CN103971053B - 木马文件传播关系确定方法和相关装置 - Google Patents
木马文件传播关系确定方法和相关装置 Download PDFInfo
- Publication number
- CN103971053B CN103971053B CN201310035438.9A CN201310035438A CN103971053B CN 103971053 B CN103971053 B CN 103971053B CN 201310035438 A CN201310035438 A CN 201310035438A CN 103971053 B CN103971053 B CN 103971053B
- Authority
- CN
- China
- Prior art keywords
- wooden horse
- horse file
- file
- relational tree
- propagation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
Abstract
本发明实施例公开了木马文件传播关系确定方法和相关装置。一种木马文件传播关系确定方法,可包括:步骤S1、将当前木马文件加入传播关系树的对应层;步骤S2、判断是否满足预设条件,若不满足预设条件则执行步骤S3,若满足预设条件则执行步骤S4;步骤S3、查找木马文件的父木马文件,将查找到的其中一个父木马文件的作为当前木马文件,执行步骤S1~S3;S4、按照预设处理方式处理传播关系树。本发明实施例提供的技术方案有利于提高查找到木马传播源的几率。
Description
技术领域
本发明涉及计算机安全技术领域,具体涉及木马文件传播关系确定方法和相关装置。
背景技术
随着互联网技术的发展,网络上流转的木马程序也越来越多。
木马程序,通常称为木马,是一类恶意代码,是指潜伏在电脑中,可受外部用户控制以窃取本机信息或者控制权的程序。木马程序危害在于多数有恶意企图,例如占用系统资源、降低电脑效能、危害本机信息安全(例如盗取QQ帐号、游戏帐号甚至银行帐号等)、将本机作为工具来攻击其它设备等。
目前,通常是采用人工分析、虚拟机运行等手段来得到木马母体和子体之间的关系及木马的下载地址,将两者的Md5(Md5为一种数据摘要)和下载地址关联存储起来以供后续查询使用。
本发明的发明人研究和实践发现,现有技术至少存在以下技术问题:
现有技术保存的通常只是一层关系,因此,对于给定的木马子体,找到木马传播源的几率低,对于多次释放的木马,更难以找到木马传播源,这对有效防范控制木马文件传播造成了障碍。
发明内容
本发明实施例提供木马文件传播关系确定方法和相关装置,以期提高查找到木马传播源的几率。
本发明实施例一方面提供一种木马文件传播关系确定方法,可包括:
步骤S1、将当前木马文件加入传播关系树的对应层;
步骤S2、判断是否满足预设条件,若不满足预设条件则执行步骤S3,若满足预设条件则执行步骤S4;
步骤S3、查找所述木马文件的父木马文件,将查找到的其中一个父木马文件的作为当前木马文件,执行步骤S1~步骤S3;
步骤S4、按照预设处理方式处理所述传播关系树。
本发明实施例另一方面提供一种木马文件传播关系确定装置,可包括:
加入单元,用于将当前木马文件加入传播关系树的对应层;
判断单元,用于在所述加入单元将当前木马文件加入传播关系树的对应层之后,判断是否满足预设条件;
查找单元,用于若所述判断单元判断出不满足预设条件,查找所述木马文件的父木马文件,将查找到的其中一个父木马文件的作为当前木马文件,触发所述加入单元将当前木马文件加入传播关系树的对应层;
预设处理单元,用于若所述判断单元判断出满足预设条件,按照预设处理方式处理所述传播关系树。
由上可见,本发明实施例提供的木马文件传播关系确定方法包括S1、将当前木马文件加入传播关系树的对应层;S2、判断是否满足预设条件,若不满足预设条件则执行步骤S3,若满足预设条件则执行步骤S4;S3、查找该木马文件的父木马文件,将查找到的其中一个父木马文件的作为当前木马文件,执行步骤S1~S3;S4、按照预设处理方式处理该传播关系树。本实施例引入了木马文件的父子关系逐层查找机制,追根溯源,使用传播关系树来记录各木马文件的传播关系,通过预设条件来限制逐层查找,有利于在可控范围内尽可能深的查找木马文件的传播源,有利于提高查找到木马文件的传播源的几率,进而有利于为有效防范控制木马文件传播奠定基础。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1-a是本发明实施例提供的一种木马文件传播关系确定方法的流程示意图;
图1-b是本发明实施例提供的一种木马文件传播关系的示意图;
图2-a是本发明实施例提供的另一种木马文件传播关系确定方法的流程示意图;
图2-b是本发明实施例提供的一种传播关系树的示意图;
图2-c是本发明实施例提供的一种传播关系树的示意图;
图2-d是本发明实施例提供的一种传播关系树的示意图;
图3-a是本发明实施例提供的另一种木马文件传播关系确定方法的流程示意图;
图3-b是本发明实施例提供的一种传播关系树的示意图;
图3-c是本发明实施例提供的另一种传播关系树的示意图;
图3-d是本发明实施例提供的另一种传播关系树的示意图;
图3-e是本发明实施例提供的另一种传播关系树的示意图;
图4-a是本发明实施例提供的另一种木马文件传播关系确定方法的流程示意图;
图4-b是本发明实施例提供的另一种传播关系树的示意图;
图5是本发明实施例提供的一种木马文件传播关系确定装置的示意图;
图6是本发明实施例提供的一种计算机系统的示意图。
具体实施方式
本发明实施例提供木马文件传播关系确定方法和相关装置,以期提高查找到木马传播源的几率。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
以下分别进行详细说明。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明木马文件传播关系确定方法的一个实施例。
首先参见图1-a,图1-a是本发明实施例提供的一种木马文件传播关系确定方法的流程示意图。如图1-a所示,本发明实施例提供的一种木马文件传播关系确定方法可包括以下内容:
步骤S1、将当前木马文件加入传播关系树的对应层。
在本发明的一些实施例中,将当前木马文件加入传播关系树的对应层可以包括:将当前木马文件的标识和/或下载地址等等信息加入传播关系树的对应层中。
在本发明的一些实施例中,可事先通过各种方式收集多个木马文件,并记录各木马文件(若存在)的父木马文件和/或子木马文件,还可进一步记录各木马文件的统一资源定位符(URL,Uniform/Universal Resource Locator)等信息。
举例来说,可通过网络爬虫或其它工具从互联网上的木马、外挂网站自动爬取若干木马文件,并保存木马文件和其下载链接;通过腾讯电脑管家病毒云查杀体系,在用户侧对文件的下载、解压、释放操作进行感知,获取海量的文件关系数据和对应URL数据存储在云端。其中,例如用户在电脑里解压一个压缩文件,得到了若干解压后的文件,则该压缩文件就和解压后的文件形成了父子关系,其中压缩文件可看做解压文件的父木马文件,解压得到的木马文件可看做是压缩文件的子木马文件。若解压得到了多个木马文件,则该多个木马文件之间互为兄弟木马文件。
参见图1-b,为便于更好的理解,下面结合附图介绍父木马文件、子木马文件、兄弟木马文件之间的关系。例如图1-b所示,假设从网络上爬取到了木马文件A,解压木马文件A得到木马文件A1、木马文件A2和木马文件A3,解压木马文件A1得到木马文件A11和木马文件A12。此场景下,木马文件A11和木马文件A12均为木马文件A1的子木马文件,相应的,木马文件A1为木马文件A11和木马文件A12的父木马文件,而木马文件A11和木马文件A12具有相同的父木马文件,木马文件A11和木马文件A12互为兄弟木马文件。同理,木马文件A1、木马文件A2和木马文件A3均为木马文件A的子木马文件,木马文件A为木马文件A1、木马文件A2和木马文件A3的父木马文件,木马文件A1、木马文件A2和木马文件A3互为兄弟木马文件。
可以理解,父木马文件、子木马文件、兄弟木马文件都是相对概念,某个木马文件可能是另一木马文件的父木马文件,同时该某个木马文件也可能是又一个木马文件的子木马文件,并且,该某个木马文件也还可能是还一个木马文件的兄弟木马文件。某个木马文件可以有多个父木马文件,也可以有多个子木马文件,也可以有多个兄弟木马文件。例如,木马文件A1是木马文件A11的父木马文件,同时木马文件A1又是木马文件A的子木马文件,并且,木马文件A1还是木马文件A2和木马文件A3的兄弟木马文件。
可以理解的是,在传播关系树中,兄弟木马文件的层数相同,父木马文件的层数比子木马文件的层数高一层,也就是说,子木马文件的层数比父木马文件的层数低一层。
步骤S2、判断是否满足预设条件;
若判断出不满足预设条件则执行步骤S3,
若判断出满足预设条件则执行步骤S4;
在本发明一些实施例中,上述预设条件可根据实际需要具体设定,上述预设条件例如可包括:上述木马文件在上述传播关系树中所处的层数大于预设的阈值N、上述传播关系树的最高层数大于预设的阈值N、或者上述木马文件不存在的父木马文件。其中,阈值N例如可为10、15、20、25、30或大于1的其它值。
步骤S3、查找上述木马文件的父木马文件,将查找到的其中一个父木马文件的作为当前木马文件,执行步骤S1~步骤S3;
步骤S4、按照预设处理方式处理上述传播关系树。
在本发明的一些实施例中,上述按照预设处理方式处理上述传播关系树可以包括:展示传播关系树;和/或,展示上述当前木马文件在上述传播关系树中所处的层数;和/或,展示上述当前木马文件的标识和/或下载地址。当然在实际应用中还可按照其它预设处理方式处理上述传播关系树。
在本发明的一些实施例中,上述当前木马文件的标识例如可包括上述当前木马文件的数据摘要(如MD5或其它类型的数据摘要)和/或名称(当然也可以是其它能够标识当前木马文件的信息)。
可以看出,本实施例木马文件传播关系确定方法包括S1、将当前木马文件加入传播关系树的对应层;S2、判断是否满足预设条件,若不满足预设条件则执行步骤S3,若满足预设条件则执行步骤S4;S3、查找该木马文件的父木马文件,将查找到的其中一个父木马文件的作为当前木马文件,执行步骤S1~步骤S3;步骤S4、按照预设处理方式处理该传播关系树。本实施例引入木马文件的父子关系逐层查找机制,追根溯源,使用传播关系树记录各木马文件的传播关系,通过预设条件来限制逐层查找,有利于在可控范围内尽可能深的查找木马文件的传播源,有利于提高查找到木马文件的传播源的几率,进而有利于为有效防范控制木马文件传播奠定基础。
为便于更好的理解和实施本发明实施例的上述方案,下面通过举例应用场景进行进一步介绍。
请参见图2-a,图2-a是本发明实施例提供的另一种木马文件传播关系确定方法的流程示意图。如图2-a所示,本发明实施例提供的另一种木马文件传播关系确定方法可包括以下内容:
201、将当前木马文件加入传播关系树的对应层。
在本发明的一些实施例中,将当前木马文件加入传播关系树的对应层可以包括:将当前木马文件的标识和/或下载地址等等信息加入传播关系树的对应层。
在本发明的一些实施例中,可事先通过各种方式收集多个木马文件,并记录各木马文件的父木马文件和/或子木马文件,还可进一步记录各木马文件的URL等信息。
202、判断上述当前木马文件在上述传播关系树中所处的层数大于预设的阈值N;
若否,则执行步骤203,
若是,则执行步骤205。
其中,阈值N例如可为10、15、20、25、30或大于1的其它值。
203、查找是否存在上述当前木马文件的父木马文件;
若是,则执行步骤204;
若否,则执行步骤205。
204、将查找到的父木马文件中,还未加入传播关系树的其中一个父木马文件作为当前木马文件,执行步骤201;
205、按照预设处理方式处理上述传播关系树。
在本发明的一些实施例中,上述按照预设处理方式处理上述传播关系树可以包括:展示传播关系树;和/或,展示上述当前木马文件在上述传播关系树中所处的层数;和/或,展示上述当前木马文件的标识和/或下载地址。当然在实际应用中还可按照其它预设处理方式处理上述传播关系树。
在本发明的一些实施例中,上述当前木马文件的标识例如可包括上述当前木马文件的数据摘要(如MD5或其它类型的数据摘要)和/或名称(当然也可以是其它能够标识当前木马文件的信息)。
为便于更好的理解图2-a所示方案,下面结合附图对基于图2-a所示方案构建出的传播关系树进行举例。假设,从网络上爬取到木马文件A,解压木马文件A得到木马文件A1、木马文件A2和木马文件A3,解压木马文件A1得到木马文件A11和木马文件A12,解压木马文件A12得到木马文件A121、木马文件A122和木马文件A123,联合解压木马文件A121和木马文件A122得到木马文件A1211。
其中,在此场景下,木马文件A11和木马文件A12均为木马文件A1的子木马文件,而木马文件A11和木马文件A12具有相同的父木马文件,木马文件A11和木马文件A12互为兄弟木马文件。同理,木马文件A1、木马文件A2和木马文件A3均为木马文件A的子木马文件,木马文件A为木马文件A1、木马文件A2和木马文件A3的父木马文件,木马文件A1、木马文件A2和木马文件A3互为兄弟木马文件。其中,木马文件A121和木马文件A122均为木马文件A1211的父木马文件,木马文件A12为木马文件A121、木马文件A122和木马文件A123的父木马文件。
假设开始时以木马文件A1211作为当前木马文件进行查找,初始的传播关系树如图2-b所示,木马文件A1211位于传播关系树的第1层,假设预设的阈值N取值20,则继续查找当前木马文件A1211的父木马文件,查找到木马文件A1211的父木马文件包括木马文件A121和木马文件A122,将其中一个加入传播关系树,以将木马文件A121加入传播关系树为例,此时的传播关系树如图2-c所示。将木马文件A121作为当前木马文件,查找其父木马文件,查找到的父木马文件包括木马文件A12,将木马文件A12加入传播关系树,后续查找以此类推,最终可能得到图2-d所示传播关系树。
可以理解,上述过程仅为举例,在实际应用中还可能根据需要进行适应性灵活变化。
可以看出,本实施例木马文件传播关系确定方法包括:将当前木马文件加入传播关系树的对应层;判断是否满足预设条件,若判断出不满足预设条件则查找该木马文件的父木马文件,将查找到的其中一个父木马文件的作为当前木马文件,重复执行上述步骤;若满足预设条件,则按照预设处理方式处理该传播关系树。本实施例引入木马文件的父子关系逐层查找机制,追根溯源,使用传播关系树记录各木马文件的传播关系,通过预设条件来限制逐层查找,有利于在可控范围内尽可能深的查找木马文件的传播源,有利于提高查找到木马文件的传播源的几率,进而有利于为有效防范控制木马文件传播奠定基础。
请参见图3,图3是本发明实施例提供的另一种木马文件传播关系确定方法的流程示意图。如图3所示,本发明实施例提供的另一种木马文件传播关系确定方法可包括以下内容:
301、将当前木马文件加入传播关系树的对应层。
302、判断上述当前木马文件在上述传播关系树中所处的层数大于预设的阈值N;
若否,则执行步骤303,
若是,则执行步骤305。
303、查找是否存在上述当前木马文件的父木马文件;
若是,则执行步骤304;
若否,则执行步骤305。
304、将查找到的父木马文件中,还未加入传播关系树中的其中一个父木马文件作为当前木马文件,执行步骤301;
305、判断是否还存在查找到的未加入传播关系树的当前木马文件的兄弟木马文件,
若是,则将查找到的未加入传播关系树的当前木马文件的兄弟木马文件的其中一个作文当前木马文件,执行步骤301;
若否,则执行步骤306;
306、判断是否还存在查找到的未加入传播关系树的当前木马文件的子木马文件的兄弟木马文件,
若是,则将查找到的未加入传播关系树的当前木马文件的子木马文件的兄弟木马文件的其中一个作文当前木马文件,执行步骤301;
若否,则执行步骤307;
307、按照预设处理方式处理上述传播关系树。
在本发明的一些实施例中,上述按照预设处理方式处理上述传播关系树可以包括:展示传播关系树;和/或,展示上述当前木马文件在上述传播关系树中所处的层数;和/或,展示上述当前木马文件的标识和/或下载地址。当然在实际应用中还可按照其它预设处理方式处理上述传播关系树。
在本发明的一些实施例中,上述当前木马文件的标识例如可包括上述当前木马文件的数据摘要(如MD5或其它类型的数据摘要)和/或名称(当然也可以是其它能够标识当前木马文件的信息)。
为便于更好的理解图3-a所示方案,下面结合附图对基于图3-a所示方案构建出的传播关系树进行举例。假设,从网络上爬取到木马文件B1、木马文件B2、木马文件B3和木马文件B12,联合解压木马文件B1、木马文件B2和木马文件B3可得到木马文件B11。联合解压木马文件B11和木马文件B12可得到木马文件B111,解压木马文件B111可得到木马文件B1111和木马文件B1112。
假设开始时以木马文件B1112作为当前木马文件进行查找,初始的传播关系树如图3-b所示,木马文件B1112位于传播关系树的第1层,假设预设的阈值N取值3,则继续查找当前木马文件B1112的父木马文件,查找到木马文件B1112的父木马文件包括木马文件B111,将木马文件B111加入传播关系树,此时的传播关系树如图3-c所示。将木马文件B111作为当前木马文件,继续查找其父木马文件,查找到的父木马文件包括木马文件B11和木马文件B12,先将查找到的其中1个木马文件B11加入传播关系树,此时传播关系树如图3-d所示,将木马文件B11作为当前木马文件继续查找父木马文件,以此类推,最终可能得到图3-e所示传播关系树。
可以看出,本实施例木马文件传播关系确定方法包括:将当前木马文件加入传播关系树的对应层;判断是否满足预设条件,若判断出不满足预设条件则查找该木马文件的父木马文件,将查找到的其中一个父木马文件的作为当前木马文件,重复执行上述步骤;若满足预设条件,则按照预设处理方式处理该传播关系树。本实施例引入木马文件的父子关系逐层查找机制,追根溯源,使用传播关系树记录各木马文件的传播关系,通过预设条件来限制逐层查找,有利于在可控范围内尽可能深的查找木马文件的传播源,有利于提高查找到木马文件的传播源的几率,进而有利于为有效防范控制木马文件传播奠定基础。
请参见图4,图4是本发明实施例提供的另一种木马文件传播关系确定方法的流程示意图。如图4所示,本发明实施例提供的另一种木马文件传播关系确定方法可包括以下内容:
401、将当前木马文件加入传播关系树的对应层。
402、判断上述当前木马文件在上述传播关系树中所处的层数大于预设的阈值N;
若否,则执行步骤403,
若是,则执行步骤406。
403、查找是否存在上述当前木马文件的父木马文件;
若是,则执行步骤404;
若否,则执行步骤405。
404、将查找到的父木马文件中,还未加入传播关系树中的其中一个父木马文件作为当前木马文件,执行步骤401;
405、判断是否还存在查找到的未加入传播关系树的当前木马文件的兄弟木马文件,
若是,则将查找到的未加入传播关系树的当前木马文件的兄弟木马文件的其中一个作文当前木马文件,执行步骤401,若否,则执行步骤406;
406、判断是否还存在查找到的未加入传播关系树的当前木马文件的子木马文件的兄弟木马文件,
若是,则将查找到的未加入传播关系树的当前木马文件的子木马文件的兄弟木马文件的其中一个作文当前木马文件,执行步骤401;若否,则执行步骤407;
407、按照预设处理方式处理上述传播关系树。
在本发明的一些实施例中,上述按照预设处理方式处理上述传播关系树可以包括:展示传播关系树;和/或,展示上述当前木马文件在上述传播关系树中所处的层数;和/或,展示上述当前木马文件的标识和/或下载地址。当然在实际应用中还可按照其它预设处理方式处理上述传播关系树。
在本发明的一些实施例中,上述当前木马文件的标识例如可包括上述当前木马文件的数据摘要(如MD5或其它类型的数据摘要)和/或名称(当然也可以是其它能够标识当前木马文件的信息)。
为便于更好的理解图4-a所示方案,下面结合附图对基于图4-a所示方案构建出的传播关系树进行举例。假设,从网络上爬取到木马文件B1、木马文件B2、木马文件B3和木马文件B12,其中,联合解压木马文件B1、木马文件B2和木马文件B3可得到木马文件B11。其中,联合解压木马文件B11和木马文件B12可得到木马文件B111,解压木马文件B111可得到木马文件B1111和木马文件B1112。
假设开始时以木马文件B1112作为当前木马文件进行查找,初始的传播关系树如图3-b所示,木马文件B1112位于传播关系树的第1层,假设预设的阈值N取值3,则继续查找当前木马文件B1112的父木马文件,查找到木马文件B1112的父木马文件包括木马文件B111,将木马文件B111加入传播关系树,此时的传播关系树如图3-c所示。将木马文件B111作为当前木马文件,继续查找其父木马文件,查找到的父木马文件包括木马文件B11和木马文件B12,先将查找到的其中1个木马文件B11加入传播关系树,此时传播关系树如图3-d所示,将木马文件B11作为当前木马文件继续查找其父木马文件,以此类推,最终可能得到图4-b所示传播关系树。
可以看出,本实施例木马文件传播关系确定方法包括:将当前木马文件加入传播关系树的对应层;判断是否满足预设条件,若判断出不满足预设条件则查找该木马文件的父木马文件,将查找到的其中一个父木马文件的作为当前木马文件,重复执行上述步骤;若满足预设条件,则按照预设处理方式处理该传播关系树。本实施例引入木马文件的父子关系逐层查找机制,追根溯源,使用传播关系树记录各木马文件的传播关系,通过预设条件来限制逐层查找,有利于在可控范围内尽可能深的查找木马文件的传播源,有利于提高查找到木马文件的传播源的几率,进而有利于为有效防范控制木马文件传播奠定基础。
为便于更好的实施本发明实施例的上述技术方案,下面还提供用于实施上述方案的相关装置。
参见图5,本发明实施例还提供一种木马文件传播关系确定装置500,可以包括:加入单元510、判断单元520、查找单元530和预设处理单元540。
其中,加入单元510,用于将当前木马文件加入传播关系树的对应层;
判断单元520,用于在加入单元510将当前木马文件加入传播关系树的对应层之后,判断是否满足预设条件;
查找单元530,用于若判断单元520判断出不满足预设条件,查找上述木马文件的父木马文件,将查找到的其中一个父木马文件的作为当前木马文件,触发加入单元510将当前木马文件加入传播关系树的对应层;
预设处理单元540,用于若判断单元520判断出满足预设条件,按照预设处理方式处理上述传播关系树。
在本发明的一些实施例中,加入单元510可具体用于,将当前木马文件的标识和/或下载地址等等信息加入传播关系树的对应层中。
在本发明的一些实施例中,可事先通过各种方式收集多个木马文件,并记录各木马文件(若存在)的父木马文件和/或子木马文件,还可进一步记录各木马文件的URL等信息。
举例来说,可通过网络爬虫从互联网上的木马、外挂网站自动爬取若干木马文件,保存文件和下载链接;通过腾讯电脑管家病毒云查杀体系,在用户侧对文件的下载、解压、释放操作进行感知,获取海量的文件关系数据和对应URL数据存储在云端。其中,例如用户在电脑里解压一个压缩文件,得到了若干解压后的文件,则该压缩文件就和解压后的文件形成了父子关系,其中压缩文件可看做解压文件的父木马文件,解压得到的木马文件可看做是压缩文件的子木马文件。若解压得到了多个木马文件,则该多个木马文件之间互为兄弟木马文件。
可以理解的是,在传播关系树中,兄弟木马文件的层数相同,父木马文件的层数比子木马文件的层数高一层,也就是说,子木马文件的层数比父木马文件的层数低一层。
在本发明一些实施例中,上述预设条件可根据实际需要具体设定,上述预设条件例如可包括:上述木马文件在上述传播关系树中所处的层数大于预设的阈值N、上述传播关系树的最高层数大于预设的阈值N、或者上述木马文件不存在的父木马文件。其中,阈值N例如可为10、15、20、25、30或大于1的其它值。
在本发明的一些实施例中,预设处理单元540可以具体用于,展示传播关系树;和/或,展示上述当前木马文件在上述传播关系树中所处的层数;和/或展示上述当前木马文件的标识和/或下载地址。当然在实际应用中还可按照其它预设处理方式处理上述传播关系树。
在本发明的一些实施例中,上述当前木马文件的标识例如可包括上述当前木马文件的数据摘要(如MD5或其它类型的数据摘要)和/或名称(当然也可以是其它能够标识当前木马文件的信息)。
可以理解的是,本实施例的木马文件传播关系确定装置500的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
可以看出,本实施例木马文件传播关系确定装置500包括:用于将当前木马文件加入传播关系树的对应层的加入单元;用于在上述加入单元将当前木马文件加入传播关系树的对应层之后,判断是否满足预设条件的判断单元;用于若上述判断单元判断出不满足预设条件,查找上述木马文件的父木马文件,将查找到的其中一个父木马文件的作为当前木马文件,触发上述加入单元将当前木马文件加入传播关系树的对应层的查找单元;用于若判断单元判断出满足预设条件,按照预设处理方式处理上述传播关系树的预设处理单元。本实施例引入木马文件的父子关系逐层查找机制,追根溯源,使用传播关系树记录各木马文件的传播关系,通过预设条件限制逐层查找,有利于在可控范围内尽可能深的查找木马文件的传播源,有利于提高查找到木马文件的传播源的几率,进而有利于为有效防范控制木马文件传播奠定基础。
参见图6,本发明还提供一种计算机系统600,可包括:
处理器610、存储器620、输入装置630和输出装置640。计算机系统600中的处理器610的数量可以一个或多个,图6中以一个处理器为例。在本发明的一些实施例中,处理器610、存储器620、输入装置630和输出装置640可通过总线或其它方式连接,其中,图6中以通过总线连接为例。
其中,处理器610执行如下步骤:
步骤S1、将当前木马文件加入传播关系树的对应层;
步骤S2、判断是否满足预设条件,若不满足预设条件则执行步骤S3,若满足预设条件则执行步骤S4;
步骤S3、查找所述木马文件的父木马文件,将查找到的其中一个父木马文件的作为当前木马文件,执行步骤S1~步骤S3;
步骤S4、按照预设处理方式处理所述传播关系树。
在本发明的一些实施例中,处理器610将当前木马文件加入传播关系树的对应层可以包括:将当前木马文件的标识和/或下载地址等等信息加入传播关系树的对应层中。
在本发明的一些实施例中,处理器610可事先通过各种方式收集多个木马文件,并记录各木马文件(若存在)的父木马文件和/或子木马文件,还可进一步记录各木马文件的URL等信息。
举例来说,处理器610可通过网络爬虫从互联网上的木马、外挂网站自动爬取若干木马文件,保存文件和下载链接;处理器610可通过腾讯电脑管家病毒云查杀体系,在用户侧对文件的下载、解压、释放操作进行感知,获取海量的文件关系数据和对应URL数据存储在云端。其中,例如用户在电脑里解压一个压缩文件,得到了若干解压后的文件,则该压缩文件就和解压后的文件形成了父子关系,其中压缩文件可看做解压文件的父木马文件,解压得到的木马文件可看做是压缩文件的子木马文件。若解压得到了多个木马文件,则该多个木马文件之间互为兄弟木马文件。
可以理解的是,在传播关系树中,兄弟木马文件的层数相同,父木马文件的层数比子木马文件的层数高一层,也就是说,子木马文件的层数比父木马文件的层数低一层。
在本发明一些实施例中,上述预设条件可根据实际需要具体设定,上述预设条件例如可包括:上述木马文件在上述传播关系树中所处的层数大于预设的阈值N、上述传播关系树的最高层数大于预设的阈值N、或者上述木马文件不存在的父木马文件。其中,阈值N例如可为10、15、20、25、30或大于1的其它值。
在本发明的一些实施例中,处理器610按照预设处理方式处理上述传播关系树可以包括:展示传播关系树;和/或,展示上述当前木马文件在上述传播关系树中所处的层数;和/或,展示上述当前木马文件的标识和/或下载地址。当然在实际应用中还可按照其它预设处理方式处理上述传播关系树。
在本发明的一些实施例中,上述当前木马文件的标识例如可包括上述当前木马文件的数据摘要(如MD5或其它类型的数据摘要)和/或名称(当然也可以是其它能够标识当前木马文件的信息)。
可以理解的是,本实施例的木马文件计算机系统600的各器件的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
可以看出,本实施例计算机系统600中的处理器610执行的步骤包括S1、将当前木马文件加入传播关系树的对应层;S2、判断是否满足预设条件,若不满足预设条件则执行步骤S3,若满足预设条件则执行步骤S4;S3、查找该木马文件的父木马文件,将查找到的其中1个父木马文件的作为当前木马文件,执行步骤S1~S3;S4、按照预设处理方式处理该传播关系树。本实施例引入木马文件的父子关系逐层查找机制,追根溯源,使用传播关系树记录各木马文件的传播关系,通过预设条件来限制逐层查找,有利于在可控范围内尽可能深的查找木马文件的传播源,有利于提高查找到木马文件传播源的几率,进而有利于为有效防范控制木马文件传播奠定基础。
本发明实施例还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时包括上述方法实施例中记载的木马文件传播关系确定方法的部分或全部步骤。
下面对木马进行简单介绍。
木马(也可称特洛伊木马)与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。木马是指通过一段特定的程序(木马程序)来控制另一台计算机。
一般来说,木马通常有两个可执行程序:一个是客户端,即控制端;另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就可能会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端可能将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
特洛伊木马不经电脑用户准许就可获得电脑的使用权。并且程序容量十分轻小,运行时不会浪费太多资源,因此没有使用杀毒软件是难以发觉的,运行时很难阻止它的行动,运行后,立刻自动登录在系统引导区,之后每次在操作系统加载时自动运行,或立刻自动变更文件名,甚至隐形,或马上自动复制到其他文件夹中,运行连用户本身都无法运行的动作。
木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇,或是急于显示自己实力,不断改进木马程序的编写。
至今木马程序已经经历了六代的改进:
第一代,是最原始的木马程序。主要是简单的密码窃取,通过电子邮件发送信息等,具备了木马最基本的功能。
第二代,在技术上有了很大的进步,冰河是中国木马的典型代表之一。
第三代,主要改进在数据传递技术方面,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度。
第四代在进程隐藏方面有很大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或挂接PSAPI,实现木马程序隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。
第五代,驱动级木马,驱动级木马多数都使用了大量的Rootkit技术来达到在深度隐藏的效果,并深入到内核空间的,感染后针对杀毒软件和网络防火墙进行攻击,可将系统SSDT初始化,导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS,并且很难查杀。
第六代,随着身份认证UsbKey和杀毒软件主动防御的兴起,黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主。PassCopy和暗黑蜘蛛侠是这类木马的代表。
常见的木马有如下几个类型:
网络游戏木马,随着网络在线游戏的普及和升温,中国拥有规模庞大的网游玩家。其中,网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时,以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。网络游戏木马的种类和数量,在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后,往往在一到两个星期内,就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。
网银木马,网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。此类木马种类数量虽比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以盗取安全证书;2005年的“新网银大盗”,采用API Hook等技术干扰网银登录安全控件的运行。随着中国网上交易的普及,受到外来网银木马威胁的用户也在不断增加。
即时通讯软件木马,现在,国内的即时通讯软件已百花齐放。QQ、新浪UC、网易泡泡等网上聊天的用户群十分庞大。常见的即时通讯类木马一般有3种:发送消息型、盗号型和传播自身型。
其中,发送消息型,通过即时通讯软件自动发送含有恶意网址的消息,目的在于让收到消息的用户点击网址中毒,用户中毒后又会向更多好友发送病毒消息。其中,此类病毒常用技术是搜索聊天窗口,进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马广告,如“武汉男生2005”木马,可以通过MSN、QQ、UC等多种聊天软件发送带毒网址,其主要功能是盗取传奇游戏的帐号和密码。
盗号型,主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后,可能偷窥聊天记录等隐私内容,或将帐号卖掉。
传播自身型,2005年初,“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之后,MSN推出新版本,禁止用户传送可执行文件。2005年上半年,“QQ龟”和“QQ爱虫”这两个国产病毒通过QQ聊天软件发送自身进行传播,感染用户数量极大,在江民公司统计的2005年上半年十大病毒排行榜上分列第一和第四名。从技术角度分析,发送文件类的QQ蠕虫是以前发送消息类QQ木马的进化,采用的基本技术都是搜寻到聊天窗口后,对聊天窗口进行控制,来达到发送文件或消息的目的。只不过发送文件的操作比发送消息复杂很多。
网页点击类木马,网页点击类木马会恶意模拟用户点击广告等动作,在短时间内可以产生数以万计的点击量。病毒作者的编写目的一般是为了赚取高额的广告推广费用。此类病毒的技术简单,一般只是向服务器发送HTTP GET请求。
下载类木马,这种木马程序的体积一般很小,其功能是从网络上下载其他病毒程序或安装广告软件。由于体积很小,下载类木马更容易传播,传播速度也更快。通常功能强大、体积也很大的后门类病毒,如“灰鸽子”、“黑洞”等,传播时都单独编写一个小巧的下载型木马,用户中毒后会把后门主程序下载到本机运行。
代理类木马,用户感染代理类木马后,会在本机开启HTTP、SOCKS等代理服务功能。黑客把受感染计算机作为跳板,以被感染用户的身份进行黑客活动,达到隐藏自己的目的。
DOS攻击木马,随着DOS攻击越来越广泛的应用被用作DOS攻击的木马也越来越流行起来。当你入侵了一台机器给他种上DOS攻击木马,那么日后这台计算机就成为你DOS攻击的最得力助手了。你控制的肉鸡数量越多,你发动DOS攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可以利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。还有一种类似DOS的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。
FTP木马,FTP型木马打开被控制计算机的21号端口(FTP所使用的默认端口),使每一个人都可以用一个FTP客户端程序来不用密码连接到受控制端计算机,并且可以进行最高权限的上传和下载,窃取受害者的机密文件。现在新FTP木马还加上了密码功能,这样只有攻击者本人才知道正确的密码,从而进入对方计算机。
由上可知,木马危害很大,有效防范控制木马变得十分重要,本实施例引入木马文件的父子关系逐层查找机制,追根溯源,使用传播关系树记录各木马文件的传播关系,通过预设条件来限制逐层查找,有利于在可控范围内尽可能深的查找木马文件的传播源,有利于提高查找到木马文件的传播源的几率,进而有利于为。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
综上,本发明实施例提供的木马文件传播关系确定方法包括S1、将当前木马文件加入传播关系树的对应层;S2、判断是否满足预设条件,若不满足预设条件则执行步骤S3,若满足预设条件则执行步骤S4;S3、查找该木马文件的父木马文件,将查找到的其中一个父木马文件的作为当前木马文件,执行步骤S1~S3;S4、按照预设处理方式处理该传播关系树。本实施例引入了木马文件的父子关系逐层查找机制,追根溯源,使用传播关系树来记录各木马文件的传播关系,通过预设条件来限制逐层查找,有利于在可控范围内尽可能深的查找木马文件的传播源,有利于提高查找到木马文件的传播源的几率,进而有利于为有效防范控制木马文件传播奠定基础。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种木马文件传播关系确定方法,其特征在于,包括:
步骤S1、将当前木马文件加入传播关系树的对应层;
步骤S2、判断是否满足预设条件,若不满足预设条件则执行步骤S3,若满足预设条件则执行步骤S4,所述预设条件包括:所述木马文件在所述传播关系树中所处的层数大于预设的阈值N、所述传播关系树的最高层数大于预设的阈值N、或者所述木马文件不存在的父木马文件;
步骤S3、查找所述木马文件的父木马文件,将查找到的其中一个父木马文件的作为当前木马文件,执行步骤S1~步骤S3;
步骤S4、按照预设处理方式处理所述传播关系树。
2.根据权利要求1所述的方法,其特征在于,
所述按照预设处理方式处理所述传播关系树,包括:
展示所述传播关系树;和/或,
展示所述当前木马文件在所述传播关系树中所处的层数;和/或,
展示所述当前木马文件的标识和/或下载地址。
3.根据权利要求1所述的方法,其特征在于,所述将当前木马文件加入传播关系树的对应层包括:将当前木马文件的标识和/或下载地址加入传播关系树的对应层。
4.根据权利要求3所述的方法,其特征在于,所述当前木马文件的标识包括所述当前木马文件的数据摘要和/或名称。
5.一种木马文件传播关系确定装置,其特征在于,包括:
加入单元,用于将当前木马文件加入传播关系树的对应层;
判断单元,用于在所述加入单元将当前木马文件加入传播关系树的对应层之后,判断是否满足预设条件,所述预设条件包括:所述木马文件在所述传播关系树中所处的层数大于预设的阈值N、所述传播关系树的最高层数大于预设的阈值N、或者所述木马文件不存在的父木马文件;
查找单元,用于若所述判断单元判断出不满足预设条件,查找所述木马文件的父木马文件,将查找到的其中一个父木马文件的作为当前木马文件,触发所述加入单元将当前木马文件加入传播关系树的对应层;
预设处理单元,用于若所述判断单元判断出满足预设条件,按照预设处理方式处理所述传播关系树。
6.根据权利要求5所述的确定装置,其特征在于,所述预设处理单元具体用于,若所述判断单元判断出满足预设条件,则展示传播关系树;和/或展示所述当前木马文件在所述传播关系树中所处的层数;和/或,展示所述当前木马文件的标识和/或下载地址。
7.根据权利要求5所述的装置,其特征在于,
所述加入单元具体用于,将当前木马文件的标识和/或下载地址加入传播关系树的对应层。
8.根据权利要求7所述的装置,其特征在于,所述当前木马文件的标识包括所述当前木马文件的数据摘要和/或名称。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310035438.9A CN103971053B (zh) | 2013-01-30 | 2013-01-30 | 木马文件传播关系确定方法和相关装置 |
| PCT/CN2013/088491 WO2014117595A1 (en) | 2013-01-30 | 2013-12-04 | Method and device for determining propagation relationship of trojan horse files |
| US14/276,627 US9256741B2 (en) | 2013-01-30 | 2014-05-13 | Method and device for determining propagation relationship of Trojan horse files |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310035438.9A CN103971053B (zh) | 2013-01-30 | 2013-01-30 | 木马文件传播关系确定方法和相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103971053A CN103971053A (zh) | 2014-08-06 |
| CN103971053B true CN103971053B (zh) | 2017-02-08 |
Family
ID=51240535
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310035438.9A Active CN103971053B (zh) | 2013-01-30 | 2013-01-30 | 木马文件传播关系确定方法和相关装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9256741B2 (zh) |
| CN (1) | CN103971053B (zh) |
| WO (1) | WO2014117595A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10104106B2 (en) * | 2015-03-31 | 2018-10-16 | Juniper Networks, Inc. | Determining internet-based object information using public internet search |
| US9860261B2 (en) * | 2015-10-12 | 2018-01-02 | Guy HALFON | System for analyzing and maintaining data security in backup data and method thereof |
| CN106355091B (zh) * | 2016-08-26 | 2019-01-29 | 西南大学 | 基于生物智能的传播源定位方法 |
| CN108763936B (zh) * | 2018-05-30 | 2022-02-22 | 腾讯科技(深圳)有限公司 | 关系链创建方法、装置及服务器、终端、存储介质 |
| CN109684842B (zh) * | 2018-12-24 | 2023-07-21 | 普华基础软件股份有限公司 | 一种监测和清除分裂炸弹程序攻击的方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101604361A (zh) * | 2008-06-11 | 2009-12-16 | 北京奇虎科技有限公司 | 一种恶意软件的检测方法及装置 |
| CN102810078A (zh) * | 2011-06-02 | 2012-12-05 | 兰州大学 | 一种分析Linux内核动态执行的方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5832208A (en) * | 1996-09-05 | 1998-11-03 | Cheyenne Software International Sales Corp. | Anti-virus agent for use with databases and mail servers |
| US7310817B2 (en) * | 2001-07-26 | 2007-12-18 | Mcafee, Inc. | Centrally managed malware scanning |
| US7814542B1 (en) * | 2003-06-30 | 2010-10-12 | Cisco Technology, Inc. | Network connection detection and throttling |
| US8006306B2 (en) * | 2006-03-21 | 2011-08-23 | Riverbed Technology, Inc. | Exploit-based worm propagation mitigation |
| US8010657B2 (en) * | 2006-11-27 | 2011-08-30 | Crackle, Inc. | System and method for tracking the network viral spread of a digital media content item |
| CN101350822B (zh) * | 2008-09-08 | 2011-06-15 | 南开大学 | 一种Internet恶意代码的发现和追踪方法 |
| CN102332071B (zh) * | 2011-09-30 | 2014-07-30 | 奇智软件(北京)有限公司 | 发现疑似恶意信息、追踪恶意文件的方法及装置 |
-
2013
- 2013-01-30 CN CN201310035438.9A patent/CN103971053B/zh active Active
- 2013-12-04 WO PCT/CN2013/088491 patent/WO2014117595A1/en active Application Filing
-
2014
- 2014-05-13 US US14/276,627 patent/US9256741B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101604361A (zh) * | 2008-06-11 | 2009-12-16 | 北京奇虎科技有限公司 | 一种恶意软件的检测方法及装置 |
| CN102810078A (zh) * | 2011-06-02 | 2012-12-05 | 兰州大学 | 一种分析Linux内核动态执行的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014117595A1 (en) | 2014-08-07 |
| US20140250527A1 (en) | 2014-09-04 |
| CN103971053A (zh) | 2014-08-06 |
| US9256741B2 (en) | 2016-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9860270B2 (en) | System and method for determining web pages modified with malicious code | |
| Cohen et al. | SFEM: Structural feature extraction methodology for the detection of malicious office documents using machine learning methods | |
| Nissim et al. | Detection of malicious PDF files and directions for enhancements: A state-of-the art survey | |
| Song et al. | Advanced evasion attacks and mitigations on practical ML‐based phishing website classifiers | |
| Liu et al. | A novel approach for detecting browser-based silent miner | |
| CN103971053B (zh) | 木马文件传播关系确定方法和相关装置 | |
| Nissim et al. | Keeping pace with the creation of new malicious PDF files using an active-learning based detection framework | |
| Wang et al. | Machine learning based cross-site scripting detection in online social network | |
| Jayasinghe et al. | Efficient and effective realtime prediction of drive-by download attacks | |
| CN106549980A (zh) | 一种恶意c&c服务器确定方法及装置 | |
| WO2018066221A1 (ja) | 分類装置、分類方法及び分類プログラム | |
| CN107770125A (zh) | 一种网络安全应急响应方法及应急响应平台 | |
| Nagunwa | Behind identity theft and fraud in cyberspace: the current landscape of phishing vectors | |
| Mansoori et al. | YALIH, yet another low interaction honeyclient | |
| Kaur et al. | Detecting blind cross-site scripting attacks using machine learning | |
| Kaur et al. | A detailed survey on recent xss web-attacks machine learning detection techniques | |
| Mphago et al. | Deception in dynamic web application honeypots: Case of glastopf | |
| Priya et al. | A static approach to detect drive-by-download attacks on webpages | |
| Patil et al. | Malicious web pages detection using static analysis of URLs. | |
| Celik et al. | Behavioral analysis of trickbot banking trojan with its new tricks | |
| Roy et al. | What remains uncaught?: Characterizing sparsely detected malicious urls on twitter | |
| EP3252645A1 (en) | System and method of detecting malicious computer systems | |
| Jayakanthan et al. | Classification model to detect malicious URL via behaviour analysis | |
| Hans et al. | Characterization and detection of Redirection Spam | |
| Arnold et al. | PowerShell Malware Analysis Using a Novel Malware Rating System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |