恶意进程行为的检测方法、装置及系统的制作方法
【专利摘要】本发明实施例提供一种恶意进程行为的检测方法、装置及系统。本发明实施例通过检测装置监控进程的进程行为,以获得目标进程行为的行为信息,进而将目标进程行为的行为信息发送给服务器,由服务器根据目标进程行为的行为信息,对目标进程行为进行检测,以确定目标进程行为是否为恶意进程行为,使得检测装置能够接收服务器根据目标进程行为的检测结果所返回的第一操作指示信息,进而根据第一操作指示信息,对目标进程行为执行操作,由于不再依赖于检测装置对目标进程行为进行单个样本的指定特征分析,而是由服务器根据目标进程行为的行为信息,对目标进程行为进行综合检测,能够及时检测到恶意进程行为,从而提高了系统的安全性能。
【专利说明】恶意进程行为的检测方法、装置及系统
【【技术领域】】
[0001]本发明涉及计算机技术,尤其涉及一种恶意进程行为的检测方法、装置及系统。【【背景技术】】
[0002]病毒是编制或者在应用程序中插入的破坏系统功能的数据,其会影响应用程序的正常使用,并且还能够自我复制,通常以一组指令或者程序代码的形式呈现。病毒,又称为计算机病毒,可以包括但不限于木马、后门、局域网蠕虫、邮件蠕虫、间谍软件、感染型病毒或Rootkits/Bootkits,它们具有破坏性,复制性和传染性的特点。
[0003]然而,在一些情况下,例如,杀毒软件的监控能力有限,或者再例如,病毒种类繁多,且增长速度特别快等,因此,运行后的病毒所导致的恶意进程行为难以被及时检测到。
【
【发明内容】
】[0004]本发明的多个方面提供一种恶意进程行为的检测方法、装置及系统,用以提高系统的安全性能。
[0005]本发明的一方面,提供一种恶意进程行为的检测方法,包括:
[0006]检测装置监控进程的进程行为,以获得目标进程行为的行为信息;
[0007]所述检测装置将所述目标进程行为的行为信息发送给服务器,以使得所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为;
[0008]所述检测装置接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息;
[0009]所述检测装置根据所述第一操作指示信息,对所述目标进程行为执行操作。
[0010]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述检测装置监控进程的进程行为,以获得目标进程行为的行为信息,包括:
[0011]所述检测装置根据预先配置的可疑目标进程行为的标识信息,监控进程的进程行为,以获得目标进程行为的行为信息。
[0012]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述目标进程行为的行为信息包括下列信息中的至少一项:
[0013]目标进程行为的发起者信息;
[0014]目标进程行为的目标对象信息;
[0015]目标进程行为的附加信息;以及
[0016]目标进程行为的标识信息。
[0017]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述检测装置将所述目标进程行为的行为信息发送给服务器,以使得所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为之后,还包括:[0018]所述检测装置接收所述服务器根据与所述目标进程行为相关的其他进程行为的检测结果所返回的第二操作指示信息,所述其他进程行为的检测结果为所述服务器对与所述其他进程行为进行检测,以确定与所述目标进程行为相关的其他进程行为是否为恶意进程行为获得;
[0019]所述检测装置根据所述第二操作指示信息,对所述其他进程行为所对应的行为结果执行操作。
[0020]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为,包括:
[0021]所述服务器根据所述目标进程行为的行为信息和已经确定的至少一个的恶意进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为;或者
[0022]所述服务器根据所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
[0023]本发明的另一方面,提供一种恶意进程行为的检测装置,包括:
[0024]监控单元,用于监控进程的进程行为,以获得目标进程行为的行为信息;
[0025]发送单元,用于将所述目标进程行为的行为信息发送给服务器,以使得所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为;
[0026]接收单元,用于接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息;
[0027]操作单元,用于根据所述第一操作指示信息,对所述目标进程行为执行操作。
[0028]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述监控单元,具体用于
[0029]根据预先配置的可疑目标进程行为的标识信息,监控进程的进程行为,以获得目标进程行为的行为信息。
[0030]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述监控单元所获得的所述目标进程行为的行为信息包括下列信息中的至少一项:
[0031]目标进程行为的发起者信息;
[0032]目标进程行为的目标对象信息;
[0033]目标进程行为的附加信息;以及
[0034]目标进程行为的标识信息。
[0035]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,
[0036]所述接收单元,还用于
[0037]接收所述服务器根据与所述目标进程行为相关的其他进程行为的检测结果所返回的第二操作指示信息,所述其他进程行为的检测结果为所述服务器对与所述其他进程行为进行检测,以确定与所述目标进程行为相关的其他进程行为是否为恶意进程行为获得;
[0038]所述操作单元,还用于[0039]根据所述第二操作指示信息,对所述其他进程行为所对应的行为结果执行操作。
[0040]本发明的另一方面,提供一种恶意进程行为的检测系统,包括服务器和上一方面所提供的恶意进程行为的检测装置;其中,
[0041]所述服务器,用于根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
[0042]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述服务器,具体用于
[0043]根据所述目标进程行为的行为信息和已经确定的至少一个的恶意进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为;或者
[0044]根据所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
[0045]由上述技术方案可知,本发明实施例通过检测装置监控进程的进程行为,以获得目标进程行为的行为信息,进而将所述目标进程行为的行为信息发送给服务器,由所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为,使得所述检测装置能够接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息,进而根据所述第一操作指示信息,对所述目标进程行为执行操作,由于不再依赖于检测装置对目标进程行为进行单个样本的指定特征分析,而是由服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行综合检测,能够及时检测到恶意进 程行为,从而提高了系统的安全性能。
[0046]另外,采用本发明提供的技术方案,由于服务器能够主动对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为,使得能够及时检测到检测装置没有上报的其他进程行为同样为恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
[0047]另外,采用本发明提供的技术方案,由于服务器能够利用已经确定的至少一个的恶意进程行为或者其他检测装置发送的其他目标进程行为,对未知的目标进程行为进行检测,以确定该未知的目标进程行为是否为恶意进程行为,使得能够及时检测到恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
【【专利附图】
【附图说明】】
[0048]为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0049]图1为本发明一实施例提供的恶意进程行为的检测方法的流程示意图;
[0050]图2为本发明另一实施例提供的恶意进程行为的检测装置的结构示意图;
[0051]图3为本发明另一实施例提供的恶意进程行为的检测系统的结构示意图。
【【具体实施方式】】[0052]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0053]另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
[0054]图1为本发明一实施例提供的恶意进程行为的检测方法的流程示意图,如图1所
/Jn ο
[0055]101、检测装置监控进程的进程行为,以获得目标进程行为的行为信息。
[0056]102、所述检测装置将所述目标进程行为的行为信息发送给服务器,以使得所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
[0057]103、所述检测装置接收所述服务器根据所述目标进程行为的检测结果所返回的
第一操作指示信息。
[0058]104、所述检测装置根据所述第一操作指示信息,对所述目标进程行为执行操作。
[0059]其中,所述第一操作指示信息可以包括但不限于:
[0060]用以指示所述目标进程行为为恶意进程行为的指示信息和用以指示对所述目标进程行为进行拦截操作的提示信息;或者
[0061]用以指示所述目标进程行为为非恶意进程行为的指示信息和用以指示对所述目标进程行为进行放行操作的提示信息。
[0062]需要说明的是,101?103的执行主体即检测装置,可以位于本地的客户端中,以进行离线操作来监控进程。
[0063]可以理解的是,所述客户端可以是安装在终端上的应用程序例如,杀毒软件等,或者还可以是浏览器的一个网页,只要能够实现进程监控,以提供安全的系统环境的客观存在形式都可以,本实施例对此不进行限定。
[0064]这样,通过检测装置监控进程的进程行为,以获得目标进程行为的行为信息,进而将所述目标进程行为的行为信息发送给服务器,由所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为,使得所述检测装置能够接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息,进而根据所述第一操作指示信息,对所述目标进程行为执行操作,由于不再依赖于检测装置对目标进程行为进行单个样本的指定特征分析,而是由服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行综合检测,能够及时检测到恶意进程行为,从而提高了系统的安全性能。
[0065]可选地,在本实施例的一个可能的实现方式中,在101中,检测装置监控进程的进程行为,可以利用预先配置的可疑行为决策库,该可疑行为决策库中存储有已经确定的可疑进程行为的相关信息,例如,可疑目标进程行为的标识信息,可疑目标进程行为的发起者信息等,确定所监控的进程的进程行为是否为可疑进程行为即目标进程行为,进而获得该目标进程行为的行为信息。[0066]可以理解的是,由于检测装置监控的目的,只是确定目标进程行为,并不是确定恶意进程行为,因此,所述可疑行为决策库的配置策略,可以适当地将监控范围控制得大一些,能够有效避免漏报的情况发生。
[0067]可选地,在本实施例的一个可能的实现方式中,在101中,所述检测装置所获得的所述目标进程行为的行为信息可以包括但不限于下列信息中的至少一项:
[0068]目标进程行为的发起者信息;
[0069]目标进程行为的目标对象信息;
[0070]目标进程行为的附加信息;以及[0071 ]目标进程行为的标识信息。
[0072]其中,
[0073]所述目标进程行为的发起者信息,可以为发起进程行为的对象标识。
[0074]所述目标进程行为的目标对象信息,可以为进程行为将要施加的对象标识。
[0075]所述目标进程行为的附加信息,可以为进程行为所产生的数据信息。
[0076]所述目标进程行为的标识信息,可以为进程行为的标识(Identifier, ID)。
[0077]可选地,在本实施例的一个可能的实现方式中,在101中,所述检测装置具体可以监控系统中全部进程的进程行为,以获得目标进程行为的行为信息。
[0078]可选地,在本实施例的一个可能的实现方式中,在101中,所述检测装置具体可以根据预先配置的可疑目标进程行为的标识信息,监控系统中部分进程的进程行为,以获得目标进程行为的行为信息。
[0079]可选地,在本实施例的一个可能的实现方式中,在102之后,所述服务器接收所述检测装置发送的所述目标进程行为的行为信息,则可以根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
[0080]具体地,所述服务器具体可以根据所述目标进程行为的行为信息,利用预先配置的恶意行为决策库,该恶意行为决策库中存储有已经确定的恶意进程行为的行为信息进行匹配,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
[0081]若匹配到与所述目标进程行为的行为信息一致的恶意进程行为,说明该目标进程行为为恶意进程行为,所述服务器则可以确定所述目标进程行为为恶意进程行为。
[0082]若没有匹配到与所述目标进程行为的行为信息一致的恶意进程行为,说明该目标进程行为为未知的进程行为,所述服务器则可以进一步利用已经确定的至少一个的恶意进程行为或者其他检测装置发送的其他目标进程行为,对该未知的目标进程行为进行检测。
[0083]具体地,所述服务器具体可以根据所述目标进程行为的行为信息和已经确定的至少一个的恶意进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
[0084]例如,所述服务器具体可以对已经确定的至少一个的恶意进程行为的行为信息进行聚类分析,以获得相似的行为信息,用以确定未知的目标进程行为是否为恶意进程行为。如,根据目标进程行为的目标对象信息、目标进程行为的附加信息和目标进程行为的标识信息,对所述至少一个的恶意进程行为的行为信息进行聚类,获得相似的目标进程行为的发起者信息。
[0085]具体地,所述服务器具体可以根据所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
[0086]例如,所述服务器具体可以对所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息进行聚类分析,以获得聚类结果。进而,再进一步分析所述目标进程行为的行为信息所属的聚类结果,以确定未知的目标进程行为是否为恶意进程行为。
[0087]这样,由于服务器能够利用已经确定的至少一个的恶意进程行为或者其他检测装置发送的其他目标进程行为,对未知的目标进程行为进行检测,以确定该未知的目标进程行为是否为恶意进程行为,使得能够及时检测到恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
[0088]可以理解的是,若所述服务器确定未知的目标进程行为为恶意进程行为,所述服务器则可以进一步将所确定的该目标进程行为的行为信息添加到恶意行为决策库中,以提闻恶意行为决策库的决策能力。
[0089]可选地,在本实施例的一个可能的实现方式中,所述服务器还可以进一步对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为。
[0090]这样,由于服务器能够主动对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为,使得能够及时检测到检测装置没有上报的其他进程行为同样为恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
[0091]相应地,在本实施例的一个可能的实现方式中,在102之后,所述检测装置还可以进一步接收所述服务器根据与所述目标进程行为相关的其他进程行为的检测结果所返回的第二操作指示信息,所述其他进程行为的检测结果为所述服务器对与所述其他进程行为进行检测,以确定与所述目标进程行为相关的其他进程行为是否为恶意进程行为获得。然后,所述检测装置则可以根据所述第二操作指示信息,对所述其他进程行为所对应的行为结果执行操作。
[0092]其中,所述第二操作指示信息可以包括但不限于:
