CN103902896A - 自膨胀病毒拦截方法及系统 - Google Patents
自膨胀病毒拦截方法及系统 Download PDFInfo
- Publication number
- CN103902896A CN103902896A CN201210568316.1A CN201210568316A CN103902896A CN 103902896 A CN103902896 A CN 103902896A CN 201210568316 A CN201210568316 A CN 201210568316A CN 103902896 A CN103902896 A CN 103902896A
- Authority
- CN
- China
- Prior art keywords
- file
- self
- threshold value
- virus
- compression ratio
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明属于病毒防御技术领域,具体涉及一种自膨胀病毒拦截方法及系统。本发明方法包括以下步骤:监测系统是否出现新进程;判断所述新进程所对应的程序文件大小是否大于预设的大文件阈值;分析大于预设阈值的程序文件是否为高压缩比文件;根据所述高压缩比文件判断结果,决定是否查杀所述新进程并发出相应的警示信息。本发明系统包括与方法对应的各个模块。本发明针对无法识别的大文件,在不增加云端服务器负担情况下,可以快速检测和拦截这种自膨胀病毒。
Description
技术领域
本发明属于病毒防御技术领域,具体涉及一种自膨胀病毒拦截方法及系统。
背景技术
目前的病毒文件检测方式,如下流程:
1、客户端根据本地病毒数据库对文件进行病毒扫描;
2、针对病毒文件进行查杀,针对安全文件予以运行;
3、针对无法识别的灰文件,将其上传至云端服务器中进行查询验证;
4、云端服务器将查询结果反馈给客户端;
5、客户端根据查询结果做出对应的处理。
由于每天都有大量的新文件产生,现有的病毒扫描方法进行识别,肯定会出现不少灰文件,如果都上传到云端服务器进行验证,尤其是一些大文件,网络传输都是个大文件,而且将给服务器造成巨大的压力。与此同时,即是某大文件是病毒文件,那么由于网络传输时间关系,也很难大规模的传播。因此,现有的检测方式中将一些无法识别的大文件就直接默认为安全文件。
经过申请人研究发现,最近出现了一种的大文件病毒,申请人将其定义为自膨胀病毒。它是由一种高压缩比的压缩文件解压而来,比如一个1M的文件解压后就变为了500M的大文件,1M的时候便于传播,解压后由于过大无法识别也无法上传云端服务器检测,进而逃过现有病毒检测系统,而且它通常在解压后会将其原始的压缩包给删除掉,让现有病毒防御系统无可奈何。
发明内容
针对自膨胀病毒难以检测的问题,本发明的目的在于自膨胀病毒拦截方法及系统,在不增加云端服务器负担情况下快速检测和拦截这种自膨胀病毒。
申请人进一步研究发现,这种自膨胀病毒的PE数据结构的四个数据段:代码段、数据段、自定义区域、以及文件尾中始终有一个畸形段,即是该段数据特别大,该段数据中只有少数几个数据重复构成,进而便于压缩,解压后能膨胀为一个大文件,将病毒隐藏在其中的一个字段就可以逃过现有防御系统。
为了实现上述发明目的,基于上述研究发现,得到了以下技术方案:
一种自膨胀病毒拦截方法,其特征在于包括以下步骤:
监测系统是否出现新进程;
判断所述新进程所对应的程序文件大小是否大于预设的大文件阈值;
分析大于预设阈值的程序文件是否为高压缩比文件;
根据所述高压缩比文件判断结果,决定是否查杀所述新进程并发出相应的警示信息。
进一步的,所述大文件阈值大于等于最大可上传至云端服务器进行病毒检测的文件大小值。
进一步的,在根据所述高压缩比文件判断结果,决定是否查杀所述新进程并发出相应的警示信息之后,还包括以下步骤:删除所述高压缩比文件。
进一步的,所述分析大于预设阈值的程序文件是否为高压缩比文件,具体包括如下子步骤:
获取所述程序文件的代码段、数据段、自定义区域、以及文件尾四段数据分别占整个程序文件的大小比重;
判断比重最大的数据段的比重是否大于预设的畸形阈值;
若大于,则将所述比重最大的畸形数据段均分为多个子段,再将各个子段均分为多个子块;
分别计算各个子块的数值,采用去重复的方法获得所有子块中数值互不相同的子块数目;
判断所述子块数目是否小于预设的允许重复阈值,若小于则确定该自膨胀文件是否为高压缩比文件。
进一步的,所述畸形阈值为70%,所述子段的大小为256K字节,所述子块的大小为256字节,所述允许重复阈值为100个。
一种自膨胀病毒拦截系统,包括以下模块:
进程监测模块,用于监测系统是否出现新进程;
程序文件大小判断模块,用于判断所述新进程所对应的程序文件大小是否大于预设的大文件阈值;
高压缩比文件分析模块,用于分析大于预设阈值的程序文件是否为高压缩比文件;
进程查杀模块,用于根据所述高压缩比文件判断结果,决定是否查杀所述新进程并发出相应的警示信息。
进一步的,所述大文件阈值大于等于最大可上传至云端服务器进行病毒检测的文件大小值。
进一步的,病毒文件删除模块,用于在进程查杀模块执行之后,删除所述高压缩比文件。
进一步的,所述高压缩比文件分析模块具体包括如下子模块:
比重计算模块,用于获取所述程序文件的代码段、数据段、自定义区域、以及文件尾四段数据分别占整个程序文件的大小比重;
畸形数据段判断模块,用于判断比重最大的数据段的比重是否大于预设的畸形阈值;
畸形数据段分割模块,用于若大于则将所述比重最大的畸形数据段均分为多个子段,再将各个子段均分为多个子块;
去重复模块,分别计算各个子块的数值,采用去重复的方法获得所有子块中数值互不相同的子块数目;
确定判断模块,判断所述子块数目是否小于预设的允许重复阈值,若小于则确定该自膨胀文件是否为高压缩比文件。
进一步的,所述畸形阈值为70%,所述子段的大小为256K字节,所述子块的大小为256字节,所述允许重复阈值为100个。
本发明针对无法上传云端服务器验证的大文件,判断其是否为病毒类高压缩比文件,如是则查杀其进程并给出相应的警示,使其不至于对计算机形成破坏。
因此,本发明针对无法识别的大文件,在不增加云端服务器负担情况下,可以快速检测和拦截这种自膨胀病毒。
附图说明
此附图说明所提供的图片用来辅助对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的不当限定,在附图中:
图1是本发明方法对应的流程图;
图2是本发明第3步的具体子流程图;
图3是本发明系统对应的框图;
图4是高压缩比文件分析模块的子模块框图。
具体实施方式
如图1所示,本实施例公开了一种自膨胀病毒拦截方法,包括以下步骤:
Step1:监测系统是否出现新进程,本发明之所以只监控进程,而不是直接分析该文件,因为文件在未运行状态中是不会对系统构成破坏的,而且很多文件比如WORD文档一般不会是病毒;
Step2:判断所述新进程所对应的程序文件大小是否大于预设的大文件阈值,所述大文件阈值大于等于最大可上传至云端服务器进行病毒检测的文件大小值;对于能够通过现有病毒检测系统进行检测的文件,本发明是不予检测的,即是小于该阈值的文件通过现有的防御系统进行识别;目前该阈值通常为500M,但阈值不是一个确定数值,它会随着现有防御系统的发展而变化,即是当现有的计算机网络传输技术和云端服务器能够支持更大文件上传至云端进行检测的时候,该阈值可能就会设置更大;
Step3:分析大于预设阈值的程序文件是否为高压缩比文件,本发明所述的高压缩比实质是指其压缩比例超过了一般正常的比例,比如1M的文件解压后变成700M的大文件这类的非正常文件,他之所以能够有如此高的压缩比,是因为其中包含的有效数据并不多,它采用重复数据段的方式进行解压而来;
Step4:根据所述高压缩比文件判断结果,决定是否查杀所述新进程并发出相应的警示信息;即是:如果判断结果是高压缩比文件,则查杀所述新进程并发出相应的警示信息,反之则不予处理;
Step5:删除所述高压缩比文件。
如图2所示,其中Step3所述分析大于预设阈值的程序文件是否为高压缩比文件,具体包括如下子步骤:
Step31:获取所述程序文件的代码段、数据段、自定义区域、以及文件尾四段数据分别占整个程序文件的大小比重,比如整个文件800M,代码段为600M,那么代码段的比重就是75%;
Step32:判断比重最大的数据段的比重是否大于预设的畸形阈值,本实施例经过大量病毒样本分析得出畸形阈值一般设定70%比较合理,如果大于该数值,则表明该段时间很可能是畸形数据段,这样子就避免了每一段都去分析,进而缩短分析时间;
Step33:若大于,则将所述比重最大的畸形数据段均分为多个子段,再将各个子段均分为多个子块,为了合理而快速分析该畸形段,本实施例中的子段的大小选取256K字节,所述子块的大小选取为256字节;
Step34:分别计算各个子块的数值,采用去重复的方法获得所有子块中数值互不相同的子块数目,比如各个子块的数据位:2、2、2、2、2、14、14、14、14、14、50、50、50、50,那么去重之后就2、14、50三个互不相同的数值;
Step35:判断所述子块数目是否小于预设的允许重复阈值,本实施例根据大量病毒样本分析得出允许重复阈值大概为100个比较合理,若小于则确定该自膨胀文件是否为高压缩比文件。
如图3所示,本实施例还公开了一种自膨胀病毒拦截系统,包括以下模块:
进程监测模块1,用于监测系统是否出现新进程;
程序文件大小判断模块2,用于判断所述新进程所对应的程序文件大小是否大于预设的大文件阈值,所述大文件阈值大于等于最大可上传至云端服务器进行病毒检测的文件大小值;
高压缩比文件分析模块3,用于分析大于预设阈值的程序文件是否为高压缩比文件;
进程查杀模块4,用于根据所述高压缩比文件判断结果,决定是否查杀所述新进程并发出相应的警示信息;
病毒文件删除模块5,用于在进程查杀模块执行之后,删除所述高压缩比文件。
如图4所示,高压缩比文件分析模块3具体包括如下子模块:
比重计算模块31,用于获取所述程序文件的代码段、数据段、自定义区域、以及文件尾四段数据分别占整个程序文件的大小比重;
畸形数据段判断模块32,用于判断比重最大的数据段的比重是否大于预设的畸形阈值,所述畸形阈值为70%
畸形数据段分割模块33,用于若大于则将所述比重最大的畸形数据段均分为多个子段,再将各个子段均分为多个子块,所述子段的大小为256K字节,所述子块的大小为256字节
去重复模块34,分别计算各个子块的数值,采用去重复的方法获得所有子块中数值互不相同的子块数目;
确定判断模块35,判断所述子块数目是否小于预设的允许重复阈值,所述允许重复阈值为100个,若小于则确定该自膨胀文件是否为高压缩比文件。
需要说明的是本实施例中所选取的具体数值,并不代表对本发明的限制,本发明还可以根据病毒的发展,基于病毒样本的分析情况进行适当调整,不过只要是按照本发明原理的检查方式,均是本发明的保护范围。
采用本发明方法和系统,可以有效识别出绝大部分自膨胀病毒,而且不需要对现有的病毒防御系统进行较大改变,也不需要增加云端服务器负担情况下,可以快速检测和拦截这种自膨胀病毒。
以上详细描述了本发明的较佳具体实施例,应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明构思在现有技术基础上通过逻辑分析、推理或者根据有限的实验可以得到的技术方案,均应该在由本权利要求书所确定的保护范围之中。
Claims (10)
1.一种自膨胀病毒拦截方法,其特征在于包括以下步骤:
监测系统是否出现新进程;
判断所述新进程所对应的程序文件大小是否大于预设的大文件阈值;
分析大于预设阈值的程序文件是否为高压缩比文件;
根据所述高压缩比文件判断结果,决定是否查杀所述新进程并发出相应的警示信息。
2.根据权利要求1所述的自膨胀病毒拦截方法,其特征在于:
所述大文件阈值大于等于最大可上传至云端服务器进行病毒检测的文件大小值。
3.根据权利要求1所述的自膨胀病毒拦截方法,其特征在于,在根据所述高压缩比文件判断结果,决定是否查杀所述新进程并发出相应的警示信息之后,还包括以下步骤:
删除所述高压缩比文件。
4.根据权利要求1所述的自膨胀病毒拦截方法,其特征在于,所述分析大于预设阈值的程序文件是否为高压缩比文件,具体包括如下子步骤:
获取所述程序文件的代码段、数据段、自定义区域、以及文件尾四段数据分别占整个程序文件的大小比重;
判断比重最大的数据段的比重是否大于预设的畸形阈值;
若大于,则将所述比重最大的畸形数据段均分为多个子段,再将各个子段均分为多个子块;
分别计算各个子块的数值,采用去重复的方法获得所有子块中数值互不相同的子块数目;
判断所述子块数目是否小于预设的允许重复阈值,若小于则确定该自膨胀文件是否为高压缩比文件。
5.根据权利要求4所述的自膨胀病毒拦截方法,其特征在于:
所述畸形阈值为70%,所述子段的大小为256K字节,所述子块的大小为256字节,所述允许重复阈值为100个。
6.一种自膨胀病毒拦截系统,其特征在于包括以下模块:
进程监测模块,用于监测系统是否出现新进程;
程序文件大小判断模块,用于判断所述新进程所对应的程序文件大小是否大于预设的大文件阈值;
高压缩比文件分析模块,用于分析大于预设阈值的程序文件是否为高压缩比文件;
进程查杀模块,用于根据所述高压缩比文件判断结果,决定是否查杀所述新进程并发出相应的警示信息。
7.根据权利要求6所述的自膨胀病毒拦截系统,其特征在于:
所述大文件阈值大于等于最大可上传至云端服务器进行病毒检测的文件大小值。
8.根据权利要求6所述的自膨胀病毒拦截系统,其特征在于,该系统还包括以下模块:
病毒文件删除模块,用于在进程查杀模块执行之后,删除所述高压缩比文件。
9.根据权利要求6所述的自膨胀病毒拦截系统,其特征在于,所述高压缩比文件分析模块具体包括如下子模块:
比重计算模块,用于获取所述程序文件的代码段、数据段、自定义区域、以及文件尾四段数据分别占整个程序文件的大小比重;
畸形数据段判断模块,用于判断比重最大的数据段的比重是否大于预设的畸形阈值;
畸形数据段分割模块,用于若大于则将所述比重最大的畸形数据段均分为多个子段,再将各个子段均分为多个子块;
去重复模块,分别计算各个子块的数值,采用去重复的方法获得所有子块中数值互不相同的子块数目;
确定判断模块,判断所述子块数目是否小于预设的允许重复阈值,若小于则确定该自膨胀文件是否为高压缩比文件。
10.根据权利要求9所述的自膨胀病毒拦截系统,其特征在于:
所述畸形阈值为70%,所述子段的大小为256K字节,所述子块的大小为256字节,所述允许重复阈值为100个。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210568316.1A CN103902896A (zh) | 2012-12-24 | 2012-12-24 | 自膨胀病毒拦截方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210568316.1A CN103902896A (zh) | 2012-12-24 | 2012-12-24 | 自膨胀病毒拦截方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103902896A true CN103902896A (zh) | 2014-07-02 |
Family
ID=50994208
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210568316.1A Pending CN103902896A (zh) | 2012-12-24 | 2012-12-24 | 自膨胀病毒拦截方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103902896A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107392023A (zh) * | 2017-07-28 | 2017-11-24 | 浙江九州量子信息技术股份有限公司 | 一种基于渗透测试中规避杀毒软件上传pe文件的方法 |
| CN108229164A (zh) * | 2016-12-21 | 2018-06-29 | 武汉安天信息技术有限责任公司 | 解压炸弹的判断方法及装置 |
| CN110443040A (zh) * | 2019-08-13 | 2019-11-12 | 杭州安恒信息技术股份有限公司 | 一种基于文件过滤驱动框架的文件实时捕获方法和装置 |
| CN110457905A (zh) * | 2019-08-12 | 2019-11-15 | 腾讯云计算(北京)有限责任公司 | 样本的病毒检测方法、装置、计算机设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010146457A (ja) * | 2008-12-22 | 2010-07-01 | Kddi Corp | 情報処理システムおよびプログラム |
| US20120159098A1 (en) * | 2010-12-17 | 2012-06-21 | Microsoft Corporation | Garbage collection and hotspots relief for a data deduplication chunk store |
| CN102708313A (zh) * | 2012-03-08 | 2012-10-03 | 珠海市君天电子科技有限公司 | 针对大文件的病毒检测系统及方法 |
-
2012
- 2012-12-24 CN CN201210568316.1A patent/CN103902896A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010146457A (ja) * | 2008-12-22 | 2010-07-01 | Kddi Corp | 情報処理システムおよびプログラム |
| US20120159098A1 (en) * | 2010-12-17 | 2012-06-21 | Microsoft Corporation | Garbage collection and hotspots relief for a data deduplication chunk store |
| CN102708313A (zh) * | 2012-03-08 | 2012-10-03 | 珠海市君天电子科技有限公司 | 针对大文件的病毒检测系统及方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108229164A (zh) * | 2016-12-21 | 2018-06-29 | 武汉安天信息技术有限责任公司 | 解压炸弹的判断方法及装置 |
| CN107392023A (zh) * | 2017-07-28 | 2017-11-24 | 浙江九州量子信息技术股份有限公司 | 一种基于渗透测试中规避杀毒软件上传pe文件的方法 |
| CN110457905A (zh) * | 2019-08-12 | 2019-11-15 | 腾讯云计算(北京)有限责任公司 | 样本的病毒检测方法、装置、计算机设备及存储介质 |
| CN110443040A (zh) * | 2019-08-13 | 2019-11-12 | 杭州安恒信息技术股份有限公司 | 一种基于文件过滤驱动框架的文件实时捕获方法和装置 |
| CN110443040B (zh) * | 2019-08-13 | 2021-08-20 | 杭州安恒信息技术股份有限公司 | 一种基于文件过滤驱动框架的文件实时捕获方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107241296B (zh) | 一种Webshell的检测方法及装置 | |
| CN102592103B (zh) | 文件安全处理方法、设备及系统 | |
| CN110278211A (zh) | 一种基于区块链的数据检验方法及装置 | |
| CN101630325B (zh) | 一种基于脚本特征的网页聚类方法 | |
| CN103902896A (zh) | 自膨胀病毒拦截方法及系统 | |
| CN105989251B (zh) | 一种盗版安卓应用甄别方法及盗版安卓应用甄别系统 | |
| WO2013027230A1 (en) | Storage apparatus and duplicate data detection method | |
| CN103428249B (zh) | 一种http请求包的收集及处理方法、系统和服务器 | |
| CN112131571B (zh) | 威胁溯源方法及相关设备 | |
| CN110941823B (zh) | 威胁情报获取方法及装置 | |
| CN105306439A (zh) | 一种基于决策树自修复的特征规则检测方法 | |
| CN112019523A (zh) | 一种工控系统的网络审计方法和装置 | |
| CN108231132B (zh) | 一种nand闪存验证装置和验证系统 | |
| CN106649344B (zh) | 一种网络日志压缩方法和装置 | |
| CN109359251A (zh) | 应用系统使用情况的审计预警方法、装置和终端设备 | |
| CN105100023A (zh) | 数据包特征提取方法及装置 | |
| CN110363002A (zh) | 一种入侵检测方法、装置、设备及可读存储介质 | |
| CN114785567A (zh) | 一种流量识别方法、装置、设备及介质 | |
| CN104636340A (zh) | 网页url过滤方法、装置及系统 | |
| CN117640199A (zh) | 一种采用模糊测试的电网工控协议漏洞挖掘系统 | |
| CN106681837B (zh) | 基于数据表的数据淘汰方法及装置 | |
| CN106658589A (zh) | 一种检测软件的运行流量的方法及装置 | |
| CN105791289A (zh) | 一种基于大数据计算的网络保护的方法及系统 | |
| Panigrahi et al. | Malware detection in big data using fast pattern matching: A hadoop based comparison on GPU | |
| CN103150512B (zh) | 一种蜜罐系统和运用该系统检测木马的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140702 |
|
| RJ01 | Rejection of invention patent application after publication |