程序监控方法和装置的制造方法
【技术领域】
[0001]本申请涉及计算机技术领域,具体涉及计算机安全技术领域,尤其涉及程序监控方法和装置。
【背景技术】
[0002]随着计算机技术尤其是互联网技术的发展,恶意程序(Malware)也日益泛滥,成为了对计算机硬件或者用户数据的重大威胁。例如,互联网恶意程序可以借助于网络进行传播,并运行于接入网络的电子设备之上,从而窃取用户信息、破坏用户数据、推送广告或欺诈信息,并且还可能影响电子设备的运行,危害电子设备的软硬件安全。
[0003]现有的针对恶意程序的监控技术通常基于恶意程序(例如计算机病毒)的特征码来查杀恶意程序。然而,存在着恶意程序及其变形程序(例如计算机病毒变种)通过加壳、免杀等技术手段来逃避基于特征码的恶意程序查杀引擎的扫描和检测的问题。
【发明内容】
[0004]本申请的目的在于提出一种改进的程序监控方法和装置,来解决以上【背景技术】部分提到的技术问题。
[0005]第一方面,本申请提供了一种程序监控方法,所述方法包括:提取运行中的目标程序的至少一个操作特征,其中所述操作特征包括所述目标程序所执行操作的操作类型和操作对象;将所提取的各个操作特征与恶意程序操作特征模板中的各个操作特征进行匹配,其中所述恶意程序操作特征模板包括了恶意程序的操作特征的集合;基于所述匹配的匹配结果,确定所述目标程序是否是恶意程序或者恶意程序的变形程序;如果是,则对所述目标程序进行处理。
[0006]在一些实施例中,所述操作类型包括以下至少一项:删除文件;感染文件;操作进程;寻找和/或关闭安全程序;收集敏感信息。
[0007]在一些实施例中,所述提取运行中的目标程序的至少一个操作特征,包括:拦截所述目标程序所执行的操作;基于拦截的所述操作,提取至少一个操作特征。
[0008]在一些实施例中,所述基于所述匹配的匹配结果,确定所述目标程序是否是恶意程序或者恶意程序的变形程序,包括:判断所提取的各个操作特征是否与所述恶意程序操作特征模板中超过第一预定数目的操作特征相匹配;如果判断结果为是,则确定所述目标程序是恶意程序。
[0009]在一些实施例中,所述基于所述匹配的匹配结果,确定所述目标程序是否是恶意程序或者恶意程序的变形程序,还包括:如果判断结果为否,则进一步判断所提取的各个操作特征是否与所述恶意程序操作特征模板中超过第二预定数目的操作特征相匹配,其中所述第二预定数目小于所述第一预定数目;如果判断结果为是,则确定所述目标程序是恶意程序的变形程序。
[0010]在一些实施例中,所述提取运行中的目标程序的至少一个操作特征之前,还包括:在虚拟环境中运行所述目标程序。
[0011 ] 在一些实施例中,所述对所述目标程序进行处理,包括以下操作中的至少一项:清除所述目标程序;给出与所述目标程序相关的警告或提示。
[0012]第二方面,本申请提供了一种程序监控装置,所述装置包括:提取单元,配置用于提取运行中的目标程序的至少一个操作特征,其中所述操作特征包括所述目标程序所执行操作的操作类型和操作对象;匹配单元,配置用于将所提取的各个操作特征与恶意程序操作特征模板中的各个操作特征进行匹配,其中所述恶意程序操作特征模板包括了恶意程序的操作特征的集合;确定单元,配置用于基于所述匹配的匹配结果,确定所述目标程序是否是恶意程序或者恶意程序的变形程序;处理单元,配置用于如果所述确定单元确定所述目标程序是恶意程序或者恶意程序的变形程序,则对所述目标程序进行处理。
[0013]在一些实施例中,所述操作类型包括以下至少一项:删除文件;感染文件;操作进程;寻找和/或关闭安全程序;收集敏感信息。
[0014]在一些实施例中,所述提取单元进一步配置用于:拦截所述目标程序所执行的操作;基于拦截的所述操作,提取至少一个操作特征。
[0015]在一些实施例中,所述确定单元进一步配置用于:判断所提取的各个操作特征是否与所述恶意程序操作特征模板中超过第一预定数目的操作特征相匹配;如果判断结果为是,则确定所述目标程序是恶意程序。
[0016]在一些实施例中,所述确定单元进一步配置用于:如果判断结果为否,则进一步判断所提取的各个操作特征是否与所述恶意程序操作特征模板中超过第二预定数目的操作特征相匹配,其中所述第二预定数目小于所述第一预定数目;如果判断结果为是,则确定所述目标程序是恶意程序的变形程序。
[0017]在一些实施例中,所述装置还包括:运行单元,配置用于在虚拟环境中运行所述目标程序。
[0018]在一些实施例中,所述处理单元进一步配置用于:清除所述目标程序;和/或,给出与所述目标程序相关的警告或提示。
[0019]本申请提供的程序监控方法和装置,通过首先提取运行中的目标程序的至少一个操作特征,之后将所提取的各个操作特征与恶意程序操作特征模板中的各个操作特征进行匹配,再基于所述匹配的匹配结果来确定上述目标程序是否是恶意程序或者恶意程序的变形程序并且在确定为是的情况下对上述目标程序进行处理,实现了对恶意程序及其变形程序的有效监控。
【附图说明】
[0020]通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
[0021]图1是可以应用本申请的程序监控方法或程序监控装置的实施例的示例性系统架构;
[0022]图2是根据本申请的程序监控方法的一个实施例的流程图;
[0023]图3是根据本申请的程序监控方法的又一个实施例的流程图;
[0024]图4是根据本申请的程序监控装置的一个实施例的结构示意图;
[0025]图5是适于用来实现本申请实施例的终端设备或服务器的计算机系统的结构示意图。
【具体实施方式】
[0026]下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
[0027]需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
[0028]图1示出了可以应用本申请的程序监控方法或程序监控装置的实施例的示例性系统架构100。
[0029]如图1所示,系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
[0030]用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如防恶意程序(例如防计算机病毒)类应用、文档管理类应用、搜索类应用、邮箱客户端、社交平台软件等。
[0031]终端设备101、102、103可以是各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3 播放器(Moving Picture Experts Group Aud1 Layer III,动态影像专家压缩标准音频层面 3)、MP4 (Moving Picture Experts Group Aud1 Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。
[0032]服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103上的防恶意程序类应用(例如杀毒软件)等提供支持的后台处理服务器。后台处理服务器可以对从终端设备接收到的数据(例如计算机病毒/恶意程序相关数据)进行存储、分析等处理,并将处理结果反馈给终端设备。
[0033]需要说明的是,本申请实施例所提供的程序监控方法可以由终端设备101、102、103执行(这时可以在终端设备上预先安装诸如杀毒软件之类的防恶意程序类应用),或者也可以由服务器105执行。相应地,程序监控装置可以设置于终端设备101、102、103中,也可以设置于服务器105中。
[0034]应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
[0035]继续参考图2,示出了根据本申请的程序监控方法的一个实施例的流程200。所述的程序监控方法,包括以下步骤:
[0036]步骤201,提取运行中的目标程序的至少一个操作特征。
[0037]在本实施例中,程序监控方法运行于其上的电子设备可以对运行中的目标程序的至少一个操作特征进行提取。
[0038]其中,上述目标程序的操作特征可以包括该目标程序所执行操作的操作类型和操作对象。上述操作类型通常可以包括但不限于:删除文件,例如,删除杀毒软件的注册表文件,再例如删除gho”格式的ghost (