CN109784055B - 一种快速检测和防范恶意软件的方法和系统 - Google Patents
一种快速检测和防范恶意软件的方法和系统 Download PDFInfo
- Publication number
- CN109784055B CN109784055B CN201811653014.8A CN201811653014A CN109784055B CN 109784055 B CN109784055 B CN 109784055B CN 201811653014 A CN201811653014 A CN 201811653014A CN 109784055 B CN109784055 B CN 109784055B
- Authority
- CN
- China
- Prior art keywords
- new program
- file
- container environment
- damaged
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明涉及信息安全领域,尤其涉及一种快速检测和防范恶意软件的方法和系统,包括如下步骤:步骤1,感知执行新程序的动作;步骤2,为新程序构建容器环境;步骤3,在容器环境中运行新程序;步骤4,检测到新程序破坏了容器环境中的文件,判定为恶意软件,予以阻断。在容器环境中,文件内容被篡改,或者文件被改名,或者文件被删除,均视为对文件的破坏。本发明能够检测和防范其他文件破坏类的恶意软件,尤其能够检测和防范勒索软件,包括潜伏型勒索软件。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种快速检测和防范恶意软件的方法和系统。
背景技术
勒索软件是黑客用来劫持用户资产或资源,并以此为条件向用户勒索钱财的一种恶意软件。为了更有效地防御勒索软件的攻击,人们针对勒索软件的特点,提出了一些新的检测方法和防范手段,这些方法可以归纳为四类:行为分析类、机器学习类、备份副本类和尝试解密类。
人们已经意识到传统的病毒特征码检测方法的缺陷,“201710942962.2一种基于序列比对算法的勒索软件变种检测方法”,“201810585511.2一种特征优选的Android勒索软件检测方法”,和“201810585511.2一种特征优选的Android勒索软件检测方法”,采用机器学习的方法,通过对大量勒索软件样本的学习,来提高检测率。
更多的工作是在行为分析领域。勒索软件的具体实现代码可以不同,但其为达到勒索效果而实施的步骤,有共性。那么就可以针对共性的特征性行为,展开检测和防御。比如,针对勒索软件加密文件的特点,设置蜜罐文件(有的称陷阱文件、诱饵文件),正常程序不会去改变蜜罐文件,因此去改变蜜罐文件的程序就是勒索软件。“201610362406.3一种勒索软件的防范方法和系统”,“201710171967.X勒索软件防御方法和装置”,“201710241552.5一种检测恶意软件的方法及装置”,“201710655812.3勒索软件的防范方法及系统”,都用到了蜜罐文件。其中,“201710241552.5一种检测恶意软件的方法及装置”,认为内容相同的文件加密后,新文件的内容还是相同的;而内容不同的文件加密后,新文件的内容也还是不同的。据此进一步提出了一种确认程序确实是勒索软件的方法,通过设置一系列内容或相同或不同的蜜罐文件,考察数据变化后是否仍保持相对关系不变。
蜜罐文件是当前较多使用的一种方法,但是这种方法存在检测滞后的缺点,当蜜罐文件被勒索软件遍历到时,可能面临大量文件已被加密的困境,仍会给用户造成较大危害。
更多行为分析类方法有,“01710660946.4一种基于文件状态分析的勒索软件检测方法”,将程序的文件内容操作、文件目录操作和文件增删操作计数,总数达到阈值报警。“201710682482.7一种勒索软件的防护方法、装置、电子设备及存储介质”,制定了程序对至少两个不同格式的文件进行操作的检测规则。“201711229602.4一种可疑进程检测方法、装置、设备及存储介质”提出了对用户文件进行分块处理并对其中一块进行加密的单文件异常操作行为模式,和对多文件中每个文件进行单独加密的多文件异常操作行为模式。“201711498634.4一种防勒索软件攻击的方法和系统”,为程序建立行为信誉库,但信誉库的建立需要用户参与。“201710504921.5一种基于权限模式的勒索软件检测方法及系统”,对Android系统下的程序进行静态行为检测,提出了4种异常的程序权限申请模式。
“201710822530.8一种勒索软件防御方法及系统”,在目录遍历结果中插入蜜罐条目。“201611245403.8一种防止勒索软件加密数据的方法及系统”,修改文件后缀名,避开勒索软件攻击的文件类型列表。这两种方法对正常的文件使用也会带来干扰。
“201711432352.4一种检测实时威胁的方法”,是机器学习类和行为分析类的结合,使用机器学习来进行勒索软件的动态行为分析。
行为分析类检测,通常会有滞后性的特点,即在确认程序是勒索软件之前,可能已经有文件被加密了。备份副本类方法的目的就是尽量避免数据损失,但缺点是额外的性能开销和存储开销更大。“201610969423.3一种针对防御勒索软件文件数据的备份保护方法和系统”,备份被改写的文件,以备恢复。“201710785859.1一种基于文件请求监控的勒索软件实时检测与防御方法”,和“201711258009.2文件防护方法及装置”,在文件被改写时产生一个副本,对副本进行修改。然后判断修改是否勒索软件所为,判断是正常操作,才将副本同步到原文件。“201680079102.4响应于检测潜在勒索软件以用于修改文件备份的系统和方法”,避免将勒索软件加密过的文件内容误存入备份系统,甚至替换更早的正确的文件备份,并通过备份数据的异常检测勒索软件。
“201610960494.7一种针对勒索软件的处理方法和系统”,建立备份数据库和还原点,通过比对确定新增文件列表,缩小勒索软件排查范围,即勒索软件在新增文件列表中。该方法不对数据文件提供保护,不能恢复被加密的文件。
尝试解密类“201611252299.5基于数据重定向的勒索软件防御系统及方法”,在用户和勒索软件服务器之间增加数据重定向服务器,意图截获服务器下发的加密私钥。但勒索软件通常自己产生随机加密密钥,该密钥用于加密用户数据。并将这个随机加密密钥加密后,上传到勒索软件服务器保存。受害者交付赎金后,服务器将随机加密密钥发给受害者解密用户数据。
在实际的有效的勒索软件防御中,通常是几种方法的组合,比如行为分析加备份。行为分析负责检测和清除勒索软件,备份提供兜底的持续数据保护,降低数据损失的风险。
人们都希望检测越准越好,越快越好,难题在于如何能又快又准地检测出新的勒索软件。
发明内容
本发明提出了一种检测和防范恶意软件的方法,用于快速识别恶意软件并进行实时防御。具体地,令系统在执行新程序前,先挂起新程序,暂停执行新程序,然后为新程序创建一个应用容器环境。环境中包含系统全部文件类型,环境中只运行新程序这一个应用。待环境中的新程序运行结束后,检查环境中的文件是否有被破坏。如有文件被破坏,则认为新程序是恶意代码,系统禁止该新程序运行;如无文件被破坏,则系统运行之前挂起的新程序。
已知的实时检测方法均意图在恶意软件运行前,或恶意软件运行的早期,识别出其是恶意软件。本发明的创新之处是,在恶意软件运行后,通过评估其破坏后果,获取“确凿罪证”后做出准确判断。在分类上,本发明提出第五类方法——危害评估类方法。
容器环境是系统的一个独立数据空间,恶意软件在其中运行,只会破坏容器环境中的文件,不会破坏系统中真正的用户文件。
容器环境包含系统全部文件类型,如果某恶意软件攻击的文件类型不在其中,则无法检出,但此时该恶意软件对系统是“无害”的,因为此时恶意软件并不破坏系统中的任何文件。容器环境中虽然文件类型丰富,但数据量很小,比如勒索软件,勒索软件作为唯一的应用程序可以很快地完成勒索,且数据结果不受任何其他程序干扰,从而达到又快又准的检测目标。
本发明只需要考察系统应用本发明之后,新产生的且未经本发明检测的程序。如果机器在应用本发明之前已经感染了恶意索软件,则用户数据已被破坏,这时首先要做的是恢复数据,甚至重装系统。
本发明能够检测和防范其他文件破坏类的恶意软件,尤其能够检测和防范勒索软件,包括潜伏型勒索软件。
本发明的具体技术方案是:一种快速检测和防范恶意软件的方法,包括如下步骤:
步骤1,感知执行新程序的动作;
步骤2,为新程序构建容器环境;
步骤3,在容器环境中运行新程序;
步骤4,检测到新程序破坏了容器环境中的文件,判定为恶意软件,予以阻断。
在容器环境中,文件内容被篡改,或者文件被改名,或者文件被删除,均视为对文件的破坏。
进一步的,所属步骤2构建容器环境的方法有1)采用docker技术构建容器环境;或2)采用chroot技术构建容器环境。
进一步的,所属步骤4的检测新程序对容器文件的破坏性,对于潜伏型勒索软件,可以在容器环境中和系统中,先后运行新程序,令容器环境率先捕获新程序的破坏行为,并通知系统新程序是勒索软件,立刻终止其运行。
进一步的,所属步骤4的检测新程序对容器文件的破坏性,不仅可以检测出勒索软件,也可以检测出其他文件破坏类恶意软件,并予以防御。
本发明还提供了一种恶意软件检测和防御系统,以实现上述检测和防范恶意软件的方法。该恶意软件检测和防御系统包括:新程序感知模块、程序控制模块、容器管理模块、恶意软件检测模块、恶意软件管控模块、日志和报警模块。其中,新程序感知模块,用于捕获执行新程序的动作;
程序控制模块,管控程序的运行状态,包括查询程序运行状态,暂停执行,继续执行,终止执行;
容器管理模块,负责容器的创建、删除、运行,及容器状态查询;
恶意软件检测模块,通过检测容器文件的内容变化,鉴别恶意软件;
恶意软件管控模块,移除检测到的恶意软件,建立黑名单,上传恶意软件样本;
日志和报警模块,将防御行为记录日志,将检测和防御结果通知用户。
附图说明
图1为检测和阻断恶意软件的流程示意图。
图2为检测和阻断潜伏型勒索软件的流程示意图。
图3为构建docker容器环境来检测和阻断勒索软件的实施例1。
图4为通过chroot构建容器环境来检测和阻断勒索软件的实施例2。
图5为勒索软件检测和防御系统的结构框图。
具体实施方法
为使本发明的目的、技术方案及优点更加清楚明白,下面结合附图和实施例对本发明做进一步的说明。此处所描述的具体实施例仅用于解释本发明,并不用于限定本发明。
如图1所示,提供了一种检测和防范恶意软件的方法,其具体流程包括如下步骤:
步骤101,感知新程序的运行。所谓新程序,指系统应用本发明后,新产生的且未经本发明检测的程序。
步骤102,挂起新程序,暂不运行新程序,准备对其进行检测。
步骤103,构建容器环境,内容包括新程序、新程序依赖的库、系统所有的文件类型。
步骤104,启动容器环境,并在容器环境中运行新程序。
步骤105,新程序在容器环境中结束后,检查容器环境中的文件有没有损坏的。
如果容器环境中没有文件损坏,认为新程序非恶意软件,执行步骤106,系统继续运行之前挂起的新程序。
如果容器环境中有文件损坏,判定为恶意软件,执行步骤107,系统禁止新程序运行。新程序也可能不是恶意软件,而是文件破坏类的恶意软件,但视为恶意软件一体防御。
步骤108,停止并释放容器环境。
对于潜伏型勒索病毒,可在容器环境中,和系统中先后运行新的程序。由于容器环境中更早运行新程序,因此能更早捕获潜伏型勒索软件的发动时机,并通知系统立刻终止新程序的运行。具体流程如图2所示,包括以下步骤:
步骤201,启动容器环境,并在容器环境中运行新程序。
步骤202,等待1秒后,检查容器环境中新程序是否运行结束。
步骤203,如果容器环境中新程序仍在运行,则判断是否已经达到等待时限(如累计等待10秒)。如果没到10秒,则返回步骤202,继续等待程序结束。等待时限可以调整,不宜过长,主要目的是在容器环境和系统之间制造一个时间差。
步骤204,容器环境中新程序结束,或累计等待已达10秒,则检测容器环境中的文件有没有损坏的。
如果容器环境中有文件损坏,执行步骤206,系统禁止新程序运行。并执行步骤207,停止并释放容器环境。
如果容器环境中没有文件损坏,执行步骤205,系统继续运行之前挂起的新程序。
步骤208,调快容器环境的时间10秒。这样对于在特定日子发作的潜伏型勒索软件,容器环境将提早发作,起到提前预警作用。
步骤209和210,循环检查容器环境中的文件有没有损坏的,新程序有没有结束。
如果检查到容器环境中没有文件损坏,且新程序已结束,说明新程序不是勒索软件。则执行步骤207,停止并释放容器环境。系统可放心地继续执行新程序。
如果检查到容器环境中有文件损坏,说明新程序是勒索软件。
步骤211,系统终止新程序的运行。并执行步骤207,停止并释放容器环境。容器环境不仅多运行了10秒的新程序,而且把时间也拨快了10秒,无论潜伏型勒索软件是按运行时长发作,还是按特定日期发作,容器环境都有做够的时间做出预警。
构建容器环境的方法有多种,图3是一个使用docker技术构建容器环境的实施例1。
步骤301,构建了一个docker容器。
步骤302,启动docker容器,docker容器中运行新程序。
步骤303,系统向docker查询文件状态。
步骤304,如果docker对查询请求未作出回应,说明docker陷入崩溃状态,其内部系统文件受到了新程序的破坏。
步骤305,系统判定新程序是勒索软件,禁止其执行。
步骤306,停止和删除docker。
步骤307,如果docker能做出响应,且报告有文件被破坏,则判定新程序是勒索软件,转到步骤305。
步骤308,docker报告文件无损坏,说明新程序不是勒索软件,系统可以继续之前挂起的运行新程序。并执行步骤306,停止和清理docker。
图4是一个使用docker技术构建容器环境的实施例2。
步骤401,为新程序创建一个新目录,将新程序、新程序依赖的库和系统所有的文件类型,拷贝到该目录中。
步骤402,chroot到新目录中,并执行新程序。
步骤403,系统检查新目录下的文件是否有损坏。
步骤404,如果有文件损坏,说明新程序是勒索软件。
步骤405,系统禁止新程序执行。
步骤406,删除新目录。
步骤407,如果文件无损坏,说明新程序不是勒索软件,系统可以继续之前挂起的运行新程序。并执行步骤406,删除新目录清理无效数据。
实施例1和2构建容器环境的方法不同,相应地,检测文件是否被破坏也采用了不同的方法。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
如图5所示,提供了一种勒索软件检测和防御系统,用于实现检测和防范勒索软件的方法。该勒索软件检测和防御系统包括:新程序感知模块501、程序控制模块502、容器管理模块503、勒索软件检测模块504、勒索软件管控模块505、日志和报警模块506。
新程序感知模块501,用于捕获程序执行动作,并识别是否为应用本发明后新产生的未检测程序。
程序控制模块502,管控程序的运行状态,包括查询程序运行状态,暂停执行(即挂起程序),继续执行,终止执行。
容器管理模块503,负责容器的创建、删除、运行,及容器状态查询。
勒索软件检测模块504,通过对容器文件的内容检测,鉴别勒索软件。勒索软件管控模块505,移除检测到的勒索软件,建立黑名单,上传勒索软件样本。
日志和报警模块,将防御行为记录日志,将检测和防御结果通知用户。
上述勒索软件检测和防御系统,通过构建可快速执行勒索软件的容器环境,获取勒索软件运行后的数据状态,经对程序运行后果的评估,又快又准地检测出勒索软件,进行有效防御。
Claims (3)
1.一种快速检测和防范恶意软件的方法,其特征在于,由以下步骤组成:
步骤101,感知新程序的运行,该新程序是指新产生的且未经检测的程序;
步骤102,挂起新程序,暂不运行新程序,准备对其进行检测;
步骤103,构建容器环境,包括新程序、新程序依赖的库、系统所有的文件类型;
步骤104,启动容器环境,并在容器环境中运行新程序;
步骤105,新程序在容器环境中结束后,检查容器环境中的文件有没有损坏的;
如果容器环境中没有文件损坏,认为新程序非恶意软件,执行步骤106,系统继续运行之前挂起的新程序;
如果容器环境中有文件损坏,判定为恶意软件,执行步骤107,系统禁止新程序运行;
步骤108,停止并释放容器环境;
所述步骤103,构建容器环境是使用docker技术构建容器环境,步骤如下:
步骤301,构建了一个docker容器;
步骤302,启动docker容器,docker容器中运行新程序;
步骤303,系统向docker查询文件状态;
步骤304,如果docker对查询请求未作出回应,说明docker陷入崩溃状态,其内部系统文件受到了新程序的破坏;
步骤305,系统判定新程序是勒索软件,禁止其执行;
步骤306,停止和删除docker;
步骤307,如果docker能做出响应,且报告有文件被破坏,则判定新程序是勒索软件,转到步骤305;
步骤308,docker报告文件无损坏,说明新程序不是勒索软件,系统可以继续之前挂起的运行新程序;并执行步骤306,停止和清理docker。
2.一种快速检测和防范恶意软件的方法,其特征在于,由以下步骤组成:
步骤101,感知新程序的运行,该新程序是指新产生的且未经检测的程序;
步骤102,挂起新程序,暂不运行新程序,准备对其进行检测;
步骤103,构建容器环境,包括新程序、新程序依赖的库、系统所有的文件类型;步骤104,启动容器环境,并在容器环境中运行新程序;
步骤105,新程序在容器环境中结束后,检查容器环境中的文件有没有损坏的;
如果容器环境中没有文件损坏,认为新程序非恶意软件,执行步骤106,系统继续运行之前挂起的新程序;
如果容器环境中有文件损坏,判定为恶意软件,执行步骤107,系统禁止新程序运行;
步骤108,停止并释放容器环境;
所述步骤103,构建容器环境是使用docker技术构建容器环境,步骤如下:
步骤401,为新程序创建一个新目录,将新程序、新程序依赖的库和系统所有的文件类型,拷贝到该目录中;
步骤402,chroot到新目录中,并执行新程序;
步骤403,系统检查新目录下的文件是否有损坏;
步骤404,如果有文件损坏,说明新程序是勒索软件;
步骤405,系统禁止新程序执行;
步骤406,删除新目录;
步骤407,如果文件无损坏,说明新程序不是勒索软件,系统可以继续之前挂起的运行新程序;并执行步骤406,删除新目录清理无效数据。
3.一种快速检测和防范恶意软件的方法,其特征在于,由以下步骤组成:
步骤201,启动容器环境,并在容器环境中运行新程序;
步骤202,等待1秒后,检查容器环境中新程序是否运行结束;
步骤203,如果容器环境中新程序仍在运行,则判断是否已经达到等待时限;如果没到达到等待时间,则返回步骤202,继续等待程序结束;
步骤204,容器环境中新程序结束,或累计达到等待时限,则检测容器环境中的文件有没有损坏的;
如果容器环境中有文件损坏,执行步骤206,系统禁止新程序运行;并执行步骤207,停止并释放容器环境;
如果容器环境中没有文件损坏,执行步骤205,系统继续运行之前挂起的新程序;
步骤208,调快容器环境的等待时限;
步骤209和210,循环检查容器环境中的文件有没有损坏的,新程序有没有结束;
如果检查到容器环境中没有文件损坏,且新程序已结束,说明新程序不是恶意软件;则执行步骤207,停止并释放容器环境;系统可放心地继续执行新程序;
如果检查到容器环境中有文件损坏,说明新程序是恶意软件;
步骤211,系统终止新程序的运行;并执行步骤207,停止并释放容器环境;
所述恶意软件是潜伏型勒索软件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811653014.8A CN109784055B (zh) | 2018-12-29 | 2018-12-29 | 一种快速检测和防范恶意软件的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811653014.8A CN109784055B (zh) | 2018-12-29 | 2018-12-29 | 一种快速检测和防范恶意软件的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109784055A CN109784055A (zh) | 2019-05-21 |
| CN109784055B true CN109784055B (zh) | 2021-01-08 |
Family
ID=66499044
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811653014.8A Active CN109784055B (zh) | 2018-12-29 | 2018-12-29 | 一种快速检测和防范恶意软件的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109784055B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112560040A (zh) * | 2020-12-25 | 2021-03-26 | 安芯网盾(北京)科技有限公司 | 一种计算机感染型病毒的通用检测的方法及装置 |
| CN112861141B (zh) * | 2021-02-04 | 2022-07-26 | 湖北宸威玺链信息技术有限公司 | 一种数据导出安全检测方法及检测系统 |
| CN112835683B (zh) * | 2021-03-02 | 2023-12-12 | 杭州雅观科技有限公司 | 一种智慧社区软件的容器化部署系统 |
| CN113672916A (zh) * | 2021-07-28 | 2021-11-19 | 安天科技集团股份有限公司 | 一种阻止疑似恶意勒索软件攻击的方法、装置及电子设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101873318A (zh) * | 2010-06-08 | 2010-10-27 | 国网电力科学研究院 | 针对应用基础支撑平台上应用系统的应用与数据保全方法 |
| CN104573504A (zh) * | 2014-12-24 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种用于在iOS相关系统中运行应用的方法和装置 |
| CN104601580A (zh) * | 2015-01-20 | 2015-05-06 | 浪潮电子信息产业股份有限公司 | 一种基于强制访问控制的策略容器设计方法 |
| CN105427096A (zh) * | 2015-12-25 | 2016-03-23 | 北京奇虎科技有限公司 | 支付安全沙箱实现方法及系统与应用程序监控方法及系统 |
| CN107563189A (zh) * | 2017-08-24 | 2018-01-09 | 东软集团股份有限公司 | 一种应用检测方法以及终端 |
| CN107567627A (zh) * | 2015-04-30 | 2018-01-09 | 华为技术有限公司 | 具有测试执行环境的装置 |
| CN107679399A (zh) * | 2017-10-19 | 2018-02-09 | 郑州云海信息技术有限公司 | 一种基于容器的恶意代码检测沙盒系统及检测方法 |
| CN108229145A (zh) * | 2016-12-21 | 2018-06-29 | 武汉安天信息技术有限责任公司 | 一种基于Android虚拟容器的恶意应用的处置装置及方法 |
-
2018
- 2018-12-29 CN CN201811653014.8A patent/CN109784055B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101873318A (zh) * | 2010-06-08 | 2010-10-27 | 国网电力科学研究院 | 针对应用基础支撑平台上应用系统的应用与数据保全方法 |
| CN104573504A (zh) * | 2014-12-24 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种用于在iOS相关系统中运行应用的方法和装置 |
| CN104601580A (zh) * | 2015-01-20 | 2015-05-06 | 浪潮电子信息产业股份有限公司 | 一种基于强制访问控制的策略容器设计方法 |
| CN107567627A (zh) * | 2015-04-30 | 2018-01-09 | 华为技术有限公司 | 具有测试执行环境的装置 |
| CN105427096A (zh) * | 2015-12-25 | 2016-03-23 | 北京奇虎科技有限公司 | 支付安全沙箱实现方法及系统与应用程序监控方法及系统 |
| CN108229145A (zh) * | 2016-12-21 | 2018-06-29 | 武汉安天信息技术有限责任公司 | 一种基于Android虚拟容器的恶意应用的处置装置及方法 |
| CN107563189A (zh) * | 2017-08-24 | 2018-01-09 | 东软集团股份有限公司 | 一种应用检测方法以及终端 |
| CN107679399A (zh) * | 2017-10-19 | 2018-02-09 | 郑州云海信息技术有限公司 | 一种基于容器的恶意代码检测沙盒系统及检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109784055A (zh) | 2019-05-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109784055B (zh) | 一种快速检测和防范恶意软件的方法和系统 | |
| JP6894003B2 (ja) | Apt攻撃に対する防御 | |
| US20180248896A1 (en) | System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning | |
| US20190158512A1 (en) | Lightweight anti-ransomware system | |
| US8468604B2 (en) | Method and system for detecting malware | |
| US7434261B2 (en) | System and method of identifying the source of an attack on a computer network | |
| US8935789B2 (en) | Fixing computer files infected by virus and other malware | |
| US8255998B2 (en) | Information protection method and system | |
| US8533818B1 (en) | Profiling backup activity | |
| US20050050338A1 (en) | Virus monitor and methods of use thereof | |
| EP1915719B1 (en) | Information protection method and system | |
| KR101744631B1 (ko) | 네트워크 보안 시스템 및 보안 방법 | |
| CN107563199A (zh) | 一种基于文件请求监控的勒索软件实时检测与防御方法 | |
| TWI407328B (zh) | 網路病毒防護方法及系統 | |
| US20070204345A1 (en) | Method of detecting computer security threats | |
| KR101828600B1 (ko) | 상황 인식 기반의 랜섬웨어 탐지 | |
| CN113660224A (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| JP2023534502A (ja) | 高度なランサムウェア検出 | |
| Deng et al. | Lexical analysis for the webshell attacks | |
| KR100745639B1 (ko) | 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치 | |
| KR100745640B1 (ko) | 커널 메모리를 보호하는 방법 및 그 장치 | |
| US20060015939A1 (en) | Method and system to protect a file system from viral infections | |
| KR20180060819A (ko) | 랜섬웨어 공격 차단 장치 및 방법 | |
| KR101940864B1 (ko) | 클라우드 기반의 클라이언트 장치 및 백업 방법, 이를 수행하기 위한 기록매체 | |
| CN110086812B (zh) | 一种安全可控的内网安全巡警系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 266318 building a of Daguhe Resort Management Committee, No. 1, Hong Kong Road, Jiaozhou City, Qingdao City, Shandong Province Patentee after: Qingdao Gaozhong Information Technology Co.,Ltd. Address before: 200333 room 1208, building 20, 958 Zhenbei Road, Putuo District, Shanghai Patentee before: SHANGHAI GAOZHONG INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP03 | Change of name, title or address |