CN103078864B - 一种基于云安全的主动防御文件修复方法 - Google Patents
一种基于云安全的主动防御文件修复方法 Download PDFInfo
- Publication number
- CN103078864B CN103078864B CN201310009102.5A CN201310009102A CN103078864B CN 103078864 B CN103078864 B CN 103078864B CN 201310009102 A CN201310009102 A CN 201310009102A CN 103078864 B CN103078864 B CN 103078864B
- Authority
- CN
- China
- Prior art keywords
- program
- behavior
- database
- performance
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 230000007123 defense Effects 0.000 title claims abstract description 20
- 230000008439 repair process Effects 0.000 title claims abstract description 7
- 230000000977 initiatory effect Effects 0.000 claims abstract description 9
- 230000006399 behavior Effects 0.000 claims description 188
- 230000008859 change Effects 0.000 claims description 8
- 241001269238 Data Species 0.000 claims description 4
- 238000004364 calculation method Methods 0.000 claims description 2
- 238000004458 analytical method Methods 0.000 description 17
- 238000005516 engineering process Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 241000700605 Viruses Species 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 5
- 238000012896 Statistical algorithm Methods 0.000 description 2
- 238000010835 comparative analysis Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 238000013178 mathematical model Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000035772 mutation Effects 0.000 description 1
- 210000004218 nerve net Anatomy 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于云安全的主动防御文件修复方法,包括:客户端对其上一程序发起的程序行为和/或发起该行为的程序的程序特征进行收集,发送到服务器端;服务器端根据所述客户端发送来的所述程序行为,基于数据库中被列入黑名单的程序,确定所述客户端被感染文件的信息;服务器端根据被感染文件的信息,将存储于数据库中的一份完好的对应文件下载至客户端,覆盖被感染文件。本发明引入云安全架构并基于主动防御使用行为特征进行恶意程序查杀以修复文件,保证了网络安全。
Description
本发明专利申请是申请日为2010年08月18日、申请号为201010256989.4、名称为“一种基于云安全的主动防御方法”的中国发明专利申请的分案申请。
技术领域
本发明属于网络安全领域,具体地说,涉及一种基于云安全的主动防御方法。
背景技术
恶意程序是一个概括性的术语,指任何故意创建用来执行未经授权并通常是有害行为的软件程序。计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒(batch,windowsshell,java等)、木马、犯罪软件、间谍软件和广告软件等等,都是一些可以称之为恶意程序的例子。
传统的恶意程序防杀主要依赖于特征库模式。特征库是由厂商收集到的恶意程序样本的特征码组成,而特征码则是分析工程师从恶意程序中找到和正当软件的不同之处,截取一段类似于“搜索关键词”的程序代码。当查杀过程中,引擎会读取文件并与特征库中的所有特征码“关键词”进行匹配,如果发现文件程序代码被命中,就可以判定该文件程序为恶意程序。
特征库匹配是查杀已知恶意程序很有效的一项技术。但是现今全球恶意程序数量呈几何级增长,基于这种爆发式的增速,特征库的生成与更新往往是滞后的,很多时候杀毒软件无法防杀层出不穷的未知恶意程序。
主动防御随之应运而生,其是基于程序行为自主分析判断的实时防护技术,不以特征码作为判断恶意程序的依据,而是从最原始的定义出发,直接将程序的行为作为判断恶意程序的依据,其中衍生出在本地使用特征库、在本地设置行为阈值以及在本地启发式杀毒的方式来判别、拦截恶意程序的行为,从而一定程度上达到保护用户电脑的目的。
但是上述本地主动防御手段也不可避免的存在弊端。首先,本地主动防御很容易对恶意程序造成免杀,例如,通过对恶意程序加壳或修改该恶意程序的特征码即可以避开本地主动防御的特征库防杀模式;通过针对恶意程序的行为,减少或替换恶意程序执行的相关行为从而避免触发行为阈值防杀模式的启动上限。另外,本地主动防御还是要依赖于本地数据库的及时更新。
发明内容
有鉴于此,本发明所要解决的技术问题是提供了一种基于云安全的主动防御文件修复方法,不依赖于本地数据库,并且将主动防御的分析比对操作和对客户端的文件修复放在服务器端完成。
为了解决上述技术问题,本发明公开了一种基于云安全的主动防御文件修复方法,包括:客户端对其上一程序发起的程序行为和/或发起该行为的程序的程序特征进行收集,发送到服务器端;服务器端根据所述客户端发送来的所述程序行为,基于数据库中被列入黑名单的程序,确定所述客户端被感染文件的信息;服务器端根据被感染文件的信息,将存储于数据库中的一份完好的对应文件下载至客户端,覆盖被感染文件。
进一步地,所述程序行为,包括:所述程序行为的本体及该程序行为的目标的属性;所述程序行为的目标的属性,包括:行为目标本身所属的黑白等级、所处于系统中的位置、类型、行为目标所作出行为本体及其所属的黑白等级。
进一步地,所述服务器端根据所述客户端发来的其上发起该程序行为的程序的程序特征,与所述数据库保存的黑名单的特征码进行比对,如果命中,则判定所述程序为恶意程序,并反馈给所述客户端。进一步地,所述服务器端根据所收集到的所述客户端上一程序作出的一串程序行为,与所述数据库保存的认定的恶意行为序列进行比对,对其中命中的程序行为的权重值进行累加,并比对该累加值是否超过一预设阈值,如果超过所述阈值则判定所述程序为恶意程序,并反馈给对应的客户端计算机。
进一步地,所述服务器端对其数据库中保存的各恶意行为赋予相应的权重值,权重值的设置根据技术人员经验或根据所收集的大量客户端数据通过统计学计算获得。进一步地,所述服务器端根据所收集到的所述客户端上一程序作出的一串程序行为,与所述数据库保存的认定的恶意行为序列进行比对,对其中命中的程序行为的权重值进行累加,并比对该累加值是否超过一预设阈值,如果超过所述阈值则对所述程序进行分析,获取其特征码,根据其特征码与所述数据库保存的黑名单的特征码进行比对,如果命中,则判定所述程序为恶意程序,并反馈给所述客户端。
进一步地,服务器端根据所述程序特征和/或程序行为在其数据库中进行分析比对,根据比对结果对所述程序进行判定的步骤,还包括一更新步骤:所述服务器端将所述恶意程序的程序特征和/或恶意程序行为实时或周期性更新到所述数据库保存。
进一步地,客户端对一程序行为和/或发起该行为的程序的程序特征进行收集并发送到服务器端的步骤之前,还包括:由客户端收集程序特征及其对应的程序行为,并传送至服务器端;在服务器端数据库中记录不同的程序特征及其对应的程序行为,以及黑/白名单;根据现有已知黑/白名单中的程序特征及其对应的程序行为,对未知程序特征及程序行为进行分析,以更新黑/白名单。
进一步地,所述对未知程序特征及其程序行为进行分析的步骤,包括:如果未知程序特征与现有黑/白名单中的已知程序特征相同,则将该未知程序特征及其程序行为列入黑/白名单;如果未知程序行为与现有黑/白名单中的已知程序行为相同或近似,则将该未知程序行为及其程序特征列入黑/白名单;当某程序行为被列入黑/白名单时,在数据库中将该程序行为对应的程序特征列入黑/白名单,并将与该程序行为有关联关系的其他程序行为和程序特征也列入黑/白名单;和/或当某程序特征被列入黑/白名单时,在数据库中将该程序特征对应的程序行为列入黑/白名单,并将与该程序特征有关联关系的其他程序行为和程序特征也列入黑/白名单。
进一步地,还包括:在具有相同或近似行为的程序之间建立行为与特征的关联关系,根据所述具有相同或近似行为的程序之间的关联关系,对未知程序特征及程序行为进行分析,以更新黑/白名单;在数据库中针对被列入黑名单的程序,进一步记录该程序的逆向行为,以在确认客户端计算机中存在该被列入黑名单的程序时,执行所述逆向行为;在数据库中针对被列入黑名单的程序,根据该程序的行为,确定客户端计算机被感染文件的信息,根据被感染文件的信息,将存储于数据库中的一份完好的对应文件下载至客户端计算机中覆盖被感染文件;和/或在数据库中进一步记录在一预设时间内由不同客户端计算机收集到的相同的程序特征的数量变化,如果在一预设时间内,由不同客户端计算机收集到的某个未知程序特征的数量增减超过阈值,则在数据库中将该程序特征及其对应的程序行为列入黑名单。
进一步地,将存储于数据库中的一份完好的对应文件下载至客户端,包括:服务器端对被感染文件的信息的获取,是通过文件路径、系统版本、及相关联到的应用程序组件信息,在数据库中查询而确定的。
与现有的方案相比,本发明所获得的技术效果:
本发明引入云安全架构,将所有“云安全”客户端与“云安全”服务器实时连接,客户端不断采集上报更新,在服务器端组成一庞大的恶意程序数据库,并将主动防御的分析比对操作放在服务器端完成,从而使整个云安全网络成为一主动防御工具;针对具有威胁的程序行为进行收集并保存在服务器的数据库中,在服务器端进行恶意软件分析时支持直接使用程序行为进行恶意程序判定。
另外,本发明还通过客户端收集程序行为并关联到程序特征,从而在数据库中记录程序特征及其对应的程序行为,根据收集到的程序行为和程序特征的关联关系,可以在数据库中对样本进行分析归纳,从而有助于对软件或程序进行黑白的分类判别,还可以针对黑名单中的恶意软件制定相应的清除或恢复措施
附图说明
图1为本发明的基于云安全的主动防御模式的流程图;
图2为根据本发明实施例所述的基于云的样本数据库动态维护方法流程图;
图3为根据本发明实施例所述的关联关系示意图;
图4为根据本发明实施例所述的文件恢复流程图;
图5为根据本发明实施例所述的分析流程示意图;
图6为本发明的实施模式示意图。
具体实施方式
以下将配合图式及实施例来详细说明本发明的实施方式,藉此对本发明如何应用技术手段来解决技术问题并达成技术功效的实现过程能充分理解并据以实施。
本发明的核心构思在于:通过大量客户端计算机对各种程序的程序特征、程序行为和/或程序属性进行收集,发送到服务器端;服务器端进行分析比对,根据比对结果对该程序进行判定,并反馈给对应的客户端计算机;所述客户端计算机根据反馈的判定结果决定是否对该程序行为进行拦截、终止执行该程序和/或清理该程序,恢复系统环境。
下面对于由大量客户端计算机102-服务器端104构成的基于云安全的主动防御模式进行说明。
云结构就是一个大型的客户端/服务器(CS)架构,如图6所示,为本发明的实施模式示意图。
参考图1为本发明的基于云安全的主动防御模式的流程图,包括:
S1,通过大量客户端计算机对各种程序的程序行为(可以是单一行为,也可以是一组行为的组合)和/或发起该程序行为的程序的程序特征进行收集,发送到服务器端;
S2,服务器端根据所收集到的每一台客户端计算机上的一程序的程序特征和/或程序行为在服务器的数据库进行分析比对,根据比对结果对该程序进行判定,并反馈给对应的客户端计算机;
S3,对应客户端计算机根据反馈的判定结果决定是否对该程序行为进行拦截、终止执行该程序和/或清理该程序,恢复系统环境。
程序行为可以一程序是直接作出的行为,也可以是该程序并不直接做出行为,而是控制另一目标程序间接做出行为,因此所述程序行为包括:程序行为本体及该行为目标的属性;
所述行为目标的属性,包括:行为目标本身所属的黑白等级(即恶意或非恶意)、所处于系统中的位置(如处于引导区等等)、类型(如可执行文件、备份文件等类型),也可以扩展包括行为目标所作出行为所属的黑白等级、行为本身等等。
上述程序行为,可以是例如驱动加载行为,文件生成行为,程序或代码的加载行为,添加系统启动项行为,或文件或程序的修改行为等,或者是一系列行为的组合。
上述程序特征,可以是经由MD5(Message-DigestAlgorithm5,信息-摘要算法)运算得出的MD5验证码,或SHA1码,或CRC(CyclicRedundancyCheck,循环冗余校验)码等可唯一标识原程序的特征码。
对于步骤S2,服务器端对大量客户端计算机所采集的各种程序的程序特征和/或程序行为(可以是单一行为,也可以是一组行为的组合)进行判定分析的机制,可以由以下一种或多种方式的组合实现:
1)所述服务器端根据所收集到的一台客户端计算机上一程序的程序特征,与所述数据库保存的黑名单的特征码进行比对,如果命中,则判定所述程序为恶意程序,并反馈给对应的客户端计算机;
2)所述服务器端根据所收集到的一台客户端计算机上一程序作出的一串程序行为,与所述数据库保存的认定的恶意行为序列进行比对,对其中命中的程序行为的权重值累加,并比对该累加值是否超过一预设阈值(阈值可由技术人员根据经验设定),如果超过所述阈值则判定所述程序为恶意程序,并反馈给对应的客户端计算机;
其中,在数据库中保存的各恶意行为赋予相应的权重值;权重值的设置根据技术人员经验或根据所收集的大量客户端数据通过统计学算法获得。
以下通过一应用实例对上述基于行为阈值的判定方式进行详细解释。服务器端从一客户计算机收集到的一程序A的四个程序行为PA1、PA2、PA3、PA4,然后对这四个程序行为PA1、PA2、PA3、PA4在其数据库中保存的恶意行为序列进行比对,结果程序行为PA1、PA2、PA3命中而PA4未命中,说明三个程序行为PA1、PA2、PA3是恶意的;
此时服务器端再通过对服务器数据库中的恶意行为预先设定的权重值对恶意行为程序行为PA1、PA2、PA3进行累加,比如服务器端已预先设定了其数据库中保存的恶意程序行为PA1的权重值为1,恶意程序行为PA2的权重值为2,恶意程序行为PA3的权重值为3,这样三者的累加值等于6,服务器用这个累加值6与其预设的行为阈值比对,假设行为阈值已预先设定为5,显然累加值大于行为阈值,所以即可以判定做出上述程序行为PA1、PA2、PA3的程序A为恶意程序。
在数据库中保存的各恶意行为,假设包括:删除注册表启动项或服务、终止电脑安全程序工具的进程、弱口令破解局域网其他电脑的管理员帐号并复制传播、修改注册表键值导致不能查看隐藏文件和系统文件、尝试破坏硬盘分区下的文件、删除用户的系统备份文件等等,对这些恶意行为可以根据技术人员经验判断其破坏程度或严重性,从而对破坏程度或严重性高的恶意行为赋予更大的权重值;另外在实作中也可以通过收集的大量客户端数据,根据恶意程序行为的上报频率、破坏范围等一系列参数建立数学模型,通过统计学算法获得各恶意行为的权重并分配权重值。
3)所述服务器端根据所收集到的一台客户端计算机上一程序作出的一串程序行为,与所述数据库保存的认定的恶意行为序列进行比对,对其中命中的程序行为的权重值累加,并比对该累加值是否超过一预设阈值,如果超过所述阈值则对所述程序进行分析,获取其特征码,根据其特征码与所述数据库保存的黑名单的特征码进行比对,如果命中,则判定所述程序为恶意程序,并反馈给对应的客户端计算机。
此处基于行为阈值的判断的过程与方式2)相同,与方式2)的区别在于其不通过行为阈值的判断直接确定恶意程序,而是通过行为阈值的判断筛选出程序再进行特征码检测,从而判断恶意程序。
在上述判定分析的机制中,所述服务器端一旦判定上述程序为恶意程序,则将所述恶意程序的程序特征和/或恶意行为实时或周期性更新到所述数据库保存;
在客户端计算机达到一定数量的前提下,所述服务器端可以通过客户端计算机的大量采集上报在很短的时间内更新服务器端的数据库。
上述服务器数据库的更新,在下面样本数据库的构建及动态维护的部分详细讨论。
下面对于服务器端的数据库的构建及动态维护进行下说明。
如图2所示,为根据本发明实施例所述的基于云的样本数据库动态维护方法流程图,首先,由客户端计算机收集程序特征及其对应的程序行为,并传送至服务器端(步骤202);然后在服务器端数据库中记录不同的程序特征及其对应的程序行为,以及黑/白名单(步骤204);根据现有已知黑/白名单中的程序特征及其对应的程序行为,对未知程序特征及程序行为进行分析,以更新黑/白名单(步骤206)。
由于在数据库中记录了程序特征及该特征对应的行为记录,因此可以结合已知黑/白名单对未知程序进行分析。
例如,如果未知程序特征与现有黑/白名单中的已知程序特征相同,则将该未知程序特征及其程序行为都列入黑/白名单。
如果未知程序行为与现有黑/白名单中的已知程序行为相同或近似,则将该未知程序行为及其程序特征都列入黑/白名单。
由于有些恶意程序通过变种或加壳等技术可以改变特征码,但其行为则不会有很大改变,因此,通过程序行为记录的对比分析,可以较为便捷的确定一些未知程序是否为恶意程序。这种对比分析有时候不需要对程序的行为本身做追踪分析,只需要简单的与现有黑/白名单中的已知程序行为做比对即可判定未知程序的性质。
通过数据库中的记录分析,我们可以发现,有一些程序的行为相同或近似,但程序特征不同,这时,只要我们在具有相同或近似行为的程序之间建立行为与特征的关联关系,并根据这种关联关系,就可以更便捷的对未知程序特征及程序行为进行分析,以更新黑/白名单。
如图3所示,为根据本发明实施例所述的关联关系示意图。假设未知程序A、B和C的特征分别为A、B和C,其各自对应的程序行为为A1~A4,B1~B4,C1~C4。如果经过分析发现程序行为A1~A4,B1~B4,C1~C4之间实质上相同或非常近似,那么就可以在特征A、B、C和行为A1~A4,B1~B4,C1~C4之间建立特征与行为的关联关系。
通过这种关联关系,在某些条件下可以更加快捷的自扩展的对数据库进行维护。例如,当程序B的程序行为B1~B4被确认为恶意程序行为并被列入黑名单时,可以在数据库中自动将与该程序行为对应的程序特征B列入黑名单,同时,根据关联关系,可以自动将与该程序行为有关联关系的程序行为A1~A4,C1~C4及对应的程序特征A,特征C也列入黑/白名单。
再例如,如果最初时程序A、B和C都属于黑白未知的程序,而经由其他恶意程序查杀途径,程序特征B首先被确认为属于恶意程序的特征,则在数据库中不仅可以自动将行为B1~B4的组合列入黑名单,还可以根据关联关系,将具有相同或近似行为的特征A和C也列入黑名单,并将程序行为A1~A4,C1~C4也列入黑名单。
本发明由于在数据库中记录了程序特征对应的行为,这就使得对未知程序的行为分析提供了很大的便利。例如,如果对加载驱动的行为感兴趣时,可以将全部带有加载驱动行为的程序行为调出来综合分析,如果现有黑名单中带有加载驱动行为的样板中,在加载驱动之后一般都跟随一个特殊的文件生成行为,那么对于未知程序中同样带有类似行为组合的程序行为就应列入风险提示或直接列入黑名单。
本发明上述分析方法不限于此,还可以利用类似于决策树,贝叶斯算法,神经网域计算等方法,或者使用简单的阈值分析,都可以在本发明的数据库基础上得到很好的应用。
此外,还可以在数据库中针对被列入黑名单的程序,进一步记录该程序的逆向行为,以在确认客户端计算机中存在该被列入黑名单的程序时,执行所述逆向行为。
例如,根据前台收集到的信息,在依据云查杀或其他如特征码方式查出某个程序是恶意程序后,可以根据所述记录的逆向行为执行恢复动作。
对于一些无法通过执行逆向行为得到恢复的文件,还可以通过替换的方式得到恢复,如图4所示,为根据本发明实施例所述的文件恢复流程图,首先在数据库中针对被列入黑名单的程序,根据该程序的行为,确定客户端计算机被感染文件的信息(步骤402);然后根据被感染文件的信息,将存储于数据库中的一份完好的对应文件下载至客户端计算机中覆盖被感染文件(步骤404)。
对于被感染文件的信息的获取,可以通过文件路径,系统版本,相关联到的应用程序组件等信息在数据库中查询确定。
另外,由于本发明利用大量客户端计算机收集程序行为和程序特征的方式将相关信息记录于数据库中,因此,还可以通过监测分析某一程序在短时期内的传播速度来判定程序的属性。请参考图5,为根据本发明实施例所述的分析流程示意图,首先在数据库中进一步记录在一预设时间内由不同客户端计算机收集到的相同的程序特征的数量变化(步骤502);然后根据所述程序特征的数量变化,对未知程序特征及程序行为进行分析,以更新黑/白名单(步骤504)。
例如,如果在一预设时间内,由不同客户端计算机收集到的某个未知程序特征的数量增减超过阈值,则在数据库中将该程序特征及其对应的程序行为列入黑名单。
利用这种方式,将前台采集到的程序信息传到后台服务器集群,如果这个程序是一个木马程序,但它不再做任何传播,则是一个安安静静的死马,这时就可以认为这个木马没有威胁,但如果这个木马又传播到一个新的机器里面,则利用本发明就可以很快感知到,因为这台客户端计算机也会向服务器报告,当100、500、1000台机器报告了,服务器数据库就会统计收集到的数量增长的信息,并进行分析和反馈,在一个很短的时间内该程序的增长数量超过了阈值,或者出现了很多与这个程序的行为具有相似行为的变形程序,利用本发明就可以自动的进行分析和判定,一旦判断完成就可以加入黑名单中,并且利用本发明还可以动态的自扩展的更新数据库黑名单,极大的提高了数据库维护以及程序分析的效率。
上述说明示出并描述了本发明的若干优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (11)
1.一种基于云安全的主动防御文件修复方法,其特征在于,包括:
客户端对其上一程序发起的程序行为和/或发起该行为的程序的程序特征进行收集,发送到服务器端;
服务器端根据所述客户端发送来的所述程序行为,基于数据库中被列入黑名单的程序,确定所述客户端被感染文件的信息;
服务器端根据被感染的文件中无法通过执行逆向行为得到恢复的文件的信息,将存储于数据库中的一份完好的对应文件下载至客户端,覆盖所述被感染的文件中无法通过执行逆向行为得到恢复的文件。
2.如权利要求1所述的方法,其特征在于,
所述程序行为,包括:所述程序行为的本体及该程序行为的目标的属性;
所述程序行为的目标的属性,包括:行为目标本身所属的黑白等级、所处于系统中的位置、类型、行为目标所作出行为本体及其所属的黑白等级。
3.如权利要求1所述的方法,其特征在于,所述服务器端根据所述客户端发来的其上发起该程序行为的程序的程序特征,与所述数据库保存的黑名单的特征码进行比对,如果命中,则判定所述程序为恶意程序,并反馈给所述客户端。
4.如权利要求2所述的方法,其特征在于,所述服务器端根据所收集到的所述客户端上一程序作出的一串程序行为,与所述数据库保存的认定的恶意行为序列进行比对,对其中命中的程序行为的权重值进行累加,并比对该累加值是否超过一预设阈值,如果超过所述阈值则判定所述程序为恶意程序,并反馈给对应的客户端计算机。
5.如权利要求4所述的方法,其特征在于,所述服务器端对其数据库中保存的各恶意行为赋予相应的权重值,权重值的设置根据技术人员经验或根据所收集的大量客户端数据通过统计学计算获得。
6.如权利要求2所述的方法,其特征在于,所述服务器端根据所收集到的所述客户端上一程序作出的一串程序行为,与所述数据库保存的认定的恶意行为序列进行比对,对其中命中的程序行为的权重值进行累加,并比对该累加值是否超过一预设阈值,如果超过所述阈值则对所述程序进行分析,获取其特征码,根据其特征码与所述数据库保存的黑名单的特征码进行比对,如果命中,则判定所述程序为恶意程序,并反馈给所述客户端。
7.如权利要求3、4或6所述的方法,其特征在于,服务器端根据所述程序特征和/或程序行为在其数据库中进行分析比对,根据比对结果对所述程序进行判定的步骤,还包括一更新步骤:
所述服务器端将所述恶意程序的程序特征和/或恶意程序行为实时或周期性更新到所述数据库保存。
8.如权利要求2所述的方法,其特征在于,客户端对一程序行为和/或发起该行为的程序的程序特征进行收集并发送到服务器端的步骤之前,还包括:
由客户端收集程序特征及其对应的程序行为,并传送至服务器端;
在服务器端数据库中记录不同的程序特征及其对应的程序行为,以及黑/白名单;
根据现有已知黑/白名单中的程序特征及其对应的程序行为,对未知程序特征及程序行为进行分析,以更新黑/白名单。
9.如权利要求8所述的方法,其特征在于,所述对未知程序特征及其程序行为进行分析的步骤,包括:
如果未知程序特征与现有黑/白名单中的已知程序特征相同,则将该未知程序特征及其程序行为列入黑/白名单;
如果未知程序行为与现有黑/白名单中的已知程序行为相同或近似,则将该未知程序行为及其程序特征列入黑/白名单;
当某程序行为被列入黑/白名单时,在数据库中将该程序行为对应的程序特征列入黑/白名单,并将与该程序行为有关联关系的其他程序行为和程序特征也列入黑/白名单;和/或
当某程序特征被列入黑/白名单时,在数据库中将该程序特征对应的程序行为列入黑/白名单,并将与该程序特征有关联关系的其他程序行为和程序特征也列入黑/白名单。
10.如权利要求9所述的方法,其特征在于,进一步包括:
在具有相同或近似行为的程序之间建立行为与特征的关联关系,根据所述具有相同或近似行为的程序之间的关联关系,对未知程序特征及程序行为进行分析,以更新黑/白名单;
在数据库中针对被列入黑名单的程序,进一步记录该程序的逆向行为,以在确认客户端计算机中存在该被列入黑名单的程序时,执行所述逆向行为;
在数据库中针对被列入黑名单的程序,根据该程序的行为,确定客户端计算机被感染文件的信息,根据被感染文件的信息,将存储于数据库中的一份完好的对应文件下载至客户端计算机中覆盖被感染文件;和/或
在数据库中进一步记录在一预设时间内由不同客户端计算机收集到的相同的程序特征的数量变化,如果在一预设时间内,由不同客户端计算机收集到的某个未知程序特征的数量增减超过阈值,则在数据库中将该程序特征及其对应的程序行为列入黑名单。
11.如权利要求1所述的方法,其特征在于,将存储于数据库中的一份完好的对应文件下载至客户端,包括:服务器端对被感染文件的信息的获取,是通过文件路径、系统版本、及相关联到的应用程序组件信息,在数据库中查询而确定的。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102569894A CN101924762B (zh) | 2010-08-18 | 2010-08-18 | 一种基于云安全的主动防御方法 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010102569894A Division CN101924762B (zh) | 2010-08-18 | 2010-08-18 | 一种基于云安全的主动防御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103078864A CN103078864A (zh) | 2013-05-01 |
CN103078864B true CN103078864B (zh) | 2015-11-25 |
Family
ID=43339406
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010102569894A Active CN101924762B (zh) | 2010-08-18 | 2010-08-18 | 一种基于云安全的主动防御方法 |
CN201310009102.5A Active CN103078864B (zh) | 2010-08-18 | 2010-08-18 | 一种基于云安全的主动防御文件修复方法 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010102569894A Active CN101924762B (zh) | 2010-08-18 | 2010-08-18 | 一种基于云安全的主动防御方法 |
Country Status (3)
Country | Link |
---|---|
US (2) | US9177141B2 (zh) |
CN (2) | CN101924762B (zh) |
WO (1) | WO2012022225A1 (zh) |
Families Citing this family (86)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101924762B (zh) | 2010-08-18 | 2013-02-27 | 北京奇虎科技有限公司 | 一种基于云安全的主动防御方法 |
CN102082802A (zh) * | 2011-03-01 | 2011-06-01 | 陈彪 | 一种基于行为的移动终端的安全防护系统和方法 |
US20130074143A1 (en) * | 2011-09-15 | 2013-03-21 | Mcafee, Inc. | System and method for real-time customized threat protection |
