[发明专利]一种用于识别、拦截捆绑软件的系统、设备及方法

权利要求书

1.一种用于识别捆绑软件的系统，包括：

捕获器，被配置为在客户端捕获当前进程创建新进程的事件，以及获知所述新进程的相关信息；

第一识别器，被配置根据所述新进程的相关信息与第一本地特征库匹配，所述第一本地特征库至少包括已知捆绑软件的特定特征信息，如匹配成功则将所述新进程识别为捆绑软件，如匹配不成功则输入至第二识别器；

第二识别器，被配置为根据所述新进程的相关信息与第二本地特征库匹配，所述第二本地特征库包括已知捆绑软件的共性特征信息，如匹配成功则将所述新进程识别为可疑捆绑软件；

第三识别器，被配置为至少根据被识别为可疑捆绑软件的新进程与当前进程之间的进程创建关系，在服务器端的云端数据库中查询，识别所述新进程是否为捆绑软件，所述云端数据库至少包括已知具有捆绑行为的进程创建关系和／或已知不具有捆绑行为的进程创建关系。

2.如权利要求1所述的系统，还包括：

本地缓存过滤器，被配置为根据已知的本地捆绑白名单对所述捕获器捕获到的新进程先进行过滤，没用命中所述本地捆绑白名单的新进程再进入第一识别器进行识别。

3.如权利要求2所述的系统：

所述第二识别器还被配置为将未被所述第二本地特征库成功匹配的新进程的信息提供给所述本地缓存过滤器，供其更新所述本地捆绑白名单；

所述第三识别器还被配置为将识别为非捆绑软件的新进程的信息提供给所述本地缓存过滤器，供其更新所述本地捆绑白名单。

4.如权利要求1所述的系统，还包括：

云缓存过滤器，被配置为根据已知的云捆绑白名单对第二识别器识别为可疑捆绑软件的新进程先进行过滤，没有命中所述云捆绑白名单的再发送至第三识别器进行识别。

5.如权利要求1至4中任一项所述的系统，所述第一本地特征库包括若干条捆绑特征记录，每一条捆绑特征记录包含足以确定某一进程是捆绑软件的全部特定特征，只有在所述新进程的相关信息与所述第一本地特征库中某一条捆绑特征记录中的全部特定特征都匹配时，第一识别器才确定为匹配成功。

6.如权利要求1至4中任一项所述的系统，所述第二本地特征库包含的已知捆绑软件的共性特征信息，具体通过分析当前流行的已知捆绑软件的文件信息中某一特征要素的共同特性获得。

7.如权利要求1所述的系统，还包括：

执行器，被配置为当所述第三识别器无法判断所述新进程是否为捆绑软件时，获取创建所述新进程的当前进程样本的可执行文件予以执行，通过执行过程和结果识别所述新进程是否为捆绑软件，并根据所述识别结果更新所述云端数据库。

8.如权利要求1至7中任一项所述的系统，所述新进程的相关信息包括：资源信息、签名信息、PE文件属性和/或命令行信息。

9.一种用于拦截捆绑软件的系统，包括如权利要求1至8中任一项所述的用于识别捆绑软件的系统以及拦截器，所述拦截器被配置为在用户确认后，在保证所述当前进程正常安装的前提下拦截被识别为捆绑软件的安装。

10.一种用于识别捆绑软件的客户端设备，包括：

捕获器，被配置为在客户端捕获当前进程创建新进程的事件，以及获知所述新进程的相关信息；

第一识别器，被配置根据所述新进程的相关信息与第一本地特征库匹配，所述第一本地特征库至少包括已知捆绑软件的特定特征信息，如匹配成功则将所述新进程识别为捆绑软件，如匹配不成功则输入至第二识别器；

第二识别器，被配置为根据所述新进程的相关信息与第二本地特征库匹配，所述第二本地特征库包括已知捆绑软件的共性特征信息，如匹配成功则将所述新进程识别为可疑捆绑软件，并将所述当前进程和新进程的进程创建关系发送至服务器端进行识别。

11.一种用于拦截捆绑软件的客户端设备，包括：

检测器，被配置为检测客户端中进行软件安装的当前进程；

捕获器，被配置为在客户端捕获所述当前进程创建新进程的事件，以及获知所述新进程的相关信息；

第一识别器，被配置根据所述新进程的相关信息与第一本地特征库匹配，所述第一本地特征库至少包括已知捆绑软件的特定特征信息，如匹配成功则将所述新进程识别为捆绑软件。