[发明专利]一种恶意行为的判定方法、系统、设备以及介质

说明书

本发明公开了一种恶意行为的判定方法，包括以下步骤：获取最新产生的事件对应的数据并记录到事件表中；将事件表中所有处于新增状态的事件构成事件集；根据最新产生的事件对应的API确定事件集导向的若干个恶意行为；获取每一个恶意行为的判定逻辑；依次根据每一个恶意行为的判定逻辑对事件集中若干个事件对应的API参数进行匹配，并将匹配结果带入对应的逻辑表达式；响应于逻辑表达式的结果为第一预设值，判定若干个事件构成的行为是恶意行为，并修改若干个事件在事件表中的状态。本发明还公开了一种系统、计算机设备以及可读存储介质。本发明提出的方案把判定逻辑拆分成最基本的逻辑判定单元，可以存入数据库中并方便进行统一的判定逻辑编码实现。

技术领域

本发明涉及行为判定领域，具体涉及一种恶意行为的判定方法、系统、设备以及存储介质。

背景技术

基于行为进行恶意软件检测已成为目前流行的、公认最优的一种恶意软件检测方案，但很多软件中的行为判定都是以编码的形式进行的，如果出现了新的恶意行为、新的破坏技巧，则需要再次修改安全防护软件的检测代码，重新打补丁、发布新版本。

发明内容

有鉴于此，为了克服上述问题的至少一个方面，本发明实施例提出一种恶意行为的判定方法，包括以下步骤：

获取最新产生的事件对应的数据并记录到事件表中；

将所述事件表中所有处于新增状态的事件构成事件集；

根据所述最新产生的事件对应的API确定所述事件集导向的若干个恶意行为；

获取每一个恶意行为的判定逻辑；

依次根据每一个恶意行为的判定逻辑对所述事件集中若干个事件对应的API参数进行匹配，并将匹配结果带入对应的逻辑表达式；

响应于所述逻辑表达式的结果为第一预设值，判定所述若干个事件构成的行为是恶意行为，并修改所述若干个事件在所述事件表中的状态。

在一些实施例中，获取每一个恶意行为的判定逻辑，进一步包括：

获取每一个恶意行为的若干个参数判定逻辑或者若干个参数判定逻辑和若干个参数关系判定逻辑。

在一些实施例中，依次根据每一个恶意行为的判定逻辑对所述事件集中若干个事件对应的API参数进行匹配，进一步包括：

利用所述若干个事件对应的API参数分别与所述若干个参数判定逻辑进行匹配或者与所述若干个参数判定逻辑和所述若干个参数关系判定逻辑进行匹配。

在一些实施例中，将匹配结果带入对应的逻辑表达式，进一步包括：

获取由所述参数判定逻辑和/或所述参数关系判定逻辑对应的索引组成的逻辑表达式；

将所述参数判定逻辑和/或所述参数关系判定逻辑的匹配结果替换所述逻辑表达式中对应的索引。

在一些实施例中，还包括：

响应于带入匹配结果的逻辑表达式中存在所述索引，则所述逻辑表达式对应的结果为第二预设值，确定无法判定所述若干个事件构成的行为是否是恶意行为。

在一些实施例中，还包括：

响应于所述逻辑表达式的结果为第二预设值，确定无法判定所述若干个事件构成的行为是否是恶意行为。

在一些实施例中，还包括：

添加恶意行为的判定逻辑以及对应的逻辑表达式。

基于同一发明构思，根据本发明的另一个方面，本发明的实施例还提供了一种恶意行为的判定系统，包括：

获取模块，所述获取模块配置为获取最新产生的事件对应的数据并记录到事件表中；