CN110691083B - 一种基于进程的外联阻断方法 - Google Patents
一种基于进程的外联阻断方法 Download PDFInfo
- Publication number
- CN110691083B CN110691083B CN201910919226.4A CN201910919226A CN110691083B CN 110691083 B CN110691083 B CN 110691083B CN 201910919226 A CN201910919226 A CN 201910919226A CN 110691083 B CN110691083 B CN 110691083B
- Authority
- CN
- China
- Prior art keywords
- external connection
- behavior
- user
- library
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于进程的外联阻断方法,在中心服务器内置进程的黑、白名单,客户端可以进一步设置黑、白名单,对启动的进程先进行黑名单检验,若匹配则阻止启动,否则与进程的白名单检验,若匹配则放行,若都不匹配,则对其进行流量监控,捕获进程的目标IP后与内置的违规外联黑名单库IP和用户自定义的黑名单库IP进行校验,若匹配则阻断进程的外联行为,否则记录进程探测外联其他主机的数量及次数,若没有超过用户配置的外联主机的数量及次数则放行,否则通知用户并要求用户选择进行外联阻断或放行。本发明可以阻断进程的外联,防止病毒下载恶意脚本或在内网扩散,达到防止病毒在内网的扩散、防止病毒从互联网下载恶意脚本等的目的。
Description
技术领域
本发明涉及数字信息的传输,例如电报通信的技术领域,特别涉及一种基于进程的外联阻断方法。
背景技术
随着计算机的发展,目前挖矿病毒和勒索病毒越演越烈,用户通过点开邮件和广告推广等形式导致勒索病毒或挖矿病毒进入内网。
勒索病毒文件一旦进入本地就会自动运行,同时自动删除勒索软件样本以躲避查杀和分析;其利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密,除了病毒开发者本人,其他人几乎不可能解密,加密完成后还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户缴纳赎金;且勒索病毒的变种非常快,对常规的杀毒软件都具有免疫性,攻击的样本以EXE、JS、WSF、VBE等类型为主,对常规依靠特征检测的安全产品是极大的挑战。
挖矿病毒则是通过劫持计算机不断的进行挖矿,耗尽本机的CPU和内存资源。
进一步地,往往内网一台计算器中挖矿病毒或勒索病毒后,病毒通过启动异常进程或注入正常进程的方式,不断探测内网所有主机的139、445端口,若端口开放或未安装相应的补丁,则病毒将迅速渗透到另一台计算机,从而感染内网的所有主机,或者外联到恶意地址下载恶意脚本并在计算机内启动,从而使内网的所有文档被加密或CPU、内存等资源被耗尽。
基于此,需要通过监测进程外联的情况,来及时阻止勒索病毒和挖矿病毒在内网的传播。
WFP(Windows过滤平台)是为网络数据包过滤提供的一套框架,其包含相应的API和服务,通过WFP框架可以实现防火墙、入侵检测、网络监控,也可以利用WFP拦截指定进程访问网络。
然而,现有技术的网络过滤平台存在以下缺陷:
(1)以WFP框架为主的网络过滤平台无法与病毒库进行联动,对将启动的进程不能与病毒库进行匹配校验,用户无法对正常业务的进程配置白名单,而且对进行需要外联的IP地址没有内置的违规外联黑名单IP库,无法及时阻止进程的互联网的外联,导致主机不断外联互联,进行挖矿或下载恶意脚本等操作;
(2)对于内网的外联,没有相应的访问次数限制进程对内网主机的访问,使得异常进程不断的测试内网其他主机的端口,从而达到渗透内网、感染其他主机的作用。
发明内容
本发明解决了现有技术中存在的问题,提供了一种优化的基于进程的外联阻断方法。
本发明所采用的技术方案是,一种基于进程的外联阻断方法,所述方法包括以下步骤:
步骤1:部署中心服务器软件,用户配置全局所有资产的进程的白名单库、自定义的违规外联黑名单IP库;预设进程外联的最大数量及任一外联的最大次数;
步骤2:在任一主机内安装客户端,从中心服务器下载内置的进程黑名单库和已配置数据;
步骤3:中心服务器存储建立连接的主机信息,用户对任一主机的客户端独立配置进程白名单库和进程外联的次数;
步骤4:启动客户端服务,对主机启动的进程进行启动监控;若存在待启动的进程,则进行下一步;
步骤5:截获待启动的进程,与进程黑名单库进行匹配,若匹配成功,则将启动的进程为恶意进程,对进程启动阻断,该进程无法启动,返回步骤4,否则,进行下一步;
步骤6:与进程白名单库进行匹配,若匹配成功,则该进程为正常业务白名单的进程,对当前进程的启动及当前进程的外联行为放行,返回步骤5,否则,对当前进程进行监控,进行下一步;
步骤7:若监测到当前进程的外联行为,判断是否为连接互联网行为;若为连接互联网行为,则对目标IP进行内置的违规外联黑名单库IP和用户自定义的黑名单库IP进行匹配,若匹配成功,则当前进程发起了恶意请求或用户定义的非法请求,对当前进程的所有外联行为进行阻断,否则,对当前外联进行监控,记录外联的主机台数及外联次数;
步骤8:记录外联的主机台数或外联次数超过预设值,提示,用户通过客户端选择是否阻断当前进程的外联行为;
步骤9:基于用户选择进行外联阻断或放行。
优选地,所述步骤1中,中心服务器软件安装RPC服务,一直处于监听状态;所述中心服务器软件中内置黑名单库。
优选地,所述步骤2中,任一客户端对应的主机设有唯一标识UUID号,通过安装RPC服务与中心服务器建立连接。
优选地,所述步骤1中,可以搭建独立的WEB服务,管理员通过浏览器操作中心服务器。
优选地,所述步骤2中,在主机内安装网络过滤驱动,用于对所有的进程启动及进程的网络流量进行监控。
优选地,所述步骤6中,对当前进程的启动及当前进程的外联行为放行,记录该进程的外联行为。
优选地,所述步骤7中,截获当前外联行为的网络数据包,对其网络数据包的目标IP提取,判断是否连接互联网行为。
优选地,所述步骤9中:
若用户选择阻断当前进程的外联或未选择,则对当前进程的外联行为进行阻断,当前进程不允许外联其他主机或外网行为;
若用户选择放行,则默认将进程加入到进程的白名单库内,不再对当前进程外联的行为阻断,仅记录当前外联行为。
本发明提供了一种优化的基于进程的外联阻断方法,在中心服务器内置进程的黑名单与白名单,客户端可以进一步设置黑、白名单,对即将启动的进程先进行黑名单检验,若匹配则阻止其启动,否则与进程的白名单检验,若匹配则为正常进程并放行,若都不匹配,则对其进行流量监控,捕获进程的目标IP后与内置的违规外联黑名单库IP和用户自定义的黑名单库IP进行校验,若匹配则阻断进程的外联行为,否则记录进程探测外联其他主机的数量及次数,若没有超过用户配置的外联主机的数量及次数则放行,否则通知用户并要求用户选择进行外联阻断或放行;如用户选择放行则加入白名单,不再对其进行限制,否则阻止进程的外联。
本发明的有益效果在于:
(1)通过内置的病毒库中的黑名单进程库自动识别黑名单中进程的启动,禁止异常进程的启动,保证用户系统中当前的病毒进程不会正常启动,从而避免本机系统被感染;
(2)通过自定义的白名单库进程,放行、记录用户的正常业务进程,不影响客户系统业务的正常使用;
(3)通过记录外联的相关数据并同步至用户,告知用户哪些进程正在进行外联行为及外联的关联次数,用户可以判断进程是否为异常进程,也可以判断该进程是否应该有外联操作,可以对不断探测其他主机等异常行为的操作进行阻断,防止勒索病毒和挖矿病毒在内网的传播;
(4)用户可以随时定义进程的白名单库和违规外联黑名单IP,随时可以阻挡或放行进程的启动和外联操作,灵活度高。
附图说明
图1为本发明的流程图。
具体实施方式
下面结合实施例对本发明做进一步的详细描述,但本发明的保护范围并不限于此。
本发明涉及一种基于进程的外联阻断方法,可以阻断进程的外联,防止病毒下载恶意脚本或在内网扩散,如阻断进程探测内网所有主机的端口等行为,达到防止病毒在内网的扩散、防止病毒从互联网下载恶意脚本等的目的。
所述方法包括以下步骤。
步骤1:部署中心服务器软件,用户配置全局所有资产的进程的白名单库、自定义的违规外联黑名单IP库;预设进程外联的最大数量及任一外联的最大次数。
步骤2:在任一主机内安装客户端,从中心服务器下载内置的进程黑名单库和已配置数据。
所述步骤1中,中心服务器软件安装RPC服务,一直处于监听状态;所述中心服务器软件中内置黑名单库。
所述步骤2中,任一客户端对应的主机设有唯一标识UUID号,通过安装RPC服务与中心服务器建立连接。
所述步骤1中,可以搭建独立的WEB服务,管理员通过浏览器操作中心服务器。
所述步骤2中,在主机内安装网络过滤驱动,用于对所有的进程启动及进程的网络流量进行监控。
本发明中,用户可以配置全局所有资产的进程的白名单库、违规外联黑名单IP库、进程外联的最大数量及任一外联的最大次数。
本发明中,用户可以对所有资产配置全局的白名单库和违规外联黑名单IP库,还可以再对单个资产继续进行单独配置;在这种前提下,客户端下载后,优先使用单独配置库,其次为全局配置库,当然,所有的配置库都相应起到一定的作用,只是优先级存在不同。
本发明中,步骤2里内置的进程黑名单库与步骤1的违规外联黑名单IP库非同一个库,内置的进程黑名单库是通过大量收集而整合的异常进程黑名单。
步骤3:中心服务器存储建立连接的主机信息,用户对任一主机的客户端独立配置进程白名单库和进程外联的次数。
本发明中,中心服务器将建立连接的计算机信息存在在MySQL数据库的Node表内,中心服务器的浏览器界面能查看到已经建立通讯的所有计算机列表,此时可以由单个客户端配置进程白名单库和进程外联的次数。
本发明中,每个客户端的配置优于全局配置,每个客户端配置后全局配置不生效。
本发明中,主机的客户端后台系统可能配置独立的黑名单库,但这个黑名单库一般不需要用户配置,因为其一般是通过大量收集而得到的异常进程的黑名单库。
本发明中,客户端的白名单库与全局配置的白名单库共同起作用,只是匹配的优先级不同,匹配的白名单为两个白名单库的总和。
本发明中,进一步来说,如果用户单个资产不想用全局配置,也可以将该资产的全局配置的开关关闭,只使用单独配置的白名单库。
本发明中,本机配置的进程白名单库下载到客户端后使用优先级大于全局配置。
本发明中,同理,步骤3中配置的进程外联的次数是指用户可以再继续对单独的计算机进行定制配置进程外联的次数,若没有单独配置,就用全局的配置。
步骤4:启动客户端服务,对主机启动的进程进行启动监控;若存在待启动的进程,则进行下一步。
本发明中,事实上,启动客户端服务后,在监控进程的同时,也将监控所有进程对应的网络流量。
步骤5:截获待启动的进程,与进程黑名单库进行匹配,若匹配成功,则将启动的进程为恶意进程,对进程启动阻断,该进程无法启动,返回步骤4,否则,进行下一步。
步骤6:与进程白名单库进行匹配,若匹配成功,则该进程为正常业务白名单的进程,对当前进程的启动及当前进程的外联行为放行,返回步骤5,否则,对当前进程进行监控,进行下一步。
所述步骤6中,对当前进程的启动及当前进程的外联行为放行,记录该进程的外联行为。
本发明中,若当前启动的进程没有匹配黑名单,则继续与内置的进程白名单进行匹配校验,若匹配成功,则该进程为用户自定义的正常业务白名单的进程,对其进程的启动进行放行,并且后续对该进程的外联行为也进行放行,仅记录该进程的外联行为,让用户可以查询。
本发明中,当进程为正常业务白名单的进程时,返回步骤5,但事实上驱动一直监控进程的启动,是白名单的进程进行放行并做记录操作。
步骤7:若监测到当前进程的外联行为,判断是否为连接互联网行为;若为连接互联网行为,则对目标IP进行内置的违规外联黑名单库IP和用户自定义的黑名单库IP进行匹配,若匹配成功,则当前进程发起了恶意请求或用户定义的非法请求,对当前进程的所有外联行为进行阻断,否则,对当前外联进行监控,记录外联的主机台数及外联次数。
所述步骤7中,截获当前外联行为的网络数据包,对其网络数据包的目标IP提取,判断是否连接互联网行为。
本发明中,若客户端驱动监测到进程的外联行为,则先截获该外联行为的网络数据包,对其网络数据包的目标IP提取,判断是否连接互联网行为。
本发明中,若为连接互联网行为,则对目标IP进行内置的违规外联黑名单库IP和用户自定义的黑名单库IP进行校验,若配置成功,则说明该进程发起的为恶意请求或用户定义的非法请求,立刻对该进程的外联行为进行阻断,并且后续对该进程的任何外联行为都进行阻断。
本发明中,若为不在目标不在黑名单库IP内又或者是内网外联的行为,则对其外联的主机台数及次数进行监控,并且累积记录该主机外联其他主机的台数和外联的次数。
本发明,若存在不是连接互联网的行为,则表示有目标不在黑名单IP库或者为内网行为。
步骤8:记录外联的主机台数或外联次数超过预设值,提示,用户通过客户端选择是否阻断当前进程的外联行为。
本发明中,提示一般通过客户端弹框或者日志提醒的形式告知用户。
步骤9:基于用户选择进行外联阻断或放行。
所述步骤9中:
若用户选择阻断当前进程的外联或未选择,则对当前进程的外联行为进行阻断,当前进程不允许外联其他主机或外网行为;
若用户选择放行,则默认将进程加入到进程的白名单库内,不再对当前进程外联的行为阻断,仅记录当前外联行为。
本发明中,若用户选择放行,则默认加入到进程的白名单库内,下次不再对该进程外联的行为阻断,仅记录该外联行为,供用户查询。
本发明在中心服务器内置进程的黑名单与白名单,客户端可以进一步设置黑、白名单,对即将启动的进程先进行黑名单检验,若匹配则阻止其启动,否则与进程的白名单检验,若匹配则为正常进程并放行,若都不匹配,则对其进行流量监控,捕获进程的目标IP后与内置的违规外联黑名单库IP和用户自定义的黑名单库IP进行校验,若匹配则阻断进程的外联行为,否则记录进程探测外联其他主机的数量及次数,若没有超过用户配置的外联主机的数量及次数则放行,否则通知用户并要求用户选择进行外联阻断或放行;如用户选择放行则加入白名单,不再对其进行限制,否则阻止进程的外联。
本发明的有益效果在于通过内置的病毒库中的黑名单进程库自动识别黑名单中进程的启动,禁止异常进程的启动,保证用户系统中当前的病毒进程不会正常启动,从而避免本机系统被感染;通过自定义的白名单库进程,放行、记录用户的正常业务进程,不影响客户系统业务的正常使用;通过记录外联的相关数据并同步至用户,告知用户哪些进程正在进行外联行为及外联的关联次数,用户可以判断进程是否为异常进程,也可以判断该进程是否应该有外联操作,可以对不断探测其他主机等异常行为的操作进行阻断,防止勒索病毒和挖矿病毒在内网的传播;用户可以随时定义进程的白名单库和违规外联黑名单IP,随时可以阻挡或放行进程的启动和外联操作,灵活度高。
Claims (8)
1.一种基于进程的外联阻断方法,其特征在于:所述方法包括以下步骤:
步骤1:部署中心服务器软件,用户配置全局所有资产的进程的白名单库、自定义的违规外联黑名单IP库;预设进程外联的最大数量及任一外联的最大次数;
步骤2:在任一主机内安装客户端,从中心服务器下载内置的进程黑名单库和已配置数据;
步骤3:中心服务器存储建立连接的主机信息,用户对任一主机的客户端独立配置进程白名单库和进程外联的次数;
步骤4:启动客户端服务,对主机启动的进程进行启动监控;若存在待启动的进程,则进行下一步;
步骤5:截获待启动的进程,与进程黑名单库进行匹配,若匹配成功,则将启动的进程为恶意进程,对进程启动阻断,该进程无法启动,返回步骤4,否则,进行下一步;
步骤6:与进程白名单库进行匹配,若匹配成功,则该进程为正常业务白名单的进程,对当前进程的启动及当前进程的外联行为放行,返回步骤5,否则,对当前进程进行监控,进行下一步;
步骤7:若监测到当前进程的外联行为,判断是否为连接互联网行为;若为连接互联网行为,则对目标IP进行内置的违规外联黑名单库IP和用户自定义的黑名单库IP进行匹配,若匹配成功,则当前进程发起了恶意请求或用户定义的非法请求,对当前进程的所有外联行为进行阻断,否则,对当前外联进行监控,记录外联的主机台数及外联次数;
步骤8:记录外联的主机台数或外联次数超过预设值,提示,用户通过客户端选择是否阻断当前进程的外联行为;
步骤9:基于用户选择进行外联阻断或放行。
2.根据权利要求1所述的一种基于进程的外联阻断方法,其特征在于:所述步骤1中,中心服务器软件安装RPC服务,一直处于监听状态;所述中心服务器软件中内置黑名单库。
3.根据权利要求2所述的一种基于进程的外联阻断方法,其特征在于:所述步骤2中,任一客户端对应的主机设有唯一标识UUID号,通过安装RPC服务与中心服务器建立连接。
4.根据权利要求1所述的一种基于进程的外联阻断方法,其特征在于:所述步骤1中,可以搭建独立的WEB服务,管理员通过浏览器操作中心服务器。
5.根据权利要求1所述的一种基于进程的外联阻断方法,其特征在于:所述步骤2中,在主机内安装网络过滤驱动,用于对所有的进程启动及进程的网络流量进行监控。
6.根据权利要求1所述的一种基于进程的外联阻断方法,其特征在于:所述步骤6中,对当前进程的启动及当前进程的外联行为放行,记录该进程的外联行为。
7.根据权利要求1所述的一种基于进程的外联阻断方法,其特征在于:所述步骤7中,截获当前外联行为的网络数据包,对其网络数据包的目标IP提取,判断是否连接互联网行为。
8.根据权利要求1所述的一种基于进程的外联阻断方法,其特征在于:所述步骤9中:
若用户选择阻断当前进程的外联或未选择,则对当前进程的外联行为进行阻断,当前进程不允许外联其他主机或外网行为;
若用户选择放行,则默认将进程加入到进程的白名单库内,不再对当前进程外联的行为阻断,仅记录当前外联行为。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910919226.4A CN110691083B (zh) | 2019-09-26 | 2019-09-26 | 一种基于进程的外联阻断方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910919226.4A CN110691083B (zh) | 2019-09-26 | 2019-09-26 | 一种基于进程的外联阻断方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110691083A CN110691083A (zh) | 2020-01-14 |
| CN110691083B true CN110691083B (zh) | 2021-07-23 |
Family
ID=69110314
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910919226.4A Active CN110691083B (zh) | 2019-09-26 | 2019-09-26 | 一种基于进程的外联阻断方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110691083B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111881384B (zh) * | 2020-07-02 | 2023-05-26 | 北京华赛在线科技有限公司 | 违规外联的取证方法、系统和存储介质 |
| CN114079574A (zh) * | 2020-08-14 | 2022-02-22 | 中移动信息技术有限公司 | 数据过滤的方法、装置、设备及存储介质 |
| CN113297628A (zh) * | 2021-05-26 | 2021-08-24 | 杭州安恒信息技术股份有限公司 | 一种修改行为审计方法、装置、设备及可读存储介质 |
| CN113553599A (zh) * | 2021-09-22 | 2021-10-26 | 北京神州慧安科技有限公司 | 工控主机软件加固方法及系统 |
| CN114257407B (zh) * | 2021-11-17 | 2023-09-19 | 广东电网有限责任公司 | 基于白名单的设备连接控制方法、装置、计算机设备 |
| CN114244631A (zh) * | 2022-02-23 | 2022-03-25 | 北京安帝科技有限公司 | 计算机网络安全防护方法及系统 |
| CN114900340A (zh) * | 2022-04-24 | 2022-08-12 | 金祺创(北京)技术有限公司 | 一种基于内外网交互式验证的违规外联检测方法和装置 |
| CN114866318A (zh) * | 2022-05-05 | 2022-08-05 | 金祺创(北京)技术有限公司 | 一种基于用户关键业务网络安全流程的威胁情报关联分析方法和系统 |
| CN115189909A (zh) * | 2022-05-24 | 2022-10-14 | 浙江远望信息股份有限公司 | 基于网络环境变化对违规连接互联网行为的防护方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102957694A (zh) * | 2012-10-25 | 2013-03-06 | 北京奇虎科技有限公司 | 一种判断钓鱼网站的方法及装置 |
| CN103391216A (zh) * | 2013-07-15 | 2013-11-13 | 中国科学院信息工程研究所 | 一种违规外联报警及阻断方法 |
| CN103475637A (zh) * | 2013-04-24 | 2013-12-25 | 携程计算机技术(上海)有限公司 | 基于ip访问行为的网络访问控制方法及系统 |
| CN105138920A (zh) * | 2015-07-30 | 2015-12-09 | 浪潮电子信息产业股份有限公司 | 一种内网终端安全管理的实现方法 |
| CN106650447A (zh) * | 2016-12-28 | 2017-05-10 | 北京安天电子设备有限公司 | 一种防御PowerShell恶意代码执行的方法及系统 |
| CN107506645A (zh) * | 2017-08-30 | 2017-12-22 | 北京明朝万达科技股份有限公司 | 一种勒索病毒的检测方法和装置 |
| US9875355B1 (en) * | 2013-09-17 | 2018-01-23 | Amazon Technologies, Inc. | DNS query analysis for detection of malicious software |
| CN107835149A (zh) * | 2017-09-13 | 2018-03-23 | 杭州安恒信息技术有限公司 | 基于dns流量分析的网络窃密行为检测方法以及装置 |
-
2019
- 2019-09-26 CN CN201910919226.4A patent/CN110691083B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102957694A (zh) * | 2012-10-25 | 2013-03-06 | 北京奇虎科技有限公司 | 一种判断钓鱼网站的方法及装置 |
| CN103475637A (zh) * | 2013-04-24 | 2013-12-25 | 携程计算机技术(上海)有限公司 | 基于ip访问行为的网络访问控制方法及系统 |
| CN103391216A (zh) * | 2013-07-15 | 2013-11-13 | 中国科学院信息工程研究所 | 一种违规外联报警及阻断方法 |
| US9875355B1 (en) * | 2013-09-17 | 2018-01-23 | Amazon Technologies, Inc. | DNS query analysis for detection of malicious software |
| CN105138920A (zh) * | 2015-07-30 | 2015-12-09 | 浪潮电子信息产业股份有限公司 | 一种内网终端安全管理的实现方法 |
| CN106650447A (zh) * | 2016-12-28 | 2017-05-10 | 北京安天电子设备有限公司 | 一种防御PowerShell恶意代码执行的方法及系统 |
| CN107506645A (zh) * | 2017-08-30 | 2017-12-22 | 北京明朝万达科技股份有限公司 | 一种勒索病毒的检测方法和装置 |
| CN107835149A (zh) * | 2017-09-13 | 2018-03-23 | 杭州安恒信息技术有限公司 | 基于dns流量分析的网络窃密行为检测方法以及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 《非法外联监测系统的研究与实现》;李娜;《电子测试》;20160131;1-2 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110691083A (zh) | 2020-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110691083B (zh) | 一种基于进程的外联阻断方法 | |
| US20230388349A1 (en) | Policy enforcement using host information profile | |
| US10666686B1 (en) | Virtualized exploit detection system | |
| US11620383B2 (en) | Dynamic analysis techniques for applications | |
| US11604878B2 (en) | Dynamic analysis techniques for applications | |
| EP2005350B1 (en) | Method and system for mobile network security, related network and computer program product | |
| EP3499839B1 (en) | Mobile device management and security | |
| US9973531B1 (en) | Shellcode detection | |
| US8954897B2 (en) | Protecting a virtual guest machine from attacks by an infected host | |
| US11436329B2 (en) | Using browser context in evasive web-based malware detection | |
| US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| JPH11316677A (ja) | コンピュ―タネットワ―クの保安方法 | |
| Müller et al. | Sok: Exploiting network printers | |
| JP2010520566A (ja) | 外部デバイスとホスト・デバイスの間でデータおよびデバイスのセキュリティを提供するためのシステムおよび方法 | |
| CN111295640B (zh) | 使用会话app id和端点进程id相关性的精细粒度防火墙策略实施 | |
| EP3826263B1 (en) | Method for combining a firewall and a forensics agent to detect and prevent malicious software activity | |
| US11803647B2 (en) | Computer system vulnerability lockdown mode | |
| CN114257407B (zh) | 基于白名单的设备连接控制方法、装置、计算机设备 | |
| US11677786B1 (en) | System and method for detecting and protecting against cybersecurity attacks on servers | |
| Walls et al. | A study of the effectiveness abs reliability of android free anti-mobile malware apps | |
| Arunanshu et al. | Evaluating the Efficacy of Antivirus Software Against Malware and Rats Using Metasploit and Asyncrat | |
| CN111931178A (zh) | 工业环境中基于白名单与文件特征码的主机保护方法及系统 | |
| APPROVAI | PROGRAMMING LABORATORY ll |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |