[发明专利]进程行为分析方法及系统

权利要求书

1.一种进程行为分析方法，其特征在于，包括:

获取对预设的敏感进程进行监控的监控记录数据；

根据所述监控记录数据模拟重现监控过程中的句柄、进程和线程，获取分别与所述句柄、进程和线程对应的虚拟表项，所述虚拟表项记录敏感进程创建的句柄、进程和线程及对应的属性；

设定敏感进程的相关进程，根据所述虚拟表项将相关进程对应的句柄、进程和线程操作及对应的属性关联到敏感进程的进程行为分析结果中。

2.根据权利要求1所述的方法，其特征在于，根据所述监控记录数据模拟重现监控过程中的句柄、进程和线程之前，还包括：

将所述监控记录数据存入预定义的二进制文件中；

将所述二进制文件导入监控记录数据库中；

相应地，根据所述监控记录数据模拟重现监控过程中的句柄、进程和线程，具体为：

根据所述监控记录数据库中存储的二进制文件模拟重现监控过程中的句柄、进程和线程。

3.根据权利要求1或2所述的方法，其特征在于，所述敏感进程为与安全相关、系统关键数据操作相关的应用程序接口调用，

相应地，获取对预设的敏感进程进行监控的监控记录数据，包括：

在对操作系统内的与安全相关、系统关键数据操作相关的应用程序接口调用的头部和尾部设置监控断点；

根据设置的监控断点触发监控，并将应用程序接口调用开始及返回处的参数值记录为监控记录数据。

4.根据权利要求3所述的方法，其特征在于，设定敏感进程的相关进程，根据所述虚拟表项将相关进程对应的句柄、进程和线程操作及对应的属性关联到敏感进程的进程行为分析结果中，包括：

根据应用程序接口调用函数及参数确定所述应用程序接口调用影响的进程是否为敏感进程的相关进程；

若是，则以应用程序接口调用的标识号为关联点，根据虚拟表项将相关进程在所述关联点之后的所有句柄、进程和线程操作及对应的属性关联到敏感进程的进程行为分析结果中。

5.根据权利要求4所述的方法，其特征在于，当应用程序接口调用函数及参数对应于创建进程操作、注入操作和本地进程调用时，将所述应用程序接口调用影响的进程设定为敏感进程的相关进程。

6.根据权利要求1或2所述的方法，其特征在于，设定敏感进程的相关进程包括：

将敏感进程进行的创建子进程、注入进程、本地进程调用、远程COM调用和/或窗口消息操作的进程设定为敏感进程的相关进程。

7.一种进程行为分析系统，其特征在于，包括:

监控模块，用于获取对预设的敏感进程进行监控的监控记录数据；

分析模块，用于根据所述监控记录数据模拟重现监控过程中的句柄、进程和线程，获取分别与所述句柄、进程和线程对应的虚拟表项，所述虚拟表项记录敏感进程创建的句柄、进程和线程及对应的属性；

关联模块，用于设定敏感进程的相关进程，根据所述虚拟表项将相关进程对应的句柄、进程和线程操作及对应的属性关联到敏感进程的进程行为分析结果中。

8.根据权利要求7所述的系统，其特征在于，还包括：

转换模块，用于将所述监控记录数据存入预定义的二进制文件中；以及将所述二进制文件导入监控记录数据库中；

所述分析模块，具体用于根据所述监控记录数据库中存储的二进制文件模拟重现监控过程中的句柄、进程和线程，获取分别与所述句柄、进程和线程对应的虚拟表项，所述虚拟表项记录敏感进程创建的句柄、进程和线程及对应的属性。

9.根据权利要求7或8所述的系统，其特征在于，所述敏感进程为与安全相关、系统关键数据操作相关的应用程序接口调用，

所述监控模块，具体用于在对操作系统内的与安全相关、系统关键数据操作相关的应用程序接口调用的头部和尾部设置监控断点；以及根据设置的监控断点触发监控，并将应用程序接口调用开始及返回处的参数值记录为监控记录数据。

10.根据权利要求9所述的系统，其特征在于，所述关联模块包括：

确定单元，用于根据应用程序接口调用的参数确定所述应用程序接口调用影响的进程是否为敏感进程的相关进程；

关联单元，用于以应用程序接口调用的标识号为关联点，根据虚拟表项将相关进程在所述关联点之后的所有句柄、进程和线程操作及对应的属性关联到敏感进程的进程行为分析结果中。