CN117708818A - 一种恶意软件的识别方法、装置、电子设备及存储介质 - Google Patents

一种恶意软件的识别方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN117708818A
CN117708818A CN202311746357.XA CN202311746357A CN117708818A CN 117708818 A CN117708818 A CN 117708818A CN 202311746357 A CN202311746357 A CN 202311746357A CN 117708818 A CN117708818 A CN 117708818A
Authority
CN
China
Prior art keywords
information
target
behavior information
target process
process behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311746357.XA
Other languages
English (en)
Inventor
孙晓骏
覃梓兴
张苏洵
刘铠文
李宜檑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Rongma Technology Beijing Co ltd
Original Assignee
Rongma Technology Beijing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Rongma Technology Beijing Co ltd filed Critical Rongma Technology Beijing Co ltd
Priority to CN202311746357.XA priority Critical patent/CN117708818A/zh
Publication of CN117708818A publication Critical patent/CN117708818A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请实施例提供一种恶意软件的识别方法、装置、电子设备及存储介质,该方法包括:获取客户终端发送的目标进程行为信息,其中,目标进程行为信息至少包括目标可信度信息、目标文件行为信息和目标网络流量信息;根据目标可信度信息,判断目标进程行为信息是否为异常行为;对目标文件行为信息和预先设置的信息库进行对比,确定与目标进程行为信息对应的第一识别结果;根据目标网络流量信息和预先设置的信息库,确定与目标进程行为信息对应的第二识别结果;根据第一识别结果和第二识别结果,确定与目标进程行为信息对应的检测结果;根据检测结果和预设检测阈值,判断软件是否为恶意软件,通过多维度检测,提高恶意软件的检测效率。

Description

一种恶意软件的识别方法、装置、电子设备及存储介质
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种恶意软件的识别方法、装置、电子设备及存储介质。
背景技术
随着互联网在日常生活中的普及,恶意软件对系统资源、数据和重要信息的威胁日益加剧。窃密软件,作为恶意软件的一种,其主要功能是窃取个人和企业用户的隐私信息。传统的杀毒软件依赖病毒特征库来检测恶意软件,然而,随着恶意软件更新迭代速度加快,以及窃密软件等特征不明显的恶意软件增多,其检测率大幅下降,由于窃密软件窃取信息,会导致信息泄露,这样,会给个人和企业造成损失,因此,如何准确地检测恶意软件,是目前急需解决的问题。
发明内容
本申请的一些实施例的目的在于提供一种恶意软件的识别方法、装置、电子设备及存储介质,通过本申请的实施例的技术方案,通过获取客户终端发送的目标进程行为信息,其中,所述目标进程行为信息至少包括目标可信度信息、目标文件行为信息和目标网络流量信息;根据所述目标可信度信息,判断所述目标进程行为信息是否为异常行为;在所述目标进程行为信息为异常行为的情况下,对所述目标文件行为信息和预先设置的信息库进行对比,确定与所述目标进程行为信息对应的第一识别结果,其中,所述预先设置的信息库至少包括进程行为信息、可信度信息、文件行为信息和网络流量信息,所述进程行为信息分别与所述可信度信息、所述文件行为信息和所述网络流量信息相对应;根据所述目标网络流量信息和所述预先设置的信息库,确定与所述目标进程行为信息对应的第二识别结果;根据所述第一识别结果和所述第二识别结果,确定与所述目标进程行为信息对应的检测结果;根据所述检测结果和预设检测阈值,判断与所述目标进程行为信息对应的软件是否为恶意软件,本申请实施例通过获取客户终端发送的目标进程行为信息,通过对该目标进程行为信息关联的网络行为、进程访问的文件和进程访问的目录,通过多维度检测,提高恶意软件的检测效率。
第一方面,本申请的一些实施例提供了一种恶意软件的识别方法,包括:
获取客户终端发送的目标进程行为信息,其中,所述目标进程行为信息至少包括目标可信度信息、目标文件行为信息和目标网络流量信息;
根据所述目标可信度信息,判断所述目标进程行为信息是否为异常行为;
