[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN105912932A - 一种威胁行为检测系统和方法 - Google Patents

一种威胁行为检测系统和方法 Download PDF

Info

Publication number
CN105912932A
CN105912932A CN201610215073.1A CN201610215073A CN105912932A CN 105912932 A CN105912932 A CN 105912932A CN 201610215073 A CN201610215073 A CN 201610215073A CN 105912932 A CN105912932 A CN 105912932A
Authority
CN
China
Prior art keywords
behavior
user
rule
senior
transformational rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610215073.1A
Other languages
English (en)
Inventor
周宏斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Lan Yun Technology Co Ltd
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201610215073.1A priority Critical patent/CN105912932A/zh
Publication of CN105912932A publication Critical patent/CN105912932A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请公开了一种威胁行为检测方法和系统。该方提取用户和软件在软件运行进程中的各种基础行为,并按照用户预设的行为转换规则对各个基础行为进行转换,生成新行为。进一步,对满足行为转换规则的新行为进行转换,直至生成的新行为不满足行为转换规则,继而按照预设行为匹配规则对所述基础行为和所述新行为进行匹配,输出匹配结果,以确定软件是否为恶意软件,用户是否为恶意用户。与现有技术相比,在本发明中用户可根据自身需求对行为转换规则和行为匹配规则进行设置,以判断该软件行为是否为恶意行为以及该软件的用户是否为恶意用户。

Description

一种威胁行为检测系统和方法
技术领域
本申请涉及计算机领域,更具体地说,涉及一种威胁行为检测系统和方法。
背景技术
威胁识别技术有两个方向,一个是基于异常,一个是基于误用。异常通常是基于统计的,也就是找出恶意软件和正常软件行为上的明显差异,据此判定软件是否存在恶意行为。误用则是依据专家经验确定部分行为或行为组合只会在恶意软件中出现,然后根据这些行为或行为组合确定软件行为是否为恶意。
最近几年,基于行为检测的沙箱技术被作为新的威胁行为识别技术。然而目前的沙箱技术的行为只能识别在软件检测领域已经定义的恶意行为,无法根据客户的需求对软件行为进行检测,判断该软件行为是否为恶意行为。
发明内容
有鉴于此,本申请提供一种威胁行为检测方法和系统,客户可根据自身需求定义软件的哪种形式属于恶意行为,满足了不同客户对软件威胁行为检测的需求。
为了实现上述目的,现提出的方案如下:
一种威胁行为检测方法,包括:
提取软件运行进程中的所有基础行为,所述基础行为包括用户行为和软件行为;
对满足预设行为转换规则的基础行为进行转换,生成新行为;
对满足所述预设行为转换规则的新行为进行转换,直至生成的新行为不满足所述预设行为转换规则;
按照预设行为匹配规则对所述基础行为和所述新行为进行匹配,输出匹配结果,以确定软件是否为恶意软件,用户是否为恶意用户。
优选的,所述对满足预设行为转换规则的基础行为进行转换,生成新行为,之后还包括:
将提取到的所述基础行为以及行为转换过程中生成的新行为存储在行为文件中。
一种威胁行为检测系统,包括:
行为提取模块,用于提取软件运行进程中的所有基础行为,所述基础行为包括用户行为和软件行为;
行为转换模块,用于对满足预设行为转换规则的基础行为进行转换,生成新行为;
对满足所述预设行为转换规则的新行为进行转换,直至生成的新行为不满足所述预设行为转换规则;
行为匹配模块,用于按照预设行为匹配规则对所述基础行为和所述新行为进行匹配,输出匹配结果,以确定软件是否为恶意软件,用户是否为恶意用户。
优选的,所述系统还包括:分别与所述行为提取模块和所述行为转换模块相连的行为存储模块;
所述行为存储模块用于存储所述行为提取模块提权到的所述基础行为以及所述行为转换模块生成的新行为。
优选的,所述系统还包括:与所述行为转换模块相连行为转换规则存储模块;
所述行为转换规则存储模块用于存储用户预先设置的行为转换规则。
优选的,所述系统还包括:与所述行为匹配模块相连的行为匹配规则存储模块;
所述行为匹配规则存储模块用于存储用户预先设置的行为匹配规则。
经由上述技术方案可知,本申请公开了一种威胁行为检测方法和系统。该方提取用户和软件在软件运行进程中的各种基础行为,并按照用户预设的第一行为转换规则对各个基础行为进行转换,生成改进行为。进一步,对满足第二行为转换规则的高级行为进行再次转换,直至生成的高级行为不满足第二行为转换规则,继而判断所有基础行为和所有高级行为是否与预设非法行为匹配,若匹配则确定该软件为恶意软件和/或该用户为恶意用户。与现有技术相比,在本发明中用户可根据自身需求对行为转换规则和预设非法行为进行设置,以判断该软件行为是否为恶意行为以及该软件的用户是否为恶意用户,因而能够满足用户的不同需求。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1示出了本发明一个实施例公开的一种威胁行为检测方法的流程示意图;
图2示出了本发明另一个实施例公开的一种威胁行为检测系统的结构示意图;
图3示出了本发明另一个实施例公开的一种威胁行为检测系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1示出了本发明一个实施例公开的一种威胁行为检测方法的流程示意图。
由图1可知,该方法包括:
S11:提取软件运行进程中的所有基础行为。
需要说明的是所述基础行为包括软件运行进程中软件行为以及用户行为。其中所述用户行为即用户通过鼠标或键盘对软件的操作,如,用户点击该软件即用户行为,所述软件行为即软件运行过程中自动产生的行为,如软件在运行过程中自行打开文件夹的行为即为软件行为。
S12:对满足第一预设行为转换规则的基础行为进行行为转换,生成高级行为,循环对满足第二预设行为转换规则的高级行为进行行为转换操作,直至基于所述第二预设行为转换生成的新的高级行为不满足所述第二预设行为转换规则。
依据预先的行为转换规则对提取到的基础行为进行转换,生成新行为。如果产生的新行为满足上述的行为转换规则,则再次利用所述行为转换规则对新行为进行新一轮的行为转换,直至所生成的新行为不满足行为转换规则。
可选的,为了方便行为转换可将提取到的所述基础行为以及行为转换过程中生成的新行为存储在行为文件中。
S13:判断软件运行过中的所有基础行为和行为转换过程中产生的所有高级行为是否与预设非法行为相匹配。
需要说明的是,该行为匹配规则可根据用户的需求由用户自行设置。行为匹配规则既可以是计算机易于理解的规则,比如若进程A访问文件B,则判定进程A为恶意进程,也可以是人易于理解的高度抽象的规则,比如若用户C泄露敏感信息,则判定用户C存在泄密行为。
为了详细介绍本发明的具体实现过程,我们定义一条非法行为规则:
R1、进程获取敏感信息,并外发敏感信息,则进程为恶意软件。
基础行为可能是:
B1、用户打开点击运行某程序,记为为进程A。
B2、进程A打开C:\Windows\system32\kernel32.dll。
B3、进程A连接Internet上的某台计算机。
B4、进程A向某台计算机发送数据。
我们可以定义的行为转化规则可能是
T1、c:\windows\system32\kernel32.dll为敏感数据。
T2、向Internet上的计算机发送数据,为外发数据。
T3、进程访问敏感信息,且进程外发数据,则进程外发敏感信息
将基础行为用上述这T1和T2条规则处理,可以生成新的行为集
B5、进程A访问敏感信息
B6、进程A外发数据
进而,在下一轮的行为转换中,行为B5、B6依据T3行为转换规则,生成
B7、进程A外发敏感信息
如果我们仅定义了上述两条转化规则,则全部转化规则转化完成后,我们就可以和非法行为规则进行匹配,也就会发现行为B7规则R1匹配,因此这就是恶意软件。
而如果我们再定义一条非法行为规则
R2、用户启动进程,进程外发敏感信息,则为用户主动泄密。
定义一条行为转化规则
T4、用户启动程序,进程外发敏感信息,则用户外发敏感信息。
利用行为转换规则T4对行为B1和行为B7进行转换,得到新行为B8用户外发敏感信息。
那么,所有转化完成后,进行行为匹配时,我们就会发现R2也可以匹配上,至此,我们可以得到更有价值的结论。用户主动泄密!
上述实施例公开了一种威胁行为检测方法。本申请公开了一种威胁行为检测方法。该方提取用户和软件在软件运行进程中的各种基础行为,并按照用户预设的第一行为转换规则对各个基础行为进行转换,生成改进行为。进一步,对满足第二行为转换规则的高级行为进行再次转换,直至生成的高级行为不满足第二行为转换规则,继而判断所有基础行为和所有高级行为是否与预设非法行为匹配,若匹配则确定该软件为恶意软件和/或该用户为恶意用户。与现有技术相比,在本发明中用户可根据自身需求对行为转换规则和预设非法行为进行设置,以判断该软件行为是否为恶意行为以及该软件的用户是否为恶意用户,因而能够满足用户的不同需求。
参见图2示出了本发明另一个实施例公开的一种威胁行为检测系统的结构示意图。
该体统包括:行为提取模块1、行为转换模块2以及行为匹配模块3。
行为提取模块1,用于提取软件运行进程中的所有基础行为,如打开文件、读取文件、修改文件、删除群架以及注册表访问,网络访问等。
行为转换模块,用于对满足第一预设行为转换规则的基础行为进行行为转换,生成高级行为,所述第一预设行为转换规则包括至少一条行为转换规则;
循环对满足第二预设行为转换规则的高级行为进行行为转换操作,直至基于所述第二预设行为转换生成的新的高级行为不满足所述第二预设行为转换规则,所述第二预设行为转换规则包括至少一条行为转换规则;
行为匹配模块,用于判断软件运行过中的所有基础行为和行为转换过程中产生的所有高级行为是否与预设非法行为相匹配;
若匹配,则确定软件为恶意软件和/或用户为恶意用户。
参见图3示出了本发明另一个实施例公开的一种威胁行为检测系统的结构示意图。
与上一个系统实施例不同的是,在本实施例中,该系统包括:行为提取模块1、行为转换模块2、行为匹配模块3、行为存储模块4、行为转换规则存储模块5以及非法行为存储模块6。
所述行为存储模块4分别与所述行为提取模块1和所述行为转换模块2相连,用于存储所述行为提取模块提权到的所述基础行为以及所述行为转换模块生成的高级行为。
所述行为转换规则存储模块5与所述行为转换模块2相连,用于存储用户预先设置的行为转换规则。
所述非法行为存储模块6与所述行为匹配模块3相连,用于存储用户预先设置的非法行为。
需要说明的是该系统实施例与方法实施例相对应,其执行过程和执行原理相同,在此不作赘述。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (6)

1.一种威胁行为检测方法,其特征在于,包括:
提取软件运行进程中的所有基础行为,所述基础行为包括用户行为和/或软件行为;
对满足第一预设行为转换规则的基础行为进行行为转换,生成高级行为,所述第一预设行为转换规则包括至少一条行为转换规则;
循环对满足第二预设行为转换规则的高级行为进行行为转换操作,直至基于所述第二预设行为转换生成的新的高级行为不满足所述第二预设行为转换规则,所述第二预设行为转换规则包括至少一条行为转换规则;
判断软件运行过中的所有基础行为和行为转换过程中产生的所有高级行为是否与预设非法行为相匹配;
若匹配,则确定软件为恶意软件和/或用户为恶意用户。
2.根据权利要求1所述的方法,其特征在于,所述对满足第二预设行为转换规则的高级行为进行转换,直至基于所述第二预设行为转换生成的新的高级行为不满足所述第二预设行为转换规则,之后还包括:
将软件运行进程中所有基础行为以及行为转换过程中生成的所有高级行为存储在行为文件中。
3.一种威胁行为检测系统,其特征在于,包括:
行为提取模块,用于提取软件运行进程中的所有基础行为,所述基础行为包括用户行为和软件行为;
行为转换模块,用于对满足第一预设行为转换规则的基础行为进行行为转换,生成高级行为,所述第一预设行为转换规则包括至少一条行为转换规则;
循环对满足第二预设行为转换规则的高级行为进行行为转换操作,直至基于所述第二预设行为转换生成的新的高级行为不满足所述第二预设行为转换规则,所述第二预设行为转换规则包括至少一条行为转换规则;
行为匹配模块,用于判断软件运行过中的所有基础行为和行为转换过程中产生的所有高级行为是否与预设非法行为相匹配;
若匹配,则确定软件为恶意软件和/或用户为恶意用户。
4.根据权利要求3所述的系统,其特征在于,所述系统还包括:分别与所述行为提取模块和所述行为转换模块相连的行为存储模块;
所述行为存储模块用于存储所述行为提取模块提权到的所有基础行为以及所述行为转换模块生成的所有高级行为。
5.根据权利要求3所述的系统,其特征在于,所述系统还包括:与所述行为转换模块相连行为转换规则存储模块;
所述行为转换规则存储模块用于存储用户预先设置的行为转换规则。
6.根据权利要求3所述的系统,其特征在于,所述系统还包括:与所述行为匹配模块相连的非法行为存储模块;
所述非法行为存储模块用于存储用户预先设置的非法行为。
CN201610215073.1A 2016-04-08 2016-04-08 一种威胁行为检测系统和方法 Pending CN105912932A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610215073.1A CN105912932A (zh) 2016-04-08 2016-04-08 一种威胁行为检测系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610215073.1A CN105912932A (zh) 2016-04-08 2016-04-08 一种威胁行为检测系统和方法

Publications (1)

Publication Number Publication Date
CN105912932A true CN105912932A (zh) 2016-08-31

Family

ID=56744839

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610215073.1A Pending CN105912932A (zh) 2016-04-08 2016-04-08 一种威胁行为检测系统和方法

Country Status (1)

Country Link
CN (1) CN105912932A (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1936910A (zh) * 2005-11-16 2007-03-28 白杰 未知病毒程序的识别及清除方法
CN101183414A (zh) * 2007-12-07 2008-05-21 白杰 一种程序检测的方法、装置及程序分析的方法
CN101281571A (zh) * 2008-04-22 2008-10-08 白杰 防御未知病毒程序的方法
CN101482907A (zh) * 2009-02-18 2009-07-15 中国科学技术大学 基于专家系统的主机恶意代码行为检测系统
CN101959193A (zh) * 2010-09-26 2011-01-26 宇龙计算机通信科技(深圳)有限公司 一种信息安全检测方法及移动终端
CN103516586A (zh) * 2012-06-30 2014-01-15 北京神州泰岳软件股份有限公司 一种即时通信系统的在线用户行为分析系统
CN103839003A (zh) * 2012-11-22 2014-06-04 腾讯科技(深圳)有限公司 恶意文件检测方法及装置
CN103916365A (zh) * 2012-12-31 2014-07-09 西门子公司 导出和验证恶意代码的网络行为特征的方法和装置
US9043905B1 (en) * 2012-01-23 2015-05-26 Hrl Laboratories, Llc System and method for insider threat detection

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1936910A (zh) * 2005-11-16 2007-03-28 白杰 未知病毒程序的识别及清除方法
CN101183414A (zh) * 2007-12-07 2008-05-21 白杰 一种程序检测的方法、装置及程序分析的方法
CN101281571A (zh) * 2008-04-22 2008-10-08 白杰 防御未知病毒程序的方法
CN101482907A (zh) * 2009-02-18 2009-07-15 中国科学技术大学 基于专家系统的主机恶意代码行为检测系统
CN101959193A (zh) * 2010-09-26 2011-01-26 宇龙计算机通信科技(深圳)有限公司 一种信息安全检测方法及移动终端
US9043905B1 (en) * 2012-01-23 2015-05-26 Hrl Laboratories, Llc System and method for insider threat detection
CN103516586A (zh) * 2012-06-30 2014-01-15 北京神州泰岳软件股份有限公司 一种即时通信系统的在线用户行为分析系统
CN103839003A (zh) * 2012-11-22 2014-06-04 腾讯科技(深圳)有限公司 恶意文件检测方法及装置
CN103916365A (zh) * 2012-12-31 2014-07-09 西门子公司 导出和验证恶意代码的网络行为特征的方法和装置

Similar Documents

Publication Publication Date Title
CN102047260B (zh) 用于集中式恶意软件检测的智能散列
Mozaffari-Kermani et al. Systematic poisoning attacks on and defenses for machine learning in healthcare
Bier et al. Protection of simple series and parallel systems with components of different values
CN102932323B (zh) 对计算机网络中安全相关事故的自动分析
Chebrolu et al. Feature deduction and ensemble design of intrusion detection systems
De Vries et al. Systems for detecting advanced persistent threats: A development roadmap using intelligent data analysis
CN101452469B (zh) 基于攻击模式的软件安全缺陷库系统及其管理方法
CN101950271A (zh) 一种基于建模技术的软件安全性测试方法
CN100483995C (zh) 利用指纹辨识自动填入使用者数据的方法
CN104320677A (zh) 一种审核服务器、主控服务器及视频检测系统
Pham et al. Generating artificial attack data for intrusion detection using machine learning
Rashid et al. Managing emergent ethical concerns for software engineering in society
Markam et al. A general study of associations rule mining in intrusion detection system
CN105912932A (zh) 一种威胁行为检测系统和方法
CN1328876C (zh) 异常文件访问自适应检测方法
Xiao et al. Alert fusion based on cluster and correlation analysis
Chuvakin The complete guide to log and event management
Panda et al. Semi-Naïve Bayesian method for network intrusion detection system
CN105844176B (zh) 安全策略生成方法及设备
Shehata et al. A taxonomy for identifying requirement interactions in software systems
Peterson et al. UMLpac: an approach for integrating security into UML class design
Pawar et al. Pattern classification under attack on spam filtering
Fu et al. Design of a four-layer model based on danger theory and AIS for IDS
Sharma et al. Ferret: A host vulnerability checking tool
Lachat et al. Detecting inference attacks involving sensor data in a multi‐database context: Issues & challenges

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20160928

Address after: 100193, No. 106, building 39, building 8, northeast Wang Xi Road, Beijing, Haidian District

Applicant after: Beijing LAN Yun Technology Co., Ltd.

Address before: 100000, room 2, unit 9, building 1, 603 District, North Street, Changping District, Beijing

Applicant before: Zhou Hongbin

RJ01 Rejection of invention patent application after publication

Application publication date: 20160831

RJ01 Rejection of invention patent application after publication