[发明专利]一种基于动态行为监测的恶意程序检测方法在审
| 申请号: | 201811606700.X | 申请日: | 2018-12-27 |
| 公开(公告)号: | CN109829301A | 公开(公告)日: | 2019-05-31 |
| 发明(设计)人: | 傅涛;王力;郑轶;吴敏华 | 申请(专利权)人: | 江苏博智软件科技股份有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 210012 江苏省南*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 目前本发明涉及一种基于动态行为监测的恶意程序检测方法,包含实时监测文件系统、注册表、网络、进程/线程的行为的方法和根据配置的行为监测策略对于威胁事件、可疑事件进行实时告警。以统计分析法、人工分析和自动检测相结合实现对于未知木马、恶意程序的智能分析与检测,对于木马行为线索深度挖掘,有效提高对于未知恶意程序分析与检测的准确率,并对发现的木马进行快速分析预警和有效控制。相比传统的根据静态特征查杀木马的方法,查杀率更高、更准确,而且能够查杀变种木马和未知木马。 | ||
| 搜索关键词: | 木马 恶意程序检测 动态行为 恶意程序 统计分析法 静态特征 快速分析 人工分析 实时监测 文件系统 行为监测 行为线索 有效控制 智能分析 自动检测 告警 传统的 配置的 注册表 变种 监测 检测 准确率 线程 预警 挖掘 威胁 网络 分析 进程 发现 | ||
【主权项】:
1.一种基于动态行为监测的恶意程序检测方法 ,其工作步骤如下:步骤1:基于微软Process Monitor全面监控系统正在运行的所有程序,实时监测文件系统、注册表、网络、进程/线程的活动;将所有监控到行为作为动态行为监测分析模型的输入进行分析;步骤2:分析模型运行前,需要先配置动态行为监控策略和行为分析策略;行为监控策略包括对文件行为、注册表行为、网络行为、进/线程行为的监控,四种监控类型可同时开启,也可单独开启;行为分析策略,则包括对每种行为的分析处理模式,如对于系统关键文件的修改、对于注册表启动项的修改,后台联网上传信息和文件的行为,以及通过进程注入,劫持系统某些正常操作的行为;步骤3:通过对可疑行为的分析,可以判定为木马行为,对于确认的木马行为进行阻止隔离,同时保存该木马的动静态特征,丰富自己的木马动静态特征库;根据不断积累的木马动静态库特征库,可以在行为监控时,直接发现疑似木马,对疑似木马进行拦截阻止,防止未知恶意程序和木马的入侵。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于江苏博智软件科技股份有限公司,未经江苏博智软件科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201811606700.X/,转载请声明来源钻瓜专利网。
