技術領域

本發明涉及計算機安全技術，尤其涉及一種進程行為分析方法及系統。

背景技術

計算機安全已成為人們日益關注的問題，進程行為分析是重要的計算機安全監控技術之一，其通過對程序代碼運行中的行為進行分析確定相應程序的行為目的，使得計算機安全技術人員可以根據這些行為目的確定采取相應的安全防范措施。

現有技術中，進程行為分析一般采用對計算機的一個進程的行為進行分析，判斷出該進程執行的程序代碼的行為功能。例如目前很多惡意進程都具有將自身代碼注入到正常進程中的行為，以達到隱藏運行的目的，這些惡意進程僅僅是一個注入代碼，目前對其進行進程行為分析，是對其注入行為進程進行分析或者對惡意進程本身進行分析，因此可以獲取這些惡意進程的注入行為或者惡意進程自身的行為目的。

然而這種方法對其注入到正常進程后的行為等是分析不到的，使得計算機安全技術人員對惡意進程的行為無法達到全面了解，從而影響進程行為分析的質量效率。

發明內容

本發明提供一種進程行為分析方法及系統，用以對與一個進程相關的所有進程的行為進行全面地分析，提高進程行為分析的質量效率。

本發明的第一個方面是提供一種進程行為分析方法，包括:

獲取對預設的敏感進程進行監控的監控記錄數據；

根據所述監控記錄數據模擬重現監控過程中的句柄、進程和線程，獲取分別與所述句柄、進程和線程對應的虛擬表項，所述虛擬表項記錄敏感進程創建的句柄、進程和線程及對應的屬性；

設定敏感進程的相關進程，根據所述虛擬表項將相關進程對應的句柄、進程和線程操作及對應的屬性關聯到敏感進程的進程行為分析結果中。

本發明的第二個方面是提供一種進程行為分析系統，包括:

監控模塊，用于獲取對預設的敏感進程進行監控的監控記錄數據；

分析模塊，用于根據所述監控記錄數據模擬重現監控過程中的句柄、進程和線程，獲取分別與所述句柄、進程和線程對應的虛擬表項，所述虛擬表項記錄敏感進程創建的句柄、進程和線程及對應的屬性；

關聯模塊，用于設定敏感進程的相關進程，根據所述虛擬表項將相關進程對應的句柄、進程和線程操作及對應的屬性關聯到敏感進程的進程行為分析結果中。

本發明通過根據監控記錄數據模擬重現監控過程中的句柄、進程和線程，獲取記錄敏感進程創建的句柄、進程和線程及對應的屬性的虛擬表項，再根據所述虛擬表項將設定的相關進程對應的句柄、進程和線程操作及對應的屬性關聯到敏感進程的進程行為分析結果中，使得對敏感進程的行為分析的更加完整充分，保證了進程行為分析的質量效率。

附圖說明

圖1為本發明進程行為分析方法實施例一的流程圖；

圖2為圖1中模擬重現監控過程中的句柄的原理圖；

圖3為圖1所示實施例中將相關進程的操作關聯到敏感進程的原理圖；

圖4為圖1所示實施例的具體應用實例圖；

圖5為本發明進程行為分析方法實施例二的流程圖；

圖6為圖5所示實施例中預定義的二進制文件結構示意圖；

圖7為本發明進程行為分析系統實施例一的結構示意圖；

圖8為本發明進程行為分析系統實施例二的結構示意圖；

圖9為圖8所示實施例的實際應用例的結構示意圖。

具體實施方式

以下結合附圖對本發明的實施例進行詳細說明。

圖1為本發明進程行為分析方法實施例一的流程圖，如圖1所示，本實施例的方法包括:

步驟101、獲取對預設的敏感進程進行監控的監控記錄數據。

為對預設的敏感進程進行進程行為分析，首先要對敏感進程的進程行為進行監控，獲取監控記錄數據，以便于后續對進程行為分析時根據監控記錄數據進行分析。

本發明實施例中的敏感進程可以預設為與操作系統內的安全相關、系統關鍵數據操作相關的應用程序接口調用操作，當對敏感進程進行監控時，可以在對操作系統內的與安全相關、系統關鍵數據操作相關的應用程序接口（Application?Programming?Interface，簡稱API）調用的頭部和尾部設置監控斷點；之后監控模塊根據設置的監控斷點觸發監控，并將應用程序接口調用開始及返回處的參數值記錄為監控記錄數據，以作為后續分析模塊進行進程行為分析時使用的原始數據，這里對進程行為的監控可以是現有的任一監控技術。