软件行为的安全检测方法、装置及设备与流程
本申请涉及信息安全技术领域,尤其是涉及到一种软件行为的安全检测方法、装置及设备。
背景技术:
随着信息技术的飞速发展,信息安全越来越受到重视。信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、个人信息的泄露等。攻击者可通过注入的恶意软件进行信息盗用或篡改等,对用户的个人隐私或财产安全等造成一定的威胁。
目前,可通过匹配黑名单的方式判别软件行为是否安全,进而确定是否存在信息安全隐患。具体的,该黑名单中包含目标软件所具备的各个恶意行为特征,如果目标软件当前行为的行为特征与黑名单中的恶意行为特征匹配,那么就说明目标软件行为存在异常并对该当前行为进行拦截。
然而,当面对未知软件的一些行为、或者已知软件的未知行为时,由于黑名单中并没有相应的恶意行为特征,因此利用上述软件行为安全的判别方式无法对未知软件的一些行为、或者已知软件的未知行为进行软件行为安全的判别,进而不能做出及时安全防护响应,会造成信息安全隐患。
技术实现要素:
有鉴于此,本申请提供了一种软件行为的安全检测方法、装置及设备,主要目的在于解决目前现有的软件行为手段无法对未知软件的一些行为、或者已知软件的未知行为进行软件行为安全的判别,进而不能做出及时安全防护响应,会造成信息安全隐患的问题。
根据本申请的一个方面,提供了一种软件行为的安全检测方法,该方法包括:
收集各个终端上报的软件行为信息;
根据所述软件行为信息,统计出现待识别软件行为的终端个数和终端覆盖比例;
依据所述终端个数和所述终端覆盖比例,标记所述待识别软件行为是否为疑似恶意行为;
利用所述待识别软件行为的标记结果,对所述待识别软件行为进行安全识别。
优选的,依据所述终端个数和所述终端覆盖比例,标记所述待识别软件行为是否为疑似恶意行为,具体包括:
若所述终端个数大于或等于预设个数阈值、和/或所述终端覆盖比例大于或等于预设比例阈值,则将所述待识别软件行为标记为疑似正常行为;
若所述终端个数小于所述预设个数阈值、且所述终端覆盖比例小于预设比例阈值,则将所述待识别软件行为标记为疑似恶意行为。
优选的,所述收集各个终端上报的软件行为信息,具体包括:
按照终端用户属性的不同维度划分不同单位的各个终端;
收集不同区域内所述不同单位的各个终端上报的软件行为信息,所述软件行为信息包括与文件操作、进程操作、注册表操作、网络操作、驱动操作中一个或多个相关的软件行为内容。
优选的,根据所述软件行为信息,统计出现待识别软件行为的终端覆盖比例,具体包括:
统计上报所述软件行为信息的终端的总个数;
将出现所述待识别软件行为的所述终端个数除以所述总个数,得到出现所述待识别软件行为的所述终端覆盖比例。
优选的,利用所述待识别软件行为的标记结果,对所述待识别软件行为进行安全识别,具体包括:
将所述标记结果发送给审核客户端,以使得所述审核客户端根据所述标记结果和所述待识别软件行为对应任务调用的栈特征信息,对所述待识别软件行为进行安全识别;
接收所述审核客户端发送的对所述待识别软件行为的安全识别结果,若确定所述待识别软件行为是恶意行为,则将所述待识别软件行为的所述安全识别结果发送给全网各个终端,以便在全网进行安全防御。
优选的,利用所述待识别软件行为的标记结果,对所述待识别软件行为进行安全识别,具体包括:
获取出现所述待识别软件行为的时间轴变化趋势;和/或
获取出现所述待识别软件行为的终端所在的地域分布信息;和/或
获取所述待识别软件行为对应软件的软件版权信息;和/或
获取所述待识别软件行为对应软件程序的数字签名信息;
利用所述标记结果,并结合所述时间轴变化趋势、和/或所述地域分布信息、和/或所述软件版权信息、和/或所述数字签名信息,对所述待识别软件行为进行安全识别。
优选的,利用所述标记结果,并结合所述时间轴变化趋势、和/或所述地域分布信息、和/或所述软件版权信息、和/或所述数字签名信息,对所述待识别软件行为进行安全识别,具体包括:
若所述标记结果为疑似恶意行为,且所述时间轴变化趋势异常、和/或出现所述待识别软件行为的终端所在的地域分布异常、和/或所述待识别软件行为对应软件的软件版权非法、和/或所述待识别软件行为对应软件程序的数字签名非法,则确定所述待识别软件行为是恶意行为。
根据本申请的另一方面,提供了一种软件行为的安全检测装置,该装置包括:
收集模块,用于收集各个终端上报的软件行为信息;
统计模块,用于根据所述软件行为信息,统计出现待识别软件行为的终端个数和终端覆盖比例;
标记模块,用于依据所述终端个数和所述终端覆盖比例,标记所述待识别软件行为是否为疑似恶意行为;
识别模块,用于利用所述待识别软件行为的标记结果,对所述待识别软件行为进行安全识别。
优选的,所述标记模块,具体用于若所述终端个数大于或等于预设个数阈值、和/或所述终端覆盖比例大于或等于预设比例阈值,则将所述待识别软件行为标记为疑似正常行为;
若所述终端个数小于所述预设个数阈值、且所述终端覆盖比例小于预设比例阈值,则将所述待识别软件行为标记为疑似恶意行为。
优选的,所述收集模块,具体用于按照终端用户属性的不同维度划分不同单位的各个终端;
收集不同区域内所述不同单位的各个终端上报的软件行为信息,所述软件行为信息包括与文件操作、进程操作、注册表操作、网络操作、驱动操作中一个或多个相关的软件行为内容。
优选的,所述统计模块,具体用于统计上报所述软件行为信息的终端的总个数;
将出现所述待识别软件行为的所述终端个数除以所述总个数,得到出现所述待识别软件行为的所述终端覆盖比例。
优选的,所述识别模块,具体用于将所述标记结果发送给审核客户端,以使得所述审核客户端根据所述标记结果和所述待识别软件行为对应任务调用的栈特征信息,对所述待识别软件行为进行安全识别;
接收所述审核客户端发送的对所述待识别软件行为的安全识别结果,若确定所述待识别软件行为是恶意行为,则将所述待识别软件行为的所述安全识别结果发送给全网各个终端,以便在全网进行安全防御。
优选的,所述识别模块,具体用于获取出现所述待识别软件行为的时间轴变化趋势;和/或
获取出现所述待识别软件行为的终端所在的地域分布信息;和/或
获取所述待识别软件行为对应软件的软件版权信息;和/或
获取所述待识别软件行为对应软件程序的数字签名信息;
利用所述标记结果,并结合所述时间轴变化趋势、和/或所述地域分布信息、和/或所述软件版权信息、和/或所述数字签名信息,对所述待识别软件行为进行安全识别。
优选的,所述识别模块,具体还用于若所述标记结果为疑似恶意行为,且所述时间轴变化趋势异常、和/或出现所述待识别软件行为的终端所在的地域分布异常、和/或所述待识别软件行为对应软件的软件版权非法、和/或所述待识别软件行为对应软件程序的数字签名非法,则确定所述待识别软件行为是恶意行为。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述软件行为的安全检测方法。
依据本申请再一个方面,提供了一种软件行为安全防护的实体设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述软件行为的安全检测方法。
借由上述技术方案,本申请提供的一种软件行为的安全检测方法、装置及设备,与目前现有的手段相比,本申请可根据收集到的各个终端上报的软件行为信息,统计出现待识别软件行为的终端个数和终端覆盖比例,然后可依据该终端个数和终端覆盖比例,对待识别软件行为进行安全识别。基于黑客的恶意软件行为是少量、非普遍性的行为,对于已知软件或者未知软件的未知软件行为,如果很少终端会发生,即可认为是疑似恶意行为。通过这种大概率的统计分析方式,在面对未知软件的一些行为、或者已知软件的未知行为,且黑名单中并没有相应的恶意行为特征的情况下,也能进行有效的软件行为安全的判别,进而可做出及时安全防护响应,保证信息安全。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种软件行为的安全检测方法的流程示意图;
图2示出了本申请实施例提供的另一种软件行为的安全检测方法的流程示意图;
图3示出了本申请实施例提供的一种软件行为的安全检测装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
针对目前现有的软件行为手段无法对未知软件的一些行为、或者已知软件的未知行为进行软件行为安全的判别,进而不能做出及时安全防护响应,会造成信息安全隐患的问题,本实施例提供了一种软件行为的安全检测方法,如图1所示,该方法包括:
101、收集各个终端上报的软件行为信息。
其中,软件行为信息包括软件运行时的行为情况,例如,软件对系统中某文件的读取、写入、复制等操作行为,或软件对注册表中某信息进行更改、复制等操作行为,或软件后台网络连接某网站下载程序等操作行为。
在本实施例中,可收集平台下各个终端上报的软件行为信息。而对于本实施例的执行主体可以为软件行为安全检测的装置或设备,可以配置在服务器侧或云平台侧,终端上的特定客户端检测出存在无法识别是否安全的软件行为时,可该软件行为的相关信息上报给服务器或云平台,然后由本实施例执行主体进行收集,然后执行步骤102至104所示的过程。
102、根据收集得到的软件行为信息,统计出现待识别软件行为的终端个数和终端覆盖比例。
其中,待识别软件行为指的是需要识别是否安全的软件行为,可以是未知软件的软件行为,或者是已知软件的未知软件行为等。
例如,在上报软件行为信息的众多终端中,统计出现相同软件行为、且该软件行为是待识别软件行为的终端的终端个数,以及统计出现该软件行为的终端个数所占该众多终端的终端覆盖比例。
103、依据统计得到的终端个数和终端覆盖比例,标记待识别软件行为是否为疑似恶意行为。
对于本实施例,收集软件的大量行为数据,然后通过统计分析的方法,依据出现待识别软件行为的终端个数和终端覆盖比例,设定阀值对该待识别软件行为进行预判和标记。基于恶意软件行为是少量、非普遍性的特点,对于已知软件或者未知软件的待识别软件行为,如果大多数终端都发生,那么可初步认为是正常行为,如果只有少量终端发生,那么对该待识别软件行为标记为疑似恶意行为。
104、利用待识别软件行为的标记结果,对待识别软件行为进行安全识别。
如果待识别软件行为被标记为疑似恶意行为,那么可输出相应的提示信息,用于提示待识别软件为疑似恶意行为,后续可通过人工审核的流程对该待识别软件行为进行最终的确认,进而得到最终的安全识别结果。
通过应用本实施例提供的一种软件行为的安全检测方法,与现有技术相比,本实施例基于恶意软件行为是少量、非普遍性的行为,对于已知软件或者未知软件的未知软件行为,如果很少终端会发生,即可认为是疑似恶意行为。通过这种大概率的统计分析方式,在面对未知软件的一些行为、或者已知软件的未知行为,且黑名单中并没有相应的恶意行为特征的情况下,也能进行有效的软件行为安全的判别,进而可做出及时安全防护响应,保证信息安全。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例方法的实施过程,提供了另一种软件行为的安全检测方法,如图2所示,该方法包括:
201、按照终端用户属性的不同维度划分不同单位的各个终端。
其中,终端用户属性可包括终端用户所属行业、终端用户所在企业、终端用户年龄和标识id号等。在本实施例中,可按照终端用户属性的不同维度划分得到不同行业、不同企业、不同个人等的各个终端。
202、收集不同区域内不同单位的各个终端上报的软件行为信息。
其中,软件行为信息包括与文件操作、进程操作、注册表操作、网络操作、驱动操作中一个或多个相关的软件行为内容。文件操作包括软件对文件的读取、写入、改名等操作;进程操作包括软件对进程的启动、停止、注入、启动线程等操作;注册表操作包括软件对注册表的读取、写入等操作;网络操作包括软件更改网络域名、网络协议等操作;驱动操作包括软件对驱动的安装、卸载等操作。
各区域可按照不同国家、不同省份、不同城市、不同街道等规则进行划分。例如,收集不同城市内所属不同行业的各个企业和个人的终端上报的软件行为数据。
按照上述这种方式收集得到的各个终端上报的软件行为信息,使得大数据分布更加均匀,考虑了多种维度,可保证后续基于大数据进行软件行为安全性分析的准确性,可使得最终结果具有全面性,适用于不同区域内不同单位的各个终端。
203、根据收集到的软件行为信息,统计出现待识别软件行为的终端个数和终端覆盖比例。
为了说明终端覆盖比例的统计过程,作为一种可选方式,根据收集到的软件行为信息,统计出现待识别软件行为的终端覆盖比例的步骤,具体可包括:统计上报软件行为信息的各个终端的总个数;然后将出现待识别软件行为的终端个数除以该总个数,得到出现待识别软件行为的终端覆盖比例。例如,不同区域内不同单位上报软件行为信息的终端的总个数为a,而其中出现待识别软件行为的终端个数为b,那么出现待识别软件行为的终端覆盖比例为b/a。通过这种方式可准确统计得到出现待识别软件行为的终端覆盖比例。
在统计得到出现待识别软件行为的终端个数和终端覆盖比例之后,下面分两种情况(步骤204a和步骤204b)进行说明。
204a、若统计得到的终端个数大于或等于预设个数阈值、和/或终端覆盖比例大于或等于预设比例阈值,则将待识别软件行为标记为疑似正常行为。
其中,预设个数阈值和预设比例阈值可根据实际需求预先设定,这两个阈值用于确定是否大多数终端都出现待识别软件行为。
例如,基于恶意攻击行为通常都是有针对性、量少、非普遍性的特点,其软件行为出现的终端个数和终端覆盖比例都会很小。如果出现软件行为a的终端个数大于一定个数阈值、和/或终端覆盖比例大于一定比例阈值,那么说明大多数终端都出现了软件行为a,可将软件行为a标记为疑似正常行为。
与步骤204a并列的步骤204b、若统计得到的终端个数小于预设个数阈值、且终端覆盖比例小于预设比例阈值,则将待识别软件行为标记为疑似恶意行为。
例如,如果出现软件行为b的终端个数小于一定个数阈值、且相应的终端覆盖比例也小于一定比例阈值,那么说明只有少数终端出现了软件行为b,其符合恶意行为具备的少量、非普遍性的特点,因此可将软件行为b标记为疑似恶意行为。
进一步的,由于出现特定软件行为的终端往往时间上并不统一,因此为了提高本实施例中软件行为安全判别的准确性,作为一种可选方式,可将预设时间段内统计得到出现待识别软件行为的终端个数和/或终端覆盖比例,分别与各自对应的预设阈值进行比较,进而标记待识别软件行为是否为疑似恶意行为。
其中,预设时间段可根据统计时长的业务需求预先设置。例如,123.exe这个软件进程在1小时内有1000万终端上报软件行为,但是突然该软件进程有个未知软件行为上报,且上报的终端在一定时长范围内个数极少,说明该未知软件行为很有可能是恶意攻击行为,这时依据数据统计结果和设定的阈值对该未知软件行为预判和标记。
需要说明的是,为了进一步提高本实施例方法中软件行为安全判别的准确性,可通过分析优化大数据统计逻辑以及设置更加合理的阈值等,以降低误判的可能性。
205、利用待识别软件行为的标记结果,对待识别软件行为进行安全识别。
对于本实施例,利用这种基于大数据量,大样本集的数据统计和概率统计的软件行为判定方法,可从大概率的统计分析得到判定结果,但可认为是初步判定结果,因此后续可利用待识别软件行为的标记结果,对待识别软件行为进行进一步的安全识别。其中一种可选方式是将待识别软件行为的标记结果发送给审核客户端,以使得审核客户端根据该标记结果和待识别软件行为对应任务调用的栈特征信息,对待识别软件行为进行安全识别;然后接收审核客户端发送的对待识别软件行为的安全识别结果,若确定待识别软件行为是恶意行为,则将待识别软件行为的安全识别结果发送给全网各个终端,以便在全网进行安全防御。
其中,审核客户端用于进一步审核待识别软件行为实际是否为恶意行为。栈特征信息中可包含执行该待识别软件行为而在内存中的调用特征,具体可包含任务调用执行该待识别软件行为时的各个功能接口函数以及这些功能接口函数之间的调用顺序。
例如,可通过终端配置的特定客户端获取得到待识别软件行为对应任务调用的栈特征信息,并结合符合用户主动操作时上述这些功能接口函数之间的正常调用顺序,判断待识别软件行为是否是用户主动操作的行为,具体判断栈特征信息中此时的这些功能接口函数之间的调用顺序是否与用户正常调用顺序匹配,如果匹配,那么就可确定是用户主动操作的行为,说明该待识别软件行为是用户主动操作的,通常用户主动操作的软件行为属于合法行为,因此可判定该待识别软件行为是正常行为;如果这些功能接口函数之间的调用顺序与该用户正常调用顺序不匹配,即可确定是非用户主动操作的行为,如果加上待识别软件行为的标记结果为疑似恶意行为,那么基本上可确定该待识别软件行为是恶意行为,进一步可由人工审核进行最终确认,并在全网进行安全防御,即将该待识别软件行为的相关特征添加在黑名单中,以便后续其他终端做到及时检测防御。
通过本可选方式,由审核客户端根据该标记结果和待识别软件行为对应任务调用的栈特征信息,可实现对待识别软件行为进行更加准确的安全识别,进而得到更加准确的软件行为安全识别结果。
除了上述按照待识别软件行为的标记结果进行进一步安全识别的可选方式以外,作为另一种可选方式,步骤205具体还可包括:获取出现待识别软件行为的时间轴变化趋势;和/或获取出现待识别软件行为的终端所在的地域分布信息;和/或获取待识别软件行为对应软件的软件版权信息;和/或获取待识别软件行为对应软件的数字签名信息;最后利用待识别软件行为的标记结果,并结合该时间轴变化趋势、和/或该地域分布信息、和/或该软件版权信息、和/或该数字签名信息,对待识别软件行为进行安全识别。
其中,时间轴变化趋势用于确定出现待识别软件行为的周期变化趋势,可记录收集各个终端上报软件行为信息的时间点,然后基于该记录的时间点确定待识别软件行为的时间轴变化趋势。地域分布信息中包含出现该待识别软件行为的终端所在的地域分布情况,如都分布在哪些省市等,可通过终端网络ip地址或终端定位信息等进行获取。软件版权信息包括待识别软件行为对应软件所属的软件版权情况,可通过终端上的特定客户端收集获取。数字签名信息包括待识别软件行为对应软件程序的数字签名情况,同样可通过终端上的特定客户端收集获取。
在本可选方式中,主要基于大多数终端出现该软件行为的方式进行安全判别,并可以通过统计软件行为发生的时间轴变化趋势,行为终端的地域分布,软件版权和数字签名信息等,来辅助判断,从而得到更加准确的软件行为安全识别结果。
为了说明上述待识别软件行为的标记结果,并结合该时间轴变化趋势、和/或该地域分布信息、和/或该软件版权信息、和/或该数字签名信息,对待识别软件行为进行安全识别的过程,作为一种优选方式,该过程具体可包括:若待识别软件行为的标记结果为疑似恶意行为,且该时间轴变化趋势异常、和/或出现该待识别软件行为的终端所在的地域分布异常、和/或该待识别软件行为对应软件的软件版权非法、和/或待识别软件行为对应软件程序的数字签名非法,则确定待识别软件行为是恶意行为。
例如,待识别软件行为的标记结果为疑似恶意行为,且该软件行为发生的时间轴变化趋势异常(如在每个时间间隔内出现该软件行为的终端个数极少等),和/或出现该待识别软件行为的终端所在的地域分布异常(如分布地域过于集中等),和/或该待识别软件行为对应软件的软件版权非法(软件版权与该软件实际对应的正规软件版权不匹配等)、和/或待识别软件行为对应软件程序的数字签名非法(如数字签名缺失、或数字签名与该软件程序实际对应的正规数字签名不匹配等),在这种情况下,即可基本上判定待识别软件行为是恶意行为,进一步可由人工审核进行最终确认,并在全网进行安全防御。
本实施例提供的另一种软件行为的安全检测方法,基于黑客的恶意行为是少量、非普遍性的行为,可通过云平台收集不同区域内不同单位的各个终端上报的软件行为信息,通过大数据对出现的次数、比例和阈值来判断恶意行为,并对该行为的信息进行标记,最终在全网进行防御。能够更全面、更精准的判断黑白软件行为,防止未知恶意行为在网络中的快速传播,与现有技术方式相比,提高了软件行为安全判断的准确性,并且可预防黑客的恶意行为对系统造成危害。
进一步的,作为图1和图2所示方法的具体实现,本实施例提供了一种软件行为的安全检测装置,如图3所示,该装置包括:收集模块31、统计模块32、标记模块33、识别模块34。
收集模块31,可用于收集各个终端上报的软件行为信息;
统计模块32,可用于根据软件行为信息,统计出现待识别软件行为的终端个数和终端覆盖比例;
标记模块33,可用于依据终端个数和终端覆盖比例,标记待识别软件行为是否为疑似恶意行为;
识别模块34,可用于利用待识别软件行为的标记结果,对待识别软件行为进行安全识别。
在具体的应用场景中,标记模块33,具体可用于若终端个数大于或等于预设个数阈值、和/或终端覆盖比例大于或等于预设比例阈值,则将待识别软件行为标记为疑似正常行为;若终端个数小于预设个数阈值、且终端覆盖比例小于预设比例阈值,则将待识别软件行为标记为疑似恶意行为。
在具体的应用场景中,收集模块31,具体可用于按照终端用户属性的不同维度划分不同单位的各个终端;收集不同区域内不同单位的各个终端上报的软件行为信息,软件行为信息包括与文件操作、进程操作、注册表操作、网络操作、驱动操作中一个或多个相关的软件行为内容。
在具体的应用场景中,统计模块32,具体可用于统计上报软件行为信息的终端的总个数;将出现待识别软件行为的终端个数除以总个数,得到出现待识别软件行为的终端覆盖比例。
在具体的应用场景中,识别模块34,具体可用于将标记结果发送给审核客户端,以使得审核客户端根据标记结果和待识别软件行为对应任务调用的栈特征信息,对待识别软件行为进行安全识别;接收审核客户端发送的对待识别软件行为的安全识别结果,若确定待识别软件行为是恶意行为,则将待识别软件行为的安全识别结果发送给全网各个终端,以便在全网进行安全防御。
在具体的应用场景中,识别模块34,具体可用于获取出现待识别软件行为的时间轴变化趋势;和/或获取出现待识别软件行为的终端所在的地域分布信息;和/或获取待识别软件行为对应软件的软件版权信息;和/或获取待识别软件行为对应软件程序的数字签名信息;利用标记结果,并结合时间轴变化趋势、和/或地域分布信息、和/或软件版权信息、和/或数字签名信息,对待识别软件行为进行安全识别。
在具体的应用场景中,识别模块34,具体还可用于若标记结果为疑似恶意行为,且时间轴变化趋势异常、和/或出现待识别软件行为的终端所在的地域分布异常、和/或待识别软件行为对应软件的软件版权非法、和/或待识别软件行为对应软件程序的数字签名非法,则确定待识别软件行为是恶意行为。
需要说明的是,本实施例提供的一种软件行为的安全检测装置所涉及各功能单元的其它相应描述,可以参考图1至图2中的对应描述,在此不再赘述。
基于上述如图1和图2所示方法,相应的,本实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1和图2所示的软件行为的安全检测方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该待识别软件产品可以存储在一个非易失性存储介质(可以是cd-rom,u盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1和图2所示的方法,以及图3所示的虚拟装置实施例,为了实现上述目的,本实施例还提供了一种软件行为安全检测的实体设备,具体可以为个人计算机,智能手机、平板电脑、智能手表,服务器,或者其它网络设备等,该实体设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1和图2所示的软件行为的安全检测方法。
可选的,该实体设备还可以包括用户接口、网络接口、摄像头、射频(radiofrequency,rf)电路,传感器、音频电路、wi-fi模块等等。用户接口可以包括显示屏(display)、输入单元比如键盘(keyboard)等,可选用户接口还可以包括usb接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如wi-fi接口)等。
本领域技术人员可以理解,本实施例提供的一种软件行为安全检测的实体设备结构并不构成对该实体设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理上述软件行为安全检测的实体设备硬件和待识别软件资源的程序,支持信息处理程序以及其它待识别软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与信息处理实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现。通过应用本申请的技术方案,基于黑客的恶意行为是少量、非普遍性的行为,可通过云平台收集不同区域内不同单位的各个终端上报的软件行为信息,通过大数据对出现的次数、比例和阈值来判断恶意行为,并对该行为的信息进行标记,最终在全网进行防御。能够更全面、更精准的判断黑白软件行为,防止未知恶意行为在网络中的快速传播,与现有技术方式相比,提高了软件行为安全判断的准确性,并且可预防黑客的恶意行为对系统造成危害。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!