恶意软件识别方法、装置、系统、电子装置和存储介质与流程

1.本技术涉及软件检测领域，特别是涉及恶意软件识别方法、装置、系统、电子装置和存储介质。


背景技术：

2.随着现代社会对数据的高度依赖，数据平台遭受恶意软件攻击的事件频频出现。恶意软件可通过对入侵的用户文件进行加密，使用户无法正常使用文件，并以此为条件向用户索取钱财。
3.相关技术中，针对恶意软件的识别，通常采用已知的计算机病毒特征值比对或虚拟机沙箱模拟执行的方法来检测恶意软件的入侵。然而，针对已知病毒特征值比对的技术，是基于对已出现过的病毒样本特征与入侵的恶意软件的病毒特征进行比对，无法有效识别未知新型恶意软件和经过伪装的恶意软件；针对虚拟机沙箱模拟执行方法所需的资源及时间成本较大，在资源较少、实时性要求较高的环境下难以执行。
4.针对相关技术中存在对新型恶意软件的识别占用资源量大、耗时长、效率低的问题，目前还没有提出有效的解决方案。


技术实现要素：

5.在本实施例中提供了一种恶意软件识别方法、装置、系统、电子装置和存储介质，以解决相关技术中对新型恶意软件的识别占用资源量大、耗时长、效率低的问题。
6.第一个方面，在本实施例中提供了一种恶意软件识别方法，所述方法包括：
7.获取第一进程的第一进程信息，并获取针对所述第一进程的运行过程进行监控生成的第一进程性能计数结果；
8.从历史进程数据库中获取第二进程的第二进程信息，根据所述第二进程信息对所述第一进程信息进行比对，得到比对结果；根据所述比对结果，对所述第一进程性能计数结果进行恶意指数计算生成恶意指数结果，并根据所述恶意指数结果生成针对所述第一进程的恶意软件告警信息。
9.在其中的一些实施例中，所述获取针对所述第一进程的运行过程进行监控生成的第一进程性能计数结果，包括：
10.运行所述第一进程，获取硬件性能监控单元对所述第一进程的运行过程进行监控生成的所述第一进程事件计数结果；
11.获取对所述第一进程的运行过程进行监控生成的第一进程时钟计数结果；
12.根据所述第一进程事件计数结果和所述第一进程时钟计数结果生成所述第一进程性能计数结果。
13.在其中的一些实施例中，所述获取针对所述第一进程的运行过程进行监控生成的第一进程性能计数结果，还包括：
14.获取所述硬件性能监控单元对所述第一进程的运行过程进行监控生成的上一次
事件计数结果和上一次时钟计数结果；
15.获取预设的第一进程时间间隔和当前时钟计数结果；
16.在所述当前时钟计数结果与上一次时钟计数结果的差值大于所述第一进程时间间隔的情况下，获取当前事件计数结果；
17.根据所述当前事件计数结果和所述当前时钟计数结果生成所述第一进程的当前性能计数结果。
18.在其中的一些实施例中，所述对所述第一进程性能计数结果进行恶意指数计算生成恶意指数结果，包括：
19.获取预设的进程权重值；
20.获取所述第一进程的当前事件计数结果与上一次事件计数结果的事件差值结果；
21.获取所述第一进程的当前时钟计数结果与上一次时钟计数结果的时钟差值结果；
22.根据所述进程权重值、所述事件差值结果和所述时钟差值结果得到所述恶意指数结果。
23.在其中的一些实施例中，所述根据所述恶意指数结果生成针对所述第一进程的恶意软件告警信息，还包括：
24.获取恶意指数阈值；
25.在所述恶意指数结果在所述恶意指数阈值内的情况下，将所述第一进程的进程信息写入所述历史进程数据库；
26.在所述恶意指数结果超过所述恶意指数阈值的情况下，挂起所述第一进程，并生成所述恶意软件告警信息。
27.在其中的一些实施例中，在所述根据所述恶意指数结果生成针对所述第一进程的恶意软件告警信息之后，包括：
28.发送所述恶意软件告警信息至终端设备；
29.获取所述终端设备发送的针对所述恶意软件告警信息的决策信息；
30.在所述决策信息指示放过所述第一进程的情况下，恢复挂起的第一进程，并继续执行所述第一进程；
31.在所述决策信息指示禁止所述第一进程的情况下，终止所述第一进程。
32.第二个方面，在本实施例中提供了一种恶意软件识别装置，所述装置包括：性能计数器监控模块和恶意软件评估模块；
33.所述性能计数器监控模块，用于获取第一进程的第一进程信息，并获取针对所述第一进程的运行过程进行监控生成的第一进程性能计数结果；
34.所述恶意软件评估模块，用于从历史进程数据库中获取第二进程的第二进程信息，根据所述第二进程信息对所述第一进程信息进行比对，得到比对结果；根据所述比对结果，对所述第一进程性能计数结果进行恶意指数计算生成恶意指数结果，并根据所述恶意指数结果生成针对所述第一进程的恶意软件告警信息。
35.第三个方面，在本实施例中提供了一种恶意软件识别系统，所述系统包括：终端设备、传输设备以及服务器设备；其中，所述终端设备通过传输设备连接服务器设备；
36.所述服务器设备用于执行上述第一个方面任一项所述的恶意软件识别方法；
37.所述传输设备用于发送针对所述第一进程的恶意软件告警信息至终端设备；
38.所述终端设备用于显示所述恶意软件告警信息，并接收针对所述恶意软件告警信息的决策信息。
39.第四个方面，在本实施例中提供了一种电子装置，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一个方面所述的恶意软件识别方法。
40.第五个方面，在本实施例中提供了一种存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述第一个方面所述的恶意软件识别方法。
41.与相关技术相比，在本实施例中提供的恶意软件识别方法、装置、系统、电子装置和存储介质，通过获取第一进程的第一进程信息，并获取针对所述第一进程的运行过程进行监控生成的第一进程性能计数结果；从历史进程数据库中获取第二进程的第二进程信息，根据所述第二进程信息对所述第一进程信息进行比对，得到比对结果；根据所述比对结果，对所述第一进程性能计数结果进行恶意指数计算生成恶意指数结果，并根据所述恶意指数结果生成针对所述第一进程的恶意软件告警信息，解决了对新型恶意软件的识别占用资源量大、耗时长、效率低的问题，实现了新型恶意软件识别中降低占用、减短耗时和提高效率的目的。
42.本技术的一个或多个实施例的细节在以下附图和描述中提出，以使本技术的其他特征、目的和优点更加简明易懂。
附图说明
43.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
44.图1为一个实施例中恶意软件识别方法的应用场景图；
45.图2为一个实施例中恶意软件识别方法的流程示意图；
46.图3为另一个实施例中恶意软件识别方法的流程示意图；
47.图4为又一个实施例中恶意软件识别方法的流程示意图；
48.图5为一个实施例中恶意软件识别装置的结构框图；
49.图6为另一个实施例中恶意软件识别装置的结构框图；
50.图7为一个实施例中计算机设备的内部结构图。
具体实施方式
51.为更清楚地理解本技术的目的、技术方案和优点，下面结合附图和实施例，对本技术进行了描述和说明。
52.除另作定义外，本技术所涉及的技术术语或者科学术语应具有本技术所属技术领域具备一般技能的人所理解的一般含义。在本技术中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制，它们可以是单数或者复数。在本技术中所涉及的术语“包括”、“包含”、“具有”及其任何变体，其目的是涵盖不排他的包含；例如，包含一系列步骤或模块(单元)的过程、方法和系统、产品或设备并未限定于列出的步骤或模块(单元)，而可包括未列出的步骤或模块(单元)，或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本技术中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理
的或机械连接，而可以包括电气连接，无论是直接连接还是间接连接。在本技术中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“a和/或b”可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。通常情况下，字符“/”表示前后关联的对象是一种“或”的关系。在本技术中所涉及的术语“第一”、“第二”、“第三”等，只是对相似对象进行区分，并不代表针对对象的特定排序。
53.本技术提供的恶意软件识别方法，可以应用于如图1所示的应用环境中。其中，终端设备102通过网络与服务器设备104进行通信。服务器设备104获取第一进程的第一进程信息，并获取针对该第一进程的运行过程进行监控生成的第一进程性能计数结果；服务器设备104从历史进程数据库中获取第二进程的第二进程信息，根据该第二进程信息对该第一进程信息进行比对，得到比对结果；服务器设备104根据该比对结果，对该第一进程性能计数结果进行恶意指数计算生成恶意指数结果，并根据该恶意指数结果生成针对该第一进程的恶意软件告警信息；该终端设备102用于接收并显示该恶意软件告警信息。其中，终端设备102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备，服务器设备104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
54.在本实施例中提供了一种恶意软件识别方法，图2是本实施例的一种恶意软件识别方法的流程示意图，如图2所示，该流程包括如下步骤：
55.步骤s202，获取第一进程的第一进程信息，并获取针对该第一进程的运行过程进行监控生成的第一进程性能计数结果。
56.其中，上述第一进程是指待进行恶意软件识别的未知进程；该第一进程可以在服务器104的硬件上运行，例如在服务器104的cpu或者gpu上运行，进一步地，该第一进程可以在cpu的微指令流水线上运行。该第一进程信息可以包括该第一进程的类型、地址、掩码和过滤器。该第一进程性能计数结果是由该硬件本身的监控单元进行监控生成的，该监控单元可以为硬件性能监控单元。
57.步骤s204，从历史进程数据库中获取第二进程的第二进程信息，根据该第二进程信息对该第一进程信息进行比对，得到比对结果；根据该比对结果，对该第一进程性能计数结果进行恶意指数计算生成恶意指数结果，并根据该恶意指数结果生成针对该第一进程的恶意软件告警信息。
58.其中，该历史进程数据库用于存储可信赖进程和可信赖进程信息；该第二进程是指用于与该第一进程进行匹配的可信赖进程；该恶意指数结果由第一进程性能计数结果，并结合该第一进程的第一进程权重计算得到的。
59.具体地，历史进程数据库中存储有与上述第二进程相对应的可信赖的进程信息，从历史进程数据库中获取第二进程的第二进程信息，根据该第二进程信息对该第一进程信息进行比对，得到比对结果；如果该比对结果指示该第一进程信息与该第二进程信息相匹配，则该第一进程是可信赖的进程，服务器设备104继续执行该第一进程；如果该比对结果指示该第一进程信息与该第二进程信息匹配失败，该第一进程疑似为新的恶意软件，则进一步根据该比对结果，对该第一进程性能计数结果进行恶意指数计算生成恶意指数结果，并根据该恶意指数结果生成针对该第一进程的恶意软件告警信息。
60.通过上述步骤，获取针对该第一进程的运行过程进行监控生成的第一进程性能计数结果，并将该第一进程信息与第二进程信息进行比对生成比对结果；根据该比对结果对
该第一进程性能计数结果进行恶意指数计算生成恶意指数结果，并根据该恶意指数结果生成针对该第一进程的恶意软件告警信息，可以对疑似为新的恶意软件进行识别；该第一进程性能计数结果是由该硬件本身的监控单元进行监控生成的、是第一进程在硬件的运行中自动生成的，其监控功能不占用第一进程运行所需之外的容量，因此对该第一进程性能计数结果和该恶意指数结果的计算不需要占用额外资源，耗时短、效率高，提高恶意软件识别的实时性。
61.在其中的一些实施例中，该获取针对该第一进程的运行过程进行监控生成的第一进程性能计数结果，包括：
62.运行该第一进程，获取硬件性能监控单元对该第一进程的运行过程进行监控生成的该第一进程事件计数结果；
63.获取对该第一进程的运行过程进行监控生成的第一进程时钟计数结果；
64.根据该第一进程事件计数结果和该第一进程时钟计数结果生成该第一进程性能计数结果。
65.其中，在该获取第一进程的第一进程信息、该运行第一进程、获取下一个进程的进程信息之前和/或该硬件性能监控单元溢出之后，可以进行该硬件性能监控单元的初始化；该硬件性能监控单元可以是cpu上的pmu(performance monitoring unit，性能监控单元)，或者是gpu上的性能监控单元；该硬件性能监控单元可以包含一个或多个pmc(performance monitor counter，性能计数器)，该一个或者多个pmc可以同时对一个或者多个进程执行时的操作事件进行监控，分别产生一个或者多个事件计数结果；该操作事件包括加密操作、写存储操作和/或其他对服务器设备104上的文件数据进行修改的操作；该第一进程事件计数结果是指第一进程运行时对服务器设备104上的文件数据进行加密操作、写存储操作和/或其他修改的操作进行计数的结果；该第一进程时钟计数结果由服务器设备104上硬件本身的时钟计数器生成。
66.通过上述步骤，获取获取针对该第一进程的运行过程进行监控生成的第一进程性能计数结果，该第一进程性能计数结果包括该第一进程事件计数结果和该第一进程时钟计数结果；该第一进程性能计数结果由该硬件性能监控单元生成，该第一进程时钟计数结果由该时钟计数器生成；该硬件性能监控单元和该时钟计数器是该服务器104上的硬件本身的监控单元，该硬件性能监控单元和该时钟计数器的监控功能是不占用第一进程运行所需之外的容量，因此对该第一进程性能计数结果的计算不需要占用额外资源，耗时短、效率高。
67.在其中的一些实施例中，该获取针对该第一进程的运行过程进行监控生成的第一进程性能计数结果，还包括：
68.获取该硬件性能监控单元对该第一进程的运行过程进行监控生成的上一次事件计数结果和上一次时钟计数结果；
69.获取预设的第一进程时间间隔和当前时钟计数结果；
70.在该当前时钟计数结果与上一次时钟计数结果的差值大于该第一进程时间间隔的情况下，获取当前事件计数结果；
71.根据该当前事件计数结果和该当前时钟计数结果生成该第一进程的当前性能计数结果。
72.其中，该第一进程时间间隔是以硬件上该时钟计数器的周期为计量单位预设的。
73.具体地，在获取第一进程的第一进程信息之前，服务器设备104启动对该恶意软件识别方法步骤的执行，并对该硬件性能监控单元进行初始化，同时启动该服务器设备104的时钟计数器；此时该第一进程进入硬件上的微指令流水线上运行，该硬件上的该硬件性能监控单元和该时钟计数器对该第一进程的运行过程进行监控，分别生成上一次事件计数结果和上一次时钟计数结果，并根据该上一次事件计数结果和该上一次时钟计数结果生成该第一进程的上一次性能计数结果；在第一进程时间间隔之后，服务器设备104获取第一进程的第一进程信息，并获取上一次性能计数结果；服务器设备104在获取上一次性能计数结果之后，到对该硬件性能监控单元进行初始化、同时重新触发该时钟计数器，从而获取当前事件计数结果和当前时钟计数结果，并根据该当前事件计数结果和该当前时钟计数结果得到当前性能计数结果。
74.通过上述步骤，在获取上一次事件计数结果之后可以对该硬件性能监控单元进行初始化，因此在第一进程时间间隔之后，可以获取到在该当前时钟计数结果与上一次时钟计数结果的差值时间内的当前事件计数结果，从而根据该当前事件计数结果和该当前时钟计数结果生成该第一进程的当前性能计数结果；该第一进程时间间隔以时钟计数器的周期为计量单位预设，相较于一般采用现实时间秒为单位的计数耗时更短，可以达到实时的效果；该当前事件计数结果和该当前时钟计数结果是该服务器104上的硬件本身的监控单元，不占用第一进程运行所需之外的容量，因此对该第一进程性能计数结果的计算不需要占用额外资源，耗时短、效率高。
75.图3是本实施例的另一种恶意软件识别方法的流程示意图，如图3所示，当服务器设备104接收到开始监控指令后，进行进程调度以调度需要监控的进程，同时启动该服务器设备104中处理器上的时钟计数器，并对该处理器上的性能监控单元(pmu)进行初始化；进程调度完备后，执行该进程以进行程序指令执行，从而使得该进程进入处理器上的微指令流水线上执行，该处理器硬件上的性能监控单元和该时钟计数器对该进程的运行过程进行监控；该性能监控单元上有多个事件计数单元(pmc)，分别对进程执行的多个操作事件进行计数；pmc在对进程中所有操作事件进行计数后生成事件计数结果，时钟计数器对进程执行过程进行计时生成进程的时钟计数结果；根据事件计数结果和时钟计数结果生成性能计数结果；服务器设备104在生成性能计数结果之后，对该处理器硬件上性能监控单元的pmc进行初始化重设，以便pmc再次执行pmc计数步骤。
76.在其中的一些实施例中，该对该第一进程性能计数结果进行恶意指数计算生成恶意指数结果，包括：
77.获取预设的进程权重值；
78.获取该第一进程的当前事件计数结果与上一次事件计数结果的事件差值结果；
79.获取该第一进程的当前时钟计数结果与上一次时钟计数结果的时钟差值结果；
80.根据该进程权重值、该事件差值结果和该时钟差值结果得到该恶意指数结果。
81.其中，该预设的进程权重值是指，由用户根据历史已知病毒库中各类恶意软件在各个进程中运行时执行的操作事件进行数据模型统计分析计算得到的。
82.优选地，该恶意指数结果计算公式为：
[0083][0084]
在上述公式中，i为操作事件的编号，在第一进程运行时，可能涉及到的操作事件有n个；p为进程权重值，针对进程运行时执行的不同操作事件i，分别有不同的操作事件权重值pi；为pmc监控到的针对操作事件i的计数结果，为操作事件i的当前计数结果与上一次计数结果的操作事件差值结果；即为该第一进程的当前事件计数结果与上一次事件计数结果的事件差值结果，该事件差值结果是第一进程中的所有操作事件差值结果经过操作事件权重值pi加权求和后的结果；δcpu_cycle为cpu时钟计数器的周期，δcpu_cycle*n
cpu
为该第一进程的当前时钟计数结果与上一次时钟计数结果的时钟差值结果。
[0085]
通过上述步骤，对获取到的该第一进程性能计数结果，根据历史中分类好的恶意软件进程的统计结果进行恶意指数计算生成恶意指数结果，可以对目前不在可信赖的历史进程数据库中的第一进程对应的软件判断为新的疑似恶意软件，并对该第一进程进行恶意指数计算，以便根据该恶意指数结果对该疑似恶意软件的第一进程进行下一步操作。
[0086]
在其中的一些实施例中，该根据该恶意指数结果生成针对该第一进程的恶意软件告警信息，还包括：
[0087]
获取恶意指数阈值；
[0088]
在该恶意指数结果在该恶意指数阈值内的情况下，将该第一进程的进程信息写入该历史进程数据库；
[0089]
在该恶意指数结果超过该恶意指数阈值的情况下，挂起该第一进程，并生成该恶意软件告警信息。
[0090]
其中，该恶意指数阈值是指，由用户根据历史已知病毒库中各类恶意软件在各个进程中运行时执行的操作事件产生的恶意指数结果进行数据模型统计分析计算得到的。
[0091]
具体地，根据恶意指数结果与该恶意指数阈值的比较，筛选出不在该恶意指数阈值内的恶意指数结果，对与该恶意指数结果对应的第一进程采取措施；对于恶意指数结果在恶意指数阈值内的情况，该第一进程为可信赖的进程，将该第一进程的第一进程信息存入该历史进程数据库中，以便在下一次与该第二进程信息比对时能够匹配到相应的进程信息，并直接放过该第一进程；对于恶意指数结果超出恶意指数阈值的情况，需要先将该第一进程暂时挂起，并生成针对该第一进程的恶意软件告警信息，以便进行下一步处理。
[0092]
优选地，以使用对称加密算法对服务器设备104中用户数据进行恶意加密的恶意软件在inte1至强处理器上执行为例，该恶意软件在对数据进行加密阶段会有大量的加密运算和io指令，通过pmc事件计数可获取到该恶意软件某一执行时间(约1.5毫秒)内的总cpu_cycle数为3640000；在该恶意软件运行期间，产生的操作事件的计数结果包括：
[0093]
uops_retired.retire_slots(微指令正常执行结束事件)：5647934；
[0094]
idq.dsb_uops(微指令解码解析流缓存路径事件)：4518347；
[0095]
l1d_pend_miss.pending(l1数据缓存卡顿事件)：5525520；
[0096]
mem_inst_retired.all_stores_ps(内存数据存储指令事件)：161369；
[0097]
unc_iio_data_req_of_cpu.mem_read(cpu请求内存读事件)：16831；
[0098]
unc_iio_data_req_of_cpu.mem_read(cpu请求内存写事件)：357194。
