[发明专利]终端行为的安全识别方法和装置

权利要求书

1.一种终端行为的安全识别方法，其特征在于，包括：

预先针对每一个用户角色生成该用户角色在使用终端时对应的行为序列规则集；所述行为序列规则集中包括该用户角色在使用终端时被允许进行的各行为序列；

检测目标终端的当前行为信息；

确定使用所述目标终端的用户所对应的目标用户角色；

确定针对所述目标用户角色生成的目标行为序列规则集；

根据所述目标行为序列规则集，判断所述当前行为信息是否为恶意行为，如果所述当前行为信息为恶意行为，则向所述目标终端针对所述当前行为信息进行告警。

2.根据权利要求1所述的方法，其特征在于，所述针对每一个用户角色生成该用户角色在使用终端时对应的行为序列规则集，包括：

针对每一个用户角色，均执行：

确定第一数量的被该用户角色使用的样本终端；

针对确定的该第一数量的样本终端中的每一个样本终端，收集该样本终端在被该用户角色使用时生成的各行为序列；

针对收集的各行为序列中的相同行为序列，统计该第一数量的样本终端中生成该相同行为序列的样本终端对应的第二数量，在所述第二数量与所述第一数量的比值不小于预设的第一阈值时，则将该相同行为序列添加到与该用户角色对应的行为序列规则集中。

3.根据权利要求1所述的方法，其特征在于，

在所述检测目标终端的当前行为信息之前，进一步包括：

针对每一个待检测终端，均执行：

确定该待检测终端中安装的各应用软件；

采集设定时间段内使用该待检测终端的用户对每一个应用软件的使用功能；

根据采集的用户对每一个应用软件的使用功能，从预先设置的用户角色列表中为该用户分配对应的用户角色；其中，所述用户角色列表中包括用户角色与该用户角色对每一个应用软件的使用功能的集合的对应关系；

形成各个待检测终端的标识与用户角色的映射关系；

所述确定使用所述目标终端的用户所对应的目标用户角色，包括：

确定所述目标终端的标识；

根据所述映射关系和所述目标终端的标识，确定出目标用户角色。

4.根据权利要求1所述的方法，其特征在于，所述检测目标终端的当前行为信息，包括：

预先在所述目标终端中布置与若干个行为分别对应的触控陷阱；

利用布置的触控陷阱，在检测到所述目标终端执行了一个触控陷阱所对应的行为时，则将该触控陷阱所对应行为的信息确定为对该目标终端检测到的当前行为信息。

5.根据权利要求1所述的方法，其特征在于，所述当前行为信息包括若干个具有先后执行顺序的操作行为。

6.根据权利要求5所述的方法，其特征在于，所述操作行为为与进程操作、文件操作、注册表操作、网络操作、服务操作中至少一个操作相关联的行为。

7.根据权利要求1-6中任一所述的方法，其特征在于，在所述向所述目标终端针对所述当前行为信息进行告警之后，进一步包括：

确定所述目标终端对所述告警进行的处理操作；在所述处理操作为允许所述当前行为信息进行时，执行下一步骤；

统计向终端针对所述当前行为信息进行过告警的终端的第三数量；所述第三数量的终端所对应的用户角色均为所述目标用户角色；

统计所述第三数量的终端中对该告警进行的处理操作为允许所述当前行为信息进行的终端的第四数量；

在所述第三数量与所述第四数量的比值不小于预设的第二阈值时，则将所述当前行为信息添加到与所述目标用户角色对应的行为序列规则集中。