CN103559441A - 一种恶意文件云环境下跨平台检测方法及系统 - Google Patents
一种恶意文件云环境下跨平台检测方法及系统 Download PDFInfo
- Publication number
- CN103559441A CN103559441A CN201310517192.9A CN201310517192A CN103559441A CN 103559441 A CN103559441 A CN 103559441A CN 201310517192 A CN201310517192 A CN 201310517192A CN 103559441 A CN103559441 A CN 103559441A
- Authority
- CN
- China
- Prior art keywords
- file
- malicious file
- malicious
- copy
- cloud environment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种恶意文件云环境下跨平台检测方法及系统,检测方法为:1)采集原始可疑恶意文件并存储在云环境下的分布式存储集群中,隔离恶意文件;2)制作恶意文件的文件副本,对每个恶意文件的副本进行文件后缀名的格式识别,将识别后的恶意文件副本上传到WEB端;3)根据不同操作系统类型只从WEB端下载恶意文件副本到各自的系统对应的安全沙盒虚拟机中,进行恶意文件特征和/或运行行为检测;4)将安全沙盒虚拟机中对恶意文件检测结果提交并汇总,与原始恶意文件进行关联后检测出跨平台的恶意文件。本发明提高了恶意文件检测的通用性和自动化程度,结合云平台技术,能够批量预处理恶意文件,大大提高了恶意文件检测的处理效率。
Description
技术领域
本发明涉及一种恶意文件检测方法及系统,具体涉及一种恶意文件云环境下跨平台检测方法及系统,属于计算机网络安全领域。
背景技术
恶意文件又称恶意代码、恶意软件,通常是指未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端(如智能手机)上安装运行,破坏系统、盗取用户信息的软件文件。典型的恶意文件包括病毒、木马、蠕虫、远程控制软件、键盘记录软件、挂马JS脚本、webshell后门、手机通话监听、通讯录窃取、流氓软件等等。
对于恶意文件检测、分析是安全研究、安全产品研发不可或缺的环节,具有重要的意义。传统的杀毒软件对于病毒、木马一类的恶意文件有比较好的检测效果,但是对于WEB文本恶意文件、需要长时间行为分析的恶意文件等检测能力有限。而APK等智能手机应用程序在PC计算机上无法有效检测,需要专用模拟手机操作系统环境。对于需要执行分析的恶意程序,需要与执行程序运行环境结合,长时间跟踪运行的结果进行分析。
恶意文件的原理不同、功能目的也不同,运行依赖的操作系统、环境软件等也都有很大差异。安全沙盒或安全虚拟机是分析恶意文件的比较好的方法。但是单一安全沙盒或单一安全虚拟机无法满足通用性要求,因此需要结合操作系统(window系列版本、linux系列版本、UNIX、MAC OS、IOS、Android等)以及辅助其他环境软件(如数据库、恶意文件执行程序、杀毒软件等),建立多平台安全沙盒。
由于恶意文件具有多样性和复杂性,单一检测方法和平台软件很难提供针对任意恶意文件的检测需求。因此方便快捷的多平台恶意文件检测无法和设备具有很好的应用价值。统一跨平台的恶意文件检测仍然面临很多技术挑战:由于恶意文件具有很强的破坏性和未知危险性,因此需要确保恶意代码检测恶意文件样本安全存储问题;火眼等恶意文件检测平台一次只能接受一个文件,且对文件后缀名有明确要求,无法对文件进行错误纠正,也无法有效分析未知后缀名文件;在多平台下进行恶意文件副本的便捷分发问题也是一大挑战。
发明内容
有鉴于此,本发明公开了一种恶意文件云环境下跨平台检测方法及系统,通过对错误后缀名恶意文件进行自动纠正,对未知类型或未知后缀名文件进行自动识别或多副本猜测,根据不同文件类型和附加的预期环境在云平台中启动不同的安全沙盒虚拟机,对多平台检测安全沙盒或虚拟机提供恶意文件副本分发接口。
本发明的技术方案如下:一种恶意文件云环境下跨平台检测方法,其步骤包括:
1)采集原始可疑恶意文件并存储在云环境下的分布式存储集群中,隔离所述恶意文件;
2)制作所述恶意文件的文件副本,对每个所述恶意文件的副本进行文件后缀名的格式识别,将识别后的恶意文件副本上传到WEB端;
3)根据不同操作系统类型只从所述WEB端下载所述恶意文件副本到各自的系统对应的安全沙盒虚拟机中,进行恶意文件特征和/或运行行为检测;
4)将所述安全沙盒虚拟机中对恶意文件检测结果提交并汇总,与原始恶意文件进行关联后检测出跨平台的恶意文件。原始的恶意文件提供对照的作用,用于判定原始可疑的恶意文件是否为恶意文件。
更进一步,所述文件后缀名的格式识别为以下的一种或者多种:
对每个恶意文件的副本中可识别的后缀名进行识别;
对每个恶意文件的副本中不可识别的后缀名补充或者纠正文件扩展名;
对每个恶意文件的副本中按照典型文件后缀补充多种副本。
更进一步,采集原始可疑恶意文件的方法如下:
1)自动批量收集或手动上传的恶意文件,获取最原始的可以恶意文件;
2)将恶意文件以二进制形式平均拆分成N份,其中N>=1;
3)将所述N份子文件分别分开存放在云环境的分布式存储区中,设置文件权限为只读,禁止其运行;
4)对于拆分的恶意文件及子文件建立文件索引。
更进一步,所述恶意文件的副本制作方法为:
1)从文件索引中提取第一分块,分析文件头的格式信息;
2)如果有效识别出文件格式,从文件索引处提取并重组文件,将后缀名补充;
3)如果原文件格式与后缀名不一致,对原有错误后缀名进行校正;若果原文件格式有多种疑似,则生成所有可能的副本;
4)若不能有效识别文件格式,则生成预先设定的全部文件格式多副本;
5)生成加密压缩副本,发送并进行发布。
更进一步,步骤5)中生成加密压缩副本同时标注文件信息及预期验证环境。
更进一步,根据文件类型及预期验证环境,对每个副本生成一个以本作为下载附件的WEB下载链。
更进一步,恶意文件后缀名包括windows、linux/unix、Mac OS、IOS、Android典型操作系统上的典型文件:脚本文件、文本文件、库文件、可执行程序文件。
更进一步,恶意文件后缀名包括可增加或变更的:.asp、.php、.jsp、.py、.pl、.sh、.exe、.txt、.jpg、.apk、.dll、.so后缀类型。
本发明还提出一种恶意文件云环境下跨平台检测系统,包括B/S结构用户接口、恶意文件管理中心服务器、分布式存储服务器群、恶意文件分发WEB服务器以及虚拟安全沙盒集群,其特征在于,还包括恶意文件采集模块、恶意文件格式校验模块、检测副本WEB下载模块以及多平台检测分析结果汇总模块,
所述恶意文件采集模块,在B/S结构用户接口用于采集原始可疑恶意文件并存储在云环境下的分布式存储服务器群中,隔离所述恶意文件;
所述恶意文件格式校验模块,用于制作所述恶意文件的文件副本,对每个所述恶意文件的副本进行文件后缀名的格式识别,将识别后的恶意文件副本上传到WEB端的恶意文件分发WEB服务器;
所述恶意文件检测副本WEB下载模块,根据不同操作系统类型只从所述WEB端下载所述恶意文件副本到各自的系统对应的安全沙盒虚拟机集群中,提供恶意文件特征和/或运行行为检测;
所述多平台检测分析结果汇总模块,用于将所述安全沙盒虚拟机中对恶意文件检测结果提交并汇总,与原始恶意文件进行关联后检测出跨平台的恶意文件。
更进一步,所述恶意文件副本在安全沙盒虚拟机集群中进行并行检测;用户可以将整个网站的所有页面文件或其它多文件软件一次上传,批量处理后,一次性得到检测结果。
本发明的积极效果为:
本发明提供了一种统一的恶意文件检测方法和系统,对错误后缀名恶意文件进行自动纠正,对未知类型或未知后缀名文件进行自动识别或多副本猜测,根据不同文件类型和附加的预期环境在云平台中启动不同的安全沙盒虚拟机,对多平台检测安全沙盒或虚拟机提供恶意文件副本分发接口,提高了恶意文件检测的通用性和自动化程度。本发明的方法结合云平台技术,能够批量预处理恶意文件,为多种OS的安全沙盒分析虚拟机提供统一的WEB下载接口,实现跨平台副本分发,大大提高了恶意文件检测的处理效率。
附图说明
附图是本发明恶意文件云环境下跨平台检测系统的架构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步描述。
本发明的一实施例中公开的恶意文件云环境下跨平台检测方法,其步骤为:
1)建立云计算平台环境,云平台包括B/S结构用户接口、恶意文件管理中心服务器、分布式存储服务器群、恶意文件分发WEB服务器以及虚拟安全沙盒集群等,提供恶意文件的主动收集或手动上传功能,所述恶意文件存储在分布式从属节点上的安全隔离存储区中;
2)收集或上传的恶意文件以二进制形式进行分割、存储在云环境的分布式安全隔离存储区中,禁止其运行;经过分割以后,恶意文件的每个子部分是不完整的,无法运行,达到一定的安全性;
3)文件识别模块,按照文件索引从隔离区提取文件并组合成恶意文件副本,对每个恶意文件的副本进行格式识别,补充或纠正文件扩展名,对于不能有效识别文件格式的恶意文件,按照典型文件后缀补充多种副本;云平台的恶意文件分发WEB服务器提供补充后缀名之后的恶意文件副本的WEB下载接口;所述恶意文件的副本可以按照如下方法获取:3-1)提取第一分片,进行文件格式是识别;3-2)文件恢复,根据后缀名补充、校正,制作分发副本,附件预期验证环境信息;
4)在windows、linux、Mac OS、IOS、Android等多种典型操作系统及内置软件的安全检测沙盒程序,从WEB下载接口进行下载恶意文件,进行安全分析,将各自的分析结果,提交到检测结果平台,与原始恶意文件进行关联。
本发明的一实施例中公开的恶意文件云环境下跨平台检测系统,包括:恶意文件采集模块;恶意文件格式校验模块;检测副本WEB下载模块;多平台检测分析结果汇总模块。其中:
所述恶意文件采集模块,获取最原始的可疑恶意文件,收集或上传的恶意文件以二进制形式存储在云环境的分布式安全隔离存储区中,禁止其运行。
所述恶意文件采集模块中可进行如下优化措施:
自动收集或手动上传的恶意文件,以二进制形式平均拆分成N份,其中N>=1;等分的N份,分别存放在云环境的分布式存储区中,设置文件权限为只读,禁止其可运行。
对于拆分的恶意文件,对文件及子文件等信息建立文件索引。
所述恶意文件格式校验模块,对每个恶意文件的副本进行格式识别,补充或纠正文件扩展名,对于不能有效识别文件格式的恶意文件,按照典型文件后缀补充多种副本。
所述恶意文件格式校验模块可进行如下优化措施:
从文件索引中提取第一分块,分析文件头的格式信息,如果有效识别出文件格式,则从文件索引处提取并重组文件,将后缀名补充,或对原有错误后缀名进行校正,生成加密压缩副本,发送到发布服务器中,同时标注文件信息及预期验证环境。
当分析文件格式有多种疑似(形成文件的可能性),则生成所有可能的副本;若不能有效识别文件格式,则生成预先设定的全部文件格式副本。
恶意文件后缀名包括windows、linux/unix、Mac OS、IOS、Android等典型操作系统上的脚本文件、文本文件、库文件、可执行程序文件等等典型文件,例如.asp、.php、.jsp、.py、.pl、.sh、.exe、.txt、.jpg、.apk、.dll、.so等等,文件后缀类型可增加或变更。
所述恶意文件检测副本WEB下载模块,将经过文件格式识别、后缀补正或矫正过的恶意文件副本,以网页附件的形式提供提供下载。
所述恶意文件检测副本WEB下载模块可进行如下优化措施:
恶意文件检测副本发送到发布服务器后,恶意文件检测副本WEB下载模块根据文件类型及预期验证环境,对每个副本生成一个WEB下载链接,内含作为下载附件的副本,并通知相应的云平台安全检测管理程序。
所述云平台中安全检测管理程序根据恶意文件副本预期环境信息,启动相应的操作系统平台的安全检测沙盒虚拟机(如对于APK恶意文件,云平台安全检测管理程序启动一个android安全沙盒虚拟机作为其分析环境),进行恶意文件特征、运行行为检测。
以.asp恶意文件为例,其预期环境为:操作系统windows2003server+IIS+ms sqlserver 2000;云平台安全检测管理程序启动该预期环境配置的windows安全沙盒虚拟机,通过脚本和IE浏览器从WEB下载模块下载恶意的asp恶意文件副本;安全沙盒虚拟机将asp文件进行静态代码扫描分析,查找其中的shellcode等代码,形成静态白盒测试结果;然后将asp文件置于IIS的默认网站文件路径下,启动安全沙盒中的浏览器(如IE),访问该asp链接,其链接形式为本地访问(如http://localhost/xx.asp),安全沙盒中的系统监控程序监控在浏览、运行、访问该asp文件时,该文件对cookie文件的读写、对系统文件的读写、对注册表的读写、对端口的扫描、网络传输情况、文件创建删除、文件注入操作等,形成行为动态分析黑盒测试结果;安全沙盒将对文件的静态分析、动态分析结果汇总,完成对恶意文件的检测。不同操作系统平台的安全检测沙盒虚拟机均通过WEB方式下载恶意文件副本、解密解压。
所述多平台检测分析结果汇总模块,将多种安全检测沙盒对恶意文件检测副本的检测结果,提交到检测结果汇总平台,与原始恶意文件进行关联。在各个安全检测沙盒对恶意文件副本分析的结果,均提交至多平台检测分析结果汇总模块,分析结果与恶意文件原始文件信息进行关联,表明文件真实运行环境以及危害等级等信息。
以下通过具体的例子对附图中恶意文件云环境下跨平台检测方法及系统进行进一步的说明。
如附图所示,一种恶意文件云环境下跨平台检测系统,包括:恶意文件采集模块;恶意文件格式校验模块;检测副本WEB下载模块;多平台检测分析结果汇总模块。其主要步骤包括:
1、所述恶意文件采集模块,获取最原始的可疑恶意文件,收集或上传的恶意文件以二进制形式存储在云环境的分布式安全隔离存储区中,禁止其运行。
a)自动收集或手动上传的恶意文件,获取最原始的可疑恶意文件C;
b)将恶意文件C以二进制形式平均拆分成N份,其中N>=1;
c)将N份子文件,分别分开存放在云环境的分布式存储区中,设置文件权限为只读,禁止其可运行;
d)对于拆分的恶意文件,对文件及子文件等信息建立文件索引。
2、所述恶意文件格式校验模块,对每个恶意文件的副本进行格式识别,补充或纠正文件扩展名,对于不能有效识别文件格式的恶意文件,按照典型文件后缀补充多种副本。
a)恶意文件格式识别模块,从文件索引中提取第一分块,分析文件头的格式信息;
b)如果有效识别出文件格式,则从文件索引处提取并重组文件,将后缀名补充;
c)如果原文件格式与后缀名不一致,则对原有错误后缀名进行校正;
d)对于恶意文件格式识别模块分析的文件格式有多种疑似,则生成所有可能的副本;
e)若不能有效识别文件格式,则生成预先设定的全部文件格式多副本;恶意文件后缀名包括windows、linux/unix、Mac OS、IOS、Android等典型操作系统上的脚本文件、文本文件、库文件、可执行程序文件等等典型文件:
例如.asp、.php、.jsp、.py、.pl、.sh、.exe、.txt、.jpg、.apk、.dll、.so等等,文件后缀类型可增加或变更;
f)生成加密压缩副本,发送到云平台中的发布服务器中,同时标注文件信息及预期验证环境:例如后缀为apk的文件,预期验证环境为:android操作系统;后缀为exe的文件,预期验证环境为:windows操作系统;后缀为asp的文件,预期验证环境为:windows2003server操作系统+IIS服务器+MS Sql server2003数据库。
3、所述恶意文件检测副本WEB下载模块,将经过文件格式识别、后缀补正矫正过的恶意文件副本,以网页附件的形式提供下载。
a)恶意文件检测副本发送到发布服务器后,恶意文件检测副本WEB下载模块根据文件类型及预期验证环境,对每个副本生成一个WEB下载链接,内含作为下载附件的副本,并通知相应的安全检测管理程序;
b)云平台中安全检测管理程序根据(单个)恶意文件副本预期环境,启动不同操作系统平台的安全检测沙盒虚拟机,进行恶意文件特征、运行行为检测;
c)不同操作系统平台的安全检测沙盒虚拟机均通过WEB方式下载恶意文件副本、解密解压到各自沙箱中。
4、所述多平台检测分析结果汇总模块,将多种安全检测沙盒对恶意文件检测副本的检测结果,以文本格式提交到检测结果汇总平台,与原始恶意文件进行关联。
a)各个安全检测沙盒对恶意文件副本分析的结果,以文本log形式保存,标注所属的恶意文件编号(如CF0123),保证分析结果的快平台性,分析结果log文件均提交至多平台检测分析结果汇总模块;
b)分析结果log文件按照恶意文件编号与恶意文件原始文件信息进行关联,汇总形成该恶意文件的分析结果,按照恶意文件编码、文件类型、所属操作系统、依赖环境软件、恶意行为列表、危害等级等。其中危害等级与恶意行为列表中的项数和危害程序有关,可以定义为高、中、低、无危害四级。
以上所述本发明的具体实施方式目的是为了更好地理解本发明的使用,并不构成对本发明保护范围的限定。任何在本发明的精神和原则实质之内所做的修改、变形和等同替换等,都应属于本发明的权利要求的保护范围之内。
Claims (10)
1.一种恶意文件云环境下跨平台检测方法,其步骤包括:
1)采集原始可疑恶意文件并存储在云环境下的分布式存储集群中,隔离所述恶意文件;
2)制作所述恶意文件的文件副本,对每个所述恶意文件的副本进行文件后缀名的格式识别,将识别后的恶意文件副本上传到WEB端;
3)根据不同操作系统类型只从所述WEB端下载所述恶意文件副本到各自的系统对应的安全沙盒虚拟机中,进行恶意文件特征和/或运行行为检测;
4)将所述安全沙盒虚拟机中对恶意文件检测结果提交并汇总,与原始恶意文件进行关联后检测出跨平台的恶意文件。
2.如权利要求1所述的恶意文件云环境下跨平台检测方法,其特征在于,所述文件后缀名的格式识别为以下的一种或者多种:
对每个恶意文件的副本中可识别的后缀名进行识别;
对每个恶意文件的副本中不可识别的后缀名补充或者纠正文件扩展名;
对每个恶意文件的副本中按照典型文件后缀补充多种副本。
3.如权利要求1所述的恶意文件云环境下跨平台检测方法,其特征在于,采集原始可疑恶意文件的方法如下:
1)自动批量收集或手动上传的恶意文件,获取最原始的可以恶意文件;
2)将恶意文件以二进制形式平均拆分成N份,其中N>=1;
3)将所述N份子文件分别分开存放在云环境的分布式存储区中,设置文件权限为只读,禁止其运行;
4)对于拆分的恶意文件及子文件建立文件索引。
4.如权利要求1或3所述的恶意文件云环境下跨平台检测方法,其特征在于,所述恶意文件的副本制作方法为:
1)从文件索引中提取第一分块,分析文件头的格式信息;
2)如果有效识别出文件格式,从文件索引处提取并重组文件,将后缀名补充;
3)如果原文件格式与后缀名不一致,对原有错误后缀名进行校正;若果原文件格式有多种疑似,则生成所有可能的副本;
4)若不能有效识别文件格式,则生成预先设定的全部文件格式多副本;
5)生成加密压缩副本,发送并进行发布。
5.如权利要求4所述的恶意文件云环境下跨平台检测方法,其特征在于,步骤5)中生成加密压缩副本同时标注文件信息及预期验证环境。
6.如权利要求5所述的恶意文件云环境下跨平台检测方法,其特征在于,根据文件类型及预期验证环境,对每个副本生成一个以本作为下载附件的WEB下载链。
7.如权利要求1-4任意一项所述的恶意文件云环境下跨平台检测方法,其特征在于,恶意文件后缀名包括windows、linux/unix、Mac OS、IOS、Android典型操作系统上的典型文件:脚本文件、文本文件、库文件、可执行程序文件。
8.如权利要求1-4任意一项所述的恶意文件云环境下跨平台检测方法,其特征在于,恶意文件后缀名包括可增加或变更的:.asp、.php、.jsp、.py、.pl、.sh、.exe、.txt、.jpg、.apk、.dll、.so后缀类型。
9.一种恶意文件云环境下跨平台检测系统,包括B/S结构用户接口、恶意文件管理中心服务器、分布式存储服务器群、恶意文件分发WEB服务器以及虚拟安全沙盒集群,其特征在于,还包括恶意文件采集模块、恶意文件格式校验模块、检测副本WEB下载模块以及多平台检测分析结果汇总模块,
所述恶意文件采集模块,在B/S结构用户接口用于采集原始可疑恶意文件并存储在云环境下的分布式存储服务器群中,隔离所述恶意文件;
所述恶意文件格式校验模块,用于制作所述恶意文件的文件副本,对每个所述恶意文件的副本进行文件后缀名的格式识别,将识别后的恶意文件副本上传到WEB端的恶意文件分发WEB服务器;
所述恶意文件检测副本WEB下载模块,根据不同操作系统类型只从所述WEB端下载所述恶意文件副本到各自的系统对应的安全沙盒虚拟机集群中,提供恶意文件特征和/或运行行为检测;
所述多平台检测分析结果汇总模块,用于将所述安全沙盒虚拟机中对恶意文件检测结果提交并汇总,与原始恶意文件进行关联后检测出跨平台的恶意文件。
10.如权利要求9所述的恶意文件云环境下跨平台检测系统,其特征在于,所述恶意文件副本在安全沙盒虚拟机集群中进行并行检测;用户可以将整个网站的所有页面文件或其它多文件软件一次上传,批量处理后,一次性得到检测结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310517192.9A CN103559441B (zh) | 2013-10-28 | 2013-10-28 | 一种恶意文件云环境下跨平台检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310517192.9A CN103559441B (zh) | 2013-10-28 | 2013-10-28 | 一种恶意文件云环境下跨平台检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103559441A true CN103559441A (zh) | 2014-02-05 |
CN103559441B CN103559441B (zh) | 2016-04-27 |
Family
ID=50013687
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310517192.9A Active CN103559441B (zh) | 2013-10-28 | 2013-10-28 | 一种恶意文件云环境下跨平台检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103559441B (zh) |
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104394176A (zh) * | 2014-12-17 | 2015-03-04 | 中国人民解放军国防科学技术大学 | 一种基于强制访问控制机制的webshell防范方法 |
CN105100065A (zh) * | 2015-06-26 | 2015-11-25 | 北京奇虎科技有限公司 | 基于云的webshell攻击检测方法、装置及网关 |
CN106055976A (zh) * | 2016-05-16 | 2016-10-26 | 杭州华三通信技术有限公司 | 文件检测方法及沙箱控制器 |
CN106055975A (zh) * | 2016-05-16 | 2016-10-26 | 杭州华三通信技术有限公司 | 文件检测方法及沙箱 |
CN106355087A (zh) * | 2015-07-17 | 2017-01-25 | 腾讯科技(深圳)有限公司 | 一种病毒检测结果的监控方法及装置 |
CN107169317A (zh) * | 2017-03-31 | 2017-09-15 | 武汉斗鱼网络科技有限公司 | 一种对lua脚本进行加密的方法及装置 |
CN107346390A (zh) * | 2017-07-04 | 2017-11-14 | 深信服科技股份有限公司 | 一种恶意样本检测方法及装置 |
CN107491691A (zh) * | 2017-08-08 | 2017-12-19 | 东北大学 | 一种基于机器学习的远程取证工具安全分析系统 |
CN107729474A (zh) * | 2017-10-13 | 2018-02-23 | 中车工业研究院有限公司 | Cad模型的数据质量检测方法、系统、设备及存储介质 |
CN107784040A (zh) * | 2016-08-31 | 2018-03-09 | 北京国双科技有限公司 | 一种文件下发方法及装置 |
CN108038375A (zh) * | 2017-12-21 | 2018-05-15 | 北京星河星云信息技术有限公司 | 一种恶意文件检测方法及装置 |
CN108268771A (zh) * | 2014-09-30 | 2018-07-10 | 瞻博网络公司 | 基于行为增量标识躲避的恶意对象 |
CN108363919A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种病毒专杀工具生成方法及系统 |
CN108932429A (zh) * | 2017-05-27 | 2018-12-04 | 腾讯科技(深圳)有限公司 | 应用程序的分析方法、终端及存储介质 |
CN109992967A (zh) * | 2019-03-12 | 2019-07-09 | 福建拓尔通软件有限公司 | 一种在文件上传时实现自动检测文件安全性的方法及系统 |
CN110119618A (zh) * | 2018-10-31 | 2019-08-13 | 哈尔滨安天科技股份有限公司 | 恶意脚本的检测方法及装置 |
CN110543759A (zh) * | 2019-08-12 | 2019-12-06 | 中国南方电网有限责任公司 | 恶意文件检测方法、装置、计算机设备和存储介质 |
CN114266050A (zh) * | 2022-03-03 | 2022-04-01 | 西南石油大学 | 一种跨平台恶意软件对抗样本生成方法及系统 |
US11379578B1 (en) * | 2020-10-16 | 2022-07-05 | Trend Micro Incorporated | Detecting malware by pooled analysis of sample files in a sandbox |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106650439A (zh) * | 2016-09-30 | 2017-05-10 | 北京奇虎科技有限公司 | 检测可疑应用程序的方法及装置 |
US11514162B1 (en) * | 2022-01-13 | 2022-11-29 | Uab 360 It | System and method for differential malware scanner |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7797748B2 (en) * | 2007-12-12 | 2010-09-14 | Vmware, Inc. | On-access anti-virus mechanism for virtual machine architecture |
CN101977188A (zh) * | 2010-10-14 | 2011-02-16 | 中国科学院计算技术研究所 | 恶意程序检测系统 |
CN103268449A (zh) * | 2012-12-28 | 2013-08-28 | 武汉安天信息技术有限责任公司 | 一种手机恶意代码的高速检测方法和系统 |
-
2013
- 2013-10-28 CN CN201310517192.9A patent/CN103559441B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7797748B2 (en) * | 2007-12-12 | 2010-09-14 | Vmware, Inc. | On-access anti-virus mechanism for virtual machine architecture |
CN101977188A (zh) * | 2010-10-14 | 2011-02-16 | 中国科学院计算技术研究所 | 恶意程序检测系统 |
CN103268449A (zh) * | 2012-12-28 | 2013-08-28 | 武汉安天信息技术有限责任公司 | 一种手机恶意代码的高速检测方法和系统 |
Non-Patent Citations (1)
Title |
---|
林秦颖等: "面向云存储的安全存储策略研究", 《计算机研究与发展》 * |
Cited By (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108268771A (zh) * | 2014-09-30 | 2018-07-10 | 瞻博网络公司 | 基于行为增量标识躲避的恶意对象 |
CN108268771B (zh) * | 2014-09-30 | 2024-03-08 | 瞻博网络公司 | 用于指示恶意对象的设备和方法和非瞬态计算机可读介质 |
CN104394176A (zh) * | 2014-12-17 | 2015-03-04 | 中国人民解放军国防科学技术大学 | 一种基于强制访问控制机制的webshell防范方法 |
CN105100065A (zh) * | 2015-06-26 | 2015-11-25 | 北京奇虎科技有限公司 | 基于云的webshell攻击检测方法、装置及网关 |
CN105100065B (zh) * | 2015-06-26 | 2018-03-16 | 北京奇安信科技有限公司 | 基于云的webshell攻击检测方法、装置及网关 |
CN106355087A (zh) * | 2015-07-17 | 2017-01-25 | 腾讯科技(深圳)有限公司 | 一种病毒检测结果的监控方法及装置 |
CN106055975A (zh) * | 2016-05-16 | 2016-10-26 | 杭州华三通信技术有限公司 | 文件检测方法及沙箱 |
CN106055976B (zh) * | 2016-05-16 | 2021-05-28 | 新华三技术有限公司 | 文件检测方法及沙箱控制器 |
CN106055976A (zh) * | 2016-05-16 | 2016-10-26 | 杭州华三通信技术有限公司 | 文件检测方法及沙箱控制器 |
CN107784040B (zh) * | 2016-08-31 | 2022-03-18 | 北京国双科技有限公司 | 一种文件下发方法及装置 |
CN107784040A (zh) * | 2016-08-31 | 2018-03-09 | 北京国双科技有限公司 | 一种文件下发方法及装置 |
CN107169317A (zh) * | 2017-03-31 | 2017-09-15 | 武汉斗鱼网络科技有限公司 | 一种对lua脚本进行加密的方法及装置 |
CN108932429A (zh) * | 2017-05-27 | 2018-12-04 | 腾讯科技(深圳)有限公司 | 应用程序的分析方法、终端及存储介质 |
CN107346390A (zh) * | 2017-07-04 | 2017-11-14 | 深信服科技股份有限公司 | 一种恶意样本检测方法及装置 |
CN107491691A (zh) * | 2017-08-08 | 2017-12-19 | 东北大学 | 一种基于机器学习的远程取证工具安全分析系统 |
CN107729474B (zh) * | 2017-10-13 | 2020-07-28 | 中车工业研究院有限公司 | Cad模型的数据质量检测方法、系统、设备及存储介质 |
CN107729474A (zh) * | 2017-10-13 | 2018-02-23 | 中车工业研究院有限公司 | Cad模型的数据质量检测方法、系统、设备及存储介质 |
CN108363919A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种病毒专杀工具生成方法及系统 |
CN108363919B (zh) * | 2017-10-19 | 2021-04-20 | 北京安天网络安全技术有限公司 | 一种病毒专杀工具生成方法及系统 |
CN108038375A (zh) * | 2017-12-21 | 2018-05-15 | 北京星河星云信息技术有限公司 | 一种恶意文件检测方法及装置 |
CN110119618A (zh) * | 2018-10-31 | 2019-08-13 | 哈尔滨安天科技股份有限公司 | 恶意脚本的检测方法及装置 |
CN109992967A (zh) * | 2019-03-12 | 2019-07-09 | 福建拓尔通软件有限公司 | 一种在文件上传时实现自动检测文件安全性的方法及系统 |
CN110543759A (zh) * | 2019-08-12 | 2019-12-06 | 中国南方电网有限责任公司 | 恶意文件检测方法、装置、计算机设备和存储介质 |
US11379578B1 (en) * | 2020-10-16 | 2022-07-05 | Trend Micro Incorporated | Detecting malware by pooled analysis of sample files in a sandbox |
CN114266050A (zh) * | 2022-03-03 | 2022-04-01 | 西南石油大学 | 一种跨平台恶意软件对抗样本生成方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN103559441B (zh) | 2016-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103559441B (zh) | 一种恶意文件云环境下跨平台检测方法及系统 | |
Jana et al. | Abusing file processing in malware detectors for fun and profit | |
JP6644001B2 (ja) | ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体 | |
US8479291B1 (en) | Systems and methods for identifying polymorphic malware | |
CN106295348B (zh) | 应用程序的漏洞检测方法及装置 | |
CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
Rathnayaka et al. | An efficient approach for advanced malware analysis using memory forensic technique | |
CN105187395B (zh) | 基于接入路由器进行恶意软件网络行为检测的方法及系统 | |
KR20150044490A (ko) | 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법 | |
CN107341399B (zh) | 评估代码文件安全性的方法及装置 | |
CN107247902B (zh) | 恶意软件分类系统及方法 | |
US20120159625A1 (en) | Malicious code detection and classification system using string comparison and method thereof | |
CN105069355A (zh) | webshell变形的静态检测方法和装置 | |
CN110417718B (zh) | 处理网站中的风险数据的方法、装置、设备及存储介质 | |
CN102984161B (zh) | 一种可信网站的识别方法和装置 | |
Dhaya et al. | Detecting software vulnerabilities in android using static analysis | |
CN103793649A (zh) | 通过云安全扫描文件的方法和装置 | |
CN114386032A (zh) | 电力物联网设备的固件检测系统及方法 | |
KR20180075881A (ko) | 클라이언트 측 웹 취약점 분석 방법 및 장치 | |
JP5752642B2 (ja) | 監視装置および監視方法 | |
US10701087B2 (en) | Analysis apparatus, analysis method, and analysis program | |
Paturi et al. | Mobile malware visual analytics and similarities of attack toolkits (malware gene analysis) | |
Andriatsimandefitra et al. | Capturing android malware behaviour using system flow graph | |
CN103475671A (zh) | 恶意程序检测方法 | |
KR101372906B1 (ko) | 악성코드를 차단하기 위한 방법 및 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |