CN108197466A - 基于判定策略前置的反病毒引擎检测方法及系统 - Google Patents

基于判定策略前置的反病毒引擎检测方法及系统 Download PDF

Info

Publication number
CN108197466A
CN108197466A CN201711418452.1A CN201711418452A CN108197466A CN 108197466 A CN108197466 A CN 108197466A CN 201711418452 A CN201711418452 A CN 201711418452A CN 108197466 A CN108197466 A CN 108197466A
Authority
CN
China
Prior art keywords
detected
user
rule
file
detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201711418452.1A
Other languages
English (en)
Inventor
沈长伟
童志明
何公道
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Antiy Technology Co Ltd
Original Assignee
Harbin Antiy Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antiy Technology Co Ltd filed Critical Harbin Antiy Technology Co Ltd
Priority to CN201711418452.1A priority Critical patent/CN108197466A/zh
Publication of CN108197466A publication Critical patent/CN108197466A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提出一种基于判定策略前置的反病毒引擎检测方法及系统:反病毒引擎向终端输出全部向量检测规则;用户根据终端系统需求,选择相应向量检测规则建立防御配置策略;生成用户向量检测规则;获取待检测文件;基于用户向量检测规则,检测待检测文件;判断是否存在威胁,如果是,则对用户进行告警;否则所述待检测文件无威胁。本发明还给出相应系统及存储介质技术方案。通过本发明的方法,能够增加检测和防御结果的不确定性,可以有效应对攻击者的攻击尝试,增加用户针对自身环境特点的防御能力。用户由被动防御方案的接受者,转变为主动进行防御方案定制,使得反病毒引擎判定策略由厂商判定转变为厂商和用户共同判定。

Description

基于判定策略前置的反病毒引擎检测方法及系统
技术领域
本发明涉及计算机网络安全技术领域,特别涉及一种基于判定策略前置的反病毒引擎检测方法及系统。
背景技术
传统的反病毒厂商通常将检测判定策略置于后端平台或者特征库中,通常仅会输出判定的结果,用户侧的检测结果是确定性的,即检测结果对于所有用户是一致的,用户很难根据自身环境特点和敏感等级进行调整。由于攻击者和防御者的资源不对等,攻击者会相对容易获得防御者的检测引擎,并进行修改和测试,直到不再对所发出的攻击进行告警,进而在用户侧也不会产生告警,从而逃避检测。
发明内容
基于上述问题,本发明提出了一种基于判定策略前置的反病毒引擎检测方法及系统,利用将检测规则前置到用户侧,由用户来制定检测规则,有效解决攻击不确定性的问题。
一种基于判定策略前置的反病毒引擎检测方法,包括:
反病毒引擎向终端输出全部向量检测规则;
用户根据终端系统需求,选择相应向量检测规则建立防御配置策略;
生成用户向量检测规则;
获取待检测文件;
基于用户向量检测规则,检测待检测文件;
判断是否存在威胁,如果是,则对用户进行告警;否则所述待检测文件无威胁。
所述的方法中,所述向量检测规则包括:加密算法、壳信息、混淆、反虚拟机及动态拼接字符串行为。
所述的方法中,所述终端系统需求包括:终端配置、敏感等级及防御目标。
所述的方法中,所述基于用户向量检测规则,检测待检测文件,具体为:对待检测文件进行全向量提取,将所提取的全向量基于用户向量检测规则进行检测。
一种基于判定策略前置的反病毒引擎检测系统,包括:
检测规则输出模块,反病毒引擎向终端输出全部向量检测规则;
检测规则配置模块,用户根据终端系统需求,选择相应向量检测规则建立防御配置策略;
规则生成模块,生成用户向量检测规则;
获取模块,获取待检测文件;
检测模块,基于用户向量检测规则,检测待检测文件;并判断是否存在威胁,如果是,则对用户进行告警;否则所述待检测文件无威胁。
所述的系统中,所述向量检测规则包括:加密算法、壳信息、混淆、反虚拟机及动态拼接字符串行为。
所述的系统中,所述终端系统需求包括:终端配置、敏感等级及防御目标。
所述的系统中,所述基于用户向量检测规则,检测待检测文件,具体为:对待检测文件进行全向量提取,将所提取的全向量基于用户向量检测规则进行检测。
本发明还提出一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的任一基于判定策略前置的反病毒引擎检测方法。
本发明的技术方案主要通过反病毒引擎输出海量的向量检测规则给用户,用户基于自身环境特点、敏感等级、防御目标等制定独一无二的防御配置策略,反病毒引擎由输出单一判定结果,变化为输出多种向量,这样在不同的用户处,针对同一个攻击,可能产生不同的检测结果,因此攻击者获取到用户检测和防御的成本大大提高,有效对抗攻击者进行攻击测试的问题。
本发明的优势在于,检测和防御的不确定性可以有效应对攻击者的攻击不确定性和攻击尝试,增加用户针对自身环境特点的防御能力。用户由被动防御方案的接受者,转变为防御方案定制的参与者,使得反病毒引擎的判定策略由厂商判定转变为厂商和用户共同决定。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于判定策略前置的反病毒引擎检测方法流程图;
图2为本发明一种基于判定策略前置的反病毒引擎检测系统结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
一种基于判定策略前置的反病毒引擎检测方法,如图1所示,包括:
S101:反病毒引擎向终端输出全部向量检测规则;反病毒引擎输出的向量一般都是用户可理解、可配置、可量化、可组合的一些规则点;
S102:用户根据终端系统需求,选择相应向量检测规则建立防御配置策略;
S103:生成用户向量检测规则;
S104:获取待检测文件;
S105:基于用户向量检测规则,检测待检测文件;
S106:判断是否存在威胁,如果是,则对用户进行告警;否则所述待检测文件无威胁。最终是否存在威胁的判定结果是由反病毒常山的判定结果和用户向量检测规则结果共同确定。
所述的方法中,所述向量检测规则包括:加密算法、壳信息、混淆、反虚拟机及动态拼接字符串行为等。
所述的方法中,所述终端系统需求包括:终端配置、敏感等级及防御目标。
所述的方法中,所述基于用户向量检测规则,检测待检测文件,具体为:对待检测文件进行全向量提取,将所提取的全向量基于用户向量检测规则进行检测。对待检测文件进行全向量提取,根据用户之前设定的用户向量检测规则中所指定需要检测的向量进行检测,并综合检测结果给出最终判定结果。该结果是由反病毒引擎和用户向量检测规则共同确定的。
本发明方法的优势在于,将反病毒引擎输出单一判定结果,转变为输出多种检测向量,反病毒引擎提供海量向量检测规则,并由用户根据情况进行自行配置,因此针对于同一个待检测文件,其在不同设备上所得到的检测结果可能是不同的,而并非现有的反病毒引擎,无论在什么环境条件下,针对一个待检测文件的检测结果是确定的。虽然现有一些根据终端安全等级对终端进行检测及保护的技术方案,但其也是依赖于反病毒引擎所给出的唯一结果,用户并不参与到检测规则的指定,因此也无法解决对抗攻击者进行攻击测试的问题。而本发明方法恰好解决了以上问题。
一种基于判定策略前置的反病毒引擎检测系统,如图2所示,包括:
检测规则输出模块201,反病毒引擎向终端输出全部向量检测规则;
检测规则配置模块202,用户根据终端系统需求,选择相应向量检测规则建立防御配置策略;
规则生成模块203,生成用户向量检测规则;
获取模块204,获取待检测文件;
检测模块205,基于用户向量检测规则,检测待检测文件;并判断是否存在威胁,如果是,则对用户进行告警;否则所述待检测文件无威胁。
所述的系统中,所述向量检测规则包括:加密算法、壳信息、混淆、反虚拟机及动态拼接字符串行为。
所述的系统中,所述终端系统需求包括:终端配置、敏感等级及防御目标。
所述的系统中,所述基于用户向量检测规则,检测待检测文件,具体为:对待检测文件进行全向量提取,将所提取的全向量基于用户向量检测规则进行检测。
本发明还提出一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的任一基于判定策略前置的反病毒引擎检测方法。
本发明的技术方案主要通过反病毒引擎输出海量的向量检测规则给用户,用户基于自身环境特点、敏感等级、防御目标等制定独一无二的防御配置策略,反病毒引擎由输出单一判定结果,变化为输出多种向量,这样在不同的用户处,针对同一个攻击,可能产生不同的检测结果,因此攻击者获取到用户检测和防御的成本大大提高,有效对抗攻击者进行攻击测试的问题。
本发明的优势在于,检测和防御的不确定性可以有效应对攻击者的攻击不确定性和攻击尝试,增加用户针对自身环境特点的防御能力。用户由被动防御方案的接受者,转变为防御方案定制的参与者,使得反病毒引擎的判定策略由厂商判定转变为厂商和用户共同决定。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (9)

1.一种基于判定策略前置的反病毒引擎检测方法,其特征在于,包括:
反病毒引擎向终端输出全部向量检测规则;
用户根据终端系统需求,选择相应向量检测规则建立防御配置策略;
生成用户向量检测规则;
获取待检测文件;
基于用户向量检测规则,检测待检测文件;
判断是否存在威胁,如果是,则对用户进行告警;否则所述待检测文件无威胁。
2.如权利要求1所述的方法,其特征在于,所述向量检测规则包括:加密算法、壳信息、混淆、反虚拟机及动态拼接字符串行为。
3.如权利要求1所述的方法,其特征在于,所述终端系统需求包括:终端配置、敏感等级及防御目标。
4.如权利要求1所述的方法,其特征在于,所述基于用户向量检测规则,检测待检测文件,具体为:对待检测文件进行全向量提取,将所提取的全向量基于用户向量检测规则进行检测。
5.一种基于判定策略前置的反病毒引擎检测系统,其特征在于,包括:
检测规则输出模块,反病毒引擎向终端输出全部向量检测规则;
检测规则配置模块,用户根据终端系统需求,选择相应向量检测规则建立防御配置策略;
规则生成模块,生成用户向量检测规则;
获取模块,获取待检测文件;
检测模块,基于用户向量检测规则,检测待检测文件;并判断是否存在威胁,如果是,则对用户进行告警;否则所述待检测文件无威胁。
6.如权利要求5所述的系统,其特征在于,所述向量检测规则包括:加密算法、壳信息、混淆、反虚拟机及动态拼接字符串行为。
7.如权利要求5所述的系统,其特征在于,所述终端系统需求包括:终端配置、敏感等级及防御目标。
8.如权利要求5所述的系统,其特征在于,所述基于用户向量检测规则,检测待检测文件,具体为:对待检测文件进行全向量提取,将所提取的全向量基于用户向量检测规则进行检测。
9.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-4中任一所述的基于判定策略前置的反病毒引擎检测方法。
CN201711418452.1A 2017-12-25 2017-12-25 基于判定策略前置的反病毒引擎检测方法及系统 Pending CN108197466A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711418452.1A CN108197466A (zh) 2017-12-25 2017-12-25 基于判定策略前置的反病毒引擎检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711418452.1A CN108197466A (zh) 2017-12-25 2017-12-25 基于判定策略前置的反病毒引擎检测方法及系统

Publications (1)

Publication Number Publication Date
CN108197466A true CN108197466A (zh) 2018-06-22

Family

ID=62583905

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711418452.1A Pending CN108197466A (zh) 2017-12-25 2017-12-25 基于判定策略前置的反病毒引擎检测方法及系统

Country Status (1)

Country Link
CN (1) CN108197466A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109033840A (zh) * 2018-06-28 2018-12-18 成都飞机工业(集团)有限责任公司 一种对计算机终端进行保密检查的方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104966032A (zh) * 2015-07-22 2015-10-07 浙江大学 一种云端数据库中敏感信息随机化拟态方法
CN105306471A (zh) * 2015-11-03 2016-02-03 国家电网公司 智能电网安全域边界设备访问控制策略管控系统及方法
CN106155880A (zh) * 2015-03-27 2016-11-23 中国科学院信息工程研究所 一种基于策略的自动化程序分析系统和方法
CN106657159A (zh) * 2017-02-27 2017-05-10 杭州迪普科技股份有限公司 安全策略的生成方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106155880A (zh) * 2015-03-27 2016-11-23 中国科学院信息工程研究所 一种基于策略的自动化程序分析系统和方法
CN104966032A (zh) * 2015-07-22 2015-10-07 浙江大学 一种云端数据库中敏感信息随机化拟态方法
CN105306471A (zh) * 2015-11-03 2016-02-03 国家电网公司 智能电网安全域边界设备访问控制策略管控系统及方法
CN106657159A (zh) * 2017-02-27 2017-05-10 杭州迪普科技股份有限公司 安全策略的生成方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109033840A (zh) * 2018-06-28 2018-12-18 成都飞机工业(集团)有限责任公司 一种对计算机终端进行保密检查的方法

Similar Documents

Publication Publication Date Title
CN106789939B (zh) 一种钓鱼网站检测方法和装置
CN109064018A (zh) 一种信息安全风险评估系统及方法
CN104753730B (zh) 一种漏洞检测的方法及装置
CN105119909B (zh) 一种基于页面视觉相似性的仿冒网站检测方法和系统
CN104504335B (zh) 基于页面特征和url特征的钓鱼app检测方法及系统
CN108418777A (zh) 一种钓鱼邮件检测方法、装置及系统
CN103634268B (zh) 安全控制方法及装置
CN110263538A (zh) 一种基于系统行为序列的恶意代码检测方法
CN106682906A (zh) 一种风险识别、业务处理方法和设备
CN106599688A (zh) 一种基于应用类别的安卓恶意软件检测方法
CN110287701A (zh) 一种恶意文件检测方法、装置、系统及相关组件
CN109995750A (zh) 网络攻击的防御方法及电子设备
CN110474889A (zh) 一种基于网站图标的钓鱼网站识别方法及装置
WO2021053647A1 (en) Detection of use of malicious tools on mobile devices
CN106127463A (zh) 一种转账控制方法及终端设备
JP6322240B2 (ja) フィッシング・スクリプトを検出するためのシステム及び方法
CN103916859B (zh) 认知无线网络恶意占用信道用户的检测方法
CN108924150B (zh) 基于反向传播神经网络的边缘侧克隆节点集成检测方法
CN108234454A (zh) 一种身份认证方法、服务器及客户端设备
CN110958244A (zh) 一种基于深度学习的仿冒域名检测方法及装置
CN109389400A (zh) 在用户与银行服务交互期间识别潜在危险设备的系统和方法
CN108197466A (zh) 基于判定策略前置的反病毒引擎检测方法及系统
CN109905366A (zh) 终端设备安全验证方法、装置、可读存储介质及终端设备
CN104021324B (zh) 字迹安全校验的方法及装置
CN107786529A (zh) 网站的检测方法、装置及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Applicant after: Harbin antiy Technology Group Limited by Share Ltd

Address before: 150090 Room 506, No. 162 Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang Province

Applicant before: Harbin Antiy Technology Co., Ltd.

CB02 Change of applicant information
CB02 Change of applicant information

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Applicant after: Antan Technology Group Co.,Ltd.

Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Applicant before: Harbin Antian Science and Technology Group Co.,Ltd.

CB02 Change of applicant information