CN101350822B - 一种Internet恶意代码的发现和追踪方法 - Google Patents
一种Internet恶意代码的发现和追踪方法 Download PDFInfo
- Publication number
- CN101350822B CN101350822B CN2008101512571A CN200810151257A CN101350822B CN 101350822 B CN101350822 B CN 101350822B CN 2008101512571 A CN2008101512571 A CN 2008101512571A CN 200810151257 A CN200810151257 A CN 200810151257A CN 101350822 B CN101350822 B CN 101350822B
- Authority
- CN
- China
- Prior art keywords
- malicious code
- url
- summit
- internet
- relation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明主动地去发现隐藏在Internet(国际互联网)中的恶意代码,并根据恶意代码在Internet中的拓扑分布信息进行追踪,定位恶意代码的源头,评估此恶意代码的影响。本方法首先对用户提交的可疑网页进行解析,提取文件中的链接信息进行广度优先搜索。对搜索过程中发现的文件进行多反病毒引擎的交叉检测来发现已知的恶意代码和蜜罐检测来发现未知的恶意代码。如果发现恶意代码则通过提升优先级进行深度优先的追踪。建立恶意代码的Internet拓扑图,定位恶意代码的源头,评估对正常网页的影响度。
Description
【技术领域】:本发明属于计算机防病毒技术领域。
【背景技术】:随着互联网的快速发展,Internet恶意代码越来越多,而且危害越来越严重。当前,反病毒方法大多局限于防御,即防止恶意代码对本地计算机系统的渗透、攻击和破坏。由于Internet中隐藏着大量的恶意代码,如何主动地发现这些恶意代码,如何追踪恶意代码的源头是一个必须要解决的问题。
【发明内容】:本发明目的是,通过主动发现方法去识别那些隐藏在Internet中的恶意代码,并根据恶意代码的拓扑分布图进行追踪,以此定位恶意代码的源头,并评估此恶意代码的影响范围。
一、本发明涉及的与互联网有关的一些基本概念:
(1)Internet恶意代码:本专利中的Internet恶意代码是指隐藏在Internet中的计算机病毒和恶意软件,当用户在不知情的情况下访问了含有Internet恶意代码的网站时,计算机病毒或者恶意软件就会发作。
在《中华人民共和国计算机信息系统安全保护条例》第二十八条中明确定义“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。微软公司定义计算机病毒为“蓄意设计的一种软件程序,它旨在干扰计算机操作,记录、毁坏或删除数据,或者自行传播到其他计算机和整个Internet。”
中国互联网协会定义恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件,但已被我国现有法律法规规定的计算机病毒除外。
(2)Internet文件(以下简称为文件):Internet中各类信息的载体,包括网页文件(如html)、可执行文件(如exe)、文档文件(如doc)和多媒体文件(如mp3、rmvb)等。Internet文件与传统文件的不同在于,每个Internet文件都和一个Internet地址相对应,即都有一个唯一的url,并可以通过url定位到所对应的Internet文件。
(3)间接关联:一个文件f中包含其它文件{f1,f2,...,fn}的链接,当用户访问文件f时,{f1,f2,...,fn}只是以链接的形式存在于用户的系统中,只有当用户选择了其中的文件fi(fi∈{f1,f2,...,fn})的链接后,fi才下载到用户的系统中。因此,定义f到fi之间的关联为间接关联,且f和fi所对应的url也称为间接关联。例如,浏览新闻网站,用户看到的是各种新闻的标题,这些标题都对应着一个链接,这个链接定位到Internet中包含新闻内容的文件,只有当用户点击了其中一个新闻标题后,这个新闻标题的链接所对应的文件才下载到用户的系统中,用户就 可以浏览新闻的内容了。
(4)直接关联:一个文件f中包含其它文件{f1,f2,...,fn}的链接,如果当用户访问文件f时,fi(fi∈{f1,f2,...,fn})在没有得到用户认可的情况下就自动地下载到用户的系统中,那么称f到fi是直接关联的,且f和fi所对应的url也称为直接关联的。例如,当用户浏览某一网页时,计算机病毒文件会自动地下载到用户的计算机中,那么这个网页和下载的计算机病毒文件就是直接关联。
(5)优先级:根据url所定位的文件的可疑度,将url的优先级分成3个等级:高、中、低。高优先级的url所对应的文件包含未知的恶意代码,且当前还没有针对该恶意代码的解决方案。中优先级的url所对应的文件包含已知的恶意代码,且当前已经有针对该恶意代码的解决方案。低优先级的url所对应的文件为未发现恶意代码的文件或者未进行检测的文件。通过设置优先级,使得对恶意url进行深度优先搜索,对普通url进行广度优先搜索,以此缩短恶意代码的发现时间。
(6)拓扑信息:是指记录url之间关联关系(包括直接关联关系和间接关联关系)的信息,它反映了url间的逻辑拓扑关系。
二、Internet恶意代码的发现方法
本发明提供的Internet恶意代码的发现方法,包括如下步骤:
第一、将可疑的url(网址)添加到恶意代码搜索队列L={url1,url2,...,urln}中的低优先级子队列中,urli(1≤i≤n)∈L是用于发现恶意代码的原始点。L为多优先级队列,包括高、中、低三个优先级子队列,分别为Lh,Ln,Ll。从L中取数据时先从Lh中取,如果Lh为空则从Ln中取数据,如果Ln也为空则从Ll中取数据,子队列内部则按照先入先出的原则取数据;
第二、从上步生成的恶意代码搜索队列L中取出urli,1≤i≤n,传递给过滤模块;
第三、在过滤模块中,向上步传递过来的urli发送HEAD请求(请求页面的首部),根据响应信息内容中的属性Status-Code(响应状态代码)、Content-type(实体的介质类型)、Last-modified(文档的最后修改时间)和Content-length(文档数据的长度)进行过滤。如果urli满足过滤规则,返回第二步。如果urli不满足过滤规则,将urli传递给下载模块。过滤规则提高了恶意代码的发现效率并降低网络开销;
第四、将上步不满足过滤规则的url传递给下载模块,下载模块使用GET请求(请求指定的页面信息)将该url所对应的文件fi下载到本地,并将文件fi传递给恶意代码扫描引擎,同时解析文件fi并从中提取新的url;
第五、根据上步从文件fi中所提取的url,其中包括直接关联的和间接关联的url,得到集合 并将关联信息存储到拓扑信息数据库中;
第六、利用现有的反病毒引擎对第四步下载的文件fi进行检测;当发现恶意代码,分析恶意代码的结构,计算文件fi的MD5(一种通用的单向散列函数)和SHA-1(一种通用的单向散列函数)值,将恶意代码信息存入恶意代码数据库中,并将集合 从Ll中删除,然后将Li添加到L的中优先级子队列Ln中。当没有检测到恶意代码,则将文件fi对应的url传递给蜜罐系统进行检测;
第七、蜜罐系统根据浏览文件fi对应的url和运行文件fi的过程中的行为,判断是否含有恶意代码;当检测到恶意行为,则根据恶意行为分析恶意代码的结构,计算文件fi的MD5和SHA1值,将恶意代码信息存入恶意代码数据库中,并将集合 从Ln中删除,然后将Li添加到L的高优先级子队列Lh中。并发出警报,对恶意代码进行紧急响应;如果反病毒引擎和蜜罐系统的检测结果都没有发现恶意代码,将集合 添加到L的低优先级子队列Ll中。
第八,返回第二步,从队列L中提取新的url进行上述分析。
发出警报是指向国家计算机病毒应急处理中心上报未知恶意代码;紧急响应是指病毒分析员根据计算机病毒紧急响应程序对恶意代码进行详细分析并及时提出解决方案的过程。
以上第三步中所述的过滤规则是:
根据Status-Code属性对响应的状态代码进行过滤;根据Content-type属性对实体的介质的类型进行过滤;根据Last-modified属性对文档的最后修改时间进行过滤和根据Content-length属性对对文档的数据长度进行过滤。
三、Internet恶意代码的追踪方法
本发明提供的Internet恶意代码的追踪方法,具体步骤如下:
第一、建立关联关系图G=(V,E)
其中,V是有限个顶点v的集合,每个顶点表示权利要求1中所述的拓扑信息数据库中的一个url;E是V中顶点对(vi,vj)的有限集,顶点对(vi,vj)我们称之为边,每条边代表一对url间的关联关系,因为url间的关联关系是有方向的,所以边也是有方向的;
通过遍历拓扑信息数据库,将所有的url加入到集合V中,将所有的直接关联关系加入到集合Ed中,将所有的间接关联关系加入到集合Ei中,E=Ed∪Ei,集合V和Ed就组成了直接关联关系图Gd=(V,Ed),集合V和Ei就组成了间接关联关系图Gi=(V,Ei),集合V和E就组成了关联关系图G;
第二、提取恶意代码的线索
此过程用到Vi、 Ei、 六个集合;其中Vi是与vi有关联关系的顶点集合, 是与vi有直接关联关系的顶点集合, 是与vi有间接关联关系的顶点集合, Ei是Vi 中各顶点之间所存在的边的集合, 是 中各顶点之间所存在的边的集合, 是 中各顶点之间所存在的边的集合;集合Vi、 Ei、 初始时为空集;
首先找到含有恶意代码的文件fi所对应的urli在集合V中对应的顶点vi,并将vi加入到集合Vi、 中,然后遍历直接关联关系图Gd,将所有能够直接关联到urli的顶点加入集合 将直接关联到urli的边加入集合 再次遍历直接关联关系图Gd,将所有能够直接关联到集合 中的顶点,且不包含于 的顶点vj添加到 中,即 将新添加的顶点与集合 中的顶点之间的边ej添加到 中,即 循环遍历图Gd,直到集合 和 中的元素不再增加为止,便得到urli的直接关联关系图 以同样的方法,可以得到urli的间接关联关系图 urli的直接关联关系图 和urli的间接关联关系图 为追踪恶意代码提供了线索;
第三、定位恶意代码的源头
四、评估恶意代码的影响范围
本发明所述恶意代码的影响范围的评估包括:
当图 和图 中的顶点有重叠时,将图 中所有与这些相同的顶点相连且不属图 的点和边添加到图 中,形成新的图G1。这些新添加的顶点所对应的url存在遭受恶意代码攻击的可能,但不会遭到直接攻击,它们与Internet恶意代码相距一个间接关联,它们受到Internet恶意代码的影响度为1;
当图 和图G1中有相同的顶点,将图 中所有与这些相同的顶点相连且不属于图G1的点和边添加到图G1中,形成新的图G2。新添加的顶点所对应的url存在遭受恶意代码攻击的可能性要低于图G1中的顶点,它们与Internet恶意代码相距两个间接关联,受到Internet恶意代码的影响度为2;
采用同样的方法可以得到图G3,...,Gn 访问这些图的顶点所对应的url时有受到恶意代码攻击的可能性,但访问新增加的顶点时受到恶意代码攻击的可能性逐渐降低,受到Internet恶意代码的影响度依次升高。
本发明的优点和积极效果:
1.及时发现Internet中的恶意代码。
2.追踪恶意代码的源头。
3.确定恶意代码的扩散范围。
4.评估正常网页受恶意代码的影响度。
【附图说明】:
图1是恶意代码的发现流程图。
图2是恶意代码的追踪流程图。
图3是根据拓扑信息库建立的关联关系图,图中圆圈表示url,连线表示url间的关联关系,虚线箭头表示间接关联,实线箭头表示直接关联。
图4是恶意代码的关联关系图,图中灰色的节点组成了Internet恶意代码的直接关联关系图。
【具体实施方式】:
实施例1:Internet恶意代码的发现
http://www.ahzjsp.com(请不要访问该网站,否则会受到恶意代码的攻击)是一个含有Internet恶意代码的网站,当用户访问这个网站时会受到恶意代码的攻击。利用本方法能够主动的发现该网站所包含的恶意代码,具体处理流程如下:
1.将http://www.ahzjsp.com添加到Internet恶意代码的搜索队列中。
2.从Internet恶意代码搜索队列中取出http://www.ahzjsp.com传递给过滤模块。
3.向http://www.ahzjsp.com发送HEAD请求,得到Status-Code:200、Content-type:text/html、Content-length:2705,不满足过滤规则,将其传送给下载模块。
4.向http://www.ahzjsp.com发送GET请求,得到其所对应的文件并传递给恶意代码扫描引擎进行检测,同时提取文件中包含的url,得到url列表:
●http://qqhaomm.cn
●http://www.ahzjsp.com/gbook/index.asp
●http://www.ahzjsp.com/product.asp?bigclassname=%B4%BF%BE%BB%CB%AE%C9%E8%B1%B8
●http://www.ahzjsp.com/product.asp?bigclassname=%B9%CF%D7%D3%BB%FA
●http://www.ahzjsp.com/product.asp?bigclassname=%B9%FB%B6%B3%B1%AD
●http://www.ahzjsp.com/product.asp?bigclassname=%B9%FB%B6%B3%BB%FA
●http://www.ahzjsp.com/product.asp?bigclassname=%CA%B3%C6%B7%CF%B5%C1%D0
●http://www.ahzjsp.com/shownews.asp?id=46
●http://www.ahzjsp.com/shownews.asp?id=47
●http://www.ahzjsp.com/shownews.asp?id=48
●http://www.ahzjsp.com/shownews.asp?id=49
●http://www.ahzjsp.com/zhujia.css
●http://www.macromedia.com/go/getflashplayer
●http://yyhaomm.cn
5.将提取出的url添加到Internet恶意代码搜索对列中。拓扑信息数据库如下表:
第一列为提取出的url,第二列为url的关联信息,第三列为关联类型,1为直接关联,0为间接关联,第四列为关联的标签信息,标签信息是用来判断关联类型的。
6.根据Internet恶意代码搜索队列中的url信息,继续进行发现,最终得到拓扑信息数据库如下表:
7.恶意代码搜索引擎和蜜罐系统发现http://www.zmjjjyy.cn/new/a2.css为恶意代码。
实施例2:Internet恶意代码的追踪
1.建立关联关系图
根据Internet恶意代码发现步骤后得到的拓扑信息数据库建立关联关系图:
将拓扑信息数据库中的url抽象成一个点,每个节点定义一个编号,如下表:
关系图见图3、图4,
图中灰色的节点组成了Internet恶意代码的直接关联关系图。由此可以发现恶意代码的源头为节点1。
实施例3:恶意代码影响范围的评估
当用户访问了Internet恶意代码的直接关联关系图中的节点后会受到恶意代码的直接攻击,所以上图中的灰色节点都是危险的。访问那些与灰色节点有间接关联的网站也有受到恶意代码攻击的可能性的,但不会受到直接攻击。这些灰色节点受恶意代码的影响度为0。
Claims (4)
1.一种国际互联网Internet恶意代码的发现方法,其特征在于该方法包括如下步骤:
第一、将可疑的网址url添加到恶意代码搜索队列L={url1,url2,...,urln}中的低优先级子队列中,urli(1≤i≤n)∈L是用于发现恶意代码的原始点;L为多优先级队列,包括高、中、低三个优先级子队列,分别为Lh,Ln,Ll;从L中取数据时先从Lh中取,如果Lh为空则从Ln中取数据,如果Ln也为空则从Ll中取数据,子队列内部则按照先入先出的原则取数据;
第二、从上步生成的恶意代码搜索队列L中取出urli,1≤i≤n,传递给过滤模块;
第三、在过滤模块中,向上步传递过来的urli发送请求页面的首部HEAD请求,根据响应信息内容中的属性响应状态代码Status-Code、实体的介质类型Content-type、文档的最后修改时间Last-modified和文档数据的长度Content-length进行过滤,如果urli满足过滤规则,返回第二步;如果urli不满足过滤规则,将urli传递给下载模块;
第四、将上步不满足过滤规则的url传递给下载模块,下载模块使用请求指定的页面信息GET请求将该url所对应的文件fi下载到本地,并将文件fi传递给恶意代码扫描引擎,同时解析文件fi并从中提取新的url;
第六、利用现有的反病毒引擎对第四步下载的文件fi进行检测;当发现恶意代码,分析恶意代码的结构,计算文件fi的通用的单向散列函数MD5和通用的单向散列函数SHA-1值,将恶意代码信息存入恶意代码数据库中,并将集合从Ll中删除,然后将Li添加到L的中优先级子队列Ln中;当没有检测到恶意代码,则将文件fi对应的url传递给蜜罐系统进行检测;
第七、蜜罐系统根据浏览文件fi对应的url和运行文件fi的过程中的行为,判断是否含有恶意代码;当检测到恶意行为,则根据恶意行为分析恶意代码的结构,计算文件fi的MD5和SHA1值,将恶意代码信息存入恶意代码数据库中,并将集合从Ln中删除,然后将Li添加到L的高优先级子队列Lh中;并发出警报,对恶意代码进行紧急响应;如果反病毒引擎和蜜罐系统的检测结果都没有发现恶意代码,将集合添加到L的低优先级子队列Ll中;
第八,返回第二步,从队列L中提取新的url进行上述分析;
发出警报是指向国家计算机病毒应急处理中心上报未知恶意代码;紧急响应是指病毒分析员根据紧急响应步骤对恶意代码进行分析并提出解决方案的过程。
2.根据权利要求1所述的发现方法,其特征在于第三步中所述的过滤规则是:
根据Status-Code属性对响应的状态代码进行过滤;根据Content-type属性对实体的介质的类型进行过滤;根据Last-modified属性对文档的最后修改时间进行过滤和根据Content-length属性对对文档的数据长度进行过滤。
3.一种Internet恶意代码的追踪方法,其特征在于该方法的具体步骤如下:
第一、建立关联关系图G=(V,E)
其中,V是有限个顶点v的集合,每个顶点表示权利要求1中所述的拓扑信息数据库中的一个url;E是V中顶点对(vi,vj)的有限集,顶点对(vi,vi)我们称之为边,每条边代表一对url间的关联关系,因为url间的关联关系是有方向的,所以边也是有方向的;
通过遍历拓扑信息数据库,将所有的url加入到集合V中,将所有的直接关联关系加入到集合Ed中,将所有的间接关联关系加入到集合Ei中,E=Ed∪Ei,集合V和Ed就组成了直接关联关系图Gd=(V,Ed),集合V和Ei就组成了间接关联关系图Gi=(V,Ei),集合V和E就组成了关联关系图G;
第二、提取恶意代码的线索
此过程用到Vi、Ei、六个集合;其中Vi是与vi有关联关系的顶点集合,是与vi有直接关联关系的顶点集合,是与vi有间接关联关系的顶点集合,Ei是Vi中各顶点之间所存在的边的集合,是中各顶点之间所存在的边的集合,是中各顶点之间所存在的边的集合;集合Vi、Ei、初始时为空集;
首先找到含有恶意代码的文件fi所对应的urli在集合V中对应的顶点vi,并将vi加入到集合vi、中,然后遍历直接关联关系图Gd,将所有能够直接关联到urli的顶点加入集合将直接关联到urli的边加入集合再次遍历直接关联关系图Gd,将所有能够直接关联到集合中的顶点,且不包含于的顶点vj添加到中,即将新添加的顶点与集合中的顶点之间的边ej添加到中,即循环遍历图Gd,直到集合和中的元素不再增加为止,便得到urli的直接关联关系图以同样的方法,可以得到urli的间接关联关系图
第三、定位恶意代码的源头
4.根据权利要求3所述的追踪方法,其特征在于恶意代码的影响范围的评估包括:
图中的顶点所对应的url是受恶意代码影响最直接的url,只要访问这些url就马上遭受恶意代码的攻击;它们受到Internet恶意代码的影响度为0;
当图和图中的顶点有重叠时,将图中所有与这些相同的顶点相连且不属图的点和边添加到图中,形成新的图G1;这些新添加的顶点所对应的url存在遭受恶意代码攻击的可能,但不会遭到直接攻击,它们与Internet恶意代码相距一个间接关联,它们受到Internet恶意代码的影响度为1;
当图和图G1中有相同的顶点,将图中所有与这些相同的顶点相连且不属于图G1的点和边添加到图G1中,形成新的图G2;新添加的顶点所对应的url存在遭受恶意代码攻击的可能性要低于图G1中的顶点,它们与Internet恶意代码相距两个间接关联,受到Internet恶意代码的影响度为2;
采用同样的方法可以得到图G3,...,Gn 访问这些图的顶点所对应的url时有受到恶意代码攻击的可能性,但访问新增加的顶点时受到恶意代码攻击的可能性逐渐降低,受到Internet恶意代码的影响度依次升高。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101512571A CN101350822B (zh) | 2008-09-08 | 2008-09-08 | 一种Internet恶意代码的发现和追踪方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101512571A CN101350822B (zh) | 2008-09-08 | 2008-09-08 | 一种Internet恶意代码的发现和追踪方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101350822A CN101350822A (zh) | 2009-01-21 |
CN101350822B true CN101350822B (zh) | 2011-06-15 |
Family
ID=40269396
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008101512571A Expired - Fee Related CN101350822B (zh) | 2008-09-08 | 2008-09-08 | 一种Internet恶意代码的发现和追踪方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101350822B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106230775A (zh) * | 2016-07-13 | 2016-12-14 | 杭州华三通信技术有限公司 | 防止攻击url规则库的方法以及装置 |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101795267B (zh) * | 2009-12-30 | 2012-12-19 | 成都市华为赛门铁克科技有限公司 | 病毒检测方法、装置和网关设备 |
CN101841523B (zh) * | 2010-02-05 | 2013-05-22 | 中国科学院计算技术研究所 | 检测恶意代码样本的网络行为的方法及系统 |
CN101924754B (zh) * | 2010-07-15 | 2013-07-31 | 国家计算机网络与信息安全管理中心 | 一种恶意代码控制端主动发现方法及装置 |
CN102012988B (zh) * | 2010-12-02 | 2012-09-26 | 张平 | 自动二进制恶意代码行为分析方法 |
CN102122331B (zh) * | 2011-01-24 | 2014-04-30 | 中国人民解放军国防科学技术大学 | 一种构造“In-VM”恶意代码检测架构的方法 |
CN102332071B (zh) * | 2011-09-30 | 2014-07-30 | 奇智软件(北京)有限公司 | 发现疑似恶意信息、追踪恶意文件的方法及装置 |
US8584235B2 (en) * | 2011-11-02 | 2013-11-12 | Bitdefender IPR Management Ltd. | Fuzzy whitelisting anti-malware systems and methods |
CN102801698B (zh) * | 2011-12-20 | 2015-01-07 | 北京安天电子设备有限公司 | 一种基于url请求时序的恶意代码检测方法和系统 |
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
CN103971053B (zh) * | 2013-01-30 | 2017-02-08 | 腾讯科技(深圳)有限公司 | 木马文件传播关系确定方法和相关装置 |
CN103150512B (zh) * | 2013-03-18 | 2015-10-21 | 珠海市君天电子科技有限公司 | 一种蜜罐系统和运用该系统检测木马的方法 |
CN103559235B (zh) * | 2013-10-24 | 2016-08-17 | 中国科学院信息工程研究所 | 一种在线社交网络恶意网页检测识别方法 |
CN105024870A (zh) * | 2014-04-24 | 2015-11-04 | 中国移动通信集团公司 | 一种实现拨测的方法及系统 |
CN105512158B (zh) * | 2014-12-12 | 2019-05-07 | 哈尔滨安天科技股份有限公司 | 一种数据库蜜罐的可验证数据构造方法及系统 |
CN105187367B (zh) * | 2015-06-04 | 2019-03-08 | 何飚 | 基于大数据发现的僵尸木马病毒检测及管控方法 |
CN106484720B (zh) * | 2015-08-28 | 2019-07-23 | 北京奇虎科技有限公司 | 一种检测推广url的有效性的方法和装置 |
CN106790169B (zh) * | 2016-12-29 | 2020-06-09 | 杭州迪普科技股份有限公司 | 扫描设备扫描的防护方法及装置 |
CN106878314B (zh) * | 2017-02-28 | 2019-12-10 | 南开大学 | 基于可信度的网络恶意行为检测方法 |
CN107566376B (zh) * | 2017-09-11 | 2020-05-05 | 中国信息安全测评中心 | 一种威胁情报生成方法、装置及系统 |
CN109033834A (zh) * | 2018-07-17 | 2018-12-18 | 南京邮电大学盐城大数据研究院有限公司 | 一种基于文件关联关系的恶意软件检测方法 |
CN111355697B (zh) * | 2018-12-24 | 2022-02-25 | 深信服科技股份有限公司 | 僵尸网络域名家族的检测方法、装置、设备及存储介质 |
CN109922065B (zh) * | 2019-03-10 | 2021-03-23 | 北京亚鸿世纪科技发展有限公司 | 恶意网站快速识别方法 |
CN111935095A (zh) * | 2020-07-15 | 2020-11-13 | 广东电网有限责任公司 | 一种源代码泄露监控方法、装置及计算机存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1375775A (zh) * | 2001-03-16 | 2002-10-23 | 联想(北京)有限公司 | 网关级计算机网络病毒防范的方法及其装置 |
EP1145151B1 (en) * | 1999-01-15 | 2003-10-22 | Gillis E. Onyeabor | Method and system for database-driven, scalable web page development, deployment-download, and execution |
CN1648814A (zh) * | 2005-03-25 | 2005-08-03 | 张�林 | 利用独立操作系统查杀新电脑病毒的方法 |
CN1760883A (zh) * | 2005-11-10 | 2006-04-19 | 上海交通大学 | 支持大规模多用户并发控制的计算机病毒实验方法 |
-
2008
- 2008-09-08 CN CN2008101512571A patent/CN101350822B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1145151B1 (en) * | 1999-01-15 | 2003-10-22 | Gillis E. Onyeabor | Method and system for database-driven, scalable web page development, deployment-download, and execution |
CN1375775A (zh) * | 2001-03-16 | 2002-10-23 | 联想(北京)有限公司 | 网关级计算机网络病毒防范的方法及其装置 |
CN1648814A (zh) * | 2005-03-25 | 2005-08-03 | 张�林 | 利用独立操作系统查杀新电脑病毒的方法 |
CN1760883A (zh) * | 2005-11-10 | 2006-04-19 | 上海交通大学 | 支持大规模多用户并发控制的计算机病毒实验方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106230775A (zh) * | 2016-07-13 | 2016-12-14 | 杭州华三通信技术有限公司 | 防止攻击url规则库的方法以及装置 |
CN106230775B (zh) * | 2016-07-13 | 2020-01-03 | 新华三技术有限公司 | 防止攻击url规则库的方法以及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101350822A (zh) | 2009-01-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101350822B (zh) | 一种Internet恶意代码的发现和追踪方法 | |
CN103023712B (zh) | 网页恶意属性监测方法和系统 | |
CN102801697B (zh) | 基于多url的恶意代码检测方法和系统 | |
Gao et al. | Detecting and characterizing social spam campaigns | |
Stokes et al. | WebCop: Locating Neighborhoods of Malware on the Web. | |
Taylor et al. | Detecting malicious exploit kits using tree-based similarity searches | |
Agrawal et al. | A survey on android malware and their detection techniques | |
WO2014105919A1 (en) | Identifying web pages in malware distribution networks | |
CN103368957A (zh) | 对网页访问行为进行处理的方法及系统、客户端、服务器 | |
CN101901232A (zh) | 用于处理网页数据的方法和装置 | |
Chen et al. | Detecting filter list evasion with event-loop-turn granularity javascript signatures | |
US20190317968A1 (en) | Method, system and computer program products for recognising, validating and correlating entities in a communications darknet | |
JP2016033690A (ja) | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 | |
Wu et al. | Detect repackaged android application based on http traffic similarity | |
WO2020211130A1 (zh) | 一种网站暗链检测方法和装置 | |
Bai et al. | Analysis and detection of bogus behavior in web crawler measurement | |
WO2017077847A1 (ja) | 解析装置、解析方法、および、解析プログラム | |
Zhang et al. | Poisonamplifier: A guided approach of discovering compromised websites through reversing search poisoning attacks | |
Bird et al. | Actions speak louder than words: Semi-supervised learning for browser fingerprinting detection | |
Garcia et al. | Web attack detection using ID3 | |
JP5364012B2 (ja) | データ抽出装置、データ抽出方法、および、データ抽出プログラム | |
CN103336693B (zh) | refer链的创建方法、装置及安全检测设备 | |
CN103561076A (zh) | 一种基于云的网页挂马实时防护方法及系统 | |
Lyu et al. | An efficient and packing-resilient two-phase android cloned application detection approach | |
Harris et al. | Consumer trust in Google’s top developers’ apps: an exploratory study |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110615 Termination date: 20130908 |