[发明专利]一种应用防护监控方法、装置以及系统

权利要求书

1.一种应用防护监控方法，其特征在于，包括：

客户端获取目标异常行为参数列表；所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件；

所述客户端监控各目标操作类型分别对应的操作行为，并统计各类操作行为的操作次数，将各类操作行为的操作次数确定为行为特征；

当所述行为特征满足所述第一异常行为条件时，所述客户端将所述行为特征以及当前运行进程的信息发送至服务器；所述当前运行进程的信息包括：当前运行进程的进程名以及当前运行进程的程序特征码；所述程序特征码包括进程所触发的行为操作的信息；

所述服务器在预设的非法进程信息库中查找所述当前运行进程的进程名中的非法进程名，并根据与所述客户端关联的第二异常行为条件确定所述当前运行进程的程序特征码中的非法程序特征码；

将查找出的所述非法进程名和所述非法程序特征码确定为目标非法进程信息；

在预设的异常行为条件集合中确定与所述行为特征、所述目标非法进程信息中的所述非法进程名以及所述非法程序特征码分别对应的待监控操作类型，并在所述异常行为条件集合中获取与所述待监控操作类型对应的异常行为条件；

将所述待监控操作类型以及所述待监控操作类型对应的异常行为条件添加至异常行为参数更新列表，并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端；

所述客户端对所述目标非法进程信息对应的进程进行关闭操作，并将所述目标异常行为参数列表更新为所述异常行为参数更新列表，以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。

2.如权利要求1所述的方法，其特征在于，在所述当所述行为特征满足所述第一异常行为条件时，所述客户端将所述行为特征以及当前运行进程的信息发送至所述服务器的步骤之前，还包括：

获取所述目标异常行为参数列表中各目标操作类型分别对应的次数阈值；

判断各目标操作类型分别对应的操作行为的操作次数是否均小于所对应的次数阈值；

若判断为是，则确定所述行为特征不满足所述第一异常行为条件；

若判断为否，则确定所述行为特征满足所述第一异常行为条件。

3.如权利要求2所述的方法，其特征在于，所述判断各目标操作类型分别对应的操作行为的操作次数是否均小于所对应的次数阈值的步骤之前，还包括：

检测对所述各目标操作类型分别对应的操作行为的监控时长是否达到预设时长阈值；

若检测为是，则重置各种操作行为的操作次数，并重置所述监控时长，并重新统计所述各种操作行为的操作次数；

若检测为否，则执行所述判断各目标操作类型分别对应的操作行为的操作次数是否均小于所对应的次数阈值的步骤。

4.如权利要求1所述的方法，其特征在于，所述根据与所述客户端关联的第二异常行为条件确定所述当前运行进程的程序特征码中的非法程序特征码，具体包括：

分析所述当前运行进程的程序特征码所指示的进程行为特征，并将满足与所述客户端关联的第二异常行为条件的进程行为特征对应的程序特征码确定为非法程序特征码；所述第二异常行为条件是根据所述第一异常行为条件所设定的。