[发明专利]一种恶意进程的确定方法、装置、电子设备及存储介质

权利要求书

1.一种恶意进程的确定方法，其特征在于，所述方法包括：

采集进程对应的进程数据和网络数据；所述进程数据包括进程指示信息和所述进程对应的父进程指示信息；

基于所述进程指示信息和所述进程对应的父进程指示信息对进程进行排序操作，得到排序后的进程序列；

若所述进程序列中存在进程对与恶意进程对相匹配，将所述进程序列的恶意值更新为第一恶意值；所述进程对中两个进程的前后位置关系与所述两个进程在所述进程序列中的前后位置关系一致；

若所述进程序列中存在进程的网络数据与恶意网络数据相匹配，将所述第一恶意值更新为第二恶意值；

若所述第二恶意值与恶意阈值匹配，确定所述进程序列为恶意进程序列；

所述若所述第二恶意值与恶意阈值匹配，则确定所述进程序列为恶意进程序列之前，还包括：

将预设安全进程序列转化为安全进程文本；

将所述进程序列转化为待确定进程文本；

若所述待确定进程文本与所述安全进程文本的匹配程度值小于预设程度值，将所述第二恶意值更新为第三恶意值；

所述若所述第二恶意值与恶意阈值匹配，确定所述进程序列为恶意进程序列，包括：

若所述第三恶意值与所述恶意阈值匹配，则确定所述进程序列为恶意进程序列。

2.根据权利要求1所述的方法，其特征在于，所述网络数据包括网络连接方式信息，连接域名和网络协议地址；

所述若所述进程序列中存在进程的网络数据与恶意网络数据相匹配，将所述第一恶意值更新为第二恶意值，包括：

若出现以下至少一种匹配方法，将所述第一恶意值更新为第二恶意值；

所述匹配方法包括：

所述进程序列中存在进程有网络连接方式信息；所述进程为与所述恶意进程对匹配的进程对中的进程；

所述进程序列中存在进程的连接域名与恶意连接域名相匹配；

所述进程序列中存在进程的网络协议地址与恶意网络协议地址相匹配。

3.根据权利要求1所述的方法，其特征在于，所述基于所述进程指示信息和所述进程对应的父进程指示信息对进程进行排序操作，得到排序后的进程序列之前，还包括：

若所述进程的连接域名与预设域名相匹配，则将所述进程确定为非恶意进程；

和/或；

若所述进程的网络协议地址与预设网络协议地址相匹配，则将所述进程确定为非恶意进程。

4.根据权利要求1所述的方法，其特征在于，所述进程数据还包括进程哈希；

所述基于所述进程指示信息和所述进程对应的父进程指示信息对进程进行排序操作，得到排序后的进程序列之前，还包括：

若所述进程的进程哈希与固定哈希相匹配，则将所述进程确定为非恶意进程。

5.根据权利要求3或4所述的方法，其特征在于，所述基于所述进程指示信息和所述进程对应的父进程指示信息对进程进行排序操作，得到排序后的进程序列，包括：

基于所述进程指示信息和所述进程对应的父进程指示信息对除所述非恶意进程外的进程进行排序操作，得到排序后的进程序列；

其中，所述进程序列中包括多个进程子序列。

6.根据权利要求1所述的方法，其特征在于，所述进程数据还包括所述进程的启动时间；

所述基于所述进程指示信息和所述进程对应的父进程指示信息对进程进行排序操作，得到排序后的进程序列，包括：

根据所述进程的启动时间对进程进行划分，得到多个时间区间对应的多个进程集合；其中，每个时间区间与除所述时间区间之外的至少一个时间区间存在交集；

基于每个所述进程集合中进程的进程指示信息和所述进程对应的父进程指示信息对进程进行排序操作，得到排序后的进程序列。