CN101902481A - 一种网页木马实时监测方法及其装置 - Google Patents
一种网页木马实时监测方法及其装置 Download PDFInfo
- Publication number
- CN101902481A CN101902481A CN2010102498386A CN201010249838A CN101902481A CN 101902481 A CN101902481 A CN 101902481A CN 2010102498386 A CN2010102498386 A CN 2010102498386A CN 201010249838 A CN201010249838 A CN 201010249838A CN 101902481 A CN101902481 A CN 101902481A
- Authority
- CN
- China
- Prior art keywords
- browser process
- monitoring
- memory
- browser
- judgment means
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种网页木马实时监测方法及其装置,包括如下监测过程:注入需要监测的浏览器进程;查看进程空间的内存占用情况,并记录当前内存占用情况;监测浏览器打开新页面的行为;当打开新的页面时首先检查内存增量,如果内存增量超过规定的门限则挂起进程,并搜索新增内存是否有可疑特征,如果有则告警并记录当前页面信息。这种通过监测浏览器进程的内存增量情况以及新增内存中是否有可疑特征来确定网页木马,是一种轻量级系统安全防护方法,它可以保障日常浏览网页的安全性,同时又不影响上网浏览的速度。
Description
技术领域
本发明涉及计算机安全技术领域,特别是涉及一种网页木马实时监测方法及其装置。
背景技术
随着网络的不断进步,上网浏览网页、下载文件资料等已经成为很多人的日常习惯。然而人们浏览网页过程中,不少网页木马会在人们不经意之间嵌入计算机进行盗号等非法活动,例如利用IE浏览器缓冲区溢出漏洞的网页木马,致使人们在浏览网页时要承受很大的风险。
现有技术中,针对网页木马的检测方式主要有特征码检测、行为检测和虚拟机检测。
特征码检测依然是目前最为常用的技术,其实现较为简单,查杀能力主要取决于特征库的完备性;目前较为流行的启发式扫描方式是特征码检测方法的改进,不同点是结合了人工智能的方法,基于给定的判断规则和定义进行判断。基于特征码的扫描方式虽然应用广泛,识别较为迅速,但是对于一些利用未知漏洞的网马或者经过代码加密、混淆的网马往往有漏报的情况,无法从根本上实时保护计算机安全。
虚拟机检测一般是采用软件模拟CPU指令的取址、编译、执行从而在执行完的机构中查找病毒的特征码,该方法耗费系统资源大、实时性差、很少用于网页木马的查杀。
行为检测是通过监测应用程序的一些行为特征(例如盗用截流系统中断、修改内存总量和内存控制块、对可执行文件做写入操作、引导扇区或执行格式化磁盘等可疑动作、病毒程序与宿主程序切换和搜索API函数地址等)对行为特征库进行匹配,这种方式较好的阻止了一些网页木马的攻击,但是往往由于系统资源耗费巨大而只开启部分功能。
上述检测方式中不管采用哪种,对利用未知漏洞进行挂马的检测依然存在着盲区。
发明内容
本发明的目的在于克服现有技术之不足,提供一种网页木马实时监测方法及其装置,是通过监测浏览器进程的内存增量情况以及新增内存中是否有可疑特征来确定网页木马,是一种轻量级系统安全防护方法,它可以保障日常浏览网页的安全性,同时又不影响上网浏览的速度。
本发明解决其技术问题所采用的技术方案是:一种网页木马实时监测方法,包括如下监测过程:
注入需要监测的浏览器进程;
查看进程空间的内存占用情况,并记录当前内存占用情况;
监测浏览器打开新页面的行为;
当打开新的页面时首先检查内存增量,如果内存增量超过规定的门限则挂起进程,并搜索新增内存是否有可疑特征,如果有则告警并记录当前页面信息。
所述的监测过程中,在内存增量超过规定的门限而挂起进程后,经搜索新增内存中未存在可疑特征时,提示用户是否继续,是则停止监测,否则记录当前页面信息。
所述的监测过程由运行程序来实现,该程序包括主程序模块和监测模块;主程序模块启动后首先打开需要监测的浏览器进程;然后将监测模块注入到浏览器进程中由该监测模块对该浏览器进程进行监测;监测模块对浏览器进程的内存占用情况进行记录,并对浏览器进程中是否打开新页面的行为进行监测;当监测模块检测到浏览器打开新页面的行为时,对浏览器进程中的内存增量进行监测;如果内存增量超过规定的门限则挂起进程,并搜索新增内存中是否有可疑特征;如果有则告警并记录当前页面信息,否则提示用户是否继续。
一种网页木马实时监测方法,包括如下步骤:
a.主程序模块打开需要监测的浏览器进程;
b.由主程序模块将监测模块注入到浏览器进程中;
c.由监测模块记录浏览器进程的内存使用情况;
d.监测模块监测浏览器进程中打开新页面的行为;
e.监测模块对浏览器进程中是否打开新的页面进行判断;当判断为有打开时,继续下一步骤,否则,返回步骤d;
f.监测模块检测一定时间段的内存增量;
g.监测模块对该时间段的内存增量是否在规定的门限之内进行判断;当判断为是时,返回步骤f,否则,继续下一步骤;
h.由主程序模块挂起进程;
i.监测模块检测新增内存中是否包含有已知特征,当判断为有时,继续下一步骤,否则,提示用户是否继续;
j.由监测模块进行内存分配非法的报警;
k.由主程序模块保存页面信息;
l.监测模块停止监测;
m.主程序模块结束浏览器进程。
所述的步骤i中的提示用户是否继续,包括:
i1.由监测模块进行内存分配异常的报警;
i2.由监测模块提示用户是否继续,当判断为是时,停止监测;否则,转至步骤k。
一种网页木马实时监测装置,包括:
一浏览器进程控制装置,用来打开或挂起需要监测的浏览器进程;
一浏览器进程信息采集装置,用来采集浏览器进程信息;
一第一判断装置,用来对浏览器进程中的信息进行判断,判断一定时间段内的内存增量信息是否在门限之内;
一第二判断装置,用来对浏览器进程中的信息进行判断,判断新增内存中是否包含有已知特征;
一第一处理装置,用来产生内存分配非法的报警信号,并保存页面信息,停止监测,结束浏览器进程;
一第二处理装置,用来产生内存分配异常的报警信号,并提示用户是否继续,在用户选择继续时停止监测,否则,保存页面信息,停止监测,结束浏览器进程;
浏览器进程控制装置的输出接至浏览器进程信息采集装置的输入,浏览器进程控制装置打开浏览器进程启动浏览器进程信息采集装置采集浏览器进程信息;浏览器进程信息采集装置的输出接至第一判断装置的输入,浏览器进程信息采集装置向第一判断装置输出浏览器进程信息,由第一判断装置对浏览器进程信息中的内存增量信息进行判断;第一判断装置的输出接至浏览器进程控制装置的输入,第一判断装置在判断出一定时间段内的内存增量信息超过门限之后,向浏览器进程控制装置输出挂起浏览器进程的信号;第一判断装置的输出接至第二判断装置的输入,第一判断装置将来自浏览器进程信息采集装置的浏览器进程信息输出给二判断装置,由第二判断装置对浏览器进程信息中的新增内存中是否包含有已知特征进行判断;第二判断装置的输出接至第一处理装置的输入,第二判断装置在判断出新增内存中包含有已知特征之后,向第一处理装置输出信号,由第一处理装置进行处理,第一处理装置产生内存分配非法的报警信号,并保存页面信息,停止监测,结束浏览器进程;第二判断装置的输出接至第二处理装置的输入,第二判断装置在判断出新增内存中不包含有已知特征之后,向第二处理装置输出信号,由第二处理装置进行处理,第二处理装置产生内存分配异常的报警信号,并提示用户是否继续,在用户选择继续时停止监测,否则,保存页面信息,停止监测,结束浏览器进程。
本发明的有益效果是,由于采用了注入需要监测的浏览器进程;查看进程空间的内存占用情况,并记录当前内存占用情况;监测浏览器打开新页面的行为;当打开新的页面时首先检查内存增量,如果内存增量超过规定的门限则挂起进程,并搜索新增内存是否有可疑特征,如果有则告警并记录当前页面信息等方式来实现网页木马实时监测,这种通过监测浏览器进程的内存增量情况以及新增内存中是否有可疑特征来确定网页木马,是一种轻量级系统安全防护方法,它可以保障日常浏览网页的安全性,同时又不影响上网浏览的速度。
与现有技术相比,这种采用注入的方式通过监测浏览器内存来检测网页木马的方法,具有如下优点:
1.可以保障日常浏览网页的安全性;
2.不影响上网速度;
3.对一些未知漏洞的检测起到了补充作用;
4.可以避免非法内存分配造成的浏览器占用内存过多的情况。
以下结合附图及实施例对本发明作进一步详细说明;但本发明的一种网页木马实时监测方法及其装置不局限于实施例。
附图说明
图1是MS09-002(IE ODay)漏洞的网马javascirpt脚本示意图;
图2是heap spray的内存特征示意图;
图3是本发明功能模块示意图;
图4是本发明的方法的流程图;
图5是本发明的装置的示意图。
具体实施方式
参见附图所示,由于目前绝大多数网页挂马的原理是采用浏览器或者第三方控件漏洞,结合heap spray(堆喷射)技术,开辟大量内存并写入shellcode,从而达到执行shellcode下载木马并执行的目的。
采用heap spray技术的原理是在内存中写入大量的无用代码,当程序的EIP指针被劫持并执行到这些无用代码时不会对后续的Shellcode的执行带来任何影响,这些代码往往也起到充当函数返回地址的作用,因此具有某些特征,例如0x0A0A0A0A,0x0B0B0B0B,0x0C0C0C0C,0x90909090,通过对内存中大片存在的具有类似特征区域进行检测可以有效避免恶意代码的执行,从而可以帮助检测一部分网页木马的攻击行为。一些危害极大的IE 0day漏洞往往需要采用heapspray技术开辟大量的内存空间,从而能顺利将IE进程劫持到恶意代码所在内存空间进行执行。例如利用MS09-002(IE 0Day)漏洞的网马javascirpt脚本如图1所示。
图1中省略了Shellcode部分,用Shellcode字样代替,该脚本就是采用了heapspray技术利用Array数组分配大量内存,heap spray造成的结果是由低地址开始在虚拟内存中分配0xC0个堆块,每个堆块是由ls个0x0C0C0C0C加Shellcode代码构成,如图2所示。
类似的漏洞利用脚本通常会造成浏览器进程在短时间内的内存增量巨大,并且新分配的内存具有某些特征。
本发明就是针对这种类型的漏洞利用特征对浏览器进行监测,避免非正常的内存分配对进程的影响,同时协助检测挂马网页。
本发明的一种网页木马实时监测方法,包括如下监测过程:
注入需要监测的浏览器进程;
查看进程空间的内存占用情况,并记录当前内存占用情况;
监测浏览器打开新页面的行为;
当打开新的页面时首先检查内存增量,如果内存增量超过规定的门限则挂起进程,并搜索新增内存是否有可疑特征,如果有则告警并记录当前页面信息。
其中,
所述的监测过程中,在内存增量超过规定的门限而挂起进程后,经搜索新增内存中未存在可疑特征时,提示用户是否继续,是则停止监测,否则记录当前页面信息。
所述的监测过程由运行程序来实现,该程序包括主程序模块和监测模块(如图3所示);主程序模块启动后首先打开需要监测的浏览器进程;然后将监测模块以dll的方式注入到浏览器进程的空间中由该监测模块对该浏览器进程进行监测;监测模块对浏览器进程的内存占用情况进行记录,并对浏览器进程中是否打开新页面的行为进行监测;当监测模块检测到浏览器打开新页面的行为时,对浏览器进程中的内存增量进行监测,监测模块每隔一段时间对进程的内存增量进行监测;如果内存增量在一定的时间段内超过规定的门限则挂起进程,其中时间段的长度和内存增量大小的门限取决于机器的硬件参数而得到的经验值;并搜索新增内存中是否有可疑特征,也就是预先确定的已知特征,该特征包括在指定内存地址是否有连续的特征值,例如0x0C0C0C0C或0x0A0A0A0A等等;如果有则告警并记录当前页面信息,否则提示用户是否继续。
如图4所示,本发明的一种网页木马实时监测方法,包括如下步骤:
a.主程序模块打开需要监测的浏览器进程;如图4中的框101所示;
b.由主程序模块将监测模块注入到浏览器进程中;如图4中的框102所示;
c.由监测模块记录浏览器进程的内存使用情况;如图4中的框103所示;
d.监测模块监测浏览器进程中打开新页面的行为;如图4中的框104所示;
e.监测模块对浏览器进程中是否打开新的页面进行判断;如图4中的框105所示;当判断为有打开时,继续下一步骤,否则,返回步骤d;
f.监测模块检测一定时间段的内存增量,监测模块每隔一段时间对进程的内存增量进行监测;如图4中的框106所示;其中,该时间段的长度取决于机器的硬件参数而得到的经验值;
g.监测模块对该时间段的内存增量是否在规定的门限之内进行判断;如图4中的框107所示;当判断为是时,返回步骤f,否则,继续下一步骤;其中,内存增量大小的门限取决于机器的硬件参数而得到的经验值;
h.由主程序模块挂起进程;如图4中的框108所示;
i.监测模块检测新增内存中是否包含有已知特征,如图4中的框109所示;当判断为有时,继续下一步骤,否则,提示用户是否继续;其中,该特征包括在指定内存地址是否有连续的特征值,例如0x0C0C0C0C或0x0A0A0A0A等等;
j.由监测模块进行内存分配非法的报警;如图4中的框110所示;
k.由主程序模块保存页面信息;如图4中的框111所示;
l.监测模块停止监测;如图4中的框112所示;
m.主程序模块结束浏览器进程,如图4中的框113所示。
其中,
所述的步骤i中的提示用户是否继续,包括:
i1.由监测模块进行内存分配异常的报警;如图4中的框114所示;
i2.由监测模块提示用户是否继续,如图4中的框115所示;当判断为是时,停止监测,如图4中的框116所示;否则,转至步骤k。
如图5所示,本发明的一种网页木马实时监测装置,包括:
一浏览器进程控制装置11,用来打开或挂起需要监测的浏览器进程;
一浏览器进程信息采集装置12,用来采集浏览器进程信息;
一第一判断装置13,用来对浏览器进程中的信息进行判断,判断一定时间段内的内存增量信息是否在门限之内;
一第二判断装置14,用来对浏览器进程中的信息进行判断,判断新增内存中是否包含有已知特征;
一第一处理装置15,用来产生内存分配非法的报警信号,并保存页面信息,停止监测,结束浏览器进程;
一第二处理装置16,用来产生内存分配异常的报警信号,并提示用户是否继续,在用户选择继续时停止监测,否则,保存页面信息,停止监测,结束浏览器进程;
浏览器进程控制装置11的输出接至浏览器进程信息采集装置12的输入,浏览器进程控制装置11打开浏览器进程启动浏览器进程信息采集装置12采集浏览器进程信息;浏览器进程信息采集装置12的输出接至第一判断装置13的输入,浏览器进程信息采集装置12向第一判断装置13输出浏览器进程信息,由第一判断装置13对浏览器进程信息中的内存增量信息进行判断;第一判断装置13的输出接至浏览器进程控制装置11的输入,第一判断装置13在判断出一定时间段内的内存增量信息超过门限之后,向浏览器进程控制装置11输出挂起浏览器进程的信号;第一判断装置13的输出接至第二判断装置14的输入,第一判断装置13将来自浏览器进程信息采集装置的浏览器进程信息输出给二判断装置14,由第二判断装置14对浏览器进程信息中的新增内存中是否包含有已知特征进行判断;第二判断装置14的输出接至第一处理装置15的输入,第二判断装置14在判断出新增内存中包含有已知特征之后,向第一处理装置15输出信号,由第一处理装置15进行处理,第一处理装置15产生内存分配非法的报警信号,并保存页面信息,停止监测,结束浏览器进程;第二判断装置14的输出接至第二处理装置16的输入,第二判断装置14在判断出新增内存中不包含有已知特征之后,向第二处理装置16输出信号,由第二处理装置16进行处理,第二处理装置16产生内存分配异常的报警信号,并提示用户是否继续,在用户选择继续时停止监测,否则,保存页面信息,停止监测,结束浏览器进程。
上述实施例仅用来进一步说明本发明的一种网页木马实时监测方法及其装置,但本发明并不局限于实施例,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均落入本发明技术方案的保护范围内。
Claims (6)
1.一种网页木马实时监测方法,其特征在于:包括如下监测过程:
注入需要监测的浏览器进程;
查看进程空间的内存占用情况,并记录当前内存占用情况;
监测浏览器打开新页面的行为;
当打开新的页面时首先检查内存增量,如果内存增量超过规定的门限则挂起进程,并搜索新增内存是否有可疑特征,如果有则告警并记录当前页面信息。
2.根据权利要求1所述的网页木马实时监测方法,其特征在于:所述的监测过程中,在内存增量超过规定的门限而挂起进程后,经搜索新增内存中未存在可疑特征时,提示用户是否继续,是则停止监测,否则记录当前页面信息。
3.根据权利要求2所述的网页木马实时监测方法,其特征在于:所述的监测过程由运行程序来实现,该程序包括主程序模块和监测模块;主程序模块启动后首先打开需要监测的浏览器进程;然后将监测模块注入到浏览器进程中由该监测模块对该浏览器进程进行监测;监测模块对浏览器进程的内存占用情况进行记录,并对浏览器进程中是否打开新页面的行为进行监测;当监测模块检测到浏览器打开新页面的行为时,对浏览器进程中的内存增量进行监测;如果内存增量超过规定的门限则挂起进程,并搜索新增内存中是否有可疑特征;如果有则告警并记录当前页面信息,否则提示用户是否继续。
4.一种网页木马实时监测方法,其特征在于:包括如下步骤:
a.主程序模块打开需要监测的浏览器进程;
b.由主程序模块将监测模块注入到浏览器进程中;
c.由监测模块记录浏览器进程的内存使用情况;
d.监测模块监测浏览器进程中打开新页面的行为;
e.监测模块对浏览器进程中是否打开新的页面进行判断;当判断为有打开时,继续下一步骤,否则,返回步骤d;
f.监测模块检测一定时间段的内存增量;
g.监测模块对该时间段的内存增量是否在规定的门限之内进行判断;当判断为是时,返回步骤f,否则,继续下一步骤;
h.由主程序模块挂起进程;
i.监测模块检测新增内存中是否包含有已知特征,当判断为有时,继续下一步骤,否则,提示用户是否继续;
j.由监测模块进行内存分配非法的报警;
k.由主程序模块保存页面信息;
l.监测模块停止监测;
m.主程序模块结束浏览器进程。
5.根据权利要求4所述的网页木马实时监测方法,其特征在于:所述的步骤i中的提示用户是否继续,包括:
i1.由监测模块进行内存分配异常的报警;
i2.由监测模块提示用户是否继续,当判断为是时,停止监测;否则,转至步骤k。
6.一种网页木马实时监测装置,其特征在于:包括:
一浏览器进程控制装置,用来打开或挂起需要监测的浏览器进程;
一浏览器进程信息采集装置,用来采集浏览器进程信息;
一第一判断装置,用来对浏览器进程中的信息进行判断,判断一定时间段内的内存增量信息是否在门限之内;
一第二判断装置,用来对浏览器进程中的信息进行判断,判断新增内存中是否包含有已知特征;
一第一处理装置,用来产生内存分配非法的报警信号,并保存页面信息,停止监测,结束浏览器进程;
一第二处理装置,用来产生内存分配异常的报警信号,并提示用户是否继续,在用户选择继续时停止监测,否则,保存页面信息,停止监测,结束浏览器进程;
浏览器进程控制装置的输出接至浏览器进程信息采集装置的输入,浏览器进程控制装置打开浏览器进程启动浏览器进程信息采集装置采集浏览器进程信息;浏览器进程信息采集装置的输出接至第一判断装置的输入,浏览器进程信息采集装置向第一判断装置输出浏览器进程信息,由第一判断装置对浏览器进程信息中的内存增量信息进行判断;第一判断装置的输出接至浏览器进程控制装置的输入,第一判断装置在判断出一定时间段内的内存增量信息超过门限之后,向浏览器进程控制装置输出挂起浏览器进程的信号;第一判断装置的输出接至第二判断装置的输入,第一判断装置将来自浏览器进程信息采集装置的浏览器进程信息输出给二判断装置,由第二判断装置对浏览器进程信息中的新增内存中是否包含有已知特征进行判断;第二判断装置的输出接至第一处理装置的输入,第二判断装置在判断出新增内存中包含有已知特征之后,向第一处理装置输出信号,由第一处理装置进行处理,第一处理装置产生内存分配非法的报警信号,并保存页面信息,停止监测,结束浏览器进程;第二判断装置的输出接至第二处理装置的输入,第二判断装置在判断出新增内存中不包含有已知特征之后,向第二处理装置输出信号,由第二处理装置进行处理,第二处理装置产生内存分配异常的报警信号,并提示用户是否继续,在用户选择继续时停止监测,否则,保存页面信息,停止监测,结束浏览器进程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010249838.6A CN101902481B (zh) | 2010-08-10 | 2010-08-10 | 一种网页木马实时监测方法及其装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010249838.6A CN101902481B (zh) | 2010-08-10 | 2010-08-10 | 一种网页木马实时监测方法及其装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101902481A true CN101902481A (zh) | 2010-12-01 |
| CN101902481B CN101902481B (zh) | 2014-04-09 |
Family
ID=43227682
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010249838.6A Active CN101902481B (zh) | 2010-08-10 | 2010-08-10 | 一种网页木马实时监测方法及其装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101902481B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102141934A (zh) * | 2011-02-28 | 2011-08-03 | 浪潮(北京)电子信息产业有限公司 | 一种胖节点上的进程控制方法及装置 |
| CN102289616A (zh) * | 2011-06-30 | 2011-12-21 | 北京邮电大学 | 移动智能终端中系统资源恶意侵占的防范方法和系统 |
| CN102662762A (zh) * | 2012-03-30 | 2012-09-12 | 浪潮电子信息产业股份有限公司 | 一种有效控制胖节点内存资源使用的方法 |
| CN103218561A (zh) * | 2013-03-18 | 2013-07-24 | 珠海市君天电子科技有限公司 | 一种保护浏览器的防篡改方法和装置 |
| CN104184884A (zh) * | 2013-05-28 | 2014-12-03 | 中兴通讯股份有限公司 | 一种移动终端功耗的管控装置及方法、移动终端 |
| CN104506495A (zh) * | 2014-12-11 | 2015-04-08 | 国家电网公司 | 一种智能化网络apt攻击威胁分析方法 |
| CN106709357A (zh) * | 2016-12-14 | 2017-05-24 | 武汉虹旭信息技术有限责任公司 | Android平台基于内核内存监控的漏洞防护系统 |
| CN106991328A (zh) * | 2017-03-30 | 2017-07-28 | 兴华永恒(北京)科技有限责任公司 | 一种基于动态内存指纹异常分析的漏洞利用检测识别方法 |
| CN109388945A (zh) * | 2018-08-21 | 2019-02-26 | 中国科学院信息工程研究所 | 一种基于固态存储设备防范勒索软件攻击的方法和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1925494A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 一种基于行为特征的网页木马检测方法 |
| US20090049549A1 (en) * | 2007-07-10 | 2009-02-19 | Taejoon Park | Apparatus and method for detection of malicious program using program behavior |
| CN101673326A (zh) * | 2008-09-11 | 2010-03-17 | 北京理工大学 | 基于程序执行特征的网页木马检测方法 |
-
2010
- 2010-08-10 CN CN201010249838.6A patent/CN101902481B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1925494A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 一种基于行为特征的网页木马检测方法 |
| US20090049549A1 (en) * | 2007-07-10 | 2009-02-19 | Taejoon Park | Apparatus and method for detection of malicious program using program behavior |
| CN101673326A (zh) * | 2008-09-11 | 2010-03-17 | 北京理工大学 | 基于程序执行特征的网页木马检测方法 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102141934A (zh) * | 2011-02-28 | 2011-08-03 | 浪潮(北京)电子信息产业有限公司 | 一种胖节点上的进程控制方法及装置 |
| CN102289616A (zh) * | 2011-06-30 | 2011-12-21 | 北京邮电大学 | 移动智能终端中系统资源恶意侵占的防范方法和系统 |
| CN102662762A (zh) * | 2012-03-30 | 2012-09-12 | 浪潮电子信息产业股份有限公司 | 一种有效控制胖节点内存资源使用的方法 |
| CN103218561A (zh) * | 2013-03-18 | 2013-07-24 | 珠海市君天电子科技有限公司 | 一种保护浏览器的防篡改方法和装置 |
| CN103218561B (zh) * | 2013-03-18 | 2016-04-06 | 珠海市君天电子科技有限公司 | 一种保护浏览器的防篡改方法和装置 |
| CN104184884A (zh) * | 2013-05-28 | 2014-12-03 | 中兴通讯股份有限公司 | 一种移动终端功耗的管控装置及方法、移动终端 |
| CN104506495A (zh) * | 2014-12-11 | 2015-04-08 | 国家电网公司 | 一种智能化网络apt攻击威胁分析方法 |
| CN106709357A (zh) * | 2016-12-14 | 2017-05-24 | 武汉虹旭信息技术有限责任公司 | Android平台基于内核内存监控的漏洞防护系统 |
| CN106991328A (zh) * | 2017-03-30 | 2017-07-28 | 兴华永恒(北京)科技有限责任公司 | 一种基于动态内存指纹异常分析的漏洞利用检测识别方法 |
| CN106991328B (zh) * | 2017-03-30 | 2019-11-29 | 兴华永恒(北京)科技有限责任公司 | 一种基于动态内存指纹异常分析的漏洞利用检测识别方法 |
| CN109388945A (zh) * | 2018-08-21 | 2019-02-26 | 中国科学院信息工程研究所 | 一种基于固态存储设备防范勒索软件攻击的方法和系统 |
| CN109388945B (zh) * | 2018-08-21 | 2022-04-01 | 中国科学院信息工程研究所 | 一种基于固态存储设备防范勒索软件攻击的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101902481B (zh) | 2014-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101902481B (zh) | 一种网页木马实时监测方法及其装置 | |
| US20240121266A1 (en) | Malicious script detection | |
| CN101924762B (zh) | 一种基于云安全的主动防御方法 | |
| CN103617395B (zh) | 一种基于云安全拦截广告程序的方法、装置和系统 | |
| Wagner et al. | Mimicry attacks on host-based intrusion detection systems | |
| Alaeiyan et al. | Analysis and classification of context-based malware behavior | |
| CN101924761B (zh) | 一种依据白名单进行恶意程序检测的方法 | |
| WO2013026320A1 (zh) | 一种网页挂马检测方法及系统 | |
| CN102012987B (zh) | 自动二进制恶意代码行为分析系统 | |
| CN101964026A (zh) | 网页挂马检测方法和系统 | |
| CN103218561B (zh) | 一种保护浏览器的防篡改方法和装置 | |
| CN103049696A (zh) | 一种虚拟机躲避识别的方法及装置 | |
| CN107330323B (zh) | 一种基于Pin工具的ROP及其变种攻击的动态检测方法 | |
| Jeong et al. | A kernel-based monitoring approach for analyzing malicious behavior on android | |
| CN102831339A (zh) | 一种针对网页的恶意攻击进行防护的方法、装置和浏览器 | |
| Paturi et al. | Mobile malware visual analytics and similarities of attack toolkits (malware gene analysis) | |
| Zhang et al. | A defense framework against malware and vulnerability exploits | |
| Rajput et al. | Remote non-intrusive malware detection for plcs based on chain of trust rooted in hardware | |
| Pauna | Improved self adaptive honeypots capable of detecting rootkit malware | |
| Huang et al. | Return-oriented vulnerabilities in ARM executables | |
| Chandrasekaran et al. | Spycon: Emulating user activities to detect evasive spyware | |
| Attia et al. | On-device anomaly detection for resource-limited systems | |
| Shen et al. | Toward efficient dynamic analysis and testing for Android malware | |
| Lim et al. | Survey of Dynamic Anti-Analysis Schemes for Mobile Malware. | |
| US11822666B2 (en) | Malware detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |