CN102694817A - 一种识别程序的网络行为是否异常的方法、装置及系统 - Google Patents
一种识别程序的网络行为是否异常的方法、装置及系统 Download PDFInfo
- Publication number
- CN102694817A CN102694817A CN2012101896953A CN201210189695A CN102694817A CN 102694817 A CN102694817 A CN 102694817A CN 2012101896953 A CN2012101896953 A CN 2012101896953A CN 201210189695 A CN201210189695 A CN 201210189695A CN 102694817 A CN102694817 A CN 102694817A
- Authority
- CN
- China
- Prior art keywords
- program
- network behavior
- current network
- behavior
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 95
- 230000005856 abnormality Effects 0.000 title abstract 2
- 230000002159 abnormal effect Effects 0.000 claims abstract description 101
- 241000700605 Viruses Species 0.000 claims abstract description 83
- 230000008569 process Effects 0.000 claims abstract description 42
- 238000012544 monitoring process Methods 0.000 claims abstract description 26
- 230000006399 behavior Effects 0.000 claims description 595
- 230000007123 defense Effects 0.000 claims description 29
- 238000012545 processing Methods 0.000 claims description 13
- 230000002147 killing effect Effects 0.000 description 17
- 238000004891 communication Methods 0.000 description 9
- 238000004458 analytical method Methods 0.000 description 8
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000002829 reductive effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种识别程序的网络行为是否异常的方法、装置及系统,其中所述方法包括:在程序访问网络的过程中,监控所述程序的当前网络行为;告知服务器所述当前网络行为所属的程序;查找所述当前网络行为所属的程序的已知正常网络行为;将所述程序的当前网络行为与所述程序的已知正常网络行为进行对比;根据所述对比结果,识别所述程序的当前网络行为是否异常。通过本发明,可以避免对于新出现或新变种的病毒不能及时进行查杀的问题。
Description
技术领域
本发明涉及计算机技术领域,特别是涉及一种识别网络行为是否异常的方法、装置及系统。
背景技术
随着当前互联网技术的飞速发展与上网成本的普遍降低,互联网已经成为了大多数普通民众日常生活中不可或缺的一个重要组成部分。但是一些天才的程序员为了表现自己和证明自己的能力或者其他方面(如政治,军事,宗教,民族,专利等)的需求,往往会编写出一些影响电脑正常运行的病毒程序,从而使得客户并不能实现自己上网的目的,甚至会使得整个系统出现瘫痪。因而,网络安全就成为了现今关注的焦点。
现有技术中,云安全成为了目前各安全厂商解决个人计算机网络安全问题的首选方案。云安全是通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。也就是说安全规则全部由安全厂商来在服务器中来处理完成。这样做虽然会减轻用户端的配置难度和运行负担,但是云安全这一新生事物在带来的诸多便捷与实惠的同时,也存在以下缺陷:
云安全查杀是采用传统的查杀方式,因此对于没保存在数据库中的网络行为只能是一律作为正常网络行为放行,而这些放行的网络行为中,很有可能是新出现或新变种的病毒,但由于数据库的更新都需要一定的时间,所以云安全查杀不能及时将这些不安全网络行为拦截,进而会对系统造成威胁。也就是说,采用传统的云安全查杀方式,对于新出现或新变种的病毒不能及时进行查杀。
发明内容
本发明提供了一种识别程序的网络行为是否异常的方法、装置及系统,在一定程度上解决了对于新出现或新变种的病毒不能及时进行查杀的问题。
本发明提供了如下方案:
一种识别程序的网络行为是否异常的方法,包括:在程序访问网络的过程中,监控所述程序的当前网络行为;告知服务器所述当前网络行为所属的程序;查找所述当前网络行为所属的程序的已知正常网络行为;将所述程序的当前网络行为与所述程序的已知正常网络行为进行对比;根据所述对比结果,识别所述程序的当前网络行为是否异常。
可选的,还包括:服务器接收客户端发送的所述程序的属性信息,根据所述程序的属性信息确定所述程序是否属于特定类别;如果属于特定类别,则指示客户端告知所述程序的当前网络行为所属的程序。
可选的,还包括:所述特定类别具体包括:当前一定时间段内容易受到病毒攻击的程序类别和/或容易被病毒利用的程序类别。
可选的,还包括:所述告知服务器所述当前网络行为所属的程序包括:向服务器发送所述当前网络行为的信息以及所述当前网络行为所属程序的标识。
可选的,还包括:所述向服务器发送所述当前网络行为的信息以及所述当前网络行为所属的程序的标识包括:为所述程序的当前网络行为的信息添加网络防御标签,所述网络防御标签包括所述当前网络行为所属的程序的标识;向服务器发送带有所述网络防御标签的当前网络行为的信息。
可选的,还包括:所述查找所述当前网络行为所属程序的已知正常网络行为包括:根据所述当前网络行为所属程序的标识,查找所述程序的已知正常网络行为。
可选的,还包括:所述根据所述当前网络行为所属程序的标识,查找所述程序的已知正常网络行为包括:预先收集多种程序的正常网络行为,并建立程序的标识及其正常网络行为之间的对应关系;根据所述当前网络行为所属程序的标识,查找该程序的标识对应的正常网络行为,将所述查找到的正常网络行为作为所述程序的已知正常网络行为。
可选的,还包括:所述监控所述程序的当前网络行为包括:通过在客户端注册协议驱动,截获所述程序的当前网络行为的信息;或者,通过创建与操作系统相似的过滤驱动,截获所述程序的当前网络行为的信息;或者,利用操作系统提供的应用程序编程接口函数截获所述程序的当前网络行为的信息;或者,接管程序调用网络编程接口函数的请求,截获所述程序的当前网络行为的信息;或者,利用注册防火墙回调,截获所述程序的当前网络行为的信息。
可选的,还包括:所述根据所述对比结果,识别所述程序的网络行为是否异常包括:如果对比结果不一致,识别所述程序的当前网络行为为异常网络行为;如果对比结果一致,识别所述程序的当前网络行为为正常网络行为。
可选的,还包括:如果识别所述程序的当前网络行为为异常网络行为,还包括:暂停或拦截所述程序的当前异常网络行为;或者,暂停或拦截所述程序的全部网络行为;或者,暂停或拦截所述程序的全部网络行为和全部本地行为。
可选的,还包括:检测到所述程序的异常网络行为是非恶意的网络行为,暂停或拦截所述程序的异常网络行为;或者,检测到所述程序的异常网络行为是恶意的网络行为,但不确定所述程序是否为恶意程序,暂停或拦截所述程序的全部网络行为;或者,检测到所述程序的异常网络行为是恶意的网络行为,并且所述程序为恶意程序,暂停或拦截所述程序的全部网络行为和全部本地行为。
一种识别网络行为是否异常的装置,包括:监控单元,用于在程序访问网络的过程中,监控所述程序的当前网络行为;告知单元,用于告知服务器所述当前网络行为所属的程序;查找单元,用于查找所述当前网络行为所属的程序的已知正常网络行为;对比单元,用于将所述程序的当前网络行为与所述程序的已知正常网络行为进行对比;识别单元,用于根据所述对比结果,识别所述程序的当前网络行为是否异常。
可选的,还包括:类别确定单元,用于接收客户端发送的所述程序的属性信息,并根据根据所述程序的属性信息确定所述程序是否属于特定类别;指示单元,用于在所述类别确定单元确定所述程序属于特定类别的情况下,指示客户端告知所述程序的当前网络行为所属的程序。
可选的,所述特定类别具体包括:当前一定时间段内容易受到病毒攻击的程序类别和/或容易被病毒利用的程序类别。
可选的,所述告知单元包括:发送子单元,用于向服务器发送所述当前网络行为的信息以及所述当前网络行为所属程序的标识。
可选的,所述发送子单元,具体用于为所述程序的当前网络行为的信息添加网络防御标签,所述网络防御标签包括所述当前网络行为所属的程序的标识;向服务器发送带有所述网络防御标签的当前网络行为的信息。
可选的,所述查找单元包括:正常网络行为查找子单元,用于根据所述当前网络行为所属程序的标识,查找所述程序的已知正常网络行为。
可选的,所述正常网络行为查找子单元,具体用于预先收集多种程序的正常网络行为,并建立程序的标识及其正常网络行为之间的对应关系;根据所述当前网络行为所属程序的标识,查找该程序的标识对应的正常网络行为,将所述查找到的正常网络行为作为所述程序的已知正常网络行为。
可选的,所述监控单元具体包括:第一截获子单元,用于通过在客户端注册协议驱动,截获所述程序的当前网络行为的信息;或者,第二截获子单元,用于通过创建与操作系统相似的过滤驱动,截获所述程序的当前网络行为的信息;或者,第三截获子单元,用于利用操作系统提供的应用程序编程接口函数截获所述程序的当前网络行为的信息;或者,第四截获子单元,用于接管程序调用网络编程接口函数的请求,截获所述程序的当前网络行为的信息;或者,第五截获子单元,用于利用注册防火墙回调,截获所述程序的当前网络行为的信息。
可选的,所述识别单元包括:第一识别子单元,用于如果对比结果不一致,识别所述程序的当前网络行为为异常网络行为;第二识别子单元,用于如果对比结果一致,识别所述程序的当前网络行为为正常网络行为。
可选的,还包括:第一异常处理单元,用于暂停或拦截所述程序的当前异常网络行为;或者,第二异常处理单元,用于暂停或拦截所述程序的全部网络行为;或者,第三异常处理单元,用于暂停或拦截所述程序的全部网络行为和全部本地行为。
可选的,所述第一异常处理单元,具体用于检测到所述程序的异常网络行为是非恶意的网络行为,暂停或拦截所述程序的异常网络行为;或者,所述第二异常处理单元,具体用于检测到所述程序的异常网络行为是恶意的网络行为,但不确定所述程序是否为恶意程序,暂停或拦截所述程序的全部网络行为;或者,第三异常处理单元,具体用于检测到所述程序的异常网络行为是恶意的网络行为,并且所述程序为恶意程序,暂停或拦截所述程序的全部网络行为和全部本地行为。
一种识别网络行为是否异常的系统,包括:客户端,用于在程序访问网络的过程中,监控所述程序的当前网络行为;告知服务器所述当前网络行为所属的程序;服务器,用于查找所述当前网络行为所属的程序的已知正常网络行为;将所述程序的当前网络行为与所述程序的正常网络行为进行对比;识别所述程序的当前网络行为是否异常。
根据本发明提供的具体实施例,本发明公开了以下技术效果:在程序访问网络的过程中,监控程序的当前网络行为,告知服务器所述当前网络行为所属的程序,也就是说,本发明实施例,通过告知服务器当前的网络行为是属于哪个程序的,进而可以查找到与该程序对应的已知正常网络行为。将监控到的程序的当前网络行为与查找到的该程序的正常网络行为进行对比,进而根据对比的结果,识别出当前程序的网络行为是否异常。由此可见,由于得知了当前的网络行为是属于哪个程序的,所以只要将该程序当前的网络行为与该程序的正常网络行为进行对比就可以将该程序的异常网络行为都识别出来,因此,即便是针对程序的新病毒或变种病毒(以前不知道的病毒),由于其与正常网络行为肯定是不同的,所以也能通过本发明实施例及时识别出来,进而在一定程度上解决了对新出现或新变种的病毒不能及时查杀的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的一种识别程序的网络行为是否异常的方法实施例流程图;
图2是本发明提供的一种识别程序的网络行为是否异常的方法具体实施方式流程图;
图3是本发明提供的一种识别程序的网络行为是否异常的装置实施例示意图;
图4是本发明提供的一种识别程序的网络行为是否异常的系统实施例示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
本发明人经过大量的研究和分析发现,现有技术的安全防御系统通常包含本地防御或网络防御两种独立的方式,但客户端和服务器的互动比较少,也即本地侧和网络侧的互动比较少。例如,如果一个程序的本地行为没有恶意,则客户端不会进行拦截,此时,客户端也不会提供给网络一侧任何信息。因此服务器只能根据现有数据库的数据来进行判断,比如,当前程序的网络行为是要访问某个URL,服务器根据数据库记录能够查找到该URL是合法的,那么就放行;或者根据数据库能够查找到该URL是不合法的,那么就拦截;对于既不能判断是合法的,也不能判断是不合法的,就只能将其放行。
但是,在实践中很多链接并不能被及时收集到数据库,而且病毒更新很频繁,新病毒层出不穷,因此很多恶意URL很有可能还未被及时收集到服务器的数据库中,进而对于这些恶意链接,服务器也只能将其放行。这样,就带来了以下问题:对于新出现的或变种的病毒仍然采用所说的传统查杀方式,就会由于病毒库更新不及时而不能得到及时查杀,甚至病毒作者只要变换IP地址或域名等信息就可以逃脱查杀,进而威胁整个系统。
本发明实施例对程序的当前网络行为进行监控,并告知当前网络行为所属的程序具体是哪个程序,进而根据之前收集到的信息,可以查找到该程序的正常网络行为,将该程序的当前网络行为与查找到的该程序的正常网络行为进行对比,根据对比结果识别出该程序的当前网络行为是否异常。因此,即便是针对程序的新病毒或变种病毒(以前不知道的病毒),由于其与正常网络行为肯定是不同的,所以也能通过本发明实施例的技术方案及时识别出来,进而在一定程度上可以避免对于新出现或新变种的病毒不能及时进行查杀的问题,提高了查杀率。
参见图1,其为本发明提供的一种识别网络行为是否异常的方法实施例流程图,本发明实施例的具体实施方式如下:
S101:在程序访问网络的过程中,监控所述程序的当前网络行为;
需要说明的是,程序是一个普通的文件,是一个机器代码指令和数据的集合,是一个静态的概念。进程是程序在计算机上的一次执行过程,是一个动态的概念。同一个程序可以同时运行于若干个数据集合上,也就是说同一程序可以对应多个进程。网络行为是由运行中的程序(也即进程)所发起的。程序的当前网络行为,也即是由属于该程序的进程所发起的网络行为。
为了便于理解此步骤,首先简单介绍一下网络行为。网络行为可以理解为需要通过网络进行的各种行为,种类繁多,例如包括HTTP(hypertexttransport protocol,超文本传送协议)访问(常见的有下载文件或上传信息),SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)请求(收发电子邮件),DNS(Domain Name System,域名系统)请求(解析域名对应的IP地址等信息)等等。
其次,再介绍一下应用程序访问网络的流程:通常一个程序如果需要连接网络,需要通过操作系统(如Windows)提供的API(Application ProgramInterface,应用程序接口)接口发送连接网络的请求,操作系统接收到应用程序的这种网络请求后,会接收应用程序要发送的数据,并对接收到的数据进行封装,之后将封装的数据发送给物理设备(如网卡等),最后由硬件设备将数据传出。
基于以上应用程序访问网络的流程,在该流程的任何一环节对网络行为的信息进行截获都可以实现监控程序的当前网络行为的目的。具体监控的实施方式可以但不限于以下几种方式:通过在客户端注册协议驱动、创建与操作系统相似的过滤驱动、利用操作系统提供的应用程序编程接口函数(hook函数)截获当前网络行为的信息、接管程序调用网络编程接口函数(Winsock)的请求或者是利用注册防火墙回调等方式,截获程序的当前网络行为的信息。下面进行具体的说明:
在应用程序访问网络的过程中,操作系统在处理相关数据的时候,会使用一些协议驱动和过滤驱动来获取网络行为的数据,所以可以注册协议驱动或创建与操作系统使用的过滤驱动相似的过滤驱动,进而获取到网络行为的数据。具体实施方式可以是:向NDIS(Network Driver Interface Specification,网络驱动程序接口规范)注册协议驱动,也可以在Afd.sys(AncillaryFunction Driver for winsock,winsock的辅助功能驱动)驱动设备栈、Tdi.sys(Transport Dispatch Interface,传输分配接口)驱动设备栈或Tcpip.sys(Transmission Control Protocol/Internet Protocol,传输控制/网络通讯协议)驱动设备栈上增加与操作系统相似的过滤驱动。
另外监控还可以通过以下方式来实现:利用hook函数将网络行为的数据截获。具体实施方式可以是:用Hook函数截获Windows SSDT(System ServicesDescriptor Table,系统服务描述符表)中内核提供的与设备通信接口NtDeviceIoControl函数,获取所有应用程序与设备通信的数据,过滤其中对Afd.sys发送的请求;还可以是利用Hook函数截获Tcpip.sys驱动提供的服务函数或者NDIS.sys导出的接口等,通过上述方式来监控程序的网络行为。
当然,也可以通过以下方式来对程序的网络行为进行监控:根据Windows的LSP(Layered Service Provider,分层服务提供商),可以将LSP机制进行扩展,使用自己的DLL文件接管所有应用程序调用Winsock的请求后,再转发到Windows自身的mswsock.dll中去,或者也可以是向Windows系统IP设备驱动发送IOCTL_IP_SET_FIREWALL_HOOK注册防火墙回调等等。
在实践中,监控程序的网络行为数据时,可以根据实际情况选择以上不同的方式,当然监控网络行为数据也不限于以上所列举的方式。
S102:告知服务器所述当前网络行为所属的程序;
在传统的查杀方式中,服务器并不知道当前网络行为是由哪个程序发起的。而本发明实施例告知了服务器当前的网络行为具体属于哪个程序,因此,对于当前的网络行为服务器可以得知其是由哪个程序发起的,进而可以对当前网络行为进行后续处理,也即本发明实施例中的将当前网络行为与正常网络行为进行对比,并识别其是否异常。
具体告知服务器当前网络行为所属的程序的方式可以是:客户端向服务器发送当前网络行为的信息以及当前网络行为所属程序的标识。在实施过程中,发送的方式可以有多种,本发明实施例提供的方式可以是,为程序的当前网络行为的信息添加网络防御标签,该网络防御标签包括当前网络行为所属的程序的标识,之后向服务器发送带有网络防御标签的当前网络行为的信息。需要说明的是,网络防御标签是为属于当前程序的进程所附加的,只要是属于同一程序的进程所附加的网络防御标签是一样的,也就是说为同一程序的网络行为的信息所添加的网络防御标签是一样的。当进程发起网络行为的时候,就可以将当前的网络行为的数据信息和添加的网络防御标签一同发送给服务器。
