发明名称 |
进程行为分析方法及系统 |
摘要 |
本发明公开了一种进程行为分析方法及系统,其中进程行为分析方法,包括:获取对预设的敏感进程进行监控的监控记录数据;根据所述监控记录数据模拟重现监控过程中的句柄、进程和线程,获取分别与所述句柄、进程和线程对应的虚拟表项,所述虚拟表项记录敏感进程创建的句柄、进程和线程及对应的属性;设定敏感进程的相关进程,根据所述虚拟表项将相关进程对应的句柄、进程和线程操作及对应的属性关联到敏感进程的进程行为分析结果中。本发明对与一个进程相关的所有进程的行为进行全面地分析,提高进程行为分析的质量效率。 |
申请公布号 |
CN103164649A |
申请公布日期 |
2013.06.19 |
申请号 |
CN201310052560.7 |
申请日期 |
2013.02.18 |
申请人 |
北京神州绿盟信息安全科技股份有限公司;北京神州绿盟科技有限公司 |
发明人 |
刘业欣;曲富平;邱鹏 |
分类号 |
G06F21/50(2013.01)I |
主分类号 |
G06F21/50(2013.01)I |
代理机构 |
北京同立钧成知识产权代理有限公司 11205 |
代理人 |
刘芳 |
主权项 |
一种进程行为分析方法,其特征在于,包括:获取对预设的敏感进程进行监控的监控记录数据;根据所述监控记录数据模拟重现监控过程中的句柄、进程和线程,获取分别与所述句柄、进程和线程对应的虚拟表项,所述虚拟表项记录敏感进程创建的句柄、进程和线程及对应的属性;设定敏感进程的相关进程,根据所述虚拟表项将相关进程对应的句柄、进程和线程操作及对应的属性关联到敏感进程的进程行为分析结果中。 |
地址 |
100089 北京市海淀区北洼路4号益泰大厦3层 |