CN109670337B - 一种检测方法及装置 - Google Patents
一种检测方法及装置 Download PDFInfo
- Publication number
- CN109670337B CN109670337B CN201811582505.8A CN201811582505A CN109670337B CN 109670337 B CN109670337 B CN 109670337B CN 201811582505 A CN201811582505 A CN 201811582505A CN 109670337 B CN109670337 B CN 109670337B
- Authority
- CN
- China
- Prior art keywords
- file
- detection
- instruction
- rule base
- characteristic attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Databases & Information Systems (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本公开的实施例公开了一种检测方法及装置,所述检测方法包括:判断网络交互过程中指令的类型;在所述指令的类型为提升可执行权限类指令的情况下,判断所述文件的特征属性参数是否符合预设值;在所述文件的特征属性参数不符合预设值的情况下,检测所述文件中是否存在高危指令。本公开的实施例所提供的检测方法及装置,通过在进行高危指令检测之前首先判断文件的特征属性参数是否符合预设值,能够有效过滤高危指令,防止服务器出现异常或者敏感数据泄露,并且缩小了文件的检测范围,缩短了运维过程的响应时间。
Description
技术领域
本公开涉及互联网领域,尤其涉及一种检测方法及装置。
背景技术
堡垒机是一种面向运维用户的运维安全审计产品,支持运维终端通过字符型协议SSH协议来运维后端资产。运维用户在运维过程中发生的一些违规操作可能会导致后端资产异常。故通过安全外壳协议运维过程中的指令检测是当前堡垒机必备功能。如果运维人员在运维过程中,通过将运维指令写入脚本并在运维终端执行该脚本的方式,则可绕过堡垒机的常规指令检测。这种行为可能会导致资产上的敏感数据和信息被篡改或破坏。
目前,现有技术是通过识别两类指令,识别出后再执行阻断、审批或告警等动作,两类指令包括提升文件可执行权限类指令和执行脚本文件类指令,对于提升文件可执行权限类指令,通过检测并控制提升文件可执行权限类指令,防止运维用户提升文件的可执行权限,而执行脚本文件类指令则不需要脚本文件有可执行权限也能被执行。通过识别提升文件可执行权限类指令和执行脚本文件类指令并进行相应动作,可能会导致这些指令的正常功能受到限制,使得在脚本中携带高危指令的情况下,这些指令不能被准确检测和处理。
发明内容
针对现有技术中存在的上述技术问题,本公开的实施例提供了一种检测方法及装置,能够有效过滤高危指令,并且缩小文件的检测范围,缩短运维过程的响应时间。
根据本公开的第一方案,提供了一种检测方法,包括:判断网络交互过程中指令的类型;在所述指令的类型为提升可执行权限类指令的情况下,判断所述文件的特征属性参数是否符合预设值;在所述文件的特征属性参数不符合预设值的情况下,检测所述文件中是否存在高危指令。
在一些实施例中,在所述文件的特征属性参数不符合预设值的情况下,检测所述文件中是否存在高危指令,包括:在所述文件的特征属性参数不符合预设值的情况下,将所述文件添加到规则库中,并将所述文件的检测状态标记为未检测;在接收到与所述文件相对应的执行命令时,查询所述规则库中所述文件的检测状态;在所述文件的检测状态为未检测的情况下,检测所述文件中是否存在高危指令。
在一些实施例中,所述检测方法还包括:在完成对所述文件的高危指令的检测后,将所述规则库中所述文件的检测状态标记为已检测,并将检测结果记录到所述规则库,以更新所述规则库。
在一些实施例中,在判断网络交互过程中指令的类型之后,还包括:在所述指令的类型为执行脚本文件类指令的情况下,查询所述规则库中是否存在所述文件;在不存在所述文件的情况下,判断所述文件的特征属性参数是否符合预设值;在所述文件的特征属性参数不符合预设值的情况下,将所述文件添加到规则库中,并将所述文件的检测状态标记为未检测。
在一些实施例中,在所述文件的特征属性参数不符合预设值的情况下,将所述文件添加到规则库中,并将所述文件的检测状态标记为未检测之后,还包括:检测所述文件中是否存在高危指令;在完成对所述文件的高危指令的检测后,将所述规则库中所述文件的检测状态标记为已检测,以更新所述规则库。
根据本公开的第二方案,本公开的实施例还提供了一种检测装置,所述检测装置包括:第一判断模块,用于判断网络交互过程中指令的类型;第二判断模块,用于在所述指令的类型为提升可执行权限类指令的情况下,判断所述文件的特征属性参数是否符合预设值;检测模块,用于在所述文件的特征属性参数不符合预设值的情况下,检测所述文件中是否存在高危指令。
在一些实施例中,所述检测模块还包括:第一建立单元,用于在所述文件的特征属性参数不符合预设值的情况下,将所述文件添加到规则库中,并将所述文件的检测状态标记为未检测;第一查询单元,用于在接收到与所述文件相对应的执行命令时,查询所述规则库中所述文件的检测状态;第一检测单元,用于在所述文件的检测状态为未检测的情况下,检测所述文件中是否存在高危指令。
在一些实施例中,所述检测模块还包括:第一标记单元,用于在完成对所述文件的高危指令的检测后,将所述规则库中所述文件的检测状态标记为已检测,并将检测结果记录到所述规则库,以更新所述规则库。
在一些实施例中,所述检测模块还包括:第二查询单元,还用于在所述指令的类型为执行脚本文件类指令的情况下,查询所述规则库中是否存在所述文件;判断单元,用于在不存在所述文件的情况下,判断所述文件的特征属性参数是否符合预设值;第二建立单元,在所述文件的特征属性参数不符合预设值的情况下,将所述文件添加到规则库中,并将所述文件的检测状态标记为未检测。
在一些实施例中,所述检测模块还包括:第二检测单元,用于检测所述文件中是否存在高危指令;第二标记单元,用于在完成对所述文件的高危指令的检测后,将所述规则库中所述文件的检测状态标记为已检测,并将检测结果记录到所述规则库,以更新所述规则库。
与现有技术相比,本公开所提供的检测方法及装置的有益效果在于:
本公开的实施例所提供的检测方法及装置,通过在进行高危指令检测之前首先判断文件的特征属性参数是否符合预设值,能够有效过滤高危指令,防止服务器出现异常或者敏感数据泄露,并且缩小了文件的检测范围,缩短了运维过程的响应时间。
附图说明
图1为根据本公开的实施例的检测方法的流程图;
图2为根据本公开的实施例的检测方法的一个具体实施例的流程图;
图3为根据本公开的实施例的检测装置的结构示意图;
图4为根据本公开的实施例的检测装置的检测模块的结构示意图。
具体实施方式
为使本领域技术人员更好的理解本公开的技术方案,下面结合附图和具体实施方式对本公开作详细说明。下面结合附图和具体实施例对本公开的实施例作进一步详细描述,但不作为对本公开的限定。
本公开中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的部分。“包括”或者“包含”等类似的词语意指在该词前的要素涵盖在该词后列举的要素,并不排除也涵盖其他要素的可能。本公开使用的所有术语(包括技术术语或者科学术语)与本公开所属领域的普通技术人员理解的含义相同,除非另外特别定义。还应当理解,在诸如通用字典中定义的术语应当被解释为具有与它们在相关技术的上下文中的含义相一致的含义,而不应用理想化或极度形式化的意义来解释,除非这里明确地这样定义。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
图1为根据本公开的实施例的检测方法的流程图,如图1所示,该检测方法包括S101至S103:
S101,判断网络交互过程中指令的类型。具体的,提取接收到的网络交互过程中的指令并对该指令进行分类,该指令的类型包括提升文件可执行权限类指令,如chmod等类指令,以及执行脚本文件类指令,如sh、bash等类指令。
S102,在指令的类型为提升可执行权限类指令的情况下,判断文件的特征属性参数是否符合预设值。可选的,特征属性参数包括:文件类型,文件权限,文件特征码,文件大小等,用户可以根据实际需求配置需要检测的文件的特征属性参数的预设值,例如将文件大小的上限配置为10M,需要检测的文件的类型为text类型等,可选的,用户还可以根据实际需求设置判断文件的特征属性参数是否符合预设值的顺序,例如首先判断文件权限,其次判断文件大小,最后判断文件特征码等,在此不做具体限定。具体的,在依次判断文件的多个特征属性参数是否符合预设值时,如出现特征属性参数中任一项不符合与其相对应的预设值,认为是需要对该文件进行高危指令检测,即可中断对该文件的特征属性参数的判断,进入S103,以缩短运维过程的响应时间。
S103,在文件的特征属性参数不符合预设值的情况下,检测该文件中是否存在高危指令。具体说来,在对该文件进行高危指令检测之后还包括,根据检测结果执行阻断、审批或告警等动作,以防止执行该文件的电子设备出现异常或者敏感数据泄露。
本公开的实施例所提供的检测方法通过在对文件进行高危指令检测之前,首先对网络交互过程中的指令进行分类,并判断文件的特征属性参数是否符合预设值,能够有效过滤高危指令,防止服务器出现异常或者敏感数据泄露,并且缩小了文件的检测范围,缩短了运维过程的响应时间。
在一些实施例中,S103中,在文件的特征属性参数不符合预设值的情况下,检测该文件中是否存在高危指令,包括:在该文件的特征属性参数不符合预设值的情况下,将该文件添加到规则库中,并将该文件的检测状态标记为未检测;在接收到与该文件相对应的执行命令时,查询规则库中该文件的检测状态;在该文件的检测状态为未检测的情况下,检测该文件中是否存在高危指令。具体说来,规则库是用来记录经过筛选后的文件和高危指令的检测结果,已被加入到规则库中的文件,说明是符合需要进行高危指令检测的特征的文件,规则库包括三个关键项,下面分别进行说明。第一个关键项是文件的标识码,每一个文件都具有一个与其唯一对应的文件的标识码,该标识码用于查询规则库中是否存在该文件,可选的,该标识码可以为md5值;第二个关键项是检测状态,该检测状态包括分为未检测和已检测两个状态,用于表征文件是否已经进行了高危指令检测;第三个关键项是检测结果,其用于表征文件的经过高危指令检测的结果和与该文件的检测结果相对应的处理动作,如阻断、审批或告警等动作。具体的,在S102中,当检测到某一个特征属性参数不符合与其相对应的预设值时,认为需要对该文件进行高危指令检测,首先根据文件的标识码查询规则库中是否存在该文件,如存在该文件,则进一步查询该文件的检测状态,如该文件的检测状态为已检测,则直接根据检测结果执行相对应的动作,如该文件的检测状态为未检测,则等待接收到与该文件相对应的执行命令时再进行后续的操作,包括查询该文件的检测状态和在该文件的检测状态为未检测时对该文件进行高危指令检测,如规则库中不存在该文件,则将该文件加入到规则库中,并将检测状态标记为未检测,等待接收到与该文件相对应的执行命令时再进行后续的操作。
在一些实施例中,该检测方法还包括:在完成对文件的高危指令的检测后,将规则库中该文件的检测状态标记为已检测,并将检测结果记录到规则库,以更新规则库。具体的,在更新规则库后,一旦下次需要检测相同的文件,在查询规则库时即可直接查询到该文件的检测状态为已检测,直接根据检测结果执行相对应的动作即可,无须再对该文件进行重复的高危指令检测,有效降低了高危指令的检测次数,从而提高了高危指令的检测效率。
在一些实施例中,在判断网络交互过程中指令的类型之后,还包括:在指令的类型为执行脚本文件类指令的情况下,查询规则库中是否存在该文件;在不存在该文件的情况下,判断该文件的特征属性参数是否符合预设值;在该文件的特征属性参数不符合预设值的情况下,将该文件添加到规则库中,并将该文件的检测状态标记为未检测。具体说来,执行脚本文件类指令不需要脚本文件有可执行权限也能被执行,也不需要在接收到与该文件相对应的执行命令时才能执行,在指令的类型为执行脚本文件类指令的情况下,首先查询规则库中是否存在该文件,如存在该文件,则说明该文件已经进行过高危指令检测,直接根据检测结果执行相对应的动作即可,如不存在该文件,则说明该文件未进行过高危指令检测,首先需要判断该文件的特征属性参数是否符合预设值,在该文件的特征属性参数不符合预设值的情况下,将该文件添加到规则库中,并将该文件的检测状态标记为未检测。
在一些实施例中,在指令的类型为执行脚本文件类指令的情况下,如文件的特征属性参数不符合预设值,将文件添加到规则库中,并将该文件的检测状态标记为未检测之后,还包括:检测文件中是否存在高危指令;在完成对文件的高危指令的检测后,将规则库中文件的检测状态标记为已检测,并将检测结果记录到规则库,以更新规则库。具体说来,将该文件加入到规则库中说明该文件是需要进行高危指令检测但且未进行过高危指令检测的文件,此时,无须等待与该文件相对应的执行命令,直接对该文件进行高危指令检测即可,在检测完成后,更新规则库中该文件的检测状态,一旦下次需要检测相同的文件,直接根据查询规则库的检测结果并根据检测结果执行相对应的动作即可,无须再对该文件进行重复的高危指令检测,有效降低了高危指令的检测次数,从而提高了高危指令的检测效率。
具体的,图2为本公开的一个具体实施例的检测方法的流程图,如图2所示,该检测方法包括:
S201,接收运维请求。具体说来,接收指令字符直至收到行结束符为一次完整的运维事件。
S202,解析运维事件。具体的,S202中解析运维事件包括:将单个字符转发的同时,缓存一份到指定缓冲区中,直到收到行结束符则停止缓存;保留行结束符不转发到服务器一端,以防止该指令在服务器上被执行;提取运维事件的指令和参数,该参数可以包括文件名称。
S203,判断运维事件的指令的类型。指令的类型包括提升文件可执行权限类指令和执行脚本文件类指令,在指令的类型为提升可执行权限类指令的情况下,进入S204,在指令的类型为执行脚本文件类指令的情况下,进入S208。
S204,判断该文件的特征属性参数是否符合预设值。具体的,根据文件名称获取该文件的特征属性参数,特征属性参数包括文件类型,文件权限,文件特征码,文件大小,依次判断文件权限,文件大小,文件类型和文件特征码,如其中任一项特征属性参数不符合与其对应的预设值,即进入S205,如特征属性参数均符合与其各自相对应的预设值,则说明该文件不需要进行高危指令检测,即进入S214。其中,在判断文件特征码时,只需获取部分该文件的内容,判断是否存在“#!/bin/sh”和”#!/bin/bash”等文件特征码。
S205,查询规则库中是否存在该文件。如不存在该文件,则进入S206,如存在该文件,则直接进入S207。具体的,首先提取该文件的标识码,例如该标识码为md5值,根据md5值去查询规则库中是否存在与该md5值对应的文件。
S206,将该文件添加到规则库中,并将该文件的检测状态标记为未检测。
S207,在接收到与该文件对应的执行命令时,查询规则库中该文件的检测状态。如该文件的检测状态为未检测,则进入S211,如该文件的检测状态为已检测,则进入S212。
S208,在指令的类型为执行脚本文件类指令的情况下,查询规则库中是否存在该文件。如不存在该文件,则进入S209,如存在该文件,则进入S212。
S209,判断该文件的特征属性参数是否符合预设值。如其中任一项特征属性参数不符合与其对应的预设值,即进入S210,如特征属性参数均符合与其各自相对应的预设值,则说明该文件不需要进行高危指令检测,即进入S214。具体说来,S209与S204可以为相同的步骤,可以通过程序编程实现从S208跳转到S204。
S210,将该文件添加到规则库中,并将该文件的检测状态标记为未检测。具体说来,S210与S206可以为相同的步骤,可以通过程序编程实现从S209跳转到S206。
S211,检测该文件中是否存在高危指令。
S212,根据检测结果执行与其相对应的动作。
S213,将规则库中该文件的检测状态标记为已检测,并将检测结果记录到所述规则库,以更新规则库。对该文件的高危指令的检测至此结束。
S214,允许执行该文件。
图3为本公开的实施例的检测装置的结构示意图,如图3所示,本公开的实施例还提供了一种检测装置,该检测装置包括:
第一判断模块1,用于判断网络交互过程中指令的类型;第二判断模块2,与第一判断模块1耦合,用于在指令的类型为提升可执行权限类指令的情况下,判断该文件的特征属性参数是否符合预设值;检测模块3,与第二判断模块2耦合,用于在该文件的特征属性参数不符合预设值的情况下,检测该文件中是否存在高危指令。具体说来,检测装置还包括提取模块(图3中未示出),与第一判断模块1耦合,用于提取接收到的网络交互过程中的指令和参数,该参数可以包括文件名;配置模块(图3中未示出),与第二判断模块2耦合,用于配置需要检测的文件的特征属性参数的预设值,例如将文件大小的上限配置为10M,需要检测的文件的类型为text类型等,可选的,用户还可以根据实际需求通过配置模块设置判断文件的特征属性参数是否符合预设值的顺序,例如首先判断文件权限,其次判断文件大小,最后判断文件特征码等,在此不做具体限定;执行模块(图3中未示出),与检测模块3耦合,用于根据检测结果执行阻断、审批或告警等动作,以防止执行该文件的电子设备出现异常或者敏感数据泄露。具体的,在第二判断模块2依次判断文件的多个特征属性参数是否符合预设值时,如出现特征属性参数中任一项不符合与其相对应的预设值,认为是需要对该文件进行高危指令检测,即可中断对该文件的特征属性参数的判断,由检测模块3对该文件进行高危指令检测,以缩短运维过程的响应时间。
可选的,该检测装置可以作为一个单独的装置设置于客户端与服务器之间,也可以集成于设置于客户端与服务器之间的堡垒机中,在此不做具体限定。本公开的实施例所提供的检测装置通过在进行高危指令检测之前,首先判断文件的特征属性参数是否符合预设值,能够有效过滤高危指令,防止服务器出现异常或者敏感数据泄露,并且缩小了文件的检测范围,缩短了运维过程的响应时间。
在一些实施例中,如图4所示,检测模块3还包括:第一建立单元31,用于在文件的特征属性参数不符合预设值的情况下,将该文件添加到规则库中,并将文件的检测状态标记为未检测;第一查询单元32,与第一建立单元31耦合,用于在接收到与该文件相对应的执行命令时,查询规则库中该文件的检测状态;第一检测单元33,与第一查询单元32耦合,用于在该文件的检测状态为未检测的情况下,检测该文件中是否存在高危指令。具体说来,规则库是用来记录经过筛选后的文件和高危指令的检测结果,已被加入到规则库中的文件,说明是符合需要进行高危指令检测的特征的文件,规则库包括文件的标识码、检测状态和检测结果三个关键项,标识码用于查询规则库中是否存在该文件,可选的,该标识码可以为md5值,检测状态包括分为未检测和已检测两个状态,用于表征文件是否已经进行了高危指令检测检测结果用于表征文件的经过高危指令检测的结果和与该文件的检测结果相对应的处理动作,如阻断、审批或告警等动作。具体的,第一查询单元32在接收到与该文件相对应的执行命令时查询该文件的检测状态,如该文件的检测状态为已检测,则直接由检测装置中的执行模块根据检测结果执行相对应的动作,如该文件的检测状态为未检测,则由第一检测单元33检测该文件中是否存在高危指令,在检测完成后,由检测装置中的执行模块根据检测结果执行相对应的动作。具体说来,该检测装置还包括一个建立模块,该建立模块与检测模块耦合,用于预先建立规则库。
在一些实施例中,检测模块还包括:第一标记单元34,分别与第一建立单元31和第一检测单元33耦合,用于在完成对文件的高危指令的检测后,将规则库中该文件的检测状态标记为已检测,并将检测结果记录到规则库,以更新规则库。具体说来,第一查询单元32与检测装置中的执行模块耦合,在更新规则库后,一旦下次需要检测相同的文件,第一查询单元32在查询规则库时即可直接查询到该文件的检测状态为已检测,由执行模块直接根据检测结果执行相对应的动作即可,无须再对该文件进行高危指令检测,有效降低了高危指令的检测次数,从而提高了高危指令的检测效率。
在一些实施例中,检测模块还包括:第二查询单元35,还用于在网络交互过程中指令的类型为执行脚本文件类指令的情况下,查询规则库中是否存在该文件;判断单元36,与第二查询单元35耦合,用于在不存在该文件的情况下,判断该文件的特征属性参数是否符合预设值;第二建立单元37,与判断单元36耦合,在该文件的特征属性参数不符合预设值的情况下,将该文件添加到规则库中,并将该文件的检测状态标记为未检测。具体说来,在指令的类型为执行脚本文件类指令的情况下,第二查询单元35首先查询规则库中是否存在该文件,如存在该文件,则说明该文件已经进行过高危指令检测,如不存在该文件,则说明该文件未进行过高危指令检测,则首先需要判断单元36判断该文件的特征属性参数是否符合预设值,在该文件的特征属性参数不符合预设值的情况下,第二建立单元37将该文件添加到规则库中,并将该文件的检测状态标记为未检测。
在一些实施例中,检测模块还包括:第二检测单元38,用于在指令的类型为执行脚本文件类指令的情况下检测该文件中是否存在高危指令;第二标记单元39,分别与第二建立单元37和第二检测单元38耦合,用于在完成对该文件的高危指令的检测后,将规则库中该文件的检测状态标记为已检测,并将检测结果记录到规则库,以更新规则库。具体的,将文件加入到规则库中说明该文件是需要进行高危指令检测但未进行过高危指令检测的文件,此时,无须等待与该文件相对应的执行命令,由第二检测单元38直接对该文件进行高危指令检测即可,在检测完成后,由第二标记单元39更新规则库中该文件的检测状态,并将检测结果记录到规则库,其中,第二检测单元38与检测装置中的执行模块耦合,一旦下次需要检测相同的文件,由执行模块直接根据查询规则库的结果,执行与该文件的检测结果相对应的动作即可,无须再对该文件进行重复的高危指令检测,有效降低了高危指令的检测次数,从而提高了高危指令的检测效率。
具体说来,第一建立单元31与第二建立单元37,第一查询单元32与第二查询单元35,第一检测单元33与第二检测单元38,以及第一标记单元34与第二标记单元39,可以为相同的模块,也可以为相同的程序,通过程序编程进行跳转,以实现相同的功能。
以上描述旨在是说明性的而不是限制性的。例如,上述示例(或其一个或更多方案)可以彼此组合使用。例如本领域普通技术人员在阅读上述描述时可以使用其它实施例。另外,在上述具体实施方式中,各种特征可以被分组在一起以简单化本公开。这不应解释为一种不要求保护的公开的特征对于任一权利要求是必要的意图。相反,本公开的主题可以少于特定的公开的实施例的全部特征。从而,以下权利要求书作为示例或实施例在此并入具体实施方式中,其中每个权利要求独立地作为单独的实施例,并且考虑这些实施例可以以各种组合或排列彼此组合。本公开的范围应参照所附权利要求以及这些权利要求赋权的等同形式的全部范围来确定。
以上实施例仅为本公开的示例性实施例,不用于限制本公开,本公开的保护范围由权利要求书限定。本领域技术人员可以在本公开的实质和保护范围内,对本公开做出各种修改或等同替换,这种修改或等同替换也应视为落在本公开的保护范围内。
Claims (10)
1.一种检测方法,其特征在于,包括:
判断网络交互过程中指令的类型;
在所述指令的类型为提升文件可执行权限类指令的情况下,判断所述文件的特征属性参数是否符合预设值;
在所述文件的特征属性参数不符合预设值的情况下,检测所述文件中是否存在高危指令。
2.根据权利要求1所述的检测方法,其特征在于,在所述文件的特征属性参数不符合预设值的情况下,检测所述文件中是否存在高危指令,包括:
在所述文件的特征属性参数不符合预设值的情况下,将所述文件添加到规则库中,并将所述文件的检测状态标记为未检测;
在接收到与所述文件相对应的执行命令时,查询所述规则库中所述文件的检测状态;
在所述文件的检测状态为未检测的情况下,检测所述文件中是否存在高危指令。
3.根据权利要求2所述的检测方法,其特征在于,所述检测方法还包括:
在完成对所述文件的高危指令的检测后,将所述规则库中所述文件的检测状态标记为已检测,并将检测结果记录到所述规则库,以更新所述规则库。
4.根据权利要求3所述的检测方法,其特征在于,在判断网络交互过程中指令的类型之后,还包括:
在所述指令的类型为执行脚本文件类指令的情况下,查询所述规则库中是否存在所述文件;
在不存在所述文件的情况下,判断所述文件的特征属性参数是否符合预设值;
在所述文件的特征属性参数不符合预设值的情况下,将所述文件添加到规则库中,并将所述文件的检测状态标记为未检测。
5.根据权利要求4所述的检测方法,其特征在于,在所述文件的特征属性参数不符合预设值的情况下,将所述文件添加到规则库中,并将所述文件的检测状态标记为未检测之后,还包括:
检测所述文件中是否存在高危指令;
在完成对所述文件的高危指令的检测后,将所述规则库中所述文件的检测状态标记为已检测,并将检测结果记录到所述规则库,以更新所述规则库。
6.一种检测装置,其特征在于,包括:
第一判断模块,用于判断网络交互过程中指令的类型;
第二判断模块,用于在所述指令的类型为提升文件可执行权限类指令的情况下,判断所述文件的特征属性参数是否符合预设值;
检测模块,用于在所述文件的特征属性参数不符合预设值的情况下,检测所述文件中是否存在高危指令。
7.根据权利要求6所述的检测装置,其特征在于,所述检测模块还包括:
第一建立单元,用于在所述文件的特征属性参数不符合预设值的情况下,将所述文件添加到规则库中,并将所述文件的检测状态标记为未检测;
第一查询单元,用于在接收到与所述文件相对应的执行命令时,查询所述规则库中所述文件的检测状态;
第一检测单元,用于在所述文件的检测状态为未检测的情况下,检测所述文件中是否存在高危指令。
8.根据权利要求7所述的检测装置,其特征在于,所述检测模块还包括:
第一标记单元,用于在完成对所述文件的高危指令的检测后,将所述规则库中所述文件的检测状态标记为已检测,并将检测结果记录到所述规则库,以更新所述规则库。
9.根据权利要求8所述的检测装置,其特征在于,所述检测模块还包括:
第二查询单元,还用于在所述指令的类型为执行脚本文件类指令的情况下,查询所述规则库中是否存在所述文件;
判断单元,用于在不存在所述文件的情况下,判断所述文件的特征属性参数是否符合预设值;
第二建立单元,在所述文件的特征属性参数不符合预设值的情况下,将所述文件添加到规则库中,并将所述文件的检测状态标记为未检测。
10.根据权利要求9所述的检测装置,其特征在于,所述检测模块还包括:
第二检测单元,用于检测所述文件中是否存在高危指令;
第二标记单元,用于在完成对所述文件的高危指令的检测后,将所述规则库中所述文件的检测状态标记为已检测,并将检测结果记录到所述规则库,以更新所述规则库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811582505.8A CN109670337B (zh) | 2018-12-24 | 2018-12-24 | 一种检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811582505.8A CN109670337B (zh) | 2018-12-24 | 2018-12-24 | 一种检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109670337A CN109670337A (zh) | 2019-04-23 |
| CN109670337B true CN109670337B (zh) | 2021-12-14 |
Family
ID=66147117
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811582505.8A Active CN109670337B (zh) | 2018-12-24 | 2018-12-24 | 一种检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109670337B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111639317B (zh) * | 2020-05-24 | 2023-05-09 | 中信银行股份有限公司 | 自动识别高危授权用户方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105718800A (zh) * | 2016-01-18 | 2016-06-29 | 北京金山安全管理系统技术有限公司 | 一种快速病毒扫描查杀方法和装置 |
| JP2016181208A (ja) * | 2015-03-25 | 2016-10-13 | 三菱電機株式会社 | 不正監視装置および不正監視プログラム |
| CN106446685A (zh) * | 2016-09-30 | 2017-02-22 | 北京奇虎科技有限公司 | 恶意文档的检测方法及装置 |
| CN109033813A (zh) * | 2018-07-09 | 2018-12-18 | 携程旅游信息技术(上海)有限公司 | Linux操作日志的审计系统和方法 |
| CN109063437A (zh) * | 2018-08-01 | 2018-12-21 | 郑州市景安网络科技股份有限公司 | 一种设备资产运维审计方法、装置、设备及可读存储介质 |
-
2018
- 2018-12-24 CN CN201811582505.8A patent/CN109670337B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016181208A (ja) * | 2015-03-25 | 2016-10-13 | 三菱電機株式会社 | 不正監視装置および不正監視プログラム |
| CN105718800A (zh) * | 2016-01-18 | 2016-06-29 | 北京金山安全管理系统技术有限公司 | 一种快速病毒扫描查杀方法和装置 |
| CN106446685A (zh) * | 2016-09-30 | 2017-02-22 | 北京奇虎科技有限公司 | 恶意文档的检测方法及装置 |
| CN109033813A (zh) * | 2018-07-09 | 2018-12-18 | 携程旅游信息技术(上海)有限公司 | Linux操作日志的审计系统和方法 |
| CN109063437A (zh) * | 2018-08-01 | 2018-12-21 | 郑州市景安网络科技股份有限公司 | 一种设备资产运维审计方法、装置、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109670337A (zh) | 2019-04-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8635691B2 (en) | Sensitive data scanner | |
| US8424090B2 (en) | Apparatus and method for detecting obfuscated malicious web page | |
| US20170149830A1 (en) | Apparatus and method for automatically generating detection rule | |
| EP2693356B1 (en) | Detecting pirated applications | |
| US20120159625A1 (en) | Malicious code detection and classification system using string comparison and method thereof | |
| US9208315B2 (en) | Identification of telemetry data | |
| WO2015184752A1 (zh) | 一种异常进程检测方法及装置 | |
| WO2020000743A1 (zh) | 一种webshell检测方法及相关设备 | |
| US11647032B2 (en) | Apparatus and method for classifying attack groups | |
| KR101582601B1 (ko) | 액티비티 문자열 분석에 의한 안드로이드 악성코드 검출 방법 | |
| CN110417718B (zh) | 处理网站中的风险数据的方法、装置、设备及存储介质 | |
| CN104158828B (zh) | 基于云端内容规则库识别可疑钓鱼网页的方法及系统 | |
| CN103927480A (zh) | 一种恶意网页的识别方法、装置和系统 | |
| CN109815697B (zh) | 误报行为处理方法及装置 | |
| US20170277887A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| CN109670337B (zh) | 一种检测方法及装置 | |
| US20240004964A1 (en) | Method for reducing false-positives for identification of digital content | |
| CN111290747B (zh) | 一种创建函数钩子的方法、系统、设备及介质 | |
| CN114866532B (zh) | 端点文件安全检查结果信息上传方法、装置、设备及介质 | |
| CN103593614B (zh) | 一种未知病毒检索方法 | |
| CN113297583B (zh) | 漏洞风险分析方法、装置、设备及存储介质 | |
| KR101725399B1 (ko) | 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치와 악성 스크립트 탐지 및 실행 방지 방법 | |
| KR101990998B1 (ko) | 폰트 저작권 보호 시스템 및 방법 | |
| CN107203718B (zh) | 一种sql命令注入的检测方法及系统 | |
| KR101754964B1 (ko) | 악성 행위 탐지 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |