專利名稱:一種用于識(shí)別����、攔截捆綁軟件的系統(tǒng)��、設(shè)備及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及軟件安裝技術(shù)領(lǐng)域�����,具體涉及一種用于識(shí)別�、攔截捆綁軟件的系統(tǒng)及方法。
背景技術(shù):
目前用戶電腦上通過捆綁安裝方式被動(dòng)安裝的軟件很多�,種類也繁多,幾乎涉及了電腦日常使用的方方面面�。捆綁方 式也多種多樣,常見的有以下幾種:安裝時(shí)提醒并可選�、默認(rèn)插件安裝、不可預(yù)見的強(qiáng)制性安裝等等�����。一般情況下,用戶往往都是默認(rèn)直接點(diǎn)擊安裝軟件�����,也不認(rèn)真看安裝時(shí)的提醒���,進(jìn)而并不知情軟件的捆綁情況����,由此造成用戶電腦上的通過捆綁方式安裝的軟件很多���。但是�,如果捆綁軟件過多����,則會(huì)影響用戶電腦系統(tǒng)的性能,開機(jī)�、運(yùn)行等效率降低,甚至影響用戶的正常使用�����。更為嚴(yán)重的,有些捆綁軟件可能會(huì)導(dǎo)致用戶在不知情的情況下誤安裝一些惡意軟件���,或者是廣告騷擾程序等���,進(jìn)而不僅僅影響用戶電腦的系統(tǒng)性能,影響用戶上網(wǎng)以及使用軟件時(shí)的體驗(yàn)���,還可能威脅到用戶的電腦安全����。而且�����,有的軟件為了更好的隱藏自己���,以便通過捆綁其他正常軟件一起被安裝,還會(huì)通過各種方式進(jìn)行變體���,因此更難于識(shí)別和攔截�����。因此���,如何準(zhǔn)確識(shí)別出捆綁安裝行為以及對(duì)被捆綁軟件進(jìn)行攔截�����,是目前非常迫切需要解決的技術(shù)問題���。
發(fā)明內(nèi)容
鑒于上述問題,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的用于識(shí)別�、攔截捆綁軟件的系統(tǒng)和相應(yīng)的用于識(shí)別、攔截捆綁軟件的方法�。依據(jù)本發(fā)明的一個(gè)方面,提供了一種用于識(shí)別捆綁軟件的系統(tǒng)�����,包括:捕獲器��,被配置為在客戶端捕獲當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件����,以及獲知新進(jìn)程的相關(guān)信息;第一識(shí)別器����,被配置根據(jù)新進(jìn)程的相關(guān)信息與第一本地特征庫匹配����,第一本地特征庫至少包括已知捆綁軟件的特定特征信息����,如匹配成功則將新進(jìn)程識(shí)別為捆綁軟件,如匹配不成功則輸入至第二識(shí)別器����;第二識(shí)別器,被配置為根據(jù)新進(jìn)程的相關(guān)信息與第二本地特征庫匹配���,第二本地特征庫包括已知捆綁軟件的共性特征信息,如匹配成功則將新進(jìn)程識(shí)別為可疑捆綁軟件��;第三識(shí)別器���,被配置為至少根據(jù)被識(shí)別為可疑捆綁軟件的新進(jìn)程與當(dāng)前進(jìn)程之間的進(jìn)程創(chuàng)建關(guān)系���,在服務(wù)器端的云端數(shù)據(jù)庫中查詢,識(shí)別新進(jìn)程是否為捆綁軟件�,云端數(shù)據(jù)庫至少包括已知具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系和/或已知不具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系����?��?蛇x的�,還包括:本地緩存過濾器���,被配置為根據(jù)已知的本地捆綁白名單對(duì)捕獲器捕獲到的新進(jìn)程先進(jìn)行過濾�����,沒用命中本地捆綁白名單的新進(jìn)程再進(jìn)入第一識(shí)別器進(jìn)行識(shí)別�?��?蛇x的���,第二識(shí)別器還被配置為將未被第二本地特征庫成功匹配的新進(jìn)程的信息提供給本地緩存過濾器,供其更新本地捆綁白名單��;第三識(shí)別器還被配置為將識(shí)別為非捆綁軟件的新進(jìn)程的信息提供給本地緩存過濾器�����,供其更新本地捆綁白名單。
可選的����,還包括:云緩存過濾器,被配置為根據(jù)已知的云捆綁白名單對(duì)第二識(shí)別器識(shí)別為可疑捆綁軟件的新進(jìn)程先進(jìn)行過濾���,沒有命中云捆綁白名單的再發(fā)送至第三識(shí)別器進(jìn)行識(shí)別����??蛇x的,第一本地特征庫包括若干條捆綁特征記錄�����,每一條捆綁特征記錄包含足以確定某一進(jìn)程是捆綁軟件的全部特定特征�,只有在新進(jìn)程的相關(guān)信息與第一本地特征庫中某一條捆綁特征記錄中的全部特定特征都匹配時(shí),第一識(shí)別器才確定為匹配成功�����?���?蛇x的,第二本地特征庫包含的已知捆綁軟件的共性特征信息�,具體通過分析當(dāng)前流行的已知捆綁軟件的文件信息中某一特征要素的共同特性獲得?�?蛇x的�����,還包括:執(zhí)行器����,被配置為當(dāng)?shù)谌R(shí)別器無法判斷新進(jìn)程是否為捆綁軟件時(shí),獲取創(chuàng)建新進(jìn)程的當(dāng)前進(jìn)程樣本的可執(zhí)行文件予以執(zhí)行���,通過執(zhí)行過程和結(jié)果識(shí)別新進(jìn)程是否為捆綁軟件��,并根據(jù)識(shí)別結(jié)果更新云端數(shù)據(jù)庫���。可選的��,新進(jìn)程的相關(guān)信息包括:資源信息�����、簽名信息、PE文件屬性和/或命令行信息��。根據(jù)本發(fā)明的另一方面���,還公開了一種用于攔截捆綁軟件的系統(tǒng)��,包括如前面任一項(xiàng)的用于識(shí)別捆綁軟件的系統(tǒng)以及攔截器���,攔截器被配置為在用戶確認(rèn)后,在保證當(dāng)前進(jìn)程正常安裝的前提下攔截被識(shí)別為捆綁軟件的安裝����。根據(jù)本發(fā)明的另一方面,還公開了一種用于識(shí)別捆綁軟件的客戶端設(shè)備�����,包括:捕獲器��,被配置為在客戶端捕獲當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件����,以及獲知新進(jìn)程的相關(guān)信息����;第一識(shí)別器��,被配置根據(jù)新進(jìn)程的相關(guān)信息與第一本地特征庫匹配�����,第一本地特征庫至少包括已知捆綁軟件的特定特征信息��,如匹配成功則將新進(jìn)程識(shí)別為捆綁軟件��,如匹配不成功則輸入至第二識(shí)別器��;第二識(shí)別器���,被配置為根據(jù)新進(jìn)程的相關(guān)信息與第二本地特征庫匹配,第二本地特征庫包括已知捆綁 軟件的共性特征信息����,如匹配成功則將新進(jìn)程識(shí)別為可疑捆綁軟件,并將當(dāng)前進(jìn)程和新進(jìn)程的進(jìn)程創(chuàng)建關(guān)系發(fā)送至服務(wù)器端進(jìn)行識(shí)別���。根據(jù)本發(fā)明的又一方面���,還公開了一種用于攔截捆綁軟件的客戶端設(shè)備���,包括:檢測(cè)器,被配置為檢測(cè)客戶端中進(jìn)行軟件安裝的當(dāng)前進(jìn)程�;捕獲器,被配置為在客戶端捕獲當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件�,以及獲知新進(jìn)程的相關(guān)信息;第一識(shí)別器�����,被配置根據(jù)新進(jìn)程的相關(guān)信息與第一本地特征庫匹配����,第一本地特征庫至少包括已知捆綁軟件的特定特征信息,如匹配成功則將新進(jìn)程識(shí)別為捆綁軟件��。根據(jù)本發(fā)明的又一方面��,還公開了一種用于攔截捆綁軟件的客戶端設(shè)備�����,包括前面的用于識(shí)別捆綁軟件的客戶端設(shè)備以及攔截器���,攔截器被配置為在用戶確認(rèn)后���,在保證當(dāng)前進(jìn)程正常安裝的前提下攔截被識(shí)別為捆綁軟件的安裝。根據(jù)本發(fā)明的又一方面�,還公開了一種用于識(shí)別捆綁軟件的服務(wù)器端設(shè)備,包括:接口模塊�����,被配置為接收客戶端設(shè)備發(fā)送的被識(shí)別為可疑捆綁軟件的新進(jìn)程與當(dāng)前進(jìn)程的進(jìn)程創(chuàng)建關(guān)系�����,并傳輸至識(shí)別模塊進(jìn)行識(shí)別�����,以及識(shí)別模塊的識(shí)別結(jié)果發(fā)送給客戶端設(shè)備����;識(shí)別模塊,被配置為根據(jù)被識(shí)別為可疑捆綁軟件的新進(jìn)程與當(dāng)前進(jìn)程之間的進(jìn)程創(chuàng)建關(guān)系��,在服務(wù)器端的云端數(shù)據(jù)庫中查詢�,識(shí)別新進(jìn)程是否為捆綁軟件��,云端數(shù)據(jù)庫至少包括已知具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系和/或已知不具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系����。根據(jù)本發(fā)明的又一方面��,還公開了一種用于識(shí)別捆綁軟件的方法��,包括:在客戶端捕獲當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件�����,以及獲知新進(jìn)程的相關(guān)信息�����;根據(jù)新進(jìn)程的相關(guān)信息與第一本地特征庫匹配����,第一本地特征庫至少包括已知捆綁軟件的特定特征信息,如匹配成功則將新進(jìn)程識(shí)別為捆綁軟件����,如匹配不成功則繼續(xù)進(jìn)行識(shí)別;根據(jù)新進(jìn)程的相關(guān)信息與第二本地特征庫匹配�����,第二本地特征庫包括已知捆綁軟件的共性特征信息,如匹配成功則將新進(jìn)程識(shí)別為可疑捆綁軟件�����;至少根據(jù)被識(shí)別為可疑捆綁軟件的新進(jìn)程與當(dāng)前進(jìn)程之間的進(jìn)程創(chuàng)建關(guān)系���,在服務(wù)器端的云端數(shù)據(jù)庫中查詢,識(shí)別新進(jìn)程是否為捆綁軟件��,云端數(shù)據(jù)庫至少包括已知具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系和/或已知不具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系O可選的����,還包括:根據(jù)已知的本地捆綁白名單對(duì)捕獲到的新進(jìn)程先進(jìn)行過濾,沒用命中本地捆綁白名單的新進(jìn)程再根據(jù)第一本地特征庫進(jìn)行識(shí)別���?�?蛇x的���,還包括:根據(jù)未被第二本地特征庫成功匹配的新進(jìn)程的信息,更新本地捆綁白名單����;以及根據(jù)服務(wù)器端的云端數(shù)據(jù)庫識(shí)別為非捆綁軟件的新進(jìn)程的信息��,更新本地捆綁白名單�����??蛇x的��,還包括:當(dāng)根據(jù)云端數(shù)據(jù)庫無法判斷新進(jìn)程是否為捆綁軟件時(shí)���,獲取創(chuàng)建新進(jìn)程的當(dāng)前進(jìn)程樣本的可執(zhí)行文件予以執(zhí)行�����,通過執(zhí)行過程和結(jié)果識(shí)別新進(jìn)程是否為捆綁軟件���,并根據(jù)識(shí)別結(jié)果更新云端數(shù)據(jù)庫。根據(jù)本發(fā)明的又一方面��,還公開了一種用于在客戶端識(shí)別捆綁軟件的方法��,包括:在客戶端捕獲當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件�,以及獲知新進(jìn)程的相關(guān)信息�����;根據(jù)新進(jìn)程的相關(guān)信息與第一本地特征庫匹配���,第一本地特征庫至少包括已知捆綁軟件的特定特征信息,如匹配成功則將新進(jìn)程識(shí)別為捆綁軟件��,如匹配不成功則繼續(xù)進(jìn)行識(shí)別���;根據(jù)新進(jìn)程的相關(guān)信息與第二本地特征庫匹配,第二本地特征庫包括已知捆綁軟件的共性特征信息����,如匹配成功則將新進(jìn)程識(shí)別為可疑捆綁軟件,并將當(dāng)前進(jìn)程和新進(jìn)程的進(jìn)程創(chuàng)建關(guān)系發(fā)送至服務(wù)器端進(jìn)行識(shí)別�����。根據(jù)本發(fā)明的又一方面�����,還公開了一種用于網(wǎng)絡(luò)側(cè)識(shí)別捆綁軟件的方法�����,包括:接收客戶端設(shè)備發(fā)送的被識(shí)別為可疑捆綁軟件的新進(jìn)程與當(dāng)前進(jìn)程的進(jìn)程創(chuàng)建關(guān)系;根據(jù)被識(shí)別為可疑捆綁軟件的新進(jìn)程與當(dāng)前進(jìn)程之間的進(jìn)程創(chuàng)建關(guān)系����,在服務(wù)器端的云端數(shù)據(jù)庫中查詢,識(shí)別新進(jìn)程是否為捆綁軟件��,云端數(shù)據(jù)庫至少包括已知具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系和/或已知不具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系��;將識(shí)別結(jié)果返回至客戶端設(shè)備�。根據(jù)本發(fā)明的又一方面,還公開了一種用于在客戶端識(shí)別捆綁軟件的方法���,包括:檢測(cè)客戶端中進(jìn)行軟件安裝的當(dāng)前進(jìn)程�����;在客戶端捕獲當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件����,以及獲知新進(jìn)程的相關(guān)信息���;根據(jù)新進(jìn)程的相關(guān)信息與第一本地特征庫匹配�����,第一本地特征庫至少包括已知捆綁軟件的特定特征信息���,如匹配成功則將新進(jìn)程識(shí)別為捆綁軟件�。根據(jù)本發(fā)明的用于識(shí)別捆綁軟件的系統(tǒng)及方法��,以及用于攔截捆綁軟件的方法及系統(tǒng)�,通過在客戶端側(cè)設(shè)置至少兩級(jí)識(shí)別以及本地與網(wǎng)絡(luò)側(cè)聯(lián)合查詢識(shí)別,能夠較好的將捆綁軟件識(shí)別及攔截�,從而降低了大量捆綁軟件對(duì)客戶端系統(tǒng)性能的影響,取得了提高系統(tǒng)性能的有益效果���。由于客戶端側(cè)兩級(jí)識(shí)別采用的特征庫不同,其中一級(jí)采用比較詳細(xì)����、具體的特定特征數(shù)據(jù)庫,因此可以直接據(jù)此判定命中的新進(jìn)程是捆綁進(jìn)程����,而另一級(jí)識(shí)別主要針對(duì)信息量小的那些進(jìn)程,通過捆綁軟 件的一些共性進(jìn)行過濾,識(shí)別出可疑捆綁軟件�����,然后再通過云端進(jìn)行查詢�����,也減小了云端查詢的壓力��。進(jìn)一步����,通過在客戶端側(cè)設(shè)置本地緩存捆綁白名單,提高了捆綁軟件的識(shí)別效率�����。更進(jìn)一步��,通過在客戶端側(cè)設(shè)置云緩存捆綁白名單�����,更進(jìn)一步降低了識(shí)別捆綁軟件的通信量�,如果能通過該白名單識(shí)別出不是捆綁軟件,就無需再發(fā)送到服務(wù)器端再進(jìn)行查詢。上述說明僅是本發(fā)明技術(shù)方案的概述���,為了能夠更清楚了解本發(fā)明的技術(shù)手段����,而可依照說明書的內(nèi)容予以實(shí)施���,并且為了讓本發(fā)明的上述和其它目的����、特征和優(yōu)點(diǎn)能夠更明顯易懂���,以下特舉本發(fā)明的具體實(shí)施方式
�。
通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述�,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的����,而并不認(rèn)為是對(duì)本發(fā)明的限制���。而且在整個(gè)附圖中���,用相同的參考符號(hào)表示相同的部件��。在附圖中:圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的用于攔截捆綁軟件的系統(tǒng)示意圖����;圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的用于識(shí)別捆綁軟件的方法流程圖���。
具體實(shí)施例方式下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例�����。雖然附圖中顯示了本公開的示例性實(shí)施例���,然而應(yīng)當(dāng)理解,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制�。相反,提供這些實(shí)施例是為了能夠更透徹地理解本公開�,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。本發(fā)明實(shí)施例可以應(yīng)用于計(jì)算機(jī)系統(tǒng)/服務(wù)器�����,其可與眾多其它通用或?qū)S糜?jì)算系統(tǒng)環(huán)境或配置一起操作�。適于與計(jì)算機(jī)系統(tǒng)/服務(wù)器一起使用的眾所周知的計(jì)算系統(tǒng)���、環(huán)境和/或配置的例子包括但不限于:個(gè)人計(jì)算機(jī)系統(tǒng)、服務(wù)器計(jì)算機(jī)系統(tǒng)�、瘦客戶機(jī)、厚客戶機(jī)���、手持或膝上設(shè)備�����、基于微處理器的系統(tǒng)���、機(jī)頂盒、可編程消費(fèi)電子產(chǎn)品����、網(wǎng)絡(luò)個(gè)人電腦、小型計(jì)算機(jī)系統(tǒng)��、大型計(jì)算機(jī)系統(tǒng)和包括上述任何系統(tǒng)的分布式云計(jì)算技術(shù)環(huán)境�����,等等���。計(jì)算機(jī)系統(tǒng)/服務(wù)器可以在由計(jì)算機(jī)系統(tǒng)執(zhí)行的計(jì)算機(jī)系統(tǒng)可執(zhí)行指令(諸如程序模塊)的一般語境下描述����。通常����,程序模塊可以包括例程、程序�����、目標(biāo)程序�、組件、邏輯����、數(shù)據(jù)結(jié)構(gòu)等等,它們執(zhí)行特定的任務(wù)或者實(shí)現(xiàn)特定的抽象數(shù)據(jù)類型�����。計(jì)算機(jī)系統(tǒng)/服務(wù)器可以在分布式云計(jì)算環(huán)境中實(shí)施����,分布式云計(jì)算環(huán)境中���,任務(wù)是由通過通信網(wǎng)絡(luò)鏈接的遠(yuǎn)程處理設(shè)備執(zhí)行的。在分布式云計(jì)算環(huán)境中���,程序模塊可以位于包括存儲(chǔ)設(shè)備的本地或遠(yuǎn)程計(jì)算系統(tǒng)存儲(chǔ)介質(zhì)上�����。請(qǐng)參閱圖1�,其為根據(jù)本發(fā)明一個(gè)實(shí)施例的用于攔截捆綁軟件的系統(tǒng)示意圖��。在本實(shí)施例中����,該系統(tǒng)包括客戶端側(cè)的設(shè)備和服務(wù)器側(cè)的設(shè)備,具體而言����,客戶端側(cè)包括捕獲器110、第一識(shí)別器120�、第二識(shí)別器130、本地緩存過濾器140�����、攔截器150以及云緩存過濾器160,服務(wù)器側(cè)包括第三識(shí)別器210和執(zhí)行器220��。下面結(jié)合具體數(shù)據(jù)處理流程詳細(xì)介紹��。首先����,捕獲器110在客戶端捕獲當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件��,以及獲知所述新進(jìn)程的相關(guān)信息���。例如���,通過在客戶端將現(xiàn)有進(jìn)程的CreateProcessInternalW函數(shù)進(jìn)行掛載,捕獲當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件��,以及獲知所述新進(jìn)程的相關(guān)信息����。為描述更清楚,在后續(xù)描述過程中��,以現(xiàn)有進(jìn)程具體是A進(jìn)程�、創(chuàng)建的新進(jìn)程是B進(jìn)程為例進(jìn)行說明���。本領(lǐng)域技術(shù)人員可以理解,B進(jìn)程實(shí)質(zhì)上指的也是B的安裝包�����,B的安裝包成功安裝后即為B軟件�����,因此����,B進(jìn)程、B的安裝包�����、B軟件在本申請(qǐng)中可以理解為指代的是同一概念����。具體而言,本系統(tǒng)啟動(dòng)時(shí)���,捕獲器110對(duì)客戶端中運(yùn)行的當(dāng)前進(jìn)程進(jìn)行HOOK(鉤子)注入�,當(dāng)前進(jìn)程的CreateProcessInternalW函數(shù)會(huì)被掛載,即當(dāng)前進(jìn)程的CreateProcessInternalff函數(shù)會(huì)被替換為本系統(tǒng)自己的函數(shù)�,進(jìn)而任何一個(gè)當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的過程都可以被捕獲到,例如A進(jìn)程創(chuàng)建B進(jìn)程的動(dòng)作會(huì)被捕獲器110捕獲到�����,并且能夠查看被新創(chuàng)建的B進(jìn)程的文件信息����。B進(jìn)程的文件信息通常包括以下信息中的一種或多種:資源信息�����、簽名信息�、PE文件屬性以及命令行信息。其中���,資源信息主要包括版本號(hào)�、公司名��、產(chǎn)品名稱��、內(nèi)部名稱等;簽名信息包括簽名人�����、簽名日期等信息����;PE文件屬性包括:文件大小、PE文件的時(shí)間戳等信息�����。在捕獲器110捕獲到一當(dāng)前進(jìn)程創(chuàng)建了新進(jìn)程的事件后�����,本地緩存過濾器140根據(jù)已知的本地捆綁白名單對(duì)捕獲器110捕獲到的新進(jìn)程先進(jìn)行過濾�����,沒用命中所述本地捆綁白名單的新進(jìn)程再進(jìn)入第一識(shí)別器進(jìn)行識(shí)別�。本地緩存過濾器140中的本地捆綁白名單在最初可能是空的,但隨著后續(xù)第一識(shí)別器120和第二識(shí)別器130不斷識(shí)別出不是捆綁軟件數(shù)量的增加�,可以隨之豐富本地捆綁白名單中的內(nèi)容,后續(xù)在描述第二識(shí)別器130時(shí)還會(huì)具體描述如何根據(jù)識(shí)別結(jié)果更新本地捆綁白名單����。在本地捆綁白名單中記錄有確定不是捆綁軟件的那些軟件的特征信息�,可疑根據(jù)本地各識(shí)別器識(shí)別后確定不是捆綁軟件���,特征信息可以選擇文件的基本三要素即可��,如文件路徑�、最后修改時(shí)間和文件大小����。由于捕獲器110可以獲知新進(jìn)程的相關(guān)信息,其中也包括文件的三要素���,因此本地緩存過濾器140據(jù)此在本地捆綁白名單中匹配,如果能夠匹配成功���,則確定該進(jìn)程不是捆綁軟件�,即放行��。也無需進(jìn)行后續(xù)的識(shí)別流程�����。可見���,通過將本地緩存過濾器140設(shè)置在識(shí)別的最前端�����,可以提高識(shí)別效率�����,不需要對(duì)已經(jīng)通過第一識(shí)別器120及第二識(shí)別器130等識(shí)別過��、確定不是捆綁軟件的新進(jìn)程再次進(jìn)程識(shí)別�,直接通過本地白名單即可確定�����,自然也就不需要對(duì)第一識(shí)別器120和第二識(shí)別器130提供進(jìn)行識(shí)別所需的一些新進(jìn)程 的相關(guān)信息��,如資源信息�����、簽名信息以及PE文件屬性等���,從而節(jié)省了查詢和獲取所帶來的開銷����。當(dāng)然,本領(lǐng)域技術(shù)人員可以理解�,本地緩存過濾器140是一種為了提高識(shí)別效率而采用的一種可選方案,如果沒有本地緩存過濾器140的存在���,即捕獲器110捕獲到當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件后�,直接傳輸?shù)降谝蛔R(shí)別器120開始識(shí)別��,也不影響識(shí)別結(jié)果����,理論上也是可行的。此外����,雖然緩存白名單意義比較大����,因?yàn)槟承﹚ord、excel等常用軟件可能用戶每天都需要使用���,緩存白名單的存在能夠減少對(duì)常用軟件的識(shí)別工作量�����,但也不排除在某些特殊情況下��,可以在本地緩存過濾器140中設(shè)置本地捆綁黑名單��。如果沒有命中本地捆綁白名單�����,則繼續(xù)通過第一識(shí)別器120進(jìn)行識(shí)別��。第一識(shí)別器120根據(jù)新進(jìn)程的相關(guān)信息與第一本地特征庫匹配�����,第一本地特征庫至少包括已知捆綁軟件的特定特征信息����,如匹配成功則將該新進(jìn)程識(shí)別為捆綁軟件,如匹配不成功則輸入至第二識(shí)別器130�����。具體而言第一本地特征庫存儲(chǔ)有一些捆綁軟件的描述信息。存儲(chǔ)形式一般是若干條捆綁特征記錄�����,每一條捆綁特征記錄包含足以確定某一進(jìn)程是捆綁軟件的全部特定特征��,只有在所述新進(jìn)程的相關(guān)信息與所述第一本地特征庫中某一條捆綁特征記錄中的全部特定特征都匹配時(shí)��,第一識(shí)別器120才確定為匹配成功����。每一條捆綁特征記錄中包括的要素通常是已知捆綁軟件的資源信息、簽名信息��、PE文件屬性以及命令行信息等���,有時(shí)這四部分信息都有�,有時(shí)只有其中的一部分(比如某個(gè)捆綁軟件在安裝過程中不需要命令行��,那么捆綁特征記錄中就可能沒有命令行的信息)�,但都要保證根據(jù)每一條捆綁特征記錄中的全部要素都滿足時(shí)�����,能夠確定一個(gè)待識(shí)別的新進(jìn)程是捆綁軟件才行。因此�����,一般第一本地特征庫中每條捆綁特征記錄的內(nèi)容相對(duì)較完整���,以便提高捆綁軟件識(shí)別的準(zhǔn)確率���。例如,A進(jìn)程新創(chuàng)建的B進(jìn)程的文件信息比較全����,包括資源信息、簽名信息�、PE文件屬性以及命令行信息。第一識(shí)別器120將B進(jìn)程的這些文件信息內(nèi)容���,與第一本地特征庫中的各條捆綁特征記錄進(jìn)行匹配��,如果某條捆綁特征記錄中也包含資源信息�、簽名信息����、PE文件屬性以及命令行信息四部分信息���,并且具體內(nèi)容與B進(jìn)程的文件信息內(nèi)容完全一致,那么即可判斷B進(jìn)程是捆綁軟件�����。需要注意的是���,為了降低誤報(bào)率��,第一識(shí)別器110采用的是完全匹配原則���,如果B進(jìn)程的文件信息只與第一本地特征庫中某一條捆綁特征記錄中的一部分特征要素匹配成功,還有一部分沒有匹配成功�,那么也不能判斷為匹配成功,即不能識(shí)別B進(jìn)程為捆綁軟件��。第一本地?cái)?shù)據(jù)庫中已知捆綁軟件的特定特征信息可以通過抓包����、運(yùn)行、分析捆綁邏輯等多種方式獲得���。捆綁軟件目前有多種����,比較常見的一是直接捆包��,二是可能通過在網(wǎng)上申請(qǐng)一個(gè)地址�����,地址描述了會(huì)捆綁哪些軟件���,下載描述鏈接��,則可以自動(dòng)運(yùn)行安裝����。針對(duì)第一種����,可以直接抓包提取捆綁包的特征信息,記錄到第一本地?cái)?shù)據(jù)庫���。對(duì)于第二種��,可以通過抓包工具分析捆綁的邏輯�����,例如訪問了哪些資源定位符URL���,捆綁了哪些包����,然后收集這些鏈接���,記入U(xiǎn)RL池���,周期性啟動(dòng)一次URL池的更新,以便下載下最新的鏈接����,從而獲得最新的捆綁包內(nèi)容。然后可以在沙箱�、密罐等隔離環(huán)境中運(yùn)行相關(guān)軟件,如果特定時(shí)間內(nèi)這些軟件安裝的同時(shí)還自動(dòng)安裝了其他的軟件��,則可以判斷這些其他的軟件是不是捆綁包�����。如果新識(shí)別出的捆綁包特征信息沒有在第一本地特征庫中予以記錄,那么就可以新增到第一本地特征庫���。對(duì)于第二種URL的情況,可能捆綁包更新很快���,但只要URL不變���,通過周期性更新下載,就可以得到最新的捆綁包�。從而保證了第一本地特征庫內(nèi)容的及時(shí)更新?���?蛇x的,考慮到很多捆綁軟件的變體僅僅是大小不同�����,其余的各種信息都是相同的�,因此,為了減少第一本地識(shí)別庫的冗余信息����,可以在某條捆綁特征記錄中文件大小這一要素限定為一個(gè)范圍���,而不是某個(gè)特定的值,這樣該條捆綁特征記錄可以命中若干屬于變體關(guān)系的捆綁軟件��。如果第一識(shí)別器120識(shí)別出B進(jìn)程是捆綁軟件���,則攔截器150會(huì)在用戶確認(rèn)后�����,在保證當(dāng)前A進(jìn)程正常安裝的前提下攔截被識(shí)別為捆綁軟件的B進(jìn)程的安裝�。具體而言�,攔截器150會(huì)向用戶提示,如彈框�����,如是否繼續(xù)安裝B軟件或是否阻止安裝�����。本領(lǐng)域技術(shù)人員可以理解�����,如果不包含攔截器150,本實(shí)施例所示的系統(tǒng)可以理解為是一種用于識(shí)別捆綁軟件的系統(tǒng)����。前面提到,第一本地特征庫中的特定特征信息一般比較具體�、詳細(xì),如果完全匹配�����,即可準(zhǔn)確判斷是否為捆綁軟件�����。但是����,很多捆綁軟件為了避免被識(shí)別����,會(huì)不寫版本號(hào)、亂寫版本號(hào)����、不寫公司名稱�、簽名以及軟件大小等���,或者經(jīng)常變化這些信息��,因此��,捕獲器110捕獲到的新進(jìn)程的相關(guān)信息可能很少��,大量信息缺失���,這種情況下根據(jù)第一識(shí)別器120就無法準(zhǔn)確識(shí)別,為此�����,本發(fā)明實(shí)施例中設(shè)置了第二識(shí)別器130��。
第二識(shí)別器根據(jù)所述新進(jìn)程的相關(guān)信息與第二本地特征庫匹配�,第二本地特征庫包括已知捆綁軟件的共性特征信息,如匹配成功則將所述新進(jìn)程識(shí)別為可疑捆綁軟件�����。具體而言已知捆綁軟件的共性特征信息,可以通過分析當(dāng)前流行的已知捆綁軟件的文件信息中某一特征要素的共同特性獲得��。例如�,通過對(duì)已知的大量捆綁軟件分析發(fā)現(xiàn),有些捆綁軟件具有一定的共性����,如文件大小均在某個(gè)范圍內(nèi),如之間�����,或者簽名都包含相同的特定內(nèi)容����,如都包含XXX字符���。本領(lǐng)域技術(shù)人員可以理解����,捆綁軟件的共性隨著流行趨勢(shì)的變化�����、時(shí)間的推移、樣本量的變化都可能隨之變化�,因此本發(fā)明實(shí)施例對(duì)此并沒有限制,包括但不限于上述提到的幾種共性�����。進(jìn)而���,就可以將這些捆綁包的共性提取成為共性特征信息��,記錄到第二本地特征庫���。可選的�,第二本地特征庫的格式與第一本地特征庫的格式可以相同,比如每條共性特征記錄也是四部分的格式:資源信息�、簽名信息、PE文件屬性以及命令行信息����,但其中部分內(nèi)容是空白的,如資源信息�����、簽名信息和命令行信息部分都是空的,只有PE文件屬性那部分有個(gè)文件大小的范圍���,如**M*至**M之間��。進(jìn)而�,根據(jù)該條記錄�����,只要新進(jìn)程的文件大小在**M至**M之間���,即使其他諸如資源信息����、簽名信息和命令行信息等內(nèi)容缺失�����,也可以在第二本地特征庫匹配成功���,進(jìn)而被第二識(shí)別器130識(shí)別為可疑捆綁軟件。由于第二本地特征庫中記錄的是一些捆綁軟件在某個(gè)方面的共性特征�����、但進(jìn)程的各種信息又相對(duì)不完全,因此���,與第二本地特征庫匹配成功的新進(jìn)程只能算是可疑的捆綁軟件��,并不能像匹配成功第一本地特征庫的新進(jìn)程一樣能夠確定為捆綁軟件���。因此,第二識(shí)別器130識(shí)別出的可疑捆綁軟件還需要進(jìn)行服務(wù)器側(cè)的云端查詢��?���?蛇x的,為了不斷豐富本地捆綁白名單����,第二識(shí)別器130還將未被第二本地特征庫成功匹配的新進(jìn)程的信息提供給本地緩存過濾器140,供其更新本地捆綁白名單����。因?yàn)榉彩墙?jīng)過第二識(shí)別器130識(shí)別、但未確定為可疑捆綁軟件的那些新進(jìn)程,之前必然也是沒有被第一識(shí)別器110的第一本地特征庫命中的����,因此基本可以確定為不是捆綁軟件,能夠放行���,可以增加到緩存中的白名單中����。進(jìn)而����,后續(xù)如果再有相同的新進(jìn)程需要判斷是否為捆綁軟件,直接根據(jù)緩存中的本地捆綁白名單查詢即可知道�����,無需再通過第一本地特征庫和第二本地特征庫的匹配查詢了���,從而提高了查詢效率����,降 低了系統(tǒng)的負(fù)荷和運(yùn)行開銷��。當(dāng)?shù)诙R(shí)別器130確定待識(shí)別的新進(jìn)程屬于可疑捆綁軟件后��,則開始進(jìn)行云查詢���。可選的,為了提高云查詢效率�����,服務(wù)器端可以將收集到的云捆綁軟件白名單通過安裝預(yù)置或者定期�、不定期升級(jí)方式提供給各客戶端,以便在客戶端需要進(jìn)行云查詢時(shí)先在本地根據(jù)云捆綁白名單進(jìn)行云緩存查詢���,查詢未命中再發(fā)送到服務(wù)器端進(jìn)一步查詢��。具體而言���,云緩存過濾器160根據(jù)已知的云捆綁白名單對(duì)第二識(shí)別器130識(shí)別為可疑捆綁軟件的新進(jìn)程先進(jìn)行過濾,沒有命中云捆綁白名單的再發(fā)送至第三識(shí)別器210進(jìn)行識(shí)別�。云緩存中的云捆綁白名單查詢的位置與本地捆綁白名單查詢的位置不同,前者設(shè)置在第二識(shí)別器130之后�����,后者設(shè)置在第一識(shí)別器120之前;前者白名單中的內(nèi)容是服務(wù)器端通過對(duì)本地客戶端安裝預(yù)置或升級(jí)的方式提供的���,因此不同客戶端中云捆綁軟件白名單在同一時(shí)間可以實(shí)時(shí)同步�,而后者是每個(gè)客戶端基于各自的捆綁軟件識(shí)別記錄生成的�,因此具有個(gè)性化的特性,不同客戶端中的本地捆綁白名單的內(nèi)容不同����。從技術(shù)效果上講,云捆綁軟件白名單的存在優(yōu)化了訪問云端導(dǎo)致的網(wǎng)絡(luò)傳輸�,而且也優(yōu)化了整個(gè)流程,提高了識(shí)別效率����。同樣,本地捆綁白名單的存在���,也優(yōu)化了整個(gè)流程���,節(jié)省了本地識(shí)別過程的開銷,提高了識(shí)別效率�。云捆綁白名單的內(nèi)容主要是進(jìn)程創(chuàng)建關(guān)系,凡是命中捆綁白名單中進(jìn)程創(chuàng)建關(guān)系的進(jìn)程創(chuàng)建行為都不屬于捆綁行為�,即創(chuàng)建的新進(jìn)程不屬于捆綁軟件��。進(jìn)程創(chuàng)建關(guān)系主要指哪個(gè)進(jìn)程創(chuàng)建了哪個(gè)進(jìn)程�����。例如,如果當(dāng)前進(jìn)程是A進(jìn)程���,A進(jìn)程創(chuàng)建了 B進(jìn)程���,B進(jìn)程根據(jù)第一識(shí)別器120和第二識(shí)別器130的識(shí)別后判定是可疑捆綁軟件,而云捆綁白名單中有一條記錄是A進(jìn)程創(chuàng)建B進(jìn)程不是捆綁行為���、B進(jìn)程不是捆綁軟件���,那么就可以據(jù)此判斷當(dāng)前待識(shí)別的B進(jìn)程不是捆綁軟件??梢姡凭彺孢^濾器160是基于進(jìn)程創(chuàng)建關(guān)系進(jìn)行過濾的�����,即根據(jù)當(dāng)前進(jìn)程是什么��、該進(jìn)程創(chuàng)建了什么新進(jìn)程,如當(dāng)前進(jìn)程A進(jìn)程是什么�����、該進(jìn)程創(chuàng)建了 B進(jìn)程����、B進(jìn)程是什么,而不再是像第一識(shí)別器120和第二識(shí)別器130僅根據(jù)新進(jìn)程的相關(guān)信息做判斷�。如果被云緩存過濾器160的云捆綁白名單命中,即可判定該進(jìn)程創(chuàng)建行為不是捆綁行為�,進(jìn)而新進(jìn)程也就不是捆綁軟件,放行即可����。同時(shí)告知本地緩存過濾器140,供其更新本地捆綁白名單�。如果沒有被云緩存過濾器160的云捆綁白名單命中,則只能發(fā)送到服務(wù)器側(cè)的第三識(shí)別器210進(jìn)行云端查詢��。當(dāng)然�,本領(lǐng)域技術(shù)人員可以理解,云緩存過濾器160是一種為了提高云端識(shí)別效率而采用的一種可選方案�,如果沒有云緩存過濾器160的存在,第二識(shí)別器130識(shí)別出可疑捆綁軟件后��,直接傳輸?shù)椒?wù)器端的第三識(shí)別器210進(jìn)程識(shí)別,也不影響識(shí)別結(jié)果���,理論上也是可行的����。此外���,雖然云緩存白名單意義比較大,但也不排除在某些特殊情況下�,也可以在云緩存中設(shè)置云捆綁黑名單。當(dāng)需要到網(wǎng)絡(luò)側(cè)進(jìn)行查詢時(shí)���,客戶端側(cè)將待識(shí)別的進(jìn)程創(chuàng)建關(guān)系���,具體包括當(dāng)前進(jìn)程的信息、新進(jìn)程的信息以及兩個(gè)進(jìn)程之間的創(chuàng)建關(guān)系發(fā)送至服務(wù)器側(cè)�����。進(jìn)而服務(wù)器側(cè)的第三識(shí)別器210�,根據(jù)被識(shí)別為可疑捆綁軟件的新進(jìn)程與當(dāng)前進(jìn)程之間的進(jìn)程創(chuàng)建關(guān)系,在服務(wù)器端的云端數(shù)據(jù)庫中查詢�,識(shí)別該新進(jìn)程是否為捆綁軟件����,云端數(shù)據(jù)庫至少包括已知具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系和/或已知不具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系��。例如���,在云端數(shù)據(jù)庫中記錄有A進(jìn)程創(chuàng)建B進(jìn)程是捆綁行為�����、B進(jìn)程是捆綁軟件����;C進(jìn)程創(chuàng)建D進(jìn)程不是捆綁行為�����、D進(jìn)程不是捆綁軟件等等若干條這樣的信息�����。此時(shí)���,如果客戶端側(cè)發(fā)來的待識(shí)別的進(jìn)程創(chuàng)建關(guān)系是A進(jìn)程創(chuàng)建了 B進(jìn)程����,那么根據(jù)云端數(shù)據(jù)庫中已有的捆綁行為記錄即可判斷當(dāng)前待識(shí)別的進(jìn)程創(chuàng)建行為是捆 綁行為,B進(jìn)程是捆綁軟件�。反之,如果待識(shí)別的進(jìn)程創(chuàng)建關(guān)系是C進(jìn)程創(chuàng)建了 D進(jìn)程�,那么識(shí)別結(jié)果就不是捆綁軟件。進(jìn)而���,第三識(shí)別器210可以給客戶端側(cè)反饋?zhàn)R別結(jié)果�,客戶端側(cè)可以根據(jù)識(shí)別結(jié)果選擇放行�、或者通過攔截器150給用戶提示及攔截����。具體的,第三識(shí)別器210可以包括接口模塊和識(shí)別模塊���。其中���,接口模塊用于接收客戶端設(shè)備發(fā)送的被識(shí)別為可疑捆綁軟件的新進(jìn)程與當(dāng)前進(jìn)程的進(jìn)程創(chuàng)建關(guān)系,并傳輸至識(shí)別模塊進(jìn)行識(shí)別��,以及將識(shí)別模塊的識(shí)別結(jié)果發(fā)送給客戶端設(shè)備;識(shí)別模塊用于根據(jù)被識(shí)別為可疑捆綁軟件的新進(jìn)程與當(dāng)前進(jìn)程之間的進(jìn)程創(chuàng)建關(guān)系���,在服務(wù)器端的云端數(shù)據(jù)庫中查詢��,識(shí)別所述新進(jìn)程是否為捆綁軟件�,所述云端數(shù)據(jù)庫至少包括已知具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系和/或已知不具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系���。此外��,如果當(dāng)前待識(shí)別的進(jìn)程創(chuàng)建關(guān)系是E進(jìn)程創(chuàng)建了 F進(jìn)程�,而云端數(shù)據(jù)庫中沒有明確記錄這種創(chuàng)建關(guān)系是否屬于捆綁行為��,即第三識(shí)別器210無法識(shí)別出是或不是的準(zhǔn)確結(jié)果�,那么識(shí)別結(jié)果只能是未知,進(jìn)而給客戶端反饋未知的識(shí)別結(jié)果�����??蛻舳藗?cè)可以據(jù)此選擇放行或者提示用戶。對(duì)于這種未知的識(shí)別結(jié)果���,服務(wù)器端后續(xù)還要通過執(zhí)行器220進(jìn)行處理����,當(dāng)?shù)谌R(shí)別器210無法判斷新進(jìn)程是否為捆綁軟件時(shí),獲取創(chuàng)建該新進(jìn)程的當(dāng)前進(jìn)程樣本的可執(zhí)行文件予以執(zhí)行����,通過執(zhí)行過程和結(jié)果識(shí)別該新進(jìn)程是否為捆綁軟件,并根據(jù)該識(shí)別結(jié)果更新所述云端數(shù)據(jù)庫����。例如,假如客戶端側(cè)發(fā)送的進(jìn)程創(chuàng)建關(guān)系是E進(jìn)程創(chuàng)建了 F進(jìn)程�,根據(jù)第三識(shí)別器210無法確定是否為捆綁行為,進(jìn)而網(wǎng)絡(luò)側(cè)基于強(qiáng)大的樣本數(shù)據(jù)庫獲得E進(jìn)程的可執(zhí)行文件���,然后在密罐�����、沙箱等安全可信的環(huán)境中運(yùn)行該可執(zhí)行文件,即真正安裝一遍E進(jìn)程�,通過注冊(cè)表、下載項(xiàng)��、文件和快捷方式等多項(xiàng)內(nèi)容判斷在安裝E的過程中是否真的捆綁安裝了 F����。對(duì)于疑難情況���,還可以人工二次確認(rèn)。最終判斷E進(jìn)程創(chuàng)建F進(jìn)程是否為捆綁行為�、F進(jìn)程是否為捆綁軟件,進(jìn)而將結(jié)果更新入云端數(shù)據(jù)庫�����。進(jìn)而�,后續(xù)如果還有客戶端發(fā)送E進(jìn)程創(chuàng)建F進(jìn)程是否為捆綁行為的識(shí)別請(qǐng)求,那么服務(wù)器端直接根據(jù)云端數(shù)據(jù)庫中的該條確定記錄即可給出識(shí)別結(jié)果��。執(zhí)行器220也是第三識(shí)別器210使用的云端數(shù)據(jù)庫的運(yùn)營(yíng)手段����。在最初云端數(shù)據(jù)庫中的有效記錄可能很少,但隨著各客戶端發(fā)送的識(shí)別請(qǐng)求越來越多���,通過執(zhí)行器220處理一段時(shí)間之后��,可以獲得越來越多的有效記錄�,然后提供給云端數(shù)據(jù)庫使用����,從而使得云端數(shù)據(jù)庫中的有效記錄越來越龐大��?�?蛇x的�����,為了降低誤報(bào)率�,還可以設(shè)置更新模塊���,用于收集各用戶對(duì)提示是否繼續(xù)安裝捆綁軟件的選擇信息����,如果同一軟件�����,基于本系統(tǒng)的特征庫或者云端數(shù)據(jù)庫判斷是捆綁軟件��,但達(dá)到一定數(shù)量級(jí)的用戶都選擇對(duì)這款軟件繼續(xù)安裝��,那么表明很可能是個(gè)誤報(bào)�,進(jìn)而技術(shù)人員可以基于收集的信息再次確認(rèn)分析,如果發(fā)現(xiàn)確實(shí)是誤報(bào)�,那么會(huì)通過更新的方式將第一本地特征庫或第二本地特征庫或云端數(shù)據(jù)庫中的相關(guān)錯(cuò)誤記錄刪除。此外�����,本發(fā)明實(shí)施例還公開了一種用于攔截捆綁軟件的客戶端設(shè)備���,包括:檢測(cè)器���,用于檢測(cè)客戶端中進(jìn)行軟件安裝的當(dāng)前進(jìn)程;捕獲器����,用于在客戶端捕獲當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件,以及獲知新進(jìn)程的相關(guān)信息�;第一識(shí)別器,用于根據(jù)新進(jìn)程的相關(guān)信息與第一本地特征庫匹配����,第一本地特征庫至少包括已知捆綁軟件的特定特征信息,如匹配成功則將新進(jìn)程識(shí)別為捆綁軟件���。其中���,檢測(cè)器主要是為了檢測(cè)到用戶安裝軟件的事件���,比如檢測(cè)到用戶安裝軟件的請(qǐng)求或者檢測(cè)到安裝軟件的進(jìn)程等。至于捕獲器和第一識(shí)別器則與前面實(shí)施例中的相關(guān)描述相同��,此處不再贅述��。請(qǐng)參閱圖2�,其為根據(jù)本發(fā)明實(shí)施例的一種用于識(shí)別捆綁軟件的方法流程示意圖,包括:步驟S210:在客戶端捕獲當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件����,以及獲知新進(jìn)程的相關(guān)信息;步驟S220:根據(jù)新進(jìn)程的相關(guān)信息與第一本地特征庫匹配�����,第一本地特征庫至少包括已知捆綁軟件的特定特征信息��,如匹配成功則將新進(jìn)程識(shí)別為捆綁軟件��,如匹配不成功則繼續(xù)進(jìn)行識(shí)別����;步驟S230:根據(jù)新進(jìn)程的相關(guān)信息與第二本地特征庫匹配,第二本地特征庫包括已知捆綁軟件的共性特征信息���,如匹配成功則將新進(jìn)程識(shí)別為可疑捆綁軟件�����;步驟S240: 至少根據(jù)被識(shí)別為可疑捆綁軟件的新進(jìn)程與當(dāng)前進(jìn)程之間的進(jìn)程創(chuàng)建關(guān)系�,在服務(wù)器端的云端數(shù)據(jù)庫中查詢���,識(shí)別新進(jìn)程是否為捆綁軟件�,云端數(shù)據(jù)庫至少包括已知具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系和/或已知不具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系�。
可選的,還包括:如果識(shí)別出新進(jìn)程是捆綁軟件�����,則在用戶確認(rèn)后�,在保證當(dāng)前進(jìn)程正常安裝的前提下阻止該進(jìn)程的安裝,即攔截該新進(jìn)程的安裝��?����?蛇x的,還包括:根據(jù)已知的本地捆綁白名單對(duì)捕獲到的新進(jìn)程先進(jìn)行過濾���,沒用命中本地捆綁白名單的新進(jìn)程再根據(jù)第一本地特征庫進(jìn)行識(shí)別����?���?蛇x的,還包括:根據(jù)未被第二本地特征庫成功匹配的新進(jìn)程的信息��,更新本地捆綁白名單���;以及根據(jù)服務(wù)器端的云端數(shù)據(jù)庫識(shí)別為非捆綁軟件的新進(jìn)程的信息��,更新本地捆綁白名單�?����?蛇x的��,還包括:當(dāng)根據(jù)云端數(shù)據(jù)庫無法判斷新進(jìn)程是否為捆綁軟件時(shí),獲取創(chuàng)建新進(jìn)程的當(dāng)前進(jìn)程樣本的可執(zhí)行文件予以執(zhí)行��,通過執(zhí)行過程和結(jié)果識(shí)別新進(jìn)程是否為捆綁軟件����,并根據(jù)識(shí)別結(jié)果更新云端數(shù)據(jù)庫�����。由于上述用于識(shí)別捆綁軟件的方法與前面用于識(shí)別捆綁軟件的系統(tǒng)是相對(duì)應(yīng)的����,因此,相關(guān)步驟的具體實(shí)現(xiàn)可以參考前述系統(tǒng)實(shí)施例中的相關(guān)部件����,此處不再贅述。此外��,本發(fā)明實(shí)施例還公開了一種用于攔截捆綁軟件的方法����,包括前面描述的用于識(shí)別捆綁軟件的方法以及下述步驟:在用戶確認(rèn)后,在保證所述當(dāng)前進(jìn)程正常安裝的前提下攔截被識(shí)別為捆綁軟件的安裝��。本發(fā)明實(shí)施例還公開了一種用于在客戶端識(shí)別捆綁軟件的方法,包括:在客戶端捕獲當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件����,以及獲知新進(jìn)程的相關(guān)信息;根據(jù)新進(jìn)程的相關(guān)信息與第一本地特征庫匹配��,第一本地特征庫至少包括已知捆綁軟件的特定特征信息����,如匹配成功則將新進(jìn)程識(shí)別為捆綁軟件,如匹配不成功則繼續(xù)進(jìn)行識(shí)別�����;根據(jù)新進(jìn)程的相關(guān)信息與第二本地特征庫匹配��,第二本地特征庫包括已知捆綁軟件的共性特征信息��,如匹配成功則將該新進(jìn)程識(shí)別為可疑捆綁軟件�����,并將當(dāng)前進(jìn)程和新進(jìn)程的進(jìn)程創(chuàng)建關(guān)系發(fā)送至服務(wù)器端進(jìn)行識(shí)別�。本發(fā)明實(shí)施例還·公開了一種用于網(wǎng)絡(luò)側(cè)識(shí)別捆綁軟件的方法,包括:接收客戶端設(shè)備發(fā)送的被識(shí)別為可疑捆綁軟件的新進(jìn)程與當(dāng)前進(jìn)程的進(jìn)程創(chuàng)建關(guān)系���;根據(jù)被識(shí)別為可疑捆綁軟件的新進(jìn)程與當(dāng)前進(jìn)程之間的進(jìn)程創(chuàng)建關(guān)系�,在服務(wù)器端的云端數(shù)據(jù)庫中查詢,識(shí)別新進(jìn)程是否為捆綁軟件�����,云端數(shù)據(jù)庫至少包括已知具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系和/或已知不具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系���;將識(shí)別結(jié)果返回至客戶端設(shè)備。本發(fā)明實(shí)施例還公開了一種用于在客戶端識(shí)別捆綁軟件的方法����,包括:檢測(cè)客戶端中進(jìn)行軟件安裝的當(dāng)前進(jìn)程;在客戶端捕獲所述當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件��,以及獲知所述新進(jìn)程的相關(guān)信息�;根據(jù)所述新進(jìn)程的相關(guān)信息與第一本地特征庫匹配,所述第一本地特征庫至少包括已知捆綁軟件的特定特征信息�����,如匹配成功則將所述新進(jìn)程識(shí)別為捆綁軟件�����。從以上實(shí)施例可以看出,本發(fā)明各實(shí)施例����,通過在客戶端側(cè)設(shè)置兩級(jí)識(shí)別以及本地與網(wǎng)絡(luò)側(cè)聯(lián)合查詢識(shí)別,能夠較好的將捆綁軟件識(shí)別及攔截���,從而降低了大量捆綁軟件對(duì)客戶端系統(tǒng)性能的影響�。由于客戶端側(cè)兩級(jí)識(shí)別采用的特征庫不同����,第一級(jí)采用比較詳細(xì)、具體的特定特征數(shù)據(jù)庫���,因此可以直接據(jù)此判定命中的新進(jìn)程是捆綁進(jìn)程��,而第二級(jí)識(shí)別主要針對(duì)信息量小的那些進(jìn)程�,通過捆綁軟件的一些共性進(jìn)行過濾��,識(shí)別出可疑捆綁軟件����,然后再通過云端進(jìn)行查詢,也減小了云端查詢的壓力���。進(jìn)一步����,通過在客戶端側(cè)的最前端設(shè)置本地緩存捆綁白名單,提高了捆綁軟件的識(shí)別效率��。更進(jìn)一步�,通過在客戶端側(cè)的最末端設(shè)置云緩存捆綁白名單,更進(jìn)一步降低了識(shí)別捆綁軟件的通信量��,如果能通過該白名單識(shí)別出不是捆綁軟件�,就無需再發(fā)送到服務(wù)器端再進(jìn)行查詢。在此提供的算法和顯示不與任何特定計(jì)算機(jī)�、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)���。各種通用系統(tǒng)也可以與基于在此的示教一起使用��。根據(jù)上面的描述���,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外�,本發(fā)明也不針對(duì)任何特定編程語言。應(yīng)當(dāng)明白���,可以利用各種編程語言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容����,并且上面對(duì)特定語言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式。在此處所提供的說明書中����,說明了大量具體細(xì)節(jié)。然而����,能夠理解,本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐�。在一些實(shí)例中,并未詳細(xì)示出公知的方法��、結(jié)構(gòu)和技術(shù)�����,以便不模糊對(duì)本說明書的理解�。類似地,應(yīng)當(dāng)理解�����,為了精簡(jiǎn)本公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè),在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中�,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖��、或者對(duì)其的描述中���。然而�����,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征����。更確切地說��,如下面的權(quán)利要求書所反映的那樣����,發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征����。因此,遵循具體實(shí)施方式
的權(quán)利要求書由此明確地并入該具體實(shí)施方式
���,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例����。本領(lǐng)域那些技術(shù)人員可以理解,可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中��?�?梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)?!K或單元或組件,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件���。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外���,可以采用任何組合對(duì)本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合�����。除非另外明確陳述�,本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個(gè)特征可以由提供相同�、等同或相似目的的替代特征來代替。此外,本領(lǐng)域的技術(shù)人員能夠理解����,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例���。例如�����,在下面的權(quán)利要求書中���,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用。本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)�,或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn),或者以它們的組合實(shí)現(xiàn)��。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解��,可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的用于識(shí)別�����、攔截捆綁軟件的設(shè)備中的一些或者全部部件的一些或者全部功能�。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如����,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)�。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上�����,或者可以具有一個(gè)或者多個(gè)信號(hào)的形式���。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到����,或者在載體信號(hào)上提供����,或者以任何其他形式提供。應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說明而不是對(duì)本發(fā)明進(jìn)行限制����,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中���,不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制����。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件�����。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來實(shí)現(xiàn)����。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個(gè)可以是通過同一個(gè)硬件項(xiàng)來具體體現(xiàn)��。單詞第一��、第二�、以及第三等的使用不表示任何順序?���?蓪⑦@些單詞解釋為名稱 。
權(quán)利要求
1.一種用于識(shí)別捆綁軟件的系統(tǒng)�����,包括: 捕獲器���,被配置為在客戶端捕獲當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件�����,以及獲知所述新進(jìn)程的相關(guān)信息���; 第一識(shí)別器,被配置根據(jù)所述新進(jìn)程的相關(guān)信息與第一本地特征庫匹配���,所述第一本地特征庫至少包括已知捆綁軟件的特定特征信息���,如匹配成功則將所述新進(jìn)程識(shí)別為捆綁軟件,如匹配不成功則輸入至第二識(shí)別器�����; 第二識(shí)別器����,被配置為根據(jù)所述新進(jìn)程的相關(guān)信息與第二本地特征庫匹配,所述第二本地特征庫包括已知捆綁軟件的共性特征信息�����,如匹配成功則將所述新進(jìn)程識(shí)別為可疑捆綁軟件; 第三識(shí)別器����,被配置為至少根據(jù)被識(shí)別為可疑捆綁軟件的新進(jìn)程與當(dāng)前進(jìn)程之間的進(jìn)程創(chuàng)建關(guān)系,在服務(wù)器端的云端數(shù)據(jù)庫中查詢�,識(shí)別所述新進(jìn)程是否為捆綁軟件,所述云端數(shù)據(jù)庫至少包括已知具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系和/或已知不具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系��。
2.如權(quán)利要求1所述的系統(tǒng)����,還包括: 本地緩存過濾器,被配置為根據(jù)已知的本地捆綁白名單對(duì)所述捕獲器捕獲到的新進(jìn)程先進(jìn)行過濾����,沒用命中所述本地捆綁白名單的新進(jìn)程再進(jìn)入第一識(shí)別器進(jìn)行識(shí)別。
3.如權(quán)利要求2所述的系統(tǒng): 所述第二識(shí)別器還被配置為將未被所述第二本地特征庫成功匹配的新進(jìn)程的信息提供給所述本地緩存過濾器��,供其更新所述本地捆綁白名單���; 所述第三識(shí)別器還被配置為將識(shí)別為非捆綁軟件的新進(jìn)程的信息提供給所述本地緩存過濾器�����,供其更新所述本地捆綁白名單���。
4.如權(quán)利要求1所述的系統(tǒng)�,還包括: 云緩存過濾器�����,被配置為根據(jù)已知的云捆綁白名單對(duì)第二識(shí)別器識(shí)別為可疑捆綁軟件的新進(jìn)程先進(jìn)行過濾���,沒有命中所述云捆綁白名單的再發(fā)送至第三識(shí)別器進(jìn)行識(shí)別。
5.如權(quán)利要求1至4中任一項(xiàng)所述的系統(tǒng)��,所述第一本地特征庫包括若干條捆綁特征記錄�����,每一條捆綁特征記錄包含足以確定某一進(jìn)程是捆綁軟件的全部特定特征�,只有在所述新進(jìn)程的相關(guān)信息與所述第一本地特征庫中某一條捆綁特征記錄中的全部特定特征都匹配時(shí),第一識(shí)別器才確定為匹配成功���。
6.如權(quán)利要求1至4中任一項(xiàng)所述的系統(tǒng)���,所述第二本地特征庫包含的已知捆綁軟件的共性特征信息,具體通過分析當(dāng)前流行的已知捆綁軟件的文件信息中某一特征要素的共同特性獲得���。
7.如權(quán)利要求1所述的系統(tǒng)�����,還包括: 執(zhí)行器��,被配置為當(dāng)所述第三識(shí)別器無法判斷所述新進(jìn)程是否為捆綁軟件時(shí)�,獲取創(chuàng)建所述新進(jìn)程的當(dāng)前進(jìn)程樣本的可執(zhí)行文件予以執(zhí)行,通過執(zhí)行過程和結(jié)果識(shí)別所述新進(jìn)程是否為捆綁軟件�,并根據(jù)所述識(shí)別結(jié)果更新所述云端數(shù)據(jù)庫。
8.如權(quán)利要求1至7中任一項(xiàng)所述的系統(tǒng)�,所述新進(jìn)程的相關(guān)信息包括:資源信息、簽名信息���、PE文件屬性和/或命令行信息�����。
9.一種用于攔 截捆綁軟件的系統(tǒng)���,包括如權(quán)利要求1至8中任一項(xiàng)所述的用于識(shí)別捆綁軟件的系統(tǒng)以及攔截器,所述攔截器被配置為在用戶確認(rèn)后����,在保證所述當(dāng)前進(jìn)程正常安裝的前提下攔截被識(shí)別為捆綁軟件的安裝��。
10.一種用于識(shí)別捆綁軟件的客戶端設(shè)備����,包括: 捕獲器����,被配置為在客戶端捕獲當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件,以及獲知所述新進(jìn)程的相關(guān)信息���; 第一識(shí)別器,被配置根據(jù)所述新進(jìn)程的相關(guān)信息與第一本地特征庫匹配�,所述第一本地特征庫至少包括已知捆綁軟件的特定特征信息,如匹配成功則將所述新進(jìn)程識(shí)別為捆綁軟件����,如匹配不成功則輸入至第二識(shí)別器; 第二識(shí)別器�����,被配置為根據(jù)所述新進(jìn)程的相關(guān)信息與第二本地特征庫匹配��,所述第二本地特征庫包括已知捆綁軟件的共性特征信息�����,如匹配成功則將所述新進(jìn)程識(shí)別為可疑捆綁軟件,并將所述當(dāng)前進(jìn)程和新進(jìn)程的進(jìn)程創(chuàng)建關(guān)系發(fā)送至服務(wù)器端進(jìn)行識(shí)別���。
11.一種用于攔截捆綁軟件的客戶端設(shè)備����,包括: 檢測(cè)器�,被配置為檢測(cè)客戶端中進(jìn)行軟件安裝的當(dāng)前進(jìn)程; 捕獲器�,被配置為在客戶端捕獲所述當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件,以及獲知所述新進(jìn)程的相關(guān)信息�; 第一識(shí)別器,被配置根據(jù)所述新進(jìn)程的相關(guān)信息與第一本地特征庫匹配����,所述第一本地特征庫至少包括已知捆綁軟件的特定特征信息,如匹配成功則將所述新進(jìn)程識(shí)別為捆綁軟件�����。
12.一種用于攔截捆綁軟件的客戶端設(shè)備����,包括如權(quán)利要求10或11所述的用于識(shí)別捆綁軟件的客戶端設(shè)備以及攔截器�,所述攔截器被配置為在用戶確認(rèn)后���,在保證所述當(dāng)前進(jìn)程正常安裝的前提下攔截被識(shí)別為捆綁軟件的安裝���。
13.一種用于識(shí)別捆綁軟件的服務(wù)器端設(shè)備,包括: 接口模塊����,被配置為接收客戶端設(shè)備發(fā)送的被識(shí)別為可疑捆綁軟件的新進(jìn)程與當(dāng)前進(jìn)程的進(jìn)程創(chuàng)建關(guān)系,并傳輸至識(shí)別模塊進(jìn)行識(shí)別�����,以及識(shí)別模塊的識(shí)別結(jié)果發(fā)送給客戶端設(shè)備��; 識(shí)別模塊���,被配置為根據(jù)被識(shí)別為可疑捆綁軟件的新進(jìn)程與當(dāng)前進(jìn)程之間的進(jìn)程創(chuàng)建關(guān)系,在服務(wù)器端的云端數(shù)據(jù)庫中查詢�,識(shí)別所述新進(jìn)程是否為捆綁軟件,所述云端數(shù)據(jù)庫至少包括已知具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系和/或已知不具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系�。
14.一種用于識(shí)別捆綁軟件的方法,包括: 在客戶端捕獲當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件,以及獲知所述新進(jìn)程的相關(guān)信息���; 根據(jù)所述新進(jìn)程的相關(guān)信息與第一本地特征庫匹配��,所述第一本地特征庫至少包括已知捆綁軟件的特定特征信息���,如匹配成功則將所述新進(jìn)程識(shí)別為捆綁軟件,如匹配不成功則繼續(xù)進(jìn)行識(shí)別�����; 根據(jù)所述新進(jìn)程的相關(guān)信息與第二本地特征庫匹配�����,所述第二本地特征庫包括已知捆綁軟件的共性特征信息�����,如匹配成功則將所述新進(jìn)程識(shí)別為可疑捆綁軟件����; 至少根據(jù)被識(shí)別為可疑捆綁軟件的新進(jìn)程與當(dāng)前進(jìn)程之間的進(jìn)程創(chuàng)建關(guān)系,在服務(wù)器端的云端數(shù)據(jù)庫中查詢�����,識(shí)別所述新進(jìn)程是否為捆綁軟件,所述云端數(shù)據(jù)庫至少包括已知具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系和/或已知不具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系�����。
15.如權(quán)利要求14所述的方法���,還包括: 根據(jù)已知的本地捆綁白名單對(duì)捕獲到的新進(jìn)程先進(jìn)行過濾��,沒用命中所述本地捆綁白名單的新進(jìn)程再根據(jù)所述第一本地特征庫進(jìn)行識(shí)別����。
16.如權(quán)利要求15所述的方法,還包括: 根據(jù)未被所述第二本地特征庫成功匹配的新進(jìn)程的信息���,更新所述本地捆綁白名單���;以及根據(jù)所述服務(wù)器端的云端數(shù)據(jù)庫識(shí)別為非捆綁軟件的新進(jìn)程的信息�����,更新所述本地捆綁白名單���。
17.如權(quán)利要求14至16中任一項(xiàng)所述的方法����,還包括: 當(dāng)根據(jù)所述云端數(shù)據(jù)庫無法判斷所述新進(jìn)程是否為捆綁軟件時(shí),獲取創(chuàng)建所述新進(jìn)程的當(dāng)前進(jìn)程樣本的可執(zhí)行文件予以執(zhí)行�,通過執(zhí)行過程和結(jié)果識(shí)別所述新進(jìn)程是否為捆綁軟件,并根據(jù)所述識(shí)別結(jié)果更新所述云端數(shù)據(jù)庫�����。
18.一種用于攔截捆綁軟件的方法��,包括如權(quán)利要求14至17中任一項(xiàng)所述的用于識(shí)別捆綁軟件的方法以及下述步驟:在用戶確認(rèn)后��,在保證所述當(dāng)前進(jìn)程正常安裝的前提下攔截被識(shí)別為捆綁軟件的安裝�。
19.一種用于在客戶端識(shí)別捆綁軟件的方法,包括: 在客戶端捕獲當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件����,以及獲知所述新進(jìn)程的相關(guān)信息; 根據(jù)所述新進(jìn)程的相關(guān)信息與第一本地特征庫匹配�,所述第一本地特征庫至少包括已知捆綁軟件的特定特征信息,如匹配成功則將所述新進(jìn)程識(shí)別為捆綁軟件�����,如匹配不成功則繼續(xù)進(jìn)行識(shí)別; 根據(jù)所述新進(jìn)程的相關(guān)信息與第二本地特征庫匹配�,所述第二本地特征庫包括已知捆綁軟件的共性特征信息,如匹配成功則將所述新進(jìn)程識(shí)別為可疑捆綁軟件�����,并將所述當(dāng)前進(jìn)程和新進(jìn)程的進(jìn)程創(chuàng)建關(guān)系發(fā)送至服務(wù)器端進(jìn)行識(shí)別����。
20.一種用于網(wǎng)絡(luò)側(cè)識(shí)別捆綁軟件的方法,包括: 接收客戶端設(shè)備發(fā)送的被識(shí)別為可疑捆綁軟件的新進(jìn)程與當(dāng)前進(jìn)程的進(jìn)程創(chuàng)建關(guān)系; 根據(jù)被識(shí)別為可疑捆綁軟件的新進(jìn)程與當(dāng)前進(jìn)程之間的進(jìn)程創(chuàng)建關(guān)系����,在服務(wù)器端的云端數(shù)據(jù)庫中查詢,識(shí)別所述新進(jìn)程是否為捆綁軟件�,所述云端數(shù)據(jù)庫至少包括已知具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系和/或已知不具有捆綁行為的進(jìn)程創(chuàng)建關(guān)系; 將所述識(shí)別結(jié)果返回至所述客戶端設(shè)備���。
21.一種用于在客戶端識(shí)別捆綁軟件的方法�,包括: 檢測(cè)客戶端中進(jìn)行軟件安裝的當(dāng)前進(jìn)程���; 在客戶端捕獲所述當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件�����,以及獲知所述新進(jìn)程的相關(guān)信息�; 根據(jù)所述新進(jìn)程的相關(guān)信息與第一本地特征庫匹配�����,所述第一本地特征庫至少包括已知捆綁軟件的特定特征信息��,如匹配成功則將所述新進(jìn)程識(shí)別為捆綁軟件�����。
全文摘要
本發(fā)明公開了一種用于識(shí)別�����、攔截捆綁軟件的系統(tǒng)���、設(shè)備及方法����,其中�,系統(tǒng)包括捕獲器,被配置為在客戶端捕獲當(dāng)前進(jìn)程創(chuàng)建新進(jìn)程的事件�����,以及獲知新進(jìn)程的相關(guān)信息;第一識(shí)別器��,被配置根據(jù)新進(jìn)程的相關(guān)信息與第一本地特征庫匹配����,第一本地特征庫至少包括已知捆綁軟件的特定特征信息,如匹配成功則將新進(jìn)程識(shí)別為捆綁軟件�����,如匹配不成功則輸入至第二識(shí)別器�����;第二識(shí)別器�����,被配置為根據(jù)新進(jìn)程的相關(guān)信息與第二本地特征庫匹配���,第二本地特征庫包括已知捆綁軟件的共性特征信息���,如匹配成功則將新進(jìn)程識(shí)別為可疑捆綁軟件�����;第三識(shí)別器,被配置為至少根據(jù)被識(shí)別為可疑捆綁軟件的新進(jìn)程與當(dāng)前進(jìn)程之間的進(jìn)程創(chuàng)建關(guān)系�����,在服務(wù)器端的云端數(shù)據(jù)庫中查詢��,識(shí)別新進(jìn)程是否為捆綁軟件���。
文檔編號(hào)G06F21/56GK103235913SQ20131011589
公開日2013年8月7日 申請(qǐng)日期2013年4月3日 優(yōu)先權(quán)日2013年4月3日
發(fā)明者李博, 賈雨田 申請(qǐng)人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司