[发明专利]基于关联程序追踪的程序处理方法及装置、存储介质

权利要求书

1.一种基于关联程序追踪的程序处理方法，其特征在于，包括：

监控目标应用程序以及所述目标应用程序的关联程序各自对应的执行操作行为；

基于所述执行操作行为，确定所述目标应用程序的目标行为链以及所述关联程序的关联行为链；

识别所述目标行为链以及所述关联行为链是否属于恶意行为链；

在所述目标行为链和/或所述关联行为链属于所述恶意行为链时，拦截所述目标应用程序以及所述关联程序。

2.根据权利要求1所述的方法，其特征在于，

所述关联程序包括上游关联程序和/或下游关联程序，所述目标应用程序通过执行所述上游关联程序的进程创建和/或下载，所述下游关联程序通过执行所述目标应用程序的进程创建和/或下载。

3.根据权利要求1或2所述的方法，其特征在于，所述识别所述目标行为链以及所述关联行为链是否属于恶意行为链，具体包括：

根据预设恶意行为链，分别确定所述目标行为链与所述预设恶意行为链之间的目标相似度以及所述关联行为链与所述预设恶意行为链之间的关联相似度；

依据所述目标相似度、所述关联相似度以及预设相似度条件，识别所述目标行为链以及所述关联行为链是否属于所述恶意行为链。

4.根据权利要求3所述的方法，其特征在于，所述预设恶意行为链包括至少一个应用程序样本对应的至少一个恶意行为链样本；所述根据预设恶意行为链，分别确定所述目标行为链与所述预设恶意行为链之间的目标相似度以及所述关联行为链与所述预设恶意行为链之间的关联相似度，具体包括：

确定所述预设恶意行为链中与所述目标程序对应的目标恶意行为链样本，以及与所述关联程序对应的关联恶意行为链样本；

计算所述目标行为链与所述目标恶意行为链样本之间的相似度，得到所述目标相似度；

计算所述关联行为链与所述关联恶意行为链样本之间的相似度，得到所述关联相似度。

5.根据权利要求4所述的方法，其特征在于，所述计算所述目标行为链与所述目标恶意行为链样本之间的相似度，得到所述目标相似度，具体包括：

确定所述目标行为链中各目标执行操作行为及其对应的发生顺序；

分别在每个所述目标恶意行为链样本对应的第一样本执行操作行为中，提取与所述目标执行操作行为至少部分匹配且发生顺序一致的行为，作为每个所述目标恶意行为链样本对应的第一目标相似行为；

分别计算每个所述第一目标相似行为占各自对应的所述第一样本执行操作行为的第一比例，得到每个所述目标行为链与所述目标恶意行为链样本之间的相似度；

将数值最大的第一比例对应的相似度，确定为所述目标相似度；

所述计算所述关联行为链与所述关联恶意行为链样本之间的相似度，得到所述关联相似度，具体包括：

确定所述关联行为链中各关联执行操作行为及其对应的发生顺序；

分别在每个所述关联恶意行为链样本对应的第二样本执行操作行为中，提取与所述关联执行操作行为至少部分匹配且发生顺序一致的行为，作为每个所述关联恶意行为链样本对应的第一关联相似行为；

分别计算每个所述第一关联相似行为占各自对应的所述第二样本执行操作行为的第二比例，得到每个所述关联行为链与所述关联恶意行为链样本之间的相似度；

将数值最大的第二比例对应的相似度，确定为所述关联相似度。

6.根据权利要求4所述的方法，其特征在于，所述根据预设恶意行为链，分别确定所述目标行为链与所述预设恶意行为链之间的目标相似度以及所述关联行为链与所述预设恶意行为链之间的关联相似度，具体包括：

若所述应用程序样本包括所述目标应用程序，则执行所述确定所述预设恶意行为链中与所述目标程序对应的目标恶意行为链样本，以及与所述关联程序对应的关联恶意行为链样本；

若所述应用程序样本不包括所述目标应用程序，则计算所述目标行为链与所述恶意行为链样本之间的相似度，得到所述目标相似度，以及计算所述关联行为链与所述恶意行为链样本之间的相似度，得到所述关联相似度。