CN107688743A - 一种恶意程序的检测分析方法及系统 - Google Patents

一种恶意程序的检测分析方法及系统 Download PDF

Info

Publication number
CN107688743A
CN107688743A CN201710692738.2A CN201710692738A CN107688743A CN 107688743 A CN107688743 A CN 107688743A CN 201710692738 A CN201710692738 A CN 201710692738A CN 107688743 A CN107688743 A CN 107688743A
Authority
CN
China
Prior art keywords
program
detected
information
rogue
result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710692738.2A
Other languages
English (en)
Other versions
CN107688743B (zh
Inventor
袁佳明
张森
焦文光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
3600 Technology Group Co ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201710692738.2A priority Critical patent/CN107688743B/zh
Publication of CN107688743A publication Critical patent/CN107688743A/zh
Application granted granted Critical
Publication of CN107688743B publication Critical patent/CN107688743B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种恶意程序的检测分析方法及系统,包括:获取待检测程序,提取其静态文件信息;通过预置的恶意程序查杀工具对待检测程序进行检测,得到程序关联信息和程序检测结果;当待检测程序的程序检测结果为恶意程序时,根据待检测程序的相关信息进行关联查询,得到关联查询结果;所述待检测程序的相关信息包括:待检测程序的静态文件信息和对待检测程序进行检测时所得到的程序关联信息;将所述程序检测结果和关联查询结果整合,生成待检测程序的分析结果。该方法及系统对待检测程序进行检测,形成程序关联信息和程序检测结果,在确定为恶意程序时,进一步形成关联查询结果,并整合到分析结果中,可供病毒分析工程师、安全分析工程师使用。

Description

一种恶意程序的检测分析方法及系统
技术领域
本发明涉及网络安全技术领域,具体涉及一种恶意程序的检测分析方法及系统。
背景技术
随着互联网通信技术的快速发展,各式各样的程序软件已经渗透到了我们日常生活的各个领域。正因为现在是互联网通信技术高速发展的时代,所以各种恶意程序(例如:病毒程序、木马程序等,分别简称为病毒、木马)也在这个时代横行,安全厂商每天都会捕获到大量的恶意程序。在针对恶意程序的样本进行处理时,人工分析是其中一个必不可少的环节,而在处理海量样本的同时,也出现了很多协助病毒分析工程师分析的技术产品。
目前,针对恶意程序的鉴定分析主要有以下几种:
鉴定平台:鉴定平台集中了不同的杀软引擎(亦称杀毒引擎,即杀毒软件引擎),杀软引擎具有通过程序行为来判断特定程序是否为病毒(包括可疑的)的技术机制,是用于检测和发现病毒的程序。鉴定平台中的病毒库,则是用于存储已经被确认为病毒的程序的标本,杀软引擎用病毒库中的标本去对照机器中的所有程序或文件,看是不是符合这些标本,符合则是病毒,不符合则不一定是病毒。鉴定平台通过杀软引擎,对用户上传的程序样本进行扫描,将各杀软引擎的鉴定结果统计并反馈给用户。
分析平台:在分析工作中,为了知道恶意程序对计算机做了哪些恶意操作,有时会借助沙盘协助分析,通过沙盘这样一个虚拟系统程序,让恶意程序在配置好的沙盘环境中运行,能够捕获到恶意程序的一些动态特征(注册表、文件、网络等等)。
但是,无论是基于病毒库的鉴定平台,还是基于沙盘的分析平台,都只是对恶意程序本身的判定或分析,无法实现对恶意程序的溯源及传播等关联分析,无法为安全分析工程师的安全防御工作提供更多的关联情报信息,安全响应事件工作处理过程中的大量工作仍然需要由人工完成,效率较低,造成安全防御不及时。
发明内容
针对现有技术中存在的缺陷,本发明的目的在于提供一种能够克服上述问题或者至少能够部分地解决上述问题的恶意程序的检测分析方法及系统。
为实现上述目的,本发明采用的技术方案如下:
一种恶意程序的检测分析方法,其特征在于,包括:
获取待检测程序,提取其静态文件信息;
通过预置的恶意程序查杀工具对待检测程序进行检测,得到程序关联信息和程序检测结果;
当待检测程序的程序检测结果为恶意程序时,根据待检测程序的相关信息进行关联查询,得到关联查询结果;
所述待检测程序的相关信息包括:待检测程序的静态文件信息和对待检测程序进行检测时所得到的程序关联信息;
将所述程序检测结果和关联查询结果整合,生成待检测程序的分析结果。
进一步,如上所述的一种恶意程序的检测分析方法,所述静态文件信息包括:程序的属性信息和/或程序的产品描述信息。
进一步,如上所述的一种恶意程序的检测分析方法,所述恶意程序查杀工具包括以下查杀工具中的至少一种:杀毒软件引擎、恶意软件模式匹配工具YARA规则。
进一步,如上所述的一种恶意程序的检测分析方法,若恶意程序查杀工具包括杀毒软件引擎,所述对待检测程序进行检测时所得到的程序关联信息包括杀毒报告中的信息;若恶意程序查杀工具包括恶意软件模式匹配工具YARA规则,所述对待检测程序进行检测时所得到的程序关联信息包括待检测程序的命中规则名和命中规则的规则详情。
进一步,如上所述的一种恶意程序的检测分析方法,当待检测程序的程序检测结果为恶意程序时,还包括:
对待检测程序的可移植的可执行文件进行静态分析,得到待检测程序所需调用的应用程序编程接口信息;
根据待检测程序所需调用的应用程序编程接口信息预测待检测程序的潜在程序行为。
进一步,如上所述的一种恶意程序的检测分析方法,当待检测程序的程序检测结果为恶意程序时,还包括:将待检测程序的相关信息关联存储到恶意程序样本数据库。
进一步,如上所述的一种恶意程序的检测分析方法,所述将待检测程序的相关信息关联存储到恶意程序样本数据库,包括:
将待检测程序的相关信息进行预处理,得到相关信息的预处理结果,
将相关信息和相关信息的预处理结果关联存储到恶意程序样本数据库。
进一步,如上所述的一种恶意程序的检测分析方法,所述将待检测程序的相关信息进行预处理包括以下处理方式中的至少一种:计算待检测程序的哈希值、提取待检测程序的特征数据、设置待检测程序的自定义标签。
进一步,如上所述的一种恶意程序的检测分析方法,所述将待检测程序的相关信息进行预处理还包括:根据检索关键字在所述恶意程序样本数据库中进行查询,得到关键字查询结果。
进一步,如上所述的一种恶意程序的检测分析方法,所述检索关键字包括:IP地址、域名、哈希值和自定义关键字中的一种或多种。
进一步,如上所述的一种恶意程序的检测分析方法,所述根据待检测程序的相关信息进行关联查询,得到关联查询结果,包括:
根据待检测程序的相关信息获取待检测程序的所有者信息;
根据所述所有者信息进行反查,得到所有者信息的关联查询结果。
进一步,如上所述的一种恶意程序的检测分析方法,所述根据待检测程序的相关信息进行关联查询,得到关联查询结果,包括:根据待检测程序的相关信息在所述恶意程序样本数据库进行关联查询,得到关联查询结果。
进一步,如上所述的一种恶意程序的检测分析方法,所述方法还包括:
将待检测程序投入沙箱运行,获取待检测程序在沙箱中运行时的程序行为,
所述程序行为包括:网络特征和动态行为,
将在沙箱中运行提取到的网络特征和动态行为,也作为程序关联信息。
进一步,如上所述的一种恶意程序的检测分析方法,所述待检测程序在沙箱中运行时的程序行为具体包括:程序进程、文件操作、注册表、服务、网络信息以及运行截图中的一种或多种。
一种恶意程序的检测分析系统,用于实现如上所述的一种恶意程序的检测分析方法,其特征在于,包括:
静态文件信息获取模块,用于获取待检测程序,提取其静态文件信息;
恶意程序检测模块,用于通过预置的恶意程序查杀工具对待检测程序进行检测,得到程序关联信息和程序检测结果;
关联分析模块,用于当待检测程序的程序检测结果为恶意程序时,根据待检测程序的相关信息进行关联查询,得到关联查询结果;
所述待检测程序的相关信息包括:待检测程序的静态文件信息和对待检测程序进行检测时所得到的程序关联信息;
分析结果生成模块,用于将所述程序检测结果和关联查询结果整合,生成待检测程序的分析结果。
进一步,如上所述的一种恶意程序的检测分析系统,所述静态文件信息包括:程序的属性信息和/或程序的产品描述信息。
进一步,如上所述的一种恶意程序的检测分析系统,所述恶意程序查杀工具包括以下查杀工具中的至少一种:杀毒软件引擎、恶意软件模式匹配工具YARA规则。
进一步,如上所述的一种恶意程序的检测分析系统,若恶意程序查杀工具包括杀毒软件引擎,所述对待检测程序进行检测时所得到的程序关联信息包括杀毒报告中的信息;
若恶意程序查杀工具包括恶意软件模式匹配工具YARA规则,所述对待检测程序进行检测时所得到的程序关联信息包括待检测程序的命中规则名和命中规则的规则详情。
进一步,如上所述的一种恶意程序的检测分析系统,所述关联分析模块包括:
所有者信息获取单元,用于根据待检测程序的相关信息获取待检测程序的所有者信息;
所有者信息反查单元,用于根据所述所有者信息进行反查,得到所有者信息的关联查询结果。
进一步,如上所述的一种恶意程序的检测分析系统,还包括:
