[发明专利]一种基于跨进程行为监控恶意代码同源性分析的方法有效
| 申请号: | 201810507539.4 | 申请日: | 2018-05-24 |
| 公开(公告)号: | CN108804920B | 公开(公告)日: | 2021-09-28 |
| 发明(设计)人: | 侯毅;潘晓东;罗朋卫 | 申请(专利权)人: | 河南省躬行信息科技有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 郑州联科专利事务所(普通合伙) 41104 | 代理人: | 刘建芳 |
| 地址: | 450000 河南省郑州市*** | 国省代码: | 河南;41 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提出了一种基于跨进程行为监控恶意代码同源性分析的方法,通过定义污点传播规则、保存跨进程相关日志记录,并针日志记录进行过滤、提取、对比分析,对相关操作进行污点判断。本发明不仅能够发现通过创建不同的进程,或远程线程插入的行为,对和某个文件直接和间接相关的事件进行记录;而且能够对利用漏洞间接执行,如利用dll劫持执行的程序行为进行记录;同时,可大大减少记录的日志数量。 | ||
| 搜索关键词: | 一种 基于 跨进 行为 监控 恶意代码 同源性 分析 方法 | ||
【主权项】:
1.一种基于跨进程行为监控恶意代码同源性分析的方法,其特征在于,具有以下步骤:步骤S01:创建目标进程关系树,所述目标进程关系树包括所述目标进程以及所述目标进程的子进程、孙进程的关联关系,对所述目标进程、所述子进程、所述孙进程进行关系树监控;步骤S02:采用挂钩方式,对相关操作对应的目标代码进行协同监控;其中,所述相关操作包括进程操作、文件操作、网络操作;步骤S03:定义污点的创建规则、传播规则,将所述相关操作以及产生的相应数据作为所述污点的来源;步骤S04:基于所述关系树监控与所述协同监控,产生日志记录,并基于所述创建规则与所述传播规则,对所述日志记录进行提取和过滤,确定疑似污点,保存所述疑似污点的数据相关规则;步骤S05:对经过过滤后的所述日志记录与已经确定为恶意进程代码相应的污点日志记录进行图编辑距离算法对比,计算匹配记录数;步骤S06:对得到所述匹配记录数进行判定,当所述匹配记录数大于预设值时,则判定相应的所述相关操作为恶意。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于河南省躬行信息科技有限公司,未经河南省躬行信息科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201810507539.4/,转载请声明来源钻瓜专利网。