[0099]
经过上述恶意指数计算公式可以得到该恶意软件的恶意指数结果超出预设的恶意指数阈值，因此指示挂起该恶意软件对应的进程，生成恶意软件告警信息，并发送至客户端，等待用户进行决策。
[0100]
通过上述步骤，根据恶意指数结果与该恶意指数阈值的比较，筛选出不在该恶意指数阈值内的恶意指数结果，根据与该恶意指数结果对应的第一进程生成恶意软件告警信息，能够提高恶意软件的识别效率、提高服务器的安全性。
[0101]
在其中的一些实施例中，在该根据该恶意指数结果生成针对该第一进程的恶意软件告警信息之后，包括：
[0102]
发送该恶意软件告警信息至终端设备；
[0103]
获取该终端设备发送的针对该告警信息的决策信息；
[0104]
在该决策信息指示放过该第一进程的情况下，恢复挂起的第一进程，并继续执行该第一进程；
[0105]
在该决策信息指示禁止该第一进程的情况下，终止该第一进程。
[0106]
其中，在该决策信息指示放过该第一进程的情况下，还包括将该第一进程的第一进程信息存入该历史进程数据库中，以便在下一次与该第二进程信息比对时能够匹配到相应的进程信息，并直接放过该第一进程，从而减少恶意软件识别的耗时。
[0107]
通过上述步骤，针对恶意指数结果超过该恶意指数阈值的第一进程，将针对该第一进程的恶意软件告警信息发送至终端设备102进行显示，以便获取用户针对该告警信息的决策信息，并根据该决策信息指示恢复挂起的第一进程并继续执行该第一进程，或者终止该第一进程，对新型疑似恶意软件进行二次确认，能够提高恶意软件的识别效率、提高服务器的安全性。
[0108]
图4是本实施例的又一种恶意软件识别方法的流程示意图，如图4所示，将获取到的第一进程信息与第二进程信息进行匹配后，如果匹配成功，则该第一进程为可信任进程，对该第一进程予以放行；如果匹配失败，则需要计算该第一进程的恶意指数进一步对该第一进程进行是否为恶意软件执行进程的判断；根据该第一进程执行的操作事件计算该第一进程所有操作事件的恶意指数结果，并将该恶意指数结果与预设规定的恶意指数阈值进行比较，如果该恶意指数结果没有超过该恶意指数阈值，则对该第一进程予以放行；如果该恶意指数结果超过该恶意指数阈值，则挂起该第一进程并发送恶意软件告警信息至终端设备102，从而向用户进行恶意软件告警；获得用户决策指示的决策信息，如果该决策信息指示该第一进程是可信任的，则对该第一进程予以放行；如果该决策信息指示该第一进程是不可信任的，则终止该第一进程的运行；上述在对第一进程的放行或者终止操作后，需要将该第一进程对应的可信任信息或者不可信任信息写入历史进程数据库中，以便下一次监控的进程进行直接比对，提高恶意软件识别的效率。
[0109]
应该理解的是，虽然图2-4的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2-4中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻
执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
[0110]
在本实施例中还提供了一种恶意软件识别装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
[0111]
图5是本实施例的恶意软件识别装置的结构框图，如图5所示，该装置包括：性能计数器监控模块20和恶意软件评估模块30；
[0112]
该性能计数器监控模块20，用于获取第一进程的第一进程信息，并获取针对该第一进程的运行过程进行监控生成的第一进程性能计数结果。
[0113]
该恶意软件评估模块30，用于从历史进程数据库中获取第二进程的第二进程信息，根据该第二进程信息对该第一进程信息进行比对，得到比对结果；根据该比对结果，对该第一进程性能计数结果进行恶意指数计算生成恶意指数结果，并根据该恶意指数结果生成针对该第一进程的恶意软件告警信息。
[0114]
图6是本实施例的另一种恶意软件识别装置的结构框图，如图6所示，该装置包括图5所示的所有模块，此外还包括：进程告警模块40；
[0115]
该进程告警模块40，用于发送该恶意软件告警信息至终端设备；获取该终端设备发送的针对该恶意软件告警信息的决策信息；根据该决策信息终止该第一进程。
[0116]
在本实施例中还提供了一种恶意软件识别系统，该系统包括：终端设备102、传输设备103以及服务器设备104；其中，该终端设备102通过传输设备103连接服务器设备104；
[0117]
该服务器设备104用于执行上述任一项恶意软件识别方法；
[0118]
该传输设备103用于发送针对该第一进程的恶意软件告警信息至终端设备102；
[0119]
该终端设备102用于显示该恶意软件告警信息，并接收针对该恶意软件告警信息的决策信息。
[0120]
在本实施例中还提供了一种电子装置，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
[0121]
可选地，上述电子装置还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。
[0122]
可选地，在本实施例中，上述处理器可以被设置为通过计算机程序执行以下步骤：
[0123]
s1，获取第一进程的第一进程信息，并获取针对该第一进程的运行过程进行监控生成的第一进程性能计数结果。
[0124]
s2，从历史进程数据库中获取第二进程的第二进程信息，根据该第二进程信息对该第一进程信息进行比对，得到比对结果；根据该比对结果，对该第一进程性能计数结果进行恶意指数计算生成恶意指数结果，并根据该恶意指数结果生成针对该第一进程的恶意软件告警信息。
[0125]
需要说明的是，在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，在本实施例中不再赘述。
[0126]
此外，结合上述实施例中提供的恶意软件识别方法，在本实施例中还可以提供一
种存储介质来实现。该存储介质上存储有计算机程序；该计算机程序被处理器执行时实现上述实施例中的任意一种恶意软件识别方法。
[0127]
在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储历史进程数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种恶意软件识别方法。
[0128]
本领域技术人员可以理解，图7中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
[0129]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
[0130]
应该明白的是，这里描述的具体实施例只是用来解释这个应用，而不是用来对它进行限定。根据本技术提供的实施例，本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例，均属本技术保护范围。
[0131]
显然，附图只是本技术的一些例子或实施例，对本领域的普通技术人员来说，也可以根据这些附图将本技术适用于其他类似情况，但无需付出创造性劳动。另外，可以理解的是，尽管在此开发过程中所做的工作可能是复杂和漫长的，但是，对于本领域的普通技术人员来说，根据本技术披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段，不应被视为本技术公开的内容不足。
[0132]“实施例”一词在本技术中指的是结合实施例描述的具体特征、结构或特性可以包括在本技术的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例，也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是，本技术中描述的实施例在没有冲突的情况下，可以与其它实施例结合。
[0133]
以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对专利保护范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。