[0093]用以指示所述其他进程行为为恶意进程行为的指示信息和用以指示对所述其他进程行为所对应的行为结果执行操作的提示信息;或者
[0094]用以指示所述其他进程行为为非恶意进程行为的指示信息。
[0095]可以理解的是,恶意行为决策库中,还可以进一步存储针对每个恶意进程行为的防御查杀方案。那么,所述服务器在向检测装置发送操作指示信息机第一操作指示信息或第二操作指示信息的同时,还可以进一步向检测装置发送对应的防御查杀方案,以便检测装置能够根据该防御查杀方案,进行有效的杀毒处理。
[0096]本实施例中,通过检测装置监控进程的进程行为,以获得目标进程行为的行为信息,进而将所述目标进程行为的行为信息发送给服务器,由所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为,使得所述检测装置能够接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息,进而根据所述第一操作指示信息,对所述目标进程行为执行操作,由于不再依赖于检测装置对目标进程行为进行单个样本的指定特征分析,而是由服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行综合检测,能够及时检测到恶意进程行为,从而提高了系统的安全性能。
[0097]另外,采用本发明提供的技术方案,由于服务器能够主动对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为,使得能够及时检测到检测装置没有上报的其他进程行为同样为恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
[0098]另外,采用本发明提供的技术方案,由于服务器能够利用已经确定的至少一个的恶意进程行为或者其他检测装置发送的其他目标进程行为,对未知的目标进程行为进行检测,以确定该未知的目标进程行为是否为恶意进程行为,使得能够及时检测到恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
[0099]需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
[0100]在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
[0101]图2为本发明另一实施例提供的恶意进程行为的检测装置的结构示意图,如图2所示。本实施例的恶意进程行为的检测装置可以包括监控单元21、发送单元22、接收单元23和操作单元24。其中,
[0102]监控单元21,用于监控进程的进程行为,以获得目标进程行为的行为信息。
[0103]发送单元22,用于将所述目标进程行为的行为信息发送给服务器,以使得所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
[0104]接收单元23,用于接收所述服务器根据所述目标进程行为的检测结果所返回的第
一操作指示信息。
[0105]操作单元24,用于根据所述第一操作指示信息,对所述目标进程行为执行操作。
[0106]其中,所述第一操作指示信息可以包括但不限于:
[0107]用以指示所述目标进程行为为恶意进程行为的指示信息和用以指示对所述目标进程行为进行拦截操作的提示信息;或者
[0108]用以指示所述目标进程行为为非恶意进程行为的指示信息和用以指示对所述目标进程行为进行放行操作的提示信息。
[0109]需要说明的是,本实施例所提供的恶意进程行为的检测装置,可以位于本地的客户端中,以进行离线操作来监控进程。
[0110]可以理解的是,所述客户端可以是安装在终端上的应用程序例如,杀毒软件等,或者还可以是浏览器的一个网页,只要能够实现进程监控,以提供安全的系统环境的客观存在形式都可以,本实施例对此不进行限定。
[0111]这样,通过监控单元监控进程的进程行为,以获得目标进程行为的行为信息,进而由发送单元将所述目标进程行为的行为信息发送给服务器,由所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为,使得接收单元能够接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息,进而由操作单元根据所述第一操作指示信息,对所述目标进程行为执行操作,由于不再依赖于检测装置对目标进程行为进行单个样本的指定特征分析,而是由服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行综合检测,能够及时检测到恶意进程行为,从而提高了系统的安全性能。
[0112]可选地,在本实施例的一个可能的实现方式中,所述监控单元21监控进程的进程行为,可以利用预先配置的可疑行为决策库,该可疑行为决策库中存储有已经确定的可疑进程行为的相关信息,例如,可疑目标进程行为的标识信息,可疑目标进程行为的发起者信息等,确定所监控的进程的进程行为是否为可疑进程行为即目标进程行为,进而获得该目标进程行为的行为信息。
[0113]可以理解的是,由于所述监控单元21监控的目的,只是确定目标进程行为,并不是确定恶意进程行为,因此,所述可疑行为决策库的配置策略,可以适当地将监控范围控制得大一些,能够有效避免漏报的情况发生。
[0114]可选地,在本实施例的一个可能的实现方式中,所述监控单元21所获得的所述目标进程行为的行为信息可以包括但不限于下列信息中的至少一项:
[0115]目标进程行为的发起者信息;
[0116]目标进程行为的目标对象信息;
[0117]目标进程行为的附加信息;以及
[0118]目标进程行为的标识信息。
[0119]其中,
[0120]所述目标进程行为的发起者信息,可以为发起进程行为的对象标识。
[0121 ] 所述目标进程行为的目标对象信息,可以为进程行为将要施加的对象标识。
[0122]所述目标进程行为的附加信息,可以为进程行为所产生的数据信息。
[0123]所述目标进程行为的标识信息,可以为进程行为的标识(Identifier, ID)。
[0124]可选地,在本实施例的一个可能的实现方式中,所述监控单元21,具体可以用于监控系统中全部进程的进程行为,以获得目标进程行为的行为信息。
[0125]可选地,在本实施例的一个可能的实现方式中,所述监控单元21,具体可以用于根据预先配置的可疑目标进程行为的标识信息,监控系统中部分进程的进程行为,以获得目标进程行为的行为信息。
[0126]可选地,在本实施例的一个可能的实现方式中,所述服务器接收所述检测装置发送的所述目标进程行为的行为信息,则可以根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
[0127]具体地,所述服务器具体可以根据所述目标进程行为的行为信息,利用预先配置的恶意行为决策库,该恶意行为决策库中存储有已经确定的恶意进程行为的行为信息进行匹配,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
[0128]若匹配到与所述目标进程行为的行为信息一致的恶意进程行为,说明该目标进程行为为恶意进程行为,所述服务器则可以确定所述目标进程行为为恶意进程行为。
[0129]若没有匹配到与所述目标进程行为的行为信息一致的恶意进程行为,说明该目标进程行为为未知的进程行为,所述服务器则可以进一步利用已经确定的至少一个的恶意进程行为或者其他检测装置发送的其他目标进程行为,对该未知的目标进程行为进行检测。
[0130]具体地,所述服务器具体可以根据所述目标进程行为的行为信息和已经确定的至少一个的恶意进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
[0131]例如,所述服务器具体可以对已经确定的至少一个的恶意进程行为的行为信息进行聚类分析,以获得相似的行为信息,用以确定未知的目标进程行为是否为恶意进程行为。如,根据目标进程行为的目标对象信息、目标进程行为的附加信息和目标进程行为的标识信息,对所述至少一个的恶意进程行为的行为信息进行聚类,获得相似的目标进程行为的发起者信息。
[0132]具体地,所述服务器具体可以根据所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
[0133]例如,所述服务器具体可以对所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息进行聚类分析,以获得聚类结果。进而,再进一步分析所述目标进程行为的行为信息所属的聚类结果,以确定未知的目标进程行为是否为恶意进程行为。
[0134]这样,由于服务器能够利用已经确定的至少一个的恶意进程行为或者其他检测装置发送的其他目标进程行为,对未知的目标进程行为进行检测,以确定该未知的目标进程行为是否为恶意进程行为,使得能够及时检测到恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
[0135]可以理解的是,若所述服务器确定未知的目标进程行为为恶意进程行为,所述服务器则可以进一步将所确定的该目标进程行为的行为信息添加到恶意行为决策库中,以提闻恶意行为决策库的决策能力。
[0136]可选地,在本实施例的一个可能的实现方式中,所述服务器还可以进一步对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为。
[0137]这样,由于服务器能够主动对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为,使得能够及时检测到检测装置没有上报的其他进程行为同样为恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
[0138]相应地,在本实施例的一个可能的实现方式中,所述接收单元23,还可以进一步用于接收所述服务器根据与所述目标进程行为相关的其他进程行为的检测结果所返回的第二操作指示信息,所述其他进程行为的检测结果为所述服务器对与所述其他进程行为进行检测,以确定与所述目标进程行为相关的其他进程行为是否为恶意进程行为获得;所述操作单元24,还可以进一步用于根据所述第二操作指示信息,对所述其他进程行为所对应的行为结果执行操作。
[0139]其中,所述第二操作指示信息可以包括但不限于:
[0140]用以指示所述其他进程行为为恶意进程行为的指示信息和用以指示对所述其他进程行为所对应的行为结果执行操作的提示信息;或者[0141]用以指示所述其他进程行为为非恶意进程行为的指示信息。
[0142]可以理解的是,恶意行为决策库中,还可以进一步存储针对每个恶意进程行为的防御查杀方案。那么,所述服务器在向检测装置发送操作指示信息机第一操作指示信息或第二操作指示信息的同时,还可以进一步向检测装置发送对应的防御查杀方案,以便检测装置能够根据该防御查杀方案,进行有效的杀毒处理。
[0143]本实施例中,通过监控单元监控进程的进程行为,以获得目标进程行为的行为信息,进而由发送单元将所述目标进程行为的行为信息发送给服务器,由所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为,使得接收单元能够接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息,进而由操作单元根据所述第一操作指示信息,对所述目标进程行为执行操作,由于不再依赖于检测装置对目标进程行为进行单个样本的指定特征分析,而是由服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行综合检测,能够及时检测到恶意进程行为,从而提高了系统的安全性能。
