[发明专利]基于行为分析的木马检测方法及系统在审
| 申请号: | 202010767912.7 | 申请日: | 2020-08-03 |
| 公开(公告)号: | CN111859386A | 公开(公告)日: | 2020-10-30 |
| 发明(设计)人: | 常磊;孟昭宇;王志 | 申请(专利权)人: | 深圳市联软科技股份有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京酷爱智慧知识产权代理有限公司 11514 | 代理人: | 占丽君 |
| 地址: | 518000 广东省深圳市南山区高新中区*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 行为 分析 木马 检测 方法 系统 | ||
1.一种基于行为分析的木马检测方法,其特征在于,包括以下步骤:
采集应用程序中所有进程的行为数据;
根据所述行为数据筛选出可疑进程;
将可疑进程的行为数据与训练模型进行匹配,输出每个可疑进程的匹配值;
当可疑进程的匹配值满足预设的阈值时,判定该可疑进程中存在木马,进行告警。
2.根据权利要求1所述基于行为分析的木马检测方法,其特征在于,所述采集所有进程的行为数据具体包括:
监控进程的创建行为;
获取已创建进程的对外网络连接行为;
获取已创建进程的命令调用行为。
3.根据权利要求2所述基于行为分析的木马检测方法,其特征在于,所述监控进程的创建行为具体包括:
判断应用程序是否是初始安装;
如果是,获取应用程序中所有进程的行为数据;
如果不是,监测应用程序中是否存在新创建的进程,如果存在,获取该进程的行为数据。
4.根据权利要求1所述基于行为分析的木马检测方法,其特征在于,
所述根据所述行为数据筛选出可疑进程具体包括:
当已创建进程的命令调用被发送到对外网络时,判定该进程为可疑进程。
5.根据权利要求1~4中任一权利要求所述基于行为分析的木马检测方法,其特征在于,该方法还包括:
当筛选出可疑进程时,记录可疑进程的命令调用行为及对外网络连接行为;
将记录的命令调用行为及对外网络连接行为上传至外部管理平台。
6.一种基于行为分析的木马检测系统,其特征在于,包括:
进程行为数据采集模块:用于采集应用程序中所有进程的行为数据;
分析模块:用于根据所述行为数据筛选出可疑进程,将可疑进程的行为数据与训练模型进行匹配,输出每个可疑进程的匹配值;当可疑进程的匹配值满足预设的阈值时,判定该可疑进程中存在木马,进行告警。
7.根据权利要求6所述基于行为分析的木马检测系统,其特征在于,所述进程行为数据采集模块还用于:
监控进程的创建行为;
获取已创建进程的对外网络连接行为;
获取已创建进程的命令调用行为。
8.根据权利要求7所述基于行为分析的木马检测系统,其特征在于,所述进程行为数据采集模块具体用于:
判断应用程序是否是初始安装;
如果是,获取应用程序中所有进程的行为数据;
如果不是,监测应用程序中是否存在新创建的进程,如果存在,获取该进程的行为数据。
9.根据权利要求6所述基于行为分析的木马检测系统,其特征在于,
所述分析模块具体用于:
当已创建进程的命令调用被发送到对外网络时,判定该进程为可疑进程。
10.根据权利要求6~9中任一权利要求所述基于行为分析的木马检测系统,其特征在于,所述分析模块还用于:
当筛选出可疑进程时,记录可疑进程的命令调用行为及对外网络连接行为;将记录的命令调用行为及对外网络连接行为上传至外部管理平台。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深圳市联软科技股份有限公司,未经深圳市联软科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010767912.7/1.html,转载请声明来源钻瓜专利网。
