[發明專利]一種惡意進程的確定方法、裝置、電子設備及存儲介質有效
| 申請號: | 201910871292.9 | 申請日: | 2019-09-16 |
| 公開(公告)號: | CN110598410B | 公開(公告)日: | 2021-11-16 |
| 發明(設計)人: | 朱海星;李俊波;杜海章;劉寧 | 申請(專利權)人: | 騰訊科技(深圳)有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 廣州三環專利商標代理有限公司 44202 | 代理人: | 郝傳鑫;賈允 |
| 地址: | 518057 廣東省深圳*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 惡意 進程 確定 方法 裝置 電子設備 存儲 介質 | ||
1.一種惡意進程的確定方法,其特征在于,所述方法包括:
采集進程對應的進程數據和網絡數據;所述進程數據包括進程指示信息和所述進程對應的父進程指示信息;
基于所述進程指示信息和所述進程對應的父進程指示信息對進程進行排序操作,得到排序后的進程序列;
若所述進程序列中存在進程對與惡意進程對相匹配,將所述進程序列的惡意值更新為第一惡意值;所述進程對中兩個進程的前后位置關系與所述兩個進程在所述進程序列中的前后位置關系一致;
若所述進程序列中存在進程的網絡數據與惡意網絡數據相匹配,將所述第一惡意值更新為第二惡意值;
若所述第二惡意值與惡意閾值匹配,確定所述進程序列為惡意進程序列;
所述若所述第二惡意值與惡意閾值匹配,則確定所述進程序列為惡意進程序列之前,還包括:
將預設安全進程序列轉化為安全進程文本;
將所述進程序列轉化為待確定進程文本;
若所述待確定進程文本與所述安全進程文本的匹配程度值小于預設程度值,將所述第二惡意值更新為第三惡意值;
所述若所述第二惡意值與惡意閾值匹配,確定所述進程序列為惡意進程序列,包括:
若所述第三惡意值與所述惡意閾值匹配,則確定所述進程序列為惡意進程序列。
2.根據權利要求1所述的方法,其特征在于,所述網絡數據包括網絡連接方式信息,連接域名和網絡協議地址;
所述若所述進程序列中存在進程的網絡數據與惡意網絡數據相匹配,將所述第一惡意值更新為第二惡意值,包括:
若出現以下至少一種匹配方法,將所述第一惡意值更新為第二惡意值;
所述匹配方法包括:
所述進程序列中存在進程有網絡連接方式信息;所述進程為與所述惡意進程對匹配的進程對中的進程;
所述進程序列中存在進程的連接域名與惡意連接域名相匹配;
所述進程序列中存在進程的網絡協議地址與惡意網絡協議地址相匹配。
3.根據權利要求1所述的方法,其特征在于,所述基于所述進程指示信息和所述進程對應的父進程指示信息對進程進行排序操作,得到排序后的進程序列之前,還包括:
若所述進程的連接域名與預設域名相匹配,則將所述進程確定為非惡意進程;
和/或;
若所述進程的網絡協議地址與預設網絡協議地址相匹配,則將所述進程確定為非惡意進程。
4.根據權利要求1所述的方法,其特征在于,所述進程數據還包括進程哈希;
所述基于所述進程指示信息和所述進程對應的父進程指示信息對進程進行排序操作,得到排序后的進程序列之前,還包括:
若所述進程的進程哈希與固定哈希相匹配,則將所述進程確定為非惡意進程。
5.根據權利要求3或4所述的方法,其特征在于,所述基于所述進程指示信息和所述進程對應的父進程指示信息對進程進行排序操作,得到排序后的進程序列,包括:
基于所述進程指示信息和所述進程對應的父進程指示信息對除所述非惡意進程外的進程進行排序操作,得到排序后的進程序列;
其中,所述進程序列中包括多個進程子序列。
6.根據權利要求1所述的方法,其特征在于,所述進程數據還包括所述進程的啟動時間;
所述基于所述進程指示信息和所述進程對應的父進程指示信息對進程進行排序操作,得到排序后的進程序列,包括:
根據所述進程的啟動時間對進程進行劃分,得到多個時間區間對應的多個進程集合;其中,每個時間區間與除所述時間區間之外的至少一個時間區間存在交集;
基于每個所述進程集合中進程的進程指示信息和所述進程對應的父進程指示信息對進程進行排序操作,得到排序后的進程序列。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于騰訊科技(深圳)有限公司,未經騰訊科技(深圳)有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910871292.9/1.html,轉載請聲明來源鉆瓜專利網。
