[发明专利]基于关联程序追踪的程序处理方法及装置、存储介质

说明书

本申请公开了一种基于关联程序追踪的程序处理方法及装置、存储介质，该方法包括：监控目标应用程序以及所述目标应用程序的关联程序各自对应的执行操作行为；基于所述执行操作行为，确定所述目标应用程序的目标行为链以及所述关联程序的关联行为链；识别所述目标行为链以及所述关联行为链是否属于恶意行为链；在所述目标行为链和/或所述关联行为链属于所述恶意行为链时，拦截所述目标应用程序以及所述关联程序。本申请有助于提升恶意程序的识别准确率和识别效率。

技术领域

本申请涉及计算机安全技术领域，尤其是涉及到一种基于关联程序追踪的程序处理方法及装置、存储介质。

背景技术

恶意软件是指在计算机系统上执行恶意任务的应用程序。企业的计算机设备若被安装恶意软件，恶意软件会进行窃取终端信息或发送欺诈信息等操作，严重影响企业的信息安全。防止恶意软件在计算机设备上进行恶意操作，是提高企业信息安全要解决的关键问题之一。

目前在恶意软件的检测中，一般是在软件发生恶意行为后，针对恶意行为产生的文件的特征值来进行恶意软件识别，例如通过预先收集的恶意软件对应的特征值，从而对本地软件文件的特征值进行比对来识别恶意软件。

上述查杀体系虽然能在一定程度上达到保护客户端设备的目的，然而，很多恶意软件窃取信息是通过多个恶意软件协同完成的，且特征值一般在恶意行为执行完成后获取，由于收集的恶意特征的局限性、特征获取的滞后性、恶意软件的多变性，短时内可能难以准确识别出全部的恶意软件。对于这种情况，现有技术缺乏相关的防护手段，难以及时阻止恶意行为，对计算机信息安全造成了严重威胁。

发明内容

有鉴于此，本申请提供了一种基于关联程序追踪的程序处理方法及装置、存储介质，有助于提升恶意程序的识别准确性和识别效率。

根据本申请的一个方面，提供了一种基于关联程序追踪的程序处理方法，包括：

监控目标应用程序以及所述目标应用程序的关联程序各自对应的执行操作行为；

基于所述执行操作行为，确定所述目标应用程序的目标行为链以及所述关联程序的关联行为链；

识别所述目标行为链以及所述关联行为链是否属于恶意行为链；

在所述目标行为链和/或所述关联行为链属于所述恶意行为链时，拦截所述目标应用程序以及所述关联程序。

可选地，所述关联程序包括上游关联程序和/或下游关联程序，所述目标应用程序通过执行所述上游关联程序的进程创建和/或下载，所述下游关联程序通过执行所述目标应用程序的进程创建和/或下载。

可选地，所述识别所述目标行为链以及所述关联行为链是否属于恶意行为链，具体包括：

根据预设恶意行为链，分别确定所述目标行为链与所述预设恶意行为链之间的目标相似度以及所述关联行为链与所述预设恶意行为链之间的关联相似度；

依据所述目标相似度、所述关联相似度以及预设相似度条件，识别所述目标行为链以及所述关联行为链是否属于所述恶意行为链。

可选地，所述预设恶意行为链包括至少一个应用程序样本对应的至少一个恶意行为链样本；所述根据预设恶意行为链，分别确定所述目标行为链与所述预设恶意行为链之间的目标相似度以及所述关联行为链与所述预设恶意行为链之间的关联相似度，具体包括：

确定所述预设恶意行为链中与所述目标程序对应的目标恶意行为链样本，以及与所述关联程序对应的关联恶意行为链样本；

计算所述目标行为链与所述目标恶意行为链样本之间的相似度，得到所述目标相似度；

计算所述关联行为链与所述关联恶意行为链样本之间的相似度，得到所述关联相似度。