亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

惡意進程行為的檢測方法、裝置及系統(tǒng)的制作方法

文檔序號:6545092閱讀:128來源:國知局
惡意進程行為的檢測方法、裝置及系統(tǒng)的制作方法
【專利摘要】本發(fā)明實施例提供一種惡意進程行為的檢測方法、裝置及系統(tǒng)。本發(fā)明實施例通過檢測裝置監(jiān)控進程的進程行為,以獲得目標進程行為的行為信息,進而將目標進程行為的行為信息發(fā)送給服務(wù)器,由服務(wù)器根據(jù)目標進程行為的行為信息,對目標進程行為進行檢測,以確定目標進程行為是否為惡意進程行為,使得檢測裝置能夠接收服務(wù)器根據(jù)目標進程行為的檢測結(jié)果所返回的第一操作指示信息,進而根據(jù)第一操作指示信息,對目標進程行為執(zhí)行操作,由于不再依賴于檢測裝置對目標進程行為進行單個樣本的指定特征分析,而是由服務(wù)器根據(jù)目標進程行為的行為信息,對目標進程行為進行綜合檢測,能夠及時檢測到惡意進程行為,從而提高了系統(tǒng)的安全性能。
【專利說明】惡意進程行為的檢測方法、裝置及系統(tǒng)
【【技術(shù)領(lǐng)域】】
[0001]本發(fā)明涉及計算機技術(shù),尤其涉及一種惡意進程行為的檢測方法、裝置及系統(tǒng)?!尽颈尘凹夹g(shù)】】
[0002]病毒是編制或者在應(yīng)用程序中插入的破壞系統(tǒng)功能的數(shù)據(jù),其會影響應(yīng)用程序的正常使用,并且還能夠自我復(fù)制,通常以一組指令或者程序代碼的形式呈現(xiàn)。病毒,又稱為計算機病毒,可以包括但不限于木馬、后門、局域網(wǎng)蠕蟲、郵件蠕蟲、間諜軟件、感染型病毒或Rootkits/Bootkits,它們具有破壞性,復(fù)制性和傳染性的特點。
[0003]然而,在一些情況下,例如,殺毒軟件的監(jiān)控能力有限,或者再例如,病毒種類繁多,且增長速度特別快等,因此,運行后的病毒所導致的惡意進程行為難以被及時檢測到。

【發(fā)明內(nèi)容】
】[0004]本發(fā)明的多個方面提供一種惡意進程行為的檢測方法、裝置及系統(tǒng),用以提高系統(tǒng)的安全性能。
[0005]本發(fā)明的一方面,提供一種惡意進程行為的檢測方法,包括:
[0006]檢測裝置監(jiān)控進程的進程行為,以獲得目標進程行為的行為信息;
[0007]所述檢測裝置將所述目標進程行為的行為信息發(fā)送給服務(wù)器,以使得所述服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為;
[0008]所述檢測裝置接收所述服務(wù)器根據(jù)所述目標進程行為的檢測結(jié)果所返回的第一操作指示信息;
[0009]所述檢測裝置根據(jù)所述第一操作指示信息,對所述目標進程行為執(zhí)行操作。
[0010]如上所述的方面和任一可能的實現(xiàn)方式,進一步提供一種實現(xiàn)方式,所述檢測裝置監(jiān)控進程的進程行為,以獲得目標進程行為的行為信息,包括:
[0011]所述檢測裝置根據(jù)預(yù)先配置的可疑目標進程行為的標識信息,監(jiān)控進程的進程行為,以獲得目標進程行為的行為信息。
[0012]如上所述的方面和任一可能的實現(xiàn)方式,進一步提供一種實現(xiàn)方式,所述目標進程行為的行為信息包括下列信息中的至少一項:
[0013]目標進程行為的發(fā)起者信息;
[0014]目標進程行為的目標對象信息;
[0015]目標進程行為的附加信息;以及
[0016]目標進程行為的標識信息。
[0017]如上所述的方面和任一可能的實現(xiàn)方式,進一步提供一種實現(xiàn)方式,所述檢測裝置將所述目標進程行為的行為信息發(fā)送給服務(wù)器,以使得所述服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為之后,還包括:[0018]所述檢測裝置接收所述服務(wù)器根據(jù)與所述目標進程行為相關(guān)的其他進程行為的檢測結(jié)果所返回的第二操作指示信息,所述其他進程行為的檢測結(jié)果為所述服務(wù)器對與所述其他進程行為進行檢測,以確定與所述目標進程行為相關(guān)的其他進程行為是否為惡意進程行為獲得;
[0019]所述檢測裝置根據(jù)所述第二操作指示信息,對所述其他進程行為所對應(yīng)的行為結(jié)果執(zhí)行操作。
[0020]如上所述的方面和任一可能的實現(xiàn)方式,進一步提供一種實現(xiàn)方式,所述服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為,包括:
[0021]所述服務(wù)器根據(jù)所述目標進程行為的行為信息和已經(jīng)確定的至少一個的惡意進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為;或者
[0022]所述服務(wù)器根據(jù)所述目標進程行為的行為信息和其他檢測裝置發(fā)送的其他目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為。
[0023]本發(fā)明的另一方面,提供一種惡意進程行為的檢測裝置,包括:
[0024]監(jiān)控單元,用于監(jiān)控進程的進程行為,以獲得目標進程行為的行為信息;
[0025]發(fā)送單元,用于將所述目標進程行為的行為信息發(fā)送給服務(wù)器,以使得所述服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為;
[0026]接收單元,用于接收所述服務(wù)器根據(jù)所述目標進程行為的檢測結(jié)果所返回的第一操作指示信息;
[0027]操作單元,用于根據(jù)所述第一操作指示信息,對所述目標進程行為執(zhí)行操作。
