[发明专利]一种基于跨进程行为监控恶意代码同源性分析的方法

权利要求书

1.一种基于跨进程行为监控恶意代码同源性分析的方法，其特征在于，具有以下步骤：

步骤S01：创建目标进程关系树，所述目标进程关系树包括所述目标进程以及所述目标进程的子进程、孙进程的关联关系，对所述目标进程、所述子进程、所述孙进程进行关系树监控；

步骤S02：采用挂钩方式，对相关操作对应的目标代码进行协同监控；其中，所述相关操作包括进程操作、文件操作、网络操作；

步骤S03：定义污点的创建规则、传播规则，将所述相关操作以及产生的相应数据作为所述污点的来源；

步骤S04：基于所述关系树监控与所述协同监控，产生日志记录，并基于所述创建规则与所述传播规则，对所述日志记录进行提取和过滤，确定疑似污点，保存所述疑似污点的数据相关规则；

步骤S05：对经过过滤后的所述日志记录与已经确定为恶意进程代码相应的污点日志记录进行图编辑距离算法对比，计算匹配记录数；

步骤S06：对得到所述匹配记录数进行判定，当所述匹配记录数大于预设值时，则判定相应的所述相关操作为恶意。

2.根据权利要求1所述一种基于跨进程行为监控恶意代码同源性分析的方法，其特征在于：在所述步骤S01中，所述进程关系树还包括在其他过程中执行代码行为的所述进程的关联关系。

3.根据权利要求1所述一种基于跨进程行为监控恶意代码同源性分析的方法，其特征在于：在所述步骤S02中，设置驱动钩子hook，所述驱动钩子hook用于对所述文件操作的文件特征、所述目标进程的进程特征、所述网络操作的网络数据特征进行获取；

当产生一新子进程时，对所述新子进程进行所述相关操作协同监控。

4.根据权利要求1所述一种基于跨进程行为监控恶意代码同源性分析的方法，其特征在于：在所述步骤S03中，具体的，将创建进程、发送网络数据的事件作为所述污点的所述来源；将写入文件、内存复制操作作为所述污点的所述传播规则。

5.根据权利要求1所述一种基于跨进程行为监控恶意代码同源性分析的方法，其特征在于：在所述步骤S04中，对所述目标进程中的所述相关操作进行污点标记；

对标记为所述污点的所述相关操作以及所述相关操作相应的内存区域进行引用和传播进行污点分析，并同时进行疑似污点日志记录。

6.根据权利要求5所述一种基于跨进程行为监控恶意代码同源性分析的方法，其特征在于：

所述疑似污点日志记录包括调用主体号进程、系统调用号、相关进程的ID与名称；

根据所述疑似污点日志记录形成一个trace文件。

7.根据权利要求1所述一种基于跨进程行为监控恶意代码同源性分析的方法，其特征在于：所述保存所述疑似污点的数据相关规则具体为对于每个从所述来源到所述疑似污点的路径作为一条记录。

8.根据权利要求1、5-7任一所述一种基于跨进程行为监控恶意代码同源性分析的方法，其特征在于：在对所述日志记录进行提取和过滤前，设置白名单机制，可对通用操作行为进行过滤；其中所述通用操作行为为创建临时文件、打开进程自身的可执行文件、加载系统动态链接库。