CN102457841B - 用于检测病毒的方法和装置 - Google Patents
用于检测病毒的方法和装置 Download PDFInfo
- Publication number
- CN102457841B CN102457841B CN201010524358.6A CN201010524358A CN102457841B CN 102457841 B CN102457841 B CN 102457841B CN 201010524358 A CN201010524358 A CN 201010524358A CN 102457841 B CN102457841 B CN 102457841B
- Authority
- CN
- China
- Prior art keywords
- file
- doubtful
- threshold value
- virus document
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种用于检测病毒的方法和装置,其中该方法包括:当在移动通信网络中所捕获的第一文件的文件类型是指定文件类型时,根据所述第一文件的流行性特征来确定所述第一文件是否是疑似病毒文件;当所述确定的结果为肯定时,获取所述第一文件的行为;以及,当所述获取的行为包含有恶意行为时,判定所述第一文件是病毒文件。利用该方法和装置,能够在占用较少系统资源的情况下容易地检测出可疑病毒文件或未知病毒文件。
Description
技术领域
本发明涉及一种用于检测病毒的方法和装置。
背景技术
随着诸如手机、具有无线通信功能的个人数字助理(PDA)等这样的便携电子设备的普及,已经出现类似于计算机病毒的针对便携电子设备的病毒,通常将这种针对便携电子设备的病毒称为手机病毒(cellphonevirus),例如,针对安装有SymbianS603系列版本操作系统的智能手机的Commwarrior病毒和“手机骷髅”木马病毒等。
这些手机病毒的特征是利用手机先进的连接性能,在用户不知情的情况下暗中联网且向手机通信录中的联系人大量群发带有手机病毒彩信或者群发带有手机病毒恶意站点链接的彩信或短信。这些联系人被感染手机病毒后不仅会导致手机运行异常,例如频繁关机或重新启动,而且更为严重的是会导致用户因大量发送短信或彩信而被收取高额费用。
目前已经提出了许多病毒检测方法,这些病毒检测方法基本上可以分为:基于病毒的特征代码来检测病毒的病毒特征代码检测法,利用正常文件的校验和来检测病毒的文件校验和法,通过病毒的特征行为来检测病毒的行为特征检测法,以及软件模拟法。
然而,病毒特征代码检测法只能检测已知特征代码的病毒,文件校验和法需要预先获得正常文件,行为特征检测法需要预先知道病毒的特征行为,以及软件模拟法需要占用较多的系统资源。
发明内容
考虑到现有技术的上述缺陷,本发明的实施例提供一种用于检测病毒的方法和装置,其能在占用较少系统资源的情况下容易地检测出可疑病毒文件或未知病毒文件。
按照本发明实施例的一种用于检测病毒的方法,包括:当在移动通信网络中所捕获的第一文件的文件类型是指定文件类型时,根据所述第一文件的流行性特征来确定所述第一文件是否是疑似病毒文件;若所述第一文件是疑似病毒文件,则获取所述第一文件的行为,其中,所述获取所述第一文件的行为,包括:执行所述第一文件或者扫描所述第一文件;以及,若所述获取的行为包含有恶意行为,则判定所述第一文件是病毒文件。
按照本发明实施例的一种用于检测病毒的装置,包括:确定模块,用于当在移动通信网络中所捕获的第一文件的文件类型是指定文件类型时,根据所述第一文件的流行性特征来确定所述第一文件是否是疑似病毒文件;获取模块,用于在所述确定模块确定所述第一文件为疑似病毒文件时,获取所述第一文件的行为,其中,所述获取所述第一文件的行为,包括:执行所述第一文件或者扫描所述第一文件;以及判定模块,用于在所述获取模块获取的所述第一文件的行为包含有恶意行为时,判定所述第一文件是病毒文件。
根据本发明实施例提供的技术方案,可以对于指定文件类型的文件进行分析,根据该文件的流行性特征判断该文件是否为疑似病毒文件,从而避免了大量的模拟,节省了系统资源,也减少所需时间,同时还能够及时发现新的疑似病毒或者原有病毒的新变种。再获取疑似病毒文件的行为,从而最终确认病毒,增强了病毒识别能力,保障了网络安全性能。
附图说明
本发明的其它特定、特征和优点通过以下结合附图的详细描述将变得更加显而易见,其中:
图1示出了按照本发明一个实施例的系统架构示意图;
图2示出了按照本发明一个实施例的病毒检测方法的流程示意图;以及
图3示出了按照本发明一个实施例的病毒检测装置的结构示意图。
具体实施方式
本领域技术人员应当理解,在下面描述中,为了说明起见,为了对一个或多个实施例有一个透彻理解,对众多特定细节进行了描述。但是,显而易见的是,可以在不使用这些特定细节的情况下实现这些实施例。
本发明的实施例涉及病毒检测技术,其首先捕获在网络中传输的文件,根据所捕获的文件的流行性特征(包括但不局限于从移动通信网络中已捕获该文件的次数、从移动通信网络中捕获该文件的频率、文件类型和该文件所包含的内容中之一或其任意组合)来判断该文件是否是疑似病毒文件。在本实施例中,根据文件的流行性特征判断文件是否为疑似病毒文件可以通过模式识别完成。例如根据已知的或者是可能的行为特征和/或传播特征建立各种特征分析模块,并通过一个综合分析模块对各特征分析模块得到的结果进行进一步的综合处理,以判断该文件是否为疑似病毒文件。本实施例中行为特征例如可以为文件所包含的内容或者文件的类型等,传播特征例如可以为文件传播的频率,传播的次数等。在本实施例中,特征分析模块例如包括:文件传播频率分析模块、文件类型分析模块、文件可疑内容分析模块、文件传播数量分析模块中的一个或者多个。对于文件可疑内容,例如可以包括特征代码或者代码片断、特定的图片或者字符、特定的目的服务器地址、特定的网站链接、特定的关键词等。进一步的,还可以保存疑似病毒文件,从而建立疑似病毒文件数据库。通过建立疑似病毒文件数据库,可以对疑似病毒文件进行进一步的处理和/或统计。在判定该文件是疑似病毒文件后,获取该文件的行为,最后当所获取的该文件的行为包含有恶意行为时确定该文件是病毒文件。由于不需要预先获得该文件的正常文件和预先知道病毒的特征行为,并且仅当该文件是疑似病毒文件时才获取该文件的行为,因此,采用这里所公开的病毒检测技术能在占用较少系统资源的情况下很容易检测出可疑病毒文件或未知病毒文件。
下面,以通用分组无线业务(GPRS)移动通信网络为例,结合附图详细描述本发明的各个实施例。
图1示出了按照本发明一个实施例的系统架构示意图。如图1所示,在现有的GPRS网络的基础上增加了病毒检测装置100。其中,病毒检测装置100用于监测在GPRS网络的GPRS服务支持节点(SGSN)和网关GPRS支持节点(GGSN)之间传送的数据中所承载的文件来进行病毒检测。将病毒检测装置100设置在SGSN与GGSN之间可以方便的获取各种数据,例如包括MMS,SMS,WAP和CMNET中的一种或者多种。还可以将病毒检测装置100设置在网络的其他位置,例如设置在GGSN与WAP网关之间,从而可以实现对不同协议数据的检测。该病毒监测装置100还可以设置在现有的网络设备中,例如GGSN或者SGSN中。
图2示出了按照本发明一个实施例的病毒检测方法的流程示意图。如图2所示,首先,病毒检测装置100捕获在SGSN和GGSN之间传送的数据(步骤S200)。特别的,该数据例如为分组数据。
病毒检测装置100解析所捕获的数据以获得在网络中传送的文件(步骤S210)。为了便于描述,下面将该捕获的文件称作文件W。
当文件W的文件类型是指定文件类型时,病毒检测装置100检查以前捕获的文件中是否包含有文件W(步骤S220)。这里,可以通过例如文件W的文件扩展名和/或文件W的文件头中指示文件类型的信息来识别文件W的文件类型是否是指定文件类型。该指定文件类型包括但不限于可执行文件类型和压缩文件类型,具有可执行文件类型的文件通常具有诸如“.sis”、“.cab”或“.apk”等这样的文件扩展名。
