(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN107871079A(43)申请公布日2018.04.03(21)申请号201711229602.4(22)申请日2017.11.29(71)申请人深信服科技股份有限公司地址518055广东省深圳市南山区学苑大道1001号南山智园A1栋一层(72)发明人乔延臣(74)专利代理机构深圳市深佳知识产权代理事务所(普通合伙)44285代理人王仲凯(51)Int.Cl.G06F21/56(2013.01)权利要求书2页说明书6页附图1页(54)发明名称一种可疑进程检测方法、装置、设备及存储介质(57)摘要本发明公开了一种可疑进程检测方法，该方法包括以下步骤：在有目标进程启动时，监测目标进程对用户文件的操作行为；针对监测到的目标进程对用户文件的每个操作行为，确定该操作行为是否符合预设的异常操作行为模式；如果是，则确定目标进程为可疑进程。应用本发明实施例所提供的技术方案，可以在勒索软件等恶意软件执行初期，在给系统和用户造成较大危害之前，及时检测到可疑进程，并对其进行防范，减少损失。本发明还公开了一种可疑进程检测装置、设备及存储介质，具有相应技术效果。CN107871079ACN107871079A权利要求书1/2页1.一种可疑进程检测方法，其特征在于，包括：在有目标进程启动时，监测所述目标进程对用户文件的操作行为；针对监测到的所述目标进程对用户文件的每个操作行为，确定该操作行为是否符合预设的异常操作行为模式；如果是，则确定所述目标进程为可疑进程。2.根据权利要求1所述的可疑进程检测方法，其特征在于，在所述监测所述目标进程对用户文件的操作行为之前，还包括：确定所述目标进程是否为预先获得的正常进程列表中的进程；如果否，则执行所述监测所述目标进程对用户文件的操作行为的步骤。3.根据权利要求1所述的可疑进程检测方法，其特征在于，在所述确定所述目标进程为可疑进程之后，还包括：中断所述目标进程。4.根据权利要求3所述的可疑进程检测方法，其特征在于，还包括：在监测到所述目标进程要对用户文件有操作行为时，备份所述目标进程要操作的用户文件；相应的，在所述确定所述目标进程为可疑进程之后，还包括：还原备份的用户文件。5.根据权利要求1至4之中任一项所述的可疑进程检测方法，其特征在于，所述异常操作行为模式包括单文件异常操作行为模式和/或多文件异常操作行为模式。6.一种可疑进程检测装置，其特征在于，包括：操作行为监测模块，用于在有目标进程启动时，监测所述目标进程对用户文件的操作行为；操作行为确定模块，用于针对监测到的所述目标进程对用户文件的每个操作行为，确定该操作行为是否符合预设的异常操作行为模式；如果是，则触发可疑进程确定模块；所述可疑进程确定模块，用于确定所述目标进程为可疑进程。7.根据权利要求6所述的可疑进程检测装置，其特征在于，还包括正常进程确定模块，用于：在所述监测所述目标进程对用户文件的操作行为之前，确定所述目标进程是否为预先获得的正常进程列表中的进程；如果否，则触发所述操作行为监测模块。8.根据权利要求6所述的可疑进程检测装置，其特征在于，还包括目标进程中断模块，用于：在所述确定所述目标进程为可疑进程之后，中断所述目标进程。9.根据权利要求8所述的可疑进程检测装置，其特征在于，还包括用户文件备份模块，用于：在监测到所述目标进程要对用户文件有操作行为时，备份所述目标进程要操作的用户文件；相应的，还包括用户文件还原模块，用于：在所述确定所述目标进程为可疑进程之后，还原备份的用户文件。2CN107871079A权利要求书2/2页10.一种可疑进程检测设备，其特征在于，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现如权利要求1至5任一项所述的可疑进程检测方法的步骤。11.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的可疑进程检测方法的步骤。3CN107871079A说明书1/6页一种可疑进程检测方法、装置、设备及存储介质技术领域[0001]本发明涉及计算机应用技术领域，特别是涉及一种可疑进程检测方法、装置、设备及存储介质。背景技术[0002]随着计算机应用技术的快速发展，对勒索软件等恶意软件的检测得到了越来越多的关注。勒索软件是一种流行的木马，通过骚扰、恐吓甚至采用捆绑用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。如果受到勒索软件等恶意软件的攻击，将直接影响系统的正常运行，给用户带来较大损失。[0003]目前，多是以诱饵目录方式对勒索软件等恶意软件引起的进程进行检测。[0004]但是，这种方法存在一定的缺点，勒索软件等恶意软件引起的