[发明专利]一种基于分支行为模型的实时威胁检测方法有效
| 申请号: | 201711392444.4 | 申请日: | 2017-12-21 |
| 公开(公告)号: | CN107992751B | 公开(公告)日: | 2020-05-08 |
| 发明(设计)人: | 张尧 | 申请(专利权)人: | 苏州浪潮智能科技有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F21/55;G06F8/41 |
| 代理公司: | 济南信达专利事务所有限公司 37100 | 代理人: | 刘淑风 |
| 地址: | 215100 江苏省苏州*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供一种基于分支行为模型的实时威胁检测方法,在恶意代码运行过程中,程序会触发一系列繁琐的系统行为,但并非所有行为都是恶意属性的,恶意代码与合法程序的区别在于其行为路径中,蕴含着具有恶意企图的关键分支。基于上述思想,本发明通过跟踪系统层面的信息流,形成特定进程与可执行文件对象的依赖性关系图。对关系图中的对象,根据划分规则,进行对象分支的划分。对于每个分支中的各进程对象,方案监控并记录进程所有的基本行为。同时发明预先对行为操作进行敏感程度的权值量化,并构建黑白行为数据库,通过阈值管理与黑白行为数据库样式匹配的多重逻辑,对系统异常情况进行预警,能够高效、准确、实时地检测计算机系统中的未知威胁。 | ||
| 搜索关键词: | 一种 基于 分支 行为 模型 实时 威胁 检测 方法 | ||
【主权项】:
一种基于分支行为模型的实时威胁检测方法,其特征在于,具体实现过程如下:S1、依赖性关系图的建立通过跟踪系统层面的信息流,即监控系统中特定的进程与可执行文件,构建特定进程与可执行文件对象的依赖性关系图;S2、对象分支的划分与提取根据划分规则,将依赖性关系图划分为多个子图,即多个对象分支,对于依赖性关系图中的某一对象即进程或可执行文件,一旦所属分支确定后,将被赋予一个分支标签,标签由一个分支标识符和时间戳构成;S3、基本行为的监控、记录采用Hook钩挂技术,对于划分得到的各分支中的进程对象,在内核层面拦截系统调用,以及用户空间拦截API函数调用,监控并记录所有的基本行为;S4、行为的敏感程度量化和记录预先对所有的基本行为进行危险程度的估计,将基本行为操作分为敏感程度低、中、高三类,并分别赋予危险权值;在此基础上,对于所监控程序的各个分支,根据记录得到的各分支的基本行为操作,计算危险权值加和S;S5、黑白行为数据库的建立与动态匹配构建轻量级的分支恶意行为数据库和已知程序行为数据库,通过阈值管理与黑白行为数据库样式匹配的多重逻辑,对系统异常情况进行预警。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于苏州浪潮智能科技有限公司,未经苏州浪潮智能科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201711392444.4/,转载请声明来源钻瓜专利网。
- 上一篇:病毒文件识别方法和装置
- 下一篇:一种数据处理方法、装置及计算机设备
