1.一種進(jìn)程行為分析方法，其特征在于，包括:

獲取對(duì)預(yù)設(shè)的敏感進(jìn)程進(jìn)行監(jiān)控的監(jiān)控記錄數(shù)據(jù)；

根據(jù)所述監(jiān)控記錄數(shù)據(jù)模擬重現(xiàn)監(jiān)控過程中的句柄、進(jìn)程和線程，獲取分別與所述句柄、進(jìn)程和線程對(duì)應(yīng)的虛擬表項(xiàng)，所述虛擬表項(xiàng)記錄敏感進(jìn)程創(chuàng)建的句柄、進(jìn)程和線程及對(duì)應(yīng)的屬性；

設(shè)定敏感進(jìn)程的相關(guān)進(jìn)程，根據(jù)所述虛擬表項(xiàng)將相關(guān)進(jìn)程對(duì)應(yīng)的句柄、進(jìn)程和線程操作及對(duì)應(yīng)的屬性關(guān)聯(lián)到敏感進(jìn)程的進(jìn)程行為分析結(jié)果中。

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，根據(jù)所述監(jiān)控記錄數(shù)據(jù)模擬重現(xiàn)監(jiān)控過程中的句柄、進(jìn)程和線程之前，還包括：

將所述監(jiān)控記錄數(shù)據(jù)存入預(yù)定義的二進(jìn)制文件中；

將所述二進(jìn)制文件導(dǎo)入監(jiān)控記錄數(shù)據(jù)庫中；

相應(yīng)地，根據(jù)所述監(jiān)控記錄數(shù)據(jù)模擬重現(xiàn)監(jiān)控過程中的句柄、進(jìn)程和線程，具體為：

根據(jù)所述監(jiān)控記錄數(shù)據(jù)庫中存儲(chǔ)的二進(jìn)制文件模擬重現(xiàn)監(jiān)控過程中的句柄、進(jìn)程和線程。

3.根據(jù)權(quán)利要求1或2所述的方法，其特征在于，所述敏感進(jìn)程為與安全相關(guān)、系統(tǒng)關(guān)鍵數(shù)據(jù)操作相關(guān)的應(yīng)用程序接口調(diào)用，

相應(yīng)地，獲取對(duì)預(yù)設(shè)的敏感進(jìn)程進(jìn)行監(jiān)控的監(jiān)控記錄數(shù)據(jù)，包括：

在對(duì)操作系統(tǒng)內(nèi)的與安全相關(guān)、系統(tǒng)關(guān)鍵數(shù)據(jù)操作相關(guān)的應(yīng)用程序接口調(diào)用的頭部和尾部設(shè)置監(jiān)控?cái)帱c(diǎn)；

根據(jù)設(shè)置的監(jiān)控?cái)帱c(diǎn)觸發(fā)監(jiān)控，并將應(yīng)用程序接口調(diào)用開始及返回處的參數(shù)值記錄為監(jiān)控記錄數(shù)據(jù)。

4.根據(jù)權(quán)利要求3所述的方法，其特征在于，設(shè)定敏感進(jìn)程的相關(guān)進(jìn)程，根據(jù)所述虛擬表項(xiàng)將相關(guān)進(jìn)程對(duì)應(yīng)的句柄、進(jìn)程和線程操作及對(duì)應(yīng)的屬性關(guān)聯(lián)到敏感進(jìn)程的進(jìn)程行為分析結(jié)果中，包括：

根據(jù)應(yīng)用程序接口調(diào)用函數(shù)及參數(shù)確定所述應(yīng)用程序接口調(diào)用影響的進(jìn)程是否為敏感進(jìn)程的相關(guān)進(jìn)程；

若是，則以應(yīng)用程序接口調(diào)用的標(biāo)識(shí)號(hào)為關(guān)聯(lián)點(diǎn)，根據(jù)虛擬表項(xiàng)將相關(guān)進(jìn)程在所述關(guān)聯(lián)點(diǎn)之后的所有句柄、進(jìn)程和線程操作及對(duì)應(yīng)的屬性關(guān)聯(lián)到敏感進(jìn)程的進(jìn)程行為分析結(jié)果中。

5.根據(jù)權(quán)利要求4所述的方法，其特征在于，當(dāng)應(yīng)用程序接口調(diào)用函數(shù)及參數(shù)對(duì)應(yīng)于創(chuàng)建進(jìn)程操作、注入操作和本地進(jìn)程調(diào)用時(shí)，將所述應(yīng)用程序接口調(diào)用影響的進(jìn)程設(shè)定為敏感進(jìn)程的相關(guān)進(jìn)程。

