(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211104014.9 (22)申请日 2022.09.09 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 贺勖宁　 (74)专利代理 机构 北京金信知识产权代理有限 公司 11225 专利代理师 韩岳松 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/1095(2022.01) (54)发明名称 基于日志文件的处理方法、 电子设备及存储 介质 (57)摘要 本申请公开了一种基于日志文件的处理方 法及电子设备， 方法包括： 在确定目标程序为恶 意程序或疑似恶意程序的情况下， 将与所述目标 程序的操作信息相关联的日志文件进行备份， 生 成相应的备份文件， 所述备份文件中具有用于指 示所述操作信息的备份点； 在确定所述目标程序 对所述日志文件进行操作的情况下， 获取所述目 标程序对所述日志文件进行操作的第一操作信 息； 获取与所述第一操作信息对应的第一备份 点， 以及与所述第一备份点相邻的第二备份点， 所述第二备份点与所述第一备份点的生成时间 相邻； 将所述第一备份点与所述第二备份点进行 比对， 基于比对结果， 确定所述目标程序的恶意 内容。 该方法在恶意程序对日志文件操作时， 对 日志文件进行及时备份 。 权利要求书2页 说明书10页 附图4页 CN 115459999 A 2022.12.09 CN 115459999 A 1.一种基于日志文件的处 理方法， 其特 征在于， 所述方法包括： 在确定目标程序为恶意程序或疑似恶意程序的情况下， 将与 所述目标程序的操作信 息 相关联的日志文件进行备份， 生成相应的备份文件， 其中所述备份文件中具有用于指示所 述操作信息的备份点； 在确定所述目标程序对所述日志文件进行操作的情况下， 获取所述目标程序对所述日 志文件进行操作的第一操作信息； 获取与所述第一操作信 息对应的第 一备份点， 以及与 所述第一备份点相邻的第 二备份 点， 其中， 所述第二备份点与所述第一备份点的生成时间相邻； 将所述第一备份点与所述第二备份点进行比对， 基于比对结果， 确定所述目标程序的 恶意内容。 2.根据权利要求1所述的方法， 其特征在于， 所述方法还包括确定所述目标程序 是否对 所述日志文件进行操作， 其中包括： 检测用于操作日志文件的接口是否被所述目标程序调用； 若是， 利用钩子函数提取所述目标程序通过所述接口进行操作的指示内容， 其中， 所述 指示内容包括： 对所述日志文件进行篡改和/或删除的函数生成的操作结果； 基于所述指示内容， 确定所述目标程序对所述日志文件进行操作的第一操作信息 。 3.根据权利要求1所述的方法， 其特征在于， 所述方法还包括确定所述目标程序 是否为 恶意程序或疑似恶意 程序， 其中包括： 判断所述目标程序是否为白名单程序； 若是， 则判断所述目标程序的登陆地址是否属于白名单中标注的地址； 若是， 则判断所述目标程序的操作行为是否为恶意行为； 若是， 则确定所述目标程序为恶意 程序或疑似恶意 程序。 4.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 在确定所述目标程序为恶意程序或疑似恶意程序的情况下， 获取所述目标程序进入系 统的第一时间点； 基于所述第一时间点， 启动对所述目标程序的操作信息相关联的日志文件进行 备份。 5.根据权利要求1所述的方法， 其特征在于， 所述将所述第 一备份点与 所述第二备份点 进行比对， 基于比对结果， 确定所述目标程序的恶意内容， 包括： 基于所述比对结果， 确定所述目标程序是否对所述日志文件进行篡改和/或删除； 若是， 获取 所述目标程序对所述日志文件进行篡改和/或删除的内容； 将所述目标程序对所述日志文件进行篡改和/或删除的内容， 以及所述比对结果备份 在日志文件中。 6.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 在确定目标程序为恶意程序或疑似恶意程序的情况下， 对所述目标程序的操作信 息进 行标注； 将标注后的所述操作信息记录在所述日志文件中。 7.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 在确定所述目标程序为恶意程序或疑似恶意程序的情况下， 获取所述目标程序离开系 统的第二时间点；权　利　要　求　书 1/2 页 2 CN 115459999 A 2基于所述第二时间点， 停止对所述目标程序的操作信息相关联的日志文件进行 备份。 8.一种电子设备， 其特 征在于， 包括： 备份模块， 其配置为， 在确定目标程序为恶意程序或疑似恶意程序的情况下， 将与所述 目标程序的操作信息相关联的日志文件进行备份， 生成相应的备份文件， 其中所述备份文 件中具有用于指示所述操作信息的备份点； 确定模块， 其配置为， 在确定所述目标程序对所述日志文件进行操作的情况下， 获取所 述目标程序对所述日志文件进行操作的第一操作信息； 获取模块， 其配置为， 获取与 所述第一操作信 息对应的第 一备份点， 以及与所述第一备 份点相邻的第二备份点， 其中， 所述第二备份点与所述第一备份点的生成时间相邻； 比对模块， 其配置为， 将所述第一备份点与所述第二备份点进行比对， 基于比对结果， 确定所述目标程序的恶意内容。 9.一种电子设备， 其特征在于， 包括存储器和处理器， 所述存储器中存储有可执行程 序， 所述处 理器执行所述可执行程序以实现如权利要求1至7任意 一项所述的方法的步骤。 10.一种存储介质， 其特征在于， 该计算机可读存储介质上存储有计算机程序， 该计算 机程序被处 理器运行时执 行如权利要求1至7任意 一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 115459999 A 3