CN102930207B - 一种api日志监控方法及装置 - Google Patents
一种api日志监控方法及装置 Download PDFInfo
- Publication number
- CN102930207B CN102930207B CN201210129761.8A CN201210129761A CN102930207B CN 102930207 B CN102930207 B CN 102930207B CN 201210129761 A CN201210129761 A CN 201210129761A CN 102930207 B CN102930207 B CN 102930207B
- Authority
- CN
- China
- Prior art keywords
- module
- system file
- target sample
- daily record
- operational process
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明提供一种API日志监控方法及装置,其中方法包括:确定目标样本运行过程中产生的所有进程中的模块以及后续动态加载的模块是否可信;获得所述目标样本运行过程中产生的每一条API日志,若所述API日志所属的模块可信,则不记录所述API日志,否则,记录。本发明的方案可以精确判断API所属模块的安全性。
Description
技术领域
本发明涉及计算机的反病毒领域,特别是指一种API日志监控方法及装置。
背景技术
在反病毒领域,计算机产生的样本增量都是海量的,目前已有的样本自动分析可以归为两类:
1.静态自动分析:通过反汇编代码分析、样本静态内容比对以及一系统启发式规则对比来给样本定性。这种静态自动分析的技术的优点是:快速,吞量高,可以应对每日的海量样本,并给出结果;缺点是:精准度一般,无法给出样本的恶意行为,对加密处理过的样本存在较多的误报和漏报。
2.动态自动分析:通过动态执行样本,并记录样本运行过程中的动态行为,并对该动态行为进行分析,以样本进行定性。这种动态自动分析的技术的优点是:精准度高,可以明确指出样本恶意行为并可以精确对样本进行定性;缺点是:低速,吞吐量低,若想应对海量样本,需要大量硬件资源投入。
由于病毒行为本身是病毒样本区别于正常文件的最本质的属性,也是病毒家族分类的根本依据,而样本的动态分析可以精确地指出其产生的各种恶意行为,因此具有很高的精确度,且有很强的事后检索能力,可以实现精确定位一个病毒家族的一组样本。
目前已有的样本的动态分析方法的步骤包括如下:
1.在特殊的监控环境下执行病毒样本;
2.记录病毒对文件、注册表的修改和访问;
3.记录进程、线程创建信息并跟踪;
4.记录病毒及其衍生进程、线程产生的API(Windows系统接口函数)流日志,并根据系统已知文件或者文件路径过滤系统文件产生的API流日志,排除干扰;
5.记录产生的网络通信记录;
6.利用已有规则对上述2、3和4步骤中的产生的结果进行分析,并给出最终结果。
其中,该方法中,利用系统已知文件名或者文件路径过滤存在以下缺点:
1.有潜在的风险,将与系统文件同名的病毒的API流日志漏掉;
2.针对替换系统文件的病毒手法,会将病毒的API流日志漏掉;
3.针对感染型病毒,感染系统文件后的病毒的API流日志漏掉;
4.针对文件映像指向系统正常文件,但内存内容为病毒的内容的API流日志漏掉;
5.针对将系统文件名改名并调用的病毒手法,会产生大量的垃圾信息。
发明内容
本发明要解决的技术问题是提供一种API日志监控方法及装置,可以精确判断API所属模块的安全性,并精确过滤掉无关的模块产生的API流记录,避免漏掉关键API流日志,从而使得到的API流日志更加全面,精确。
为解决上述技术问题,本发明的实施例提供一种API日志监控方法,包括:
确定目标样本运行过程中产生的所有进程中的模块以及后续动态加载的模块是否可信;
获得所述目标样本运行过程中产生的每一条API日志,若所述API日志所属的模块可信,则不记录所述API日志,否则,记录。
其中,所述确定目标样本运行过程中产生的所有进程中的模块以及后续动态加载的模块是否可信的步骤包括:
生成一可信文件列表;
获得所述目标样本运行过程中产生的所有进程中的模块以及后续动态加载的模块对应的系统文件以及所述模块对应的系统文件的标识;
若在所述可信文件列表中匹配到所述对应的系统文件的标识,则将所述对应的系统文件对应的模块标记为可信,否则,标记为不可信。
其中,所述生成一可信文件列表的步骤包括:
获得系统磁盘中每个系统文件的唯一标识;
将所述标识记录在一动态库文件中;
根据所述动态库文件,生成一可信文件列表。
其中,所述获得系统磁盘中每个系统文件的唯一标识的步骤包括:
对所述每个系统文件进行Hash运算,将得到的Hash值作为所述每个系统文件的唯一标识;其中,所述Hash值包括:对所述系统文件全文进行校验得到的第一校验值以及对所述系统文件的头部分进行校验得到的第二校验值;
所述动态库文件包括:顺序存储的所述每个系统文件的Hash值形成的序列。
其中,所述根据所述动态库文件,生成一可信文件列表的步骤包括:
从所述动态库文件的每个系统文件的Hash值形成的序列中,动态申请多个所述系统文件的Hash值,形成所述可信文件列表。
其中,所述获得所述目标样本运行过程中产生的所有进程中的模块以及后续动态加载的模块对应的系统文件,以及所述对应的系统文件的标识的步骤包括:
对所述目标样本运行过程中产生的进程及衍生进程中的所有模块以及后续动态加载的模块进行定位,获得所述模块对应的系统文件;
对所述模块对应的系统文件进行Hash运算,将得到的所述模块对应的系统文件的Hash值作为所述每个系统文件的唯一标识;其中,所述模块对应的系统文件的Hash值包括:对所述模块对应的系统文件全文进行校验得到的第三校验值以及对所述模块的内存影像的头部分进行校验得到的第四校验值。
其中,所述若在所述可信文件列表中匹配到所述对应的系统文件的标识,则将所述对应的系统文件对应的模块标记为可信,否则,标记为不可信的步骤包括:
根据所述第三校验值以及所述第四校验值,在所述可信文件列表中进行检索,若检索到与所述第三校验值相同的第一校验值以及与所述第四校验值相同的第二校验值,则将所述模块标记为可信,否则,标记为不可信。
其中,采用二分法,在所述可信文件列表中检索是否存在与所述第三校验值相同的第一校验值以及与所述第四校验值相同的第二校验值。
其中,所述Hash运算是64位Hash运算;所述第一校验值、所述第二校验值、所述第三校验值以及所述第四校验值均是采用CRC32校验算法进行校验获得的。
本发明的实施例还提供一种API日志监控装置,包括:
确定模块,用于确定目标样本运行过程中产生的所有进程中的模块以及后续动态加载的模块是否可信;
记录模块,用于获得所述目标样本运行过程中产生的每一条API日志,若所述API日志所属的模块可信,则不记录所述API日志,否则,记录。
本发明的上述技术方案的有益效果如下:
上述方案中,通过确定目标样本运行过程中产生的所有进程中的模块以及后动态加载的模块是否可信,若可信,则对该模块进行标记,并进一步判断目标样本运行过程中产生的每一条API日志所属的来源模块是否被标记为可信,若可信,则记录该条API,否则,不记录该条API;从而可以精确判断API所属模块的安全性,并精确过滤掉无关的模块产生的API流记录,避免漏掉关键API流日志,从而使得到的API流日志更加全面,精确。
附图说明
图1为本发明的实施例API日志监控方法流程图;
图2为图1所示方法中,判断模块是否可信的流程图;
图3为图1所示方法中,判断API日志是否被记录的流程图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
如图1所示,本发明的实施例提供一种API日志监控方法,包括:
步骤11,确定目标样本运行过程中产生的所有进程中的模块以及后续动态加载的模块是否可信;
步骤12,获得所述目标样本运行过程中产生的每一条API日志,若所述API日志所属的模块可信,则不记录所述API日志,否则,记录。
本发明的该实施例通过确定目标样本运行过程中产生的所有进程中的模块以及后动态加载的模块是否可信,若可信,则对该模块进行标记,并进一步判断目标样本运行过程中产生的每一条API日志所属的来源模块是否被标记为可信,若可信,则记录该条API,否则,不记录该条API;从而可以精确判断API所属模块的安全性,并精确过滤掉无关的模块产生的API流记录,避免漏掉关键API流日志,从而使得到的API流日志更加全面,精确。
在本发明的另一实施例中,包括上述步骤11和12的基础上,其中,步骤11具体可以包括:
步骤111,生成一可信文件列表;
步骤112,获得所述目标样本运行过程中产生的所有进程中的模块以及后续动态加载的模块对应的系统文件以及所述模块对应的系统文件的标识;
步骤113,若在所述可信文件列表中匹配到所述对应的系统文件的标识,则将所述对应的系统文件对应的模块标记为可信,否则,标记为不可信。
其中,步骤111可具体包括:
步骤1111,获得系统磁盘中每个系统文件的唯一标识;如遍历系统磁盘C盘中的所有系统文件(如可移植的执行体PE文件)
步骤1112,将所述标识记录在一动态库文件中,如一指定DB文件中;
步骤1113,根据所述动态库文件,生成一可信文件列表。
进一步地,步骤1111可具体包括:对所述每个系统文件进行Hash(哈希)运算,优选的,进行64位Hash运算,将得到的Hash值作为所述每个系统文件的唯一标识,其中,所述Hash值包括:对所述系统文件全文进行校验得到的第一校验值以及对所述系统文件的头部分进行校验得到的第二校验值;所述第一校验值、所述第二校验值均是采用CRC32校验算法进行校验获得的。
相应的,所述动态库文件包括:顺序存储的所述每个系统文件的Hash值形成的序列,如下表所示,最终得到动态库文件(DB文件)为顺序存储的文件Hash特征序列:
| file_sig_1 | file_sig_2 | file_sig_3 | ... |
进一步地,上述1113可以包括:从所述动态库文件的每个系统文件的Hash值形成的序列中,动态申请多个所述系统文件的Hash值,形成所述可信文件列表。
在本发明的另一实施例中,包括上述步骤111-113,以及步骤12的基础上,其中,步骤112包括:
步骤1121,对所述目标样本运行过程中产生的进程及衍生进程中的所有模块以及后续动态加载的模块进行定位,获得所述模块对应的系统文件;
步骤1122,对所述模块对应的系统文件进行Hash运算,优选的,进行64位Hash运算,将得到的所述模块对应的系统文件的Hash值作为所述每个系统文件的唯一标识,其中,所述模块对应的系统文件的Hash值包括:对所述模块对应的系统文件全文进行校验得到的第三校验值以及对所述模块的内存影像的头部分进行校验得到的第四校验值;其中,所述第三校验值、所述第四校验值均是采用CRC32校验算法进行校验获得的。
进一步地,上述步骤113可以具体包括:
步骤1131,根据所述第三校验值以及所述第四校验值,在所述可信文件列表中进行检索,若检索到与所述第三校验值相同的第一校验值以及与所述第四校验值相同的第二校验值,则将所述模块标记为可信,否则,标记为不可信。
具体地,对目标进程及其衍生进程中的所有已有模块及后续动态加载模块进行判断,根据模块路径定位到对应系统文件,对系统文件计算文件全文full_crc32特征,对模块的内存映像的头部分计算head_crc32特征,利用该两部分特征到可信文件列表中检索,若匹配成功标记模块可信,否则标记不可信,并将模块信息插入模块信息链表以备API监控阶段用于过滤。
优选的,采用二分法,在所述可信文件列表中检索是否存在与所述第三校验值相同的第一校验值以及与所述第四校验值相同的第二校验值。
本发明的上述实施例通过判断目标样本运行过程中的所有模块以及后续动态加载的模块是不可信,并采用了磁盘的系统文件Hash及内存映像Hash相结合的方式,判断模块是否可信,其中,磁盘的系统文件采用全文Hash,防止漏过感染代码导致校验被绕过;内存映像头部件Hash计算防止病毒通过修改内存映像的方式逃避检测;并进一步采用头部取特定长度数据计算Hash的方式(64位Hash以及CRC32校验),防止正常软件内存映像对特定字段正常修改导致校验失败。
与上述方法相应的,本发明的实施例还提供一种API日志监控装置,包括:
确定模块,用于确定目标样本运行过程中产生的所有进程中的模块以及后续动态加载的模块是否可信;
记录模块,用于获得所述目标样本运行过程中产生的每一条API日志,若所述API日志所属的模块可信,则不记录所述API日志,否则,记录。
其中,确定模块进一步用于完成如上述方法实施例中步骤111-113以及这些步骤的所有具体实现方式,因此,该装置的实施例也能达到与上述方法实施例相同的技术效果,在此不再赘述。
该装置实施例中,可以将该装置部署在一个安全干净的目标操作系统(以XP系统为例)中,确保该系统中不存在任何恶意文件。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (9)
1.一种API日志监控方法,其特征在于,包括:
确定目标样本运行过程中产生的所有进程中的模块以及目标样本运行过程中产生的所有进程中后续动态加载的模块是否可信;
获得所述目标样本运行过程中产生的每一条API日志,若所述API日志所属的模块可信,则不记录所述API日志,否则,记录所述API日志;其中,所述API日志所属的模块为目标样本运行过程中产生的所有进程中的模块或目标样本运行过程中产生的所有进程中后续动态加载的模块;
所述确定目标样本运行过程中产生的所有进程中的模块以及目标样本运行过程中产生的所有进程中后续动态加载的模块是否可信的步骤包括:
生成一可信文件列表;
获得所述目标样本运行过程中产生的所有进程中的模块以及目标样本运行过程中产生的所有进程中后续动态加载的模块的路径,根据所述路径定位到模块对应的系统文件,并获得所述模块对应的系统文件的标识;
若在所述可信文件列表中匹配到所述对应的系统文件的标识,则将所述对应的系统文件对应的模块标记为可信,否则,标记为不可信。
2.根据权利要求1所述的API日志监控方法,其特征在于,所述生成一可信文件列表的步骤包括:
获得系统磁盘中每个系统文件的唯一标识;
将所述标识记录在一动态库文件中;
根据所述动态库文件,生成一可信文件列表。
3.根据权利要求2所述的API日志监控方法,其特征在于,所述获得系统磁盘中每个系统文件的唯一标识的步骤包括:
对所述每个系统文件进行Hash运算,将得到的Hash值作为所述系统文件的唯一标识;其中,所述Hash值包括:对所述系统文件全文进行校验得到的第一校验值以及对所述系统文件的头部分进行校验得到的第二校验值;
所述动态库文件包括:顺序存储的所述每个系统文件的Hash值形成的序列。
4.根据权利要求3所述的API日志监控方法,其特征在于,所述根据所述动态库文件,生成一可信文件列表的步骤包括:
从所述动态库文件的每个系统文件的Hash值形成的序列中,动态申请多个所述系统文件的Hash值,形成所述可信文件列表。
5.根据权利要求3所述的API日志监控方法,其特征在于,所述获得所述目标样本运行过程中产生的所有进程中的模块以及目标样本运行过程中产生的所有进程中后续动态加载的模块的路径,根据所述路径定位到模块对应的系统文件,并获得所述模块对应的系统文件的标识的步骤包括:
获得对所述目标样本运行过程中产生的进程及衍生进程中的所有模块以及所述目标样本运行过程中产生的进程及衍生进程中后续动态加载的模块的路径,根据所述路径定位到所述模块对应的系统文件;
对所述模块对应的系统文件进行Hash运算,将得到的所述模块对应的系统文件的Hash值作为所述每个系统文件的唯一标识;其中,所述模块对应的系统文件的Hash值包括:对所述模块对应的系统文件全文进行校验得到的第三校验值以及对所述模块的内存影像的头部分进行校验得到的第四校验值。
6.根据权利要求5所述的API日志监控方法,其特征在于,所述若在所述可信文件列表中匹配到所述对应的系统文件的标识,则将所述对应的系统文件对应的模块标记为可信,否则,标记为不可信的步骤包括:
根据所述第三校验值以及所述第四校验值,在所述可信文件列表中进行检索,若检索到与所述第三校验值相同的第一校验值以及与所述第四校验值相同的第二校验值,则将所述模块标记为可信,否则,标记为不可信。
7.根据权利要求6所述的API日志监控方法,其特征在于,采用二分法,在所述可信文件列表中检索是否存在与所述第三校验值相同的第一校验值以及与所述第四校验值相同的第二校验值。
8.根据权利要求3-7任一项所述的API目志监控方法,其特征在于,所述Hash运算是64位Hash运算;所述第一校验值、所述第二校验值、所述第三校验值以及所述第四校验值均是采用CRC32校验算法进行校验获得的。
9.一种API日志监控装置,其特征在于,包括:
确定模块,用于确定目标样本运行过程中产生的所有进程中的模块以及目标样本运行过程中产生的所有进程中后续动态加载的模块是否可信;
记录模块,用于获得所述目标样本运行过程中产生的每一条API日志,若所述API日志所属的模块可信,则不记录所述API日志,否则,记录所述API日志;其中,所述API日志所属的模块为目标样本运行过程中产生的所有进程中的模块或目标样本运行过程中产生的所有进程中后续动态加载的模块;
所述确定模块具体用于:生成一可信文件列表;获得所述目标样本运行过程中产生的所有进程中的模块以及目标样本运行过程中产生的所有进程中后续动态加载的模块的路径,根据所述路径定位到模块对应的系统文件,并获得所述模块对应的系统文件的标识;若在所述可信文件列表中匹配到所述对应的系统文件的标识,则将所述对应的系统文件对应的模块标记为可信,否则,标记为不可信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210129761.8A CN102930207B (zh) | 2012-04-27 | 2012-04-27 | 一种api日志监控方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210129761.8A CN102930207B (zh) | 2012-04-27 | 2012-04-27 | 一种api日志监控方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102930207A CN102930207A (zh) | 2013-02-13 |
| CN102930207B true CN102930207B (zh) | 2015-11-04 |
Family
ID=47645004
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210129761.8A Active CN102930207B (zh) | 2012-04-27 | 2012-04-27 | 一种api日志监控方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102930207B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106202253A (zh) * | 2016-06-27 | 2016-12-07 | 安徽科成信息科技有限公司 | 一种网络日志在线监测更新方法 |
| CN106126671A (zh) * | 2016-06-27 | 2016-11-16 | 安徽科成信息科技有限公司 | 一种网络日志的更新方法 |
| CN106126672A (zh) * | 2016-06-27 | 2016-11-16 | 安徽科成信息科技有限公司 | 一种班班通网络监控日志的更新方法 |
| CN106202219A (zh) * | 2016-06-27 | 2016-12-07 | 安徽科成信息科技有限公司 | 一种网络监控日志的更新方法 |
| CN106201582A (zh) * | 2016-06-28 | 2016-12-07 | 安徽科成信息科技有限公司 | 一种数据后台更新系统 |
| CN106778276B (zh) * | 2016-12-29 | 2020-06-19 | 北京安天网络安全技术有限公司 | 一种检测无实体文件恶意代码的方法及系统 |
| CN109117420A (zh) * | 2017-06-23 | 2019-01-01 | 百度在线网络技术(北京)有限公司 | 操作日志记录方法和装置 |
| CN107608879B (zh) * | 2017-08-24 | 2020-08-21 | 北京珠穆朗玛移动通信有限公司 | 一种故障检测方法、装置和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1630252A (zh) * | 2003-12-16 | 2005-06-22 | 华为技术有限公司 | 宽带ip接入设备及在该设备中实现用户日志的方法 |
| CN1766778A (zh) * | 2004-10-29 | 2006-05-03 | 微软公司 | 用户可修改文件的有效白名单 |
| CN1983296A (zh) * | 2005-12-12 | 2007-06-20 | 北京瑞星国际软件有限公司 | 用于防止非法程序窃取用户信息的方法及装置 |
-
2012
- 2012-04-27 CN CN201210129761.8A patent/CN102930207B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1630252A (zh) * | 2003-12-16 | 2005-06-22 | 华为技术有限公司 | 宽带ip接入设备及在该设备中实现用户日志的方法 |
| CN1766778A (zh) * | 2004-10-29 | 2006-05-03 | 微软公司 | 用户可修改文件的有效白名单 |
| CN1983296A (zh) * | 2005-12-12 | 2007-06-20 | 北京瑞星国际软件有限公司 | 用于防止非法程序窃取用户信息的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102930207A (zh) | 2013-02-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102930207B (zh) | 一种api日志监控方法及装置 | |
| WO2017152877A1 (zh) | 网络威胁事件评估方法及装置 | |
| CN110443045B (zh) | 一种基于机器学习方法的模糊测试用例生成方法 | |
| CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
| CN111695119B (zh) | 一种基于细粒度静态污点分析与符号执行的web漏洞检测方法 | |
| KR101260028B1 (ko) | 악성코드 그룹 및 변종 자동 관리 시스템 | |
| CN111240991B (zh) | 一种抗隐式污点传播的动态污点检测方法及系统 | |
| Gascon et al. | Mining attributed graphs for threat intelligence | |
| Suthaharan et al. | Relevance feature selection with data cleaning for intrusion detection system | |
| KR20130134790A (ko) | 어플리케이션 무결성 정보 저장 방법 및 시스템, 어플리케이션 무결성 검사 방법 및 시스템 | |
| US11057425B2 (en) | Apparatuses for optimizing rule to improve detection accuracy for exploit attack and methods thereof | |
| US9992216B2 (en) | Identifying malicious executables by analyzing proxy logs | |
| CN105224600A (zh) | 一种样本相似度的检测方法及装置 | |
| IL265518B2 (en) | Management of security vulnerabilities | |
| CN104899510A (zh) | 针对可移动存储设备的病毒检测查杀方法 | |
| CN107193732A (zh) | 一种基于路径比对的校验函数定位方法 | |
| EP3692695B1 (en) | Intrusion investigation | |
| CN104766016A (zh) | 一种基于系统调用短序列的软件漏洞检测方法 | |
| Yang et al. | {PROGRAPHER}: An Anomaly Detection System based on Provenance Graph Embedding | |
| CN107920067B (zh) | 一种主动对象存储系统上的入侵检测方法 | |
| CN111104670B (zh) | 一种apt攻击的识别和防护方法 | |
| CN114741700B (zh) | 基于符号化污点分析的公共组件库漏洞可利用性分析方法及装置 | |
| Xuan et al. | New approach for APT malware detection on the workstation based on process profile | |
| US11507656B2 (en) | Ransomware detection and remediation | |
| Chen et al. | Detecting mobile application malicious behaviors based on data flow of source code |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100085 Beijing City, Haidian District Road 33, Jinshan building Xiaoying Co-patentee after: CONEW NETWORK TECHNOLOGY (BEIJING) Co.,Ltd. Patentee after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Co-patentee after: Beijing Cheetah Mobile Technology Co.,Ltd. Address before: 100085 Beijing City, Haidian District Road 33, Jinshan building Xiaoying Co-patentee before: CONEW NETWORK TECHNOLOGY (BEIJING) Co.,Ltd. Patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Co-patentee before: SHELL INTERNET (BEIJING) SECURITY TECHNOLOGY Co.,Ltd. |