CN110225057A - 一种智能终端的病毒检测方法、装置、设备及系统 - Google Patents

一种智能终端的病毒检测方法、装置、设备及系统 Download PDF

Info

Publication number
CN110225057A
CN110225057A CN201910548477.6A CN201910548477A CN110225057A CN 110225057 A CN110225057 A CN 110225057A CN 201910548477 A CN201910548477 A CN 201910548477A CN 110225057 A CN110225057 A CN 110225057A
Authority
CN
China
Prior art keywords
intelligent terminal
virus
apocrypha
viral diagnosis
security breaches
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910548477.6A
Other languages
English (en)
Other versions
CN110225057B (zh
Inventor
丁莹
范渊
吴卓群
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN201910548477.6A priority Critical patent/CN110225057B/zh
Publication of CN110225057A publication Critical patent/CN110225057A/zh
Application granted granted Critical
Publication of CN110225057B publication Critical patent/CN110225057B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请公开了一种智能终端的病毒检测方法,该方法能够发送安全漏洞检测数据包至智能终端;若智能终端有响应,则通过安全漏洞植入无害的病毒扫描程序至智能终端;并利用病毒扫描程序检测智能终端是否存在病毒入侵行为;若存在,则生成包含病毒入侵行为的行为日志和智能终端的标识信息的病毒检测报告,并将病毒检测报告传输至服务端。本申请能够确定智能终端的安全性,同时利用多种通信协议广播报文,因此可对不同类型的智能终端进行病毒检测,也提高了病毒检测的通用性和病毒检测效率。本申请公开的一种智能终端的病毒检测装置、设备及系统,也同样具有上述技术效果。

Description

一种智能终端的病毒检测方法、装置、设备及系统
技术领域
本申请涉及安全检测技术领域,特别涉及一种智能终端的病毒检测方法、装置、设备及系统。
背景技术
目前,生活中常见的智能终端包括:移动智能终端、车载智能终端、智能电视、可穿戴设备等,这些智能终端可构成庞大的物联网,给人们生活带来了诸多便利。但是,由于物联网中存在着大量的不安全信息和病毒,一旦网络中的一个终端感染病毒,同一网络中的其他终端将不可幸免。我国乃至全球也经常出现大面积网络感染病毒的情况。
因此,如何确定智能终端的安全性,是本领域技术人员需要解决的问题。
发明内容
有鉴于此,本申请的目的在于提供一种智能终端的病毒检测方法、装置、设备及系统,以确定智能终端的安全性。其具体方案如下:
第一方面,本申请提供了一种智能终端的病毒检测方法,包括:
利用预设的多种通信协议广播报文;
若接收到与报文对应的响应,则利用与智能终端对应的通信协议构造安全漏洞检测数据包,并发送安全漏洞检测数据包至智能终端;
若接收到与安全漏洞检测数据包对应的响应,则通过安全漏洞植入无害的病毒扫描程序至智能终端;并利用病毒扫描程序检测智能终端是否存在病毒入侵行为;若存在,则生成包含病毒入侵行为的行为日志和智能终端的标识信息的病毒检测报告,并将病毒检测报告传输至服务端。
优选地,还包括:
若接收到与安全漏洞检测数据包对应的响应,则判断智能终端是否存在开放端口;
若是,则利用与开放端口对应的通信协议,发送与智能终端对应的可执行文件至智能终端,以便可执行文件对智能终端进行扫描;
若可执行文件在智能终端中扫描到可疑文件,则获取可疑文件和智能终端的行为日志,并将可疑文件、行为日志和标识信息传输至服务端。
优选地,还包括:
若利用蜜罐捕获到可疑文件,则将捕获到的可疑文件传输至服务端。
优选地,还包括:
服务端计算接收到的可疑文件的哈希值,并判断预设的病毒库中是否存在哈希值;
若是,则生成告警信息。
优选地,还包括:
若预设的病毒库中不存在哈希值,则判断行为日志中是否记录有异常行为;
若是,则生成告警信息,并将哈希值添加至病毒库。
优选地,还包括:
若行为日志中未记录有异常行为,则对接收到的可疑文件进行逆向操作。
优选地,还包括:
若接收到的可疑文件的逆向操作确定接收到的可疑文件为正常文件,则利用同源性鉴别方法检测接收到的可疑文件。
第二方面,本申请提供了一种智能终端的病毒检测装置,包括:
广播模块,用于利用预设的多种通信协议广播报文;
检测模块,用于若接收到与报文对应的响应,则利用与智能终端对应的通信协议构造安全漏洞检测数据包,并发送安全漏洞检测数据包至智能终端;
生成模块,用于若接收到与安全漏洞检测数据包对应的响应,则通过安全漏洞植入无害的病毒扫描程序至智能终端;并利用病毒扫描程序检测智能终端是否存在病毒入侵行为;若存在,则生成包含病毒入侵行为的行为日志和智能终端的标识信息的病毒检测报告,并将病毒检测报告传输至服务端。
第三方面,本申请提供了一种智能终端的病毒检测设备,包括上述公开的智能终端的病毒检测装置。
第四方面,本申请提供了一种智能终端的病毒检测系统,包括上述公开的智能终端的病毒检测设备。
第五方面,本申请提供了一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的智能终端的病毒检测方法。
通过以上方案可知,本申请提供了一种智能终端的病毒检测方法,包括:利用预设的多种通信协议广播报文;若接收到与报文对应的响应,则利用与智能终端对应的通信协议构造安全漏洞检测数据包,并发送安全漏洞检测数据包至智能终端;若接收到与安全漏洞检测数据包对应的响应,则通过安全漏洞植入无害的病毒扫描程序至智能终端;并利用病毒扫描程序检测智能终端是否存在病毒入侵行为;若存在,则生成包含病毒入侵行为的行为日志和智能终端的标识信息的病毒检测报告,并将病毒检测报告传输至服务端。
可见,本申请能够确定智能终端的安全性。其中,利用多种通信协议广播报文,因此可对不同类型的智能终端都进行病毒检测,从而使得病毒检测具有良好的通用性,即:可以对多种类型的智能终端的进行病毒检测,从而可提高智能终端的病毒检测效率。那些对报文有响应的智能终端即为可以被检测的智能终端;而后向智能终端发送相应的安全漏洞检测数据包;若智能终端对安全漏洞检测数据包有响应,则表明智能终端存在病毒入侵行为,那么生成智能终端的病毒检测报告,并将病毒入侵行为的行为日志和智能终端的标识信息添加至病毒检测报告后,将病毒检测报告传输至服务端。这样服务端便可获得不同类型的智能终端的检测结果,可便于服务端进行后续的病毒分析工作。
相应地,本申请提供的一种智能终端的病毒检测装置、设备及系统,也同样具有上述技术效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的第一种智能终端的病毒检测方法流程图;
图2为本申请公开的第二种智能终端的病毒检测方法流程图;
图3为本申请公开的一种智能终端的病毒检测装置流程图;
图4为本申请公开的一种智能终端的病毒检测设备示意图;
图5为本申请公开的一种智能终端的病毒检测系统示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,由于物联网中存在着大量的不安全信息和病毒,一旦网络中的一个终端感染病毒,同一网络中的其他终端将不可幸免。为此,本申请提供了一种智能终端的病毒检测方案,能够确定智能终端的安全性。
参见图1所示,本申请实施例公开了第一种智能终端的病毒检测方法,包括:
S101、利用预设的多种通信协议广播报文;
S102、若接收到与报文对应的响应,则利用与智能终端对应的通信协议构造安全漏洞检测数据包,并发送安全漏洞检测数据包至智能终端;
S103、若接收到与安全漏洞检测数据包对应的响应,则通过安全漏洞植入无害的病毒扫描程序至智能终端;并利用病毒扫描程序检测智能终端是否存在病毒入侵行为;若存在,则生成包含病毒入侵行为的行为日志和智能终端的标识信息的病毒检测报告,并将病毒检测报告传输至服务端。
具体的,对报文有响应的智能终端即为可以被检测的智能终端;若智能终端对安全漏洞检测数据包有响应,则表明智能终端存在病毒入侵行为。其中,安全漏洞检测数据包是按照预设的规则构造而得,因此若智能终端对该数据包有响应,则表明当前智能终端存在病毒入侵行为。
在本实施例中,该方法应用于病毒检测设备。若智能终端对安全漏洞检测数据包有响应,还可以通过智能终端的开放端口检测其中的可疑文件。若智能终端存在开放端口,则利用与开放端口对应的通信协议,发送与智能终端对应的可执行文件至智能终端,以便可执行文件对智能终端进行扫描;若可执行文件在智能终端中扫描到可疑文件,则获取可疑文件和智能终端的行为日志,并将可疑文件、行为日志和标识信息传输至服务端,以便服务端分析可疑文件和行为日志。若可执行文件在智能终端中未扫描到可疑文件,则获取智能终端的行为日志,并将行为日志和标识信息传输至服务端,以便服务端分析行为日志。
其中,由于不同智能终端的操作系统、开放端口均不同,因此在发送可执行文件时,可执行文件的格式需要与智能终端的操作系统相对应,所采用通信协议需要与开放端口相对应。若可执行文件在智能设备中执行成功,则表明智能终端存在病毒入侵风险;若可执行文件在智能设备中无法执行,则表明智能终端不存在病毒入侵风险。可执行文件兼容的格式包括:elf、assembler output、COFF(通用对象文件格式)、exe、msi、vbs、js、cmd、dat、Mach-o、bash、python、bin、axf、hex、ATT、二进制串码等。可执行文件可以预置在病毒检测设备的固件中,也可以通过外接USB模块有线连接后植入,也可以通过其他协议扫描植入。
在本实施例中,病毒检测设备可以利用蜜罐技术进行伪装,以捕获智能终端中的可疑文件,若利用蜜罐捕获到可疑文件,则将捕获到的可疑文件传输至服务端,以便服务端分析可疑文件。在利用蜜罐技术捕获可疑文件时,病毒检测设备的所有端口均开放,以便智能终端主动发送文件或消息至病毒检测设备。
可见,本申请实施例能够确定智能终端的安全性。其中,利用多种通信协议广播报文,因此可对不同类型的智能终端都进行病毒检测,从而使得病毒检测具有良好的通用性,即:可以对多种类型的智能终端的进行病毒检测,从而可提高智能终端的病毒检测效率。那些对报文有响应的智能终端即为可以被检测的智能终端;而后向智能终端发送相应的安全漏洞检测数据包;若智能终端对安全漏洞检测数据包有响应,则表明智能终端存在病毒入侵行为,那么生成智能终端的病毒检测报告,并将病毒入侵行为的行为日志和智能终端的标识信息添加至病毒检测报告后,将病毒检测报告传输至服务端。这样服务端便可获得不同类型的智能终端的检测结果,可便于服务端进行后续的病毒分析工作。
