CN108038375A - 一种恶意文件检测方法及装置 - Google Patents
一种恶意文件检测方法及装置 Download PDFInfo
- Publication number
- CN108038375A CN108038375A CN201711392571.4A CN201711392571A CN108038375A CN 108038375 A CN108038375 A CN 108038375A CN 201711392571 A CN201711392571 A CN 201711392571A CN 108038375 A CN108038375 A CN 108038375A
- Authority
- CN
- China
- Prior art keywords
- file
- checked
- library
- destination
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Abstract
本申请实施例公开一种恶意文件检测方法及装置。该方法中,首先将待检测的文件存储至待查文件库中;然后识别待查文件库中各个文件的文件类型,根据文件类型生成检测任务列表;在获取待查文件库中的目标文件之后,根据检测任务列表确定目标文件的运行环境,据此确定目标文件对应的文件检测器,该文件检测器设置在容器中;然后调用目标文件对应的文件检测器对目标文件进行检测。通过本申请实施例公开的方案,能够通过设置在容器中的文件检测器进行检测,而容器能够隔离待检测的文件和系统,即容器起到环境隔离的作用。因此,通过本申请实施例公开的方案进行恶意文件的检测,不会对系统造成损害,相对于现有技术,提高了系统的安全性。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种恶意文件检测方法及装置。
背景技术
恶意文件为恶意代码和恶意软件的统称,通常指未明确提示用户或未经用户许可的情况下,在终端(例如个人计算机、服务器和手机等)上运行,并在运行过程中破坏终端的系统及盗取用户信息的软件文件。其中,常见的恶意文件包括病毒、木马、蠕虫、挂马脚本和流氓软件等。为了保障终端的安全性,需要对恶意文件进行检测。
目前常用的恶意文件检测技术通常为启发式检测技术和主动防御检测技术。恶意文件运行时的行为模式和正常文件运行时的行为模式通常不同,例如,通过统计大量恶意文件的运行行为,发现恶意文件在运行时通常具有自启动、传播和文件窃取等行为。启发式检测技术利用恶意文件运行时的行为模式与正常文件运行时的行为模式的区别对各文件进行检测,确定各文件中是否存在恶意文件。另外,恶意文件在运行时,往往会调用系统中的部分应用程序编程接口(Application Programming Interface,API),将这部分API称为关键API,主动防御技术通过对关键API进行hook,获取调用关键API的各个程序的参数,并根据该参数确定所述各个程序是否为恶意文件。
但是,发明人在本申请的研究过程中发现,若通过现有技术检测恶意文件,当检测到恶意文件时,恶意文件已经在系统中运行,运行过程中通常会对系统造成损害,降低了系统的安全性。
发明内容
为了解决通过现有技术检测恶意文件时,对系统造成损害,降低系统安全性的问题,本申请通过以下各个实施例公开一种恶意文件检测方法及装置。
在本发明的第一方面,公开一种恶意文件检测方法,包括:
将待检测的文件存储至待查文件库中;
识别所述待查文件库中各个文件的文件类型,并根据所述文件类型生成检测任务列表,其中,所述检测任务列表记录有所述各个文件分别对应的运行环境;
从所述待查文件库中依次选择目标文件,通过所述检测任务列表中记录的所述目标文件的运行环境,确定所述目标文件对应的文件检测器,其中,所述文件检测器设置在容器中;
调用所述目标文件对应的文件检测器对所述目标文件进行检测。
可选的,在所述识别所述待查文件库中各个文件的文件类型之前,还包括:
获取所述待查文件库中各个文件的哈希值;
将所述各个文件的哈希值分别与已知检测结果的各个文件的哈希值进行匹配;
若所述待查文件库中的第一文件的哈希值与已知检测结果的第二文件的哈希值相同,确定所述第一文件的检测结果与所述第二文件的检测结果相同,并将所述第一文件从所述待查文件库中删除。
可选的,在所述识别所述待查文件库中各个文件的文件类型之前,还包括:
检测所述待查文件库中各个文件是否包含恶意文件的特征码;
若所述待查文件库中的第三文件包含所述恶意文件的特征码,确定所述第三文件为恶意文件,并将所述第三文件从所述待查文件库中删除。
可选的,所述恶意文件检测方法还包括:
若通过检测,确定所述目标文件并非恶意文件,记录所述目标文件的检测结果;
若通过检测,确定所述目标文件为恶意文件,记录所述目标文件的检测结果,并销毁检测所述目标文件的文件检测器。
可选的,所述调用所述目标文件对应的文件检测器对所述目标文件进行检测,包括:
根据所述目标文件的类型,确定所述目标文件是否为高危文件;
若所述目标文件并非高危文件,调用所述文件检测器通过第一检测方法对所述目标文件进行检测,并根据所述第一检测方法的检测结果确定所述目标文件是否为恶意文件;
若所述目标文件为高危文件,调用所述文件检测器通过第一检测方法和第二检测方法对所述目标文件进行检测,其中,若任意一种检测方法检测到所述目标文件为恶意文件,则确定所述目标文件为恶意文件。
在本发明的第二方面,公开一种恶意文件检测装置,包括:
文件存储模块,用于将待检测的文件存储至待查文件库中;
类型识别模块,用于识别所述待查文件库中各个文件的文件类型,并根据所述文件类型生成检测任务列表,其中,所述检测任务列表记录有所述各个文件分别对应的运行环境;
检测器确定模块,用于从所述待查文件库中依次选择目标文件,通过所述检测任务列表中记录的所述目标文件的运行环境,确定所述目标文件对应的文件检测器,其中,所述文件检测器设置在容器中;
文件检测模块,用于调用所述目标文件对应的文件检测器对所述目标文件进行检测。
可选的,还包括:
哈希值获取模块,用于在所述识别所述待查文件库中各个文件的文件类型之前,获取所述待查文件库中各个文件的哈希值;
哈希值匹配模块,用于将所述各个文件的哈希值分别与已知检测结果的各个文件的哈希值进行匹配;
第一删除模块,用于若所述待查文件库中的第一文件的哈希值与已知检测结果的第二文件的哈希值相同,确定所述第一文件的检测结果与所述第二文件的检测结果相同,并将所述第一文件从所述待查文件库中删除。
可选的,还包括:
特征码检测模块,用于在所述识别所述待查文件库中各个文件的文件类型之前,检测所述待查文件库中各个文件是否包含恶意文件的特征码;
第二删除模块,用于若所述待查文件库中的第三文件包含所述恶意文件的特征码,确定所述第三文件为恶意文件,并将所述第三文件从所述待查文件库中删除。
可选的,还包括:
第一处理模块,用于若通过检测,确定所述目标文件并非恶意文件,记录所述目标文件的检测结果;
第二处理模块,用于若通过检测,确定所述目标文件为恶意文件,记录所述目标文件的检测结果,并销毁检测所述目标文件的文件检测器。
可选的,所述文件检测模块包括:
文件确定单元,用于根据所述目标文件的类型,确定所述目标文件是否为高危文件;
第一处理单元,用于若所述目标文件并非高危文件,调用所述文件检测器通过第一检测方法对所述目标文件进行检测,并根据所述第一检测方法的检测结果确定所述目标文件是否为恶意文件;
第二处理单元,用于若所述目标文件为高危文件,调用所述文件检测器通过第一检测方法和第二检测方法对所述目标文件进行检测,其中,若任意一种检测方法检测到所述目标文件为恶意文件,则确定所述目标文件为恶意文件。
在本发明的第三方面,公开一种存储介质,存储有计算机可读指令,其中所述计算机可读指令被调用时,执行上述方法。
本申请实施例公开一种恶意文件检测方法及装置。该方法中,首先将待检测的的文件存储至待查文件库中;然后识别所述待查文件库中各个文件的文件类型,并根据所述文件类型生成检测任务列表;在获取待查文件库中的目标文件之后,根据检测任务列表确定目标文件的运行环境,并据此确定目标文件对应的文件检测器,该文件检测器设置在容器中;然后调用目标文件对应的文件检测器对目标文件进行检测,以确定目标文件是否为恶意文件。
通过本申请实施例公开的方案,能够通过设置在容器中的文件检测器进行检测,而容器能够隔离待检测的文件和系统,也就是说,容器起到环境隔离的作用。因此,通过本申请实施例公开的方案进行恶意文件的检测,不会对系统造成损害,相对于现有的恶意文件检测技术,本申请实施例公开的方案提高了系统的安全性。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种恶意文件检测方法的工作流程示意图;
图2为本发明实施例公开的又一种恶意文件检测方法的工作流程示意图;
图3为本发明实施例公开的又一种恶意文件检测方法的工作流程示意图;
图4为本发明实施例公开的又一种恶意文件检测方法的工作流程示意图;
图5为本发明实施例公开的一种恶意文件检测装置的结构示意图;
图6为本发明实施例公开的又一种恶意文件检测装置的结构示意图;
图7为本发明实施例公开的又一种恶意文件检测装置的结构示意图。
具体实施方式
为了解决通过现有技术检测恶意文件时,对系统造成损害,降低系统安全性的问题,本申请通过以下各个实施例公开一种恶意文件检测方法及装置。
本申请第一实施例公开一种恶意文件检测方法。所述恶意文件检测方法可以应用于终端,例如个人计算机、服务器和手机等,以对终端中的文件进行检测,以确定终端中的恶意文件。
参见图1所示的工作流程示意图,本申请实施例公开的恶意文件检测方法包括以下步骤:
步骤S11、将待检测的文件存储至待查文件库中。
其中,待查文件库可通过mysql等方式搭建,本申请实施例对此不作限定。
步骤S12、识别所述待查文件库中各个文件的文件类型,并根据所述文件类型生成检测任务列表,其中,所述检测任务列表记录有所述各个文件分别对应的运行环境。
不同文件可能需要在不同的环境中运行。例如,有些文件运行在某一版本的windows环境中,有些文件运行在某一版本的linux环境中,而有些文件运行在某一版本的android环境中。
该步骤中,根据文件类型,确定各个文件的运行环境并记录,从而得到记录有各个文件分别对应的运行环境的检测任务列表。
步骤S13、从所述待查文件库中依次选择目标文件,通过所述检测任务列表中记录的所述目标文件的运行环境,确定所述目标文件对应的文件检测器,其中,所述文件检测器设置在容器中。
本申请实施例中,预先在终端中创建各个容器,并且创建设置在容器中的文件检测器。其中,所述文件检测器能够对文件进行检测,以判断该文件是否为恶意文件。另外,每一个文件检测器用于对某一种运行环境中的文件进行检测。在创建文件检测器后,还可以为该文件检测器设置相应的标识,通过该标识表征该文件检测器所检测的文件的运行环境。
这种情况下,该步骤中,从待查文件库中选择目标文件后,通过查找检测任务列表,确定该目标文件的运行环境,然后查找各个文件检测器的标识,即可确定能够检测目标文件的文件检测器,其中,能够检测目标文件的文件检测器即为目标文件对应的文件检测器。
步骤S14、调用所述目标文件对应的文件检测器对所述目标文件进行检测。
其中,文件检测器能够对目标文件进行检测,在检测过程中,可采用启发式检测技术和主动防御检测技术等,本申请实施例对此不做限定。
本申请实施例公开一种恶意文件检测方法,该方法中,首先将待检测的文件存储至待查文件库中;然后识别所述待查文件库中各个文件的文件类型,并根据所述文件类型生成检测任务列表;在获取待查文件库中的目标文件之后,根据检测任务列表确定目标文件的运行环境,并据此确定目标文件对应的文件检测器,该文件检测器设置在容器中;然后调用目标文件对应的文件检测器对目标文件进行检测,以确定目标文件是否为恶意文件。
通过本申请实施例公开的方案,能够通过设置在容器中的文件检测器进行检测,而容器能够隔离待检测的文件和系统,也就是说,容器起到环境隔离的作用。因此,通过本申请实施例公开的方案进行恶意文件的检测,不会对系统造成损害,相对于现有的恶意文件检测技术,本申请实施例公开的方案提高了系统的安全性。
进一步的,在待查文件库中通常包括多个文件,其中某些文件可能之前被检测过。为了避免重复检测,本申请通过第二实施例公开一种恶意文件检测方法。参见图2所示的工作流程示意图,本申请实施例公开的恶意文件检测方法包括以下步骤:
步骤S21、将待检测的文件存储至待查文件库中。
其中,步骤S21的操作过程与步骤S11的操作过程相同,可相互参考,此处不再赘述。
步骤S22、获取所述待查文件库中各个文件的哈希值。
步骤S23、将所述各个文件的哈希值分别与已知检测结果的各个文件的哈希值进行匹配。
在进行本次的恶意文件检测之前,可能有些文件已经经过检测,这些文件即为已知检测结果的文件。
另外,可将已知检测结果的各个文件存储至检测结果库中,这种情况下,在进行匹配时,可将待查文件库中各个文件的哈希值依次与所述检测结果库中的各个文件的哈希值进行匹配。
步骤S24、若所述待查文件库中的第一文件的哈希值与已知检测结果的第二文件的哈希值相同,确定所述第一文件的检测结果与所述第二文件的检测结果相同,并将所述第一文件从所述待查文件库中删除。
其中,若第一文件的哈希值与第二文件的哈希值相同,则表明第一文件的文件内容与第二文件的文件内容相同,这种情况下,可确定第一文件的检测结果即为第二文件的检测结果,不再需要对第一文件进行恶意文件的检测。
另外,若通过步骤S23的匹配,确定待查文件库中各个文件的哈希值均与已知检测结果的各个文件的哈希值不同,则无需执行步骤S24,直接执行步骤S25即可。
步骤S25、识别所述待查文件库中各个文件的文件类型,并根据所述文件类型生成检测任务列表,其中,所述检测任务列表记录有所述各个文件分别对应的运行环境。
该步骤中,待查文件库中的各个文件的哈希值均与已知检测结果的各个文件的哈希值不同,需要对待查文件库中的各个文件进行恶意文件的检测。
步骤S26、从所述待查文件库中依次选择目标文件,通过所述检测任务列表中记录的所述目标文件的运行环境,确定所述目标文件对应的文件检测器,其中,所述文件检测器设置在容器中。
步骤S27、调用所述目标文件对应的文件检测器对所述目标文件进行检测。
其中,步骤S25至步骤S27的操作过程与步骤S12至步骤S14的操作过程相同,可相互参考,此处不再赘述。
本申请第二实施例公开一种恶意文件检测方法,该方法中,在识别所述待查文件库中各个文件的文件类型之前,将待查文件库中各个文件的哈希值分别与已知检测结果的各个文件的哈希值进行匹配。若待查文件库中第一文件的哈希值与已知检测结果的第二文件的哈希值相同,则确定第一文件的检测结果与第二文件的检测结果相同,并将第一文件从待查文件库中删除。这种情况下,无需再对第一文件执行步骤S25至步骤S27的操作,避免对第一文件进行重复检测,从而提高恶意文件检测的效率。
进一步的,为了提高恶意文件的检测效率,本申请还公开第三实施例。参见图3所示的工作流程示意图,第三实施例公开的恶意文件检测方法包括以下步骤:
步骤S31、将待检测的文件存储至待查文件库中。
其中,步骤S31的操作过程与步骤S11的操作过程相同,可相互参考,此处不再赘述。
步骤S32、检测所述待查文件库中各个文件是否包含恶意文件的特征码。
步骤S33、若所述待查文件库中的第三文件包含所述恶意文件的特征码,确定所述第三文件为恶意文件,并将所述第三文件从所述待查文件库中删除。
在恶意文件中,通常包含特定的特征码。本申请实施例中,预先确定恶意文件的特征码,检测待查文件库中的各个文件是否包含该特征码。若待查文件库中的第三文件包含一种或多种特征码,即可确定第三文件为恶意文件,无需再对第三文件进行后续的检测,从而将第三文件从待查文件库中删除即可。
另外,若通过步骤S32的检测,确定待查文件库中各个文件均不包含恶意文件的特征码,则无需执行步骤S33,直接执行步骤S34即可。
步骤S34、识别所述待查文件库中各个文件的文件类型,并根据所述文件类型生成检测任务列表,其中,所述检测任务列表记录有所述各个文件分别对应的运行环境。
该步骤中,待查文件库中的各个文件中均未包含特征码,为了进一步对待查文件库中的文件进行检测,提高检测精度,需要对待查文件库中各个文件执行步骤S34至步骤S36的操作。
步骤S35、从所述待查文件库中依次选择目标文件,通过所述检测任务列表中记录的所述目标文件的运行环境,确定所述目标文件对应的文件检测器,其中,所述文件检测器设置在容器中。
步骤S36、调用所述目标文件对应的文件检测器对所述目标文件进行检测。
其中,步骤S34至步骤S36的操作过程与步骤S12至步骤S14的操作过程相同,可相互参考,此处不再赘述。
本申请第三实施例公开一种恶意文件检测方法,该方法中,在识别所述待查文件库中各个文件的文件类型之前,检测待查文件库中各个文件是否包含恶意文件的特征码。若待查文件库中的第三文件包含恶意文件的特征码,则确定第三文件为恶意文件,并将第三文件从待查文件库中删除。这种情况下,无需再对第三文件执行步骤S34至步骤S36的操作,从而提高恶意文件检测的效率。
另外,在第三实施例中,在将包含恶意文件的特征码的文件从待查文件库中删除之后,继续对待查文件库中剩余的各个文件执行步骤S34至步骤S36的操作,以检测待查文件库中剩余的各个文件是否为恶意文件,从而提高对剩余的各个文件的检测精度。
本申请的第二实施例和第三实施例分别公开一种恶意文件检测方法,分别利用待查文件库中各个文件的哈希值和恶意文件的特征码进行检测,以提高恶意文件检测的效率。在实际的应用场景中,可综合考虑哈希值和特征码两种因素,以进一步提高恶意文件检测的效率。相应的,本申请公开第四实施例。参见图4所示的工作流程示意图,第四实施例公开的恶意文件检测方法包括以下步骤:
步骤S41、将待检测的文件存储至待查文件库中。
步骤S42、获取所述待查文件库中各个文件的哈希值。
步骤S43、将所述各个文件的哈希值分别与已知检测结果的各个文件的哈希值进行匹配。
步骤S44、若所述待查文件库中的第一文件的哈希值与已知检测结果的第二文件的哈希值相同,确定所述第一文件的检测结果与所述第二文件的检测结果相同,并将所述第一文件从所述待查文件库中删除。
其中,步骤S41至步骤S44的操作过程与步骤S21至步骤S24的操作过程相同,可相互参考,此处不再赘述。
通过步骤S42至步骤S44的操作,能够查找到待查文件库中曾经检测过的文件,并将其删除,从而避免重复检测,提高恶意文件检测的效率。
另外,若通过步骤S43的匹配操作,确定待查文件库中各个文件的哈希值与已知检测结果的各个文件的哈希值均不相同,则无需执行步骤S44的操作,而是继续执行步骤S45的操作。
步骤S45、检测所述待查文件库中各个文件是否包含恶意文件的特征码。
步骤S46、若所述待查文件库中的第三文件包含所述恶意文件的特征码,确定所述第三文件为恶意文件,并将所述第三文件从所述待查文件库中删除。
其中,步骤S45至步骤S46的操作过程与步骤S32至步骤S33的操作过程相同,可相互参考,此处不再赘述。
通过步骤S45至步骤S46的操作,能够查找到待查文件库中的第三文件(即包含恶意文件的特征码的文件),确定第三文件为恶意文件,并将第三文件从待查文件库删除,从而无需再对第三文件进行后续的检测操作,提高恶意文件检测的效率。
另外,若通过步骤S45的检测操作,确定待查文件库中各个文件均不包含恶意文件的特征码,则无需执行步骤S46的操作,而是继续执行步骤S47的操作。
步骤S47、识别所述待查文件库中各个文件的文件类型,并根据所述文件类型生成检测任务列表,其中,所述检测任务列表记录有所述各个文件分别对应的运行环境。
步骤S48、从所述待查文件库中依次选择目标文件,通过所述检测任务列表中记录的所述目标文件的运行环境,确定所述目标文件对应的文件检测器,其中,所述文件检测器设置在容器中。
步骤S49、调用所述目标文件对应的文件检测器对所述目标文件进行检测。
其中,步骤S47至步骤S49的操作过程与步骤S12至步骤S14的操作过程相同,可相互参考,此处不再赘述。
本申请的第四实施例公开一种恶意文件检测方法,该方法中,获取包含待检测文件的待查文件库后,将待查文件库中各个文件的哈希值与已知检测结果的各个文件的哈希值进行匹配。若待查文件库中第一文件的哈希值与已知检测结果的第二文件的哈希值相同,则确定第一文件的检测结果与第二文件的检测结果相同,并将第一文件从待查文件库中删除。这种情况下,无需再对第一文件执行后续的检测步骤,避免对第一文件进行重复检测,从而提高恶意文件检测的效率。另外,该方法中,还会检测待查文件库中各个文件是否包含恶意文件的特征码。若待查文件库中的第三文件包含恶意文件的特征码,则确定第三文件为恶意文件,并将第三文件从待查文件库中删除。这种情况下,无需再对第三文件执行后续的检测步骤,进一步提高了恶意文件检测的效率。
另外,在步骤S41至步骤S49的描述,以及图4中,首先通过步骤S42至步骤S44的操作,将待查文件库中各个文件的哈希值与已知检测结果的各个文件的哈希值进行匹配,查找到待查文件库中的第一文件,将第一文件从待查文件库中删除,然后通过步骤S45至步骤S46的操作,查找到待查文件库中包含恶意文件的特征码的第三文件,将第三文件从待查文件库中删除。在实际应用时,还可以先执行步骤S45至步骤S46的操作,然后再执行步骤S42至步骤S44的操作,或者,还可以同时执行步骤S45至步骤S46及步骤S42至步骤S44的操作,本申请实施例对此不做限定。
进一步的,在本申请实施例中,通过调用目标文件对应的文件检测器对所述目标文件进行检测,即可确定目标文件是否为恶意文件。这种情况下,所述恶意文件检测方法还包括以下步骤:
若通过检测,确定所述目标文件并非恶意文件,记录所述目标文件的检测结果;
若通过检测,确定所述目标文件为恶意文件,记录所述目标文件的检测结果,并销毁检测所述目标文件的文件检测器。
其中,在获取目标文件的检测结果后,无论目标文件是否为恶意文件,均记录该目标文件的检测结果。这种情况下,在之后的恶意文件检测过程中,该目标文件即为已知检测结果的文件。随着检测时间越来越长,已知检测结果的文件会越来越多。相应的,在将待查文件库中各个文件的哈希值分别与已知检测结果的各个文件的哈希值进行匹配时,待查文件库中的重复检测文件会越来越多,其中,重复检测文件即为哈希值与已知检测结果的文件的哈希值相同的文件。将重复检测文件从待查文件库中删除,能够有效减少待查文件库的规模,从而提高检测效率。
另外,若目标文件为恶意文件,文件检测器在对目标文件进行检测的过程中,有可能会受到目标文件的破坏,则销毁检测所述目标文件的文件检测器,以避免受到破坏的文件检测器对其他文件进行检测,从而能够提高本申请实施例的检测精度。
在本申请上述实施例中,公开调用目标文件对应的文件检测器对所述目标文件进行检测的操作。该操作通常包括以下步骤:
首先,根据所述目标文件的类型,确定所述目标文件是否为高危文件。高危文件的划分规则可预先根据实际需求设定。例如,可设定高危文件为只读文件,或者,还可以设定高危文件为后缀名和文件类型不符的文件,当然,还可以设定其他针对高危文件的划分规则,本申请实施例对此不做限定。
然后,若所述目标文件并非高危文件,调用所述文件检测器通过第一检测方法对所述目标文件进行检测,并根据所述第一检测方法的检测结果确定所述目标文件是否为恶意文件。
另外,若所述目标文件为高危文件,调用所述文件检测器通过第一检测方法和第二检测方法对所述目标文件进行检测,其中,若任意一种检测方法检测到所述目标文件为恶意文件,则确定所述目标文件为恶意文件。
若目标文件并非高危文件,文件检测器可只采用一种检测方法(即第一检测方法)对其进行检测,其中,第一检测方法可以为启发式检测技术或主动防御检测技术,当然,还可以为其他检测方法,本申请实施例对此不做限定。
若所述目标文件为高危文件,则需要提高对目标文件的检测精度,这种情况下,文件检测器可采用两种检测方法(即第一检测方法和第二检测方法)或更多种检测方法对目标文件进行检测。其中,第一检测方法和第二检测方法可分别为启发式检测技术或主动防御检测技术,当然,还可以为其他检测方法,本申请实施例对此不做限定。
若文件检测器通过两种检测方法(即第一检测方法和第二检测方法)或更多种检测方法对目标文件进行检测,任意一种检测方法检测到所述目标文件为恶意文件,则确定所述目标文件为恶意文件。具体的,在检测过程中,若文件检测器通过第一检测方法检测到目标文件为恶意文件,则确定目标文件为恶意文件,无需再通过第二检测方法对目标文件进行检测;若文件检测器通过第一检测方法检测到目标文件并非恶意文件,则继续采用第二检测方法检测所述目标文件。其中,若文件检测器采用的各种检测方法均检测到目标文件并非恶意文件,则确定目标文件并非恶意文件。
进一步的,本申请实施例公开的恶意文件检测方法还包括:根据各个容器的工作状态,通过容器编排管理技术控制所述文件检测器的规模。
其中,文件检测器设置在容器中,通常一个容器中设置有一个文件检测器,每个文件检测器对应一个运行环境,能够对该运行环境下的文件进行检测。
但是,在实际的检测过程中,可能某一运行环境对应的大部分或全部文件检测器在进行文件检测,这种情况下,根据各个容器的工作状态,确定某一运行环境对应的大部分或全部文件检测器在进行文件检测之后,可通过容器编排管理技术,扩大该运行环境对应的文件检测器的规模,以便对该运行环境下的文件进行检测。另外,若根据各个容器的工作状态,确定某一运行环境对应的大部分或全部文件检测器处于空闲状态,可通过容器编排管理技术,减小该运行环境对应的文件检测器的规模,以避免资源的浪费。
另外,在扩大文件检测器的规模时,还可以考虑系统当前的工作情况。若当前系统工作较繁忙,则可小范围的扩大文件检测器的规模;若当前系统工作并不繁忙,则可较大规模的扩大文件检测器的规模。
具体的,还可以为每一种运行环境下的文件检测器设置一个规模范围,使该文件检测器的规模保持在该规模范围内,以避免文件检测器的数量较小所导致的文件检测效率低下的问题,以及避免文件检测器的数量较大所导致的系统占用率高,影响系统其它工作的问题。
另外,用于控制文件检测的规模的容器编排管理技术可以为K8S技术等,本申请实施例对此不作限定。
下述为本申请装置实施例,可以用于执行本发明方法实施例。对于本发明装置实施例中未披露的细节,请参照本发明方法实施例。
在本申请的装置实施例中,公开一种恶意文件检测装置,该恶意文件检测装置可以应用于终端,例如个人计算机、服务器和手机等,用于对终端中的文件进行检测,以确定终端中的恶意文件。
参见图5所示的恶意文件检测装置的结构示意图,本申请实施例公开的恶意文件检测装置包括:文件存储模块100、类型识别模块200、检测器确定模块300和文件检测模块400。
其中,所述文件存储模块100,用于将待检测的文件存储至待查文件库中。
所述待查文件库可通过mysql等方式搭建,本申请实施例对此不作限定。
类型识别模块200,用于识别所述待查文件库中各个文件的文件类型,并根据所述文件类型生成检测任务列表,其中,所述检测任务列表记录有所述各个文件分别对应的运行环境。
类型识别模块200能够根据文件类型,确定各个文件的运行环境并记录,从而得到记录有各个文件分别对应的运行环境的检测任务列表。
检测器确定模300,用于从所述待查文件库中依次选择目标文件,通过所述检测任务列表中记录的所述目标文件的运行环境,确定所述目标文件对应的文件检测器,其中,所述文件检测器设置在容器中。
本申请实施例中,预先在终端汇总创建各个容器,并且创建设置在容器中的文件检测器。其中,所述文件检测器能够对文件进行检测,以判断该文件是否为恶意文件。另外,每一个文件检测器用于对某一种运行环境中的文件进行检测。在创建文件检测器后,还可以为该文件检测器设置相应的标识,通过该标识表征该文件检测器所检测的文件的运行环境。
这种情况下,检测器确定模300从待查文件库中选择目标文件后,通过查找检测任务列表,确定该目标文件的运行环境,然后查找各个文件检测器的标识,即可确定能够检测目标文件的文件检测器,其中,能够检测目标文件的文件检测器即为目标文件对应的文件检测器。
文件检测模块400,用于调用所述目标文件对应的文件检测器对所述目标文件进行检测。
其中,文件检测器能够对目标文件进行检测,在检测过程中,可采用启发式检测技术和主动防御检测技术等,本申请实施例对此不做限定。
通过本申请实施例公开的恶意文件检测装置,能够通过设置在容器中的文件检测器进行检测,而容器能够隔离待检测的文件和系统,也就是说,容器起到环境隔离的作用。因此,通过本申请实施例公开的方案进行恶意文件的检测,不会对系统造成损害,相对于现有的恶意文件检测技术,本申请实施例公开的方案提高了系统的安全性。
进一步的,参见图6所示的结构示意图,在本申请实施例公开的恶意文件检测装置中,还包括:哈希值获取模块500、哈希值匹配模块600和第一删除模块700。
其中,所述哈希值获取模块500,用于在所述识别所述待查文件库中各个文件的文件类型之前,获取所述待查文件库中各个文件的哈希值;
哈希值匹配模块600,用于将所述各个文件的哈希值分别与已知检测结果的各个文件的哈希值进行匹配;
第一删除模块700,用于若所述待查文件库中的第一文件的哈希值与已知检测结果的第二文件的哈希值相同,确定所述第一文件的检测结果与所述第二文件的检测结果相同,并将所述第一文件从所述待查文件库中删除。
所述第一删除模块700将第一文件从所述待查文件库中删除之后,再触发类型识别模块200执行识别所述待查文件库中各个文件的文件类型的操作。或者,若哈希值匹配模块600经过匹配,确定待查文件库中各个文件的哈希值与已知检测结果的各个文件的哈希值均不相同,则触发类型识别模块200执行识别所述待查文件库中各个文件的文件类型的操作。
其中,若第一文件的哈希值与第二文件的哈希值相同,则表明第一文件的文件内容与第二文件的文件内容相同,这种情况下,可确定第一文件的检测结果即为第二文件的检测结果,不再需要对第一文件进行恶意文件的检测,从而将第一文件从所述待查文件库中删除。
本申请实施例中,通过哈希值获取模块、哈希值匹配模块和第一删除模块将待查文件库中各个文件的哈希值分别与已知检测结果的各个文件的哈希值进行匹配。若待查文件库中第一文件的哈希值与已知检测结果的第二文件的哈希值相同,则确定第一文件的检测结果与第二文件的检测结果相同,并将第一文件从待查文件库中删除。这种情况下,无需再对第一文件执行后续的检测,能够避免对第一文件进行重复检测,从而提高恶意文件检测的效率。
进一步的,参见图7,在本申请实施例公开的恶意文件检测装置中,还包括:特征码检测模块800和第二删除模块900。
特征码检测模块800,用于在所述识别所述待查文件库中各个文件的文件类型之前,检测所述待查文件库中各个文件是否包含恶意文件的特征码;
第二删除模块900,用于若所述待查文件库中的第三文件包含所述恶意文件的特征码,确定所述第三文件为恶意文件,并将所述第三文件从所述待查文件库中删除。
所述第二删除模块900将第三文件从所述待查文件库中删除之后,再触发类型识别模块200执行识别所述待查文件库中各个文件的文件类型的操作。或者,若特征码检测模块800通过检测,确定待查文件库中各个文件均不包含恶意文件的特征码,则触发类型识别模块200执行识别所述待查文件库中各个文件的文件类型的操作。
本申请实施例中,通过特征码检测模块800和第二删除模块900检测待查文件库中各个文件是否包含恶意文件的特征码。若待查文件库中的第三文件包含恶意文件的特征码,则确定第三文件为恶意文件,并将第三文件从待查文件库中删除。这种情况下,无需再对第三文件进行后续的检测操作,从而提高恶意文件检测的效率。
进一步的,在本申请实施例中,通过调用目标文件对应的文件检测器对所述目标文件进行检测,即可确定目标文件是否为恶意文件。这种情况下,所述恶意文件检测装置还包括:
第一处理模块,用于若通过检测,确定所述目标文件并非恶意文件,记录所述目标文件的检测结果;
第二处理模块,用于若通过检测,确定所述目标文件为恶意文件,记录所述目标文件的检测结果,并销毁检测所述目标文件的文件检测器。
其中,在获取目标文件的检测结果后,无论目标文件是否为恶意文件,均记录该目标文件的检测结果。这种情况下,在之后的恶意文件检测过程中,该目标文件即为已知检测结果的文件。随着检测时间越来越长,已知检测结果的文件会越来越多。相应的,在将待查文件库中各个文件的哈希值分别与已知检测结果的各个文件的哈希值进行匹配时,待查文件库中的重复检测文件会越来越多,其中,重复检测文件即为哈希值与已知检测结果的文件的哈希值相同的文件。将重复检测文件从待查文件库中删除,有效减少待查文件库的规模,从而提高检测效率。
另外,若目标文件为恶意文件,文件检测器在对目标文件进行检测的过程中,有可能会受到目标文件的破坏,则销毁检测所述目标文件的文件检测器,以避免受到破坏的文件检测器对其他文件进行检测,从而能够提高本申请实施例的检测精度。
进一步的,在本申请实施例公开的恶意文件检测装置中,所述文件检测模块包括:
文件确定单元,用于根据所述目标文件的类型,确定所述目标文件是否为高危文件;
第一处理单元,用于若所述目标文件并非高危文件,调用所述文件检测器通过第一检测方法对所述目标文件进行检测,并根据所述第一检测方法的检测结果确定所述目标文件是否为恶意文件;
第二处理单元,用于若所述目标文件为高危文件,调用所述文件检测器通过第一检测方法和第二检测方法对所述目标文件进行检测,其中,若任意一种检测方法检测到所述目标文件为恶意文件,则确定所述目标文件为恶意文件。
本申请实施例中,若检测到目标文件为高危文件,调用文件检测器通过第一检测方法和第二检测方法对所述目标文件进行检测,从而提高对该高危文件的检测精度。
进一步的,在本申请实施例公开的恶意文件检测装置中,还包括:
规模控制模块,用于根据各个容器的工作状态,通过容器编排管理技术控制所述文件检测器的规模。
其中,文件检测器设置在容器中,通常一个容器中设置有一个文件检测器,每个文件检测器对应一个运行环境,能够对该运行环境下的文件进行检测。
但是,在实际的检测过程中,可能某一运行环境对应的大部分或全部文件检测器在进行文件检测,这种情况下,根据各个容器的工作状态,确定某一运行环境对应的大部分或全部文件检测器在进行文件检测之后,可通过容器编排管理技术,扩大该运行环境对应的文件检测器的规模,以便对该运行环境下的文件进行检测。另外,若根据各个容器的工作状态,确定某一运行环境对应的大部分或全部文件检测器处于空闲状态,可容器编排管理技术,减小该运行环境对应的文件检测器的规模,以避免资源的浪费。
另外,在扩大文件检测器的规模时,还可以考虑系统当前的工作情况。若当前系统工作较繁忙,则可小范围的扩大文件检测器的规模;若当前系统工作并不繁忙,则可较大规模的扩大文件检测器的规模。
具体的,还可以为每一种运行环境下的文件检测器设置一个规模范围,使该文件检测器的规模保持在该规模范围内,以避免文件检测器的数量较小所导致的文件检测效率低下的问题,以及避免文件检测器的数量较大所导致的系统占用率高,影响系统其它工作的问题。
另外,用于控制文件检测的规模的容器编排管理技术可以为K8S等,本申请实施例对此不作限定。
相应的,本申请实施例公开一种存储介质,该存储介质存储有计算机可读指令,其中所述计算机可读指令被调用时,执行本申请上述实施例公开的申请文件检测方法。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (11)
1.一种恶意文件检测方法,其特征在于,包括:
将待检测的文件存储至待查文件库中;
识别所述待查文件库中各个文件的文件类型,并根据所述文件类型生成检测任务列表,其中,所述检测任务列表记录有所述各个文件分别对应的运行环境;
从所述待查文件库中依次选择目标文件,通过所述检测任务列表中记录的所述目标文件的运行环境,确定所述目标文件对应的文件检测器,其中,所述文件检测器设置在容器中;
调用所述目标文件对应的文件检测器对所述目标文件进行检测。
2.根据权利要求1所述的恶意文件检测方法,其特征在于,在所述识别所述待查文件库中各个文件的文件类型之前,还包括:
获取所述待查文件库中各个文件的哈希值;
将所述各个文件的哈希值分别与已知检测结果的各个文件的哈希值进行匹配;
若所述待查文件库中的第一文件的哈希值与已知检测结果的第二文件的哈希值相同,确定所述第一文件的检测结果与所述第二文件的检测结果相同,并将所述第一文件从所述待查文件库中删除。
3.根据权利要求1所述的恶意文件检测方法,其特征在于,在所述识别所述待查文件库中各个文件的文件类型之前,还包括:
检测所述待查文件库中各个文件是否包含恶意文件的特征码;
若所述待查文件库中的第三文件包含所述恶意文件的特征码,确定所述第三文件为恶意文件,并将所述第三文件从所述待查文件库中删除。
4.根据权利要求1所述的恶意文件检测方法,其特征在于,所述恶意文件检测方法还包括:
若通过检测,确定所述目标文件并非恶意文件,记录所述目标文件的检测结果;
若通过检测,确定所述目标文件为恶意文件,记录所述目标文件的检测结果,并销毁检测所述目标文件的文件检测器。
5.根据权利要求1所述的恶意文件检测方法,其特征在于,所述调用所述目标文件对应的文件检测器对所述目标文件进行检测,包括:
根据所述目标文件的类型,确定所述目标文件是否为高危文件;
若所述目标文件并非高危文件,调用所述文件检测器通过第一检测方法对所述目标文件进行检测,并根据所述第一检测方法的检测结果确定所述目标文件是否为恶意文件;
若所述目标文件为高危文件,调用所述文件检测器通过第一检测方法和第二检测方法对所述目标文件进行检测,其中,若任意一种检测方法检测到所述目标文件为恶意文件,则确定所述目标文件为恶意文件。
6.一种恶意文件检测装置,其特征在于,包括:
文件存储模块,用于将待检测的文件存储至待查文件库中;
类型识别模块,用于识别所述待查文件库中各个文件的文件类型,并根据所述文件类型生成检测任务列表,其中,所述检测任务列表记录有所述各个文件分别对应的运行环境;
检测器确定模块,用于从所述待查文件库中依次选择目标文件,通过所述检测任务列表中记录的所述目标文件的运行环境,确定所述目标文件对应的文件检测器,其中,所述文件检测器设置在容器中;
文件检测模块,用于调用所述目标文件对应的文件检测器对所述目标文件进行检测。
7.根据权利要求6所述的恶意文件检测装置,其特征在于,还包括:
哈希值获取模块,用于在所述识别所述待查文件库中各个文件的文件类型之前,获取所述待查文件库中各个文件的哈希值;
哈希值匹配模块,用于将所述各个文件的哈希值分别与已知检测结果的各个文件的哈希值进行匹配;
第一删除模块,用于若所述待查文件库中的第一文件的哈希值与已知检测结果的第二文件的哈希值相同,确定所述第一文件的检测结果与所述第二文件的检测结果相同,并将所述第一文件从所述待查文件库中删除。
8.根据权利要求6所述的恶意文件检测装置,其特征在于,还包括:
特征码检测模块,用于在所述识别所述待查文件库中各个文件的文件类型之前,检测所述待查文件库中各个文件是否包含恶意文件的特征码;
第二删除模块,用于若所述待查文件库中的第三文件包含所述恶意文件的特征码,确定所述第三文件为恶意文件,并将所述第三文件从所述待查文件库中删除。
9.根据权利要求6所述的恶意文件检测装置,其特征在于,还包括:
第一处理模块,用于若通过检测,确定所述目标文件并非恶意文件,记录所述目标文件的检测结果;
第二处理模块,用于若通过检测,确定所述目标文件为恶意文件,记录所述目标文件的检测结果,并销毁检测所述目标文件的文件检测器。
10.根据权利要求6所述的恶意文件检测装置,其特征在于,所述文件检测模块包括:
文件确定单元,用于根据所述目标文件的类型,确定所述目标文件是否为高危文件;
第一处理单元,用于若所述目标文件并非高危文件,调用所述文件检测器通过第一检测方法对所述目标文件进行检测,并根据所述第一检测方法的检测结果确定所述目标文件是否为恶意文件;
第二处理单元,用于若所述目标文件为高危文件,调用所述文件检测器通过第一检测方法和第二检测方法对所述目标文件进行检测,其中,若任意一种检测方法检测到所述目标文件为恶意文件,则确定所述目标文件为恶意文件。
11.一种存储介质,存储有计算机可读指令,其特征在于,其中所述计算机可读指令被调用时,执行如权利要求1-5中的任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711392571.4A CN108038375A (zh) | 2017-12-21 | 2017-12-21 | 一种恶意文件检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711392571.4A CN108038375A (zh) | 2017-12-21 | 2017-12-21 | 一种恶意文件检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108038375A true CN108038375A (zh) | 2018-05-15 |
Family
ID=62100314
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711392571.4A Pending CN108038375A (zh) | 2017-12-21 | 2017-12-21 | 一种恶意文件检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108038375A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109669776A (zh) * | 2018-12-12 | 2019-04-23 | 北京文章无忧信息科技有限公司 | 检测任务的处理方法、装置和系统 |
CN109815704A (zh) * | 2019-01-24 | 2019-05-28 | 中国—东盟信息港股份有限公司 | 一种Kubernetes云原生应用的安全检测方法及其系统 |
CN111901337A (zh) * | 2020-07-28 | 2020-11-06 | 中国平安财产保险股份有限公司 | 文件上传方法、系统及存储介质 |
CN113392400A (zh) * | 2020-03-12 | 2021-09-14 | 北京沃东天骏信息技术有限公司 | 运行环境的检测方法、装置和系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101042719A (zh) * | 2006-03-21 | 2007-09-26 | 联想(北京)有限公司 | 一种查杀rootkit的系统及方法 |
CN101593249A (zh) * | 2008-05-30 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种可疑文件分析方法及系统 |
CN102254120A (zh) * | 2011-08-09 | 2011-11-23 | 成都市华为赛门铁克科技有限公司 | 恶意代码的检测方法、系统及相关装置 |
CN102708309A (zh) * | 2011-07-20 | 2012-10-03 | 北京邮电大学 | 恶意代码自动分析方法及系统 |
CN102930210A (zh) * | 2012-10-14 | 2013-02-13 | 江苏金陵科技集团公司 | 恶意程序行为自动化分析、检测与分类系统及方法 |
CN103559441A (zh) * | 2013-10-28 | 2014-02-05 | 中国科学院信息工程研究所 | 一种恶意文件云环境下跨平台检测方法及系统 |
CN104850786A (zh) * | 2015-06-03 | 2015-08-19 | 舒辉 | 基于环境重构的恶意代码完整性分析方法 |
CN106156611A (zh) * | 2015-03-25 | 2016-11-23 | 北京奇虎科技有限公司 | 智能手机应用程序的动态分析方法及系统 |
-
2017
- 2017-12-21 CN CN201711392571.4A patent/CN108038375A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101042719A (zh) * | 2006-03-21 | 2007-09-26 | 联想(北京)有限公司 | 一种查杀rootkit的系统及方法 |
CN101593249A (zh) * | 2008-05-30 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种可疑文件分析方法及系统 |
CN102708309A (zh) * | 2011-07-20 | 2012-10-03 | 北京邮电大学 | 恶意代码自动分析方法及系统 |
CN102254120A (zh) * | 2011-08-09 | 2011-11-23 | 成都市华为赛门铁克科技有限公司 | 恶意代码的检测方法、系统及相关装置 |
CN102930210A (zh) * | 2012-10-14 | 2013-02-13 | 江苏金陵科技集团公司 | 恶意程序行为自动化分析、检测与分类系统及方法 |
CN103559441A (zh) * | 2013-10-28 | 2014-02-05 | 中国科学院信息工程研究所 | 一种恶意文件云环境下跨平台检测方法及系统 |
CN106156611A (zh) * | 2015-03-25 | 2016-11-23 | 北京奇虎科技有限公司 | 智能手机应用程序的动态分析方法及系统 |
CN104850786A (zh) * | 2015-06-03 | 2015-08-19 | 舒辉 | 基于环境重构的恶意代码完整性分析方法 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109669776A (zh) * | 2018-12-12 | 2019-04-23 | 北京文章无忧信息科技有限公司 | 检测任务的处理方法、装置和系统 |
CN109669776B (zh) * | 2018-12-12 | 2023-08-04 | 北京文章无忧信息科技有限公司 | 检测任务的处理方法、装置和系统 |
CN109815704A (zh) * | 2019-01-24 | 2019-05-28 | 中国—东盟信息港股份有限公司 | 一种Kubernetes云原生应用的安全检测方法及其系统 |
CN109815704B (zh) * | 2019-01-24 | 2020-08-04 | 中国—东盟信息港股份有限公司 | 一种Kubernetes云原生应用的安全检测方法及其系统 |
CN113392400A (zh) * | 2020-03-12 | 2021-09-14 | 北京沃东天骏信息技术有限公司 | 运行环境的检测方法、装置和系统 |
CN111901337A (zh) * | 2020-07-28 | 2020-11-06 | 中国平安财产保险股份有限公司 | 文件上传方法、系统及存储介质 |
CN111901337B (zh) * | 2020-07-28 | 2023-08-15 | 中国平安财产保险股份有限公司 | 文件上传方法、系统及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108038375A (zh) | 一种恶意文件检测方法及装置 | |
US7647622B1 (en) | Dynamic security policy through use of empirical security events | |
CN108846287A (zh) | 一种检测漏洞攻击的方法及装置 | |
CN111221625B (zh) | 文件检测方法、装置及设备 | |
US20110023120A1 (en) | Method and system for cleaning malicious software and computer program product and storage medium | |
CN105760787B (zh) | 用于检测随机存取存储器中的恶意代码的系统及方法 | |
CN107292169A (zh) | 恶意软件的威胁溯源方法及装置 | |
US11847216B2 (en) | Analysis device, analysis method and computer-readable recording medium | |
CN106228067A (zh) | 恶意代码动态检测方法及装置 | |
JP6282217B2 (ja) | 不正プログラム対策システムおよび不正プログラム対策方法 | |
JP2017142744A (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
CN114065204A (zh) | 一种无文件木马查杀方法及装置 | |
CN111859381A (zh) | 一种文件检测方法、装置、设备及介质 | |
CN109784051A (zh) | 信息安全防护方法、装置及设备 | |
CN111241547B (zh) | 一种越权漏洞的检测方法、装置及系统 | |
CN113127868A (zh) | 脚本识别方法、装置、设备及存储介质 | |
CN116185785A (zh) | 文件异常变更的预警方法及装置 | |
CN112995168B (zh) | 一种Web服务器安全防护方法、系统及计算机存储介质 | |
CN116226865A (zh) | 云原生应用的安全检测方法、装置、服务器、介质及产品 | |
JP6885255B2 (ja) | フロー生成プログラム、フロー生成装置及びフロー生成方法 | |
Levi et al. | Operation Soft Cell: A Worldwide Campaign Against Telecommunications Providers | |
JP2016224506A (ja) | 情報流出検出装置、情報流出検出システム、及び情報流出検出プログラム | |
CN110555307B (zh) | 识别和处理伪装型系统动态库的方法、装置、设备及介质 | |
CN106874360A (zh) | 基础资料处理方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180515 |