软件恶意行为检测方法及系统技术方案

本发明专利技术实施例提供了一种软件恶意行为检测方法及系统，通过获取软件恶意行为检测数据，并根据软件恶意行为检测数据通过第一恶意行为匹配模板生成多个具有第一匹配进程片段的恶意行为源的第一恶意行为匹配特征信息，然后根据软件恶意行为检测数据通过第二恶意行为匹配模板生成包括与多个具有第一匹配进程片段的恶意行为源一一对应的多个具有第二匹配进程片段的恶意行为源的第二恶意行为匹配特征信息，从而通过第一恶意行为匹配特征信息和第二恶意行为匹配特征信息生成包括多个具有目标匹配进程片段的恶意行为源的第三恶意行为匹配特征信息。如此，能够提高软件恶意行为检测过程的效率。

【技术实现步骤摘要】
软件恶意行为检测方法及系统
本专利技术涉及计算机
，具体而言，涉及一种软件恶意行为检测方法及系统。
技术介绍
如何提高提高软件恶意行为检测过程的效率，是本领域亟待解决的技术问题。
技术实现思路
有鉴于此，本专利技术实施例的目的在于提供一种软件恶意行为检测方法及系统，能够提高软件恶意行为检测过程的效率。根据本专利技术实施例的一个方面，提供一种软件恶意行为检测方法，应用于服务器，所述服务器与分布式终端通信连接，所述方法包括：获取软件恶意行为检测数据，并根据所述软件恶意行为检测数据通过第一恶意行为匹配模板生成第一恶意行为匹配特征信息，其中，所述第一恶意行为匹配特征信息包括多个具有第一匹配进程片段的恶意行为源；根据所述软件恶意行为检测数据通过第二恶意行为匹配模板生成第二恶意行为匹配特征信息，其中，所述第二恶意行为匹配特征信息包括与所述多个具有第一匹配进程片段的恶意行为源一一对应的多个具有第二匹配进程片段的恶意行为源，所述第二匹配进程片段先于所述第一匹配进程片段；通过所述第一恶意行为匹配特征信息和所述第二恶意行为匹配特征信息生成第三恶意行为匹配特征信息，其中，所述第三恶意行为匹配特征信息包括多个具有目标匹配进程片段的恶意行为源，所述多个具有目标匹配进程片段的恶意行为源与所述第一恶意行为匹配特征信息或所述第二恶意行为匹配特征信息包括的多个恶意行为源一一对应。在一种可能的示例中，所述通过所述第一恶意行为匹配特征信息和所述第二恶意行为匹配特征信息生成第三恶意行为匹配特征信息的步骤，包括：建立所述第一恶意行为匹配特征信息和/或所述第二恶意行为匹配特征信息的恶意行为融合空间；通过所述恶意行为融合空间和所述目标匹配进程片段确定所述第一恶意行为匹配特征信息的融合节点和所述第二恶意行为匹配特征信息的融合节点，所述第一恶意行为匹配特征信息和所述第二恶意行为匹配特征信息根据所述第一恶意行为匹配特征信息的融合节点和所述第二恶意行为匹配特征信息的融合节点进行运算生成所述第三恶意行为匹配特征信息。在一种可能的示例中，所述建立所述第一恶意行为匹配特征信息和/或所述第二恶意行为匹配特征信息的恶意行为融合空间的步骤，包括：通过所述第一恶意行为匹配特征信息和/或所述第二恶意行为匹配特征信息的更新范围和更新时序信息预测所述第一恶意行为匹配特征信息和/或所述第二恶意行为匹配特征信息的恶意行为融合空间；或者根据所述第一恶意行为匹配特征信息和所述第二恶意行为匹配特征信息确定出所述第一恶意行为匹配特征信息和/或所述第二恶意行为匹配特征信息的恶意行为融合空间。在一种可能的示例中，所述根据所述第一恶意行为匹配特征信息和所述第二恶意行为匹配特征信息确定出所述第一恶意行为匹配特征信息和/或所述第二恶意行为匹配特征信息的恶意行为融合空间的步骤，包括：获取所述第一恶意行为匹配特征信息和所述第二恶意行为匹配特征信息的关联恶意行为源；通过所述关联恶意行为源预测出所述第一恶意行为匹配特征信息和/或所述第二恶意行为匹配特征信息的恶意行为融合空间。在一种可能的示例中，所述通过所述关联恶意行为源预测出所述第一恶意行为匹配特征信息和/或所述第二恶意行为匹配特征信息的恶意行为融合空间的步骤，包括：构建一个全局恶意行为源作为参考恶意行为源；根据所述参考恶意行为源与所述关联恶意行为源预测出所述第一恶意行为匹配特征信息和/或所述第二恶意行为匹配特征信息的恶意行为融合空间。根据本专利技术实施例的另一方面，提供一种软件恶意行为检测系统，应用于服务器，所述服务器与分布式终端通信连接，所述系统包括：获取模块，用于获取软件恶意行为检测数据，并根据所述软件恶意行为检测数据通过第一恶意行为匹配模板生成第一恶意行为匹配特征信息，其中，所述第一恶意行为匹配特征信息包括多个具有第一匹配进程片段的恶意行为源；第一生成模块，用于根据所述软件恶意行为检测数据通过第二恶意行为匹配模板生成第二恶意行为匹配特征信息，其中，所述第二恶意行为匹配特征信息包括与所述多个具有第一匹配进程片段的恶意行为源一一对应的多个具有第二匹配进程片段的恶意行为源，所述第二匹配进程片段先于所述第一匹配进程片段；第二生成模块，用于通过所述第一恶意行为匹配特征信息和所述第二恶意行为匹配特征信息生成第三恶意行为匹配特征信息，其中，所述第三恶意行为匹配特征信息包括多个具有目标匹配进程片段的恶意行为源，所述多个具有目标匹配进程片段的恶意行为源与所述第一恶意行为匹配特征信息或所述第二恶意行为匹配特征信息包括的多个恶意行为源一一对应。根据本专利技术实施例的另一方面，提供一种可读存储介质，该可读存储介质上存储有计算机程序，该计算机程序被处理器运行时可以执行上述的软件恶意行为检测方法的步骤。相较于现有技术而言，本专利技术实施例提供的软件恶意行为检测方法及系统，通过获取软件恶意行为检测数据，并根据软件恶意行为检测数据通过第一恶意行为匹配模板生成多个具有第一匹配进程片段的恶意行为源的第一恶意行为匹配特征信息，然后根据软件恶意行为检测数据通过第二恶意行为匹配模板生成包括与多个具有第一匹配进程片段的恶意行为源一一对应的多个具有第二匹配进程片段的恶意行为源的第二恶意行为匹配特征信息，从而通过第一恶意行为匹配特征信息和第二恶意行为匹配特征信息生成包括多个具有目标匹配进程片段的恶意行为源的第三恶意行为匹配特征信息。如此，能够提高软件恶意行为检测过程的效率。为使本专利技术实施例的上述目的、特征和优点能更明显易懂，下面将结合实施例，并配合所附附图，作详细说明。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本专利技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。图1示出了本专利技术实施例所提供的服务器的组件示意图；图2示出了本专利技术实施例所提供的软件恶意行为检测方法的流程示意图；图3示出了本专利技术实施例所提供的软件恶意行为检测系统的功能模块框图。具体实施方式为了使本
的学员更好地理解本专利技术方案，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本专利技术一部分实施例，而不是全部的实施例。根据本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本专利技术的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的本文档来自技高网...

【技术保护点】
1.一种软件恶意行为检测方法，其特征在于，应用于服务器，所述服务器与分布式终端通信连接，所述方法包括：/n获取软件恶意行为检测数据，并根据所述软件恶意行为检测数据通过第一恶意行为匹配模板生成第一恶意行为匹配特征信息，其中，所述第一恶意行为匹配特征信息包括多个具有第一匹配进程片段的恶意行为源；/n根据所述软件恶意行为检测数据通过第二恶意行为匹配模板生成第二恶意行为匹配特征信息，其中，所述第二恶意行为匹配特征信息包括与所述多个具有第一匹配进程片段的恶意行为源一一对应的多个具有第二匹配进程片段的恶意行为源，所述第二匹配进程片段先于所述第一匹配进程片段；/n通过所述第一恶意行为匹配特征信息和所述第二恶意行为匹配特征信息生成第三恶意行为匹配特征信息，其中，所述第三恶意行为匹配特征信息包括多个具有目标匹配进程片段的恶意行为源，所述多个具有目标匹配进程片段的恶意行为源与所述第一恶意行为匹配特征信息或所述第二恶意行为匹配特征信息包括的多个恶意行为源一一对应。/n

【技术特征摘要】
1.一种软件恶意行为检测方法，其特征在于，应用于服务器，所述服务器与分布式终端通信连接，所述方法包括：
获取软件恶意行为检测数据，并根据所述软件恶意行为检测数据通过第一恶意行为匹配模板生成第一恶意行为匹配特征信息，其中，所述第一恶意行为匹配特征信息包括多个具有第一匹配进程片段的恶意行为源；
根据所述软件恶意行为检测数据通过第二恶意行为匹配模板生成第二恶意行为匹配特征信息，其中，所述第二恶意行为匹配特征信息包括与所述多个具有第一匹配进程片段的恶意行为源一一对应的多个具有第二匹配进程片段的恶意行为源，所述第二匹配进程片段先于所述第一匹配进程片段；
通过所述第一恶意行为匹配特征信息和所述第二恶意行为匹配特征信息生成第三恶意行为匹配特征信息，其中，所述第三恶意行为匹配特征信息包括多个具有目标匹配进程片段的恶意行为源，所述多个具有目标匹配进程片段的恶意行为源与所述第一恶意行为匹配特征信息或所述第二恶意行为匹配特征信息包括的多个恶意行为源一一对应。


2.根据权利要求1所述的软件恶意行为检测方法，其特征在于，所述通过所述第一恶意行为匹配特征信息和所述第二恶意行为匹配特征信息生成第三恶意行为匹配特征信息的步骤，包括：
建立所述第一恶意行为匹配特征信息和/或所述第二恶意行为匹配特征信息的恶意行为融合空间；
通过所述恶意行为融合空间和所述目标匹配进程片段确定所述第一恶意行为匹配特征信息的融合节点和所述第二恶意行为匹配特征信息的融合节点，所述第一恶意行为匹配特征信息和所述第二恶意行为匹配特征信息根据所述第一恶意行为匹配特征信息的融合节点和所述第二恶意行为匹配特征信息的融合节点进行运算生成所述第三恶意行为匹配特征信息。


3.根据权利要求2所述的软件恶意行为检测方法，其特征在于，所述建立所述第一恶意行为匹配特征信息和/或所述第二恶意行为匹配特征信息的恶意行为融合空间的步骤，包括：
通过所述第一恶意行为匹配特征信息和/或所述第二恶意行为匹配特征信息的更新范围和更新时序信息预测所述第一恶意行为匹配特征信息和/或所述第二恶意行为匹配特征信息的恶意行为融合空间；或者
根据所述第一恶意行为匹配特征信息和所述第二恶意行为匹配特征信息确定出所述第一恶意行为匹配特征信息和/或所述第二恶意行为匹配特征信息的恶意行为融合空间。


4.根据权利要求3所述的软件恶意行为检测方法，其特征在于，所述根据所述第一恶意行为匹配特征信息和所述第二恶意行为匹配特征信息确定出所述第一恶意行为匹配特征信息和/或所述第二恶意行为匹配特征信息的恶意行为融合空间的步骤，包括：
获取所述第一恶意行为匹配特征信息和所述第二恶意行为匹配特征信息的关联恶意行为源；
通过所述关联恶意行为源预测出所述第一恶意行为匹配特征信息和/或所述第二恶意行为匹配特征信息的恶意行为融合空间。


5.根据权利要求4所述的软件恶意行为检测方法，其特征在于，所述通过所述关联恶意行为源预测出所述第一恶意行为匹配特征信息和/或所述第二恶意行为匹配特征信息的恶意行为融合空间的步骤，包括：
构建一个全局恶意行为源作为参考恶意行为源；
根据所述参考恶意行为源与所述关联恶意行为源预测出所述第一恶意行为匹配特征信息和/或所述第二恶意行为匹配特征信息的恶意行为融合...

【专利技术属性】
技术研发人员：顾黎明，
申请(专利权)人：苏州律点信息科技有限公司，
类型：发明
国别省市：江苏;32