CN101127638A - 一种具有主动性的病毒自动防控系统和方法 - Google Patents
一种具有主动性的病毒自动防控系统和方法 Download PDFInfo
- Publication number
- CN101127638A CN101127638A CNA2007101376318A CN200710137631A CN101127638A CN 101127638 A CN101127638 A CN 101127638A CN A2007101376318 A CNA2007101376318 A CN A2007101376318A CN 200710137631 A CN200710137631 A CN 200710137631A CN 101127638 A CN101127638 A CN 101127638A
- Authority
- CN
- China
- Prior art keywords
- virus
- unit
- behavior
- file
- report
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 241000700605 Viruses Species 0.000 title claims abstract description 462
- 238000000034 method Methods 0.000 title claims abstract description 64
- 230000002265 prevention Effects 0.000 title claims abstract description 47
- 238000012544 monitoring process Methods 0.000 claims abstract description 62
- 238000004458 analytical method Methods 0.000 claims abstract description 54
- 230000006399 behavior Effects 0.000 claims description 129
- 230000003612 virological effect Effects 0.000 claims description 69
- 230000004048 modification Effects 0.000 claims description 15
- 238000012986 modification Methods 0.000 claims description 15
- 230000035772 mutation Effects 0.000 claims description 10
- 230000029812 viral genome replication Effects 0.000 claims description 8
- 230000029305 taxis Effects 0.000 claims description 6
- 241001269238 Data Species 0.000 claims description 5
- 230000009385 viral infection Effects 0.000 claims description 4
- 238000011084 recovery Methods 0.000 claims description 3
- 238000010977 unit operation Methods 0.000 claims description 2
- 230000009193 crawling Effects 0.000 abstract description 3
- 230000007547 defect Effects 0.000 abstract 1
- 230000006870 function Effects 0.000 description 22
- 230000002155 anti-virotic effect Effects 0.000 description 17
- 230000000875 corresponding effect Effects 0.000 description 14
- 230000008569 process Effects 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 9
- 230000009471 action Effects 0.000 description 8
- 230000006378 damage Effects 0.000 description 8
- 239000000284 extract Substances 0.000 description 5
- 238000010921 in-depth analysis Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 230000000845 anti-microbial effect Effects 0.000 description 3
- 239000004599 antimicrobial Substances 0.000 description 3
- 238000009792 diffusion process Methods 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 208000015181 infectious disease Diseases 0.000 description 3
- 230000002458 infectious effect Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 239000000523 sample Substances 0.000 description 3
- 241000710190 Cardiovirus Species 0.000 description 2
- 208000025174 PANDAS Diseases 0.000 description 2
- 208000021155 Paediatric autoimmune neuropsychiatric disorders associated with streptococcal infection Diseases 0.000 description 2
- 240000004718 Panda Species 0.000 description 2
- 235000016496 Panda oleosa Nutrition 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 231100000614 poison Toxicity 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000000630 rising effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 241000239290 Araneae Species 0.000 description 1
- 230000000840 anti-viral effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000009412 basement excavation Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000001351 cycling effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- SXHBILQYQWZSIW-UHFFFAOYSA-L disodium;4-[3,5-dimethyl-n-(4-sulfonatobutyl)anilino]butane-1-sulfonate Chemical compound [Na+].[Na+].CC1=CC(C)=CC(N(CCCCS([O-])(=O)=O)CCCCS([O-])(=O)=O)=C1 SXHBILQYQWZSIW-UHFFFAOYSA-L 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 238000007789 sealing Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种具有主动性的病毒自动防控系统和方法。该系统包括病毒判断单元,还包括病毒复制单元,可控病毒运行单元,行为监控单元,解析单元,病毒报告分析单元,以及病毒特征库单元,进一步还可以包括恶意网络爬行单元和上报单元。该系统和方法克服传统的病毒分析中对病毒的许多重要信息没有重视,建立对这些被忽视的重要信息的深入分析和利用,从而达到对病毒更加主动和全面的自动防控。
Description
技术领域
本发明涉及计算机网络安全技术领域,特别是涉及一种具有主动性的病毒自动防控系统和方法。
背景技术
计算机病毒,是蓄意设计的一种软件程序,它旨在干扰计算机操作,记录、毁坏或删除数据,或者自行传播到其他计算机和整个Internet。
计算机病毒与医学上的“病毒”不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制具有特殊功能的程序。其通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染它们,对计算机资源进行破坏的这样一组程序或指令集合。
现有的反病毒技术,在病毒和反病毒的较量中,反病毒一般处于被动的地位,因为先有病毒的出现,才有反病毒的安全解决方法的产生,对于病毒的产生,具有一定的滞后性。而且从病毒爆发到病毒分析员拿到病毒之间存在一些时延,从病毒分析员拿到病毒样本,然后进行复制,提取特征,升级病毒库,再进行用户杀毒软件方法的更新,最后查杀病毒,这一过程具有很大的延迟性,现有对病毒的统计也显示,查找病毒的源头有一定的空间局限性和时间局限性,一般地,在这一过程中,即使是现有的最好的杀毒软件公司,其病毒处理过程也存在很大的延迟。
而且,现有的传统的杀毒软件方法的安全服务具有一定的局限性,其只是简单地为用户构建一个安全环境,而由于上述的反病毒的滞后性和延迟性,因此,现有的杀毒软件方法中没有较好的预防查杀病毒的方法。
中国专利申请200510036269.6公开了一种一种网络病毒防护领域的主动探测病毒防护系统及其防护方法,该系统包括嵌入于三层交换机中的探针模块、存储器、安全策略模块以及安装于信息监控服务器中的外部访问管理系统,本发明解决了现有局域网病毒防护系统无法防范局域网子网间病毒攻击的缺点,可广泛应用于电子政务,金融及内网安全性较高的网络环境。
但是,这种查杀病毒的方法,局限于防火墙后的内网中,只提供针对网络数据流的监控和访问控制,并没有提供基于内容的危害识别,安全解决方法只有关闭端口一种,并不能从根源上消除安全威胁,同时,其平台是在第三层交换机上,大规模的分析,过滤,控制等系统开销会降低网络的吞吐率。
而且,由于计算机病毒广泛使用了加壳与加密技术,加上多态引擎和指令干扰的应用,产生了大量的病毒变种,使现有的杀毒软件方法难以应对大量变化的病毒,如何在病毒及其各种变种产生后,尽快查出并清除病毒是反病毒研究的重要方向。
同时,由于经济利益的驱动,木马、蠕虫、后门等非感染性高隐藏性的恶意病毒开始大行其道,其主要目的是盗取用户的银行帐号密码、商业机密等等重要的信息来达到获利的目的,最终可能会使得用户遭到严重的损失。而病毒在窃取用户的银行帐号密码、商业机密等这些重要信息后,一般都会将其保存到指定的地址,例如病毒作者的邮箱,网站或者服务器等等。如何在被木马、蠕虫、后门等非感染性高隐藏性的恶意病毒感染后,查找到被窃重要信息传输的保存地址,并将重要信息删除或者回传,也是反病毒研究的重要方向。
发明内容
本发明的目的在于克服现有技术的缺陷,提供一种具有主动性的病毒自动防控系统和方法,其向网络提供一种具有主动性和自动性的安全的计算机环境。
为实现本发明目的而提供的一种具有主动性的病毒自动防控系统,包括病毒判断单元,还包括病毒复制单元,可控病毒运行单元,行为监控单元,解析单元,病毒报告分析单元,恶意网络爬行单元,以及病毒特征库单元;
所述病毒复制单元,用于将病毒文件从病毒判断单元复制到可控病毒运行单元;
可控病毒运行单元,用于设置一所述病毒文件运行的可控制的计算机运行环境,在该可控制的计算机运行环境独立运行该病毒文件,使得该文件运行过程受行为监控单元监控;
行为监控单元,用于在可控病毒运行单元运行计算机病毒文件时,监控该病毒文件的运行过程,收集病毒行为的结果和相关的数据,并把这些行为和数据上传到解析单元;
解析单元,用于根据行为监控单元收集的病毒的行为和相关的数据,解析病毒的行为以及相关的数据,确定该病毒行为的结果,并对病毒行为的结果以及相关的数据进行分类,生成病毒报告,输出到病毒报告分析单元;
病毒报告分析单元,用于根据病毒报告中病毒行为的结果,分析该病毒报告并将不同的病毒行为和相应的数据分别归入到不同的数据库中;
恶意网络爬行单元,用于通过根据解析单元生成的病毒报告,进一步深入分析,获得病毒文件的网络存储位置,然后对该位置进行定期的小范围的爬行,对爬行所得的文件进行分类,然后在病毒运行单元中运行,由行为监控单元监控,得到新的病毒报告;
病毒特征库单元,用于在病毒报告分析单元分析病毒报告并将不同的病毒行为和相应的数据分别归入到不同的数据库后,根据各个数据库对病毒的描述和危害等级,更新病毒特征库。
所述病毒判断单元,可以先根据文件特征的判断,对要进行分析的文件进行过滤,滤掉那些已经分析过的文件,然后通过复制进行文件行为的判断,查找那些没有分析过的未知的恶意文件。
所述可控病毒运行单元为一可控的计算机运行环境,其能够从被病毒感染的计算机环境中的自动恢复。
所述病毒行为是由系统功能函数提供支持的病毒文件运行结果,调用系统功能函数,然后触发安全事件。
所述监控病毒文件的运行过程是通过修改程序的导入地址表,修改要监控的指定函数的入口地址,使其先执行监控代码,然后再去执行被监控的函数代码,实现监控行为。
所述相关的数据为获取病毒运行过程中的所有信息数据,包括对系统文件、可执行文件、动态链接文件等病毒文件可修改的各种文件的相关修改信息,对网络文件的修改信息数据,对系统底层的文件的修改信息数据中的一种或者一种以上的数据。
所述病毒行为的结果包括病毒的种类、危害性等级、病毒危害结果中的一种或者一种以上的组合。
所述数据库包括特征数据库,知识库,恶意行为库,行为报告库,恶意网址库中的一种或者一种以上的组合。
所述行为监控单元,包括病毒命名单元,用于根据收集病毒的行为和相关的数据,与现有的恶意行为库进行比较,并根据对比结果,对病毒进行命名。
所述命名包括平台名,病毒家族名,病毒变种名和/或病毒分类名。
所述的具有主动性的病毒自动防控系统,还包括可疑文件库单元,用于存储恶意网络爬行单元收集的可疑文件。
所述的具有主动性的病毒自动防控系统,还包括上报单元,用于在发现病毒窃取用户的帐号、密码等重要信息时,深入分析病毒的病毒报告,并找到接受这些被窃信息的地址。
为实现本发明目的还提供一种具有主动性的病毒自动防控方法,包括下列步骤:
步骤A,在计算机系统中判断并查找到病毒文件;
步骤B,将所述病毒文件复制到独立的可控计算机运行平台中运行,并监控该病毒文件的运行过程;
步骤C,收集病毒行为的结果和相关的数据,并把这些行为和数据上传;
步骤D,解析病毒的行为和相关的数据,确定该病毒行为的结果,并对病毒的行为以及相关的数据进行分类,生成病毒报告;
步骤E,对病毒报告进行深入分析,将不同的病毒行为和相应的数据分别归入到不同的数据库中,各个数据库各取所需,得到相应的病毒数据,并根据各个数据库对病毒的描述和危害等级,更新病毒特征库单元中的病毒特征库;
步骤F,通过根据病毒报告,进一步深入分析,获得病毒文件的网络存储位置,然后对该位置进行定期的小范围的爬行,对爬行所得文件进行分类,然后再次送入可控的病毒运行环境运行监控,得到新的病毒报告。
所述步骤A包括下列步骤:
先是根据文件特征的判断,对要进行分析的文件进行过滤,滤掉那些已经分析过的文件,然后通过复制进行文件行为的判断,查找那些没有分析过的未知的恶意文件。
所述步骤B中监控病毒文件的运行过程,包括下列步骤:
通过修改程序的导入地址表,修改要监控的指定函数的入口地址,使其先执行监控代码,然后再去执行监控函数代码,实现监控行为。
所述步骤C中所述相关的数据为获取病毒运行过程中的所有信息数据,包括对系统文件、可执行文件、动态链接文件等病毒文件可修改的各种文件的相关修改信息,对网络文件的修改信息数据,对系统底层的文件的修改信息数据中的一种或者一种以上的数据。
所述步骤E中的数据库包括特征数据库,知识库,恶意行为库,行为报告库,恶意网址库中的一种或者一种以上的组合。
所述步骤D还包括下列步骤:
根据收集病毒行为的结果和相关的数据,与现有的恶意行为库进行比较,并根据对比结果,对病毒进行命名。
所述命名包括平台名,病毒家族名,病毒变种名和/或病毒分类名。
所述的具有主动性的病毒自动防控方法,还包括下列步骤:
步骤G,在发现病毒窃取重要信息时,深入分析病毒的病毒报告,并找到接受这些被窃信息的地址。
所述重要信息包括用户的帐号、密码等。
本发明的有益效果是:本发明的具有主动性的病毒自动防控系统和方法,克服传统的病毒分析中对病毒的许多重要信息(如病毒回传的具体网络地址,病毒盗取的具体信息等)没有重视,建立对这些被忽视的重要信息的深入分析和利用的系统和方法,从而达到对病毒更加主动和全面的自动防控。并且,其通过对病毒源头的进行不间断的爬行,并在爬行过程中进行分析,达到在病毒大范围爆发之前通过反病毒系统减小其扩散的范围和危害,主动防范查除病毒,大大缩短现有反病毒系统的延迟性,以及通过病毒爆发的源头的空间和时间的局限性的利用,可以对病毒的大规模爆发有一定的预见性和限制性。进一步地,本发明的具有主动性的病毒自动防控系统和方法,具有可追溯性,通过分析对用户已经被窃取的信息进行找回或者销毁,并为从法律上追究病毒制作者提供证据和强有力的技术支持。
附图说明
图1为本发明具有主动性的病毒自动防控系统结构示意图;
图2为本发明具有主动性的病毒自动防控方法一实施例流程图;
图3为传统的扫描和监控技术病毒的破坏程度随时间的变化曲线实验结果图;
图4为本发明具有主动性的病毒自动防控系统和方法病毒破坏程度随时间的变化曲线实验结果图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明的一种具有主动性的病毒自动防控系统和方法进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明的具有主动性的病毒自动防控系统和方法,克服传统的病毒分析中对病毒的许多重要信息(如病毒回传的具体网络地址,病毒盗取的具体信息等)没有重视,建立对这些被忽视的重要信息的深入分析和利用的系统和方法,从而达到对病毒更加主动和全面的自动防控。
如图1所示,本发明的具有主动性的病毒自动防控系统,除包括现有的病毒判断单元101外,还包括病毒复制单元102,可控病毒运行单元103,行为监控单元104,解析单元107,病毒报告分析单元111,以及病毒特征库单元117。
病毒判断单元101,用于对文件是否为病毒进行判断。所述的病毒判断单元101为现有技术,其可以是计算机软件,如瑞星查毒软件,诺顿查毒软件等现有的各种查杀计算机病毒的软件产品装置,其能够判断计算机系统所运行的文件是否具有计算机病毒的特征,如是否恶意复制文件,是否恶意删除文件等行为特征,并根据特征判断该文件是否带有病毒或者该文件本身就是病毒文件。
病毒判断单元101也可以是现有的一种计算机病毒检测系统环境,其通过专业的计算机分析人员操作计算机系统,在计算机系统中运行特定的文件,并对该文件运行过程进行检测,分析其运行过程,根据文件运行时是否具有计算机病毒的特征,从而判断该文件是否携带计算机病毒或者本身为计算机病毒。
病毒判断单元101判断文件是否为病毒或者是否携带病毒,病毒的判断有两种方法,一种是基于文件特征(signature)的判断,一种是基于文件行为(action)的判断。基于特征的判断,其判断速度是非常快的。而基于文件行为的判断速度很慢,而且病毒文件在判断过程中会破坏电脑系统,它需要一个可控的环境,但是可以判断出未知的病毒,这是基于文件特征的判断无法做到的。
较佳地,本发明系统的病毒判断单元101,是两种判断的优点相结合,先是根据文件特征的判断,利用其速度对要进行分析的文件进行过滤,滤掉那些已经分析过的文件,防止重复分析,然后通过复制进行文件行为的判断,查找那些没有分析过的未知的恶意文件。
病毒复制单元102,用于将病毒文件从病毒判断单元101复制到可控病毒运行单元103。
病毒复制单元102可以通过一种计算机可执行指令,包括例如DOS操作系统下的COPY命令,将病毒文件从病毒判断单元101复制到可控病毒运行单元103。
可控病毒运行单元103(Duplication System),用于设置一所述病毒文件运行的可控制的计算机运行环境,在该可控制的计算机运行环境独立运行该病毒文件,使得该文件运行过程受行为监控单元104监控。
可控病毒运行单元103可以为一个可控的计算机运行环境,其能够从被病毒感染的计算机环境中的自动恢复。
一般地,计算机病毒文件都运行在特定的计算机平台环境,如运行Windows、DOS、,UNIX、LINUX等特定的操作系统的计算机中,本领域的普通技术人员可以设置一个专门用于计算机病毒文件运行的平台环境,并在该计算机运行环境中独立运行该病毒文件,使得该文件运行过程受行为监控单元104监控。例如,病毒文件运行于Windows操作系统,则在一台计算机中安装Windows操作系统,该操作系统通过网络连接到其他计算机,并受其他计算机的监控管理,对该计算所有的数据进行备份后,在该计算机运行环境中运行病毒文件,通过网络连接的其他计算机监控该病毒文件的运行过程并记录数据变化。
行为监控单元104(Sun Box System),用于在可控病毒运行单元103运行计算机病毒文件时,监控该文件的运行过程,收集病毒的行为(action)和相关的数据,并把这些行为和数据上传到解析单元107。
行为监控单元104利用监控技术的功能函数、以驱动程序的方法实现对病毒文件监控。
病毒的行为是由系统功能函数提供支持的病毒文件运行结果,病毒的行为会调用系统功能函数,然后触发安全事件。
例如病毒要感染文件时要先去定位干净文件,病毒此时会调用系统函数FindFirstFile和FindNextFile..例如木马要dll注入一个进程中去,会调用CreateRemoteThread函数,病毒的每一种恶意行为都需要系统的支持,这就为监控提供了可能性。
较佳地,本发明监控病毒文件的运行过程是通过修改程序的导入地址表(IAT),修改要监控的指定函数的入口地址,使其先执行监控代码,然后再去执行被监控的函数代码,实现监控行为。
同样,驱动程序的监控也是类似的,修改系统中要监控的函数的入口,使其先执行监控代码,再回去执行函数代码。
相关的数据包括获取病毒运行过程中的所有信息数据,包括对系统文件、可执行文件、动态链接文件等病毒文件可修改的各种文件的相关修改信息,对网络文件的修改信息数据,对系统底层的文件的修改信息数据等等。
解析单元107(Analyse System,AS),用于根据行为监控单元104收集的病毒的行为和相关的数据,解析病毒的行为以及相关的数据,确定该病毒的行为的结果,包括种类、危害性等级、病毒危害结果等,并对病毒行为的结果以及相关的数据进行分类,生成病毒报告109(action report),输出到病毒报告分析单元111,例如恶意程序下载器(downloader)它会自动的从Inernet上下载各种恶意程序,并执行他们,例如“下载并执行=→http://www.xxx.com/xxx/xxx/iloveyou.exe”。
所述病毒的行为很多,例如感染性病毒它会查找特定的文件,写入他自己的恶意代码,木马病毒它会通过修改系统的数据隐藏自己,蠕虫会连接网络使其在网络中繁殖,病毒下载器会从internet上下载恶意程序,盗密码程序它会纪录用户输入的密码等等。
解析单元107通过遍历病毒的行为以及相关的数据,来确定该病毒的种类、危害性等级、病毒危害结果等,并根据病毒的行为判断该行为是否为恶意,进一步确定其属于哪个病毒家族,为后面的病毒命名提供数据。
病毒行为的结果是由行为监控单元104所收集的数据中体现出来的,因为每个病毒家族有其特殊的行为,因此,可以通过病毒的行为与现有的恶意行为库114进行比对判断得到该病毒属于哪个病毒家族。
本发明实施例中的遍历是利用遍历算法遍历,所述遍历算法包括B+tree算法和hash算法等,具体遍历算法实现是本领域的公知常识,本发明只是调用遍历算法接口实现数据遍历,因此,在本发明实施例中不再一一详细描述。
病毒报告分析单元111,用于根据病毒报告109中病毒行为的结果,包括病毒的种类、危害性等级、病毒危害结果等,分析该病毒报告109并将不同的病毒行为和相应的数据分别归入到不同的数据库中。
病毒报告分析单元111对病毒报告109进行深入分析,将不同的病毒行为和相应的数据分别归入到不同的数据库中,各个数据库各取所需,得到相应的病毒数据,并根据各个数据库对病毒的描述和危害等级,更新病毒特征库单元117中的病毒特征库。
所述的数据库包括但不限于特征数据库116,知识库115,恶意行为库114,行为报告库113,恶意网址库112等。
所述的特征数据库116(Signature DataBase,SDB),用于存储该病毒的文件特征(存储病毒的文件特征而不是行为特征)。
所述特征(Signature)是基于文件的,是一种对特定病毒文件进行表示的方法,它通过在文件的特定位置或特定位置附近察看是否出现特定的字符或是特定字符的组合来达到对特定的文件的识别。特征数据库中没有关于文件行为的描述,它仅仅是对这些行为在文件中的静态的字面的表现进行描述,即对文件中的特定地点的特定字符串进行描述。这些特征(Signature)是用来进行快速的文件匹配的,这种静态匹配或者说查毒或者说扫描病毒技术是所有杀毒软件都在使用的,是当今公认的最有效的病毒扫描技术。本系统的目的之一就是更快的,更准确的,更全面的生成病毒文件的特征。
知识库115(Knowledge Base,KB),用于存储对病毒文件行为的文本描述和所对应于该病毒文件的清除方法。所述知识库115的字段表示如下:例如,字段“download”=>value“下载xxx恶意程序并执行”;字段“dll insert”=>value“把xxx.dll注入到xxx进程”;字段“modify hosts”=>value“修改hosts文件”;等等....
恶意行为库114(Malicious Action DataBase,MADB),用于存储该病毒对应的病毒家族的行为(malicious action)集合。所述的恶意行为库114的字段可以表示如下:例如,字段(field)“download”=>value“http://www.xxx.com/xxx/greeting card.exe”;字段“dll insert”=>value“explorer”;field“modify hosts”=>value“127.0.0.1 http://www.antivirus.com”;字段“chang DNS”=values“xx.xx.xx.xx to xx.xx.xx.xx”;等等。
行为报告库113(Action Reports DataBase,ARDB),用于存储该病毒文件对应的病毒报告109。行为报告库113的字段形式与恶意行为库114的形式相同。
恶意网址数据库(Malicious URL DataBase),用于存储病毒文件运行时所产生的恶意地址。所述恶意网址数据库的字段形式表示如下:字段(field)“url”=>value“httjp://www.xxx.com/xxx.exe”;字段“report time”=>value“2007-5-31”;字段“extract from”=>value“xxx malware”;等等。
病毒特征库单元117,用于在病毒报告分析单元111分析病毒报告109并将不同的病毒行为和相应的数据分别归入到不同的数据库后,根据各个数据库对病毒的描述和危害等级,更新病毒特征库。
病毒特征库单元117根据各个数据库对病毒的描述和危害等级,自动生成对病毒恶意行为的描述(description),向消除计算机病毒的各个软件系统或者装置解释报告病毒产生的原因,由消除计算机病毒的各个软件系统或者装置根据病毒特征库单元117中的病毒特征库对病毒的描述,消除带有该病毒的文件。
本发明的具有主动性的病毒自动防控系统,在病毒判断单元101判断出一种病毒产生之后,由病毒复制单元102复制该病毒,并设置可控病毒运行单元103,使病毒在一个可控环境中运行并受行为监控单元104监控,监控得到病毒的行为和相应的数据,生成病毒报告109,然后由病毒报告分析单元111对病毒报告109进行分析,将病毒的行为和相关的数据进行分类,归入到不同的数据库中。
首先,让病毒在可控病毒运行单元103这样一个适合计算机病毒生存运行的平台环境中让病毒运行,然后行为监控单元104收集记录这个平台环境中的计算机事件,生成事件文件,即病毒的行为和相关的数据。
计算机事件是记录的单位,每个计算机事件都对应着平台环境中病毒的行为和信息的变化,例如文件的修改,计算机的开启或关闭,计算机系统信息的添加或删除,建立与外界的网络连接等等。
例如熊猫烧香病毒,它会调用计算机系统的函数去遍历计算机系统中的可执行文件,并把自己和该可执行文件进行捆绑,这就会产生一个事件,这个事件是通过编写驱动程序,对计算机系统中的文件相关的函数进行监控,然后触发的。同时,熊猫烧香还会遍历计算机系统中的正在运行的程序文件,来查看是否有QQ,网络游戏程序等等它感兴趣的进程,然后盗取相应密码,这也会产生一个事件,它是由对计算机系统中遍历当前进程的函数进行的监控所触发的。
然后,解析单元107以事件为单位将病毒的行为以及相关的数据直接生成病毒报告109。
相关的数据的具体表达方法有很多,作为一本发明的一种可实施方式,可以用事件链表示相关的数据,而每个事件链由数据字典表示,数据字典是由数据对组成的数据表表示的,数据对可以是行为、信息对,例如访问网络www.fortinet.com,就可以表示为行为---->访问外部网络,信息---->www.fortinet.com。
其后,病毒报告分析单元111对病毒报告109进行深入分析,将不同的病毒行为和相应的数据分别归入到不同的数据库中,各个数据库各取所需,得到相应的病毒数据。
病毒报告分析单元111对各自感兴趣的数据进行深入分析,深入分析是指根据各个不同的数据库功能,各取所需,将不同的病毒行为和相应的数据分别归入到不同的数据库中。例如有的数据库只需要病毒文件的网络来源的数据,而有的数据库则需要病毒文件要把盗取的信息藏在什么地方的数据。病毒报告分析单元111将不同数据库内容,根据病毒的行为和相关的数据由病毒报告分析单元111根据不同的侧重点,归入到不同的数据库中。同时,将病毒报告109作为一个宏观的事件的组合,不考虑病毒的来源等等,将其归入到行为报告库113中。
然后更新病毒的病毒特征库单元117,生成病毒知识(virus encyclopedia,也叫病毒百科全书),存储到病毒知识库,根据病毒特征库生成的病毒知识,现有的监控计算机病毒的软件便可以随时查杀计算机病毒,达到自动防控计算机病毒的目的。
本发明的具有主动性的病毒自动防控系统自动地分析提取那些被忽视的信息,然后主动地去找恶意文件,主动地去防治他们的爆发。
本发明具有主动性的病毒自动防控系统是建立在对分析信息更深入的挖掘,更主动的利用,和国家安全机构更紧密的配合基础上的,所以本发明是一种更先进的系统。其提供更具有主动性更具有前瞻性更迅速对用户的保护更全面,而且由于自动分析减少了分析的成本,可以用更少的分析员完成更完美的分析成本更低。
较佳地,本发明的具有主动性的病毒自动防控系统,所述行为监控单元104,包括病毒命名单元105(Naming System),用于根据收集病毒的行为和相关的数据,与现有的恶意行为库114(malicious action database)进行比较,并根据对比结果,对病毒进行命名。
所述命名可以包括平台名,病毒家族名,病毒变种名和/或病毒分类名等等。
进一步地,通过利用病毒报告109和恶意行为库114中的行为集合进行比较,确定病毒文件的病毒家族,并进一步确定其是否为变种。
进一步地,本发明的具有主动性的病毒自动防控系统,还包括恶意网络爬行单元108,和可疑文件库单元106。
恶意网络爬行单元108(Malicious URL Spider System,M_URL_SS),用于通过根据解析单元107生成的病毒报告109,进一步深入分析,获得病毒文件的网络存储位置,然后对该位置进行定期的小范围的爬行,对爬行所得的文件进行分类,然后在病毒运行单元中运行,由行为监控单元104监控,得到新的病毒报告109。
深入分析是指本发明的分析过程充分利用了所有能得到的信息更主动更积极,而不是像传统的分析流程,仅仅停留在一个文件上,忽视病毒来源的分析。由于局部性原理,那个病毒来源的地方很可能有其他的未知的病毒,或者过几天后病毒的新的版本新的变种会出现等等,传统的分析方法不积极分析会严重影响提供的病毒解决方案的及时性安全性等等。
病毒文件的网络存储位置,也就是病毒的来源。病毒也许是从你的同事的电脑上传过来的,也许是从你浏览的网页上下载下来的,也许是你的U盘中复制过来的,也许是你的电脑中的某个文件自动从网上下载下来的,总之你的电脑中毒了,一定是有来源的。除非你就是病毒的作者。
爬行所得到的文件是病毒的来源附近的文件,所有的和病毒相关的文件都是可疑的,需要分析,安全的全面性。
所述分类是指有的文件只是配置文件起辅助作用,有的是可以执行的,可执行的文件又有很多种,例如windows可执行文件,linux可执行文件,vbs ,javascript,bat,perl,vba,等等
每个被分析的文件都有一个分析报告,病毒分析报告是和文件一一对应的,不同的文件的分析报告也许有相似的地方,也许一点也不相似。
可疑文件库单元106(Suspicious DataBase),用于存储恶意网络爬行单元108收集的可疑文件。
恶意网络爬行单元108首先基于病毒报告109,提取恶意地址,判断病毒文件的起始传播位置,即病毒文件是从具体的那个网络上传输过来而被发现的。
相比于现有的病毒查杀技术只关心病毒是否访问了网络,是否下载了文件,本发明的具有主动性的病毒自动防控系统在传统的安全解决方法基础上的改进,不仅仅关心病毒是否访问网络,是否下载文件两个方面,更进一步的注意到病毒文件是从具体的哪个网络传过来的,克服了现有的病毒查杀技术把病毒具体来自那个网络的信息丢弃了并不重视,通过恶意网络爬行单元108对该信息进行深入分析和利用;
然后,恶意网络爬行单元108开始爬行,即对病毒传播的网络尽可能的提取文件,然后分析文件提取URL,再获取文件,再分析,提取文件,直到没有新的文件可以获取了,获得可疑文件,,把这些可疑文件送入分析单元开始新一轮的分析。
爬行的信息来源是通过对那些已经被证实为恶意文件的复制信息进行挖掘,先判断事件链表中是否有网络事件,每个事件又有一个数据字典,通过遍历其中的数据对找到感兴趣的部分,即找到其网络访问部分(如果其存在),获取URL,以此地址为根,对其所包含的连接进行分类和广度优先的遍历,得到所有可下载和执行的文件,存入可疑文件库单元106,并进行后继分析。并根据分析结果及时更新分布在世界各地的病毒防控系统,通过病毒防控系统的过滤来达到减小其扩散的范围和危害。
所述可疑文件可以是病毒存在的网络中所有文件,恶意网络爬行单元108把这些文件逐一下载下来后逐个在可控病毒运行单元103中自动运行并由行为监控单元104监控,并由解析单元107进行分析去识别他们,确定它们是否为病毒文件。
由于计算机病毒爆发的源头具有局部性,因此,本发明具有主动性的病毒自动防控系统通过恶意网络爬行单元108,利用爬行和深入分析,通过深入分析行为报告,获得恶意文件的网络存储位置,然后对该位置进行定期的小范围的爬行,对爬行所得文件进行分类,并送入病毒运行单元中运行,得到行为报告,循环操作,在病毒大规模爆发之前将其控制在小范围内。
更佳地,本发明的具有主动性的病毒自动防控系统,还包括上报单元110(Alarm System)。
所述上报单元110,用于在发现病毒窃取用户的帐号、密码等重要信息时,深入分析病毒的病毒报告109,并找到接受这些被窃信息的地址。
有些病毒会盗取用户的账号、密码等重要信息,本发明的上报单元110,负责将深入分析病毒的病毒报告109(action report),找到接受这些被盗信息的地点并上报,为从法律上追究病毒制作者提供证据和强有力的技术支持,减少用户损失。
病毒窃取的信息会回传给病毒作者,由于回传是需要访问网络的,因此其回传过程是可以被行为监控单元104发现,被窃信息回传的地址也就可以找到,例如E_mail,http,ftp地址等等。
下面结合所述系统,进一步详细描述本发明的具有主动性的病毒自动防控方法:
步骤S100,在计算机系统中判断并查找到病毒文件;
在计算机系统中,利用所运行的计算机软件,如瑞星查毒软件,诺顿查毒软件等现有的各种查杀计算机病毒的软件产品装置,判断计算机系统所运行的文件是否具有计算机病毒的特征,并根据特征判断该文件是否带有病毒或者该文件本身就是病毒文件。
也可以直接使用本系统中的病毒特征(Signature)库中的特征(Signature)来判断文件是否为病毒文件。本系统的目的之一就是更多的,更快的,更好的提取病毒特征(Signatue),提取特征的目的是判断文件是否为病毒文件。本系统的主动性,自动学习能力保证了本系统中的特征库不论从时间上还是效果上都是优于其它杀毒软件的。
较佳地,先是根据文件特征的判断,对要进行分析的文件进行过滤,滤掉那些已经分析过的文件,然后通过复制进行文件行为的判断,查找那些没有分析过的未知的恶意文件
步骤S200,将所述病毒文件复制到独立的可控计算机运行平台中运行,并监控该病毒文件的运行过程;
所述监控病毒文件的运行过程是通过修改程序的导入地址表,修改要监控的指定函数的入口地址,使其先执行监控代码,然后再去执行被监控的函数代码,实现监控行为。
步骤S300,收集病毒行为的结果和相关的数据,并把这些行为和数据上传;
步骤S400,解析病毒的行为和相关的数据,确定该病毒行为的结果,包括种类、危害性等级、病毒危害结果等,并对病毒的行为以及相关的数据进行分类,生成病毒报告109;
较佳地,根据收集病毒行为的结果和相关的数据,与现有的恶意行为库114进行比较,并根据对比结果,对病毒进行命名。
所述命名可以包括平台名,病毒家族名,病毒变种名和/或病毒分类名等等。
步骤S500,对病毒报告109进行深入分析,将不同的病毒行为和相应的数据分别归入到不同的数据库中,各个数据库各取所需,得到相应的病毒数据,并根据各个数据库对病毒的描述和危害等级,更新病毒特征库单元117中的病毒特征库。
所述数据库包括特征数据库116,知识库115,恶意行为库114,行为报告库113,恶意网址库112中的一种或者一种以上的组合。
进一步地,还包括下列步骤:
步骤S600,通过根据病毒报告109,进一步深入分析,获得病毒文件的网络存储位置,然后对该位置进行定期的小范围的爬行,对爬行所得文件进行分类,然后再次送入可控的病毒运行环境运行监控,得到新的病毒报告109。
步骤S700,在发现病毒窃取用户的帐号、密码等重要信息时,深入分析病毒的病毒报告109,并找到接受这些被窃信息的地址。
本发明的具有主动性的病毒自动防控系统和方法,具有“走出去”的创新。本发明系统和方法比传统的反病毒软件系统更主动,更安全,突破了传统杀毒软件的封闭思维(仅仅是固守本地系统,对外面的攻击一味的防守)。其会主动出击,利用现有的扫描技术和监控技术,再结合网络爬行技术,为用户提供一个整体的主动的自动防空系统和方法。
本发明的具有主动性的病毒自动防控系统和方法,克服传统的病毒分析中对病毒的许多重要信息(如病毒回传的具体网络地址,病毒盗取的具体信息等)没有重视,建立对这些被忽视的重要信息的深入分析和利用的系统和方法,从而达到对病毒更加主动和全面的自动防控。并且,其通过对病毒源头的进行不间断的爬行,并在爬行过程中进行分析,达到在病毒大范围爆发之前通过反病毒系统减小其扩散的范围和危害,主动防范查除病毒,大大缩短现有反病毒系统的延迟性,以及通过病毒爆发的源头的空间和时间的局限性的利用,可以对病毒的大规模爆发有一定的预见性和限制性,如图3所示为传统的扫描和监控技术病毒的破坏程度随时间的变化曲线实验结果图。如图4所示为本发明具有主动性的病毒自动防控系统和方法,利用扫描和监控技术与网络爬行技术相结合后的病毒破坏程度随时间的变化曲线实验结果图。从图3和图4中可以看出,本发明的具有主动性的病毒自动防控系统和方法,降低了病毒破坏的峰值。进一步地,本发明的具有主动性的病毒自动防控系统和方法,具有可追溯性,通过分析对用户已经被窃取的信息进行找回或者销毁,并为从法律上追究病毒制作者提供证据和强有力的技术支持。
通过结合附图对本发明具体实施例的描述,本发明的其它方面及特征对本领域的技术人员而言是显而易见的。
以上对本发明的具体实施例进行了描述和说明,这些实施例应被认为其只是示例性的,并不用于对本发明进行限制,本发明应根据所附的权利要求进行解释。
Claims (21)
1.一种具有主动性的病毒自动防控系统,包括病毒判断单元,其特征在于,还包括病毒复制单元,可控病毒运行单元,行为监控单元,解析单元,病毒报告分析单元,恶意网络爬行单元,以及病毒特征库单元;
所述病毒复制单元,用于将病毒文件从病毒判断单元复制到可控病毒运行单元;
可控病毒运行单元,用于设置一所述病毒文件运行的可控制的计算机运行环境,在该可控制的计算机运行环境独立运行该病毒文件,使得该文件运行过程受行为监控单元监控;
行为监控单元,用于在可控病毒运行单元运行计算机病毒文件时,监控该病毒文件的运行过程,收集病毒行为的结果和相关的数据,并把这些行为和数据上传到解析单元;
解析单元,用于根据行为监控单元收集的病毒的行为和相关的数据,解析病毒的行为以及相关的数据,确定该病毒行为的结果,并对病毒行为的结果以及相关的数据进行分类,生成病毒报告,输出到病毒报告分析单元;
病毒报告分析单元,用于根据病毒报告中病毒行为的结果,分析该病毒报告并将不同的病毒行为和相应的数据分别归入到不同的数据库中;
恶意网络爬行单元,用于通过根据解析单元生成的病毒报告,进一步深入分析,获得病毒文件的网络存储位置,然后对该位置进行定期的小范围的爬行,对爬行所得的文件进行分类,然后在病毒运行单元中运行,由行为监控单元监控,得到新的病毒报告;
病毒特征库单元,用于在病毒报告分析单元分析病毒报告并将不同的病毒行为和相应的数据分别归入到不同的数据库后,根据各个数据库对病毒的描述和危害等级,更新病毒特征库。
2.根据权利要求1所述的具有主动性的病毒自动防控系统,其特征在于,所述病毒判断单元,先是根据文件特征的判断,对要进行分析的文件进行过滤,滤掉那些已经分析过的文件,然后通过复制进行文件行为的判断,查找那些没有分析过的未知的恶意文件。
3.根据权利要求1所述的具有主动性的病毒自动防控系统,其特征在于,所述可控病毒运行单元为一可控的计算机运行环境,其能够从被病毒感染的计算机环境中的自动恢复。
4.根据权利要求1所述的具有主动性的病毒自动防控系统,其特征在于,所述病毒行为是由系统功能函数提供支持的病毒文件运行结果,调用系统功能函数,然后触发安全事件。
5.根据权利要求4所述的具有主动性的病毒自动防控系统,其特征在于,所述监控病毒文件的运行过程是通过修改程序的导入地址表,修改要监控的指定函数的入口地址,使其先执行监控代码,然后再去执行被监控的函数代码,实现监控行为。
6.根据权利要求1所述的具有主动性的病毒自动防控系统,其特征在于,所述相关的数据为获取病毒运行过程中的所有信息数据,包括对系统文件、可执行文件、动态链接文件等病毒文件可修改的各种文件的相关修改信息,对网络文件的修改信息数据,对系统底层的文件的修改信息数据中的一种或者一种以上的数据。
7.根据权利要求1所述的具有主动性的病毒自动防控系统,其特征在于,所述病毒行为的结果包括病毒的种类、危害性等级、病毒危害结果中的一种或者一种以上的组合。
8.根据权利要求1所述的具有主动性的病毒自动防控系统,其特征在于,所述数据库包括特征数据库,知识库,恶意行为库,行为报告库,恶意网址库中的一种或者一种以上的组合。
9.根据权利要求1所述的具有主动性的病毒自动防控系统,其特征在于,所述行为监控单元,包括病毒命名单元,用于根据收集病毒的行为和相关的数据,与现有的恶意行为库进行比较,并根据对比结果,对病毒进行命名。
10.根据权利要求9所述的具有主动性的病毒自动防控系统,其特征在于,所述命名包括平台名,病毒家族名,病毒变种名和/或病毒分类名。
11.根据权利要求1所述的具有主动性的病毒自动防控系统,其特征在于,还包括可疑文件库单元,用于存储恶意网络爬行单元收集的可疑文件。
12.根据权利要求1所述的具有主动性的病毒自动防控系统,其特征在于,还包括上报单元,用于在发现病毒窃取用户的帐号、密码等重要信息时,深入分析病毒的病毒报告,并找到接受这些被窃信息的地址。
13.一种具有主动性的病毒自动防控方法,其特征在于,包括下列步骤:
步骤A,在计算机系统中判断并查找到病毒文件;
步骤B,将所述病毒文件复制到独立的可控计算机运行平台中运行,并监控该病毒文件的运行过程;
步骤C,收集病毒行为的结果和相关的数据,并把这些行为和数据上传;
步骤D,解析病毒的行为和相关的数据,确定该病毒行为的结果,并对病毒的行为以及相关的数据进行分类,生成病毒报告;
步骤E,对病毒报告进行深入分析,将不同的病毒行为和相应的数据分别归入到不同的数据库中,各个数据库各取所需,得到相应的病毒数据,并根据各个数据库对病毒的描述和危害等级,更新病毒特征库单元中的病毒特征库;
步骤F,通过根据病毒报告,进一步深入分析,获得病毒文件的网络存储位置,然后对该位置进行定期的小范围的爬行,对爬行所得文件进行分类,然后再次送入可控的病毒运行环境运行监控,得到新的病毒报告。
14.根据权利要求13所述的具有主动性的病毒自动防控方法,其特征在于,所述步骤A包括下列步骤:
先是根据文件特征的判断,对要进行分析的文件进行过滤,滤掉那些已经分析过的文件,然后通过复制进行文件行为的判断,查找那些没有分析过的未知的恶意文件。
15.根据权利要求13所述的具有主动性的病毒自动防控方法,其特征在于,所述步骤B中监控病毒文件的运行过程,包括下列步骤:
通过修改程序的导入地址表,修改要监控的指定函数的入口地址,使其先执行监控代码,然后再去执行监控函数代码,实现监控行为。
16.根据权利要求13所述的具有主动性的病毒自动防控方法,其特征在于,所述步骤C中所述相关的数据为获取病毒运行过程中的所有信息数据,包括对系统文件、可执行文件、动态链接文件等病毒文件可修改的各种文件的相关修改信息,对网络文件的修改信息数据,对系统底层的文件的修改信息数据中的一种或者一种以上的数据。
17.根据权利要求13所述的具有主动性的病毒自动防控方法,其特征在于,所述步骤E中的数据库包括特征数据库,知识库,恶意行为库,行为报告库,恶意网址库中的一种或者一种以上的组合。
18.根据权利要求13所述的具有主动性的病毒自动防控方法,其特征在于,所述步骤D还包括下列步骤:
根据收集病毒行为的结果和相关的数据,与现有的恶意行为库进行比较,并根据对比结果,对病毒进行命名。
19.根据权利要求18所述的具有主动性的病毒自动防控方法,其特征在于,所述命名包括平台名,病毒家族名,病毒变种名和/或病毒分类名。
20.根据权利要求13所述的具有主动性的病毒自动防控方法,其特征在于,还包括下列步骤:
步骤G,在发现病毒窃取重要信息时,深入分析病毒的病毒报告,并找到接受这些被窃信息的地址。
21.根据权利要求20所述的具有主动性的病毒自动防控方法,其特征在于,所述重要信息包括用户的帐号、密码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101376318A CN101127638B (zh) | 2007-06-07 | 2007-07-27 | 一种具有主动性的病毒自动防控系统和方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710100310.0 | 2007-06-07 | ||
| CN200710100310 | 2007-06-07 | ||
| CN2007101376318A CN101127638B (zh) | 2007-06-07 | 2007-07-27 | 一种具有主动性的病毒自动防控系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101127638A true CN101127638A (zh) | 2008-02-20 |
| CN101127638B CN101127638B (zh) | 2011-06-15 |
Family
ID=39095570
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101376318A Active CN101127638B (zh) | 2007-06-07 | 2007-07-27 | 一种具有主动性的病毒自动防控系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101127638B (zh) |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101316171B (zh) * | 2008-06-30 | 2010-12-08 | 成都市华为赛门铁克科技有限公司 | 病毒防范方法和装置 |
| CN101924754A (zh) * | 2010-07-15 | 2010-12-22 | 国家计算机网络与信息安全管理中心 | 一种恶意代码控制端主动发现方法及装置 |
| CN102034044A (zh) * | 2010-12-14 | 2011-04-27 | 华中科技大学 | 计算机病毒的毒性暨危害性分析系统 |
| CN101685483B (zh) * | 2008-09-22 | 2011-07-20 | 成都市华为赛门铁克科技有限公司 | 一种病毒特征码提取的方法和装置 |
| CN102368289A (zh) * | 2011-03-28 | 2012-03-07 | 卡巴斯基实验室封闭式股份公司 | 用于动态生成反病毒数据库的系统和方法 |
| CN102457495A (zh) * | 2010-10-21 | 2012-05-16 | 中华电信股份有限公司 | 网络病毒防护方法及系统 |
| CN102799804A (zh) * | 2012-04-30 | 2012-11-28 | 珠海市君天电子科技有限公司 | 未知文件安全性综合鉴定方法及系统 |
| WO2013029504A1 (zh) * | 2011-08-29 | 2013-03-07 | 北京奇虎科技有限公司 | 一种病毒或恶意程序的防御方法和系统 |
| CN103425928A (zh) * | 2012-05-17 | 2013-12-04 | 富泰华工业(深圳)有限公司 | 电子装置的杀毒系统及方法 |
| CN103457927A (zh) * | 2013-03-29 | 2013-12-18 | 深圳信息职业技术学院 | 一种病毒防护的无线基站 |
| CN103677882A (zh) * | 2012-09-18 | 2014-03-26 | 珠海市君天电子科技有限公司 | 一种手机程序的虚拟安装装置和方法 |
| CN103761482A (zh) * | 2014-01-23 | 2014-04-30 | 珠海市君天电子科技有限公司 | 一种病毒程序检测的方法及病毒程序检测装置 |
| CN103763324A (zh) * | 2014-01-23 | 2014-04-30 | 珠海市君天电子科技有限公司 | 一种病毒程序传播设备监控的方法以及服务器 |
| CN103812850A (zh) * | 2012-11-15 | 2014-05-21 | 北京金山安全软件有限公司 | 控制病毒访问网络的方法及装置 |
| CN103929336A (zh) * | 2013-01-16 | 2014-07-16 | 余振华 | 一种高速数据提取及线速分析方法 |
| CN103944920A (zh) * | 2014-05-09 | 2014-07-23 | 哈尔滨工业大学 | 基于检测驱动的网络蠕虫主动遏制方法及对抗工具自动生成系统 |
| CN104850782A (zh) * | 2014-02-18 | 2015-08-19 | 腾讯科技(深圳)有限公司 | 匹配病毒特征的方法及装置 |
| CN107851157A (zh) * | 2015-06-27 | 2018-03-27 | 迈可菲有限责任公司 | 恶意软件的检测 |
| CN107949846A (zh) * | 2015-06-27 | 2018-04-20 | 迈可菲有限责任公司 | 恶意线程挂起的检测 |
| CN110719271A (zh) * | 2019-09-26 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种旁路流量检测设备与终端防护设备联合防御方法 |
| CN110866253A (zh) * | 2018-12-28 | 2020-03-06 | 北京安天网络安全技术有限公司 | 一种威胁分析方法、装置、电子设备及存储介质 |
| CN111681114A (zh) * | 2020-06-02 | 2020-09-18 | 重庆第二师范学院 | 一种金融分类管理系统及其工作方法 |
| CN113656799A (zh) * | 2021-08-18 | 2021-11-16 | 浙江国利网安科技有限公司 | 一种工控病毒的分析方法、装置、存储介质和设备 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2531565C2 (ru) * | 2012-09-28 | 2014-10-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ анализа событий запуска файлов для определения рейтинга их безопасности |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1322711C (zh) * | 2004-05-14 | 2007-06-20 | 清华大学 | 因特网蠕虫病毒的早期预警方法 |
| CN100547513C (zh) * | 2005-02-07 | 2009-10-07 | 福建东方微点信息安全有限责任公司 | 基于程序行为分析的计算机防护方法 |
| CN1794725B (zh) * | 2005-12-29 | 2011-04-06 | 华中师范大学 | 嵌入式移动Web服务器 |
-
2007
- 2007-07-27 CN CN2007101376318A patent/CN101127638B/zh active Active
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101316171B (zh) * | 2008-06-30 | 2010-12-08 | 成都市华为赛门铁克科技有限公司 | 病毒防范方法和装置 |
| CN101685483B (zh) * | 2008-09-22 | 2011-07-20 | 成都市华为赛门铁克科技有限公司 | 一种病毒特征码提取的方法和装置 |
| CN101924754A (zh) * | 2010-07-15 | 2010-12-22 | 国家计算机网络与信息安全管理中心 | 一种恶意代码控制端主动发现方法及装置 |
| CN101924754B (zh) * | 2010-07-15 | 2013-07-31 | 国家计算机网络与信息安全管理中心 | 一种恶意代码控制端主动发现方法及装置 |
| CN102457495A (zh) * | 2010-10-21 | 2012-05-16 | 中华电信股份有限公司 | 网络病毒防护方法及系统 |
| CN102034044B (zh) * | 2010-12-14 | 2015-03-18 | 华中科技大学 | 计算机病毒的毒性暨危害性分析系统 |
| CN102034044A (zh) * | 2010-12-14 | 2011-04-27 | 华中科技大学 | 计算机病毒的毒性暨危害性分析系统 |
| CN102368289A (zh) * | 2011-03-28 | 2012-03-07 | 卡巴斯基实验室封闭式股份公司 | 用于动态生成反病毒数据库的系统和方法 |
| CN102368289B (zh) * | 2011-03-28 | 2015-12-09 | 卡巴斯基实验室封闭式股份公司 | 用于动态生成反病毒数据库的系统和方法 |
| WO2013029504A1 (zh) * | 2011-08-29 | 2013-03-07 | 北京奇虎科技有限公司 | 一种病毒或恶意程序的防御方法和系统 |
| CN102799804A (zh) * | 2012-04-30 | 2012-11-28 | 珠海市君天电子科技有限公司 | 未知文件安全性综合鉴定方法及系统 |
| CN103425928B (zh) * | 2012-05-17 | 2017-11-24 | 富泰华工业(深圳)有限公司 | 电子装置的杀毒系统及方法 |
| CN103425928A (zh) * | 2012-05-17 | 2013-12-04 | 富泰华工业(深圳)有限公司 | 电子装置的杀毒系统及方法 |
| CN103677882A (zh) * | 2012-09-18 | 2014-03-26 | 珠海市君天电子科技有限公司 | 一种手机程序的虚拟安装装置和方法 |
| CN103812850A (zh) * | 2012-11-15 | 2014-05-21 | 北京金山安全软件有限公司 | 控制病毒访问网络的方法及装置 |
| CN103812850B (zh) * | 2012-11-15 | 2016-12-21 | 北京金山安全软件有限公司 | 控制病毒访问网络的方法及装置 |
| CN103929336A (zh) * | 2013-01-16 | 2014-07-16 | 余振华 | 一种高速数据提取及线速分析方法 |
| CN103457927A (zh) * | 2013-03-29 | 2013-12-18 | 深圳信息职业技术学院 | 一种病毒防护的无线基站 |
| CN103761482B (zh) * | 2014-01-23 | 2018-08-07 | 珠海市君天电子科技有限公司 | 一种病毒程序检测的方法及病毒程序检测装置 |
| CN103763324A (zh) * | 2014-01-23 | 2014-04-30 | 珠海市君天电子科技有限公司 | 一种病毒程序传播设备监控的方法以及服务器 |
| CN103761482A (zh) * | 2014-01-23 | 2014-04-30 | 珠海市君天电子科技有限公司 | 一种病毒程序检测的方法及病毒程序检测装置 |
| CN104850782A (zh) * | 2014-02-18 | 2015-08-19 | 腾讯科技(深圳)有限公司 | 匹配病毒特征的方法及装置 |
| CN103944920A (zh) * | 2014-05-09 | 2014-07-23 | 哈尔滨工业大学 | 基于检测驱动的网络蠕虫主动遏制方法及对抗工具自动生成系统 |
| CN107851157A (zh) * | 2015-06-27 | 2018-03-27 | 迈可菲有限责任公司 | 恶意软件的检测 |
| CN107949846A (zh) * | 2015-06-27 | 2018-04-20 | 迈可菲有限责任公司 | 恶意线程挂起的检测 |
| CN110866253A (zh) * | 2018-12-28 | 2020-03-06 | 北京安天网络安全技术有限公司 | 一种威胁分析方法、装置、电子设备及存储介质 |
| CN110866253B (zh) * | 2018-12-28 | 2022-05-27 | 北京安天网络安全技术有限公司 | 一种威胁分析方法、装置、电子设备及存储介质 |
| CN110719271A (zh) * | 2019-09-26 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种旁路流量检测设备与终端防护设备联合防御方法 |
| CN111681114A (zh) * | 2020-06-02 | 2020-09-18 | 重庆第二师范学院 | 一种金融分类管理系统及其工作方法 |
| CN113656799A (zh) * | 2021-08-18 | 2021-11-16 | 浙江国利网安科技有限公司 | 一种工控病毒的分析方法、装置、存储介质和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101127638B (zh) | 2011-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101127638B (zh) | 一种具有主动性的病毒自动防控系统和方法 | |
| Canali et al. | Prophiler: a fast filter for the large-scale detection of malicious web pages | |
| Liu et al. | A novel approach for detecting browser-based silent miner | |
| US9596255B2 (en) | Honey monkey network exploration | |
| Feng et al. | Understanding and securing device vulnerabilities through automated bug report analysis | |
| Song et al. | Advanced evasion attacks and mitigations on practical ML‐based phishing website classifiers | |
| CN105491053A (zh) | 一种Web恶意代码检测方法及系统 | |
| US20110041179A1 (en) | Malware detection | |
| Wang et al. | NetSpy: Automatic generation of spyware signatures for NIDS | |
| Nissim et al. | ALDROID: efficient update of Android anti-virus software using designated active learning methods | |
| KR101080953B1 (ko) | 실시간 웹쉘 탐지 및 방어 시스템 및 방법 | |
| CN101901232A (zh) | 用于处理网页数据的方法和装置 | |
| Wang et al. | An evolutionary study of IoT malware | |
| CN103473501A (zh) | 一种基于云安全的恶意软件追踪方法 | |
| Gorji et al. | Detecting obfuscated JavaScript malware using sequences of internal function calls | |
| Andriatsimandefitra et al. | Detection and identification of android malware based on information flow monitoring | |
| Najari et al. | Malware detection using data mining techniques | |
| Guo et al. | An Empirical Study of Malicious Code In PyPI Ecosystem | |
| Supriya et al. | Malware detection techniques: a survey | |
| Burji et al. | Malware analysis using reverse engineering and data mining tools | |
| McKenna | Detection and classification of Web robots with honeypots | |
| Zarras | The art of false alarms in the game of deception: Leveraging fake honeypots for enhanced security | |
| Singhal | Analysis and Categorization of Drive-By Download Malware Using Sandboxing and Yara Ruleset | |
| Jawhar | A Survey on Malware Attacks Analysis and Detected | |
| Takata et al. | MineSpider: Extracting hidden URLs behind evasive drive-by download attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: FORTINET INC. Free format text: FORMER OWNER: FORTINET INFORMATION TECHNOLOGY (BEIJING) CO., LTD. Effective date: 20091016 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20091016 Address after: Zip code, California, USA: 100085 Applicant after: Fortinet, Inc. Address before: Room 7, digital media building, No. 507 information road, Beijing, Haidian District, China: 100085 Applicant before: Fortinet,Inc. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |