CN103839004A - 检测恶意文件的方法和设备 - Google Patents
检测恶意文件的方法和设备 Download PDFInfo
- Publication number
- CN103839004A CN103839004A CN201210486966.1A CN201210486966A CN103839004A CN 103839004 A CN103839004 A CN 103839004A CN 201210486966 A CN201210486966 A CN 201210486966A CN 103839004 A CN103839004 A CN 103839004A
- Authority
- CN
- China
- Prior art keywords
- file
- label
- malicious file
- value
- decision model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种检测恶意文件的方法和设备。其中检测恶意文件的方法包括:获取待检测的文件;若解析出该文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功,则确定该文件为恶意文件或疑似恶意文件。本发明实施例方案有利于提高恶意文件检测的灵活性、准确性和方案可行性。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及检测恶意文件的方法和设备。
背景技术
随着互联网技术的发展,动画(Flash)文件等广泛应用于创建网络上多媒体应用程序,包括丰富的视频、声音、图形和动画等。目前,绝大多数浏览器都内置或者支持安装Flash文件播放插件(例如Adobe Flash Player),用于播放网页上的Flash文件。其中,恶意Flash文件可能携带恶意链接,因此运行恶意Flash文件可能影响数据和系统安全。
目前,针对Flash文件常见的检测方法是计算Flash文件的Hash值,然后将其与预先收集的恶意Flash文件的Hash值进行比较,如果匹配上,则判定该Flash文件为恶意文件;否则,认为该Flash文件是安全的。
本发明的发明人研究和实践发现,现有技术至少存在以下技术问题:
由于文件(例如Flash文件)的Hash值具有唯一性,黑客只需每次在生成恶意文件时随机的插入一些的无效代码,即可批量生成Hash值截然不同的恶意文件,从而绕过基于文件Hash值的检测机制。或者,即使检测系统可以持续补充恶意文件的Hash值,但是由于理论上黑客可以生成无数多个Hash值不同的恶意文件,因此,现有机制也可能会造成检测系统收集到的恶意文件Hash值越来越多而难于管理维护,降低了方案可行性。
发明内容
本发明实施例提供检测恶意文件的方法和设备,以期提高恶意文件检测的灵活性、准确性和方案可行性。
本发明实施例一方面提供一种检测恶意文件的方法,可包括:
获取待检测的文件;
若解析出所述文件中包含引用标签,将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功,则确定所述文件为恶意文件或疑似恶意文件。
本发明实施例另一方面提供一种用户终端,可包括:
获取单元,用于获取待检测的文件;
匹配单元,若解析出所述获取单元获取的文件中包含引用标签,将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配;
确定单元,用于若所述匹配单元匹配成功,则确定所述文件为恶意文件或疑似恶意文件。
由上可见,本发明实施例提供的检测恶意文件方案中,若解析出获取的待检测的文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功则确定该文件为恶意文件或疑似恶意文件。由于是根据文件中包含引用标签中的属性值,来判定其是否为恶意文件或疑似恶意文件,而发明人研究发现引用标签中的属性值不会被任意设置,引用标签中的属性值具有很强的标识作用,因此,这相对现有技术利用文件Hash值判定而言就有利于提升检测的灵活性和可靠性,并且也并不一定需要依赖海量Hash值的维护,可行性更高。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供一种检测恶意文件的方法的流程示意图;
图2是本发明实施例提供另一种检测恶意文件的方法的流程示意图;
图3是本发明实施例提供的一种用户终端的示意图;
图4是本发明实施例提供的另一种用户终端的示意图;
图5是本发明实施例提供的一种安全防护系统的示意图。
具体实施方式
本发明实施例提供一种检测恶意文件的方法和设备,以期提高恶意文件检测的灵活性、准确性和方案可行性。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
以下分别进行详细说明。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明检测恶意文件的方法的一个实施例,该方法可包括:获取待检测的文件;若解析出该文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功,则确定该文件为恶意文件或疑似恶意文件。
首先参见图1,图1是本发明实施例提供的一种检测恶意文件的方法的流程示意图。如图1所示,本发明实施例提供的一种检测恶意文件的方法可包括以下内容:
101、获取待检测的文件。
在本发明的一些实施例中,获取的待检测文件可以是Flash文件或其它类型的可运行文件。其中,可从网络服务器或本地获取的待检测的文件,在该文件未运行之前检测其是否为恶意文件。例如,当用户终端从某网站服务器下载网页进行浏览时,用户终端将下载网页需引用的页面文件(例如Flash文件等等资源文件)运行,例如在下载到网页需引用的Flash文件后,可先检测该Flash文件是否为恶意文件,若不是恶意文件则再通过播放器播放。
102、若解析出上述文件中包含引用标签,将上述引用标签包含的属性值与预置的恶意文件判定模型进行匹配。
在本发明一些实施例中,可将引用标签包含1个或多个属性值与预置的恶意文件判定模型进行匹配。而在实际应用中,具体的匹配方式也可以是多种多样的。
举例来说,若引用标签包含标签显示尺度属性值,恶意文件判定模型包含标签显示尺度属性值阈值;则将引用标签包含的属性值与预置的恶意文件判定模型进行匹配,可包括:将引用标签包含的标签显示尺度属性值,与恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较,若上述标签显示尺度属性值小于或等于上述标签显示尺度属性值阈值,则可确定上述引用标签包含的标签显示尺度属性值与上述恶意文件判定模型匹配成功。其中,上述标签显示尺度属性值例如包括如下尺度属性值中的一个或多个:标签显示高度(height)属性值、标签显示宽度(widht)属性值和标签显示面积属性值。
又举例来说,若引用标签包含源地址属性值,恶意文件判定模型包含域名信任度阈值;则将引用标签包含的属性值与预置的恶意文件判定模型进行匹配可包括:获得引用标签包含的源地址属性值所对应域名的信任度,将获得的上述信任度与上述恶意文件判定模型包含的域名信任度阈值进行比较,若获得的上述信任度小于或等于上述域名信任度阈值,则可确定上述引用标签包含的源地址属性值与上述恶意文件判定模型匹配成功。其中,域名信任度越大表示越可信。
又举例来说,若引用标签包含标签显示尺度属性值和源地址属性值,恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值,则将引用标签包含的属性值与预置的恶意文件判定模型进行匹配,可以包括:将上述引用标签包含的标签显示尺度属性值,与上述恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较;获得上述引用标签包含的源地址属性值所对应域名的信任度,将获得的上述信任度与上述恶意文件判定模型包含的域名信任度阈值进行比较(其中,域名信任度越大表示越可信),若上述标签显示尺度属性值小于或等于上述标签显示尺度属性值阈值,和/或,若上述信任度小于或等于上述恶意文件判定模型包含的域名信任度阈值,则可确定上述引用标签包含的属性值与上述恶意文件判定模型匹配成功。
103、若引用标签包含的属性值与恶意文件判定模型匹配成功,则确定上述文件为恶意文件或疑似恶意文件。
在本发明一些实施例中,若解析出上述文件中不包含引用标签,则还可进一步计算出上述文件的第一哈希值,将第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若第一哈希值与至少1个恶意文件的哈希值的其中1个(如第二哈希值)相同,则确定上述文件为恶意文件。
在本发明的另一些实施例中,若解析出上述文件中不包含引用标签,则还可提取上述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串(其中,恶意文件特征字符库中可包括若干条恶意文件具有的特征字符串)进行匹配,若匹配出第一特征字符串与上述恶意文件特征字符库中的第二特征字符串相同,则确定上述文件为恶意文件。
在本发明的一些实施例中,若上述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则还可进一步计算出上述文件的第一哈希值,将第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若第一哈希值与上述至少1个恶意文件的哈希值的其中1个(如第二哈希值)相同,则确定上述文件为恶意文件。
在本发明另一些实施例中,若上述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,还可进一步提取上述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串(其中,恶意文件特征字符库中可包括若干条恶意文件具有的特征字符串)进行匹配,若匹配出第一特征字符串与上述恶意文件特征字符库中的第二特征字符串相同,则确定上述文件为恶意文件。
其中,若检测的文件为Flash文件,则Flash文件包含的引用标签例如可为内嵌页标签(iframe标签),其中,iframe标签可包括:源地址属性值(如src属性值)、标签显示高度(height)属性值和标签显示宽度(widht)属性值等等。其中,若检测出获取的Flash文件为恶意文件或疑似恶意文件,则不可播放Flash文件而将其隔离或删除,若检测出获取的Flash文件为正常文件,则再播放该Flash文件。
可以看出,本实施例检测恶意文件的方案中,若解析出获取的待检测的文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功则确定该文件为恶意文件或疑似恶意文件。由于是根据文件中包含引用标签中的属性值,判定其是否为恶意文件或疑似恶意文件,而发明人研究发现引用标签中的属性值不会被任意设置,引用标签中的属性值具有很强的标识作用,因此这相对现有技术利用文件Hash值判定而言,有利于提升检测的灵活性和可靠性,且也并不一定需依赖海量Hash值的维护,使得方案的可行性更高。
为便于更好的理解和实施本发明实施例的上述方面,下面通过举例应用场景进行进一步介绍。下面主要以检测Flash文件为例,其它类型文件的检测可以此类推。
请参见图2,图2是本发明实施例提供的另一种检测恶意文件的方法的流程示意图。如图2所示,本发明实施例提供的另一种检测恶意文件的方法可包括以下内容:
201、用户终端获取待检测的Flash文件f1。
在本发明的一些实施例中,例如,当用户终端从某网站服务器下载网页进行浏览时,用户终端将下载网页需引用的Flash文件f1来运行,例如在下载到网页需引用的Flash文件f1后,为提高Flash文件f1运行的安全性,可先检测该Flash文件f1是否为恶意Flash文件,若检测出其不是恶意Flash文件,则再通过播放器播放。
202、用户终端解析获得的Flash文件f1;
其中,若解析出Flash文件f1中包含iframe标签,则执行步骤203;
若解析出Flash文件f1中不包含iframe标签,则执行步骤209。
203、用户终端设置Flash文件f1的风险等级T=0,即初始风险等级设为0;
204、用户终端判断Flash文件f1中的iframe标签包含的width属性值和/或height属性值,是否小于或等于阈值S1,其中,阈值S1可根据实际场景的需要具体设置,例如阈值S1可以人眼不宜识别的最大像素为宜,例如,阈值S1的取值范围可为0~10个像素,例如等于5个像素。
若width属性值和/或height属性值大于阈值S1,执行步骤206;
若width属性值和/或height属性值小于或等于阈值S1,执行步骤205。
205、T=T+a1;
206、用户终端获得iframe标签包含的src属性值所对应域名的信任度,并判断获得的信任度是否小于或等于域名信任度阈值S2;其中,域名信任度越大则表示越可信。其中,阈值S2可根据实际需要具体设置,假设域名信任度最高位10,最低为0,则域名信任度阈值S2取值范围可为5~10,当S2亦可取值能满足安全需要的其它值。
若获得的信任度小于或等于域名信任度阈值S2,执行步骤208;
若获得的信任度大于域名信任度阈值S2,执行步骤207。
207、T=T+a2;
208、用户终端根据风险等级T的取值范围来标记Flash文件f1的安全状态。
举例来说,假设a1和a2相等,当风险等级T等于a1时,可标记Flash文件f1为疑似恶意文件,执行步骤209;当风险等级T等于2*a1时可标记Flash文件f1为恶意文件;当风险等级T等于0时执行步骤209。
又假设,假设a2大于a1,当风险等级T等于0时执行步骤209;当风险等级T等于a1时标记Flash文件f1为疑似恶意文件,执行步骤209;当T大于a1时标记Flash文件f1为恶意文件。
209、用户终端提取Flash文件f1包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串(其中,恶意文件特征字符库中可包括若干条恶意文件具有的特征字符串)进行匹配,若匹配出第一特征字符串与上述恶意文件特征字符库中的第二特征字符串相同,则确定Flash文件f1为恶意文件,若第一特征字符串与上述恶意文件特征字符库中的任何特征字符串均不相同,则确定Flash文件f1为正常文件。或者,用户终端计算出Flash文件f1的第一哈希值,将第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若第一哈希值与上述至少1个恶意文件的哈希值的其中1个(如第二哈希值)相同,则确定Flash文件f1为恶意文件,若第一哈希值与上述至少1个恶意文件的哈希值中的任何1个均不相同,则确定Flash文件f1为正常文件。
其中,步骤209用户终端也可通过现有的其它检测方式进行检测。
其中,对于正常Flash文件,可播放,对于检测出的恶意Flash文件,可隔离或直接删除。
研究发现,由于Adobe Flash Player拥有庞大的安装量,用户基数大,利用Adobe Flash Player软件本身漏洞传播木马病毒开始受到黑客们的青睐。通过在Flash文件中嵌入恶意木马链接,当用户终端播放这些Flash文件时,就可能自动下载和执行木马、病毒等恶意程序,导致用户终端(如手机、计算机等)的软件系统被感染,从而威胁到系统和信息安全。
可以理解的是,上述场景仅为举例,在实际应用中,可根据场景不同进行适应性变化方式。
可以看出,本实施例检测恶意文件的方案中,若解析出获取的待检测的Flash文件中包含iframe标签,则将该iframe标签包含的width属性值、height属性值、src属性值所对应域名的信任度等于设定阈值进行比较,根据比较结构确定该文件为恶意文件或疑似恶意文件。由于是根据文件中所包含iframe标签中的width属性值、height属性值、src属性值所对应域名的信任度,来判定其是否为恶意文件或疑似恶意文件,而研究发现iframe标签中的属性值不会被任意设置,iframe标签中的属性值具有很强的标识作用,因此,这相对现有技术直接利用Flash文件Hash值判定而言,有利于提升检测的灵活性和可靠性,且也并不一定需依赖海量Hash值的维护,使得方案的可行性更高。
为便于更好的实施本发明实施例的上述方案,下面还提供用于实施方式方案的相关装置。
参见图3,本发明还提供一种用户终端300,可包括:
获取单元310、匹配单元320和确定单元330。
其中,获取单元310,用于获取待检测的文件。
在本发明的一些实施例中,获取单元310获取的待检测文件可以是Flash文件或其它类型的可运行文件。其中,获取单元310可从网络服务器或本地获取的待检测的文件,在该文件未运行之前检测其是否为恶意文件。例如,当用户终端300从某网站服务器下载网页进行浏览时,用户终端300将下载网页需引用的页面文件(例如Flash文件等等资源文件)运行,例如在下载到网页需引用的Flash文件后,可先检测该Flash文件是否为恶意文件,若不是恶意文件则再通过播放器播放。
匹配单元320,若解析出获取单元310获取的文件中包含引用标签,将上述引用标签包含的属性值与预置的恶意文件判定模型进行匹配。
确定单元330,用于若匹配单元320匹配成功,则确定上述文件为恶意文件或疑似恶意文件。
在本发明一些实施例中,匹配单元320可将引用标签包含1个或多个属性值与预置的恶意文件判定模型进行匹配。而在实际应用中,具体的匹配方式也可以是多种多样的。
在本发明的一些实施例中,上述引用标签包含标签显示尺度属性值,
上述恶意文件判定模型包含标签显示尺度属性值阈值,
匹配单元320可具体用于,将上述引用标签包含的标签显示尺度属性值,与预置的恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较,若上述标签显示尺度属性值小于或等于上述标签显示尺度属性值阈值,则确定上述引用标签包含的标签显示尺度属性值与上述恶意文件判定模型匹配成功。
在本发明的另一些实施例中,上述引用标签包含源地址属性值,上述恶意文件判定模型包含域名信任度阈值,匹配单元320可具体用于,获得上述引用标签包含的源地址属性值所对应域名的信任度,将获得的上述信任度与上述恶意文件判定模型包含的域名信任度阈值进行比较,若获得的上述信任度小于或等于上述恶意文件判定模型包含的域名信任度阈值,则确定上述引用标签包含的源地址属性值与上述恶意文件判定模型匹配成功。
在本发明的又一些实施例中,上述引用标签包含标签显示尺度属性值和源地址属性值,上述恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值,匹配单元320可具体用于,将上述引用标签包含的标签显示尺度属性值与预置的恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较;获得上述引用标签包含的源地址属性值所对应域名的信任度,将获得的上述信任度与上述恶意文件判定模型包含的域名信任度阈值进行比较,若上述标签显示尺度属性值小于或等于上述标签显示尺度属性值阈值,和/或,若上述信任度小于或等于上述恶意文件判定模型包含的域名信任度阈值,则确定上述引用标签包含的属性值与上述恶意文件判定模型匹配成功。
在本发明的一些实施例中,确定单元330还用于,若解析出上述文件中不包含引用标签,则计算出上述文件的第一哈希值,将第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若第一哈希值与至少1个恶意文件的哈希值的其中1个相同,则确定上述文件为恶意文件;
在本发明的又一些实施例中,确定单元330还用于,若解析出上述文件中不包含引用标签,则提取上述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串进行匹配,若匹配出第一特征字符串与上述恶意文件特征字符库中的第二特征字符串相同,则确定上述文件为恶意文件;
在本发明的另一些实施例中,确定单元330还用于,若上述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则计算出上述文件的第一哈希值,将第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若第一哈希值与上述至少1个恶意文件的哈希值的其中1个相同,则确定上述文件为恶意文件;
在本发明的再一些实施例中,确定单元330还用于,若上述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则提取上述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串进行匹配,若匹配出第一特征字符串与上述恶意文件特征字符库中的第二特征字符串相同,则确定上述文件为恶意文件。
其中,若检测的文件为Flash文件,则Flash文件包含的引用标签例如可为内嵌页标签(iframe标签),其中,iframe标签可包括:源地址属性值(如src属性值)、标签显示高度(height)属性值和标签显示宽度(widht)属性值等等。其中,若检测出获取的Flash文件为恶意文件或疑似恶意文件,则可不播放Flash文件而将其隔离或删除,若检测出获取的Flash文件为正常文件,则再播放该Flash文件。
可以理解的是,本实施例的用户终端300的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
其中,用户终端300例如可是手机、计算机等。
可以看出,本实施例用户终端300检测恶意文件时,若解析出获取的待检测的文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功则确定该文件为恶意文件或疑似恶意文件。由于是根据文件中包含引用标签中的属性值,判定其是否为恶意文件或疑似恶意文件,而发明人研究发现引用标签中的属性值不会被任意设置,引用标签中的属性值具有很强的标识作用,因此这相对现有技术利用文件Hash值判定而言,有利于提升检测的灵活性和可靠性,且也并不一定需依赖海量Hash值的维护,使得方案的可行性更高。
参见图4,本发明还提供一种用户终端400,可包括:
处理器410、存储器420、输入装置430和输出装置440。用户终端400中的处理器410的数量可以一个或多个,图4中以一个处理器为例。在本发明的一些实施例中,处理器410、存储器420、输入装置430和输出装置440可通过总线或其它方式连接,其中,图4中以通过总线连接为例。
其中,处理器410执行如下步骤:
获取待检测的文件;若解析出该文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功,则确定该文件为恶意文件或疑似恶意文件。
在本发明的一些实施例中,处理器410获取的待检测文件可以是Flash文件或其它类型的可运行文件。其中,处理器410可从网络服务器或本地获取的待检测的文件,在该文件未运行之前检测其是否为恶意文件。例如当用户终端400从某网站服务器下载网页进行浏览时,用户终端400将下载网页需引用的页面文件(例如Flash文件等等资源文件)运行,例如在下载到网页需引用的Flash文件后,处理器410可先检测该Flash文件是否为恶意文件,若不是恶意文件则再通过播放器播放。
在本发明一些实施例中,处理器410可将引用标签包含1个或多个属性值与预置的恶意文件判定模型进行匹配。而在实际应用中,具体的匹配方式也可以是多种多样的。
举例来说,若引用标签包含标签显示尺度属性值,恶意文件判定模型包含标签显示尺度属性值阈值;则处理器410将引用标签包含的属性值与预置的恶意文件判定模型进行匹配,可包括:将引用标签包含的标签显示尺度属性值,与恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较,若上述标签显示尺度属性值小于或等于上述标签显示尺度属性值阈值,则可确定上述引用标签包含的标签显示尺度属性值与上述恶意文件判定模型匹配成功。
其中,上述标签显示尺度属性值例如可包括如下尺度属性值中的一个或多个:标签显示高度(height)属性值、标签显示宽度(widht)属性值和标签显示面积属性值。
又举例来说,若引用标签包含源地址属性值,恶意文件判定模型包含域名信任度阈值;则处理器410将引用标签包含的属性值与预置的恶意文件判定模型进行匹配可包括:获得引用标签包含的源地址属性值所对应域名的信任度,将获得的上述信任度与上述恶意文件判定模型包含的域名信任度阈值进行比较,若获得的上述信任度小于或等于上述域名信任度阈值,则可确定上述引用标签包含的源地址属性值与上述恶意文件判定模型匹配成功。其中,域名信任度越大表示越可信。
又举例来说,若引用标签包含标签显示尺度属性值和源地址属性值,恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值,则处理器410将引用标签包含的属性值与预置的恶意文件判定模型进行匹配,可包括:将上述引用标签包含的标签显示尺度属性值,与上述恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较;获得上述引用标签包含的源地址属性值所对应域名的信任度,将获得的上述信任度与上述恶意文件判定模型包含的域名信任度阈值进行比较(其中,域名信任度越大表示越可信),若上述标签显示尺度属性值小于或等于上述标签显示尺度属性值阈值,和/或,若上述信任度小于或等于上述恶意文件判定模型包含的域名信任度阈值,则可确定上述引用标签包含的属性值与上述恶意文件判定模型匹配成功。
在本发明一些实施例中,若解析出上述文件中不包含引用标签,则处理器410还可进一步执行如下步骤:
计算出上述文件的第一哈希值,将第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若第一哈希值与至少1个恶意文件的哈希值的其中1个(如第二哈希值)相同,则确定上述文件为恶意文件。
在本发明的另一些实施例中,若解析出上述文件中不包含引用标签,则处理器410还可进一步如下步骤:可提取上述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串(其中,恶意文件特征字符库中可包括若干条恶意文件具有的特征字符串)进行匹配,若匹配出第一特征字符串与上述恶意文件特征字符库中的第二特征字符串相同,则确定上述文件为恶意文件。
在本发明的一些实施例中,若上述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则处理器410还可进一步执行如下步骤:
计算出上述文件的第一哈希值,将第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若第一哈希值与上述至少1个恶意文件的哈希值的其中1个(如第二哈希值)相同,则确定上述文件为恶意文件。
在本发明另一些实施例中,若上述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,还处理器410还可进一步执行如下步骤:
可进一步提取上述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串(其中,恶意文件特征字符库中可包括若干条恶意文件具有的特征字符串)进行匹配,若匹配出第一特征字符串与上述恶意文件特征字符库中的第二特征字符串相同,则确定上述文件为恶意文件。
其中,若检测的文件为Flash文件,则Flash文件包含的引用标签例如可为内嵌页标签(iframe标签),其中,iframe标签可包括:源地址属性值(如src属性值)、标签显示高度(height)属性值和标签显示宽度(widht)属性值等等。其中,若检测出获取的Flash文件为恶意文件或疑似恶意文件,则处理器410可不播放Flash文件而将其隔离或删除,若检测出获取的Flash文件为正常文件,则处理器410再播放该Flash文件。
可以理解的是,本实施例的用户终端400的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
其中,用户终端400例如可是手机、计算机等。
可以看出,本实施例用户终端400检测恶意文件时,若解析出获取的待检测的文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功则确定该文件为恶意文件或疑似恶意文件。由于是根据文件中包含引用标签中的属性值,判定其是否为恶意文件或疑似恶意文件,而发明人研究发现引用标签中的属性值不会被任意设置,引用标签中的属性值具有很强的标识作用,因此这相对现有技术利用文件Hash值判定而言,有利于提升检测的灵活性和可靠性,且也并不一定需依赖海量Hash值的维护,使得方案的可行性更高。
参见图5,本发明实施例还提供的一种安全防护系统,可包括:
用户终端510和服务器520。
其中,用户终端510,用于从服务器520获取待检测的文件;若解析出该文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功,则确定该文件为恶意文件或疑似恶意文件。
在本发明的一些实施例中,用户终端510获取的待检测文件可以是Flash文件或其它类型的可运行文件。例如,当用户终端510从某网站服务器下载网页进行浏览时,用户终端510将下载网页需引用的页面文件(例如Flash文件等等资源文件)运行,例如在下载到网页需引用的Flash文件后,可先检测该Flash文件是否为恶意文件,若不是恶意文件则再通过播放器播放。
在本发明一些实施例中,用户终端510可将引用标签包含1个或多个属性值与预置的恶意文件判定模型进行匹配。而在实际应用中,具体的匹配方式也可以是多种多样的。
举例来说,若引用标签包含标签显示尺度属性值,恶意文件判定模型包含标签显示尺度属性值阈值;则用户终端510将引用标签包含的属性值与预置的恶意文件判定模型进行匹配,可包括:将引用标签包含的标签显示尺度属性值,与恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较,若上述标签显示尺度属性值小于或等于上述标签显示尺度属性值阈值,则可确定上述引用标签包含的标签显示尺度属性值与上述恶意文件判定模型匹配成功。
其中,上述标签显示尺度属性值例如包括如下尺度属性值中的一个或多个:标签显示高度(height)属性值、标签显示宽度(widht)属性值和标签显示面积属性值。
又举例来说,若引用标签包含源地址属性值,恶意文件判定模型包含域名信任度阈值;则用户终端510将引用标签包含的属性值与预置的恶意文件判定模型进行匹配可包括:获得引用标签包含的源地址属性值所对应域名的信任度,将获得的上述信任度与上述恶意文件判定模型包含的域名信任度阈值进行比较,若获得的上述信任度小于或等于上述域名信任度阈值,则可确定上述引用标签包含的源地址属性值与上述恶意文件判定模型匹配成功。其中,域名信任度越大表示越可信。
又举例来说,若引用标签包含标签显示尺度属性值和源地址属性值,恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值,用户终端510将引用标签包含的属性值与预置的恶意文件判定模型进行匹配可包括:将上述引用标签包含的标签显示尺度属性值,与上述恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较;获得上述引用标签包含的源地址属性值所对应域名的信任度,将获得的上述信任度与上述恶意文件判定模型包含的域名信任度阈值进行比较(其中,域名信任度越大表示越可信),若上述标签显示尺度属性值小于或等于上述标签显示尺度属性值阈值,和/或,若上述信任度小于或等于上述恶意文件判定模型包含的域名信任度阈值,则可确定上述引用标签包含的属性值与上述恶意文件判定模型匹配成功。
在本发明一些实施例中,若解析出上述文件中不包含引用标签,则用户终端510还可进一步用于,计算出上述文件的第一哈希值,将第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若第一哈希值与至少1个恶意文件的哈希值的其中1个(如第二哈希值)相同,则确定上述文件为恶意文件。
在本发明的另一些实施例中,若解析出上述文件中不包含引用标签,则用户终端510还可进一步用于,提取上述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串(其中,恶意文件特征字符库中可包括若干条恶意文件具有的特征字符串)进行匹配,若匹配出第一特征字符串与上述恶意文件特征字符库中的第二特征字符串相同,则确定上述文件为恶意文件。
在本发明的一些实施例中,若上述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则用户终端510还可进一步用于,计算出上述文件的第一哈希值,将第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若第一哈希值与上述至少1个恶意文件的哈希值的其中1个(如第二哈希值)相同,则确定上述文件为恶意文件。
在本发明另一些实施例中,若上述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,用户终端510还可进一步用于,提取上述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串(其中,恶意文件特征字符库中可包括若干条恶意文件具有的特征字符串)进行匹配,若匹配出第一特征字符串与上述恶意文件特征字符库中的第二特征字符串相同,则确定上述文件为恶意文件。
其中,若检测的文件为Flash文件,则Flash文件包含的引用标签例如可为内嵌页标签(iframe标签),其中,iframe标签可包括:源地址属性值(如src属性值)、标签显示高度(height)属性值和标签显示宽度(widht)属性值等等。其中,若检测出获取的Flash文件为恶意文件或疑似恶意文件,则不可播放Flash文件而将其隔离或删除,若检测出获取的Flash文件为正常文件,则再播放该Flash文件。
其中,用户终端510例如可是手机、计算机等。
可以看出,本实施例安全防护系统中,用户终端510从服务器520获取待检测的文件,若解析出获取的待检测的文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功则确定该文件为恶意文件或疑似恶意文件。由于是根据文件中包含引用标签中的属性值,判定其是否为恶意文件或疑似恶意文件,而发明人研究发现引用标签中的属性值不会被任意设置,引用标签中的属性值具有很强的标识作用,因此这相对现有技术利用文件Hash值判定而言,有利于提升检测的灵活性和可靠性,且也并不一定需依赖海量Hash值的维护,使得方案的可行性更高。
本发明实施例还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时包括上述方法实施例中记载的检测恶意文件的方法的部分或全部步骤。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
综上,本发明实施例检测恶意文件的方案中,若解析出获取的待检测的文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功则确定该文件为恶意文件或疑似恶意文件。由于是根据文件中包含引用标签中的属性值,判定其是否为恶意文件或疑似恶意文件,而发明人研究发现引用标签中的属性值不会被任意设置,引用标签中的属性值具有很强的标识作用,因此这相对现有技术利用文件Hash值判定而言,有利于提升检测的灵活性和可靠性,且也并不一定需依赖海量Hash值的维护,使得方案的可行性更高。
进一步的,发明人研究发现,标签显示尺度属性值和/或源地址属性值能够在很大程度上区分恶意文件和正常文件,因此选择标签显示尺度属性值和/或源地址属性值等进行匹配判定,有利于进一步提升检测的可靠性。
进一步的,将不同检测方式结合使用,有利于满足不同应用场景下的安全需求。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种检测恶意文件的方法,其特征在于,包括:
获取待检测的文件;
若解析出所述文件中包含引用标签,将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功,则确定所述文件为恶意文件或疑似恶意文件。
2.根据权利要求1所述的方法,其特征在于,
所述引用标签包含标签显示尺度属性值,
所述恶意文件判定模型包含标签显示尺度属性值阈值;
所述将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配包括:
将所述引用标签包含的标签显示尺度属性值,与所述恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较,若所述标签显示尺度属性值小于或等于所述标签显示尺度属性值阈值,则确定所述引用标签包含的标签显示尺度属性值与所述恶意文件判定模型匹配成功。
3.根据权利要求1所述的方法,其特征在于,
所述引用标签包含源地址属性值,
所述恶意文件判定模型包含域名信任度阈值;
所述将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配包括:
获得所述引用标签包含的源地址属性值所对应域名的信任度,将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,若获得的所述信任度小于或等于所述域名信任度阈值,则确定所述引用标签包含的源地址属性值与所述恶意文件判定模型匹配成功。
4.根据权利要求1所述的方法,其特征在于,
所述引用标签包含标签显示尺度属性值和源地址属性值,
所述恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值,
所述将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配包括:
将所述引用标签包含的标签显示尺度属性值,与所述恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较;获得所述引用标签包含的源地址属性值所对应域名的信任度,将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,若所述标签显示尺度属性值小于或等于所述标签显示尺度属性值阈值,和/或,若所述信任度小于或等于所述恶意文件判定模型包含的域名信任度阈值,则确定所述引用标签包含的属性值与所述恶意文件判定模型匹配成功。
5.根据权利要求1至4任一项所述的方法,其特征在于,
所述方法还包括:若解析出所述文件中不包含引用标签,则计算出所述文件的第一哈希值,将所述第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若所述第一哈希值与至少1个恶意文件的哈希值的其中1个相同,则确定所述文件为恶意文件;
或者,
若解析出所述文件中不包含引用标签,则提取所述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串进行匹配,若匹配出所述第一特征字符串与所述恶意文件特征字符库中的第二特征字符串相同,则确定所述文件为恶意文件;
或者,
若所述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则计算出所述文件的第一哈希值,将所述第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若所述第一哈希值与所述至少1个恶意文件的哈希值的其中1个相同,则确定所述文件为恶意文件;
或者,
若所述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则提取所述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串进行匹配,若匹配出所述第一特征字符串与所述恶意文件特征字符库中的第二特征字符串相同,则确定所述文件为恶意文件。
6.根据权利要求1至4任一项所述的方法,其特征在于,
所述文件为动画文件。
7.一种用户终端,其特征在于,包括:
获取单元,用于获取待检测的文件;
匹配单元,若解析出所述获取单元获取的文件中包含引用标签,将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配;
确定单元,用于若所述匹配单元匹配成功,则确定所述文件为恶意文件或疑似恶意文件。
8.根据权利要求7所述的用户终端,其特征在于,
所述引用标签包含标签显示尺度属性值,
所述恶意文件判定模型包含标签显示尺度属性值阈值,
所述匹配单元具体用于,将所述引用标签包含的标签显示尺度属性值,与预置的恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较,若所述标签显示尺度属性值小于或等于所述标签显示尺度属性值阈值,则确定所述引用标签包含的标签显示尺度属性值与所述恶意文件判定模型匹配成功。
或者,
所述引用标签包含源地址属性值,
所述恶意文件判定模型包含域名信任度阈值,
所述匹配单元具体用于,获得所述引用标签包含的源地址属性值所对应域名的信任度,将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,若获得的所述信任度小于或等于所述恶意文件判定模型包含的域名信任度阈值,则确定所述引用标签包含的源地址属性值与所述恶意文件判定模型匹配成功。
9.根据权利要求7所述的用户终端,其特征在于,
所述引用标签包含标签显示尺度属性值和源地址属性值,
所述恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值,
所述匹配单元具体用于,将所述引用标签包含的标签显示尺度属性值,与预置的恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较;获得所述引用标签包含的源地址属性值所对应域名的信任度,将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,若所述标签显示尺度属性值小于或等于所述标签显示尺度属性值阈值,和/或,若所述信任度小于或等于所述恶意文件判定模型包含的域名信任度阈值,则确定所述引用标签包含的属性值与所述恶意文件判定模型匹配成功。
10.根据权利要求7至9任一项所述的用户终端,其特征在于,
所述确定单元还用于,若解析出所述文件中不包含引用标签,则计算出所述文件的第一哈希值,将所述第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若所述第一哈希值与至少1个恶意文件的哈希值的其中1个相同,则确定所述文件为恶意文件;
或者,
若解析出所述文件中不包含引用标签,则提取所述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串进行匹配,若匹配出所述第一特征字符串与所述恶意文件特征字符库中的第二特征字符串相同,则确定所述文件为恶意文件;
或者,
若所述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则计算出所述文件的第一哈希值,将所述第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若所述第一哈希值与所述至少1个恶意文件的哈希值的其中1个相同,则确定所述文件为恶意文件;
或者,
若所述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则提取所述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串进行匹配,若匹配出所述第一特征字符串与所述恶意文件特征字符库中的第二特征字符串相同,则确定所述文件为恶意文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210486966.1A CN103839004A (zh) | 2012-11-26 | 2012-11-26 | 检测恶意文件的方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210486966.1A CN103839004A (zh) | 2012-11-26 | 2012-11-26 | 检测恶意文件的方法和设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103839004A true CN103839004A (zh) | 2014-06-04 |
Family
ID=50802489
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210486966.1A Pending CN103839004A (zh) | 2012-11-26 | 2012-11-26 | 检测恶意文件的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103839004A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067708A (zh) * | 2018-06-29 | 2018-12-21 | 北京奇虎科技有限公司 | 一种网页后门的检测方法、装置、设备及存储介质 |
| CN112231696A (zh) * | 2020-10-30 | 2021-01-15 | 奇安信科技集团股份有限公司 | 恶意样本的识别方法、装置、计算设备以及介质 |
| CN114189714A (zh) * | 2021-12-08 | 2022-03-15 | 安天科技集团股份有限公司 | 视频网站内传播恶意软件的检测方法、装置、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101304426A (zh) * | 2008-07-10 | 2008-11-12 | 腾讯科技(深圳)有限公司 | 一种可疑文件的识别上报方法和装置 |
| CN101964026A (zh) * | 2009-07-23 | 2011-02-02 | 中联绿盟信息技术(北京)有限公司 | 网页挂马检测方法和系统 |
| CN102456057A (zh) * | 2010-11-01 | 2012-05-16 | 阿里巴巴集团控股有限公司 | 基于网上交易平台的检索方法、装置和服务器 |
| CN102592080A (zh) * | 2011-12-26 | 2012-07-18 | 北京奇虎科技有限公司 | flash恶意文件检测方法及装置 |
-
2012
- 2012-11-26 CN CN201210486966.1A patent/CN103839004A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101304426A (zh) * | 2008-07-10 | 2008-11-12 | 腾讯科技(深圳)有限公司 | 一种可疑文件的识别上报方法和装置 |
| CN101964026A (zh) * | 2009-07-23 | 2011-02-02 | 中联绿盟信息技术(北京)有限公司 | 网页挂马检测方法和系统 |
| CN102456057A (zh) * | 2010-11-01 | 2012-05-16 | 阿里巴巴集团控股有限公司 | 基于网上交易平台的检索方法、装置和服务器 |
| CN102592080A (zh) * | 2011-12-26 | 2012-07-18 | 北京奇虎科技有限公司 | flash恶意文件检测方法及装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067708A (zh) * | 2018-06-29 | 2018-12-21 | 北京奇虎科技有限公司 | 一种网页后门的检测方法、装置、设备及存储介质 |
| CN112231696A (zh) * | 2020-10-30 | 2021-01-15 | 奇安信科技集团股份有限公司 | 恶意样本的识别方法、装置、计算设备以及介质 |
| CN114189714A (zh) * | 2021-12-08 | 2022-03-15 | 安天科技集团股份有限公司 | 视频网站内传播恶意软件的检测方法、装置、设备及介质 |
| CN114189714B (zh) * | 2021-12-08 | 2023-11-10 | 安天科技集团股份有限公司 | 视频网站内传播恶意软件的检测方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6609047B2 (ja) | アプリケーション情報リスクマネジメントのための方法及びデバイス | |
| Lin et al. | Identifying android malicious repackaged applications by thread-grained system call sequences | |
| Zhang et al. | Breaking into the vault: Privacy, security and forensic analysis of Android vault applications | |
| US20160065613A1 (en) | System and method for detecting malicious code based on web | |
| CN102446255B (zh) | 一种检测页面篡改的方法及装置 | |
| CN102592080B (zh) | flash恶意文件检测方法及装置 | |
| CN102467633A (zh) | 一种安全浏览网页的方法及其系统 | |
| Van Acker et al. | FlashOver: Automated discovery of cross-site scripting vulnerabilities in rich internet applications | |
| CN102831339B (zh) | 一种针对网页的恶意攻击进行防护的方法、装置和浏览器 | |
| WO2013026320A1 (zh) | 一种网页挂马检测方法及系统 | |
| CN107463844B (zh) | Web木马检测方法及系统 | |
| CN105095760A (zh) | 用于检测恶意软件的方法和系统 | |
| CN101751530B (zh) | 检测漏洞攻击行为的方法及设备 | |
| CN104036160A (zh) | 一种网页浏览方法、装置及浏览器 | |
| CN103617393A (zh) | 一种基于支持向量机的移动互联网恶意应用软件检测方法 | |
| CN104168293A (zh) | 结合本地内容规则库识别可疑钓鱼网页的方法及系统 | |
| Tian et al. | DKISB: Dynamic key instruction sequence birthmark for software plagiarism detection | |
| CN105488400A (zh) | 一种恶意网页综合检测方法及系统 | |
| US11036479B2 (en) | Devices, systems, and methods of program identification, isolation, and profile attachment | |
| CN104598815A (zh) | 恶意广告程序的识别方法、装置及客户端 | |
| CN104767747A (zh) | 点击劫持安全检测方法和装置 | |
| CN103491101A (zh) | 钓鱼网站检测方法、装置及客户端 | |
| CN102215222A (zh) | 网站防护方法和装置 | |
| CN104158828A (zh) | 基于云端内容规则库识别可疑钓鱼网页的方法及系统 | |
| CN103973635A (zh) | 页面访问控制方法和相关装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140604 |