该网络防御标签一方面包括了当前网络行为所属程序的标识,程序的标识用来确定当前程序的身份,也即用来告知服务器当前网络行为是由哪个程序发起的;另一方面,该网络防御标签也用来告知服务器凡是添加有该标签的网络行为是需要经过特殊处理的,也就说需要通过本发明实施例的方式来识别其是否为异常的网络行为。在接收到带有网络防御标签的当前网络行为的信息后,服务器对获得的数据信息进行解析,进而可以获知程序的当前网络行为以及其所属程序的标识。因此服务器根据当前网络行为所属程序的标识就可以知道当前网络行为是哪个程序所发出的。具体实施的过程中,可以根据标识的具体内容区分出不同程序的当前网络行为。例如标识的内容可以是“game1”、“jishitongxun1”或者“jishitongxun2”等,而“game1”表示当前的程序为游戏1,“jishitongxun1”表示当前的程序为即时通讯1,“jishitongxun2”表示当前的程序为即时通讯2,进而服务器可以区分出当前的网络行为哪些是游戏1程序发出的、哪些是即时通讯1程序发出的,以及哪些是即时通讯2程序发出的等等。
在具体实施过程中,根据实际需要可以选择将所有当前网络行为所属的程序标识都予以告知,也可以选择只将部分当前网络行为所属的程序标识予以告知。具体如何选择,则可以有多种选择依据。比如根据病毒的流行趋势,来选择某些容易受病毒攻击的程序来进行上述处理,进而可以对这些程序进行有针对性的查杀。
具体而言,根据病毒的流行趋势,判定哪些程序是容易受到病毒攻击的程序或容易被病毒利用的程序,对这些易受病毒攻击的程序或容易被病毒利用的程序进行分类。将这些类别的程序作为特定类别的程序,如果确定当前程序是某一特定类别程序,则告知服务器当前网络行为所属程序的标识。例如,经过一段时间的分析,发现现阶段针对即时通讯软件的病毒不断增多,因此即时通讯1或即时通讯2等即时通讯类软件程序可能就是目前易受病毒攻击的程序。根据实际情况,可以对这些程序进行细致或粗略的划分。如果划分的比较细致,那么每个程序自身就可以是一类,例如即时通讯1、即时通讯2、浏览器1、浏览器2、等等,都可以作为划分的类别。而如果划分比较粗略的话,那么可以将程序划分为游戏类、即时通讯类、浏览器类等等,比如,游戏1就属于游戏类,即时通讯1、即时通讯2就属于即时通讯类,浏览器1、浏览器2就属于浏览器类等等,之后根据这些预先分好的类别来确定哪些当前网络行为所属的程序信息需要告知,具体方式如下:
当本地计算机(即客户端)启动一个程序后,首先会将该程序的数字签名、文件名、文件路径、原始名等多方面的属性信息发送给服务器,服务器接收客户端发送的该程序的属性信息,然后提取这些属性信息的特征,经过分析这些属性信息的特征来确定该程序是否属于上述预先划分的特定类别的程序,如果是,则发送指令给客户端,指示客户端将监控到的该程序的当前网络行为的信息以及当前网络行为所属程序的标识告知给服务器。例如,计算机在本地启动了即时通讯1程序,并将其数字签名、文件名等信息发送给服务器,服务器对这些信息的特征进行分析后,确定该程序属于特定类别(也即前述根据病毒的流行趋势划分的程序类别)中的即时通讯1程序,那么发送指令给客户端,指示客户端将即时通讯1程序的当前网络行为的信息以及当前网络行为所属程序的标识(如“jishitongxun1”)发送给服务器,进而服务器就可以得知当前的网络行为是由即时通讯1程序发起的,即告知服务器当前网络行为所属的程序。同样,如果本地计算机启动了即时通讯2程序,利用同样的方法服务器可以得知当前的网络行为是由MSN程序发起的。
当然如果预先划分的类别比较粗略的话,例如,划分为游戏类、即时通讯类和浏览器等几大类,经过分析确定本地启动的即时通讯1程序是属于预置类别中的即时通讯类,那么服务器会发送指令给客户端,指示客户端告知当前网络行为所属的程序,进而客户端根据指令将即时通讯1程序的当前网络行为的信息以及当前网络行为所属程序的标识(如“jishitongxun1”)发送给服务器。
在选择将哪些当前网络行为所属程序的标识需要告知时,除了上述方式,还可以是以下方式:在预先划分的类别里再选择几种当前最容易受病毒攻击的类别或容易被病毒利用的类别,作为特定类别,如果经过分析程序是属于这几种特定类别里的某一种,那么指示客户端告知当前网络行为所属的该程序的标识。例如,现有的预置分类有10种类别,而其中的游戏类、浏览器类及即时通讯类是最容易受攻击的,那么将这三中类别的程序作为特定类别,当确定当前程序属于游戏类、浏览器类或即时通讯类中的某一类时,指示客户端告知当前网络行为所属的程序的标识,如果经过分析发现当前的程序虽然属于预先分类里的类别,但是并不属于上述三类特定类别里的任何一类,那么就不发送指令,进而客户端也不会告知当前网络行为所属的程序的标识。此时只要对当前的程序进行传统的查杀即可。如,本地启动了即时通讯1程序,经过分析,发现即时通讯1是属于预先分好的类别里的程序,同时是属于特定类别的即时通讯类,那么就指示客户端告知当前网络行为所属程序的标识(如jishitongxun1”)。而如果客户端启动了game1程序,game1是属于预先分类里的类别,但是其并不属于上述三类特定类别中的任何一类,那么就不必指示客户端告知当前网络行为所属的程序的标识。当然,哪些当前网络行为所属程序的标识需要告知,选择的依据还有其它很多种,本发明不做限制。
而对于另外一些不属于特定类别的程序(通过检测其数字签名、文件名、文件路径等信息,判断出该程序不具有特定类别的程序所具有的特征,也即,这些程序不能被归到特定类别里),可以不采用本发明实施例的方式进行处理,而对其采用传统方式进行查杀,具体方式为:
针对当前程序的本地行为,在客户端检测其是否是已知的恶意文件,是否释放出了其他文件,是否修改了敏感位置注册表值,是否修改了重要系统文件等等,也即判断其行为是否为恶意,如果是恶意行为,则在客户端将其拦截。针对当前程序的网络行为,主要通过程序所访问的网页的标识信息如:URL(Uniform Resource Locator,统一资源定位符)地址、域名,host(主机),端口或IP(Internet Protocol,网络协议)地址等信息,判断其是否存在危险。
当前,除了上述传统查杀方式外,对于这些不属于特定类别(即认为不需要通过程序的已知正常网络行为进行对比来判断当前网络行为是否异常)的程序,还可以采用其他的各种已知查杀方式,甚至不需要也可以不查杀,本发明对此并没有限制。
S103:查找所述当前网络行为所属的程序的已知正常网络行为;
在本发明实施例中,查找当前网络行为所属的程序的已知正常网络行为可以采用以下方式:预先收集多种程序的正常网络行为,并建立程序的标识及其正常网络行为之间的对应关系;根据当前网络行为所属程序的标识,查找该程序的标识对应的正常网络行为,将查找到的正常网络行为作为所述程序的已知正常网络行为。
程序的正常网络行为可以通过各种方式予以收集。比如,可以监控已有程序的网络行为,通过大量的分析总结归纳出某些程序的正常网络行为是什么;也可以通过服务商或者网站所属公司获知某些程序的正常网络行为等等;还可以人工收集一些程序的网络行为数据得到这些程序的正常网络行为,等等,本发明对预先收集程序的已知正常网络行为的方式并没有限制。例如一种常见的收集方式是,一个程序正常的网络行为并不多,比如访问某一公司的官方网站或固定IP地址。由于IP和域名在某个公司购买并使用后,一般情况下,公司都会对其IP和域名进行维护和管理。那么程序连接该公司的官方地址或其相关的地址(比如程序中存在的图片、广告或合作公司的域名或IP地址)的时候,出于对正常程序开发公司的信任,也同时可以信任这些地址。这些地址可以通过在测试正常程序时,同时运行Wireshark等专业网络监控工具来获取到。获取到这些地址后,服务器就可以将程序访问这些可信任地址的网络行为作为正常网络行为而保存。
由于在S102步骤中,已经将当前网络行为所属的程序是哪个程序,通过程序标识告知了服务器,而该标识与程序的正常网络行为是对应的,因此通过该标识可以查找到当前程序所对应的正常网络行为。例如,服务器通过告知的程序标识得知当前的网络行为是由即时通讯1程序发起的,那么相应的就可以从预知的所有正常网络行为中查找到即时通讯1程序所对应的正常网络行为。
当然,在具体实施的过程中,可以预先收集能获知的所有程序对应的正常网络行为,也可以根据当前的实际情况只收集当前比较容易受到病毒攻击的一些程序对应的的正常网络行为。例如,当前一段时间,即时通讯1、即时通讯2等程序比较容易受病毒攻击,那么就预先收集即时通讯1、即时通讯2等程序所对应的所有正常网络行为。也就是说,只有一些容易受病毒攻击的程序所对应的正常网络行为会被收集而对于那些不易受病毒攻击的程序则采用传统方式查杀,不必预先收集其正常网络行为,这样也减少了对系统资源的过多占用。
S104:将所述程序的当前网络行为与所述程序的已知正常网络行为进行对比。
由于在步骤S101中已经监控到了程序的当前网络行为,在步骤S103中又通过该程序的标识查找到了该程序对应的所有正常网络行为,因此可以将监控到的该程序的当前网络行为与查找到的该程序对应的正常网络行为进行对比。
前文已经说明,服务器可能只是预知容易受病毒攻击的某些类程序的正常网络行为,而且类别在预先划分时可能比较细致,也可能比较粗略。因此,服务器预存的正常网络行为也可能会根据分类的细致与粗略而不同。如果分类比较细致,每一个程序可能就会划分为一类,例如,即时通讯1被划分为单独的一类,此时服务器预知的正常网络行为也会比较具体(如为即时通讯1程序的正常网络行为)。如果客户端启动了即时通讯1程序,服务器通过分析其数字签名、文件名等信息,确定该程序为上述特定类别里的程序,那么此时就可以指示客户端告知即时通讯1程序的当前网络行为的信息以及即时通讯1程序的的标识属于哪个程序,进而,客户端将当前即时通讯1程序的网络行为的数据以及即时通讯1程序的标识(如“即时通讯1”)一并发送给服务器,服务器根据该标识就知道上传的当前网络行为是属于即时通讯1程序的(即即时通讯1程序发起的),于是就可以查找到预知的即时通讯1程序对应的正常网络行为,并将即时通讯1程序的当前网络行为与预知的即时通讯1程序对应的正常网络行为进行对比。
而如果类别划分比较粗略,可能只是笼统的划分为游戏类、或即时通讯类、浏览器等几大类等,这时,同样通过上述的分析判断出即时通讯1程序是对应于即时通讯类,那么就可以利用同样的方法将即时通讯1程序的当前网络行为与预知的即时通讯类的正常网络行为进行对比。
当然,也可以是选择预先分好的类别里的其中最容易受攻击的几类作为特定类别。例如:在预先分好的多种类别里当前只有游戏类、即时通讯类、浏览器类是最容易受攻击的三个特定类别,那么经过判断只有当前程序属于这三类中的任何一类时,才将程序的当前网络行为与预知的正常网络行为做对比,而属于这三类之外的其它类别时,则无需进行对比。
S105:根据所述对比结果,识别所述程序的当前网络行为是否异常。
根据上述的对比结果,最终识别出网络行为是否异常。如果对比的结果不一致,那么认为该程序的网络行为为异常网络行为;如果对比结果一致,则认为该程序的网络行为为正常网络行为。
对于识别出为异常的网络行为,在具体实现的过程中可以根据不同的情况进行不同的处理。其中一种情况可以是,通过现有的查杀病毒的方式对当前的异常网络行为进行进一步判断,如果可以确定当前网络行为是非恶意的,那么可以先暂停其网络连接,并向用户发送提示信息,告知用户该程序为异常,由用户做出最终选择,如果用户选择拦截,那么该网络行为将会被彻底阻止。当然,为了系统的安全,并且在用户预先的指示下(比如用户在客户端预先设定某一类型的异常网络行为可以直接拦截),则直接将某种类型的该异常网络行为进行拦截。例如:本地启动一个程序,该程序的当前网络行为是从网络资源中下载某一文件,该网络行为通过本发明实施例的方式已经识别出是一个异常网络行为。而且通过现有的病毒查杀方法判断出了该下载的文件本身并不是病毒,也就是说,当前的异常网络行为并非是恶意的。假设该文件表明自身只是一个视频播放软件程序,对于客户来说,下载该文件的目的仅仅是想获取一个视频播放器,而且通过文件名等信息也相信该文件只是一个视频播放软件程序,但是当用户去运行该软件程序的时候,发现该程序不仅仅安装了视频播放器,同时也安装了一个浏览器,和其它一些用户并不需要的软件,也就是说在用户不知情的情况下,该程序文件欺骗用户额外安装了其它的软件,而该文件里的其它用户所不需要的软件,也只是程序的发明者为了达到推广的目的而添加的,本身也并非是恶意的。本发明实施例对这种非恶意的异常网络行为所采用的方式是,只将当前的异常网络行为暂停或拦截。当然,当前网络行为并非是恶意的情况有很多中,上述只是通过举例介绍其中的一种。
对于识别出当前网络行为是异常网络行为之后,本发明实施例还提供了另外一种处理方式,具体为:如果程序的当前网络行为是恶意的,并且不确定程序是否为恶意程序,则暂停或拦截程序的全部网络行为。也就是说,识别出当前网络行为为异常,并且通过现有的查杀病毒的方式判断出该异常网络行为是恶意的,例如,该异常网络行为通过连接网络之后会下载病毒程序,但是通过该异常网络行为并不能确定发起该网络行为的程序是否是恶意程序,也就是说该异常网络行为是相对独立的,根据该异常网络行为不能确定其本地行为是否是恶意,那么为了系统整体安全,就将当前恶意网络行为所对应程序的全部网络行为都暂停或拦截。在实际实施的过程中,用户也可以通过手动操作选择只拦截当前的恶意网络行为,而将程序其他的网络行为放行,当然也可以选择将程序的全部网络行为都拦截,甚至有必要的话,也可以选择拦截该程序的全部网络行为和全部本地行为。
当然,识别出当前网络行为是异常网络行为之后,还可以通过以下方式进行处理,具体为:如果所述程序的当前网络行为是恶意的,并且确定所述程序为恶意程序,则暂停或拦截所述程序的全部行为。也就是说,识别出当前网络行为为异常,并且通过现有的查杀病毒的方式判断出该异常网络行为是恶意的,同时,根据该恶意网络行为可以确定发起该恶意网络行为的程序本身就为病毒程序,那么就将当前恶意网络行为所对应程序的本地行为和网络行为全部暂停或者拦截。例如,当前的恶意网络行为是与病毒服务器进行连接,并且连接之后会上传用户的隐私信息给病毒服务器,而如果要上传用户隐私数据,程序的本地行为首先得获取用户的隐私数据,之后网络行为再将这些数据上传,本地的这种获取用户隐私数据的行为本身就是一种恶意行为,也就是说,通过异常网络行为可以判断出发出该异常网络行为的程序所执行的本地行为也是恶意的,所以可以判断该程序本身就是恶意程序,那么,就将该程序的全部行为,也即本地行为和网络行为全部暂停或拦截。
在具体实施的过程中,到底采用上述哪种方式对异常网络行为进行处理,要根据客户端上传的数据(当前网络行为数据)在命中不同的拦截规则后,根据不同的规则,进行相应的处理。
需要说明的是,本发明实施例可以通过以下方式实现:在客户端预设一个模块用来预存少量程序的已知正常网络行为,当客户端的监控模块监控到程序的当前网络行为时,告知客户端的正常网络行为预存模块该程序是什么程序,进而可以在正常网络行为预存模块对应查找到该程序的正常网络行为,将该程序的当前网络行为与查找到的正常网络行为在客户端进行对比,最终根据对比结果,识别该程序的当前网络行为是否异常。
当然本发明实施例也不限于上述的实现方式,优选的,也可以是由客户端监控程序的当前网络行为,并告知服务器当前网络行为所属的程序,在服务器查找当前网络行为所属的程序的已知正常网络行为,并将程序的当前网络行为与该程序的正常网络行为进行对比,最后根据对比结果,识别出该程序的当前网络行为是否异常。也就是说,以上优选方案中,程序的正常网络行为都预存在服务器,因为经过长期的运营之后,搜集到的程序的正常网络行为会非常多,数据也越来越庞大,而大型服务器的存储空间要远远大于客户端,因此,在服务器侧可以尽可能多的预存程序的正常网络行为,进而可以提高查杀的全面性。同时,对于最新搜集到的正常网络行为,服务器可以及时进行更新,对最新出现的异常网络行为或者病毒在进行对比之后可以及时进行处理。而如果将程序的正常网络行为预存在客户端,查找到程序的正常网络行为之后,将程序的当前网络行为与该程序的正常网络行为在客户端进行对比,不仅由于大量硬盘空间的占用使得用户机器速度慢,而且,对于更新的正常网络行为,还需要客户端通过联网升级的方式进行更新,因此也就不能及时找出新出现的异常网络行为或者病毒,进而也就不能对新出现的异常网络行为或病毒进行及时处理。
下面再通过一具体实施方式来说明本发明实施例的具体实现方案,请参见图2,其为本发明提供的一种识别网络行为是否异常的方法具体实施方式流程图。
本地客户端启动某一程序(程序执行),并将该程序的属性信息发送给服务器,其中属性信息包括该程序的数字签名、文件名、文件路径和/或原始名等信息,服务器对数字签名、文件名等属性信息的特征进行检测,经过检测后判断该程序是否具有某类特定类别(如根据当前病毒流行趋势判定是当前一定时间段内容易受到病毒攻击的程序类别和/或容易被病毒利用的程序类别)程序的特征,即是否属于特定类别。如果经过分析判断出该程序不具有特定类别程序的特征,则对该程序进行其他检测(比如采用其它现有的方式查杀)。如果具有某类特定类别程序的特征,则指示客户端监控当前网络行为,并给当前网络行为所对应的进程打上NDCAT(NetworkDefender Category,网络防御标签)标签,之后将该标签(即该程序所属类别对应的NDCAT标签)及当前网络行为的信息一同发送给服务器。
当接收到带有标签的网络行为的数据时,服务器便可知道当前的网络行为是需要进行特殊处理的,也即需要通过本发明实施例的方式来识别其是否异常,同时服务器根据该标签内包括的当前程序的标识也可以得知当前的网络行为是由哪个程序所发起的。由于服务器预存有带有NDCAT标签的进程所属程序的正常网络行为,因此,根据接收到的标签,便可以查找到该标签所对应程序的正常网络行为,并将监控获得的该程序的当前网络行为与查找到的该程序对应的已知正常网络行为进行对比,如果当前网络行为与预存的已知正常网络行为不一致,即认为该网络行为为异常网络行为,可能存在危险,此时可以暂停该程序的网络行为(比如暂停该程序的网络连接),并以某种形式(如弹窗报警)提示给用户,等待用户处理,由用户选择是否将程序的部分或全部网络行为拦截;如果判断与已知网络行为一致,则继续监控其他网络行为。
下面通过一个具体应用程序的例子说明一下本发明实施例具体如何识别出程序的异常网络行为。
456游戏大厅是一款广受欢迎的在线游戏平台软件,同时由于其虚拟货币与现实货币存在兑换关系,让该游戏平台也成为了许多病毒木马作者下手的对象。病毒木马作者通常是首先搭建一个与456游戏大厅官网非常相似的钓鱼网站,诱骗用户下载其提供的虚假客户端程序。而这个虚假的客户端程序中,病毒木马作者只是修改了正常客户端程序中的一个名为system.ini的配置文件,其余所有可执行文件均为正常。而当游戏客户端程序启动的时候,会读取system.ini配置文件中的信息,并按照对应的网址(下载地址)去检查并下载更新。此时,被修改过的system.ini就将升级程序按照对应的下载地址指向了病毒木马作者自己的服务器。
此种情况下,如果采用传统的云安全查杀方式,由于游戏客户端程序在启动时,只是读取system.ini配置文件中的信息,并按照对应的网址去检查并下载更新,其本身一开始并没有恶意的本地行为,所以本地防御不会拦截。而客户端与服务器在传统的查杀过程中,互动比较少。因此,客户端也不会提供给服务器任何信息,所以服务器只会检测被修改过的system.ini所指向的网址,由于服务器并不知道这个联网下载的行为是由456游戏大厅发起的,所以也肯定不能采用非白即黑的拦截方式,只能采用传统的非黑即白的拦截方式。即,除非下载地址是已知的危险地址,才会拦截,否则便会一律放行。而对于上述升级程序所指向的网址很可能由于病毒库没有及时更新,而没有对其进行收集,这样,就会将上述指向病毒作者自己服务器的联网下载行为放过。
下面具体介绍采用本发明实施例的方式如何识别出上述应用环境中的异常网络行为。如果本地的客户端启动了456游戏大厅程序,客户端将会监控456游戏大厅程序当前的网络行为,并将该程序的数字签名、文件名、文件路径等信息发送给服务器,服务器通过综合分析这些发送的信息,可以判断出该程序为预置类别里的456游戏大厅程序,进而服务器则指示客户端发送该程序的当前网络行为及其所属程序的标识(如“456game”)。通过该标识服务器可以确定当前网络行为是456游戏大厅所发起的,而服务器预存有456游戏大厅对应的正常网络行为,所以可以根据该标识对应查找到预存的456游戏大厅所对应的正常网络行为。将监控到的456游戏大厅程序的当前网络行为与正常的网络行为进行对比,发现访问病毒作者自己的服务器的网络行为,并不在已知的正常网络行为中,也即识别出该网络行为不属于正常的网络行为。此时可暂停或拦截该网络行为,或者也可以根据实际需要暂停或拦截该程序的全部网络行为,当然,如果发现该程序的本地行为也是不安全的,则可以暂停或拦截该程序的全部行为。
通过另外一个应用程序的具体例子也可以看出本发明的效果。暴风影音是国内知名的视频播放器,用户量很大,并且所有程序组件带有北京暴风科技股份有限公司的合法数字签名。
基于对数字签名体系的信任,传统安全软件在识别带有这种合法数字签名的程序时,是直接放行其全部行为的。而这一点也就给了一些病毒可乘之机。
暴风影音的程序组件中带有暴风影音升级程序“BaofengUpdate.exe”,在运行升级时会自动调用同目录下的“Update.dll”进行升级操作。利用这一点,针对暴风影音出现了大量的病毒木马。这些木马一般会释放出两个文件:一个带有有效数字签名的官方版“BaofengUpdate.exe”程序,另一个是病毒作者自己编写的“Update.dll”木马。释放这两个文件之后,“BaofengUpdate.exe”,会自动加载“Update.dll”,并执行其中的恶意代码——下载病毒到本地运行或上传用户的隐私信息。由于是被加载的,所以真正的木马程序“Update.dll”不会出现在进程列表中,而进程列表中出现的“BaofengUpdate.exe”又会因为带有有效的数字签名而被传统安全软件轻易地放过。
下面说明一下针对以上例子,采用本发明实施例的方式如何将病毒识别出来,进而进行查杀。当本地的客户端启动了BaofengUpdate.exe程序,客户端将会监控该程序的当前网络行为,并将该程序的数字签名、文件名、文件路径等信息发送给服务器,服务器通过综合分析这些发送的信息,可以判断出该程序为“BaofengUpdate.exe”程序,此时,服务器将指示客户端发送当前网络行为的信息及其所属程序的标识(如“BaofengUpdate”)。进而,客户端为该程序的当前进程打上标签(代表了该程序的标识信息,)并上传至服务器。然后,服务器根据该标识查找到该程序的正常网络行为。一般情况下,如果该升级程序是正常的,则只会访问暴风自己旗下域名的网站。即,只有发起的DNS请求的一级域名部分是baofeng.com的网络行为是正常的网络行为。
据此,便可以将监控到的带有“BaofengUpdate”标识的程序的当前网络行为(即发起DNS请求)与“BaofengUpdate.exe”程序的正常的网络行为进行对比,只要DNS请求中的一级域名部分不是“baofeng.com”,也即,与正常的网络行为不一致,则认为该请求的网络行为为异常。
通过上述的例子可以看到,本发明实施例通过告知当前网络行为是哪个程序发起的,进而可以将程序的当前网络行为与程序已知的正常网络行为进行对比,最终将不属于该程序正常网络行为的所有异常网络行为都识别出来,从而对于新出现或新变种的病毒可以进行及时查杀,提高了查杀率。
与本发明实施例提供的一种识别网络行为是否异常的方法相对应,本发明实施例还提供了一种识别网络行为是否异常的系统,参见图3,其为本发明提供的一种识别网络行为是否异常的系统实施例示意图,该系统包括:
监控单元301,用于在程序访问网络的过程中,监控所述程序的当前网络行为;
告知单元302,用于告知服务器所述当前网络行为所属的程序;
查找单元303,用于查找所述当前网络行为所属的程序的已知正常网络行为;
对比单元304,用于将所述程序的当前网络行为与所述程序的已知正常网络行为进行对比;
识别单元305,用于根据所述对比结果,识别所述程序的当前网络行为是否异常。
当然在具体实施过程中,可以是对能搜集到正常网络行为的所有程序都进行本发明实施例所提供的方案的处理,也可以是有选择性的针对某些容易受病毒攻击的程序进行处理。也就是说可以根据病毒的流行趋势,确定几类容易受病毒攻击的特定程序来进行处理,因此,该系统还可以包括:
类别确定单元,用于接收客户端发送的所述程序的属性信息,并根据所述程序的属性信息确定所述程序是否属于特定类别;
指示单元,用于在所述类别确定单元确定所述程序属于特定类别的情况下,则指示客户端告知所述程序的当前网络行为所属的程序。
可选的,程序的属性信息包括:
程序的数字签名、文件名、文件路径和/或原始名。
可选的,特定类别具体是当前一定时间段内容易受到病毒攻击的程序类别和/或容易被病毒利用的程序类别。
其中,告知单元302可以包括发送子单元,用于向服务器发送所述当前网络行为的信息以及所述当前网络行为所属程序的标识。
具体的,发送子单元用于为程序的当前网络行为的信息添加网络防御标签,网络防御标签包括当前网络行为所属的程序的标识;
向服务器发送带有网络防御标签的当前网络行为的信息。
其中,查找单元303可以包括正常网络行为查找子单元,用于根据所述当前网络行为所属程序的标识,查找所述程序的已知正常网络行为。
在具体实施过程中,正常网络行为查找子单元用于预先收集多种程序的正常网络行为,并建立程序的标识及其正常网络行为之间的对应关系;
根据所述当前网络行为所属程序的标识,查找该程序的标识对应的正常网络行为,将所述查找到的正常网络行为作为程序的已知正常网络行为
在实施的过程中,监控单元301可以通过截获程序的当前网络行为的信息得到监控的目的,具体可以包括:
第一截获子单元,用于通过在客户端注册协议驱动,截获所述程序的当前网络行为的信息;
或者,
第二截获子单元,用于通过创建与操作系统相似的过滤驱动,截获所述程序的当前网络行为的信息;
或者,
第三截获子单元,用于利用操作系统提供的应用程序编程接口函数截获所述程序的当前网络行为的信息;
或者,
第四截获子单元,用于接管程序调用网络编程接口函数的请求,截获所述程序的当前网络行为的信息;
或者,
第五截获子单元,用于利用注册防火墙回调,截获所述程序的当前网络行为的信息。
其中,识别单元305用于根据所述对比结果,识别所述程序的当前网络行为是否异常。
实施过程中,识别单元具体包括:
第一识别子单元,用于如果对比结果不一致,识别所述程序的当前网络行为为异常网络行为;
第二识别子单元,用于如果对比结果一致,识别所述程序的当前网络行为为正常网络行为。
根据最终的识别结果,还可以根据不同情况针对异常网络行为进行不同的处理,因此第一识别子单元还可以包括:
第一异常处理单元,用于暂停或拦截所述程序的当前异常网络行为;
或者,
第二异常处理单元,用于暂停或拦截所述程序的全部网络行为;
或者,
第三异常处理单元,用于暂停或拦截所述程序的全部行为。
可选的:
所述第一异常处理单元,具体用于检测到所述程序的异常网络行为是非恶意的网络行为,暂停或拦截所述程序的异常网络行为;
或者,
所述第二异常处理单元,具体用于检测到所述程序的异常网络行为是恶意的网络行为,但不确定所述程序是否为恶意程序,暂停或拦截所述程序的全部网络行为;
或者,
第三异常处理单元,具体用于检测到所述程序的异常网络行为是恶意的网络行为,并且所述程序为恶意程序,暂停或拦截所述程序的全部网络行为和全部本地行为。
上述的装置实施例中,其中监控单元301、告知单元302,可以是属于本地模块,查找单元303、对比单元304、识别单元305可以是属于网络模块。
本发明实施例还提供了一种识别网络行为是否异常的系统,参见图4,其为本发明提供的一种识别网络行为是否异常的系统实施例示意图,该系统包括客户端401和服务器402,客户端401用于在程序访问网络的过程中,监控所述程序的当前网络行为;告知服务器所述当前网络行为所属的程序;服务器401,用于查找所述当前网络行为所属的程序的已知正常网络行为;将所述程序的当前网络行为与所述程序的正常网络行为进行对比;识别所述程序的当前网络行为是否异常。
其中,客户端401具体包括:监控模块4011,用于在程序访问网络的过程中,监控所述程序的当前网络行为;告知模块4012,用于告知服务器当前网络行为所属的程序;
其中,服务器402包括:查找模块4021,用于根据客户端告知的当前网络行为所属的程序,来对应查找预知的该程序的正常网络行为;对比模块4022,用于将该程序的当前网络行为与查找到的该程序的正常网络行为进行对比;识别模块4023,用于最终识别出该程序的当前网络行为是否异常。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上对本发明所提供的一种识别程序的网络行为是否异常的方法、装置及系统,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (23)
1.一种识别程序的网络行为是否异常的方法,其特征在于,包括:
在程序访问网络的过程中,监控所述程序的当前网络行为;
告知服务器所述当前网络行为所属的程序;
查找所述当前网络行为所属的程序的已知正常网络行为;
将所述程序的当前网络行为与所述程序的已知正常网络行为进行对比;
根据所述对比结果,识别所述程序的当前网络行为是否异常。
2.根据权利要求1所述的方法,其特征在于,还包括:
服务器接收客户端发送的所述程序的属性信息,根据所述程序的属性信息确定所述程序是否属于特定类别;
如果属于特定类别,则指示客户端告知所述程序的当前网络行为所属的程序。
3.根据权利要求2所述的方法,其特征在于,所述特定类别具体包括:
当前一定时间段内容易受到病毒攻击的程序类别和/或容易被病毒利用的程序类别。
4.根据权利要求1所述的方法,其特征在于,所述告知服务器所述当前网络行为所属的程序包括:
向服务器发送所述当前网络行为的信息以及所述当前网络行为所属程序的标识。
5.根据权利要求4所述的方法,其特征在于,所述向服务器发送所述当前网络行为的信息以及所述当前网络行为所属的程序的标识包括:
为所述程序的当前网络行为的信息添加网络防御标签,所述网络防御标签包括所述当前网络行为所属的程序的标识;
向服务器发送带有所述网络防御标签的当前网络行为的信息。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述查找所述当前网络行为所属程序的已知正常网络行为包括:
根据所述当前网络行为所属程序的标识,查找所述程序的已知正常网络行为。
7.根据权利要求6所述的方法,其特征在于,所述根据所述当前网络行为所属程序的标识,查找所述程序的已知正常网络行为包括:
预先收集多种程序的正常网络行为,并建立程序的标识及其正常网络行为之间的对应关系;
根据所述当前网络行为所属程序的标识,查找该程序的标识对应的正常网络行为,将所述查找到的正常网络行为作为所述程序的已知正常网络行为。
8.根据权利要求1至5中任一项所述的方法,其特征在于,所述监控所述程序的当前网络行为包括:
通过在客户端注册协议驱动,截获所述程序的当前网络行为的信息;
或者,
通过创建与操作系统相似的过滤驱动,截获所述程序的当前网络行为的信息;
或者,
利用操作系统提供的应用程序编程接口函数截获所述程序的当前网络行为的信息;
或者,
接管程序调用网络编程接口函数的请求,截获所述程序的当前网络行为的信息;
或者,
利用注册防火墙回调,截获所述程序的当前网络行为的信息。
9.根据权利要求1至5中任一项所述的方法,其特征在于,所述根据所述对比结果,识别所述程序的网络行为是否异常包括:
如果对比结果不一致,识别所述程序的当前网络行为为异常网络行为;
如果对比结果一致,识别所述程序的当前网络行为为正常网络行为。
10.根据权利要求9所述的方法,其特征在于,如果识别所述程序的当前网络行为为异常网络行为,还包括:
暂停或拦截所述程序的当前异常网络行为;
或者,
暂停或拦截所述程序的全部网络行为;
或者,
暂停或拦截所述程序的全部网络行为和全部本地行为。
11.根据权利要求10所述的方法,其特征在于:
检测到所述程序的异常网络行为是非恶意的网络行为,暂停或拦截所述程序的异常网络行为;
或者,
检测到所述程序的异常网络行为是恶意的网络行为,但不确定所述程序是否为恶意程序,暂停或拦截所述程序的全部网络行为;
或者,
检测到所述程序的异常网络行为是恶意的网络行为,并且所述程序为恶意程序,暂停或拦截所述程序的全部网络行为和全部本地行为。
12.一种识别网络行为是否异常的装置,其特征在于,包括:
监控单元,用于在程序访问网络的过程中,监控所述程序的当前网络行为;
告知单元,用于告知服务器所述当前网络行为所属的程序;
查找单元,用于查找所述当前网络行为所属的程序的已知正常网络行为;
对比单元,用于将所述程序的当前网络行为与所述程序的已知正常网络行为进行对比;
识别单元,用于根据所述对比结果,识别所述程序的当前网络行为是否异常。
13.根据权利要求12所述的装置,其特征在于,还包括:
类别确定单元,用于接收客户端发送的所述程序的属性信息,并根据根据所述程序的属性信息确定所述程序是否属于特定类别;
指示单元,用于在所述类别确定单元确定所述程序属于特定类别的情况下,指示客户端告知所述程序的当前网络行为所属的程序。
14.根据权利要求13所述的装置,其特征在于,所述特定类别具体包括:
当前一定时间段内容易受到病毒攻击的程序类别和/或容易被病毒利用的程序类别。
15.根据权利要求12所述的装置,其特征在于,所述告知单元包括:
发送子单元,用于向服务器发送所述当前网络行为的信息以及所述当前网络行为所属程序的标识。
16.根据权利要求15所述的方法,其特征在于:
所述发送子单元,具体用于为所述程序的当前网络行为的信息添加网络防御标签,所述网络防御标签包括所述当前网络行为所属的程序的标识;向服务器发送带有所述网络防御标签的当前网络行为的信息。
17.根据权利要求12至16中任一项所述的装置,其特征在于,所述查找单元包括:
正常网络行为查找子单元,用于根据所述当前网络行为所属程序的标识,查找所述程序的已知正常网络行为。
18.根据权利要求17所述的装置,其特征在于:
所述正常网络行为查找子单元,具体用于预先收集多种程序的正常网络行为,并建立程序的标识及其正常网络行为之间的对应关系;根据所述当前网络行为所属程序的标识,查找该程序的标识对应的正常网络行为,将所述查找到的正常网络行为作为所述程序的已知正常网络行为。
19.根据权利要求12至16中任一项所述的装置,其特征在于,所述监控单元具体包括:
第一截获子单元,用于通过在客户端注册协议驱动,截获所述程序的当前网络行为的信息;
或者,
第二截获子单元,用于通过创建与操作系统相似的过滤驱动,截获所述程序的当前网络行为的信息;
或者,
第三截获子单元,用于利用操作系统提供的应用程序编程接口函数截获所述程序的当前网络行为的信息;
或者,
第四截获子单元,用于接管程序调用网络编程接口函数的请求,截获所述程序的当前网络行为的信息;
或者,
第五截获子单元,用于利用注册防火墙回调,截获所述程序的当前网络行为的信息。
20.根据权利要求12至16中任一项所述的装置,其特征在于,所述识别单元包括:
第一识别子单元,用于如果对比结果不一致,识别所述程序的当前网络行为为异常网络行为;
第二识别子单元,用于如果对比结果一致,识别所述程序的当前网络行为为正常网络行为。
21.根据权利要求20所述的装置,其特征在于,还包括:
第一异常处理单元,用于暂停或拦截所述程序的当前异常网络行为;
或者,
第二异常处理单元,用于暂停或拦截所述程序的全部网络行为;
或者,
第三异常处理单元,用于暂停或拦截所述程序的全部网络行为和全部本地行为。
22.根据权利要求21所述的装置,其特征在于:
所述第一异常处理单元,具体用于检测到所述程序的异常网络行为是非恶意的网络行为,暂停或拦截所述程序的异常网络行为;
或者,
所述第二异常处理单元,具体用于检测到所述程序的异常网络行为是恶意的网络行为,但不确定所述程序是否为恶意程序,暂停或拦截所述程序的全部网络行为;
或者,
第三异常处理单元,具体用于检测到所述程序的异常网络行为是恶意的网络行为,并且所述程序为恶意程序,暂停或拦截所述程序的全部网络行为和全部本地行为。
23.一种识别网络行为是否异常的系统,其特征在于,包括:
客户端,用于在程序访问网络的过程中,监控所述程序的当前网络行为;告知服务器所述当前网络行为所属的程序;
服务器,用于查找所述当前网络行为所属的程序的已知正常网络行为;将所述程序的当前网络行为与所述程序的正常网络行为进行对比;识别所述程序的当前网络行为是否异常。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210189695.3A CN102694817B (zh) | 2012-06-08 | 2012-06-08 | 一种识别程序的网络行为是否异常的方法、装置及系统 |
| PCT/CN2013/075472 WO2013181982A1 (zh) | 2012-06-08 | 2013-05-10 | 一种识别程序的网络行为是否异常的方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210189695.3A CN102694817B (zh) | 2012-06-08 | 2012-06-08 | 一种识别程序的网络行为是否异常的方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102694817A true CN102694817A (zh) | 2012-09-26 |
| CN102694817B CN102694817B (zh) | 2016-08-03 |
Family
ID=46860103
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210189695.3A Active CN102694817B (zh) | 2012-06-08 | 2012-06-08 | 一种识别程序的网络行为是否异常的方法、装置及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102694817B (zh) |
| WO (1) | WO2013181982A1 (zh) |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102945341A (zh) * | 2012-10-23 | 2013-02-27 | 北京奇虎科技有限公司 | 一种拦截弹窗的方法和装置 |
| CN102968590A (zh) * | 2012-10-23 | 2013-03-13 | 北京奇虎科技有限公司 | 弹窗抑制方法和系统 |
| WO2013181982A1 (zh) * | 2012-06-08 | 2013-12-12 | 北京奇虎科技有限公司 | 一种识别程序的网络行为是否异常的方法、装置及系统 |
| CN103826008A (zh) * | 2014-02-18 | 2014-05-28 | 华为终端有限公司 | 一种移动终端通知消息提示方法、装置及移动终端 |
| CN103841136A (zh) * | 2012-11-22 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 应用程序的加速方法及系统 |
| CN103905436A (zh) * | 2014-03-14 | 2014-07-02 | 汉柏科技有限公司 | 一种防护app个人隐私收集的方法及装置 |
| CN105022959A (zh) * | 2015-07-22 | 2015-11-04 | 上海斐讯数据通信技术有限公司 | 一种移动终端恶意代码分析设备及分析方法 |
| CN105100063A (zh) * | 2015-06-26 | 2015-11-25 | 北京奇虎科技有限公司 | 一种将本平台的游戏安全开放到第三方平台的方法和装置 |
| CN105323261A (zh) * | 2015-12-15 | 2016-02-10 | 北京奇虎科技有限公司 | 数据检测方法及装置 |
| CN105561580A (zh) * | 2015-12-24 | 2016-05-11 | 北京奇虎科技有限公司 | 一种基于游戏平台的网络防护方法及装置 |
| CN106611120A (zh) * | 2015-10-26 | 2017-05-03 | 阿里巴巴集团控股有限公司 | 一种风险防控系统的评估方法及装置 |
| CN107749859A (zh) * | 2017-11-08 | 2018-03-02 | 南京邮电大学 | 一种面向网络加密流量的恶意移动应用检测方法 |
| CN107908956A (zh) * | 2017-12-07 | 2018-04-13 | 湖北三新文化传媒有限公司 | 一种资源访问请求的监控方法、装置及可读存储介质 |
| CN108463980A (zh) * | 2015-12-21 | 2018-08-28 | 耐瑞唯信有限公司 | 安全家庭网络 |
| CN108885662A (zh) * | 2016-04-22 | 2018-11-23 | 高通股份有限公司 | 用于智能地检测客户端计算装置和公司网络上的恶意软件和攻击的方法和系统 |
| CN109756512A (zh) * | 2019-02-14 | 2019-05-14 | 深信服科技股份有限公司 | 一种流量应用识别方法、装置、设备及存储介质 |
| CN109800100A (zh) * | 2018-12-25 | 2019-05-24 | 福建天晴在线互动科技有限公司 | 一种防止ios项目崩溃的方法及终端 |
| CN110086767A (zh) * | 2019-03-11 | 2019-08-02 | 中国电子科技集团公司电子科学研究院 | 一种混合入侵检测系统及方法 |
| CN110798438A (zh) * | 2018-08-09 | 2020-02-14 | 北京安天网络安全技术有限公司 | 应用内防火墙实现方法、系统及存储介质 |
| CN114221780A (zh) * | 2021-10-26 | 2022-03-22 | 深圳市永达电子信息股份有限公司 | 工控系统网络安全保障方法、装置和计算机存储介质 |
| CN114884741A (zh) * | 2022-06-02 | 2022-08-09 | 江苏优集科技有限公司 | 一种分布式云环境下的安全访问与控制系统及方法 |
| CN117478439A (zh) * | 2023-12-28 | 2024-01-30 | 天津市品茗科技有限公司 | 一种网络与信息安全加密系统及方法 |
| CN117939506A (zh) * | 2024-03-25 | 2024-04-26 | 云南大学 | 一种基于近似依赖规则的无线通信网络异常检测方法 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105407481A (zh) * | 2015-10-23 | 2016-03-16 | 上海斐讯数据通信技术有限公司 | 上网数据的获取方法 |
| CN107426199B (zh) * | 2017-07-05 | 2020-10-30 | 浙江鹏信信息科技股份有限公司 | 一种网络异常行为检测与分析的方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1818823A (zh) * | 2005-02-07 | 2006-08-16 | 福建东方微点信息安全有限责任公司 | 基于程序行为分析的计算机防护方法 |
| US20080066179A1 (en) * | 2006-09-11 | 2008-03-13 | Fujian Eastern Micropoint Info-Tech Co., Ltd. | Antivirus protection system and method for computers |
| CN101242316A (zh) * | 2008-02-03 | 2008-08-13 | 西安交大捷普网络科技有限公司 | 基于快速聚类算法的网络异常检测方法 |
| CN101626322A (zh) * | 2009-08-17 | 2010-01-13 | 中国科学院计算技术研究所 | 网络行为异常检测方法及系统 |
| CN102082802A (zh) * | 2011-03-01 | 2011-06-01 | 陈彪 | 一种基于行为的移动终端的安全防护系统和方法 |
| CN102130800A (zh) * | 2011-04-01 | 2011-07-20 | 苏州赛特斯网络科技有限公司 | 基于数据流行为分析的网络访问异常检测装置及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102694817B (zh) * | 2012-06-08 | 2016-08-03 | 北京奇虎科技有限公司 | 一种识别程序的网络行为是否异常的方法、装置及系统 |
-
2012
- 2012-06-08 CN CN201210189695.3A patent/CN102694817B/zh active Active
-
2013
- 2013-05-10 WO PCT/CN2013/075472 patent/WO2013181982A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1818823A (zh) * | 2005-02-07 | 2006-08-16 | 福建东方微点信息安全有限责任公司 | 基于程序行为分析的计算机防护方法 |
| US20080066179A1 (en) * | 2006-09-11 | 2008-03-13 | Fujian Eastern Micropoint Info-Tech Co., Ltd. | Antivirus protection system and method for computers |
| CN101242316A (zh) * | 2008-02-03 | 2008-08-13 | 西安交大捷普网络科技有限公司 | 基于快速聚类算法的网络异常检测方法 |
| CN101626322A (zh) * | 2009-08-17 | 2010-01-13 | 中国科学院计算技术研究所 | 网络行为异常检测方法及系统 |
| CN102082802A (zh) * | 2011-03-01 | 2011-06-01 | 陈彪 | 一种基于行为的移动终端的安全防护系统和方法 |
| CN102130800A (zh) * | 2011-04-01 | 2011-07-20 | 苏州赛特斯网络科技有限公司 | 基于数据流行为分析的网络访问异常检测装置及方法 |
Cited By (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013181982A1 (zh) * | 2012-06-08 | 2013-12-12 | 北京奇虎科技有限公司 | 一种识别程序的网络行为是否异常的方法、装置及系统 |
| CN102968590A (zh) * | 2012-10-23 | 2013-03-13 | 北京奇虎科技有限公司 | 弹窗抑制方法和系统 |
| CN102968590B (zh) * | 2012-10-23 | 2015-08-05 | 北京奇虎科技有限公司 | 弹窗抑制方法和系统 |
| CN102945341B (zh) * | 2012-10-23 | 2015-08-05 | 北京奇虎科技有限公司 | 一种拦截弹窗的方法和装置 |
| CN102945341A (zh) * | 2012-10-23 | 2013-02-27 | 北京奇虎科技有限公司 | 一种拦截弹窗的方法和装置 |
| CN103841136A (zh) * | 2012-11-22 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 应用程序的加速方法及系统 |
| CN103841136B (zh) * | 2012-11-22 | 2018-04-27 | 腾讯科技(深圳)有限公司 | 应用程序的加速方法及系统 |
| CN103826008A (zh) * | 2014-02-18 | 2014-05-28 | 华为终端有限公司 | 一种移动终端通知消息提示方法、装置及移动终端 |
| CN103826008B (zh) * | 2014-02-18 | 2016-01-06 | 华为终端有限公司 | 一种移动终端通知消息提示方法、装置及移动终端 |
| CN103905436A (zh) * | 2014-03-14 | 2014-07-02 | 汉柏科技有限公司 | 一种防护app个人隐私收集的方法及装置 |
| CN105100063B (zh) * | 2015-06-26 | 2018-09-18 | 北京奇虎科技有限公司 | 一种将本平台的游戏安全开放到第三方平台的方法和装置 |
| CN105100063A (zh) * | 2015-06-26 | 2015-11-25 | 北京奇虎科技有限公司 | 一种将本平台的游戏安全开放到第三方平台的方法和装置 |
| CN105022959A (zh) * | 2015-07-22 | 2015-11-04 | 上海斐讯数据通信技术有限公司 | 一种移动终端恶意代码分析设备及分析方法 |
| CN105022959B (zh) * | 2015-07-22 | 2018-05-18 | 上海斐讯数据通信技术有限公司 | 一种移动终端恶意代码分析设备及分析方法 |
| CN106611120A (zh) * | 2015-10-26 | 2017-05-03 | 阿里巴巴集团控股有限公司 | 一种风险防控系统的评估方法及装置 |
| CN106611120B (zh) * | 2015-10-26 | 2019-10-01 | 阿里巴巴集团控股有限公司 | 一种风险防控系统的评估方法及装置 |
| CN105323261A (zh) * | 2015-12-15 | 2016-02-10 | 北京奇虎科技有限公司 | 数据检测方法及装置 |
| CN108463980A (zh) * | 2015-12-21 | 2018-08-28 | 耐瑞唯信有限公司 | 安全家庭网络 |
| CN108463980B (zh) * | 2015-12-21 | 2021-05-11 | 耐瑞唯信有限公司 | 用于提供网络安全性的方法和系统 |
| CN105561580A (zh) * | 2015-12-24 | 2016-05-11 | 北京奇虎科技有限公司 | 一种基于游戏平台的网络防护方法及装置 |
| CN108885662A (zh) * | 2016-04-22 | 2018-11-23 | 高通股份有限公司 | 用于智能地检测客户端计算装置和公司网络上的恶意软件和攻击的方法和系统 |
| CN107749859A (zh) * | 2017-11-08 | 2018-03-02 | 南京邮电大学 | 一种面向网络加密流量的恶意移动应用检测方法 |
| CN107908956A (zh) * | 2017-12-07 | 2018-04-13 | 湖北三新文化传媒有限公司 | 一种资源访问请求的监控方法、装置及可读存储介质 |
| CN110798438A (zh) * | 2018-08-09 | 2020-02-14 | 北京安天网络安全技术有限公司 | 应用内防火墙实现方法、系统及存储介质 |
| CN109800100A (zh) * | 2018-12-25 | 2019-05-24 | 福建天晴在线互动科技有限公司 | 一种防止ios项目崩溃的方法及终端 |
| CN109800100B (zh) * | 2018-12-25 | 2023-02-28 | 福建天晴在线互动科技有限公司 | 一种防止ios项目崩溃的方法及终端 |
| CN109756512A (zh) * | 2019-02-14 | 2019-05-14 | 深信服科技股份有限公司 | 一种流量应用识别方法、装置、设备及存储介质 |
| CN109756512B (zh) * | 2019-02-14 | 2021-08-13 | 深信服科技股份有限公司 | 一种流量应用识别方法、装置、设备及存储介质 |
| CN110086767A (zh) * | 2019-03-11 | 2019-08-02 | 中国电子科技集团公司电子科学研究院 | 一种混合入侵检测系统及方法 |
| CN114221780A (zh) * | 2021-10-26 | 2022-03-22 | 深圳市永达电子信息股份有限公司 | 工控系统网络安全保障方法、装置和计算机存储介质 |
| CN114221780B (zh) * | 2021-10-26 | 2024-05-10 | 深圳市永达电子信息股份有限公司 | 工控系统网络安全保障方法、装置和计算机存储介质 |
| CN114884741A (zh) * | 2022-06-02 | 2022-08-09 | 江苏优集科技有限公司 | 一种分布式云环境下的安全访问与控制系统及方法 |
| CN114884741B (zh) * | 2022-06-02 | 2024-05-24 | 上海企源科技股份有限公司 | 一种分布式云环境下的安全访问与控制系统及方法 |
| CN117478439A (zh) * | 2023-12-28 | 2024-01-30 | 天津市品茗科技有限公司 | 一种网络与信息安全加密系统及方法 |
| CN117478439B (zh) * | 2023-12-28 | 2024-04-19 | 天津市品茗科技有限公司 | 一种网络与信息安全加密系统及方法 |
| CN117939506A (zh) * | 2024-03-25 | 2024-04-26 | 云南大学 | 一种基于近似依赖规则的无线通信网络异常检测方法 |
| CN117939506B (zh) * | 2024-03-25 | 2024-06-18 | 云南大学 | 一种基于近似依赖规则的无线通信网络异常检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013181982A1 (zh) | 2013-12-12 |
| CN102694817B (zh) | 2016-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102694817B (zh) | 一种识别程序的网络行为是否异常的方法、装置及系统 | |
| US11620383B2 (en) | Dynamic analysis techniques for applications | |
| US11604878B2 (en) | Dynamic analysis techniques for applications | |
| US11677764B2 (en) | Automated malware family signature generation | |
| US10235524B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
| US10284575B2 (en) | Launcher for setting analysis environment variations for malware detection | |
| US9306968B2 (en) | Systems and methods for risk rating and pro-actively detecting malicious online ads | |
| EP3706025B1 (en) | Detecting a malicious file infection via sandboxing | |
| US8726387B2 (en) | Detecting a trojan horse | |
| KR101558715B1 (ko) | 서버 결합된 멀웨어 방지를 위한 시스템 및 방법 | |
| US11829467B2 (en) | Dynamic rules engine in a cloud-based sandbox | |
| CN102916937B (zh) | 一种拦截网页攻击的方法、装置和客户端设备 | |
| CN103617395A (zh) | 一种基于云安全拦截广告程序的方法、装置和系统 | |
| US11157618B2 (en) | Context-based analysis of applications | |
| US10320810B1 (en) | Mitigating communication and control attempts | |
| Iland et al. | Detecting android malware on network level | |
| EP3828745A1 (en) | Information processing device, information processing method, and information processing program | |
| US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
| CN115955333A (zh) | C2服务器识别方法、装置、电子设备及可读存储介质 | |
| KR102001814B1 (ko) | 모바일 장치 기반의 악성 스크립트 탐지 방법 및 그 장치 | |
| CN105119903B (zh) | 在局域网中处理恶意程序的方法及装置 | |
| WO2024042011A1 (en) | Aggregate event profiles for detecting malicious mobile applications | |
| CN117494110A (zh) | 一种代码检测方法及相关系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| ASS | Succession or assignment of patent right |
Owner name: QIZHI SOFTWARE (BEIJING) CO., LTD. Effective date: 20121023 Owner name: BEIJING QIHU TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: QIZHI SOFTWARE (BEIJING) CO., LTD. Effective date: 20121023 |
|
| C10 | Entry into substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100016 CHAOYANG, BEIJING TO: 100088 XICHENG, BEIJING |
|
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20121023 Address after: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Applicant after: Qizhi Software (Beijing) Co.,Ltd. Address before: The 4 layer 100016 unit of Beijing city Chaoyang District Jiuxianqiao Road No. 14 Building C Applicant before: Qizhi software (Beijing) Co.,Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee after: Beijing Qizhi Business Consulting Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20220329 Address after: 100016 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Patentee after: Sanliu0 Digital Security Technology Group Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Beijing Qizhi Business Consulting Co.,Ltd. |
|
| TR01 | Transfer of patent right |