[發明專利]基于行為分析的木馬檢測方法及系統在審
| 申請號: | 202010767912.7 | 申請日: | 2020-08-03 |
| 公開(公告)號: | CN111859386A | 公開(公告)日: | 2020-10-30 |
| 發明(設計)人: | 常磊;孟昭宇;王志 | 申請(專利權)人: | 深圳市聯軟科技股份有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 北京酷愛智慧知識產權代理有限公司 11514 | 代理人: | 占麗君 |
| 地址: | 518000 廣東省深圳市南山區高新中區*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 行為 分析 木馬 檢測 方法 系統 | ||
1.一種基于行為分析的木馬檢測方法,其特征在于,包括以下步驟:
采集應用程序中所有進程的行為數據;
根據所述行為數據篩選出可疑進程;
將可疑進程的行為數據與訓練模型進行匹配,輸出每個可疑進程的匹配值;
當可疑進程的匹配值滿足預設的閾值時,判定該可疑進程中存在木馬,進行告警。
2.根據權利要求1所述基于行為分析的木馬檢測方法,其特征在于,所述采集所有進程的行為數據具體包括:
監控進程的創建行為;
獲取已創建進程的對外網絡連接行為;
獲取已創建進程的命令調用行為。
3.根據權利要求2所述基于行為分析的木馬檢測方法,其特征在于,所述監控進程的創建行為具體包括:
判斷應用程序是否是初始安裝;
如果是,獲取應用程序中所有進程的行為數據;
如果不是,監測應用程序中是否存在新創建的進程,如果存在,獲取該進程的行為數據。
4.根據權利要求1所述基于行為分析的木馬檢測方法,其特征在于,
所述根據所述行為數據篩選出可疑進程具體包括:
當已創建進程的命令調用被發送到對外網絡時,判定該進程為可疑進程。
5.根據權利要求1~4中任一權利要求所述基于行為分析的木馬檢測方法,其特征在于,該方法還包括:
當篩選出可疑進程時,記錄可疑進程的命令調用行為及對外網絡連接行為;
將記錄的命令調用行為及對外網絡連接行為上傳至外部管理平臺。
6.一種基于行為分析的木馬檢測系統,其特征在于,包括:
進程行為數據采集模塊:用于采集應用程序中所有進程的行為數據;
分析模塊:用于根據所述行為數據篩選出可疑進程,將可疑進程的行為數據與訓練模型進行匹配,輸出每個可疑進程的匹配值;當可疑進程的匹配值滿足預設的閾值時,判定該可疑進程中存在木馬,進行告警。
7.根據權利要求6所述基于行為分析的木馬檢測系統,其特征在于,所述進程行為數據采集模塊還用于:
監控進程的創建行為;
獲取已創建進程的對外網絡連接行為;
獲取已創建進程的命令調用行為。
8.根據權利要求7所述基于行為分析的木馬檢測系統,其特征在于,所述進程行為數據采集模塊具體用于:
判斷應用程序是否是初始安裝;
如果是,獲取應用程序中所有進程的行為數據;
如果不是,監測應用程序中是否存在新創建的進程,如果存在,獲取該進程的行為數據。
9.根據權利要求6所述基于行為分析的木馬檢測系統,其特征在于,
所述分析模塊具體用于:
當已創建進程的命令調用被發送到對外網絡時,判定該進程為可疑進程。
10.根據權利要求6~9中任一權利要求所述基于行為分析的木馬檢測系統,其特征在于,所述分析模塊還用于:
當篩選出可疑進程時,記錄可疑進程的命令調用行為及對外網絡連接行為;將記錄的命令調用行為及對外網絡連接行為上傳至外部管理平臺。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于深圳市聯軟科技股份有限公司,未經深圳市聯軟科技股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010767912.7/1.html,轉載請聲明來源鉆瓜專利網。
