[发明专利]一种恶意类检测方法、系统、装置、设备及介质

权利要求书

1.一种恶意类检测方法，其特征在于，应用于恶意类检测服务器，所述恶意类检测方法包括：

接收程序运行设备上的恶意类检测客户端利用分别注入到程序运行设备执行的各进程中的hook函数监测到所述程序运行设备执行的任一进程加载了新类时发送的所述程序运行设备中的各新类的第一属性信息；其中，所述第一属性信息是所述恶意类检测客户端利用第一transform回调函数获得的用于描述新类的各属性的信息；

基于所述程序运行设备中的各新类的第一属性信息，调用存储在第一指定区域的可疑类过滤规则，对所述程序运行设备中的各新类是否为可疑类进行检测，得到所述程序运行设备中的各可疑类；

将所述程序运行设备中的各可疑类的第二属性信息发送至所述恶意类检测客户端，以触发所述恶意类检测客户端利用第二transform回调函数对所述程序运行设备中的各可疑类的字节码进行转储；其中，所述第二属性信息为表征可疑类的唯一标识的信息；

基于所述恶意类检测客户端发送的所述程序运行设备中的各可疑类的字节码，调用存储在第二指定区域的恶意类检测模型，对所述程序运行设备中的各可疑类是否为恶意类进行检测，得到所述程序运行设备中的各恶意类。

2.如权利要求1所述的恶意类检测方法，其特征在于，接收程序运行设备上的恶意类检测客户端监测到所述程序运行设备加载了新类时发送的所述程序运行设备中的各新类的第一属性信息之前，还包括：

确定所述程序运行设备运行的源码版本符合插针要求时，采用插针技术，将所述恶意类检测客户端的可执行程序压缩包注入至所述程序运行设备。

3.如权利要求1所述的恶意类检测方法，其特征在于，基于所述程序运行设备中的各新类的第一属性信息，调用存储在第一指定区域的可疑类过滤规则，对所述程序运行设备中的各新类是否为可疑类进行检测，包括：

将所述程序运行设备中的各新类的第一属性信息发送至可疑类检测引擎，以触发所述可疑类检测引擎基于所述程序运行设备中的各新类的第一属性信息，调用存储在所述第一指定区域的可疑类过滤规则，对所述程序运行设备中的各新类是否为可疑类进行检测。

4.如权利要求1所述的恶意类检测方法，其特征在于，基于所述恶意类检测客户端发送的所述程序运行设备中的各可疑类的字节码，调用存储在第二指定区域的恶意类检测模型，对所述程序运行设备中的各可疑类是否为恶意类进行检测，包括：

将所述程序运行设备中的各可疑类的字节码发送至恶意类检测引擎，以触发所述恶意类检测引擎基于所述程序运行设备中的各可疑类的字节码，调用存储在所述第二指定区域的恶意类检测模型，对所述程序运行设备中的各可疑类是否为恶意类进行检测。

5.一种恶意类检测方法，其特征在于，应用于程序运行设备上的恶意类检测客户端，所述恶意类检测方法包括：

利用分别注入到程序运行设备执行的各进程中的hook函数监测到所述程序运行设备执行的任一进程加载了新类时，利用第一transform回调函数获取所述程序运行设备中的各新类的第一属性信息并发送至恶意类检测服务器，以触发所述恶意类检测服务器基于所述程序运行设备中的各新类的第一属性信息，对所述程序运行设备中的各新类是否为可疑类进行检测；其中，所述第一属性信息为描述新类的各属性的信息；

接收到所述恶意类检测服务器检测出所述程序运行设备中的各可疑类时发送的所述程序运行设备中的各可疑类的第二属性信息时，利用第二transform回调函数对所述程序运行设备中的各可疑类的字节码进行转储并发送至所述恶意类检测服务器，以触发所述恶意类检测服务器基于所述程序运行设备中的各可疑类的字节码，对所述程序运行设备中的各可疑类是否为恶意类进行检测；其中，所述第二属性信息为表征可疑类的唯一标识的信息。

6.如权利要求5所述的恶意类检测方法，其特征在于，利用分别注入到程序运行设备执行的各进程中的hook函数监测到所述程序运行设备执行的任一进程加载了新类时，利用第一transform回调函数获取所述程序运行设备中的各新类的第一属性信息之前，还包括：

将所述程序运行设备的标准类文件与当前类文件进行匹配，得到所述程序运行设备中的各新类。