在所述目标进程行为信息为异常行为的情况下,对所述目标文件行为信息和预先设置的信息库进行对比,确定与所述目标进程行为信息对应的第一识别结果,其中,所述预先设置的信息库至少包括进程行为信息、可信度信息、文件行为信息和网络流量信息,所述进程行为信息分别与所述可信度信息、所述文件行为信息和所述网络流量信息相对应;
根据所述目标网络流量信息和所述预先设置的信息库,确定与所述目标进程行为信息对应的第二识别结果;
根据所述第一识别结果和所述第二识别结果,确定与所述目标进程行为信息对应的检测结果;
根据所述检测结果和预设检测阈值,判断与所述目标进程行为信息对应的软件是否为恶意软件。
本申请的一些实施例通过获取客户终端发送的目标进程行为信息,通过对该目标进程行为信息关联的网络行为、进程访问的文件和进程访问的目录,通过多维度检测,提高恶意软件的检测效率。
可选地,所述根据所述检测结果和预设检测阈值,判断与所述目标进程行为信息对应的软件是否为恶意软件,包括:
若所述检测结果小于所述预设检测阈值,则确定与所述目标进程行为信息对应的软件不是恶意软件;
若所述检测结果大于或等于所述预设检测阈值,则确定与所述目标进程行为信息对应的软件是恶意软件。
本申请的一些实施例通过设置预设检测阈值,对判断出的检测结果判断是否为恶意软件,从而可以及时检测出恶意软件,发现威胁立即处理,将恶意软件对用户造成的降低危害降到最低。
可选地,所述根据所述第一识别结果和所述第二识别结果,确定与所述目标进程行为信息对应的检测结果,包括:
获取与所述第一识别结果对应的第一权重值,以及与所述第二识别结果对应的第二权重值;
根据所述第一识别结果和所述第一权重值,以及所述第一识别结果和所述第二权重值,确定与所述目标进程行为信息对应的检测结果。
本申请的一些实施例将网络流量分析和文件行为分析的结果进行整合,按照结果的权重进行累加,如果累加的结果超出设定的阈值将标记进程为窃密软件的进程,提高恶意软件识别的准确性。
可选地,所述对所述目标文件行为信息和预先设置的信息库进行对比,确定与所述目标进程行为信息对应的第一识别结果,包括:
获取所述目标文件行为信息中的目标访问文件目录;
将所述目标访问文件目录和所述预先设置的信息库中的文件行为信息进行匹配;
若所述目标访问文件目录未与所述信息库中的文件行为信息相匹配,则确定与所述目标访问文件目录对应的目标文件行为信息为异常行为信息。
本申请的一些实施例通过对目标文件信息和预先设置的信息库中的文件行为信息进行匹配,从而判断是否对进程有异常操作,能及时发现异常行为信息。
可选地,所述根据所述目标网络流量信息和所述预先设置的信息库,确定与所述目标进程行为信息对应的第二识别结果,包括;
在判断所述目标文件行为信息为异常行为信息的情况下,对所述目标网络流量信息和所述预先设置的信息库中的网络流量信息进行比较;
若所述目标网络流量信息大于或等于所述预先设置的信息库中的网络流量信息,则确定与所述目标网络流量对应的目标进程行为信息为异常行为信息。
本申请的一些实施例,在判断有异常行为信息的情况下,对目标网络流量信息和预先设置的信息库进行比较,若有异常流量,则确定目标网络流量信息为异常行为信息。
可选地,所述方法还包括:
在判断与所述目标进程行为信息对应的软件是恶意软件的情况下,向所述客户终端发送终止访问指令,其中,所述终止访问指令中包括与所述目标进程行为信息对应的软件标识。
本申请的一些实施例识别到恶意软件之后,服务端立即向客户终端下发终止访问指令,阻止恶意软件进一步窃取信息,同时将恶意软件整个检出过程整合生成恶意软件告警报告。
可选地,所述根据所述目标可信度信息,判断所述目标进程行为信息是否为异常行为,包括:
若所述目标可信度信息小于所述预先设置的信息库中的可信度信息,则确定所述目标进程行为信息为异常行为;
若所述目标可信度信息大于或等于所述预先设置的信息库中的可信度信息,则确定所述目标进程行为信息为正常行为。
本申请的一些实施例,通过对目标进程行为信息进行可信度判断,可以多方面检测出异常行为信息,提高恶意软件检测的准确性。
第二方面,本申请的一些实施例提供了一种恶意软件的识别装置,包括:
获取模块,用于获取客户终端发送的目标进程行为信息,其中,所述目标进程行为信息至少包括目标可信度信息、目标文件行为信息和目标网络流量信息;
判断模块,用于根据所述目标可信度信息,判断所述目标进程行为信息是否为异常行为;
第一确定模块,用于在所述目标进程行为信息为异常行为的情况下,对所述目标文件行为信息和预先设置的信息库进行对比,确定与所述目标进程行为信息对应的第一识别结果,其中,所述预先设置的信息库至少包括进程行为信息、可信度信息、文件行为信息和网络流量信息,所述进程行为信息分别与所述可信度信息、所述文件行为信息和所述网络流量信息相对应;
第二确定模块,用于根据所述目标网络流量信息和所述预先设置的信息库,确定与所述目标进程行为信息对应的第二识别结果;
第三确定模块,用于根据所述第一识别结果和所述第二识别结果,确定与所述目标进程行为信息对应的检测结果;
检测模块,用于根据所述检测结果和预设检测阈值,判断与所述目标进程行为信息对应的软件是否为恶意软件。
本申请的一些实施例通过获取客户终端发送的目标进程行为信息,通过对该目标进程行为信息关联的网络行为、进程访问的文件和进程访问的目录,通过多维度检测,提高恶意软件的检测效率。
可选地,所述检测模块用于:
若所述检测结果小于所述预设检测阈值,则确定与所述目标进程行为信息对应的软件不是恶意软件;
若所述检测结果大于或等于所述预设检测阈值,则确定与所述目标进程行为信息对应的软件是恶意软件。
本申请的一些实施例通过设置预设检测阈值,对判断出的检测结果判断是否为恶意软件,从而可以及时检测出恶意软件,发现威胁立即处理,将恶意软件对用户造成的降低危害降到最低。
可选地,所述第三确定模块用于:
获取与所述第一识别结果对应的第一权重值,以及与所述第二识别结果对应的第二权重值;
根据所述第一识别结果和所述第一权重值,以及所述第一识别结果和所述第二权重值,确定与所述目标进程行为信息对应的检测结果。
本申请的一些实施例将网络流量分析和文件行为分析的结果进行整合,按照结果的权重进行累加,如果累加的结果超出设定的阈值将标记进程为窃密软件的进程,提高恶意软件识别的准确性。
可选地,所述第一确定模块用于:
获取所述目标文件行为信息中的目标访问文件目录;
将所述目标访问文件目录和所述预先设置的信息库中的文件行为信息进行匹配;
若所述目标访问文件目录未与所述信息库中的文件行为信息相匹配,则确定与所述目标访问文件目录对应的目标文件行为信息为异常行为信息。
本申请的一些实施例通过对目标文件信息和预先设置的信息库中的文件行为信息进行匹配,从而判断是否对进程有异常操作,能及时发现异常行为信息。
可选地,所述第二确定模块用于;
在判断所述目标文件行为信息为异常行为信息的情况下,对所述目标网络流量信息和所述预先设置的信息库中的网络流量信息进行比较;
若所述目标网络流量信息大于或等于所述预先设置的信息库中的网络流量信息,则确定与所述目标网络流量对应的目标进程行为信息为异常行为信息。
本申请的一些实施例,在判断有异常行为信息的情况下,对目标网络流量信息和预先设置的信息库进行比较,若有异常流量,则确定目标网络流量信息为异常行为信息。
可选地,所述检测模块还用于:
在判断与所述目标进程行为信息对应的软件是恶意软件的情况下,向所述客户终端发送终止访问指令,其中,所述终止访问指令中包括与所述目标进程行为信息对应的软件标识。
本申请的一些实施例识别到恶意软件之后,服务端立即向客户终端下发终止访问指令,阻止恶意软件进一步窃取信息,同时将恶意软件整个检出过程整合生成恶意软件告警报告。
可选地,所述判断模块用于:
若所述目标可信度信息小于所述预先设置的信息库中的可信度信息,则确定所述目标进程行为信息为异常行为;
若所述目标可信度信息大于或等于所述预先设置的信息库中的可信度信息,则确定所述目标进程行为信息为正常行为。
本申请的一些实施例,通过对目标进程行为信息进行可信度判断,可以多方面检测出异常行为信息,提高恶意软件检测的准确性。
第三方面,本申请的一些实施例提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现如第一方面任一实施例所述的恶意软件的识别方法。
第四方面,本申请的一些实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如第一方面任一实施例所述的恶意软件的识别方法。
第五方面,本申请的一些实施例提供一种计算机程序产品,所述的计算机程序产品包括计算机程序,其中,所述的计算机程序被处理器执行时可实现如第一方面任一实施例所述的恶意软件的识别方法。
附图说明
为了更清楚地说明本申请的一些实施例的技术方案,下面将对本申请的一些实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种恶意软件的识别方法的流程示意图;
图2为本申请实施例提供的又一种恶意软件的识别方法的流程示意图;
图3为本申请实施例提供的一种恶意软件的识别装置的结构示意图;
图4为本申请实施例提供的一种电子设备示意图。
具体实施方式
下面将结合本申请的一些实施例中的附图,对本申请的一些实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
随着互联网在日常生活中的普及,恶意软件对系统资源、数据和重要信息的威胁日益加剧。窃密软件,作为恶意软件的一种,其主要功能是窃取个人和企业用户的隐私信息。传统的杀毒软件依赖病毒特征库来检测恶意软件,然而,随着恶意软件更新迭代速度加快,以及窃密软件等特征不明显的恶意软件增多,其检测率大幅下降,由于窃密软件窃取信息,会导致信息泄露,这样,会给个人和企业造成损失,鉴于此,本申请的一些实施例提供了一种恶意软件的识别方法,该方法包括获取客户终端发送的目标进程行为信息,其中,目标进程行为信息至少包括目标可信度信息、目标文件行为信息和目标网络流量信息;根据目标可信度信息,判断目标进程行为信息是否为异常行为;在目标进程行为信息为异常行为的情况下,对目标文件行为信息和预先设置的信息库进行对比,确定与目标进程行为信息对应的第一识别结果,其中,预先设置的信息库至少包括进程行为信息、可信度信息、文件行为信息和网络流量信息,进程行为信息分别与可信度信息、文件行为信息和网络流量信息相对应;根据目标网络流量信息和预先设置的信息库,确定与目标进程行为信息对应的第二识别结果;根据第一识别结果和第二识别结果,确定与目标进程行为信息对应的检测结果;根据检测结果和预设检测阈值,判断与目标进程行为信息对应的软件是否为恶意软件,本申请实施例通过获取客户终端发送的目标进程行为信息,通过对该目标进程行为信息关联的网络行为、进程访问的文件和进程访问的目录,通过多维度检测,提高恶意软件的检测效率。
如图1所示,本申请的实施例提供了一种恶意软件的识别方法,该方法包括:
S101、获取客户终端发送的目标进程行为信息,其中,目标进程行为信息至少包括目标可信度信息、目标文件行为信息和目标网络流量信息;
具体地,客户终端根据配置的行为监测策略,其中,该行为监测策略至少包括文件行为信息和网络行为信息,文件行为信息包括删除、复制或修改,首先加载驱动模块,然后对windows进程的创建和进程的网络行为建立回调,获取到目标网络流量信息,通过驱动模块在内核中注册Minifilter(过滤器驱动程序)用来监测进程对文件的操作和对敏感目录的访问,即获取到目标文件行为信息,其中,Minifilter是Windows操作系统中的一种过滤器驱动程序,用于对文件系统和存储卷进行过滤和监控。客户终端通过回调函数和Minifilter收集到的目标进程行为信息上传到服务器,即服务器获取到客户终端发送的目标进程行为信息,其中,目标进程行为信息至少包括目标可信度信息、目标文件行为信息和目标网络流量信息;
具体地,在终端设备上安装有程序,程序是一个exe,双击这个exe,程序运行起来是一个进程,程序是静态的,没有行为,只有运行程序,产生一个进程之后,进程才会有行为。计算md5是计算程序的MD5。
客户端即终端设备收集可信度信息,该可信度信息用于进行可信度验证,可信度信息包括程序的MD5和签名信息,其中,程序的MD5即计算程序的MD5值(MD5 Message-Digest Algorithm,MD5信息摘要算法);具体地,可信度信息中签名信息,分为可信信息和恶意信息;MD5信息,分为可信信息和恶意信息;进程通过可信度查询得到的结果:可以将进程分为可信进程、恶意进程和未知进程(没有签名信息,并且信息库查询不到MD5信息);
客户端将采集的可信度信息发送至服务器,服务器在后续的过程中,对进程进行可信度判断。
S102、根据目标可信度信息,判断目标进程行为信息是否为异常行为;
具体地,服务器对目标进程行为信息中的目标可信度信息进行判断,若该目标可信度信息大于或等于预设可信度值,则说明该目标进程行为信息为安全行为,若该目标可信度信息小于预设可信度值,则说明该目标进程行为信息为异常行为;
示例性地,服务端通过MD5和签名信息在信息库中比对,确定进程的可信度。
S103、在目标进程行为信息为异常行为的情况下,对目标文件行为信息和预先设置的信息库进行对比,确定与目标进程行为信息对应的第一识别结果,其中,预先设置的信息库至少包括进程行为信息、可信度信息、文件行为信息和网络流量信息,进程行为信息分别与可信度信息、文件行为信息和网络流量信息相对应;
具体地,服务器上预先设置有信息库,该信息库中至少包括进程行为信息、可信度信息、文件行为信息和网络流量信息,进程行为信息分别与可信度信息、文件行为信息和网络流量信息相对应。
服务器在判断目标进程行为信息为异常行为的情况下,对目标文件行为信息和预先设置的信息库中的恶意软件的特征信息进行匹配,若目标文件行为信息和预先设置的信息库中的恶意软件的特征信息相匹配,确定目标进程行为信息为正常行为,若不匹配,则说明目标进程行为信息为异常行为,将得到的不同文件行为的检测结果确定为第一识别结果。
S104、根据目标网络流量信息和预先设置的信息库,确定与目标进程行为信息对应的第二识别结果;
具体地,服务器在判断存在异常文件信息的情况下,对获取到的目标网络流量信息和预先设置的信息库中的网络流量信息进行匹配,若目标网络流量信息与信息库中的网络流量信息匹配,则说明该目标网络流量信息为正常流量,若目标网络流量信息与信息库中的网络流量信息不匹配,则说明该目标网络流量信息为异常流量,将得到的不同流量检测结果确定为第二识别结果。
S105、根据第一识别结果和第二识别结果,确定与目标进程行为信息对应的检测结果;
具体地,服务器对得到文件行为的第一识别结果和网络流量的第二识别结果设置不同的权重,根据不同的权重计算与目标进程行为信息对应的检测结果。
S106、根据检测结果和预设检测阈值,判断与目标进程行为信息对应的软件是否为恶意软件。
具体地,服务器对检测结果和预设检测阈值进行比较,若检测结果大于或等于预设检测阈值,则说明该目标进程行为信息对应的软件为恶意软件,该恶意软件可以是窃密软件,若检测结果小于预设检测阈值,则说明该目标进程行为信息对应的软件不是恶意软件。
本申请的一些实施例通过获取客户终端发送的目标进程行为信息,通过对该目标进程行为信息关联的网络行为、进程访问的文件和进程访问的目录,通过多维度检测,提高恶意软件的检测效率。
本申请又一实施例对上述实施例提供的恶意软件的识别方法做进一步补充说明。
可选地,根据检测结果和预设检测阈值,判断与目标进程行为信息对应的软件是否为恶意软件,包括:
若检测结果小于预设检测阈值,则确定与目标进程行为信息对应的软件不是恶意软件;
若检测结果大于或等于预设检测阈值,则确定与目标进程行为信息对应的软件是恶意软件。
本申请的一些实施例通过设置预设检测阈值,对判断出的检测结果判断是否为恶意软件,从而可以及时检测出恶意软件,发现威胁立即处理,将恶意软件对用户造成的降低危害降到最低。
可选地,根据第一识别结果和第二识别结果,确定与目标进程行为信息对应的检测结果,包括:
获取与第一识别结果对应的第一权重值,以及与第二识别结果对应的第二权重值;
根据第一识别结果和第一权重值,以及第一识别结果和第二权重值,确定与目标进程行为信息对应的检测结果。
具体地,计算第一识别结果和第一权重值的第一乘积,以及计算第二识别结果和第二权重值的第二乘积,将第一乘积和第二乘积相加,得到与目标进程行为信息对应的检测结果。
本申请的一些实施例将网络流量分析和文件行为分析的结果进行整合,按照结果的权重进行累加,如果累加的结果超出设定的阈值将标记进程为窃密软件的进程,提高恶意软件识别的准确性。
可选地,对目标文件行为信息和预先设置的信息库进行对比,确定与目标进程行为信息对应的第一识别结果,包括:
获取目标文件行为信息中的目标访问文件目录;
将目标访问文件目录和预先设置的信息库中的文件行为信息进行匹配;
若目标访问文件目录未与信息库中的文件行为信息相匹配,则确定与目标访问文件目录对应的目标文件行为信息为异常行为信息。
示例性地,在进程的访问中,若对某个账号或密码有过访问记录,而在正常访问的情况下,是不需要访问账号或密码的,因此,服务器获取到该文件行为信息和信息库中的文件行为信息相匹配,说明是正常行为信息,而在信息库中未查找到访问账号或秘密的行为信息,则说明该访问进程的行为为异常行为信息。
本申请的一些实施例通过对目标文件信息和预先设置的信息库中的文件行为信息进行匹配,从而判断是否对进程有异常操作,能及时发现异常行为信息。
可选地,根据目标网络流量信息和预先设置的信息库,确定与目标进程行为信息对应的第二识别结果,包括;
在判断目标文件行为信息为异常行为信息的情况下,对目标网络流量信息和预先设置的信息库中的网络流量信息进行比较;
若目标网络流量信息大于或等于预先设置的信息库中的网络流量信息,则确定与目标网络流量对应的目标进程行为信息为异常行为信息。
示例性地,若有窃密软件对进程进行复制,则产生大量的流量数据,通过对该流量数据进行判断,来确定目标进程行为信息是否为异常行为信息。
本申请的一些实施例,在判断有异常行为信息的情况下,对目标网络流量信息和预先设置的信息库进行比较,若有异常流量,则确定目标网络流量信息为异常行为信息。
可选地,该方法还包括:
在判断与目标进程行为信息对应的软件是恶意软件的情况下,向客户终端发送终止访问指令,其中,终止访问指令中包括与目标进程行为信息对应的软件标识。
本申请实施例可应用于于客户端和服务端,客户端用于实时收集进程的行为信息,并将收集到的信息上传至服务端;服务端对客户端上传的行为信息进行处理,分析进程的网络行为和文件行为,从而准确的检出窃密软件。在确认进程为窃密程序的进程之后,服务端会向客户端发送命令,阻止窃密程序进一步窃取信息,同时服务端会将窃密软件的行为和处理的过程进行整合,生成窃密程序处理报告。
本申请的一些实施例识别到恶意软件之后,服务端立即向客户终端下发终止访问指令,阻止恶意软件进一步窃取信息,同时将恶意软件整个检出过程整合生成恶意软件告警报告。
可选地,根据目标可信度信息,判断目标进程行为信息是否为异常行为,包括:
若目标可信度信息小于预先设置的信息库中的可信度信息,则确定目标进程行为信息为异常行为;
若目标可信度信息大于或等于预先设置的信息库中的可信度信息,则确定目标进程行为信息为正常行为。
本申请的一些实施例,通过对目标进程行为信息进行可信度判断,可以多方面检测出异常行为信息,提高恶意软件检测的准确性。
图2为本申请实施例提供的又一种恶意软件的识别方法的流程示意图,如图2所示,本申请实施例提供的基于行为分析的窃密软件实时检测系统由客户端和服务端两部分组成,在客户端配置具体的行为监测策略,首先加载驱动模块,然后对Windows进程的创建和进程的网络行为建立回调,通过驱动在内核中注册Minifilter用来监测进程对文件的操作和对敏感目录的访问。客户端能够实时收集行为信息,收集的行为信息会被上传到服务端进行检测。服务端通过对客户端上传的进程网络行为、进程访问的文件和进程访问的目录进行分析,判断进程是否为窃密程序。对于监测出的窃密进程,服务端向客户端下发命令,终止窃密进程,同时将检出和处理过程整合生成窃密软件告警报告。
该恶意软件的识别方法,包括:
1.客户端根据配置的行为监测策略,首先加载驱动模块,然后对windows进程的创建和进程的网络行为建立回调,通过驱动模块在内核中注册Minifilter(过滤器驱动程序)用来监测进程对文件的操作和对敏感目录的访问。通过回调函数和Minifilter收集到的进程信息会被客户端上传到服务端。
2.服务端的行为分析处理器在接收到来自客户端的目标进程行为信息之后,通过对网络流量分析、文件行为分析和信息库的调度,检测进程的异常行为,该异常行为包括行为异常和网络流量异常。
3.服务端提供信息库,该信息库包括进程可信度md5、文件行为信息、网络特征,信息库中保存从窃密软件的特征信息和客户端上传的进程行为信息。
4.服务端网络流量分析能够匹配进程的网络行为和信息库中的窃密软件网络特征,并将匹配结果实时同步到信息库中。
5.服务端文件行为分析需要匹配进程访问的文件和目录,以及信息库中窃密软件特征,并将匹配结果实时同步到信息库中。
6.文件行为分析还需要将进程访问的文件和目录与信息库中保存的该进程的历史记录进行对比,并将结果实时同步到信息库中。
7.服务器的行为分析处理器将网络流量分析和文件行为分析的结果进行整合,按照结果的权重进行累加,如果累加的结果超出设定的阈值将标记进程为窃密软件的进程。
8.服务器识别到窃密软件之后,服务端立即向客户端下发命令,阻止窃密软件进一步窃取信息,同时将窃密软件整个检出过程整合生成窃密软件告警报告。
本申请实施例实时检测窃密软件,发现威胁立即处理,将窃密软件对用户造成的降低危害降到最低;关联进程的网络行为、进程访问的文件和进程访问的目录,通过多维度检测,更加准确的检出窃密软件;通过对进程行为检测,能够检出已知和未知的威胁,解决传统杀软无法检出未知威胁的问题;将进行的行为信息上传到服务端进行威胁行为分析,降低对用户主机资源的使用,提高用户的使用体验。
本申请实施例解决传统杀软对窃密软件检出率低的问题,通过关联进程的网络行为、进程访问的文件和进程访问的目录,多维度准确检出窃密软件;解决传统杀软无法检出未知威胁的问题,使用进程行为分析替代传统的特征检测,能够很好的检出未知威胁,解决当前恶意软件更新迭代速度快的问题;降低窃密软件对用户造成的损失;在实时检出窃密软件后,能够直接下发命名,阻止窃密软件进一步窃取用户隐私数据,保护用户隐私。
需要说明的是,本实施例中各可实施的方式可以单独实施,也可以在不冲突的情况下以任意组合方式结合实施本申请不做限定。
本申请另一实施例提供一种恶意软件的识别装置,用于执行上述实施例提供的恶意软件的识别方法。
如图3所示,为本申请实施例提供的恶意软件的识别装置的结构示意图。该恶意软件的识别装置包括获取模块301、判断模块302、第一确定模块303、第二确定模块304、第三确定模块305和检测模块306,其中:
获取模块301用于获取客户终端发送的目标进程行为信息,其中,目标进程行为信息至少包括目标可信度信息、目标文件行为信息和目标网络流量信息;
判断模块302用于根据目标可信度信息,判断目标进程行为信息是否为异常行为;
第一确定模块303用于在目标进程行为信息为异常行为的情况下,对目标文件行为信息和预先设置的信息库进行对比,确定与目标进程行为信息对应的第一识别结果,其中,预先设置的信息库至少包括进程行为信息、可信度信息、文件行为信息和网络流量信息,进程行为信息分别与可信度信息、文件行为信息和网络流量信息相对应;
第二确定模块304用于根据目标网络流量信息和预先设置的信息库,确定与目标进程行为信息对应的第二识别结果;
第三确定模块305用于根据第一识别结果和第二识别结果,确定与目标进程行为信息对应的检测结果;
检测模块306用于根据检测结果和预设检测阈值,判断与目标进程行为信息对应的软件是否为恶意软件。
关于本实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本申请的一些实施例通过获取客户终端发送的目标进程行为信息,通过对该目标进程行为信息关联的网络行为、进程访问的文件和进程访问的目录,通过多维度检测,提高恶意软件的检测效率。
本申请又一实施例对上述实施例提供的恶意软件的识别装置做进一步补充说明。
可选地,检测模块用于:
若检测结果小于预设检测阈值,则确定与目标进程行为信息对应的软件不是恶意软件;
若检测结果大于或等于预设检测阈值,则确定与目标进程行为信息对应的软件是恶意软件。
本申请的一些实施例通过设置预设检测阈值,对判断出的检测结果判断是否为恶意软件,从而可以及时检测出恶意软件,发现威胁立即处理,将恶意软件对用户造成的降低危害降到最低。
可选地,第三确定模块用于:
获取与第一识别结果对应的第一权重值,以及与第二识别结果对应的第二权重值;
根据第一识别结果和第一权重值,以及第一识别结果和第二权重值,确定与目标进程行为信息对应的检测结果。
本申请的一些实施例将网络流量分析和文件行为分析的结果进行整合,按照结果的权重进行累加,如果累加的结果超出设定的阈值将标记进程为窃密软件的进程,提高恶意软件识别的准确性。
可选地,第一确定模块用于:
获取目标文件行为信息中的目标访问文件目录;
将目标访问文件目录和预先设置的信息库中的文件行为信息进行匹配;
若目标访问文件目录未与信息库中的文件行为信息相匹配,则确定与目标访问文件目录对应的目标文件行为信息为异常行为信息。
本申请的一些实施例通过对目标文件信息和预先设置的信息库中的文件行为信息进行匹配,从而判断是否对进程有异常操作,能及时发现异常行为信息。
可选地,第二确定模块用于;
在判断目标文件行为信息为异常行为信息的情况下,对目标网络流量信息和预先设置的信息库中的网络流量信息进行比较;
若目标网络流量信息大于或等于预先设置的信息库中的网络流量信息,则确定与目标网络流量对应的目标进程行为信息为异常行为信息。
本申请的一些实施例,在判断有异常行为信息的情况下,对目标网络流量信息和预先设置的信息库进行比较,若有异常流量,则确定目标网络流量信息为异常行为信息。
可选地,检测模块还用于:
在判断与目标进程行为信息对应的软件是恶意软件的情况下,向客户终端发送终止访问指令,其中,终止访问指令中包括与目标进程行为信息对应的软件标识。
本申请的一些实施例识别到恶意软件之后,服务端立即向客户终端下发终止访问指令,阻止恶意软件进一步窃取信息,同时将恶意软件整个检出过程整合生成恶意软件告警报告。
可选地,判断模块用于:
若目标可信度信息小于预先设置的信息库中的可信度信息,则确定目标进程行为信息为异常行为;
若目标可信度信息大于或等于预先设置的信息库中的可信度信息,则确定目标进程行为信息为正常行为。
本申请的一些实施例,通过对目标进程行为信息进行可信度判断,可以多方面检测出异常行为信息,提高恶意软件检测的准确性。
关于本实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
需要说明的是,本实施例中各可实施的方式可以单独实施,也可以在不冲突的情况下以任意组合方式结合实施本申请不做限定。
本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,程序被处理器执行时可实现如上述实施例提供的恶意软件的识别方法中的任意实施例所对应方法的操作。
本申请实施例还提供了一种计算机程序产品,的计算机程序产品包括计算机程序,其中,的计算机程序被处理器执行时可实现如上述实施例提供的恶意软件的识别方法中的任意实施例所对应方法的操作。
如图4所示,本申请的一些实施例提供一种电子设备400,该电子设备400包括:存储器410、处理器420以及存储在存储器410上并可在处理器420上运行的计算机程序,其中,处理器420通过总线430从存储器410读取程序并执行程序时可实现如上述恶意软件的识别方法包括的任意实施例的方法。
处理器420可以处理数字信号,可以包括各种计算结构。例如复杂指令集计算机结构、结构精简指令集计算机结构或者一种实行多种指令集组合的结构。在一些示例中,处理器420可以是微处理器。
存储器410可以用于存储由处理器420执行的指令或指令执行过程中相关的数据。这些指令和/或数据可以包括代码,用于实现本申请实施例描述的一个或多个模块的一些功能或者全部功能。本公开实施例的处理器420可以用于执行存储器410中的指令以实现上述所示的方法。存储器410包括动态随机存取存储器、静态随机存取存储器、闪存、光存储器或其它本领域技术人员所熟知的存储器。
以上仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (10)

1.一种恶意软件的识别方法,其特征在于,所述方法包括:
获取客户终端发送的目标进程行为信息,其中,所述目标进程行为信息至少包括目标可信度信息、目标文件行为信息和目标网络流量信息;
根据所述目标可信度信息,判断所述目标进程行为信息是否为异常行为;
在所述目标进程行为信息为异常行为的情况下,对所述目标文件行为信息和预先设置的信息库进行对比,确定与所述目标进程行为信息对应的第一识别结果,其中,所述预先设置的信息库至少包括进程行为信息、可信度信息、文件行为信息和网络流量信息,所述进程行为信息分别与所述可信度信息、所述文件行为信息和所述网络流量信息相对应;
根据所述目标网络流量信息和所述预先设置的信息库,确定与所述目标进程行为信息对应的第二识别结果;
根据所述第一识别结果和所述第二识别结果,确定与所述目标进程行为信息对应的检测结果;
根据所述检测结果和预设检测阈值,判断与所述目标进程行为信息对应的软件是否为恶意软件。
2.根据权利要求1所述的恶意软件的识别方法,其特征在于,所述根据所述检测结果和预设检测阈值,判断与所述目标进程行为信息对应的软件是否为恶意软件,包括:
若所述检测结果小于所述预设检测阈值,则确定与所述目标进程行为信息对应的软件不是恶意软件;
若所述检测结果大于或等于所述预设检测阈值,则确定与所述目标进程行为信息对应的软件是恶意软件。
3.根据权利要求1所述的恶意软件的识别方法,其特征在于,所述根据所述第一识别结果和所述第二识别结果,确定与所述目标进程行为信息对应的检测结果,包括:
获取与所述第一识别结果对应的第一权重值,以及与所述第二识别结果对应的第二权重值;
根据所述第一识别结果和所述第一权重值,以及所述第一识别结果和所述第二权重值,确定与所述目标进程行为信息对应的检测结果。
4.根据权利要求3所述的恶意软件的识别方法,其特征在于,所述对所述目标文件行为信息和预先设置的信息库进行对比,确定与所述目标进程行为信息对应的第一识别结果,包括:
获取所述目标文件行为信息中的目标访问文件目录;
将所述目标访问文件目录和所述预先设置的信息库中的文件行为信息进行匹配;
若所述目标访问文件目录未与所述信息库中的文件行为信息相匹配,则确定与所述目标访问文件目录对应的目标文件行为信息为异常行为信息。
5.根据权利要求4所述的恶意软件的识别方法,其特征在于,所述根据所述目标网络流量信息和所述预先设置的信息库,确定与所述目标进程行为信息对应的第二识别结果,包括;
在判断所述目标文件行为信息为异常行为信息的情况下,对所述目标网络流量信息和所述预先设置的信息库中的网络流量信息进行比较;
若所述目标网络流量信息大于或等于所述预先设置的信息库中的网络流量信息,则确定与所述目标网络流量对应的目标进程行为信息为异常行为信息。
6.根据权利要求1所述的恶意软件的识别方法,其特征在于,所述方法还包括:
在判断与所述目标进程行为信息对应的软件是恶意软件的情况下,向所述客户终端发送终止访问指令,其中,所述终止访问指令中包括与所述目标进程行为信息对应的软件标识。
7.根据权利要求2所述的恶意软件的识别方法,其特征在于,所述根据所述目标可信度信息,判断所述目标进程行为信息是否为异常行为,包括:
若所述目标可信度信息小于所述预先设置的信息库中的可信度信息,则确定所述目标进程行为信息为异常行为;
若所述目标可信度信息大于或等于所述预先设置的信息库中的可信度信息,则确定所述目标进程行为信息为正常行为。
8.一种恶意软件的识别装置,其特征在于,所述装置包括:
获取模块,用于获取客户终端发送的目标进程行为信息,其中,所述目标进程行为信息至少包括目标可信度信息、目标文件行为信息和目标网络流量信息;
判断模块,用于根据所述目标可信度信息,判断所述目标进程行为信息是否为异常行为;
第一确定模块,用于在所述目标进程行为信息为异常行为的情况下,对所述目标文件行为信息和预先设置的信息库进行对比,确定与所述目标进程行为信息对应的第一识别结果,其中,所述预先设置的信息库至少包括进程行为信息、可信度信息、文件行为信息和网络流量信息,所述进程行为信息分别与所述可信度信息、所述文件行为信息和所述网络流量信息相对应;
第二确定模块,用于根据所述目标网络流量信息和所述预先设置的信息库,确定与所述目标进程行为信息对应的第二识别结果;
第三确定模块,用于根据所述第一识别结果和所述第二识别结果,确定与所述目标进程行为信息对应的检测结果;
检测模块,用于根据所述检测结果和预设检测阈值,判断与所述目标进程行为信息对应的软件是否为恶意软件。
9.一种电子设备,其特征在于,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现权利要求1-7中任意一项权利要求所述的恶意软件的识别方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述程序被处理器执行时可实现权利要求1-7中任意一项权利要求所述的恶意软件的识别方法。
CN202311746357.XA 2023-12-18 2023-12-18 一种恶意软件的识别方法、装置、电子设备及存储介质 Pending CN117708818A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311746357.XA CN117708818A (zh) 2023-12-18 2023-12-18 一种恶意软件的识别方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311746357.XA CN117708818A (zh) 2023-12-18 2023-12-18 一种恶意软件的识别方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN117708818A true CN117708818A (zh) 2024-03-15

Family

ID=90158623

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311746357.XA Pending CN117708818A (zh) 2023-12-18 2023-12-18 一种恶意软件的识别方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN117708818A (zh)

Similar Documents

Publication Publication Date Title
CN111460445B (zh) 样本程序恶意程度自动识别方法及装置
US20140053267A1 (en) Method for identifying malicious executables
CN102664875B (zh) 基于云模式的恶意代码类别检测方法
KR101589656B1 (ko) Api 기반 악성 코드 변종 탐지 조회 시스템 및 방법
KR101851233B1 (ko) 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체
KR101132197B1 (ko) 악성 코드 자동 판별 장치 및 방법
CN110912884A (zh) 一种检测方法、设备及计算机存储介质
CN113711559B (zh) 检测异常的系统和方法
EP3531324B1 (en) Identification process for suspicious activity patterns based on ancestry relationship
CN113497786B (zh) 一种取证溯源方法、装置以及存储介质
CN113595975B (zh) 一种Java内存Webshell的检测方法及装置
GB2592132A (en) Enterprise network threat detection
KR101589652B1 (ko) 행위 기반 악성 코드 변종 탐지 조회 시스템 및 방법
Liu et al. A system call analysis method with mapreduce for malware detection
US10880316B2 (en) Method and system for determining initial execution of an attack
US9239907B1 (en) Techniques for identifying misleading applications
CN114297645B (zh) 在云备份系统中识别勒索家族的方法、装置和系统
CN115913634A (zh) 一种基于深度学习的网络安全异常的检测方法及系统
CN117708818A (zh) 一种恶意软件的识别方法、装置、电子设备及存储介质
CN111125701B (zh) 文件检测方法、设备、存储介质及装置
US9858410B2 (en) Techniques for automated application analysis
CN115001724A (zh) 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质
KR101092342B1 (ko) 파일 축약 정보 생성, 시그니쳐 생성 및 시그너쳐 패턴 검증 장치 및 방법
Gielen Prioritizing computer forensics using triage techniques
KR101650445B1 (ko) 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination