误报行为处理方法及装置与流程

本发明涉及安全技术领域，特别是涉及一种误报行为处理方法及装置。

背景技术：

随着互联网技术的高速发展，为了方便用户的生活和工作，越来越多的应用程序出现并被广泛应用到终端设备上。因此，为了避免终端设备数据泄露，造成用户财产损失，终端设备数据安全变防护变得越来越重要。在实际应用中，通常基于内存指令集及行为堆栈匹配规则库为标准对终端设备的行为进行安全检测，从而为终端安全保驾护航。当检测尺度较为严格时，会存在行为安全检测误报的情况。为了保证终端设备防护的效果以及降低终端设备防护的误报率，通常需要对安全检测误报事件进程处理。

目前，通常采用人工方式对安全检测误报事件进行处理。然而，行为误报事件较多，误报行为堆栈数据较多，若通过人工方式对安全检测误报事件进行处理，会消耗大量的人力成本和时间，且容易发生错误，造成误报行为堆栈数据的处理速度较慢，以及处理不准确，导致误报行为处理效率较低以及准确率较低。

技术实现要素：

有鉴于此，本发明提供一种误报行为处理方法及装置，主要目的在于能够实现自动处理误报行为，提升误报行为处理效率和准确率，并能够保证终端设备防护的效果以及降低终端设备防护的误报率。

依据本发明第一方面，提供了一种误报行为处理方法，包括：

接收误报行为处理指令，所述处理指令包括安全检测的误报行为对应的行为堆栈数据；

根据所述行为堆栈数据确定去误报行为堆栈匹配规则；

根据所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库。

可选地，所述根据所述行为堆栈数据确定去误报行为堆栈匹配规则，包括：

根据所述行为堆栈数据对应的操作单元，计算所述行为堆栈数据对应的覆盖比例；

根据所述覆盖比例确定所述误报行为的共同行为堆栈特征，并根据所述共同行为堆栈特征确定去误报行为堆栈匹配规则。

进一步地，所述根据所述行为堆栈数据对应的操作单元，计算所述行为堆栈数据对应的覆盖比例之前，所述方法还包括：

对所述行为堆栈数据进行分析，得到所述误报行为的行为信息；

根据所述行为信息对所述行为堆栈数据进行去重处理，所述行为信息包括进程标识、违规类型、进程命令行、上报终端、上报时间、操作对象中的一种或者多种；

所述根据所述行为堆栈数据对应的操作单元，计算所述行为堆栈数据对应的覆盖比例，包括：

根据去重后的行为堆栈数据对应的操作单元，计算所述去重后的行为堆栈数据对应的覆盖比例。

可选地，所述操作单元包括模块全路径名、函数名和函数偏移中的一种或多种，所述根据去重后的行为堆栈数据对应的操作单元，计算所述去重后的行为堆栈数据对应的覆盖比例，包括：

根据所述模块全路径名，和/或，所述函数名，和/或，所述函数偏移，计算所述去重后的行为堆栈数据对应的覆盖比例。

进一步地，所述根据所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库之前，所述方法还包括：

利用预设行为堆栈数据库对所述去误报行为堆栈匹配规则进行验证；

所述根据所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库，包括：

根据验证结果和所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库。

可选地，所述利用预设行为堆栈数据库对所述去误报行为堆栈匹配规则进行验证，包括：

若所述去误报行为堆栈匹配规则为防止白行为被误报为黑行为的行为堆栈匹配规则，则将所述防止白行为被误报为黑行为的行为堆栈匹配规则与预设黑行为堆栈数据库中的黑行为堆栈数据进行匹配；

若匹配结果为匹配失败，则确定所述防止白行为被误报为黑行为的行为堆栈匹配规则通过验证；

若匹配结果为匹配成功，则确定所述防止白行为被误报为黑行为的行为堆栈匹配规则未通过验证；

所述根据验证结果和所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库，包括：

若验证结果为所述防止白行为被误报为黑行为的行为堆栈匹配规则通过验证，则在用于安全检测的白行为堆栈匹配规则库中添加所述防止白行为被误报为黑行为的行为堆栈匹配规则。

可选地，所述利用预设行为堆栈数据库对所述去误报行为堆栈匹配规则进行验证，包括：

若所述去误报行为堆栈匹配规则为防止黑行为被误报为白行为的行为堆栈匹配规则，则将所述防止黑行为被误报为白行为的行为堆栈匹配规则与预设白行为堆栈数据库中的白行为堆栈数据进行匹配；

若匹配结果为匹配成功，则确定所述防止黑行为被误报为白行为的行为堆栈匹配规则未通过验证；

若匹配结果为匹配失败，则确定所述防止黑行为被误报为白行为的行为堆栈匹配规则通过验证；

所述根据验证结果和所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库，包括：

若验证结果为所述防止黑行为被误报为白行为的行为堆栈匹配规则通过验证，则在用于安全检测的白行为堆栈匹配规则库中删除所述防止白行为被误报为黑行为的行为堆栈匹配规则。

依据本发明第二方面，提供了一种误报行为处理装置，包括：

接收单元，用于接收误报行为处理指令，所述处理指令包括安全检测的误报行为对应的行为堆栈数据；

确定单元，用于根据所述行为堆栈数据确定去误报行为堆栈匹配规则；

更新单元，用于根据所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库。

可选地，所述确定单元包括：

计算模块，用于根据所述行为堆栈数据对应的操作单元，计算所述行为堆栈数据对应的覆盖比例；

确定模块，用于根据所述覆盖比例确定所述误报行为的共同行为堆栈特征，并根据所述共同行为堆栈特征确定去误报行为堆栈匹配规则。

进一步地，所述确定单元还包括：分析模块和处理模块，

所述分析模块，用于对所述行为堆栈数据进行分析，得到所述误报行为的行为信息；

所述处理模块，用于根据所述行为信息对所述行为堆栈数据进行去重处理，所述行为信息包括进程标识、违规类型、进程命令行、上报终端、上报时间、操作对象中的一种或者多种；

所述计算模块，具体用于根据去重后的行为堆栈数据对应的操作单元，计算所述去重后的行为堆栈数据对应的覆盖比例。

可选地，所述计算模块，具体用于当所述操作单元包括模块全路径名、函数名和函数偏移中的一种或多种时，根据所述模块全路径名，和/或，所述函数名，和/或，所述函数偏移，计算所述去重后的行为堆栈数据对应的覆盖比例。

进一步地，所述装置还包括：验证单元，

所述验证单元，用于利用预设行为堆栈数据库对所述去误报行为堆栈匹配规则进行验证；

所述更新单元，具体用于根据验证结果和所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库。

可选地，所述验证单元，具体用于若所述去误报行为堆栈匹配规则为防止白行为被误报为黑行为的行为堆栈匹配规则，则将所述防止白行为被误报为黑行为的行为堆栈匹配规则与预设黑行为堆栈数据库中的黑行为堆栈数据进行匹配；若匹配结果为匹配失败，则确定所述防止白行为被误报为黑行为的行为堆栈匹配规则通过验证；若匹配结果为匹配成功，则确定所述防止白行为被误报为黑行为的行为堆栈匹配规则未通过验证；

所述更新单元，具体用于若验证结果为所述防止白行为被误报为黑行为的行为堆栈匹配规则通过验证，则在用于安全检测的白行为堆栈匹配规则库中添加所述防止白行为被误报为黑行为的行为堆栈匹配规则。

可选地，所述验证单元，具体用于若所述去误报行为堆栈匹配规则为防止黑行为被误报为白行为的行为堆栈匹配规则，则将所述防止黑行为被误报为白行为的行为堆栈匹配规则与预设白行为堆栈数据库中的白行为堆栈数据进行匹配；若匹配结果为匹配成功，则确定所述防止黑行为被误报为白行为的行为堆栈匹配规则未通过验证；若匹配结果为匹配失败，则确定所述防止黑行为被误报为白行为的行为堆栈匹配规则通过验证；

所述更新单元，具体用于若验证结果为所述去误报行为堆栈匹配规则通过验证，则在用于安全检测的白行为堆栈匹配规则库中删除所述防止黑行为被误报为白行为的行为堆栈匹配规则。

依据本发明第三方面，提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现以下步骤：

接收误报行为处理指令，所述处理指令包括安全检测的误报行为对应的行为堆栈数据；

根据所述行为堆栈数据确定去误报行为堆栈匹配规则；

根据所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库。

依据本发明第四方面，提供了一种计算机设备，包括处理器、存储器、通信接口和通信总线所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信，所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行以下步骤：

接收误报行为处理指令，所述处理指令包括安全检测的误报行为对应的行为堆栈数据；

根据所述行为堆栈数据确定去误报行为堆栈匹配规则；

根据所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库。

本发明提供一种误报行为处理方法及装置，与目前采用人工方式处理行为安全检测的误报情况相比，本发明在接收误报行为处理指令，所述处理指令包括安全检测的误报行为对应的行为堆栈数据时，能够根据所述行为堆栈数据确定去误报行为堆栈匹配规则；并能够根据所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库，从而能够实现自动处理误报行为，提升误报行为处理效率和准确率，并能够保证终端设备防护的效果以及降低终端设备防护的误报率。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种误报行为处理方法的流程示意图；

图2示出了本发明实施例提供的一种去误报事件的完整处理的流程示意图；

图3示出了本发明实施例提供的另一种误报行为处理方法的流程示意图；

图4示出了本发明实施例提供的又一种误报行为处理方法的流程示意图；

图5示出了本发明实施例提供的一种误报行为处理装置的结构示意图；

图6示出了本发明实施例提供的另一种误报行为处理装置的结构示意图；

图7示出了本发明实施例提供的一种计算机设备的实体结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

如背景技术所述，目前，常采用人工方式对安全检测误报事件进行处理。然而，行为误报事件较多，误报行为堆栈数据较多，若通过人工方式对安全检测误报事件进行处理，会消耗大量的人力成本和时间，且容易发生错误，造成误报行为堆栈数据的处理速度较慢，以及处理不准确，导致误报行为处理效率较低以及准确率较低。

为了解决上述技术问题，本发明实施例提供了一种误报行为处理方法，如图1所示，所述方法包括：

101、接收误报行为处理指令。

其中，所述处理指令包括安全检测的误报行为对应的行为堆栈数据。所述误报行为可以被误报为黑行为的白行为，也可以为被误报为白行为的黑行为，所述行为堆栈数据可以为应用程序执行所述操作行为时调用的系统功能函数接口序列，属于动态内存数据，具体地，所述行为堆栈数据可以为从运营平台获取的。

本发明实施例的执行主体可以为行为堆栈处理平台，所述行为堆栈处理平台用于对行为堆栈数据进行统计、分析以及更新用于安全检测的行为堆栈匹配规则库。当运营平台检测到行为误报事件时，能够收集误报行为的行为堆栈数据，当从运营平台获取行为堆栈数据并触发误报行为的行为堆栈数据导入或者上传按钮时，所述误报行为处理指令被触发，此时所述行为堆栈处理平台能够接收到所述误报行为处理指令，所述行为堆栈数据能够自动导入到所述行为堆栈处理平台，并对所述误报行为进行去误报处理。

102、根据所述行为堆栈数据确定去误报行为堆栈匹配规则。

其中，所述去误报行为堆栈匹配规则为能够成功匹配误报行为的匹配规则，能够避免误报行为在后续安全检测过程中继续被误报。

例如，用于安全检测的行为堆栈匹配规则1为：在行为堆栈数据中随机出现一次模块全路径名为c：\windows\system32\user32.dll且函数名为dispatchmessagew且所在的函数偏移小于0x10，即可认为是正常的文件打开行为。而当存在正常的文件打开行为1、正常的文件打开行为2时，文件打开行为1、文件打开行为2对应的行为堆栈数据中随机出现一次模块全路径名为c：\windows\system32\user32.dll且函数名为dispatchmessagew的数据，根据行为堆栈匹配规则1对文件打开行为1、文件打开行为2进行匹配时，会将文件打开行为1、文件打开行为2误报为危险的文件打开行为，此时，文件打开行为1、文件打开行为2均为误报行为。根据文件打开行为1、文件打开行为2分别对应的行为堆栈数据，确定的去误报行为堆栈匹配规则2可以为：在行为堆栈数据中随机出现一次模块名为user32.dll且函数名为dispatchmessagew即可认为正常的文件打开行为；通过去误报行为堆栈匹配规则2在后续安全检测时，能够成功匹配文件打开行为1、文件打开行为2，避免将文件打开行为1、文件打开行为2检测为危险行为。

103、根据所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库。

对于本发明实施例，所述步骤103的具体过程可以为：在所述行为堆栈匹配规则库中添加或者删除所述去误报行为堆栈匹配规则。具体地，当所述去误报行为堆栈匹配规则为防止白行为被误报为黑行为的行为堆栈匹配规则时，可以在白行为堆栈匹配规则库中添加所述去误报行为堆栈匹配规则；当所述去误报行为堆栈匹配规则为防止黑行为被误报为白行为的行为堆栈匹配规则时，在白行为堆栈匹配规则库中删除所述去误报行为堆栈匹配规则。

需要说明的是，本发明实施例还提供去误报事件的完整处理流程，该完整流程的执行主体可以为运营平台，步骤101-103的所涉及的处理流程可以为去误报事件的完整处理流程的涉及的一个环节，如图2所示：

1、误报事件触发：运营平台在检测到行为误报事件后，查找误报行为的行为堆栈日志；

2、运营组确认：将误报行为的行为堆栈日志展示给运营组的技术人员进行查看，并提示用户一起确认行为误报事件；

3、运营组准备复现环境：在行为误报事件确认后，提示运营组提供误报行为事件对应的重现环境、验证环境或用户环境相关信息；

4、研发组修复bug：在确定运营组完成相应的环境后，提示研发组修复行为误报事件、并触发行为堆栈处理平台处理误报行为的行为堆栈数据，更新行为堆栈匹配规则文件；

5、研发组提交规则文件：在行为堆栈匹配规则文件通过上述环境的验证后，提示研发组将行为堆栈匹配规则文件提交给测试组；

6、测试组验证通过：在确认行为堆栈匹配规则库通过测试组的验证后，将行为堆栈匹配规则文件提交给运营组进行验证；

7、运营生成环境验证通过：在确认行为堆栈匹配规则文件通过运营生产环境的验证后，通过服务端将行为堆栈匹配规则库更新到所有终端；

8、去误报事件处理完成。

本发明实施例提供的一种误报行为处理方法，与目前采用人工方式处理行为安全检测的误报情况相比，本发明实施例在接收误报行为处理指令，所述处理指令包括安全检测的误报行为对应的行为堆栈数据时，能够根据所述行为堆栈数据确定去误报行为堆栈匹配规则；并能够根据所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库，从而能够实现自动处理误报行为，提升误报行为处理效率和准确率，并能够保证终端设备防护的效果以及降低终端设备防护的误报率。

进一步的，为了更好的说明上述误报行为处理的过程，作为对上述实施例的细化和扩展，本发明实施例提供了另一种误报行为处理方法，如图3所示，但不限于此，具体如下所示：

201、接收误报行为处理指令。

其中，所述处理指令包括安全检测的误报行为对应的行为堆栈数据。

202、对所述行为堆栈数据进行分析，得到所述误报行为的行为信息，并根据所述行为信息对所述行为堆栈数据进行去重处理。

其中，所述行为信息可以包括进程标识、违规类型、进程命令行、上报终端、上报时间、操作对象中的一种或者多种。通过对所述行为堆栈数据进行去重处理，能够减少行为堆栈数据量，提升去误报行为堆栈匹配规则的确定效率。

203、根据去重后的行为堆栈数据对应的操作单元，计算所述去重后的行为堆栈数据对应的覆盖比例。

其中，所述覆盖比例可以为行为堆栈匹配规则通过搜索匹配计算得到误报行为的行为堆栈数据后覆盖的比例。所述覆盖比例具体可以为被行为堆栈匹配规则覆盖的行为堆栈数据，占所有的行为堆栈数据的比例，所述被行为堆栈匹配规则覆盖的行为堆栈数据可以为能够被行为堆栈匹配规则匹配到的行为堆栈数据。所述操作单元包括模块全路径名、函数名和函数偏移中的一种或多种，所述步骤203具体可以包括：根据所述模块全路径名，和/或，所述函数名，和/或，所述函数偏移，计算所述去重后的行为堆栈数据对应的覆盖比例。此外，所述操作单元可以连续使用，也可以单独使用。所述模块全路径名可以为计算覆盖比例的必选非空要素，例如，模块全路径名可以为c：\windows\system32\shcore.dll、函数名可以为shcreatememstream、函数偏移可以为0x36f。

204、根据所述覆盖比例确定所述误报行为的共同行为堆栈特征，并根据所述共同行为堆栈特征确定去误报行为堆栈匹配规则。

例如，根据操作单元计算的覆盖比例为80％，80％的误报行为的共同行为堆栈特征为：随机出现一次模块全路径名为c：\windows\system32\shcore.dll且函数名为shcreatememstream的数据，则根据共同行为堆栈特征确定的去误报行为堆栈匹配规则可以为：在行为堆栈数据中随机出现一次模块全路径名为c：\windows\system32\shcore.dll且函数名为shcreatememstream，即可认为是正常行为。

205、利用预设行为堆栈数据库对所述去误报行为堆栈匹配规则进行验证。

对于本发明实施例，误报行为可以为被误报为黑行为的白行为，所述预设行为堆栈数据库可以预设黑行为堆栈数据库，为了防止加入黑行为的行为堆栈匹配规则，导致黑行为漏报，所述步骤205具体可以包括：若所述去误报行为堆栈匹配规则为防止白行为被误报为黑行为的行为堆栈匹配规则，则将所述防止白行为被误报为黑行为的行为堆栈匹配规则与预设黑行为堆栈数据库中的黑行为堆栈数据进行匹配；若匹配结果为匹配失败，则确定所述防止白行为被误报为黑行为的行为堆栈匹配规则通过验证；若匹配结果为匹配成功，则确定所述防止白行为被误报为黑行为的行为堆栈匹配规则未通过验证。

此外，误报行为可以为被误报为白行为的黑行为，所述预设行为堆栈数据库可以预设白行为堆栈数据库，为了防止错误删除白行为的行为堆栈匹配规则，防止因删除白行为的行为堆栈匹配规则，导致误报，所述步骤205具体可以包括：若所述去误报行为堆栈匹配规则为防止黑行为被误报为白行为的行为堆栈匹配规则，则将所述防止黑行为被误报为白行为的行为堆栈匹配规则与预设白行为堆栈数据库中的白行为堆栈数据进行匹配；若匹配结果为匹配成功，则确定所述防止黑行为被误报为白行为的行为堆栈匹配规则未通过验证；若匹配结果为匹配失败，则确定所述防止黑行为被误报为白行为的行为堆栈匹配规则通过验证。

206、根据验证结果和所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库。

对于本发明实施例，当误报行为为被误报为黑行为的白行为时，为了防止加入黑行为的行为堆栈匹配规则，导致黑行为漏报，所述步骤206，具体可以包括：若验证结果为所述防止白行为被误报为黑行为的行为堆栈匹配规则通过验证，则在用于安全检测的白行为堆栈匹配规则库中添加所述去误报行为堆栈匹配规则。当误报行为为被误报为白行为的黑行为时，所述步骤206，具体可以包括：若验证结果为所述防止黑行为被误报为白行为的行为堆栈匹配规则通过验证，则在用于安全检测的白行为堆栈匹配规则库中删除所述防止黑行为被误报为白行为的行为堆栈匹配规则。

对于本发明实施例，为了更好的理解技术方案，提供了如下应用场景，但不限定于此，如图4所示，包括：

1、控制台按照筛选条件获取误报行为的行为堆栈数据；

2、将所述行为堆栈数据导入行为堆栈处理平台；

3、行为堆栈处理平台对所述行为堆栈数据进行分析，数据分析包括：根据软件/系统进程名称、违规类型、同一栈信息对所述行为堆栈数据进行去重处理，根据进程命令行、上报终端、上报时间、操作对象对所述行为堆栈数据进行信息合并处理；统计处理后的行为堆栈数据；支持搜索和比例覆盖，比例覆盖包括：选择部分栈字符，查看收集的栈通用比例(覆盖比例)，设置比例，找出收集栈的通用比例；

4、栈管理。栈管理包括：添加栈规则，栈规则入库，栈规则管理，栈规则回归。添加栈规则可以为根据行为堆栈数据确定行为堆栈匹配规则；栈规则入库可以将所述行为堆栈匹配规则更新到行为堆栈匹配规则库，具体可以采用规则自动更新方式进行更新；包括解密、规则更新、文件加密；规则管理包括：进程与软件管理和规则管理，规则管理包括公/私库编辑、合并，以及黑白库管理；栈规则回归包括：增加栈-防漏报、与黑库对比；删除栈-防误报，与之前白库比对；

5、导出测试。导出规则文件，具体导出与当前终端版本相对应的规则文件。

本发明实施例提供的另一种误报行为处理方法，与目前采用人工方式处理行为安全检测的误报情况相比，本发明实施例在接收误报行为处理指令，所述处理指令包括安全检测的误报行为对应的行为堆栈数据时，能够根据所述行为堆栈数据确定去误报行为堆栈匹配规则；并能够根据所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库，从而能够实现自动处理误报行为，提升误报行为处理效率和准确率，并能够保证终端设备防护的效果以及降低终端设备防护的误报率。

进一步地，作为图1的具体实现，本发明实施例提供了一种误报行为处理装置，如图5所示，所述装置包括：接收单元31、确定单元32和更新单元33。

所述接收单元31，可以用于接收误报行为处理指令，所述处理指令包括安全检测的误报行为对应的行为堆栈数据。所述接收单元31是本装置中接收误报行为处理指令的主要功能模块。

所述确定单元32，可以用于根据所述行为堆栈数据确定去误报行为堆栈匹配规则。所述确定单元32是本装置中根据所述行为堆栈数据确定去误报行为堆栈匹配规则的主要功能模块，也是核心模块。

所述更新单元33，可以用于根据所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库。所述更新单元33是本装置中根据所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库的主要功能模块。

对于本发明实施例，为了确定去误报行为堆栈匹配规则，所述确定单元32，可以包括：计算模块321和确定模块322，如图6所示。

所述计算模块321，可以用于根据所述行为堆栈数据对应的操作单元，计算所述行为堆栈数据对应的覆盖比例。

所述确定模块322，可以用于根据所述覆盖比例确定所述误报行为的共同行为堆栈特征，并根据所述共同行为堆栈特征确定去误报行为堆栈匹配规则。

对于本发明实施例，为了提升去误报行为堆栈匹配规则的确定效率，所述确定单元32还可以包括：分析模块323和处理模块324。

所述分析模块323，可以用于对所述行为堆栈数据进行分析，得到所述误报行为的行为信息。

所述处理模块324，可以用于根据所述行为信息对所述行为堆栈数据进行去重处理，所述行为信息包括进程标识、违规类型、进程命令行、上报终端、上报时间、操作对象中的一种或者多种；

所述计算模块321，具体可以用于根据去重后的行为堆栈数据对应的操作单元，计算所述去重后的行为堆栈数据对应的覆盖比例。

在具体应用场景中，所述计算模块321，具体可以用于当所述操作单元包括模块全路径名、函数名和函数偏移中的一种或多种时，根据所述模块全路径名，和/或，所述函数名，和/或，所述函数偏移，计算所述去重后的行为堆栈数据对应的覆盖比例。

对于本发明实施例，为了避免更新后的行为堆栈匹配规则库发生检测漏报或者误报的情况，所述装置还包括：验证单元34。

所述验证单元34，可以用于利用预设行为堆栈数据库对所述去误报行为堆栈匹配规则进行验证。

所述更新单元33，具体可以用于根据验证结果和所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库。

在具体应用场景中，所述验证单元34，具体可以用于若所述去误报行为堆栈匹配规则为防止白行为被误报为黑行为的行为堆栈匹配规则，则将所述防止白行为被误报为黑行为的行为堆栈匹配规则与预设黑行为堆栈数据库中的黑行为堆栈数据进行匹配；若匹配结果为匹配失败，则确定所述防止白行为被误报为黑行为的行为堆栈匹配规则通过验证；若匹配结果为匹配成功，则确定所述防止白行为被误报为黑行为的行为堆栈匹配规则未通过验证；

所述更新单元33，具体可以用于若验证结果为所述防止白行为被误报为黑行为的行为堆栈匹配规则通过验证，则在用于安全检测的白行为堆栈匹配规则库中添加所述防止白行为被误报为黑行为的行为堆栈匹配规则。

此外，所述验证单元34，具体可以用于若所述去误报行为堆栈匹配规则为防止黑行为被误报为白行为的行为堆栈匹配规则，则将所述防止黑行为被误报为白行为的行为堆栈匹配规则与预设白行为堆栈数据库中的白行为堆栈数据进行匹配；若匹配结果为匹配成功，则确定所述防止黑行为被误报为白行为的行为堆栈匹配规则未通过验证；若匹配结果为匹配失败，则确定所述防止黑行为被误报为白行为的行为堆栈匹配规则通过验证；

所述更新单元33，具体可以用于若验证结果为所述去误报行为堆栈匹配规则通过验证，则在用于安全检测的白行为堆栈匹配规则库中删除所述防止黑行为被误报为白行为的行为堆栈匹配规则。

需要说明的是，本发明实施例提供的一种误报行为处理装置所涉及各功能模块的其他相应描述，可以参考图1所示方法的对应描述，在此不再赘述。

基于上述如图1所示方法，相应的，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现以下步骤：接收误报行为处理指令，所述处理指令包括安全检测的误报行为对应的行为堆栈数据；根据所述行为堆栈数据确定去误报行为堆栈匹配规则；根据所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库。

基于上述如图1所示方法和如图5所示装置的实施例，本发明实施例还提供了一种计算机设备，如图7所示，处理器(processor)41、通信接口(communicationsinterface)42、存储器(memory)43、以及通信总线44。其中：处理器41、通信接口42、以及存储器43通过通信总线44完成相互间的通信。通信接口44，用于与其它设备比如客户端或其它服务器等的网元通信。处理器41，用于执行程序，具体可以执行上述误报行为处理方法实施例中的相关步骤。具体地，程序可以包括程序代码，该程序代码包括计算机操作指令。处理器41可能是中央处理器cpu，或者是特定集成电路asic(applicationspecificintegratedcircuit)，或者是被配置成实施本发明实施例的一个或多个集成电路。

终端包括的一个或多个处理器，可以是同一类型的处理器，如一个或多个cpu；也可以是不同类型的处理器，如一个或多个cpu以及一个或多个asic。存储器43，用于存放程序。存储器43可能包含高速ram存储器，也可能还包括非易失性存储器(non-volatilememory)，例如至少一个磁盘存储器。程序具体可以用于使得处理器41执行以下操作：接收误报行为处理指令，所述处理指令包括安全检测的误报行为对应的行为堆栈数据；根据所述行为堆栈数据确定去误报行为堆栈匹配规则；根据所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库。

通过本发明的技术方案，在接收误报行为处理指令，所述处理指令包括安全检测的误报行为对应的行为堆栈数据时，能够根据所述行为堆栈数据确定去误报行为堆栈匹配规则；并能够根据所述去误报行为堆栈匹配规则，更新用于安全检测的行为堆栈匹配规则库，从而能够实现自动处理误报行为，提升误报行为处理效率和准确率，并能够保证终端设备防护的效果以及降低终端设备防护的误报率。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的误报行为处理装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。