[发明专利]一种基于进程行为特征发现窃密木马的方法及系统

权利要求书

1.一种基于进程行为特征发现窃密木马的方法，其特征在于，包括：

监控指定进程或者所有进程；

记录进程的本地操作行为信息；

记录进程的网络请求行为信息；

关联分析进程的本地操作行为信息和网络请求行为信息，判定是否存在窃密木马。

2.如权利要求1所述的方法，其特征在于，所述监控指定进程，具体为：监控系统进程；或者，根据需要选择监控已有进程；或者，根据需要选择监控与已有进程名相似的新进程。

3.如权利要求2所述的方法，其特征在于，所述记录进程的本地操作行为信息，具体为：

判断所监控进程是否存在如下操作行为中的一种或者两种以上：遍历磁盘文件夹；或者，检索文件名或者文件内容包含指定敏感关键字的文档文件；或者，检索包含指定后缀扩展名的文件；或者，读取文件；或者，批量打包或加密文件；

若存在，则记录进程的本地操作行为信息，否则继续监控。

4.如权利要求1-3任一所述的方法，其特征在于，所述关联分析进程的本地操作行为信息和网络请求行为信息，判定是否存在窃密木马，具体为：

若某进程存在网络请求行为，并且在预设时间段之前存在超过预设频率的本地操作行为，则判定为疑似窃密木马并基于预设策略进行进一步检测。

5.如权利要求4所述的方法，其特征在于，所述预设策略包括：将相关进程的网络请求行为信息中的请求的域名或IP与已知白名单匹配，若匹配失败，则判定为窃密木马，并阻断该进程的对外连接请求；若匹配成功，则标记并进一步监控。

6.一种基于进程行为特征发现窃密木马的系统，其特征在于，包括：

进程监控模块，用于监控指定进程或者所有进程；

本地操作记录模块，用于记录进程的本地操作行为信息；

网络请求记录模块，用于记录进程的网络请求行为信息；

关联分析模块，用于关联分析进程的本地操作行为信息和网络请求行为信息，判定是否存在窃密木马。

7.如权利要求6所述的系统，其特征在于，所述监控指定进程，具体为：监控系统进程；或者，根据需要选择监控已有进程；或者，根据需要选择监控与已有进程名相似的新进程。

8.如权利要求7所述的系统，其特征在于，所述本地操作记录模块，具体用于：

判断所监控进程是否存在如下操作行为中的一种或者两种以上：遍历磁盘文件夹；或者，检索文件名或者文件内容包含指定敏感关键字的文档文件；或者，检索包含指定后缀扩展名的文件；或者，读取文件；或者，批量打包或者加密文件；

若存在，则记录进程的本地操作行为信息，否则继续监控。

9.如权利要求6-8任一所述的系统，其特征在于，所述关联分析模块，具体用于：

若某进程存在网络请求行为，并且在预设时间段之前存在超过预设频率的本地操作行为，则判定为疑似窃密木马并基于预设策略进行进一步检测。

10.如权利要求9所述的系统，其特征在于，所述预设策略包括：将相关进程的网络请求行为信息中的请求的域名或IP与已知白名单匹配，若匹配失败，则判定为窃密木马，并阻断该进程的对外连接请求；若匹配成功，则标记并进一步监控。