CN102243699A - 一种恶意代码检测方法及系统 - Google Patents
一种恶意代码检测方法及系统 Download PDFInfo
- Publication number
- CN102243699A CN102243699A CN2011101538179A CN201110153817A CN102243699A CN 102243699 A CN102243699 A CN 102243699A CN 2011101538179 A CN2011101538179 A CN 2011101538179A CN 201110153817 A CN201110153817 A CN 201110153817A CN 102243699 A CN102243699 A CN 102243699A
- Authority
- CN
- China
- Prior art keywords
- characteristic storehouse
- virus characteristic
- check point
- sign
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及计算机反病毒领域,提供了一种恶意代码检测方法和系统。本发明结合了二进制特征码和启发式检测,将未知病毒检测的方法作为特征点,加载病毒特征库和检测点以及检测标识;分析检测目标,若检测点出现,则记录对应检测点标识;判断是否需要对标识进行转化处理和缩短处理;将处理后的结果作为特征与加载的病毒特征库中的特征匹配;判断是否需要进行二次检测,若需要则使用下一病毒特征库进行检测,否则报告结果。通过本发明,解决了启发式检测速度慢的问题,同时由于特征获取与检测方法分离,提高了跨平台检测能力。
Description
技术领域
本发明涉及计算机反病毒领域,特别涉及一种恶意代码检测方法及系统。
背景技术
随着计算机的普及和网络技术的发展,计算机病毒也日益泛滥,恶意代码的检测方法也在不断提高,现在对于恶意代码的检测可通过基于二进制特征码和行为启发式进行检测。基于二进制特征码的检测方式速度快,但是对于未知病毒没有检测能力;行为启发式检测能够检测未知病毒,但是性能没有二进制特征码检测方式速度快、利用沙箱等进行动态行为分析还存在漏沙的可能、跨平台检测能力不好和可维护性差等缺点。
发明内容
本发明提供了一种恶意代码检测方法及系统,解决了基于二进制特征码对未知病毒没有检测能力及启发式检测速度慢的问题,并提高了跨平台检测能力。
一种恶意代码检测方法,包括:
a.加载至少一个病毒特征库,所述的病毒特征库中包含检测点、与检测点对应的标识、特征及检测结果;
b.分析检测目标文件中是否包含有所述病毒特征库中的检测点,若对应检测点出现,则记录与检测点对应的所有标识;
c.根据病毒特征库的匹配方式,判断是否需要对标识进行转化处理,若需要,则将标识进行转化,否则直接执行步骤d;
d.判断是否需要进行缩短处理,若所有标识或转化后的标识的长度超出预设值,则对所有标识或转化后的标识进行一次或多次散列计算,否则直接执行步骤e;
e.将所有标识、转化后的标识或缩短处理后的标识作为特征与加载的指定病毒特征库中的特征进行匹配检测,获取检测结果;
f.判断是否需要二次检测,若病毒特征库中的特征预设需要进行二次检测,则使用下一病毒特征库从步骤a开始重新检测,否则报告检测结果。
所述的方法中,在执行步骤a之前还包括,建立病毒特征库:
确定检测点,根据检测点检测样本集中的文件;
将文件中检测出的检测点组合,确定为病毒特征库中的特征;
所述的方法中,所述的检测点至少包括:指定或不指定偏移的二进制串、文件属性信息、文件结构信息、文件所属环境信息和已知检测方法的检测结果。
所述的方法中,所述的步骤c中将标识进行转化包括以下方法中的一种或几种的组合:
将标识的全部字节或部分字节连接为特征串;
将每一个标识转化为一个二进制位,检测点出现的标识位为1,检测点未出现的标识位为0。
若使用数据库进行匹配,则可将标识连接为特征串;若使用传统特征库进行匹配,则可将每个标识转化为一个二进制位;或将两种方法结合使用。
所述的方法中,步骤e中将所有标识、转化后的标识或缩短处理后的标识作为特征与加载的指定病毒特征库中的特征进行匹配检测的方法包括:
使用本地病毒特征库匹配或将所有标识、转化后的标识或缩短处理后的标识发送到服务器端的病毒特征库进行匹配,若匹配成功则确定为病毒文件,否则为非病毒文件。
所述的方法中,可以通过增加新的病毒特征库来增加检测点和特征数量。
一种恶意代码检测系统,包括:
病毒特征库加载单元,用于加载至少一个病毒特征库,所述的病毒特征库中包含检测点、与检测点对应的标识、特征及检测结果;
文件分析单元,用于分析检测目标文件中是否包含有病毒特征库加载单元所加载的病毒特征库中的检测点,若对应检测点出现,则记录与检测点对应的所有标识;
转化处理单元,用于根据病毒特征库的匹配方式,判断是否需要对文件分析单元检测出的标识进行转化处理,若需要,则将所有标识进行转化,否则进入缩短处理单元;
缩短处理单元,用于判断是否需要进行缩短处理,若文件分析单元所检测出的所有标识或转化处理单元转化后的标识的长度超出预设值,则对所有标识或转化后的标识进行一次或多次散列计算,否则进入特征匹配单元;
特征匹配单元,用于将文件分析单元检测出的所有标识、转化处理单元转化后的标识或缩短处理单元缩短处理后的标识与病毒特征库加载单元加载的指定病毒特征库中的特征进行匹配检测,获取检测结果;
二次检测判断单元,判断特征匹配单元的检测结果是否需要二次检测,若病毒特征库中的特征预设需要进行二次检测,则使用下一病毒特征库检测重新检测,否则报告检测结果。
所述的系统中,在病毒特征库加载单元加载病毒特征库之前还包括,建立病毒特征库单元,包括:
确定检测点,根据检测点检测样本集中的文件;
将文件中检测出的检测点组合,确定为病毒特征库中的特征;
所述的系统中,所述病毒特征库加载单元加载的病毒特征库中的检测点至少包括:指定或不指定偏移的二进制串、文件属性信息、文件结构信息、文件所属环境信息和已知检测方法的检测结果。
所述的系统中,所述转化处理单元将文件分析单元检测出的所有标识进行转化,包括以下方法中的一种或几种的组合:
将标识的全部字节或部分字节连接为特征串;
将每一个标识转化为一个二进制位,检测点出现的标识位为1,检测点未出现的标识位为0。
所述的系统中,缩短处理单元将文件分析单元检测出的所有标识、转化处理单元转化后的标识或缩短处理单元缩短处理后的标识与病毒特征库加载单元加载的指定病毒特征库中的特征进行匹配检测的方法包括:
使用本地病毒特征库进行匹配或将所有标识、转化后的标识或缩短处理后的标识发送到服务器端的病毒特征库进行匹配,若匹配成功则确定为病毒文件,否则为非病毒文件。
所述的系统中,可以通过增加新的病毒特征库来增加检测点和特征数量。
本发涉及计算机反病毒领域,提供了一种恶意代码检测方法和系统。本发明结合了二进制特征码和启发式检测,将未知病毒检测的方法作为特征点,加载病毒特征库和检测点以及检测标识;分析检测目标,若检测点出现,则记录对应检测点标识;判断是否需要对标识进行转化处理和缩短处理;将处理后的结果作为特征与加载的病毒特征库中的特征匹配;判断是否需要进行二次检测,若需要则使用下一病毒特征库进行检测,否则报告结果。通过本发明,将未知检测的方法作为特征点,用传统的特征匹配来提高未知检测速度,解决了未知检测速度慢的问题,同时由于特征获取与检测方法分离,提高了跨平台检测能力。本发明还可以通过增加特征数量和新的检测点增强检测能力,增加新的检测点可以通过增加新的病毒特征库来实现,不改变原有的检测模型,增强了检测模型的可维护性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种恶意代码检测方法流程图;
图2为本发明提供的一种恶意代码检测系统示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供了一种恶意代码检测方法及系统,解决了基于二进制特征码对未知病毒没有检测能力及启发式检测速度慢的问题,并提高了跨平台检测能力。
一种恶意代码检测方法,如图1所示,包括:
S101:加载至少一个病毒特征库,所述的病毒特征库中包含检测点、与检测点对应的标识、特征及检测结果;
S102:分析检测目标文件中是否包含有所述病毒特征库中的检测点,若对应检测点出现,则记录与检测点对应的所有标识;
S103:根据病毒特征库的匹配方式,判断是否需要对标识进行转化处理,若需要,则执行S104,否则直接执行S105;
S104:将所有标识进行转化;
S105:判断是否需要进行缩短处理,若所有标识或转化后的标识的长度超出预设值,则执行S106,否则直接执行S107;
S106:对所有标识或转化后的标识进行一次或多次散列计算;
S107:将所有标识、转化后的标识或缩短处理后的标识作为特征与加载的指定病毒特征库中的特征进行匹配检测,获取检测结果;
S108:判断是否需要二次检测,若病毒特征库中的特征预设需要进行二次检测,则使用下一病毒特征库从S102开始重新检测,否则报告检测结果。
所述的方法中,在执行S101之前还包括,建立病毒特征库:
确定检测点,根据检测点检测样本集中的文件;
将文件中检测出的检测点组合,确定为病毒特征库中的特征;
所述的方法中,所述的检测点至少包括:指定或不指定偏移的二进制串、文件属性信息、文件结构信息、文件所属环境信息和已知检测方法的检测结果。
在指定二进制串偏移的情况下,偏移后文件中包括指定的二进制串即为检测点出现;在不指定二进制串偏移的情况下,文件中包含指定的二进制串即为检测点出现。
文件的属性信息可以包含:文件属性为隐藏;是否为新创建文件,如当前时间减去文件的创建时间为72小时内,则认定文件为新创建文件;文件名中字母与数字混淆,如0、1和O、I;文件为全数字文件名,如123.exe;文件含有双扩展名,如aaa.rmvb.exe;自动运行文件,且内容指向exe文件;文件名、导出名、版本信息原始名不匹配等。
文件结构信息可以包含:DOS头和PE头重叠,如DOS头内的e_lfanew值小于sizeof(IMAGE_DOS_HEADER);入口点小于SizeOfHaders;入口点为0,且入口点后的数据为0x4552;节数量大于20,FileHeader中NumberOfSections字段大于20;SizeOfImage不对齐;导入表的相对偏移值;附加数据中含有PE;含有TLS表等。
文件所属环境信息可以包含:文件的来源;是否被其他文件包含;是否被某进程操作等。
利用选定的检测点对样本集进行检测,例如对15万份文件样本集进行检测,得到538种检测点组合,选取能够说明是恶意文件的检测点组合作为病毒特征库中的特征。
所述的方法中,所述的S104中将标识进行转化包括以下方法中的一种或几种的组合:
将标识的全部字节或部分字节连接为特征串;
将每一个标识转化为一个二进制位,检测点出现的标识位为1,检测点未出现的标识位为0。
若使用数据库进行匹配,则可将标识连接为特征串;若使用传统特征库进行匹配,则可将每个标识转化为一个二进制位;或将两种方法结合使用。
所述的方法中,S107中将所有标识、转化后的标识或缩短处理后的标识作为特征与加载的指定病毒特征库中的特征进行匹配检测的方法包括:
使用本地病毒特征库匹配或将所有标识、转化后的标识或缩短处理后的标识发送到服务器端的病毒特征库进行匹配,若匹配成功则确定为病毒文件,否则为非病毒文件。
所述的方法中,可以通过增加新的病毒特征库来增加检测点和特征数量。
一种恶意代码检测系统,包括:
病毒特征库加载单元201,用于加载至少一个病毒特征库,所述的病毒特征库中包含检测点、与检测点对应的标识、特征及检测结果;
文件分析单元202,用于分析检测目标文件中是否包含有病毒特征库加载单元201所加载的病毒特征库中的检测点,若对应检测点出现,则记录与检测点对应的所有标识;
转化处理单元203,用于根据病毒特征库的匹配方式,判断是否需要对文件分析单元202检测出的标识进行转化处理,若需要,则将所有标识进行转化,否则进入缩短处理单元204;
缩短处理单元204,用于判断是否需要进行缩短处理,若文件分析单元202所检测出的所有标识或转化处理单元203转化后的标识的长度超出预设值,则对所有标识或转化后的标识进行一次或多次散列计算,否则进入特征匹配单元205;
特征匹配单元205,用于将文件分析单元202检测出的所有标识、转化处理单元203转化后的标识或缩短处理单元204缩短处理后的标识与病毒特征库加载单元201加载的指定病毒特征库中的特征进行匹配检测,获取检测结果;
二次检测判断单元206,判断特征匹配单元的检测结果是否需要二次检测,若病毒特征库中的特征预设需要进行二次检测,则使用下一病毒特征库检测重新检测,否则报告检测结果。
所述的系统中,在病毒特征库加载单元201加载病毒特征库之前还包括,建立病毒特征库单元207,包括:
确定检测点,根据检测点检测样本集中的文件;
将文件中检测出的检测点组合,确定为病毒特征库中的特征;
所述的系统中,所述病毒特征库加载单元201加载的病毒特征库中的检测点至少包括:指定或不指定偏移的二进制串、文件属性信息、文件结构信息、文件所属环境信息和已知检测方法的检测结果。
所述的系统中,所述转化处理单元203将文件分析单元202检测出的所有标识进行转化,包括以下方法中的一种或几种的组合:
将标识的全部字节或部分字节连接为特征串;
将每一个标识转化为一个二进制位,检测点出现的标识位为1,检测点未出现的标识位为0。
所述的系统中,缩短处理单元204将文件分析单元202检测出的所有标识、转化处理单元203转化后的标识或缩短处理单元204缩短处理后的标识与病毒特征库加载单元201加载的指定病毒特征库中的特征进行匹配检测的方法包括:
使用本地病毒特征库进行匹配或将所有标识、转化后的标识或缩短处理后的标识发送到服务器端的病毒特征库进行匹配,若匹配成功则确定为病毒文件,否则为非病毒文件。
所述的系统中,可以通过增加新的病毒特征库来增加检测点和特征数量。
本发涉及计算机反病毒领域,提供了一种恶意代码检测方法和系统。本发明结合了二进制特征码和启发式检测,将未知病毒检测的方法作为特征点,加载病毒特征库和检测点以及检测标识;分析检测目标,若检测点出现,则记录对应检测点标识;判断是否需要对标识进行转化处理和缩短处理;将处理后的结果作为特征与加载的病毒特征库中的特征匹配;判断是否需要进行二次检测,若需要则使用下一病毒特征库进行检测,否则报告结果。通过本发明,将未知检测的方法作为特征点,用传统的特征匹配来提高未知检测速度,解决了未知检测速度慢的问题,同时由于特征获取与检测方法分离,提高了跨平台检测能力。本发明还可以通过增加特征数量和新的检测点增强检测能力,增加新的检测点可以通过增加新的病毒特征库来实现,不改变原有的检测模型,增强了检测模型的可维护性。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (12)
1.一种恶意代码检测方法,其特征在于,检测目标文件时包括:
a.加载至少一个病毒特征库,所述的病毒特征库中包含检测点、与检测点对应的标识、特征及检测结果;
b.分析检测目标文件中是否包含有所述病毒特征库中的检测点,若对应检测点出现,则记录与检测点对应的所有标识;
c.根据病毒特征库的匹配方式,判断是否需要对所有标识进行转化处理,若需要,则将所有标识进行转化,否则直接执行步骤d;
d.判断是否需要进行缩短处理,若所有标识或转化后的标识的长度超出预设值,则对所有标识或转化后的标识进行一次或多次散列计算,否则直接执行步骤e;
e.将所有标识、转化后的标识或缩短处理后的标识作为特征与加载的指定病毒特征库中的特征进行匹配检测,获取检测结果;
f.判断是否需要二次检测,若病毒特征库中的特征预设需要进行二次检测,则使用下一病毒特征库从步骤a开始重新检测,否则报告检测结果。
2.如权利要求1所述的方法,其特征在于,在执行步骤a之前,还包括建立病毒特征库:
确定检测点,并根据检测点检测样本集中的文件;
将文件中检测出的检测点组合,确定为病毒特征库中的特征。
3.如权利要求1所述的方法,其特征在于,所述的检测点至少包括:指定或不指定偏移的二进制串、文件属性信息、文件结构信息、文件所属环境信息和已知检测方法的检测结果。
4.如权利要求1所述的方法,其特征在于,所述的步骤c中将标识进行转化包括以下方法中的一种或几种的组合:
将标识的全部字节或部分字节连接为特征串;
将每一个标识转化为一个二进制位,检测点出现的标识位为1,检测点未出现的标识位为0。
5.如权利要求1所述的方法,其特征在于,步骤e中将所有标识、转化后的标识或缩短处理后的标识与加载的指定病毒特征库中的特征进行匹配检测的方法包括:
使用本地病毒特征库匹配或将所有标识、转化后的标识或缩短处理后的标识发送到服务器端的病毒特征库进行匹配,若匹配成功则确定为病毒文件,否则为非病毒文件。
6.如权利要求1所述的方法,其特征在于,通过增加新的病毒特征库来增加检测点和特征数量。
7.一种恶意代码检测系统,其特征在于,包括:
病毒特征库加载单元,用于加载至少一个病毒特征库,所述的病毒特征库中包含检测点、与检测点对应的标识、特征及检测结果;
文件分析单元,用于分析检测目标文件中是否包含有病毒特征库加载单元所加载的病毒特征库中的检测点,若对应检测点出现,则记录与检测点对应的所有标识;
转化处理单元,用于根据病毒特征库的匹配方式,判断是否需要对文件分析单元检测出的所有标识进行转化处理,若需要,则将所有标识进行转化,否则进入缩短处理单元;
缩短处理单元,用于判断是否需要进行缩短处理,若文件分析单元检测出的所有标识或转化处理单元转化后的标识的长度超出预设值,则对所有标识或转化后的标识进行一次或多次散列计算,否则进入特征匹配单元;
特征匹配单元,用于将文件分析单元检测出的所有标识、转化处理单元转化后的标识或缩短处理单元缩短处理后的标识与病毒特征库加载单元加载的指定病毒特征库中的特征进行匹配检测,获取检测结果;
二次检测判断单元,判断特征匹配单元的检测结果是否需要二次检测,若病毒特征库中的特征预设需要进行二次检测,则使用下一病毒特征库检测重新检测,否则报告检测结果。
8.如权利要求7所述的系统,其特征在于,在病毒特征库加载单元加载病毒特征库之前还包括,建立病毒特征库单元,包括:
确定检测点,根据检测点检测样本集中的文件;
将文件中检测出的检测点组合,确定为病毒特征库中的特征。
9.如权利要求7所述的系统,其特征在于,所述病毒特征库加载单元加载的病毒特征库中的检测点至少包括:指定或不指定偏移的二进制串、文件属性信息、文件结构信息、文件所属环境信息和已知检测方法的检测结果。
10.如权利要求7所述的系统,其特征在于,所述转化处理单元将文件分析单元检测出的所有标识进行转化,包括以下方法中的一种或几种的组合:
将所有标识的全部字节或部分字节连接为特征串;
将每一个标识转化为一个二进制位,检测点出现的标识位为1,检测点未出现的标识位为0。
11.如权利要求7所述的系统,其特征在于,缩短处理单元将文件分析单元检测出的所有标识、转化处理单元转化后的标识或缩短处理单元缩短处理后的标识与病毒特征库加载单元加载的指定病毒特征库中的特征进行匹配检测的方法包括:
使用本地病毒特征库进行匹配或将所有标识、转化后的标识或缩短处理后的标识发送到服务器端的病毒特征库进行匹配,若匹配成功则确定为病毒文件,否则为非病毒文件。
12.如权利要求7所述的系统,其特征在于,通过增加新的病毒特征库来增加检测点和特征数量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011101538179A CN102243699B (zh) | 2011-06-09 | 2011-06-09 | 一种恶意代码检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011101538179A CN102243699B (zh) | 2011-06-09 | 2011-06-09 | 一种恶意代码检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102243699A true CN102243699A (zh) | 2011-11-16 |
| CN102243699B CN102243699B (zh) | 2013-11-27 |
Family
ID=44961751
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011101538179A Active CN102243699B (zh) | 2011-06-09 | 2011-06-09 | 一种恶意代码检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102243699B (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102411687A (zh) * | 2011-11-22 | 2012-04-11 | 华北电力大学 | 未知恶意代码的深度学习检测方法 |
| CN102542196A (zh) * | 2011-11-23 | 2012-07-04 | 北京安天电子设备有限公司 | 一种恶意代码发现和预防方法 |
| CN102760218A (zh) * | 2011-12-16 | 2012-10-31 | 哈尔滨安天科技股份有限公司 | 基于动态链接库的病毒特征库共享方法及装置 |
| CN102768717A (zh) * | 2012-06-29 | 2012-11-07 | 腾讯科技(深圳)有限公司 | 恶意文件检测的方法及装置 |
| CN102819723A (zh) * | 2011-12-26 | 2012-12-12 | 哈尔滨安天科技股份有限公司 | 一种恶意二维码检测方法和系统 |
| CN103580946A (zh) * | 2012-08-09 | 2014-02-12 | 腾讯科技(深圳)有限公司 | 自动机行为检测方法和装置 |
| CN103581160A (zh) * | 2012-09-10 | 2014-02-12 | 哈尔滨安天科技股份有限公司 | 用于工业控制系统中恶意代码的启发式检测方法及装置 |
| CN103679025A (zh) * | 2013-11-26 | 2014-03-26 | 南京邮电大学 | 一种基于树突细胞算法的恶意代码检测方法 |
| CN103886258A (zh) * | 2014-03-10 | 2014-06-25 | 珠海市君天电子科技有限公司 | 一种病毒检测方法及装置 |
| CN103902904A (zh) * | 2013-12-11 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种基于统计的反病毒引擎特征码评价方法及系统 |
| CN103902901A (zh) * | 2013-09-17 | 2014-07-02 | 北京安天电子设备有限公司 | 一种基于编译器识别的apt检测方法及系统 |
| CN104008336A (zh) * | 2014-05-07 | 2014-08-27 | 中国科学院信息工程研究所 | 一种ShellCode检测方法和装置 |
| CN104504333A (zh) * | 2014-11-25 | 2015-04-08 | 武汉安天信息技术有限责任公司 | Elf文件中的恶意代码检测方法及装置 |
| CN104680067A (zh) * | 2015-02-15 | 2015-06-03 | 安一恒通(北京)科技有限公司 | 文件的检测方法及装置 |
| CN105488401A (zh) * | 2014-12-15 | 2016-04-13 | 国家计算机网络与信息安全管理中心 | 基于概率差异的噪音信息清除方法及系统 |
| CN105930729A (zh) * | 2016-07-04 | 2016-09-07 | 北京金山安全软件有限公司 | 键盘焦点更改方法、装置和终端设备 |
| CN106127085A (zh) * | 2016-07-04 | 2016-11-16 | 北京金山安全软件有限公司 | 防止修改键盘输入数据的方法、装置和终端设备 |
| CN106485146A (zh) * | 2015-09-02 | 2017-03-08 | 腾讯科技(深圳)有限公司 | 一种信息处理方法及服务器 |
| CN107203708A (zh) * | 2016-03-18 | 2017-09-26 | 北京金山安全软件有限公司 | 一种安全输入防护方法、装置及电子设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1752888A (zh) * | 2005-11-08 | 2006-03-29 | 朱林 | 用于移动/智能终端的病毒特征提取和检测系统及方法 |
| CN1968278A (zh) * | 2006-11-24 | 2007-05-23 | 杭州华为三康技术有限公司 | 数据包内容的分析处理方法及系统 |
-
2011
- 2011-06-09 CN CN2011101538179A patent/CN102243699B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1752888A (zh) * | 2005-11-08 | 2006-03-29 | 朱林 | 用于移动/智能终端的病毒特征提取和检测系统及方法 |
| CN1968278A (zh) * | 2006-11-24 | 2007-05-23 | 杭州华为三康技术有限公司 | 数据包内容的分析处理方法及系统 |
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102411687A (zh) * | 2011-11-22 | 2012-04-11 | 华北电力大学 | 未知恶意代码的深度学习检测方法 |
| CN102411687B (zh) * | 2011-11-22 | 2014-04-23 | 华北电力大学 | 未知恶意代码的深度学习检测方法 |
| CN102542196A (zh) * | 2011-11-23 | 2012-07-04 | 北京安天电子设备有限公司 | 一种恶意代码发现和预防方法 |
| CN102542196B (zh) * | 2011-11-23 | 2014-09-17 | 北京安天电子设备有限公司 | 一种恶意代码发现和预防方法 |
| CN102760218A (zh) * | 2011-12-16 | 2012-10-31 | 哈尔滨安天科技股份有限公司 | 基于动态链接库的病毒特征库共享方法及装置 |
| CN102819723A (zh) * | 2011-12-26 | 2012-12-12 | 哈尔滨安天科技股份有限公司 | 一种恶意二维码检测方法和系统 |
| CN102819723B (zh) * | 2011-12-26 | 2015-07-22 | 哈尔滨安天科技股份有限公司 | 一种恶意二维码检测方法和系统 |
| CN102768717B (zh) * | 2012-06-29 | 2015-01-21 | 腾讯科技(深圳)有限公司 | 恶意文件检测的方法及装置 |
| CN102768717A (zh) * | 2012-06-29 | 2012-11-07 | 腾讯科技(深圳)有限公司 | 恶意文件检测的方法及装置 |
| CN103580946B (zh) * | 2012-08-09 | 2018-07-06 | 腾讯科技(深圳)有限公司 | 自动机行为检测方法和装置 |
| CN103580946A (zh) * | 2012-08-09 | 2014-02-12 | 腾讯科技(深圳)有限公司 | 自动机行为检测方法和装置 |
| CN103581160A (zh) * | 2012-09-10 | 2014-02-12 | 哈尔滨安天科技股份有限公司 | 用于工业控制系统中恶意代码的启发式检测方法及装置 |
| CN103902901B (zh) * | 2013-09-17 | 2017-10-31 | 北京安天网络安全技术有限公司 | 一种基于编译器识别的apt检测方法及系统 |
| CN103902901A (zh) * | 2013-09-17 | 2014-07-02 | 北京安天电子设备有限公司 | 一种基于编译器识别的apt检测方法及系统 |
| CN103679025A (zh) * | 2013-11-26 | 2014-03-26 | 南京邮电大学 | 一种基于树突细胞算法的恶意代码检测方法 |
| CN103679025B (zh) * | 2013-11-26 | 2016-06-15 | 南京邮电大学 | 一种基于树突细胞算法的恶意代码检测方法 |
| CN103902904A (zh) * | 2013-12-11 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种基于统计的反病毒引擎特征码评价方法及系统 |
| CN103902904B (zh) * | 2013-12-11 | 2017-01-04 | 哈尔滨安天科技股份有限公司 | 一种基于统计的反病毒引擎特征码评价方法及系统 |
| WO2015135291A1 (zh) * | 2014-03-10 | 2015-09-17 | 珠海市君天电子科技有限公司 | 病毒检测方法及装置 |
| CN103886258A (zh) * | 2014-03-10 | 2014-06-25 | 珠海市君天电子科技有限公司 | 一种病毒检测方法及装置 |
| CN104008336A (zh) * | 2014-05-07 | 2014-08-27 | 中国科学院信息工程研究所 | 一种ShellCode检测方法和装置 |
| CN104008336B (zh) * | 2014-05-07 | 2017-04-12 | 中国科学院信息工程研究所 | 一种ShellCode检测方法和装置 |
| CN104504333A (zh) * | 2014-11-25 | 2015-04-08 | 武汉安天信息技术有限责任公司 | Elf文件中的恶意代码检测方法及装置 |
| CN105488401A (zh) * | 2014-12-15 | 2016-04-13 | 国家计算机网络与信息安全管理中心 | 基于概率差异的噪音信息清除方法及系统 |
| CN104680067A (zh) * | 2015-02-15 | 2015-06-03 | 安一恒通(北京)科技有限公司 | 文件的检测方法及装置 |
| CN104680067B (zh) * | 2015-02-15 | 2017-12-19 | 安一恒通(北京)科技有限公司 | 文件的检测方法及装置 |
| CN106485146A (zh) * | 2015-09-02 | 2017-03-08 | 腾讯科技(深圳)有限公司 | 一种信息处理方法及服务器 |
| CN106485146B (zh) * | 2015-09-02 | 2019-08-13 | 腾讯科技(深圳)有限公司 | 一种信息处理方法及服务器 |
| CN107203708A (zh) * | 2016-03-18 | 2017-09-26 | 北京金山安全软件有限公司 | 一种安全输入防护方法、装置及电子设备 |
| CN106127085A (zh) * | 2016-07-04 | 2016-11-16 | 北京金山安全软件有限公司 | 防止修改键盘输入数据的方法、装置和终端设备 |
| CN105930729A (zh) * | 2016-07-04 | 2016-09-07 | 北京金山安全软件有限公司 | 键盘焦点更改方法、装置和终端设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102243699B (zh) | 2013-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102243699B (zh) | 一种恶意代码检测方法及系统 | |
| US9245007B2 (en) | Dynamically detecting near-duplicate documents | |
| WO2019237540A1 (zh) | 财政数据的获取方法、装置、终端设备及介质 | |
| US20140033262A1 (en) | Parsing Single Source Content for Multi-Channel Publishing | |
| US9081412B2 (en) | System and method for using paper as an interface to computer applications | |
| US20100042929A1 (en) | Verification of software applications | |
| US8875303B2 (en) | Detecting pirated applications | |
| US20070206851A1 (en) | Information processing apparatus, information processing method, computer readable medium, and computer data signal | |
| US20120311709A1 (en) | Automatic management system for group and mutant information of malicious codes | |
| CN105205397A (zh) | 恶意程序样本分类方法及装置 | |
| US11036479B2 (en) | Devices, systems, and methods of program identification, isolation, and profile attachment | |
| WO2012093625A1 (ja) | Webページ改竄検知装置及び記憶媒体 | |
| CN105488405A (zh) | 一种基于pdb调试信息的恶意代码分析方法及系统 | |
| US20110214048A1 (en) | Method and system for automatic data aggregation | |
| US20150106478A1 (en) | File handlers supporting dynamic data streams | |
| CN103714269A (zh) | 病毒的识别方法及设备 | |
| CN104156373A (zh) | 编码格式检测方法及装置 | |
| CN103617122A (zh) | 一种源代码的比对方法 | |
| Hutchins | Testing software tools of potential interest for digital preservation activities at the national library of australia | |
| US9507814B2 (en) | Bit level comparator systems and methods | |
| JP6955156B2 (ja) | 画像処理プログラム、画像処理装置および画像処理方法 | |
| US9110893B2 (en) | Combining problem and solution artifacts | |
| CN108021951A (zh) | 一种文档检测的方法、服务器及计算机可读存储介质 | |
| CN114511854A (zh) | 一种合同规范性的审核方法、装置、设备和介质 | |
| CN104200163A (zh) | 一种病毒检测方法及病毒检测引擎 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: Nanshan District Xinghai road Shenzhen city Guangdong province 518054 North villa C District 7. Applicant after: Shenzhen Anzhitian Information Technology Co., Ltd. Address before: 518067 B, block 301B, garden city, No. 1079 Nanhai Road, Shekou, Guangdong, Shenzhen, Nanshan District Applicant before: Shenzhen Anzhitian Information Technology Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 518054 building 7, Zone C, Yueliangwan villa, Xinghai Avenue, Nanshan District, Shenzhen City, Guangdong Province Patentee after: Shenzhen Antan Network Security Technology Co.,Ltd. Address before: 518054 building 7, Zone C, Yueliangwan villa, Xinghai Avenue, Nanshan District, Shenzhen City, Guangdong Province Patentee before: SHENZHEN ANZHITIAN INFORMATION TECHNOLOGY Co.,Ltd. |