CN106341282A - 一种恶意代码行为分析装置 - Google Patents
一种恶意代码行为分析装置 Download PDFInfo
- Publication number
- CN106341282A CN106341282A CN201610989753.9A CN201610989753A CN106341282A CN 106341282 A CN106341282 A CN 106341282A CN 201610989753 A CN201610989753 A CN 201610989753A CN 106341282 A CN106341282 A CN 106341282A
- Authority
- CN
- China
- Prior art keywords
- module
- file
- analysis engine
- behavior
- detection module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明实施例提供的一种恶意代码行为分析装置,包括:存储模块、展示模块、网络数据流量采集还原模块、中央处理器、综合管理模块、网络流量行为分析引擎、文件静态分析引擎、文件动态行为分析引擎、WEB威胁检测模块、网络行为异常检测模块、邮件威胁检测模块、文件威胁检测模块、文件异常行为分析模块、沙箱模块,实现了对网络数据流进行重组和还原,实现网络行为的异常检测,能对可疑文件进行还原提取分析,并将可疑文件放置在沙箱模板当中实现对文件行为的动态监控分析,并结合静态分析和动态分析的结果,给出可疑文件的信息安全风险程度,解决了目前无法应对日益严峻的高级别恶意代码攻击的技术问题。
Description
技术领域
本发明涉及电力技术领域,尤其涉及一种恶意代码行为分析装置。
背景技术
近年来,网络安全问题日益突出,黑客入侵以及网络攻击现象日益增多。而随着计算机网络技术的不断普及,公众使用计算机的次数越来越多。特别是公用信息基础设施建设推动了政府、企业日益依赖各种信息系统,一些涉及国计民生的业务、系统受到了前所未有的安全挑战。如维基解密网站泄漏了大量政府的机密信息;花旗集团受黑客攻击导致36多万的客户账户信息被窃取;CSDN网站被攻击导致600余万用户资料被泄漏等。这些事故充分说明网络安全对国家、政府和企业的重要性。
目前,在所有的网络入侵行为当中,恶意代码是承载网络攻击行为的重要载体,服务器的远程控制,非正常操作都依托于恶意代码来实现;另外一方面,为实现更加高级的网络攻击,越来越多的恶意代码逐步采用混淆技术、虚拟机技术对恶意代码进行了伪装,甚至利用0day漏洞绕过杀毒软件的查收,因此通过传统特征码来鉴别恶意代码显得力不从心。如何应对日益严峻的高级别恶意代码攻击的技术问题,已经成为了本领域技术人员亟待解决的技术问题。
发明内容
本发明实施例提供的一种恶意代码行为分析装置,实现了对网络数据流进行重组和还原,实现网络行为的异常检测,能对可疑文件进行还原提取分析,并将可疑文件放置在沙箱模板当中实现对文件行为的动态监控分析,并结合静态分析和动态分析的结果,给出可疑文件的信息安全风险程度,解决了目前无法应对日益严峻的高级别恶意代码攻击的技术问题。
本发明实施例提供的一种恶意代码行为分析装置,包括:
存储模块、展示模块、网络数据流量采集还原模块、中央处理器、综合管理模块、网络流量行为分析引擎、文件静态分析引擎、文件动态行为分析引擎、WEB威胁检测模块、网络行为异常检测模块、邮件威胁检测模块、文件威胁检测模块、文件异常行为分析模块、沙箱模块;
所述的中央处理器分别与存储模块、展示模板、网络数据流量采集还原模块、综合管理模块相连;
所述的综合管理模块与网络流量行为分析引擎、文件静态分析引擎、文件动态行为分析引擎相连;
所述的网络流量行为分析引擎分别与综合管理模块、文件静态分析引擎、文件动态行为分析引擎、WEB威胁检测模块、网络行为异常检测模块、邮件威胁检测模块相连;
所述的文件静态分析引擎分别与综合管理模块、网络流量行为分析引擎、文件动态行为分析引擎、文件威胁检测模块相连;
文件动态行为分析引擎分别与综合管理模块、网络流量行为分析引擎、文件静态分析引擎、文件异常行为分析模块相连;
沙箱模块分别与WEB威胁检测模块、网络行为异常检测模块、邮件威胁检测模块、文件威胁检测模块、文件异常行为分析模块相连。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例提供的一种恶意代码行为分析装置,包括:存储模块、展示模块、网络数据流量采集还原模块、中央处理器、综合管理模块、网络流量行为分析引擎、文件静态分析引擎、文件动态行为分析引擎、WEB威胁检测模块、网络行为异常检测模块、邮件威胁检测模块、文件威胁检测模块、文件异常行为分析模块、沙箱模块,实现了对网络数据流进行重组和还原,实现网络行为的异常检测,能对可疑文件进行还原提取分析,并将可疑文件放置在沙箱模板当中实现对文件行为的动态监控分析,并结合静态分析和动态分析的结果,给出可疑文件的信息安全风险程度,解决了目前无法应对日益严峻的高级别恶意代码攻击的技术问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种恶意代码行为分析装置的结构示意图。
具体实施方式
本发明实施例提供的一种恶意代码行为分析装置,实现了对网络数据流进行重组和还原,实现网络行为的异常检测,能对可疑文件进行还原提取分析,并将可疑文件放置在沙箱模板当中实现对文件行为的动态监控分析,并结合静态分析和动态分析的结果,给出可疑文件的信息安全风险程度,解决了目前无法应对日益严峻的高级别恶意代码攻击的技术问题。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例提供的一种恶意代码行为分析装置,包括:
存储模块、展示模块、网络数据流量采集还原模块、中央处理器、综合管理模块、网络流量行为分析引擎、文件静态分析引擎、文件动态行为分析引擎、WEB威胁检测模块、网络行为异常检测模块、邮件威胁检测模块、文件威胁检测模块、文件异常行为分析模块、沙箱模块;
所述的中央处理器分别与存储模块、展示模板、网络数据流量采集还原模块、综合管理模块相连;
所述的综合管理模块与网络流量行为分析引擎、文件静态分析引擎、文件动态行为分析引擎相连;
所述的网络流量行为分析引擎分别与综合管理模块、文件静态分析引擎、文件动态行为分析引擎、WEB威胁检测模块、网络行为异常检测模块、邮件威胁检测模块相连;
所述的文件静态分析引擎分别与综合管理模块、网络流量行为分析引擎、文件动态行为分析引擎、文件威胁检测模块相连;
文件动态行为分析引擎分别与综合管理模块、网络流量行为分析引擎、文件静态分析引擎、文件异常行为分析模块相连;
沙箱模块分别与WEB威胁检测模块、网络行为异常检测模块、邮件威胁检测模块、文件威胁检测模块、文件异常行为分析模块相连。
各功能模块的主要功能如下:
综合管理模块:综合管理模块提供恶意代码行为分析装置与业务人员的使用界面。基于该模块,业务人员能实现设备进行配置、管理、设定恶意代码检测策略、手工上传分析恶意代码、报告生成及导出等功能。
网络数据流量采集还原模块:网络数据流量采集还原模块能实现对网络流量的集中采集,还能对采集的网络流量进一步进行数据包重组,并根据OSI模型还原出数据流以及网络会话。
网络流量行为分析引擎:网络流量行为分析引擎基于网络流量分析及还原技术,对通过网络数据流量采集还原模块分析出的数据和网络访问行为进行分析。根据网络协议、IP地址、端口号、应用层数据类型对网络流量进行进一步归类分析;对还原出的可疑文件调用文件静态分析引擎和文件动态行为分析引擎实现文件威胁检测和文件异常行为分析;对还原出的WEB访问行为调用WEB威胁检测模块,以发现入侵者非法访问和利用WEB应用系统的恶意行为;对还原出的邮件访问及登录行为调用邮件威胁检测模块,以发现入侵者非法访问和利用邮件系统的恶意行为;对所有还原的数据调用网络行为异常检测模块,以发现基于网络异常扫描和攻击的行为。网络流量行为分析引擎支持HTTP、ftp、smb、SMTP、POP3等协议传输文件检测,文件类型支持doc,xls,ppt,swf,pdf,java,rar,zip,exe,vbs,scr,html等多种文件解析。
文件静态分析引擎:文件静态分析引擎内包括反恶意代码引擎,能对可疑文件多维静态扫描,分析出可疑文件的版本信息、段信息、资源信息、导入表、字符串信息、删除文件信息等内容;文件静态分析引擎还能实现诸如:文件外壳检测及自动脱壳、病毒特征码检测、可执行文件逆向分析、恶意代码指令检测等功能;文件静态分析引擎支持Shellcode检测,能通过分析文件中的二进制代码,找到文件溢出攻击的代码,并能找到APT攻击中的0day攻击,还可以对文件内部嵌入的子文件可进行二次扫描,分析隐藏在样本内部的文件安全性。
文件动态行为分析引擎:文件动态行为分析引擎将可疑文件投放至建有模拟环境、配有模拟用户操作(诱导可疑文件发出攻击行为)的沙箱环境当中,动态执行可疑文件,监控其运行过程以及所有进程的活动,并对其代码特征和攻击特点进行详细的分析。文件动态行为分析引擎通过不同沙箱环境的组合观察可疑文件的动态行为,包括可疑文件对注册表的行为、进程行为、网络行为、文件行为以及相关行为的信息(如互斥量、进程运行的函数、返回结果、返回值)等,并对可疑文件关键行为截图等;文件动态行为分析引擎还能对沙箱操作系统之上的应用文件关键行为进行监控,分析可疑文件的信息安全风险。文件动态行为分析引擎可有效检测文档格式溢出,发现攻击行为。
WEB威胁检测模块:WEB威胁检测模块能解码所有网络进入进出的请求,检查这些请求是否合法或合乎规定,能检测限制正确格式或RFC遵从的请求通过,并阻断已知的恶意请求,阻止非法植入到Header、Form和URL中的脚本;WEB威胁检测模块除了对上传webshell的攻击进行检测,还可以对访问和利用webshell行为进行检测,通过对请求和返回数据包综合检测,分析各种上传和利用的webshell行为;WEB威胁检测模块还能对过去一段时间的web访问行为进行综合分析,分析异常攻击者与正常用户访问的区别,进一步判断一次完整的扫描或渗透过程。
网络行为异常检测模块:网络行为异常检测模块不仅可以深度分析来自外部的网络攻击,能对内网向外请求异常行为进行分析,如非法请求外连、恶意盗取数据和敏感数据回传等,通过对内外部主机的异常流量检测、非法请求检测等判断,定位僵尸主机和网络异常行为检测;通过基于恶意行为的模型化分析,提取真正的恶意回连行为;通过利用开放端口非法传输数据行为监控,判断异常数据传输、传输数据内容、数据量等检测。
邮件威胁检测模块:邮件威胁检测模块能对邮件协议进行深度分析,记录并分析每个邮件,并对其中的附件进行分析并检测,发现其中的安全问题。包括WEBMail漏洞利用、邮件社工行为、恶意邮件附件等威胁。通过对附件进行对已知攻击特征的扫描、未知攻击漏洞的扫描和动态分析的方式进行测试,发现其中的攻击。
文件威胁检测模块:文件威胁检测模块能通过二进制分析技术发现文件中的恶意代码;利用二进制分析技术,可以发现可能存在的恶意代码攻击;通过在内存中对静态二进制文件安全分析可发现常见格式文件的异常行为,如:pdf、doc、exe、xls等。文件威胁检测模块能根据其异常格式、文件异常行为、异常代码等判断文件的可疑行为。
文件异常行为分析模块:文件异常行为分析模块基于可以文件在沙箱环境中的运行结果以及行为,综合判断可疑文件的风险程度。
沙箱模块:沙箱模块基于虚拟化技术,能虚拟出不同类型的操作系统与应用环境结合的漏洞环境,沙箱模块内置文件行为监视功能,能对可疑文件的运行情况进行监视,并通过文件异常行为分析模块判断文件的异常行为。沙箱模块采用多沙箱并发设计,每个沙箱通过特有的文件重定向、注册表重定向和进程权限控制技术,降低任务启动和结束对性能的影响;沙箱模块支持同时运行的多个文件检测任务,进程(树)数据相互隔离,每个检测任务仅能获取到系统的基础信息以及自己进程(树)产生或修改的信息,但无法获取其他进程(树)产生或者修改的文件信息;沙箱模块禁止被检测进程(树)加载未经数字签名的驱动程序,实现单沙箱多任务并行操作且互不影响;沙箱模块具备虚拟机自我保护功能,可对恶意软件隐藏虚拟机进程。
恶意代码行为分析装置通过网络旁路接入的方式实现企业网络数据采集,通过网络数据流量采集还原模块对网络流量进行采集并还原成会话数据流和数据文件;网络数据流量采集还原模块将采集的数据流以及数据文件发送给综合管理模块,综合管理模块通过预先设定好的分析策略,依次调用网络流量行为分析引擎、文件静态分析引擎、文件动态行为分析引擎对数据流以及数据文件进行分析,在分析的过程中基于沙箱模块依次调用WEB威胁检测模块、网络行为异常检测模块、邮件威胁检测模块、文件威胁检测模块、文件异常行为分析模块对数据流和可疑文件进行综合分析判断,并给出数据流以及可疑文件的信息安全风险判断。
本发明实施例提供的一种恶意代码行为分析装置,包括:存储模块、展示模块、网络数据流量采集还原模块、中央处理器、综合管理模块、网络流量行为分析引擎、文件静态分析引擎、文件动态行为分析引擎、WEB威胁检测模块、网络行为异常检测模块、邮件威胁检测模块、文件威胁检测模块、文件异常行为分析模块、沙箱模块,实现了对网络数据流进行重组和还原,实现网络行为的异常检测,能对可疑文件进行还原提取分析,并将可疑文件放置在沙箱模板当中实现对文件行为的动态监控分析,并结合静态分析和动态分析的结果,给出可疑文件的信息安全风险程度,解决了目前无法应对日益严峻的高级别恶意代码攻击的技术问题。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (1)
1.一种恶意代码行为分析装置,其特征是包括:
存储模块、展示模块、网络数据流量采集还原模块、中央处理器、综合管理模块、网络流量行为分析引擎、文件静态分析引擎、文件动态行为分析引擎、WEB威胁检测模块、网络行为异常检测模块、邮件威胁检测模块、文件威胁检测模块、文件异常行为分析模块、沙箱模块;
所述的中央处理器分别与存储模块、展示模板、网络数据流量采集还原模块、综合管理模块相连;
所述的综合管理模块与网络流量行为分析引擎、文件静态分析引擎、文件动态行为分析引擎相连;
所述的网络流量行为分析引擎分别与综合管理模块、文件静态分析引擎、文件动态行为分析引擎、WEB威胁检测模块、网络行为异常检测模块、邮件威胁检测模块相连;
所述的文件静态分析引擎分别与综合管理模块、网络流量行为分析引擎、文件动态行为分析引擎、文件威胁检测模块相连;
文件动态行为分析引擎分别与综合管理模块、网络流量行为分析引擎、文件静态分析引擎、文件异常行为分析模块相连;
沙箱模块分别与WEB威胁检测模块、网络行为异常检测模块、邮件威胁检测模块、文件威胁检测模块、文件异常行为分析模块相连。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610989753.9A CN106341282A (zh) | 2016-11-10 | 2016-11-10 | 一种恶意代码行为分析装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610989753.9A CN106341282A (zh) | 2016-11-10 | 2016-11-10 | 一种恶意代码行为分析装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106341282A true CN106341282A (zh) | 2017-01-18 |
Family
ID=57841165
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610989753.9A Pending CN106341282A (zh) | 2016-11-10 | 2016-11-10 | 一种恶意代码行为分析装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106341282A (zh) |
Cited By (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790287A (zh) * | 2017-03-03 | 2017-05-31 | 努比亚技术有限公司 | 一种恶意软件拦截方法及装置 |
CN106919840A (zh) * | 2017-03-03 | 2017-07-04 | 努比亚技术有限公司 | 一种恶意软件的检测方法及装置 |
CN107169351A (zh) * | 2017-05-11 | 2017-09-15 | 北京理工大学 | 结合动态行为特征的Android未知恶意软件检测方法 |
CN107360170A (zh) * | 2017-07-18 | 2017-11-17 | 百色闻远网络科技有限公司 | 一种计算机网络安全检测方法 |
CN107395650A (zh) * | 2017-09-07 | 2017-11-24 | 杭州安恒信息技术有限公司 | 基于沙箱检测文件识别木马回连方法及装置 |
CN108337232A (zh) * | 2017-12-26 | 2018-07-27 | 努比亚技术有限公司 | 网络异常检测方法、网络安全设备及计算机可读存储介质 |
CN108595240A (zh) * | 2018-04-20 | 2018-09-28 | 北京天融信网络安全技术有限公司 | 屏幕快照的抓取方法、装置、设备及可读存储介质 |
CN108632225A (zh) * | 2017-03-23 | 2018-10-09 | 中兴通讯股份有限公司 | 一种防御网络威胁的方法及系统 |
CN109033828A (zh) * | 2018-07-25 | 2018-12-18 | 山东省计算中心(国家超级计算济南中心) | 一种基于计算机内存分析技术的木马检测方法 |
CN109033835A (zh) * | 2018-07-23 | 2018-12-18 | 成都立鑫新技术科技有限公司 | 一种异构双引擎检测移动终端恶意代码的方法 |
CN109586282A (zh) * | 2018-11-29 | 2019-04-05 | 安徽继远软件有限公司 | 一种电网未知威胁检测系统及方法 |
CN109726551A (zh) * | 2017-10-31 | 2019-05-07 | 武汉安天信息技术有限责任公司 | 一种应用安装前不良行为的展示方法和系统 |
CN109753796A (zh) * | 2018-12-07 | 2019-05-14 | 广东技术师范学院天河学院 | 一种大数据计算机网络安全防护装置及使用方法 |
CN109800574A (zh) * | 2018-12-12 | 2019-05-24 | 中国人民公安大学 | 基于密码算法分析的计算机病毒检测方法及系统 |
CN110022288A (zh) * | 2018-01-10 | 2019-07-16 | 贵州电网有限责任公司遵义供电局 | 一种apt威胁识别方法 |
CN110519270A (zh) * | 2019-08-27 | 2019-11-29 | 杭州安恒信息技术股份有限公司 | 基于文件来源快速检测WebShell的方法及装置 |
CN110602044A (zh) * | 2019-08-12 | 2019-12-20 | 贵州电网有限责任公司 | 一种网络威胁分析方法和系统 |
CN110955893A (zh) * | 2019-11-22 | 2020-04-03 | 杭州安恒信息技术股份有限公司 | 一种恶意文件威胁分析平台及恶意文件威胁分析方法 |
CN111447205A (zh) * | 2020-03-24 | 2020-07-24 | 深信服科技股份有限公司 | 一种数据处理方法、系统及相关设备 |
CN112685737A (zh) * | 2020-12-24 | 2021-04-20 | 恒安嘉新(北京)科技股份公司 | 一种app的检测方法、装置、设备及存储介质 |
CN113595981A (zh) * | 2021-06-25 | 2021-11-02 | 新浪网技术(中国)有限公司 | 上传文件威胁检测方法及装置、计算机可读存储介质 |
CN113810342A (zh) * | 2020-06-15 | 2021-12-17 | 深信服科技股份有限公司 | 一种入侵检测方法、装置、设备、介质 |
CN114386034A (zh) * | 2021-12-21 | 2022-04-22 | 中国电子科技集团公司第三十研究所 | 动态迭代的多引擎融合恶意代码检测方法、设备及介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101140611A (zh) * | 2007-09-18 | 2008-03-12 | 北京大学 | 一种恶意代码自动识别方法 |
CN102254120A (zh) * | 2011-08-09 | 2011-11-23 | 成都市华为赛门铁克科技有限公司 | 恶意代码的检测方法、系统及相关装置 |
CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
CN104200161A (zh) * | 2014-08-05 | 2014-12-10 | 杭州安恒信息技术有限公司 | 一种实现沙箱智能检测文件的方法及其沙箱智能检测系统 |
US20150326593A1 (en) * | 2002-07-19 | 2015-11-12 | Fortinet, Inc. | Detecting network traffic content |
CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
-
2016
- 2016-11-10 CN CN201610989753.9A patent/CN106341282A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150326593A1 (en) * | 2002-07-19 | 2015-11-12 | Fortinet, Inc. | Detecting network traffic content |
CN101140611A (zh) * | 2007-09-18 | 2008-03-12 | 北京大学 | 一种恶意代码自动识别方法 |
CN102254120A (zh) * | 2011-08-09 | 2011-11-23 | 成都市华为赛门铁克科技有限公司 | 恶意代码的检测方法、系统及相关装置 |
CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
CN104200161A (zh) * | 2014-08-05 | 2014-12-10 | 杭州安恒信息技术有限公司 | 一种实现沙箱智能检测文件的方法及其沙箱智能检测系统 |
CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
Cited By (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106919840A (zh) * | 2017-03-03 | 2017-07-04 | 努比亚技术有限公司 | 一种恶意软件的检测方法及装置 |
CN106790287A (zh) * | 2017-03-03 | 2017-05-31 | 努比亚技术有限公司 | 一种恶意软件拦截方法及装置 |
CN108632225A (zh) * | 2017-03-23 | 2018-10-09 | 中兴通讯股份有限公司 | 一种防御网络威胁的方法及系统 |
CN107169351A (zh) * | 2017-05-11 | 2017-09-15 | 北京理工大学 | 结合动态行为特征的Android未知恶意软件检测方法 |
CN107360170A (zh) * | 2017-07-18 | 2017-11-17 | 百色闻远网络科技有限公司 | 一种计算机网络安全检测方法 |
CN107395650A (zh) * | 2017-09-07 | 2017-11-24 | 杭州安恒信息技术有限公司 | 基于沙箱检测文件识别木马回连方法及装置 |
CN107395650B (zh) * | 2017-09-07 | 2020-06-09 | 杭州安恒信息技术股份有限公司 | 基于沙箱检测文件识别木马回连方法及装置 |
CN109726551A (zh) * | 2017-10-31 | 2019-05-07 | 武汉安天信息技术有限责任公司 | 一种应用安装前不良行为的展示方法和系统 |
CN108337232A (zh) * | 2017-12-26 | 2018-07-27 | 努比亚技术有限公司 | 网络异常检测方法、网络安全设备及计算机可读存储介质 |
CN110022288A (zh) * | 2018-01-10 | 2019-07-16 | 贵州电网有限责任公司遵义供电局 | 一种apt威胁识别方法 |
CN108595240A (zh) * | 2018-04-20 | 2018-09-28 | 北京天融信网络安全技术有限公司 | 屏幕快照的抓取方法、装置、设备及可读存储介质 |
CN108595240B (zh) * | 2018-04-20 | 2021-12-14 | 北京天融信网络安全技术有限公司 | 屏幕快照的抓取方法、装置、设备及可读存储介质 |
CN109033835A (zh) * | 2018-07-23 | 2018-12-18 | 成都立鑫新技术科技有限公司 | 一种异构双引擎检测移动终端恶意代码的方法 |
CN109033828A (zh) * | 2018-07-25 | 2018-12-18 | 山东省计算中心(国家超级计算济南中心) | 一种基于计算机内存分析技术的木马检测方法 |
CN109033828B (zh) * | 2018-07-25 | 2021-06-01 | 山东省计算中心(国家超级计算济南中心) | 一种基于计算机内存分析技术的木马检测方法 |
CN109586282A (zh) * | 2018-11-29 | 2019-04-05 | 安徽继远软件有限公司 | 一种电网未知威胁检测系统及方法 |
CN109753796A (zh) * | 2018-12-07 | 2019-05-14 | 广东技术师范学院天河学院 | 一种大数据计算机网络安全防护装置及使用方法 |
CN109800574A (zh) * | 2018-12-12 | 2019-05-24 | 中国人民公安大学 | 基于密码算法分析的计算机病毒检测方法及系统 |
CN110602044A (zh) * | 2019-08-12 | 2019-12-20 | 贵州电网有限责任公司 | 一种网络威胁分析方法和系统 |
CN110519270A (zh) * | 2019-08-27 | 2019-11-29 | 杭州安恒信息技术股份有限公司 | 基于文件来源快速检测WebShell的方法及装置 |
CN110519270B (zh) * | 2019-08-27 | 2022-01-28 | 杭州安恒信息技术股份有限公司 | 基于文件来源快速检测WebShell的方法及装置 |
CN110955893A (zh) * | 2019-11-22 | 2020-04-03 | 杭州安恒信息技术股份有限公司 | 一种恶意文件威胁分析平台及恶意文件威胁分析方法 |
CN111447205A (zh) * | 2020-03-24 | 2020-07-24 | 深信服科技股份有限公司 | 一种数据处理方法、系统及相关设备 |
CN111447205B (zh) * | 2020-03-24 | 2022-11-22 | 深信服科技股份有限公司 | 一种数据处理方法、系统及相关设备 |
CN113810342A (zh) * | 2020-06-15 | 2021-12-17 | 深信服科技股份有限公司 | 一种入侵检测方法、装置、设备、介质 |
CN113810342B (zh) * | 2020-06-15 | 2023-03-21 | 深信服科技股份有限公司 | 一种入侵检测方法、装置、设备、介质 |
CN112685737A (zh) * | 2020-12-24 | 2021-04-20 | 恒安嘉新(北京)科技股份公司 | 一种app的检测方法、装置、设备及存储介质 |
CN113595981A (zh) * | 2021-06-25 | 2021-11-02 | 新浪网技术(中国)有限公司 | 上传文件威胁检测方法及装置、计算机可读存储介质 |
CN114386034A (zh) * | 2021-12-21 | 2022-04-22 | 中国电子科技集团公司第三十研究所 | 动态迭代的多引擎融合恶意代码检测方法、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106341282A (zh) | 一种恶意代码行为分析装置 | |
Qamar et al. | Mobile malware attacks: Review, taxonomy & future directions | |
CN110677408B (zh) | 攻击信息的处理方法和装置、存储介质及电子装置 | |
Han et al. | Phisheye: Live monitoring of sandboxed phishing kits | |
Heartfield et al. | A taxonomy of attacks and a survey of defence mechanisms for semantic social engineering attacks | |
Javaheri et al. | Detection and elimination of spyware and ransomware by intercepting kernel-level system routines | |
Xiong et al. | CONAN: A practical real-time APT detection system with high accuracy and efficiency | |
Kumar et al. | Machine learning classification model for network based intrusion detection system | |
US10417420B2 (en) | Malware detection and classification based on memory semantic analysis | |
CN105359156B (zh) | 非法访问检测系统和非法访问检测方法 | |
CN110401638B (zh) | 一种网络流量分析方法及装置 | |
Zhang et al. | ScanMe mobile: a cloud-based Android malware analysis service | |
US20090328210A1 (en) | Chain of events tracking with data tainting for automated security feedback | |
Gyamfi et al. | Survey of mobile malware analysis, detection techniques and tool | |
Wang et al. | MalRadar: Demystifying android malware in the new era | |
Ashawa et al. | Analysis of mobile malware: a systematic review of evolution and infection strategies | |
Tedyyana et al. | Teler real-time http intrusion detection at website with nginx web server | |
Pandey et al. | A lifecycle based approach for malware analysis | |
Burgess et al. | Manic: Multi-step assessment for crypto-miners | |
Priya et al. | A static approach to detect drive-by-download attacks on webpages | |
Amrollahi et al. | A survey on application of big data in fin tech banking security and privacy | |
Chaithanya et al. | Detecting ransomware attacks distribution through phishing URLs Using Machine Learning | |
Yadav et al. | A Review on malware analysis for IoT and android system | |
Chen et al. | Detecting mobile application malicious behaviors based on data flow of source code | |
BehradFar et al. | RAT hunter: Building robust models for detecting remote access trojans based on optimum hybrid features |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170118 |
|
RJ01 | Rejection of invention patent application after publication |