CN110674499A - 一种识别计算机威胁的方法、装置及存储介质 - Google Patents
一种识别计算机威胁的方法、装置及存储介质 Download PDFInfo
- Publication number
- CN110674499A CN110674499A CN201910798443.2A CN201910798443A CN110674499A CN 110674499 A CN110674499 A CN 110674499A CN 201910798443 A CN201910798443 A CN 201910798443A CN 110674499 A CN110674499 A CN 110674499A
- Authority
- CN
- China
- Prior art keywords
- hash value
- file
- matching
- list
- portable executable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种识别计算机威胁的方法、装置及存储介质,对过滤驱动程序拦截的新的可移植可执行文件采用密码散列算法进行运算,得到新文件的第一散列值;将所述第一散列值与预先存储的黑名单对应的第二散列值进行匹配,若匹配成功,则判定所述第二散列值对应的可移植可执行文件为威胁文件,并对其进行拦截。本发明实施例提供一种识别计算机威胁的方法,对过滤驱动程序拦截到的可移植可执行文件按照黑名单、白名单及已知文件名单分别进行匹配判断,进而判断是否需要对该文件进行拦截。在克服传统全数据量投递分析匹配的基础上,对未知文件进行不同策略的检测,提高了识别的效率。
Description
技术领域
本发明实施例涉及计算机安全技术领域,具体涉及一种识别计算机威胁的方法、装置及存储介质。
背景技术
信息系统已经在全球规模上逐渐融入人们的日常生活和工作中,且信息安全的领域已经同样地在现在的社会中变得愈加重要。这样大规模的融合还为恶意操作者展现了许多利用这些系统的机会。如果恶意软件能感染主计算机,则它能执行任意数量的恶意行动,如从主计算机发出垃圾邮件或恶意邮件、从与主计算机相关联的企业或个人盗取敏感信息、向其它主计算机传播和/或帮助分布式拒绝服务攻击。此外,对于一些类型的恶意软件,恶意操作者能向其它恶意操作者出售或者以其它方式给予访问权,由此扩大对主计算机的利用。因此,有效保护并维持稳定的计算机和系统的能力仍然对于组件制造商、系统设计者和网络运营商提出很大的挑战。
目前市面上的安全侦测类系统,其数据量和系统监测的关键点以及终端数量成正比,尤其是在当有全量数据收集的情况下甚至可以达到每个终端500G左右的数据投递量,严重影响到服务端的IO性能,以及处理量。
发明内容
为此,本发明实施例提供一种识别计算机威胁的方法、装置及存储介质,以解决现有技术中由于安全侦测类系统数据投递量大而导致的服务端性能降低的问题。
为了实现上述目的,现提出一种识别计算机威胁的方法、装置及存储介质来解决此类问题,将已知部分不再进行全量数据的投递,以减少服务器的压力,该解决方案主要是在操作系统中将已有和新增的文件作区分,以软件安装时间作为时间节点,在该时间节点之前的文件作为“已知文件”,节点之后再出现的文件作为“未知文件”,对不同设置的文件类别上传至不同的安全侦测系统进行扫描,进而判断文件是否存在威胁。本发明实施例提供的具体技术方案如下:
根据本发明实施例的第一方面提供一种识别计算机威胁的方法,其特征在于,包括:
对过滤驱动程序获取的待识别可移植可执行文件采用密码散列算法进行运算,得到新文件的第一散列值;
将所述第一散列值与预先存储的黑名单对应的第二散列值进行匹配,若匹配成功,则判定所述第一散列值对应的待识别可移植可执行文件为威胁文件,并对所述威胁文件进行拦截。
进一步地,还包括,若所述第一散列值与黑名单对应的第二散列值匹配不成功,则将所述第一散列值与预先存储的白名单对应的第三散列值进行匹配,若匹配不成功,则对第一散列值对应的所述待识别可移植可执行文件进行拦截;若匹配成功,对所述待识别可移植可执行文件不进行拦截。
进一步地,还包括,若所述第一散列值与预先存储的白名单对应的第三散列值匹配不成功并对所述待识别可移植可执行文件进行拦截之后,将所述第一散列值与预先存储的已知文件列表对应的第四散列值进行匹配,若匹配成功,则对待识别可移植可执行文件不进行拦截;若匹配不成功进行拦截。
进一步地,所述已知文件列表的散列值的可通过以下步骤获得:
对windows系统的当前磁盘进行扫描,将所有可移植可执行文件进行遍历,得到已知文件列表;
将所述已知文件列表采用密码散列算法进行运算,得到已知文件列表的第四散列值。
进一步地,其特征在于,所述密码散列算法采用MD5消息摘要算法。
本发明实施例的第三方面还提供一种识别计算机威胁的装置,其特征在于,包括第一散列值计算模块,用于对过滤驱动程序拦截的新的可移植可执行文件采用密码散列算法进行运算,得到新文件的第一散列值;
黑名单匹配模块,用于将所述第一散列值与预先存储的黑名单对应的第二散列值进行匹配;
拦截模块,当所述第一散列值与预先存储的黑名单对应的第二散列值匹配成功时,用于判定所述第一散列值对应的待识别可移植可执行文件为威胁文件,并对所述威胁文件进行拦截。
进一步地,还包括白名单匹配模块和放行模块;其中,所述白名单匹配模块,若所述第一散列值与黑名单对应的第二散列值匹配不成功时,用于将所述第一散列值与预先存储的白名单对应的第三散列值进行匹配,若匹配不成功,则对所述待识别可移植可执行文件进行拦截;所述放行模块用于若匹配成功,则对所述待识别可移植可执行文件不进行拦截。
进一步地,还包括已知名单匹配模块,用于若所述第一散列值与预先存储的白名单对应的第三散列值匹配不成功并对所述待识别可移植可执行文件进行拦截之后,将所述第一散列值与预先存储的已知文件列表对应的第四散列值进行匹配,若匹配成功,则对所述待识别可移植可执行文件不进行拦截;若匹配不成功,则进行拦截。
进一步地,在第一散列值计算模块之前还包括,
当前磁盘扫描模块,用于对windows系统的当前磁盘进行扫描,将所有可移植可执行文件进行遍历,得到已知文件列表;
和,第四散列值计算模块,用于将所述已知文件列表采用密码散列算法进行运算,得到已知文件列表的第四散列值。
进一步地,所述密码散列算法采用MD5消息摘要算法。
本发明的第三方面提供一种非暂时性计算机可读存储介质,其特征在于,存储有上述所述的方法。
本发明实施例具有如下优点:
本发明实施例提供一种识别计算机威胁的方法,对过滤驱动程序拦截到的可移植可执行文件按照黑名单、白名单及已知文件名单分别进行匹配判断,进而判断是否需要对该文件进行拦截。在克服传统全数据量投递分析匹配的基础上,对未知文件进行不同策略的检测,提高了识别的效率。有效的识别未知威胁,可实现对服务器等极端和特殊的环境进行系统免疫,且对系统开销极低;使用本技术之后,安全业务系统可以仅针对未知的部分进行处理,大大降低业务处理量,对于已知的文件也能根据需要对其行为进行监控。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容能涵盖的范围内。
图1为本发明实施例1提供的一种识别计算机威胁的方法流程示意框图;
图2为本发明实施例2提供的一种识别计算机威胁的方法优选实施方式流程示意框图;
图3为本发明实施例3提供的一种识别计算机威胁的装置的优选结构示意框图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,为本发明实施例1提供的一种识别计算机威胁的方法,其特征在于,包括:
对过滤驱动程序获取的待识别可移植可执行文件采用密码散列算法进行运算,得到新文件的第一散列值;
将所述第一散列值与预先存储的黑名单对应的第二散列值进行匹配,若匹配成功,则判定所述第一散列值对应的待识别可移植可执行文件为威胁文件,并对所述威胁文件进行拦截。
上述程序运行于计算机、服务器等设备之上。
上述过滤驱动程序是一种可以修改已有驱动的功能,也可以对数据进行过滤加密的软件程序。
上述可移植可执行文件,简称PE(Portable Executable)文件是微软Windows操作系统上的程序文件。
上述密码散列算法是一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。较常使用的是MD算法,MD算法现已经由MD1算法演变到MD5算法。
需要说明的是,本发明可选实施方式还包括,所述算法还可以采用SHA-1算法、SHA-256算法。
参见图2,为本发明实施例2提供的一种识别计算机威胁的方法优选实施方式流程示意框图,包括:
对过滤驱动程序获取的待识别可移植可执行文件采用密码散列算法进行运算,得到新文件的第一散列值;
将所述第一散列值与预先存储的黑名单对应的第二散列值进行匹配,若匹配成功,则判定所述第一散列值对应的待识别可移植可执行文件为威胁文件,并对所述威胁文件进行拦截;
若所述第一散列值与黑名单对应的第二散列值匹配不成功,则将所述第一散列值与预先存储的白名单对应的第三散列值进行匹配,若匹配不成功,则对第一散列值对应的所述待识别可移植可执行文件进行拦截;若匹配成功,对所述待识别可移植可执行文件不进行拦截。
若所述第一散列值与预先存储的白名单对应的第三散列值匹配不成功并对所述待识别可移植可执行文件进行拦截之后,将所述第一散列值与预先存储的已知文件列表对应的第四散列值进行匹配,若匹配成功,则对待识别可移植可执行文件不进行拦截;若匹配不成功进行拦截。
上述所述黑名单对应的第二散列值是指将预先存储的黑名单列表进行密码散列算法运算,得到的所述黑名单列表中每个黑名单对应的散列值。第三散列值是由白名单列表对应经过密码散列算法运算而得到。
需要说明的是,已知文件列表的散列值的获得包括如下步骤:
对windows系统的当前磁盘进行扫描,将所有可移植可执行文件进行遍历,得到已知文件列表;
将所述已知文件列表采用密码散列算法进行运算,得到已知文件列表的第四散列值。
本发明实施例提供一种识别计算机威胁的方法,对过滤驱动程序拦截到的可移植可执行文件按照黑名单、白名单及已知文件名单分别进行匹配判断,进而判断是否需要对该文件进行拦截。在克服传统全数据量投递分析匹配的基础上,对未知文件进行不同策略的检测,提高了识别的效率。有效的识别未知威胁,可实现对服务器等极端和特殊的环境进行系统免疫,且对系统开销极低;使用本技术之后,安全业务系统可以仅针对未知的部分进行处理,大大降低业务处理量,对于已知的文件也能根据需要对其行为进行监控。
参见图3为本发明实施例3提供的一种识别计算机威胁装置的优选结构示意框图,包括,
第一散列值计算模块,用于对过滤驱动程序拦截的新的可移植可执行文件采用密码散列算法进行运算,得到新文件的第一散列值;
黑名单匹配模块,用于将所述第一散列值与预先存储的黑名单对应的第二散列值进行匹配;
拦截模块,用于判断出匹配成功,则判定所述第二散列值对应的可移植可执行文件为威胁文件,并对其进行拦截。
进一步地,还包括白名单匹配模块和放行模块,其中,所述白名单匹配模块用于若所述第一散列值与黑名单对应的第二散列值匹配不成功,则将所述第二散列值与预先存储的白名单对应的第三散列值进行匹配,若匹配不成功,则对其进行拦截;所述放行模块用于若匹配成功,对其不进行拦截。
进一步地,还包括已知名单匹配模块,用于若所述第二散列值与预先存储的白名单对应的第三散列值匹配不成功并对其进行拦截之后,将所述第二散列值与预先存储的已知文件列表对应的第四散列值进行匹配,若匹配成功,则不对其进行拦截;若匹配不成功对其进行拦截。
进一步地,在第一散列值计算模块之前还包括,
当前磁盘扫描模块,用于对windows系统的当前磁盘进行扫描,将所有可移植可执行文件进行遍历,得到已知文件列表;
和,第四散列值计算模块,用于将所述已知文件列表采用密码散列算法进行运算,得到已知文件列表的第四散列值。
需要说明的是,本发明实施例为了保证对未知文件拦截的准确性,在服务端未对未知文件进行拦截的时候,该文件的后续微粒度事件将会发送至威胁监测引擎进行判断。
本发明实施例提供一种识别计算机威胁的装置,本发明实施例提供一种识别计算机威胁的方法,对过滤驱动程序拦截到的可移植可执行文件按照黑名单、白名单及已知文件名单分别进行匹配判断,进而判断是否需要对该文件进行拦截。在克服传统全数据量投递分析匹配的基础上,对未知文件进行不同策略的检测,提高了识别的效率。有效的识别未知威胁,可实现对服务器等极端和特殊的环境进行系统免疫,且对系统开销极低;使用本技术之后,安全业务系统可以仅针对未知的部分进行处理,大大降低业务处理量,对于已知的文件也能根据需要对其行为进行监控。
本发明的第三方面提供一种非暂时性计算机可读存储介质,其特征在于,存储有上述所述的方法。
需要说明的是,上述所述匹配算法属于本领域的现有技术手段,在此不再赘述。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (10)
1.一种识别计算机威胁的方法,其特征在于,包括:
对过滤驱动程序获取的待识别可移植可执行文件采用密码散列算法进行运算,得到新文件的第一散列值;
将所述第一散列值与预先存储的黑名单对应的第二散列值进行匹配,若匹配成功,则判定所述第一散列值对应的待识别可移植可执行文件为威胁文件,并对所述威胁文件进行拦截。
2.根据权利要求1所述的方法,其特征在于,还包括,若所述第一散列值与黑名单对应的第二散列值匹配不成功,则将所述第一散列值与预先存储的白名单对应的第三散列值进行匹配,若匹配不成功,则对第一散列值对应的所述待识别可移植可执行文件进行拦截;若匹配成功,对所述待识别可移植可执行文件不进行拦截。
3.根据权利要求2所述的方法,其特征在于,还包括,若所述第一散列值与预先存储的白名单对应的第三散列值匹配不成功并对所述待识别可移植可执行文件进行拦截之后,将所述第一散列值与预先存储的已知文件列表对应的第四散列值进行匹配,若匹配成功,则对待识别可移植可执行文件不进行拦截;若匹配不成功进行拦截。
4.根据权利要求3所述的方法,其特征在于,所述已知文件列表的散列值的可通过以下步骤获得:
对windows系统的当前磁盘进行扫描,将所有可移植可执行文件进行遍历,得到已知文件列表;
将所述已知文件列表采用密码散列算法进行运算,得到已知文件列表的第四散列值。
5.根据权利要求1-4任一所述的方法,其特征在于,所述密码散列算法采用MD5消息摘要算法。
6.一种识别计算机威胁的装置,其特征在于,包括第一散列值计算模块,用于对过滤驱动程序拦截的新的可移植可执行文件采用密码散列算法进行运算,得到新文件的第一散列值;
黑名单匹配模块,用于将所述第一散列值与预先存储的黑名单对应的第二散列值进行匹配;
拦截模块,当所述第一散列值与预先存储的黑名单对应的第二散列值匹配成功时,用于判定所述第一散列值对应的待识别可移植可执行文件为威胁文件,并对所述威胁文件进行拦截。
7.根据权利要求6所述的装置,其特征在于,还包括白名单匹配模块和放行模块;其中,所述白名单匹配模块,若所述第一散列值与黑名单对应的第二散列值匹配不成功时,用于将所述第一散列值与预先存储的白名单对应的第三散列值进行匹配,若匹配不成功,则对所述待识别可移植可执行文件进行拦截;所述放行模块用于若匹配成功,则对所述待识别可移植可执行文件不进行拦截。
8.根据权利要求7所述的装置,其特征在于,还包括已知名单匹配模块,用于若所述第一散列值与预先存储的白名单对应的第三散列值匹配不成功并对所述待识别可移植可执行文件进行拦截之后,将所述第一散列值与预先存储的已知文件列表对应的第四散列值进行匹配,若匹配成功,则对所述待识别可移植可执行文件不进行拦截;若匹配不成功,则进行拦截。
9.根据权利要求8所述的装置,其特征在于,在第一散列值计算模块之前还包括,
当前磁盘扫描模块,用于对windows系统的当前磁盘进行扫描,将所有可移植可执行文件进行遍历,得到已知文件列表;
和,第四散列值计算模块,用于将所述已知文件列表采用密码散列算法进行运算,得到已知文件列表的第四散列值。
10.根据权利要求6-9任一所述的装置,其特征在于,所述密码散列算法采用MD5消息摘要算法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910798443.2A CN110674499A (zh) | 2019-08-27 | 2019-08-27 | 一种识别计算机威胁的方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910798443.2A CN110674499A (zh) | 2019-08-27 | 2019-08-27 | 一种识别计算机威胁的方法、装置及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110674499A true CN110674499A (zh) | 2020-01-10 |
Family
ID=69075679
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910798443.2A Pending CN110674499A (zh) | 2019-08-27 | 2019-08-27 | 一种识别计算机威胁的方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110674499A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111641589A (zh) * | 2020-04-30 | 2020-09-08 | 中国移动通信集团有限公司 | 高级可持续威胁检测方法、系统、计算机以及存储介质 |
| CN113515486A (zh) * | 2020-04-10 | 2021-10-19 | 华晨宝马汽车有限公司 | 用于对事件进行查重的方法、系统和计算机可读介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102999726A (zh) * | 2012-12-14 | 2013-03-27 | 北京奇虎科技有限公司 | 文件宏病毒免疫方法和装置 |
| CN103065092A (zh) * | 2012-12-24 | 2013-04-24 | 公安部第一研究所 | 一种拦截可疑程序运行的方法 |
| US8499350B1 (en) * | 2009-07-29 | 2013-07-30 | Symantec Corporation | Detecting malware through package behavior |
| US20130318612A1 (en) * | 2010-08-30 | 2013-11-28 | International Business Machines Corporation | Rootkit monitoring agent built into an operating system kernel |
| CN105138901A (zh) * | 2015-08-03 | 2015-12-09 | 浪潮电子信息产业股份有限公司 | 一种基于白名单的云主机主动防御实现方法 |
| CN108683631A (zh) * | 2018-03-30 | 2018-10-19 | 厦门白山耘科技有限公司 | 一种防止扫描权限文件的方法和系统 |
-
2019
- 2019-08-27 CN CN201910798443.2A patent/CN110674499A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8499350B1 (en) * | 2009-07-29 | 2013-07-30 | Symantec Corporation | Detecting malware through package behavior |
| US20130318612A1 (en) * | 2010-08-30 | 2013-11-28 | International Business Machines Corporation | Rootkit monitoring agent built into an operating system kernel |
| CN102999726A (zh) * | 2012-12-14 | 2013-03-27 | 北京奇虎科技有限公司 | 文件宏病毒免疫方法和装置 |
| CN103065092A (zh) * | 2012-12-24 | 2013-04-24 | 公安部第一研究所 | 一种拦截可疑程序运行的方法 |
| CN105138901A (zh) * | 2015-08-03 | 2015-12-09 | 浪潮电子信息产业股份有限公司 | 一种基于白名单的云主机主动防御实现方法 |
| CN108683631A (zh) * | 2018-03-30 | 2018-10-19 | 厦门白山耘科技有限公司 | 一种防止扫描权限文件的方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 汪锋 等: "白名单主动防御系统的设计与实现", 《计算机工程与设计》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113515486A (zh) * | 2020-04-10 | 2021-10-19 | 华晨宝马汽车有限公司 | 用于对事件进行查重的方法、系统和计算机可读介质 |
| CN113515486B (zh) * | 2020-04-10 | 2024-03-08 | 华晨宝马汽车有限公司 | 用于对事件进行查重的方法、系统和计算机可读介质 |
| CN111641589A (zh) * | 2020-04-30 | 2020-09-08 | 中国移动通信集团有限公司 | 高级可持续威胁检测方法、系统、计算机以及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3462698B1 (en) | System and method of cloud detection, investigation and elimination of targeted attacks | |
| US9560059B1 (en) | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| US9811674B2 (en) | Data leakage prevention system, method, and computer program product for preventing a predefined type of operation on predetermined data | |
| CN101924760B (zh) | 可执行文件的安全下载方法及系统 | |
| CN101833621B (zh) | 终端安全审计方法及系统 | |
| US7945787B2 (en) | Method and system for detecting malware using a remote server | |
| US8869272B2 (en) | System, method, and computer program product for preventing a modification to a domain name system setting | |
| US8806629B1 (en) | Automatic generation of policy-driven anti-malware signatures and mitigation of DoS (denial-of-service) attacks | |
| US9270467B1 (en) | Systems and methods for trust propagation of signed files across devices | |
| US20070198420A1 (en) | Method and a system for outbound content security in computer networks | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| US20140195793A1 (en) | Remotely Establishing Device Platform Integrity | |
| US10250588B1 (en) | Systems and methods for determining reputations of digital certificate signers | |
| US10503882B2 (en) | File execution | |
| CN109889477A (zh) | 基于可信密码引擎的服务器启动方法及装置 | |
| CN110674499A (zh) | 一种识别计算机威胁的方法、装置及存储介质 | |
| CN111917699A (zh) | 基于指纹鉴别非法设备仿冒哑终端的检测技术 | |
| CN109522683A (zh) | 软件溯源方法、系统、计算机设备及存储介质 | |
| CN111083704A (zh) | 一种5g网络安全防御系统 | |
| US11671422B1 (en) | Systems and methods for securing authentication procedures | |
| US8973137B1 (en) | Systems and methods for detecting illegitimate out-of-band authentication attempts | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| US20200320190A1 (en) | Detecting directory reconnaissance in a directory service | |
| CN113824678A (zh) | 处理信息安全事件以检测网络攻击的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200110 |
|
| RJ01 | Rejection of invention patent application after publication |