6.根據(jù)權(quán)利要求1或2所述的方法，其特征在于，設(shè)定敏感進(jìn)程的相關(guān)進(jìn)程包括：

將敏感進(jìn)程進(jìn)行的創(chuàng)建子進(jìn)程、注入進(jìn)程、本地進(jìn)程調(diào)用、遠(yuǎn)程COM調(diào)用和/或窗口消息操作的進(jìn)程設(shè)定為敏感進(jìn)程的相關(guān)進(jìn)程。

7.一種進(jìn)程行為分析系統(tǒng)，其特征在于，包括:

監(jiān)控模塊，用于獲取對(duì)預(yù)設(shè)的敏感進(jìn)程進(jìn)行監(jiān)控的監(jiān)控記錄數(shù)據(jù)；

分析模塊，用于根據(jù)所述監(jiān)控記錄數(shù)據(jù)模擬重現(xiàn)監(jiān)控過程中的句柄、進(jìn)程和線程，獲取分別與所述句柄、進(jìn)程和線程對(duì)應(yīng)的虛擬表項(xiàng)，所述虛擬表項(xiàng)記錄敏感進(jìn)程創(chuàng)建的句柄、進(jìn)程和線程及對(duì)應(yīng)的屬性；

關(guān)聯(lián)模塊，用于設(shè)定敏感進(jìn)程的相關(guān)進(jìn)程，根據(jù)所述虛擬表項(xiàng)將相關(guān)進(jìn)程對(duì)應(yīng)的句柄、進(jìn)程和線程操作及對(duì)應(yīng)的屬性關(guān)聯(lián)到敏感進(jìn)程的進(jìn)程行為分析結(jié)果中。

8.根據(jù)權(quán)利要求7所述的系統(tǒng)，其特征在于，還包括：

轉(zhuǎn)換模塊，用于將所述監(jiān)控記錄數(shù)據(jù)存入預(yù)定義的二進(jìn)制文件中；以及將所述二進(jìn)制文件導(dǎo)入監(jiān)控記錄數(shù)據(jù)庫中；

所述分析模塊，具體用于根據(jù)所述監(jiān)控記錄數(shù)據(jù)庫中存儲(chǔ)的二進(jìn)制文件模擬重現(xiàn)監(jiān)控過程中的句柄、進(jìn)程和線程，獲取分別與所述句柄、進(jìn)程和線程對(duì)應(yīng)的虛擬表項(xiàng)，所述虛擬表項(xiàng)記錄敏感進(jìn)程創(chuàng)建的句柄、進(jìn)程和線程及對(duì)應(yīng)的屬性。

9.根據(jù)權(quán)利要求7或8所述的系統(tǒng)，其特征在于，所述敏感進(jìn)程為與安全相關(guān)、系統(tǒng)關(guān)鍵數(shù)據(jù)操作相關(guān)的應(yīng)用程序接口調(diào)用，

所述監(jiān)控模塊，具體用于在對(duì)操作系統(tǒng)內(nèi)的與安全相關(guān)、系統(tǒng)關(guān)鍵數(shù)據(jù)操作相關(guān)的應(yīng)用程序接口調(diào)用的頭部和尾部設(shè)置監(jiān)控?cái)帱c(diǎn)；以及根據(jù)設(shè)置的監(jiān)控?cái)帱c(diǎn)觸發(fā)監(jiān)控，并將應(yīng)用程序接口調(diào)用開始及返回處的參數(shù)值記錄為監(jiān)控記錄數(shù)據(jù)。

10.根據(jù)權(quán)利要求9所述的系統(tǒng)，其特征在于，所述關(guān)聯(lián)模塊包括：

確定單元，用于根據(jù)應(yīng)用程序接口調(diào)用的參數(shù)確定所述應(yīng)用程序接口調(diào)用影響的進(jìn)程是否為敏感進(jìn)程的相關(guān)進(jìn)程；

關(guān)聯(lián)單元，用于以應(yīng)用程序接口調(diào)用的標(biāo)識(shí)號(hào)為關(guān)聯(lián)點(diǎn)，根據(jù)虛擬表項(xiàng)將相關(guān)進(jìn)程在所述關(guān)聯(lián)點(diǎn)之后的所有句柄、進(jìn)程和線程操作及對(duì)應(yīng)的屬性關(guān)聯(lián)到敏感進(jìn)程的進(jìn)程行為分析結(jié)果中。