CN107423623A - 一种基于行为分析的勒索病毒检测方法及系统 - Google Patents
一种基于行为分析的勒索病毒检测方法及系统 Download PDFInfo
- Publication number
- CN107423623A CN107423623A CN201710661543.1A CN201710661543A CN107423623A CN 107423623 A CN107423623 A CN 107423623A CN 201710661543 A CN201710661543 A CN 201710661543A CN 107423623 A CN107423623 A CN 107423623A
- Authority
- CN
- China
- Prior art keywords
- monitored results
- real
- monitoring
- behavior
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种基于行为分析的勒索病毒检测方法,属于恶意代码检测技术领域,该检测方法包括:实时且持续的监控Windows操作系统中的文件操作部分、敏感函数调用部分、界面显示部分、网络数据部分;设定监控结果的阈值N;判断监控结果是否不小于所述阈值,在监控结果不小于所述阈值时,对监控结果进行实时告警处理;设定时间长度为T的监控时段,每间隔T时长即对监控结果进行清零操作。由此可以更为全面地对运行程序进行分析和实时监控,有效避免单一逻辑判断存在的高误报率问题,准确地检测出潜在的勒索病毒,增强服务器主机系统的实时预警与主动防御能力。本发明还提供一种基于行为分析的勒索病毒检测系统,该系统同样可以完成上述工作。
Description
技术领域
本发明涉及恶意代码检测技术领域,具体地说是一种基于行为分析的勒索病毒检测方法及系统。
背景技术
现阶段,层出不穷的恶意代码对包括服务器主机在内的关键信息基础设施,构成了极大的安全威胁。而勒索病毒作为一类新型恶意代码,可以借助网络进行蠕虫或钓鱼式传播,并在被感染主机肆意加密文件,最终以此索要赎金——严重地影响了主机文件的安全性和可用性。然而,现有的勒索病毒检测方案大多使用特征码匹配或是备份后还原文件等被动检测方式,这些防御机制往往缺乏主动性,无法检测出未知病毒;另有一些防御方案通过文件信息比对的单方面逻辑进行检测,而这些方案没有全面地对所测程序的行为进行刻画,存在着误报率过高的局限性。
基于上述问题,本发明提出了一种基于行为分析的Windows系统勒索病毒检测方法,通过对系统中运行程序的行为进行实时监控和及时告警,检测出对主机文件进行非法破坏的潜在勒索病毒/勒索软件,提升服务器主机系统的实时预警与主动防御能力。
发明内容
本发明的技术任务是解决现有技术的不足,提供一种基于行为分析的勒索病毒检测方法及系统,通过对系统中运行程序的行为进行实时监控和及时告警,检测出对主机文件进行非法破坏的潜在勒索病毒/勒索软件,提升服务器主机系统的实时预警与主动防御能力。
本发明的技术方案是按以下方式实现的:
一种基于行为分析的勒索病毒检测方法,包括
实时且持续的监控Windows操作系统中的运行程序;
设定监控结果的阈值N;
判断监控结果是否不小于所述阈值,在监控结果不小于所述阈值时,对监控结果进行实时告警处理;
设定时间长度为T的监控时段,每间隔T时长即对监控结果进行清零操作。
所涉及检测方法实时且持续的监控Windows操作系统中的文件操作部分、敏感函数调用部分、界面显示部分、网络数据部分。
所涉及检测方法实时且持续监控文件操作部分的具体内容包括:
A)监控运行程序对于Windows系统主文件表MFT的访问情况:预设MFT中被修改文件数的上限n1,在T时长内,如果监控的运行程序对MFT进行的表项修改操作数不小于了预设上限n1,则文件操作部分的监控结果增加1;
B)监控运行程序在不同目录下进行文件操作的情况:预设修改数量上限n1目录,当在同一目录路径中实际修改文件的数量不小于预设上限时,文件操作部分的监控结果增加1。
所涉及检测方法实时且持续监控敏感函数调用部分的具体操作为:根据API调用Hook的方式,排查运行程序是否对Windows平台标准加密库函数进行了调用,如果在T时长内存在相关调用,则敏感函数调用部分的监控结果增加1。
所涉及检测方法实时且持续监控界面显示部分的具体操作包括:
A)监控运行程序对于系统桌面锁定情况:在T时长内,根据API调用Hook的方式,检查运行程序是否对主机桌面进行了切换和锁定,如果发现API函数GetThreadDesktop、CreateDesktop、SwitchDesktop的出现顺序调用时,桌面可能将发生更换并锁定,界面显示部分的监控结果增加1;
B)监控运行程序对于桌面背景图像的切换情况:在T时长内,如果检测到注册表中与桌面背景图像有关键值的变化,发现相应键值“HKCU\Control Panel\Desktop\Wallpaper”项被修改,则桌面壁纸发生了更换,界面显示部分的监控结果增加1。
所涉及检测方法实时且持续监控网络数据部分的具体操作为:检测运行程序是否通过典型的Tor网络端口进行网络通信,如果发现相应端口的活动,网络数据部分的监控结果增加1。
所涉及告警处理的方式是:弹出可视化窗体与用户进行交互,列举检测出的可疑程序名称或进程标识符,最终由用户决定是否对程序进行终止或放行。
本发明还提供一种基于行为分析的勒索病毒检测系统,包括:
实时监控模块,用于实时且持续监控Windows操作系统中的运行程序;
阈值模块,用于确定运行程序的监控结果是否不小于设定的阈值;
判断模块,用于判定是否将监控结果发送至告警模块;
告警模块,用于接收判断模块发送的监控结果并进行告警处理。
所涉及检测系统还包括:
清零模块,用于对设定时间长度内的监控结果进行清零。
所涉及实时监控模块具体包括文件操作监控模块、敏感函数调用监控模块、界面显示监控模块、网络数据监控模块。
本发明的一种基于行为分析的勒索病毒检测方法及系统与现有技术相比所产生的有益效果是:
本发明对操作系统的文件操作、敏感函数调用、界面显示、网络数据四部分的行为进行实时监控,并在监控结果不小于预设的阈值时进行告警处理,同时清理一定时长的监控结果,可以更为全面地对运行程序进行分析和实时监控,有效避免单一逻辑判断存在的高误报率问题,准确地检测出潜在的勒索病毒,增强服务器主机系统的实时预警与主动防御能力。
附图说明
附图1是本发明的检测方法流程图;
附图2是本发明的检测方法具体操作流程图;
附图3是本发明的系统框架图。
具体实施方式
为了使本技术领域的人员更好的理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明的技术方案做进一步详细的说明。
实施例一:
如附图1所示,本发明提供了一种基于行为分析的勒索病毒检测方法,包括
实时且持续的监控Windows操作系统中的运行程序;
设定监控结果的阈值N;
判断监控结果是否不小于所述阈值,在监控结果不小于所述阈值时,对监控结果进行实时告警处理;
设定时间长度为T的监控时段,每间隔T时长即对监控结果进行清零操作。
针对上述陈述,所涉及检测方法实时且持续的监控Windows操作系统中的文件操作部分、敏感函数调用部分、界面显示部分、网络数据部分。
所涉及检测方法实时且持续监控文件操作部分的具体内容包括:
A)监控运行程序对于Windows系统主文件表MFT的访问情况:预设MFT中被修改文件数的上限n1,在T时长内,如果监控的运行程序对MFT进行的表项修改操作数不小于了预设上限n1,则文件操作部分的监控结果增加1,该监控结果可以用N1表示;
B)监控运行程序在不同目录下进行文件操作的情况:预设修改数量上限n1目录,当在同一目录路径中实际修改文件的数量不小于预设上限时,文件操作部分的监控结果增加1,该监控结果可以用N2表示。
所涉及检测方法实时且持续监控敏感函数调用部分的具体操作为:根据API调用Hook的方式,排查运行程序是否对Windows平台标准加密库函数进行了调用,如果在T时长内存在相关调用,则敏感函数调用部分的监控结果增加1,该监控结果可以用N3表示。
所涉及检测方法实时且持续监控界面显示部分的具体操作包括:
A)监控运行程序对于系统桌面锁定情况:在T时长内,根据API调用Hook的方式,检查运行程序是否对主机桌面进行了切换和锁定,如果发现API函数GetThreadDesktop、CreateDesktop、SwitchDesktop的出现顺序调用时,桌面可能将发生更换并锁定,界面显示部分的监控结果增加1,该监控结果可以用N4表示;
B)监控运行程序对于桌面背景图像的切换情况:在T时长内,如果检测到注册表中与桌面背景图像有关键值的变化,发现相应键值“HKCU\Control Panel\Desktop\Wallpaper”项被修改,则桌面壁纸发生了更换,界面显示部分的监控结果增加1,该监控结果可以用N5表示。
所涉及检测方法实时且持续监控网络数据部分的具体操作为:检测运行程序是否通过典型的Tor网络端口进行网络通信,如果发现相应端口的活动,网络数据部分的监控结果增加1,该监控结果可以用N6表示。
当上述监控结果的数值叠加后不小于设定的阈值,也就是N1+N2+N3+N4+N5+N6>=N时,即可进行实时告警处理。所涉及告警处理的方式是:弹出可视化窗体与用户进行交互,列举检测出的可疑程序名称或进程标识符,最终由用户决定是否对程序进行终止或放行。
实施例二:
如附图2所示,本发明还提供一种基于行为分析的勒索病毒检测系统,包括:
实时监控模块,用于实时且持续监控Windows操作系统中的运行程序;
阈值模块,用于确定运行程序的监控结果是否不小于设定的阈值;
判断模块,用于判定是否将监控结果发送至告警模块;
告警模块,用于接收判断模块发送的监控结果并进行告警处理。
所涉及检测系统还包括:
清零模块,用于对设定时间长度内的监控结果进行清零。
所涉及实时监控模块具体包括文件操作监控模块、敏感函数调用监控模块、界面显示监控模块、网络数据监控模块。
无论是实施例一还是实施例二提供的技术方案,均通过对操作系统的文件操作、敏感函数调用、界面显示、网络数据四部分的行为进行实时监控,并在监控结果不小于预设的阈值时进行告警处理,同时清理一定时长的监控结果,以更为全面地对运行程序进行分析和实时监控,有效避免单一逻辑判断存在的高误报率问题,准确地检测出潜在的勒索病毒,增强服务器主机系统的实时预警与主动防御能力。
需要注明的是,本发明对于监控时段T的设定长度不进行具体说明,但是,为了更好的对操作系统的运行程序进行检测,监控时段T的设定长度不宜过大,60s、90s、120s是比较合适的时长;本发明还对监控涉及到的MFT表项修改的内容、敏感API函数的名称、具体注册表的键值、Tor网络监控的端口号、告警阈值方面给出了具体实施例,但本发明对于上述各表征元素的选取方式均不限于实施例的列举情况,其他表征元素的选取使用,在没有特殊说明的情况下,依然属于本发明的保护范围。
另外需要注明的是,本发明从文件操作部分、敏感函数调用部分、界面显示部分和网络数据部分四个方面对Windows系统的运行程序进行了行为特征分析,单独使用其中一个或多个方面的行为监控进行勒索病毒检测的方法,在没有特殊说明的情况下,依然属于本发明的保护范围。
综上所述,以上内容仅用以说明本发明的技术方案,而非对本发明保护范围的限制,尽管该具体实施方式部分对本发明作了详细地说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的实质和范围。
Claims (10)
1.一种基于行为分析的勒索病毒检测方法,其特征在于,包括
实时且持续的监控Windows操作系统中的运行程序;
设定监控结果的阈值N;
判断监控结果是否不小于所述阈值,在监控结果不小于所述阈值时,对监控结果进行实时告警处理;
设定时间长度为T的监控时段,每间隔T时长即对监控结果进行清零操作。
2.根据权利要求1所述的一种基于行为分析的勒索病毒检测方法,其特征在于,所述检测方法实时且持续的监控Windows操作系统中的文件操作部分、敏感函数调用部分、界面显示部分、网络数据部分。
3.根据权利要求2所述的一种基于行为分析的勒索病毒检测方法,其特征在于,所述检测方法实时且持续监控文件操作部分的具体内容包括:
A)监控运行程序对于Windows系统主文件表MFT的访问情况:预设MFT中被修改文件数的上限n1,在T时长内,如果监控的运行程序对MFT进行的表项修改操作数不小于了预设上限n1,则文件操作部分的监控结果增加1;
B)监控运行程序在不同目录下进行文件操作的情况:预设修改数量上限n1目录,当在同一目录路径中实际修改文件的数量不小于预设上限时,文件操作部分的监控结果增加1。
4.根据权利要求2所述的一种基于行为分析的勒索病毒检测方法,其特征在于,所述检测方法实时且持续监控敏感函数调用部分的具体操作为:根据API调用Hook的方式,排查运行程序是否对Windows平台标准加密库函数进行了调用,如果在T时长内存在相关调用,则敏感函数调用部分的监控结果增加1。
5.根据权利要求2所述的一种基于行为分析的勒索病毒检测方法,其特征在于,所述检测方法实时且持续监控界面显示部分的具体操作包括:
A)监控运行程序对于系统桌面锁定情况:在T时长内,根据API调用Hook的方式,检查运行程序是否对主机桌面进行了切换和锁定,如果发现API函数GetThreadDesktop、CreateDesktop、SwitchDesktop的出现顺序调用时,桌面可能将发生更换并锁定,界面显示部分的监控结果增加1;
B)监控运行程序对于桌面背景图像的切换情况:在T时长内,如果检测到注册表中与桌面背景图像有关键值的变化,发现相应键值“HKCU\Control Panel\Desktop\Wallpaper”项被修改,则桌面壁纸发生了更换,界面显示部分的监控结果增加1。
6.根据权利要求2所述的一种基于行为分析的勒索病毒检测方法,其特征在于,所述检测方法实时且持续监控网络数据部分的具体操作为:检测运行程序是否通过典型的Tor网络端口进行网络通信,如果发现相应端口的活动,网络数据部分的监控结果增加1。
7.根据权利要求1所述的一种基于行为分析的勒索病毒检测方法,其特征在于,所述告警处理的方式是:弹出可视化窗体与用户进行交互,列举检测出的可疑程序名称或进程标识符,最终由用户决定是否对程序进行终止或放行。
8.一种基于行为分析的勒索病毒检测系统,其特征在于,包括:
实时监控模块,用于实时且持续监控Windows操作系统中的运行程序;
阈值模块,用于确定运行程序的监控结果是否不小于设定的阈值;
判断模块,用于判定是否将监控结果发送至告警模块;
告警模块,用于接收判断模块发送的监控结果并进行告警处理。
9.根据权利要求8所述的一种基于行为分析的勒索病毒检测系统,其特征在于,所述检测系统还包括:
清零模块,用于对设定时间长度内的监控结果进行清零。
10.根据权利要求8所述的一种基于行为分析的勒索病毒检测系统,其特征在于,所述实时监控模块包括文件操作监控模块、敏感函数调用监控模块、界面显示监控模块、网络数据监控模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710661543.1A CN107423623A (zh) | 2017-08-04 | 2017-08-04 | 一种基于行为分析的勒索病毒检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710661543.1A CN107423623A (zh) | 2017-08-04 | 2017-08-04 | 一种基于行为分析的勒索病毒检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107423623A true CN107423623A (zh) | 2017-12-01 |
Family
ID=60437299
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710661543.1A Pending CN107423623A (zh) | 2017-08-04 | 2017-08-04 | 一种基于行为分析的勒索病毒检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107423623A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109214171A (zh) * | 2018-08-29 | 2019-01-15 | 深信服科技股份有限公司 | 一种软件的检测方法、装置、设备及介质 |
| CN109409089A (zh) * | 2018-09-28 | 2019-03-01 | 西安电子科技大学 | 一种基于虚拟机自省的Windows加密型勒索软件检测方法 |
| CN109460658A (zh) * | 2018-11-16 | 2019-03-12 | 成都网域复兴科技有限公司 | 一种针对恶意勒索样本的检测方法 |
| CN109492391A (zh) * | 2018-11-05 | 2019-03-19 | 腾讯科技(深圳)有限公司 | 一种应用程序的防御方法、装置和可读介质 |
| TWI668593B (zh) * | 2018-03-27 | 2019-08-11 | 崑山科技大學 | 網路勒索病毒防護系統及其方法 |
| TWI682303B (zh) * | 2018-12-11 | 2020-01-11 | 中華電信股份有限公司 | 電腦系統及其勒索軟體判別方法 |
| CN115374444A (zh) * | 2022-10-27 | 2022-11-22 | 北京安帝科技有限公司 | 基于虚拟主机行为分析的病毒检测方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060005244A1 (en) * | 2004-06-10 | 2006-01-05 | International Business Machines Corporation | Virus detection in a network |
| CN105488401A (zh) * | 2014-12-15 | 2016-04-13 | 国家计算机网络与信息安全管理中心 | 基于概率差异的噪音信息清除方法及系统 |
| CN106326741A (zh) * | 2015-06-17 | 2017-01-11 | 阿里巴巴集团控股有限公司 | 基于多引擎系统的恶意程序检测方法和装置 |
| CN106560833A (zh) * | 2016-07-22 | 2017-04-12 | 哈尔滨安天科技股份有限公司 | 一种基于文件头检测感染式病毒的方法及系统 |
-
2017
- 2017-08-04 CN CN201710661543.1A patent/CN107423623A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060005244A1 (en) * | 2004-06-10 | 2006-01-05 | International Business Machines Corporation | Virus detection in a network |
| CN105488401A (zh) * | 2014-12-15 | 2016-04-13 | 国家计算机网络与信息安全管理中心 | 基于概率差异的噪音信息清除方法及系统 |
| CN106326741A (zh) * | 2015-06-17 | 2017-01-11 | 阿里巴巴集团控股有限公司 | 基于多引擎系统的恶意程序检测方法和装置 |
| CN106560833A (zh) * | 2016-07-22 | 2017-04-12 | 哈尔滨安天科技股份有限公司 | 一种基于文件头检测感染式病毒的方法及系统 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI668593B (zh) * | 2018-03-27 | 2019-08-11 | 崑山科技大學 | 網路勒索病毒防護系統及其方法 |
| CN109214171A (zh) * | 2018-08-29 | 2019-01-15 | 深信服科技股份有限公司 | 一种软件的检测方法、装置、设备及介质 |
| CN109409089A (zh) * | 2018-09-28 | 2019-03-01 | 西安电子科技大学 | 一种基于虚拟机自省的Windows加密型勒索软件检测方法 |
| CN109409089B (zh) * | 2018-09-28 | 2021-11-23 | 西安电子科技大学 | 一种基于虚拟机自省的Windows加密型勒索软件检测方法 |
| CN109492391A (zh) * | 2018-11-05 | 2019-03-19 | 腾讯科技(深圳)有限公司 | 一种应用程序的防御方法、装置和可读介质 |
| CN109492391B (zh) * | 2018-11-05 | 2023-02-28 | 腾讯科技(深圳)有限公司 | 一种应用程序的防御方法、装置和可读介质 |
| CN109460658A (zh) * | 2018-11-16 | 2019-03-12 | 成都网域复兴科技有限公司 | 一种针对恶意勒索样本的检测方法 |
| CN109460658B (zh) * | 2018-11-16 | 2022-03-25 | 成都网域复兴科技有限公司 | 一种针对恶意勒索样本的检测方法 |
| TWI682303B (zh) * | 2018-12-11 | 2020-01-11 | 中華電信股份有限公司 | 電腦系統及其勒索軟體判別方法 |
| CN115374444A (zh) * | 2022-10-27 | 2022-11-22 | 北京安帝科技有限公司 | 基于虚拟主机行为分析的病毒检测方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107423623A (zh) | 一种基于行为分析的勒索病毒检测方法及系统 | |
| EP3502943B1 (en) | Method and system for generating cognitive security intelligence for detecting and preventing malwares | |
| CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| CN104811447B (zh) | 一种基于攻击关联的安全检测方法和系统 | |
| CN101478407B (zh) | 在线安全登录的方法及装置 | |
| CN104023034B (zh) | 一种基于软件定义网络的安全防御系统及防御方法 | |
| US9197653B2 (en) | Cross-user correlation for detecting server-side multi-target intrusion | |
| CN103839003B (zh) | 恶意文件检测方法及装置 | |
| CN104217164B (zh) | 智能移动终端恶意软件的检测方法与装置 | |
| CN106341282A (zh) | 一种恶意代码行为分析装置 | |
| CN113661693A (zh) | 经由日志检测敏感数据暴露 | |
| KR100910761B1 (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
| CN108040493A (zh) | 利用低置信度安全事件来检测安全事故 | |
| WO2004021637A1 (en) | Threat assessment orchestrator system and method | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN111181918B (zh) | 基于ttp的高风险资产发现和网络攻击溯源方法 | |
| Mirza et al. | Anticipating Advanced Persistent Threat (APT) countermeasures using collaborative security mechanisms | |
| CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
| CN109450893A (zh) | 一种基于linux内核的网络防护软件方法和系统 | |
| CN106973051B (zh) | 建立检测网络威胁模型的方法、装置和存储介质 | |
| Chiu et al. | Frequent pattern based user behavior anomaly detection for cloud system | |
| Abuzaid et al. | An efficient trojan horse classification (ETC) | |
| CN107846389A (zh) | 基于用户主客观数据融合的内部威胁检测方法及系统 | |
| CN110012000B (zh) | 命令检测方法、装置、计算机设备以及存储介质 | |
| KR20110087826A (ko) | 가상머신을 이용한 악성소프트웨어 탐지 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171201 |