[发明专利]一种基于分支行为模型的实时威胁检测方法

说明书

本发明提供一种基于分支行为模型的实时威胁检测方法，在恶意代码运行过程中，程序会触发一系列繁琐的系统行为，但并非所有行为都是恶意属性的，恶意代码与合法程序的区别在于其行为路径中，蕴含着具有恶意企图的关键分支。基于上述思想，本发明通过跟踪系统层面的信息流，形成特定进程与可执行文件对象的依赖性关系图。对关系图中的对象，根据划分规则，进行对象分支的划分。对于每个分支中的各进程对象，方案监控并记录进程所有的基本行为。同时发明预先对行为操作进行敏感程度的权值量化，并构建黑白行为数据库，通过阈值管理与黑白行为数据库样式匹配的多重逻辑，对系统异常情况进行预警，能够高效、准确、实时地检测计算机系统中的未知威胁。

技术领域

本发明涉及系统安全技术领域，具体地说是一种基于分支行为模型的实时威胁检测方法。

背景技术

主机安全保护的关键在于对恶意代码攻击的检测与防范能力。在恶意代码防护方面，国内安全厂商的检测原理基本以签名特征码为主。这种检测方式的优点是匹配速度快，误报率低，但前提是恶意代码在其软件生命周期内不发生变化。不幸的是，大多数病毒、木马在短期内会产生大量变异，且变形、加密、多态等代码混淆技术已被普遍应用其中。与此同时，恶意代码规模爆炸式的增长趋势也使得签名特征库的更新和维护变得愈发困难。此外，白名单与强制访问控制技术也被广泛运用于未知威胁的防护。但这种混合防护机制在底层机理上，存在着一定的局限性：（1）一方面，应用程序白名单技术无法准确定义其信任边界。例如，许多重要的系统服务进程通常需要被列入白名单，如Windows系统中的svchost.exe进程等。但这些进程恰恰容易被恶意代码动态注入并劫持，使得恶意代码得以绕过白名单执行。（2）另一方面，在实际应用中，整齐划一式的强制访问控制对资源的调控，又往往显得过于苛刻，容易引起兼容性问题，限制正常业务系统的运行。

可以看出，在缺乏应用程序本身运行行为信息的情况下，未知进程的合法性判断和控制都面临巨大的困难。而现有的基于系统行为分析的检测技术，其本质都是把待测软件置于沙箱中运行，通过将运行过程中整个程序的行为与先验的行为特征信息进行比较，得到合法与否的判断。这种检测模式，更适用于非实时场景下的软件合法性判定（如PaaS中软件应用的离线审核），很难直接用于主机环境的程序实时监测和攻击防护。实际上在恶意代码运行过程中，程序会触发一系列繁琐的系统行为，但并非所有的行为都是具有恶意属性的——恶意代码与合法程序的区别在于其行为路径中，蕴含着具有恶意企图的关键分支。因此，通过检测分支中恶意行为的存在性，便可以从大量行为操作中排除冗余干扰，达到实时、准确地检测恶意代码的目标。

发明内容

本发明的技术任务是针对现有技术的不足，提供一种新型的、基于分支行为模型的实时威胁检测方法，方案首先通过跟踪系统层面的信息流，形成特定进程与可执行文件对象的依赖性关系图，并通过划分规则得到对象分支，最终将分支监控到的行为与黑白两种行为数据库中的模板进行动态比对，得到程序实时行为的判定结果。

本发明解决其技术问题所采用的技术方案是：

一种基于分支行为模型的实时威胁检测方法，具体实现过程如下：

S1、依赖性关系图的建立

通过跟踪系统层面的信息流，即监控系统中特定的进程与可执行文件，构建特定进程与可执行文件对象的依赖性关系图；

S2、对象分支的划分与提取

根据划分规则，将依赖性关系图划分为多个子图，即多个对象分支，对于依赖性关系图中的某一对象即进程或可执行文件，一旦所属分支确定后，将被赋予一个分支标签，标签由一个分支标识符和时间戳构成；

S3、基本行为的监控、记录

采用Hook钩挂技术，对于划分得到的各分支中的进程对象，在内核层面拦截系统调用，以及用户空间拦截API函数调用，监控并记录所有的基本行为；

S4、行为的敏感程度量化和记录