[发明专利]一种恶意行为检测方法及装置

权利要求书

1.一种恶意行为检测方法，其特征在于，包括：

获取已注册的安全管理器方法监控到的当前行为，所述当前行为是符合预设类型的受监控的行为；

在确定所述当前行为不是默认允许的行为时，对所述已注册的安全管理器方法监控到的当前行为进行分析，确定所述当前行为是否为正常行为；

若所述当前行为不是正常行为，确定所述当前行为是否与预设的白名单匹配，若否，则确定所述当前行为是恶意行为，并将所述恶意行为发送给预设的处理类进行处理。

2.如权利要求1所述的方法，其特征在于，所述对所述已注册的安全管理器方法监控到的当前行为进行分析，确定所述当前行为是否为正常行为，包括：

根据所述当前行为的类型、所述安全管理器注册的方法监控到当前行为时的调用堆栈和调用参数，对所述当前行为进行分析，确定所述当前行为是否为正常行为。

3.如权利要求2所述的方法，其特征在于，所述当前行为的类型包括创建进程行为；

所述根据所述当前行为的类型、所述安全管理器注册的方法监控到当前行为时的调用堆栈和调用参数，对所述当前行为进行分析，确定所述当前行为是否为正常行为，包括：

所述当前行为的类型是创建进程行为时，确定出监控所述创建进程行为时调用的创建进程方法对应的进程路径；

获取所述调用的创建进程方法的原始代码，对所述调用的创建进程方法的原始代码进行分析，确定出指定的进程路径；

若所述指定的进程路径与所述调用创建进程方法时对应的进程路径一致，则确定所述当前行为是正常行为，否则确定所述当前行为不是正常行为。

4.如权利要求3所述的方法，其特征在于，所述获取所述调用的创建进程方法的原始代码，包括：

若所述创建进程行为对应的类为应用程序编译后产生的类文件，则对所述应用程序编译后产生的类文件进行反编译，得到所述调用的创建进程方法的原始代码；

若所述创建进程行为对应的类为压缩包中的类文件，则确定所述压缩包中是否存在源代码文件，若存在，则确定所述源代码文件为所述调用的创建进程方法的原始代码，否则对所述压缩包进行解压处理后，对所述压缩包中的类文件进行反编译，得到所述调用的创建进程方法的原始代码；

若所述创建进程行为对应的类为服务器页面文件编译产生的类文件，则使用预设的Web中间件生成所述调用的创建进程方法的原始代码。

5.如权利要求2所述的方法，其特征在于，所述当前行为的类型包括监听端口行为；

所述根据所述当前行为的类型、所述安全管理器注册的方法监控到当前行为时的调用堆栈和调用参数，对所述当前行为进行分析，确定所述当前行为是否为正常行为，包括：

所述当前行为的类型是监听端口行为时，确定出监控所述监听端口行为时调用的检测监听方法，从所述检测监听方法的参数中获取所述监听端口行为监听的端口；

根据所述监听端口行为对应的线程，得到所述监听端口行为对应的线程的调用堆栈，并根据所述调用堆栈确定出触发所述监听端口行为对应的类名和方法名，对所述触发所述监听端口行为对应的类名及方法名进行分析，确定出指定的监听端口；

若所述监听端口行为监听的端口与所述指定的监听端口一致，则确定所述当前行为是正常行为，否则确定所述当前行为不是正常行为。

6.如权利要求5所述的方法，其特征在于，所述对所述触发所述监听端口行为对应的类名及方法名进行分析，确定出指定的监听端口，包括：

对所述触发所述监听端口行为对应的类名及方法名进行识别，若识别到所述监听端口行为属于对HTTP服务端口的监听，则读取当前进程的配置文件，得到指定的监听端口，或获取当前进程的系统属性，得到指定的监听端口；

若识别到所述监听端口行为属于对TCP端口的监听，则获取调用监听端口方法的原始代码，对监听端口方法的原始代码传入端口参数，得到指定的端口。