[发明专利]违规软件识别方法

说明书

本申请涉及一种上述违规软件识别方法、装置、计算机设备和存储介质，获取软件黑白名单以及软件进程基准基线模型，遍历主机运行的软件进程，识别所述主机运行的软件进程中与所述软件进程基准基线模型不匹配的软件进程，得到可疑进程，确定所述可疑进程对应的软件，根据所述软件黑白名单以及所述可疑进程对应的软件，识别主机中违规软件。整个过程中，软件进程基准基线模型是由白名单软件的软件进程基于机器学习得到的，其能够识别出于白名单对应的软件进程，若存在与软件进程基准基线模型不匹配的软件进程，则说明该进程不属于白名单对应的进程，再结合软件黑白名单，可以准确识别出主机中违规软件。

技术领域

本申请涉及计算机技术领域，特别是涉及一种违规软件识别方法、装置、计算机设备和存储介质。

背景技术

随着计算机技术与通信技术的发展，出现了智能组网技术，将多个计算机组成一个组网网络，实现多个计算机之间数据的交互，提高了数据传输的效率。

在计算机组网中，由于参与的计算机有多台，不同计算机实现不同的功能，在这些计算机上会安装有不同的软件，这些软件在运行过程中需要与其他计算机以进行数据交互。在数据交互过程中，若存在违规软件攻击其他计算机，这必然会影响整个组网网络正常运行，甚至可能导致整个组网感染上异常的数据(病毒、木马等)。

可见，如何准确识别出计算机中违规软件是非常有必要的。传统的违规软件识别方案多数是采用黑白名单的方式，这种方式是基于初始阶段设置的软件黑白名单，其只能固定识别出初始阶段设置的存在违规风险的黑名单软件，无法在后续运行中准确识别出原始白名单软件中存在违规风险的软件，可见其违规软件识别准确度较低。

发明内容

基于此，有必要针对上述技术问题，提供一种准确的违规软件识别方法、装置、计算机设备和存储介质。

一种违规软件识别方法，方法包括：

获取软件黑白名单以及软件进程基准基线模型；

遍历主机运行的软件进程，识别主机运行的软件进程中与软件进程基准基线模型不匹配的软件进程，得到可疑进程；

确定可疑进程对应的软件；

根据软件黑白名单以及可疑进程对应的软件，识别主机中违规软件；

其中，软件进程基准基线模型由软件黑白名单中白名单软件的软件进程训练机器学习模型得到。

在其中一个实施例中，上述违规软件识别方法还包括：

获取软件进程偏离基线模型；

识别主机运行的软件进程中与软件进程偏离基线模型匹配的软件进程，得到危险进程；

生成并推送与危险进程对应的告警消息；

其中，软件进程偏离基线模型由软件黑白名单中黑名单软件的软件进程训练机器学习模型得到。

在其中一个实施例中，上述违规软件识别方法还包括：

获取软件黑白名单中各软件对应的软件进程，得到软件进程集合；

对软件进程集合中与白名单软件对应的软件进程添加可信标签，第一训练数据；对软件进程集合中与黑名单软件对应的软件进程添加危险标签，得到第二训练数据；

获取初始机器学习模型；

采用第一训练数据以及第二训练数据对初始机器学习模型进行训练，分别得到软件进程基准基线模型和软件进程偏离基线模型。

在其中一个实施例中，初始机器学习模型包括线性分类机器学习模型。

在其中一个实施例中，获取软件黑白名单包括：

获取组网各组网主机的预设软件黑白名单；