本發明提供一種惡意軟件行為檢測方法，包括以下步驟：預設每一個系統調用與行為之間的映射關系的行為表以及多個系統調用與行為之間的映射關系的行為組合表，并預設關聯信息表以及包含多個惡意軟件行為的行為檢測表；響應于檢測到系統調用，將調用參數與行為表進行匹配以獲取匹配到的行為、ID和分類，并根據分類將參數寫入相應的關聯信息表中；將行為與行為檢測表中的行為進行對比，并響應于比對失敗而根據ID與所述行為組合表進行比對，以查找出包含所有ID的行為組合；響應于所述行為組合中的所有ID對應的系統調用均被檢測到，根據與關聯信息表和行為檢測表的對比確定對所有系統調用對應的行為進行上報。本發明使得行為檢測模塊化，更加容易擴展。

技術領域

本發明涉及計算機領域，并且更具體地，涉及一種惡意軟件行為檢測方法和裝置。

背景技術

計算機網絡在高速發展的過程中，互聯網技術成為了一把雙刃劍，人們在享受互聯網技術帶來便利的同時，計算機的安全也日益受到威脅，攻擊行為日趨復雜，各種方法相互融合，使計算機安全防御更加困難并且隱藏在大量正常網絡中的惡意行為也越來越難以發現。

傳統的惡意軟件行為檢測技術根據惡意代碼的形態特征，提取惡意代碼的指紋，通過模式匹配方式對目標系統檢測和防護，典型的指紋提取方法包括Rabin指紋等。實驗表明這種方法不能識別特征未知的惡意代碼，以及同一個惡意代碼的多態或變形。

發明內容

鑒于此，本發明實施例的目的在于提出一種惡意軟件行為檢測方法和裝置，從攻擊者的角度出發，將一系列的攻擊行為進行抽象化、模塊化、結構化，使攻擊行為能夠快速的被發現與阻止。

基于上述目的，本發明實施例的一方面提供了一種惡意軟件行為檢測方法，包括以下步驟：

預設每一個系統調用與行為之間的映射關系的行為表以及多個系統調用與行為之間的映射關系的行為組合表，并預設關聯信息表以及包含多個惡意軟件行為的行為檢測表；

響應于檢測到系統調用，將所述系統調用的參數與所述行為表進行匹配以獲取匹配到的行為、ID和分類，并根據分類將所述參數寫入相應的關聯信息表中；

將所述行為與所述行為檢測表中的行為進行對比，并響應于比對失敗而根據所述ID與所述行為組合表進行比對，以查找出包含所有所述ID的行為組合；

響應于所述行為組合中的所有ID對應的系統調用均被檢測到，讀取所述相應的關聯信息表中寫入的參數，以確定所有所述系統調用操作的為同一對象，并根據所述確定的結果和所述行為檢測表對所有所述系統調用對應的行為進行上報。

在一些實施方式中，根據所述確定的結果和所述行為檢測表對所有所述系統調用對應的行為進行上報還包括：

響應于所有所述系統調用操作的為同一對象，將所述行為組合所對應的行為與所述行為檢測表中的行為進行對比，并響應于對比成功而將確定出的所有所述系統調用對應的行為進行上報。

在一些實施方式中，在所述行為檢測表中將惡意軟件行為細分為：訪問初始化、執行、常駐、提權、防御規避、憑據訪問、擴散、數據收集、以及命令和控制。

在一些實施方式中，所述關聯信息表包括進程關聯信息表、文件關聯信息表、注冊表關聯信息表、服務關聯信息表以及網絡關聯信息表。

在一些實施方式中，所述進程關聯信息表包括主體進程UUID、客體進程UUID、動作，所述文件關聯信息表包括主體進程UUID、文件路徑名、動作，所述注冊表關聯信息表包括主體進程UUID、注冊表項、動作，所述服務關聯信息表包括主體進程UUID、服務名、動作，以及所述網絡關聯信息表包括主體進程UUID、IP、端口、協議。

在一些實施方式中，所述行為表包括行為ID、系統調用API、參數、行為描述、行為分類以及威脅值。

在一些實施方式中，所述行為組合表包括行為ID組合、行為描述以及威脅值。