CN108763936B - 关系链创建方法、装置及服务器、终端、存储介质 - Google Patents

关系链创建方法、装置及服务器、终端、存储介质 Download PDF

Info

Publication number
CN108763936B
CN108763936B CN201810543956.4A CN201810543956A CN108763936B CN 108763936 B CN108763936 B CN 108763936B CN 201810543956 A CN201810543956 A CN 201810543956A CN 108763936 B CN108763936 B CN 108763936B
Authority
CN
China
Prior art keywords
file
common
target
target file
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810543956.4A
Other languages
English (en)
Other versions
CN108763936A (zh
Inventor
彭宁
程虎
沈江波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201810543956.4A priority Critical patent/CN108763936B/zh
Publication of CN108763936A publication Critical patent/CN108763936A/zh
Application granted granted Critical
Publication of CN108763936B publication Critical patent/CN108763936B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Document Processing Apparatus (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明实施例公开了一种关系链创建方法、装置、服务器、终端,其中所述方法包括:确定出终端中的目标文件,所述目标文件是指:在对所述目标文件的行为关系链检测过程中不能检测到关联文件的终端文件;根据所述目标文件确定共性终端集合,所述共性终端集合中的共性终端中均包括所述目标文件;对所述共性终端集合中的共性终端进行文件检测,确定出所述共性终端中与所述目标文件存在关联关系的共性文件;根据所述共性文件,创建关于所述目标文件的行为关系链,所述行为关系链上记录了所述目标文件的文件节点和所述共性文件的文件节点。本实施例可以更好地创建病毒的行为关系链。

Description

关系链创建方法、装置及服务器、终端、存储介质
技术领域
本发明涉及计算机技术领域,尤其涉及一种关系链创建方法、装置及服务器、终端、存储介质。
背景技术
计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用并可以自我复制的一组计算机指令或者程序代码。计算机病毒具有自我繁殖、互相传染、激活再生以及复制等能力,一旦计算机中的某个文件中了计算机病毒,则随着这个文件被复制或者传播,此文件感染的计算机病毒也会跟着蔓延开来。
目前,为了保证计算机中的文件资源不被破坏,通常会选择杀毒软件对计算机中的文件进行病毒查杀或者防护。但在病毒查杀过程中,病毒可以与杀毒软件进行对抗,隐藏重要行为,可能导致杀毒软件收集到病毒的行为关系链不完整,从而导致病毒难以根除。因此,如何更好地创建病毒的行为关系链成为了研究热点。
发明内容
本发明实施例提供了一种关系链创建方法、装置、服务器、终端及存储介质,可更好地创建病毒的行为关系链。
一方面,本发明实施例提供了一种关系链创建方法,包括:
确定出终端中的目标文件,所述目标文件是指:在对所述目标文件的行为关系链检测过程中不能检测到关联文件的终端文件;
根据所述目标文件确定共性终端集合,所述共性终端集合中的共性终端中均包括所述目标文件;
对所述共性终端集合中的共性终端进行文件检测,确定出所述共性终端中与所述目标文件存在关联关系的共性文件;
根据所述共性文件,创建关于所述目标文件的行为关系链,所述行为关系链上记录了所述目标文件的文件节点和所述共性文件的文件节点。
另一方面,本发明实施例提供了另一种关系链创建方法,包括:
根据终端中的可疑文件进行行为关系链检测;
若检测到无关联文件的目标文件,则向服务器发送携带所述目标文件标识的查询请求;
接收所述服务器反馈的共性文件的共性文件标识,所述共性文件是所述服务器确定出的共性终端中与所述目标文件存在关联关系的文件,所述共性终端是所述服务器根据所述目标文件标识确定的,所述共性终端中均包括所述目标文件;
根据所述共性文件标识,创建关于所述目标文件的行为关系链。
再一方面,本发明实施例提供了一种关系链创建装置,包括:
确定单元,用于确定出终端中的目标文件,所述目标文件是指:在对所述目标文件的行为关系链检测过程中不能检测到关联文件的终端文件;
所述确定单元,还用于根据所述目标文件确定共性终端集合,所述共性终端集合中的共性终端中均包括所述目标文件;
检测单元,用于对所述共性终端集合中的共性终端进行文件检测,确定出所述共性终端中与所述目标文件存在关联关系的共性文件;
创建单元,用于根据所述共性文件,创建关于所述目标文件的行为关系链,所述行为关系链上记录了所述目标文件的文件节点和所述共性文件的文件节点。
再一方面,本发明实施例提供了另一种关系链创建装置,包括:
检测单元,用于根据终端中的可疑文件进行行为关系链检测;
发送单元,用于若检测到无关联文件的目标文件,则向服务器发送携带所述目标文件标识的查询请求;
接收单元,用于接收所述服务器反馈的共性文件的共性文件标识,所述共性文件是所述服务器确定出的共性终端中与所述目标文件存在关联关系的文件,所述共性终端是所述服务器根据所述目标文件确定的,所述共性终端中均包括所述目标文件;
创建单元,用于根据所述共性文件标识,创建关于所述目标文件的行为关系链。
再一方面,本发明实施例提供了一种服务器,包括:处理器、收发器和存储器,所述处理器、收发器和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如下步骤:
确定出终端中的目标文件,所述目标文件是指:在对所述目标文件的行为关系链检测过程中不能检测到关联文件的终端文件;
根据所述目标文件确定共性终端集合,所述共性终端集合中的共性终端中均包括所述目标文件;
对所述共性终端集合中的共性终端进行文件检测,确定出所述共性终端中与所述目标文件存在关联关系的共性文件;
根据所述共性文件,创建关于所述目标文件的行为关系链,所述行为关系链上记录了所述目标文件的文件节点和所述共性文件的文件节点。
再一方面,本发明实施例提供一种智能终端,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如下步骤:
根据终端中的可疑文件进行行为关系链检测;
若检测到无关联文件的目标文件,则向服务器发送携带所述目标文件标识的查询请求;
接收所述服务器反馈的共性文件的共性文件标识,所述共性文件是所述服务器确定出的共性终端中与所述目标文件存在关联关系的文件,所述共性终端是所述服务器根据所述目标文件标识确定的,所述共性终端中均包括所述目标文件;
根据所述共性文件标识,创建关于所述目标文件的行为关系链。
再一方面,本发明实施例提供一种计算机存储介质,该计算机存储介质存储有第一计算机程序指令,该第一计算机程序指令被执行时用于实现上述一方面中的关系链创建方法。
再一方面,本发明实施例提供一种计算机存储介质,该计算机存储介质存储有第二计算机程序指令,该第二计算机程序指令被执行时用于实现上述另一方面中的关系链创建方法。
本发明实施例可以根据目标文件来对共性终端中的文件进行关联计算,找出共性文件,基于共性文件可以在一定程度上创建出病毒木马等文件的完整行为关系链,从而提高对这些文件的防护能力,使得对这些文件的防护更完整、准确。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种用户界面的应用场景图;
图2是本发明实施例提供的一种交互系统的示意图;
图3是本发明实施例提供的一种关系链创建方法的流程示意图;
图4是本发明实施例提供的另一种关系链创建方法的流程示意图;
图5a是本发明实施例提供的一种检测到的关系链的示意图;
图5b是本发明实施例提供的一种创建的关系链的示意图;
图6是本发明另一实施例提供的一种关系链创建方法的流程示意图;
图7是本发明另一实施例提供的一种关系链创建方法的流程示意图;
图8a是本发明另一实施例提供的一种检测到的关系链的示意图;
图8b是本发明另一实施例提供的一种创建的关系链的示意图;
图9是本发明实施例提供的一种关系链创建装置的结构示意图;
图10是本发明另一实施例提供的一种关系链创建装置的结构示意图;
图11是本发明实施例提供的一种服务器的结构示意图;
图12是本发明另一实施例提供的一种智能终端的结构示意图。
具体实施方式
在本发明实施例中,终端可以提供一个用户界面,并在用户界面中提供一个病毒查杀/防护处理按钮。如图1所示,用户可以通过点击此按钮,以指示终端进行病毒查杀/防护处理。当终端检测到用户点击此按钮的点击指令后,可以对终端中的文件进行文件检测,若找到可疑文件,则将此可疑文件作为行为关系链检测的起始文件,从而进行行为关系链检测。在一个实施例中,此处的可疑文件可以是指终端检测到的具有指定文件行为数据的文件,该指定文件行为数据用于记录可疑文件的指定行为,该指定行为可以是:加密其他文件的行为、破坏其他文件的行为等等。例如,若一个文件加密了终端中的其他文件,则可以认为这一个文件是可疑文件;又如,若一个文件破坏了终端中的其他文件,则可以认为这一个文件是可疑文件;又如,若运行了一个文件后,导致终端突然死机或者重启,则也可以认为这个文件是可疑文件,等等。再一个实施例中,此处的可疑文件还可以是指终端检测到的具有指定文件标识的文件,该指定文件标识可以是指定文件后缀名,例如文件的后缀名与病毒的后缀名相同;也可以是指定文件代码,例如文件的部分代码与病毒数据库中的代码相同;还可以是指定文件名称,例如未在终端白名单中的文件名称,等等。
在行为关系链检测的过程中,若终端检测到无关联文件的目标文件,则可以向服务器发送携带该目标文件标识的查询请求,如图2所示,此处的关联文件可以是指目标文件的父文件,该父文件是指创建目标文件的文件;关联文件还可以是指目标文件的子文件,该子文件是指目标文件创建的文件。服务器在获取到此查询请求之后可以确定出终端的目标文件,并将包括该目标文件的一批终端均作为共性终端。获取共性终端中与目标文件存在关联关系的共性文件,并根据此共性文件创建目标文件的行为关系链,然后将此行为关系链反馈给终端。终端在接收到此行为关系链之后,可以对该行为关系链上记录的文件节点所对应的文件进行病毒查杀/防护处理。在本发明实施例中,即使病毒木马在一个终端中隐藏起来,导致在此终端中无法找到此病毒木马,也可以通过对多个共性终端中的文件进行关联计算,在一定程度上确定出病毒木马等文件在终端中所完成的完整行为,从而找到传播病毒木马的源文件,并对该源文件以及一些相关文件进行病毒查杀/防护处理。可以从源头上进行查杀/防护病毒,可以防止该病毒木马的继续传播并破坏其他文件,从而提高对病毒木马的查杀效率以及防护能力。
在一个实施例中,终端在检测到可疑文件之后,也可以将可疑文件上传至服务器。服务器在收集到终端上传的可疑文件之后,可以执行如图3所示的聚类共性终端文件和创建行为关系链的操作,以得到完整行为关系链。具体的,服务器可以根据如图4所示的方法流程来创建行为关系链。服务器可以在S401中回溯行为关系链,以确定出该可疑文件的来源。在回溯行为关系链的过程中,服务器可以通过S402判断是否出现断链的情况,此处的断链的情况是指服务器无法继续找到父文件。例如,如图5a所示,服务器可以找到可疑文件D的父文件(可疑文件C),以及可疑文件C的父文件(可疑文件B),但是无法再继续找到可疑文件B的父文件,此情况就认为是断链的情况。
若出现断链的情况,则将无法找到父文件所对应的文件作为断链处文件,例如将图5a中的可疑文件B作为断链处文件,并在S403中获取具有断链处文件的共性终端。然后在S404中聚类计算共性终端中的文件,即获取共性终端中的文件,根据这些文件进行分类,将相同类别的文件归为一类,并判断这些文件是否具有共性,将具有共性的文件作为共性文件。在一个实施例中,判断这些文件是否具有共性的方式可以有很多,在一个实施例中,若这些文件中均包括相同的进程子文件,则可以认为这些文件具有共性;和/或,若这些文件均包括相同名字的文档,则可以认为这些文件具有共性;和/或,若这些文件均访问了同一个网络,则也可以认为这些文件具有共性,等等。在聚类计算完成后,服务器可以在S405中检测是否找到共性文件。若找到共性文件,则在S406中根据该共性文件,创建行为关系链。例如,服务器找到了共性文件A,且共性文件A的创建时间在可疑文件B的创建时间之前,因此可以创建出如图5b所示的行为关系链。需要说明的是,图5a和图5b仅为举例,并且其中的各个文件可以是文件夹,也可以一个文档,还可以是一个可执行程序文件,例如可疑文件B和可疑文件C为程序文件,可疑文件D为一个文件夹。
再一个实施例中,基于图3和图4所示的关系链创建方法的实施例,本发明实施例还提出了一种关系链创建装置。该关系链创建装置可以主要包括两个模块:聚类共性终端文件模块和创建行为关系链模块。其中,该聚类共性终端文件模块可用于执行获取具有断链处文件的共性终端,聚类计算共性终端中的文件,查找共性文件等操作。该创建行为关系链模块可用于执行根据共性文件,创建行为关系链的操作。
在一个实施例中,本发明实施例在图6中提出了一种关系链创建方法。在一个实施例中,所述关系链创建方法可以由终端来执行,所述终端可以是智能手机、膝上型计算机或平板计算机等便携式设备,以及台式计算机等等。
所述终端可以确定出终端中的目标文件,该目标文件是指:在对目标文件的行为关系链检测过程中不能检测到关联文件的终端文件。由于服务器可以存储大量终端的文件,因此所述终端可以去服务器中获取这些大量终端的文件,并根据目标文件从这些大量终端中确定出共性终端集合,该共性终端集合中的共性终端中均包括该目标文件。并基于从服务器获取到的大量终端的文件,对这些共性终端集合中的共性终端进行文件检测,确定出共性终端中与目标文件存在关联关系的共性文件。所述终端可以根据该共性文件,创建关于目标文件的行为关系链。
再一个实施例中,该关系链创建方法可以由服务器来执行,该服务器可以是用于进行关系链创建的服务设备,其可以是数据处理服务器、web服务器等等。在S601中,服务器可以确定出终端中的目标文件,此目标文件是指在对目标文件的行为关系链检测过程中不能检测到关联文件的终端文件。在一个实施例中,此关联文件可以是指父文件,相应的,目标文件是指行为关系链检测过程中不能检测到父文件的终端文件,即此目标文件可以是上述所提及的断链处文件,例如图5a中的可疑文件B。再一个实施例中,此关联文件可以是指子文件,相应的,目标文件是指行为关系链检测过程中不能检测到子文件的终端文件,例如图5a中的可疑文件D。
在一个实施例中,服务器确定出终端中的目标文件的具体实施方式可以是:可以接收终端上传的目标文件,此目标文件可以是终端在检测到可疑文件之后,基于此可疑文件进行关系链检测确定的。再一个实施例中,服务器确定出终端中的目标文件的具体实施方式还可以是:确定终端中的可疑文件,并将此可疑文件作为行为关系链检测的起始文件,该可疑文件是在终端中检测到的具有指定文件行为数据和/或指定文件标识的文件;对起始文件进行行为关系链检测,确定目标文件。具体的,服务器可以获取终端上传的各个文件,然后对获取到的这些文件进行文件检测,将检测到的具有指定文件行为数据和/或指定文件标识的文件作为可疑文件。在一个实施例中,服务器在进行文件检测时,可以采用特征码匹配的方式,将文件的代码与木马病毒数据库中的代码进行匹配,若匹配度超过预设阈值,则可以认为该文件为可疑文件。再一个实施例中,服务器在进行文件检测时,还可以采用白名单匹配的方式。服务器可以预先建立一个关于文件标识的白名单,将安全无病毒的文件标识添加在白名单中。服务器在进行文件检测时,可以将检测到的文件标识与白名单中的文件标识进行匹配,若检测到的文件标识不在白名单中,则可以认为该文件为可疑文件。再一个实施例中,服务器在进行文件检测时,还可以采用行为数据匹配的方式。服务器可以获取文件的文件行为数据,此处的文件行为数据用于表示文件的操作行为,如访问某网络的行为、下载某文件的行为等等。若该文件的文件行为数据与指定的病毒木马的行为数据相同,则可以认为此文件是可疑文件。
服务器在确定出终端中的目标文件之后,可以在S602中根据该目标文件确定共性终端集合,该共性终端集合中的共性终端中均包括此目标文件。具体的,服务器可以收集与该服务器有连接关系的大量终端中的文件,若在这些大量终端中的文件中检测到目标文件,则将检测到目标文件所对应的终端作为共性终端,所有的共性终端可以构成一个共性终端集合。在一个实施例中,将包括该目标文件的终端均作为共性终端,因此,该共性终端集合包括了进行行为关系链检测所对应的终端。
服务器在确定出终端中的目标文件之后,可以在S603中对共性终端集合中的共性终端进行文件检测,确定出所述共性终端中与所述目标文件存在关联关系的共性文件。在一个实施例中,服务器可以对共性终端集合中的共性终端进行文件检测,确定出共性终端中与所述目标文件存在直接行为关系的共性文件。行为关系通常可以分为直接行为关系和间接行为关系,直接行为关系是指若一个文件直接对目标文件进行操作或者直接被目标文件进行操作,则该文件与目标文件存在直接行为关系;间接行为关系是若一个文件对中间文件进行操作,由中间文件对目标文件进行操作,则该文件与目标文件存在间接行为关系。如图5a所示,可疑文件B对可疑文件C进行了加密操作,可疑文件C对可疑文件D进行了加密操作,因此,对于可疑文件D来说,可疑文件C与可疑文件D存在直接行为关系,而可疑文件B与可疑文件D存在间接行为关系。
再一个实施例中,服务器对共性终端集合中的共性终端进行文件检测,确定出共性终端中与目标文件存在关联关系的共性文件时,可以先对共性终端集合中的共性终端进行文件检测,确定出共性终端中与目标文件存在关联关系的中间文件;由于共性终端中与目标文件存在关联关系的中间文件可能有很多,且这些中间文件的文件行为数据可能有差异,例如,一部分中间文件可能对目标文件进行了加密操作,一部分中间文件可能对目标文件进行了修改操作,一部分中间文件可能对目标文件进行了损坏操作,等等。又由于,虽然中间文件与目标文件存在关联关系,但是并不意味着这些中间文件是可疑文件;再由于,有的中间文件可能只存在一个或者两个共性终端中,那么一般不会将这些中间文件认为是可疑文件。
因此,在得到中间文件之后,需要基于中间文件的文件行为数据,对中间文件进行聚类处理,得到聚类结果;根据聚类结果确定出共性文件,该共性文件是指中间文件中与目标文件存在直接行为关系的文件,该共性文件的文件行为数据应该与目标文件的文件行为数据相匹配,该共性终端集合中的大部分共性终端均包括此共性文件。在一个实施例中,所述聚类结果中包括一个或多个聚类类别,每个聚类类别中的中间文件的文件标识相同、且具有相同的文件行为数据。
服务器在确定出共性文件之后,可以在S604中根据所述共性文件,创建关于目标文件的行为关系链,该行为关系链上记录了目标文件的文件节点和共性文件的文件节点。由S601可知,目标文件可以是指行为关系链检测过程中不能检测到父文件的终端文件,也可以是目标文件是指行为关系链检测过程中不能检测到子文件的终端文件。因此,在一个实施例中,若目标文件是指行为关系链检测过程中不能检测到父文件的终端文件,则服务器可以获取目标文件的创建时间,以及获取共性文件的创建时间;若共性文件的创建时间在目标文件的创建时间之前,则将共性文件的文件节点作为目标文件的文件节点的父文件节点,以创建目标文件的行为关系链。再一个实施例中,若目标文件是指行为关系链检测过程中不能检测到子文件的终端文件,则服务器可以获取目标文件的创建时间,以及获取共性文件的创建时间;若共性文件的创建时间在目标文件的创建时间之后,则将共性文件的文件节点作为目标文件的文件节点的子文件节点,以创建目标文件的行为关系链。
在一个实施例中,服务器在S604中创建了目标文件的行为关系链之后,还可以根据创建的目标文件的行为关系链,对目标文件的行为关系链上记录的文件节点所对应的文件进行文件防护处理;其中,所述文件防护处理包括以下处理中的任一项:隔离处理、删除处理、或者提示处理。具体的,服务器可以根据目标文件的行为关系链上记录的文件节点所对应的文件生成一个文件防护处理指令,此文件防护处理指令中可携带行为关系链上记录的文件节点所对应的文件的文件标识。然后将此文件防护处理指令发送给终端,以使得终端在接收到此文件防护处理指令之后,根据文件防护处理指令所携带的文件标识在终端中找到相应的文件,并对找到的相应的文件进行隔离处理、删除处理、或者提示处理。
本发明实施例可以根据目标文件来对共性终端中的文件进行关联计算,找出共性文件,基于共性文件可以在一定程度上创建出病毒木马等文件的完整行为关系链,从而提高对这些文件的防护能力,使得对这些文件的防护更完整、准确。
再一个实施例中,本发明实施例在图7中提出了另一种关系链创建方法的流程示意图。所述关系链创建方法可以由终端来执行,所述终端可以是智能手机、膝上型计算机或平板计算机等便携式设备,以及台式计算机等等。在一个实施例中,该关系链创建方法还可以由终端中的应用软件来执行,该应用软件可以是在出厂时配置在终端中的可用于查杀病毒的系统软件,也可以用户自行下载并安装在终端中的杀毒软件。
本发明实施例以终端来执行该关系链创建方法为例。用户可以在终端的用户界面中发送一个病毒查杀/防护处理指令,终端在接收到此病毒查杀/防护处理指令之后,可以对终端中的文件进行检测,判断是否存在可疑文件。在一个实施例中,终端在判断文件是否可疑时,可以采用特征码匹配的方式,也可以采用白名单匹配的方式,还可以采用行为数据匹配的方式,等等。
若终端检测到存在可疑文件,则可以在S701中根据终端中的可疑文件进行行为关系链检测,以找到与可疑文件有关的完整行为过程。在S702中,若终端检测到无关联文件的目标文件,则向服务器发送携带该目标文件标识的查询请求,以请求服务器根据该目标文件标识确定与目标文件存在关联关系的共性文件。服务器在接收到此查询请求之后,可以根据查询请求携带的目标文件标识确定目标文件,并确定包括该目标文件的一批共性终端。服务器可以对这些共性终端进行文件检测,确定出共性终端中与目标文件存在关联关系的共性文件,并将共性文件的共性文件标识发送给终端。
终端可以在S703中接收服务器反馈的共性文件的共性文件标识,并在S704中根据此共性文件标识,创建关于目标文件的行为关系链。在一个实施例中,终端可以根据共性文件标识检测终端中是否存在与共性文件标识对应的文件;若存在,则根据与共性文件标识对应的文件创建关于目标文件的行为关系链。在一个实施例中,终端可以获取共性文件的创建时间以及目标文件的创建时间,若共性文件的创建时间在目标文件的创建时间之前,则将共性文件的文件节点作为目标文件的文件节点的父文件节点,以创建目标文件的行为关系链。再一个实施例中,若共性文件的创建时间在目标文件的创建时间之后,则将共性文件的文件节点作为目标文件的文件节点的子文件节点,以创建目标文件的行为关系链。
在一个实施例中,终端在创建好目标文件的行为关系链之后,可以根据创建的目标文件的行为关系链,对目标文件的行为关系链上记录的文件节点所对应的文件进行文件防护处理;其中,文件防护处理包括以下处理中的任一项:隔离处理、删除处理或者提示处理。
在一个实施例中,终端在进行文件防护处理之前,还可以输出提示信息,以提示用户是否进行文件防护处理。在接收到用户的确定指令后,根据该确定指令执行文件防护处理操作。在一个实施例中,该确定指令可以是立即进行文件防护处理的指令,也可以是待终端空闲时进行文件防护处理的指令,也可以是在特定时间内进行文件防护处理的指令,等等。
在本发明实施例中,终端在进行文件检测的过程中,若检测到可疑文件并在根据可疑文件进行行为关系链检测过程中,检测到无关联文件的目标文件,则可以向服务器发送查询请求,并基于服务器反馈的共性文件来创建行为关系链。由于该共性文件是服务器根据目标文件对共性终端中的文件进行关联计算确定的,因此终端基于该共性文件,可以在一定程度上创建出病毒木马(可疑文件)的完整行为关系链,从而提高对这些文件的防护能力,使得对这些文件的防护更完整、准确。
例如,终端在接收到用户发送的病毒查杀/防护指令后,可以对终端中的文件进行检测,并检测到可疑文件d。然后终端可以对可疑文件d进行行为关系链检测,在行为关系链检测的过程中,终端检测到了无关联文件(父文件)的目标文件c,如图8a所示。由于该目标文件c可能是病毒源文件,也可能是病毒木马将该目标文件c的父文件隐藏了起来,导致终端没有成功检测到。因此,终端为了将病毒木马根除,可以向服务器发送一个携带了目标文件c的目标文件标识的查询请求,以请求服务器查找与目标文件c存在关联关系的共性文件。
服务器接收到此查询请求之后,可以确定具有该目标文件c的共性终端,并对这些共性终端进行文件检测,查找与该共性终端中与目标文件存在关联关系的共性文件。服务器若没有查找到共性文件,则可以认为该目标文件c为病毒源文件,并向终端发送通知信息,以通知终端该目标文件c为病毒源文件。终端在接收到该通知信息之后,可以认为图8a中的行为关系链为完整的行为关系链,并对目标文件c和可疑文件d进行文件防护处理。
服务器若查找到共性文件b,则可以将该共性文件b的共性文件标识反馈给终端。终端在接收到此共性文件标识之后,可以在终端中查找到共性文件b,并将该共性文件b作为目标文件c的父文件,以创建行为关系链。根据上述的方法,终端可以继续查找到共性文件b的父文件(即共性文件a)。终端可以重复上述的方法,直到找到病毒源文件,从而确定出完整的行为关系链。在本发明实施例中,在确定出共性文件a之后,服务器无法基于共性终端中的文件检测到共性文件a的父文件,则可以认为共性文件a为病毒源文件,从而得到如图8b实线所示的完整行为关系链,并可以得到病毒木马等文件运行的过程:共性文件a从共性文件b中下载了一个目标文件c(病毒木马),目标文件c加密了可疑文件d。由于一个可疑文件可能有多条行为关系链,因此基于上述的方法,终端还可以得到如图8b虚线所示的行为关系链:共性文件a运行了目标文件c(病毒木马),目标文件c加密了可疑文件d。终端可以对创建好的行为关系链上所涉及的各个文件(如文件a、b、c、d)进行文件防护处理。通过创建完整的行为关系链,可以为病毒鉴定过程中提供重要的数据支持,从而提高杀毒软件的查杀效率和防护能力。
需要说明的是,图8a和图8b仅为举例,并且其中的各个文件可以是文件夹,也可以一个文档,还可以是一个可执行程序文件,例如目标文件c为程序文件,可疑文件d为一个文件夹,共性文件b为一个带下载网址的文本文件,而共性文件a则为一个基本下载功能的可执行程序文件。
基于上述方法实施例的描述,在一个实施例中,本发明实施例还提供了一种如图9所示的关系链创建装置的结构示意图。如图9所示,本发明实施例中的关系链创建装置可包括:
确定单元101,用于确定出终端中的目标文件,所述目标文件是指:在对所述目标文件的行为关系链检测过程中不能检测到关联文件的终端文件。
所述确定单元101,还用于根据所述目标文件确定共性终端集合,所述共性终端集合中的共性终端中均包括所述目标文件。
检测单元102,用于对所述共性终端集合中的共性终端进行文件检测,确定出所述共性终端中与所述目标文件存在关联关系的共性文件。
创建单元103,用于根据所述共性文件,创建关于所述目标文件的行为关系链,所述行为关系链上记录了所述目标文件的文件节点和所述共性文件的文件节点。
在一个实施例中,检测单元102可具体用于:对所述共性终端集合中的共性终端进行文件检测,确定出所述共性终端中与所述目标文件存在关联关系的中间文件;基于所述中间文件的文件行为数据,对所述中间文件进行聚类处理,得到聚类结果;根据所述聚类结果确定出共性文件,所述共性文件是指所述中间文件中与所述目标文件存在直接行为关系的文件。
在一个实施例中,所述聚类结果中包括一个或多个聚类类别,每个聚类类别中的中间文件的文件标识相同、且具有相同的文件行为数据。
在一个实施例中,创建单元103可具体用于:获取所述目标文件的创建时间,以及获取所述共性文件的创建时间;若所述共性文件的创建时间在所述目标文件的创建时间之前,则将所述共性文件的文件节点作为所述目标文件的文件节点的父文件节点,以创建所述目标文件的行为关系链。
在一个实施例中,确定单元101可具体用于:确定终端中的可疑文件,并将所述可疑文件作为行为关系链检测的起始文件,所述可疑文件是在所述终端中检测到的具有指定文件行为数据和/或指定文件标识的文件;对所述起始文件进行行为关系链检测,确定目标文件。
在一个实施例中,所述关系链创建装置还可包括处理单元104,用于根据创建的所述目标文件的行为关系链,对所述目标文件的行为关系链上记录的文件节点所对应的文件进行文件防护处理;其中,所述文件防护处理包括以下处理中的任一项:隔离处理、删除处理、或者提示处理。
本发明实施例可以根据目标文件来对共性终端中的文件进行关联计算,找出共性文件,基于共性文件可以在一定程度上创建出病毒木马等文件的完整行为关系链,从而提高对这些文件的防护能力,使得对这些文件的防护更完整、准确。
基于上述方法实施例的描述,在一个实施例中,本发明实施例还提供了一种如图10所示的关系链创建装置的结构示意图。如图10所示,本发明实施例中的关系链创建装置可包括:
检测单元201,用于根据终端中的可疑文件进行行为关系链检测。
发送单元202,用于若检测到无关联文件的目标文件,则向服务器发送携带所述目标文件标识的查询请求。
接收单元203,用于接收所述服务器反馈的共性文件的共性文件标识,所述共性文件是所述服务器确定出的共性终端中与所述目标文件存在关联关系的文件,所述共性终端是所述服务器根据所述目标文件确定的,所述共性终端中均包括所述目标文件。
创建单元204,用于根据所述共性文件标识,创建关于所述目标文件的行为关系链。
在一个实施例中,创建单元204可具体用于:根据所述共性文件标识检测所述终端中是否存在与所述共性文件标识对应的文件;若存在,则根据与所述共性文件标识对应的文件创建关于所述目标文件的行为关系链。
在一个实施例中,所述关系链创建装置还可包括处理单元205,用于根据创建的所述目标文件的行为关系链,对所述目标文件的行为关系链上记录的文件节点所对应的文件进行文件防护处理;其中,所述文件防护处理包括以下处理中的任一项:隔离处理、删除处理、防护处理或者查杀处理。
在本发明实施例中,终端在进行文件检测的过程中,若检测到可疑文件并在根据可疑文件进行行为关系链检测过程中,检测到无关联文件的目标文件,则可以向服务器发送查询请求,并基于服务器反馈的共性文件来创建行为关系链。由于该共性文件是服务器根据目标文件对共性终端中的文件进行关联计算确定的,因此终端基于该共性文件,可以在一定程度上创建出病毒木马(可疑文件)的完整行为关系链,从而提高对这些文件的防护能力,使得对这些文件的防护更完整、准确。
在一个实施例中,本发明实施例还提供了一种如图11所示的服务器的结构示意图。如图11所示的本发明实施例中的服务器可包括:处理器301、收发器302和存储器303,所述处理器301、收发器302和存储器303相互连接,其中,所述存储器303用于存储计算机程序,所述计算机程序包括程序指令,所述处理器301用于执行存储器303存储的程序指令。
在一个实施例中,该处理器301可以是中央处理单元(Central Processing Unit,CPU),该处理器还可以是其他通用处理器,即微处理器或者任何常规的处理器。该存储器303可以包括只读存储器和随机存取存储器,并向处理器301提供指令和数据。因此,在此对于处理器301和存储器303不作限定。
在本发明实施例中,由处理器301加载并执行计算机存储介质中存放的一条或一条以上指令,以实现上述相应实施例中的方法的相应步骤;具体实现中,计算机存储介质中的至少一条指令由处理器301加载并执行如下步骤:
确定出终端中的目标文件,所述目标文件是指:在对所述目标文件的行为关系链检测过程中不能检测到关联文件的终端文件;根据所述目标文件确定共性终端集合,所述共性终端集合中的共性终端中均包括所述目标文件;对所述共性终端集合中的共性终端进行文件检测,确定出所述共性终端中与所述目标文件存在关联关系的共性文件;根据所述共性文件,创建关于所述目标文件的行为关系链,所述行为关系链上记录了所述目标文件的文件节点和所述共性文件的文件节点。
在一个实施例中,在对所述共性终端集合中的共性终端进行文件检测,确定出所述共性终端中与所述目标文件存在关联关系的共性文件时,该至少一条指令由处理器301加载并执行如下步骤:
对所述共性终端集合中的共性终端进行文件检测,确定出所述共性终端中与所述目标文件存在关联关系的中间文件;基于所述中间文件的文件行为数据,对所述中间文件进行聚类处理,得到聚类结果;根据所述聚类结果确定出共性文件,所述共性文件是指所述中间文件中与所述目标文件存在直接行为关系的文件。
在一个实施例中,所述聚类结果中包括一个或多个聚类类别,每个聚类类别中的中间文件的文件标识相同、且具有相同的文件行为数据。
在一个实施例中,在根据所述共性文件,创建关于所述目标文件的行为关系链时,该至少一条指令由处理器301加载并执行如下步骤:
获取所述目标文件的创建时间,以及获取所述共性文件的创建时间;若所述共性文件的创建时间在所述目标文件的创建时间之前,则将所述共性文件的文件节点作为所述目标文件的文件节点的父文件节点,以创建所述目标文件的行为关系链。
在一个实施例中,在确定出终端中的目标文件时,该至少一条指令由处理器301加载并执行如下步骤:
确定终端中的可疑文件,并将所述可疑文件作为行为关系链检测的起始文件,所述可疑文件是在所述终端中检测到的具有指定文件行为数据和/或指定文件标识的文件;对所述起始文件进行行为关系链检测,确定目标文件。
在一个实施例中,该至少一条指令由处理器301加载还可执行如下步骤:
根据创建的所述目标文件的行为关系链,对所述目标文件的行为关系链上记录的文件节点所对应的文件进行文件防护处理;其中,所述文件防护处理包括以下处理中的任一项:隔离处理、删除处理、或者提示处理。
在一个实施例中,本发明实施例还提供了一种如图12所示的智能终端的结构示意图。如图12所示的本发明实施例中的智能终端可包括:一个或多个处理器401;一个或多个输入设备402,一个或多个输出设备403和存储器404。上述处理器401、输入设备402、输出设备403和存储器404通过总线405连接。存储器404用于存储计算机程序,所述计算机程序包括程序指令,处理器401用于执行所述存储器404存储的程序指令。
在一个实施例中,该处理器401可以是中央处理单元(Central Processing Unit,CPU),该处理器还可以是其他通用处理器,即微处理器或者任何常规的处理器。该存储器404可以包括只读存储器和随机存取存储器,并向处理器401提供指令和数据。因此,在此对于处理器401和存储器404不作限定。
在本发明实施例中,由处理器401加载并执行计算机存储介质中存放的一条或一条以上指令,以实现上述相应实施例中的方法的相应步骤;具体实现中,计算机存储介质中的至少一条指令由处理器401加载并执行如下步骤:
根据终端中的可疑文件进行行为关系链检测;若检测到无关联文件的目标文件,则向服务器发送携带所述目标文件标识的查询请求;接收所述服务器反馈的共性文件的共性文件标识,所述共性文件是所述服务器确定出的共性终端中与所述目标文件存在关联关系的文件,所述共性终端是所述服务器根据所述目标文件标识确定的,所述共性终端中均包括所述目标文件;根据所述共性文件标识,创建关于所述目标文件的行为关系链。
在一个实施例中,在根据所述共性文件标识,创建关于所述目标文件的行为关系链时,该至少一条指令由处理器401加载并执行如下步骤:
根据所述共性文件标识检测所述终端中是否存在与所述共性文件标识对应的文件;若存在,则根据与所述共性文件标识对应的文件创建关于所述目标文件的行为关系链。
在一个实施例中,该至少一条指令由处理器401加载还可执行如下步骤:
根据创建的所述目标文件的行为关系链,对所述目标文件的行为关系链上记录的文件节点所对应的文件进行文件防护处理;其中,所述文件防护处理包括以下处理中的任一项:隔离处理、删除处理、或者提示处理。
需要说明的是,上述描述的终端和单元的具体工作过程,可以参考前述各个实施例中的相关描述,在此不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本发明的部分实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。

Claims (15)

1.一种关系链创建方法,其特征在于,包括:
确定出终端中的目标文件,所述目标文件是指:在对所述目标文件的行为关系链检测过程中不能检测到关联文件的终端文件;
根据所述目标文件确定共性终端集合,所述共性终端集合中的共性终端中均包括所述目标文件;
对所述共性终端集合中的共性终端进行文件检测,确定出所述共性终端中与所述目标文件存在关联关系的共性文件;所述共性文件与所述目标文件存在直接行为关系,且所述共性文件的文件行为数据与所述目标文件的文件行为数据相匹配;其中,所述直接行为关系是指:直接对所述目标文件进行操作的行为关系,或直接被所述目标文件进行操作的行为关系;
根据所述共性文件,创建关于所述目标文件的行为关系链,所述行为关系链上记录了所述目标文件的文件节点和所述共性文件的文件节点。
2.如权利要求1所述的方法,其特征在于,所述对所述共性终端集合中的共性终端进行文件检测,确定出所述共性终端中与所述目标文件存在关联关系的共性文件,包括:
对所述共性终端集合中的共性终端进行文件检测,确定出所述共性终端中与所述目标文件存在关联关系的中间文件;
基于所述中间文件的文件行为数据,对所述中间文件进行聚类处理,得到聚类结果;
根据所述聚类结果确定出共性文件,所述共性文件是指所述中间文件中与所述目标文件存在直接行为关系的文件。
3.如权利要求2所述的方法,其特征在于,所述聚类结果中包括一个或多个聚类类别,每个聚类类别中的中间文件的文件标识相同、且具有相同的文件行为数据。
4.如权利要求1-3任一项所述的方法,其特征在于,所述根据所述共性文件,创建关于所述目标文件的行为关系链,包括:
获取所述目标文件的创建时间,以及获取所述共性文件的创建时间;
若所述共性文件的创建时间在所述目标文件的创建时间之前,则将所述共性文件的文件节点作为所述目标文件的文件节点的父文件节点,以创建关于所述目标文件的行为关系链。
5.如权利要求1-3任一项所述的方法,其特征在于,所述确定出终端中的目标文件,包括:
确定终端中的可疑文件,并将所述可疑文件作为行为关系链检测的起始文件,所述可疑文件是在所述终端中检测到的具有指定文件行为数据和/或指定文件标识的文件;
对所述起始文件进行行为关系链检测,确定目标文件。
6.如权利要求1所述的方法,其特征在于,所述方法还包括:
根据创建的关于所述目标文件的行为关系链,对关于所述目标文件的行为关系链上记录的文件节点所对应的文件进行文件防护处理;
其中,所述文件防护处理包括以下处理中的任一项:隔离处理、删除处理、或者提示处理。
7.一种关系链创建方法,其特征在于,包括:
根据终端中的可疑文件进行行为关系链检测;
若检测到无关联文件的目标文件,则向服务器发送携带目标文件标识的查询请求;
接收所述服务器反馈的共性文件的共性文件标识,所述共性文件是所述服务器确定出的共性终端中与所述目标文件存在关联关系的文件,所述共性终端是所述服务器根据所述目标文件标识确定的,所述共性终端中均包括所述目标文件;所述共性文件与所述目标文件存在直接行为关系,且所述共性文件的文件行为数据与所述目标文件的文件行为数据相匹配;其中,所述直接行为关系是指:直接对所述目标文件进行操作的行为关系,或直接被所述目标文件进行操作的行为关系;
根据所述共性文件标识,创建关于所述目标文件的行为关系链。
8.如权利要求7所述的方法,其特征在于,所述根据所述共性文件标识,创建关于所述目标文件的行为关系链,包括:
根据所述共性文件标识检测所述终端中是否存在与所述共性文件标识对应的文件;
若存在,则根据与所述共性文件标识对应的文件创建关于所述目标文件的行为关系链。
9.如权利要求7或8所述的方法,其特征在于,所述方法还包括:
根据创建的关于所述目标文件的行为关系链,对关于所述目标文件的行为关系链上记录的文件节点所对应的文件进行文件防护处理;
其中,所述文件防护处理包括以下处理中的任一项:隔离处理、删除处理、防护处理或者查杀处理。
10.一种关系链创建装置,其特征在于,包括:
确定单元,用于确定出终端中的目标文件,所述目标文件是指:在对所述目标文件的行为关系链检测过程中不能检测到关联文件的终端文件;
所述确定单元,还用于根据所述目标文件确定共性终端集合,所述共性终端集合中的共性终端中均包括所述目标文件;
检测单元,用于对所述共性终端集合中的共性终端进行文件检测,确定出所述共性终端中与所述目标文件存在关联关系的共性文件;所述共性文件与所述目标文件存在直接行为关系,且所述共性文件的文件行为数据与所述目标文件的文件行为数据相匹配;其中,所述直接行为关系是指:直接对所述目标文件进行操作的行为关系,或直接被所述目标文件进行操作的行为关系;
创建单元,用于根据所述共性文件,创建关于所述目标文件的行为关系链,所述行为关系链上记录了所述目标文件的文件节点和所述共性文件的文件节点。
11.一种关系链创建装置,其特征在于,包括:
检测单元,用于根据终端中的可疑文件进行行为关系链检测;
发送单元,用于若检测到无关联文件的目标文件,则向服务器发送携带目标文件标识的查询请求;
接收单元,用于接收所述服务器反馈的共性文件的共性文件标识,所述共性文件是所述服务器确定出的共性终端中与所述目标文件存在关联关系的文件,所述共性终端是所述服务器根据所述目标文件确定的,所述共性终端中均包括所述目标文件;所述共性文件与所述目标文件存在直接行为关系,且所述共性文件的文件行为数据与所述目标文件的文件行为数据相匹配;其中,所述直接行为关系是指:直接对所述目标文件进行操作的行为关系,或直接被所述目标文件进行操作的行为关系;
创建单元,用于根据所述共性文件标识,创建关于所述目标文件的行为关系链。
12.一种服务器,其特征在于,包括处理器、收发器和存储器,所述处理器、收发器和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1-6任一项所述的关系链创建方法。
13.一种智能终端,其特征在于,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求7-9任一项所述的关系链创建方法。
14.一种计算机存储介质,其特征在于,所述计算机存储介质存储有第一计算机程序指令,所述第一计算机程序指令适于由处理器加载并执行如权利要求1-6任一项所述的关系链创建方法。
15.一种计算机存储介质,其特征在于,所述计算机存储介质存储有第二计算机程序指令,所述第二计算机程序指令适于由处理器加载并执行如权利要求7-9任一项所述的关系链创建方法。
CN201810543956.4A 2018-05-30 2018-05-30 关系链创建方法、装置及服务器、终端、存储介质 Active CN108763936B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810543956.4A CN108763936B (zh) 2018-05-30 2018-05-30 关系链创建方法、装置及服务器、终端、存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810543956.4A CN108763936B (zh) 2018-05-30 2018-05-30 关系链创建方法、装置及服务器、终端、存储介质

Publications (2)

Publication Number Publication Date
CN108763936A CN108763936A (zh) 2018-11-06
CN108763936B true CN108763936B (zh) 2022-02-22

Family

ID=64004710

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810543956.4A Active CN108763936B (zh) 2018-05-30 2018-05-30 关系链创建方法、装置及服务器、终端、存储介质

Country Status (1)

Country Link
CN (1) CN108763936B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103971053A (zh) * 2013-01-30 2014-08-06 腾讯科技(深圳)有限公司 木马文件传播关系确定方法和相关装置
US9239907B1 (en) * 2010-07-06 2016-01-19 Symantec Corporation Techniques for identifying misleading applications
CN105468973A (zh) * 2015-11-18 2016-04-06 中国地质大学(武汉) 安卓系统下基于dex文件空域的信息隐藏方法
CN106130966A (zh) * 2016-06-20 2016-11-16 北京奇虎科技有限公司 一种漏洞挖掘检测方法、服务器、装置和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9239907B1 (en) * 2010-07-06 2016-01-19 Symantec Corporation Techniques for identifying misleading applications
CN103971053A (zh) * 2013-01-30 2014-08-06 腾讯科技(深圳)有限公司 木马文件传播关系确定方法和相关装置
CN105468973A (zh) * 2015-11-18 2016-04-06 中国地质大学(武汉) 安卓系统下基于dex文件空域的信息隐藏方法
CN106130966A (zh) * 2016-06-20 2016-11-16 北京奇虎科技有限公司 一种漏洞挖掘检测方法、服务器、装置和系统

Also Published As

Publication number Publication date
CN108763936A (zh) 2018-11-06

Similar Documents

Publication Publication Date Title
US10972488B2 (en) Method and system for modeling all operations and executions of an attack and malicious process entry
JP6644001B2 (ja) ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体
US9596257B2 (en) Detection and prevention of installation of malicious mobile applications
US9703958B2 (en) Rollback feature
US8683216B2 (en) Identifying polymorphic malware
Bayer et al. Scalable, behavior-based malware clustering.
US8607335B1 (en) Internet file safety information center
CN103281325A (zh) 基于云安全的文件处理方法及装置
JP5599892B2 (ja) リンクファイルを使用したマルウェアの検出およびマルウェアへの対応
US8561180B1 (en) Systems and methods for aiding in the elimination of false-positive malware detections within enterprises
US20180082061A1 (en) Scanning device, cloud management device, method and system for checking and killing malicious programs
CN103473501B (zh) 一种基于云安全的恶意软件追踪方法
CN111563015B (zh) 数据监控方法及装置、计算机可读介质及终端设备
CN101246535A (zh) 一种修复异常文件的方法、系统和装置
CN102945348A (zh) 文件信息收集方法与装置
CN102945349A (zh) 未知文件处理方法与装置
CN105095759A (zh) 文件的检测方法及装置
CN108898014B (zh) 一种病毒查杀方法、服务器及电子设备
CN113360913A (zh) 一种恶意程序检测方法、装置、电子设备及存储介质
CN104217165A (zh) 文件的处理方法及装置
US9256741B2 (en) Method and device for determining propagation relationship of Trojan horse files
CN109145589B (zh) 应用程序获取方法及装置
CN102915359A (zh) 文件管理方法和装置
CN108763936B (zh) 关系链创建方法、装置及服务器、终端、存储介质
US20240054210A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant