[发明专利]一种威胁程序全行为关联分析方法及装置

权利要求书

1.一种威胁程序全行为关联分析方法，其特征在于，包括：

若当前设备发现威胁程序，则提取威胁程序的预设项值；

基于预设项值构建匹配因子计算公式；

基于匹配因子对威胁程序与海量行为库中的各数据进行关联检索，进而定位威胁程序相关的衍生行为；

基于威胁程序及其衍生行为形成完整行为链；

其中，所述海量行为库为主动防御端点预先收集，并基于网空威胁框架进行标记的设备运行过程中所有信息的数据库。

2.如权利要求1所述的方法，其特征在于，所述基于匹配因子对威胁程序与海量行为库中的各数据进行关联检索，进而定位威胁程序相关的衍生行为，具体包括：

计算威胁程序与海量行为库中各数据之间的匹配因子，当匹配因子超过预设值，则从海量行为库中提取对应数据；

将对应数据作为衍生行为记入威胁数据空间，将对应数据的预设项值存储至匹配数据空间；

基于匹配数据空间完成余下的关联检索，进而定位威胁程序其他衍生行为；

若威胁程序与海量行为库中的剩余数据之间的匹配因子均小于预设值，则关联检索行为终止；

其中，匹配数据空间为包含预设项值的容器；威胁数据空间为记录威胁程序及相关衍生行为的数据库。

3.如权利要求2所述的方法，其特征在于，所述基于威胁程序及其衍生行为形成完整行为链，具体包括：

在所述威胁数据空间中，寻找最先触发威胁的初始威胁点的父行为，直至寻找威胁程序相关的无父行为标记为行为头；按照行为头的子数向下递归串联全行为；若定位到无子行为则标记为行为尾；去除相关联但无威胁的行为数据，获得完整行为链。

4.如权利要求2所述的方法，其特征在于，所述预设项值包括：MD5、PID、文件路径名；所述基于预设项值构建匹配因子计算公式，具体包括：

匹配因子＝sameMD5+(samePID+same文件路径名)/2；

其中，当MD5相同时，则same MD5＝1；当MD5不同时，则same MD5＝0；

当PID相同时，则same PID＝1；当PID不同时，则same PID＝0；

当文件路径名相同时，则same文件路径名＝1；当文件路径名不同时，则same文件路径名＝0。

5.如权利要求4所述的方法，其特征在于，所述计算威胁程序与海量行为库中各数据之间的匹配因子，当匹配因子超过预设值，则从海量行为库中提取对应数据，具体包括：

当威胁程序与海量行为库中的某数据之间的匹配因子大于等于1，则从海量行为库中提取该条数据。

6.如权利要求2-5任一所述的方法，其特征在于，所述将对应数据作为衍生行为记入威胁数据空间，具体包括：

将对应数据作为衍生行为按照B+树形式存储至威胁数据空间；

当威胁数据空间大于预设上限，则落地储存为文件，一次开关机清理一次落地文件。

7.一种威胁程序全行为关联分析装置，其特征在于，包括：

威胁程序发现模块，用于若当前设备发现威胁程序，则提取威胁程序的预设项值；

匹配因子构建模块，用于基于预设项值构建匹配因子计算公式；

衍生行为定位模块，用于基于匹配因子对威胁程序与海量行为库中的各数据进行关联检索，进而定位威胁程序相关的衍生行为；

完整行为链形成模块，用于基于威胁程序及其衍生行为形成完整行为链；

其中，所述海量行为库为主动防御端点预先收集，并基于网空威胁框架进行标记的设备运行过程中所有信息的数据库。