CN109714346A - 后门文件的查杀方法及装置 - Google Patents
后门文件的查杀方法及装置 Download PDFInfo
- Publication number
- CN109714346A CN109714346A CN201811626805.1A CN201811626805A CN109714346A CN 109714346 A CN109714346 A CN 109714346A CN 201811626805 A CN201811626805 A CN 201811626805A CN 109714346 A CN109714346 A CN 109714346A
- Authority
- CN
- China
- Prior art keywords
- target
- backdoor file
- file
- deleted
- backdoor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种后门文件的查杀方法及装置,其中的方法包括:针对目标后门文件,获取该目标后门文件的历史被删除比例,其中,所述目标后门文件的历史被删除比例是指在预置时间段内所述目标后门文件被删除的次数与所述目标后门文件被标记为可疑后门文件的次数之比;根据预定义规则,确定所述目标后门文件的历史被删除比例对应的查杀策略;按照所述查杀策略,对所述目标后门文件进行查杀。本发明利用可疑后门文件的历史处理经验,指导后续用户针对该文件的处理策略,由此给用户更多的处理意见参考,方便用户快速、高效地对文件进行准确的处理。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种后门文件的查杀方法及装置。本案为申请号为201510933410.6的分案申请。
背景技术
网站后门,其实就是一段网页代码,主要是以asp和php代码为主。可以是单独一个文件,也是可以插入到正常文件里的一段代码。通过网站后门文件,攻击者可以对服务器进行一系列的危险操作,包括对服务器信息的获取,或者进一步提取对服务器的控制。
目前市面上对于网站后门查杀的解决方案,大多数是基于后门样本的特征,编写相应的检测规则,从而对网站文件进行检测,从中识别出文件中是否包含恶意代码,若是能够识别出来就提示文件为疑似恶意文件,对于整个文件是后门文件的,可以进行清理,但是对于正常的网站文件中插入几句恶意的代码,则不能进行机器清理。
因此,市面上的后门查杀工具都不能轻易去替用户进行清理。
目前主机卫士的后门查杀流程是将文件先过黑白名单,再过后门扫描引擎,对于一些可疑的文件,上传到云端进行深度扫描。对于扫描出来的疑似后门文件,就上报出来。让站长自己打开文件,判断是否清理后门文件。
站长缺乏专业的网络安全知识,很难判断扫描出来的疑似文件是否正常。也就没法决定删除还是不删除。若没能及时删除,后门文件的威胁就一直还存在。同时市面上的扫描器,通过简单的规则去匹配,容易产生误报,就是将正常的文件判定为疑似后门文件,增加了站长处理的难度。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的后门文件的查杀方法及装置。
依据本发明的一个方面,提供一种后门文件的查杀方法,包括:
针对目标后门文件,获取该目标后门文件的历史被删除比例,其中,所述目标后门文件的历史被删除比例是指在预置时间段内所述目标后门文件被删除的次数与所述目标后门文件被标记为可疑后门文件的次数之比;
根据预定义规则,确定所述目标后门文件的历史被删除比例对应的查杀策略;
按照所述查杀策略,对所述目标后门文件进行查杀。
优选的,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的风险阈值,则将所述目标后门文件添加到后门待删除名单中;
所述查杀策略包括:对后门待删除名单中的目标后门文件进行删除。
优选的,所述对后门待删除名单中的目标网页后门文件进行删除之前,还包括:
将所述目标后门文件在预置的后门黑名单和/或后门白名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为后门文件;
仅针对进一步确定为后门文件的目标后门文件执行删除操作。
优选的,还包括:
在所述目标后门文件被删除之后,更新所述目标后门文件的历史被删除比例。
优选的,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的安全阈值且小于预置的风险阈值,则将所述目标后门文件的历史被删除比例进行显示;
所述查杀策略包括:将所述目标后门文件的历史被删除比例进行显示。
优选的,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例小于预置的安全阈值,则将所述目标后门文件添加到后门白名单中;
所述查杀策略包括:将所述目标后门文件添加到后门白名单中。
优选的,在所述将所述目标后门文件添加到后门白名单中之前,还包括:
通过将所述目标后门文件在预置的后门黑名单和/或后门黑名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为非后门文件;
仅针对进一步确定为非后门文件的目标后门文件执行添加到后门白名单的操作。
一种后门文件的查杀装置,包括:
后门被删除比例统计单元,用于针对目标后门文件,统计该目标后门文件的历史被删除比例,其中,所述目标后门文件的历史被删除比例是指在预置时间段内所述目标后门文件被删除的次数与所述目标后门文件被标记为可疑后门文件的次数之比;
查杀策略确定单元,用于根据预定义规则,确定所述目标后门文件的历史被删除比例对应的查杀策略;
查杀执行单元,用于按照所述查杀策略,对所述目标后门文件进行查杀。
优选的,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的风险阈值,则将所述目标后门文件添加到后门待删除名单中;
所述查杀策略包括:对后门待删除名单中的目标后门文件进行删除。
优选的,还包括:
后门文件确认单元,用于将所述目标后门文件在预置的后门黑名单和/或后门白名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为后门文件;
所述查杀执行单元,仅针对进一步确定为后门文件的目标后门文件执行删除操作。
优选的,还包括:
比例更新单元,用于在所述目标后门文件被删除之后,更新所述目标后门文件的历史被删除比例。
优选的,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的安全阈值且小于预置的风险阈值,则将所述目标后门文件的历史被删除比例进行显示;
所述查杀策略包括:将所述目标后门文件的历史被删除比例进行显示。
优选的,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例小于预置的安全阈值,则将所述目标后门文件添加到后门白名单中;
所述查杀策略包括:将所述目标后门文件添加到后门白名单中。
优选的,还包括:
非后门文件确认单元,用于通过将所述目标后门文件在预置的后门黑名单和/或后门黑名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为非后门文件;
所述查杀执行单元,仅针对进一步确定为非后门文件的目标后门文件执行添加到后门白名单的操作。
可见,本发明中,引入了目标后门文件的历史被删除比例,并将该历史被删除比例作为一个影响因素,制定不同的查杀策略。这样做的好处在于,利用可疑后门文件的历史处理经验,指导后续用户针对该文件的处理策略,由此给用户更多的处理意见参考,方便用户快速、高效地对文件进行准确的处理。应用本发明,可提高后门文件的检出率,并可以提高一键查杀率;同时,通过提供后门文件的历史被删除比例,可帮助站长更好判断是否文件为后门文件。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明第一实施例的后门文件的查杀方法流程图;
图2示出了根据本发明第二实施例的后门文件的查杀方法流程图;以及
图3示出了根据本发明一个实施例的后门文件的查杀装置结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
参见图1,示出了根据本发明第一实施例的后门文件的查杀方法流程图。该方法包括如下步骤S101-S103。
S101:针对目标后门文件,获取该目标后门文件的历史被删除比例,其中,目标后门文件的历史被删除比例是指在预置时间段内目标后门文件被删除的次数与目标后门文件被标记为可疑后门文件的次数之比。
所谓“目标后门文件”,包含两层含义,第一层含义是该文件是预先判断为可疑的文件,即该文件被怀疑是后门文件,第二层含义是该文件是本发明方法当前针对的待查杀(待操作)的文件。具体实现中,可以通过文件标识(例如md5值)唯一标识一个目标后门文件。
在针对目标后门文件进行确定历史被删除比例之前,首先需确定该目标后门文件,即,预先判断出该文件是可疑的后门文件(可疑的恶意文件)。具体判断出文件是否为可疑的后门文件有多种方式,例如,采用黑名单、白名单匹配的方式进行判断,例如,如果该文件匹配出黑名单中的后门文件,则可初步判断为可疑的后门文件,再如,如果该文件匹配出白名单的非后门文件,则可初步判断并不是可疑的后门文件。另外,还可以采取特征匹配的方式在预置的后门特征库中进行匹配,如果匹配出结果,则初步判断为可疑的后门文件。此外,还可以将文件在云端或服务器上通过深度扫描的方式进行判断,此处可采取目前或未来出现的检测算法或扫描算法,其核心也在于通过预置的特征库对文件进行匹配,从而确定文件是否为可疑的后门文件。
在确定文件是可疑的后门文件之后,即确定了目标后门文件之后,需要获取该目标后门文件的历史被删除比例。目标后门文件的历史被删除比例的含义是,在预置时间段内目标后门文件被删除的次数与目标后门文件被标记为可疑后门文件的次数之比。例如,在一个月之内,该目标后门文件被删除了5次,而该目标后门文件被标记为可疑后门文件的次数为100次,则该目标后门文件的历史被删除比例为5/100=0.05。
获取目标后门文件的历史被删除比例的前提是,每次在删除该目标后门文件以及每次标记该目标后门文件为可疑的后门文件时,都进行次数统计。具体的,可采取两个计数器:删除计数器和可疑标记计数器。每当目标后门文件被删除一次时,删除计数器的值加1,同理,每当目标后门文件被标记为可疑后门文件时,可疑标记计时器的值加1。那么,就可以通过读取删除计数器的值和可疑标记计数器的值,得到目标后门文件被删除的次数以及目标后门文件被标记为可疑后门文件的次数,将后者除以前者,即得到目标后门文件的历史被删除比例。当然,上述删除计数器以及可疑标记计数器的实现方式仅仅是举例说明,实际中并不一定限于此种方式,而且也不一定需要真正的计数器器件,可以通过软件方式实现该功能。
另外,需要说明的是,“目标后门文件的历史被删除比例”是动态变化的,因为该目标后门文件每被新标记一次或被新删除一次,都会引起该历史被删除比例的变化,因此,上述步骤S101中获取的历史被删除比例可以理解是当前的最新数值。
S102:根据预定义规则,确定目标后门文件的历史被删除比例对应的查杀策略。
S103:按照查杀策略,对目标后门文件进行查杀。
具体的,可根据目标后门文件的历史被删除比例的大小,设置不同的查杀策略。
例如,第一种预定义规则是:如果目标后门文件的历史被删除比例大于预置的风险阈值,则将目标后门文件添加到后门待删除名单中;此时,查杀策略是:对后门待删除名单中的目标后门文件进行删除。这样处理的理由是,如果该目标后门文件被删除的比例较高,则可认为该文件最终被确定为后门文件的概率较大,为了节省用户(网站站长)的时间以及提高效率,可直接利用历史处理经验,来指导本次针对该目标后门文件的查杀处理方式。
其中,风险阈值是预先设定,并可动态调整的。可以理解,该风险阈值设置的越大,则符合该第一种预定义规则的概率就越小,也就是目标后门文件被判定为后门文件的概率就越小,也就是判定后门文件的标准越严格,反之,如果风险阈值设置的越小,判定为后门文件的概率就越大。如何掌握该风险阈值的合理范围,可根据经验进行设置及调整。
上述在确定目标后门文件的历史被删除比例大于风险阈值之后,即将目标后门文件添加到后门待删除名单中;此时对应的查杀策略是对后门待删除名单中的目标后门文件进行删除。这样做的好处在于较为简单且不容易漏杀,但是也容易造成误杀,即存在将不是后门文件进行了删除操作。因此,为了尽量避免该情况的发生,优选的,在对后门待删除名单中的目标网页后门文件进行删除之前,还可以执行如下步骤:进一步确定目标后门文件是否为后门文件;仅针对进一步确定为后门文件的目标后门文件执行删除操作。其中,“进一步确定目标后门文件是否为后门文件”的方式有多种,例如,可以采取将目标后门文件在预置的后门黑名单和/或后门白名单中进行匹配的方式,或者采取将目标后门文件进行特征扫描的方式,当然,也可以通过网站站长进行文件查看的方式,在站长确定之后接收站长判断目标后门文件是否为后门文件的结果。
由于根据该第一种预定义规则,有可能对目标后门文件进行删除处理,因此,需要在目标后门文件被删除之后,更新目标后门文件的历史被删除比例。
再如,第二种预定义规则是:如果目标后门文件的历史被删除比例大于预置的安全阈值且小于预置的风险阈值,则将目标后门文件的历史被删除比例进行显示;此时对应的查杀策略是:将目标后门文件的历史被删除比例进行显示,以供用户参考。
其中,风险阈值以及安全阈值是预先设定,并可动态调整的。可以理解,风险阈值大于安全阈值,且二者之间的差值越大,则满足该第二种预定义规则的概率就越大。如何掌握该风险阈值的合理范围,可根据经验进行设置及调整。
还如,第三种预定义规则是:如果目标后门文件的历史被删除比例小于预置的安全阈值,则将目标后门文件添加到后门白名单中;此时对应的查杀策略是:将目标后门文件添加到后门白名单中。
其中,安全阈值是预先设定,并可动态调整的。可以理解,该安全阈值设置的越大,则符合该第三种预定义规则的概率就越大,也就是目标后门文件被判定为非后门文件的概率就越大,反之,如果安全阈值设置的越小,判定为非后门文件的概率就越小。如何掌握该风险阈值的合理范围,可根据经验进行设置及调整。
上述在确定目标后门文件的历史被删除比例小于安全阈值之后,即将目标后门文件添加到后门白名单中。这样做的好处在于较为简单且不容易误杀,但是也容易造成漏杀,即存在将是后门文件进行了误操作。因此,为了尽量避免该情况的发生,优选的,在将目标后门文件添加到后门白名单中之前,还可执行以下步骤:进一步确定目标后门文件是否为非后门文件;仅针对进一步确定为非后门文件的目标后门文件执行添加到后门白名单的操作。其中,“进一步确定目标后门文件是否为非后门文件”方式有多种,例如,可以采取将目标后门文件在预置的后门黑名单和/或后门白名单中进行匹配的方式,或者采取将目标后门文件进行特征扫描的方式,当然,也可以通过网站站长进行文件查看的方式,在站长确定之后接收站长判断目标后门文件是否为非后门文件的结果。
可见,本发明中,引入了目标后门文件的历史被删除比例,并将该历史被删除比例作为一个影响因素,制定不同的查杀策略。这样做的好处在于,利用可疑后门文件的历史处理经验,指导后续用户针对该文件的处理策略,由此给用户更多的处理意见参考,方便用户快速、高效地对文件进行准确的处理。
本发明上述实施例的一个具体场景是,通过安全应用程序(App)执行,例如,采取360安全卫士进行目标后门文件的被删除统计、策略制定及执行。例如,本发明的一个具体例子为:1、按照现有技术后门文件的查杀流程,进行检测,将疑似的后门文件报出来;2、对于可疑后门文件,站长对文件进行判断并清理,后门文件清理就做一次记录,并将该记录回传给360安全卫士;3、360安全卫士根据一段时间回传的删除记录,做一个统计,每一个后门文件(会有md5唯一标识)站长进行删除的比例是多少;4、360安全卫士对删除比例特别低的文件进行查看,是否为误报的正常文件,若是则添加到文件白名单;对删除比例特别高的文件进行查看,是否整个文件都是后门,若是则添加直接清理规则;5、同时将删除比例在每一次站长扫描的结果中做展示,辅助站长判断文件是否为后门文件,是否要清理;6、定期重复步骤3-5,不断更新删除比例。
