CN103824018B - 一种可执行文件处理方法以及可执行文件监控方法 - Google Patents

一种可执行文件处理方法以及可执行文件监控方法 Download PDF

Info

Publication number
CN103824018B
CN103824018B CN201210468022.1A CN201210468022A CN103824018B CN 103824018 B CN103824018 B CN 103824018B CN 201210468022 A CN201210468022 A CN 201210468022A CN 103824018 B CN103824018 B CN 103824018B
Authority
CN
China
Prior art keywords
file
executable file
list
internal memory
executable
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201210468022.1A
Other languages
English (en)
Other versions
CN103824018A (zh
Inventor
郭祎斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201210468022.1A priority Critical patent/CN103824018B/zh
Publication of CN103824018A publication Critical patent/CN103824018A/zh
Application granted granted Critical
Publication of CN103824018B publication Critical patent/CN103824018B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明提供一种可执行文件查杀加速方法,该方法包括:收集可执行文件列表;根据所述列表采样可执行文件的信息,并利用所述信息建立白名单文件;根据所述列表和信息验证所述白名单文件是否组建成功;客户端查找引擎利用所述组建成功的白名单文件直接获取一正在执行文件的查杀结果。本发明通过使用白名单,提高了杀毒软件的查杀可执行文件的速度,达到文件监控对系统在执行文件的时候,对操作系统干扰最小化。

Description

一种可执行文件处理方法以及可执行文件监控方法
技术领域
本发明涉及网络安全技术领域,尤其涉及一种可执行文件处理方法以及可执行文件监控方法。
背景技术
对于主机反病毒安全软件来讲,分成静态防御和动态防御两大基本技术,这两个方面是对抗病毒传播的基石。其中,动态防御是保障用户机器安全的一项重要技术,文件监控又是动态防御体系中的重要组成部分。文件监控中,有一项重要功能就是当一个可执行文件在被系统执行的时候,应该首先辨别这个可执行文件是否是恶意程序,其中包括进程文件(exe)和动态链接库文件(dll),处于安全性考虑,这个步骤一般是阻塞住可执行文件的执行流程,等待查杀完毕,如果不是病毒,则放行可执行文件并继续执行。一般来讲,用户机器中病毒文件所占有的比例是很小的。如果用户不访问恶意网站,或者本身操作系统没有太多的漏洞,不会感染太多的病毒。所以在一般的用户场景下,程序查杀的都是正常文件。
为了提高查杀效率,现有技术中,当文件监控拦截了执行动作后,文件监控查杀执行文件,然后将查杀结果写入一个缓存,当下次这个文件再执行的时候,直接命中缓存,达到不重复查杀的目的。这样使得文件监控查杀可执行文件,对系统的影响减小。然而这种方案必须建立在客户机器上文件监控已经查杀了可执行文件的基础上,因为如果用户第一次安装杀毒软件,这个加速cache实际上必须等到用户执行了相关文件之后才能建立。用户首次启动杀毒软件的时候,文件监控还是会拖慢系统的执行速度。
发明内容
(一)技术问题
本发明要解决的问题是:可执行文件在执行时候,提高杀毒软件的查杀可执行文件的速度,达到文件监控对系统在执行文件的时候,对操作系统干扰最小化。
(二)技术方案
本发明提供一种可执行文件查杀加速方法,该方法包括:
收集可执行文件列表;
根据所述列表采样可执行文件的信息,并利用所述信息建立白名单文件;
根据所述列表和信息验证所述白名单文件是否组建成功;
客户端查找引擎利用所述组建成功的白名单文件直接获取一正在执行文件的查杀结果。
可选的,根据所述列表采样可执行文件的信息进一步包括:
一次性运行所述列表中的可执行文件,监控每个所述可执行文件在操作系统中加载到内存的内存区间数据;
将所有的内存区间数据进行合并;
将合并后的内存区间数据与可执行文件进行映射,获得可执行文件的文件区间、映射文件内容以及基本信息;
计算上述信息的hash值。
可选的,该方法还包括:
将可执行文件的文件区间、文件内容以及基本信息以key-value方式存储到数据库中,其中key为文件全内容hash值,value为映射文件内容hash值和文件区间数据。
可选的,收集可执行文件列表进一步包括:
统计出操作系统常用核心进程文件和动态链接库文件;
收集与运行软件相关的加载进程文件和其动态链接文件;
根据上述文件建立可执行文件列表。
可选的,根据所述列表和信息验证所述白名单文件是否组建成功进一步包括:
计算所述列表中任一文件的全内容hash,根据所述全内容hash在所述数据库中查找先关文件内存区间数据;
根据内存区间数据,计算相关区间的内存映射数据hash;
将所述内存映射hash与数据库中相应的hash进行比较,以判断所述内存映射hash是否完整。
可选的,根据所述列表和信息验证所述白名单文件是否组建成功还包括:
任取一个白名单文件;
根据所述白名单文件中的区间计算所有黑文件的hash值;
判断所述hash值是否命中数据库中的hash值;
如果命中,则调整区间,重新计算所有黑文件的hash值,如果没有,则判断白名单文件正常;
当判断所述内存映射hash完整并且白名单文件正常时,则验证所述白名单文件组建成功。
可选的,所述客户端查找引擎利用所述组建成功的白名单文件直接获取一正在执行文件的查杀结果进一步包括:
文件监控装置监控可执行文件的运行;
当监控到可执行文件运行后,检查本地缓存中是否有所述文件;
如果有,则直接利用本地缓存中的结果,如果没有,则检查是否在所述验证组建成功的白名单文件中,如果是,则将相关的结果写入本地缓存中,如果否,则中止可执行文件的运行流程并进行查杀。
本发明还提供一种可执行文件查杀加速装置,该装置包括:
收集单元,用于收集可执行文件列表;
采样单元,用于根据所述列表采样可执行文件的信息,并利用所述信息建立白名单文件;
验证单元,用于根据所述列表和信息验证所述白名单文件是否组建成功;
其中所述组建成功的白名单文件应用于查找引擎以直接获取一正在执行文件的查杀结果。
可选的,所述采样单元进一步包括:
监控子单元,用于在一次性运行所述列表中的可执行文件时监控每个所述可执行文件在操作系统中加载到内存的内存区间数据;
采样子单元,用于根据所述内存区间数据采样可执行文件的信息。
可选的,所述采样子单元进一步包括:
合并单元,用于将所有的内存区间数据进行合并;
映射单元,用于将合并后的内存区间数据与可执行文件进行映射,并获得可执行文件的文件区间、文件内容以及基本信息。
可选的,该装置还包括存储单元,用于将可执行文件的文件区间、文件内容以及基本信息以key-value方式存储到数据库中,其中key为文件全内容hash,value为内存映射数据hash和内存区间数据,所述内存映射数据是内存区间数据映射到文件上的数据。
可选的,所述收集单元进一步包括:
统计单元,用于统计出操作系统常用核心进程文件和动态链接库文件;
收集子单元,用于收集与运行软件相关的加载进程文件和其动态链接文件;
列表产生单元,用于根据上述文件建立可执行文件列表。
(三)技术效果
本发明通过使用自动生成的白名单,提高了杀毒软件的查杀可执行文件的速度,达到文件监控对系统在执行文件的时候,对操作系统干扰最小化。
附图说明
图1表示本发明中可执行文件查杀加速方法的流程图;
图2表示本发明中自动产生白名单文件的流程图;
图3表示本发明中执行文件查杀时的流程图;
图4表示本发明中可执行文件查杀加速装置的结构图;
图5表示本发明中可执行文件查杀加速装置的详细结构图。
具体实施方式
本发明提供一种可执行文件查杀加速方法,如图1所示,该方法包括:
收集可执行文件列表(S1);
根据所述列表采样可执行文件的信息,并利用所述信息建立白名单文件(S2);
根据所述列表和信息验证所述白名单文件是否组建成功(S3);
客户端查找引擎利用所述组建成功的白名单文件直接获取一正在执行文件的查杀结果(S4)。
通过上述方案,可以达到在拦截可执行文件的过程中,杀毒软件通过自动生成的白名单直接获取白名单中列出的可执行文件的查杀结果,从而占用较少的处理资源,也不需要中止可执行文件的运行,对操作系统的影响最小。
经过统计发现,文件监控的可执行动作拦截,大部分都是拦截了操作系统的核心文件,同时这些核心文件都会在操作系统中,当进程启动的时候被反复加载很多遍。而且一个操作系统中,大部分的文件都是正常文件,病毒和恶意文件占有的比例很小。因而上述可执行文件应包括与操作系统相关的核心进程文件和其动态链接文件,即在一次性运行指定的可执行文件前,应收集或者统计与操作系统相关的核心进程文件和其动态链接文件,并形成核心进程文件和其动态链接文件的文件列表。
文件监控的可执行动作拦截,还拦截了相当部分的常用软件,因而可执行文件还应包括一些常用软件。根据一段时间的统计,例如(3个月,半年等等),统计出相关软件的相关版本信息,同时通过运行相关软件,统计出相关软件的一般加载进程文件(exe)和动态链接库文件(dll)的列表。
将这些列表汇总,统计出相关的文件,以此作为白名单文件的基础数据。
因而,收集可执行文件列表可进一步包括:
统计出操作系统常用核心进程文件和动态链接库文件;
收集与运行软件相关的加载进程文件和其动态链接文件;
根据上述文件建立可执行文件列表。
可选的,如图2所示,根据所述列表采样可执行文件的信息进一步包括:
一次性运行所述列表中的可执行文件,监控每个所述可执行文件在操作系统中加载到内存的内存区间数据(S21);
根据所述内存区间数据采样可执行文件的信息(S22,S223,S24)。
在操作系统中一次运行这些相关软件时,可运用现有的集群,然后通过自己的内存采样程序采样在首次启动这个执行文件的时候的内存区间数据。内存采样程序,功能就是监控指定的可执行文件在操作系统执行可执行文件的时候,加载文件到内存中的内容。因为操作系统不可能将可执行文件中所有的内容都加载到内存中,所以是部分加载。通过利用内存采样程序了减少白名单计算量,而且由于内存区间数据是操作系统已经预先加载到内存中,基本上不会有磁盘IO。
可执行文件在操作系统首次加载部分一般都是不相同的,我们针对这个部分做hash,生成白名单一般就可以了。
因而,如图2所示:根据所述内存区间数据采样可执行文件的信息可进一步包括:
将所有的内存区间数据进行合并(S22);
将合并后的内存区间数据与可执行文件进行映射,获得可执行文件的文件区间、映射文件内容以及基本信息(S23);
计算上述信息的hash值(S24)。
将计算出的hash唯一校验数据以Key-value方式组织进入数据库。其中Key是文件全内容hash,或者用户的安装目录等等。Value是根据映射文件内容计算出来的hash数值和文件区间数据,对生成的白名单进行验证,以测试白名单文件是否正常。
根据所述列表和信息验证所述白名单文件是否组建成功进一步包括:
计算所述列表中任一文件的全内容hash,根据所述全内容hash在所述数据库中查找先关文件内存区间数据;
根据内存区间数据,计算相关区间的内存映射数据hash;
将所述内存映射hash与数据库中相应的hash进行比较,以判断所述内存映射hash是否完整。
当判断所述内存映射hash完整并且白名单文件正常时,则验证所述白名单文件组建成功。
也可利用黑文件对生成的白名单进行测试,以测试白名单文件是否正常,具体程序流程如下:
根据所述列表和信息验证所述白名单文件是否组建成功还可包括:
任取一个白名单文件;
根据所述白名单文件中的区间计算所有黑文件的hash值;
判断所述hash值是否命中数据库中的hash值;
如果命中,则调整区间,重新计算所有黑文件的hash值,如果没有,则判断白名单文件正常;
总之,正常白名单文件必须满足:
1.不能和恶意文件向冲突,就是恶意文件不能进入这个白名单;
2.收集有限的文件,根据热度淘汰相关;
3.必须可升级。
将生成的上述白名单公布给客户端,客户端在首次启动的时候,利用所述白名单进行可执行的监控,如图3所示,所述客户端查找引擎利用所述组建成功的白名单文件直接获取一正在执行文件的查杀结果(S4)进一步包括:
文件监控装置监控可执行文件的运行(S41);
当监控到可执行文件运行后,检查本地缓存中是否有所述文件(S42);
如果有,则直接利用本地缓存中的结果(S43),如果没有,则检查是否在所述验证组建成功的白名单文件中(S44),如果是,则将相关的结果写入本地缓存中(S45),如果否,则中止可执行文件的运行流程并进行查杀(S46)。
本发明还提供一种可执行文件查杀加速装置,如图4所示,该装置包括:
收集单元(1),用于收集可执行文件列表;
采样单元(2),用于根据所述列表采样可执行文件的信息,并利用所述信息建立白名单文件;
验证单元(3),用于根据所述列表和信息验证所述白名单文件是否组建成功;
其中所述组建成功的白名单文件应用于查找引擎以直接获取一正在执行文件的查杀结果。
如图5所示,所述采样单元可进一步包括:
监控子单元(21),用于在一次性运行所述列表中的可执行文件时监控每个所述可执行文件在操作系统中加载到内存的内存区间数据;
采样子单元(22),用于根据所述内存区间数据采样可执行文件的信息。
所述采样子单元(22)可进一步包括:
合并单元(221),用于将所有的内存区间数据进行合并;
映射单元(222),用于将合并后的内存区间数据与可执行文件进行映射,并获得可执行文件的文件区间、文件内容以及基本信息。
所述收集单元(1)进一步包括:
统计单元(11),用于统计出操作系统常用核心进程文件和动态链接库文件;
收集子单元(12),用于收集与运行软件相关的加载进程文件和其动态链接文件;
列表产生单元(13),用于根据上述文件建立可执行文件列表。
该装置还包括存储单元(4),用于将可执行文件的文件区间、文件内容以及基本信息以key-value方式存储到数据库中,其中key为文件全内容hash,value为内存映射数据hash和内存区间数据,所述内存映射数据是内存区间数据映射到文件上的数据。
总之本发明可加速可执行文件在执行时候杀毒软件的查杀可执行文件查杀速度,达到文件监控对系统在执行文件的时候对操作系统干扰最小化。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。

Claims (8)

1.一种可执行文件查杀加速方法,其特征在于,该方法包括:
收集可执行文件列表;
根据所述列表采样可执行文件的信息,并利用所述信息建立白名单文件,其中,所述根据所述列表采用可执行文件的信息包括:一次性运行所述列表中的可执行文件,监控每个所述可执行文件在操作系统中加载到内存的内存区间数据;根据所述内存区间数据采样可执行文件的信息;所述根据所述内存区间数据采样可执行文件的信息,包括:将所有的内存区间数据进行合并;将合并后的内存区间数据与可执行文件进行映射,获得可执行文件的文件区间、映射文件内容以及基本信息;
根据所述列表和所述可执行文件的信息验证所述白名单文件是否组建成功;
客户端查找引擎利用所述组建成功的白名单文件直接获取一正在执行文件的查杀结果。
2.如权利要求1所述的可执行文件查杀加速方法,其特征还在于,该方法还包括:
将可执行文件的文件区间、映射文件内容以及基本信息以key-value方式存储到数据库中,其中key为文件全内容hash值,value为映射文件内容hash值和文件区间数据。
3.如权利要求1或2所述的可执行文件查杀加速方法,其特征还在于,收集可执行文件列表进一步包括:
统计出操作系统常用核心进程文件和动态链接库文件;
收集与运行软件相关的加载进程文件和其动态链接文件;
根据所述核心进程文件、所述动态链接库文件、所述加载进程文件及所述动态链接文件建立可执行文件列表。
4.如权利要求2所述的可执行文件查杀加速方法,其特征还在于,根据所述列表和所述可执行文件的信息验证所述白名单文件是否组建成功进一步包括:
计算所述列表中任一文件的全内容hash,根据所述全内容hash在所述数据库中查找相关文件内存区间数据;
根据内存区间数据,计算相关区间的内存映射数据hash;
将所述内存映射数据hash与数据库中相应的hash进行比较,以判断所述内存映射hash是否完整。
5.如权利要求1所述的可执行文件查杀加速方法,其特征还在于,所述客户端查找引擎利用所述组建成功的白名单文件直接获取一正在执行文件的查杀结果进一步包括:
文件监控装置监控可执行文件的运行;
当监控到可执行文件运行后,检查本地缓存中是否有当前运行的可执行文件;
如果有,则直接利用本地缓存中的结果,如果没有,则检查是否在所述验证组建成功的白名单文件中,如果是,则将相关的结果写入本地缓存中,如果否,则中止可执行文件的运行流程并进行查杀。
6.一种可执行文件查杀加速装置,其特征在于,该装置包括:
收集单元,用于收集可执行文件列表;
采样单元,用于根据所述列表采样可执行文件的信息,并利用所述信息建立白名单文件,其中,所述采样单元进一步包括:监控子单元,用于在一次性运行所述列表中的可执行文件时监控每个所述可执行文件在操作系统中加载到内存的内存区间数据;采样子单元,用于根据所述内存区间数据采样可执行文件的信息,所述采样子单元进一步包括:合并单元,用于将所有的内存区间数据进行合并;映射单元,用于将合并后的内存区间数据与可执行文件进行映射,并获得可执行文件的文件区间、文件内容以及基本信息;
验证单元,用于根据所述列表和所述可执行文件的信息验证所述白名单文件是否组建成功;
其中所述组建成功的白名单文件应用于查找引擎以直接获取一正在执行文件的查杀结果。
7.如权利要求6所述的可执行文件查杀加速装置,其特征还在于,该装置还包括存储单元,用于将可执行文件的文件区间、映射文件内容以及基本信息以key-value方式存储到数据库中,其中key为文件全内容hash,value为内存映射数据hash和内存区间数据,所述内存映射数据是内存区间数据映射到文件上的数据。
8.如权利要求6所述的可执行文件查杀加速装置,其特征还在于,所述收集单元进一步包括:
统计单元,用于统计出操作系统常用核心进程文件和动态链接库文件;
收集子单元,用于收集与运行软件相关的加载进程文件和其动态链接文件;
列表产生单元,用于根据所述核心进程文件、所述动态链接库文件、所述加载进程文件及所述动态链接文件建立可执行文件列表。
CN201210468022.1A 2012-11-19 2012-11-19 一种可执行文件处理方法以及可执行文件监控方法 Active CN103824018B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210468022.1A CN103824018B (zh) 2012-11-19 2012-11-19 一种可执行文件处理方法以及可执行文件监控方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210468022.1A CN103824018B (zh) 2012-11-19 2012-11-19 一种可执行文件处理方法以及可执行文件监控方法

Publications (2)

Publication Number Publication Date
CN103824018A CN103824018A (zh) 2014-05-28
CN103824018B true CN103824018B (zh) 2017-11-14

Family

ID=50759074

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210468022.1A Active CN103824018B (zh) 2012-11-19 2012-11-19 一种可执行文件处理方法以及可执行文件监控方法

Country Status (1)

Country Link
CN (1) CN103824018B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106709337A (zh) * 2015-11-18 2017-05-24 中兴通讯股份有限公司 一种恶意捆绑软件的处理方法和装置
CN106557692B (zh) * 2015-12-28 2019-05-07 哈尔滨安天科技股份有限公司 Linux内核操作系统ELF文件特征计算方法及系统
CN106650426A (zh) * 2016-12-09 2017-05-10 哈尔滨安天科技股份有限公司 一种动态提取可执行文件内存映像的方法及系统
CN107479920B (zh) * 2017-08-04 2020-05-29 浙江大学 一种单elf文件实现多操作系统加载的方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101311950A (zh) * 2007-05-25 2008-11-26 北京书生国际信息技术有限公司 一种电子印章的实现方法和装置
CN101404014A (zh) * 2007-10-01 2009-04-08 赛门铁克公司 用于创建和更新批准文件和受信任域数据库的方法和系统
CN101495969A (zh) * 2005-05-05 2009-07-29 思科埃恩波特系统有限公司 识别电子消息中的威胁
CN101650768A (zh) * 2009-07-10 2010-02-17 深圳市永达电子股份有限公司 基于自动白名单的Windows终端安全保障方法与系统
CN101997832A (zh) * 2009-08-10 2011-03-30 北京多思科技发展有限公司 一种支持安全监控的安全监控装置及方法
CN102164138A (zh) * 2011-04-18 2011-08-24 奇智软件(北京)有限公司 一种保证用户网络安全性的方法及客户端

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10043008B2 (en) * 2004-10-29 2018-08-07 Microsoft Technology Licensing, Llc Efficient white listing of user-modifiable files

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101495969A (zh) * 2005-05-05 2009-07-29 思科埃恩波特系统有限公司 识别电子消息中的威胁
CN101311950A (zh) * 2007-05-25 2008-11-26 北京书生国际信息技术有限公司 一种电子印章的实现方法和装置
CN101404014A (zh) * 2007-10-01 2009-04-08 赛门铁克公司 用于创建和更新批准文件和受信任域数据库的方法和系统
CN101650768A (zh) * 2009-07-10 2010-02-17 深圳市永达电子股份有限公司 基于自动白名单的Windows终端安全保障方法与系统
CN101997832A (zh) * 2009-08-10 2011-03-30 北京多思科技发展有限公司 一种支持安全监控的安全监控装置及方法
CN102164138A (zh) * 2011-04-18 2011-08-24 奇智软件(北京)有限公司 一种保证用户网络安全性的方法及客户端

Also Published As

Publication number Publication date
CN103824018A (zh) 2014-05-28

Similar Documents

Publication Publication Date Title
Feng et al. A performance-sensitive malware detection system using deep learning on mobile devices
US11363061B2 (en) Runtime detection of injection attacks on web applications via static and dynamic analysis
Manes et al. Fuzzing: Art, science, and engineering
Rathnayaka et al. An efficient approach for advanced malware analysis using memory forensic technique
Carmony et al. Extract Me If You Can: Abusing PDF Parsers in Malware Detectors.
CN109271780A (zh) 机器学习恶意软件检测模型的方法、系统和计算机可读介质
Wang et al. Jsdc: A hybrid approach for javascript malware detection and classification
CN110225029B (zh) 注入攻击检测方法、装置、服务器及存储介质
CN105760787B (zh) 用于检测随机存取存储器中的恶意代码的系统及方法
CN103824018B (zh) 一种可执行文件处理方法以及可执行文件监控方法
Schlumberger et al. Jarhead analysis and detection of malicious java applets
Weissbacher et al. {ZigZag}: Automatically Hardening Web Applications Against Client-side Validation Vulnerabilities
CN109684072A (zh) 基于机器学习模型管理用于检测恶意文件的计算资源的系统和方法
Zhang et al. Condysta: Context-aware dynamic supplement to static taint analysis
Cao et al. JShield: Towards real-time and vulnerability-based detection of polluted drive-by download attacks
Russo et al. Securing timeout instructions in web applications
Wawryn et al. Detection of anomalies in compiled computer program files inspired by immune mechanisms using a template method
CN115168861A (zh) 数据安全验证方法、装置、设备及存储介质
Papp et al. Towards semi-automated detection of trigger-based behavior for software security assurance
Yang et al. FSAFlow: Lightweight and fast dynamic path tracking and control for privacy protection on Android using hybrid analysis with state-reduction strategy
KR20140064649A (ko) 안티 멀웨어 시스템 및 안티 멀웨어 시스템에서의 패킷 처리 방법
Huynh et al. An empirical investigation into open source web applications’ implementation vulnerabilities
Khodayari et al. The Great Request Robbery: An Empirical Study of Client-side Request Hijacking Vulnerabilities on the Web
CN107358106A (zh) 漏洞检测方法、漏洞检测装置及服务器
Tan et al. Attack provenance tracing in cyberspace: Solutions, challenges and future directions

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant