一种恶意软件的识别方法、装置、电子设备及存储介质与流程

本技术涉及网络安全，具体而言，涉及一种恶意软件的识别方法、装置、电子设备及存储介质。

背景技术：

1、随着互联网在日常生活中的普及，恶意软件对系统资源、数据和重要信息的威胁日益加剧。窃密软件，作为恶意软件的一种，其主要功能是窃取个人和企业用户的隐私信息。传统的杀毒软件依赖病毒特征库来检测恶意软件，然而，随着恶意软件更新迭代速度加快，以及窃密软件等特征不明显的恶意软件增多，其检测率大幅下降，由于窃密软件窃取信息，会导致信息泄露，这样，会给个人和企业造成损失，因此，如何准确地检测恶意软件，是目前急需解决的问题。

技术实现思路

1、本技术的一些实施例的目的在于提供一种恶意软件的识别方法、装置、电子设备及存储介质，通过本技术的实施例的技术方案，通过获取客户终端发送的目标进程行为信息，其中，所述目标进程行为信息至少包括目标可信度信息、目标文件行为信息和目标网络流量信息；根据所述目标可信度信息，判断所述目标进程行为信息是否为异常行为；在所述目标进程行为信息为异常行为的情况下，对所述目标文件行为信息和预先设置的信息库进行对比，确定与所述目标进程行为信息对应的第一识别结果，其中，所述预先设置的信息库至少包括进程行为信息、可信度信息、文件行为信息和网络流量信息，所述进程行为信息分别与所述可信度信息、所述文件行为信息和所述网络流量信息相对应；根据所述目标网络流量信息和所述预先设置的信息库，确定与所述目标进程行为信息对应的第二识别结果；根据所述第一识别结果和所述第二识别结果，确定与所述目标进程行为信息对应的检测结果；根据所述检测结果和预设检测阈值，判断与所述目标进程行为信息对应的软件是否为恶意软件，本技术实施例通过获取客户终端发送的目标进程行为信息，通过对该目标进程行为信息关联的网络行为、进程访问的文件和进程访问的目录，通过多维度检测，提高恶意软件的检测效率。

2、第一方面，本技术的一些实施例提供了一种恶意软件的识别方法，包括：

3、获取客户终端发送的目标进程行为信息，其中，所述目标进程行为信息至少包括目标可信度信息、目标文件行为信息和目标网络流量信息；

4、根据所述目标可信度信息，判断所述目标进程行为信息是否为异常行为；

5、在所述目标进程行为信息为异常行为的情况下，对所述目标文件行为信息和预先设置的信息库进行对比，确定与所述目标进程行为信息对应的第一识别结果，其中，所述预先设置的信息库至少包括进程行为信息、可信度信息、文件行为信息和网络流量信息，所述进程行为信息分别与所述可信度信息、所述文件行为信息和所述网络流量信息相对应；

6、根据所述目标网络流量信息和所述预先设置的信息库，确定与所述目标进程行为信息对应的第二识别结果；

7、根据所述第一识别结果和所述第二识别结果，确定与所述目标进程行为信息对应的检测结果；

8、根据所述检测结果和预设检测阈值，判断与所述目标进程行为信息对应的软件是否为恶意软件。

9、本技术的一些实施例通过获取客户终端发送的目标进程行为信息，通过对该目标进程行为信息关联的网络行为、进程访问的文件和进程访问的目录，通过多维度检测，提高恶意软件的检测效率。

10、可选地，所述根据所述检测结果和预设检测阈值，判断与所述目标进程行为信息对应的软件是否为恶意软件，包括：

11、若所述检测结果小于所述预设检测阈值，则确定与所述目标进程行为信息对应的软件不是恶意软件；

12、若所述检测结果大于或等于所述预设检测阈值，则确定与所述目标进程行为信息对应的软件是恶意软件。

13、本技术的一些实施例通过设置预设检测阈值，对判断出的检测结果判断是否为恶意软件，从而可以及时检测出恶意软件，发现威胁立即处理，将恶意软件对用户造成的降低危害降到最低。

14、可选地，所述根据所述第一识别结果和所述第二识别结果，确定与所述目标进程行为信息对应的检测结果，包括：

15、获取与所述第一识别结果对应的第一权重值，以及与所述第二识别结果对应的第二权重值；

16、根据所述第一识别结果和所述第一权重值，以及所述第一识别结果和所述第二权重值，确定与所述目标进程行为信息对应的检测结果。

17、本技术的一些实施例将网络流量分析和文件行为分析的结果进行整合，按照结果的权重进行累加，如果累加的结果超出设定的阈值将标记进程为窃密软件的进程，提高恶意软件识别的准确性。

18、可选地，所述对所述目标文件行为信息和预先设置的信息库进行对比，确定与所述目标进程行为信息对应的第一识别结果，包括：

19、获取所述目标文件行为信息中的目标访问文件目录；

20、将所述目标访问文件目录和所述预先设置的信息库中的文件行为信息进行匹配；

21、若所述目标访问文件目录未与所述信息库中的文件行为信息相匹配，则确定与所述目标访问文件目录对应的目标文件行为信息为异常行为信息。

22、本技术的一些实施例通过对目标文件信息和预先设置的信息库中的文件行为信息进行匹配，从而判断是否对进程有异常操作，能及时发现异常行为信息。

23、可选地，所述根据所述目标网络流量信息和所述预先设置的信息库，确定与所述目标进程行为信息对应的第二识别结果，包括；

24、在判断所述目标文件行为信息为异常行为信息的情况下，对所述目标网络流量信息和所述预先设置的信息库中的网络流量信息进行比较；

25、若所述目标网络流量信息大于或等于所述预先设置的信息库中的网络流量信息，则确定与所述目标网络流量对应的目标进程行为信息为异常行为信息。

26、本技术的一些实施例，在判断有异常行为信息的情况下，对目标网络流量信息和预先设置的信息库进行比较，若有异常流量，则确定目标网络流量信息为异常行为信息。

27、可选地，所述方法还包括：

28、在判断与所述目标进程行为信息对应的软件是恶意软件的情况下，向所述客户终端发送终止访问指令，其中，所述终止访问指令中包括与所述目标进程行为信息对应的软件标识。

29、本技术的一些实施例识别到恶意软件之后，服务端立即向客户终端下发终止访问指令，阻止恶意软件进一步窃取信息，同时将恶意软件整个检出过程整合生成恶意软件告警报告。

30、可选地，所述根据所述目标可信度信息，判断所述目标进程行为信息是否为异常行为，包括：

31、若所述目标可信度信息小于所述预先设置的信息库中的可信度信息，则确定所述目标进程行为信息为异常行为；

32、若所述目标可信度信息大于或等于所述预先设置的信息库中的可信度信息，则确定所述目标进程行为信息为正常行为。

33、本技术的一些实施例，通过对目标进程行为信息进行可信度判断，可以多方面检测出异常行为信息，提高恶意软件检测的准确性。

34、第二方面，本技术的一些实施例提供了一种恶意软件的识别装置，包括：

35、获取模块，用于获取客户终端发送的目标进程行为信息，其中，所述目标进程行为信息至少包括目标可信度信息、目标文件行为信息和目标网络流量信息；

36、判断模块，用于根据所述目标可信度信息，判断所述目标进程行为信息是否为异常行为；

37、第一确定模块，用于在所述目标进程行为信息为异常行为的情况下，对所述目标文件行为信息和预先设置的信息库进行对比，确定与所述目标进程行为信息对应的第一识别结果，其中，所述预先设置的信息库至少包括进程行为信息、可信度信息、文件行为信息和网络流量信息，所述进程行为信息分别与所述可信度信息、所述文件行为信息和所述网络流量信息相对应；

38、第二确定模块，用于根据所述目标网络流量信息和所述预先设置的信息库，确定与所述目标进程行为信息对应的第二识别结果；

39、第三确定模块，用于根据所述第一识别结果和所述第二识别结果，确定与所述目标进程行为信息对应的检测结果；

40、检测模块，用于根据所述检测结果和预设检测阈值，判断与所述目标进程行为信息对应的软件是否为恶意软件。

41、本技术的一些实施例通过获取客户终端发送的目标进程行为信息，通过对该目标进程行为信息关联的网络行为、进程访问的文件和进程访问的目录，通过多维度检测，提高恶意软件的检测效率。

42、可选地，所述检测模块用于：

43、若所述检测结果小于所述预设检测阈值，则确定与所述目标进程行为信息对应的软件不是恶意软件；

44、若所述检测结果大于或等于所述预设检测阈值，则确定与所述目标进程行为信息对应的软件是恶意软件。

45、本技术的一些实施例通过设置预设检测阈值，对判断出的检测结果判断是否为恶意软件，从而可以及时检测出恶意软件，发现威胁立即处理，将恶意软件对用户造成的降低危害降到最低。

46、可选地，所述第三确定模块用于：

47、获取与所述第一识别结果对应的第一权重值，以及与所述第二识别结果对应的第二权重值；

48、根据所述第一识别结果和所述第一权重值，以及所述第一识别结果和所述第二权重值，确定与所述目标进程行为信息对应的检测结果。

49、本技术的一些实施例将网络流量分析和文件行为分析的结果进行整合，按照结果的权重进行累加，如果累加的结果超出设定的阈值将标记进程为窃密软件的进程，提高恶意软件识别的准确性。

50、可选地，所述第一确定模块用于：

51、获取所述目标文件行为信息中的目标访问文件目录；

52、将所述目标访问文件目录和所述预先设置的信息库中的文件行为信息进行匹配；

53、若所述目标访问文件目录未与所述信息库中的文件行为信息相匹配，则确定与所述目标访问文件目录对应的目标文件行为信息为异常行为信息。

54、本技术的一些实施例通过对目标文件信息和预先设置的信息库中的文件行为信息进行匹配，从而判断是否对进程有异常操作，能及时发现异常行为信息。

55、可选地，所述第二确定模块用于；

56、在判断所述目标文件行为信息为异常行为信息的情况下，对所述目标网络流量信息和所述预先设置的信息库中的网络流量信息进行比较；

57、若所述目标网络流量信息大于或等于所述预先设置的信息库中的网络流量信息，则确定与所述目标网络流量对应的目标进程行为信息为异常行为信息。

58、本技术的一些实施例，在判断有异常行为信息的情况下，对目标网络流量信息和预先设置的信息库进行比较，若有异常流量，则确定目标网络流量信息为异常行为信息。

59、可选地，所述检测模块还用于：

60、在判断与所述目标进程行为信息对应的软件是恶意软件的情况下，向所述客户终端发送终止访问指令，其中，所述终止访问指令中包括与所述目标进程行为信息对应的软件标识。

61、本技术的一些实施例识别到恶意软件之后，服务端立即向客户终端下发终止访问指令，阻止恶意软件进一步窃取信息，同时将恶意软件整个检出过程整合生成恶意软件告警报告。

62、可选地，所述判断模块用于：

63、若所述目标可信度信息小于所述预先设置的信息库中的可信度信息，则确定所述目标进程行为信息为异常行为；

64、若所述目标可信度信息大于或等于所述预先设置的信息库中的可信度信息，则确定所述目标进程行为信息为正常行为。

65、本技术的一些实施例，通过对目标进程行为信息进行可信度判断，可以多方面检测出异常行为信息，提高恶意软件检测的准确性。

66、第三方面，本技术的一些实施例提供一种电子设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，其中，所述处理器执行所述程序时可实现如第一方面任一实施例所述的恶意软件的识别方法。

67、第四方面，本技术的一些实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时可实现如第一方面任一实施例所述的恶意软件的识别方法。

68、第五方面，本技术的一些实施例提供一种计算机程序产品，所述的计算机程序产品包括计算机程序，其中，所述的计算机程序被处理器执行时可实现如第一方面任一实施例所述的恶意软件的识别方法。