地,所述预设恶意行为链包括至少一个应用程序样本对应的至少一个恶意行为链样本;所述根据预设恶意行为链,分别确定所述目标行为链与所述预设恶意行为链之间的目标相似度以及所述关联行为链与所述预设恶意行为链之间的关联相似度,具体包括:
确定所述预设恶意行为链中与所述目标程序对应的目标恶意行为链样本,以及与所述关联程序对应的关联恶意行为链样本;
计算所述目标行为链与所述目标恶意行为链样本之间的相似度,得到所述目标相似度;
计算所述关联行为链与所述关联恶意行为链样本之间的相似度,得到所述关联相似度。
可选地,所述计算所述目标行为链与所述目标恶意行为链样本之间的相似度,得到所述目标相似度,具体包括:
确定所述目标行为链中各目标执行操作行为及其对应的发生顺序;
分别在每个所述目标恶意行为链样本对应的第一样本执行操作行为中,提取与所述目标执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述目标恶意行为链样本对应的第一目标相似行为;
分别计算每个所述第一目标相似行为占各自对应的所述第一样本执行操作行为的第一比例,得到每个所述目标行为链与所述目标恶意行为链样本之间的相似度;
将数值最大的第一比例对应的相似度,确定为所述目标相似度;
所述计算所述关联行为链与所述关联恶意行为链样本之间的相似度,得到所述关联相似度,具体包括:
确定所述关联行为链中各关联执行操作行为及其对应的发生顺序;
分别在每个所述关联恶意行为链样本对应的第二样本执行操作行为中,提取与所述关联执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述关联恶意行为链样本对应的第一关联相似行为;
分别计算每个所述第一关联相似行为占各自对应的所述第二样本执行操作行为的第二比例,得到每个所述关联行为链与所述关联恶意行为链样本之间的相似度;
将数值最大的第二比例对应的相似度,确定为所述关联相似度。
可选地,所述根据预设恶意行为链,分别确定所述目标行为链与所述预设恶意行为链之间的目标相似度以及所述关联行为链与所述预设恶意行为链之间的关联相似度,具体包括:
若所述应用程序样本包括所述目标应用程序,则执行所述确定所述预设恶意行为链中与所述目标程序对应的目标恶意行为链样本,以及与所述关联程序对应的关联恶意行为链样本;
若所述应用程序样本不包括所述目标应用程序,则计算所述目标行为链与所述恶意行为链样本之间的相似度,得到所述目标相似度,以及计算所述关联行为链与所述恶意行为链样本之间的相似度,得到所述关联相似度。
可选地,所述计算所述目标行为链与所述恶意行为链样本之间的相似度,得到所述目标相似度,具体包括:
确定所述目标行为链中各目标执行操作行为及其对应的发生顺序;
分别在每个所述恶意行为链样本对应的第三样本执行操作行为中,提取与所述目标执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述恶意行为链样本对应的第二目标相似行为;
分别计算每个所述第二目标相似行为占各自对应的所述第三样本执行操作行为的第三比例,得到每个所述目标行为链与所述恶意行为链样本之间的相似度;
将数值最大的第三比例对应的相似度,确定为所述目标相似度;
所述计算所述关联行为链与所述恶意行为链样本之间的相似度,得到所述关联相似度,具体包括:
确定所述关联行为链中各关联执行操作行为及其对应的发生顺序;
分别在每个所述恶意行为链样本对应的第四样本执行操作行为中,提取与所述关联执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述恶意行为链样本对应的第二关联相似行为;
分别计算每个所述第二关联相似行为占各自对应的所述第四样本执行操作行为的第四比例,得到每个所述关联行为链与所述恶意行为链样本之间的相似度;
将数值最大的第四比例对应的相似度,确定为所述关联相似度比例。
可选地,所述根据预设恶意行为链,分别确定所述目标行为链与所述预设恶意行为链之间的目标相似度以及所述关联行为链与所述预设恶意行为链之间的关联相似度之前,所述方法还包括:
获取所述预设恶意行为链,并将所述预设恶意行为链保存在本地预设存储位置,其中,所述预设恶意行为链通过对敏感程序操作行为记录进行解析得到的多个有序行为确定。
根据本申请的另一方面,提供了一种基于关联程序追踪的程序处理装置,包括:
监控模块,用于监控目标应用程序以及所述目标应用程序的关联程序各自对应的执行操作行为;
行为链确定模块,用于基于所述执行操作行为,确定所述目标应用程序的目标行为链以及所述关联程序的关联行为链;
行为链识别模块,用于识别所述目标行为链以及所述关联行为链是否属于恶意行为链;
程序处理模块,用于在所述目标行为链和/或所述关联行为链属于所述恶意行为链时,拦截所述目标应用程序以及所述关联程序。
可选地,所述关联程序包括上游关联程序和/或下游关联程序,所述目标应用程序通过执行所述上游关联程序的进程创建和/或下载,所述下游关联程序通过执行所述目标应用程序的进程创建和/或下载。
可选地,所述行为链识别模块,具体用于:
根据预设恶意行为链,分别确定所述目标行为链与所述预设恶意行为链之间的目标相似度以及所述关联行为链与所述预设恶意行为链之间的关联相似度;
依据所述目标相似度、所述关联相似度以及预设相似度条件,识别所述目标行为链以及所述关联行为链是否属于所述恶意行为链。
可选地,所述预设恶意行为链包括至少一个应用程序样本对应的至少一个恶意行为链样本;所述行为链识别模块,具体用于:
确定所述预设恶意行为链中与所述目标程序对应的目标恶意行为链样本,以及与所述关联程序对应的关联恶意行为链样本;
计算所述目标行为链与所述目标恶意行为链样本之间的相似度,得到所述目标相似度;
计算所述关联行为链与所述关联恶意行为链样本之间的相似度,得到所述关联相似度。
可选地,所述行为链识别模块,具体用于:
确定所述目标行为链中各目标执行操作行为及其对应的发生顺序;分别在每个所述目标恶意行为链样本对应的第一样本执行操作行为中,提取与所述目标执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述目标恶意行为链样本对应的第一目标相似行为;分别计算每个所述第一目标相似行为占各自对应的所述第一样本执行操作行为的第一比例,得到每个所述目标行为链与所述目标恶意行为链样本之间的相似度;将数值最大的第一比例对应的相似度,确定为所述目标相似度;以及,
确定所述关联行为链中各关联执行操作行为及其对应的发生顺序;分别在每个所述关联恶意行为链样本对应的第二样本执行操作行为中,提取与所述关联执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述关联恶意行为链样本对应的第一关联相似行为;分别计算每个所述第一关联相似行为占各自对应的所述第二样本执行操作行为的第二比例,得到每个所述关联行为链与所述关联恶意行为链样本之间的相似度;将数值最大的第二比例对应的相似度,确定为所述关联相似度。
可选地,所述行为链识别模块,具体用于:
若所述应用程序样本包括所述目标应用程序,则执行所述确定所述预设恶意行为链中与所述目标程序对应的目标恶意行为链样本,以及与所述关联程序对应的关联恶意行为链样本;
若所述应用程序样本不包括所述目标应用程序,则计算所述目标行为链与所述恶意行为链样本之间的相似度,得到所述目标相似度,以及计算所述关联行为链与所述恶意行为链样本之间的相似度,得到所述关联相似度。
可选地,所述行为链识别模块,具体用于:
确定所述目标行为链中各目标执行操作行为及其对应的发生顺序;分别在每个所述恶意行为链样本对应的第三样本执行操作行为中,提取与所述目标执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述恶意行为链样本对应的第二目标相似行为;分别计算每个所述第二目标相似行为占各自对应的所述第三样本执行操作行为的第三比例,得到每个所述目标行为链与所述恶意行为链样本之间的相似度;将数值最大的第三比例对应的相似度,确定为所述目标相似度;以及,
确定所述关联行为链中各关联执行操作行为及其对应的发生顺序;分别在每个所述恶意行为链样本对应的第四样本执行操作行为中,提取与所述关联执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述恶意行为链样本对应的第二关联相似行为;分别计算每个所述第二关联相似行为占各自对应的所述第四样本执行操作行为的第四比例,得到每个所述关联行为链与所述恶意行为链样本之间的相似度;将数值最大的第四比例对应的相似度,确定为所述关联相似度比例。
可选地,所述装置还包括:
恶意行为链获取模块,用于所述根据预设恶意行为链,分别确定所述目标行为链与所述预设恶意行为链之间的目标相似度以及所述关联行为链与所述预设恶意行为链之间的关联相似度之前,获取所述预设恶意行为链,并将所述预设恶意行为链保存在本地预设存储位置,其中,所述预设恶意行为链通过对敏感程序操作行为记录进行解析得到的多个有序行为确定。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述基于关联程序追踪的程序处理方法。
依据本申请再一个方面,提供了一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述基于关联程序追踪的程序处理方法。
借由上述技术方案,本申请提供的一种基于关联程序追踪的程序处理方法及装置、存储介质,对目标应用程序和关联程序各自的执行操作行为进行监控,确定目标应用程序的目标行为链以及关联程序的关联行为链,从而对目标行为链和关联行为链进行识别,并在识别到其中至少一个属于恶意行为链的情况下,对目标应用程序和关联程序进行拦截。本申请实施例相比于现有技术中对各程序文件的特征值进行独立识别的方式,可以在程序运行过程中对多个关联程序进行追踪识别,不仅提升了恶意程序的识别效率,而且对于多个程序协同作恶的情况,只要识别出一个恶意程序就可以即使发现其他相关恶意程序,提升了相关程序的识别准确性。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种基于关联程序追踪的程序处理方法的流程示意图;
图2示出了本申请实施例提供的一种程序操作行为执行的流程示意图;
图3示出了本申请实施例提供的另一种基于关联程序追踪的程序处理方法的流程示意图;
图4示出了本申请实施例提供的一种基于关联程序追踪的程序处理装置的结构示意图;
图5示出了本申请实施例提供的另一种基于关联程序追踪的程序处理装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本实施例中提供了一种基于关联程序追踪的程序处理方法,如图1所示,该方法包括:
步骤101,监控目标应用程序以及所述目标应用程序的关联程序各自对应的执行操作行为。
在本申请实施例中,操作系统可以实时对系统中各应用程序的程序行为进行监控,具体地,可以采用函数调用监控工具对各程序进行跟踪监控,并形成记录有每次程序运行时留下的行为记录的监控日志,从而在监控到目标应用程序执行的操作行为后,在监控日志中获取目标应用程序行为对应的行为记录。另外,为了减少系统内存占用,提高系统运行效率,也可以设置监控周期,按周期在系统日志中查询程序行为,并获取对应的行为记录,在此不做限定。
可以理解的是,为了提高恶意程序的识别效率,可以在监控系统正在执行程序的过程中,优先将存在敏感或者异常操作行为的程序作为目标应用程序优先鉴别,从而保证恶意程序可以在第一时间被发现并拦截,提高操作系统的安全性。
步骤102,基于所述执行操作行为,确定所述目标应用程序的目标行为链以及所述关联程序的关联行为链。
进一步,由于各程序在执行操作行为的过程中会涉及到各种行为操作,如填写注册表、收集注册信息、查询网络状态等行为操作,所以目标应用程序执行操作行为对应有一系列行为操作流程,该行为操作流程相当于行为链。基于系统监控信息,可以依据各操作行为的先后次序生成目标应用程序执行操作行为的目标行为链,该目标行为链记录了目标应用程序执行操作行为过程中每一个行为操作对应的操作信息。
需要说明的是,上述行为链中每一个行为操作具有线后顺序,例如,一个目标行为链可以包括但不限制于以下几个步骤,第一步,收集程序进程信息,第二步,从程序进程信息中挑选攻击进程,第三步,在攻击进程中注入恶意代码,第四步,调整入口地址和基地址,并恢复进程。
步骤103,识别所述目标行为链以及所述关联行为链是否属于恶意行为链。
在该实施例中,可以通过目标应用程序的执行操作行为特征来识别目标应用程序是否属于恶意程序,其中,目标应用程序的执行操作行为特征可以通过目标行为链来体现,即可以通过对目标行为链进行分析,以识别出目标应用程序是否属于恶意程序,同理,还可以通过对关联行为链进行分析,以识别出目标应用程序是否属于恶意程序。在具体应用场景中,可以通过预设的恶意行为对应的恶意行为链对目标行为链和关联行为链进行识别,以判断目标行为链、关联行为链是否满足恶意行为特征,实现对恶意行为链的识别;也可以通过预设的合法行为对应的合法行为链对目标行为链和关联行为链进行识别,以判断目标行为链、关联行为链是否满足合法行为特征,若不满足则判定为属于恶意行为链;还可以利用专家系统对目标行为链、关联行为链进行分析,以实现对恶意行为链的识别,其中,专家系统为通过机器学习训练的恶意程序识别系统。在此不限定恶意行为链的识别方法。
步骤104,在所述目标行为链和/或所述关联行为链属于所述恶意行为链时,拦截所述目标应用程序以及所述关联程序。
进一步,在识别出目标行为链、关联行为链中至少一个属于恶意行为链时,说明目标应用程序、关联程序中存在恶意程序,而由于这两个程序之间互相关联,即目标应用程序和关联程序可能存在一方利用另一方执行恶意行为的情况,因此可以将这两个程序都认定为恶意程序进行拦截,提升终端系统安全性,对各程序进行关联识别,减少对每个程序独立判断导致的识别准确率低的问题产生,提升了恶意程序识别的准确性。当然,也可以先对这两个程序进行拦截,再通过其他手段例如专家系统进一步识别,以降低恶意程序误识别的概率,进一步提升识别准确性,其中,专家系统为通过机器学习训练的恶意程序识别系统。
通过应用本实施例的技术方案,对目标应用程序和关联程序各自的执行操作行为进行监控,确定目标应用程序的目标行为链以及关联程序的关联行为链,从而对目标行为链和关联行为链进行识别,并在识别到其中至少一个属于恶意行为链的情况下,对目标应用程序和关联程序进行拦截。本申请实施例相比于现有技术中对各程序文件的特征值进行独立识别的方式,可以在程序运行过程中对多个关联程序进行追踪识别,不仅提升了恶意程序的识别效率,而且对于多个程序协同作恶的情况,只要识别出一个恶意程序就可以即使发现其他相关恶意程序,提升了相关程序的识别准确性。
在本申请实施例中,可选地,所述关联程序包括上游关联程序和/或下游关联程序,所述目标应用程序通过执行所述上游关联程序的进程创建和/或下载,所述下游关联程序通过执行所述目标应用程序的进程创建和/或下载。
在上述实施例中,对应目标应用程序来说,关联程序可以包括上游关联程序和/或下游关联程序,上游关联程序具体可以通过调用进程来创建、下载目标应用程序,反之,下游关联程序具体是目标应用程序通过调用进程实现创建、下载的程序,也可以说,目标应用程序是通过某个进程执行上游关联程序而实现创建、下载的程序,而下游关联程序是通过某个进程执行目标应用程序而实现创建、下载的程序。因此,本申请方案,通过跨进程对上下游进程实施追踪,不仅能够对目标应用程序是否恶意实施追踪,还能够对与目标应用程序处于上、下游进程中的关联程序实施追踪,确保恶意程序识别更加彻底、准确。
如图2所示,恶意程序A从云端将恶意程序B下载到本地,恶意程序A是恶意程序B的上游关联程序,反之,恶意程序B是恶意程序A的下游关联程序,同理恶意程序A通过修改注册表将恶意程序B加载到启动项中,操作系统对启动项中的恶意程序B,即可以认为恶意程序A创建了恶意程序B,这时恶意程序A是恶意程序B的上游关联程序,反之,恶意程序B是恶意程序A的下游关联程序。
进一步,在进行恶意程序识别时,不仅可以识别目标应用程序本身,还可以对相应的关联程序进行识别,以减少恶意程序特征库不够全面,导致恶意程序漏识别的现象发生,只要识别出一个程序为恶意程序,就可以对同一条链路上的其他程序进行拦截,提升恶意程序识别的效率和准确率,进而提升系统安全性。例如针对程序A的识别,不仅对程序A本身的行为链进行识别,还可以对程序A的上、下游关联程序B、C的行为链进行识别,假设程序B被认为是恶意程序,那么相关程序A、C都可以暂认为是恶意程序进行拦截。如图2所示,若只对单个的程序进行识别,恶意程序A只执行了下载/注册恶意程序B的行为,基于现有的恶意程序识别机制,可能很难识别出该程序为恶意程序,而如果对关联程序即恶意程序B进行追踪识别,基于恶意程序B的启动、检查浏览器、检查通讯录、检查邮箱、发送数据等行为,在判定关联程序B为恶意程序时,就可以更准确、快速的实现对恶意程序A的识别。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,提供了另一种基于关联程序追踪的程序处理方法,如图3所示,该方法包括:
步骤201,获取所述预设恶意行为链,并将所述预设恶意行为链保存在本地预设存储位置,其中,所述预设恶意行为链通过对敏感程序操作行为记录进行解析得到的多个有序行为确定。
通常情况下,恶意程序存在的操作行为包括两个方面,一个是恶意的操作行为,如拒绝网络服务,网络病毒等等,这些行为旨在消耗服务器资源,影响服务器正常工作,甚至服务器所在网络的瘫痪;另一个是恶意的入侵行为,这种行为更是会导致服务器敏感信息泄露,入侵者可以为所欲为,肆意破坏服务器。
在该实施例中,终端执行程序之前,可以先获取预设恶意行为链,并将其存储在预设存储位置,以便后续在该位置读取预设恶意行为链进行恶意程序识别。预设恶意行为链可以由预设终端通过对预设的敏感程序操作行为记录进行解析的方式确定,敏感程序可以包括预先确定的恶意程序,还可以包括恶意程序的相关程序,例如恶意程序操控的程序。针对恶意程序,可以通过获取恶意程序的操作行为日志,并对日志进行解析的方式得到多个有序行为,将有序行为依次排列形成行为链。针对恶意程序的相关程序,可以通过技术人员设定的方式、或者对相关程序的恶意操作记录进行解析的方式等,得到对应的行为链。
具体对于恶意程序以及恶意程序操纵的相关程序(以下简称为恶意程序)可以通过特征码查杀技术来提取恶意程序的操作行为,这里的特征码查杀技术可以是提取恶意程序代码中的特征码,通过特殊字字符串提取特征码,提取通杀特征码等等,还可以通过启发式查杀技术来提取恶意程序的操作行为,例如,通过分析恶意程序执行指令的顺序或特定行为组合情况等特征,还可以是通过虚拟机查杀技术来提取恶意程序的操作行为,例如,在扫描恶意程序时,通过将恶意程序加载到虚拟机环境中运行,从而让恶意程序自动脱壳恢复为已有状态。其中,沙箱机制下相当于虚拟机环境,通过重定向技术,可以对恶意程序中每一个操作行为进行测试,从而抽取恶意程序执行操作行为过程中每一个行为操作,形成恶意程序执行操作行为的行为链。在提取到恶意程序的操作行为后,由于沙箱机制处于密闭的环境,具有较高的安全性,通过沙箱机制解析恶意程序的操作行为,得到每个恶意程序对应的至少一条恶意行为链。
步骤202,监控目标应用程序以及所述目标应用程序的关联程序各自对应的执行操作行为。
步骤203,基于所述执行操作行为,确定所述目标应用程序的目标行为链以及所述关联程序的关联行为链。
本申请实施例可以对系统中运行的各应用程序进行监控,监控不局限于目标应用程序本申请的执行操作行为,还可以包括目标应用程序的关联程序的执行操作行为,即下载、创建目标应用程序的上游关联程序,以及被目标应用程序下载、创建的下游关联程序。进而依据监控信息,生成目标应用程序的目标行为链以及关联程序的关联行为链。
步骤204,根据预设恶意行为链,分别确定所述目标行为链与所述预设恶意行为链之间的目标相似度以及所述关联行为链与所述预设恶意行为链之间的关联相似度。
本申请实施例中,可以根据目标行为链与预设恶意行为链的目标相似度,以便识别目标应用程序是否属于已知的恶意程序类型,以及根据关联行为链与预设恶意行为链的关联相似度,以便识别关联应用程序是否属于已知的恶意程序类型。可选地,所述预设恶意行为链包括至少一个应用程序样本对应的至少一个恶意行为链样本;步骤204具体可以包括:
步骤204-1,若所述应用程序样本包括所述目标应用程序,则确定所述预设恶意行为链中与所述目标程序对应的目标恶意行为链样本,以及与所述关联程序对应的关联恶意行为链样本;计算所述目标行为链与所述目标恶意行为链样本之间的相似度,得到所述目标相似度;计算所述关联行为链与所述关联恶意行为链样本之间的相似度,得到所述关联相似度。
步骤204-2,若所述应用程序样本不包括所述目标应用程序,则计算所述目标行为链与所述恶意行为链样本之间的相似度,得到所述目标相似度,以及计算所述关联行为链与所述恶意行为链样本之间的相似度,得到所述关联相似度。
在上述实施例中,预先获取的预设恶意行为链可以包括不同应用程序样本(即敏感程序)各自对应的至少一个恶意行为链样本。为提升识别效率和准确率,可以在预设恶意行为链中获取到与目标应用程序相同或类型相同的应用程序样本对应的恶意行为链样本,作为目标恶意行为链样本,进一步,如果目标恶意行为链样本包括多个,可以分别计算每个目标恶意行为链样本与目标行为链之间的相似度,并获取最大相似度作为目标相似度,如果目标恶意行为链样本只有一个,则直接将该一个目标恶意行为链样本与目标行为链之间的相似度作为目标相似度。关联相似度的计算方式与步骤204-1中目标相似度的计算方式类似,在此不再赘述。
另外,如果预设恶意行为链对应的应用程序样本不包括目标应用程序,也不包括与目标应用程序相同类型的程序样本,那么基于恶意程序的操作行为具有相似性这一特点,可以不区分行为链对应的应用程序,分别计算目标行为链与每个预设恶意行为链之间的相似度,并获取最大相似度作为目标相似度。关联相似度的计算方式与步骤204-2中目标相似度的计算方式类似,在此不再赘述。
在具体的应用场景中,可选地,步骤204-1中计算目标相似度的方法具体可以包括:确定所述目标行为链中各目标执行操作行为及其对应的发生顺序;分别在每个所述目标恶意行为链样本对应的第一样本执行操作行为中,提取与所述目标执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述目标恶意行为链样本对应的第一目标相似行为;分别计算每个所述第一目标相似行为占各自对应的所述第一样本执行操作行为的第一比例,得到每个所述目标行为链与所述目标恶意行为链样本之间的相似度;将数值最大的第一比例对应的相似度,确定为所述目标相似度;
步骤204-1中计算关联相似度的方法具体可以包括:确定所述关联行为链中各关联执行操作行为及其对应的发生顺序;分别在每个所述关联恶意行为链样本对应的第二样本执行操作行为中,提取与所述关联执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述关联恶意行为链样本对应的第一关联相似行为;分别计算每个所述第一关联相似行为占各自对应的所述第二样本执行操作行为的第二比例,得到每个所述关联行为链与所述关联恶意行为链样本之间的相似度;将数值最大的第二比例对应的相似度,确定为所述关联相似度。
在该实施例中,获取目标行为链中各目标执行操作行为以及发生各行为的顺序,对任意一个目标恶意行为链样本来说,从目标恶意行为链样本包含的第一样本执行操作行为中,提取出其中与目标执行操作行为匹配或部分匹配,并且发生顺序一致的行为,将其作为第一目标相似行为。
例如目标行为链A依次包括行为1、行为2、行为3、行为4、行为5,某个目标恶意行为链样本B包括有序的行为1、行为6、行为3、行为4,那么可以先依据行为链A中的第一个行为即行为1,识别行为链样本B中是否包含行为1,若包含则将行为1提取出来,并在行为链样本B剩余的行为(即行为6、行为3、行为4)中识别是否包含行为链A中的第二个行为即行为2,若不包含则继续识别该剩余的行为(由于没有新的行为被获取,剩余行为链不变)中是否包含行为链A中的第三个行为即行为3,若包含则将行为3提取出来,并继续识别行为链样本B中行为3之后的剩余行为中是否包含行为链A中的第四个行为即行为4,若包含则将行为4提取出来,完成对行为链A中全部行为的识别,最终提取出的第一目标相似行为包括行为1、行为3、行为4。基于某个目标恶意行为链样本,得到第一目标相似行为后,可以计算第一目标相似行为的数量占该目标恶意行为链样本的全部行为数量的比例,将全部目标恶意行为链样本都进行计算后,将计算出的最大比例作为目标相似度。另外,关联相似度的计算方式与上述计算目标相似度的方式类似,在此不再赘述。
需要说明的是,为提升识别准确率和效率,在确定预设恶意行为链时,每个行为链中可以尽量保留最关键的几个核心行为,以便在程序产生了核心的执行操作行为,就可以准确识别出恶意程序。
在本申请实施例中,可选地,步骤204-2具体可以包括:确定所述目标行为链中各目标执行操作行为及其对应的发生顺序;分别在每个所述恶意行为链样本对应的第三样本执行操作行为中,提取与所述目标执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述恶意行为链样本对应的第二目标相似行为;分别计算每个所述第二目标相似行为占各自对应的所述第三样本执行操作行为的第三比例,得到每个所述目标行为链与所述恶意行为链样本之间的相似度;将数值最大的第三比例对应的相似度,确定为所述目标相似度;以及,
确定所述关联行为链中各关联执行操作行为及其对应的发生顺序;分别在每个所述恶意行为链样本对应的第四样本执行操作行为中,提取与所述关联执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述恶意行为链样本对应的第二关联相似行为;分别计算每个所述第二关联相似行为占各自对应的所述第四样本执行操作行为的第四比例,得到每个所述关联行为链与所述恶意行为链样本之间的相似度;将数值最大的第四比例对应的相似度,确定为所述关联相似度比例。
在上述实施例中,确定目标行为链对应的目标执行操作行为及发生顺序后,对任意一个恶意行为链样本来说,提取第二目标相似行为,并计算第二目标相似行为的数量占该恶意行为链样本中全部行为的比例,从而将各恶意行为链样本对应的最大比例作为目标相似度。具体计算方式与上文确定第一目标相似行为,以及计算第一目标相似行为对应的目标相似度的方式相似,在此不再赘述。同理,基于相似的方式可以得出关联相似度。
步骤205,依据所述目标相似度、所述关联相似度以及预设相似度条件,识别所述目标行为链以及所述关联行为链是否属于所述恶意行为链。
步骤206,在所述目标行为链和/或所述关联行为链属于所述恶意行为链时,拦截所述目标应用程序以及所述关联程序。
在本申请实施例中,预设相似度条件具体可以包括目标相似度阈值以及关联相似度阈值,其中,目标相似度阈值和关联相似度阈值可以相同,也可以不同。当判定目标相似度、关联相似度中至少一个满足预设相似度条件时,可以将目标应用程序及其对应的关联程序都暂定为恶意程序,并进行拦截。从而实现在程序运行过程中对程序本身以及关联程序的快速识别。
通过应用本申请实施例的技术方案,在恶意程序运行过程中,可以基于该监控机制,可以实时计算出已执行行为对应的行为链与对应的预设恶意行为链之间的相似度,从而在满足预设相似度条件时,对目标应用程序和关联程序进行拦截,只要恶意程序执行了一定数量的预设恶意行为链中的行为,基于该机制就可以快速识别出恶意程序及其对应的关联程序,提升了恶意程序识别的效率和准确率。
进一步的,作为图1方法的具体实现,本申请实施例提供了一种基于关联程序追踪的程序处理装置,如图4所示,该装置包括:
监控模块,用于监控目标应用程序以及所述目标应用程序的关联程序各自对应的执行操作行为;
行为链确定模块,用于基于所述执行操作行为,确定所述目标应用程序的目标行为链以及所述关联程序的关联行为链;
行为链识别模块,用于识别所述目标行为链以及所述关联行为链是否属于恶意行为链;
程序处理模块,用于在所述目标行为链和/或所述关联行为链属于所述恶意行为链时,拦截所述目标应用程序以及所述关联程序。
在本申请实施例中,可选地,所述关联程序包括上游关联程序和/或下游关联程序,所述目标应用程序通过执行所述上游关联程序的进程创建和/或下载,所述下游关联程序通过执行所述目标应用程序的进程创建和/或下载。
在本申请实施例中,可选地,所述行为链识别模块,具体用于:根据预设恶意行为链,分别确定所述目标行为链与所述预设恶意行为链之间的目标相似度以及所述关联行为链与所述预设恶意行为链之间的关联相似度;依据所述目标相似度、所述关联相似度以及预设相似度条件,识别所述目标行为链以及所述关联行为链是否属于所述恶意行为链。
在本申请实施例中,可选地,所述预设恶意行为链包括至少一个应用程序样本对应的至少一个恶意行为链样本;所述行为链识别模块,具体用于:
确定所述预设恶意行为链中与所述目标程序对应的目标恶意行为链样本,以及与所述关联程序对应的关联恶意行为链样本;
计算所述目标行为链与所述目标恶意行为链样本之间的相似度,得到所述目标相似度;
计算所述关联行为链与所述关联恶意行为链样本之间的相似度,得到所述关联相似度。
在本申请实施例中,可选地,所述行为链识别模块,具体用于:
确定所述目标行为链中各目标执行操作行为及其对应的发生顺序;分别在每个所述目标恶意行为链样本对应的第一样本执行操作行为中,提取与所述目标执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述目标恶意行为链样本对应的第一目标相似行为;分别计算每个所述第一目标相似行为占各自对应的所述第一样本执行操作行为的第一比例,得到每个所述目标行为链与所述目标恶意行为链样本之间的相似度;将数值最大的第一比例对应的相似度,确定为所述目标相似度;以及,
确定所述关联行为链中各关联执行操作行为及其对应的发生顺序;分别在每个所述关联恶意行为链样本对应的第二样本执行操作行为中,提取与所述关联执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述关联恶意行为链样本对应的第一关联相似行为;分别计算每个所述第一关联相似行为占各自对应的所述第二样本执行操作行为的第二比例,得到每个所述关联行为链与所述关联恶意行为链样本之间的相似度;将数值最大的第二比例对应的相似度,确定为所述关联相似度。
在本申请实施例中,可选地,所述行为链识别模块,具体用于:
若所述应用程序样本包括所述目标应用程序,则执行所述确定所述预设恶意行为链中与所述目标程序对应的目标恶意行为链样本,以及与所述关联程序对应的关联恶意行为链样本;
若所述应用程序样本不包括所述目标应用程序,则计算所述目标行为链与所述恶意行为链样本之间的相似度,得到所述目标相似度,以及计算所述关联行为链与所述恶意行为链样本之间的相似度,得到所述关联相似度。
在本申请实施例中,可选地,所述行为链识别模块,具体用于:
确定所述目标行为链中各目标执行操作行为及其对应的发生顺序;分别在每个所述恶意行为链样本对应的第三样本执行操作行为中,提取与所述目标执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述恶意行为链样本对应的第二目标相似行为;分别计算每个所述第二目标相似行为占各自对应的所述第三样本执行操作行为的第三比例,得到每个所述目标行为链与所述恶意行为链样本之间的相似度;将数值最大的第三比例对应的相似度,确定为所述目标相似度;以及,
确定所述关联行为链中各关联执行操作行为及其对应的发生顺序;分别在每个所述恶意行为链样本对应的第四样本执行操作行为中,提取与所述关联执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述恶意行为链样本对应的第二关联相似行为;分别计算每个所述第二关联相似行为占各自对应的所述第四样本执行操作行为的第四比例,得到每个所述关联行为链与所述恶意行为链样本之间的相似度;将数值最大的第四比例对应的相似度,确定为所述关联相似度比例。
在本申请实施例中,如图5所示,可选地,所述装置还包括:
恶意行为链获取模块,用于所述根据预设恶意行为链,分别确定所述目标行为链与所述预设恶意行为链之间的目标相似度以及所述关联行为链与所述预设恶意行为链之间的关联相似度之前,获取所述预设恶意行为链,并将所述预设恶意行为链保存在本地预设存储位置,其中,所述预设恶意行为链通过对敏感程序操作行为记录进行解析得到的多个有序行为确定。
需要说明的是,本申请实施例提供的一种基于关联程序追踪的程序处理装置所涉及各功能单元的其他相应描述,可以参考图1至图3方法中的对应描述,在此不再赘述。
基于上述如图1至图3所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述如图1至图3所示的基于关联程序追踪的程序处理方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1至图3所示的方法,以及图4至图5所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种计算机设备,具体可以为个人计算机、服务器、网络设备等,该计算机设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1至图3所示的基于关联程序追踪的程序处理方法。
可选地,该计算机设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种计算机设备结构并不构成对该计算机设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现对目标应用程序和关联程序各自的执行操作行为进行监控,确定目标应用程序的目标行为链以及关联程序的关联行为链,从而对目标行为链和关联行为链进行识别,并在识别到其中至少一个属于恶意行为链的情况下,对目标应用程序和关联程序进行拦截。本申请实施例相比于现有技术中对各程序文件的特征值进行独立识别的方式,可以在程序运行过程中对多个关联程序进行追踪识别,不仅提升了恶意程序的识别效率,而且对于多个程序协同作恶的情况,只要识别出一个恶意程序就可以即使发现其他相关恶意程序,提升了相关程序的识别准确性。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。

Claims (11)

1.一种基于关联程序追踪的程序处理方法,其特征在于,包括:
监控目标应用程序以及所述目标应用程序的关联程序各自对应的执行操作行为;
基于所述执行操作行为,确定所述目标应用程序的目标行为链以及所述关联程序的关联行为链;
识别所述目标行为链以及所述关联行为链是否属于恶意行为链;
在所述目标行为链和/或所述关联行为链属于所述恶意行为链时,拦截所述目标应用程序以及所述关联程序。
2.根据权利要求1所述的方法,其特征在于,
所述关联程序包括上游关联程序和/或下游关联程序,所述目标应用程序通过执行所述上游关联程序的进程创建和/或下载,所述下游关联程序通过执行所述目标应用程序的进程创建和/或下载。
3.根据权利要求1或2所述的方法,其特征在于,所述识别所述目标行为链以及所述关联行为链是否属于恶意行为链,具体包括:
根据预设恶意行为链,分别确定所述目标行为链与所述预设恶意行为链之间的目标相似度以及所述关联行为链与所述预设恶意行为链之间的关联相似度;
依据所述目标相似度、所述关联相似度以及预设相似度条件,识别所述目标行为链以及所述关联行为链是否属于所述恶意行为链。
4.根据权利要求3所述的方法,其特征在于,所述预设恶意行为链包括至少一个应用程序样本对应的至少一个恶意行为链样本;所述根据预设恶意行为链,分别确定所述目标行为链与所述预设恶意行为链之间的目标相似度以及所述关联行为链与所述预设恶意行为链之间的关联相似度,具体包括:
确定所述预设恶意行为链中与所述目标程序对应的目标恶意行为链样本,以及与所述关联程序对应的关联恶意行为链样本;
计算所述目标行为链与所述目标恶意行为链样本之间的相似度,得到所述目标相似度;
计算所述关联行为链与所述关联恶意行为链样本之间的相似度,得到所述关联相似度。
5.根据权利要求4所述的方法,其特征在于,所述计算所述目标行为链与所述目标恶意行为链样本之间的相似度,得到所述目标相似度,具体包括:
确定所述目标行为链中各目标执行操作行为及其对应的发生顺序;
分别在每个所述目标恶意行为链样本对应的第一样本执行操作行为中,提取与所述目标执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述目标恶意行为链样本对应的第一目标相似行为;
分别计算每个所述第一目标相似行为占各自对应的所述第一样本执行操作行为的第一比例,得到每个所述目标行为链与所述目标恶意行为链样本之间的相似度;
将数值最大的第一比例对应的相似度,确定为所述目标相似度;
所述计算所述关联行为链与所述关联恶意行为链样本之间的相似度,得到所述关联相似度,具体包括:
确定所述关联行为链中各关联执行操作行为及其对应的发生顺序;
分别在每个所述关联恶意行为链样本对应的第二样本执行操作行为中,提取与所述关联执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述关联恶意行为链样本对应的第一关联相似行为;
分别计算每个所述第一关联相似行为占各自对应的所述第二样本执行操作行为的第二比例,得到每个所述关联行为链与所述关联恶意行为链样本之间的相似度;
将数值最大的第二比例对应的相似度,确定为所述关联相似度。
6.根据权利要求4所述的方法,其特征在于,所述根据预设恶意行为链,分别确定所述目标行为链与所述预设恶意行为链之间的目标相似度以及所述关联行为链与所述预设恶意行为链之间的关联相似度,具体包括:
若所述应用程序样本包括所述目标应用程序,则执行所述确定所述预设恶意行为链中与所述目标程序对应的目标恶意行为链样本,以及与所述关联程序对应的关联恶意行为链样本;
若所述应用程序样本不包括所述目标应用程序,则计算所述目标行为链与所述恶意行为链样本之间的相似度,得到所述目标相似度,以及计算所述关联行为链与所述恶意行为链样本之间的相似度,得到所述关联相似度。
7.根据权利要求6所述的方法,其特征在于,所述计算所述目标行为链与所述恶意行为链样本之间的相似度,得到所述目标相似度,具体包括:
确定所述目标行为链中各目标执行操作行为及其对应的发生顺序;
分别在每个所述恶意行为链样本对应的第三样本执行操作行为中,提取与所述目标执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述恶意行为链样本对应的第二目标相似行为;
分别计算每个所述第二目标相似行为占各自对应的所述第三样本执行操作行为的第三比例,得到每个所述目标行为链与所述恶意行为链样本之间的相似度;
将数值最大的第三比例对应的相似度,确定为所述目标相似度;
所述计算所述关联行为链与所述恶意行为链样本之间的相似度,得到所述关联相似度,具体包括:
确定所述关联行为链中各关联执行操作行为及其对应的发生顺序;
分别在每个所述恶意行为链样本对应的第四样本执行操作行为中,提取与所述关联执行操作行为至少部分匹配且发生顺序一致的行为,作为每个所述恶意行为链样本对应的第二关联相似行为;
分别计算每个所述第二关联相似行为占各自对应的所述第四样本执行操作行为的第四比例,得到每个所述关联行为链与所述恶意行为链样本之间的相似度;
将数值最大的第四比例对应的相似度,确定为所述关联相似度比例。
8.根据权利要求3所述的方法,其特征在于,所述根据预设恶意行为链,分别确定所述目标行为链与所述预设恶意行为链之间的目标相似度以及所述关联行为链与所述预设恶意行为链之间的关联相似度之前,所述方法还包括:
获取所述预设恶意行为链,并将所述预设恶意行为链保存在本地预设存储位置,其中,所述预设恶意行为链通过对敏感程序操作行为记录进行解析得到的多个有序行为确定。
9.一种基于关联程序追踪的程序处理装置,其特征在于,包括:
监控模块,用于监控目标应用程序以及所述目标应用程序的关联程序各自对应的执行操作行为;
行为链确定模块,用于基于所述执行操作行为,确定所述目标应用程序的目标行为链以及所述关联程序的关联行为链;
行为链识别模块,用于识别所述目标行为链以及所述关联行为链是否属于恶意行为链;
程序处理模块,用于在所述目标行为链和/或所述关联行为链属于所述恶意行为链时,拦截所述目标应用程序以及所述关联程序。
10.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的方法。
11.一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述的方法。
CN202111294512.XA 2021-11-03 2021-11-03 基于关联程序追踪的程序处理方法及装置、存储介质 Pending CN114021134A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111294512.XA CN114021134A (zh) 2021-11-03 2021-11-03 基于关联程序追踪的程序处理方法及装置、存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111294512.XA CN114021134A (zh) 2021-11-03 2021-11-03 基于关联程序追踪的程序处理方法及装置、存储介质

Publications (1)

Publication Number Publication Date
CN114021134A true CN114021134A (zh) 2022-02-08

Family

ID=80060182

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111294512.XA Pending CN114021134A (zh) 2021-11-03 2021-11-03 基于关联程序追踪的程序处理方法及装置、存储介质

Country Status (1)

Country Link
CN (1) CN114021134A (zh)

Similar Documents

Publication Publication Date Title
CN111931166B (zh) 基于代码注入和行为分析的应用程序防攻击方法和系统
Chaba et al. Malware detection approach for android systems using system call logs
CN110188538B (zh) 采用沙箱集群检测数据的方法及装置
CN111221625B (zh) 文件检测方法、装置及设备
CN109600387B (zh) 攻击事件的追溯方法及装置、存储介质、计算机设备
CN105095759A (zh) 文件的检测方法及装置
US11847216B2 (en) Analysis device, analysis method and computer-readable recording medium
CN109815701B (zh) 软件安全的检测方法、客户端、系统及存储介质
CN109783316B (zh) 系统安全日志篡改行为的识别方法及装置、存储介质、计算机设备
CN112395597A (zh) 网站应用漏洞攻击的检测方法及装置、存储介质
CN109815702B (zh) 软件行为的安全检测方法、装置及设备
KR20160099159A (ko) 악성 코드를 탐지하기 위한 전자 시스템 및 방법
CN110224975B (zh) Apt信息的确定方法及装置、存储介质、电子装置
CN112580041B (zh) 恶意程序检测方法及装置、存储介质、计算机设备
CN115552401A (zh) 一种快应用检测方法、装置、设备及存储介质
CN113569240B (zh) 恶意软件的检测方法、装置及设备
CN114021134A (zh) 基于关联程序追踪的程序处理方法及装置、存储介质
CN115643044A (zh) 数据处理方法、装置、服务器及存储介质
CN112398784B (zh) 防御漏洞攻击的方法及装置、存储介质、计算机设备
CN112090087B (zh) 游戏外挂的检测方法及装置、存储介质、计算机设备
US11763004B1 (en) System and method for bootkit detection
CN112580025A (zh) 基于虚拟机的报毒方法及装置、存储介质、计算机设备
CN111027052A (zh) 基于应用程序版本虚拟机文档判别方法、装置及存储设备
CN112395637A (zh) 数据库防护方法及装置、存储介质、计算机设备
CN112580038A (zh) 反病毒数据的处理方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination