CN110287701A - 一种恶意文件检测方法、装置、系统及相关组件 - Google Patents
一种恶意文件检测方法、装置、系统及相关组件 Download PDFInfo
- Publication number
- CN110287701A CN110287701A CN201910579863.1A CN201910579863A CN110287701A CN 110287701 A CN110287701 A CN 110287701A CN 201910579863 A CN201910579863 A CN 201910579863A CN 110287701 A CN110287701 A CN 110287701A
- Authority
- CN
- China
- Prior art keywords
- file
- detection
- checked
- identification
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种恶意文件检测方法,涉及网络安全领域,包括:接收待检文件;将待检文件传输至预配置的检测模块进行恶意文件识别,得到文件识别结果;其中,检测模块中包括至少两种检测子模块;根据文件识别结果进行文件处理。该方法通过配置的多种检测子模块从多方面对待检文件进行恶意文件识别,避免了单纯的病毒本地特征库规则比对的漏洞,提升了恶意文件识别准确度。本发明的另一核心是提供一种恶意文件检测装置、系统、计算机设备及可读存储介质,具有上述有益效果,在此不再赘述。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种恶意文件检测方法、装置、系统、计算机设备及可读存储介质。
背景技术
计算机系统是生活中不可或缺的部分,给人们的生活带来便利。但是存在一些非法人员恶意向计算机系统中植入执行恶意任务的病毒、蠕虫和特洛伊木马的程序的恶意文件,恶意文件通过破坏正常软件进程实施非法控制。为保障计算机系统的正常运行,恶意文件的检测十分重要。
传统的防病毒系统多采用基于已知病毒库的查杀形式,在内置的病毒样本库中进行检索,匹配成功后进行拦截。然而由于恶意文件的多样化、多变性以及隐秘性,本地病毒特征库中往往不能涵盖所有病毒样本形式,对于未包含在内置的病毒样本库中的恶意代码则无法识别;同时这种病毒样本查杀的方式对于利用0day漏洞或者是采用免杀技术的木马、病毒完全没有防护能力,查杀局限性较大;另外,为保证本地病毒特征库的全面性,需要在本地存储庞大的病毒特征库,导致其安装包经常达到上百M甚至几百M,占用了过多的存储、计算等系统资源,而系统资源开销大又会进一步导致在VDI(虚拟桌面基础架构)环境中运行时出现卡顿等现象,影响使用体验。
因此,如何在提升恶意文件查杀效果的同时减少对于系统资源开销的占用,是本领域技术人员需要解决的技术问题。
发明内容
本发明的目的是提供一种恶意文件检测方法,该方法对于恶意文件查杀效果好,同时对于系统资源开销的占用较小;本发明的另一目的是提供一种恶意文件检测装置、系统、计算机设备及可读存储介质。
为解决上述技术问题,本发明提供一种恶意文件检测方法,包括:
接收待检文件;
将所述待检文件传输至预配置的检测模块进行恶意文件识别,得到文件识别结果;其中,所述检测模块中包括至少两种检测子模块;
根据所述文件识别结果进行文件处理。
可选地,当所述检测子模块中包括客户端本地检测子模块时,所述客户端本地检测子模块为通过调整可配置项减少本地空间占用的轻量级文件识别检测子模块;
则相应地,将所述待检文件传输至预配置的检测模块进行恶意文件识别,包括:将所述待检文件传输至所述轻量级文件识别检测子模块进行本地端恶意文件识别。
可选地,所述轻量级文件识别检测子模块包括:热点文件匹配子模块、静态特征检测子模块以及机器学习特征模型检测子模块;
则相应地,将所述待检文件传输至所述轻量级文件识别检测子模块进行本地端恶意文件识别,包括:对所述待检文件进行热点文件匹配、恶意文件基因特征识别以及机器学习特征模型识别。
可选地,所述检测子模块中还包括:管理平台检测子模块;
则相应地,在将所述待检文件传输至预配置的检测模块进行恶意文件识别中,还包括:对所述待检文件进行管理内网下文件特征识别。
可选地,将所述待检文件传输至预配置的检测模块进行恶意文件识别,包括:
根据预先配置的热点文件信誉库对所述待检文件进行匹配比对,得到热点匹配的识别结果;其中,所述识别结果包括:恶意、正常及未知;
当所述热点匹配的识别结果为未知时,对所述待检文件进行静态特征检测,得到静态检测的识别结果;
当所述静态检测的识别结果为未知时,将所述待检文件输入至预训练的文件检测模型进行机器学习特征检测,得到模型检测的识别结果;
当所述模型检测的识别结果为未知时,根据预先配置的管理内网下已知文件特征汇总对所述待检文件进行匹配比对,得到内网匹配的识别结果。
可选地,当所述检测子模块中包括管理平台检测子模块时,所述管理平台检测子模块包括:内网文件信誉库识别子模块;
则相应地,将所述待检文件传输至预配置的检测模块进行恶意文件识别,包括:根据内网已知文件信息汇总数据对所述待检文件进行文件匹配。
为实现上述目的,本申请还公开了一种恶意文件检测装置,包括:
文件接收单元,用于接收待检文件;
文件识别单元,用于将所述待检文件传输至预配置的检测模块进行恶意文件识别,得到文件识别结果;其中,所述检测模块中包括至少两种检测子模块;
文件处理单元,用于根据所述文件识别结果进行文件处理。
为实现上述目的,本申请还公开了一种恶意文件检测系统,包括:设置于主机的客户端应用以及检测模块;
所述客户端应用,用于接收待检文件;将所述待检文件传输至预配置的检测模块进行识别,得到文件识别结果;根据所述文件识别结果进行文件处理;
所述检测模块中包括至少两种检测子模块。
可选地,当所述检测子模块中包括:管理平台检测子模块时,所述恶意文件检测系统中还包括:代理服务器;
所述代理服务器一端连接于各所述客户端应用,另一端连接于所述管理平台检测子模块,用于完成若干所述客户端应用与所述管理平台检测子模块间的信息交互。
为实现上述目的,本申请还公开了一种计算机设备,包括:
存储器,用于存储程序;
处理器,用于执行所述程序时实现所述恶意文件检测方法的步骤。
为实现上述目的,本申请还公开了一种可读存储介质,所述可读存储介质上存储有程序,所述程序被处理器执行时实现所述恶意文件检测方法的步骤。
为实现上述目的,本申请还公开了一种可读存储介质,所述可读存储介质上存储有程序,所述程序被处理器执行时实现所述恶意文件检测方法的步骤。本发明所提供的恶意文件检测方法,将待检测文件传输至预配置的检测模块进行恶意文件识别,检测模块中包括至少两种检测子模块,通过配置的多种检测子模块从多方面对待检文件进行恶意文件识别,避免了单纯的病毒本地特征库规则比对的漏洞,提升了恶意文件识别准确度,提升了检测体验。
本发明还提供了一种恶意文件检测装置、系统、计算机设备及可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种恶意文件检测方法的流程图;
图2为本发明实施例提供的一种恶意文件检测装置的结构框图;
图3为本发明实施例提供的一种系统下恶意文件检测流程示意图;
图4为本发明实施例提供的一种计算机设备的结构示意图。
具体实施方式
本发明的核心是提供一种恶意文件检测方法,该方法对于恶意文件查杀效果好,同时对于系统资源开销的占用较小;本发明的另一核心是提供一种恶意文件检测装置、系统、计算机设备及可读存储介质。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
请参考图1,图1为本实施例提供的一种恶意文件检测方法的流程图;该方法主要包括:
步骤s110、接收待检文件;
步骤s120、将待检文件传输至预配置的检测模块进行恶意文件识别,得到文件识别结果。
其中,检测模块中包括至少两种检测子模块,检测子模块可以以检测平台作为种类区分,具体包括云端检测子模块、管理平台检测子模块以及客户端本地检测子模块等,其中,云端检测子模块、管理平台检测子模块以及客户端本地检测子模块还可以进一步以具体的识别类型做进一步的划分,比如客户端本地检测子模块可以进一步包括本地信誉库识别、静态特征识别、动态特征识别等;也可以直接以具体的识别手段作为种类区分,具体包括:静态特征检测、动态特征检测、内网信誉库检测等,在此仅以上述两种划分方式为例进行介绍,其它划分方式均可参照本实施例的介绍,在此不再赘述。
相对于传统方法中的单一本地特征库比对,本申请中采用多端融合检测的检测手段可以从多方面对待检文件进行恶意文件识别,避免了单纯的病毒本地特征库规则比对的漏洞,提升了恶意文件识别准确度。
步骤s130、根据文件识别结果进行文件处理。
本实施例中对于不同文件识别结果的文件处理方式不做限定。文件识别结果主要包括三类:识别为恶意文件、识别为正常文件以及未知。当识别为恶意文件时可以进行文件拦截、文件监控、发送告警提示信息等;当识别为正常文件后一般可以不对该文件进行任何操作,直接启动下一次的文件检测流程;当识别结果为未知时,一般经过多重文件检测识别后仍为未知的文件较少,可能为新型病毒文件或不常见正常文件类型等,为实现对轻量级文件识别检测的扩充,以提升检测效果,可以发送相应的提示信息,用于提示相关技术人员进行相应的归类分析处理等。
基于上述介绍,本实施例提供的恶意文件检测方法通过多方面对待检文件进行恶意文件识别,避免了单纯的病毒本地特征库规则比对的漏洞,提升了恶意文件识别准确度,提升了检测体验。
实施例二:
上述实施例中对于检测模块中具体选用的检测子模块的种类不做限定,具体地,检测子模块的种类大致可以分为三大类:云端检测、管理平台检测以及客户端本地检测。云端检测指在云端实现的恶意文件识别手段;管理平台检测指在管理平台端由内网支持实现的恶意文件识别手段;客户端本地检测指集成于客户端的本地恶意文件识别手段。具体地,云端检测比如:全球文件信誉库检测等检测手段等,管理平台检测比如:内网文件信誉库等检测手段等,客户端本地检测比如:本地信誉库检测、静态特征检测、动态特征检测、机器学习特征检测等,在此仅以上述具体检测手段为例,其它检测手段在此不再赘述。
检测模块可以包括至少两个分属不同类别的检测子模块,比如可以为分属云端检测、管理平台检测以及客户端本地检测下属的子模块;也可以为同属相同类别下的多个检测子模块,比如可以为客户端本地检测下属的检测手段不同的至少两种检测子模块等。
当检测子模块中包括配置于本地端的客户端本地检测子模块时,为减少本地空间占用,优选地,客户端本地检测子模块具体可以为:通过调整可配置项减少本地空间占用的轻量级文件识别检测子模块。其中,可配置项具体可以包括安装包大小、引擎文件大小、缓存占用空间、运行资源占用量以及低功耗模式等各种用户可配置的模块参数,通过限制引擎文件的空间占用小于100M、运行资源占用小于100M等方式减少本地端子模块的空间占用,在实现多方位恶意文件的基础上实现检测系统的轻量级,减少检测资源占用。
当检测子模块中包括客户端本地检测子模块时,实施例一步骤s120中将待检文件传输至预配置的检测模块进行恶意文件识别的过程具体包括:将待检文件传输至轻量级文件识别检测子模块进行本地端恶意文件识别。在检测子模块中同时包括其它类型的检测子模块时,步骤s120中进一步包括的执行过程在此不做限定。
轻量级文件识别检测子模块为本地端配置的检测子模块,具体的选用的模块类型在此不做限定,比如可以为轻量级本地信誉库检测子模块、轻量级静态特征检测子模块、轻量级动态特征检测子模块、轻量级机器学习特征检测子模块等。其中,优选地,本实施例中轻量级文件识别检测子模块具体可以包括:热点文件匹配子模块、静态特征检测子模块以及机器学习特征模型检测子模块。
热点文件匹配指对输入的文件送入本地黑白信誉库进行热点文件匹配。如果本地信誉库判定为黑文件,则输出检测为恶意的结果进行后续恶意文件的处理(比如进行恶意文件告警)。如果本地信誉库判定未知,则进入可以进入后续的轻量级文件识别检测方案。本地黑白信誉库是预定义的热点的文件信誉,是由过云端的检测结果数据运营产生的热点事件TOPN库,将出现比较经常的文件放在本地库处理,能第一时间检测出来结果,减少把文件送到下一个引擎的机会,整体上提升了检测效果。需要说明的是,热点文件可以为热点病毒文件,也可以为热点正常文件,在此对本地黑白库中存储的热点文件性质不做限定。
静态特征检测引擎的特征,主要是对病毒家族的通用特征进行提取,统称为基因特征。静态特征检测是根据安全云脑大数据分析提取预定义的流行病毒家族基因特征,可以对网络中活跃流行的病毒进行查杀处理。其中,安全云脑是指在云端利用大数据分析平台,将对海量数据进行自动化分析和人工运营处理,能应对当前每天大量新增的样本处理能力。静态特征检测引擎的特征库,是通过自动化和人工分析出来的,当前在云端上主要是利用云脑数据的自动化分析处理的。
机器学习特征模型检测是基于人工智能技术,将海量的数据进行提供多维度的特征,然后训练成检测模型,有效地解决了传统特征库大的问题。
热点文件匹配用于对待检测文件中热点文件进行快速基础识别,可以减少占很大比例的热点文件的检测开销占用;静态特征检测可以实现对文件基因特征的识别,从基因特征入手进行恶意文件的识别;机器学习特征模型基于人工智能技术,对文件深度特征进行分析,相对于其他检测手段可以精准识别文件深度特征以实现文件类型的区分。上述三种轻量级本地检测手段相对于其他本地检测手段检测精度高,且识别速度快,优选地可以配置以上三种子模块以提升检测效果。
本地端检测相对于云端检测等由于无需长距离信息传输检测速度较快,但是由于需要在本地端配置相关文件会存在内存等资源的占用,一般为控制资源占用,配置的本地检测子模块为轻量级检测子模块,可识别的文件数量有限,为控制本地端资源占用的同时提供更多有效的识别手段以实现更为全面的文件检测,可以在本地检测外进一步配置本地端外的检测方式,比如管理平台端以及云端等。
优选地,一种检测模块包括:热点文件匹配子模块、静态特征检测子模块、机器学习特征模型检测子模块以及管理平台检测子模块。则相应地,将待检文件传输至预配置的检测模块进行恶意文件识别具体包括:对待检文件进行热点文件匹配、恶意文件基因特征识别、机器学习特征模型识别以及管理内网下文件特征识别。
热点文件匹配子模块、静态特征检测子模块、机器学习特征模型检测子模块可以实现高速率的多方位恶意文件识别,管理平台检测子模块可以实现高精准度、低空间占用的恶意文件识别,通过以上子模块的配置方式将三种本地检测以及管理平台检测手段结合,可以实现高检测速度、高精度且低空间占用的恶意文件识别检测。
当选用以上三种本地检测以及管理平台检测手段结合的方式进行恶意文件检测时,各检测模块的数量(或循环次数)以及各检测子模块间的连接顺序不做限定。
可选地,一种对待检文件进行热点文件匹配、恶意文件基因特征识别、机器学习特征模型识别以及管理内网下文件特征识别的实现过程如下:
1、根据预先配置的热点文件信誉库对待检文件进行匹配比对,得到热点匹配的识别结果;其中,识别结果包括:恶意、正常及未知;
2、当热点匹配的识别结果为未知时,对待检文件进行静态特征检测,得到静态检测的识别结果;
3、当静态检测的识别结果为未知时,将待检文件输入至预训练的文件检测模型进行机器学习特征检测,得到模型检测的识别结果;
4、当模型检测的识别结果为未知时,根据预先配置的管理内网下已知文件特征汇总对待检文件进行匹配比对,得到内网匹配的识别结果。
按照流转顺序依次传输至各模块进行文件识别检测可以尽量减少文件流转次数,加快识别进度。
以上主要介绍了几种轻量级文件识别检测方案,比如热点文件匹配、静态特征检测、机器学习特征模型检测等,轻量级文件识别检测方案中也可以包括其它的检测方案。可选地,轻量级文件识别检测中可以进一步包括:动态行为检测。则相应地,将待检文件传输至预配置的检测模块进行恶意文件识别中,还包括:根据待检文件运行的本质行为进行恶意行为识别。
文件被落地执行过以后在执行过程中会产生动态行为,动态行为检测指对该部分动态行为信息进行检测,动态行为检测主要指识别恶意文件异常API行为,洞察程序运行的本质行为,检测病毒文件的恶意行为。
动态行为检测的执行可以在已知该文件已经被执行过,即存在动态行为,可以提取动态行为特征时;也可以在不清楚该文件是否被落地执行时为提升系统检测效果时进行。若已知该文件并未被落地执行,一般可以不进行动态行为检测。
当进行动态行为检测时,在此对动态行为检测的执行顺序不做限定。静态特征检测与动态行为检测可以同时执行,也可以先后执行。若为先后执行时,可以先进行静态特征检测后进行动态行为检测,即在静态特征检测结果为未知时进行动态行为检测;也可以先进行动态行为检测后进行静态特征检测,即在动态行为检测结果为未知时进行静态特征检测,在此不做限定。
动态行为检测引擎可以是通过单点的恶意API函数进行检测,也可以是一组恶意行为API的函数链,在此对于动态行为检测的方式不做限定。
实施例三:
区别于实施例二,本实施例中对一种管理平台检测子模块进行介绍。
当检测子模块中包括管理平台检测子模块时,管理平台检测子模块具体可以包括:内网文件信誉库识别子模块;则相应地,将待检文件传输至预配置的检测模块进行恶意文件识别,包括:根据内网已知文件信息汇总数据对待检文件进行文件匹配。
内网信誉库检测是汇总企业单位内网中文件信誉,并根据汇总的内网信誉进行匹配。对于一个企业单位来讲,内网的文件大多数都是相同,所以对已知文件的信誉汇总,能有效解决内网相同文件的问题。内网信誉库一般依托于管理平台的云端,保证了没有过多占用本地存储资源同时保证检测效果以及检测速率。
其它类型的管理平台检测子模块在此不再赘述,均可参照本实施例的介绍。
实施例四:
本实施例中主要对一种云端检测子模块进行介绍。
当预设恶意文件检测子模块中包括云端检测子模块时,云端检测子模块具体可以:全球文件信誉库识别子模块;则相应地,将待检文件传输至预配置的检测模块进行恶意文件识别的过程包括:根据全球网络已知文件信息汇总数据对待检文件进行文件匹配。全球文件信誉库检测是依托安全厂商在全球网络的文件采集能力,对新出现的恶意文件秒级响应进行检测,可以涵盖全球各种恶意文件形式,大大增加可识别的文件类型,提升了检测效果。全球文件信誉库一般依托于厂商的云端,保证了没有过多占用本地存储资源同时保证检测效果。
需要说明的是,全球文件信誉库匹配需要联网执行,对于不能联网的应用场景可以不选用该种检测方法。
以上的多种检测方案,区别于传统杀毒的字符串特征技术,相关的特征库都比较小,对于较大的信誉库,则在管理平台或厂商的云端服务,保证了对系统资源的占用远小于传统规则库。
上述实施例中介绍了几种检测子模块,当然,也可以配置其他的检测子模块,在此不做限定。可以根据检测需求进行设定,比如若某单位的文件一般很少有热点文件,则可以不选用热点文件匹配子模块进行热点文件匹配等,在此仅对上述检测方案类型的选取情况进行介绍,其它选取方式在此不再赘述。另外,对于选定的检测方案,可以设置多个相同的检测方案用于重复检测,比如可以设置两个静态特征匹配方案用于全面挖掘文件的静态特征信息等。此外,当确定了选用的文件识别检测方案后,对于各确定检测方案,可以顺序执行、可以并行执行;当为顺序执行时,对先后顺序不做指定,可以根据实际检测需求进行设定,比如某公司的文件大部分可以通过静态特征检测得到准确检测结果,则可以将待检文件首先进行静态特征检测等。需要说明的是,上述介绍中可能仅对于其中一种情况进行介绍,其它情况均可参照上述内容的介绍,在此不再赘述。
另外,需要说明的是,在预先配置了若干个检测子模块进行检测时,存在某个得到确定检测结果(包括恶意以及正常,不包括未知)时,可以立即跳转进行相应的处理,无需再进行后续的文件识别检测。比如在首个轻量级文件识别得到文件为恶意文件后,则不再继续后面的文件检测识别,根据预先配置的恶意文件处理方式进行相应处理。
实施例五:
基于上述实施例,由于计算机系统中存在多种文件格式,不同的文件格式间的识别检测可能存在一定的差异性,为提升多种文件格式下文件检测效果,可以为相似类型的文件格式配置相应的检测引擎。则在将待检文件传输至预配置的检测模块进行恶意文件识别之前,可以进一步对待检文件进行文件格式识别,具体地,可以按照以下步骤执行:
1、对待检文件进行文件格式识别,得到文件格式信息;
2、根据文件格式信息判断待检文件是否属于预置可识别文件类型;
3、如果是,执行将待检文件传输至预配置的检测模块进行恶意文件识别,得到文件识别结果的步骤。
4、如果否,输出文件格式异常的提示信息。
格式识别可以避免由于文件格式异常导致的识别失败等情况,其中,可以重点检测PE类的文件格式。
实施例六:
为保证一个计算机系统的长久安全,可能需要定期对计算机系统中的文件进行全面检查。在多次检查中,计算机系统中可能存在一些内容保持不变的文件,为减少该部分文件重复检测带来的资源损耗,可以在对待检文件进行轻量级文件识别检测之前,判断待检文件是否为历史检测文件;如果待检文件非历史检测文件,在本地缓存空间中为待检文件配置对应的第一缓存空间,按照步骤s120进行文件检测识别,在得到文件识别结果之后,将文件识别结果存储至第一缓存空间中;如果待检文件为历史检测文件,获取第一缓存空间中的历史扫描结果,并将历史扫描结果作为当前扫描结果。
其中,判断该文件是否为历史检测文件可以通过提取文件的摘要信息等文件内容信息进行比对,以判断多次检测间文件是否曾经修改,也可以选择其他确定文件一致性的方式,在此不再赘述。
为每个输入的文件配置对应的本地缓存,在对该文件进行文件分析判断是否为恶意文件之前先检查之前是否已进行过文件扫描检测,即查看本地缓存空间。每个文件在首次扫描时,该文件对应的本地缓存内容为空的,则直接进入文件分析扫描,在首次在本地黑白信誉库中进行扫描后将匹配结果存储至对应的本对缓存空间,则该文件在第二次扫描时,可以直接使用缓存结果,根据上次扫描结果的本地缓存进行匹配判断,如果是已知恶意文件,则判断为恶意文件,无需经过再次扫描比对,实现了二次扫描加速,也减少了该部分资源的占用,提升了系统检测效率。
实施例七:
在上文中已经通过一些实施例对恶意文件的过程进行了详细的描述,本申请还提供一种与该方法对应的装置,此部分内容原理与方案部分相对应,实现原理的部分此处不再赘述,以下将对该装置的单元组成进行描述,请参考图2,图2为本实施例提供的一种恶意文件检测装置的结构框图;该装置主要包括:文件接收单元210、文件识别单元220以及文件处理单元230。本实施例提供的恶意文件检测装置可与上述恶意文件检测方法相互对照。
其中,文件接收单元210主要用于接收待检文件;
文件识别单元220主要将待检文件传输至预配置的检测模块进行恶意文件识别,得到文件识别结果;其中,检测模块中包括至少两种检测子模块;
文件处理单元230主要用于根据文件识别结果进行文件处理。
本实施例提供的恶意文件检测装置对于恶意文件查杀效果好,同时对于系统资源开销的占用较小。
可选地,当检测子模块中包括客户端本地检测子模块时,客户端本地检测子模块为通过调整可配置项减少本地空间占用的轻量级文件识别检测子模块;
则相应地,文件识别单元中本地检测子单元具体用于将待检文件传输至轻量级文件识别检测子模块进行本地端恶意文件识别。
可选地,轻量级文件识别检测子模块包括:热点文件匹配子模块、静态特征检测子模块以及机器学习特征模型检测子模块;
则相应地,本地检测子单元具体用于:对待检文件进行热点文件匹配、恶意文件基因特征识别以及机器学习特征模型识别。
可选地,检测模块包括:热点文件匹配子模块、静态特征检测子模块、机器学习特征模型检测子模块以及管理平台检测子模块;
则相应地,文件识别单元具体为第一识别子单元,用于:对待检文件进行热点文件匹配、恶意文件基因特征识别、机器学习特征模型识别以及管理内网下文件特征识别。
可选地,第一识别子单元具体可以包括:
第一匹配子单元,用于根据预先配置的热点文件信誉库对待检文件进行匹配比对,得到热点匹配的识别结果;其中,识别结果包括:恶意、正常及未知;当热点匹配的识别结果为未知时,触发第二检测子单元;
第二检测子单元,用于对待检文件进行静态特征检测,得到静态检测的识别结果;当静态检测的识别结果为未知时,触发第三检测子单元;
第三检测子单元,用于将待检文件输入至预训练的文件检测模型进行机器学习特征检测,得到模型检测的识别结果;当模型检测的识别结果为未知时,触发第四匹配子单元;
第四匹配子单元,用于根据预先配置的管理内网下已知文件特征汇总对待检文件进行匹配比对,得到内网匹配的识别结果。
可选地,轻量级文件识别检测子模块还包括:动态行为检测子模块;
则相应地,文件识别单元中还包括动态识别子单元,用于根据待检文件运行的本质行为进行恶意行为识别。
可选地,当检测子模块中包括管理平台检测子模块时,管理平台检测子模块包括:内网文件信誉库识别子模块;
则相应地,文件识别单元中管理平台检测子单元具体用于:根据内网已知文件信息汇总数据对待检文件进行文件匹配。
可选地,当预设恶意文件检测子模块中包括云端检测子模块时,云端检测子模块包括:全球文件信誉库识别子模块;
则相应地,文件识别单元中云端检测子单元具体用于:根据全球网络已知文件信息汇总数据对待检文件进行文件匹配。
可选地,本实施例提供的恶意文件检测装置中可以进一步包括:格式识别单元,格式识别单元与文件识别单元连接,用于对待检文件进行文件格式识别,得到文件格式信息;根据文件格式信息判断待检文件是否属于预置可识别文件类型;如果是,触发文件识别单元;如果否,输出文件格式异常的提示信息。
可选地,本实施例提供的恶意文件检测装置中可以进一步包括:本地缓存检测单元:本地缓存检测单元与文件识别单元连接,用于判断待检文件是否为历史检测文件;如果待检文件非历史检测文件,在本地缓存空间中为待检文件配置对应的第一缓存空间;在得到文件识别结果之后,将文件识别结果存储至第一缓存空间;如果待检文件为历史检测文件,获取第一缓存空间中的历史识别结果,并将历史识别结果作为当前识别结果。
实施例八:
本实施例提供一种恶意文件检测系统,该系统主要包括:设置于主机的客户端应用以及检测模块。
主机在进行恶意文件扫描任务时,将待检测文件输送至客户端应用;
相应地,客户端应用主要用于接收待检文件;将待检文件传输至预配置的检测模块进行识别,得到文件识别结果;根据文件识别结果进行文件处理;检测模块中包括至少两种检测子模块。
可选地,当检测子模块中包括:管理平台检测子模块时,恶意文件检测系统中还包括:代理服务器;
代理服务器一端连接于各客户端应用,另一端连接于管理平台检测子模块,用于完成若干客户端应用与管理平台检测子模块间的信息交互。
本实施例提供的恶意文件检测系统与上述实施例中介绍的恶意文件检测方法可相互对照,在此不再赘述。本实施例提供的恶意文件检测系统对于恶意文件查杀效果好,可以提升用户体验。
实施例九:
为加深对实施例八中提供的恶意文件检测系统的理解,本实施例中对一种具体的系统结构形式及设备交互过程进行介绍。
一般来说,一台主机设置一个客户端应用,一个管理平台对接大量客户端应用,则管理平台需要分别接收、处理来自各客户端应用的信息,并进行反馈,这对于管理平台的接口处理能力要求较高,为减少管理平台的管理压力,可以在客户端应用与管理平台间设置代理服务器,代理服务器一端连接于若干客户端应用,另一端连接于管理平台,用于完成若干客户端应用与管理平台间的信息交互。
一个网段可以设置一台代理服务器,用于负责该网段内所有客户端应用与管理平台间的通信,当然,也可以按其他形式划分代理服务器所负责的客户端应用,本实施例中仅对该种情况进行介绍,其它划分方式均可参照本实施例的介绍。
另外,为实现全球文件信誉库匹配,本实施例提供的恶意文件检测系统中可以进一步包括:云端服务器,云端服务器用于对接收到的待检文件进行全球文件信誉库匹配,并将匹配结果发送至客户端应用。
下面对基于上述系统进行恶意文件检测的流程进行介绍,图3所示为在该系统下的一种恶意文件检测流程示意图。本系统组件分为主机、客户端应用、代理服务器、管理平台以及云端服务器。
在客户端的每台主机中均部署安装客户端应用,每一个网段的都会有一台代理服务器,优先跟管理平台通信。管理平台能联网跟云端服务器进行通信,获取最新的文件信誉。
每台主机在执行扫描动作时,则输送文件给客户端应用上的恶意文件检测系统,通过检测系统的判断后,输出文件是否为恶意文件的结果。
客户端应用上的恶意文件检测系统的工作过程如下:
当客户端应用接收到主机发送的文件时,先对文件进行格式判断,符合预制处理的文件格式内容,则送入下一个判断处理流程。
首次扫描时,本地缓存内容为空,则直接进入到本地黑白信誉库进行匹配;第二次扫描时,根据上次扫描结果的本地缓存进行匹配判断,如果是已知恶意文件,则判断为恶意文件。如果本地信誉库判定为黑文件(恶意文件),则直接进行恶意文件告警;如果本地信誉库判定未知,则进入静态特征检测模块。
静态特征检测根据安全云脑大数据分析,通过预定义的流行病毒家族基因特征,对网络中活跃流行的病毒进行查杀处理。如果静态特征检测判定为黑文件,则直接进行恶意文件告警;如果静态特征检测判定未知,则进入动态行为检测模块。
动态行为检测基于程序文件运行的API行为链规则进行检测,检测病毒文件的恶意行为。如果动态行为检测判定为黑文件,则直接进行恶意文件告警;如果动态行为检测判定未知,则进入机器学习特征模型。
机器学习特征模型检测基于人工智能技术,将海量的数据进行多维度特征的提取,有效地解决了传统特征库大的问题。如果机器学习特征模型检测判定为黑文件,则直接进行恶意文件告警;如果机器学习特征模型检测判定未知,则通过代理服务器将待检文件与管理平台中内网信誉库进行匹配检测。
内网信誉库检测汇总企业单位内网中所有文件信誉,能有效解决内网相同文件的问题。如果内网信誉库检测判定为黑文件,则将黑文件检测结果发送至客户端应用,客户端应用进行恶意文件告警;如果内网信誉库检测判定未知,则管理平台将待检文件与云端服务器通信,进行全球文件信誉库检测。
全球文件信誉库匹配依托安全厂商在全球网络的文件采集能力,可以对新出现的恶意文件秒级响应进行检测。如果全球文件信誉库检测判定为黑文件,云端服务器将黑文件检测结果发送至客户端应用,客户端应用进行恶意文件告警;如果全球文件信誉库匹配判定未知,则云端服务器将未知的检测结果发送至客户端应用,客户端应用进行相应处理。
本实施例提供的恶意文件检测系统实现了基于轻量级的恶意文件检测技术,利用了基于全网的单点检测能力,实现了全网响应处置。
实施例十:
本实施例提供一种计算机设备,包括:存储器以及处理器。
其中,存储器用于存储程序;
处理器用于执行程序时实现如上述恶意文件检测方法的步骤,具体可参照上述实施例中对恶意文件检测方法的介绍,在此不再赘述。
请参考图4,为本实施例提供的一种计算机设备的结构示意图,该计算机设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(centralprocessing units,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在计算机设备301上执行存储介质330中的一系列指令操作。
计算机设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述实施例中所描述的恶意文件检测方法中的步骤可以由本实施例提供的计算机设备的结构实现。
实施例十一:
本实施例公开一种可读存储介质,其上存储有程序,程序被处理器执行时实现如恶意文件检测方法的步骤,具体可参照上述实施例中对恶意文件检测方法的介绍。
该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的恶意文件检测方法、装置、系统、计算机设备及可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (11)
1.一种恶意文件检测方法,其特征在于,包括:
接收待检文件;
将所述待检文件传输至预配置的检测模块进行恶意文件识别,得到文件识别结果;其中,所述检测模块中包括至少两种检测子模块;
根据所述文件识别结果进行文件处理。
2.如权利要求1所述的恶意文件检测方法,其特征在于,当所述检测子模块中包括客户端本地检测子模块时,所述客户端本地检测子模块为通过调整可配置项减少本地空间占用的轻量级文件识别检测子模块;
则相应地,将所述待检文件传输至预配置的检测模块进行恶意文件识别,包括:将所述待检文件传输至所述轻量级文件识别检测子模块进行本地端恶意文件识别。
3.如权利要求2所述的恶意文件检测方法,其特征在于,所述轻量级文件识别检测子模块包括:热点文件匹配子模块、静态特征检测子模块以及机器学习特征模型检测子模块;
则相应地,将所述待检文件传输至所述轻量级文件识别检测子模块进行本地端恶意文件识别,包括:对所述待检文件进行热点文件匹配、恶意文件基因特征识别以及机器学习特征模型识别。
4.如权利要求3所述的恶意文件检测方法,其特征在于,所述检测子模块中还包括:管理平台检测子模块;
则相应地,在将所述待检文件传输至预配置的检测模块进行恶意文件识别中,还包括:对所述待检文件进行管理内网下文件特征识别。
5.如权利要求4所述的恶意文件检测方法,其特征在于,将所述待检文件传输至预配置的检测模块进行恶意文件识别,包括:
根据预先配置的热点文件信誉库对所述待检文件进行匹配比对,得到热点匹配的识别结果;其中,所述识别结果包括:恶意、正常及未知;
当所述热点匹配的识别结果为未知时,对所述待检文件进行静态特征检测,得到静态检测的识别结果;
当所述静态检测的识别结果为未知时,将所述待检文件输入至预训练的文件检测模型进行机器学习特征检测,得到模型检测的识别结果;
当所述模型检测的识别结果为未知时,根据预先配置的管理内网下已知文件特征汇总对所述待检文件进行匹配比对,得到内网匹配的识别结果。
6.如权利要求1所述的恶意文件检测方法,其特征在于,当所述检测子模块中包括管理平台检测子模块时,所述管理平台检测子模块包括:内网文件信誉库识别子模块;
则相应地,将所述待检文件传输至预配置的检测模块进行恶意文件识别,包括:根据内网已知文件信息汇总数据对所述待检文件进行文件匹配。
7.一种恶意文件检测装置,其特征在于,包括:
文件接收单元,用于接收待检文件;
文件识别单元,用于将所述待检文件传输至预配置的检测模块进行恶意文件识别,得到文件识别结果;其中,所述检测模块中包括至少两种检测子模块;
文件处理单元,用于根据所述文件识别结果进行文件处理。
8.一种恶意文件检测系统,其特征在于,包括:设置于主机的客户端应用以及检测模块;
所述客户端应用,用于接收待检文件;将所述待检文件传输至预配置的检测模块进行识别,得到文件识别结果;根据所述文件识别结果进行文件处理;
所述检测模块中包括至少两种检测子模块。
9.如权利要求8所述的恶意文件检测系统,其特征在于,当所述检测子模块中包括:管理平台检测子模块时,所述恶意文件检测系统中还包括:代理服务器;
所述代理服务器一端连接于各所述客户端应用,另一端连接于所述管理平台检测子模块,用于完成若干所述客户端应用与所述管理平台检测子模块间的信息交互。
10.一种计算机设备,其特征在于,包括:
存储器,用于存储程序;
处理器,用于执行所述程序时实现如权利要求1至6任一项所述恶意文件检测方法的步骤。
11.一种可读存储介质,其特征在于,所述可读存储介质上存储有程序,所述程序被处理器执行时实现如权利要求1至6任一项所述恶意文件检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910579863.1A CN110287701A (zh) | 2019-06-28 | 2019-06-28 | 一种恶意文件检测方法、装置、系统及相关组件 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910579863.1A CN110287701A (zh) | 2019-06-28 | 2019-06-28 | 一种恶意文件检测方法、装置、系统及相关组件 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110287701A true CN110287701A (zh) | 2019-09-27 |
Family
ID=68019853
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910579863.1A Pending CN110287701A (zh) | 2019-06-28 | 2019-06-28 | 一种恶意文件检测方法、装置、系统及相关组件 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110287701A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111444144A (zh) * | 2020-03-04 | 2020-07-24 | 奇安信科技集团股份有限公司 | 文件特征提取方法及装置 |
CN111709015A (zh) * | 2020-06-19 | 2020-09-25 | 浪潮电子信息产业股份有限公司 | 一种主机安全识别方法、装置及相关组件 |
CN112580046A (zh) * | 2020-12-10 | 2021-03-30 | 青岛海洋科学与技术国家实验室发展中心 | 多维集中式木马检查方法及装置 |
CN115906079A (zh) * | 2022-11-16 | 2023-04-04 | 北京微步在线科技有限公司 | 文件检测方法、文件检测系统及文件检测装置 |
CN116366377A (zh) * | 2023-06-02 | 2023-06-30 | 深信服科技股份有限公司 | 恶意文件检测方法、装置、设备及存储介质 |
CN116738427A (zh) * | 2023-08-14 | 2023-09-12 | 深信服科技股份有限公司 | 终端安全防护方法、装置、设备及存储介质 |
CN116962086A (zh) * | 2023-09-20 | 2023-10-27 | 北京安天网络安全技术有限公司 | 一种文件安全性检测方法及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102413142A (zh) * | 2011-11-30 | 2012-04-11 | 华中科技大学 | 基于云平台的主动防御方法 |
CN103281301A (zh) * | 2013-04-28 | 2013-09-04 | 上海海事大学 | 云安全恶意程序判断系统及方法 |
CN103632097A (zh) * | 2013-12-13 | 2014-03-12 | 扬州永信计算机有限公司 | 便携式移动终端安全威胁处理方法 |
CN105354499A (zh) * | 2015-12-15 | 2016-02-24 | 北京金山安全管理系统技术有限公司 | 一种病毒的查杀方法与装置 |
CN105897807A (zh) * | 2015-01-14 | 2016-08-24 | 江苏博智软件科技有限公司 | 一种基于行为特征的移动智能终端异常代码云检测方法 |
CN109670309A (zh) * | 2018-12-21 | 2019-04-23 | 北京天融信网络安全技术有限公司 | 一种检测文件的方法及装置 |
-
2019
- 2019-06-28 CN CN201910579863.1A patent/CN110287701A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102413142A (zh) * | 2011-11-30 | 2012-04-11 | 华中科技大学 | 基于云平台的主动防御方法 |
CN103281301A (zh) * | 2013-04-28 | 2013-09-04 | 上海海事大学 | 云安全恶意程序判断系统及方法 |
CN103632097A (zh) * | 2013-12-13 | 2014-03-12 | 扬州永信计算机有限公司 | 便携式移动终端安全威胁处理方法 |
CN105897807A (zh) * | 2015-01-14 | 2016-08-24 | 江苏博智软件科技有限公司 | 一种基于行为特征的移动智能终端异常代码云检测方法 |
CN105354499A (zh) * | 2015-12-15 | 2016-02-24 | 北京金山安全管理系统技术有限公司 | 一种病毒的查杀方法与装置 |
CN109670309A (zh) * | 2018-12-21 | 2019-04-23 | 北京天融信网络安全技术有限公司 | 一种检测文件的方法及装置 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111444144A (zh) * | 2020-03-04 | 2020-07-24 | 奇安信科技集团股份有限公司 | 文件特征提取方法及装置 |
CN111444144B (zh) * | 2020-03-04 | 2023-07-25 | 奇安信科技集团股份有限公司 | 文件特征提取方法及装置 |
CN111709015A (zh) * | 2020-06-19 | 2020-09-25 | 浪潮电子信息产业股份有限公司 | 一种主机安全识别方法、装置及相关组件 |
CN112580046A (zh) * | 2020-12-10 | 2021-03-30 | 青岛海洋科学与技术国家实验室发展中心 | 多维集中式木马检查方法及装置 |
CN115906079A (zh) * | 2022-11-16 | 2023-04-04 | 北京微步在线科技有限公司 | 文件检测方法、文件检测系统及文件检测装置 |
CN116366377A (zh) * | 2023-06-02 | 2023-06-30 | 深信服科技股份有限公司 | 恶意文件检测方法、装置、设备及存储介质 |
CN116366377B (zh) * | 2023-06-02 | 2023-11-07 | 深信服科技股份有限公司 | 恶意文件检测方法、装置、设备及存储介质 |
CN116738427A (zh) * | 2023-08-14 | 2023-09-12 | 深信服科技股份有限公司 | 终端安全防护方法、装置、设备及存储介质 |
CN116738427B (zh) * | 2023-08-14 | 2024-02-23 | 深信服科技股份有限公司 | 终端安全防护方法、装置、设备及存储介质 |
CN116962086A (zh) * | 2023-09-20 | 2023-10-27 | 北京安天网络安全技术有限公司 | 一种文件安全性检测方法及系统 |
CN116962086B (zh) * | 2023-09-20 | 2023-11-24 | 北京安天网络安全技术有限公司 | 一种文件安全性检测方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110287701A (zh) | 一种恶意文件检测方法、装置、系统及相关组件 | |
Arshad et al. | SAMADroid: a novel 3-level hybrid malware detection model for android operating system | |
CN107645503B (zh) | 一种基于规则的恶意域名所属dga家族的检测方法 | |
US7685637B2 (en) | System security approaches using sub-expression automata | |
CN109271780A (zh) | 机器学习恶意软件检测模型的方法、系统和计算机可读介质 | |
CN103679031B (zh) | 一种文件病毒免疫的方法和装置 | |
CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
CN111460446B (zh) | 基于模型的恶意文件检测方法及装置 | |
CN109117634A (zh) | 基于网络流量多视图融合的恶意软件检测方法及系统 | |
CN106355092B (zh) | 用于优化反病毒测定的系统和方法 | |
CN102024112A (zh) | 基于静态特征的pe文件加壳检测方法 | |
CN109145592A (zh) | 检测异常事件的系统和方法 | |
US7216364B2 (en) | System security approaches using state tables | |
CN107247902A (zh) | 恶意软件分类系统及方法 | |
CN111931179A (zh) | 基于深度学习的云端恶意程序检测系统及方法 | |
KR20220160629A (ko) | 보안 위협에 대한 양자 컴퓨팅 머신 러닝 | |
US20230418943A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
CN109558207A (zh) | 在虚拟机中形成用于进行文件的防病毒扫描的日志的系统和方法 | |
CN109861987A (zh) | 自动化渗透测试系统、方法及机器人 | |
CN110149319A (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
CN109561112A (zh) | 一种人工智能实时检测安全攻击系统 | |
CN107644161A (zh) | 样本的安全测试方法、装置和设备 | |
CN108470126A (zh) | 数据处理方法、装置及存储介质 | |
JP5613000B2 (ja) | アプリケーション特性解析装置およびプログラム | |
Sharma et al. | Analysis of NSL KDD dataset using classification algorithms for intrusion detection system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |