[发明专利]一种终端恶意进程识别方法、装置、设备及可读存储介质

说明书

本申请公开了一种终端恶意进程识别方法，通过获取终端进程的行为数据，对所述行为数据进行向量化处理后输入至预训练的分类器进行恶意进程识别划分。该方法通过获取进程行为数据，针对进程行为进行动态分析，相对于传统的文件特征检测，可以避免静态特征分析中容易出现的历史特征容易失效的问题，从恶意进程的动态行为出发进行分析，从恶意进程的本质实现进程区分，可以有效区分正常进程和恶意进程，提升检测的精准度。本申请还提供了一种终端恶意进程识别装置、设备及可读存储介质，具有上述有益效果。

技术领域

本申请涉及电子技术领域，特别涉及一种终端恶意进程识别方法、终端恶意进程识别装置、终端恶意进程识别设备及计算机可读存储介质。

背景技术

在日常的商业活动中存在大量的终端，而在终端上会有很多事件，其中有些事件是符合用户预期的，也有一些事件是黑客通过非法手段入侵终端、在用户的预期之外执行的，这些用户预期之外实施恶意事件的进程被称为恶意进程。

由于防护措施的缺陷、使用人员安全意识薄弱等原因，恶意进程时有发生。恶意进程会对用户造成多种类型的危害，可能会导致关键数据的泄露，关键数据比如商业机密、员工信息、客户资料等，这些数据的泄露会造成难以估量的伤害；还可能会导致终端无法使用，一种典型的恶意进程，如勒索软件执行时会加密用户终端上的所有数据，破坏终端的可用性，而通常黑客会使用非对称加密，在没有私钥的情况下难以解密，为了恢复终端的可用性，不得不向黑客支付大笔的赎金，进一步导致经济损失；另外，恶意进程还会非法控制终端进行恶意活动，例如终端被黑客控制成为“肉鸡”，参与其他网络攻击行为，例如账号爆破，DDOS(Distributed Denial of Service，分布式拒绝服务)等，影响其他终端的安全性。恶意进程会利用终端漏洞进行攻击以及传播，影响金融，能源，医疗等众多行业，造成全球性的IT灾难，因此，对于恶意进程的防控对于用户机密以及财产安全十分重要。

恶意进程往往以恶意文件作为载体，常见的恶意文件包括病毒、木马等。现有的防御技术，主要是在可执行文件(Image File)执行前，根据预先捕获的恶意进程样本规则对文件进行相应的规则检测识别，判断其中是否具有现有的恶意进程特征。但是目前恶意进程攻击日新月异，对病毒文件代码稍加修改后可能就无法成功识别，仅基于历史攻击事件分析得到的规则特征进行识别存在对0Day响应延迟以及黑客蓄意绕过的情况，检测精准度低。

发明内容

本申请的目的是提供一种终端恶意进程识别方法，该方法可以显著提升终端恶意进程的检测精准度，有效保证终端系统运行的安全性；本申请的另一目的是提供一种终端恶意进程识别装置、设备及可读存储介质。

为解决上述技术问题，本申请提供一种终端恶意进程识别方法，包括：

获取终端进程的行为数据；

对所述行为数据进行向量化处理，生成行为向量；

将所述行为向量输入至预训练的分类器进行恶意进程识别划分，得到分类结果。

可选地，所述行为数据包括API序列，所述API序列为：基于所述终端进程运行过程中调用各个API的先后顺序所生成的序列；

相应地，所述获取终端进程的行为数据，包括：

从与所述终端进程关联的API日志中提取出所述终端进程的所述API序列。

可选地，对所述行为数据进行向量化处理，生成行为向量，包括：

基于所述API序列，提取出所述终端进程的API频次、TF-IDF权重、N-Gram信息和/或API出现次序，作为统计量，其中，所述API频次为在所述终端进程中API出现的数量，所述TF-IDF权重为用于评估API对所述终端进程的重要程度的参数，所述N-Gram信息为在所述终端进程中，连续调用N个API序列的频次，所述API出现次序为API在所述终端进程中各个被调用的API中首次出现的顺序；