CN102609654A - 一种检测恶意flash文件的方法和装置 - Google Patents
一种检测恶意flash文件的方法和装置 Download PDFInfo
- Publication number
- CN102609654A CN102609654A CN2012100271108A CN201210027110A CN102609654A CN 102609654 A CN102609654 A CN 102609654A CN 2012100271108 A CN2012100271108 A CN 2012100271108A CN 201210027110 A CN201210027110 A CN 201210027110A CN 102609654 A CN102609654 A CN 102609654A
- Authority
- CN
- China
- Prior art keywords
- flash file
- detected
- function
- operation information
- flash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种检测恶意flash文件的方法和装置,通过挂函数钩子针对待检测flash文件收集产生shellcode的操作信息,分别针对产生读内存操作的函数操作信息和产生写内存操作的函数操作信息执行不同的检测操作:对产生读内存操作的函数操作信息进行参数调用的合法性检测,对产生写内存操作的函数的有效存储空间进行喷射攻击检测,从而确定待检测flash文件是否为恶意flash文件。这种动态检测的方式自动实现恶意flash的检测,无需人工参与和维护病毒库,大大降低了维护成本,提高了覆盖率;另外,本发明中对任意的待检测flash均能够实时检测出是否恶意,不依赖于预先收集的病毒库,解决了滞后性的问题。
Description
【技术领域】
本发明涉及计算机安全技术领域,特别涉及一种检测恶意flash文件的方法和装置。
【背景技术】
随着计算机技术的不断发展,计算机网络已经成为人们获取信息的主要工具,随之而来的是对计算机安全技术需求的不断提高。计算机病毒、木马、间谍软件和恶意代码是近几年来计算机网络面对的主要安全威胁,其中恶意flash文件中挂马是近期流行的挂马方式,即通过flash文件进行木马的传播。
现有检测恶意flash文件的方式是采用基于静态特征的静态检测技术,杀毒软件厂商预先通过客户端监控浏览器的异常代码执行,收集相关可疑flash文件,由病毒分析师分析确定其恶意性,如果为恶意flash则将该恶意flash的特征更新至病毒库,杀毒软件客户端利用病毒库实时监控flash文件的加载,通过将加载flash文件的特征在病毒库中进行匹配来检测恶意flash文件。
然而上述检测恶意flash文件的方式具备以下缺陷:
1)需要由病毒分析师分析确定其恶意性,即人工维护一个庞大的病毒库,维护成本较高。
2)恶意flash文件的检出率取决于病毒分析师预先分析出的恶意flash文件的收集覆盖率,覆盖率较低。
3)恶意flash文件的检出是依靠对浏览器的异常代码执行预先收集的,具有明显的滞后性,对于新出现的恶意flash特征则无法实时检测出。
【发明内容】
本发明提供了一种检测恶意flash文件的方法和装置,以便于降低人工维护成本,解决检测恶意flash文件的滞后性问题。
具体技术方案如下:
一种检测恶意flash文件的方法,该方法包括由以下步骤构成的动态检测流程:
A1、通过挂函数钩子针对待检测flash文件收集产生shellcode的操作信息,其中shellcode为利用特定漏洞的代码或填充数据;
A2、判断收集到的产生shellcode的操作信息,如果是产生读内存操作的函数操作信息,则执行步骤A3;如果是产生写内存操作的函数操作信息,则执行步骤A4;
A3、对产生读内存操作的函数操作信息进行参数调用的合法性检测,如果不合法,则确定所述待检测flash文件为恶意flash文件,结束对所述待检测flash文件的检测流程;
A4、对产生写内存操作的函数的有效存储空间进行喷射攻击检测,如果检测到的喷射攻击特性满足预设的喷射攻击特性要求,则确定所述待检测flash文件为恶意flash文件。
根据本发明一优选实施例,在所述步骤A1之前还包括:A0:新建浏览器IE控件进程,对可能产生shellcode的操作的函数挂函数钩子,并获取对待检测flash文件进行反编译后得到的源码;
所述步骤A1包括:读取所述源码,通过已挂的函数钩子收集产生shellcode的操作信息。
根据本发明一优选实施例,所述产生读内存操作的函数操作信息包括:Date对象创建信息或者Number对象创建信息;
所述产生写内存操作的函数操作信息包括:ByteArray对象操作信息或者String对象操作信息。
根据本发明一优选实施例,在步骤A3中所述对产生读内存操作的函数操作信息进行参数调用的合法性检测包括:
判断产生读内存操作的参数和返回值是否存在内存地址与内存地址所存储值的关系,如果是,则确定参数调用不合法。
根据本发明一优选实施例,在所述步骤A3中如果所述合法性检测的结果为合法,则转至所述步骤A1针对待检测flash文件继续收集产生shellcode的操作信息。
根据本发明一优选实施例,在步骤A4中所述对产生写内存操作的函数的有效存储空间进行喷射攻击检测具体包括:
判断所述产生写内存操作的函数的有效存储空间长度是否超过预设的阈值,如果是,对所述产生写内存操作的函数的有效存储空间进行喷射攻击检测;否则,转至所述步骤A1针对待检测flash文件继续收集产生shellcode的操作信息。
根据本发明一优选实施例,所述喷射攻击检测具体包括:
反编译所述产生写内存操作的函数的有效存储空间并模拟执行,如果顺利执行,或者执行过程中不操作高地址内存,或者所述有效存储空间内容的重复性满足预设重复性要求,则确定检测到喷射攻击特性。
根据本发明一优选实施例,步骤A4中所述如果检测到的喷射攻击特性满足预设的喷射攻击特性要求,则确定所述待检测flash文件为恶意flash文件为:
一旦检测到喷射攻击特性,则确定所述待检测flash文件为恶意flash文件。
根据本发明一优选实施例,在所述步骤A1之前还包括:初始化喷射计数值;
步骤A4中所述如果检测到的喷射攻击特性满足预设的喷射攻击特性要求,则确定所述待检测flash文件为恶意flash文件为:
如果检测到喷射攻击特性则将所述喷射计数值自加,如果喷射计数值达到预设的计数值阈值,则确定所述待检测flash文件为恶意flash文件,否则转至所述步骤A1针对待检测flash文件继续收集产生shellcode的操作信息。
根据本发明一优选实施例,在所述步骤A1之前还包括静态检测流程:
B1、将所述待检测flash文件与病毒库进行匹配,如果匹配上,则直接确定所述待检测flash文件为恶意flash文件,结束对所述待检测flash文件的检测流程;否则,继续执行所述动态检测流程。
根据本发明一优选实施例,在所述静态检测流程和动态检测流程之间还包括:
B2、将所述待检测flash文件进行反编译,如果反编译成功得到源码,则执行步骤B3;否则对所述待检测flash文件继续执行所述动态检测流程;
B3、判断源码中是否存在产生shellcode的操作,如果是,对所述待检测flash文件继续执行所述动态检测流程;否则将所述待检测flash文件确定为安全flash文件,结束对所述待检测flash文件的检测流程。
根据本发明一优选实施例,如果在所述动态检测流程之后未检测出所述待检测flash为恶意flash,则继续执行以下监控流程:
监控IE控件进程执行所述待检测flash文件,如果出现异常,则确定所述待检测flash文件为恶意flash文件。
根据本发明一优选实施例,在确定所述待检测flash文件为恶意flash文件后,利用所述待检测flash文件更新病毒库。
一种检测恶意flash文件的装置,该装置包括动态检测模块,该动态检测模块具体包括:
操作信息收集单元,用于通过挂函数钩子针对待检测flash文件收集产生shellcode的操作信息,其中shellcode为利用特定漏洞的代码或填充数据;
信息判断单元,用于判断收集到的产生shellcode的操作信息,如果是产生读内存操作的函数操作信息,则触发合法性检测单元;如果是产生写内存操作的函数操作信息,则触发喷射特性检测单元;
合法性检测单元,用于受到触发时,对所述产生读内存操作的函数操作信息进行参数调用的合法性检测,如果不合法,则确定所述待检测flash文件为恶意flash文件;
喷射特性检测单元,用于受到触发时,对所述产生读内存操作的函数的有效存储空间进行喷射攻击检测,如果检测到的喷射攻击特性满足预设的喷射攻击特性要求,则确定所述待检测flash文件为恶意flash文件。
根据本发明一优选实施例,所述动态检测模块还包括:预处理单元,用于新建浏览器IE控件进程,对可能产生shellcode的操作的函数挂函数钩子,并获取对待检测flash文件进行反编译后得到的源码;
所述操作信息收集单元读取所述源码,通过已挂的函数钩子收集产生shellcode的操作信息。
根据本发明一优选实施例,所述产生读内存操作的函数操作信息包括:Date对象创建信息或者Number对象创建信息;
所述产生写内存操作的函数操作信息包括:ByteArray对象操作信息或者String对象操作信息。
根据本发明一优选实施例,所述合法性检测单元在对产生读内存操作的函数操作信息进行参数调用的合法性检测时,判断产生读内存操作的参数和返回值是否存在内存地址与内存地址所存储值的关系,如果是,则确定参数调用不合法。
根据本发明一优选实施例,如果所述合法性检测单元进行合法性检测的结果为合法,则触发所述操作信息收集单元针对待检测flash文件继续收集产生shellcode的操作信息。
根据本发明一优选实施例,所述喷射特性检测单元对产生写内存操作的函数的有效存储空间进行喷射攻击检测时,首先判断所述产生写内存操作的函数的有效存储空间长度是否超过预设的阈值,如果是,对所述产生写内存操作的函数的有效存储空间进行喷射攻击检测;否则,触发所述操作信息收集单元针对待检测flash文件继续收集产生shellcode的操作信息。
根据本发明一优选实施例,所述喷射攻击检测具体包括:反编译所述产生写内存操作的函数的有效存储空间并模拟执行,如果顺利执行,或者执行过程中不操作高地址内存,或者所述有效存储空间内容的重复性满足预设重复性要求,则确定检测到喷射攻击特性。
根据本发明一优选实施例,所述喷射特性检测单元一旦检测到喷射攻击特性,则确定所述待检测flash文件为恶意flash文件。
根据本发明一优选实施例,所述动态检测模块还包括:喷射计数单元,用于在该动态检测模块启动对所述待检测flash文件的处理时,初始化喷射计数值;如果所述喷射特性检测单元检测到喷射攻击特性,则将所述喷射计数值自加,如果喷射计数值达到预设的计数值阈值,则确定所述待检测flash文件为恶意flash文件,如果喷射计数值未达到预设的计数值阈值,则触发所述操作信息收集单元针对待检测flash文件继续收集产生shellcode的操作信息。
根据本发明一优选实施例,该装置还包括:静态检测模块,用于将所述待检测flash文件与病毒库进行匹配,如果匹配上,则直接确定所述待检测flash文件为恶意flash文件;否则,将所述待检测flash文件提供给所述动态检测模块。
根据本发明一优选实施例,在所述静态检测模块和动态检测模块之间还包括:
中间处理模块,用于将所述待检测flash文件进行反编译,如果反编译失败,则将所述待检测flash文件提供给所述动态检测模块;如果反编译成功得到源码,则判断源码中是否存在产生shellcode的操作,如果是,将所述待检测flash文件提供给所述动态检测模块,否则将所述待检测flash文件确定为安全flash文件。
根据本发明一优选实施例,该装置还包括:执行监控模块;
所述动态检测模块如果未检测出所述待检测flash为恶意flash,则将所述待检测flash提供给所述执行监控模块;
所述执行监控模块,用于监控IE控件进程执行所述待检测flash文件,如果出现异常,则确定所述待检测flash文件为恶意flash文件。
根据本发明一优选实施例,该装置还包括:病毒库更新模块,用于如果所述待检测flash文件被确定为恶意flash文件,则利用所述待检测flash文件更新病毒库。
由以上技术方案可以看出,本发明通过挂函数钩子针对待检测flash文件收集产生shellcode的操作信息,分别针对产生读内存操作的函数操作信息和产生写内存操作的函数操作信息执行不同的检测操作:对产生读内存操作的函数操作信息进行参数调用的合法性检测,对产生写内存操作的函数的有效存储空间进行喷射攻击检测,从而确定待检测flash文件是否为恶意flash文件。这种动态检测的方式自动实现恶意flash的检测,无需人工参与和维护病毒库,大大降低了维护成本,且检出率也不依赖于病毒分析师,而是由flash文件所产生的操作特性进行识别,提高了覆盖率;另外,本发明中对任意的待检测flash均能够实时检测出是否恶意,不依赖于预先收集的病毒库,因此解决了滞后性的问题。
【附图说明】
图1为本发明实施例一提供的采用动态检测技术检测恶意flash文件的方法流程图;
图2为本发明实施例二提供的静态检测技术与动态检测技术相结合的方法流程图;
图3为本发明实施例三提供的动态检测模块的结构示意图;
图4为本发明实施例四提供的静态检测的动态检测相结合的装置结构图。
【具体实施方式】
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
在本发明实施例中主要通过动态检测技术来实现恶意flash文件的检测,下面通过实施例一对该过程进行详细描述。
实施例一、
图1为本发明实施例一提供的采用动态检测技术检测恶意flash文件的方法流程图,如图1所示,该方法具体包括以下步骤:
步骤101:通过挂函数钩子针对待检测flash文件收集产生shellcode的操作信息。
在本步骤之前会包含准备阶段:新建浏览器(IE)控件进程,在flash解析引擎内部挂函数钩子,用于接管flash解析引擎的一些函数的处理过程。shellcode是利用特定漏洞的代码或填充数据,一般作为数据发送给服务端造成溢出,此处将一些可能产生shellcode的操作的函数进行挂钩,可以包括以下函数中的至少一个:产生读内存操作的函数,诸如日期(Date)函数和数字(Number)函数等,以及产生写内存操作的函数,诸如字节阵列(ByteArray)函数和字符串(string)函数等。
在该准备阶段中挂钩完毕后,可以开启一个以上的进程等待待检测flash文件的输入。
标识阶段:接收到待检测flash文件后,初始化该待检测flash文件的喷射计数值。
并且flash解析引擎获取待检测flash文件的路径,标识该待检测flash文件的路径与flash URL的对应关系,该对应关系的标识是为了方便后续获取恶意引用链,是可选操作。
在执行上述准备阶段和标识阶段之后,还包括一个反编译步骤:对待检测flash文件进行反编译后得到源码。然后执行步骤101,即解析阶段:flash解析引擎读取待检测flash文件进行反编译后的源码,通过已挂的函数钩子收集产生shellcode的操作信息。
该产生shellcode的操作信息包括但不限于:Date对象创建信息、Number对象创建信息、ByteArray对象操作信息、String对象操作信息等。
步骤102:判断收集到的产生shellcode的操作信息类型,如果是产生读内存操作的函数操作信息,则执行步骤103;如果是产生写内存操作的函数操作信息,则执行步骤104。
在步骤101中一旦收集到产生shellcode的操作信息,触发执行步骤102对收集到的操作信息进行判断。
其中,产生读内存操作的函数操作信息包括但不限于:Date或Number对象创建信息。产生写内存操作的函数操作信息包括但不限于:ByteArray或String对象操作信息。
步骤103:对产生读内存操作的函数操作信息进行参数调用的合法性检测,如果不合法,则检测出该待检测flash文件为恶意flash文件。
否则转至步骤101继续对待检测flash文件的源码继续收集产生shellcode的操作信息进行动态检测,直至检测结束。
本步骤中涉及的合法性检测可以为:判断诸如Date或Number对象等产生读内存操作的参数和返回值是否存在内存地址与内存地址存储的值的关系,如果是,则确定参数调用不合法。
步骤104:判断产生写内存操作的函数的有效存储区间长度是否超过预设的阈值,如果是,执行步骤105;否则转至步骤101针对待检测flash文件继续收集产生shellcode的操作信息。
该预设的阈值可以根据经验值或实验值进行设置,例如可以设置为4096bit。
步骤105:对长度超过预设阈值的产生写内存操作的函数的有效存储区间进行喷射攻击检测,如果检测到的喷射攻击特性满足预设的喷射攻击特性要求,则检测出该待检测flash文件为恶意flash文件。
在本步骤中进行的喷射攻击检测可以具体包括:反编译长度超过预设阈值的ByteArray或String对象的有效存储区间并模拟执行,如果顺利执行,或者执行过程中不操作高地址内存,或者有效存储空间存储内容的重复性满足预设重复性要求,则认为检测到喷射攻击特性。
所谓预设重复性要求:有效存储空间存储内容中存在数据连续重复出现,且连续重复出现的次数超过预设的次数阈值。本发明可以采用任意的重复性检测方式,在此仅举一个实现重复性检测的例子:
从上述有效存储区间的地址A开始,从地址A+B开始逐字节搜索,并与地址A中的数据进行比对,如果没有搜索到相等的数据,则确定该有效存储区间不具备重复性;如果搜索到,则标识搜索到的地址为K,取K与A的差值得到M。从地址A+M开始以长度M为地址间隔搜索与地址A中数据相同的数据,例如,搜索地址A+2M中的数据与地址A的数据是否相同,搜索地址A+3M中的数据与地址A的数据是否相同……,如果连续N次搜索到相同的数据,则确定该有效存储区间具有重复性。上述A、B、M通常为二进制数据,N为预设的正整数。
需要说明的是:步骤104并不是本发明实施例所必须的步骤,步骤104的执行是为了提高检测效率,也可以不执行本步骤,对产生写内存操作的函数的有效存储区间都执行步骤105中的喷射攻击检测。
作为一种优选的实施方式,在步骤105中检测到喷射攻击特性后,将喷射计数值进行自加,例如将喷射计数值加1,如果喷射计数值未达到预设的计数值阈值,则转至步骤101对待检测flash文件的源码继续收集产生shellcode的操作信息进行动态检测。如果喷射计数值达到预设的计数值阈值,则确定检测到的喷射攻击特性满足预设的喷射攻击特性要求,即检测出该检测flash文件为恶意flash文件。
以上是对动态检测过程的具体描述,上述动态检测过程可以与静态检测技术相结合,其中结合的静态检测技术用于进行预处理,加快恶意flash文件检测的速度以及降低性能损耗,下面通过实施例二对该过程进行详细描述。
实施例二、
图2为本发明实施例二提供的静态检测技术与动态检测技术相结合的方法流程图,如图2所示,该方法可以包括以下步骤:
步骤201:获取待检测flash文件,将待检测flash文件与已有病毒库进行匹配,如果匹配上,则直接确定待检测flash文件为恶意flash文件,否则继续执行步骤202。
本发明中的已有病毒库可以是采用现有方式建立的病毒库,也可以是采用本发明实施例一或者该实施例二检测出的恶意flash文件更新得到的病毒库。
在将待检测flash文件与已有病毒库进行匹配时,可以采用哈希计算的方式,例如计算待检测flash文件的MD5HASH值,然后利用计算得到的MD5HASH值与病毒库进行匹配,如果病毒库中存在匹配项,则直接确定该待检测flash文件为恶意flash文件。
步骤202:将待检测flash文件进行反编译,如果反编译成功得到源码,则继续执行步骤203;否则将该待检测flash文件确定为可疑flash文件,继续执行步骤204。
步骤203:判断源码中是否存在产生shellcode的操作,如果是,将该待检测flash文件确定为可疑flash文件,执行步骤204;否则将该待检测flash文件确定为安全flash文件,结束流程。
本步骤中预先创建一些可能产生shellcode的操作的关键字,将源码与这些关键字进行匹配从而判断源码中是否存在产生shellcode的操作,这些关键字可以包括但不限于:ByteArray、Date、Number、Loader、fromcharcode等。
如果确定待检测flash文件为安全flash文件可以将该检测flash文件替换成一空白flash文件,以便降低后续解析的CPU和内存的损耗。
步骤204:按照实施例一所述的方法对待检测flash文件进行检测,如果确定出待检测flash文件为恶意flash文件,则利用该恶意flash文件更新病毒库,结束流程;否则继续执行步骤205。
步骤205:监控IE控件进程执行该待检测flash文件,如果出现异常,则确定该待检测flash文件为恶意flash文件,利用该恶意flash文件更新病毒库。
本步骤是为了防止静态检测和动态检测都没有检出而漏报某些恶意flash文件,如果静态检测和动态检测都未能检出恶意flash文件,则恶意flash文件的漏洞将被利用,导致IE控件进程执行恶意代码。因此,通过监控IE控件进程的文件下载、进程创建、注册表创建等相关动作,一旦发现异常就确定为恶意flash文件。
其中所述异常包括但不限于:IE控件进程崩溃、IE控件启动未知进程、IE控件加载未知模块等。
上述步骤204和步骤205中利用恶意flash文件更新病毒库就是:计算恶意flash文件的MD5HASH值,将该MD5HASH值加入病毒库,以供静态检测过程中进行匹配使用。
下面针对实施例二举一个实例,假设待检测flash文件为nb.swf,首先将其计算MD5HASH后与已有病毒库进行匹配,假设已有病毒库中不存在该flash文件的MD5HASH,则匹配不上。
对该nb.swf进行反编译得到的源码如下:
由于上述源码中出现了产生shellcode的操作:ByteArray,因此确定该nb.swf文件为可疑flash文件,开始进行动态检测。
通过挂函数钩子的方式收集到ByteArray对象的操作信息:首先新建了一个ByteArray对象loc0,接着开始往loc0这个对象中写入整型数据68424724(转换为16进制为0x41414141),按照写入编码方式,将使loc0的有效存储空间增加一个字节长度,值为0x41414141。每次loc0的写入动作都能够检测到,当loc0对象的有效存储空间超过预设的阈值0x1000时,会引发一次堆喷射攻击检测。经过检测loc0内存储的数据满足预设重复性要求,认为检测到喷射攻击特性,将喷射计数值加1,返回源码接续进行产生shellcode的操作信息的收集。
假设多次写入loc0的数据的状况如表1所示,则多次执行动态过程后,喷射计数值达到预设的计数值阈值,例如5,则确定该nb.swf为恶意flash文件。计算该nb.swf的MD5HASH值并存入病毒库。
表1
内存地址 | 写入数据 |
0x02C6C000 | 41414141414141414141414… |
0x02C6C00C | 41414141414141414141414… |
0x02C6C018 | 41414141414141414141414… |
0x02C6C024 | 41414141414141414141414… |
0x02C6C030 | 41414141414141414141414… |
0x02C6C03C | 41414141414141414141414… |
0x02C6C048 | 41414141414141414141414… |
0x02C6C054 | 41414141414141414141414… |
以上是对本发明所提供方法进行的详细描述,下面对本发明所提供的装置进行详细描述,首先通过实施例三对动态检测模块进行描述。
实施例三、
图3为本发明实施例三提供的动态检测模块的结构示意图,如图3所示,该动态检测模块300可以包括:操作信息收集单元301、信息判断单元302、合法性检测单元303以及喷射特性检测单元304。
操作信息收集单元301通过挂函数钩子针对待检测flash文件收集产生shellcode的操作信息。其中产生shellcode的操作可以包括以下函数中的至少一个:产生读内存操作的函数,诸如Date函数和Number函数等,以及产生写内存操作的函数,诸如ByteArray函数和string函数等。
信息判断单元302,用于判断收集到的产生shellcode的操作信息,如果是产生读内存操作的函数操作信息,则触发合法性检测单元303;如果是产生写内存操作的函数操作信息,则触发喷射特性检测单元304。
合法性检测单元303,用于受到触发时,对产生读内存操作的函数操作信息进行参数调用的合法性检测,如果不合法,则确定待检测flash文件为恶意flash文件。
具体地,合法性检测单元303在对产生读内存操作的函数操作信息进行参数调用的合法性检测时,判断产生读内存操作的参数和返回值是否存在内存地址与内存地址所存储值的关系,如果是,则确定参数调用不合法。
更进一步地,如果合法性检测单元303进行合法性检测的结果为合法,则触发操作信息收集单元301针对待检测flash文件继续收集产生shellcode的操作信息。
喷射特性检测单元304,用于受到触发时,对产生读内存操作的函数的有效存储空间进行喷射攻击检测,如果检测到的喷射攻击特性满足预设的喷射攻击特性要求,则确定待检测flash文件为恶意flash文件。
具体地,喷射特性检测单元304对产生写内存操作的函数的有效存储空间进行喷射攻击检测时,首先判断产生写内存操作的函数的有效存储空间长度是否超过预设的阈值,如果是,对产生写内存操作的函数的有效存储空间进行喷射攻击检测;否则,触发操作信息收集单元301针对待检测flash文件继续收集产生shellcode的操作信息。这种优选的处理方式能够有效的提高检测效率,但喷射特性处理单元304也可以对产生写内存操作的函数的有效存储区间都进行喷射攻击检测。
其中的喷射攻击检测具体包括:反编译产生写内存操作的函数的有效存储空间并模拟执行,如果顺利执行,或者执行过程中不操作高地址内存,或者有效存储空间内容的重复性满足预设重复性要求,则确定检测到喷射攻击特性。
一种实施方式:喷射特性检测单元304一旦检测到喷射攻击特性,则确定待检测flash文件为恶意flash文件。
为了提高恶意flash检测的准确性,另一种优选的实施方式:动态检测模块还包括喷射计数单元305,用于在该动态检测模块300启动对待检测flash文件的处理时,初始化喷射计数值;如果喷射特性检测单元304检测到喷射攻击特性,则将喷射计数值自加,如果喷射计数值达到预设的计数值阈值,则确定待检测flash文件为恶意flash文件,如果喷射计数值未达到预设的计数值阈值,则触发操作信息收集单元301针对待检测flash文件继续收集产生shellcode的操作信息。
另外,为了实现操作信息的获取,动态检测模块300还可以包括:预处理单元306,用于新建IE控件进程,对可能产生shellcode的操作的函数挂函数钩子,并获取对待检测flash文件进行反编译后得到的源码。
此时,操作信息收集单元301读取源码,通过已挂的函数钩子收集产生shellcode的操作信息。
另外,预处理单元306还可以预先标识该检测flash文件的路径与flash URL的对应关系,以方便后续获取恶意引用链。
除了实施例三中所述的动态检测模块之外,本发明提供的检测恶意flash文件的装置还可以采用静态检测和动态检测相结合的实现方式,下面通过实施例四对这种实现方式进行描述。
实施例四、
图4为本发明实施例四提供的静态检测的动态检测相结合的装置结构图,如图4所示,该装置可以包括:动态检测模块300和静态检测模块400。
当需要对输入的待检测flash进行检测时,静态检测模块400首先将待检测flash文件与病毒库进行匹配,如果匹配上,则直接确定待检测flash文件为恶意flash文件;否则,将待检测flash文件提供给动态检测模块300,由动态检测模块300对待检测flash文件进行动态检测。
静态检测模块400采用的病毒库可以是采用现有方式建立的病毒库,也可以是采用本发明实施例三或者实施例四的装置所检测出的恶意flash文件更新得到的病毒库。
在将待检测flash文件与已有病毒库进行匹配时,可以采用哈希计算的方式,例如计算待检测flash文件的MD5HASH值,然后利用计算得到的MD5HASH值与病毒库进行匹配,如果病毒库中存在匹配项,则直接确定该待检测flash文件为恶意flash文件。
动态检测模块300的结构如图3所示,具体实现参见实施例三,在此不再赘述。
更进一步地,为了提高检测效率,在静态检测模块400和动态检测模块300之间还包括:中间处理模块401,用于将待检测flash文件进行反编译,如果反编译失败,则将待检测flash文件提供给动态检测模块300;如果反编译成功得到源码,则判断源码中是否存在产生shellcode的操作,如果是,将待检测flash文件提供给动态检测模块300,否则将待检测flash文件确定为安全flash文件。
如果静态检测和动态检测都未能检出恶意flash文件,则恶意flash文件的漏洞将被利用,导致IE控件进程执行恶意代码。因此为了防止静态检测和动态检测都没有检出而漏报某些恶意flash文件,该装置还可以包括:执行监控模块402。
动态检测模块300如果未检测出待检测flash为恶意flash,则将待检测flash提供给执行监控模块402。
执行监控模块402监控IE控件进程执行待检测flash文件,如果出现异常,则确定待检测flash文件为恶意flash文件。此处的异常可以包括但不限于:IE控件进程崩溃、IE控件启动未知进程、IE控件加载未知模块等。
更进一步地,为了将通过本实施例确定出的恶意flash能够在后续被快速有效地利用,该装置还可以进一步包括:病毒库更新模块403,用于如果待检测flash文件被确定为恶意flash文件,则利用待检测flash文件更新病毒库,以供以后的静态检测能够进行匹配使用。例如可以计算恶意flash文件的MD5HASH值,将该MD5HASH值加入病毒库。
由以上描述可以看出,本发明提供的方法和装置具备以下优点:
1)本发明自动实现恶意flash的检测,无需人工参与和维护病毒库,大大降低了维护成本。
2)本发明对恶意flash的检测不依赖于病毒分析师,而是由flash文件可能残生的操作特性来识别,大大提高了检测覆盖率,对于应用变形的恶意flash以及未来出现的新的恶意flash也能够第一时间检测出来。
3)本发明对任意的待检测flash均能够实时检测出是否恶意,完全不依赖于预先收集的病毒库,解决了现有技术所产生的滞后性问题。
4)本发明能够将动态检测和静态检测进行结合,或进一步结合对IE控件进程执行flash文件的异常监控,利用动态检测或对IE控件进程执行flash文件的异常监控所检测到的恶意flash文件更新病毒库,以便以后使用静态检测对flash文件进行检测时,使用该病毒库能够快速地检测出恶意flash。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (26)
1.一种检测恶意flash文件的方法,其特征在于,该方法包括由以下步骤构成的动态检测流程:
A1、通过挂函数钩子针对待检测flash文件收集产生shellcode的操作信息,其中shellcode为利用特定漏洞的代码或填充数据;
A2、判断收集到的产生shellcode的操作信息,如果是产生读内存操作的函数操作信息,则执行步骤A3;如果是产生写内存操作的函数操作信息,则执行步骤A4;
A3、对产生读内存操作的函数操作信息进行参数调用的合法性检测,如果不合法,则确定所述待检测flash文件为恶意flash文件,结束对所述待检测flash文件的检测流程;
A4、对产生写内存操作的函数的有效存储空间进行喷射攻击检测,如果检测到的喷射攻击特性满足预设的喷射攻击特性要求,则确定所述待检测flash文件为恶意flash文件。
2.根据权利要求1所述的方法,其特征在于,在所述步骤A1之前还包括:A0:新建浏览器IE控件进程,对可能产生shellcode的操作的函数挂函数钩子,并获取对待检测flash文件进行反编译后得到的源码;
所述步骤A1包括:读取所述源码,通过已挂的函数钩子收集产生shellcode的操作信息。
3.根据权利要求1或2所述的方法,其特征在于,所述产生读内存操作的函数操作信息包括:Date对象创建信息或者Number对象创建信息;
所述产生写内存操作的函数操作信息包括:ByteArray对象操作信息或者String对象操作信息。
4.根据权利要求1所述的方法,其特征在于,在步骤A3中所述对产生读内存操作的函数操作信息进行参数调用的合法性检测包括:
判断产生读内存操作的参数和返回值是否存在内存地址与内存地址所存储值的关系,如果是,则确定参数调用不合法。
5.根据权利要求1或4所述的方法,其特征在于,在所述步骤A3中如果所述合法性检测的结果为合法,则转至所述步骤A1针对待检测flash文件继续收集产生shellcode的操作信息。
6.根据权利要求1所述的方法,其特征在于,在步骤A4中所述对产生写内存操作的函数的有效存储空间进行喷射攻击检测具体包括:
判断所述产生写内存操作的函数的有效存储空间长度是否超过预设的阈值,如果是,对所述产生写内存操作的函数的有效存储空间进行喷射攻击检测;否则,转至所述步骤A1针对待检测flash文件继续收集产生shellcode的操作信息。
7.根据权利要求1或6所述的方法,其特征在于,所述喷射攻击检测具体包括:
反编译所述产生写内存操作的函数的有效存储空间并模拟执行,如果顺利执行,或者执行过程中不操作高地址内存,或者所述有效存储空间内容的重复性满足预设重复性要求,则确定检测到喷射攻击特性。
8.根据权利要求1或6所述的方法,其特征在于,步骤A4中所述如果检测到的喷射攻击特性满足预设的喷射攻击特性要求,则确定所述待检测flash文件为恶意flash文件为:
一旦检测到喷射攻击特性,则确定所述待检测flash文件为恶意flash文件。
9.根据权利要求1或6所述的方法,其特征在于,在所述步骤A1之前还包括:初始化喷射计数值;
步骤A4中所述如果检测到的喷射攻击特性满足预设的喷射攻击特性要求,则确定所述待检测flash文件为恶意flash文件为:
如果检测到喷射攻击特性则将所述喷射计数值自加,如果喷射计数值达到预设的计数值阈值,则确定所述待检测flash文件为恶意flash文件,否则转至所述步骤A1针对待检测flash文件继续收集产生shellcode的操作信息。
10.根据权利要求1所述的方法,其特征在于,在所述步骤A1之前还包括静态检测流程:
B1、将所述待检测flash文件与病毒库进行匹配,如果匹配上,则直接确定所述待检测flash文件为恶意flash文件,结束对所述待检测flash文件的检测流程;否则,继续执行所述动态检测流程。
11.根据权利要求10所述的方法,其特征在于,在所述静态检测流程和动态检测流程之间还包括:
B2、将所述待检测flash文件进行反编译,如果反编译成功得到源码,则执行步骤B3;否则对所述待检测flash文件继续执行所述动态检测流程;
B3、判断源码中是否存在产生shellcode的操作,如果是,对所述待检测flash文件继续执行所述动态检测流程;否则将所述待检测flash文件确定为安全flash文件,结束对所述待检测flash文件的检测流程。
12.根据权利要求1所述的方法,其特征在于,如果在所述动态检测流程之后未检测出所述待检测flash为恶意flash,则继续执行以下监控流程:
监控IE控件进程执行所述待检测flash文件,如果出现异常,则确定所述待检测flash文件为恶意flash文件。
13.根据权利要求1、10或12所述的方法,其特征在于,在确定所述待检测flash文件为恶意flash文件后,利用所述待检测flash文件更新病毒库。
14.一种检测恶意flash文件的装置,其特征在于,该装置包括动态检测模块,该动态检测模块具体包括:
操作信息收集单元,用于通过挂函数钩子针对待检测flash文件收集产生shellcode的操作信息,其中shellcode为利用特定漏洞的代码或填充数据;
信息判断单元,用于判断收集到的产生shellcode的操作信息,如果是产生读内存操作的函数操作信息,则触发合法性检测单元;如果是产生写内存操作的函数操作信息,则触发喷射特性检测单元;
合法性检测单元,用于受到触发时,对所述产生读内存操作的函数操作信息进行参数调用的合法性检测,如果不合法,则确定所述待检测flash文件为恶意flash文件;
喷射特性检测单元,用于受到触发时,对所述产生读内存操作的函数的有效存储空间进行喷射攻击检测,如果检测到的喷射攻击特性满足预设的喷射攻击特性要求,则确定所述待检测flash文件为恶意flash文件。
15.根据权利要求14所述的装置,其特征在于,所述动态检测模块还包括:预处理单元,用于新建浏览器IE控件进程,对可能产生shellcode的操作的函数挂函数钩子,并获取对待检测flash文件进行反编译后得到的源码;
所述操作信息收集单元读取所述源码,通过已挂的函数钩子收集产生shellcode的操作信息。
16.根据权利要求14或15所述的装置,其特征在于,所述产生读内存操作的函数操作信息包括:Date对象创建信息或者Number对象创建信息;
所述产生写内存操作的函数操作信息包括:ByteArray对象操作信息或者String对象操作信息。
17.根据权利要求14所述的装置,其特征在于,所述合法性检测单元在对产生读内存操作的函数操作信息进行参数调用的合法性检测时,判断产生读内存操作的参数和返回值是否存在内存地址与内存地址所存储值的关系,如果是,则确定参数调用不合法。
18.根据权利要求14或17所述的装置,其特征在于,如果所述合法性检测单元进行合法性检测的结果为合法,则触发所述操作信息收集单元针对待检测flash文件继续收集产生shellcode的操作信息。
19.根据权利要求14所述的装置,其特征在于,所述喷射特性检测单元对产生写内存操作的函数的有效存储空间进行喷射攻击检测时,首先判断所述产生写内存操作的函数的有效存储空间长度是否超过预设的阈值,如果是,对所述产生写内存操作的函数的有效存储空间进行喷射攻击检测;否则,触发所述操作信息收集单元针对待检测flash文件继续收集产生shellcode的操作信息。
20.根据权利要求14或19所述的装置,其特征在于,所述喷射攻击检测具体包括:反编译所述产生写内存操作的函数的有效存储空间并模拟执行,如果顺利执行,或者执行过程中不操作高地址内存,或者所述有效存储空间内容的重复性满足预设重复性要求,则确定检测到喷射攻击特性。
21.根据权利要求14或19所述的装置,其特征在于,所述喷射特性检测单元一旦检测到喷射攻击特性,则确定所述待检测flash文件为恶意flash文件。
22.根据权利要求14或19所述的装置,其特征在于,所述动态检测模块还包括:喷射计数单元,用于在该动态检测模块启动对所述待检测flash文件的处理时,初始化喷射计数值;如果所述喷射特性检测单元检测到喷射攻击特性,则将所述喷射计数值自加,如果喷射计数值达到预设的计数值阈值,则确定所述待检测flash文件为恶意flash文件,如果喷射计数值未达到预设的计数值阈值,则触发所述操作信息收集单元针对待检测flash文件继续收集产生shellcode的操作信息。
23.根据权利要求14所述的装置,其特征在于,该装置还包括:静态检测模块,用于将所述待检测flash文件与病毒库进行匹配,如果匹配上,则直接确定所述待检测flash文件为恶意flash文件;否则,将所述待检测flash文件提供给所述动态检测模块。
24.根据权利要求23所述的装置,其特征在于,在所述静态检测模块和动态检测模块之间还包括:
中间处理模块,用于将所述待检测flash文件进行反编译,如果反编译失败,则将所述待检测flash文件提供给所述动态检测模块;如果反编译成功得到源码,则判断源码中是否存在产生shellcode的操作,如果是,将所述待检测flash文件提供给所述动态检测模块,否则将所述待检测flash文件确定为安全flash文件。
25.根据权利要求14所述的装置,其特征在于,该装置还包括:执行监控模块;
所述动态检测模块如果未检测出所述待检测flash为恶意flash,则将所述待检测flash提供给所述执行监控模块;
所述执行监控模块,用于监控IE控件进程执行所述待检测flash文件,如果出现异常,则确定所述待检测flash文件为恶意flash文件。
26.根据权利要求14、23或25所述的装置,其特征在于,该装置还包括:病毒库更新模块,用于如果所述待检测flash文件被确定为恶意flash文件,则利用所述待检测flash文件更新病毒库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012100271108A CN102609654A (zh) | 2012-02-08 | 2012-02-08 | 一种检测恶意flash文件的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012100271108A CN102609654A (zh) | 2012-02-08 | 2012-02-08 | 一种检测恶意flash文件的方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102609654A true CN102609654A (zh) | 2012-07-25 |
Family
ID=46527015
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2012100271108A Pending CN102609654A (zh) | 2012-02-08 | 2012-02-08 | 一种检测恶意flash文件的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102609654A (zh) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104252599A (zh) * | 2013-06-28 | 2014-12-31 | 深圳市腾讯计算机系统有限公司 | 一种检测跨站脚本漏洞的方法及装置 |
CN104519007A (zh) * | 2013-09-26 | 2015-04-15 | 深圳市腾讯计算机系统有限公司 | 一种漏洞检测的方法及服务器 |
CN106384046A (zh) * | 2016-08-08 | 2017-02-08 | 青岛天龙安全科技有限公司 | 兼具动静态检测行动应用程序的方法 |
CN106529292A (zh) * | 2016-10-31 | 2017-03-22 | 北京奇虎科技有限公司 | 病毒查杀的方法及装置 |
CN106599687A (zh) * | 2016-11-18 | 2017-04-26 | 北京奇虎科技有限公司 | 一种在应用程序中打开Flash文件的方法和装置 |
CN106716953A (zh) * | 2014-09-10 | 2017-05-24 | 霍尼韦尔国际公司 | 控制系统中的网络安全风险的动态量化 |
CN106815524A (zh) * | 2015-11-27 | 2017-06-09 | 阿里巴巴集团控股有限公司 | 恶意脚本文件的检测方法及装置 |
CN106934290A (zh) * | 2015-12-31 | 2017-07-07 | 阿里巴巴集团控股有限公司 | 漏洞检测方法及装置 |
CN108829708A (zh) * | 2018-05-02 | 2018-11-16 | 广州金山安全管理系统技术有限公司 | 文件安全判断方法及装置 |
CN109327451A (zh) * | 2018-10-30 | 2019-02-12 | 深信服科技股份有限公司 | 一种防御文件上传验证绕过的方法、系统、装置及介质 |
CN110505247A (zh) * | 2019-09-27 | 2019-11-26 | 百度在线网络技术(北京)有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
CN110826073A (zh) * | 2019-10-31 | 2020-02-21 | 腾讯科技(深圳)有限公司 | 一种内核漏洞检测方法、装置和存储介质 |
CN110929110A (zh) * | 2019-11-13 | 2020-03-27 | 北京北信源软件股份有限公司 | 一种电子文档检测方法、装置、设备及存储介质 |
CN113973019A (zh) * | 2021-12-27 | 2022-01-25 | 北京安博通科技股份有限公司 | 一种网络病毒检测方法及网络设备 |
CN114629711A (zh) * | 2022-03-21 | 2022-06-14 | 广东云智安信科技有限公司 | 一种针对Windows平台特种木马检测的方法及系统 |
CN118153049A (zh) * | 2024-05-13 | 2024-06-07 | 成都派沃特科技股份有限公司 | 一种代码安全性的智能检测方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101673326A (zh) * | 2008-09-11 | 2010-03-17 | 北京理工大学 | 基于程序执行特征的网页木马检测方法 |
CN101719204A (zh) * | 2009-12-15 | 2010-06-02 | 北京大学 | 基于中间指令动态插装的Heapspray检测方法 |
CN101887496A (zh) * | 2009-05-12 | 2010-11-17 | 深圳富泰宏精密工业有限公司 | 便携式电子装置及其密码输入方法 |
CN101964036A (zh) * | 2010-10-29 | 2011-02-02 | 北京椒图科技有限公司 | 漏洞检测方法及装置 |
-
2012
- 2012-02-08 CN CN2012100271108A patent/CN102609654A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101673326A (zh) * | 2008-09-11 | 2010-03-17 | 北京理工大学 | 基于程序执行特征的网页木马检测方法 |
CN101887496A (zh) * | 2009-05-12 | 2010-11-17 | 深圳富泰宏精密工业有限公司 | 便携式电子装置及其密码输入方法 |
CN101719204A (zh) * | 2009-12-15 | 2010-06-02 | 北京大学 | 基于中间指令动态插装的Heapspray检测方法 |
CN101964036A (zh) * | 2010-10-29 | 2011-02-02 | 北京椒图科技有限公司 | 漏洞检测方法及装置 |
Non-Patent Citations (2)
Title |
---|
戈戟 等: "Shellcode静态检测技术研究", 《计算机应用与软件》 * |
赵帅 等: "动静结合的攻击代码检测方法", 《计算机科学》 * |
Cited By (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104252599A (zh) * | 2013-06-28 | 2014-12-31 | 深圳市腾讯计算机系统有限公司 | 一种检测跨站脚本漏洞的方法及装置 |
CN104252599B (zh) * | 2013-06-28 | 2019-07-05 | 深圳市腾讯计算机系统有限公司 | 一种检测跨站脚本漏洞的方法及装置 |
CN104519007A (zh) * | 2013-09-26 | 2015-04-15 | 深圳市腾讯计算机系统有限公司 | 一种漏洞检测的方法及服务器 |
CN106716953A (zh) * | 2014-09-10 | 2017-05-24 | 霍尼韦尔国际公司 | 控制系统中的网络安全风险的动态量化 |
CN106716953B (zh) * | 2014-09-10 | 2020-06-12 | 霍尼韦尔国际公司 | 控制系统中的网络安全风险的动态量化 |
CN106815524A (zh) * | 2015-11-27 | 2017-06-09 | 阿里巴巴集团控股有限公司 | 恶意脚本文件的检测方法及装置 |
CN106934290A (zh) * | 2015-12-31 | 2017-07-07 | 阿里巴巴集团控股有限公司 | 漏洞检测方法及装置 |
CN106934290B (zh) * | 2015-12-31 | 2020-07-07 | 阿里巴巴集团控股有限公司 | 漏洞检测方法及装置 |
CN106384046B (zh) * | 2016-08-08 | 2020-03-31 | 青岛华黎光电科技有限公司 | 兼具动静态检测行动应用程序的方法 |
CN106384046A (zh) * | 2016-08-08 | 2017-02-08 | 青岛天龙安全科技有限公司 | 兼具动静态检测行动应用程序的方法 |
CN106529292A (zh) * | 2016-10-31 | 2017-03-22 | 北京奇虎科技有限公司 | 病毒查杀的方法及装置 |
CN106599687A (zh) * | 2016-11-18 | 2017-04-26 | 北京奇虎科技有限公司 | 一种在应用程序中打开Flash文件的方法和装置 |
CN108829708A (zh) * | 2018-05-02 | 2018-11-16 | 广州金山安全管理系统技术有限公司 | 文件安全判断方法及装置 |
CN109327451A (zh) * | 2018-10-30 | 2019-02-12 | 深信服科技股份有限公司 | 一种防御文件上传验证绕过的方法、系统、装置及介质 |
CN110505247A (zh) * | 2019-09-27 | 2019-11-26 | 百度在线网络技术(北京)有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
CN110826073A (zh) * | 2019-10-31 | 2020-02-21 | 腾讯科技(深圳)有限公司 | 一种内核漏洞检测方法、装置和存储介质 |
CN110929110A (zh) * | 2019-11-13 | 2020-03-27 | 北京北信源软件股份有限公司 | 一种电子文档检测方法、装置、设备及存储介质 |
CN113973019A (zh) * | 2021-12-27 | 2022-01-25 | 北京安博通科技股份有限公司 | 一种网络病毒检测方法及网络设备 |
CN113973019B (zh) * | 2021-12-27 | 2022-04-01 | 北京安博通科技股份有限公司 | 一种网络病毒检测方法及网络设备 |
CN114629711A (zh) * | 2022-03-21 | 2022-06-14 | 广东云智安信科技有限公司 | 一种针对Windows平台特种木马检测的方法及系统 |
CN114629711B (zh) * | 2022-03-21 | 2024-02-06 | 广东云智安信科技有限公司 | 一种针对Windows平台特种木马检测的方法及系统 |
CN118153049A (zh) * | 2024-05-13 | 2024-06-07 | 成都派沃特科技股份有限公司 | 一种代码安全性的智能检测方法及系统 |
CN118153049B (zh) * | 2024-05-13 | 2024-07-23 | 成都派沃特科技股份有限公司 | 一种代码安全性的智能检测方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102609654A (zh) | 一种检测恶意flash文件的方法和装置 | |
RU2551820C2 (ru) | Способ и устройство для проверки файловой системы на наличие вирусов | |
US10409980B2 (en) | Real-time representation of security-relevant system state | |
CN106557697B (zh) | 生成杀毒记录集合的系统和方法 | |
KR101899589B1 (ko) | 안전 소프트웨어 인증 시스템 및 방법 | |
CN101587527B (zh) | 病毒程序扫描方法及装置 | |
CN107003976A (zh) | 基于可准许活动规则确定可准许活动 | |
CN103975337A (zh) | 预测性堆溢出保护 | |
CN104025107A (zh) | 模糊列入白名单反恶意软件系统及方法 | |
JP2012150805A (ja) | システムアプリケーション処理に関連する詐欺を検出するシステムおよび方法 | |
EP3531324B1 (en) | Identification process for suspicious activity patterns based on ancestry relationship | |
WO2018017498A1 (en) | Inferential exploit attempt detection | |
EP3531329B1 (en) | Anomaly-based-malicious-behavior detection | |
Cui et al. | Service-oriented mobile malware detection system based on mining strategies | |
CN104871171A (zh) | 分布式模式发现 | |
CN102724210A (zh) | 一种求解k最大概率攻击图的网络安全分析方法 | |
CN104239795B (zh) | 文件的扫描方法及装置 | |
CN102609655A (zh) | 一种检测堆喷射型网页木马的方法和装置 | |
KR101324691B1 (ko) | 모바일 악성 행위 어플리케이션 탐지 시스템 및 방법 | |
CN103139169A (zh) | 基于网络行为的病毒检测系统和方法 | |
CN110399131B (zh) | 提高应用程序稳定性的方法、装置、计算机设备 | |
CN112632619A (zh) | 跨链存证方法、装置、终端设备及存储介质 | |
Yu et al. | Malware variants identification based on byte frequency | |
CN115225531B (zh) | 数据库防火墙测试方法、装置、电子设备及介质 | |
CN108256327B (zh) | 一种文件检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120725 |