CN109858243A - 追踪病毒来源的方法和装置 - Google Patents
追踪病毒来源的方法和装置 Download PDFInfo
- Publication number
- CN109858243A CN109858243A CN201811641052.1A CN201811641052A CN109858243A CN 109858243 A CN109858243 A CN 109858243A CN 201811641052 A CN201811641052 A CN 201811641052A CN 109858243 A CN109858243 A CN 109858243A
- Authority
- CN
- China
- Prior art keywords
- file
- source
- information
- virus
- operation information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 230000003612 virological effect Effects 0.000 title claims abstract description 25
- 241000700605 Viruses Species 0.000 claims abstract description 94
- 238000001514 detection method Methods 0.000 claims abstract description 16
- 230000000644 propagated effect Effects 0.000 claims abstract description 10
- 238000012544 monitoring process Methods 0.000 claims abstract description 9
- 238000004364 calculation method Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 8
- 230000001052 transient effect Effects 0.000 claims description 3
- 201000010099 disease Diseases 0.000 claims 1
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 claims 1
- 238000012986 modification Methods 0.000 claims 1
- 230000004048 modification Effects 0.000 claims 1
- 208000015181 infectious disease Diseases 0.000 abstract description 10
- 238000004140 cleaning Methods 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 8
- 238000004458 analytical method Methods 0.000 description 5
- 230000002155 anti-virotic effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 2
- 238000003012 network analysis Methods 0.000 description 2
- 230000009897 systematic effect Effects 0.000 description 2
- 230000009385 viral infection Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000014599 transmission of virus Effects 0.000 description 1
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供一种追踪病毒来源的方法和装置。所述方法包括:监听并截取主机各网卡上的数据包;从截取的数据包中解析出SMB协议包,并从SMB协议包中解析出SMB会话各阶段的操作信息;串联SMB会话各阶段的操作信息,得到完整的文件操作信息及来源信息;将所述文件操作信息和来源信息保存到数据库;当实时防护系统检测到共享目录病毒文件时,通过查询数据库获取所述共享目录病毒文件的来源。本发明实施例通过解析SMB协议包得到完整的文件操作信息及来源信息,并写入数据库,当检测到共享目录传播的病毒文件时,通过查询数据库得到病毒的来源,使管理员准确的定位网络内的病毒源头,方便清理病毒,阻止局域网病毒反复感染。
Description
技术领域
本发明实施例涉及计算机技术领域,尤其涉及一种追踪病毒来源的方法和装置。
背景技术
随着计算机网络技术的飞速发展,信息的获取、共享和传播变得更加方便,但是也增加了信息泄密的风险。政府和企业内部,重要文件在多人间流转共享,增加了泄露数据的可能。
尽管目前的杀毒软件都具有实时监控功能,但是,杀毒软件不能告诉用户病毒的来源,尤其是共享目录被感染时,不能定位病毒传播源头,会造成病毒反复感染。因此,如何有效地追踪共享目录病毒的来源称为亟待解决的问题。
发明内容
针对现有技术问题,本发明实施例提供一种追踪病毒来源的方法和装置。
第一方面,本发明实施例提供一种追踪病毒来源的方法,所述方法包括:
监听并截取主机各网卡上的数据包;
从截取的数据包中解析出SMB协议包,并从SMB协议包中解析出SMB会话各阶段的操作信息;
串联SMB会话各阶段的操作信息,得到完整的文件操作信息及来源信息;
将所述文件操作信息和来源信息保存到数据库;
当实时防护系统检测到共享目录病毒文件时,通过查询数据库获取所述共享目录病毒文件的来源。
第二方面,本发明实施例提供一种追踪病毒来源的装置,所述装置包括:
截取单元,用于监听并截取主机各网卡上的数据包;
解析单元,用于从截取的数据包中解析出SMB协议包,并从SMB协议包中解析出SMB会话各阶段的操作信息;
串联单元,用于串联SMB会话各阶段的操作信息,得到完整文件操作信息及来源信息;
保存单元,用于将所述文件操作信息和来源信息保存到数据库;
查询单元,用于当实时防护系统检测到共享目录病毒文件时,通过查询数据库获取所述共享目录病毒文件的来源。
第三方面,本发明实施例还提供一种电子设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述第一方面提供的方法。
第四方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述第一方面提供的方法。
本发明实施例通过解析SMB协议包得到完整的文件操作信息及来源信息,并写入数据库,当检测到共享目录传播的病毒文件时,通过查询数据库得到病毒的来源,使管理员准确的定位网络内的病毒源头,方便清理病毒,阻止局域网病毒反复感染。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的追踪病毒来源的方法的流程示意图;
图2为本发明一实施例提供的实时防护系统检测共享目录病毒文件的方法的流程示意图;
图3为本发明一实施例提供的追踪病毒来源的装置的结构示意图;
图4为本发明一实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1示出了本发明实施例提供的一种追踪病毒来源的方法的流程示意图。
如图1所示,本发明实施例提供的追踪病毒来源的方法具体包括以下步骤:
S11、监听并截取主机各网卡上的网卡上的数据包;其中,一台主机可以有多个网卡。
具体地,利用开源抓包软件WinpCap捕获原始数据包,WinpCap软件是针对Win32平台上的抓包和网络分析的一个系统。本发明实施例通过wpcap.dll模块监听网卡上的网络包,能够方便快捷的抓取共享网络上各主机发送/接收的以及相互之间交换的数据。
S12、从截取的数据包中解析出SMB协议包,并从SMB协议包中解析出SMB会话各阶段的操作信息;
具体地,由于访问共享目录需要通过SMB协议,从监听的包中解析出SMB协议的包,从SMB协议各阶段的包解析出对应的操作信息,文件操作信息主要包括创建、重命名、写和删除。文件的来源信息包括文件发送方的IP地址。所述SMB协议各阶段包括:打开共享目录(TreeConnect)、打开文件(Create)、写文件(Write)、关闭文件(Close)等阶段。
解析SMB协议数据包时,判断SMB协议的版本,版本3是版本2的升级,二者解析方式相同,而版本1与版本2和版本3的数据结构不同(包括协议头和协议数据),命令字也不尽相同(每一个smb包都会包含一个命令字),并且文件操作信息在各阶段中的位置也不尽相同,因此,版本1采用不同于版本2和版本3解析方式来解析。
S13、串联SMB会话各阶段的操作信息,得到完整的文件操作信息及来源信息;
具体地,如果其他主机想感染本机的共享目录,必然会通过SMB协议,通过监听、解析SMB的包就能记录下文件操作信息及来源信息。
S14、将所述文件操作信息和来源信息保存到数据库;
S15、当实时防护系统检测到共享目录病毒文件时,通过查询数据库获取所述共享目录病毒文件的来源。
当实时防护系统检测到共享目录感染病毒文件时,通过查询数据库得到传播病毒文件的用户的IP地址,上报病毒及来源信息到控制台,使管理员准确的定位网络内的病毒源头。
本发明实施例通过解析SMB协议包得到完整的文件操作信息及来源信息,并写入数据库,当检测到共享目录传播的病毒文件时,通过查询数据库得到病毒的来源,方便清理病毒,阻止局域网病毒反复感染。
在上述实施例的基础上,所述文件操作信息包括:文件操作类型、文件路径、文件大小及文件修改时间,所述文件操作类型包括写、删除、创建和重命名;所述来源信息包括文件发送方的IP地址;
在上述实施例的基础上,S14具体包括:
将文件操作类型为写、创建或重命名的文件操作信息和来源信息保存到数据库中。
具体地,从SMB协议包中解析出的文件操作信息包括文件操作类型(打开、写、创建、删除、重命名),文件名,文件路径,文件大小,文件修改时间。解析出的这些信息统称为文件操作信息,解析出文件发送方的ip地址称为文件来源信息。然后会把操作类型为写、创建、重命名的文件操作信息和来源信息记录在数据库中,供实时防护系统要查询病毒的来源信息时查询。
在上述实施例的基础上,S15具体包括:
查询共享目录传播的病毒文件在数据库中保存的来源信息,得到所述病毒文件发送方的IP地址。
具体地,当主机共享目录被感染时,能够通过查询数据库直接追踪到病毒的来源,方便清理病毒,阻止局域网病毒反复感染。
本发明实施例部署在SMB服务器,服务器共享目录被感染时,能直接追踪到病毒的来源;部署在局域网内主机上,主机共享目录被感染时,能直接追踪到病毒的来源,方便清理病毒,阻止局域网病毒反复感染。
图2示出了本发明实施例提供的实时防护系统检测共享目录病毒文件的方法的流程示意图。
如图2所示,所述方法还包括:
S21、当检测到主机磁盘上的文件写、创建、重命名操作时,获取文件路径、文件大小及文件修改时间,并根据文件内容计算文件MD5;
S22、根据所述文件路径、文件大小、文件修改时间及文件MD5判断所述文件是否为病毒文件;
S23、当所述文件为病毒文件时,判断文件的路径是否在共享目录中;
S24、当文件的路径在共享目录中时,判断所述文件为共享目录传播的病毒文件。
具体地,实时防护系统内部模块实现检测共享目录病毒的具体步骤如下:
步骤1、实时防护系统的文件过滤驱动检测到主机磁盘上的文件写、创建、重命名操作,并将文件操作类型及文件路径上抛给实时防护应用层;
步骤2、实时防护系统的应用层从步骤1中获取文件路径,然后从文件属性中获取文件大小、文件修改时间,根据文件内容计算文件md5;
步骤3、根据步骤2中获取到信息去云查杀等杀毒引擎查询该文件是否为病毒文件;
步骤4、如果是病毒文件,判断该文件的路径是否在共享目录;
步骤5、如果在共享目录则为共享目录病毒。
图3示出了本发明实施例提供的一种追踪病毒来源的装置的结构示意图。
如图3所示,本发明实施例提供的追踪病毒来源的装置包括截取单元11、解析单元12、串联单元13、保存单元14以及查询单元15,其中:
所述截取单元11,用于监听并截取主机各网卡上的数据包;其中,一台主机可以有多个网卡。
具体地,利用开源抓包软件WinpCap捕获原始数据包,WinpCap软件是针对Win32平台上的抓包和网络分析的一个系统。本发明实施例通过wpcap.dll模块监听网卡上的网络包,能够方便快捷的抓取共享网络上各主机发送/接收的以及相互之间交换的数据。
所述解析单元12,用于从截取的数据包中解析出SMB协议包,并从SMB协议包中解析出SMB会话各阶段的操作信息;
具体地,由于访问共享目录需要通过SMB协议,从监听的包中解析出SMB协议的包,从SMB协议各阶段的包解析出对应的操作信息,文件操作信息主要包括创建、重命名、写和删除。文件的来源信息包括文件发送方的IP地址。所述SMB协议各阶段包括:打开共享目录(TreeConnect)、打开文件(Create)、写文件(Write)、关闭文件(Close)等阶段。
解析SMB协议数据包时,判断SMB协议的版本,版本3是版本2的升级,二者解析方式相同,而版本1与版本2和版本3的数据结构不同(包括协议头和协议数据),命令字也不尽相同(每一个smb包都会包含一个命令字),并且文件操作信息在各阶段中的位置也不尽相同,因此,版本1采用不同于版本2和版本3解析方式来解析。
所述串联单元13,用于串联SMB会话各阶段的操作信息,得到完整的文件操作信息及来源信息;
所述保存单元14,用于将所述文件操作信息和来源信息保存到数据库;
所述查询单元15,用于当实时防护系统检测到共享目录病毒文件时,通过查询数据库获取所述共享目录病毒文件的来源。
当实时防护系统检测到共享目录感染病毒文件时,通过查询数据库得到传播病毒文件的用户的IP地址。
本发明实施例通过解析SMB协议包得到完整的文件操作信息及来源信息,并写入数据库,当检测到共享目录传播的病毒文件时,通过查询数据库得到病毒的来源,使管理员准确的定位网络内的病毒源头,方便清理病毒,阻止局域网病毒反复感染。
在上述实施例的基础上,所述文件操作信息包括:文件操作类型、文件路径、文件大小及文件修改时间,所述文件操作类型包括写、删除、创建和重命名;所述来源信息包括文件发送方的IP地址。
在上述实施例的基础上,所述保存单元,用于将文件操作类型为写、创建或重命名的文件操作信息和来源信息保存到数据库中。
具体地,从SMB协议包中解析出的文件操作信息包括文件操作类型(打开、写、创建、删除、重命名),文件名,文件路径,文件大小,文件修改时间。解析出的这些信息统称为文件操作信息,解析出文件发送方的ip地址称为文件来源信息。然后会把操作类型为写、创建、重命名的文件操作信息和来源信息记录在数据库中,供实时防护系统要查询病毒的来源信息时查询。
在上述实施例的基础上,所述查询单元11,用于查询共享目录传播的病毒文件在数据库中保存的来源信息,得到所述病毒文件发送方的IP地址。
具体地,当主机共享目录被感染时,能够通过查询数据库直接追踪到病毒的来源,方便清理病毒,阻止局域网病毒反复感染。
本发明实施例部署在SMB服务器,服务器共享目录被感染时,能直接追踪到病毒的来源;部署在局域网内主机上,主机共享目录被感染时,能直接追踪到病毒的来源,方便清理病毒,阻止局域网病毒反复感染。
在上述实施例的基础上,所述实时防护系统包括:
获取单元,用于当检测到主机磁盘上的文件写、创建、重命名操作时,获取文件路径、文件大小及文件修改时间,并根据文件内容计算文件MD5;
第一判断单元,用于根据所述文件路径、文件大小、文件修改时间及文件MD5判断所述文件是否为病毒文件;
第二判断单元,用于当所述文件为病毒文件时,判断文件的路径是否在共享目录中;
第三判断单元,用于当文件的路径在共享目录中时,判断所述文件为共享目录传播的病毒文件。
具体地,实时防护系统的文件过滤驱动检测到主机磁盘上的文件写、创建、重命名操作,并将文件操作类型及文件路径上抛给实时防护应用层;实时防护系统的应用层获取到文件路径,然后从文件属性中获取文件大小、文件修改时间,根据文件内容计算文件md5;根据所述文件路径、文件大小、文件修改时间及文件MD5去云查杀等杀毒引擎查询该文件是否为病毒文件;如果是病毒文件,判断该文件的路径是否在共享目录;如果在共享目录则为共享目录病毒。
本发明实施例还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如图1的方法。
图4示出了本发明一实施例提供的电子设备的结构示意图。
如图4所示,本发明实施例提供的电子设备包括存储器21、处理器22、总线23以及存储在存储器21上并可在处理器22上运行的计算机程序。其中,所述存储器21、处理器22通过所述总线23完成相互间的通信。
所述处理器22用于调用所述存储器21中的程序指令,以执行所述程序时实现如图1的方法。
例如,所述处理器执行所述程序时实现如下方法:
监听并截取主机各网卡上的数据包;
从截取的数据包中解析出SMB协议包,并从SMB协议包中解析出SMB会话各阶段的操作信息;
串联SMB会话各阶段的操作信息,得到完整的文件操作信息及来源信息;
将所述文件操作信息和来源信息保存到数据库;
当实时防护系统检测到共享目录病毒文件时,通过查询数据库获取所述共享目录病毒文件的来源。
本发明实施例提供的电子设备,通过解析SMB协议包得到完整的文件操作信息及来源信息,并写入数据库,当检测到共享目录传播的病毒文件时,通过查询数据库得到病毒的来源,使管理员准确的定位网络内的病毒源头,方便清理病毒,阻止局域网病毒反复感染。
本发明实施例还提供一种非暂态计算机可读存储介质,所述存储介质上存储有计算机程序,所述程序被处理器执行时实现如图1的步骤。
例如,所述处理器执行所述程序时实现如下方法:
监听并截取主机各网卡上的数据包;
从截取的数据包中解析出SMB协议包,并从SMB协议包中解析出SMB会话各阶段的操作信息;
串联SMB会话各阶段的操作信息,得到完整的文件操作信息及来源信息;
将所述文件操作信息和来源信息保存到数据库;
当实时防护系统检测到共享目录病毒文件时,通过查询数据库获取所述共享目录病毒文件的来源。
本发明实施例提供的非暂态计算机可读存储介质,通过解析SMB协议包得到完整的文件操作信息及来源信息,并写入数据库,当检测到共享目录传播的病毒文件时,通过查询数据库得到病毒的来源,使管理员准确的定位网络内的病毒源头,方便清理病毒,阻止局域网病毒反复感染。
本发明一实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:
监听并截取主机各网卡上的数据包;
从截取的数据包中解析出SMB协议包,并从SMB协议包中解析出SMB会话各阶段的操作信息;
串联SMB会话各阶段的操作信息,得到完整的文件操作信息及来源信息;
将所述文件操作信息和来源信息保存到数据库;
当实时防护系统检测到共享目录病毒文件时,通过查询数据库获取所述共享目录病毒文件的来源。
本发明实施例中的功能模块可以通过硬件处理器(hardware processor)来实现相关功能模块,本发明实施例不再赘述。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种追踪病毒来源的方法,其特征在于,所述方法包括:
监听并截取主机各网卡上的数据包;
从截取的数据包中解析出SMB协议包,并从SMB协议包中解析出SMB会话各阶段的操作信息;
串联SMB会话各阶段的操作信息,得到完整的文件操作信息及来源信息;
将所述文件操作信息和来源信息保存到数据库;
当实时防护系统检测到共享目录病毒文件时,通过查询数据库获取所述共享目录病毒文件的来源。
2.根据权利要求1所述的方法,其特征在于,所述文件操作信息包括:文件操作类型、文件路径、文件大小及文件修改时间,所述文件操作类型包括写、删除、创建和重命名;所述来源信息包括文件发送方的IP地址。
3.根据权利要求2所述的方法,其特征在于,所述将所述文件操作信息和来源信息保存到数据库包括:
将文件操作类型为写、创建或重命名的文件操作信息和来源信息保存到数据库中。
4.根据权利要求3所述的方法,其特征在于,所述通过查询数据库获取病毒文件的来源包括:
查询共享目录病毒文件在数据库中保存的来源信息,得到所述病毒文件发送方的IP地址。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括实时防护系统检测共享目录病毒文件的步骤:
当检测到主机磁盘上的文件写、创建、重命名操作时,获取文件路径、文件大小及文件修改时间,并根据文件内容计算文件MD5;
根据所述文件路径、文件大小、文件修改时间及文件MD5判断所述文件是否为病毒文件;
当所述文件为病毒文件时,判断文件的路径是否在共享目录中;
当文件的路径在共享目录中时,判断所述文件为共享目录传播的病毒文件。
6.一种追踪病毒来源的装置,其特征在于,所述装置包括:
截取单元,用于监听并截取主机各网卡上的数据包;
解析单元,用于从截取的数据包中解析出SMB协议包,并从SMB协议包中解析出SMB会话各阶段的操作信息;
串联单元,用于串联SMB会话各阶段的操作信息,得到完整的文件操作信息及来源信息;
保存单元,用于将所述文件操作信息和来源信息保存到数据库;
查询单元,用于当实时防护系统检测到共享目录病毒文件时,通过查询数据库获取所述共享目录病毒文件的来源。
7.根据权利要求6所述的装置,其特征在于,所述文件操作信息包括:文件操作类型、文件路径、文件大小及文件修改时间,所述文件操作类型包括写、删除、创建和重命名;所述来源信息包括文件发送方的IP地址。
8.根据权利要求7所述的装置,其特征在于,所述保存单元,用于将文件操作类型为写、创建或重命名的文件操作信息和来源信息保存到数据库中。
9.根据权利要求8所述的装置,其特征在于,所述查询单元,用于查询共享目录病毒文件在数据库中保存的来源信息,得到所述病毒文件发送方的IP地址。
10.根据权利要求6所述的装置,其特征在于,所述实时防护系统包括:
获取单元,用于当检测到主机磁盘上的文件写、创建、重命名操作时,获取文件路径、文件大小及文件修改时间,并根据文件内容计算文件MD5;
第一判断单元,用于根据所述文件路径、文件大小、文件修改时间及文件MD5判断所述文件是否为病毒文件;
第二判断单元,用于当所述文件为病毒文件时,判断文件的路径是否在共享目录中;
第三判断单元,用于当文件的路径在共享目录中时,判断所述文件为共享目录传播的病毒文件。
11.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述追踪病毒来源的方法的步骤。
12.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至5任一项所述追踪病毒来源的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811641052.1A CN109858243B (zh) | 2018-12-29 | 2018-12-29 | 追踪病毒来源的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811641052.1A CN109858243B (zh) | 2018-12-29 | 2018-12-29 | 追踪病毒来源的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109858243A true CN109858243A (zh) | 2019-06-07 |
| CN109858243B CN109858243B (zh) | 2021-09-03 |
Family
ID=66893369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811641052.1A Active CN109858243B (zh) | 2018-12-29 | 2018-12-29 | 追踪病毒来源的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109858243B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111079144A (zh) * | 2019-11-25 | 2020-04-28 | 杭州迪普科技股份有限公司 | 一种病毒传播行为检测方法及装置 |
| CN111611585A (zh) * | 2020-05-20 | 2020-09-01 | 网神信息技术(北京)股份有限公司 | 终端设备的监控方法、装置、电子设备和介质 |
| CN111931171A (zh) * | 2020-08-10 | 2020-11-13 | 深信服科技股份有限公司 | 一种共享文件安全防护方法、装置、设备及存储介质 |
| CN114401103A (zh) * | 2021-11-30 | 2022-04-26 | 奇安信科技集团股份有限公司 | Smb远程传输文件检测方法及装置 |
| CN115250206A (zh) * | 2022-09-23 | 2022-10-28 | 荣耀终端有限公司 | 一种共享风险告警方法及电子设备 |
| CN116089961A (zh) * | 2023-02-14 | 2023-05-09 | 哈尔滨晨亿科技有限公司 | 一种基于大数据的计算机智能图像管理系统及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102761535A (zh) * | 2011-04-29 | 2012-10-31 | 北京瑞星信息技术有限公司 | 病毒监测方法和设备 |
| CN104504338A (zh) * | 2015-01-23 | 2015-04-08 | 北京瑞星信息技术有限公司 | 标识、采集、统计病毒传播途径的方法及装置 |
| CN104683477A (zh) * | 2015-03-18 | 2015-06-03 | 哈尔滨工程大学 | 一种基于smb协议的共享文件操作过滤方法 |
| CN104809394A (zh) * | 2015-04-08 | 2015-07-29 | 北京奇虎科技有限公司 | 病毒查杀的方法、装置及终端 |
| CN108418802A (zh) * | 2018-02-02 | 2018-08-17 | 大势至(北京)软件工程有限公司 | 一种共享文件的访问控制方法及系统 |
-
2018
- 2018-12-29 CN CN201811641052.1A patent/CN109858243B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102761535A (zh) * | 2011-04-29 | 2012-10-31 | 北京瑞星信息技术有限公司 | 病毒监测方法和设备 |
| CN104504338A (zh) * | 2015-01-23 | 2015-04-08 | 北京瑞星信息技术有限公司 | 标识、采集、统计病毒传播途径的方法及装置 |
| CN104683477A (zh) * | 2015-03-18 | 2015-06-03 | 哈尔滨工程大学 | 一种基于smb协议的共享文件操作过滤方法 |
| CN104809394A (zh) * | 2015-04-08 | 2015-07-29 | 北京奇虎科技有限公司 | 病毒查杀的方法、装置及终端 |
| CN108418802A (zh) * | 2018-02-02 | 2018-08-17 | 大势至(北京)软件工程有限公司 | 一种共享文件的访问控制方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 陆德波: ""一种监测共享目录蠕虫病毒的方法"", 《计算机与数字工程》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111079144A (zh) * | 2019-11-25 | 2020-04-28 | 杭州迪普科技股份有限公司 | 一种病毒传播行为检测方法及装置 |
| CN111611585A (zh) * | 2020-05-20 | 2020-09-01 | 网神信息技术(北京)股份有限公司 | 终端设备的监控方法、装置、电子设备和介质 |
| CN111931171A (zh) * | 2020-08-10 | 2020-11-13 | 深信服科技股份有限公司 | 一种共享文件安全防护方法、装置、设备及存储介质 |
| CN114401103A (zh) * | 2021-11-30 | 2022-04-26 | 奇安信科技集团股份有限公司 | Smb远程传输文件检测方法及装置 |
| CN114401103B (zh) * | 2021-11-30 | 2024-04-19 | 奇安信科技集团股份有限公司 | Smb远程传输文件检测方法及装置,电子设备,存储介质 |
| CN115250206A (zh) * | 2022-09-23 | 2022-10-28 | 荣耀终端有限公司 | 一种共享风险告警方法及电子设备 |
| CN115250206B (zh) * | 2022-09-23 | 2023-03-24 | 荣耀终端有限公司 | 一种共享风险告警方法及电子设备 |
| CN116089961A (zh) * | 2023-02-14 | 2023-05-09 | 哈尔滨晨亿科技有限公司 | 一种基于大数据的计算机智能图像管理系统及方法 |
| CN116089961B (zh) * | 2023-02-14 | 2023-07-21 | 河南省中视新科文化产业有限公司 | 一种基于大数据的计算机智能图像管理系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109858243B (zh) | 2021-09-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109858243A (zh) | 追踪病毒来源的方法和装置 | |
| US11102223B2 (en) | Multi-host threat tracking | |
| US10956566B2 (en) | Multi-point causality tracking in cyber incident reasoning | |
| US10021033B2 (en) | Context driven policy based packet capture | |
| US11941054B2 (en) | Iterative constraint solving in abstract graph matching for cyber incident reasoning | |
| Wang et al. | Shield: Vulnerability-driven network filters for preventing known vulnerability exploits | |
| US11184374B2 (en) | Endpoint inter-process activity extraction and pattern matching | |
| US20200366717A1 (en) | Classification of unknown network traffic | |
| Rafique et al. | Firma: Malware clustering and network signature generation with mixed network behaviors | |
| US7908656B1 (en) | Customized data generating data storage system filter for data security | |
| CN112383546A (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
| US11627148B2 (en) | Advanced threat detection through historical log analysis | |
| Kaur et al. | Automatic attack signature generation systems: A review | |
| Casey et al. | Malware forensics field guide for Linux systems: digital forensics field guides | |
| WO2015149629A1 (zh) | Dns行为的处理方法、装置及系统 | |
| JP2012014667A (ja) | ウェブアプリケーション攻撃の検知方法 | |
| WO2019184664A1 (zh) | 恶意文件的检测方法、设备和系统 | |
| US20190281073A1 (en) | Signature Pattern Matching testing framework | |
| WO2015090117A1 (zh) | 网站防护方法及装置 | |
| Uramová et al. | Packet capture infrastructure based on Moloch | |
| US20240028707A1 (en) | In-memory scan for threat detection with binary instrumentation backed generic unpacking, decryption, and deobfuscation | |
| Zammit | A machine learning based approach for intrusion prevention using honeypot interaction patterns as training data | |
| US10747525B2 (en) | Distribution of a software upgrade via a network | |
| CN116346680A (zh) | 基于拓扑嗅探的进程间网络流量追踪控制方法和系统 | |
| Khan | Multi-agent based forensic analysis framework for infrastructures involving storage networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |