CN103281301B - 云安全恶意程序判断系统及方法 - Google Patents
云安全恶意程序判断系统及方法 Download PDFInfo
- Publication number
- CN103281301B CN103281301B CN201310153596.4A CN201310153596A CN103281301B CN 103281301 B CN103281301 B CN 103281301B CN 201310153596 A CN201310153596 A CN 201310153596A CN 103281301 B CN103281301 B CN 103281301B
- Authority
- CN
- China
- Prior art keywords
- client
- clouds
- virtual
- group
- feature database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
云安全恶意程序判断系统,包括:云端,客户端,虚拟防御组,站点。客户端部署了轻量级恶意代码防御软件,其本地特征库维护的是当前流行恶意代码信息并保持相对稳定的规模,改善了客户端的性能。客户端以虚拟防御组形式进行组织,云端以虚拟防御组为单位分发恶意风险解决方案,同属一个虚拟防御组的成员间可相互交流恶意代码信息,降低了云端的开销。基于该系统的云安全恶意程序判断方法,其工作模式分为在线模式和离线模式。在线模式包括一系列子步骤,客户端通过外网或内网完成本地特征库的更新;离线模式下客户端通过内网完成本地特征库的同步,保障了客户端的离线安全。
Description
[技术领域]
本发明属于计算机安全领域,具体涉及云安全恶意程序判断系统及方法。
[背景技术]
随着云计算的发展,利用云安全进行恶意程序分析、判断和决策是恶意程序防治的一个必然趋势。由于现有商业模式的限制,360、趋势等公司推出的“云杀毒”产品的云端由多个单一类型的检测引擎构成,这在一定程度上提升了恶意程序的检测速度,但并不能提高检测的范围和精度。另外,当前的云安全系统过分强调服务器构成的“云”对恶意代码的防御,而忽视用户终端设备的能力。这种路线容易造成以下不利局面:
1.容易导致云端的性能瓶颈问题。在当前的云安全体系中,客户端与云端各司其责,客户端负责恶意风险的收集与上传,而云端负责恶意程序的综合分析与解决方案的分发。随着云安全规模的不断扩大,一方面势必对云端的恶意分析能力提出更高要求,海量的客户端实时请求容易导致云端的处理瓶颈;另一方面,云端大量恶意解决方案的实时分发对网络带宽要求很高,现有的网络环境容易造成云端的访问瓶颈。
2.不利于用户之间互相通报恶意代码信息。集中式的云端恶意程序解决方案分发决定了客户端间存在接收延迟,这给恶意程序提供了可趁之机。客户端被动地接收来自云端的恶意代码信息,使得恶意代码的网络生命周期仍然较长,造成的危害和损失仍然较大。
3.对客户端系统性能影响较大。虽然当前的云安全系统将恶意程序判断工作从客户端转移至云端,在某种程度上减轻了客户端负载。但随着系统的运行,相比传统的客户端杀毒软件的特征库,云端的恶意代码信息显然更为庞大,在日常运行过程中占用的系统开销较大,影响客户端的系统性能。
为了提高云端恶意程序判断的准确性和覆盖面,异构检测引擎构成的云端技术路线日益受到学术界和产业界的关注。虽然这种技术路线可以提高云端恶意程序判断的能力,但并不能解决客户端恶意代码信息通报和性能影响等问题。
不管是单一类型检测引擎还是异构检测引擎构成的云端技术路线,在系统实际运行过程中,所有客户端必须全天候保持在线才能实现高质量安全防护。一旦与云端失去连接(即离线状态下),客户端便丧失对最新恶意程序的免疫力,而如何保证离线状态下的客户端计算机安全尚无较好的应对策略。
[发明内容]
本发明的目的在于克服上述不足之处,提供一种云安全恶意程序判断系统及方法。
云安全恶意程序判断系统,其包括:云端101,客户端105,虚拟防御组1040,站点100;
云端101,其包括多种异构检测引擎1010和云端检测结果数据库1011,用于接收和处理来自客户端105的恶意风险实时请求;
多种异构检测引擎1010,部署在物理机或虚拟机中,用于综合分析客户端105上传的可疑文件的安全性;
云端检测结果数据库1011,用于存储所有客户端105提交的恶意风险处理结果;
客户端105,其包括一个轻量级恶意代码防御软件1050;
轻量级恶意代码软件1050,其包括一个轻量级恶意检测引擎10500和本地特征库10501;
轻量级恶意检测引擎10500,用于上传日常遭遇的恶意风险和接收来自云端101以及其它客户端105的恶意解决方案;
本地特征库10501,用于存储当前流行的恶意代码信息;
站点100,其包括客户端105所需的各种信息,是客户端105进行信息浏览和下载的资源库;
虚拟防御组1040,其包括一定数量规模的客户端105用户群,一般为一个局域网内地理位置相对集中的小规模客户端105,从几个到一百个不等,具体由组内所有客户端105访问云端101的平均网络带宽决定,同属一个虚拟防御组1040的成员间可以相互交流恶意代码信息。
更进一步地,所述的虚拟防御组1040内某个在线客户端105被云端101更新了本地特征库10501,该客户端105便在组内发出广播信息,组内其它成员便可直接与该客户端105完成最新特征码同步工作。
更进一步地,所述的虚拟防御组1040内任何客户端105一旦完成了特征库10501更新任务即转换为“服务端”角色,方便其他未更新客户端105访问。
更进一步地,所述的客户端105可以同时属于几个虚拟防御组1040,因此完成了虚拟防御组1040间相互交流恶意代码信息的功能。
基于所述系统,提出了云安全恶意程序判断方法;
云安全恶意程序判断方法,其工作模式分为在线模式和离线模式;
在线模式,其指客户端105与云端101保持连接,能正常通信;
离线模式,其指客户端105与云端101失去连接,不能正常通信;
云安全恶意程序判断方法,其在线模式包括如下步骤:
(1)在云端101部署至少两种不同类型的检测引擎1010;
(2)在客户端105运行时,拦截用户程序访问或者执行操作,对该文件的唯一标识采用MD5或SHA1算法进行Hash;
(3)若文件的哈希值存储在本地特征库10501,则直接返回决策结果;否则,向云端101发送查询消息,若找到则返回检测结果,否则通知终端用户上传文件;
(4)客户端105上传文件至服务器后,云端101启动多种检测引擎1010进行并行检测,并返回检测结果;
(5)针对各种检测引擎1010的检测结果,运用综合判断算法进行综合决策,并向客户端105反馈检测信息;
(6)将该文件的文件名、文件大小、Hash值、检测结果、查询次数等信息写入云端数据库1011,方便下次查询;
(7)判断该文件是否为当前流行恶意代码,若是则写入本地特征库10501。
更进一步地,所述的(2)步骤中的唯一标识是根据文件内容计算所得,只有两个完全一样的文件的唯一标识才相同。
更进一步地,所述的(3)步骤中的本地特征库10501并不与系统运行时间呈线性关系,而是处于一个相对稳定的规模范围。
更进一步地,所述的(7)步骤中的当前流行恶意代码的判定规则为:单位时间内,若某文件在云端数据库1011中的查询次数超过预设阈值,且云端101综合判定结果显示恶意,则判定该文件为当前流行恶意代码。
更进一步地,所述的当前流行恶意代码是根据时间间隔或病毒活跃度来淘汰原有过期记录。
云安全恶意程序判断方法,其在线模式下云端101随机选取虚拟防御组1040内任意某个在线客户端105进行最新恶意代码的更新操作。
云安全恶意程序判断方法,其在线模式下客户端105既可能通过外网(因特网)102从云端1011获取当前流行恶意代码信息,又能通过内网(局域网)与其它已更新本地特征库10502的组内客户端105完成本地特征库10501的同步。
云安全恶意程序判断方法,其离线模式下客户端105根据其所在虚拟防御组1040内其它已更新本地特征库10502的客户端105来维持最新状态,即通过内网完成本地特征库10501的同步。
本发明具有以下优点及效果:
1.客户端105的低开销。本发明提出的客户端105轻量级恶意代码防御软件1050,其本地特征库10501相比当前云杀毒软件而言规模较小,且始终维持在一个稳定范围内。因此,客户端105系统性能并不受系统运行时间影响。
2.云端101的低开销。云端101不必向每个客户端105分发恶意解决方案,而以虚拟防御组1040为单位分发,避免了云端101的访问瓶颈。具体来说,在网络带宽受限或系统访问量巨大的环境中,若按传统云安全思想仍由云端101分发恶意代码解决方案,则容易造成网络拥塞和服务质量低效等问题。
3.保障了客户端105的离线安全。本发明提出的客户端105轻量级恶意代码防御软件1050,其本地特征库10501维护的是当前流行的病毒特征码,在离线状态时可通过内网来维持本地特征库10501的更新,增强了客户端105对当前流行恶意代码的免疫力。
4.检测引擎的多样性。由于单一类型检测引擎可能对某些类型的恶意程序检测十分有效,但是对于其它类型的恶意程序可能存在缺陷。如果云端101采用多个单一类型的检测引擎将存在一定的限制,而采用多检测引擎1010保证了检测技术的多样性,从而提高恶意检测的覆盖面。
5.检测结果的准确性。当采用多检测引擎1010进行并行检测后,再采用综合判断算法融合各检测结果,可以有效提高恶意检测的正确性。
6.检测过程的高效性。当访问或执行某个文件前,先计算其唯一标识,然后根据其标识值来判断该文件是否已经被检测过。若已经被检测,则由客户端105或者云端101直接反馈判断结果;否则,上传至云端101检测。换言之,并不是每次访问文件或执行程序都需要上传检测,而只是在未命中时才上传。当大量用户同时运行系统时,命中率可以高达95%以上。
[附图说明]
图1为云安全恶意程序判断系统网络拓扑图;
图2为云安全恶意程序判断方法在线模式下恶意检测流程图;
图3为客户端轻量级恶意代码防御软件示意图;
图4为客户端本地特征库的同步方式;
图5为当前流行恶意代码的判定流程图;
图6为虚拟防御组客户端特征库更新示意图。
[具体实施方式]
下面结合附图对本发明进一步作详细说明。
图1说明了云安全恶意程序判断系统的网络拓扑图,客户端105通过因特网102与云端101和站点100连接,站点100是客户端105进行信息浏览和下载的资源库,而云端101负责处理客户端105日常提交的恶意风险请求。客户端105以虚拟防御组1040的形式进行组织,一个虚拟防御组1040一般为同属一个局域网地理位置相对集中的小规模客户端105。比如,可将规模较大(即客户端数量较多)的局域网(103)划分为客户端数量相当的第一虚拟防御组(1030)和第二虚拟防御组(1031),其中交叉部分的客户端105同属于第一虚拟防御组(1030)和第二虚拟防御组(1031)。虚拟防御组1040的一个重要功能是:同属一个虚拟防御组1040的成员间可以相互交流恶意代码信息。换言之,客户端105既可以从云端101获取当前流行恶意代码信息,也可从已更新本地特征库10502的客户端105处获取。
基于所述系统,本发明提出了云安全恶意程序判断方法。云安全恶意程序判断方法的工作模式分为在线模式和离线模式,在线模式为客户端105与云端101能够正常通信,而离线模式则为客户端105与云端101失去连接。图2说明了云安全恶意程序判断系统在线模式下恶意检测流程图,具体来说,其包括以下步骤:
(1)在云端101部署至少两种不同类型的检测引擎1010;
(2)在客户端105运行时,拦截用户程序访问或者执行操作,对该文件的唯一标识采用MD5或SHA1算法进行Hash;
(3)若文件的哈希值存储在本地特征库10501,则直接返回决策结果;否则,向云端101发送查询消息,若找到则返回检测结果,否则通知终端用户上传文件;
(4)客户端105上传文件至服务器后,云端101启动多种检测引擎1010进行并行检测,并返回检测结果;
(5)针对各种检测引擎1010的检测结果,运用综合判断算法进行综合决策,并向客户端105反馈检测信息;
(6)将该文件的文件名、文件大小、Hash值、检测结果、查询次数等信息写入云端数据库1011,方便下次查询;
(7)判断该文件是否为当前流行恶意代码,若是则写入本地特征库10501。
下面用一个实施例来说明上述过程。
客户端105访问某站点100如站点1下载文件A至本地,其轻量级恶意代码防御软件1050计算A的唯一标识。若唯一标识存储在本地特征库10501或云端检测结果数据库1011中,则直接反馈检测结果;否则通知用户上传A,待云端101检测完毕后返回检测结果。同时云端101将A的相关信息,如文件名、文件大小、Hash值、检测结果、查询次数等写入云端检测结果数据库1011中,方便下次查询。在此基础上,云端101继续判断A是否为当前流行恶意代码,若是则写入客户端105本地特征库10501。至此,本次恶意检测结束。需要注意的是,云端101是以虚拟防御组1040为单位将当前流行恶意代码写入客户端105本地特征库10501。
而对于离线模式,客户端105部署了轻量级的恶意代码防御软件1050,见图3所示,其本地特征库10501存储的是当前流行的恶意威胁特征码,也能为客户端101提供高质量的安全防护。图4描述了客户端105本地特征库10501的同步方式。在线模式下,客户端105既可能通过外网(因特网)102从云端101获取当前流行恶意代码信息(云端101随机选取虚拟防御组1040内任意某个在线客户端105),又能通过内网(局域网)与其它已更新本地特征库10502的组内客户端105完成本地特征库10501的同步。离线状态下,客户端105则根据其所在虚拟防御组1040内其它已更新本地特征库10502的客户端105来维持最新状态,即通过内网完成本地特征库10501的同步。实际上,本发明中的客户端105是否在线并不影响其检测能力,因为离线状态下的客户端105也能实时地更新本地特征库10501,从而保证对最新恶意程序的免疫力也就是增强了离线安全。本发明采用一种简单方法来判断某个文件是否为当前流行的恶意代码:单位时间内,若某文件在云端数据库1011中的查询次数超过预设阈值,且云端101综合判定结果显示恶意,则判定该文件为当前流行恶意代码。比如,我们约定流行恶意程序判定的预设阈值为:文件在云端结果数据库1011的查询频率为100次/分钟。对于某可疑文件A,若A在云端结果数据库1011中对应的综合检测结果字段为恶意,且A的云查询频率为120次/分钟,显然大于预设阈值,则认定A为当前流行恶意代码。图5描述了可疑文件是否为当前流行恶意代码的判断流程。
需要特别说明的是,客户端105维护的是轻量级的恶意代码防御软件1050,其本地特征库10501并不与系统运行时间呈线性关系,而是处于一个相对稳定的规模范围。例如,约定客户端特征库10501的规模为2000条流行病毒特征码,当系统运行一段时间后,历史流行恶意代码总量超过了2000,则需要按一定规则将新的流行病毒特征码覆盖原有过期的记录。本发明提出了两种方法:(1)按时间间隔来淘汰那些距离当前时间较长的病毒特征码;(2)根据病毒活跃度来覆盖那些不太活跃的病毒特征码。这样做一方面可以保证客户端105能够智能地根据当前网络安全状况实时动态地更新本地特征库10501,增强对当前流行病毒的免疫力;另一方面可以最大程度上优化终端设备的性能,相比传统的终端设备杀毒软件或当前的云杀毒引擎,其本地特征库10501规模小而且相对稳定,占用的资源很少甚至可以忽略不计。
考虑到云环境下的客户端105数量众多,容易造成系统访问瓶颈,因此本发明特别引入了“虚拟防御组”1040的概念。虚拟防御组1040的一个重要功能是:同属一个虚拟防御组1040的成员间可以相互交流恶意代码信息。具体来说,在网络带宽受限或系统访问量巨大的环境中,若按传统云安全思想仍由云端101分发恶意代码解决方案,则容易造成网络拥塞和服务质量低效等问题。比如,局域网内分布着10000个客户端105,若采用当前集中式的恶意代码解决方案分发方式,则意味着云端101要实时更新和维护局域网内所有客户端105的本地特征库10501,容易造成网络拥塞和服务质量低效等问题。而采用虚拟防御组1040思想则可避免这种局面,云端101以虚拟防御组1040为单位分发恶意代码解决方案,换言之云端101根据虚拟防御组1040更新和维护本地特征库10501。比如,约定虚拟防御组1040的规模为50个客户端105,则上述局域网大约可划分为200个虚拟防御组1040,云端101只需实时更新和维护每个虚拟防御组1040内某个在线客户端105的本地特征库10501即可,这样将原来的10000个任务降为200个极大地节约了云端101的开销。一旦云端101更新了某个客户端105本地特征库10501,该客户端105便在组内发出广播信息,组内其它成员便可直接与该客户端105完成最新特征码同步工作。为了避免该客户端105成为新的“访问热点”,本发明约定任何终端设备105一旦完成了特征库10501更新任务即转换为“服务端”角色,方便其他未更新客户端105访问。进一步地,一个客户端105可以同时属于几个虚拟防御组1040,因此完成了虚拟防御组1040间相互交流恶意代码信息的功能。图6为所述虚拟防御组客户端特征库更新示意图。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明的精神和范围前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等同物界定。
Claims (12)
1.一种云安全恶意程序判断系统,其特征在于,包括:云端,客户端,虚拟防御组,站点;
所述云端包括多种异构检测引擎和云端检测结果数据库,用于接收和处理来自所述客户端的恶意风险实时请求;所述多种异构检测引擎,部署在物理机或虚拟机中,用于综合分析客户端上传的可疑文件的安全性;所述综合分析方法包括Dempster-Shafer或决策树算法;所述云端检测结果数据库,用于存储所有客户端提交的恶意风险处理结果,包括文件名、文件大小、Hash值、检测结果、查询次数信息;
所述客户端包括一个轻量级恶意代码防御软件;所述轻量级恶意代码软件包括一个轻量级恶意检测引擎和本地特征库;所述轻量级恶意检测引擎,用于上传日常遭遇的恶意风险和接收来自云端以及其它客户端的恶意解决方案;所述本地特征库,用于存储当前流行的恶意代码信息;
所述虚拟防御组包括局域网内一定数量规模的客户端用户群;所述虚拟防御组内某个在线所述客户端被所述云端更新了所述本地特征库,该客户端便在组内发出广播信息,组内其它成员可直接与该客户端完成最新特征码的同步;所述虚拟防御组内任何所述客户端一旦完成了特征库更新任务即转换为“服务端”角色,方便其他未更新所述客户端访问;
所述站点包括所述客户端所需的各种信息,是所述客户端进行信息浏览和下载的资源库。
2.根据权利要求1所述的云安全恶意程序判断系统,其特征在于,所述客户端通过因特网与所述云端和所述站点连接,在日常信息浏览和下载过程中,所述客户端将遭遇的恶意风险提交至所述云端,所述云端负责实时处理所述客户端提交的恶意风险请求并向所述客户端反馈综合检测结果。
3.根据权利要求1所述的云安全恶意程序判断系统,其特征在于,所述客户端可以同时属于几个虚拟防御组。
4.根据权利要求1所述的云安全恶意程序判断系统,其特征在于,所述云端更新了所述虚拟防御组内任何一个所述客户端的所述本地特征库后,该客户端便在组内发出广播信息,供组内其它未更新所述客户端联络并完成所述特征库同步;所述虚拟防御组内已更新客户端继续发出广播信息,此时虚拟防御组内存在多个服务端,未更新客户端选择距离自己最近的服务端完成特征库的更新。
5.一种云安全恶意程序判断方法,使用权利要求1-4任一权利要求所述的云安全恶意程序判断系统,工作模式分为在线模式和离线模式;所述在线模式,其指客户端与云端保持连接,能正常通信;所述离线模式,其指客户端与云端失去连接,不能正常通信,其特征在于,所述在线模式包括如下步骤:
(1)在云端部署至少两种不同类型的检测引擎;
(2)在客户端运行时,拦截用户程序访问或者执行操作,对该文件的唯一标识采用MD5或SHA1算法进行Hash;
(3)若文件的哈希值存储在本地特征库,则直接返回决策结果;否则,向云端发送查询消息,若找到则返回检测结果,否则通知终端用户上传文件;
(4)客户端上传文件至服务器后,云端启动多种检测引擎进行并行检测,并返回检测结果;
(5)针对各种检测引擎的检测结果,运用综合判断算法进行综合决策,并向客户端反馈检测信息;
(6)将该文件的文件名、文件大小、Hash值、检测结果、查询次数信息写入云端数据库,方便下次查询;
(7)判断该文件是否为当前流行恶意代码,若是则写入本地特征库。
6.根据权利要求5所述的云安全恶意程序判断方法,其特征在于,所述步骤(2)中的所述唯一标识是根据文件内容计算所得,只有两个完全一样的文件的所述唯一标识才相同。
7.根据权利要求5所述的云安全恶意程序判断方法,其特征在于,所述步骤(3)中的所述本地特征库并不与系统运行时间呈线性关系,而是处于一个相对稳定的规模范围。
8.根据权利要求5所述的云安全恶意程序判断方法,其特征在于,所述步骤(7)中的当前流行恶意代码的判定规则为:单位时间内,若某文件在云端数据库中的查询次数超过预设阈值,且云端综合判定结果显示恶意,则判定该文件为当前流行恶意代码。
9.根据权利要求8所述的云安全恶意程序判断方法,其特征在于,所述当前流行恶意代码是根据时间间隔或病毒活跃度来淘汰原有过期记录。
10.根据权利要求5所述的云安全恶意程序判断方法,其特征在于,所述在线模式下云端随机选取虚拟防御组内任意某个在线客户端进行最新恶意代码的更新操作。
11.根据权利要求5所述的云安全恶意程序判断方法,其特征在于,所述在线模式下客户端既可能通过外网从所述云端获取当前流行恶意代码信息,又能通过内网与其它已更新本地特征库的组内所述客户端完成所述本地特征库的同步。
12.根据权利要求5所述的云安全恶意程序判断方法,其特征在于,所述离线模式下所述客户端根据其所在虚拟防御组内其它已更新所述本地特征库的所述客户端来维持最新状态,即通过内网完成所述本地特征库的同步。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310153596.4A CN103281301B (zh) | 2013-04-28 | 2013-04-28 | 云安全恶意程序判断系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310153596.4A CN103281301B (zh) | 2013-04-28 | 2013-04-28 | 云安全恶意程序判断系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103281301A CN103281301A (zh) | 2013-09-04 |
CN103281301B true CN103281301B (zh) | 2017-02-08 |
Family
ID=49063748
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310153596.4A Active CN103281301B (zh) | 2013-04-28 | 2013-04-28 | 云安全恶意程序判断系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103281301B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9589299B2 (en) | 2014-12-22 | 2017-03-07 | Palantir Technologies Inc. | Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures |
Families Citing this family (63)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8515912B2 (en) | 2010-07-15 | 2013-08-20 | Palantir Technologies, Inc. | Sharing and deconflicting data changes in a multimaster database system |
US9081975B2 (en) | 2012-10-22 | 2015-07-14 | Palantir Technologies, Inc. | Sharing information between nexuses that use different classification schemes for information access control |
US9501761B2 (en) | 2012-11-05 | 2016-11-22 | Palantir Technologies, Inc. | System and method for sharing investigation results |
US8788405B1 (en) | 2013-03-15 | 2014-07-22 | Palantir Technologies, Inc. | Generating data clusters with customizable analysis strategies |
US9965937B2 (en) | 2013-03-15 | 2018-05-08 | Palantir Technologies Inc. | External malware data item clustering and analysis |
US9335897B2 (en) | 2013-08-08 | 2016-05-10 | Palantir Technologies Inc. | Long click display of a context menu |
CN103632097A (zh) * | 2013-12-13 | 2014-03-12 | 扬州永信计算机有限公司 | 便携式移动终端安全威胁处理方法 |
US10356032B2 (en) | 2013-12-26 | 2019-07-16 | Palantir Technologies Inc. | System and method for detecting confidential information emails |
US9338013B2 (en) | 2013-12-30 | 2016-05-10 | Palantir Technologies Inc. | Verifiable redactable audit log |
US8832832B1 (en) | 2014-01-03 | 2014-09-09 | Palantir Technologies Inc. | IP reputation |
US9009827B1 (en) | 2014-02-20 | 2015-04-14 | Palantir Technologies Inc. | Security sharing system |
US9619557B2 (en) | 2014-06-30 | 2017-04-11 | Palantir Technologies, Inc. | Systems and methods for key phrase characterization of documents |
US9535974B1 (en) | 2014-06-30 | 2017-01-03 | Palantir Technologies Inc. | Systems and methods for identifying key phrase clusters within documents |
US9202249B1 (en) | 2014-07-03 | 2015-12-01 | Palantir Technologies Inc. | Data item clustering and analysis |
US10572496B1 (en) | 2014-07-03 | 2020-02-25 | Palantir Technologies Inc. | Distributed workflow system and database with access controls for city resiliency |
US9256664B2 (en) | 2014-07-03 | 2016-02-09 | Palantir Technologies Inc. | System and method for news events detection and visualization |
US9021260B1 (en) | 2014-07-03 | 2015-04-28 | Palantir Technologies Inc. | Malware data item analysis |
US9785773B2 (en) | 2014-07-03 | 2017-10-10 | Palantir Technologies Inc. | Malware data item analysis |
US9419992B2 (en) | 2014-08-13 | 2016-08-16 | Palantir Technologies Inc. | Unwanted tunneling alert system |
US9043894B1 (en) | 2014-11-06 | 2015-05-26 | Palantir Technologies Inc. | Malicious software detection in a computing system |
US9954980B2 (en) * | 2014-11-25 | 2018-04-24 | enSilo Ltd. | Systems and methods for malicious code detection accuracy assurance |
CN104486123B (zh) * | 2014-12-18 | 2018-09-25 | 北京奇安信科技有限公司 | 黑白名单管理的方法、装置及系统 |
US9467455B2 (en) | 2014-12-29 | 2016-10-11 | Palantir Technologies Inc. | Systems for network risk assessment including processing of user access rights associated with a network of devices |
US9648036B2 (en) | 2014-12-29 | 2017-05-09 | Palantir Technologies Inc. | Systems for network risk assessment including processing of user access rights associated with a network of devices |
CN105491000B (zh) * | 2014-12-31 | 2019-05-07 | 哈尔滨安天科技股份有限公司 | 使用网页校验码来防止任意上传文件的方法及系统 |
US10372879B2 (en) | 2014-12-31 | 2019-08-06 | Palantir Technologies Inc. | Medical claims lead summary report generation |
CN105897807A (zh) * | 2015-01-14 | 2016-08-24 | 江苏博智软件科技有限公司 | 一种基于行为特征的移动智能终端异常代码云检测方法 |
US9407652B1 (en) | 2015-06-26 | 2016-08-02 | Palantir Technologies Inc. | Network anomaly detection |
US9456000B1 (en) | 2015-08-06 | 2016-09-27 | Palantir Technologies Inc. | Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications |
US9537880B1 (en) | 2015-08-19 | 2017-01-03 | Palantir Technologies Inc. | Anomalous network monitoring, user behavior detection and database system |
US10102369B2 (en) | 2015-08-19 | 2018-10-16 | Palantir Technologies Inc. | Checkout system executable code monitoring, and user account compromise determination system |
US10044745B1 (en) | 2015-10-12 | 2018-08-07 | Palantir Technologies, Inc. | Systems for computer network security risk assessment including user compromise analysis associated with a network of devices |
CN105376222A (zh) * | 2015-10-30 | 2016-03-02 | 四川九洲电器集团有限责任公司 | 基于云计算平台的智能防御系统 |
US9888039B2 (en) | 2015-12-28 | 2018-02-06 | Palantir Technologies Inc. | Network-based permissioning system |
US9916465B1 (en) | 2015-12-29 | 2018-03-13 | Palantir Technologies Inc. | Systems and methods for automatic and customizable data minimization of electronic data stores |
US10498711B1 (en) | 2016-05-20 | 2019-12-03 | Palantir Technologies Inc. | Providing a booting key to a remote system |
US10084802B1 (en) | 2016-06-21 | 2018-09-25 | Palantir Technologies Inc. | Supervisory control and data acquisition |
US10291637B1 (en) | 2016-07-05 | 2019-05-14 | Palantir Technologies Inc. | Network anomaly detection and profiling |
CN106228067A (zh) * | 2016-07-15 | 2016-12-14 | 江苏博智软件科技有限公司 | 恶意代码动态检测方法及装置 |
US10698927B1 (en) | 2016-08-30 | 2020-06-30 | Palantir Technologies Inc. | Multiple sensor session and log information compression and correlation system |
CN106713293A (zh) * | 2016-12-14 | 2017-05-24 | 武汉虹旭信息技术有限责任公司 | 一种云平台恶意行为检测系统及其方法 |
US10728262B1 (en) | 2016-12-21 | 2020-07-28 | Palantir Technologies Inc. | Context-aware network-based malicious activity warning systems |
US10754872B2 (en) | 2016-12-28 | 2020-08-25 | Palantir Technologies Inc. | Automatically executing tasks and configuring access control lists in a data transformation system |
US10721262B2 (en) | 2016-12-28 | 2020-07-21 | Palantir Technologies Inc. | Resource-centric network cyber attack warning system |
US10027551B1 (en) | 2017-06-29 | 2018-07-17 | Palantir Technologies, Inc. | Access controls through node-based effective policy identifiers |
US10963465B1 (en) | 2017-08-25 | 2021-03-30 | Palantir Technologies Inc. | Rapid importation of data including temporally tracked object recognition |
US10984427B1 (en) | 2017-09-13 | 2021-04-20 | Palantir Technologies Inc. | Approaches for analyzing entity relationships |
CN107682333B (zh) * | 2017-09-30 | 2022-02-25 | 北京奇虎科技有限公司 | 基于云计算环境的虚拟化安全防御系统及方法 |
GB201716170D0 (en) | 2017-10-04 | 2017-11-15 | Palantir Technologies Inc | Controlling user creation of data resources on a data processing platform |
US10079832B1 (en) | 2017-10-18 | 2018-09-18 | Palantir Technologies Inc. | Controlling user creation of data resources on a data processing platform |
US10250401B1 (en) | 2017-11-29 | 2019-04-02 | Palantir Technologies Inc. | Systems and methods for providing category-sensitive chat channels |
US11133925B2 (en) | 2017-12-07 | 2021-09-28 | Palantir Technologies Inc. | Selective access to encrypted logs |
US10142349B1 (en) | 2018-02-22 | 2018-11-27 | Palantir Technologies Inc. | Verifying network-based permissioning rights |
US10878051B1 (en) | 2018-03-30 | 2020-12-29 | Palantir Technologies Inc. | Mapping device identifiers |
EP4290400A3 (en) | 2018-04-03 | 2024-03-06 | Palantir Technologies Inc. | Controlling access to computer resources |
CN108563946A (zh) * | 2018-04-17 | 2018-09-21 | 广州大学 | 一种浏览器挖矿行为检测的方法、浏览器插件和系统 |
US10949400B2 (en) | 2018-05-09 | 2021-03-16 | Palantir Technologies Inc. | Systems and methods for tamper-resistant activity logging |
US11244063B2 (en) | 2018-06-11 | 2022-02-08 | Palantir Technologies Inc. | Row-level and column-level policy service |
CN110781495A (zh) * | 2018-12-24 | 2020-02-11 | 哈尔滨安天科技集团股份有限公司 | 物联网分布式多级协同恶意代码检测方法、系统及装置 |
EP4123973A1 (en) | 2019-02-08 | 2023-01-25 | Palantir Technologies Inc. | Isolating applications associated with multiple tenants within a computing platform |
CN110287701A (zh) * | 2019-06-28 | 2019-09-27 | 深信服科技股份有限公司 | 一种恶意文件检测方法、装置、系统及相关组件 |
US11704441B2 (en) | 2019-09-03 | 2023-07-18 | Palantir Technologies Inc. | Charter-based access controls for managing computer resources |
EP3796165A1 (en) | 2019-09-18 | 2021-03-24 | Palantir Technologies Inc. | Systems and methods for autoscaling instance groups of computing platforms |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102111420A (zh) * | 2011-03-16 | 2011-06-29 | 上海电机学院 | 基于动态云火墙联动的智能nips架构 |
CN102346828A (zh) * | 2011-09-20 | 2012-02-08 | 海南意源高科技有限公司 | 一种基于云安全的恶意程序判断方法 |
CN102413142A (zh) * | 2011-11-30 | 2012-04-11 | 华中科技大学 | 基于云平台的主动防御方法 |
-
2013
- 2013-04-28 CN CN201310153596.4A patent/CN103281301B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102111420A (zh) * | 2011-03-16 | 2011-06-29 | 上海电机学院 | 基于动态云火墙联动的智能nips架构 |
CN102346828A (zh) * | 2011-09-20 | 2012-02-08 | 海南意源高科技有限公司 | 一种基于云安全的恶意程序判断方法 |
CN102413142A (zh) * | 2011-11-30 | 2012-04-11 | 华中科技大学 | 基于云平台的主动防御方法 |
Non-Patent Citations (1)
Title |
---|
一种基于Cloud-P2P计算模型的恶意代码联合防御网络;徐小龙 等;《计算机应用研究》;20120615;第29卷(第6期);正文第2页左栏第4行至正文第4页左栏最后一行 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9589299B2 (en) | 2014-12-22 | 2017-03-07 | Palantir Technologies Inc. | Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures |
Also Published As
Publication number | Publication date |
---|---|
CN103281301A (zh) | 2013-09-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103281301B (zh) | 云安全恶意程序判断系统及方法 | |
Keralapura et al. | Communication-efficient distributed monitoring of thresholded counts | |
RU2607621C2 (ru) | Способ, система и машиночитаемый носитель данных для группирования в социальных сетях | |
CN102346828A (zh) | 一种基于云安全的恶意程序判断方法 | |
Fan et al. | Distributed graph simulation: Impossibility and possibility | |
Li et al. | Cooperative assurance of cache data integrity for mobile edge computing | |
Liu et al. | Distributed graph summarization | |
CN103731482A (zh) | 一种集群负载均衡系统及其实现方法 | |
Caneill et al. | Locality-aware routing in stateful streaming applications | |
CN102855275B (zh) | 一种不存在无线网络环境下基于知识库的移动数据库同步方法及系统 | |
JP6294847B2 (ja) | ログ管理制御システムおよびログ管理制御方法 | |
CN102831153A (zh) | 一种选取样本的方法和装置 | |
Firth et al. | Workload-aware streaming graph partitioning. | |
Zhang et al. | A reputation-based mechanism for transaction processing in blockchain systems | |
US7480651B1 (en) | System and method for notification of group membership changes in a directory service | |
CN110380890A (zh) | 一种cdn系统服务质量检测方法及系统 | |
Shen et al. | Enhancing collusion resilience in reputation systems | |
Lin et al. | Security function virtualization based moving target defense of SDN-enabled smart grid | |
CN110300011A (zh) | 一种告警根因定位方法、装置和计算机可读存储介质 | |
Zhang et al. | A novel trust model for unreliable public clouds based on domain partition | |
Bulut et al. | Distributed data streams indexing using content-based routing paradigm | |
CN103078771B (zh) | 基于p2p的僵尸网络分布式协作检测系统和方法 | |
Wu et al. | Scaling proof-of-authority protocol to improve performance and security | |
Zhang et al. | An information source localization algorithm based on cellular automata model | |
Chatziliadis et al. | Efficient Placement of Decomposable Aggregation Functions for Stream Processing over Large Geo-Distributed Topologies |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |