[发明专利]一种基于动态行为监测的恶意程序检测方法

说明书

目前本发明涉及一种基于动态行为监测的恶意程序检测方法，包含实时监测文件系统、注册表、网络、进程/线程的行为的方法和根据配置的行为监测策略对于威胁事件、可疑事件进行实时告警。以统计分析法、人工分析和自动检测相结合实现对于未知木马、恶意程序的智能分析与检测，对于木马行为线索深度挖掘，有效提高对于未知恶意程序分析与检测的准确率，并对发现的木马进行快速分析预警和有效控制。相比传统的根据静态特征查杀木马的方法，查杀率更高、更准确，而且能够查杀变种木马和未知木马。

技术领域

本发明涉及信息安全领域，尤其涉及一种动态行为监测的恶意程序检测方法。

背景技术

目前，现有的根据已知静态特征，检查恶意程序和木马的方法，查杀率不高，无法预防未知恶意程序和木马。在查杀现有已知恶意程序和木马的基础上，针对恶意程序和木马的特征行为，自动分析和拦截可疑的恶意程序和木马。采用统计分析法、人工分析和自动检测相结合实现特种木马的智能分析与检测，对特种木马行为线索深度挖掘，有效提高对于未知恶意程序和木马分析与检测的准确率，并对发现的未知木马进行快速分析预警和有效控制。

发明内容

鉴于现有技术的缺陷，本发明创造提出一种基于动态行为监测的恶意程序检测方法 ，现有仅仅根据静态特征查杀恶意程序和木马的方法，存在查杀率低，对于未知恶意程序和木马无法有效准确查杀的问题。提出了根据动态行为监测的恶意程序检测方法，提高了对于未知恶意程序和木马的查杀率。

采用的技术解决方案如下：

一种基于动态行为监测的恶意程序检测方法，其工作步骤如下：

步骤1：基于微软Process Monitor全面监控系统正在运行的所有程序，实时监测文件系统、注册表、网络、进程/线程的活动。将所有监控到行为作为动态行为监测分析模型的输入进行分析；

步骤2：分析模型运行前，需要先配置动态行为监控策略和行为分析策略。行为监控策略包括对文件行为、注册表行为、网络行为、进/线程行为的监控，四种监控类型可同时开启，也可单独开启。行为分析策略，则包括对每种行为的分析处理模式，如对于系统关键文件的修改、对于注册表启动项的修改，后台联网上传信息和文件的行为，以及通过进程注入，劫持系统某些正常操作的行为。

步骤3：通过对可疑行为的分析，可以判定为木马行为，对于确认的木马行为进行阻止隔离，同时保存该木马的动静态特征，丰富自己的木马动静态特征库。根据不断积累的木马动静态库特征库，可以在行为监控时，直接发现疑似木马，对疑似木马进行拦截阻止，防止未知恶意程序和木马的入侵。

有益效果：

与现有技术相比，本发明创造的优点在于：

优点1：实时监测文件系统、注册表、网络、进程/线程的行为的方法和根据配置的行为监测策略对于威胁事件、可疑事件进行实时告警；

优点2：通过行为特征监测，对于能够轻易识别相同类型的变种木马和恶意程序；

优点3：使用木马动静态特征库，并实时监控程序的行为，提高对于恶意程序和木马的查杀率。

附图说明：

图1为本发明创造的流程图。

具体实施方式：

下面结合附图1，对本发明创造做进一步阐述：

本发明创造提出了一种基于动态行为监测的恶意程序检测方法，首先需要好配置动态行为监控策略和行为分析策略，再将监控到的所有程序的行为输入到系统中。系统根据木马动静态特征库和监控策略自动分析，发现可疑行为或者直接发现确认木马。对于发现的正式木马，对其行为进行阻止。对于可疑行为进行行为策略分析，对于判定为正式木马的，也进行拦截，同时保存木马的特征，丰富木马特征库。