[发明专利]一种基于进程行为特征发现窃密木马的方法及系统

说明书

本发明公开了一种基于进程行为特征发现窃密木马的方法及系统，包括：监控指定进程或者所有进程；记录进程的本地操作行为信息；记录进程的网络请求行为信息；关联分析进程的本地操作行为信息和网络请求行为信息，判定是否存在窃密木马。本发明所述技术方案能够基于进程的本地操作行为信息和网络请求行为信息进行联合分析，进而及时发现已知或未知的窃密木马，并阻断其向外的请求连接，避免窃密木马回传所窃取的用户信息。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于进程行为特征发现窃密木马的方法及系统。

背景技术

随着计算机网络的发展，互联网技术得到广泛应用，给人们的工作、生活等方面带来了较大的改变。网络已经成为人们日常生活中不可或缺的部分。但人们在享用信息技术带来的种种便利的同时，也面临各种安全事件的威胁，甚至会影响到社会稳定、国家安全等重要层面。

近年来，黑客组织或团体针对各个敏感部门、组织或个人等用户发起大规模的窃密行动，涉及的行业包括政府、银行、电力、能源、军事及科研机构等，导致大量的敏感信息遭到窃取。由于攻击者越来越多的使用更加隐蔽的方法进行信息窃取，比如使用0day漏洞、免杀技术、硬盘固件植入、绕过技术、加密技术等，以及通过伪装成正常程序，掩盖自身的行为方式进行窃取敏感数据，而这种高级躲避杀软或者检测产品的技术，仅基于传统的检测方法难以发现及应对。并且基于传统的特征库或者特征规则的防御方式存在较大的滞后性，对于这种使用高级技术手段的窃密木马无法及时识别及阻断。

发明内容

针对上述技术问题，本发明所述的技术方案通过记录进程相关的本地操作行为信息和网络请求行为信息，进而及时发现窃密型木马并阻断其数据的回传行为。

一方面，本发明可以采用如下方法来实现：一种基于进程行为特征发现窃密木马的方法，包括：

监控指定进程或者所有进程；

记录进程的本地操作行为信息；

记录进程的网络请求行为信息；

关联分析进程的本地操作行为信息和网络请求行为信息，判定是否存在窃密木马。

进一步地，所述监控指定进程，具体为：监控系统进程；或者，根据需要选择监控已有进程；或者，根据需要选择监控与已有进程名相似的新进程。

更进一步地，所述记录进程的本地操作行为信息，具体为：

判断所监控进程是否存在如下操作行为中的一种或者两种以上：遍历磁盘文件夹；或者，检索文件名或者文件内容包含指定敏感关键字的文档文件；或者，检索包含指定后缀扩展名的文件；或者，读取文件；或者，批量打包或者加密文件；

若存在，则记录进程的本地操作行为信息，否则继续监控。

上述方法中，所述关联分析进程的本地操作行为信息和网络请求行为信息，判定是否存在窃密木马，具体为：

若某进程存在网络请求行为，并且在预设时间段之前存在超过预设频率的本地操作行为，则判定为疑似窃密木马并基于预设策略进行进一步检测。

其中，所述预设策略包括：将相关进程的网络请求行为信息中的请求的域名或IP与已知白名单匹配，若匹配失败，则判定为窃密木马，并阻断该进程的对外连接请求；若匹配成功，则标记并进一步监控。

另一方面，本发明可以采用如下系统来实现：一种基于进程行为特征发现窃密木马的系统，包括：

进程监控模块，用于监控指定进程或者所有进程；

本地操作记录模块，用于记录进程的本地操作行为信息；

网络请求记录模块，用于记录进程的网络请求行为信息；