一种恶意进程检测方法及装置与流程

本发明涉及网络安全，具体涉及一种恶意进程检测方法及装置。另外，还涉及一种电子设备及处理器可读存储介质。

背景技术：

1、近年来，随着互联网技术的快速发展，网络上恶意程序越来越多，不断持续增长的恶意程序可以在受感染的计算机上进行大量的恶意操作行为，以实现监视用户、传播病毒和其他恶意软件等目的，危害较大。目前，恶意进程通常是将多个行为事件联合起来才形成一次有效的攻击，其中每一个行为事件很可能没有明确且固定的恶意特征，而现有恶意进程行为检测功能无法对进程多个行为事件进行关联检测和恶意研判，导致误报率较高，识别精准度较低。

技术实现思路

1、为此，本发明提供一种恶意进程检测方法及装置，以解决现有技术中存在的恶意进程检测方案误报率较高、精确度较差的缺陷。

2、第一方面，本发明提供一种恶意进程检测方法，包括：

3、获取待检测进程的多个行为事件对应的事件信息；

4、获取预设的用于确定恶意进程事件的判定规则；其中，所述判定规则包含分别对应恶意进程的每个行为事件的判定信息；

5、将所述多个行为事件对应的事件信息分别与所述判定规则中定义的判定信息进行关联匹配，获得多个行为事件的检测结果；根据所述多个行为事件的检测结果，判定所述待检测进程是否为恶意进程。

6、进一步的，所述将所述多个行为事件对应的事件信息分别与所述判定规则中定义的判定信息进行关联匹配，获得多个行为事件的检测结果，具体包括：若所述待检测进程的多个行为事件包括网络连接行为事件，则将所述网络连接行为事件对应的进程名称与所述判定信息中定义的第一进程名称字段进行关联匹配，若匹配成功，则将所述网络连接行为事件对应的网络地址与所述判定信息中定义的第一网络地址进行关联匹配，若匹配成功，则确定所述网络连接行为事件是疑似恶意行为事件；

7、若所述待检测进程的多个行为事件包括写文件行为事件，则将所述写文件行为事件对应的进程名称与所述判定信息中定义的第二进程名称字段进行关联匹配，若匹配成功，则将所述写文件行为事件对应的写文件路径与所述判定信息中定义的文件路径进行关联匹配，若匹配成功，则确定所述写文件行为事件是疑似恶意行为事件；

8、若所述待检测进程的多个行为事件包括执行程序行为事件，则将所述执行程序行为事件对应的进程名称与所述判定信息中定义的第三进程名称字段进行关联匹配，若匹配成功，则将所述执行程序行为事件对应的执行程序路径与所述判定信息中定义的程序路径进行关联匹配，若匹配成功，则确定所述执行程序行为事件是疑似恶意行为事件。

9、进一步的，所述根据所述多个行为事件的检测结果，判定所述待检测进程是否为恶意进程，具体包括：根据所述多个行为事件的检测结果，确定所述待检测进程对应的量化值；其中，所述量化值用于表示所述待检测进程中疑似恶意行为事件的数量；在所述量化值等于或者大于预设量化阈值的情况下，判定所述待检测进程为恶意进程；在所述量化值小于预设量化阈值的情况下，判定所述待检测进程为非恶意进程。

10、进一步的，在获得多个行为事件的检测结果之后，还包括：

11、识别所述待检测进程的标识符；基于所述待检测进程的标识符，构建相应的上下文结构，并将所述检测结果中的疑似恶意行为事件记录到所述上下文结构中，当所述上下文结构中的疑似恶意行为事件满足所述判定规则对应的所有事件时，判定所述待检测进程为恶意进程。

12、进一步的，在将所述多个行为事件对应的事件信息分别与所述判定规则中定义的判定信息进行关联匹配之前，还包括：

13、判断所述多个行为事件对应的事件信息分别对应的事件类型，并基于所述事件类型确定所述判定规则中用于进行关联匹配的判定信息；其中，所述事件类型包括网络连接行为事件、写文件行为事件以及执行程序行为事件中的至少一种。

14、进一步的，在将所述检测结果中的疑似恶意行为事件记录到所述上下文结构中之后，还包括：当检测到所述待检测进程达到结束运行周期，或者，退出进程时，将所述上下文结构进行删除。

15、进一步的，在判定所述待检测进程为恶意进程之后，还包括：

16、生成用于指示所述待检测进程为恶意进程的告警提示信息，并将所述告警提示信息发送到对应的终端设备。

17、第二方面，本发明还提供一种恶意进程检测装置，包括：

18、行为事件信息获取单元，用于获取待检测进程的多个行为事件对应的事件信息；

19、判定规则获取单元，用于获取预设的用于确定恶意进程事件的判定规则；其中，所述判定规则包含分别对应恶意进程的每个行为事件的判定信息；

20、恶意进程检测单元，用于将所述多个行为事件对应的事件信息分别与所述判定规则中定义的判定信息进行关联匹配，获得多个行为事件的检测结果；根据所述多个行为事件的检测结果，判定所述待检测进程是否为恶意进程。

21、进一步的，所述恶意进程检测单元，具体用于：若所述待检测进程的多个行为事件包括网络连接行为事件，则将所述网络连接行为事件对应的进程名称与所述判定信息中定义的第一进程名称字段进行关联匹配，若匹配成功，则将所述网络连接行为事件对应的网络地址与所述判定信息中定义的第一网络地址进行关联匹配，若匹配成功，则确定所述网络连接行为事件是疑似恶意行为事件；

22、若所述待检测进程的多个行为事件包括写文件行为事件，则将所述写文件行为事件对应的进程名称与所述判定信息中定义的第二进程名称字段进行关联匹配，若匹配成功，则将所述写文件行为事件对应的写文件路径与所述判定信息中定义的文件路径进行关联匹配，若匹配成功，则确定所述写文件行为事件是疑似恶意行为事件；

23、若所述待检测进程的多个行为事件包括执行程序行为事件，则将所述执行程序行为事件对应的进程名称与所述判定信息中定义的第三进程名称字段进行关联匹配，若匹配成功，则将所述执行程序行为事件对应的执行程序路径与所述判定信息中定义的程序路径进行关联匹配，若匹配成功，则确定所述执行程序行为事件是疑似恶意行为事件。

24、进一步的，所述恶意进程检测单元，具体用于：根据所述多个行为事件的检测结果，确定所述待检测进程对应的量化值；其中，所述量化值用于表示所述待检测进程中疑似恶意行为事件的数量；在所述量化值等于或者大于预设量化阈值的情况下，判定所述待检测进程为恶意进程；在所述量化值小于预设量化阈值的情况下，判定所述待检测进程为非恶意进程。

25、进一步的，在获得多个行为事件的检测结果之后，还包括：

26、上下文结构构建单元，用于识别所述待检测进程的标识符；基于所述待检测进程的标识符，构建相应的上下文结构，并将所述检测结果中的疑似恶意行为事件记录到所述上下文结构中，当所述上下文结构中的疑似恶意行为事件满足所述判定规则对应的所有事件时，判定所述待检测进程为恶意进程。

27、进一步的，在将所述多个行为事件对应的事件信息分别与所述判定规则中定义的判定信息进行关联匹配之前，还包括：

28、判定信息确定单元，用于判断所述多个行为事件对应的事件信息分别对应的事件类型，并基于所述事件类型确定所述判定规则中用于进行关联匹配的判定信息；其中，所述事件类型包括网络连接行为事件、写文件行为事件以及执行程序行为事件中的至少一种。

29、进一步的，在将所述检测结果中的疑似恶意行为事件记录到所述上下文结构中之后，还包括：上下文结构销毁单元，用于当检测到所述待检测进程达到结束运行周期，或者，退出进程时，将所述上下文结构进行删除。

30、进一步的，在判定所述待检测进程为恶意进程之后，还包括：

31、告警提示单元，用于生成用于指示所述待检测进程为恶意进程的告警提示信息，并将所述告警提示信息发送到对应的终端设备。

32、第三方面，本发明还提供一种电子设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行所述计算机程序时实现如上述任意一项所述的恶意进程检测方法的步骤。

33、第四方面，本发明还提供一种处理器可读存储介质，所述处理器可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现如上述任意一项所述的恶意进程检测方法的步骤。

34、本发明提供的恶意进程检测方法，通过获取待检测进程的多个行为事件对应的事件信息以及预设的用于确定恶意进程事件的判定规则，将多个行为事件对应的事件信息分别与所述判定规则中定义的判定信息进行关联匹配，获得多个行为事件的检测结果，并根据所述多个行为事件的检测结果，判定待检测进程是否为恶意进程。通过对进程多个行为事件的关联检测，能够大大降低漏防和误报，有效提高了检测恶意进程的准确度。