[发明专利]进程行为分析方法及系统

说明书

技术领域

本发明涉及计算机安全技术，尤其涉及一种进程行为分析方法及系统。

背景技术

计算机安全已成为人们日益关注的问题，进程行为分析是重要的计算机安全监控技术之一，其通过对程序代码运行中的行为进行分析确定相应程序的行为目的，使得计算机安全技术人员可以根据这些行为目的确定采取相应的安全防范措施。

现有技术中，进程行为分析一般采用对计算机的一个进程的行为进行分析，判断出该进程执行的程序代码的行为功能。例如目前很多恶意进程都具有将自身代码注入到正常进程中的行为，以达到隐藏运行的目的，这些恶意进程仅仅是一个注入代码，目前对其进行进程行为分析，是对其注入行为进程进行分析或者对恶意进程本身进行分析，因此可以获取这些恶意进程的注入行为或者恶意进程自身的行为目的。

然而这种方法对其注入到正常进程后的行为等是分析不到的，使得计算机安全技术人员对恶意进程的行为无法达到全面了解，从而影响进程行为分析的质量效率。

发明内容

本发明提供一种进程行为分析方法及系统，用以对与一个进程相关的所有进程的行为进行全面地分析，提高进程行为分析的质量效率。

本发明的第一个方面是提供一种进程行为分析方法，包括:

获取对预设的敏感进程进行监控的监控记录数据；

根据所述监控记录数据模拟重现监控过程中的句柄、进程和线程，获取分别与所述句柄、进程和线程对应的虚拟表项，所述虚拟表项记录敏感进程创建的句柄、进程和线程及对应的属性；

设定敏感进程的相关进程，根据所述虚拟表项将相关进程对应的句柄、进程和线程操作及对应的属性关联到敏感进程的进程行为分析结果中。

本发明的第二个方面是提供一种进程行为分析系统，包括:

监控模块，用于获取对预设的敏感进程进行监控的监控记录数据；

分析模块，用于根据所述监控记录数据模拟重现监控过程中的句柄、进程和线程，获取分别与所述句柄、进程和线程对应的虚拟表项，所述虚拟表项记录敏感进程创建的句柄、进程和线程及对应的属性；

关联模块，用于设定敏感进程的相关进程，根据所述虚拟表项将相关进程对应的句柄、进程和线程操作及对应的属性关联到敏感进程的进程行为分析结果中。

本发明通过根据监控记录数据模拟重现监控过程中的句柄、进程和线程，获取记录敏感进程创建的句柄、进程和线程及对应的属性的虚拟表项，再根据所述虚拟表项将设定的相关进程对应的句柄、进程和线程操作及对应的属性关联到敏感进程的进程行为分析结果中，使得对敏感进程的行为分析的更加完整充分，保证了进程行为分析的质量效率。

附图说明

图1为本发明进程行为分析方法实施例一的流程图；

图2为图1中模拟重现监控过程中的句柄的原理图；

图3为图1所示实施例中将相关进程的操作关联到敏感进程的原理图；

图4为图1所示实施例的具体应用实例图；

图5为本发明进程行为分析方法实施例二的流程图；

图6为图5所示实施例中预定义的二进制文件结构示意图；

图7为本发明进程行为分析系统实施例一的结构示意图；

图8为本发明进程行为分析系统实施例二的结构示意图；

图9为图8所示实施例的实际应用例的结构示意图。

具体实施方式

以下结合附图对本发明的实施例进行详细说明。

图1为本发明进程行为分析方法实施例一的流程图，如图1所示，本实施例的方法包括:

步骤101、获取对预设的敏感进程进行监控的监控记录数据。

为对预设的敏感进程进行进程行为分析，首先要对敏感进程的进程行为进行监控，获取监控记录数据，以便于后续对进程行为分析时根据监控记录数据进行分析。

本发明实施例中的敏感进程可以预设为与操作系统内的安全相关、系统关键数据操作相关的应用程序接口调用操作，当对敏感进程进行监控时，可以在对操作系统内的与安全相关、系统关键数据操作相关的应用程序接口（Application Programming Interface，简称API）调用的头部和尾部设置监控断点；之后监控模块根据设置的监控断点触发监控，并将应用程序接口调用开始及返回处的参数值记录为监控记录数据，以作为后续分析模块进行进程行为分析时使用的原始数据，这里对进程行为的监控可以是现有的任一监控技术。