[发明专利]软件行为的安全检测方法、装置及设备

说明书

本申请公开了一种软件行为的安全检测方法、装置及设备，涉及信息安全技术领域，可提高软件行为安全判断的准确性，并且可预防黑客的恶意行为对系统造成危害。其中方法包括：首先收集各个终端上报的软件行为信息；再根据所述软件行为信息，统计出现待识别软件行为的终端个数和终端覆盖比例；然后依据所述终端个数和所述终端覆盖比例，标记所述待识别软件行为是否为疑似恶意行为；最后利用所述待识别软件行为的标记结果，对所述待识别软件行为进行安全识别。本申请适用于软件行为的安全检测。

技术领域

本申请涉及信息安全技术领域，尤其是涉及到一种软件行为的安全检测方法、装置及设备。

背景技术

随着信息技术的飞速发展，信息安全越来越受到重视。信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露、个人信息的泄露等。攻击者可通过注入的恶意软件进行信息盗用或篡改等，对用户的个人隐私或财产安全等造成一定的威胁。

目前，可通过匹配黑名单的方式判别软件行为是否安全，进而确定是否存在信息安全隐患。具体的，该黑名单中包含目标软件所具备的各个恶意行为特征，如果目标软件当前行为的行为特征与黑名单中的恶意行为特征匹配，那么就说明目标软件行为存在异常并对该当前行为进行拦截。

然而，当面对未知软件的一些行为、或者已知软件的未知行为时，由于黑名单中并没有相应的恶意行为特征，因此利用上述软件行为安全的判别方式无法对未知软件的一些行为、或者已知软件的未知行为进行软件行为安全的判别，进而不能做出及时安全防护响应，会造成信息安全隐患。

发明内容

有鉴于此，本申请提供了一种软件行为的安全检测方法、装置及设备，主要目的在于解决目前现有的软件行为手段无法对未知软件的一些行为、或者已知软件的未知行为进行软件行为安全的判别，进而不能做出及时安全防护响应，会造成信息安全隐患的问题。

根据本申请的一个方面，提供了一种软件行为的安全检测方法，该方法包括：

收集各个终端上报的软件行为信息；

根据所述软件行为信息，统计出现待识别软件行为的终端个数和终端覆盖比例；

依据所述终端个数和所述终端覆盖比例，标记所述待识别软件行为是否为疑似恶意行为；

利用所述待识别软件行为的标记结果，对所述待识别软件行为进行安全识别。

优选的，依据所述终端个数和所述终端覆盖比例，标记所述待识别软件行为是否为疑似恶意行为，具体包括：

若所述终端个数大于或等于预设个数阈值、和/或所述终端覆盖比例大于或等于预设比例阈值，则将所述待识别软件行为标记为疑似正常行为；

若所述终端个数小于所述预设个数阈值、且所述终端覆盖比例小于预设比例阈值，则将所述待识别软件行为标记为疑似恶意行为。

优选的，所述收集各个终端上报的软件行为信息，具体包括：

按照终端用户属性的不同维度划分不同单位的各个终端；

收集不同区域内所述不同单位的各个终端上报的软件行为信息，所述软件行为信息包括与文件操作、进程操作、注册表操作、网络操作、驱动操作中一个或多个相关的软件行为内容。

优选的，根据所述软件行为信息，统计出现待识别软件行为的终端覆盖比例，具体包括：

统计上报所述软件行为信息的终端的总个数；

将出现所述待识别软件行为的所述终端个数除以所述总个数，得到出现所述待识别软件行为的所述终端覆盖比例。

优选的，利用所述待识别软件行为的标记结果，对所述待识别软件行为进行安全识别，具体包括：