[发明专利]一种基于分支行为模型的实时威胁检测方法

权利要求书

1.一种基于分支行为模型的实时威胁检测方法，其特征在于，具体实现过程如下：

S1、依赖性关系图的建立

通过跟踪系统层面的信息流，即监控系统中特定的进程与可执行文件，构建特定进程与可执行文件对象的依赖性关系图；

S2、对象分支的划分与提取

根据划分规则，将依赖性关系图划分为多个子图，即多个对象分支，对于依赖性关系图中的某一对象即进程或可执行文件，一旦所属分支确定后，将被赋予一个分支标签，标签由一个分支标识符和时间戳构成；

其中步骤S2划分规则包括如下：

分支规则一：如果某一进程是直接由一个面向网络的进程创建的，则为该进程及子进程添加一类分支标签；

分支规则二：如果某一可执行文件是通过网络下载得到的，则为该可执行文件及其后续对象添加一类分支标签；

分支规则三：如果某一可执行文件位于一个可移动存储中，则为该可执行文件及其后续对象添加一类分支标签；

对于某一后继对象，如果其具有多个父对象，此时，分支标签的继承优先级为：可执行文件、父进程、其他对象，如果位于同一优先级的父对象不止一个，则按照反向时序关系进行继承；

标签的继承方式确定了各个对象所隶属的分支，从而分支的划分得以完成；

S3、基本行为的监控、记录

采用Hook钩挂技术，对于划分得到的各分支中的进程对象，在内核层面拦截系统调用，以及用户空间拦截API函数调用，监控并记录所有的基本行为；

S4、行为的敏感程度量化和记录

预先对所有的基本行为进行危险程度的估计，将基本行为操作分为敏感程度低、中、高三类，并分别赋予危险权值；

在此基础上，对于所监控程序的各个分支，根据记录得到的各分支的基本行为操作，计算危险权值加和S；

其中步骤S4中，权值的选择范围在MIN于MAX之间,具体包括如下步骤：

4.1）默认告警阈值，管理员用户自行定义，设为MAX；

4.2）每个基本行为操作的权值在MIN与MAX之间，根据敏感程度的高低进行设定，MIN的设置方法如下：选定监控时间期望，搜集多个合法程序样本在监控时间期望内正常运行过程中的可被操作的操作数的平均值，记作A，则MIN=MAX/A；

S5、黑白行为数据库的建立与动态匹配

构建轻量级的分支恶意行为数据库和已知程序行为数据库，通过阈值管理与黑白行为数据库样式匹配的多重逻辑，对系统异常情况进行预警。

2.根据权利要求1所述的一种基于分支行为模型的实时威胁检测方法，其特征在于，步骤S1具体包括如下步骤：

1.1）恶意代码的入口标记，将进行远程通信的进程和可移动存储中的可执行文件设置为具有潜在可疑性，进行监控，以实现系统层面信息流的跟踪；

1.2）依赖性关系图的剪枝，在跟踪系统层面的信息流时，根据可疑性传播规则，提取出可能传播恶意代码的高危信息流，一些低危险的信息流将在依赖性关系图中被省略，即实现“剪枝”。

3.根据权利要求1或2所述的一种基于分支行为模型的实时威胁检测方法，其特征在于，步骤S1可执行文件相应的后缀名包括：

.EXE, .COM, .DLL, .SYS, .VBS, .JS, .BAT，还包括：可能存在宏病毒代码的数据文件。

4.根据权利要求2所述的一种基于分支行为模型的实时威胁检测方法，其特征在于，步骤1.2）可疑性传播规则包括如下：

传播规则一：被可疑进程生成或修改的可执行文件，也具有可疑性；

传播规则二：由可疑进程生成的子进程，也具有可疑性；

传播规则三：加载了可疑的可执行文件或脚本文件的进程，也具有可疑性；

传播规则四：从可疑进程接收数据的另一进程，也具有可疑性。

5.根据权利要求1、2或4所述的一种基于分支行为模型的实时威胁检测方法，其特征在于，步骤S3中，选择单一的、具有任务性的重要函数进行基本行为的监控、记录。