[发明专利]基于行为分析的木马检测方法及系统

说明书

本发明提供的基于行为分析的木马检测方法及系统中，方法包括以下步骤：采集应用程序中所有进程的行为数据；根据所述行为数据筛选出可疑进程；将可疑进程的行为数据与训练模型进行匹配，输出每个可疑进程的匹配值；当可疑进程的匹配值满足预设的阈值时，判定该可疑进程中存在木马，进行告警。该方法通过主动监测操作系统中应用程序的进程运行状态，采集所有进程的行为数据，将这些行为数据与训练模型进行匹配，根据阈值判定该进程是否有恶意的木马行为。由于大部分的木马的行为基本是相同的，所以这样不仅能够检测已知的木马类型，同时能够检测未知的木马类型，同时降低系统资源的消耗量，进行实时木马检测。

技术领域

本发明属于计算机网络安全技术领域，具体涉及基于行为分析的木马检测方法及系统。

背景技术

现有技术中，木马是指程序中包含的一些恶意行为，木马能够远程控制受害主机。木马能够窃取受害主机的资料，并为进一步入侵同一局域网中其它机器提供跳板。综合来看，木马的主要行为特征为窃取资料、实现远程控制、作为跳板机。

目前恶意代码检测技术主要是根据特征码进行检测，即通过静态扫描文件是否有病毒库中的风险代码，然而这种传统的检测方式无法对新型的木马进行检测。且这种检测方式需要全盘遍历的方式去检测主机中是否存在木马，还需要加载整个病毒库进行扫描，通常病毒库的大小会根据病毒样本的增加而增加，因此这种检测技术对主机的性能影响很大，非常消耗资源。

发明内容

针对现有技术中的缺陷，本发明提供一种基于行为分析的木马检测方法及系统，降低系统资源的消耗量，能够进行实时木马检测。

第一方面，一种基于行为分析的木马检测方法，包括以下步骤：

采集应用程序中所有进程的行为数据；

根据所述行为数据筛选出可疑进程；

将可疑进程的行为数据与训练模型进行匹配，输出每个可疑进程的匹配值；

当可疑进程的匹配值满足预设的阈值时，判定该可疑进程中存在木马，进行告警。

优选地，所述采集所有进程的行为数据具体包括：

监控进程的创建行为；

获取已创建进程的对外网络连接行为；

获取已创建进程的命令调用行为。

优选地，所述监控进程的创建行为具体包括：

判断应用程序是否是初始安装；

如果是，获取应用程序中所有进程的行为数据；

如果不是，监测应用程序中是否存在新创建的进程，如果存在，获取该进程的行为数据。

优选地，所述根据所述行为数据筛选出可疑进程具体包括：

当已创建进程的命令调用被发送到对外网络时，判定该进程为可疑进程。

优选地，该方法还包括：

当筛选出可疑进程时，记录可疑进程的命令调用行为及对外网络连接行为；

将记录的命令调用行为及对外网络连接行为上传至外部管理平台。

第二方面，一种基于行为分析的木马检测系统，包括：

进程行为数据采集模块：用于采集应用程序中所有进程的行为数据；

分析模块：用于根据所述行为数据筛选出可疑进程，将可疑进程的行为数据与训练模型进行匹配，输出每个可疑进程的匹配值；当可疑进程的匹配值满足预设的阈值时，判定该可疑进程中存在木马，进行告警。

优选地，所述进程行为数据采集模块还用于：