如果步骤S220的检查结果为否定,病毒检测装置100存储文件W并保存在GPRS网络中已捕获文件W的次数为1(步骤S225)
如果步骤S220的检查结果为肯定,则病毒检测装置100递增之前存储的在GPRS网络中已捕获文件W的次数(步骤S230)。
病毒检测装置100检查已捕获文件W的次数是否达到预定次数阈值(步骤S240)。该次数阈值例如可以是预先设定的,也可以是动态修改的。在本实施例中,下述各阈值均是可以预先进行设定,也可以动态进行修改的,以下不再赘述。
病毒检测装置100根据已捕获文件W的次数和自第一次捕获到文件W后所经历的时间,来计算捕获文件W的频率(步骤S250)。这里,可以利用计时器来记录该经历的时间。或者,可以记录第一次捕获到文件W的时间,并通过所记录的时间和当前时间来获取该经历的时间。
病毒检测装置100检查捕获文件W的频率是否达到预定频率阈值(步骤S260)。
病毒检测装置100检查文件W是否包含有疑似病毒内容(步骤S270)。这里,疑似病毒内容包括但不局限于病毒的特征代码及其片段、可能带有病毒的图片、可能指向病毒网站的链接等。
如果步骤S240、步骤S260和步骤S270中的至少一个的检查结果为肯定,即:已捕获文件W的次数达到预定次数阈值、捕获文件W的频率达到预定频率阈值和/或文件W包含有疑似病毒内容,则病毒检测装置100判定文件W是疑似病毒文件并把文件W存储在疑似病毒库中(步骤S280)。在本实施例中,步骤S280还可以有其他的实现方式,例如通过对不同的统计结果设定权重进行综合计算。
进一步的,本实施例中,对于特定的场景下,步骤S240、步骤S250、步骤S270之间还可以设定特定的执行顺序,即为了提高效率,可以先判断是否捕获文件W的次数达到预定次数阈值。
病毒检测装置100在行为模拟器执行或扫描文件W,以获得文件W的行为(步骤S290)。
当所获得的文件W的行为中包含有恶意行为时,病毒检测装置100确定文件W是病毒文件并把文件W存储到病毒库中(步骤S300)。这里,恶意行为包括但不限于复制自身并试图通过网络、蓝牙、红外等发送给其他用户、恶意修改注册表、恶意关机和/或将用户引向包含病毒的网站等。
图3示出了按照本发明一个实施例的病毒检测装置的结构示意图。如图3所示,病毒检测装置100可以包括疑似病毒库110、病毒库120、捕获引擎130、解析器140、病毒分析器150和行为模拟器160。
疑似病毒库110用于存储疑似病毒文件。在本发明实施例中,病毒检测装置100也可以不包括疑似病毒库110,而是将病毒分析器140直接与行为模拟器160相连。
病毒库120用于存储病毒文件。
捕获引擎130用于捕获在SGSN和GGSN之间传送的数据。
解析器140用于解析所捕获的数据以获得在网络中传送的文件W。
病毒分析器150用于当文件W的文件类型是指定文件类型时,根据文件W的流行性特征来确定文件W是否是疑似病毒文件。
病毒分析器150可以包括第一检查模块、第二件检查模块、第三检查模块中的至少一个,以及综合判断模块。在本实施例中,第一检查模块具体为疑似文件监测器152,第二检查模块具体为频率监测器154,第三检查模块具体为疑似内容监测器156,综合判断模块具体为关系分析起158。
疑似文件监测器152用于当文件W的文件类型是指定文件类型时,检查所存储的以前捕获的文件中是否包含有文件W,如果检查结果为肯定,则递增已捕获文件W的次数,以及如果检查结果为否定,则存储文件W并对捕获文件W的次数开始计数。频率监测器154用于根据在GPRS网络中已捕获文件W的次数和自对捕获文件W开始计数后所经历的时间,来计算在捕获文件W的频率。疑似内容监测器156用于检查文件W中的疑似病毒内容,这里,疑似病毒内容包括但不局限于病毒的特征代码及其片段、可能带有病毒的图片、可能指向病毒网站的链接等。关系分析器158用于对疑似文件监测器152、频率监测器154、疑似内容监测器156的监测结果进行综合分析,得出文件W是否为疑似病毒文件的判断结果。例如关系分析器158检查疑似文件监测器152中所记录的已捕获文件W的次数是否达到预定次数阈值、频率监测器154所计算的捕获文件W的频率是否达到预定频率阈值和/或疑似内容监测器156所检测的文件W中是否包含有疑似病毒内容,并当疑似文件监测器152中所记录的已捕获文件W的次数达到预定次数阈值、频率监测器154所计算的捕获文件W的频率达到预定频率阈值和/或疑似内容监测器156所监测的文件W中包含有疑似病毒内容时,确定文件W是疑似病毒文件并将文件W存储到疑似病毒库110中或者直接输出到行为模拟器160。
行为模拟器160用于当文件W被确定是疑似病毒文件时,执行或扫描文件W以获取文件W的行为,并当所获取的文件W的行为包含有恶意行为时,确定文件W是病毒文件并存储到病毒库120。
本实施例中,关系分析器158例如可以包括如下模块之一:第一综合子模块,用于在疑似文件监测器152检查到已捕获文件W的次数达到预定次数阈值时,确定文件W为疑似病毒文件;第二综合子模块,用于在频率监测器154检查到捕获文件W的频率达到预定频率阈值时,确定文件W为疑似病毒文件;第三综合子模块,用于在疑似内容监测器156检查到文件W包含有疑似病毒内容时,确定文件W为疑似病毒文件;第四综合子模块,用于在疑似文件监测器152检查到已捕获文件W的次数达到预定次数阈值且频率监测器154检查到捕获文件W的频率达到所述预定频率阈值时,确定文件W为疑似病毒文件;第五综合子模块,用于在疑似文件监测器152检查到已捕获文件W的次数达到预定次数阈值且疑似内容监测器156检查到文件W包含有疑似病毒内容时,确定文件W为疑似病毒文件;第六综合子模块,用于在频率监测器154检查到捕获文件W的频率达到预定频率阈值且疑似内容监测器156检查到文件W包含有疑似病毒内容时,确定文件W为疑似病毒文件;第七综合子模块,用于在疑似文件监测器152检查到已捕获文件W的次数达到预定次数阈值、频率监测器154检查到捕获文件W的频率达到预定频率阈值且疑似内容监测器检查到文件W包含有疑似病毒内容时,确定文件为疑似病毒文件。
其它变型
本领域技术人员应当理解,虽然在上面描述的实施例中,通过以下方式根据文件W的流行性特征确定文件W是否是疑似病毒文件:同时检查已捕获所述文件W的次数是否达到预定次数阈值、捕获所述文件W的频率是否达到预定频率阈值和文件W是否包含有疑似病毒内容,并当这三个检查中的至少一个检查的结果为肯定时,确定文件W是疑似病毒文件,然而,本发明并不局限于此。
在本发明的其他实施例中,也可以只执行这三个检查的其中一个检查,并当该其中一个检查的结果为肯定时,确定文件W是疑似病毒文件。或者,也可以只执行这三个检查中的任意两个检查,并当该任意两个检查中的至少一个检查的结果为肯定时,确定文件W是疑似病毒文件。
本领域技术人员应当理解,虽然在上面描述的实施例中,通过以下方式根据文件W的流行性特征确定文件W是否是疑似病毒文件:检查已捕获所述文件W的次数是否达到预定次数阈值、捕获所述文件W的频率是否达到预定频率阈值和文件W是否包含有疑似病毒内容,并当这三个检查中的至少一个检查的结果为肯定时,确定文件W是疑似病毒文件,然而,本发明并不局限于此。
在本发明的其他实施例中,也可以通过如下方式根据文件W的流行性特征来确定文件W是否是疑似病毒文件:计算已捕获所述文件W的次数与第一指定权值的乘积、捕获所述文件W的频率与第二指定权值的乘积以及与文件W是否包含有疑似病毒内容相关的第三指定值这三者中的至少两者之和,判断所述计算的和是否达到预定阈值,并当所述计算的和达到所述预定阈值时,确认文件W是疑似病毒文件。这里,当文件W包含有疑似病毒内容时,所述第三指定值可以取较大的数值,而当文件W没有包含有疑似病毒内容时,所述第三指定值可以为零或取较小的数值。
本领域技术人员应当理解,虽然在上面描述的实施例中,根据已捕获文件W的次数和自对捕获文件W开始计数起所经历的时间,来计算捕获文件W的频率,然而,本发明并不局限于此。在本发明的其他实施例中,也可以根据在指定时间范围内已捕获文件W的次数和所述指定时间范围的持续时间长度来计算捕获文件W的频率,其中,所述指定时间范围的持续时间长度和在所述指定时间范围内已捕获文件W的次数例如可以分别使用计时器和计数器来计算。
本领域技术人员应当理解,虽然在上面描述的实施例中,病毒检测装置100监测SGSN和GGSN之间传送的数据中所承载的文件来进行病毒检测,然而,本发明并不局限于此。在本发明的其他实施例中,例如,病毒检测装置100也可以放置GPRS网络的彩信中心中并监测彩信中心所传送的彩信来进行病毒检测,或者病毒检测装置100也可以放置GPRS网络的WAP网关中并监测WAP网关所传送的数据来进行病毒检测。
本领域技术人员应当理解,虽然在上面描述的实施例中,以GPRS网络为例来描述本发明,然而本发明并不局限于此。本发明也可以应用到其他移动通信网络,例如,WCDMA网络、TD-SCDMA网络、CDMA2000网络、LTE网络等。
本领域技术人员应当理解,病毒检测装置100中的各个组件可以采用软件、硬件或者软硬件相结合的方式来实现。
本领域技术人员应当理解,本发明的各个实施例可以在没有偏离发明实质的情况下做出各种变型和改变,因此,本发明的保护范围由所附的权利要求书来定义。
Claims (12)
1.一种用于检测病毒的方法,包括:
当在移动通信网络中所捕获的第一文件的文件类型是指定文件类型时,根据所述第一文件的流行性特征来确定所述第一文件是否是疑似病毒文件,其中,通过所述第一文件的文件扩展名和/或文件头中指示文件类型的信息来识别所述第一文件的类型;
若所述第一文件是疑似病毒文件,则获取所述第一文件的行为,其中,所述获取所述第一文件的行为,包括:执行所述第一文件或者扫描所述第一文件;以及
若所述获取的行为包含有恶意行为,则判定所述第一文件是病毒文件。
2.如权利要求1所述的方法,其中,
所述第一文件的所述流行性特征包括所述第一文件的传播特征和/或所述第一文件的行为特征。
3.如权利要求2所述的方法,其中,
所述第一文件的传播特征包括:在所述移动通信网络中已捕获所述第一文件的次数和/或在所述移动通信网络中捕获所述第一文件的频率。
4.如权利要求2所述的方法,其中,
所述第一文件的行为特征包括:所述第一文件所包含的内容。
5.如权利要求1所述的方法,其中,所述根据所述第一文件的流行性特征来确定所述第一文件是否是疑似病毒文件,包括以下之一:
检查在所述移动通信网络中已捕获所述第一文件的次数是否达到预定次数阈值,若达到所述预定次数阈值,则确定所述第一文件为疑似病毒文件;
检查在所述移动通信网络中捕获所述第一文件的频率是否达到预定频率阈值,若达到所述预定频率阈值,则确定所述第一文件为疑似病毒文件;
检查所述第一文件是否包含有疑似病毒内容,若包含有疑似病毒内容,则确定所述第一文件为疑似病毒文件;
检查在所述移动通信网络中已捕获所述第一文件的次数是否达到预定次数阈值以及捕获所述第一文件的频率是否达到预定频率阈值,若达到所述预定次数阈值以及所述预定频率阈值,则确定所述第一文件为疑似病毒文件;
检查在所述移动通信网络中已捕获所述第一文件的次数是否达到预定次数阈值以及所述第一文件是否包含有疑似病毒内容,若达到所述预定次数阈值以及包含有疑似病毒内容,则确定所述第一文件为疑似病毒文件;
检查在所述移动通信网络中捕获所述第一文件的频率是否达到预定频率阈值以及所述第一文件是否包含有疑似病毒内容,若达到所述预定频率阈值以及包含有疑似病毒内容,则确定所述第一文件为疑似病毒文件;
检查在所述移动通信网络中已捕获所述第一文件的次数是否达到预定次数阈值、捕获所述第一文件的频率是否达到预定频率阈值以及所述第一文件是否包含有疑似病毒内容,若达到所述预定次数阈值以及所述预定频率阈值且包含有疑似病毒内容,则确定所述第一文件为疑似病毒文件;以及
计算在所述移动通信网络中已捕获所述第一文件的次数与第一指定权值的乘积、在所述移动通信网络中捕获所述第一文件的频率与第二指定权值的乘积以及与所述第一文件是否包含有疑似病毒特征内容有关的第三指定数值这三者中的至少两者之和;判断所述计算的和是否达到预定阈值;当所述判断的结果为肯定时,确认所述第一文件是疑似病毒文件。
6.如权利要求5所述的方法,其中,所述疑似病毒内容包括以下之一或其任意组合:病毒特征代码、病毒代码片断、特定图片、特定字符、特定关键词、特定目的服务器、特定网页链接。
7.如权利要求1所述的方法,其中,所述指定文件类型包括:可执行文件类型和/或压缩文件类型。
8.一种用于检测病毒的装置,包括:
确定模块,用于当在移动通信网络中所捕获的第一文件的文件类型是指定文件类型时,根据所述第一文件的流行性特征来确定所述第一文件是否是疑似病毒文件,其中,通过所述第一文件的文件扩展名和/或文件头中指示文件类型的信息来识别所述第一文件的类型;
获取模块,用于在所述确定模块确定所述第一文件为疑似病毒文件时,获取所述第一文件的行为,其中,所述获取所述第一文件的行为,包括:执行所述第一文件或者扫描所述第一文件;以及
判定模块,用于在所述获取模块获取的所述第一文件的行为包含有恶意行为时,判定所述第一文件是病毒文件。
9.如权利要求8所述的装置,其中,
所述指定文件类型包括:可执行文件类型和/或压缩文件类型。
10.如权利要求8所述的装置,其中,
所述第一文件的所述流行性特征包括:在所述移动通信网络中已捕获所述第一文件的次数、在所述移动通信网络中捕获所述第一文件的频率和所述第一文件所包含的内容中的至少一个。
11.如权利要求8所述的装置,其中,
所述确定模块包括:第一检查模块、第二检查模块和第三检查模块中的至少一个以及综合判断模块;
其中,所述第一检查模块用于检查在所述移动通信网络中已捕获所述第一文件的次数是否达到预定次数阈值;
所述第二检查模块用于检查在所述移动通信网络中捕获所述第一文件的频率是否达到预定频率阈值;
所述第三检查模块用于检查所述第一文件是否包含有疑似病毒内容;
所述综合判断模块包括以下之一:
第一综合子模块,用于在所述第一检查模块检查到已捕获所述第一文件的次数达到所述预定次数阈值时,确定所述第一文件为疑似病毒文件;
第二综合子模块,用于在所述第二检查模块检查到捕获所述第一文件的频率达到所述预定频率阈值时,确定所述第一文件为疑似病毒文件;
第三综合子模块,用于在所述第三检查模块检查到所述第一文件包含有疑似病毒内容时,确定所述第一文件为疑似病毒文件;
第四综合子模块,用于在所述第一检查模块检查到已捕获所述第一文件的次数达到所述预定次数阈值且所述第二检查模块检查到捕获所述第一文件的频率达到所述预定频率阈值时,确定所述第一文件为疑似病毒文件;
第五综合子模块,用于在所述第一检查模块检查到已捕获所述第一文件的次数达到所述预定次数阈值且所述第三检查模块检查到所述第一文件包含有疑似病毒内容时,确定所述第一文件为疑似病毒文件;
第六综合子模块,用于在所述第二检查模块检查到捕获所述第一文件的频率达到所述预定频率阈值且所述第三检查模块检查到所述第一文件包含有疑似病毒内容时,确定所述第一文件为疑似病毒文件;
第七综合子模块,用于在所述第一检查模块检查到已捕获所述第一文件的次数达到所述预定次数阈值、所述第二检查模块检查到捕获所述第一文件的频率达到所述预定频率阈值且所述第三检查模块检查到所述第一文件包含有疑似病毒内容时,确定所述第一文件为疑似病毒文件。
12.如权利要求8所述的装置,其中,所述确定模块包括:
计算模块,用于计算在所述移动通信网络中已捕获所述第一文件的次数与第一权值的乘积、在所述移动通信网络中捕获所述第一文件的频率与第二权值的乘积以及与所述第一文件是否包含有疑似病毒特征内容有关的第三指定数值这三者中的至少两者之和;
判断模块,用于判断所述计算的和是否达到预定阈值;以及
确认模块,用于当所述判断的结果为肯定时,确认所述第一文件是疑似病毒文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010524358.6A CN102457841B (zh) | 2010-10-28 | 2010-10-28 | 用于检测病毒的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010524358.6A CN102457841B (zh) | 2010-10-28 | 2010-10-28 | 用于检测病毒的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102457841A CN102457841A (zh) | 2012-05-16 |
| CN102457841B true CN102457841B (zh) | 2016-03-30 |
Family
ID=46040395
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010524358.6A Expired - Fee Related CN102457841B (zh) | 2010-10-28 | 2010-10-28 | 用于检测病毒的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102457841B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102737187B (zh) * | 2012-06-26 | 2014-09-24 | 腾讯科技(深圳)有限公司 | 杀毒方法与客户端设备 |
| CN103888914B (zh) * | 2012-12-24 | 2018-05-11 | 中国移动通信集团河北有限公司 | 一种清除彩信病毒的方法和装置 |
| CN104239795B (zh) * | 2014-09-16 | 2017-11-24 | 百度在线网络技术(北京)有限公司 | 文件的扫描方法及装置 |
| CN104778591B (zh) * | 2015-04-01 | 2018-05-22 | 北京三快在线科技有限公司 | 一种异常行为的特征信息的提取、识别方法和装置 |
| CN106714122B (zh) * | 2016-05-03 | 2020-04-28 | 腾讯科技(深圳)有限公司 | 短信传播病毒检测方法和装置 |
| CN107347057B (zh) * | 2016-05-06 | 2021-03-02 | 阿里巴巴集团控股有限公司 | 入侵检测方法、检测规则生成方法、装置及系统 |
| CN110688658B (zh) * | 2019-10-09 | 2021-08-20 | 杭州安恒信息技术股份有限公司 | 未知病毒感染追溯方法、装置及系统 |
| CN111949985A (zh) * | 2020-10-19 | 2020-11-17 | 远江盛邦(北京)网络安全科技股份有限公司 | 结合文件识别的病毒检测方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1961545A (zh) * | 2004-05-25 | 2007-05-09 | 国际商业机器公司 | 在无线通信中过滤包含垃圾邮件和/或病毒的消息 |
| CN101605323A (zh) * | 2008-06-12 | 2009-12-16 | 阿尔卡特朗讯公司 | 检测由无线通信网络内的移动终端发射的业务中的异常 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7770785B2 (en) * | 2005-06-13 | 2010-08-10 | Qualcomm Incorporated | Apparatus and methods for detection and management of unauthorized executable instructions on a wireless device |
| CN101594266A (zh) * | 2009-07-01 | 2009-12-02 | 杭州华三通信技术有限公司 | 一种结构化查询语言注入攻击检测方法和装置 |
| CN101707539B (zh) * | 2009-11-26 | 2012-01-04 | 成都市华为赛门铁克科技有限公司 | 蠕虫病毒检测方法、装置和网关设备 |
-
2010
- 2010-10-28 CN CN201010524358.6A patent/CN102457841B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1961545A (zh) * | 2004-05-25 | 2007-05-09 | 国际商业机器公司 | 在无线通信中过滤包含垃圾邮件和/或病毒的消息 |
| CN101605323A (zh) * | 2008-06-12 | 2009-12-16 | 阿尔卡特朗讯公司 | 检测由无线通信网络内的移动终端发射的业务中的异常 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102457841A (zh) | 2012-05-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102457841B (zh) | 用于检测病毒的方法和装置 | |
| CN104348803B (zh) | 链路劫持检测方法、装置、用户设备、分析服务器及系统 | |
| KR102057565B1 (ko) | 멀웨어를 검출하기 위한 컴퓨팅 디바이스 | |
| KR100878895B1 (ko) | 휴대단말 악성코드 처리장치 및 그 처리 방법 | |
| CN108667770B (zh) | 一种网站的漏洞测试方法、服务器及系统 | |
| CN106709346B (zh) | 文件处理方法及装置 | |
| KR101908944B1 (ko) | 데이터 분석 시스템에서 맬웨어를 분석하기 위한 장치 및 방법 | |
| CN105187394A (zh) | 具有移动终端恶意软件行为检测能力的代理服务器及方法 | |
| CN102082802A (zh) | 一种基于行为的移动终端的安全防护系统和方法 | |
| CN103746992B (zh) | 基于逆向的入侵检测系统及其方法 | |
| CN105303109A (zh) | 一种恶意代码情报检测分析方法及系统 | |
| Luoshi et al. | A3: automatic analysis of android malware | |
| CN102469117A (zh) | 一种异常访问行为的识别方法及装置 | |
| CN102547710B (zh) | 在移动通信系统中探测病毒的方法和装置 | |
| CN102594780B (zh) | 移动终端病毒的检测、清除方法及装置 | |
| CN102843270A (zh) | 基于url与本地文件关联的可疑url检测方法和装置 | |
| KR101657667B1 (ko) | 악성 앱 분류 장치 및 악성 앱 분류 방법 | |
| CN107135199B (zh) | 网页后门的检测方法和装置 | |
| CN105516114B (zh) | 一种基于网页哈希值扫描漏洞的方法、装置及电子设备 | |
| CN102905269B (zh) | 一种手机病毒的检测方法和装置 | |
| CN103916365B (zh) | 导出和验证恶意代码的网络行为特征的方法和装置 | |
| CN117828605A (zh) | 系统漏洞的检测方法、装置、电子设备和存储介质 | |
| CN109450853B (zh) | 恶意网站判定方法、装置、终端及服务器 | |
| KR101270497B1 (ko) | 모바일 악성코드 자동 수집 및 분석 시스템 | |
| CN102469450B (zh) | 一种手机病毒特征的识别方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160330 Termination date: 20191028 |