US8584235B2 (en) * | 2011-11-02 | 2013-11-12 | Bitdefender IPR Management Ltd. | Fuzzy whitelisting anti-malware systems and methods |
CN102811213A (zh) * | 2011-11-23 | 2012-12-05 | 北京安天电子设备有限公司 | 基于模糊哈希算法的恶意代码检测系统及方法 |
CN102413142A (zh) * | 2011-11-30 | 2012-04-11 | 华中科技大学 | 基于云平台的主动防御方法 |
CN103136476A (zh) * | 2011-12-01 | 2013-06-05 | 深圳市证通电子股份有限公司 | 移动智能终端恶意软件分析系统 |
CN103259806B (zh) * | 2012-02-15 | 2016-08-31 | 深圳市证通电子股份有限公司 | Android智能终端应用程序安全检测的方法及系统 |
CN103365882A (zh) * | 2012-03-30 | 2013-10-23 | 网秦无限(北京)科技有限公司 | 一种移动终端上垃圾文件清理的方法和系统 |
CN103369003A (zh) * | 2012-03-30 | 2013-10-23 | 网秦无限(北京)科技有限公司 | 一种利用云计算扫描移动设备的冗余文件的方法和系统 |
CN103377072B (zh) * | 2012-04-25 | 2016-05-04 | 腾讯科技(深圳)有限公司 | 拦截处理方法和移动终端 |
CN104715200A (zh) * | 2012-05-04 | 2015-06-17 | 北京奇虎科技有限公司 | 一种病毒apk的识别方法及装置 |
CN102708320B (zh) * | 2012-05-04 | 2015-05-06 | 北京奇虎科技有限公司 | 一种病毒apk的识别方法及装置 |
US9503463B2 (en) * | 2012-05-14 | 2016-11-22 | Zimperium, Inc. | Detection of threats to networks, based on geographic location |
CN102752290B (zh) * | 2012-06-13 | 2016-06-01 | 深圳市腾讯计算机系统有限公司 | 一种云安全系统中的未知文件安全信息确定方法和装置 |
CN102855440B (zh) * | 2012-09-13 | 2015-09-02 | 北京奇虎科技有限公司 | 一种检测加壳可执行文件的方法、装置和系统 |
CN102932329B (zh) * | 2012-09-26 | 2016-03-30 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
CN102945345B (zh) * | 2012-10-24 | 2015-11-18 | 珠海市君天电子科技有限公司 | 一种基于非文件特征维度的新计算机病毒监控系统及方法 |
CN103795695A (zh) * | 2012-10-31 | 2014-05-14 | 珠海市君天电子科技有限公司 | 自学习的文件鉴定方法及系统 |
CN103020118B (zh) * | 2012-11-14 | 2016-09-28 | 北京奇虎科技有限公司 | 用于应用程序的安全属性识别方法和装置 |
CN102982284B (zh) * | 2012-11-30 | 2016-04-20 | 北京奇虎科技有限公司 | 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统 |
CN103384240B (zh) * | 2012-12-21 | 2016-09-07 | 北京安天电子设备有限公司 | 一种p2p主动防御方法及系统 |
CN103530557B (zh) * | 2013-03-12 | 2017-02-08 | Tcl集团股份有限公司 | 一种基于云端海量样本的病毒apk的扫描方法及系统 |
CN103309937A (zh) * | 2013-04-19 | 2013-09-18 | 无锡成电科大科技发展有限公司 | 一种云平台内容监管的方法 |
CN104123494B (zh) * | 2013-04-24 | 2017-12-29 | 贝壳网际(北京)安全技术有限公司 | 恶意软件动态行为分析系统的预警方法及装置 |
CN103310154B (zh) * | 2013-06-04 | 2016-12-28 | 腾讯科技(深圳)有限公司 | 信息安全处理的方法、设备和系统 |
CN103440145A (zh) * | 2013-08-16 | 2013-12-11 | 广东欧珀移动通信有限公司 | 一种应用程序更新方法、装置及移动终端 |
CN103500311B (zh) * | 2013-09-30 | 2016-08-31 | 北京金山网络科技有限公司 | 软件检测方法及系统 |
KR101388090B1 (ko) * | 2013-10-15 | 2014-04-22 | 펜타시큐리티시스템 주식회사 | 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법 |
US10223530B2 (en) * | 2013-11-13 | 2019-03-05 | Proofpoint, Inc. | System and method of protecting client computers |
CN103618626A (zh) * | 2013-11-28 | 2014-03-05 | 北京奇虎科技有限公司 | 一种基于日志的安全分析报告生成的方法和系统 |
CN103605924B (zh) * | 2013-11-28 | 2016-08-24 | 北京奇虎科技有限公司 | 一种防止恶意程序攻击网络支付页面的方法及装置 |
CN103679026B (zh) * | 2013-12-03 | 2016-11-16 | 西安电子科技大学 | 一种云计算环境下的恶意程序智能防御系统及防御方法 |
CN103685254B (zh) * | 2013-12-05 | 2017-11-14 | 奇智软件(北京)有限公司 | 公共账号信息的安全检测方法与服务器 |
CN103679034B (zh) * | 2013-12-26 | 2016-04-13 | 南开大学 | 一种基于本体的计算机病毒分析系统及其特征提取方法 |
CN103679033A (zh) * | 2013-12-30 | 2014-03-26 | 珠海市君天电子科技有限公司 | 流氓软件的检测方法及装置、终端 |
CN103747079B (zh) * | 2013-12-31 | 2018-06-15 | 金蝶软件(中国)有限公司 | 基于云端的企业erp环境检测方法及系统 |
CN103761478B (zh) * | 2014-01-07 | 2016-11-23 | 北京奇虎科技有限公司 | 恶意文件的判断方法及设备 |
CN105282091B (zh) * | 2014-06-05 | 2017-12-12 | 腾讯科技(深圳)有限公司 | 安全应用的服务器检测方法及其系统 |
CN104135479A (zh) * | 2014-07-29 | 2014-11-05 | 腾讯科技(深圳)有限公司 | 云端实时防御方法及系统 |
CN104361282A (zh) * | 2014-10-31 | 2015-02-18 | 中国联合网络通信集团有限公司 | 移动终端安全防护方法及装置 |
CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及系统 |
CN105488385A (zh) * | 2014-12-31 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种用于穿戴式智能设备的模拟监测方法与系统 |
CN104715196B (zh) * | 2015-03-27 | 2017-05-31 | 北京奇虎科技有限公司 | 智能手机应用程序的静态分析方法及系统 |
US9769195B1 (en) * | 2015-04-16 | 2017-09-19 | Symantec Corporation | Systems and methods for efficiently allocating resources for behavioral analysis |
CN104966018A (zh) * | 2015-06-18 | 2015-10-07 | 华侨大学 | 基于Windows系统的软件程序异常行为分析方法 |
US9588848B2 (en) * | 2015-06-19 | 2017-03-07 | AO Kaspersky Lab | System and method of restoring modified data |
CN105488091A (zh) * | 2015-06-19 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种基于关键字匹配的网络数据检测方法及系统 |
RU2618947C2 (ru) * | 2015-06-30 | 2017-05-11 | Закрытое акционерное общество "Лаборатория Касперского" | Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал |
CN105138901B (zh) * | 2015-08-03 | 2018-03-13 | 浪潮电子信息产业股份有限公司 | 一种基于白名单的云主机主动防御实现方法 |
CN106446681B (zh) * | 2015-08-07 | 2019-09-17 | 腾讯科技(深圳)有限公司 | 病毒查杀方法和装置 |
CN105046154A (zh) * | 2015-08-13 | 2015-11-11 | 浪潮电子信息产业股份有限公司 | 一种webshell检测方法及装置 |
US10313194B2 (en) | 2015-09-28 | 2019-06-04 | International Business Machines Corporation | Flexibly deployable network analyzer |
US9917811B2 (en) | 2015-10-09 | 2018-03-13 | International Business Machines Corporation | Security threat identification, isolation, and repairing in a network |
CN105279432B (zh) * | 2015-10-12 | 2018-11-23 | 北京金山安全软件有限公司 | 一种软件监控处理方法以及装置 |
WO2017135249A1 (ja) * | 2016-02-05 | 2017-08-10 | 株式会社ラック | アイコン診断装置、アイコン診断方法およびプログラム |
KR20170096780A (ko) * | 2016-02-17 | 2017-08-25 | 한국전자통신연구원 | 침해사고 정보 연동 시스템 및 방법 |
CN107103237A (zh) * | 2016-02-23 | 2017-08-29 | 阿里巴巴集团控股有限公司 | 一种恶意文件的检测方法及装置 |
US10121010B2 (en) * | 2016-05-12 | 2018-11-06 | Endgame, Inc. | System and method for preventing execution of malicious instructions stored in memory and malicious threads within an operating system of a computing device |
CN106709338A (zh) * | 2016-05-30 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 一种程序检测方法及装置 |
CN106022133A (zh) * | 2016-05-31 | 2016-10-12 | 北京金山安全软件有限公司 | 一种信息处理方法及装置 |
CN106127034B (zh) * | 2016-06-17 | 2019-06-07 | 珠海豹趣科技有限公司 | 一种防止系统被恶意关闭的方法、装置及电子设备 |
CN106127051A (zh) * | 2016-06-29 | 2016-11-16 | 北京金山安全软件有限公司 | 一种防止鼠标被恶意捕获的方法、装置及电子设备 |
CN106203089A (zh) * | 2016-06-29 | 2016-12-07 | 北京金山安全软件有限公司 | 一种防止系统颜色被恶意修改的方法、装置及电子设备 |
CN106127050A (zh) * | 2016-06-29 | 2016-11-16 | 北京金山安全软件有限公司 | 一种防止系统光标被恶意修改的方法、装置及电子设备 |
CN106203107A (zh) * | 2016-06-29 | 2016-12-07 | 北京金山安全软件有限公司 | 一种防止系统菜单被恶意修改的方法、装置及电子设备 |
US10572324B2 (en) | 2016-09-12 | 2020-02-25 | Microsoft Technology Licensing, Llc | Intelligent listening system for agile delivery of cloud services |
CN106709347B (zh) * | 2016-11-25 | 2019-06-11 | 腾讯科技(深圳)有限公司 | 应用运行的方法及装置 |
US10061921B1 (en) * | 2017-02-13 | 2018-08-28 | Trend Micro Incorporated | Methods and systems for detecting computer security threats |
CN107040517B (zh) * | 2017-02-22 | 2020-01-10 | 南京邮电大学 | 一种面向云计算环境的认知入侵检测方法 |
US10706180B2 (en) | 2017-07-07 | 2020-07-07 | Endgame, Inc. | System and method for enabling a malware prevention module in response to a context switch within a certain process being executed by a processor |
CN107402764B (zh) * | 2017-07-28 | 2020-09-08 | 南京南瑞继保电气有限公司 | 一种图形化页面程序功能特征码计算刷新方法 |
CN109564635A (zh) * | 2017-08-11 | 2019-04-02 | 深圳市得道健康管理有限公司 | 人工智能设备、系统及其行为控制方法 |
CN107832609B (zh) * | 2017-09-25 | 2020-11-13 | 暨南大学 | 基于权限特征的Android恶意软件检测方法及系统 |
TWI672609B (zh) * | 2017-12-27 | 2019-09-21 | 中華電信股份有限公司 | 電腦系統及其勒索軟體判別方法 |
CN108234486A (zh) * | 2017-12-29 | 2018-06-29 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络监测方法及监测服务器 |
CN108279663B (zh) * | 2018-01-24 | 2019-12-20 | 广汽丰田汽车有限公司 | 车辆错误信号的控制系统及控制方法、存储介质 |
CN108632280A (zh) * | 2018-05-08 | 2018-10-09 | 国家计算机网络与信息安全管理中心 | 流量处理方法、装置及系统、防火墙和服务器 |
CN108829484B (zh) * | 2018-06-21 | 2022-01-28 | 聚好看科技股份有限公司 | 控制终端本地应用程序导航操作界面生成的方法及装置 |
CN109241734A (zh) * | 2018-08-10 | 2019-01-18 | 航天信息股份有限公司 | 一种防护软件运行效率优化方法及系统 |
CN109857726B (zh) * | 2019-02-27 | 2023-05-12 | 深信服科技股份有限公司 | 一种应用特征库维护方法、装置、电子设备及存储介质 |
US11296868B1 (en) | 2019-09-17 | 2022-04-05 | Trend Micro Incorporated | Methods and system for combating cyber threats using a related object sequence hash |
CN112580036B (zh) * | 2019-09-30 | 2024-01-30 | 奇安信安全技术(珠海)有限公司 | 病毒防御的优化方法及装置、存储介质、计算机设备 |
CN112580025A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 基于虚拟机的报毒方法及装置、存储介质、计算机设备 |
CN113452718B (zh) * | 2021-07-07 | 2022-07-01 | 何小林 | 一种专属存储空间主动防御方法和系统 |
CN116405272A (zh) * | 2023-03-17 | 2023-07-07 | 中广核智能科技(深圳)有限责任公司 | 一种dcs软件服务器的安全保护方法及计算机设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003025722A3 (en) * | 2001-09-14 | 2004-01-15 | Computer Ass Think Inc | Virus detection system |
CN1900941A (zh) * | 2006-04-28 | 2007-01-24 | 傅玉生 | 一种基于软件身份认证技术的计算机安全保护方法 |
CN1936910A (zh) * | 2005-11-16 | 2007-03-28 | 白杰 | 未知病毒程序的识别及清除方法 |
CN101448007A (zh) * | 2008-12-31 | 2009-06-03 | 中国电力科学研究院 | 一种结构化查询语言sql攻击防御系统 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6357008B1 (en) * | 1997-09-23 | 2002-03-12 | Symantec Corporation | Dynamic heuristic method for detecting computer viruses using decryption exploration and evaluation phases |
US6886099B1 (en) * | 2000-09-12 | 2005-04-26 | Networks Associates Technology, Inc. | Computer virus detection |
US7509679B2 (en) * | 2002-08-30 | 2009-03-24 | Symantec Corporation | Method, system and computer program product for security in a global computer network transaction |
US7694150B1 (en) * | 2004-06-22 | 2010-04-06 | Cisco Technology, Inc | System and methods for integration of behavioral and signature based security |
US8955104B2 (en) * | 2004-07-07 | 2015-02-10 | University Of Maryland College Park | Method and system for monitoring system memory integrity |
US8272058B2 (en) * | 2005-07-29 | 2012-09-18 | Bit 9, Inc. | Centralized timed analysis in a network security system |
CN100465978C (zh) * | 2005-11-16 | 2009-03-04 | 白杰 | 被病毒程序破坏的数据恢复方法、装置及病毒清除方法 |
US8312536B2 (en) * | 2006-12-29 | 2012-11-13 | Symantec Corporation | Hygiene-based computer security |
CN101308533A (zh) | 2008-06-30 | 2008-11-19 | 华为技术有限公司 | 病毒查杀的方法、装置和系统 |
US8108933B2 (en) * | 2008-10-21 | 2012-01-31 | Lookout, Inc. | System and method for attack and malware prevention |
US8225405B1 (en) * | 2009-01-29 | 2012-07-17 | Symantec Corporation | Heuristic detection malicious code blacklist updating and protection system and method |
US8266698B1 (en) * | 2009-03-09 | 2012-09-11 | Symantec Corporation | Using machine infection characteristics for behavior-based detection of malware |
CN101593253B (zh) * | 2009-06-22 | 2012-04-04 | 成都市华为赛门铁克科技有限公司 | 一种恶意程序判断方法及装置 |
US8701192B1 (en) * | 2009-06-30 | 2014-04-15 | Symantec Corporation | Behavior based signatures |
US8590045B2 (en) * | 2009-10-07 | 2013-11-19 | F-Secure Oyj | Malware detection by application monitoring |
US8719935B2 (en) * | 2010-01-08 | 2014-05-06 | Microsoft Corporation | Mitigating false positives in malware detection |
CN101924762B (zh) | 2010-08-18 | 2013-02-27 | 北京奇虎科技有限公司 | 一种基于云安全的主动防御方法 |
-
2010
- 2010-08-18 CN CN2010102569894A patent/CN101924762B/zh active Active
- 2010-08-18 CN CN201310009102.5A patent/CN103078864B/zh active Active
-
2011
- 2011-08-08 US US13/817,577 patent/US9177141B2/en active Active
- 2011-08-08 WO PCT/CN2011/078122 patent/WO2012022225A1/zh active Application Filing
-
2015
- 2015-09-22 US US14/861,177 patent/US9916447B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003025722A3 (en) * | 2001-09-14 | 2004-01-15 | Computer Ass Think Inc | Virus detection system |
CN1936910A (zh) * | 2005-11-16 | 2007-03-28 | 白杰 | 未知病毒程序的识别及清除方法 |
CN1900941A (zh) * | 2006-04-28 | 2007-01-24 | 傅玉生 | 一种基于软件身份认证技术的计算机安全保护方法 |
CN101448007A (zh) * | 2008-12-31 | 2009-06-03 | 中国电力科学研究院 | 一种结构化查询语言sql攻击防御系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101924762A (zh) | 2010-12-22 |
CN103078864A (zh) | 2013-05-01 |
WO2012022225A1 (zh) | 2012-02-23 |
US20160012224A1 (en) | 2016-01-14 |
US9177141B2 (en) | 2015-11-03 |
US20130174257A1 (en) | 2013-07-04 |
CN101924762B (zh) | 2013-02-27 |
US9916447B2 (en) | 2018-03-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103078864B (zh) | 一种基于云安全的主动防御文件修复方法 | |
CN101924761B (zh) | 一种依据白名单进行恶意程序检测的方法 | |
CN101923617B (zh) | 一种基于云的样本数据库动态维护方法 | |
US8667583B2 (en) | Collecting and analyzing malware data | |
CN101373502B (zh) | 基于Win32平台下病毒行为的自动化分析系统 | |
CN102413142A (zh) | 基于云平台的主动防御方法 | |
CN103065088B (zh) | 基于计算机用户的裁决检测计算机安全威胁的系统和方法 | |
US20130167236A1 (en) | Method and system for automatically generating virus descriptions | |
CN103607381B (zh) | 白名单生成及恶意程序检测方法、客户端和服务器 | |
CN104573515A (zh) | 一种病毒处理方法、装置和系统 | |
CN103475671B (zh) | 恶意程序检测方法 | |
CN103679026A (zh) | 一种云计算环境下的恶意程序智能防御系统及防御方法 | |
CN102045220A (zh) | 木马监控审计方法及系统 | |
US20210168169A1 (en) | Apparatuses for optimizing rule to improve detection accuracy for exploit attack and methods thereof | |
Eskandari et al. | To incorporate sequential dynamic features in malware detection engines | |
CN107302530B (zh) | 一种基于白名单的工控系统攻击检测装置及其检测方法 | |
Tunde-Onadele et al. | Self-patch: Beyond patch tuesday for containerized applications | |
CN110555308B (zh) | 一种终端应用行为跟踪和威胁风险评估方法及系统 | |
CN103501294B (zh) | 判断程序是否恶意的方法 | |
US11822666B2 (en) | Malware detection | |
CN103106366A (zh) | 一种基于云的样本数据库动态维护方法 | |
CN110990830A (zh) | 终端取证溯源系统及方法 | |
Ahmad et al. | Next generation malware analysis techniques and tools | |
Bayer | Large-scale dynamic malware analysis | |
Yinfeng | The Network Security Management System Design Against the New Virus Invasion |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20220712 Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co., Ltd |