[发明专利]程序鉴别方法及装置在审
| 申请号: | 201811641190.X | 申请日: | 2018-12-29 |
| 公开(公告)号: | CN109800569A | 公开(公告)日: | 2019-05-24 |
| 发明(设计)人: | 陈俊儒 | 申请(专利权)人: | 360企业安全技术(珠海)有限公司;北京奇安信科技有限公司 |
| 主分类号: | G06F21/53 | 分类号: | G06F21/53;G06F21/56 |
| 代理公司: | 北京中强智尚知识产权代理有限公司 11448 | 代理人: | 黄耀威 |
| 地址: | 519085 广东省珠海市高新区唐家*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 操作行为 恶意程序 行为链 程序执行 样本 相似度比对 数据库 鉴别 计算机安全技术 计算机存储介质 计算机设备 相似条件 计算机系统 操作系统 判定 存储 拦截 检测 申请 安全 | ||
1.一种程序鉴别方法,其特征在于,所述方法包括:
获取恶意程序样本执行操作行为的行为链,并将所述恶意程序样本执行操作行为的行为链存储至本地数据库;
当检测到待识别程序执行操作行为时,生成所述待识别程序执行操作行为的行为链;
将所述待识别程序执行操作行为的行为链与所述本地数据库中恶意程序样本执行操作行为的行为链进行相似度比对;
如果相似度比对结果符合相似条件,则判定所述待识别程序为恶意程序,拦截所述恶意程序执行相应的操作。
2.根据权利要求1所述的方法,其特征在于,所述获取恶意程序样本对应的行为链,并将所述恶意程序样本对应的行为链存储至本地数据库包括:
收集恶意程序样本,提取所述恶意程序样本的操作行为;
通过沙箱机制解析所述恶意程序样本的操作行为,得到恶意程序样本执行操作行为的行为链;
将所述恶意程序样本执行操作行为的行为链存储至本地数据库。
3.根据权利要求2所述的方法,其特征在于,所述通过沙箱机制解析所述恶意程序样本的操作行为,得到恶意程序样本执行操作行为的行为链包括:
通过沙箱机制监控所述恶意程序样本执行操作行为过程中的行为操作,得到恶意程序样本在操作行为过程中产生的多个子行为;
将所述恶意程序样本在操作行为过程中产生的多个子行为按照执行顺序进行排序,得到恶意程序样本执行操作行为的行为链。
4.根据权利要求1所述的方法,其特征在于,所述当检测到待识别程序执行操作行为时,生成所述待识别程序执行操作行为的行为链包括:
当检测到待识别程序执行操作行为时,获取待识别程序在执行操作行为过程中产生的多个子行为;
将所述待识别程序在执行操作行为过程中产生的多个子行为按照执行顺序进行排序,生成所述待识别程序执行操作行为的行为链。
5.根据权利要求1所述的方法,其特征在于,所述将所述待识别程序执行操作行为的行为链与所述本地数据库中恶意程序样本执行操作行为的行为链进行相似度比对包括:
分别提取所述待识别程序执行操作行为的行为链中多个子行与所述本地数据库中恶意程序样本在执行操作行为的行为链中多个子行,得到所述待识别程序对应的多个子行为以及所述恶意程序样本对应的多个子行为;
按照预设比对规则将所述待识别程序对应的多个子行为与所述恶意程序样本对应的多个子行为进行相似度比对。
6.根据权利要求5所述的方法,其特征在于,所述预设比对规则包括依据行为链对应相同子行为数量进行相似度比对,所述按照预设规则将所述待识别程序对应的多个子行为与所述恶意程序样本对应的多个子行为进行相似度比对包括:
分别遍历所述待识别程序对应的多个子行为与所述恶意程序样本对应的多个子行,统计相同子行为数量;
根据所述相同子行为数量将所述待识别程序对应的多个子行为与所述恶意程序样本对应的多个子行为进行相似度比对;
所述如果相似度比对结果符合相似条件,则判定所述待识别程序为恶意程序,拦截所述恶意程序执行相应的操作具体包括:
如果所述相同子行为数量大于第一预设数值,则判定所述待识别程序为恶意程序,拦截所述恶意程序执行相应的操作。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于360企业安全技术(珠海)有限公司;北京奇安信科技有限公司,未经360企业安全技术(珠海)有限公司;北京奇安信科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201811641190.X/1.html,转载请声明来源钻瓜专利网。
