[发明专利]终端行为的安全识别方法和装置

说明书

本发明涉及一种终端行为的安全识别方法和装置，方法包括：预先针对每一个用户角色生成该用户角色在使用终端时对应的行为序列规则集；该行为序列规则集中包括该用户角色在使用终端时被允许进行的各行为序列；检测目标终端的当前行为信息；确定使用该目标终端的用户所对应的目标用户角色；确定针对该目标用户角色生成的目标行为序列规则集；根据该目标行为序列规则集，判断该当前行为信息是否为恶意行为，如果该当前行为信息为恶意行为，则向该目标终端针对该当前行为信息进行告警。本发明可以提高终端的安全级别。

技术领域

本发明涉及安全技术领域，尤其涉及一种终端行为的安全识别方法和装置。

背景技术

随着信息技术的飞速发展，信息安全越来越受到重视。攻击者可通过注入的恶意软件进行信息窃取或篡改，给终端安全造成一定威胁。

目前，通过在终端上安装杀毒软件的方式来维护终端的安全。杀毒软件基于存储有大量软件唯一特征(例如，哈希值)的黑名单，对待安装软件的唯一特征进行识别，如果黑名单上包括该待安装软件的唯一特征，那么就判定该待安装软件为恶意软件，从而对该软件的安装过程进行拦截。

但是，如果攻击者对软件的唯一特征进行了修改，可以绕过黑名单上包括的唯一特征，那么现有方案则不会对该恶意软件的安装行为进行拦截。因此，现有方案中终端的安全级别较低，需要提供一种安全级别更高的方案。

发明内容

本发明要解决的技术问题在于终端的安全级别较低，针对现有技术中的缺陷，提供一种终端行为的安全识别方法和装置。

为了解决上述技术问题，本发明提供了一种终端行为的安全识别方法，包括：

预先针对每一个用户角色生成该用户角色在使用终端时对应的行为序列规则集；所述行为序列规则集中包括该用户角色在使用终端时被允许进行的各行为序列；

检测目标终端的当前行为信息；

确定使用所述目标终端的用户所对应的目标用户角色；

确定针对所述目标用户角色生成的目标行为序列规则集；

根据所述目标行为序列规则集，判断所述当前行为信息是否为恶意行为，如果所述当前行为信息为恶意行为，则向所述目标终端针对所述当前行为信息进行告警。

优选地，所述针对每一个用户角色生成该用户角色在使用终端时对应的行为序列规则集，包括：

针对每一个用户角色，均执行：

确定第一数量的被该用户角色使用的样本终端；

针对确定的该第一数量的样本终端中的每一个样本终端，收集该样本终端在被该用户角色使用时生成的各行为序列；

针对收集的各行为序列中的相同行为序列，统计该第一数量的样本终端中生成该相同行为序列的样本终端对应的第二数量，在所述第二数量与所述第一数量的比值不小于预设的第一阈值时，则将该相同行为序列添加到与该用户角色对应的行为序列规则集中。

优选地，在所述检测目标终端的当前行为信息之前，进一步包括：

针对每一个待检测终端，均执行：

确定该待检测终端中安装的各应用软件；

采集设定时间段内使用该待检测终端的用户对每一个应用软件的使用功能；

根据采集的用户对每一个应用软件的使用功能，从预先设置的用户角色列表中为该用户分配对应的用户角色；其中，所述用户角色列表中包括用户角色与该用户角色对每一个应用软件的使用功能的集合的对应关系；

形成各个待检测终端的标识与用户角色的映射关系；

所述确定使用所述目标终端的用户所对应的目标用户角色，包括：