[发明专利]一种恶意行为检测方法及装置

说明书

本发明公开了一种恶意行为检测方法及装置，该方法包括获取已注册的安全管理器方法监控到的当前行为，在确定当前行为不是默认允许的行为时，对已注册的安全管理器方法监控到的当前行为进行分析，确定当前行为是否为正常行为，若当前行为不是正常行为，确定当前行为是否与预设的白名单匹配，若否，则确定当前行为是恶意行为，并将恶意行为发送给预设的处理类进行处理。通过对已注册的安全管理器监控到的当前行为进行分析，能够发现应用程序方法调用级别的恶意行为，并结合预设的白名单，能够降低误报率，减少人工干预。

技术领域

本发明涉及金融科技(Fintech)技术领域，尤其涉及一种恶意行为检测方法及装置。

背景技术

随着计算机技术的发展，越来越多的技术应用在金融领域，传统金融业正在逐步向金融科技转变，但由于金融行业的安全性、实时性要求，也对技术提出的更高的要求。在金融领域的网络安全技术中，对于检测网络中部分行为是一个重要的问题。

目前基于主机的入侵检测系统(Host-based Intrusion Detection System，HIDS)是一种入侵检测系统，能够监视和分析计算系统的内部操作，以及其网络接口上的网络数据包。HIDS能够根据其配置的方式监视计算机系统的全部或部分动态行为和状态。除了动态检查针对此特定主机的网络数据包这类活动外，HIDS还可以检测哪个程序访问哪些资源。可将HIDS看作是一个代理，它监视是否有内部或外部的任何对象或任何人绕过了系统的安全策略。但是对于Java程序出现的恶意行为，该HIDS无法检测到方法调用级别的恶意行为，容易出现误报的情况。

发明内容

本发明实施例提供一种恶意行为检测方法及装置，用以实现方法调用级别的恶意行为检测，减少误报率。

第一方面，本发明实施例提供一种恶意行为检测方法，包括：

获取已注册的安全管理器方法监控到的当前行为，所述当前行为是符合预设类型的受监控的行为；

在确定所述当前行为不是默认允许的行为时，对所述已注册的安全管理器方法监控到的当前行为进行分析，确定所述当前行为是否为正常行为；

若所述当前行为不是正常行为，确定所述当前行为是否与预设的白名单匹配，若否，则确定所述当前行为是恶意行为，并将所述恶意行为发送给预设的处理类进行处理。

上述技术方案中，通过对已注册的安全管理器监控到的当前行为进行分析，能够发现应用程序方法调用级别的恶意行为，并结合预设的白名单，能够降低误报率，减少人工干预。

可选的，所述对所述已注册的安全管理器方法监控到的当前行为进行分析，确定所述当前行为是否为正常行为，包括：

根据所述当前行为的类型、所述安全管理器注册的方法监控到当前行为时的调用堆栈和调用参数，对所述当前行为进行分析，确定所述当前行为是否为正常行为。

可选的，所述当前行为的类型包括创建进程行为；

所述根据所述当前行为的类型、所述安全管理器注册的方法监控到当前行为时的调用堆栈和调用参数，对所述当前行为进行分析，确定所述当前行为是否为正常行为，包括：

所述当前行为的类型是创建进程行为时，确定出监控所述创建进程行为时调用的创建进程方法对应的进程路径；

获取所述调用的创建进程方法的原始代码，对所述调用的创建进程方法的原始代码进行分析，确定出指定的进程路径；

若所述指定的进程路径与所述调用创建进程方法时对应的进程路径一致，则确定所述当前行为是正常行为，否则确定所述当前行为不是正常行为。

上述技术方案中，通过对监控创建进程行为时调用的创建进程方法进行分析，能够识别出创建进程行为是否为正常行为。