專利名稱:應(yīng)用程序監(jiān)控方法及裝置的制作方法
應(yīng)用程序監(jiān)控方法及裝置技術(shù)領(lǐng)域
本申請涉及軟件行為監(jiān)控技術(shù)領(lǐng)域�,特別是涉及一種應(yīng)用程序監(jiān)控方法及裝置。
技術(shù)背景
操作系統(tǒng)中不同的應(yīng)用程序具有不同的功能,但是在某些情況下��,因為應(yīng)用程序自身的缺陷或者漏洞����,使得這些應(yīng)用程序容易被惡意攻擊或利用進(jìn)而給使用者帶來危害。 例如����,某些精心構(gòu)造的攻擊型文檔會基于對.DOC、. XLS等文件格式漏洞的利用��,進(jìn)而造成預(yù)覽這些文檔的用戶被植入惡意程序�。借助MetaSploit (—種國際上流行的駭客自動化攻擊輔助框架),攻擊者可以輕易的給此類文檔整合下載者(Downloader)功能���,從行為上來說���,只要使用者預(yù)覽這類文檔,文檔便會利用諸如MS11-006漏洞遠(yuǎn)程下載可執(zhí)行程序���、運行木馬����,這就給安裝這些應(yīng)用程序的終端帶來了危害�。
目前常見的做法是通過殺毒軟件等對終端中的文件進(jìn)行實時查殺的方法來查找惡意程序或者木馬,然后刪除或者隔離查找到的惡意程序或者木馬的方式來保護終端的安全���,但是�,此種方法的前提是應(yīng)用程序已經(jīng)出現(xiàn)異常,導(dǎo)致終端已經(jīng)被植入惡意程序或木馬���,而無法在惡意程序或木馬被植入前就進(jìn)行攔截����。發(fā)明內(nèi)容
本申請所要解決的技術(shù)問題是提供一種應(yīng)用程序監(jiān)控方法及裝置�����,能夠解決應(yīng)用程序因為出現(xiàn)異常而被植入惡意程序的問題�。
為了解決上述問題,本申請公開了一種應(yīng)用程序監(jiān)控方法��,包括以下步驟
獲取當(dāng)前運行的應(yīng)用程序的實時行為�����;
查詢應(yīng)用程序規(guī)范行為庫中該應(yīng)用程序?qū)?yīng)的規(guī)范行為集合中是否包含所述應(yīng)用程序的實時行為��,若否�,則確定該應(yīng)用程序出現(xiàn)異常。
進(jìn)一步地�����,在確定該應(yīng)用程序出現(xiàn)異常之后還包括
對確定出現(xiàn)異常的應(yīng)用程序進(jìn)行處理��。
進(jìn)一步地���,所述處理包括
自動阻斷該應(yīng)用程序的實時行為����;或
通過彈窗提示用戶��。
進(jìn)一步地�����,在確定該程序出現(xiàn)異常之前還包括
若應(yīng)用程序的實時行為不屬于規(guī)范行為集合�,則判斷該實時行為是否屬于預(yù)定的例外行為,若否���,則確定該應(yīng)用程序出現(xiàn)異常�����。
進(jìn)一步地���,所述方法還包括
預(yù)先搜集各應(yīng)用程序的規(guī)范行為并存儲在服務(wù)器或者客戶端中作為應(yīng)用程序規(guī)范行為庫��。
進(jìn)一步地�,所述各應(yīng)用程序的規(guī)范行為通過人工分析��、軟件二進(jìn)制逆向分析��、軟件行為記錄并基于神經(jīng)網(wǎng)絡(luò)等算法的訓(xùn)練和學(xué)習(xí)等方式確定��。
進(jìn)一步地��,所述獲取當(dāng)前運行的應(yīng)用程序的實時行為包括
在當(dāng)前運行的應(yīng)用程序有新行為產(chǎn)生時獲?���。换?br>
根據(jù)預(yù)定的時間獲取����。
為了解決上述問題,本申請還提供了一種應(yīng)用程序監(jiān)控方法�,包括以下步驟
獲取當(dāng)前運行的應(yīng)用程序的實時行為;
確定該應(yīng)用程序所屬類別��;
查詢應(yīng)用程序規(guī)范行為庫中該應(yīng)用程序所屬類別對應(yīng)的規(guī)范行為集合中是否包含所述應(yīng)用程序的實時行為��,若否,則確定該應(yīng)用程序出現(xiàn)異常��。
為了解決上述問題����,本申請還提供了一種應(yīng)用程序監(jiān)控裝置��,包括
應(yīng)用程序?qū)崟r行為獲取模塊����,用于獲取當(dāng)前運行的應(yīng)用程序的實時行為;
查詢模塊��,用于查詢應(yīng)用程序規(guī)范行為庫中該應(yīng)用程序?qū)?yīng)的規(guī)范行為集合中是否包含所述應(yīng)用程序的實時行為�,若否,則確定該應(yīng)用程序出現(xiàn)異常����。
進(jìn)一步地,所述裝置還包括
處理模塊����,用于對確定出現(xiàn)異常的應(yīng)用程序進(jìn)行處理,所述處理包括自動阻斷該實時行為或通過彈窗提示用戶���。
進(jìn)一步地����,所述裝置還包括
例外行為判斷模塊,用于若應(yīng)用程序的實時行為不屬于規(guī)范行為集合���,則判斷該實時行為是否屬于預(yù)定的例外行為����,若否���,則確定該應(yīng)用程序出現(xiàn)異常�����。
進(jìn)一步地�,所述裝置還包括
規(guī)范行為確定模塊��,用于預(yù)先搜集各應(yīng)用程序的規(guī)范行為并存儲在服務(wù)器或者客戶端中作為應(yīng)用程序規(guī)范行為庫���。
進(jìn)一步地���,所述規(guī)范行為確定模塊包括
分析單元��,用于通過人工分析��、軟件二進(jìn)制逆向分析���、軟件行為記錄并基于神經(jīng)網(wǎng)絡(luò)等算法的訓(xùn)練和學(xué)習(xí)等方式確定應(yīng)用程序的規(guī)范行為。
為了解決上述問題�,本申請還提供了一種應(yīng)用程序監(jiān)控裝置�,包括
應(yīng)用程序?qū)崟r行為獲取模塊,用于獲取當(dāng)前運行的應(yīng)用程序的實時行為����;
應(yīng)用程序類別確定模塊,用于確定所述應(yīng)用程序所屬類別�;
查詢模塊,用于查詢應(yīng)用程序規(guī)范行為庫中該應(yīng)用程序所屬類別對應(yīng)的規(guī)范行為集合中是否包含所述應(yīng)用程序的實時行為�����,若否���,則確定該應(yīng)用程序出現(xiàn)異常�。
與現(xiàn)有技術(shù)相比�����,本申請具有以下優(yōu)點
本申請通過預(yù)先對各應(yīng)用程序可能出現(xiàn)的行為進(jìn)行分析確定出應(yīng)用程序的規(guī)范行為庫,在實時判斷時將獲取的實時行為與規(guī)范行為進(jìn)行比較便可以確定該實時行為是否存在潛在的危險���,從而確定應(yīng)用程序是否出現(xiàn)異常����。此種方式可以及時的發(fā)現(xiàn)應(yīng)用程序異常����,避免應(yīng)用程序因為自身缺陷等原因而被植入惡意程序給終端帶來危害。
進(jìn)一步地���,在分析確定應(yīng)用程序的規(guī)范行為時�����,可以對應(yīng)用程序按照實現(xiàn)功能進(jìn)行分類����,因為具有相同功能的應(yīng)用程序其在運行時產(chǎn)生的行為會基本相同�,通過分析確定的規(guī)范行為為某一類應(yīng)用程序的通用規(guī)范行為,在新的應(yīng)用程序出現(xiàn)時只需要根據(jù)其功能確定其所屬的類別便可以獲取到其通用規(guī)范行為����,而無需重新為某一新的應(yīng)用程序進(jìn)行分析�,簡化了處理流程���。
圖1是本申請的應(yīng)用程序監(jiān)控方法實施例一的流程圖2是本申請的應(yīng)用程序監(jiān)控方法實施例二的流程圖3是本申請的應(yīng)用程序監(jiān)控方法實施例三的流程圖4是本申請的應(yīng)用程序監(jiān)控裝置實施例一的結(jié)構(gòu)示意圖5是本申請的應(yīng)用程序監(jiān)控裝置實施例二的結(jié)構(gòu)示意圖6是本申請的應(yīng)用程序監(jiān)控裝置實施例三的結(jié)構(gòu)示意圖���。
具體實施方式
為使本申請的上述目的、特征和優(yōu)點能夠更加明顯易懂����,下面結(jié)合附圖和具體實施方式
對本申請作進(jìn)一步詳細(xì)的說明�。
參照圖1,示出本申請的應(yīng)用程序監(jiān)控方法實施例一�����,包括以下步驟
步驟101�����,獲取當(dāng)前運行的應(yīng)用程序的實時行為����。
每一個應(yīng)用程序在運行時會因為需要實現(xiàn)不同的功能而產(chǎn)生不同的行為�。例如��, 對于文字處理類軟件���,在運行時會根據(jù)操作者的不同操作而出現(xiàn)文件創(chuàng)建�、讀取�����、寫入�、刪除、關(guān)閉等行為���。通過對應(yīng)用程序?qū)崟r狀態(tài)進(jìn)行分析可以獲取到應(yīng)用程序的實時行為���。
應(yīng)用程序?qū)崟r行為的獲取可以在有新行為出現(xiàn)的時候獲取,也可以預(yù)定獲取時間間隔���,當(dāng)應(yīng)用程序運行后���,每間隔一定的時間獲取一次。
應(yīng)用程序的實時行為的獲取可以按照操作系統(tǒng)模式分為在操作系統(tǒng)用戶態(tài)掛接例程截獲相關(guān)進(jìn)程的調(diào)用以及在操作系統(tǒng)內(nèi)核態(tài)掛接例程截獲相關(guān)進(jìn)程的調(diào)用兩大類�����。 以Windows平臺殺毒軟件主動防御功能常用的內(nèi)核態(tài)例程掛接(Kernel Mode Routine Hooking)為例,微軟公司在內(nèi)核里設(shè)計了一張系統(tǒng)服務(wù)派發(fā)表(SSDT���,System Service Dispatch Table)���,系統(tǒng)服務(wù)派發(fā)表里的例程涵蓋了 文件操作、注冊表操作��、進(jìn)程操作�、線程操作、內(nèi)存操作��、對象操作等功能����。替換這張表里的處理例程可以簡單的達(dá)到截獲系統(tǒng)調(diào)用的目的�,而上述調(diào)用過程是區(qū)分進(jìn)程的,這就意味著進(jìn)程的行為可以通過SSDT劫持 (SSDT Hooking)來獲取��。
除了 SSDT劫持的方法之外��,微軟官方文檔中還推薦使用回調(diào)fallback)的方法來實現(xiàn)行為監(jiān)控���?�;卣{(diào)機制是微軟操作系統(tǒng)內(nèi)核集成的事件通知解決方案�,在某些事件發(fā)生時(如進(jìn)程創(chuàng)建時、線程創(chuàng)建時����、模塊加載時),系統(tǒng)會主動通知回調(diào)的注冊者���,這套機制也可以幫助我們獲取進(jìn)程的行為���。
步驟102,查詢應(yīng)用程序規(guī)范行為庫中該應(yīng)用程序?qū)?yīng)的規(guī)范行為集合中是否包含所述應(yīng)用程序的實時行為����,若否,則確定該應(yīng)用程序出現(xiàn)異常�����。
其中����,應(yīng)用程序規(guī)范行為庫可以預(yù)先搜集各應(yīng)用程序的規(guī)范行為并存儲在服務(wù)器或者客戶端中�����。應(yīng)用程序的規(guī)范行為包括應(yīng)用程序正常運行時可能出現(xiàn)的所有行為�,這些規(guī)范行為可以通過分析�,如人工分析、軟件二進(jìn)制逆向分析��、軟件行為記錄并基于神經(jīng)網(wǎng)絡(luò)等算法的訓(xùn)練和學(xué)習(xí)等方式確定��。
當(dāng)獲取到應(yīng)用程序的實時行為時���,首先會從應(yīng)用程序規(guī)范行為庫中查找到該應(yīng)用程序����,再找到該應(yīng)用程序?qū)?yīng)的規(guī)范行為集合�����,比較該實時行為是否屬于規(guī)范行為集合�,若不屬于��,則說明該實時行為可能會有潛在的危險����,從而確定應(yīng)用程序出現(xiàn)異常�。
參照圖2����,示出本申請的應(yīng)用程序監(jiān)控方法實施例二,包括以下步驟
步驟201��,獲取當(dāng)前運行的應(yīng)用程序的實時行為��。
步驟202��,確定該應(yīng)用程序所屬類別��。
應(yīng)用程序類別可以根據(jù)其所實現(xiàn)的功能來分類���,實現(xiàn)相同功能的應(yīng)用程序分為一類�。例如�,文字處理類、音頻��、視頻播放類����、網(wǎng)絡(luò)瀏覽器類等等�。
步驟203��,查詢應(yīng)用程序規(guī)范行為庫中該應(yīng)用程序所屬類別對應(yīng)的規(guī)范行為集合中是否包含所述應(yīng)用程序的實時行為�,若否,則確定該應(yīng)用程序出現(xiàn)異常��。
因為隨著應(yīng)用程序逐漸增多�,對于某些不太通用或者常見的應(yīng)用程序來說,在分析應(yīng)用程序的規(guī)范行為時會有一定的難度����,如果逐一分析所有應(yīng)用程序的規(guī)范行為會耗費較多的時間,且并不太現(xiàn)實�。另外,對于具有相同功能的應(yīng)用程序來說���,其規(guī)范行為也都會基本相同�,為此�����,在分析應(yīng)用程序的規(guī)范行為時�����,可以預(yù)先對應(yīng)用程序進(jìn)行分類���,確定一類應(yīng)用程序的通用規(guī)范行為����。
例如����,文字處理類的應(yīng)用程序,其通用的規(guī)范行為都可以包括文件的創(chuàng)建�、讀取、 寫入�、映射、關(guān)閉���、刪除�����;注冊表鍵值的創(chuàng)建����、讀取、修改�、枚舉、關(guān)閉�����、刪除等等�����。任何一個文字處理類的應(yīng)用程序的實時行為都可以與這些通用規(guī)范行為進(jìn)行比較��。以Microsoft Office Word為例��,因為其屬于文字處理類應(yīng)用程序����,那么其規(guī)范行為則是文字處理類所確定的規(guī)范行為,當(dāng)獲取到其產(chǎn)生如下行為(1)創(chuàng)建子進(jìn)程��、( 通過網(wǎng)絡(luò)下載可執(zhí)行程序并運行(即所謂的Download and Execute過程)�����、(3)注入到其它進(jìn)程空間�、(4)加載驅(qū)動模塊到內(nèi)核態(tài)空間����、(5)直接操作物理內(nèi)存等等�。如果某Microsoft Office Word進(jìn)程觸及了上述行為�,那么就可以認(rèn)為Microsoft Office Word出現(xiàn)異常。同樣的�����,對于音頻�����、視頻播放類應(yīng)用程序也可以采用前述相同的方式來處理�����。
通過對同類應(yīng)用程序采用相同的規(guī)范行為的方式�,當(dāng)有新的應(yīng)用程序出現(xiàn)時,只要獲取到該應(yīng)用程序的類別�����,就可以找到該應(yīng)用程序的規(guī)范行為�,避免單獨為每個應(yīng)用程序都總結(jié)分析規(guī)范行為����,從而簡化了處理流程���,具有較好的適應(yīng)性和通用性�。
優(yōu)選地��,參照圖3����,示出本申請的應(yīng)用程序監(jiān)控方法實施例三,在前述實施例一和實施例二的基礎(chǔ)上還可以包括以下步驟
步驟301�����,對確定出現(xiàn)異常的應(yīng)用程序進(jìn)行處理���。
其中處理包括自動阻斷該實時行為或者通過彈窗提示用戶�,讓用戶手動選擇阻斷的方式��,并通過日志記錄的方式記錄異常��,以便于后續(xù)分析優(yōu)化該應(yīng)用程序�。
優(yōu)選地�,在前述實施例一至三的基礎(chǔ)上���,若應(yīng)用程序的實時行為不屬于應(yīng)用程序規(guī)范行為庫所預(yù)定的規(guī)范行為集合�����,那么,還需要判斷該實時行為是否屬于預(yù)定的例外行為�,若否,則再確定該應(yīng)用程序出現(xiàn)異常�����。
例外行為為對規(guī)范行為的補充�����,因為對于有些應(yīng)用程序來說���,其可能產(chǎn)生規(guī)范行為以外的某些行為��,而這些行為在一般情況下為危險行為����,但是在特殊情況下�,其屬于正常的�����。
例如����,對于Microsoft Office Word����,或者整個文件處理類的應(yīng)用程序來說�,當(dāng)其應(yīng)用程序有新版本出現(xiàn)時需要更新,那么可能啟動升級程序(Update, exe)�,而這是一個創(chuàng)建子進(jìn)程的行為����,根據(jù)其規(guī)范行為可以確定�,創(chuàng)建子進(jìn)程是不被允許的。此時�,則可以通過7例外行為的方式���,例如,引入“行為白列表”機制��,在校驗確認(rèn)的前提下默認(rèn)放行上述行為。 例外行為可以作為應(yīng)用程序規(guī)范行為庫的補充���,以實現(xiàn)智能判斷�����,減少用戶打擾���。
參照圖4�,示出本申請的一種應(yīng)用程序監(jiān)控裝置實施例一�����,包括應(yīng)用程序?qū)崟r行為獲取模塊10和查詢模塊20�����。
應(yīng)用程序?qū)崟r行為獲取模塊10����,用于獲取當(dāng)前運行的應(yīng)用程序的實時行為����。
查詢模塊20�����,用于查詢應(yīng)用程序規(guī)范行為庫中該應(yīng)用程序?qū)?yīng)的規(guī)范行為集合中是否包含所述應(yīng)用程序的實時行為,若否����,則確定該應(yīng)用程序出現(xiàn)異常。
參照圖5,示出本申請的應(yīng)用程序監(jiān)控裝置實施例二����,包括應(yīng)用程序?qū)崟r行為獲取模塊10���、應(yīng)用程序類別確定模塊30和查詢模塊20���。
應(yīng)用程序?qū)崟r行為獲取模塊10�,用于獲取當(dāng)前運行的應(yīng)用程序的實時行為��。
應(yīng)用程序類別確定模塊30�����,用于確定所述應(yīng)用程序所屬類別�����。其中�,應(yīng)用程序的類別根據(jù)功能劃分,實現(xiàn)相同功能的應(yīng)用程序為一類���,如���,文字處理類�、音頻��、視頻播放類�、網(wǎng)絡(luò)瀏覽器類等等���。
查詢模塊20��,用于查詢應(yīng)用程序規(guī)范行為庫中該應(yīng)用程序所屬類別對應(yīng)的規(guī)范行為集合中是否包含所述應(yīng)用程序的實時行為,若否,則確定該應(yīng)用程序出現(xiàn)異常�����。
參照圖6�����,示出本申請的應(yīng)用程序監(jiān)控裝置實施例三,進(jìn)一步地����,該裝置還包括處理模塊50,用于對確定出現(xiàn)異常的應(yīng)用程序進(jìn)行處理�。其中����,處理包括自動阻斷該實時行為或通過彈窗提示用戶�����。
優(yōu)選地�,該裝置還包括例外行為判斷模塊,用于若應(yīng)用程序的實時行為不屬于規(guī)范行為集合����,則判斷該實時行為是否屬于預(yù)定的例外行為,若否���,則確定該應(yīng)用程序出現(xiàn)異常����。例外行為指不屬于應(yīng)用程序通常行為�,但是在某些情況下可能會出現(xiàn)的行為,如文字處理類軟件的升級機制���,需要創(chuàng)建子進(jìn)程�。
優(yōu)選地��,該裝置還包括規(guī)范行為確定模塊����,用于預(yù)先搜集各應(yīng)用程序的規(guī)范行為并存儲在服務(wù)器或者客戶端中作為應(yīng)用程序規(guī)范行為庫��。該規(guī)范行為確定模塊包括分析單元�����,用于通過人工分析��、軟件二進(jìn)制逆向分析��、軟件行為記錄并基于神經(jīng)網(wǎng)絡(luò)等算法的訓(xùn)練和學(xué)習(xí)等方式確定應(yīng)用程序的規(guī)范行為。
本說明書中的各個實施例均采用遞進(jìn)的方式描述�,每個實施例重點說明的都是與其他實施例的不同之處��,各個實施例之間相同相似的部分互相參見即可���。對于裝置實施例而言�,由于其與方法實施例基本相似,所以描述的比較簡單���,相關(guān)之處參見方法實施例的部分說明即可����。
以上對本申請所提供的應(yīng)用程序監(jiān)控方法及裝置進(jìn)行了詳細(xì)介紹,本文中應(yīng)用了具體個例對本申請的原理及實施方式進(jìn)行了闡述��,以上實施例的說明只是用于幫助理解本申請的方法及其核心思想;同時�,對于本領(lǐng)域的一般技術(shù)人員���,依據(jù)本申請的思想,在具體實施方式
及應(yīng)用范圍上均會有改變之處�����,綜上所述�,本說明書內(nèi)容不應(yīng)理解為對本申請的限制�����。
權(quán)利要求
1.一種應(yīng)用程序監(jiān)控方法�����,其特征在于�����,包括以下步驟獲取當(dāng)前運行的應(yīng)用程序的實時行為��;查詢應(yīng)用程序規(guī)范行為庫中該應(yīng)用程序?qū)?yīng)的規(guī)范行為集合中是否包含所述應(yīng)用程序的實時行為���,若否�,則確定該應(yīng)用程序出現(xiàn)異常�。
2.如權(quán)利要求1所述的應(yīng)用程序監(jiān)控方法,其特征在于�����,在確定該應(yīng)用程序出現(xiàn)異常之后還包括對確定出現(xiàn)異常的應(yīng)用程序進(jìn)行處理��。
3.如權(quán)利要求2所述的應(yīng)用程序監(jiān)控方法�����,其特征在于,所述處理包括自動阻斷該應(yīng)用程序的實時行為�����;或通過彈窗提示用戶����。
4.如權(quán)利要求1所述的應(yīng)用程序監(jiān)控方法��,其特征在于���,在確定該程序出現(xiàn)異常之前還包括若應(yīng)用程序的實時行為不屬于規(guī)范行為集合�����,則判斷該實時行為是否屬于預(yù)定的例外行為�,若否�,則確定該應(yīng)用程序出現(xiàn)異常。
5.如權(quán)利要求1所述的應(yīng)用程序監(jiān)控方法�,其特征在于,所述方法還包括預(yù)先搜集各應(yīng)用程序的規(guī)范行為并存儲在服務(wù)器或者客戶端中作為應(yīng)用程序規(guī)范行為庫�����。
6.如權(quán)利要求5所述的應(yīng)用程序監(jiān)控方法,其特征在于�,所述各應(yīng)用程序的規(guī)范行為通過人工分析、軟件二進(jìn)制逆向分析���、軟件行為記錄并基于神經(jīng)網(wǎng)絡(luò)等算法的訓(xùn)練和學(xué)習(xí)等方式確定�����。
7.如權(quán)利要求1所述的應(yīng)用程序監(jiān)控方法����,其特征在于��,所述獲取當(dāng)前運行的應(yīng)用程序的實時行為包括在當(dāng)前運行的應(yīng)用程序有新行為產(chǎn)生時獲?�?��;或根據(jù)預(yù)定的時間獲取�����。
8.一種應(yīng)用程序監(jiān)控方法����,其特征在于,包括以下步驟獲取當(dāng)前運行的應(yīng)用程序的實時行為�����;確定該應(yīng)用程序所屬類別���;查詢應(yīng)用程序規(guī)范行為庫中該應(yīng)用程序所屬類別對應(yīng)的規(guī)范行為集合中是否包含所述應(yīng)用程序的實時行為�,若否��,則確定該應(yīng)用程序出現(xiàn)異常����。
9.一種應(yīng)用程序監(jiān)控裝置�,其特征在于,包括應(yīng)用程序?qū)崟r行為獲取模塊���,用于獲取當(dāng)前運行的應(yīng)用程序的實時行為����;查詢模塊�,用于查詢應(yīng)用程序規(guī)范行為庫中該應(yīng)用程序?qū)?yīng)的規(guī)范行為集合中是否包含所述應(yīng)用程序的實時行為�����,若否�����,則確定該應(yīng)用程序出現(xiàn)異常����。
10.如權(quán)利要求9所述的應(yīng)用程序監(jiān)控裝置���,其特征在于����,所述裝置還包括處理模塊����,用于對確定出現(xiàn)異常的應(yīng)用程序進(jìn)行處理,所述處理包括自動阻斷該實時行為或通過彈窗提示用戶���。
11.如權(quán)利要求9所述的應(yīng)用程序監(jiān)控裝置�,其特征在于�,所述裝置還包括例外行為判斷模塊�,用于若應(yīng)用程序的實時行為不屬于規(guī)范行為集合���,則判斷該實時行為是否屬于預(yù)定的例外行為��,若否�,則確定該應(yīng)用程序出現(xiàn)異常��。
12.如權(quán)利要求9所述的應(yīng)用程序監(jiān)控裝置��,其特征在于�,所述裝置還包括規(guī)范行為確定模塊,用于預(yù)先搜集各應(yīng)用程序的規(guī)范行為并存儲在服務(wù)器或者客戶端中作為應(yīng)用程序規(guī)范行為庫��。
13.如權(quán)利要求12所述的應(yīng)用程序監(jiān)控裝置��,其特征在于����,所述規(guī)范行為確定模塊包括分析單元�,用于通過人工分析、軟件二進(jìn)制逆向分析��、軟件行為記錄并基于神經(jīng)網(wǎng)絡(luò)等算法的訓(xùn)練和學(xué)習(xí)等方式確定應(yīng)用程序的規(guī)范行為��。
14.一種應(yīng)用程序監(jiān)控裝置,其特征在于����,包括應(yīng)用程序?qū)崟r行為獲取模塊,用于獲取當(dāng)前運行的應(yīng)用程序的實時行為����; 應(yīng)用程序類別確定模塊,用于確定所述應(yīng)用程序所屬類別����;查詢模塊,用于查詢應(yīng)用程序規(guī)范行為庫中該應(yīng)用程序所屬類別對應(yīng)的規(guī)范行為集合中是否包含所述應(yīng)用程序的實時行為����,若否,則確定該應(yīng)用程序出現(xiàn)異常��。
全文摘要
本申請?zhí)峁┝艘环N應(yīng)用程序監(jiān)控方法����,包括以下步驟獲取當(dāng)前運行的應(yīng)用程序的實時行為;查詢應(yīng)用程序規(guī)范行為庫中該應(yīng)用程序?qū)?yīng)的規(guī)范行為集合中是否包含所述應(yīng)用程序的實時行為�,若否,則確定該應(yīng)用程序出現(xiàn)異常�����。本申請還提供了一種實現(xiàn)前述方法的應(yīng)用程序監(jiān)控裝置。本申請的應(yīng)用程序監(jiān)控方法及裝置���,能夠解決應(yīng)用程序因為出現(xiàn)異常而被植入惡意程序的問題�。
文檔編號G06F11/36GK102508768SQ201110301950
公開日2012年6月20日 申請日期2011年9月30日 優(yōu)先權(quán)日2011年9月30日
發(fā)明者徐江濤, 李濤, 潘劍鋒, 王宇 申請人:奇智軟件(北京)有限公司