参见图2,示出了根据本发明第二实施例的后门文件的查杀方法流程图,包括如下步骤:
S201:安全App被用户启动;
S202:安全App进行目标后门文件的检测;
S203:展示检测结果,给出清理建议;
S204:一键清理后门文件,留下可疑后门文件;
S205:通过站长查看文件等方式判定可疑后门文件是否为后门文件;若是,执行S206分支,否则,执行S212;
S206:删除后门文件,例如可以由站长手动确定删除后门文件;
S207:删除操作数据上传;
S208:安全App统计单个后门文件的被删除比例;
S209:安全App针对被删除比例进行分析(匹配预定义规则);
S210:根据被删除比例匹配出的策略,修改相应的清理建议,然后转到S203;
S211:调整后门检测规则,增加可一键删除后门文件的标记然后转到S204;
S212:保留该文件或者增加到白名单中。
可见,通过第二实施例的方案,可提高后门文件的检出率,并可以提高一键查杀率;同时,通过提供后门文件的历史被删除比例,可帮助站长更好判断是否文件为后门文件。
与上述方法相对应,本发明还提供一种后门文件的查杀装置。该装置可以是硬件、软件或软硬件结合实现,优选的,该装置是指负责后门查杀的安全App。参见图3,为该后门文件的查杀装置的结构示意图。该装置包括:
后门被删除比例统计单元301,用于针对目标后门文件,统计该目标后门文件的历史被删除比例,其中,所述目标后门文件的历史被删除比例是指在预置时间段内所述目标后门文件被删除的次数与所述目标后门文件被标记为可疑后门文件的次数之比;
查杀策略确定单元302,用于根据预定义规则,确定所述目标后门文件的历史被删除比例对应的查杀策略;
查杀执行单元303,用于按照所述查杀策略,对所述目标后门文件进行查杀。
优选的,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的风险阈值,则将所述目标后门文件添加到后门待删除名单中;
所述查杀策略包括:对后门待删除名单中的目标后门文件进行删除。
优选的,该装置还包括:
后门文件确认单元304,用于将所述目标后门文件在预置的后门黑名单和/或后门白名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为后门文件;
所述查杀执行单元303,仅针对进一步确定为后门文件的目标后门文件执行删除操作。
优选的,该装置还包括:
比例更新单元305,用于在所述目标后门文件被删除之后,更新所述目标后门文件的历史被删除比例。
优选的,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的安全阈值且小于预置的风险阈值,则将所述目标后门文件的历史被删除比例进行显示;
所述查杀策略包括:将所述目标后门文件的历史被删除比例进行显示。
优选的,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例小于预置的安全阈值,则将所述目标后门文件添加到后门白名单中;
所述查杀策略包括:将所述目标后门文件添加到后门白名单中。
优选的,该装置还包括:
非后门文件确认单元306,用于通过将所述目标后门文件在预置的后门黑名单和/或后门黑名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为非后门文件;
所述查杀执行单元303,仅针对进一步确定为非后门文件的目标后门文件执行添加到后门白名单的操作。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的后门文件的查杀装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
可见,本发明提供至少如下方案:
A1、一种后门文件的查杀方法,包括:
针对目标后门文件,获取该目标后门文件的历史被删除比例,其中,所述目标后门文件的历史被删除比例是指在预置时间段内所述目标后门文件被删除的次数与所述目标后门文件被标记为可疑后门文件的次数之比;
根据预定义规则,确定所述目标后门文件的历史被删除比例对应的查杀策略;
按照所述查杀策略,对所述目标后门文件进行查杀。
A2、如A1所述的方法,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的风险阈值,则将所述目标后门文件添加到后门待删除名单中;
所述查杀策略包括:对后门待删除名单中的目标后门文件进行删除。
A3、如A2所述的方法,所述对后门待删除名单中的目标网页后门文件进行删除之前,还包括:
将所述目标后门文件在预置的后门黑名单和/或后门白名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为后门文件;
仅针对进一步确定为后门文件的目标后门文件执行删除操作。
A4、如A2所述的方法,还包括:
在所述目标后门文件被删除之后,更新所述目标后门文件的历史被删除比例。
A5、如A1所述的方法,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的安全阈值且小于预置的风险阈值,则将所述目标后门文件的历史被删除比例进行显示;
所述查杀策略包括:将所述目标后门文件的历史被删除比例进行显示。
A6、如A1所述的方法,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例小于预置的安全阈值,则将所述目标后门文件添加到后门白名单中;
所述查杀策略包括:将所述目标后门文件添加到后门白名单中。
A7、如A6所述的方法,在所述将所述目标后门文件添加到后门白名单中之前,还包括:
通过将所述目标后门文件在预置的后门黑名单和/或后门黑名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为非后门文件;
仅针对进一步确定为非后门文件的目标后门文件执行添加到后门白名单的操作。
B8、一种后门文件的查杀装置,包括:
后门被删除比例统计单元,用于针对目标后门文件,统计该目标后门文件的历史被删除比例,其中,所述目标后门文件的历史被删除比例是指在预置时间段内所述目标后门文件被删除的次数与所述目标后门文件被标记为可疑后门文件的次数之比;
查杀策略确定单元,用于根据预定义规则,确定所述目标后门文件的历史被删除比例对应的查杀策略;
查杀执行单元,用于按照所述查杀策略,对所述目标后门文件进行查杀。
B9、如B8所述的装置,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的风险阈值,则将所述目标后门文件添加到后门待删除名单中;
所述查杀策略包括:对后门待删除名单中的目标后门文件进行删除。
B10、如B9所述的装置,还包括:
后门文件确认单元,用于将所述目标后门文件在预置的后门黑名单和/或后门白名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为后门文件;
所述查杀执行单元,仅针对进一步确定为后门文件的目标后门文件执行删除操作。
B11、如B9所述的装置,还包括:
比例更新单元,用于在所述目标后门文件被删除之后,更新所述目标后门文件的历史被删除比例。
B12、如B8所述的装置,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的安全阈值且小于预置的风险阈值,则将所述目标后门文件的历史被删除比例进行显示;
所述查杀策略包括:将所述目标后门文件的历史被删除比例进行显示。
B13、如B8所述的装置,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例小于预置的安全阈值,则将所述目标后门文件添加到后门白名单中;
所述查杀策略包括:将所述目标后门文件添加到后门白名单中。
B14、如B13所述的方法,还包括:
非后门文件确认单元,用于通过将所述目标后门文件在预置的后门黑名单和/或后门黑名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为非后门文件;
所述查杀执行单元,仅针对进一步确定为非后门文件的目标后门文件执行添加到后门白名单的操作。
Claims (10)
1.一种后门文件的查杀方法,其特征在于,包括:
针对目标后门文件,获取该目标后门文件的历史被删除比例,其中,所述目标后门文件的历史被删除比例是指在预置时间段内所述目标后门文件被删除的次数与所述目标后门文件被标记为可疑后门文件的次数之比;
根据预定义规则,确定所述目标后门文件的历史被删除比例对应的查杀策略;
按照所述查杀策略,对所述目标后门文件进行查杀。
2.如权利要求1所述的方法,其特征在于,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的风险阈值,则将所述目标后门文件添加到后门待删除名单中;
所述查杀策略包括:对后门待删除名单中的目标后门文件进行删除。
3.如权利要求2所述的方法,其特征在于,所述对后门待删除名单中的目标网页后门文件进行删除之前,还包括:
将所述目标后门文件在预置的后门黑名单和/或后门白名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为后门文件;
仅针对进一步确定为后门文件的目标后门文件执行删除操作。
4.如权利要求2所述的方法,其特征在于,还包括:
在所述目标后门文件被删除之后,更新所述目标后门文件的历史被删除比例。
5.如权利要求1所述的方法,其特征在于,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的安全阈值且小于预置的风险阈值,则将所述目标后门文件的历史被删除比例进行显示;
所述查杀策略包括:将所述目标后门文件的历史被删除比例进行显示。
6.如权利要求1所述的方法,其特征在于,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例小于预置的安全阈值,则将所述目标后门文件添加到后门白名单中;
所述查杀策略包括:将所述目标后门文件添加到后门白名单中。
7.如权利要求6所述的方法,其特征在于,在所述将所述目标后门文件添加到后门白名单中之前,还包括:
通过将所述目标后门文件在预置的后门黑名单和/或后门黑名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为非后门文件;
仅针对进一步确定为非后门文件的目标后门文件执行添加到后门白名单的操作。
8.一种后门文件的查杀装置,其特征在于,包括:
后门被删除比例统计单元,用于针对目标后门文件,统计该目标后门文件的历史被删除比例,其中,所述目标后门文件的历史被删除比例是指在预置时间段内所述目标后门文件被删除的次数与所述目标后门文件被标记为可疑后门文件的次数之比;
查杀策略确定单元,用于根据预定义规则,确定所述目标后门文件的历史被删除比例对应的查杀策略;
查杀执行单元,用于按照所述查杀策略,对所述目标后门文件进行查杀。
9.如权利要求8所述的装置,其特征在于,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的风险阈值,则将所述目标后门文件添加到后门待删除名单中;
所述查杀策略包括:对后门待删除名单中的目标后门文件进行删除。
10.如权利要求9所述的装置,其特征在于,还包括:
后门文件确认单元,用于将所述目标后门文件在预置的后门黑名单和/或后门白名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为后门文件;
所述查杀执行单元,仅针对进一步确定为后门文件的目标后门文件执行删除操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811626805.1A CN109714346B (zh) | 2015-12-15 | 2015-12-15 | 后门文件的查杀方法及装置 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510933410.6A CN105516151B (zh) | 2015-12-15 | 2015-12-15 | 后门文件的查杀方法及装置 |
CN201811626805.1A CN109714346B (zh) | 2015-12-15 | 2015-12-15 | 后门文件的查杀方法及装置 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510933410.6A Division CN105516151B (zh) | 2015-12-15 | 2015-12-15 | 后门文件的查杀方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109714346A true CN109714346A (zh) | 2019-05-03 |
CN109714346B CN109714346B (zh) | 2021-06-25 |
Family
ID=55723787
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510933410.6A Active CN105516151B (zh) | 2015-12-15 | 2015-12-15 | 后门文件的查杀方法及装置 |
CN201811626805.1A Active CN109714346B (zh) | 2015-12-15 | 2015-12-15 | 后门文件的查杀方法及装置 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510933410.6A Active CN105516151B (zh) | 2015-12-15 | 2015-12-15 | 后门文件的查杀方法及装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10678915B2 (zh) |
CN (2) | CN105516151B (zh) |
WO (1) | WO2017101751A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111343142A (zh) * | 2020-01-22 | 2020-06-26 | 腾讯科技(深圳)有限公司 | 一种基于区块链网络的数据处理方法、装置及存储介质 |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105516151B (zh) * | 2015-12-15 | 2019-02-12 | 北京奇虎科技有限公司 | 后门文件的查杀方法及装置 |
CN107135199B (zh) * | 2017-03-29 | 2020-05-01 | 国家电网公司 | 网页后门的检测方法和装置 |
CN107332757B (zh) * | 2017-06-21 | 2020-09-22 | Oppo广东移动通信有限公司 | 删除推送消息的方法及相关产品 |
CN110543451A (zh) * | 2019-07-30 | 2019-12-06 | 华为技术有限公司 | 一种高效清理设备文件的方法及装置 |
CN112465658B (zh) * | 2020-10-30 | 2024-09-06 | 中国石油天然气集团有限公司 | 自媒体文件用户粘度的确定方法及装置 |
CN114969672B (zh) * | 2022-08-02 | 2022-11-15 | 北京六方云信息技术有限公司 | 工控主机的安全防护方法、装置、系统及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004021637A1 (en) * | 2002-08-28 | 2004-03-11 | Networks Associates Technology, Inc. | Threat assessment orchestrator system and method |
CN104243214A (zh) * | 2014-09-28 | 2014-12-24 | 北京奇虎科技有限公司 | 一种数据处理的方法、装置及系统 |
CN104378354A (zh) * | 2014-10-16 | 2015-02-25 | 江苏博智软件科技有限公司 | 一种基于等级划分的物联网安全模型的方法 |
CN104618343A (zh) * | 2015-01-06 | 2015-05-13 | 中国科学院信息工程研究所 | 一种基于实时日志的网站威胁检测的方法及系统 |
US20150163234A1 (en) * | 2012-05-29 | 2015-06-11 | Six Scan Ltd. | System and methods for protecting computing devices from malware attacks |
CN105516151A (zh) * | 2015-12-15 | 2016-04-20 | 北京奇虎科技有限公司 | 后门文件的查杀方法及装置 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8176554B1 (en) * | 2008-05-30 | 2012-05-08 | Symantec Corporation | Malware detection through symbol whitelisting |
CN101741847B (zh) * | 2009-12-22 | 2012-11-07 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
CN102104611A (zh) * | 2011-03-31 | 2011-06-22 | 中国人民解放军信息工程大学 | 一种基于混杂模式的DDoS攻击检测方法及装置 |
CN102647421B (zh) * | 2012-04-09 | 2016-06-29 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
US9245120B2 (en) * | 2012-07-13 | 2016-01-26 | Cisco Technologies, Inc. | Method and apparatus for retroactively detecting malicious or otherwise undesirable software as well as clean software through intelligent rescanning |
CN103632084A (zh) * | 2012-08-20 | 2014-03-12 | 百度在线网络技术(北京)有限公司 | 恶意特征数据库的建立方法、恶意对象检测方法及其装置 |
US8990944B1 (en) * | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
CN103761478B (zh) * | 2014-01-07 | 2016-11-23 | 北京奇虎科技有限公司 | 恶意文件的判断方法及设备 |
CN104765883A (zh) * | 2015-04-30 | 2015-07-08 | 中电运行(北京)信息技术有限公司 | 一种用于Webshell的检测方法 |
CN105553767B (zh) | 2015-12-15 | 2018-12-25 | 北京奇虎科技有限公司 | 网站后门文件检测方法及装置 |
-
2015
- 2015-12-15 CN CN201510933410.6A patent/CN105516151B/zh active Active
- 2015-12-15 CN CN201811626805.1A patent/CN109714346B/zh active Active
-
2016
- 2016-12-12 US US15/740,382 patent/US10678915B2/en active Active
- 2016-12-12 WO PCT/CN2016/109521 patent/WO2017101751A1/zh active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004021637A1 (en) * | 2002-08-28 | 2004-03-11 | Networks Associates Technology, Inc. | Threat assessment orchestrator system and method |
US20150163234A1 (en) * | 2012-05-29 | 2015-06-11 | Six Scan Ltd. | System and methods for protecting computing devices from malware attacks |
CN104243214A (zh) * | 2014-09-28 | 2014-12-24 | 北京奇虎科技有限公司 | 一种数据处理的方法、装置及系统 |
CN104378354A (zh) * | 2014-10-16 | 2015-02-25 | 江苏博智软件科技有限公司 | 一种基于等级划分的物联网安全模型的方法 |
CN104618343A (zh) * | 2015-01-06 | 2015-05-13 | 中国科学院信息工程研究所 | 一种基于实时日志的网站威胁检测的方法及系统 |
CN105516151A (zh) * | 2015-12-15 | 2016-04-20 | 北京奇虎科技有限公司 | 后门文件的查杀方法及装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111343142A (zh) * | 2020-01-22 | 2020-06-26 | 腾讯科技(深圳)有限公司 | 一种基于区块链网络的数据处理方法、装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN105516151A (zh) | 2016-04-20 |
CN105516151B (zh) | 2019-02-12 |
WO2017101751A1 (zh) | 2017-06-22 |
CN109714346B (zh) | 2021-06-25 |
US20180330086A1 (en) | 2018-11-15 |
US10678915B2 (en) | 2020-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105516151B (zh) | 后门文件的查杀方法及装置 | |
CN105320883B (zh) | 文件安全加载实现方法及装置 | |
US9544316B2 (en) | Method, device and system for detecting security of download link | |
US9661003B2 (en) | System and method for forensic cyber adversary profiling, attribution and attack identification | |
CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
US20150058992A1 (en) | Method and system for malicious code detection | |
CN107851155A (zh) | 用于跨越多个软件实体跟踪恶意行为的系统及方法 | |
CN105653974B (zh) | 一种文档防护方法及装置 | |
CN105303107A (zh) | 一种异常进程检测方法及装置 | |
CN103368957A (zh) | 对网页访问行为进行处理的方法及系统、客户端、服务器 | |
WO2019032275A1 (en) | PROGRAM LINE INFERENCE ANALYSIS BASED ON A PATH | |
CN110535806A (zh) | 监测异常网站的方法、装置、设备和计算机存储介质 | |
CN104462985A (zh) | bat漏洞的检测方法以及装置 | |
CN107330328A (zh) | 防御病毒攻击的方法、装置及服务器 | |
CN105430001A (zh) | Apt攻击的检测方法、终端设备、服务器及系统 | |
CN103839008A (zh) | 一句话脚本后门和php变量函数后门免疫安全服务 | |
CN113158197A (zh) | 一种基于主动iast的sql注入漏洞检测方法、系统 | |
CN109753791A (zh) | 恶意程序检测方法及装置 | |
CN104579819B (zh) | 网络安全检测方法以及装置 | |
KR101244731B1 (ko) | 디버그 이벤트를 이용한 악성 쉘 코드 탐지 장치 및 방법 | |
CN104537304A (zh) | 文件查杀方法、装置及系统 | |
CN106934285A (zh) | 一种实现样本分析的方法、装置及动态引擎设备 | |
CN105553767B (zh) | 网站后门文件检测方法及装置 | |
KR20140011518A (ko) | 악성코드를 차단하기 위한 방법 및 시스템 | |
CN112182569A (zh) | 一种文件识别方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20220715 Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
TR01 | Transfer of patent right |