[发明专利]一种恶意软件行为检测方法和装置

权利要求书

1.一种恶意软件行为检测方法，其特征在于，包括以下步骤：

预设每一个系统调用与行为之间的映射关系的行为表以及多个系统调用与行为之间的映射关系的行为组合表，并预设关联信息表以及包含多个恶意软件行为的行为检测表；

响应于检测到系统调用，将所述系统调用的参数与所述行为表进行匹配以获取匹配到的行为ID和行为分类，并根据所述行为分类将所述参数写入相应的关联信息表中；

将所述行为与所述行为检测表中的行为进行对比，并响应于比对失败而根据所述行为ID与所述行为组合表进行比对，以查找出包含所有所述行为ID的行为组合；

响应于所述行为组合中的所有行为ID对应的系统调用均被检测到，读取所述相应的关联信息表中写入的参数，以确定所有所述系统调用操作的为同一对象，并根据确定的结果和所述行为检测表对所有所述系统调用对应的行为进行上报；

所述关联信息表包括进程关联信息表、文件关联信息表、注册表关联信息表、服务关联信息表以及网络关联信息表；

所述进程关联信息表包括主体进程UUID、客体进程UUID、动作，所述文件关联信息表包括主体进程UUID、文件路径名、动作，所述注册表关联信息表包括主体进程UUID、注册表项、动作，所述服务关联信息表包括主体进程UUID、服务名、动作，以及所述网络关联信息表包括主体进程UUID、IP、端口、协议；

所述行为表包括行为ID、系统调用API、参数、行为描述、行为分类以及威胁值；

所述行为组合表包括行为ID组合、行为描述以及威胁值。

2.根据权利要求1所述的方法，其特征在于，根据确定的结果和所述行为检测表对所有所述系统调用对应的行为进行上报还包括：

响应于所有所述系统调用操作的为同一对象，将所述行为组合所对应的行为与所述行为检测表中的行为进行对比，并响应于对比成功而将确定出的所有所述系统调用对应的行为进行上报。

3.根据权利要求2所述的方法，其特征在于，在所述行为检测表中将恶意软件行为细分为：访问初始化、执行、常驻、提权、防御规避、凭据访问、扩散、数据收集、以及命令和控制。

4.一种恶意软件行为检测装置，其特征在于，包括：

至少一个处理器；和

存储器，所述存储器存储有处理器可运行的程序代码，所述程序代码在被处理器运行时实施以下步骤：

预设每一个系统调用与行为之间的映射关系的行为表以及多个系统调用与行为之间的映射关系的行为组合表，并预设关联信息表以及包含多个恶意软件行为的行为检测表；

响应于检测到系统调用，将所述系统调用的参数与所述行为表进行匹配以获取匹配到的行为ID和行为分类，并根据所述行为分类将所述参数写入相应的关联信息表中；

将所述行为与所述行为检测表中的行为进行对比，并响应于比对失败而根据所述行为ID与所述行为组合表进行比对，以查找出包含所有所述行为ID的行为组合；

响应于所述行为组合中的所有行为ID对应的系统调用均被检测到，读取所述相应的关联信息表中写入的参数，以确定所有所述系统调用操作的为同一对象，并根据确定的结果和所述行为检测表对所有所述系统调用对应的行为进行上报；

所述关联信息表包括进程关联信息表、文件关联信息表、注册表关联信息表、服务关联信息表以及网络关联信息表；

所述进程关联信息表包括主体进程UUID、客体进程UUID、动作，所述文件关联信息表包括主体进程UUID、文件路径名、动作，所述注册表关联信息表包括主体进程UUID、注册表项、动作，所述服务关联信息表包括主体进程UUID、服务名、动作，以及所述网络关联信息表包括主体进程UUID、IP、端口、协议；

所述行为表包括行为ID、系统调用API、参数、行为描述、行为分类以及威胁值；

所述行为组合表包括行为ID组合、行为描述以及威胁值。

5.根据权利要求4所述的装置，其特征在于，根据确定的结果和所述行为检测表对所有所述系统调用对应的行为进行上报还包括：

响应于所有所述系统调用操作的为同一对象，将所述行为组合所对应的行为与所述行为检测表中的行为进行对比，并响应于对比成功而将确定出的所有所述系统调用对应的行为进行上报。

6.根据权利要求4所述的装置，其特征在于，在所述行为检测表中将恶意软件行为细分为：访问初始化、执行、常驻、提权、防御规避，凭据访问、扩散、数据收集、以及命令和控制。