摘要:本发明提供一种基于海量程序行为数据的终端防护系统和方法,其包含文件特征提取模块,用于建立知名的合法程序名单和攻击程序名单,为这些程序建立文件特征库;程序API调用采集模块,用于对应用程序的系统调用进行采集;程序行为序列分析模块,负责从API调用日志文件中提取出各个程序的API调用序列;判别模块,判断终端上启动的程序是否具有安全威胁。利用本发明的方法减少了需要进行API调用分析的程序数量,提高了处理效率;扩大了可分析的终端程序API调用序列的规模,不仅能捕捉单一程序的异常行为,而且能够发现程序集的整体行为特点,对用户处置程序异常行为报警提供重要的参考依据。
- 专利类型发明专利
- 申请人北京北信源软件股份有限公司;
- 发明人高曦;杨华;张宏宇;
- 地址100081 北京市海淀区中关村南大街34号
- 申请号CN201510195036.4
- 申请时间2015年04月23日
- 申请公布号CN104794399A
- 申请公布时间2015年07月22日
- 分类号G06F21/56(2013.01)I;