[发明专利]一种检测木马程序的方法及装置

说明书

技术领域

本申请涉及网络安全技术领域，特别涉及一种检测木马程序的方法及装置。

背景技术

随着网络技术的不断进步和发展，网络购物方式被越来越多的用户所接受和喜欢，该用户可以是个人，也可以是企业。因此，网上交易的安全就显得非常重要，目前威胁网上交易安全的木马程序很多，例如钓鱼木马，通过劫持浏览器篡改交易信息和交易流程，盗取用户账户密码进行非法支付或交易，为了确保交易安全，通常利用杀毒软件进行扫描以及杀毒。

虽然上述现有技术能在一定程度上查杀木马程序，但是，由于钓鱼木马恶意行为不明显，一直以来基于系统行为检测木马的传统杀毒软件比较难以发现，只能查杀已造成危险的木马，对未知的木马无法有效查杀，因此检测木马的效率低，对系统或用户危害大。

发明内容

本申请提供一种检测木马程序的方法和装置，用以解决现有技术无法检测未知的木马及检测木马效率低的问题。

本申请一方面提供了一种检测木马程序的方法，应用于一系统中，所述方法包括：获取所述系统的进程；基于所述进程，检测所述进程中是否包含预定的关键特征信息；当所述进程中包含所述预定的关键特征信息时，确定所述进程对应的程序为木马程序。

优选地，在所述获取所述系统的进程之后，还判断所述进程是否是可信进程，如果是，则将所述进程加入一白名单中。

优选地，所述判断所述进程是否是可信进程具体为：判断所述进程是否具有签名，如果是，则确定所述进程为可信进程。

优选地，如果所述进程没有签名，则判断所述进程的父进程是否具有签名，如果是，则确定所述进程为可信进程。

优选地，所述预定的关键特征信息为关键代码特征信息。

优选地，所述预定的关键特征信息为关键数据特征信息。

优选地，所述预定的关键特征信息为关键地址特征信息。

优选地，所述预定的关键特征信息包括关键代码特征信息、关键数据特征信息和关键地址特征信息，所述检测所述进程中是否包含预定的关键特征信息具体为：检测所述进程中是否包含所述关键代码特征信息、所述关键数据特征信息和所述关键地址特征信息。

优选地，所述预定的关键特征信息包括至少两个子特征信息，所述至少两个子特征信息中第一个子特征信息具有第一权重，所述至少两个子特征信息中第二个子特征信息具有第二权重。

本申请还提供了一种检测木马程序的装置，应用于一系统中，所述装置包括：获取单元，用于获取所述系统的进程；检测单元，用于基于所述进程，检测所述进程中是否包含预定的关键特征信息；以及确定单元，用于当所述进程中包含所述预定的关键特征信息时，确定所述进程对应的程序为木马程序。

本申请有益效果如下：

本申请实施例从木马运行后的行为着手，通过分析其运行期特征进行木马检测，即分析系统中运行的进程，看进程中是否包含木马的关键特征信息，由此来判断该进程对应的程序是不是木马程序，这种方式可以检测到未知的新木马，所以可在木马对用户造成伤害前就将其处理掉，所以检测木马效率高。

进一步，本申请实施例通过判断进程或该进程的父进程是否具有签名来确定进程是不是可信任进程，如果是的话就将该进程加入一白名单中，表示该进程是正常的进程，如此，在下次检测到该进程时可直接跳过，所以大大节约了检测的时间，提高了检测效率。

在更进一步的优选实施例中，关键特征信息可以是关键代码特征信息、关键数据特征信息和/或关键地址特征信息，关键代码特征信息、关键数据特征信息或关键地址特征信息是通过对木马运行后的行为分析出来的，这些关键特征信息都是木马劫持浏览器时用到的，所以去匹配这些特征，就可以确定该进程对应的程序是否是木马程序，因此检测的准确率高。

附图说明

图1为本申请一实施例中检测木马程序的方法流程图；

图2为本申请一实施例中检测木马程序的装置的功能框图。

具体实施方式

本申请一实施例提供一种检测木马程序的方法，应用于一系统中，系统具有进程信息，该系统可以使用在例如手机、平板电脑，笔记本电脑等各种电子终端中。

为使本领域技术人员能够更详细了解本申请，以下结合附图对本申请进行详细描述。

如图1所示，图1为本申请一实施例中检测木马程序的方法流程图，本实施例的方法包括：

步骤110：获取系统的进程；

步骤112：基于进程，检测进程中是否包含预定的关键特征信息；以及