程序调用API函数获取模块,用于当待检测程序的程序检测结果为恶意程序时,对待检测程序的可移植的可执行文件进行静态分析,得到待检测程序所需调用的应用程序编程接口信息;
程序行为预测模块,用于当待检测程序的程序检测结果为恶意程序时,根据待检测程序所需调用的应用程序编程接口信息预测待检测程序的潜在程序行为。
进一步,如上所述的一种恶意程序的检测分析系统,还包括:恶意程序样本数据库,用于当待检测程序的程序检测结果为恶意程序时,关联存储待检测程序的相关信息。
进一步,如上所述的一种恶意程序的检测分析系统,还包括:
待检测程序的相关信息预处理模块,用于将待检测程序的相关信息进行预处理,得到相关信息的预处理结果;
所述恶意程序样本数据库,用于关联存储待检测程序的相关信息和相关信息的预处理结果。
进一步,如上所述的一种恶意程序的检测分析系统,所述将待检测程序的相关信息进行预处理包括以下处理方式中的至少一种:计算待检测程序的哈希值、提取待检测程序的特征数据、设置待检测程序的自定义标签。
进一步,如上所述的一种恶意程序的检测分析系统,所述关联分析模块包括:
数据库关联分析单元,用于根据待检测程序的相关信息在所述恶意程序样本数据库进行关联查询,得到关联查询结果。
进一步,如上所述的一种恶意程序的检测分析系统,所述将待检测程序的相关信息进行预处理还包括:
关键字查询模块,用于根据检索关键字在所述恶意程序样本数据库中进行查询,得到关键字查询结果。
进一步,如上所述的一种恶意程序的检测分析系统,所述检索关键字包括:IP地址、域名、哈希值和自定义关键字中的一种或多种。
进一步,如上所述的一种恶意程序的检测分析系统,所述系统还包括沙箱模块,用于将待检测程序投入沙箱运行,获取待检测程序在沙箱中运行时的程序行为,
所述程序行为包括:网络特征和动态行为,
将在沙箱中运行提取到的网络特征和动态行为,也作为程序关联信息。
进一步,如上所述的一种恶意程序的检测分析系统,所述待检测程序在沙箱中运行时的程序行为具体包括:程序进程、文件操作、注册表、服务、网络信息以及运行截图中的一种或多种。
本发明的有益效果在于:首先基于恶意程序查杀工具,对待检测程序进行检测,形成程序关联信息和程序检测结果,在程序检测结果为恶意程序时,进一步进行关联查询,分析结果中整合入关联查询结果,可供病毒分析工程师、安全分析工程师使用;分析结果中由于已经包含了关联情报信息,不但免除了人工分析、处理的繁琐和不便,提高了效率,而且实现对恶意程序的溯源及传播等关联分析,将有效提高安全响应事件工作处理的速度。
本发明,给出了一种情报关联平台,通过对恶意程序的样本进行收集、分析、溯源,其主要的优势是:可以自动汇总、分析、关联更多的恶意程序信息,将程序检测结果和关联查询结果整合,生成待检测程序的分析结果,为安全分析工程师提供更多的有价值的情报信息,通过提供的情报信息,降低在安全响应事件工作处理过程中的事件确认、分析工作、溯源工作、信息收集的工作量,同时,加速安全防御的效率、效能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,附图仅限于示出优选实施方式的目的,而并不认为是本发明的限制,且对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明具体实施方式中提供的第一种恶意程序的检测分析方法的流程示意图;
图2为本发明具体实施方式中提供的第二种恶意程序的检测分析方法的流程示意图;
图3为本发明具体实施方式中提供的第三种恶意程序的检测分析方法的流程示意图;
图4为本发明具体实施方式中提供的第四种恶意程序的检测分析方法的流程示意图;
图5为本发明具体实施方式中提供的第五种恶意程序的检测分析方法的流程示意图;
图6为本发明具体实施方式中提供的第六种恶意程序的检测分析方法的流程示意图;
图7为本发明具体实施方式中提供的第一种恶意程序的检测分析系统的结构框图。
图8为本发明具体实施方式中提供的第二种恶意程序的检测分析系统的结构框图。
图9为关联分析模块的结构框图。
图10为本发明具体实施方式中提供的第三种恶意程序的检测分析系统的结构框图。
图11为本发明具体实施方式中提供的第四种恶意程序的检测分析系统的结构框图。
图12为关联分析模块的又一结构框图。
图13为IP地址查询示意图。
图14为域名查询示意图。
图15为文件HASH查询示意图。
图16为自定义关键字查询示意图。
图17为典型应用流程示例。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,均属于本发明保护的范围。
为了更好的理解本发明实施例中的方案,首先对本发明实施例中所涉及到的技术用语进行简单的介绍说明:
●恶意程序:通常是指带有攻击意图所编写的一段程序。对软件和/或硬件和/或数据安全和/或信息安全具有威胁性。包括但不限于:陷门、逻辑炸弹、木马、蠕虫、细菌、病毒等。其中,木马和病毒属于有宿主的恶意程序,细菌和蠕虫属于无宿主的恶意程序。
●静态分析基础技术,包括:
1、可通过用软件计算恶意程序MD5值,然后检索该MD5值来获取信息并作为标签使用。
2、通过检索恶意代码字符串获得相应的功能调用解释、功能行为及模块调用。当可检索字符串非常少时,有可能被加壳处理,此时需要用外壳检测工具进行检测、脱壳处理。
3、PE文件头中包含代码信息,恶意程序的代码信息可提供给我们以下情报:应用程序类型,所需库函数与空间要求,可通过工具检索其动态链接库(函数),然后再MSDN文档库中查找其功能。
4、查看可疑代码的资源节来获得一部分可见的特征,如图标、菜单界面、代码版本等。
●动态分析基础技术,包括:
1、配置“沙箱”环境,模拟真实执行结果。
2、Dll类型文件的启动运行,例如:
windows命令行环境下用rundll32.exe程序调用,格式如下:
"rundll32.exe DllName,Export arguments"
其中:DllName:需要执行的DLL文件名,
Export:一个Dll文件导出函数表中的函数名或序号,可通过工具查看。
arguments:引出函数的具体参数。
3、对运行起来的恶意代码,可以用一些系统监视类软件捕获其系统调用,从捕获的信息中就可以得到其对注册表,文件读写等一系列操作,便于进一步分析。
4、从本机模拟出一个虚拟的网络应答来响应恶意代码的网络访问,监控其网络动态,从而了解网络相关特性。
●静态文件信息:指文件静态特征(文件静态信息),提取自PE文件(可移植的执行文件,Portable Executable),包含文件长度、PE头、段名、导入表等信息,且具有规范格式。
●YARA(yara):是一个开源的字符串匹配工具。进而开发成旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具。使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息,当然也可以是其他匹配信息。YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成,并阐述其逻辑。YARA规则可以提交给文件或在运行进程,以帮助研究人员识别其是否属于某个已进行规则描述的恶意软件家族。
图1示出了本发明具体实施方式中提供的一种恶意程序的检测分析方法的流程图,该方法主要包括:
获取待检测程序,提取其静态文件信息;
通过预置的恶意程序查杀工具对待检测程序进行检测,得到程序关联信息和程序检测结果;
当待检测程序的程序检测结果为恶意程序时,根据待检测程序的相关信息进行关联查询,得到关联查询结果;
所述待检测程序的相关信息包括:待检测程序的静态文件信息和对待检测程序进行检测时所得到的程序关联信息;
将所述程序检测结果和关联查询结果整合,生成待检测程序的分析结果。
本实施例中所述的恶意程序检测分析方法,对于需要进行安全检测的程序,首先通过恶意程序查杀工具对待检测程序进行检测,得到对应的检测结果,如果检测结果显示该待检测程序为恶意程序时,再对其相关信息进行进一步关联查询,并基于关联查询结果和查杀工具的程序检测结果得到待检测程序的最终检测报告。采用该方式,不仅能够判断出待检测程序是否为恶意程序,还能够利用得到的恶意程序的相关信息实现情报关联,为安全分析工程师提供更多有价值的恶意程序情报信息。
具体的,所述待检测程序,以PE文件为主,PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。
事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。PE文件的结构一般来说,从起始位置开始依次是DOS头,NT头,节表以及具体的节。
在NT头中,包含windows PE文件的主要信息,其中包括一个‘PE’字样的签名,PE文件头(IMAGE_FILE_HEADER)和PE可选头(IMAGE_OPTIONAL_HEADER32),头部的详细结构以及其具体意义在PE文件头相关文章中有详细描述。
节表是PE文件后续节的描述,windows根据节表的描述加载每个节。
(每个)节实际上是一个容器,可以包含代码、数据等等,每个节可以有独立的内存权限,比如代码节默认有读/执行权限,节的名字和数量可以自己定义。
具体的,所述静态文件信息,由PE文件中提取,具体的提取可利用现有的成型模块或算法,具体内部不属于本发明范畴,不再详述,提取到的静态文件信息,包括:程序的属性信息,程序的产品描述信息。其中:
程序的属性信息,包括PE头结构中的FileHeader:20字节的数据。包含了文件的物理层信息及文件属性。FileHeader该结构域包含了关于PE文件物理分布的信息,比如节数目、文件执行机器等。
程序的产品描述信息,包括程序的产品描述和版权信息。一般元数据被存储在PE文件的一个区域,MSIL则被存储在PE文件的另一个区域。元数据部分包含一系列的表和堆。MSIL部分则包含IL语言和元数据标记,这些元数据标记指向元数据部分的某个表的某行或者指向某个堆。其中会包含文件说明、文件版本、版权等信息。
具体的,所述恶意程序查杀工具包括以下查杀工具中的至少一种:杀毒软件引擎、恶意软件模式匹配工具YARA规则。
恶意程序查杀工具为预置,具体预置哪种、多少恶意程序查杀工具,是根据检测需求进行综合考量而确定的,恶意程序查杀工具对待检测程序进行检测,将得到以下结果:
其一是,程序关联信息;
由于恶意程序查杀工具的不同,得到的程序关联信息是不同的,其中:
若恶意程序查杀工具包括杀毒软件引擎,所述对待检测程序进行检测时所得到的程序关联信息包括杀毒报告中的信息;
若恶意程序查杀工具包括恶意软件模式匹配工具YARA规则,所述对待检测程序进行检测时所得到的程序关联信息包括待检测程序的命中规则名和命中规则的规则详情。
为了获得更为丰富、详细的程序关联信息,另一种可选择的实施方案是,还进行沙箱检测,如图2所示,即:将待检测程序投入沙箱运行,获取待检测程序在沙箱中运行时的程序行为,
所述程序行为包括:网络特征和动态行为,
将在沙箱中运行提取到的网络特征和动态行为,也作为程序关联信息。所述待检测程序在沙箱中运行时的程序行为具体包括:程序进程、文件操作、注册表、服务、网络信息以及运行截图中的一种或多种。通过沙箱检测,可以进一步的获取包括但不限于以下信息:程序进程、文件操作、注册表、服务、网络信息以及运行截图,这将极大的丰富、完善程序关联信息的内容,更有利于病毒分析工程师、安全分析工程师汇总、分析、研究之需。
其二是,程序检测结果;程序检测结果相对简单,就是恶意程序查杀工具对待检测程序的检测判定结果,有两种可能:程序检测结果为恶意程序,以及程序检测结果不为恶意程序;
显然,在程序检测结果为恶意程序时,我们应该针对性的进一步获取必要的数据、信息,以提供给病毒分析工程师、安全分析工程师分析研究,更快更好的开发出针对性的解决方案,因此:
作为更进一步的方案,如图3或4所示,当待检测程序的程序检测结果为恶意程序时,还包括:
对待检测程序的可移植的可执行文件(PE文件)进行静态分析,得到待检测程序所需调用的应用程序编程接口(API函数)信息;
根据待检测程序所需调用的应用程序编程接口信息预测待检测程序的潜在程序行为。
作为另一可选择的更进一步的方案,如图5或6所示,当待检测程序的程序检测结果为恶意程序时,还包括:
将待检测程序的相关信息关联存储到恶意程序样本数据库。
所述将待检测程序的相关信息关联存储到恶意程序样本数据库,包括:
将待检测程序的相关信息进行预处理,得到相关信息的预处理结果,
将相关信息和相关信息的预处理结果关联存储到恶意程序样本数据库。
所述将待检测程序的相关信息进行预处理包括以下处理方式中的至少一种:
计算待检测程序的哈希值、提取待检测程序的特征数据、设置待检测程序的自定义标签。
所述将待检测程序的相关信息关联存储到恶意程序样本数据库的方案,以及所述预测待检测程序的潜在程序行为的方案,可以择一选用,也可以同时使用(参见图5或6所示),也可以均不选用,具体的取舍可根据实际情况及紧急程度等具体细节酌定。前述的进行沙箱检测亦同此理,可以单独采用,可以同时采用,或择机选择是否采用、与谁同时采用。
具体的,程序关联信息和静态文件信息整合,形成待检测程序的相关信息,为了全面、准确、尽可能多的获取关联信息,通过待检测程序的相关信息进行关联查询,将得到关联查询结果。
所述得到关联查询结果包括:根据待检测程序的相关信息获取待检测程序的所有者信息;
根据所述所有者信息进行反查,得到所有者信息的关联查询结果。
作为更进一步的方案,针对前述建立了恶意程序样本数据库的方案,关联查询结果还可以相应的进行优化,这种情况下,所述得到关联查询结果包括:根据待检测程序的相关信息在所述恶意程序样本数据库进行关联查询,得到关联查询结果。需要说明的是,在建立了恶意程序样本数据库的情况下,所述将待检测程序的相关信息进行预处理还包括:
根据检索关键字在所述恶意程序样本数据库中进行查询,得到关键字查询结果。所述检索关键字包括:IP地址、域名、哈希值和自定义关键字中的一种或多种。
如上所述,这些更进一步的细节方案,是否采用,何时采用,与哪些步骤或方案同时采用,均是可以根据实际情况及紧急程度等具体细节酌定。
例如:
如图13所示,检索IP地址时(IP地址查询),可以获知:地理位置、定义标签、端口情况、通信样本列表、反查域名、C段域名信息收集、C段存货主机检测、可视化关联信息等。
如图14所示,检索域名时(域名查询),可以获知:IP地址、定义标签、地理位置、子域名爆破、子域名信息收集、whois注册信息、通信样本列表、C段域名信息收集、C段存货主机检测、可视化关联信息等;
其中:whois注册信息具体包括:注册人,注册人邮箱,注册人地址,手机或电话;
更进一步,根据注册人信息,可以进行注册人反查,收集注册人反查信息;
更进一步,根据注册人邮箱,可以进行注册人邮箱反查,收集邮箱反查信息,以及邮箱社交平台注册情况;
更进一步,根据手机或电话,可以进行手机归属地查询,以及手机社交平台注册情况。
如图15所示,检索HASH时(文件HASH查询),可以获知:恶意程序查杀工具(即杀软)检测情况、HASH值、定义标签、静态信息、YARA规则、病毒名、事件关联、行为分析、可视化关联信息等;
其中:
恶意程序查杀工具(即杀软)检测情况,具体可包括:杀软名称,检测结果,进而可汇总分析出相应的危害评估信息;
根据HASH值,还可以进一步得到MD5/SHA1值,进而根据这些数据获取相似样本及路径信息;
静态信息可以具体包括以下内容:文件大小,文件类型,文件元数据(其中包含签名信息等),PE信息(例如:PE头、PE节信息等);
行为分析具体涵盖以下任意之一或多个或全部:注册表,文件操作,服务,进程,网络,截图信息;其中,网络信息可以细分为:所属地,域名,协议,端口,状态等。
如图16所示,检索自定义关键字时(其他查询),可以根据自定义关键字的不同,获取相应的信息,例如:可以查询并获取以下信息:病毒名,YARA规则,事件信息,可视化关联信息等;
其中:
病毒名可关联查询到HASH列表;
YARA规则可关联查询到HASH列表及对应的规则细节;
事件信息可以包括:IOC信息,报告/咨询数据。
需要说明的是,上述可视化关联信息是指:通过将每次上传分析样本后得到的数据信息进行关联分析,通过编写脚本处理后台数据提炼出大量数据间的关联性或相关性,找出恶意程序之间的联系,通过在数据库中匹配基础信息数据、威胁情报数据进行关联让数据可视化。
与上述方法相对应,本发明具体实施方式中还提供了一种恶意程序的检测分析系统,如图7所示,该系统主要包括:
静态文件信息获取模块,用于获取待检测程序,提取其静态文件信息;
恶意程序检测模块,用于通过预置的恶意程序查杀工具对待检测程序进行检测,得到程序关联信息和程序检测结果;
关联分析模块,用于当待检测程序的程序检测结果为恶意程序时,根据待检测程序的相关信息进行关联查询,得到关联查询结果;
所述待检测程序的相关信息包括:待检测程序的静态文件信息和对待检测程序进行检测时所得到的程序关联信息;
分析结果生成模块,用于将所述程序检测结果和关联查询结果整合,生成待检测程序的分析结果。
具体的,所述静态文件信息包括:程序的属性信息和/或程序的产品描述信息。
具体的,所述恶意程序查杀工具包括以下查杀工具中的至少一种:杀毒软件引擎、恶意软件模式匹配工具YARA规则。
其中:恶意程序检测模块对待检测程序进行检测后,可以得到程序关联信息和程序检测结果,具体情况根据恶意程序查杀工具的不同有以下区别:
若恶意程序查杀工具包括杀毒软件引擎,所述对待检测程序进行检测时所得到的程序关联信息包括杀毒报告中的信息;
若恶意程序查杀工具包括恶意软件模式匹配工具YARA规则,所述对待检测程序进行检测时所得到的程序关联信息包括待检测程序的命中规则名和命中规则的规则详情。
具体的,如前述方法中所述,为了获得更为丰富、详细的程序关联信息,另一种可选择的实施方案是,还进行沙箱检测,即:如图8所示,还包括沙箱模块,用于将待检测程序投入沙箱运行,获取待检测程序在沙箱中运行时的程序行为,
所述程序行为包括:网络特征和动态行为,
将在沙箱中运行提取到的网络特征和动态行为,也作为程序关联信息。
所述待检测程序在沙箱中运行时的程序行为具体包括:程序进程、文件操作、注册表、服务、网络信息以及运行截图中的一种或多种。
具体的,如图9所示,所述关联分析模块包括:
所有者信息获取单元,用于根据待检测程序的相关信息获取待检测程序的所有者信息;
所有者信息反查单元,用于根据所述所有者信息进行反查,得到所有者信息的关联查询结果。
具体的,如图10所示,还包括:
程序调用API函数获取模块,用于当待检测程序的程序检测结果为恶意程序时,对待检测程序的可移植的可执行文件进行静态分析,得到待检测程序所需调用的应用程序编程接口信息;
程序行为预测模块,用于当待检测程序的程序检测结果为恶意程序时,根据待检测程序所需调用的应用程序编程接口信息预测待检测程序的潜在程序行为。
具体的,如图11所示,还包括:恶意程序样本数据库,用于当待检测程序的程序检测结果为恶意程序时,关联存储待检测程序的相关信息。
在设置恶意程序样本数据库的情况下,相应的,还包括:
待检测程序的相关信息预处理模块,用于将待检测程序的相关信息进行预处理,得到相关信息的预处理结果;
所述恶意程序样本数据库,用于关联存储待检测程序的相关信息和相关信息的预处理结果。
其中:所述将待检测程序的相关信息进行预处理包括以下处理方式中的至少一种:
计算待检测程序的哈希值、提取待检测程序的特征数据、设置待检测程序的自定义标签。
作为一种利用恶意程序样本数据库的可选方案,此种情况下,如图12所示,所述关联分析模块包括:
数据库关联分析单元,用于根据待检测程序的相关信息在所述恶意程序样本数据库进行关联查询,得到关联查询结果。
所述将待检测程序的相关信息进行预处理还包括:
关键字查询模块,用于根据检索关键字在所述恶意程序样本数据库中进行查询,得到关键字查询结果。
所述检索关键字包括:IP地址、域名、哈希值和自定义关键字中的一种或多种。
本发明所述方法,其典型应用流程示例,参见图17,安全分析人员上传样本文件,由恶意程序的检测分析平台处理后,将程序检测结果和关联查询结果整合,生成待检测程序的分析结果,分析结果返回给安全分析人员。图17所示事例中:
首先,进行静态文件信息的提取,并进行静态分析;
然后,通过预置的恶意程序查杀工具对待检测程序进行检测,得到程序关联信息和程序检测结果;其中,杀毒软件引擎、恶意软件模式匹配工具YARA规则被同时使用;
再后,将待检测程序投入沙箱运行,获取待检测程序在沙箱中运行时的程序行为;所述程序行为包括:网络特征和动态行为;
最后,将待检测程序的相关信息关联存储到恶意程序样本数据库,并进行情报关联查询、处理工作,最终形成相应的关联报告。
以下的具体实施例更有利于理解本发明的步骤及优点:
设:有一部分木马程序常常伪装成正规合法的棋牌游戏软件,通过仿造的棋牌游戏的网站进行恶意传播。而这些木马程序往往为了躲避安全分析人员的查杀,通常情况下会将伪装成正规棋牌游戏软件的安装包上传到多个仿造的棋牌游戏的网站下进行传播。
采用本发明的方法和系统,包括以下步骤:
1.捕获到一个疑似木马程序的棋牌游戏安装包,提交威胁情报关联平台。通过静态文件信息提取得到“www.gam850.com”、“850游戏棋牌”等字符串/文件大小/版本信息/;
2.根据静态分析提取PE头、PE节获取样本文件调取API函数的信息。单凭字符串中提取的域名并不能完全判断样本的主要行为,需要投递沙箱获取其主要行为;
3.多家杀软引擎扫描获取杀软报毒情况,获取病毒名信息;
4.安全分析人员定义的YARA规则对样本扫描,命中规则返回规则名、规则详情。而这里提到的YARA规则是基于文本或二进制模式创建恶意软件家族描述信息,通过安全分析人员定义的YARA规则可以让平台自动识别该样本是否属于某个已进行规则描述的恶意软件家族。比如下面这个例子:该代码表示判断样本的字符串中是否包含其中的杀软字符串;
5.样本投递沙箱,获取进程、文件操作、注册表、服务、网络信息、运行截图;
6.将前面流程获取的数据录入数据库;
7.情报关联得知该样本是伪装的棋牌游戏安装包,通过文件操作得知它在C盘下创建“$MSRecycle.Bin”隐藏文件,并释放程序执行,通过网络信息获取到样本连接“www.gam564.com“的19999端口。注册表行为通过将$MSRecycle.Bin”目录下的MicroRecycle.dll添加到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ras\AdminDll\dllpath中实现开机启动。确认程序为木马程序后,根据获取的两个域名“www.gam564.com“、“www.gam850.com”利用平台查询功能获取到域名的所有人名称、邮箱,而关联功能中的反查信息就可以获取到与该名称、邮箱关联的域名;
8.通过关联发现这个牧马人下注册了大量的仿造的棋牌游戏域名,并在域名里传了很多伪装成棋牌游戏安装包的木马程序;
9.最后将所有数据生成报告,返回给安全分析人员,交由安全分析人员对这一批伪装成棋牌游戏安装包的木马程序处理。
显然,根据该具体实施例可以知晓,这一方案的采用带来了以下优点:
1.降低在安全响应事件工作处理过程中的事件确认、分析工作、溯源工作、信息收集的工作量。加速安全防御的效率、效能。
2.提高对恶意程序的感知能力,对恶意样本数据与情报的对比、验证、分析工作的优化。
3.在样本的采集、交换、追踪,关联出有价值的威胁情报信息。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述装置实施方式中各部分的全部或部分可以以硬件实现,或者以在一个或多个硬件上运行的软件模块来实现,方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成。本领域技术人员应该明白,本发明所述的方法和装置并不限于具体实施方式中所述的实施例,上面的具体描述只是为了解释本发明的目的,并非用于限制本发明。本领域技术人员根据本发明的技术方案得出其他的实施方式,同样属于本发明的技术创新范围,本发明的保护范围由权利要求及其等同物限定。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其同等技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种恶意程序的检测分析方法,其特征在于,包括:
获取待检测程序,提取其静态文件信息;
通过预置的恶意程序查杀工具对待检测程序进行检测,得到程序关联信息和程序检测结果;
当待检测程序的程序检测结果为恶意程序时,根据待检测程序的相关信息进行关联查询,得到关联查询结果;
所述待检测程序的相关信息包括:待检测程序的静态文件信息和对待检测程序进行检测时所得到的程序关联信息;
将所述程序检测结果和关联查询结果整合,生成待检测程序的分析结果。
2.根据权利要求1所述的恶意程序的检测分析方法,其特征在于,所述恶意程序查杀工具包括以下查杀工具中的至少一种:
杀毒软件引擎、恶意软件模式匹配工具YARA规则。
3.根据权利要求2所述的恶意程序的检测分析方法,其特征在于,
若恶意程序查杀工具包括杀毒软件引擎,所述对待检测程序进行检测时所得到的程序关联信息包括杀毒报告中的信息;
若恶意程序查杀工具包括恶意软件模式匹配工具YARA规则,所述对待检测程序进行检测时所得到的程序关联信息包括待检测程序的命中规则名和命中规则的规则详情。
4.根据权利要求1所述的恶意程序的检测分析方法,其特征在于,所述方法还包括:
将待检测程序投入沙箱运行,获取待检测程序在沙箱中运行时的程序行为,所述程序行为包括:网络特征和动态行为,
将在沙箱中运行提取到的网络特征和动态行为,也作为程序关联信息。
5.根据权利要求4所述的恶意程序的检测分析方法,其特征在于,所述待检测程序在沙箱中运行时的程序行为具体包括:程序进程、文件操作、注册表、服务、网络信息以及运行截图中的一种或多种。
6.一种恶意程序的检测分析系统,其特征在于,包括:
静态文件信息获取模块,用于获取待检测程序,提取其静态文件信息;
恶意程序检测模块,用于通过预置的恶意程序查杀工具对待检测程序进行检测,得到程序关联信息和程序检测结果;
关联分析模块,用于当待检测程序的程序检测结果为恶意程序时,根据待检测程序的相关信息进行关联查询,得到关联查询结果;
所述待检测程序的相关信息包括:待检测程序的静态文件信息和对待检测程序进行检测时所得到的程序关联信息;
分析结果生成模块,用于将所述程序检测结果和关联查询结果整合,生成待检测程序的分析结果。
7.根据权利要求6所述的恶意程序的检测分析系统,其特征在于,所述恶意程序查杀工具包括以下查杀工具中的至少一种:
杀毒软件引擎、恶意软件模式匹配工具YARA规则。
8.根据权利要求7所述的恶意程序的检测分析系统,其特征在于,
若恶意程序查杀工具包括杀毒软件引擎,所述对待检测程序进行检测时所得到的程序关联信息包括杀毒报告中的信息;
若恶意程序查杀工具包括恶意软件模式匹配工具YARA规则,所述对待检测程序进行检测时所得到的程序关联信息包括待检测程序的命中规则名和命中规则的规则详情。
9.根据权利要求6所述的恶意程序的检测分析系统,其特征在于,所述系统还包括沙箱模块,用于将待检测程序投入沙箱运行,获取待检测程序在沙箱中运行时的程序行为,
所述程序行为包括:网络特征和动态行为,
将在沙箱中运行提取到的网络特征和动态行为,也作为程序关联信息。
10.根据权利要求9所述的恶意程序的检测分析系统,其特征在于,所述待检测程序在沙箱中运行时的程序行为具体包括:程序进程、文件操作、注册表、服务、网络信息以及运行截图中的一种或多种。
CN201710692738.2A 2017-08-14 2017-08-14 一种恶意程序的检测分析方法及系统 Active CN107688743B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710692738.2A CN107688743B (zh) 2017-08-14 2017-08-14 一种恶意程序的检测分析方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710692738.2A CN107688743B (zh) 2017-08-14 2017-08-14 一种恶意程序的检测分析方法及系统

Publications (2)

Publication Number Publication Date
CN107688743A true CN107688743A (zh) 2018-02-13
CN107688743B CN107688743B (zh) 2021-01-29

Family

ID=61153376

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710692738.2A Active CN107688743B (zh) 2017-08-14 2017-08-14 一种恶意程序的检测分析方法及系统

Country Status (1)

Country Link
CN (1) CN107688743B (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108898018A (zh) * 2018-07-23 2018-11-27 南方电网科学研究院有限责任公司 一种程序代码安全检测方法、设备及可读存储介质
CN109858239A (zh) * 2019-01-16 2019-06-07 四川大学 一种动静态结合的容器内cpu漏洞攻击程序检测方法
CN110659491A (zh) * 2019-09-23 2020-01-07 深信服科技股份有限公司 一种计算机系统恢复方法、装置、设备及可读存储介质
CN111221625A (zh) * 2019-12-31 2020-06-02 北京健康之家科技有限公司 文件检测方法、装置及设备
WO2020134311A1 (zh) * 2018-12-26 2020-07-02 中兴通讯股份有限公司 一种恶意软件检测方法和装置
CN112528280A (zh) * 2021-02-08 2021-03-19 北京微步在线科技有限公司 一种文件检测方法及装置
CN112685737A (zh) * 2020-12-24 2021-04-20 恒安嘉新(北京)科技股份公司 一种app的检测方法、装置、设备及存储介质
CN113032779A (zh) * 2021-02-04 2021-06-25 中国科学院软件研究所 一种基于行为参数布尔表达式规则的多行为联合匹配方法和装置
CN113127870A (zh) * 2021-04-08 2021-07-16 重庆电子工程职业学院 一种移动恶意软件大数据的快速智能比对和安全检测方法
CN113691492A (zh) * 2021-06-11 2021-11-23 杭州安恒信息安全技术有限公司 违法应用程序的确定方法、系统、装置及可读存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104239796A (zh) * 2014-09-28 2014-12-24 北京奇虎科技有限公司 0day漏洞的识别方法以及装置
CN106022123A (zh) * 2015-03-31 2016-10-12 瞻博网络公司 多文件恶意软件分析
US20170053115A1 (en) * 2015-08-19 2017-02-23 Palantir Technologies Inc. Checkout system executable code monitoring, and user account compromise determination system
CN106611122A (zh) * 2015-10-27 2017-05-03 国家电网公司 基于虚拟执行的未知恶意程序离线检测系统
CN106888196A (zh) * 2015-12-16 2017-06-23 国家电网公司 一种未知威胁检测的协同防御系统
CN106909847A (zh) * 2017-02-17 2017-06-30 国家计算机网络与信息安全管理中心 一种恶意代码检测的方法、装置及系统
CN206820776U (zh) * 2017-04-01 2017-12-29 中国人民解放军61660部队 一种基于网络流量的综合安全监测分析设备

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104239796A (zh) * 2014-09-28 2014-12-24 北京奇虎科技有限公司 0day漏洞的识别方法以及装置
CN106022123A (zh) * 2015-03-31 2016-10-12 瞻博网络公司 多文件恶意软件分析
US20170053115A1 (en) * 2015-08-19 2017-02-23 Palantir Technologies Inc. Checkout system executable code monitoring, and user account compromise determination system
CN106611122A (zh) * 2015-10-27 2017-05-03 国家电网公司 基于虚拟执行的未知恶意程序离线检测系统
CN106888196A (zh) * 2015-12-16 2017-06-23 国家电网公司 一种未知威胁检测的协同防御系统
CN106909847A (zh) * 2017-02-17 2017-06-30 国家计算机网络与信息安全管理中心 一种恶意代码检测的方法、装置及系统
CN206820776U (zh) * 2017-04-01 2017-12-29 中国人民解放军61660部队 一种基于网络流量的综合安全监测分析设备

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108898018A (zh) * 2018-07-23 2018-11-27 南方电网科学研究院有限责任公司 一种程序代码安全检测方法、设备及可读存储介质
WO2020134311A1 (zh) * 2018-12-26 2020-07-02 中兴通讯股份有限公司 一种恶意软件检测方法和装置
CN109858239A (zh) * 2019-01-16 2019-06-07 四川大学 一种动静态结合的容器内cpu漏洞攻击程序检测方法
CN110659491B (zh) * 2019-09-23 2022-04-29 深信服科技股份有限公司 一种计算机系统恢复方法、装置、设备及可读存储介质
CN110659491A (zh) * 2019-09-23 2020-01-07 深信服科技股份有限公司 一种计算机系统恢复方法、装置、设备及可读存储介质
CN111221625A (zh) * 2019-12-31 2020-06-02 北京健康之家科技有限公司 文件检测方法、装置及设备
CN111221625B (zh) * 2019-12-31 2023-08-04 北京水滴科技集团有限公司 文件检测方法、装置及设备
CN112685737A (zh) * 2020-12-24 2021-04-20 恒安嘉新(北京)科技股份公司 一种app的检测方法、装置、设备及存储介质
CN113032779A (zh) * 2021-02-04 2021-06-25 中国科学院软件研究所 一种基于行为参数布尔表达式规则的多行为联合匹配方法和装置
CN113032779B (zh) * 2021-02-04 2024-01-02 中国科学院软件研究所 一种基于行为参数布尔表达式规则的多行为联合匹配方法和装置
CN112528280A (zh) * 2021-02-08 2021-03-19 北京微步在线科技有限公司 一种文件检测方法及装置
CN113127870A (zh) * 2021-04-08 2021-07-16 重庆电子工程职业学院 一种移动恶意软件大数据的快速智能比对和安全检测方法
CN113691492A (zh) * 2021-06-11 2021-11-23 杭州安恒信息安全技术有限公司 违法应用程序的确定方法、系统、装置及可读存储介质

Also Published As

Publication number Publication date
CN107688743B (zh) 2021-01-29

Similar Documents

Publication Publication Date Title
CN107688743A (zh) 一种恶意程序的检测分析方法及系统
CN108156131B (zh) Webshell检测方法、电子设备和计算机存储介质
CN105184159B (zh) 网页篡改的识别方法和装置
CN107659570A (zh) 基于机器学习与动静态分析的Webshell检测方法及系统
CN107547555A (zh) 一种网站安全监测方法及装置
CN111639337B (zh) 一种面向海量Windows软件的未知恶意代码检测方法及系统
CN108449319A (zh) 一种识别诈骗网站及远程木马取证的方法及装置
CN109104421B (zh) 一种网站内容篡改检测方法、装置、设备及可读存储介质
CN101971591A (zh) 分析网址的系统及方法
US20180131708A1 (en) Identifying Fraudulent and Malicious Websites, Domain and Sub-domain Names
CN106357689A (zh) 威胁数据的处理方法及系统
CN104158828B (zh) 基于云端内容规则库识别可疑钓鱼网页的方法及系统
CN108353083A (zh) 用于检测域产生算法(dga)恶意软件的系统及方法
CN105376217B (zh) 一种恶意跳转及恶意嵌套类不良网站的自动判定方法
CN109784059B (zh) 一种木马文件溯源方法、系统及设备
CN107491691A (zh) 一种基于机器学习的远程取证工具安全分析系统
CN107103237A (zh) 一种恶意文件的检测方法及装置
Li et al. Large-scale third-party library detection in android markets
CN113704702A (zh) Nft鉴权方法
Hong et al. xVDB: A high-coverage approach for constructing a vulnerability database
CN103440454A (zh) 一种基于搜索引擎关键词的主动式蜜罐检测方法
CN117221135A (zh) 数据分析方法、装置、设备及计算机可读存储介质
Yang et al. Mingling of clear and muddy water: Understanding and detecting semantic confusion in blackhat seo
Albertsen The paradigma web harvesting environment
CN107239704A (zh) 恶意网页发现方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20220919

Address after: No. 9-3-401, No. 39, Gaoxin 6th Road, Binhai Science and Technology Park, High-tech Zone, Binhai New District, Tianjin 300000

Patentee after: 3600 Technology Group Co.,Ltd.

Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park)

Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

TR01 Transfer of patent right