本發明提供的基于行為分析的木馬檢測方法及系統中，方法包括以下步驟：采集應用程序中所有進程的行為數據；根據所述行為數據篩選出可疑進程；將可疑進程的行為數據與訓練模型進行匹配，輸出每個可疑進程的匹配值；當可疑進程的匹配值滿足預設的閾值時，判定該可疑進程中存在木馬，進行告警。該方法通過主動監測操作系統中應用程序的進程運行狀態，采集所有進程的行為數據，將這些行為數據與訓練模型進行匹配，根據閾值判定該進程是否有惡意的木馬行為。由于大部分的木馬的行為基本是相同的，所以這樣不僅能夠檢測已知的木馬類型，同時能夠檢測未知的木馬類型，同時降低系統資源的消耗量，進行實時木馬檢測。

技術領域

本發明屬于計算機網絡安全技術領域，具體涉及基于行為分析的木馬檢測方法及系統。

背景技術

現有技術中，木馬是指程序中包含的一些惡意行為，木馬能夠遠程控制受害主機。木馬能夠竊取受害主機的資料，并為進一步入侵同一局域網中其它機器提供跳板。綜合來看，木馬的主要行為特征為竊取資料、實現遠程控制、作為跳板機。

目前惡意代碼檢測技術主要是根據特征碼進行檢測，即通過靜態掃描文件是否有病毒庫中的風險代碼，然而這種傳統的檢測方式無法對新型的木馬進行檢測。且這種檢測方式需要全盤遍歷的方式去檢測主機中是否存在木馬，還需要加載整個病毒庫進行掃描，通常病毒庫的大小會根據病毒樣本的增加而增加，因此這種檢測技術對主機的性能影響很大，非常消耗資源。

發明內容

針對現有技術中的缺陷，本發明提供一種基于行為分析的木馬檢測方法及系統，降低系統資源的消耗量，能夠進行實時木馬檢測。

第一方面，一種基于行為分析的木馬檢測方法，包括以下步驟：

采集應用程序中所有進程的行為數據；

根據所述行為數據篩選出可疑進程；

將可疑進程的行為數據與訓練模型進行匹配，輸出每個可疑進程的匹配值；

當可疑進程的匹配值滿足預設的閾值時，判定該可疑進程中存在木馬，進行告警。

優選地，所述采集所有進程的行為數據具體包括：

監控進程的創建行為；

獲取已創建進程的對外網絡連接行為；

獲取已創建進程的命令調用行為。

優選地，所述監控進程的創建行為具體包括：

判斷應用程序是否是初始安裝；

如果是，獲取應用程序中所有進程的行為數據；

如果不是，監測應用程序中是否存在新創建的進程，如果存在，獲取該進程的行為數據。

優選地，所述根據所述行為數據篩選出可疑進程具體包括：

當已創建進程的命令調用被發送到對外網絡時，判定該進程為可疑進程。

優選地，該方法還包括：

當篩選出可疑進程時，記錄可疑進程的命令調用行為及對外網絡連接行為；

將記錄的命令調用行為及對外網絡連接行為上傳至外部管理平臺。

第二方面，一種基于行為分析的木馬檢測系統，包括：

進程行為數據采集模塊：用于采集應用程序中所有進程的行為數據；

分析模塊：用于根據所述行為數據篩選出可疑進程，將可疑進程的行為數據與訓練模型進行匹配，輸出每個可疑進程的匹配值；當可疑進程的匹配值滿足預設的閾值時，判定該可疑進程中存在木馬，進行告警。

優選地，所述進程行為數據采集模塊還用于：