[0144]另外,采用本发明提供的技术方案,由于服务器能够主动对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为,使得能够及时检测到检测装置没有上报的其他进程行为同样为恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
[0145]另外,采用本发明提供的技术方案,由于服务器能够利用已经确定的至少一个的恶意进程行为或者其他检测装置发送的其他目标进程行为,对未知的目标进程行为进行检测,以确定该未知的目标进程行为是否为恶意进程行为,使得能够及时检测到恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
[0146]图3为本发明另一实施例提供的恶意进程行为的检测系统的结构示意图,如图3所示。本实施例的恶意进程行为的检测系统可以包括服务器31和图2对应的实施例所提供的恶意进程行为的检测装置32。其中,
[0147]所述服务器31,用于根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
[0148]所述检测装置32的详细描述,可以参见图2对应的实施例中的相关内容,此处不再赘述。
[0149]可选地,在本实施例的一个可能的实现方式中,所述服务器31,具体可以用于根据所述目标进程行为的行为信息和已经确定的至少一个的恶意进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
[0150]例如,所述服务器31具体可以对已经确定的至少一个的恶意进程行为的行为信息进行聚类分析,以获得相似的行为信息,用以确定未知的目标进程行为是否为恶意进程行为。如,根据目标进程行为的目标对象信息、目标进程行为的附加信息和目标进程行为的标识信息,对所述至少一个的恶意进程行为的行为信息进行聚类,获得相似的目标进程行为的发起者信息。
[0151]可选地,在本实施例的一个可能的实现方式中,所述服务器31,具体可以用于根据所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。[0152]例如,所述服务器31具体可以对所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息进行聚类分析,以获得聚类结果。进而,再进一步分析所述目标进程行为的行为信息所属的聚类结果,以确定未知的目标进程行为是否为恶意进程行为。
[0153]这样,由于服务器能够利用已经确定的至少一个的恶意进程行为或者其他检测装置发送的其他目标进程行为,对未知的目标进程行为进行检测,以确定该未知的目标进程行为是否为恶意进程行为,使得能够及时检测到恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
[0154]可以理解的是,若所述服务器确定未知的目标进程行为为恶意进程行为,所述服务器则可以进一步将所确定的该目标进程行为的行为信息添加到恶意行为决策库中,以提闻恶意行为决策库的决策能力。
[0155]可选地,在本实施例的一个可能的实现方式中,所述服务器31还可以进一步对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为。
[0156]这样,由于服务器能够主动对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为,使得能够及时检测到检测装置没有上报的其他进程行为同样为恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
[0157]本实施例中,通过检测装置监控进程的进程行为,以获得目标进程行为的行为信息,进而将所述目标进程行为的行为信息发送给服务器,由所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为,使得所述检测装置能够接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息,进而根据所述第一操作指示信息,对所述目标进程行为执行操作,由于不再依赖于检测装置对目标进程行为进行单个样本的指定特征分析,而是由服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行综合检测,能够及时检测到恶意进程行为,从而提高了系统的安全性能。
[0158]另外,采用本发明提供的技术方案,由于服务器能够主动对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为,使得能够及时检测到检测装置没有上报的其他进程行为同样为恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
[0159]另外,采用本发明提供的技术方案,由于服务器能够利用已经确定的至少一个的恶意进程行为或者其他检测装置发送的其他目标进程行为,对未知的目标进程行为进行检测,以确定该未知的目标进程行为是否为恶意进程行为,使得能够及时检测到恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
[0160]所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,设备和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0161]在本发明所提供的几个实施例中,应该理解到,所揭露的系统,设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
[0162]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0163]另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
[0164]上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory, ROM)、随机存取存储器(Random Access Memory, RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
[0165]最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
【权利要求】
1.一种恶意进程行为的检测方法,其特征在于,包括: 检测装置监控进程的进程行为,以获得目标进程行为的行为信息; 所述检测装置将所述目标进程行为的行为信息发送给服务器,以使得所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为; 所述检测装置接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息; 所述检测装置根据所述第一操作指示信息,对所述目标进程行为执行操作。
2.根据权利要求1所述的方法,其特征在于,所述检测装置监控进程的进程行为,以获得目标进程行为的行为信息,包括: 所述检测装置根据预先配置的可疑目标进程行为的标识信息,监控进程的进程行为,以获得目标进程行为的行为信息。
3.根据权利要求1所述的方法,其特征在于,所述目标进程行为的行为信息包括下列信息中的至少一项: 目标进程行为的发起者信息; 目标进程行为的目标 对象信息; 目标进程行为的附加信息;以及 目标进程行为的标识信息。
4.根据权利要求1~3任一权利要求所述的方法,其特征在于,所述检测装置将所述目标进程行为的行为信息发送给服务器,以使得所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为之后,还包括: 所述检测装置接收所述服务器根据与所述目标进程行为相关的其他进程行为的检测结果所返回的第二操作指示信息,所述其他进程行为的检测结果为所述服务器对与所述其他进程行为进行检测,以确定与所述目标进程行为相关的其他进程行为是否为恶意进程行为获得; 所述检测装置根据所述第二操作指示信息,对所述其他进程行为所对应的行为结果执行操作。
5.根据权利要求1~3任一权利要求所述的方法,其特征在于,所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为,包括: 所述服务器根据所述目标进程行为的行为信息和已经确定的至少一个的恶意进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为;或者 所述服务器根据所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
6.一种恶意进程行为的检测装置,其特征在于,包括: 监控单元,用于监控进程的进程行为,以获得目标进程行为的行为信息;发送单元, 用于将所述目标进程行为的行为信息发送给服务器,以使得所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为; 接收单元,用于接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息; 操作单元,用于根据所述第一操作指示信息,对所述目标进程行为执行操作。
7.根据权利要求6所述的装置,其特征在于,所述监控单元,具体用于 根据预先配置的可疑目标进程行为的标识信息,监控进程的进程行为,以获得目标进程行为的行为信息。
8.根据权利要求6所述的装置,其特征在于,所述监控单元所获得的所述目标进程行为的行为信息包括下列信息中的至少一项: 目标进程行为的发起者信息; 目标进程行为的目标对象信息; 目标进程行为的附加信息;以及 目标进程行为的标识信息。
9.根据权利要求6~8任一权利要求所述的装置,其特征在于, 所述接收单元,还用于 接收所述服务器根据与所述目标进程行为相关的其他进程行为的检测结果所返回的第二操作指示信息,所述其他进程行为的检测结果为所述服务器对与所述其他进程行为进行检测,以确定与所述目标进程行为相关的其他进程行为是否为恶意进程行为获得;所述操作单元,还用于 根据所述第二操作指示信息,对所述其他进程行为所对应的行为结果执行操作。
10.一种恶意进程行为的检测系统,其特征在于,包括服务器和权利要求6~9任一权利要求所述的恶意进程行为的检测装置;其中, 所述服务器,用于根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
11.根据权利要求10所述的系统,其特征在于,所述服务器,具体用于 根据所述目标进程行为的行为信息和已经确定的至少一个的恶意进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为;或者根据所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
【文档编号】G06F21/56GK103955645SQ201410174682
【公开日】2014年7月30日 申请日期:2014年4月28日 优先权日:2014年4月28日
【发明者】梅银明, 谢奕智, 岳华明, 胡汉中, 毕廷礼 申请人:百度在线网络技术(北京)有限公司