技术领域
[0001] 本
发明涉及交换机领域,更具体地,特别是指一种
恶意软件处理方法与装置。
背景技术
[0002] 在过去端点安全主要是靠
杀毒软件,在网络边界侧则是
防火墙。这里的端点可以使主机也可以是终端设备,业内主要的厂商基本上都是沿着这两条路来发展的。当然除了杀毒软件和防火墙外,还有一些准入产品。如今的杀毒软件和防火墙这类的产品在实现形式上有些落伍了,例如杀毒软件往往依赖于病毒库,这就意味着厂商需要不断的去扩展和更新自己的病毒库。这种传统的应对机制是被动的,只有在收到攻击后才能
感知和捕获,并将其特征放在病毒库中,然后通过升级杀毒软件才能让用户获得应对措施。这在
云环境中,面对大量的主机集中化管理,显然是比较低效的。而对于像利用恶意软件的变种、脚本化工具将而以软件加壳使其随机产生新的恶意软件等具有针对性的攻击,传统的安全产品是无法有效的防御的,而现在随着更多的设备接入互联网这也意味着将有更多的开放端点成为攻击者攻击的目标,而传统的杀毒软件和防火墙都是基于各种库来实现其功能的,向病毒库,应用程序黑白名单库等等,这些库不断的假设,不断的扩大,整体规模也越来越臃肿,这样效率也就越来越低,同时防范措施未知威胁的效果当然就不尽人意。
[0003] 针对
现有技术中杀毒软件和防火墙效率低下的问题,目前尚无有效的解决方案。
发明内容
[0004] 有鉴于此,本发明
实施例的目的在于提出一种恶意软件处理方法与装置,能够提升终端设备的安全防护能
力和工作效率。
[0005] 基于上述目的,本发明实施例的第一方面提供了一种恶意软件处理方法,包括执行以下步骤:
[0006] 生成监控策略并将监控策略从响应模
块传输到分析模块,以使分析模块根据监控策略确定特定程序的多个待监控对象;
[0007] 使监控模块向系统的
内核层和/或应用层插入钩子,以在多个待监控对象被激活时返回多个待监控对象的相关信息;
[0008] 生成判断模型并将判断模型从分析模块传输到监控模块,并使用监控策略和判断模型根据返回的多个所述待监控对象的相关信息确定特定程序是否为恶意软件;
[0009] 响应于监控模块确定特定程序是恶意软件,而禁用特定程序并将特定程序反馈到分析模块。
[0010] 在一些实施方式中,生成监控策略包括:将不同恶意行为从恶意行为库传输到分析模块,并由分析模块分别为不同恶意行为赋予权重以形成监控策略。
[0011] 在一些实施方式中,生成判断模型包括:由分析模块将反馈的特定程序转化为特征图并执行
深度学习以形成判断模型。
[0012] 在一些实施方式中,多个待监控对象包括以下至少之一:函数、文件、注册表、服务、
进程、网络。
[0013] 在一些实施方式中,还包括:在生成监控策略和判断模型之后,还周期性地由响应模块根据监控模块的反馈来更新监控策略和判断模型。
[0014] 本发明实施例的第二方面提供了一种恶意软件处理装置,包括:
[0015] 处理器;和
[0016]
存储器,存储有处理器可运行的程序代码,程序代码在被运行时分别执行以下步骤:
[0017] 基于上述目的,本发明实施例的第一方面提供了一种恶意软件处理方法,包括执行以下步骤:
[0018] 生成监控策略并将监控策略从响应模块传输到分析模块,以使分析模块根据监控策略确定特定程序的多个待监控对象;
[0019] 使监控模块向系统的内核层和/或应用层插入钩子,以在多个待监控对象被激活时返回多个待监控对象的相关信息;
[0020] 生成判断模型并将判断模型从分析模块传输到监控模块,并使用监控策略和判断模型根据返回的多个所述待监控对象的相关信息确定特定程序是否为恶意软件;
[0021] 响应于监控模块确定特定程序是恶意软件,而禁用特定程序并将特定程序反馈到分析模块。
[0022] 在一些实施方式中,生成监控策略包括:将不同恶意行为从恶意行为库传输到分析模块,并由分析模块分别为不同恶意行为赋予权重以形成监控策略。
[0023] 在一些实施方式中,生成判断模型包括:由分析模块将反馈的特定程序转化为特征图并执行深度学习以形成判断模型。
[0024] 在一些实施方式中,多个待监控对象包括以下至少之一:函数、文件、注册表、服务、进程、网络。
[0025] 在一些实施方式中,所述步骤还包括:在生成监控策略和判断模型之后,还周期性地由响应模块根据监控模块的反馈来更新监控策略和判断模型。
[0026] 本发明具有以下有益技术效果:本发明实施例提供的恶意软件处理方法与装置,通过生成监控策略并将监控策略从响应模块传输到分析模块,使分析模块根据监控策略确定特定程序的多个待监控对象;使监控模块向系统的内核层和/或应用层插入钩子,以在多个待监控对象被激活时返回多个待监控对象的相关信息;生成判断模型并将判断模型从分析模块传输到监控模块,并使用监控策略和判断模型根据返回的多个所述待监控对象的相关信息确定特定程序是否为恶意软件;响应于监控模块确定特定程序是恶意软件,而禁用特定程序并将特定程序反馈到分析模块的技术方案,能够提升终端设备的安全防护能力和工作效率。
附图说明
[0027] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0028] 图1为本发明提供的恶意软件处理方法的流程示意图;
[0029] 图2为本发明提供的恶意软件处理方法的实施例的整体结构图。
具体实施方式
[0030] 为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
[0031] 需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
[0032] 基于上述目的,本发明实施例的第一个方面,提出了一种能够提升终端设备的安全防护能力和工作效率的恶意软件处理方法的一个实施例。图1示出的是本发明提供的恶意软件处理方法的流程示意图。
[0033] 所述恶意软件处理方法,如图1所示,包括执行以下步骤:
[0034] 步骤S101:生成监控策略并将监控策略从响应模块传输到分析模块,以使分析模块根据监控策略确定特定程序的多个待监控对象;
[0035] 步骤S103:使监控模块向系统的内核层和/或应用层插入钩子,以在多个待监控对象被激活时返回多个待监控对象的相关信息;
[0036] 步骤S105:生成判断模型并将判断模型从分析模块传输到监控模块,并使用监控策略和判断模型根据返回的多个所述待监控对象的相关信息确定特定程序是否为恶意软件;
[0037] 步骤S107:响应于监控模块确定特定程序是恶意软件,而禁用特定程序并将特定程序反馈到分析模块。
[0038] 本发明提出了一种基于行为的恶意软件检测方法,用来解决在端点设备上通过监测软件的行为判断一个软件是否为恶意软件。在程序运行中,单个函数调用能够反映程序执行的操作,多个连续、相关的函数调用能反映程序执行的功能,而全体函数调用能够展示程序的行为。
[0039] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过
计算机程序来指令相关
硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。所述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
[0040] 在一些实施方式中,生成监控策略包括:将不同恶意行为从恶意行为库传输到分析模块,并由分析模块分别为不同恶意行为赋予权重以形成监控策略。
[0041] 在一些实施方式中,生成判断模型包括:由分析模块将反馈的特定程序转化为特征图并执行深度学习以形成判断模型。
[0042] 在一些实施方式中,多个待监控对象包括以下至少之一:函数、文件、注册表、服务、进程、网络。
[0043] 在一些实施方式中,还包括:在生成监控策略和判断模型之后,还周期性地由响应模块根据监控模块的反馈来更新监控策略和判断模型。
[0044] 根据本发明实施例公开的方法还可以被实现为由CPU(
中央处理器)执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被CPU执行时,执行本发明实施例公开的方法中限定的上述功能。上述方法步骤以及系统单元也可以利用
控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
[0045] 下面根据如图2所示的具体实施例来进一步阐述本发明的具体实施方式。如图2所示,恶意软件处理方法使用恶意行为库、分析模块、响应模块、和监控模块共同工作。恶意行为库负责构建一个恶意软件行为库,将恶意软件进分类,然后剥离出每类恶意软件的特征行为,并进行存储记录。分析模块根据恶意软件行为库分析恶意行为日志,构建一种能够判断判断是否为恶意软件程序的分析判断模型。响应模块针对判断为恶意软件的程序,构建策略,通知轻代理,根据策略控制恶意软件:隔离、终止、删除。监控模块记录软件的启动、终止以及在系统中的典型行为,包括内核层和应用层的监控,也包括一些网络行为的监控。
[0046] 对于监控模块,首先等待响应模块和分析模块通信获得监控策略。监控策略中
指定了在内核层和应用层哪些函数、文件、注册表、服务、进程、网络需要进行监控。进而根据策略在内核层和应用层插入钩子,这些钩子可以在函数调用的过程中获取函数执行的信息包括函数名称、参数、返回值等信息。将在应用层和内核层获取的函数信息进行处理,如函数的关联关系,程序运行的函数调用集合等信息进行处理。然后,根据分析模块和响应模块处理得到的恶意软件判断模型和恶意软件判断策略,依据上述获取的程序运行信息对恶意软件进行判断:如果程序判定为恶意软件,则系统对此程序进行停止,禁用的操作,还将此程序的文件给分析模块,对此程序进行进一步的分析,如在沙箱中进行运行获取恶意代码行为,用以扩展恶意软件行为库。
[0047] 对于分析模块,首先获取恶意软件行为库中的信息。对恶意软件行为库中的信息有两种处理方式,一种为生成恶意软件判断策略,一种是使用深度学习
算法生成恶意软件判断模型。在生成恶意软件判断策略的时,对恶意行为中的函数、行为、函数与函数之间的关系、行为与行为之间的关系赋予权重值,对这些函数、行为、关联关系和恶意软件进行分类,形成恶意软件行为集合,并根据这些集合的信息生成恶意软件判断策略。在使用深度学习生成软件判断模型的过程中,需要将函数名、函数相关性、参数、返回值进行预处理,将预处理后的四维数据构建特征图片,使用深度学习对图片进行训练生成恶意代码判断模型。最后通过响应模块将这些策略和模型下发到监控模块中。
[0048] 响应模块主要构建分析模块与监控模块之间的通信
桥梁,包括分析模块下发策略和模型、和监控模块上传监控信息。在下发策略和模型的流程中,首先是获取分析模块处理后得出的判断策略,获得判断模型对获得的策略和模型在监控模块中进行更新。在上传监控信息的流程中,获取监控数据并将数据发送给分析模型进行处理。
[0049] 从上述实施例可以看出,本发明实施例提供的恶意软件处理方法,通过生成监控策略并将监控策略从响应模块传输到分析模块,使分析模块根据监控策略确定特定程序的多个待监控对象;使监控模块向系统的内核层和/或应用层插入钩子,以在多个待监控对象被激活时返回多个待监控对象的相关信息;生成判断模型并将判断模型从分析模块传输到监控模块,并使用监控策略和判断模型根据返回的多个所述待监控对象的相关信息确定特定程序是否为恶意软件;响应于监控模块确定特定程序是恶意软件,而禁用特定程序并将特定程序反馈到分析模块的技术方案,能够提升终端设备的安全防护能力和工作效率。
[0050] 需要特别指出的是,上述恶意软件处理方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于恶意软件处理方法也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在所述实施例之上。
[0051] 基于上述目的,本发明实施例的第二个方面,提出了一种能够提升终端设备的安全防护能力和工作效率的恶意软件处理装置的一个实施例。恶意软件处理装置包括:
[0052] 处理器;和
[0053] 存储器,存储有处理器可运行的程序代码,程序代码在被运行时分别执行以下步骤:
[0054] 生成监控策略并将监控策略从响应模块传输到分析模块,以使分析模块根据监控策略确定特定程序的多个待监控对象;
[0055] 使监控模块向系统的内核层和/或应用层插入钩子,以在多个待监控对象被激活时返回多个待监控对象的相关信息;
[0056] 生成判断模型并将判断模型从分析模块传输到监控模块,并使用监控策略和判断模型根据返回的多个所述待监控对象的相关信息确定特定程序是否为恶意软件;
[0057] 响应于监控模块确定特定程序是恶意软件,而禁用特定程序并将特定程序反馈到分析模块。
[0058] 在一些实施方式中,生成监控策略包括:将不同恶意行为从恶意行为库传输到分析模块,并由分析模块分别为不同恶意行为赋予权重以形成监控策略。
[0059] 在一些实施方式中,生成判断模型包括:由分析模块将反馈的特定程序转化为特征图并执行深度学习以形成判断模型。
[0060] 在一些实施方式中,多个待监控对象包括以下至少之一:函数、文件、注册表、服务、进程、网络。
[0061] 在一些实施方式中,步骤还包括:在生成监控策略和判断模型之后,还周期性地由响应模块根据监控模块的反馈来更新监控策略和判断模型。
[0062] 从上述实施例可以看出,本发明实施例提供的恶意软件处理装置,通过生成监控策略并将监控策略从响应模块传输到分析模块,使分析模块根据监控策略确定特定程序的多个待监控对象;使监控模块向系统的内核层和/或应用层插入钩子,以在多个待监控对象被激活时返回多个待监控对象的相关信息;生成判断模型并将判断模型从分析模块传输到监控模块,并使用监控策略和判断模型根据返回的多个所述待监控对象的相关信息确定特定程序是否为恶意软件;响应于监控模块确定特定程序是恶意软件,而禁用特定程序并将特定程序反馈到分析模块的技术方案,能够提升终端设备的安全防护能力和工作效率。
[0063] 需要特别指出的是,上述恶意软件处理装置的实施例采用了所述恶意软件处理方法的实施例来具体说明各模块的工作过程,本领域技术人员能够很容易想到,将这些模块应用到所述恶意软件处理方法的其他实施例中。当然,由于所述恶意软件处理方法实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于所述恶意软件处理装置也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在所述实施例之上。
[0064] 以上是本发明公开的示例性实施例,但是应当注意,在不背离
权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和
修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
[0065] 应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
[0066] 本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是
只读存储器,磁盘或光盘等。
[0067] 所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上所述的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
