[發明專利]一種監控軟件正常運行的方法和裝置在審
| 申請號: | 201910755696.1 | 申請日: | 2019-08-15 |
| 公開(公告)號: | CN110619214A | 公開(公告)日: | 2019-12-27 |
| 發明(設計)人: | 戴純興 | 申請(專利權)人: | 蘇州浪潮智能科技有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06F21/52;G06F11/30;G06F11/32 |
| 代理公司: | 11278 北京連和連知識產權代理有限公司 | 代理人: | 陳黎明 |
| 地址: | 215100 江蘇省蘇州市吳*** | 國省代碼: | 江蘇;32 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 監控模塊 監控軟件 啟動模塊 運行過程 預定義 有效地控制 告警信息 基本信息 啟動軟件 軟件觸發 響應模塊 黑客 指令 響應 監測 | ||
1.一種監控軟件正常運行的方法,其特征在于,包括以下步驟:
啟動模塊在接收到啟動軟件的指令后根據所述軟件的基本信息以及啟動所述軟件的判斷策略來判斷是否啟動所述軟件;
監控模塊在所述啟動模塊啟動所述軟件后通過行為庫中預定義的行為和規則監控軟件的運行過程;
響應模塊響應于所述監控模塊監測到所述軟件存在所述預定義的行為或所述軟件觸發所述規則超過閾值而產生告警信息。
2.根據權利要求1所述的方法,其特征在于,所述軟件的基本信息包括:軟件的哈希值、證書信息、廠商信息、文件路徑。
3.根據權利要求2所述的方法,其特征在于,所述啟動模塊在接收到啟動軟件的指令后根據所述軟件基本信息以及啟動所述軟件的判斷策略來判斷是否啟動所述軟件包括:
所述啟動模塊在接收到啟動軟件的指令后,獲取所述軟件的基本信息并從數據庫中讀取預存的所述軟件的基本信息。
4.根據權利要求3所述的方法,其特征在于,所述啟動模塊在接收到啟動軟件的指令后根據所述軟件的基本信息以及啟動所述軟件的判斷策略來判斷是否啟動所述軟件還包括:
所述啟動模塊根據預先設置的判斷策略將所述獲取的軟件的基本信息與所述從數據庫中讀取的所述軟件的基本信息進行比對。
5.根據權利要求1所述的方法,其特征在于,所述監控模塊在所述啟動模塊啟動所述軟件后通過行為庫中預定義的行為和規則監控軟件的運行過程包括:
所述監控模塊監控所述軟件的系統調用過程,并將所述調用過程構建為軌跡關系圖,以將所述軌跡關系圖與所述行為庫中的行為和規則進行比較。
6.根據權利要求5所述的方法,其特征在于,所述監控模塊在所述啟動模塊啟動所述軟件后通過行為庫中預定義的行為和規則監控軟件的運行過程還包括:
所述監控模塊在內核層和應用層分別對所述軟件進行監控,其中所述應用層的監控包括監控系統API,所述內核層的監控包括監控注冊表、驅動、文件、內存。
7.根據權利要求6所述方法,其特征在于,所述監控模塊在所述啟動模塊啟動所述軟件后通過行為庫中預定義的行為和規則監控軟件的運行過程還包括:
所述行為庫中預定義的規則對應于具有相應權值的種類,每個種類中包含具有相應分數的多個規則,并且所述每個種類中的所有規則的分數相加等于同一確定值。
8.根據權利要求7所述的方法,其特征在于,響應模塊響應于所述監控模塊監測到所述軟件存在所述預定義的行為或所述軟件觸發所述規則超過閾值而產生告警信息包括:
響應于所述監控模塊監測到所述軟件觸發的規則的分數與其對應的種類權值相乘后累計達到分數閾值,所述響應模塊產生告警信息。
9.一種監控軟件正常運行的裝置,其特征在于,包括:
啟動模塊,所述啟動模塊在接收到啟動軟件的指令后根據所述軟件的基本信息以及啟動所述軟件的判斷策略來判斷是否啟動所述軟件;
監控模塊,所述監控模塊在所述啟動模塊啟動所述軟件后通過行為庫中預定義的行為和規則監控軟件的運行過程;
響應模塊,所述響應模塊響應于所述監控模塊監測到所述軟件存在所述行為或所述軟件觸發所述規則超過閾值而產生告警信息。
10.一種監控軟件正常運行的系統,其特征在于,包括:
至少一個處理器;和
存儲器,所述存儲器存儲有處理器可運行的程序代碼,所述程序代碼在被處理器運行時實施如權利要求1-8中任一項所述的方法。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于蘇州浪潮智能科技有限公司,未經蘇州浪潮智能科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910755696.1/1.html,轉載請聲明來源鉆瓜專利網。
