[发明专利]一种威胁程序全行为关联分析方法及装置

说明书

本发明实施例公开了一种威胁程序全行为关联分析方法及装置，涉及端点安全防御技术领域，能够构建威胁程序的全行为链。包括：若当前设备发现威胁程序，则提取威胁程序的预设项值；基于预设项值构建匹配因子计算公式；基于匹配因子对威胁程序与海量行为库中的各数据进行关联检索，进而定位威胁程序相关的衍生行为；基于威胁程序及其衍生行为形成完整行为链；其中，所述海量行为库为主动防御端点预先收集，并基于网空威胁框架进行标记的设备运行过程中所有信息的数据库。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种威胁程序全行为关联分析方法、装置、电子设备及存储介质。

背景技术

现代病毒威胁技术不断发展进化，采用分块化、碎片化的方式工作的趋势十分明显。大量已知病毒威胁和未知病毒威胁，在对主机侦查、投递、执行、破坏过程中产生大量碎片程序，它将其部分碎片程序通过注入系统进程与正常程序的运行中，来实现病毒的自增与传播，这部分功能实现的十分隐蔽。这些碎片程序独立，行为与正常程序行为类似，却和其他部分互相配合完成威胁行动。传统的检测清除方法，是很难明确肯定这部分碎片是否为病毒威胁。即使大部分安全检测软件依然依靠已知威胁的检测清除方法，处理主机中的病毒威胁，并告知用户处理完毕，大多数只是去除了部分碎片，无法根除病毒的全部。

现在已有的关联分析必须在多台终端收集海量数据，却只能得出关联概率，推测病毒可能的行为，关联度很低，其实是无法得出威胁具体实施的行为时间和行为执行情况，更无法对碎片化很深的威胁给出彻底清除方案以及得出入侵的方式。

发明内容

有鉴于此，本发明实施例提供了一种威胁程序全行为关联分析方法、装置、电子设备及存储介质，能够有效建立威胁程序从入侵开始至触发威胁点之间的所有行为链。

本发明实施例提供一种威胁程序全行为关联分析方法，包括：

若当前设备发现威胁程序，则提取威胁程序的预设项值；

基于预设项值构建匹配因子计算公式；

基于匹配因子对威胁程序与海量行为库中的各数据进行关联检索，进而定位威胁程序相关的衍生行为；

基于威胁程序及其衍生行为形成完整行为链；

其中，所述海量行为库为主动防御端点预先收集，并基于网空威胁框架进行标记的设备运行过程中所有信息的数据库。

进一步地，所述基于匹配因子对威胁程序与海量行为库中的各数据进行关联检索，进而定位威胁程序相关的衍生行为，具体包括：

计算威胁程序与海量行为库中各数据之间的匹配因子，当匹配因子超过预设值，则从海量行为库中提取对应数据；

将对应数据作为衍生行为记入威胁数据空间，将对应数据的预设项值存储至匹配数据空间；

基于匹配数据空间完成余下的关联检索，进而定位威胁程序其他衍生行为；

若威胁程序与海量行为库中的剩余数据之间的匹配因子均小于预设值，则关联检索行为终止；

其中，匹配数据空间为包含预设项值的容器；威胁数据空间为记录威胁程序及相关衍生行为的数据库。

进一步地，所述基于威胁程序及其衍生行为形成完整行为链，具体包括：

在所述威胁数据空间中，寻找最先触发威胁的初始威胁点的父行为，直至寻找威胁程序相关的无父行为标记为行为头；按照行为头的子数向下递归串联全行为；若定位到无子行为则标记为行为尾；去除相关联但无威胁的行为数据，，当获得所有的行为尾，获得完整行为链。

进一步地，所述预设项值包括：MD5、PID、文件路径名；所述基于预设项值构建匹配因子计算公式，具体包括：