[发明专利]一种恶意行为的判定方法、系统、设备以及介质

权利要求书

1.一种恶意行为的判定方法，其特征在于，包括以下步骤：

获取最新产生的事件对应的数据并记录到事件表中；

将所述事件表中所有处于新增状态的事件构成事件集；

根据所述最新产生的事件对应的API确定所述事件集导向的若干个恶意行为；

获取每一个恶意行为的判定逻辑；

依次根据每一个恶意行为的判定逻辑对所述事件集中若干个事件对应的API参数进行匹配，并将匹配结果带入对应的逻辑表达式；

响应于所述逻辑表达式的结果为第一预设值，判定所述若干个事件构成的行为是恶意行为，并修改所述若干个事件在所述事件表中的状态。

2.如权利要求1所述的方法，其特征在于，获取每一个恶意行为的判定逻辑，进一步包括：

获取每一个恶意行为的若干个参数判定逻辑或者若干个参数判定逻辑和若干个参数关系判定逻辑。

3.如权利要求2所述的方法，其特征在于，依次根据每一个恶意行为的判定逻辑对所述事件集中若干个事件对应的API参数进行匹配，进一步包括：

利用所述若干个事件对应的API参数分别与所述若干个参数判定逻辑进行匹配或者与所述若干个参数判定逻辑和所述若干个参数关系判定逻辑进行匹配。

4.如权利要求2所述的方法，其特征在于，将匹配结果带入对应的逻辑表达式，进一步包括：

获取由所述参数判定逻辑和/或所述参数关系判定逻辑对应的索引组成的逻辑表达式；

将所述参数判定逻辑和/或所述参数关系判定逻辑的匹配结果替换所述逻辑表达式中对应的索引。

5.如权利要求4所述的方法，其特征在于，还包括：

响应于带入匹配结果的逻辑表达式中存在所述索引，则所述逻辑表达式对应的结果为第二预设值，确定无法判定所述若干个事件构成的行为是否是恶意行为。

6.如权利要求1所述的方法，其特征在于，还包括：

响应于所述逻辑表达式的结果为第二预设值，确定无法判定所述若干个事件构成的行为是否是恶意行为。

7.如权利要求1所述的方法，其特征在于，还包括：

添加恶意行为的判定逻辑以及对应的逻辑表达式。

8.一种恶意行为的判定系统，其特征在于，包括：

获取模块，所述获取模块配置为获取最新产生的事件对应的数据并记录到事件表中；

读取模块，所述读取模块配置为将所述事件表中所有处于新增状态的事件构成事件集；

确定模块，所述确定模块配置为根据所述最新产生的事件对应的API确定所述事件集导向的若干个恶意行为；

第二获取模块，所述第二获取模块配置为获取每一个恶意行为的判定逻辑；

匹配模块，所述匹配模块配置为依次根据每一个恶意行为的判定逻辑对所述事件集中若干个事件对应的API参数进行匹配，并将匹配结果带入对应的逻辑表达式；

响应模块，所述响应模块配置为响应于所述逻辑表达式的结果为第一预设值，判定所述若干个事件构成的行为是恶意行为，并修改所述若干个事件在所述事件表中的状态。

9.一种计算机设备，包括：

至少一个处理器；以及

存储器，所述存储器存储有可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时执行如权利要求1-7任意一项所述的方法的步骤。

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时执行如权利要求1-7任意一项所述的方法的步骤。