在服务端接收到病毒检测报告、智能终端的行为日志和可疑文件后,参见图2所示,本申请实施例公开了第二种智能终端的病毒检测方法,应用于服务端,包括:
S201、计算接收到的可疑文件的哈希值;
S202、判断预设的病毒库中是否存在哈希值;若是,则生成告警信息;若否,则执行S203;
若预设的病毒库中存在可疑文件的哈希值,那么可以进一步确定可疑文件的哈希值是否存在病毒溯源信息,若存在,则根据病毒溯源信息确定病毒投放者。
S203、判断行为日志中是否记录有异常行为;若是,则生成告警信息;若否,则执行S204;
在本实施例中,异常行为包括:隐藏程序进程,内存、硬盘、网络资源占用率极高导致其他运行超时,频繁无故弹窗,有限制其他软件运行,对该程序以外的程序进行增删改查操作对该程序以外的程序进行增删改查操作,修改自启动项,占用中断INT13H,系统内存驻留等行为。
S204、对接收到的可疑文件进行逆向操作;
逆向操作具体为:分析可疑文件是否存在恶意行为代码逻辑,以确定可疑文件是否存在上述异常行为,则表明可疑文件为病毒。
S205、若接收到的可疑文件的逆向操作确定接收到的可疑文件为正常文件,则利用同源性鉴别方法检测接收到的可疑文件。
利用同源性鉴别方法检测接收到的可疑文件,包括:将可疑文件转化为数字图像,对多图的互同源性进行鉴别,从而确定可疑文件是否为病毒、病毒来源于哪个病毒的变种、可能是由哪个病毒投放者投放等。同源性鉴别方法是用动态跟踪或静态分析获取恶意代码的特征信息,如指令序列、应用程序接口调用序列或图结构特征等。通过对恶意代码的特征进行学习,建立不同类别恶意代码的特征模型。基于图结构分析恶意代码同源性,该方法以接口调用图作为研究对象,利用卷积神经网络对图结构数据进行处理。为了使不同大小的API调用图能够适配卷积神经网络的输入,使用关键节点选择算法。该算法通过计算节点在图中的重要性,选取关键节点,然后以关键节点的邻域,构建感知区域。借助卷积神经网络局部性,提高图匹配计算效率,实现大量恶意代码的同源性分析。具体的实现步骤可以参考现有技术,本实施例不再一一说明。
在本实施例中,当确定发现预设病毒库中未出现的病毒后,将新出现的病毒的哈希值添加至病毒库。例如:若可疑文件的哈希值在预设病毒库中不存在,那么当行为日志中是否记录有异常行为,则将具有异常行为的信息或文件的哈希值添加至病毒库;当逆向操作确定接收到的可疑文件为病毒,则将可疑文件的哈希值添加至病毒库。当然,服务端还可以主动爬取互联网中存在的新型病毒,以丰富病毒库。
由上可见,本实施例提供了一种服务端对智能终端的病毒检测方法,可以确定智能终端中的可疑文件是否为病毒,还可以基于智能终端的行为日志确定其中是否存在病毒。若存在病毒,则生成告警信息。
下面对本申请实施例提供的一种智能终端的病毒检测装置进行介绍,下文描述的一种智能终端的病毒检测装置与上文描述的一种智能终端的病毒检测方法可以相互参照。
参见图3所示,本申请实施例公开了一种智能终端的病毒检测装置,包括:
广播模块301,用于利用预设的多种通信协议广播报文;
检测模块302,用于若接收到与报文对应的响应,则利用与智能终端对应的通信协议构造安全漏洞检测数据包,并发送安全漏洞检测数据包至智能终端;
生成模块303,用于若接收到与安全漏洞检测数据包对应的响应,则通过安全漏洞植入无害的病毒扫描程序至智能终端;并利用病毒扫描程序检测智能终端是否存在病毒入侵行为;若存在,则生成包含病毒入侵行为的行为日志和智能终端的标识信息的病毒检测报告,并将病毒检测报告传输至服务端。
在一种具体实施方式中,智能终端的病毒检测装置还包括:
判断模块,用于若接收到与安全漏洞检测数据包对应的响应,则判断智能终端是否存在开放端口;
发送模块,用于若智能终端存在开放端口,则利用与开放端口对应的通信协议,发送与智能终端对应的可执行文件至智能终端,以便可执行文件对智能终端进行扫描;
获取模块,用于若可执行文件在智能终端中扫描到可疑文件,则获取可疑文件和智能终端的行为日志,并将可疑文件、行为日志和标识信息传输至服务端。
在一种具体实施方式中,智能终端的病毒检测装置还包括:
捕获模块,用于若利用蜜罐捕获到可疑文件,则将捕获到的可疑文件传输至服务端。
其中,关于本实施例中各个模块、单元更加具体的工作过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
可见,本实施例提供了一种智能终端的病毒检测装置,包括:广播模块、检测模块以及生成模块。首先由广播模块利用预设的多种通信协议广播报文;若接收到与报文对应的响应,则检测模块利用与智能终端对应的通信协议构造安全漏洞检测数据包,并发送安全漏洞检测数据包至智能终端;若接收到与安全漏洞检测数据包对应的响应,则生成模块通过安全漏洞植入无害的病毒扫描程序至智能终端;并利用病毒扫描程序检测智能终端是否存在病毒入侵行为;若存在,则生成包含病毒入侵行为的行为日志和智能终端的标识信息的病毒检测报告,并将病毒检测报告传输至服务端。如此各个模块之间分工合作,各司其职,从而能够确定智能终端的安全性,也提高了病毒检测的通用性和病毒检测效率。
下面对本申请实施例提供的一种智能终端的病毒检测设备进行介绍,下文描述的一种智能终端的病毒检测设备与上文描述的一种智能终端的病毒检测方法及装置可以相互参照。
本申请提供了一种智能终端的病毒检测设备,包括上述公开的智能终端的病毒检测装置。也就是说,病毒检测设备中设有病毒检测装置,病毒检测装置能够实现本申请公开的方法。
在一种具体实施方式中,参见图4所示,本申请实施例公开了一种智能终端的病毒检测设备,包括:
存储器401,用于保存计算机程序;
处理器402,用于执行所述计算机程序,以实现以下步骤:
利用预设的多种通信协议广播报文;若接收到与报文对应的响应,则利用与智能终端对应的通信协议构造安全漏洞检测数据包,并发送安全漏洞检测数据包至智能终端;若接收到与安全漏洞检测数据包对应的响应,则通过安全漏洞植入无害的病毒扫描程序至智能终端;并利用病毒扫描程序检测智能终端是否存在病毒入侵行为;若存在,则生成包含病毒入侵行为的行为日志和智能终端的标识信息的病毒检测报告,并将病毒检测报告传输至服务端。
在本实施例中,所述处理器执行所述存储器中保存的计算机子程序时,可以具体实现以下步骤:若接收到与安全漏洞检测数据包对应的响应,则判断智能终端是否存在开放端口;若是,则利用与开放端口对应的通信协议,发送与智能终端对应的可执行文件至智能终端,以便可执行文件对智能终端进行扫描;若可执行文件在智能终端中扫描到可疑文件,则获取可疑文件和智能终端的行为日志,并将可疑文件、行为日志和标识信息传输至服务端。
在本实施例中,所述处理器执行所述存储器中保存的计算机子程序时,可以具体实现以下步骤:若利用蜜罐捕获到可疑文件,则将捕获到的可疑文件传输至服务端。
在一种具体实施方式中,病毒检测设备还包括:移动互联网模块,蓝牙模块、Wi-Fi模块、RFID模块、2.4G无线模块、Zigbee模块、GPS模块、超声波模块、红外模块、计费模块、传感器模块等,上述各个模块均可以通过各自的通信协议与智能终端进行通信。其中,移动互联网模块包括:2G模块、3G模块、4G模块和5G模块等。GPS模块用于记录病毒检测设备的地理位置信息。
例如,当病毒检测设备通过Wi-Fi模块与智能终端建立通信连接,那么智能终端就可以发送报文给智能终端,若智能终端有响应,则表明当前智能可被测;继而病毒检测设备发送安全漏洞检测数据包给智能终端,若智能终端有响应,则表明当前智能存在病毒入侵风险。
在本实施例中,病毒检测设备中预设的通信协议包括:coap、ubiquiti、lpd、nmea_0183、hp_pjl、cisco_smi、cccam、yahoo_smarttv、thinprint、dicom、cirrato_client、ir_alerts、irc、gtp、echo、mqtt、crestron、modbus、fox、moxa、bacnet、enip、lantronix、fins、s7、codesys、iec104、wincc、hollysys_dcs、pcworx、crimson、ecomkoyo、hollysys_lk、dnp3、vertx_edge、srtp-ge、melsecq、proconos、iec61131_3、tank_gauge、foxboro、bandwidth、bgp、rip、ssh、telnet、rdp、vnc、ipmi、android_adb、idevice、ard、pcanywhere、munin、nomachine、ganglia、xdmcp、radmin、netsupport、Gh0st、DarkComet、netbus、rtsp、H.323、mumble、squeezecenter、bitcoin、ethereumrpc、iota_rpc、bittorrent、jboss、http、sipoptions、dns、ntp、rpccheck、dht、snmp、msrpc、mdns、natpmp、ajp13、ldap、fw1_topology、epmd、afp、x11、amqp、daytime、vport、svrloc、chargen、rdate、qotd、zookeeper、asterisk、identd、iscsi、remoting、ncacn_http、nntp、wdbrpc、ndmp、saprouter、kerberos_sec、weblogic_rmi、finger、etcd、gearman、icabrowser、whois、giop、serialnumberd、osiris、ceph等。支持的近场通信协议包括Bluetooth报文、Zigbee报文、RFID信号、超声波信号、2.4G无线信号、红外信号、传感器信号等。
在一种具体实施方式中,可以将病毒检测设备置于某一地理位置,从而使病毒检测设备检测其周围的智能终端。病毒检测设备可设置可充电的蓄电池进行供电,以使其具有便携性和可移动性。
下面对本申请实施例提供的一种智能终端的病毒检测系统进行介绍,下文描述的一种智能终端的病毒检测系统与上文描述的一种智能终端的病毒检测方法、装置及设备可以相互参照。
参见图5所示,本申请提供了一种智能终端的病毒检测系统,包括病毒检测设备501和服务端502,其中:
其中,病毒检测设备可为任意数量个,每个病毒检测设备均与服务端进行通信,每个病毒检测设备用于实现以下步骤:
利用预设的多种通信协议广播报文;若接收到与报文对应的响应,则利用与智能终端对应的通信协议构造安全漏洞检测数据包,并发送安全漏洞检测数据包至智能终端;若接收到与安全漏洞检测数据包对应的响应,则通过安全漏洞植入无害的病毒扫描程序至智能终端;并利用病毒扫描程序检测智能终端是否存在病毒入侵行为;若存在,则生成包含病毒入侵行为的行为日志和智能终端的标识信息的病毒检测报告,并将病毒检测报告传输至服务端。
若接收到与安全漏洞检测数据包对应的响应,则判断智能终端是否存在开放端口;若是,则利用与开放端口对应的通信协议,发送与智能终端对应的可执行文件至智能终端,以便可执行文件对智能终端进行扫描;若可执行文件在智能终端中扫描到可疑文件,则获取可疑文件和智能终端的行为日志,并将可疑文件、行为日志和标识信息传输至服务端。
若利用蜜罐捕获到可疑文件,则将捕获到的可疑文件传输至服务端。
服务端用于实现以下步骤:计算接收到的可疑文件的哈希值,并判断预设的病毒库中是否存在哈希值;若是,则生成告警信息。
若预设的病毒库中不存在哈希值,则判断行为日志中是否记录有异常行为;若是,则生成告警信息,并将哈希值添加至病毒库。
若行为日志中未记录有异常行为,则对接收到的可疑文件进行逆向操作。
若接收到的可疑文件的逆向操作确定接收到的可疑文件为正常文件,则利用同源性鉴别方法检测接收到的可疑文件。
当病毒检测设备为多个时,每个病毒检测设备可以以自身地理位置信息为标识,当需要传输数据至服务端时,同时上传自身的地理位置信息,这样服务端便可基于地理位置信息辨别不同的病毒检测设备,并确定数据是由哪个病毒检测设备发送的,被检测的智能终端大概处于哪个位置。智能终端的位置信息可看作发送其病毒检测报告、可疑文件和行为日志的病毒检测设备的位置信息。
下面对本申请实施例提供的一种可读存储介质进行介绍,下文描述的一种可读存储介质与上文描述的一种智能终端的病毒检测方法、装置及设备可以相互参照。
一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述实施例公开的智能终端的病毒检测方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本申请涉及的“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法或设备固有的其它步骤或单元。
需要说明的是,在本申请中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的可读存储介质中。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种智能终端的病毒检测方法,其特征在于,包括:
利用预设的多种通信协议广播报文;
若接收到与所述报文对应的响应,则利用与所述智能终端对应的通信协议构造安全漏洞检测数据包,并发送所述安全漏洞检测数据包至所述智能终端;
若接收到与所述安全漏洞检测数据包对应的响应,则通过安全漏洞植入无害的病毒扫描程序至所述智能终端;并利用所述病毒扫描程序检测所述智能终端是否存在病毒入侵行为;若存在,则生成包含所述病毒入侵行为的行为日志和所述智能终端的标识信息的病毒检测报告,并将所述病毒检测报告传输至服务端。
2.根据权利要求1所述的智能终端的病毒检测方法,其特征在于,还包括:
若接收到与所述安全漏洞检测数据包对应的响应,则判断所述智能终端是否存在开放端口;
若是,则利用与所述开放端口对应的通信协议,发送与所述智能终端对应的可执行文件至所述智能终端,以便所述可执行文件对所述智能终端进行扫描;
若所述可执行文件在所述智能终端中扫描到可疑文件,则获取所述可疑文件和所述智能终端的行为日志,并将所述可疑文件、所述行为日志和所述标识信息传输至所述服务端。
3.根据权利要求2所述的智能终端的病毒检测方法,其特征在于,还包括:
若利用蜜罐捕获到可疑文件,则将捕获到的可疑文件传输至所述服务端。
4.根据权利要求2所述的智能终端的病毒检测方法,其特征在于,还包括:
所述服务端计算接收到的可疑文件的哈希值,并判断预设的病毒库中是否存在所述哈希值;
若是,则生成告警信息。
5.根据权利要求4所述的智能终端的病毒检测方法,其特征在于,还包括:
若所述预设的病毒库中不存在所述哈希值,则判断所述行为日志中是否记录有异常行为;
若是,则生成所述告警信息,并将所述哈希值添加至所述病毒库。
6.根据权利要求5所述的智能终端的病毒检测方法,其特征在于,还包括:
若所述行为日志中未记录有异常行为,则对接收到的可疑文件进行逆向操作。
7.根据权利要求6所述的智能终端的病毒检测方法,其特征在于,还包括:
若接收到的可疑文件的逆向操作确定接收到的可疑文件为正常文件,则利用同源性鉴别方法检测接收到的可疑文件。
8.一种智能终端的病毒检测装置,其特征在于,包括:
广播模块,用于利用预设的多种通信协议广播报文;
检测模块,用于若接收到与所述报文对应的响应,则利用与所述智能终端对应的通信协议构造安全漏洞检测数据包,并发送所述安全漏洞检测数据包至所述智能终端;
生成模块,用于若接收到与所述安全漏洞检测数据包对应的响应,则通过安全漏洞植入无害的病毒扫描程序至所述智能终端;并利用所述病毒扫描程序检测所述智能终端是否存在病毒入侵行为;若存在,则生成包含所述病毒入侵行为的行为日志和所述智能终端的标识信息的病毒检测报告,并将所述病毒检测报告传输至服务端。
9.一种智能终端的病毒检测设备,其特征在于,包括如权利要求8所述的智能终端的病毒检测装置。
10.一种智能终端的病毒检测系统,其特征在于,包括如权利要求9所述的智能终端的病毒检测设备。
CN201910548477.6A 2019-06-24 2019-06-24 一种智能终端的病毒检测方法、装置、设备及系统 Active CN110225057B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910548477.6A CN110225057B (zh) 2019-06-24 2019-06-24 一种智能终端的病毒检测方法、装置、设备及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910548477.6A CN110225057B (zh) 2019-06-24 2019-06-24 一种智能终端的病毒检测方法、装置、设备及系统

Publications (2)

Publication Number Publication Date
CN110225057A true CN110225057A (zh) 2019-09-10
CN110225057B CN110225057B (zh) 2022-04-26

Family

ID=67814395

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910548477.6A Active CN110225057B (zh) 2019-06-24 2019-06-24 一种智能终端的病毒检测方法、装置、设备及系统

Country Status (1)

Country Link
CN (1) CN110225057B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110730180A (zh) * 2019-10-17 2020-01-24 杭州安恒信息技术股份有限公司 便携式通信设备探测仪器和通信设备探测方法
CN115632878A (zh) * 2022-12-06 2023-01-20 中海油能源发展股份有限公司采油服务分公司 基于网络隔离的数据传输方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040034794A1 (en) * 2000-05-28 2004-02-19 Yaron Mayer System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages
CN102073820A (zh) * 2011-01-25 2011-05-25 潘燕辉 一种基于用户共享的云扫描方法
CN104899510A (zh) * 2015-05-11 2015-09-09 国网甘肃省电力公司电力科学研究院 针对可移动存储设备的病毒检测查杀方法
WO2017190620A1 (zh) * 2016-05-04 2017-11-09 腾讯科技(深圳)有限公司 一种病毒检测方法、终端及服务器
CN107872459A (zh) * 2017-11-10 2018-04-03 西安越众软件科技有限公司 一种网络安全隐患的扫描系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040034794A1 (en) * 2000-05-28 2004-02-19 Yaron Mayer System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages
CN102073820A (zh) * 2011-01-25 2011-05-25 潘燕辉 一种基于用户共享的云扫描方法
CN104899510A (zh) * 2015-05-11 2015-09-09 国网甘肃省电力公司电力科学研究院 针对可移动存储设备的病毒检测查杀方法
WO2017190620A1 (zh) * 2016-05-04 2017-11-09 腾讯科技(深圳)有限公司 一种病毒检测方法、终端及服务器
CN107872459A (zh) * 2017-11-10 2018-04-03 西安越众软件科技有限公司 一种网络安全隐患的扫描系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110730180A (zh) * 2019-10-17 2020-01-24 杭州安恒信息技术股份有限公司 便携式通信设备探测仪器和通信设备探测方法
CN115632878A (zh) * 2022-12-06 2023-01-20 中海油能源发展股份有限公司采油服务分公司 基于网络隔离的数据传输方法、装置、设备及存储介质
CN115632878B (zh) * 2022-12-06 2023-03-31 中海油能源发展股份有限公司采油服务分公司 基于网络隔离的数据传输方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN110225057B (zh) 2022-04-26

Similar Documents

Publication Publication Date Title
Sicari et al. REATO: REActing TO Denial of Service attacks in the Internet of Things
Kumar et al. Machine learning-based early detection of IoT botnets using network-edge traffic
US20230089187A1 (en) Detecting abnormal packet traffic using fingerprints for plural protocol types
Helmer et al. Lightweight agents for intrusion detection
Ambarkar et al. Toward smart and secure IoT based healthcare system
CN105323247A (zh) 一种用于移动终端的入侵检测系统
CA2460492A1 (en) Agent-based intrusion detection system
WO2022257226A1 (zh) 基于网络空间测绘的蜜罐识别方法、装置、设备及介质
CN110225057A (zh) 一种智能终端的病毒检测方法、装置、设备及系统
Shyu et al. Network intrusion detection through adaptive sub-eigenspace modeling in multiagent systems
US20220263846A1 (en) METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
CN112804263A (zh) 一种面向物联网的漏洞扫描方法、系统及设备
BACHAR et al. Towards a behavioral network intrusion detection system based on the SVM model
Örs et al. Data driven intrusion detection for 6LoWPAN based IoT systems
CN112822204A (zh) 一种nat的检测方法、装置、设备及介质
US11750514B1 (en) Connectivity candidate filtering
Nakahara et al. Malware detection for IoT devices using hybrid system of whitelist and machine learning based on lightweight flow data
CN112929357A (zh) 一种虚拟机数据的分析方法、装置、设备及存储介质
CN114513331A (zh) 基于应用层通信协议的挖矿木马检测方法、装置及设备
CN113177791A (zh) 一种恶意挖矿行为识别方法、装置、设备及存储介质
CN107888432A (zh) 基于风险传递机制的电力移动终端网络安全模型及建模方法
KR101948214B1 (ko) 패킷의 무결성을 판단하는 방법
Omotosho et al. IDS-MA: Intrusion Detection System for IoT MQTT Attacks Using Centralized and Federated Learning
Ullah et al. Internal DoS attack detection and prevention in fog computing
Priyadarshini et al. An Introduction to Security in Internet of Things (IoT) and Big Data

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant