CN103955645A - 恶意进程行为的检测方法、装置及系统 - Google Patents
恶意进程行为的检测方法、装置及系统 Download PDFInfo
- Publication number
- CN103955645A CN103955645A CN201410174682.8A CN201410174682A CN103955645A CN 103955645 A CN103955645 A CN 103955645A CN 201410174682 A CN201410174682 A CN 201410174682A CN 103955645 A CN103955645 A CN 103955645A
- Authority
- CN
- China
- Prior art keywords
- behavior
- target process
- process behavior
- information
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 673
- 230000008569 process Effects 0.000 title claims abstract description 655
- 238000001514 detection method Methods 0.000 claims abstract description 123
- 238000012544 monitoring process Methods 0.000 claims abstract description 27
- 230000006399 behavior Effects 0.000 claims description 764
- 239000003999 initiator Substances 0.000 claims description 13
- 238000004458 analytical method Methods 0.000 abstract description 7
- 241000700605 Viruses Species 0.000 description 6
- 238000007621 cluster analysis Methods 0.000 description 6
- 230000007123 defense Effects 0.000 description 6
- 230000002155 anti-virotic effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 230000002458 infectious effect Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000003362 replicative effect Effects 0.000 description 2
- 230000001066 destructive effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
- G06N5/048—Fuzzy inferencing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/68—Gesture-dependent or behaviour-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Fuzzy Systems (AREA)
- Automation & Control Theory (AREA)
- Artificial Intelligence (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例提供一种恶意进程行为的检测方法、装置及系统。本发明实施例通过检测装置监控进程的进程行为,以获得目标进程行为的行为信息,进而将目标进程行为的行为信息发送给服务器,由服务器根据目标进程行为的行为信息,对目标进程行为进行检测,以确定目标进程行为是否为恶意进程行为,使得检测装置能够接收服务器根据目标进程行为的检测结果所返回的第一操作指示信息,进而根据第一操作指示信息,对目标进程行为执行操作,由于不再依赖于检测装置对目标进程行为进行单个样本的指定特征分析,而是由服务器根据目标进程行为的行为信息,对目标进程行为进行综合检测,能够及时检测到恶意进程行为,从而提高了系统的安全性能。
Description
【技术领域】
本发明涉及计算机技术,尤其涉及一种恶意进程行为的检测方法、装置及系统。
【背景技术】
病毒是编制或者在应用程序中插入的破坏系统功能的数据,其会影响应用程序的正常使用,并且还能够自我复制,通常以一组指令或者程序代码的形式呈现。病毒,又称为计算机病毒,可以包括但不限于木马、后门、局域网蠕虫、邮件蠕虫、间谍软件、感染型病毒或Rootkits/Bootkits,它们具有破坏性,复制性和传染性的特点。
然而,在一些情况下,例如,杀毒软件的监控能力有限,或者再例如,病毒种类繁多,且增长速度特别快等,因此,运行后的病毒所导致的恶意进程行为难以被及时检测到。
【发明内容】
本发明的多个方面提供一种恶意进程行为的检测方法、装置及系统,用以提高系统的安全性能。
本发明的一方面,提供一种恶意进程行为的检测方法,包括:
检测装置监控进程的进程行为,以获得目标进程行为的行为信息;
所述检测装置将所述目标进程行为的行为信息发送给服务器,以使得所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为;
所述检测装置接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息;
所述检测装置根据所述第一操作指示信息,对所述目标进程行为执行操作。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述检测装置监控进程的进程行为,以获得目标进程行为的行为信息,包括:
所述检测装置根据预先配置的可疑目标进程行为的标识信息,监控进程的进程行为,以获得目标进程行为的行为信息。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述目标进程行为的行为信息包括下列信息中的至少一项:
目标进程行为的发起者信息;
目标进程行为的目标对象信息;
目标进程行为的附加信息;以及
目标进程行为的标识信息。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述检测装置将所述目标进程行为的行为信息发送给服务器,以使得所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为之后,还包括:
所述检测装置接收所述服务器根据与所述目标进程行为相关的其他进程行为的检测结果所返回的第二操作指示信息,所述其他进程行为的检测结果为所述服务器对与所述其他进程行为进行检测,以确定与所述目标进程行为相关的其他进程行为是否为恶意进程行为获得;
所述检测装置根据所述第二操作指示信息,对所述其他进程行为所对应的行为结果执行操作。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为,包括:
所述服务器根据所述目标进程行为的行为信息和已经确定的至少一个的恶意进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为;或者
所述服务器根据所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
本发明的另一方面,提供一种恶意进程行为的检测装置,包括:
监控单元,用于监控进程的进程行为,以获得目标进程行为的行为信息;
发送单元,用于将所述目标进程行为的行为信息发送给服务器,以使得所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为;
接收单元,用于接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息;
操作单元,用于根据所述第一操作指示信息,对所述目标进程行为执行操作。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述监控单元,具体用于
根据预先配置的可疑目标进程行为的标识信息,监控进程的进程行为,以获得目标进程行为的行为信息。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述监控单元所获得的所述目标进程行为的行为信息包括下列信息中的至少一项:
目标进程行为的发起者信息;
目标进程行为的目标对象信息;
目标进程行为的附加信息;以及
目标进程行为的标识信息。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,
所述接收单元,还用于
接收所述服务器根据与所述目标进程行为相关的其他进程行为的检测结果所返回的第二操作指示信息,所述其他进程行为的检测结果为所述服务器对与所述其他进程行为进行检测,以确定与所述目标进程行为相关的其他进程行为是否为恶意进程行为获得;
所述操作单元,还用于
根据所述第二操作指示信息,对所述其他进程行为所对应的行为结果执行操作。
本发明的另一方面,提供一种恶意进程行为的检测系统,包括服务器和上一方面所提供的恶意进程行为的检测装置;其中,
所述服务器,用于根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述服务器,具体用于
根据所述目标进程行为的行为信息和已经确定的至少一个的恶意进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为;或者
根据所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
由上述技术方案可知,本发明实施例通过检测装置监控进程的进程行为,以获得目标进程行为的行为信息,进而将所述目标进程行为的行为信息发送给服务器,由所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为,使得所述检测装置能够接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息,进而根据所述第一操作指示信息,对所述目标进程行为执行操作,由于不再依赖于检测装置对目标进程行为进行单个样本的指定特征分析,而是由服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行综合检测,能够及时检测到恶意进程行为,从而提高了系统的安全性能。
另外,采用本发明提供的技术方案,由于服务器能够主动对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为,使得能够及时检测到检测装置没有上报的其他进程行为同样为恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
另外,采用本发明提供的技术方案,由于服务器能够利用已经确定的至少一个的恶意进程行为或者其他检测装置发送的其他目标进程行为,对未知的目标进程行为进行检测,以确定该未知的目标进程行为是否为恶意进程行为,使得能够及时检测到恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
【附图说明】
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的恶意进程行为的检测方法的流程示意图;
图2为本发明另一实施例提供的恶意进程行为的检测装置的结构示意图;
图3为本发明另一实施例提供的恶意进程行为的检测系统的结构示意图。
【具体实施方式】
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
图1为本发明一实施例提供的恶意进程行为的检测方法的流程示意图,如图1所示。
101、检测装置监控进程的进程行为,以获得目标进程行为的行为信息。
102、所述检测装置将所述目标进程行为的行为信息发送给服务器,以使得所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
103、所述检测装置接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息。
104、所述检测装置根据所述第一操作指示信息,对所述目标进程行为执行操作。
其中,所述第一操作指示信息可以包括但不限于:
用以指示所述目标进程行为为恶意进程行为的指示信息和用以指示对所述目标进程行为进行拦截操作的提示信息;或者
用以指示所述目标进程行为为非恶意进程行为的指示信息和用以指示对所述目标进程行为进行放行操作的提示信息。
需要说明的是,101~103的执行主体即检测装置,可以位于本地的客户端中,以进行离线操作来监控进程。
可以理解的是,所述客户端可以是安装在终端上的应用程序例如,杀毒软件等,或者还可以是浏览器的一个网页,只要能够实现进程监控,以提供安全的系统环境的客观存在形式都可以,本实施例对此不进行限定。
这样,通过检测装置监控进程的进程行为,以获得目标进程行为的行为信息,进而将所述目标进程行为的行为信息发送给服务器,由所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为,使得所述检测装置能够接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息,进而根据所述第一操作指示信息,对所述目标进程行为执行操作,由于不再依赖于检测装置对目标进程行为进行单个样本的指定特征分析,而是由服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行综合检测,能够及时检测到恶意进程行为,从而提高了系统的安全性能。
可选地,在本实施例的一个可能的实现方式中,在101中,检测装置监控进程的进程行为,可以利用预先配置的可疑行为决策库,该可疑行为决策库中存储有已经确定的可疑进程行为的相关信息,例如,可疑目标进程行为的标识信息,可疑目标进程行为的发起者信息等,确定所监控的进程的进程行为是否为可疑进程行为即目标进程行为,进而获得该目标进程行为的行为信息。
可以理解的是,由于检测装置监控的目的,只是确定目标进程行为,并不是确定恶意进程行为,因此,所述可疑行为决策库的配置策略,可以适当地将监控范围控制得大一些,能够有效避免漏报的情况发生。
可选地,在本实施例的一个可能的实现方式中,在101中,所述检测装置所获得的所述目标进程行为的行为信息可以包括但不限于下列信息中的至少一项:
目标进程行为的发起者信息;
目标进程行为的目标对象信息;
目标进程行为的附加信息;以及
目标进程行为的标识信息。
其中,
所述目标进程行为的发起者信息,可以为发起进程行为的对象标识。
所述目标进程行为的目标对象信息,可以为进程行为将要施加的对象标识。
所述目标进程行为的附加信息,可以为进程行为所产生的数据信息。
所述目标进程行为的标识信息,可以为进程行为的标识(Identifier,ID)。
可选地,在本实施例的一个可能的实现方式中,在101中,所述检测装置具体可以监控系统中全部进程的进程行为,以获得目标进程行为的行为信息。
可选地,在本实施例的一个可能的实现方式中,在101中,所述检测装置具体可以根据预先配置的可疑目标进程行为的标识信息,监控系统中部分进程的进程行为,以获得目标进程行为的行为信息。
可选地,在本实施例的一个可能的实现方式中,在102之后,所述服务器接收所述检测装置发送的所述目标进程行为的行为信息,则可以根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
具体地,所述服务器具体可以根据所述目标进程行为的行为信息,利用预先配置的恶意行为决策库,该恶意行为决策库中存储有已经确定的恶意进程行为的行为信息进行匹配,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
若匹配到与所述目标进程行为的行为信息一致的恶意进程行为,说明该目标进程行为为恶意进程行为,所述服务器则可以确定所述目标进程行为为恶意进程行为。
若没有匹配到与所述目标进程行为的行为信息一致的恶意进程行为,说明该目标进程行为为未知的进程行为,所述服务器则可以进一步利用已经确定的至少一个的恶意进程行为或者其他检测装置发送的其他目标进程行为,对该未知的目标进程行为进行检测。
具体地,所述服务器具体可以根据所述目标进程行为的行为信息和已经确定的至少一个的恶意进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
例如,所述服务器具体可以对已经确定的至少一个的恶意进程行为的行为信息进行聚类分析,以获得相似的行为信息,用以确定未知的目标进程行为是否为恶意进程行为。如,根据目标进程行为的目标对象信息、目标进程行为的附加信息和目标进程行为的标识信息,对所述至少一个的恶意进程行为的行为信息进行聚类,获得相似的目标进程行为的发起者信息。
具体地,所述服务器具体可以根据所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
例如,所述服务器具体可以对所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息进行聚类分析,以获得聚类结果。进而,再进一步分析所述目标进程行为的行为信息所属的聚类结果,以确定未知的目标进程行为是否为恶意进程行为。
这样,由于服务器能够利用已经确定的至少一个的恶意进程行为或者其他检测装置发送的其他目标进程行为,对未知的目标进程行为进行检测,以确定该未知的目标进程行为是否为恶意进程行为,使得能够及时检测到恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
可以理解的是,若所述服务器确定未知的目标进程行为为恶意进程行为,所述服务器则可以进一步将所确定的该目标进程行为的行为信息添加到恶意行为决策库中,以提高恶意行为决策库的决策能力。
可选地,在本实施例的一个可能的实现方式中,所述服务器还可以进一步对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为。
这样,由于服务器能够主动对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为,使得能够及时检测到检测装置没有上报的其他进程行为同样为恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
相应地,在本实施例的一个可能的实现方式中,在102之后,所述检测装置还可以进一步接收所述服务器根据与所述目标进程行为相关的其他进程行为的检测结果所返回的第二操作指示信息,所述其他进程行为的检测结果为所述服务器对与所述其他进程行为进行检测,以确定与所述目标进程行为相关的其他进程行为是否为恶意进程行为获得。然后,所述检测装置则可以根据所述第二操作指示信息,对所述其他进程行为所对应的行为结果执行操作。
其中,所述第二操作指示信息可以包括但不限于:
用以指示所述其他进程行为为恶意进程行为的指示信息和用以指示对所述其他进程行为所对应的行为结果执行操作的提示信息;或者
用以指示所述其他进程行为为非恶意进程行为的指示信息。
可以理解的是,恶意行为决策库中,还可以进一步存储针对每个恶意进程行为的防御查杀方案。那么,所述服务器在向检测装置发送操作指示信息机第一操作指示信息或第二操作指示信息的同时,还可以进一步向检测装置发送对应的防御查杀方案,以便检测装置能够根据该防御查杀方案,进行有效的杀毒处理。
本实施例中,通过检测装置监控进程的进程行为,以获得目标进程行为的行为信息,进而将所述目标进程行为的行为信息发送给服务器,由所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为,使得所述检测装置能够接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息,进而根据所述第一操作指示信息,对所述目标进程行为执行操作,由于不再依赖于检测装置对目标进程行为进行单个样本的指定特征分析,而是由服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行综合检测,能够及时检测到恶意进程行为,从而提高了系统的安全性能。
另外,采用本发明提供的技术方案,由于服务器能够主动对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为,使得能够及时检测到检测装置没有上报的其他进程行为同样为恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
另外,采用本发明提供的技术方案,由于服务器能够利用已经确定的至少一个的恶意进程行为或者其他检测装置发送的其他目标进程行为,对未知的目标进程行为进行检测,以确定该未知的目标进程行为是否为恶意进程行为,使得能够及时检测到恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
图2为本发明另一实施例提供的恶意进程行为的检测装置的结构示意图,如图2所示。本实施例的恶意进程行为的检测装置可以包括监控单元21、发送单元22、接收单元23和操作单元24。其中,
监控单元21,用于监控进程的进程行为,以获得目标进程行为的行为信息。
发送单元22,用于将所述目标进程行为的行为信息发送给服务器,以使得所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
接收单元23,用于接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息。
操作单元24,用于根据所述第一操作指示信息,对所述目标进程行为执行操作。
其中,所述第一操作指示信息可以包括但不限于:
用以指示所述目标进程行为为恶意进程行为的指示信息和用以指示对所述目标进程行为进行拦截操作的提示信息;或者
用以指示所述目标进程行为为非恶意进程行为的指示信息和用以指示对所述目标进程行为进行放行操作的提示信息。
需要说明的是,本实施例所提供的恶意进程行为的检测装置,可以位于本地的客户端中,以进行离线操作来监控进程。
可以理解的是,所述客户端可以是安装在终端上的应用程序例如,杀毒软件等,或者还可以是浏览器的一个网页,只要能够实现进程监控,以提供安全的系统环境的客观存在形式都可以,本实施例对此不进行限定。
这样,通过监控单元监控进程的进程行为,以获得目标进程行为的行为信息,进而由发送单元将所述目标进程行为的行为信息发送给服务器,由所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为,使得接收单元能够接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息,进而由操作单元根据所述第一操作指示信息,对所述目标进程行为执行操作,由于不再依赖于检测装置对目标进程行为进行单个样本的指定特征分析,而是由服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行综合检测,能够及时检测到恶意进程行为,从而提高了系统的安全性能。
可选地,在本实施例的一个可能的实现方式中,所述监控单元21监控进程的进程行为,可以利用预先配置的可疑行为决策库,该可疑行为决策库中存储有已经确定的可疑进程行为的相关信息,例如,可疑目标进程行为的标识信息,可疑目标进程行为的发起者信息等,确定所监控的进程的进程行为是否为可疑进程行为即目标进程行为,进而获得该目标进程行为的行为信息。
可以理解的是,由于所述监控单元21监控的目的,只是确定目标进程行为,并不是确定恶意进程行为,因此,所述可疑行为决策库的配置策略,可以适当地将监控范围控制得大一些,能够有效避免漏报的情况发生。
可选地,在本实施例的一个可能的实现方式中,所述监控单元21所获得的所述目标进程行为的行为信息可以包括但不限于下列信息中的至少一项:
目标进程行为的发起者信息;
目标进程行为的目标对象信息;
目标进程行为的附加信息;以及
目标进程行为的标识信息。
其中,
所述目标进程行为的发起者信息,可以为发起进程行为的对象标识。
所述目标进程行为的目标对象信息,可以为进程行为将要施加的对象标识。
所述目标进程行为的附加信息,可以为进程行为所产生的数据信息。
所述目标进程行为的标识信息,可以为进程行为的标识(Identifier,ID)。
可选地,在本实施例的一个可能的实现方式中,所述监控单元21,具体可以用于监控系统中全部进程的进程行为,以获得目标进程行为的行为信息。
可选地,在本实施例的一个可能的实现方式中,所述监控单元21,具体可以用于根据预先配置的可疑目标进程行为的标识信息,监控系统中部分进程的进程行为,以获得目标进程行为的行为信息。
可选地,在本实施例的一个可能的实现方式中,所述服务器接收所述检测装置发送的所述目标进程行为的行为信息,则可以根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
具体地,所述服务器具体可以根据所述目标进程行为的行为信息,利用预先配置的恶意行为决策库,该恶意行为决策库中存储有已经确定的恶意进程行为的行为信息进行匹配,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
若匹配到与所述目标进程行为的行为信息一致的恶意进程行为,说明该目标进程行为为恶意进程行为,所述服务器则可以确定所述目标进程行为为恶意进程行为。
若没有匹配到与所述目标进程行为的行为信息一致的恶意进程行为,说明该目标进程行为为未知的进程行为,所述服务器则可以进一步利用已经确定的至少一个的恶意进程行为或者其他检测装置发送的其他目标进程行为,对该未知的目标进程行为进行检测。
具体地,所述服务器具体可以根据所述目标进程行为的行为信息和已经确定的至少一个的恶意进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
例如,所述服务器具体可以对已经确定的至少一个的恶意进程行为的行为信息进行聚类分析,以获得相似的行为信息,用以确定未知的目标进程行为是否为恶意进程行为。如,根据目标进程行为的目标对象信息、目标进程行为的附加信息和目标进程行为的标识信息,对所述至少一个的恶意进程行为的行为信息进行聚类,获得相似的目标进程行为的发起者信息。
具体地,所述服务器具体可以根据所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
例如,所述服务器具体可以对所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息进行聚类分析,以获得聚类结果。进而,再进一步分析所述目标进程行为的行为信息所属的聚类结果,以确定未知的目标进程行为是否为恶意进程行为。
这样,由于服务器能够利用已经确定的至少一个的恶意进程行为或者其他检测装置发送的其他目标进程行为,对未知的目标进程行为进行检测,以确定该未知的目标进程行为是否为恶意进程行为,使得能够及时检测到恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
可以理解的是,若所述服务器确定未知的目标进程行为为恶意进程行为,所述服务器则可以进一步将所确定的该目标进程行为的行为信息添加到恶意行为决策库中,以提高恶意行为决策库的决策能力。
可选地,在本实施例的一个可能的实现方式中,所述服务器还可以进一步对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为。
这样,由于服务器能够主动对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为,使得能够及时检测到检测装置没有上报的其他进程行为同样为恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
相应地,在本实施例的一个可能的实现方式中,所述接收单元23,还可以进一步用于接收所述服务器根据与所述目标进程行为相关的其他进程行为的检测结果所返回的第二操作指示信息,所述其他进程行为的检测结果为所述服务器对与所述其他进程行为进行检测,以确定与所述目标进程行为相关的其他进程行为是否为恶意进程行为获得;所述操作单元24,还可以进一步用于根据所述第二操作指示信息,对所述其他进程行为所对应的行为结果执行操作。
其中,所述第二操作指示信息可以包括但不限于:
用以指示所述其他进程行为为恶意进程行为的指示信息和用以指示对所述其他进程行为所对应的行为结果执行操作的提示信息;或者
用以指示所述其他进程行为为非恶意进程行为的指示信息。
可以理解的是,恶意行为决策库中,还可以进一步存储针对每个恶意进程行为的防御查杀方案。那么,所述服务器在向检测装置发送操作指示信息机第一操作指示信息或第二操作指示信息的同时,还可以进一步向检测装置发送对应的防御查杀方案,以便检测装置能够根据该防御查杀方案,进行有效的杀毒处理。
本实施例中,通过监控单元监控进程的进程行为,以获得目标进程行为的行为信息,进而由发送单元将所述目标进程行为的行为信息发送给服务器,由所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为,使得接收单元能够接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息,进而由操作单元根据所述第一操作指示信息,对所述目标进程行为执行操作,由于不再依赖于检测装置对目标进程行为进行单个样本的指定特征分析,而是由服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行综合检测,能够及时检测到恶意进程行为,从而提高了系统的安全性能。
另外,采用本发明提供的技术方案,由于服务器能够主动对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为,使得能够及时检测到检测装置没有上报的其他进程行为同样为恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
另外,采用本发明提供的技术方案,由于服务器能够利用已经确定的至少一个的恶意进程行为或者其他检测装置发送的其他目标进程行为,对未知的目标进程行为进行检测,以确定该未知的目标进程行为是否为恶意进程行为,使得能够及时检测到恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
图3为本发明另一实施例提供的恶意进程行为的检测系统的结构示意图,如图3所示。本实施例的恶意进程行为的检测系统可以包括服务器31和图2对应的实施例所提供的恶意进程行为的检测装置32。其中,
所述服务器31,用于根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
所述检测装置32的详细描述,可以参见图2对应的实施例中的相关内容,此处不再赘述。
可选地,在本实施例的一个可能的实现方式中,所述服务器31,具体可以用于根据所述目标进程行为的行为信息和已经确定的至少一个的恶意进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
例如,所述服务器31具体可以对已经确定的至少一个的恶意进程行为的行为信息进行聚类分析,以获得相似的行为信息,用以确定未知的目标进程行为是否为恶意进程行为。如,根据目标进程行为的目标对象信息、目标进程行为的附加信息和目标进程行为的标识信息,对所述至少一个的恶意进程行为的行为信息进行聚类,获得相似的目标进程行为的发起者信息。
可选地,在本实施例的一个可能的实现方式中,所述服务器31,具体可以用于根据所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
例如,所述服务器31具体可以对所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息进行聚类分析,以获得聚类结果。进而,再进一步分析所述目标进程行为的行为信息所属的聚类结果,以确定未知的目标进程行为是否为恶意进程行为。
这样,由于服务器能够利用已经确定的至少一个的恶意进程行为或者其他检测装置发送的其他目标进程行为,对未知的目标进程行为进行检测,以确定该未知的目标进程行为是否为恶意进程行为,使得能够及时检测到恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
可以理解的是,若所述服务器确定未知的目标进程行为为恶意进程行为,所述服务器则可以进一步将所确定的该目标进程行为的行为信息添加到恶意行为决策库中,以提高恶意行为决策库的决策能力。
可选地,在本实施例的一个可能的实现方式中,所述服务器31还可以进一步对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为。
这样,由于服务器能够主动对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为,使得能够及时检测到检测装置没有上报的其他进程行为同样为恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
本实施例中,通过检测装置监控进程的进程行为,以获得目标进程行为的行为信息,进而将所述目标进程行为的行为信息发送给服务器,由所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为,使得所述检测装置能够接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息,进而根据所述第一操作指示信息,对所述目标进程行为执行操作,由于不再依赖于检测装置对目标进程行为进行单个样本的指定特征分析,而是由服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行综合检测,能够及时检测到恶意进程行为,从而提高了系统的安全性能。
另外,采用本发明提供的技术方案,由于服务器能够主动对与目标进程行为相关的其他进程行为进行检测,以确定其他进程行为是否为恶意进程行为,使得能够及时检测到检测装置没有上报的其他进程行为同样为恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
另外,采用本发明提供的技术方案,由于服务器能够利用已经确定的至少一个的恶意进程行为或者其他检测装置发送的其他目标进程行为,对未知的目标进程行为进行检测,以确定该未知的目标进程行为是否为恶意进程行为,使得能够及时检测到恶意进程行为,能够有效提高检测的可靠性和灵活性,从而进一步提高了系统的安全性。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,设备和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1.一种恶意进程行为的检测方法,其特征在于,包括:
检测装置监控进程的进程行为,以获得目标进程行为的行为信息;
所述检测装置将所述目标进程行为的行为信息发送给服务器,以使得所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为;
所述检测装置接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息;
所述检测装置根据所述第一操作指示信息,对所述目标进程行为执行操作。
2.根据权利要求1所述的方法,其特征在于,所述检测装置监控进程的进程行为,以获得目标进程行为的行为信息,包括:
所述检测装置根据预先配置的可疑目标进程行为的标识信息,监控进程的进程行为,以获得目标进程行为的行为信息。
3.根据权利要求1所述的方法,其特征在于,所述目标进程行为的行为信息包括下列信息中的至少一项:
目标进程行为的发起者信息;
目标进程行为的目标对象信息;
目标进程行为的附加信息;以及
目标进程行为的标识信息。
4.根据权利要求1~3任一权利要求所述的方法,其特征在于,所述检测装置将所述目标进程行为的行为信息发送给服务器,以使得所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为之后,还包括:
所述检测装置接收所述服务器根据与所述目标进程行为相关的其他进程行为的检测结果所返回的第二操作指示信息,所述其他进程行为的检测结果为所述服务器对与所述其他进程行为进行检测,以确定与所述目标进程行为相关的其他进程行为是否为恶意进程行为获得;
所述检测装置根据所述第二操作指示信息,对所述其他进程行为所对应的行为结果执行操作。
5.根据权利要求1~3任一权利要求所述的方法,其特征在于,所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为,包括:
所述服务器根据所述目标进程行为的行为信息和已经确定的至少一个的恶意进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为;或者
所述服务器根据所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
6.一种恶意进程行为的检测装置,其特征在于,包括:
监控单元,用于监控进程的进程行为,以获得目标进程行为的行为信息;
发送单元,用于将所述目标进程行为的行为信息发送给服务器,以使得所述服务器根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为;
接收单元,用于接收所述服务器根据所述目标进程行为的检测结果所返回的第一操作指示信息;
操作单元,用于根据所述第一操作指示信息,对所述目标进程行为执行操作。
7.根据权利要求6所述的装置,其特征在于,所述监控单元,具体用于
根据预先配置的可疑目标进程行为的标识信息,监控进程的进程行为,以获得目标进程行为的行为信息。
8.根据权利要求6所述的装置,其特征在于,所述监控单元所获得的所述目标进程行为的行为信息包括下列信息中的至少一项:
目标进程行为的发起者信息;
目标进程行为的目标对象信息;
目标进程行为的附加信息;以及
目标进程行为的标识信息。
9.根据权利要求6~8任一权利要求所述的装置,其特征在于,
所述接收单元,还用于
接收所述服务器根据与所述目标进程行为相关的其他进程行为的检测结果所返回的第二操作指示信息,所述其他进程行为的检测结果为所述服务器对与所述其他进程行为进行检测,以确定与所述目标进程行为相关的其他进程行为是否为恶意进程行为获得;
所述操作单元,还用于
根据所述第二操作指示信息,对所述其他进程行为所对应的行为结果执行操作。
10.一种恶意进程行为的检测系统,其特征在于,包括服务器和权利要求6~9任一权利要求所述的恶意进程行为的检测装置;其中,
所述服务器,用于根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
11.根据权利要求10所述的系统,其特征在于,所述服务器,具体用于
根据所述目标进程行为的行为信息和已经确定的至少一个的恶意进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为;或者
根据所述目标进程行为的行为信息和其他检测装置发送的其他目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410174682.8A CN103955645B (zh) | 2014-04-28 | 2014-04-28 | 恶意进程行为的检测方法、装置及系统 |
| EP14200492.8A EP2940957B1 (en) | 2014-04-28 | 2014-12-29 | Method, apparatus and system for detecting malicious process behavior |
| US14/585,080 US9842208B2 (en) | 2014-04-28 | 2014-12-29 | Method, apparatus and system for detecting malicious process behavior |
| KR1020140194553A KR102210627B1 (ko) | 2014-04-28 | 2014-12-31 | 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410174682.8A CN103955645B (zh) | 2014-04-28 | 2014-04-28 | 恶意进程行为的检测方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103955645A true CN103955645A (zh) | 2014-07-30 |
| CN103955645B CN103955645B (zh) | 2017-03-08 |
Family
ID=51332920
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410174682.8A Active CN103955645B (zh) | 2014-04-28 | 2014-04-28 | 恶意进程行为的检测方法、装置及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9842208B2 (zh) |
| EP (1) | EP2940957B1 (zh) |
| KR (1) | KR102210627B1 (zh) |
| CN (1) | CN103955645B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105095759A (zh) * | 2015-07-21 | 2015-11-25 | 安一恒通(北京)科技有限公司 | 文件的检测方法及装置 |
| CN105303111A (zh) * | 2015-10-16 | 2016-02-03 | 珠海市君天电子科技有限公司 | 一种用户终端中恶意进程的识别方法、装置及用户终端 |
| CN105389521A (zh) * | 2015-12-18 | 2016-03-09 | 北京金山安全管理系统技术有限公司 | 一种对计算机系统中文件进行安全保护的方法 |
| CN106650436A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN106708859A (zh) * | 2015-11-13 | 2017-05-24 | 北京神州泰岳信息安全技术有限公司 | 一种资源访问行为的审计方法和装置 |
| CN106781094A (zh) * | 2016-12-29 | 2017-05-31 | 北京安天网络安全技术有限公司 | 一种atm系统资源异常报警系统及方法 |
| CN106856478A (zh) * | 2016-12-29 | 2017-06-16 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN106874769A (zh) * | 2016-12-30 | 2017-06-20 | 腾讯科技(深圳)有限公司 | 漏洞的防御方法和装置 |
| CN107851157A (zh) * | 2015-06-27 | 2018-03-27 | 迈可菲有限责任公司 | 恶意软件的检测 |
| CN109388946A (zh) * | 2018-09-28 | 2019-02-26 | 珠海市君天电子科技有限公司 | 恶意进程检测方法、装置、电子设备及存储介质 |
| CN109474571A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种协同联动发现Rootkit的方法及系统 |
| CN109800581A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 软件行为的安全防护方法及装置、存储介质、计算机设备 |
| CN109815695A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 进程安全的检测方法、装置及设备 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105844156A (zh) * | 2016-03-22 | 2016-08-10 | 北京金山安全软件有限公司 | 一种进程信息获取方法、装置及电子设备 |
| US10769267B1 (en) * | 2016-09-14 | 2020-09-08 | Ca, Inc. | Systems and methods for controlling access to credentials |
| US10599845B2 (en) * | 2016-12-13 | 2020-03-24 | Npcore, Inc. | Malicious code deactivating apparatus and method of operating the same |
| JP6970344B2 (ja) * | 2018-08-03 | 2021-11-24 | 日本電信電話株式会社 | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム |
| CN111143842B (zh) * | 2019-12-12 | 2022-07-01 | 广州大学 | 一种恶意代码检测方法及系统 |
| US12034751B2 (en) | 2021-10-01 | 2024-07-09 | Secureworks Corp. | Systems and methods for detecting malicious hands-on-keyboard activity via machine learning |
| US12015623B2 (en) | 2022-06-24 | 2024-06-18 | Secureworks Corp. | Systems and methods for consensus driven threat intelligence |
| US20240155007A1 (en) * | 2022-11-03 | 2024-05-09 | Secureworks Corp. | Systems and methods for detecting security threats |
Family Cites Families (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2001271311A1 (en) * | 2000-06-15 | 2001-12-24 | Hart Intercivic, Inc. | Distributed network voting system |
| JP3914757B2 (ja) * | 2001-11-30 | 2007-05-16 | デュアキシズ株式会社 | ウィルス検査のための装置と方法とシステム |
| US8528086B1 (en) * | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
| US8881282B1 (en) * | 2004-04-01 | 2014-11-04 | Fireeye, Inc. | Systems and methods for malware attack detection and identification |
| US8006305B2 (en) * | 2004-06-14 | 2011-08-23 | Fireeye, Inc. | Computer worm defense system and method |
| US7603715B2 (en) * | 2004-07-21 | 2009-10-13 | Microsoft Corporation | Containment of worms |
| US8117486B2 (en) * | 2007-04-10 | 2012-02-14 | Xerox Corporation | Method and system for detecting an anomalous networked device |
| US8266691B2 (en) * | 2007-04-13 | 2012-09-11 | Microsoft Corporation | Renewable integrity rooted system |
| US8347386B2 (en) * | 2008-10-21 | 2013-01-01 | Lookout, Inc. | System and method for server-coupled malware prevention |
| US8533844B2 (en) * | 2008-10-21 | 2013-09-10 | Lookout, Inc. | System and method for security data collection and analysis |
| US8220054B1 (en) * | 2008-10-31 | 2012-07-10 | Trend Micro, Inc. | Process exception list updating in a malware behavior monitoring program |
| US8490195B1 (en) * | 2008-12-19 | 2013-07-16 | Symantec Corporation | Method and apparatus for behavioral detection of malware in a computer system |
| US8776218B2 (en) | 2009-07-21 | 2014-07-08 | Sophos Limited | Behavioral-based host intrusion prevention system |
| KR101057432B1 (ko) * | 2010-02-23 | 2011-08-22 | 주식회사 이세정보 | 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체 |
| US8464345B2 (en) * | 2010-04-28 | 2013-06-11 | Symantec Corporation | Behavioral signature generation using clustering |
| US8683216B2 (en) * | 2010-07-13 | 2014-03-25 | F-Secure Corporation | Identifying polymorphic malware |
| GB201012519D0 (en) * | 2010-07-26 | 2010-09-08 | Ucl Business Plc | Method and system for anomaly detection in data sets |
| TWI435236B (zh) * | 2010-12-15 | 2014-04-21 | Inst Information Industry | 惡意程式偵測裝置、惡意程式偵測方法及其電腦程式產品 |
| US8640245B2 (en) * | 2010-12-24 | 2014-01-28 | Kaspersky Lab, Zao | Optimization of anti-malware processing by automated correction of detection rules |
| RU2454714C1 (ru) * | 2010-12-30 | 2012-06-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ повышения эффективности обнаружения неизвестных вредоносных объектов |
| KR101036750B1 (ko) * | 2011-01-04 | 2011-05-23 | 주식회사 엔피코어 | 좀비행위 차단 시스템 및 방법 |
| US8863291B2 (en) * | 2011-01-20 | 2014-10-14 | Microsoft Corporation | Reputation checking of executable programs |
| GB2493473B (en) * | 2011-04-27 | 2013-06-19 | Seven Networks Inc | System and method for making requests on behalf of a mobile device based on atomic processes for mobile network traffic relief |
| US9467463B2 (en) * | 2011-09-02 | 2016-10-11 | Duo Security, Inc. | System and method for assessing vulnerability of a mobile device |
| EP2610776B1 (en) * | 2011-09-16 | 2019-08-21 | Veracode, Inc. | Automated behavioural and static analysis using an instrumented sandbox and machine learning classification for mobile security |
| WO2013053407A1 (en) * | 2011-10-14 | 2013-04-18 | Telefonica, S.A | A method and a system to detect malicious software |
| WO2013082437A1 (en) * | 2011-12-02 | 2013-06-06 | Invincia, Inc. | Methods and apparatus for control and detection of malicious content using a sandbox environment |
| WO2013102119A1 (en) * | 2011-12-30 | 2013-07-04 | Perlego Systems, Inc. | Anti-virus protection for mobile devices |
| US8954519B2 (en) * | 2012-01-25 | 2015-02-10 | Bitdefender IPR Management Ltd. | Systems and methods for spam detection using character histograms |
| US9832211B2 (en) | 2012-03-19 | 2017-11-28 | Qualcomm, Incorporated | Computing device to detect malware |
| RU2485577C1 (ru) * | 2012-05-11 | 2013-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ увеличения надежности определения вредоносного программного обеспечения |
| US9747440B2 (en) | 2012-08-15 | 2017-08-29 | Qualcomm Incorporated | On-line behavioral analysis engine in mobile device with multiple analyzer model providers |
| US9003529B2 (en) * | 2012-08-29 | 2015-04-07 | The Johns Hopkins University | Apparatus and method for identifying related code variants in binaries |
| US9355247B1 (en) * | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
| US8788405B1 (en) * | 2013-03-15 | 2014-07-22 | Palantir Technologies, Inc. | Generating data clusters with customizable analysis strategies |
| US20140283038A1 (en) * | 2013-03-15 | 2014-09-18 | Shape Security Inc. | Safe Intelligent Content Modification |
| US9380066B2 (en) * | 2013-03-29 | 2016-06-28 | Intel Corporation | Distributed traffic pattern analysis and entropy prediction for detecting malware in a network environment |
| US9300686B2 (en) * | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
| US9215240B2 (en) * | 2013-07-25 | 2015-12-15 | Splunk Inc. | Investigative and dynamic detection of potential security-threat indicators from events in big data |
| US9171160B2 (en) * | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
| US9043894B1 (en) * | 2014-11-06 | 2015-05-26 | Palantir Technologies Inc. | Malicious software detection in a computing system |
-
2014
- 2014-04-28 CN CN201410174682.8A patent/CN103955645B/zh active Active
- 2014-12-29 US US14/585,080 patent/US9842208B2/en active Active
- 2014-12-29 EP EP14200492.8A patent/EP2940957B1/en active Active
- 2014-12-31 KR KR1020140194553A patent/KR102210627B1/ko active IP Right Grant
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107851157A (zh) * | 2015-06-27 | 2018-03-27 | 迈可菲有限责任公司 | 恶意软件的检测 |
| WO2017012241A1 (zh) * | 2015-07-21 | 2017-01-26 | 安一恒通(北京)科技有限公司 | 文件的检测方法、装置、设备及非易失性计算机存储介质 |
| CN105095759A (zh) * | 2015-07-21 | 2015-11-25 | 安一恒通(北京)科技有限公司 | 文件的检测方法及装置 |
| CN105303111A (zh) * | 2015-10-16 | 2016-02-03 | 珠海市君天电子科技有限公司 | 一种用户终端中恶意进程的识别方法、装置及用户终端 |
| CN105303111B (zh) * | 2015-10-16 | 2019-02-15 | 珠海豹趣科技有限公司 | 一种用户终端中恶意进程的识别方法、装置及用户终端 |
| CN106708859A (zh) * | 2015-11-13 | 2017-05-24 | 北京神州泰岳信息安全技术有限公司 | 一种资源访问行为的审计方法和装置 |
| CN105389521B (zh) * | 2015-12-18 | 2019-08-23 | 北京金山安全管理系统技术有限公司 | 一种对计算机系统中文件进行安全保护的方法 |
| CN105389521A (zh) * | 2015-12-18 | 2016-03-09 | 北京金山安全管理系统技术有限公司 | 一种对计算机系统中文件进行安全保护的方法 |
| CN106650436A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN106781094A (zh) * | 2016-12-29 | 2017-05-31 | 北京安天网络安全技术有限公司 | 一种atm系统资源异常报警系统及方法 |
| CN106856478A (zh) * | 2016-12-29 | 2017-06-16 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN106650436B (zh) * | 2016-12-29 | 2019-09-27 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN106874769A (zh) * | 2016-12-30 | 2017-06-20 | 腾讯科技(深圳)有限公司 | 漏洞的防御方法和装置 |
| CN106874769B (zh) * | 2016-12-30 | 2019-05-24 | 腾讯科技(深圳)有限公司 | 漏洞的防御方法和装置 |
| CN109474571A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种协同联动发现Rootkit的方法及系统 |
| CN109388946A (zh) * | 2018-09-28 | 2019-02-26 | 珠海市君天电子科技有限公司 | 恶意进程检测方法、装置、电子设备及存储介质 |
| CN109800581A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 软件行为的安全防护方法及装置、存储介质、计算机设备 |
| CN109815695A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 进程安全的检测方法、装置及设备 |
| CN109800581B (zh) * | 2018-12-29 | 2021-10-22 | 360企业安全技术(珠海)有限公司 | 软件行为的安全防护方法及装置、存储介质、计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9842208B2 (en) | 2017-12-12 |
| US20150310211A1 (en) | 2015-10-29 |
| EP2940957B1 (en) | 2019-07-24 |
| KR20150124370A (ko) | 2015-11-05 |
| EP2940957A1 (en) | 2015-11-04 |
| KR102210627B1 (ko) | 2021-02-02 |
| CN103955645B (zh) | 2017-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103955645B (zh) | 恶意进程行为的检测方法、装置及系统 | |
| US10893068B1 (en) | Ransomware file modification prevention technique | |
| US8627478B2 (en) | Method and apparatus for inspecting non-portable executable files | |
| KR101212553B1 (ko) | 악성 파일 검사 장치 및 방법 | |
| CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
| EP2570955A1 (en) | Restoration of file damage caused by malware | |
| US10972490B2 (en) | Specifying system, specifying device, and specifying method | |
| EP3068095A2 (en) | Monitoring apparatus and method | |
| KR101851233B1 (ko) | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 | |
| CN107302586B (zh) | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 | |
| WO2017012241A1 (zh) | 文件的检测方法、装置、设备及非易失性计算机存储介质 | |
| US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| JP6000465B2 (ja) | プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法 | |
| JP5326063B1 (ja) | デバッグイベントを用いた悪意のあるシェルコードの検知装置及び方法 | |
| KR102045772B1 (ko) | 악성 코드를 탐지하기 위한 전자 시스템 및 방법 | |
| CN105791250B (zh) | 应用程序检测方法及装置 | |
| US10726129B2 (en) | Persistence probing to detect malware | |
| JP2017167695A (ja) | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム | |
| US20170286683A1 (en) | System and methods thereof for identification of suspicious system processes | |
| US20230018096A1 (en) | Analysis apparatus, analysis method, and non-transitory computer readable medium storing analysis program | |
| US11449610B2 (en) | Threat detection system | |
| US20180341772A1 (en) | Non-transitory computer-readable storage medium, monitoring method, and information processing apparatus | |
| KR101938415B1 (ko) | 비정상 행위 탐지 시스템 및 방법 | |
| CN114266047A (zh) | 一种恶意程序防御方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |