一种威胁行为检测系统和方法

一种威胁行为检测系统和方法
【专利摘要】本申请公开了一种威胁行为检测方法和系统。该方提取用户和软件在软件运行进程中的各种基础行为，并按照用户预设的行为转换规则对各个基础行为进行转换，生成新行为。进一步，对满足行为转换规则的新行为进行转换，直至生成的新行为不满足行为转换规则，继而按照预设行为匹配规则对所述基础行为和所述新行为进行匹配，输出匹配结果，以确定软件是否为恶意软件，用户是否为恶意用户。与现有技术相比，在本发明中用户可根据自身需求对行为转换规则和行为匹配规则进行设置，以判断该软件行为是否为恶意行为以及该软件的用户是否为恶意用户。
【专利说明】
一种威胁行为检测系统和方法
技术领域
[0001]本申请涉及计算机领域，更具体地说，涉及一种威胁行为检测系统和方法。
【背景技术】
[0002]威胁识别技术有两个方向，一个是基于异常，一个是基于误用。异常通常是基于统计的，也就是找出恶意软件和正常软件行为上的明显差异，据此判定软件是否存在恶意行为。误用则是依据专家经验确定部分行为或行为组合只会在恶意软件中出现，然后根据这些行为或行为组合确定软件行为是否为恶意。
[0003]最近几年，基于行为检测的沙箱技术被作为新的威胁行为识别技术。然而目前的沙箱技术的行为只能识别在软件检测领域已经定义的恶意行为，无法根据客户的需求对软件行为进行检测，判断该软件行为是否为恶意行为。

【发明内容】

[0004]有鉴于此，本申请提供一种威胁行为检测方法和系统，客户可根据自身需求定义软件的哪种形式属于恶意行为，满足了不同客户对软件威胁行为检测的需求。
[0005]为了实现上述目的，现提出的方案如下:
[0006]—种威胁行为检测方法，包括:
[0007]提取软件运行进程中的所有基础行为，所述基础行为包括用户行为和软件行为；
[0008]对满足预设行为转换规则的基础行为进行转换，生成新行为；
[0009]对满足所述预设行为转换规则的新行为进行转换，直至生成的新行为不满足所述预设行为转换规则；
[0010]按照预设行为匹配规则对所述基础行为和所述新行为进行匹配，输出匹配结果，以确定软件是否为恶意软件，用户是否为恶意用户。
[0011 ]优选的，所述对满足预设行为转换规则的基础行为进行转换，生成新行为，之后还包括:
[0012]将提取到的所述基础行为以及行为转换过程中生成的新行为存储在行为文件中。
[0013]一种威胁行为检测系统，包括:
[0014]行为提取模块，用于提取软件运行进程中的所有基础行为，所述基础行为包括用户行为和软件行为；
[0015]行为转换模块，用于对满足预设行为转换规则的基础行为进行转换，生成新行为；
[0016]对满足所述预设行为转换规则的新行为进行转换，直至生成的新行为不满足所述预设行为转换规则；
[0017]行为匹配模块，用于按照预设行为匹配规则对所述基础行为和所述新行为进行匹配，输出匹配结果，以确定软件是否为恶意软件，用户是否为恶意用户。
[0018]优选的，所述系统还包括:分别与所述行为提取模块和所述行为转换模块相连的行为存储模块；
[0019]所述行为存储模块用于存储所述行为提取模块提权到的所述基础行为以及所述行为转换模块生成的新行为。
[0020]优选的，所述系统还包括:与所述行为转换模块相连行为转换规则存储模块；
[0021 ]所述行为转换规则存储模块用于存储用户预先设置的行为转换规则。
[0022]优选的，所述系统还包括:与所述行为匹配模块相连的行为匹配规则存储模块；
[0023]所述行为匹配规则存储模块用于存储用户预先设置的行为匹配规则。
[0024]经由上述技术方案可知，本申请公开了一种威胁行为检测方法和系统。该方提取用户和软件在软件运行进程中的各种基础行为，并按照用户预设的第一行为转换规则对各个基础行为进行转换，生成改进行为。进一步，对满足第二行为转换规则的高级行为进行再次转换，直至生成的高级行为不满足第二行为转换规则，继而判断所有基础行为和所有高级行为是否与预设非法行为匹配，若匹配则确定该软件为恶意软件和/或该用户为恶意用户。与现有技术相比，在本发明中用户可根据自身需求对行为转换规则和预设非法行为进行设置，以判断该软件行为是否为恶意行为以及该软件的用户是否为恶意用户，因而能够满足用户的不同需求。
【附图说明】
[0025]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
[0026]图1示出了本发明一个实施例公开的一种威胁行为检测方法的流程示意图；
[0027]图2示出了本发明另一个实施例公开的一种威胁行为检测系统的结构示意图；
[0028]图3示出了本发明另一个实施例公开的一种威胁行为检测系统的结构示意图。
【具体实施方式】
[0029]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0030]参见图1示出了本发明一个实施例公开的一种威胁行为检测方法的流程示意图。
[0031]由图1可知，该方法包括:
[0032]Sll:提取软件运行进程中的所有基础行为。
[0033]需要说明的是所述基础行为包括软件运行进程中软件行为以及用户行为。其中所述用户行为即用户通过鼠标或键盘对软件的操作，如，用户点击该软件即用户行为，所述软件行为即软件运行过程中自动产生的行为，如软件在运行过程中自行打开文件夹的行为即为软件行为。
[0034]S12:对满足第一预设行为转换规则的基础行为进行行为转换，生成高级行为，循环对满足第二预设行为转换规则的高级行为进行行为转换操作，直至基于所述第二预设行为转换生成的新的高级行为不满足所述第二预设行为转换规则。
[0035]依据预先的行为转换规则对提取到的基础行为进行转换，生成新行为。如果产生的新行为满足上述的行为转换规则，则再次利用所述行为转换规则对新行为进行新一轮的行为转换，直至所生成的新行为不满足行为转换规则。
[0036]可选的，为了方便行为转换可将提取到的所述基础行为以及行为转换过程中生成的新行为存储在行为文件中。
[0037]S13:判断软件运行过中的所有基础行为和行为转换过程中产生的所有高级行为是否与预设非法行为相匹配。
[0038]需要说明的是，该行为匹配规则可根据用户的需求由用户自行设置。行为匹配规则既可以是计算机易于理解的规则，比如若进程A访问文件B，则判定进程A为恶意进程，也可以是人易于理解的高度抽象的规则，比如若用户C泄露敏感信息，则判定用户C存在泄密行为。
[0039]为了详细介绍本发明的具体实现过程，我们定义一条非法行为规则:
[0040]Rl、进程获取敏感信息，并外发敏感信息，则进程为恶意软件。
[0041 ] 基础行为可能是:
[0042]B1、用户打开点击运行某程序，记为为进程A。
[0043]B2、进程 A 打开 C: \Windows\system32\kernel32.dll。
[0044]B3、进程A连接Internet上的某台计算机。
[0045]B4、进程A向某台计算机发送数据。
[0046]我们可以定义的行为转化规则可能是
[0047]TKc: \windows\system32\kernel32.dll 为敏感数据。
[0048]T2、向Internet上的计算机发送数据，为外发数据。
[0049]T3、进程访问敏感信息，且进程外发数据，则进程外发敏感信息
[0050]将基础行为用上述这Tl和T2条规则处理，可以生成新的行为集[0051 ] B5、进程A访问敏感信息
[0052]B6、进程A外发数据
[0053]进而，在下一轮的行为转换中，行为B5、B6依据T3行为转换规则，生成
[0054]B7、进程A外发敏感信息
[0055]如果我们仅定义了上述两条转化规则，则全部转化规则转化完成后，我们就可以和非法行为规则进行匹配，也就会发现行为B7规则Rl匹配，因此这就是恶意软件。
[0056]而如果我们再定义一条非法行为规则
[0057]R2、用户启动进程，进程外发敏感信息，则为用户主动泄密。
[0058]定义一条行为转化规则
[0059]T4、用户启动程序，进程外发敏感信息，则用户外发敏感信息。
[0060]利用行为转换规则T4对行为BI和行为B7进行转换，得到新行为B8用户外发敏感信息。
[0061]那么，所有转化完成后，进行行为匹配时，我们就会发现R2也可以匹配上，至此，我们可以得到更有价值的结论。用户主动泄密！
[0062]上述实施例公开了一种威胁行为检测方法。本申请公开了一种威胁行为检测方法。该方提取用户和软件在软件运行进程中的各种基础行为，并按照用户预设的第一行为转换规则对各个基础行为进行转换，生成改进行为。进一步，对满足第二行为转换规则的高级行为进行再次转换，直至生成的高级行为不满足第二行为转换规则，继而判断所有基础行为和所有高级行为是否与预设非法行为匹配，若匹配则确定该软件为恶意软件和/或该用户为恶意用户。与现有技术相比，在本发明中用户可根据自身需求对行为转换规则和预设非法行为进行设置，以判断该软件行为是否为恶意行为以及该软件的用户是否为恶意用户，因而能够满足用户的不同需求。
[0063]参见图2示出了本发明另一个实施例公开的一种威胁行为检测系统的结构示意图。
[0064]该体统包括:行为提取模块1、行为转换模块2以及行为匹配模块3。
[0065]行为提取模块I，用于提取软件运行进程中的所有基础行为，如打开文件、读取文件、修改文件、删除群架以及注册表访问，网络访问等。
[0066]行为转换模块，用于对满足第一预设行为转换规则的基础行为进行行为转换，生成高级行为，所述第一预设行为转换规则包括至少一条行为转换规则；
[0067]循环对满足第二预设行为转换规则的高级行为进行行为转换操作，直至基于所述第二预设行为转换生成的新的高级行为不满足所述第二预设行为转换规则，所述第二预设行为转换规则包括至少一条行为转换规则；
[0068]行为匹配模块，用于判断软件运行过中的所有基础行为和行为转换过程中产生的所有高级行为是否与预设非法行为相匹配；
[0069]若匹配，则确定软件为恶意软件和/或用户为恶意用户。
[0070]参见图3示出了本发明另一个实施例公开的一种威胁行为检测系统的结构示意图。
[0071 ]与上一个系统实施例不同的是，在本实施例中，该系统包括:行为提取模块1、行为转换模块2、行为匹配模块3、行为存储模块4、行为转换规则存储模块5以及非法行为存储模块6 0
[0072]所述行为存储模块4分别与所述行为提取模块I和所述行为转换模块2相连，用于存储所述行为提取模块提权到的所述基础行为以及所述行为转换模块生成的高级行为。
[0073]所述行为转换规则存储模块5与所述行为转换模块2相连，用于存储用户预先设置的行为转换规则。
[0074]所述非法行为存储模块6与所述行为匹配模块3相连，用于存储用户预先设置的非法行为。
[0075]需要说明的是该系统实施例与方法实施例相对应，其执行过程和执行原理相同，在此不作赘述。
[0076]最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0077]本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。
[0078]对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
【主权项】
1.一种威胁行为检测方法，其特征在于，包括: 提取软件运行进程中的所有基础行为，所述基础行为包括用户行为和/或软件行为；对满足第一预设行为转换规则的基础行为进行行为转换，生成高级行为，所述第一预设行为转换规则包括至少一条行为转换规则； 循环对满足第二预设行为转换规则的高级行为进行行为转换操作，直至基于所述第二预设行为转换生成的新的高级行为不满足所述第二预设行为转换规则，所述第二预设行为转换规则包括至少一条行为转换规则； 判断软件运行过中的所有基础行为和行为转换过程中产生的所有高级行为是否与预设非法行为相匹配； 若匹配，则确定软件为恶意软件和/或用户为恶意用户。2.根据权利要求1所述的方法，其特征在于，所述对满足第二预设行为转换规则的高级行为进行转换，直至基于所述第二预设行为转换生成的新的高级行为不满足所述第二预设行为转换规则，之后还包括: 将软件运行进程中所有基础行为以及行为转换过程中生成的所有高级行为存储在行为文件中。3.一种威胁行为检测系统，其特征在于，包括: 行为提取模块，用于提取软件运行进程中的所有基础行为，所述基础行为包括用户行为和软件行为； 行为转换模块，用于对满足第一预设行为转换规则的基础行为进行行为转换，生成高级行为，所述第一预设行为转换规则包括至少一条行为转换规则； 循环对满足第二预设行为转换规则的高级行为进行行为转换操作，直至基于所述第二预设行为转换生成的新的高级行为不满足所述第二预设行为转换规则，所述第二预设行为转换规则包括至少一条行为转换规则； 行为匹配模块，用于判断软件运行过中的所有基础行为和行为转换过程中产生的所有高级行为是否与预设非法行为相匹配； 若匹配，则确定软件为恶意软件和/或用户为恶意用户。4.根据权利要求3所述的系统，其特征在于，所述系统还包括:分别与所述行为提取模块和所述行为转换模块相连的行为存储模块； 所述行为存储模块用于存储所述行为提取模块提权到的所有基础行为以及所述行为转换模块生成的所有高级行为。5.根据权利要求3所述的系统，其特征在于，所述系统还包括:与所述行为转换模块相连行为转换规则存储模块； 所述行为转换规则存储模块用于存储用户预先设置的行为转换规则。6.根据权利要求3所述的系统，其特征在于，所述系统还包括:与所述行为匹配模块相连的非法行为存储模块； 所述非法行为存储模块用于存储用户预先设置的非法行为。
【文档编号】G06F21/55GK105912932SQ201610215073
【公开日】2016年8月31日
【申请日】2016年4月8日
【发明人】周宏斌
【申请人】周宏斌