CN103902897A - 计算机病毒的判别方法及系统 - Google Patents
计算机病毒的判别方法及系统 Download PDFInfo
- Publication number
- CN103902897A CN103902897A CN201210576294.3A CN201210576294A CN103902897A CN 103902897 A CN103902897 A CN 103902897A CN 201210576294 A CN201210576294 A CN 201210576294A CN 103902897 A CN103902897 A CN 103902897A
- Authority
- CN
- China
- Prior art keywords
- unknown sample
- dispatch server
- sample
- virus
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
Abstract
本发明实施例公开了一种计算机病毒的判别方法及系统,涉及计算机技术领域,解决了现有技术中的判别未知的样本是否为病毒样本的方式效率较低,处理未知样本的响应速度较慢的问题。所述方法包括:调度服务器将未知样本发送给宿主机,所述未知样本为与病毒库已有样本不匹配的样本。所述宿主机执行所述未知样本,将所述未知样本的动态执行过程记录生成为动态行为日志,并将所述动态行为日志发送给所述调度服务器。所述调度服务器根据恶意规则库确定所述动态行为日志是否为恶意行为记录。若所述动态行为日志是恶意行为记录,则所述调度服务器标记所述未知样本为病毒样本。本发明适用于计算机安全技术中。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种计算机病毒的判别方法及系统。背景技术
目前,随着计算机技术与信息安全技术的发展,杀毒软件的应用已经十分普遍。杀毒软件是用于消除计算机病毒、恶意程序等的一类软件,在当前计算机病毒泛滥的情况下,很大程度上保护了计算机的安全。随着各种杀毒软件纷纷引入云查杀技术,杀毒软件对抗计算机病毒的速度越来越快,导致了计算机病毒的生存期缩短。但是,当前的计算机病毒样本数量越来越大,新变种层出不穷,计算机病毒对计算机领域的危害依然很大,因此如何快速从大量未知的新样本中识别出病毒十分重要。
当前判别未知的样本是否为病毒样本的方式为:在一存储有计算机病毒信息的特征库中进行扫描,以确认所述特征库中是否有待检测的样本;若扫描不到所述待检测的样本,一般情况下需要在调试工具中运行待检测的样本,通过人为分析判断所述待检测的样本的运行情况,确定所述待检测的样本是否为病毒样本。而上述判别未知的样本是否为病毒样本的方式主要是病毒分析人员人为分析判断的,判别的效率较低,处理未知样本的响应速度较慢。
发明内容
本发明提供一种计算机病毒的判别方法,能够解决现有技术中的判别未知的样本是否为病毒样本的方式效率较低,处理未知样本的响应速度较慢的问题。
为达到上述目的,本发明采用如下技术方案:
一种计算机病毒的判别方法,包括:
调度服务器将未知样本发送给宿主机,所述未知样本为与病毒库已有样本不匹配的样本。
所述宿主机执行所述未知样本,将所述未知样本的动态执行过程记录生成为动态行为日志,并将所述动态行为日志发送给所述调度服务器。
所述调度服务器根据恶意规则库确定所述动态行为日志是否为恶意行为记录。
若所述动态行为日志是恶意行为记录,则所述调度服务器标记所述未知样本为病毒样本。
一种计算机病毒的判别系统,包括调度服务器及一个或多个宿主机;
所述调度服务器,用于将未知样本发送给宿主机,所述未知样本为与病毒库已有样本不匹配的样本。
所述宿主机,用于执行所述未知样本,将所述未知样本的动态执行过程记录生成为动态行为日志,并将所述动态行为日志发送给所述调度服务器。
所述调度服务器,还用于根据恶意规则库确定所述动态行为日志是否为恶意行为记录;若所述动态行为日志是恶意行为记录,则标记所述未知样本为病毒样本。
本发明提供的计算机病毒的判别方法及系统,由于调度服务器将未知样本发送给宿主机,所述未知样本为与病毒库已有样本不匹配的样本;由所述宿主机执行所述未知样本,并将所述未知样本的动态执行过程记录生成为动态行为日志,并将所述动态行为日志发送给所述调度服务器;所述调度服务器根据恶意规则库确定所述动态行为日志是否为恶意行为记录;若所述动态行为日志是恶意行为记录,则所述调度服务器标记所述未知样本为病毒样本。具体的判定未知样本是否为病毒样本的过程由调度服务器完成,而现有技术需要人为分析判断,判别的效率较低,处理未知样本的响应速度较慢。因此,本发明判别未知样本是否为病毒样本的过程效率较高,处理未知样本的响应速度较快。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的计算机病毒的判别方法的流程图;
图2为本发明又一实施例提供的计算机病毒的判别方法的流程图;
图3为本发明实施例提供的计算机病毒的判别系统的结构示意图一;
图4为本发明实施例提供的计算机病毒的判别系统的结构示意图二。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明技术方案的优点更加清楚,下面结合附图和实施例对本发明作详细说明。
如图1所示,本发明实施例提供的计算机病毒的判别方法,包括:
101、调度服务器将未知样本发送给宿主机。
其中,所述未知样本为与病毒库已有样本不匹配的样本。
具体的,所述未知样本是所述调度服务器从未知样本库中获取得到的。
102、所述宿主机执行所述未知样本,将所述未知样本的动态执行过程记录生成为动态行为日志,并将所述动态行为日志发送给所述调度服务器。
具体的,所述动态行为日志可以包括行为描述,例如修改注册表;行为的触发者,例如进程的名称;行为实施的对象,例如修改的注册表的路径;行为实施的结果,例如修改的注册表的内容;但不仅局限于此。
103、所述调度服务器根据恶意规则库确定所述动态行为日志是否为恶意行为记录。
具体的,所述恶意规则库记录有大量恶意行为记录,所述恶意行为记录中的恶意行为是强行修改用户软件设置、干扰用户、占用系统资源,或具有侵害用户信息和财产安全的行为。例如:未经允许修改用户的浏览器主页;修改系统的关键注册表设置,如自启动、防火墙设置等;修改关键系统文件;修改安全软件设置,导致安全软件异常等,但不仅局限于此。此外,恶意行为还有很多,在此不再赘述。
104、若所述动态行为日志是恶意行为记录,则所述调度服务器标记所述未知样本为病毒样本。
具体的,可以将所述动态行为日志与所述恶意规则库中的恶意行为记录进行匹配,在匹配成功后,确定所述动态行为日志为恶意行为记录。
本发明实施例提供的计算机病毒的判别方法,由于调度服务器将未知样本发送给宿主机,所述未知样本为与病毒库已有样本不匹配的样本;由所述宿主机执行所述未知样本,并将所述未知样本的动态执行过程记录生成为动态行为日志,并将所述动态行为日志发送给所述调度服务器;所述调度服务器根据恶意规则库确定所述动态行为日志是否为恶意行为记录;若所述动态行为日志是恶意行为记录,则所述调度服务器标记所述未知样本为病毒样本。具体的判定未知样本是否为病毒样本的过程由调度服务器完成,而现有技术需要人为分析判断,判别的效率较低,处理未知样本的响应速度较慢。因此,本发明判别未知样本是否为病毒样本的过程效率较高,处理未知样本的响应速度较快。
下面提供本发明的一种优选的实施例,如图2所示,本发明又一实施例提供的计算机病毒的判别方法,包括:
201、调度服务器从未知样本库中获取多个未知样本。
其中,所述未知样本为与病毒库已有样本不匹配的样本。
202、所述调度服务器根据宿主机运行虚拟机的数量,向所述宿主机发送未知样本。
具体的,所述调度服务器向所述宿主机发送的未知样本的数量可以与该宿主机中的虚拟机的数量相同,但不仅局限于此。
203、所述宿主机将接收到的所述未知样本分配给各虚拟机,使得在每个虚拟机上运行不同的未知样本。
具体的,通过在宿主机中运行多个虚拟机来运行不同的未知样本,能够提高未知样本的处理效率。
204、所述宿主机对所述各虚拟机进行监控,将所述各虚拟机执行的未知样本的动态执行过程分别记录生成为不同的动态行为日志。
具体的,所述动态行为日志可以包括行为描述,例如修改注册表;行为的触发者,例如进程的名称;行为实施的对象,例如修改的注册表的路径;行为实施的结果,例如修改的注册表的内容;但不仅局限于此。
205、所述宿主机将所述动态行为日志发送给所述调度服务器。
206、所述调度服务器将所述动态行为日志与恶意规则库中的恶意行为记录进行匹配,并确定匹配是否成功。若匹配成功,执行步骤207,若匹配失败,执行步骤210。
具体的,所述恶意规则库记录有大量恶意行为记录,所述恶意行为记录中的恶意行为是强行修改用户软件设置、干扰用户、占用系统资源,或具有侵害用户信息和财产安全的行为。例如:未经允许修改用户的浏览器主页;修改系统的关键注册表设置,如自启动、防火墙设置等;修改关键系统文件;修改安全软件设置,导致安全软件异常等,但不仅局限于此。此外,恶意行为还有很多,在此不再赘述。
207、所述调度服务器确定所述动态行为日志为恶意行为记录,并标记所述未知样本为病毒样本。执行步骤208或者步骤209。
208、所述调度服务器将所述病毒样本存储于所述调度服务器的病毒库中。
209、所述调度服务器将所述病毒样本升级到客户端的病毒库中。
210、所述调度服务器标记所述未知样本为正常样本。
其中,所述正常样本是由于所述恶意规则库中查找不到与所述正常样本匹配的恶意行为记录,但并不是表示所述正常样本不会对计算机安全造成危害,因此所述恶意规则库中的恶意行为记录还可以根据需求进行增减。
本发明又一实施例提供的计算机病毒的判别方法,由于调度服务器将未知样本发送给宿主机,所述未知样本为与病毒库已有样本不匹配的样本;由所述宿主机执行所述未知样本,并将所述未知样本的动态执行过程记录生成为动态行为日志,并将所述动态行为日志发送给所述调度服务器;所述调度服务器根据恶意规则库确定所述动态行为日志是否为恶意行为记录;若所述动态行为日志是恶意行为记录,则所述调度服务器标记所述未知样本为病毒样本。具体的判定未知样本是否为病毒样本的过程由调度服务器完成,而现有技术需要人为分析判断,判别的效率较低,处理未知样本的响应速度较慢。因此,本发明判别未知样本是否为病毒样本的过程效率较高,处理未知样本的响应速度较快。
并且,本发明实施例中,由于宿主机中可以包含多个虚拟机,在宿主机上执行未知样本时,可以由宿主机中的多个虚拟机一次执行多个未知样本,从而进一步的提高了未知样本的处理效率。
如图3所示,本发明实施例提供的计算机病毒的判别系统,包括调度服务器31及一个或多个宿主机32。
所述调度服务器31,用于将未知样本发送给宿主机32,所述未知样本为与病毒库已有样本不匹配的样本。其具体实现方式参见图1中步骤101所示,此处不再赘述。
所述宿主机32,用于执行所述未知样本,将所述未知样本的动态执行过程记录生成为动态行为日志,并将所述动态行为日志发送给所述调度服务器31。其具体实现方式参见图1中步骤102所示,此处不再赘述。
所述调度服务器31,还用于根据恶意规则库33确定所述动态行为日志是否为恶意行为记录;若所述动态行为日志是恶意行为记录,则标记所述未知样本为病毒样本。其具体实现方式参见图1中步骤103和步骤104所示,此处不再赘述。
进一步的,如图4所示,所述恶意规则库33用于存储恶意行为记录。
所述调度服务器31,还用于将所述动态行为日志与所述恶意规则库33中的恶意行为记录进行匹配。其具体实现方式参见图2中步骤206所示,此处不再赘述。
若匹配成功,则所述调度服务器31确定所述动态行为日志为恶意行为记录。其具体实现方式参见图2中步骤207所示,此处不再赘述。
优选的,如图4所示,所述宿主机32运行有多个虚拟机321,调度服务器31接收到多个未知样本。
所述调度服务器31,具体用于根据所述宿主机32运行虚拟机321的数量,向所述宿主机32发送未知样本。其具体实现方式参见图2中步骤202所示,此处不再赘述。
所述宿主机32,具体用于将接收到的所述未知样本分配给各虚拟机321。其具体实现方式参见图2中步骤203所示,此处不再赘述。
所述虚拟机321,具体用于运行所述未知样本,其中每个虚拟机上运行不同的未知样本。其具体实现方式参见图2中步骤203所示,此处不再赘述。
所述宿主机32,还用于对所述各虚拟机321进行监控,将所述各虚拟机321执行的未知样本的动态执行过程分别记录生成为不同的动态行为日志。其具体实现方式参见图2中步骤204所示,此处不再赘述。
进一步的,如图4所示,所述系统还包括客户端的病毒库34以及所述调度服务器的病毒库35:
所述调度服务器31,还用于将所述病毒样本存储于所述调度服务器的病毒库35中。其具体实现方式参见图2中步骤208所示,此处不再赘述。
或者用于将所述病毒样本升级到客户端的病毒库34中。其具体实现方式参见图2中步骤209所示,此处不再赘述。
具体的,如图4所示,所述系统还包括未知样本库36,用于向所述调度服务器31提供所述未知样本。其具体实现方式参见图2中步骤201所示,此处不再赘述。
本发明实施例提供的计算机病毒的判别系统,由于调度服务器将未知样本发送给宿主机,所述未知样本为与病毒库已有样本不匹配的样本;由所述宿主机执行所述未知样本,并将所述未知样本的动态执行过程记录生成为动态行为日志,并将所述动态行为日志发送给所述调度服务器;所述调度服务器根据恶意规则库确定所述动态行为日志是否为恶意行为记录;若所述动态行为日志是恶意行为记录,则所述调度服务器标记所述未知样本为病毒样本。具体的判定未知样本是否为病毒样本的过程由调度服务器完成,而现有技术需要人为分析判断,判别的效率较低,处理未知样本的响应速度较慢。因此,本发明判别未知样本是否为病毒样本的过程效率较高,处理未知样本的响应速度较快。
并且,本发明实施例中,由于宿主机中可以包括多个虚拟机,在宿主机上执行未知样本时,可以由宿主机中的多个虚拟机一次执行多个未知样本,从而进一步的提高了未知样本的处理效率。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种计算机病毒的判别方法,其特征在于,包括:
调度服务器将未知样本发送给宿主机,所述未知样本为与病毒库已有样本不匹配的样本;
所述宿主机执行所述未知样本,将所述未知样本的动态执行过程记录生成为动态行为日志,并将所述动态行为日志发送给所述调度服务器;
所述调度服务器根据恶意规则库确定所述动态行为日志是否为恶意行为记录;
若所述动态行为日志是恶意行为记录,则所述调度服务器标记所述未知样本为病毒样本。
2.根据权利要求1所述的方法,其特征在于,所述调度服务器根据恶意规则库确定所述动态行为日志是否为恶意行为日志,包括:
所述调度服务器将所述动态行为日志与恶意规则库中的恶意行为记录进行匹配;
若匹配成功,则所述调度服务器确定所述动态行为日志为恶意行为记录。
3.根据权利要求2所述的方法,其特征在于,当所述调度服务器接收到多个未知样本,并且所述宿主机中运行有多个虚拟机时;
所述调度服务器将未知样本发送给宿主机,包括:
所述调度服务器根据所述宿主机运行虚拟机的数量,向所述宿主机发送未知样本;
所述宿主机执行所述未知样本,包括:
所述宿主机将接收到的所述未知样本分配给各虚拟机,使得在每个虚拟机上运行不同的未知样本;
所述宿主机将所述未知样本的动态执行过程记录生成为动态行为日志,包括:
所述宿主机对所述各虚拟机进行监控,将所述各虚拟机执行的未知样本的动态执行过程分别记录生成为不同的动态行为日志。
4.根据权利要求3所述的方法,其特征在于,在所述调度服务器标记所述未知样本为病毒样本之后,还包括:
所述调度服务器将所述病毒样本存储于所述调度服务器的病毒库中;
或者所述调度服务器将所述病毒样本升级到客户端的病毒库中。
5.根据权利要求1-4任一项所述的方法,其特征在于,在调度服务器将未知样本发送给宿主机之前,还包括:
所述调度服务器从未知样本库中获取所述未知样本。
6.一种计算机病毒的判别系统,其特征在于,包括调度服务器及一个或多个宿主机;
所述调度服务器,用于将未知样本发送给宿主机,所述未知样本为与病毒库已有样本不匹配的样本;
所述宿主机,用于执行所述未知样本,将所述未知样本的动态执行过程记录生成为动态行为日志,并将所述动态行为日志发送给所述调度服务器;
所述调度服务器,还用于根据恶意规则库确定所述动态行为日志是否为恶意行为记录;若所述动态行为日志是恶意行为记录,则标记所述未知样本为病毒样本。
7.根据权利要求6所述的系统,其特征在于,所述调度服务器,还用于:
将所述动态行为日志与所述恶意规则库中的恶意行为记录进行匹配;
若匹配成功,则所述调度服务器确定所述动态行为日志为恶意行为记录。
8.根据权利要求7所述的系统,其特征在于,所述宿主机运行有多个虚拟机,当调度服务器接收到多个未知样本时;
所述调度服务器,具体用于根据所述宿主机运行虚拟机的数量,向所述宿主机发送未知样本;
所述宿主机,具体用于将接收到的所述未知样本分配给各虚拟机;
所述虚拟机,具体用于运行所述未知样本,其中每个虚拟机上运行不同的未知样本;
所述宿主机,还用于对所述各虚拟机进行监控,将所述各虚拟机执行的未知样本的动态执行过程分别记录生成为不同的动态行为日志。
9.根据权利要求8所述的系统,其特征在于,所述系统还包括客户端的病毒库以及所述调度服务器的病毒库:
所述调度服务器,还用于将所述病毒样本存储于所述调度服务器的病毒库中;
或者用于将所述病毒样本升级到客户端的病毒库中。
10.根据权利要求6-9任一项所述的系统,其特征在于,所述系统还包括未知样本库,用于向所述调度服务器提供所述未知样本。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210576294.3A CN103902897A (zh) | 2012-12-26 | 2012-12-26 | 计算机病毒的判别方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210576294.3A CN103902897A (zh) | 2012-12-26 | 2012-12-26 | 计算机病毒的判别方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103902897A true CN103902897A (zh) | 2014-07-02 |
Family
ID=50994209
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210576294.3A Pending CN103902897A (zh) | 2012-12-26 | 2012-12-26 | 计算机病毒的判别方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103902897A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104392174A (zh) * | 2014-10-23 | 2015-03-04 | 腾讯科技(深圳)有限公司 | 应用程序动态行为的特征向量的生成方法及装置 |
CN106557697A (zh) * | 2015-09-30 | 2017-04-05 | 卡巴斯基实验室股份制公司 | 生成杀毒记录集合的系统和方法 |
CN107392024A (zh) * | 2017-08-08 | 2017-11-24 | 微梦创科网络科技(中国)有限公司 | 一种恶意程序的识别方法及装置 |
CN111310179A (zh) * | 2020-01-22 | 2020-06-19 | 腾讯科技(深圳)有限公司 | 计算机病毒变种的分析方法、装置和计算机设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101482907A (zh) * | 2009-02-18 | 2009-07-15 | 中国科学技术大学 | 基于专家系统的主机恶意代码行为检测系统 |
CN102708309A (zh) * | 2011-07-20 | 2012-10-03 | 北京邮电大学 | 恶意代码自动分析方法及系统 |
CN102750475A (zh) * | 2012-06-07 | 2012-10-24 | 中国电子科技集团公司第三十研究所 | 基于虚拟机内外视图交叉比对恶意代码行为检测方法及系统 |
-
2012
- 2012-12-26 CN CN201210576294.3A patent/CN103902897A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101482907A (zh) * | 2009-02-18 | 2009-07-15 | 中国科学技术大学 | 基于专家系统的主机恶意代码行为检测系统 |
CN102708309A (zh) * | 2011-07-20 | 2012-10-03 | 北京邮电大学 | 恶意代码自动分析方法及系统 |
CN102750475A (zh) * | 2012-06-07 | 2012-10-24 | 中国电子科技集团公司第三十研究所 | 基于虚拟机内外视图交叉比对恶意代码行为检测方法及系统 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104392174A (zh) * | 2014-10-23 | 2015-03-04 | 腾讯科技(深圳)有限公司 | 应用程序动态行为的特征向量的生成方法及装置 |
CN104392174B (zh) * | 2014-10-23 | 2016-04-06 | 腾讯科技(深圳)有限公司 | 应用程序动态行为的特征向量的生成方法及装置 |
CN106557697A (zh) * | 2015-09-30 | 2017-04-05 | 卡巴斯基实验室股份制公司 | 生成杀毒记录集合的系统和方法 |
CN106557697B (zh) * | 2015-09-30 | 2020-08-18 | 卡巴斯基实验室股份制公司 | 生成杀毒记录集合的系统和方法 |
CN107392024A (zh) * | 2017-08-08 | 2017-11-24 | 微梦创科网络科技(中国)有限公司 | 一种恶意程序的识别方法及装置 |
CN111310179A (zh) * | 2020-01-22 | 2020-06-19 | 腾讯科技(深圳)有限公司 | 计算机病毒变种的分析方法、装置和计算机设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Sato et al. | Detecting android malware by analyzing manifest files | |
CN101924761B (zh) | 一种依据白名单进行恶意程序检测的方法 | |
CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
CN101923617B (zh) | 一种基于云的样本数据库动态维护方法 | |
US20150172303A1 (en) | Malware Detection and Identification | |
EP3068095A2 (en) | Monitoring apparatus and method | |
US20160173508A1 (en) | Dynamic malicious application detection in storage systems | |
CN105205397B (zh) | 恶意程序样本分类方法及装置 | |
JP6711000B2 (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
CN103617393A (zh) | 一种基于支持向量机的移动互联网恶意应用软件检测方法 | |
CN110414236A (zh) | 一种恶意进程的检测方法及装置 | |
Allix et al. | Machine learning-based malware detection for Android applications: History matters! | |
US11206277B1 (en) | Method and apparatus for detecting abnormal behavior in network | |
CN103902897A (zh) | 计算机病毒的判别方法及系统 | |
CN107330326A (zh) | 一种恶意木马检测处理方法及装置 | |
CN110287701A (zh) | 一种恶意文件检测方法、装置、系统及相关组件 | |
EP3340097B1 (en) | Analysis device, analysis method, and analysis program | |
CN103401845A (zh) | 一种网址安全性的检测方法、装置 | |
CN109558207A (zh) | 在虚拟机中形成用于进行文件的防病毒扫描的日志的系统和方法 | |
CN110135162A (zh) | Webshell后门识别方法、装置、设备及存储介质 | |
CN105718793A (zh) | 基于修改沙箱环境防止恶意代码识别沙箱的方法及系统 | |
Choi et al. | All-in-one framework for detection, unpacking, and verification for malware analysis | |
CN104735069A (zh) | 一种基于安全可信的高可用性计算机集群 | |
CN103646213A (zh) | 一种恶意软件的分类方法和装置 | |
CN111818030A (zh) | 一种恶意域名请求终端的快速定位处置方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140702 |
|
RJ01 | Rejection of invention patent application after publication |