[0028]如上所述的方面和任一可能的實現(xiàn)方式,進一步提供一種實現(xiàn)方式,所述監(jiān)控單元,具體用于
[0029]根據(jù)預(yù)先配置的可疑目標進程行為的標識信息,監(jiān)控進程的進程行為,以獲得目標進程行為的行為信息。
[0030]如上所述的方面和任一可能的實現(xiàn)方式,進一步提供一種實現(xiàn)方式,所述監(jiān)控單元所獲得的所述目標進程行為的行為信息包括下列信息中的至少一項:
[0031]目標進程行為的發(fā)起者信息;
[0032]目標進程行為的目標對象信息;
[0033]目標進程行為的附加信息;以及
[0034]目標進程行為的標識信息。
[0035]如上所述的方面和任一可能的實現(xiàn)方式,進一步提供一種實現(xiàn)方式,
[0036]所述接收單元,還用于
[0037]接收所述服務(wù)器根據(jù)與所述目標進程行為相關(guān)的其他進程行為的檢測結(jié)果所返回的第二操作指示信息,所述其他進程行為的檢測結(jié)果為所述服務(wù)器對與所述其他進程行為進行檢測,以確定與所述目標進程行為相關(guān)的其他進程行為是否為惡意進程行為獲得;
[0038]所述操作單元,還用于[0039]根據(jù)所述第二操作指示信息,對所述其他進程行為所對應(yīng)的行為結(jié)果執(zhí)行操作。
[0040]本發(fā)明的另一方面,提供一種惡意進程行為的檢測系統(tǒng),包括服務(wù)器和上一方面所提供的惡意進程行為的檢測裝置;其中,
[0041]所述服務(wù)器,用于根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為。
[0042]如上所述的方面和任一可能的實現(xiàn)方式,進一步提供一種實現(xiàn)方式,所述服務(wù)器,具體用于
[0043]根據(jù)所述目標進程行為的行為信息和已經(jīng)確定的至少一個的惡意進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為;或者
[0044]根據(jù)所述目標進程行為的行為信息和其他檢測裝置發(fā)送的其他目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為。
[0045]由上述技術(shù)方案可知,本發(fā)明實施例通過檢測裝置監(jiān)控進程的進程行為,以獲得目標進程行為的行為信息,進而將所述目標進程行為的行為信息發(fā)送給服務(wù)器,由所述服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為,使得所述檢測裝置能夠接收所述服務(wù)器根據(jù)所述目標進程行為的檢測結(jié)果所返回的第一操作指示信息,進而根據(jù)所述第一操作指示信息,對所述目標進程行為執(zhí)行操作,由于不再依賴于檢測裝置對目標進程行為進行單個樣本的指定特征分析,而是由服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行綜合檢測,能夠及時檢測到惡意進 程行為,從而提高了系統(tǒng)的安全性能。
[0046]另外,采用本發(fā)明提供的技術(shù)方案,由于服務(wù)器能夠主動對與目標進程行為相關(guān)的其他進程行為進行檢測,以確定其他進程行為是否為惡意進程行為,使得能夠及時檢測到檢測裝置沒有上報的其他進程行為同樣為惡意進程行為,能夠有效提高檢測的可靠性和靈活性,從而進一步提高了系統(tǒng)的安全性。
[0047]另外,采用本發(fā)明提供的技術(shù)方案,由于服務(wù)器能夠利用已經(jīng)確定的至少一個的惡意進程行為或者其他檢測裝置發(fā)送的其他目標進程行為,對未知的目標進程行為進行檢測,以確定該未知的目標進程行為是否為惡意進程行為,使得能夠及時檢測到惡意進程行為,能夠有效提高檢測的可靠性和靈活性,從而進一步提高了系統(tǒng)的安全性。
【【專利附圖】

【附圖說明】】
[0048]為了更清楚地說明本發(fā)明實施例中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹,顯而易見地,下面描述中的附圖是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0049]圖1為本發(fā)明一實施例提供的惡意進程行為的檢測方法的流程示意圖;
[0050]圖2為本發(fā)明另一實施例提供的惡意進程行為的檢測裝置的結(jié)構(gòu)示意圖;
[0051]圖3為本發(fā)明另一實施例提供的惡意進程行為的檢測系統(tǒng)的結(jié)構(gòu)示意圖。
【【具體實施方式】】[0052]為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
[0053]另外,本文中術(shù)語“和/或”,僅僅是一種描述關(guān)聯(lián)對象的關(guān)聯(lián)關(guān)系,表示可以存在三種關(guān)系,例如,A和/或B,可以表示:單獨存在A,同時存在A和B,單獨存在B這三種情況。另外,本文中字符“/”,一般表示前后關(guān)聯(lián)對象是一種“或”的關(guān)系。
[0054]圖1為本發(fā)明一實施例提供的惡意進程行為的檢測方法的流程示意圖,如圖1所
/Jn ο
[0055]101、檢測裝置監(jiān)控進程的進程行為,以獲得目標進程行為的行為信息。
[0056]102、所述檢測裝置將所述目標進程行為的行為信息發(fā)送給服務(wù)器,以使得所述服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為。
[0057]103、所述檢測裝置接收所述服務(wù)器根據(jù)所述目標進程行為的檢測結(jié)果所返回的
第一操作指示信息。
[0058]104、所述檢測裝置根據(jù)所述第一操作指示信息,對所述目標進程行為執(zhí)行操作。
[0059]其中,所述第一操作指示信息可以包括但不限于:
[0060]用以指示所述目標進程行為為惡意進程行為的指示信息和用以指示對所述目標進程行為進行攔截操作的提示信息;或者
[0061]用以指示所述目標進程行為為非惡意進程行為的指示信息和用以指示對所述目標進程行為進行放行操作的提示信息。
[0062]需要說明的是,101?103的執(zhí)行主體即檢測裝置,可以位于本地的客戶端中,以進行離線操作來監(jiān)控進程。
[0063]可以理解的是,所述客戶端可以是安裝在終端上的應(yīng)用程序例如,殺毒軟件等,或者還可以是瀏覽器的一個網(wǎng)頁,只要能夠?qū)崿F(xiàn)進程監(jiān)控,以提供安全的系統(tǒng)環(huán)境的客觀存在形式都可以,本實施例對此不進行限定。
[0064]這樣,通過檢測裝置監(jiān)控進程的進程行為,以獲得目標進程行為的行為信息,進而將所述目標進程行為的行為信息發(fā)送給服務(wù)器,由所述服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為,使得所述檢測裝置能夠接收所述服務(wù)器根據(jù)所述目標進程行為的檢測結(jié)果所返回的第一操作指示信息,進而根據(jù)所述第一操作指示信息,對所述目標進程行為執(zhí)行操作,由于不再依賴于檢測裝置對目標進程行為進行單個樣本的指定特征分析,而是由服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行綜合檢測,能夠及時檢測到惡意進程行為,從而提高了系統(tǒng)的安全性能。
[0065]可選地,在本實施例的一個可能的實現(xiàn)方式中,在101中,檢測裝置監(jiān)控進程的進程行為,可以利用預(yù)先配置的可疑行為決策庫,該可疑行為決策庫中存儲有已經(jīng)確定的可疑進程行為的相關(guān)信息,例如,可疑目標進程行為的標識信息,可疑目標進程行為的發(fā)起者信息等,確定所監(jiān)控的進程的進程行為是否為可疑進程行為即目標進程行為,進而獲得該目標進程行為的行為信息。[0066]可以理解的是,由于檢測裝置監(jiān)控的目的,只是確定目標進程行為,并不是確定惡意進程行為,因此,所述可疑行為決策庫的配置策略,可以適當?shù)貙⒈O(jiān)控范圍控制得大一些,能夠有效避免漏報的情況發(fā)生。
[0067]可選地,在本實施例的一個可能的實現(xiàn)方式中,在101中,所述檢測裝置所獲得的所述目標進程行為的行為信息可以包括但不限于下列信息中的至少一項:
[0068]目標進程行為的發(fā)起者信息;
[0069]目標進程行為的目標對象信息;
[0070]目標進程行為的附加信息;以及[0071 ]目標進程行為的標識信息。
[0072]其中,
[0073]所述目標進程行為的發(fā)起者信息,可以為發(fā)起進程行為的對象標識。
[0074]所述目標進程行為的目標對象信息,可以為進程行為將要施加的對象標識。
[0075]所述目標進程行為的附加信息,可以為進程行為所產(chǎn)生的數(shù)據(jù)信息。
[0076]所述目標進程行為的標識信息,可以為進程行為的標識(Identifier, ID)。
[0077]可選地,在本實施例的一個可能的實現(xiàn)方式中,在101中,所述檢測裝置具體可以監(jiān)控系統(tǒng)中全部進程的進程行為,以獲得目標進程行為的行為信息。
[0078]可選地,在本實施例的一個可能的實現(xiàn)方式中,在101中,所述檢測裝置具體可以根據(jù)預(yù)先配置的可疑目標進程行為的標識信息,監(jiān)控系統(tǒng)中部分進程的進程行為,以獲得目標進程行為的行為信息。
[0079]可選地,在本實施例的一個可能的實現(xiàn)方式中,在102之后,所述服務(wù)器接收所述檢測裝置發(fā)送的所述目標進程行為的行為信息,則可以根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為。
[0080]具體地,所述服務(wù)器具體可以根據(jù)所述目標進程行為的行為信息,利用預(yù)先配置的惡意行為決策庫,該惡意行為決策庫中存儲有已經(jīng)確定的惡意進程行為的行為信息進行匹配,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為。
[0081]若匹配到與所述目標進程行為的行為信息一致的惡意進程行為,說明該目標進程行為為惡意進程行為,所述服務(wù)器則可以確定所述目標進程行為為惡意進程行為。
[0082]若沒有匹配到與所述目標進程行為的行為信息一致的惡意進程行為,說明該目標進程行為為未知的進程行為,所述服務(wù)器則可以進一步利用已經(jīng)確定的至少一個的惡意進程行為或者其他檢測裝置發(fā)送的其他目標進程行為,對該未知的目標進程行為進行檢測。
[0083]具體地,所述服務(wù)器具體可以根據(jù)所述目標進程行為的行為信息和已經(jīng)確定的至少一個的惡意進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為。
[0084]例如,所述服務(wù)器具體可以對已經(jīng)確定的至少一個的惡意進程行為的行為信息進行聚類分析,以獲得相似的行為信息,用以確定未知的目標進程行為是否為惡意進程行為。如,根據(jù)目標進程行為的目標對象信息、目標進程行為的附加信息和目標進程行為的標識信息,對所述至少一個的惡意進程行為的行為信息進行聚類,獲得相似的目標進程行為的發(fā)起者信息。
[0085]具體地,所述服務(wù)器具體可以根據(jù)所述目標進程行為的行為信息和其他檢測裝置發(fā)送的其他目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為。
[0086]例如,所述服務(wù)器具體可以對所述目標進程行為的行為信息和其他檢測裝置發(fā)送的其他目標進程行為的行為信息進行聚類分析,以獲得聚類結(jié)果。進而,再進一步分析所述目標進程行為的行為信息所屬的聚類結(jié)果,以確定未知的目標進程行為是否為惡意進程行為。
[0087]這樣,由于服務(wù)器能夠利用已經(jīng)確定的至少一個的惡意進程行為或者其他檢測裝置發(fā)送的其他目標進程行為,對未知的目標進程行為進行檢測,以確定該未知的目標進程行為是否為惡意進程行為,使得能夠及時檢測到惡意進程行為,能夠有效提高檢測的可靠性和靈活性,從而進一步提高了系統(tǒng)的安全性。
[0088]可以理解的是,若所述服務(wù)器確定未知的目標進程行為為惡意進程行為,所述服務(wù)器則可以進一步將所確定的該目標進程行為的行為信息添加到惡意行為決策庫中,以提聞惡意行為決策庫的決策能力。
[0089]可選地,在本實施例的一個可能的實現(xiàn)方式中,所述服務(wù)器還可以進一步對與目標進程行為相關(guān)的其他進程行為進行檢測,以確定其他進程行為是否為惡意進程行為。
[0090]這樣,由于服務(wù)器能夠主動對與目標進程行為相關(guān)的其他進程行為進行檢測,以確定其他進程行為是否為惡意進程行為,使得能夠及時檢測到檢測裝置沒有上報的其他進程行為同樣為惡意進程行為,能夠有效提高檢測的可靠性和靈活性,從而進一步提高了系統(tǒng)的安全性。
[0091]相應(yīng)地,在本實施例的一個可能的實現(xiàn)方式中,在102之后,所述檢測裝置還可以進一步接收所述服務(wù)器根據(jù)與所述目標進程行為相關(guān)的其他進程行為的檢測結(jié)果所返回的第二操作指示信息,所述其他進程行為的檢測結(jié)果為所述服務(wù)器對與所述其他進程行為進行檢測,以確定與所述目標進程行為相關(guān)的其他進程行為是否為惡意進程行為獲得。然后,所述檢測裝置則可以根據(jù)所述第二操作指示信息,對所述其他進程行為所對應(yīng)的行為結(jié)果執(zhí)行操作。
[0092]其中,所述第二操作指示信息可以包括但不限于:
[0093]用以指示所述其他進程行為為惡意進程行為的指示信息和用以指示對所述其他進程行為所對應(yīng)的行為結(jié)果執(zhí)行操作的提示信息;或者
[0094]用以指示所述其他進程行為為非惡意進程行為的指示信息。
[0095]可以理解的是,惡意行為決策庫中,還可以進一步存儲針對每個惡意進程行為的防御查殺方案。那么,所述服務(wù)器在向檢測裝置發(fā)送操作指示信息機第一操作指示信息或第二操作指示信息的同時,還可以進一步向檢測裝置發(fā)送對應(yīng)的防御查殺方案,以便檢測裝置能夠根據(jù)該防御查殺方案,進行有效的殺毒處理。
[0096]本實施例中,通過檢測裝置監(jiān)控進程的進程行為,以獲得目標進程行為的行為信息,進而將所述目標進程行為的行為信息發(fā)送給服務(wù)器,由所述服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為,使得所述檢測裝置能夠接收所述服務(wù)器根據(jù)所述目標進程行為的檢測結(jié)果所返回的第一操作指示信息,進而根據(jù)所述第一操作指示信息,對所述目標進程行為執(zhí)行操作,由于不再依賴于檢測裝置對目標進程行為進行單個樣本的指定特征分析,而是由服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行綜合檢測,能夠及時檢測到惡意進程行為,從而提高了系統(tǒng)的安全性能。
[0097]另外,采用本發(fā)明提供的技術(shù)方案,由于服務(wù)器能夠主動對與目標進程行為相關(guān)的其他進程行為進行檢測,以確定其他進程行為是否為惡意進程行為,使得能夠及時檢測到檢測裝置沒有上報的其他進程行為同樣為惡意進程行為,能夠有效提高檢測的可靠性和靈活性,從而進一步提高了系統(tǒng)的安全性。
[0098]另外,采用本發(fā)明提供的技術(shù)方案,由于服務(wù)器能夠利用已經(jīng)確定的至少一個的惡意進程行為或者其他檢測裝置發(fā)送的其他目標進程行為,對未知的目標進程行為進行檢測,以確定該未知的目標進程行為是否為惡意進程行為,使得能夠及時檢測到惡意進程行為,能夠有效提高檢測的可靠性和靈活性,從而進一步提高了系統(tǒng)的安全性。
[0099]需要說明的是,對于前述的各方法實施例,為了簡單描述,故將其都表述為一系列的動作組合,但是本領(lǐng)域技術(shù)人員應(yīng)該知悉,本發(fā)明并不受所描述的動作順序的限制,因為依據(jù)本發(fā)明,某些步驟可以采用其他順序或者同時進行。其次,本領(lǐng)域技術(shù)人員也應(yīng)該知悉,說明書中所描述的實施例均屬于優(yōu)選實施例,所涉及的動作和模塊并不一定是本發(fā)明所必須的。
[0100]在上述實施例中,對各個實施例的描述都各有側(cè)重,某個實施例中沒有詳述的部分,可以參見其他實施例的相關(guān)描述。
[0101]圖2為本發(fā)明另一實施例提供的惡意進程行為的檢測裝置的結(jié)構(gòu)示意圖,如圖2所示。本實施例的惡意進程行為的檢測裝置可以包括監(jiān)控單元21、發(fā)送單元22、接收單元23和操作單元24。其中,
[0102]監(jiān)控單元21,用于監(jiān)控進程的進程行為,以獲得目標進程行為的行為信息。
[0103]發(fā)送單元22,用于將所述目標進程行為的行為信息發(fā)送給服務(wù)器,以使得所述服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為。
[0104]接收單元23,用于接收所述服務(wù)器根據(jù)所述目標進程行為的檢測結(jié)果所返回的第
一操作指示信息。
[0105]操作單元24,用于根據(jù)所述第一操作指示信息,對所述目標進程行為執(zhí)行操作。
[0106]其中,所述第一操作指示信息可以包括但不限于:
[0107]用以指示所述目標進程行為為惡意進程行為的指示信息和用以指示對所述目標進程行為進行攔截操作的提示信息;或者
[0108]用以指示所述目標進程行為為非惡意進程行為的指示信息和用以指示對所述目標進程行為進行放行操作的提示信息。
[0109]需要說明的是,本實施例所提供的惡意進程行為的檢測裝置,可以位于本地的客戶端中,以進行離線操作來監(jiān)控進程。
[0110]可以理解的是,所述客戶端可以是安裝在終端上的應(yīng)用程序例如,殺毒軟件等,或者還可以是瀏覽器的一個網(wǎng)頁,只要能夠?qū)崿F(xiàn)進程監(jiān)控,以提供安全的系統(tǒng)環(huán)境的客觀存在形式都可以,本實施例對此不進行限定。
[0111]這樣,通過監(jiān)控單元監(jiān)控進程的進程行為,以獲得目標進程行為的行為信息,進而由發(fā)送單元將所述目標進程行為的行為信息發(fā)送給服務(wù)器,由所述服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為,使得接收單元能夠接收所述服務(wù)器根據(jù)所述目標進程行為的檢測結(jié)果所返回的第一操作指示信息,進而由操作單元根據(jù)所述第一操作指示信息,對所述目標進程行為執(zhí)行操作,由于不再依賴于檢測裝置對目標進程行為進行單個樣本的指定特征分析,而是由服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行綜合檢測,能夠及時檢測到惡意進程行為,從而提高了系統(tǒng)的安全性能。
[0112]可選地,在本實施例的一個可能的實現(xiàn)方式中,所述監(jiān)控單元21監(jiān)控進程的進程行為,可以利用預(yù)先配置的可疑行為決策庫,該可疑行為決策庫中存儲有已經(jīng)確定的可疑進程行為的相關(guān)信息,例如,可疑目標進程行為的標識信息,可疑目標進程行為的發(fā)起者信息等,確定所監(jiān)控的進程的進程行為是否為可疑進程行為即目標進程行為,進而獲得該目標進程行為的行為信息。
[0113]可以理解的是,由于所述監(jiān)控單元21監(jiān)控的目的,只是確定目標進程行為,并不是確定惡意進程行為,因此,所述可疑行為決策庫的配置策略,可以適當?shù)貙⒈O(jiān)控范圍控制得大一些,能夠有效避免漏報的情況發(fā)生。
[0114]可選地,在本實施例的一個可能的實現(xiàn)方式中,所述監(jiān)控單元21所獲得的所述目標進程行為的行為信息可以包括但不限于下列信息中的至少一項:
[0115]目標進程行為的發(fā)起者信息;
[0116]目標進程行為的目標對象信息;
[0117]目標進程行為的附加信息;以及
[0118]目標進程行為的標識信息。
[0119]其中,
[0120]所述目標進程行為的發(fā)起者信息,可以為發(fā)起進程行為的對象標識。
[0121 ] 所述目標進程行為的目標對象信息,可以為進程行為將要施加的對象標識。
[0122]所述目標進程行為的附加信息,可以為進程行為所產(chǎn)生的數(shù)據(jù)信息。
[0123]所述目標進程行為的標識信息,可以為進程行為的標識(Identifier, ID)。
[0124]可選地,在本實施例的一個可能的實現(xiàn)方式中,所述監(jiān)控單元21,具體可以用于監(jiān)控系統(tǒng)中全部進程的進程行為,以獲得目標進程行為的行為信息。
[0125]可選地,在本實施例的一個可能的實現(xiàn)方式中,所述監(jiān)控單元21,具體可以用于根據(jù)預(yù)先配置的可疑目標進程行為的標識信息,監(jiān)控系統(tǒng)中部分進程的進程行為,以獲得目標進程行為的行為信息。
[0126]可選地,在本實施例的一個可能的實現(xiàn)方式中,所述服務(wù)器接收所述檢測裝置發(fā)送的所述目標進程行為的行為信息,則可以根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為。
[0127]具體地,所述服務(wù)器具體可以根據(jù)所述目標進程行為的行為信息,利用預(yù)先配置的惡意行為決策庫,該惡意行為決策庫中存儲有已經(jīng)確定的惡意進程行為的行為信息進行匹配,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為。
[0128]若匹配到與所述目標進程行為的行為信息一致的惡意進程行為,說明該目標進程行為為惡意進程行為,所述服務(wù)器則可以確定所述目標進程行為為惡意進程行為。
[0129]若沒有匹配到與所述目標進程行為的行為信息一致的惡意進程行為,說明該目標進程行為為未知的進程行為,所述服務(wù)器則可以進一步利用已經(jīng)確定的至少一個的惡意進程行為或者其他檢測裝置發(fā)送的其他目標進程行為,對該未知的目標進程行為進行檢測。
[0130]具體地,所述服務(wù)器具體可以根據(jù)所述目標進程行為的行為信息和已經(jīng)確定的至少一個的惡意進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為。
[0131]例如,所述服務(wù)器具體可以對已經(jīng)確定的至少一個的惡意進程行為的行為信息進行聚類分析,以獲得相似的行為信息,用以確定未知的目標進程行為是否為惡意進程行為。如,根據(jù)目標進程行為的目標對象信息、目標進程行為的附加信息和目標進程行為的標識信息,對所述至少一個的惡意進程行為的行為信息進行聚類,獲得相似的目標進程行為的發(fā)起者信息。
[0132]具體地,所述服務(wù)器具體可以根據(jù)所述目標進程行為的行為信息和其他檢測裝置發(fā)送的其他目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為。
[0133]例如,所述服務(wù)器具體可以對所述目標進程行為的行為信息和其他檢測裝置發(fā)送的其他目標進程行為的行為信息進行聚類分析,以獲得聚類結(jié)果。進而,再進一步分析所述目標進程行為的行為信息所屬的聚類結(jié)果,以確定未知的目標進程行為是否為惡意進程行為。
[0134]這樣,由于服務(wù)器能夠利用已經(jīng)確定的至少一個的惡意進程行為或者其他檢測裝置發(fā)送的其他目標進程行為,對未知的目標進程行為進行檢測,以確定該未知的目標進程行為是否為惡意進程行為,使得能夠及時檢測到惡意進程行為,能夠有效提高檢測的可靠性和靈活性,從而進一步提高了系統(tǒng)的安全性。
[0135]可以理解的是,若所述服務(wù)器確定未知的目標進程行為為惡意進程行為,所述服務(wù)器則可以進一步將所確定的該目標進程行為的行為信息添加到惡意行為決策庫中,以提聞惡意行為決策庫的決策能力。
[0136]可選地,在本實施例的一個可能的實現(xiàn)方式中,所述服務(wù)器還可以進一步對與目標進程行為相關(guān)的其他進程行為進行檢測,以確定其他進程行為是否為惡意進程行為。
[0137]這樣,由于服務(wù)器能夠主動對與目標進程行為相關(guān)的其他進程行為進行檢測,以確定其他進程行為是否為惡意進程行為,使得能夠及時檢測到檢測裝置沒有上報的其他進程行為同樣為惡意進程行為,能夠有效提高檢測的可靠性和靈活性,從而進一步提高了系統(tǒng)的安全性。
[0138]相應(yīng)地,在本實施例的一個可能的實現(xiàn)方式中,所述接收單元23,還可以進一步用于接收所述服務(wù)器根據(jù)與所述目標進程行為相關(guān)的其他進程行為的檢測結(jié)果所返回的第二操作指示信息,所述其他進程行為的檢測結(jié)果為所述服務(wù)器對與所述其他進程行為進行檢測,以確定與所述目標進程行為相關(guān)的其他進程行為是否為惡意進程行為獲得;所述操作單元24,還可以進一步用于根據(jù)所述第二操作指示信息,對所述其他進程行為所對應(yīng)的行為結(jié)果執(zhí)行操作。
[0139]其中,所述第二操作指示信息可以包括但不限于:
[0140]用以指示所述其他進程行為為惡意進程行為的指示信息和用以指示對所述其他進程行為所對應(yīng)的行為結(jié)果執(zhí)行操作的提示信息;或者[0141]用以指示所述其他進程行為為非惡意進程行為的指示信息。
[0142]可以理解的是,惡意行為決策庫中,還可以進一步存儲針對每個惡意進程行為的防御查殺方案。那么,所述服務(wù)器在向檢測裝置發(fā)送操作指示信息機第一操作指示信息或第二操作指示信息的同時,還可以進一步向檢測裝置發(fā)送對應(yīng)的防御查殺方案,以便檢測裝置能夠根據(jù)該防御查殺方案,進行有效的殺毒處理。
[0143]本實施例中,通過監(jiān)控單元監(jiān)控進程的進程行為,以獲得目標進程行為的行為信息,進而由發(fā)送單元將所述目標進程行為的行為信息發(fā)送給服務(wù)器,由所述服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為,使得接收單元能夠接收所述服務(wù)器根據(jù)所述目標進程行為的檢測結(jié)果所返回的第一操作指示信息,進而由操作單元根據(jù)所述第一操作指示信息,對所述目標進程行為執(zhí)行操作,由于不再依賴于檢測裝置對目標進程行為進行單個樣本的指定特征分析,而是由服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行綜合檢測,能夠及時檢測到惡意進程行為,從而提高了系統(tǒng)的安全性能。
[0144]另外,采用本發(fā)明提供的技術(shù)方案,由于服務(wù)器能夠主動對與目標進程行為相關(guān)的其他進程行為進行檢測,以確定其他進程行為是否為惡意進程行為,使得能夠及時檢測到檢測裝置沒有上報的其他進程行為同樣為惡意進程行為,能夠有效提高檢測的可靠性和靈活性,從而進一步提高了系統(tǒng)的安全性。
[0145]另外,采用本發(fā)明提供的技術(shù)方案,由于服務(wù)器能夠利用已經(jīng)確定的至少一個的惡意進程行為或者其他檢測裝置發(fā)送的其他目標進程行為,對未知的目標進程行為進行檢測,以確定該未知的目標進程行為是否為惡意進程行為,使得能夠及時檢測到惡意進程行為,能夠有效提高檢測的可靠性和靈活性,從而進一步提高了系統(tǒng)的安全性。
[0146]圖3為本發(fā)明另一實施例提供的惡意進程行為的檢測系統(tǒng)的結(jié)構(gòu)示意圖,如圖3所示。本實施例的惡意進程行為的檢測系統(tǒng)可以包括服務(wù)器31和圖2對應(yīng)的實施例所提供的惡意進程行為的檢測裝置32。其中,
[0147]所述服務(wù)器31,用于根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為。
[0148]所述檢測裝置32的詳細描述,可以參見圖2對應(yīng)的實施例中的相關(guān)內(nèi)容,此處不再贅述。
[0149]可選地,在本實施例的一個可能的實現(xiàn)方式中,所述服務(wù)器31,具體可以用于根據(jù)所述目標進程行為的行為信息和已經(jīng)確定的至少一個的惡意進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為。
[0150]例如,所述服務(wù)器31具體可以對已經(jīng)確定的至少一個的惡意進程行為的行為信息進行聚類分析,以獲得相似的行為信息,用以確定未知的目標進程行為是否為惡意進程行為。如,根據(jù)目標進程行為的目標對象信息、目標進程行為的附加信息和目標進程行為的標識信息,對所述至少一個的惡意進程行為的行為信息進行聚類,獲得相似的目標進程行為的發(fā)起者信息。
[0151]可選地,在本實施例的一個可能的實現(xiàn)方式中,所述服務(wù)器31,具體可以用于根據(jù)所述目標進程行為的行為信息和其他檢測裝置發(fā)送的其他目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為。[0152]例如,所述服務(wù)器31具體可以對所述目標進程行為的行為信息和其他檢測裝置發(fā)送的其他目標進程行為的行為信息進行聚類分析,以獲得聚類結(jié)果。進而,再進一步分析所述目標進程行為的行為信息所屬的聚類結(jié)果,以確定未知的目標進程行為是否為惡意進程行為。
[0153]這樣,由于服務(wù)器能夠利用已經(jīng)確定的至少一個的惡意進程行為或者其他檢測裝置發(fā)送的其他目標進程行為,對未知的目標進程行為進行檢測,以確定該未知的目標進程行為是否為惡意進程行為,使得能夠及時檢測到惡意進程行為,能夠有效提高檢測的可靠性和靈活性,從而進一步提高了系統(tǒng)的安全性。
[0154]可以理解的是,若所述服務(wù)器確定未知的目標進程行為為惡意進程行為,所述服務(wù)器則可以進一步將所確定的該目標進程行為的行為信息添加到惡意行為決策庫中,以提聞惡意行為決策庫的決策能力。
[0155]可選地,在本實施例的一個可能的實現(xiàn)方式中,所述服務(wù)器31還可以進一步對與目標進程行為相關(guān)的其他進程行為進行檢測,以確定其他進程行為是否為惡意進程行為。
[0156]這樣,由于服務(wù)器能夠主動對與目標進程行為相關(guān)的其他進程行為進行檢測,以確定其他進程行為是否為惡意進程行為,使得能夠及時檢測到檢測裝置沒有上報的其他進程行為同樣為惡意進程行為,能夠有效提高檢測的可靠性和靈活性,從而進一步提高了系統(tǒng)的安全性。
[0157]本實施例中,通過檢測裝置監(jiān)控進程的進程行為,以獲得目標進程行為的行為信息,進而將所述目標進程行為的行為信息發(fā)送給服務(wù)器,由所述服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為,使得所述檢測裝置能夠接收所述服務(wù)器根據(jù)所述目標進程行為的檢測結(jié)果所返回的第一操作指示信息,進而根據(jù)所述第一操作指示信息,對所述目標進程行為執(zhí)行操作,由于不再依賴于檢測裝置對目標進程行為進行單個樣本的指定特征分析,而是由服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行綜合檢測,能夠及時檢測到惡意進程行為,從而提高了系統(tǒng)的安全性能。
[0158]另外,采用本發(fā)明提供的技術(shù)方案,由于服務(wù)器能夠主動對與目標進程行為相關(guān)的其他進程行為進行檢測,以確定其他進程行為是否為惡意進程行為,使得能夠及時檢測到檢測裝置沒有上報的其他進程行為同樣為惡意進程行為,能夠有效提高檢測的可靠性和靈活性,從而進一步提高了系統(tǒng)的安全性。
[0159]另外,采用本發(fā)明提供的技術(shù)方案,由于服務(wù)器能夠利用已經(jīng)確定的至少一個的惡意進程行為或者其他檢測裝置發(fā)送的其他目標進程行為,對未知的目標進程行為進行檢測,以確定該未知的目標進程行為是否為惡意進程行為,使得能夠及時檢測到惡意進程行為,能夠有效提高檢測的可靠性和靈活性,從而進一步提高了系統(tǒng)的安全性。
[0160]所屬領(lǐng)域的技術(shù)人員可以清楚地了解到,為描述的方便和簡潔,上述描述的系統(tǒng),設(shè)備和單元的具體工作過程,可以參考前述方法實施例中的對應(yīng)過程,在此不再贅述。
[0161]在本發(fā)明所提供的幾個實施例中,應(yīng)該理解到,所揭露的系統(tǒng),設(shè)備和方法,可以通過其它的方式實現(xiàn)。例如,以上所描述的設(shè)備實施例僅僅是示意性的,例如,所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現(xiàn)時可以有另外的劃分方式,例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng),或一些特征可以忽略,或不執(zhí)行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口,設(shè)備或單元的間接耦合或通信連接,可以是電性,機械或其它的形式。
[0162]所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方,或者也可以分布到多個網(wǎng)絡(luò)單元上??梢愿鶕?jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施例方案的目的。
[0163]另外,在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實現(xiàn),也可以采用硬件加軟件功能單元的形式實現(xiàn)。
[0164]上述以軟件功能單元的形式實現(xiàn)的集成的單元,可以存儲在一個計算機可讀取存儲介質(zhì)中。上述軟件功能單元存儲在一個存儲介質(zhì)中,包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機,服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)或處理器(processor)執(zhí)行本發(fā)明各個實施例所述方法的部分步驟。而前述的存儲介質(zhì)包括:U盤、移動硬盤、只讀存儲器(Read-Only Memory, ROM)、隨機存取存儲器(Random Access Memory, RAM)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。
[0165]最后應(yīng)說明的是:以上實施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制;盡管參照前述實施例對本發(fā)明進行了詳細的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當理解:其依然可以對前述各實施例所記載的技術(shù)方案進行修改,或者對其中部分技術(shù)特征進行等同替換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍。
【權(quán)利要求】
1.一種惡意進程行為的檢測方法,其特征在于,包括: 檢測裝置監(jiān)控進程的進程行為,以獲得目標進程行為的行為信息; 所述檢測裝置將所述目標進程行為的行為信息發(fā)送給服務(wù)器,以使得所述服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為; 所述檢測裝置接收所述服務(wù)器根據(jù)所述目標進程行為的檢測結(jié)果所返回的第一操作指示信息; 所述檢測裝置根據(jù)所述第一操作指示信息,對所述目標進程行為執(zhí)行操作。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述檢測裝置監(jiān)控進程的進程行為,以獲得目標進程行為的行為信息,包括: 所述檢測裝置根據(jù)預(yù)先配置的可疑目標進程行為的標識信息,監(jiān)控進程的進程行為,以獲得目標進程行為的行為信息。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述目標進程行為的行為信息包括下列信息中的至少一項: 目標進程行為的發(fā)起者信息; 目標進程行為的目標 對象信息; 目標進程行為的附加信息;以及 目標進程行為的標識信息。
4.根據(jù)權(quán)利要求1~3任一權(quán)利要求所述的方法,其特征在于,所述檢測裝置將所述目標進程行為的行為信息發(fā)送給服務(wù)器,以使得所述服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為之后,還包括: 所述檢測裝置接收所述服務(wù)器根據(jù)與所述目標進程行為相關(guān)的其他進程行為的檢測結(jié)果所返回的第二操作指示信息,所述其他進程行為的檢測結(jié)果為所述服務(wù)器對與所述其他進程行為進行檢測,以確定與所述目標進程行為相關(guān)的其他進程行為是否為惡意進程行為獲得; 所述檢測裝置根據(jù)所述第二操作指示信息,對所述其他進程行為所對應(yīng)的行為結(jié)果執(zhí)行操作。
5.根據(jù)權(quán)利要求1~3任一權(quán)利要求所述的方法,其特征在于,所述服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為,包括: 所述服務(wù)器根據(jù)所述目標進程行為的行為信息和已經(jīng)確定的至少一個的惡意進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為;或者 所述服務(wù)器根據(jù)所述目標進程行為的行為信息和其他檢測裝置發(fā)送的其他目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為。
6.一種惡意進程行為的檢測裝置,其特征在于,包括: 監(jiān)控單元,用于監(jiān)控進程的進程行為,以獲得目標進程行為的行為信息;發(fā)送單元, 用于將所述目標進程行為的行為信息發(fā)送給服務(wù)器,以使得所述服務(wù)器根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為; 接收單元,用于接收所述服務(wù)器根據(jù)所述目標進程行為的檢測結(jié)果所返回的第一操作指示信息; 操作單元,用于根據(jù)所述第一操作指示信息,對所述目標進程行為執(zhí)行操作。
7.根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述監(jiān)控單元,具體用于 根據(jù)預(yù)先配置的可疑目標進程行為的標識信息,監(jiān)控進程的進程行為,以獲得目標進程行為的行為信息。
8.根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述監(jiān)控單元所獲得的所述目標進程行為的行為信息包括下列信息中的至少一項: 目標進程行為的發(fā)起者信息; 目標進程行為的目標對象信息; 目標進程行為的附加信息;以及 目標進程行為的標識信息。
9.根據(jù)權(quán)利要求6~8任一權(quán)利要求所述的裝置,其特征在于, 所述接收單元,還用于 接收所述服務(wù)器根據(jù)與所述目標進程行為相關(guān)的其他進程行為的檢測結(jié)果所返回的第二操作指示信息,所述其他進程行為的檢測結(jié)果為所述服務(wù)器對與所述其他進程行為進行檢測,以確定與所述目標進程行為相關(guān)的其他進程行為是否為惡意進程行為獲得;所述操作單元,還用于 根據(jù)所述第二操作指示信息,對所述其他進程行為所對應(yīng)的行為結(jié)果執(zhí)行操作。
10.一種惡意進程行為的檢測系統(tǒng),其特征在于,包括服務(wù)器和權(quán)利要求6~9任一權(quán)利要求所述的惡意進程行為的檢測裝置;其中, 所述服務(wù)器,用于根據(jù)所述目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為。
11.根據(jù)權(quán)利要求10所述的系統(tǒng),其特征在于,所述服務(wù)器,具體用于 根據(jù)所述目標進程行為的行為信息和已經(jīng)確定的至少一個的惡意進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為;或者根據(jù)所述目標進程行為的行為信息和其他檢測裝置發(fā)送的其他目標進程行為的行為信息,對所述目標進程行為進行檢測,以確定所述目標進程行為是否為惡意進程行為。
【文檔編號】G06F21/56GK103955645SQ201410174682
【公開日】2014年7月30日 申請日期:2014年4月28日 優(yōu)先權(quán)日:2014年4月28日
【發(fā)明者】梅銀明, 謝奕智, 岳華明, 胡漢中, 畢廷禮 申請人:百度在線網(wǎng)絡(luò)技術(shù)(北京)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1