CN110717183A - 病毒查杀方法、装置、设备及存储介质 - Google Patents
病毒查杀方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN110717183A CN110717183A CN201911250615.9A CN201911250615A CN110717183A CN 110717183 A CN110717183 A CN 110717183A CN 201911250615 A CN201911250615 A CN 201911250615A CN 110717183 A CN110717183 A CN 110717183A
- Authority
- CN
- China
- Prior art keywords
- virus
- file
- killing
- address
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于信息安全技术领域,公开了一种病毒查杀方法、装置、设备及存储介质。该方法包括:接收安全网关所检测的恶意流量对应的危害标识信息;根据危害标识信息确定待监控IP地址;根据待监控IP地址确定恶意流量对应的病毒进程;根据病毒进程的进程标识信息,确定病毒进程对应的病毒文件和病毒文件的存储路径;清除病毒进程,并根据存储路径对病毒文件进行查杀。通过上述方式,摆脱了病毒类型的限制,实现了从源头上对病毒进行查杀,从而大大提升了对病毒的查杀效果。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种病毒查杀方法、装置、设备及存储介质。
背景技术
随着网络技术的发展,计算机病毒的传播也在加剧,病毒对用户信息的安全和用户财产造成极大的危害,如何对病毒进行高效查杀成为大家关注的焦点。
但是,传统的病毒查杀方式,要么仅能对病毒进行拦截,不能清除,即治标不治本;要么由于查杀方式单一,根本无法检测出类型各异的病毒,进而导致查杀效果差。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种病毒查杀方法、装置、设备及存储介质,旨在解决上述技术问题。
为实现上述目的,本发明提供了一种病毒查杀方法,所述方法包括以下步骤:
接收安全网关所检测的恶意流量对应的危害标识信息;
根据所述危害标识信息确定待监控IP地址;
根据所述待监控IP地址确定所述恶意流量对应的病毒进程;
根据所述病毒进程的进程标识信息,确定所述病毒进程对应的病毒文件和所述病毒文件的存储路径;
清除所述病毒进程,并根据所述存储路径对所述病毒文件进行查杀。
优选地,所述根据所述病毒进程的进程标识信息,确定所述病毒进程对应的病毒文件和所述病毒文件的存储路径的步骤之后,所述方法还包括:
根据所述存储路径确定所述病毒文件对应的病毒字符串;
根据所述病毒字符串,确定是否存在用于创建所述病毒文件的定时任务;
若存在用于创建所述病毒文件的定时任务,则将所述定时任务删除。
优选地,所述清除所述病毒进程,并根据所述存储路径对所述病毒文件进行查杀的步骤之后,所述方法还包括:
根据所述病毒进程,追溯所述恶意流量对应的父进程;
根据所述父进程和所述病毒进程,确定所述恶意流量对应的进程链;
对所述进程链中的各进程进行监控,确定当前被执行的进程和所述进程访问的进程文件;
检测所述进程文件中是否存在所述存储路径;
若所述进程文件中存在所述存储路径,则确定当前被执行的所述进程为用于创建所述病毒文件的守护进程;
清除所述守护进程,并对所述进程文件进行病毒查杀处理。
优选地,所述清除所述病毒进程,并根据所述存储路径对所述病毒文件进行查杀的步骤之后,所述方法还包括:
监控安全外壳协议SSH登录列表,确定是否有公网IP地址登录成功;
若有公网IP地址登录成功,则监控在预设周期内所述病毒文件是否被重新创建;
若在预设周期内所述病毒文件被重新创建,则将所述公开IP地址添加到黑名单,并进行预警提醒。
优选地,所述根据所述危害标识信息确定待监控IP地址的步骤,包括:
根据所述危害标识信息确定所述恶意流量的类型;
若所述恶意流量的类型为恶意域名,则将所述恶意域名对应的IP地址重定向至预设固定IP地址,并将所述预设固定IP地址作为所述待监控IP地址;
若所述恶意流量的类型为恶意IP地址,则将所述恶意IP地址作为所述待监控IP地址。
优选地,所述根据所述待监控IP地址确定所述恶意流量对应的病毒进程的步骤,包括:
遍历TCP连接池中的TCP连接,筛选出与所述待监控IP地址对应的TCP连接;
根据筛选出的所述TCP连接,确定所述恶意流量对应的病毒进程。
优选地,所述清除所述病毒进程,并根据所述存储路径对所述病毒文件进行查杀的步骤之后,所述方法还包括:
监控在预设周期内是否接收到所述安全网关针对所述恶意流量作出的报警信息;
若在预设周期内未接收到所述报警信息,则确定所述病毒文件被彻底查杀。
此外,为实现上述目的,本发明还提出一种病毒查杀装置,所述装置包括:
接收模块,用于接收安全网关所检测的恶意流量对应的危害标识信息;
第一确定模块,用于根据所述危害标识信息确定待监控IP地址;
第二确定模块,用于根据所述待监控IP地址确定所述恶意流量对应的病毒进程;
第三确定模块,用于根据所述病毒进程的进程标识信息,确定所述病毒进程对应的病毒文件和所述病毒文件的存储路径;
查杀模块,用于清除所述病毒进程,并根据所述存储路径对所述病毒文件进行查杀。
此外,为实现上述目的,本发明还提出一种病毒查杀设备,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的病毒查杀程序,所述病毒查杀程序配置为实现如上文所述的病毒查杀方法的步骤。
此外,为实现上述目的,本发明还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有病毒查杀程序,所述病毒查杀程序被处理器执行时实现如上文所述的病毒查杀方法的步骤。
本发明提供的病毒查杀方案,通过根据恶意流量的危害标识信息定位恶意流量对应的待监控IP地址,进而根据确定的待监控IP地址确定恶意流量对应的病毒进程,然后根据确定的病毒进程的进程标识信息确定需要查杀的病毒文件和该病毒文件的存储路径,从而能够准确的确定病毒的源头,最终通过清除病毒进程,以及根据存储路径对病毒文件进行查杀的方式,实现了从源头上对病毒进行查杀,从而大大提升了对病毒的查杀效果。
此外,由于本发明提供的病毒查杀方案,是通过定位病毒进程,进而定位病毒文件的,整个查杀过程无需考虑病毒类型和格式,从而可以更好的应用于各种场景,对各类病毒进行快速、有效的查杀。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的病毒查杀设备的结构示意图;
图2为本发明病毒查杀方法第一实施例的流程示意图;
图3为本发明病毒查杀方法第二实施例查杀守护进程及对应进程文件的流程示意图;
图4为本发明病毒查杀方法第二实施例监控SSH登录列表并进行相应处理的流程示意图;
图5为本发明病毒查杀方法第二实施例的闭环示意图;
图6为本发明病毒查杀装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的病毒查杀设备结构示意图。
如图1所示,该病毒查杀设备可以包括:处理器1001,例如中央处理器(CentralProcessing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对病毒查杀设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及病毒查杀程序。
在图1所示的病毒查杀设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明病毒查杀设备中的处理器1001、存储器1005可以设置在病毒查杀设备中,所述病毒查杀设备通过处理器1001调用存储器1005中存储的病毒查杀程序,并执行本发明实施例提供的病毒查杀方法。
本发明实施例提供了一种病毒查杀方法,参照图2,图2为本发明一种病毒查杀方法第一实施例的流程示意图。
本实施例中,所述病毒查杀方法包括以下步骤:
步骤S00,接收安全网关所检测的恶意流量对应的危害标识信息。
具体的说,本实施例的病毒查杀方法主要是针对Linux系统的终端设备的,因而查杀的病毒主要为Linux类型的病毒。
相应地,在本实施例中,执行主体具体可以是预先部署在上述类型的终端设备中能够执行本实施例提供的病毒查杀方法的终端安全软件,或其他脚本程序等,此处不做限制。
此外,上述所说的Linux类型的病毒,目前主要分为:Shell脚本病毒、蠕虫病毒、欺骗库病毒、与平台兼容的病毒等几种类型,此处不再一一列举,对此也不做限制。
此外,需要说明的是,上述所说的危害标识信息,即Indicator of compromise(简称:IOC),其作用主要是为了帮助上述所说的终端安全软件等识别Linux系统或网络上潜在的恶意活动,如未经授权恶意访问某些数据、开启某些程序等。
此外,应当理解的是,上述所说的恶意流量,即为非法的、未经授权的,或者说存在潜在风险的一些活动的请求、操作等。
步骤S10,根据所述危害标识信息确定待监控IP地址。
具体的说,由于在实际应用中安全网关所检测到的恶意流量可能是恶意域名,也可能是恶意IP地址。而对于恶意流量是恶意域名的情况,由于其对应的IP地址是动态的,因此往往无法直接监控。为了解决这一问题,实现对任意类型恶意流量的监控,本实施例给出了一种根据恶意流量的IOC确定待监控IP地址的具体方式,大致如下:
首先,根据所述危害标识信息确定所述恶意流量的类型,即根据接收到的安全网关检测的所述恶意流量的IOC,确定所述恶意流量的类型是恶意域名,还是恶意IP地址。
接着,若根据所述危害标识信息确定所述恶意流量的类型为恶意域名,则将所述恶意域名对应的IP地址重定向至预设固定IP地址,并将重定向后的所述预设固定IP地址作为所述待监控IP地址;若根据所述危害标识信息确定所述恶意流量的类型为恶意IP地址,则直接将所述恶意IP地址作为所述待监控IP地址。
需要说明的是,在本实施例中,上述所说的重定向操作,具体是通过修改恶意域名对应的没有扩展名的系统文件(及通常所说的hosts文件),在hosts文件中将恶意域名对应的IP地址固定设置为所述预设固定IP地址。
相应地,上述所说的预设固定IP地址,具体可以由本领域技术人员根据需要预先设置,此次不做限制。
此外,上述所说的IP地址,不论是待监控IP地址,还是恶意IP地址,还是预设固定IP地址,均指的是通常所说的互联网协议(InternetProtocol,IP)地址,其主要是分配给用户上网使用的网际协议的设备的数字标签。
此外,通过上述描述不难发现,本实施例通过对恶意域名进行重定向操作,为恶意域名分配固定的IP地址,从而大大方便了后续的监控,并且通过重定向操作,可以通过为恶意域名分配不存在的IP地址,进而阻止病毒通信。
步骤S20,根据所述待监控IP地址确定所述恶意流量对应的病毒进程。
具体的说,上述所说的病毒进程,即通常所说的木马进程。
此外,值得一提的是,由于在实际应用中,病毒进程与待监控IP地址的通信主要是采用传输控制协议(Transmission Control Protocol,TCP)的方式。因而,在根据所述待监控IP地址确定所述恶意流量对应的病毒进程时,只需确定所述待监控IP地址对应的TCP连接,然后根据确定的TCP连接即可确定所述恶意流量对应的病毒进程。
为了便于理解,以下对确定病毒进程的方式,进行具体说明:
由于在实际应用中,一台终端设备中启动的TCP连接会有多个,因而在确定所述待监控IP地址对应的TCP连接时,具体是通过遍历TCP连接池中存在的TCP连接,进而筛选出与所述待监控IP地址对应的TCP连接,然后根据筛选出的所述TCP连接确定所述恶意流量对应的病毒进程即可。
在实际应用中,由于根据TCP链接定位病毒进程的原理与网络信息统计(netstat)监控命令相似,本领域技术人员在实现时可以参考netstat监控命令的实现原理,本实施例对此不再赘述。
步骤S30,根据所述病毒进程的进程标识信息,确定所述病毒进程对应的病毒文件和所述病毒文件的存储路径。
具体的说,上述所说的进程标识信息,即为Process Identification(简称:PID)。
所谓PID,就是进程的身份标识,具体是在程序运行时,由系统自动分配给进程的一个独一无二,用于标识进程唯一性的标识信息。
需要说明的是,在本实施例中所述PID主要记录了病毒进程的命令行、文件路径、内存数据等信息。
故而,在确定病毒进程后,直接根据病毒进程的PID即可确定病毒进程对应的病毒文件和所述病毒文件的存储路径。
步骤S40,清除所述病毒进程,并根据所述存储路径对所述病毒文件进行查杀。
具体的说,本实例中所说的清除所述病毒进程,即终止所述病毒进程,使其无法在进行后续通信工作。
此外,关于上述所说的对病毒文件进行的查杀操作,在具体应用中,可以根据实际情况分为清除、隔离、删除等几种操作。
所谓清除,是指将病毒代码从文件中剥离出来,单独清除病毒代码。
所谓隔离,是指在无法将病毒代码从文件中剥离出来时,对病毒文件进行加密处理后,单独存储到另一个独立区域,防止病毒发作。
所谓删除,是指在无法将病毒代码从文件中剥离出来时,直接将携带有病毒代码的文件整个删除。
需要说明的是,在实际应用中,关于隔离或删除的选取,具体可以视情况而定,比如说如果将携带有病毒代码的文件整个删除,不会影响系统的正常工作,则可以直接删除;否则,建议采用隔离的方式。
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在实际应用中,本领域技术人员可以根据需要进行设置,此处不做限制。
通过上述描述不难发现,本实施例提供的病毒查杀方法,通过根据恶意流量的危害标识信息定位恶意流量对应的待监控IP地址,进而根据确定的待监控IP地址确定恶意流量对应的病毒进程,然后根据确定的病毒进程的进程标识信息确定需要查杀的病毒文件和该病毒文件的存储路径,从而能够准确的确定病毒的源头,最终通过清除病毒进程,以及根据存储路径对病毒文件进行查杀的方式,实现了从源头上对病毒进行查杀,从而大大提升了对病毒的查杀效果。
此外,由于本实施例提供的病毒查杀方法,是通过定位病毒进程,进而定位病毒文件的,整个查杀过程无需考虑病毒类型和格式,从而可以更好的应用于各种场景,对各类病毒进行快速、有效的查杀。
此外,在实际应用中,为了确保根据上述病毒查杀方法进行查杀后的病毒文件中的病毒被彻底查杀,在执行完上述步骤S40之后,还可以继续监控在预设周期,比如30分钟内是否接收到所述安全网关针对所述恶意流量作出的报警信息。
相应地,若在预设周期内未接收到所述报警信息,则可以确定所述病毒文件被彻底查杀。
通过这种端网联动(安全网关设备与上述所说的终端安全软件之间的联动)的方式,不仅实现了对Linux环境下病毒的检测,还实习对病毒的彻底查杀,进一步提升了对病毒的查杀效果。
此外,值得一提的是,由于在实际应用中,为了实现持久化攻击,病毒一般会创建定时任务来定时下载、创建病毒文件。因此,为了防止病毒文件被反复创建,影响查杀效果,在执行完上述步骤S40之后,还可以根据所述存储路径确定所述病毒文件对应的病毒字符串,然后根据所述病毒字符串确定是否存在用于创建所述病毒文件的定时任务,进而在存在用于创建所述病毒文件的定时任务时,将所述定时任务删除,从源头上放置病毒文件被再次创建。
关于确定是否存在创建病毒文件的定时任务的方式,大致可以如下:
首先,对当前存在的所有定时任务进行遍历;
然后,获取遍历到的定时任务对应的字符串;
接着,将所述字符串与所述病毒字符串进行对比;
最后,若所述字符串与所述病毒字符串匹配,则确定所述字符串对应的定时任务是用于创建所述病毒文件的定时任务。
通过上述方式,将当前存在的所有定时任务遍历完后,即可筛选出所有能够创建所述病毒文件的定时任务,然后对筛选出的定时任务进行删除,从而防止被查杀的病毒文件被再次创建。
此外,值得一提的是,关于上述所说的病毒字符串,在实际应用中会随病毒文件的不同而有所变化,即并非是固定的。为了便于识别,并方便后续对比,可以直接选取病毒文件对应的存储路径来作为该病毒文件对应的病毒字符串。
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在实际应用中,本领域技术人员可以根据需要设置,此处不做限制。
基于上述病毒查杀方法的第一实施例,提出本发明病毒查杀方法的第二实施例。
本实施例提供的病毒查杀方法,主要在清除所述病毒进程,并根据所述存储路径对所述病毒文件进行查杀的操作之后,进行了对守护进程的搜索,以及对守护进程和守护进程对应的进程文件的查杀处理,详见图3所示。
进一步地,在本实施例中,在清除所述病毒进程,并根据所述存储路径对所述病毒文件进行查杀的操作之后,还可以对SSH登录列表进行监控,并根据监控结果进行相应处理,详见图4。
为了便于理解上述两种改进方案,以下结合图3和图4分别进行说明:
参考图3,关于在步骤S40之后,进行的对守护进程的搜索,以及对守护进程和守护进程对应的进程文件的查杀处理,具体为:
步骤S50,根据所述病毒进程,追溯所述恶意流量对应的父进程。
具体的说,在实际应用中,追溯父进程的方式可以通过所述病毒进程反向追踪的方式逐个确认,进而定位所述恶意流量对应的父进程。
步骤S60,根据所述父进程和所述病毒进程,确定所述恶意流量对应的进程链。
应当理解的是,上述所说的进程链实质为以父进程为起点,以病毒进程为终点,中间穿插了其他进程所构成的一条进程链。故而,在确定父进程后,只需根据父进程和病毒进程将与这两个相关联的进程筛选出来,然后按照顺序进行关联,即可得到所述恶意流量对应的进程链。
步骤S70,对所述进程链中的各进程进行监控,确定当前被执行的进程和所述进程访问的进程文件。
具体的说,在本实施例中确定当前被执行的进程和所述进程访问的进程文件的方式,具体是通过循环调用strace -T -tt -e strace=full,即strace命令实现的。
所谓strace命令,其作用主要是用来跟踪进程执行时的系统调用和所接收的信号的,故而根据该命令即可获知进程链中当前时刻被执行的进程,以及每个进程被执行时的具体情况和具体信息,从而根据这些信息确定当前被执行的进程所访问的进程文件。
步骤S80,检测所述进程文件中是否存在所述存储路径。
具体的说,若通过检测,发现当前进程文件中存在所述病毒文件对应的存储路径,则执行步骤S90;若通过检测,发现当前进程文件中不存在所述病毒文件对应的存储路径,则返回步骤S70,继续对所述进程链中的其他进程进行监控,进而确定下一时刻被执行的进程和对应的进程文件,以便再次对新确定的进程文件进行检测。
此外,值得一提的是,关于上述步骤S80中所说的检测所述进程文件中是否存在所述存储路径的操作,具体可以通过调用lsof命令实现。
应当理解的是,由于lsof命令的原理是可以枚举一个进程所打开的所有进程文件,故而通过lsof命令即可实现对当前被执行的进程对应的所有进程文件的遍历,进而确定哪些进程文件中存在所述存储路径。
步骤S90,确定当前被执行的所述进程为用于创建所述病毒文件的守护进程。
步骤S100,清除所述守护进程,并对所述进程文件进行病毒查杀处理。
相应地,此处所说的对守护进程的清除,与上述步骤S40中所说的对病毒进程的清除类似,此处不再赘述。
相应地,对进程文件进行的病毒查杀处理,也与上述步骤S40中所说的对病毒文件进行的病毒查杀处理类型,此处也不再赘述。
此外,值得一提的是,由于上述对进程链的遍历以及监控,会影响系统性能,故而在实际应用中,可以根据病毒的守护时间(通常在2分钟~5分钟左右),设置一个合理的监控时长,比如10分钟,如果在10分钟内,病毒文件没有被重新创建,则说明已经没有用于创建所述病毒文件的守护进程了。
通过上述描述不难发现,本实施例中,在执行完步骤S40之后,通过追溯恶意流量对应的父进程,根据父进程和病毒进程确定恶意流量对应的进程链,进而通过对整个进程链的监控,筛选出用于创建病毒文件的守护进程,最终通过对守护进程的清除,以及对守护进程对应的进程文件的查杀处理,实现了对病毒源的彻底清除,进一步提升了病毒查杀效果。
参考图4,关于在步骤S40之后,对SSH登录列表进行监控,并根据监控结果进行的相应处理,具体为:
步骤S50',监控安全外壳协议SSH登录列表,确定是否有公网IP地址登录成功。
具体的说,若有公网IP地址登录成功,则执行步骤S60';若无公网IP地址登录成功,则继续对SSH登录列表进程监控。
步骤S60',监控在预设周期内所述病毒文件是否被重新创建。
具体的说,若在预设周期内所述病毒文件被重新创建,则执行步骤S70';否则,继续执行当前步骤。
步骤S70',将所述公开IP地址添加到黑名单,并进行预警提醒。
具体的说,上述所说的预警提醒,可以是通过预设的通信方式,如邮箱、手机号码、即时通讯账号等,向对应的用户发送预警信息,告知用户该终端设备存在弱密码情况,需要及时修改密码。
此外,值得一提的是,在步骤S40之后,之所以要执行上述步骤S50'至步骤S70'中的操作,是因为在实际应用中,SSH爆破是Linux类型病毒最常用的传播搜到。因此,对应存在弱密码(即密码简单,容易破解)的终端设备,就很容易被其他感染了Linux类型病毒的终端设备通过SSH爆破的方式感染病毒。故而,本实施在执行完上述步骤S40之后,通过执行步骤S50'至步骤S70'中的操作,能够及时阻止这一现象的发生。
进一步地,在实际应用中,如果被查杀处理后的所述病毒文件已经被重新创建了,在将所述公开IP地址添加到黑名单,并进行预警提醒之后,同样需要采用步骤S40中所说的几种方式,对重新创建的所述病毒文件进行查杀。
通过上述病毒查杀方法的第一实施例和第二实施例所描述的内容可知,本发明提供的病毒查杀方法实质是一个闭环形式的病毒查杀方案,详见图5示出的病毒查杀方法的闭环示意图。
由于,图5示出的每条执行流程,均已在上述实施例中有所记载,故而此处不再赘述。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有病毒查杀程序,所述病毒查杀程序被处理器执行时实现如上文所述的病毒查杀方法的步骤。
参照图6,图6为本发明病毒查杀装置第一实施例的结构框图。
如图6所示,本发明实施例提出的病毒查杀装置包括:接收模块6001、第一确定模块6002、第二确定模块6003、第三确定模块6004和查杀模块6005。
其中,接收模块6001,用于接收安全网关所检测的恶意流量对应的危害标识信息;第一确定模块6002,用于根据所述危害标识信息确定待监控IP地址;第二确定模块6003,用于根据所述待监控IP地址确定所述恶意流量对应的病毒进程;第三确定模块6004,用于根据所述病毒进程的进程标识信息,确定所述病毒进程对应的病毒文件和所述病毒文件的存储路径;查杀模块6005,用于清除所述病毒进程,并根据所述存储路径对所述病毒文件进行查杀。
具体的说,由于在实际应用中安全网关所检测到的恶意流量可能是恶意域名,也可能是恶意IP地址。而对于恶意流量是恶意域名的情况,由于其对应的IP地址是动态的,因此往往无法直接监控。为了解决这一问题,实现对任意类型恶意流量的监控,本实施例给出了一种根据恶意流量的IOC确定待监控IP地址的具体方式,大致如下:
首先,根据所述危害标识信息确定所述恶意流量的类型,即根据接收到的安全网关检测的所述恶意流量的IOC,确定所述恶意流量的类型是恶意域名,还是恶意IP地址。
接着,若根据所述危害标识信息确定所述恶意流量的类型为恶意域名,则将所述恶意域名对应的IP地址重定向至预设固定IP地址,并将重定向后的所述预设固定IP地址作为所述待监控IP地址;若根据所述危害标识信息确定所述恶意流量的类型为恶意IP地址,则直接将所述恶意IP地址作为所述待监控IP地址。
需要说明的是,在本实施例中,上述所说的重定向操作,具体是通过修改恶意域名对应的没有扩展名的系统文件(及通常所说的hosts文件),在hosts文件中将恶意域名对应的IP地址固定设置为所述预设固定IP地址。
相应地,上述所说的预设固定IP地址,具体可以由本领域技术人员根据需要预先设置,此次不做限制。
此外,上述所说的IP地址,不论是待监控IP地址,还是恶意IP地址,还是预设固定IP地址,均指的是通常所说的互联网协议(InternetProtocol,IP)地址,其主要是分配给用户上网使用的网际协议的设备的数字标签。
此外,通过上述描述不难发现,本实施例通过对恶意域名进行重定向操作,为恶意域名分配固定的IP地址,从而大大方便了后续的监控,并且通过重定向操作,可以通过为恶意域名分配不存在的IP地址,进而阻止病毒通信。
此外,值得一提的是,由于在实际应用中,病毒进程与待监控IP地址的通信主要是采用传输控制协议(Transmission Control Protocol,TCP)的方式。因而,在根据所述待监控IP地址确定所述恶意流量对应的病毒进程时,只需确定所述待监控IP地址对应的TCP连接,然后根据确定的TCP连接即可确定所述恶意流量对应的病毒进程。
为了便于理解,以下对确定病毒进程的方式,进行具体说明:
由于在实际应用中,一台终端设备中启动的TCP连接会有多个,因而在确定所述待监控IP地址对应的TCP连接时,具体是通过遍历TCP连接池中存在的TCP连接,进而筛选出与所述待监控IP地址对应的TCP连接,然后根据筛选出的所述TCP连接确定所述恶意流量对应的病毒进程即可。
在实际应用中,由于根据TCP链接定位病毒进程的原理与网络信息统计(netstat)监控命令相似,本领域技术人员在实现时可以参考netstat监控命令的实现原理,本实施例对此不再赘述。
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对此不做限制。
此外,本实施例中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施例中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
通过上述描述不难发现,本实施例提供的病毒查杀装置,通过根据恶意流量的危害标识信息定位恶意流量对应的待监控IP地址,进而根据确定的待监控IP地址确定恶意流量对应的病毒进程,然后根据确定的病毒进程的进程标识信息确定需要查杀的病毒文件和该病毒文件的存储路径,从而能够准确的确定病毒的源头,最终通过清除病毒进程,以及根据存储路径对病毒文件进行查杀的方式,实现了从源头上对病毒进行查杀,从而大大提升了对病毒的查杀效果。
此外,由于本实施例提供的病毒查杀装置,是通过定位病毒进程,进而定位病毒文件的,整个查杀过程无需考虑病毒类型和格式,从而可以更好的应用于各种场景,对各类病毒进行快速、有效的查杀。
此外,在实际应用中,为了确保根据上述病毒查杀方法进行查杀后的病毒文件中的病毒被彻底查杀,所述病毒查杀装置还可以包括监控模块。
相应地,所述监控模块,用于在所述查杀模块执行完清除所述病毒进程,并根据所述存储路径对所述病毒文件进行查杀的操作之后,监控在预设周期,比如30分钟内是否接收到所述安全网关针对所述恶意流量作出的报警信息。
相应地,若在预设周期内未接收到所述报警信息,则可以确定所述病毒文件被彻底查杀。
通过这种端网联动(安全网关设备与上述所说的终端安全软件之间的联动)的方式,不仅实现了对Linux环境下病毒的检测,还实习对病毒的彻底查杀,进一步提升了对病毒的查杀效果。
此外,值得一提的是,由于在实际应用中,为了实现持久化攻击,病毒一般会创建定时任务来定时下载、创建病毒文件。因此,为了防止病毒文件被反复创建,影响查杀效果,所述查杀模块执行完清除所述病毒进程,并根据所述存储路径对所述病毒文件进行查杀的操作之后,还可以根据所述存储路径确定所述病毒文件对应的病毒字符串,然后根据所述病毒字符串确定是否存在用于创建所述病毒文件的定时任务,进而在存在用于创建所述病毒文件的定时任务时,将所述定时任务删除,从源头上放置病毒文件被再次创建。
关于确定是否存在创建病毒文件的定时任务的方式,大致可以如下:
首先,对当前存在的所有定时任务进行遍历;
然后,获取遍历到的定时任务对应的字符串;
接着,将所述字符串与所述病毒字符串进行对比;
最后,若所述字符串与所述病毒字符串匹配,则确定所述字符串对应的定时任务是用于创建所述病毒文件的定时任务。
通过上述方式,将当前存在的所有定时任务遍历完后,即可筛选出所有能够创建所述病毒文件的定时任务,然后对筛选出的定时任务进行删除,从而防止被查杀的病毒文件被再次创建。
此外,值得一提的是,关于上述所说的病毒字符串,在实际应用中会随病毒文件的不同而有所变化,即并非是固定的。为了便于识别,并方便后续对比,可以直接选取病毒文件对应的存储路径来作为该病毒文件对应的病毒字符串。
需要说明的是,以上所描述的工作流程仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的,此处不做限制。
另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的病毒查杀方法,此处不再赘述。
基于上述病毒查杀装置的第一实施例,提出本发明病毒查杀装置第二实施例。
在本实施例中,所述病毒查杀装置还可以包括:守护进程处理模块。
具体的说,所述守护进程处理模块,用于在所述查杀模块执行完清除所述病毒进程,并根据所述存储路径对所述病毒文件进行查杀的操作之后,执行以下操作:
根据所述病毒进程,追溯所述恶意流量对应的父进程;
根据所述父进程和所述病毒进程,确定所述恶意流量对应的进程链;
对所述进程链中的各进程进行监控,确定当前被执行的进程和所述进程访问的进程文件;
检测所述进程文件中是否存在所述存储路径;
若所述进程文件中存在所述存储路径,则确定当前被执行的所述进程为用于创建所述病毒文件的守护进程;
清除所述守护进程,并对所述进程文件进行病毒查杀处理。
通过上述描述不难发现,本实施例中通过设置守护进程处理模块,通过守护进程处理模块追溯恶意流量对应的父进程,根据父进程和病毒进程确定恶意流量对应的进程链,进而通过对整个进程链的监控,筛选出用于创建病毒文件的守护进程,最终通过对守护进程的清除,以及对守护进程对应的进程文件的查杀处理,实现了对病毒源的彻底清除,进一步提升了病毒查杀效果。
进一步地,在实际应用中,所述病毒查杀装置还可以包括:SSH监控模块。
具体的说,所述SSH监控模块,用于在所述查杀模块执行完清除所述病毒进程,并根据所述存储路径对所述病毒文件进行查杀的操作之后,执行以下操作:
监控安全外壳协议SSH登录列表,确定是否有公网IP地址登录成功;
若有公网IP地址登录成功,则监控在预设周期内所述病毒文件是否被重新创建;
若在预设周期内所述病毒文件被重新创建,则将所述公开IP地址添加到黑名单,并进行预警提醒。
需要说明的是,本实施例之所以要设置SSH监控模块,并执行上述操作,是因为在实际应用中,SSH爆破是Linux类型病毒最常用的传播搜到。因此,对应存在弱密码(即密码简单,容易破解)的终端设备,就很容易被其他感染了Linux类型病毒的终端设备通过SSH爆破的方式感染病毒。故而,本实施在所述查杀模块执行完清除所述病毒进程,并根据所述存储路径对所述病毒文件进行查杀的操作之后,通过设置SSH监控模块执行上述操作,能够及时阻止这一现象的发生。
进一步地,在实际应用中,如果被查杀处理后的所述病毒文件已经被重新创建了,在将所述公开IP地址添加到黑名单,并进行预警提醒之后,同样需要通知查杀模块对重新创建的所述病毒文件进行查杀。
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对此不做限制。
此外,本实施例中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施例中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
需要说明的是,以上所描述的工作流程仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的,此处不做限制。
另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的病毒查杀方法,此处不再赘述。
此外,需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器(Read Only Memory,ROM)/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种病毒查杀方法,其特征在于,所述方法包括以下步骤:
接收安全网关所检测的恶意流量对应的危害标识信息IOC;
根据所述危害标识信息确定待监控IP地址;
根据所述待监控IP地址确定所述恶意流量对应的病毒进程;
根据所述病毒进程的进程标识信息,确定所述病毒进程对应的病毒文件和所述病毒文件的存储路径;
清除所述病毒进程,并根据所述存储路径对所述病毒文件进行查杀。
2.如权利要求1所述的方法,其特征在于,所述根据所述病毒进程的进程标识信息,确定所述病毒进程对应的病毒文件和所述病毒文件的存储路径的步骤之后,所述方法还包括:
根据所述存储路径确定所述病毒文件对应的病毒字符串;
根据所述病毒字符串,确定是否存在用于创建所述病毒文件的定时任务;
若存在用于创建所述病毒文件的定时任务,则将所述定时任务删除。
3.如权利要求1所述的方法,其特征在于,所述清除所述病毒进程,并根据所述存储路径对所述病毒文件进行查杀的步骤之后,所述方法还包括:
根据所述病毒进程,追溯所述恶意流量对应的父进程;
根据所述父进程和所述病毒进程,确定所述恶意流量对应的进程链;
对所述进程链中的各进程进行监控,确定当前被执行的进程和所述进程访问的进程文件;
检测所述进程文件中是否存在所述存储路径;
若所述进程文件中存在所述存储路径,则确定当前被执行的所述进程为用于创建所述病毒文件的守护进程;
清除所述守护进程,并对所述进程文件进行病毒查杀处理。
4.如权利要求1所述的方法,其特征在于,所述清除所述病毒进程,并根据所述存储路径对所述病毒文件进行查杀的步骤之后,所述方法还包括:
监控安全外壳协议SSH登录列表,确定是否有公网IP地址登录成功;
若有公网IP地址登录成功,则监控在预设周期内所述病毒文件是否被重新创建;
若在预设周期内所述病毒文件被重新创建,则将所述公网IP地址添加到黑名单,并进行预警提醒。
5.如权利要求1至4任一项所述的方法,其特征在于,所述根据所述危害标识信息确定待监控IP地址的步骤,包括:
根据所述危害标识信息确定所述恶意流量的类型;
若所述恶意流量的类型为恶意域名,则将所述恶意域名对应的IP地址重定向至预设固定IP地址,并将所述预设固定IP地址作为所述待监控IP地址;
若所述恶意流量的类型为恶意IP地址,则将所述恶意IP地址作为所述待监控IP地址。
6.如权利要求5所述的方法,其特征在于,所述根据所述待监控IP地址确定所述恶意流量对应的病毒进程的步骤,包括:
遍历TCP连接池中的TCP连接,筛选出与所述待监控IP地址对应的TCP连接;
根据筛选出的所述TCP连接,确定所述恶意流量对应的病毒进程。
7.如权利要求1至4任一项所述的方法,其特征在于,所述清除所述病毒进程,并根据所述存储路径对所述病毒文件进行查杀的步骤之后,所述方法还包括:
监控在预设周期内是否接收到所述安全网关针对所述恶意流量作出的报警信息;
若在预设周期内未接收到所述报警信息,则确定所述病毒文件被彻底查杀。
8.一种病毒查杀装置,其特征在于,所述装置包括:
接收模块,用于接收安全网关所检测的恶意流量对应的危害标识信息;
第一确定模块,用于根据所述危害标识信息确定待监控IP地址;
第二确定模块,用于根据所述待监控IP地址确定所述恶意流量对应的病毒进程;
第三确定模块,用于根据所述病毒进程的进程标识信息,确定所述病毒进程对应的病毒文件和所述病毒文件的存储路径;
查杀模块,用于清除所述病毒进程,并根据所述存储路径对所述病毒文件进行查杀。
9.一种病毒查杀设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的病毒查杀程序,所述病毒查杀程序配置为实现如权利要求1至7中任一项所述的病毒查杀方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有病毒查杀程序,所述病毒查杀程序被处理器执行时实现如权利要求1至7任一项所述的病毒查杀方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911250615.9A CN110717183B (zh) | 2019-12-09 | 2019-12-09 | 病毒查杀方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911250615.9A CN110717183B (zh) | 2019-12-09 | 2019-12-09 | 病毒查杀方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110717183A true CN110717183A (zh) | 2020-01-21 |
CN110717183B CN110717183B (zh) | 2020-10-27 |
Family
ID=69216624
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911250615.9A Active CN110717183B (zh) | 2019-12-09 | 2019-12-09 | 病毒查杀方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110717183B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111723372A (zh) * | 2020-06-22 | 2020-09-29 | 深信服科技股份有限公司 | 一种病毒查杀方法、装置及计算机可读存储介质 |
CN111783089A (zh) * | 2020-06-08 | 2020-10-16 | Oppo广东移动通信有限公司 | 一种追溯恶意进程的方法、装置及存储介质 |
CN111786964A (zh) * | 2020-06-12 | 2020-10-16 | 深信服科技股份有限公司 | 网络安全检测方法、终端及网络安全设备 |
CN112163221A (zh) * | 2020-09-22 | 2021-01-01 | 珠海市魅族科技有限公司 | 病毒检测查杀方法、装置、介质和电子设备 |
CN112528285A (zh) * | 2020-12-18 | 2021-03-19 | 南方电网电力科技股份有限公司 | 云计算平台的安全防护方法、装置、电子设备及存储介质 |
CN113190848A (zh) * | 2021-04-27 | 2021-07-30 | 顶象科技有限公司 | 病毒数据的检测方法、装置以及电子设备 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101393591A (zh) * | 2008-10-27 | 2009-03-25 | 中国科学院计算技术研究所 | 一种发现未知usb病毒的方法及系统 |
CN102457495A (zh) * | 2010-10-21 | 2012-05-16 | 中华电信股份有限公司 | 网络病毒防护方法及系统 |
CN102521099A (zh) * | 2011-11-24 | 2012-06-27 | 深圳市同洲视讯传媒有限公司 | 一种进程监控方法及进程监控系统 |
CN102867146A (zh) * | 2012-09-18 | 2013-01-09 | 珠海市君天电子科技有限公司 | 一种防止计算机病毒反复感染系统的方法及系统 |
CN102882875A (zh) * | 2012-09-29 | 2013-01-16 | 北京奇虎科技有限公司 | 主动防御方法及装置 |
CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
CN102932329A (zh) * | 2012-09-26 | 2013-02-13 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
CN105491060A (zh) * | 2015-12-30 | 2016-04-13 | 北京神州绿盟信息安全科技股份有限公司 | 防御分布式拒绝服务攻击的方法、装置、客户端及设备 |
CN106156610A (zh) * | 2016-06-29 | 2016-11-23 | 北京金山安全软件有限公司 | 一种进程路径获取方法、装置和电子设备 |
CN109936560A (zh) * | 2018-12-27 | 2019-06-25 | 上海银行股份有限公司 | 恶意软件防护方法及装置 |
CN110414236A (zh) * | 2019-07-26 | 2019-11-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种恶意进程的检测方法及装置 |
CN110493165A (zh) * | 2018-06-29 | 2019-11-22 | 厦门白山耘科技有限公司 | 自动确定恶意网络进程的方法、装置及网络入侵检测系统 |
-
2019
- 2019-12-09 CN CN201911250615.9A patent/CN110717183B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101393591A (zh) * | 2008-10-27 | 2009-03-25 | 中国科学院计算技术研究所 | 一种发现未知usb病毒的方法及系统 |
CN102457495A (zh) * | 2010-10-21 | 2012-05-16 | 中华电信股份有限公司 | 网络病毒防护方法及系统 |
CN102521099A (zh) * | 2011-11-24 | 2012-06-27 | 深圳市同洲视讯传媒有限公司 | 一种进程监控方法及进程监控系统 |
CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
CN102867146A (zh) * | 2012-09-18 | 2013-01-09 | 珠海市君天电子科技有限公司 | 一种防止计算机病毒反复感染系统的方法及系统 |
CN102932329A (zh) * | 2012-09-26 | 2013-02-13 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
CN102882875A (zh) * | 2012-09-29 | 2013-01-16 | 北京奇虎科技有限公司 | 主动防御方法及装置 |
CN105491060A (zh) * | 2015-12-30 | 2016-04-13 | 北京神州绿盟信息安全科技股份有限公司 | 防御分布式拒绝服务攻击的方法、装置、客户端及设备 |
CN106156610A (zh) * | 2016-06-29 | 2016-11-23 | 北京金山安全软件有限公司 | 一种进程路径获取方法、装置和电子设备 |
CN110493165A (zh) * | 2018-06-29 | 2019-11-22 | 厦门白山耘科技有限公司 | 自动确定恶意网络进程的方法、装置及网络入侵检测系统 |
CN109936560A (zh) * | 2018-12-27 | 2019-06-25 | 上海银行股份有限公司 | 恶意软件防护方法及装置 |
CN110414236A (zh) * | 2019-07-26 | 2019-11-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种恶意进程的检测方法及装置 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111783089A (zh) * | 2020-06-08 | 2020-10-16 | Oppo广东移动通信有限公司 | 一种追溯恶意进程的方法、装置及存储介质 |
CN111786964A (zh) * | 2020-06-12 | 2020-10-16 | 深信服科技股份有限公司 | 网络安全检测方法、终端及网络安全设备 |
CN111786964B (zh) * | 2020-06-12 | 2022-09-30 | 深信服科技股份有限公司 | 网络安全检测方法、终端及网络安全设备 |
CN111723372A (zh) * | 2020-06-22 | 2020-09-29 | 深信服科技股份有限公司 | 一种病毒查杀方法、装置及计算机可读存储介质 |
CN111723372B (zh) * | 2020-06-22 | 2024-02-23 | 深信服科技股份有限公司 | 一种病毒查杀方法、装置及计算机可读存储介质 |
CN112163221A (zh) * | 2020-09-22 | 2021-01-01 | 珠海市魅族科技有限公司 | 病毒检测查杀方法、装置、介质和电子设备 |
CN112528285A (zh) * | 2020-12-18 | 2021-03-19 | 南方电网电力科技股份有限公司 | 云计算平台的安全防护方法、装置、电子设备及存储介质 |
CN113190848A (zh) * | 2021-04-27 | 2021-07-30 | 顶象科技有限公司 | 病毒数据的检测方法、装置以及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN110717183B (zh) | 2020-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110717183B (zh) | 病毒查杀方法、装置、设备及存储介质 | |
US11709945B2 (en) | System and method for identifying network security threats and assessing network security | |
CN105991595B (zh) | 网络安全防护方法及装置 | |
CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
US11381578B1 (en) | Network-based binary file extraction and analysis for malware detection | |
US10417420B2 (en) | Malware detection and classification based on memory semantic analysis | |
CN105939326B (zh) | 处理报文的方法及装置 | |
CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
RU2726032C2 (ru) | Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga) | |
CN107347057B (zh) | 入侵检测方法、检测规则生成方法、装置及系统 | |
CN111737696A (zh) | 一种恶意文件检测的方法、系统、设备及可读存储介质 | |
US20230179631A1 (en) | System and method for detection of malicious interactions in a computer network | |
CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
CN113079151B (zh) | 一种异常处理方法、装置、电子设备及可读存储介质 | |
CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
CN111800405A (zh) | 检测方法及检测设备、存储介质 | |
CN111651754A (zh) | 入侵的检测方法和装置、存储介质、电子装置 | |
CN107666464B (zh) | 一种信息处理方法及服务器 | |
CN113098835A (zh) | 基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统 | |
CN112583841B (zh) | 虚拟机安全防护方法及系统、电子设备和存储介质 | |
CN111818030A (zh) | 一种恶意域名请求终端的快速定位处置方法及系统 | |
CN107517226B (zh) | 基于无线网络入侵的报警方法及装置 | |
CN114006772B (zh) | 一种反制黑客攻击的方法、装置、电子设备及存储介质 | |
CN107231365B (zh) | 一种取证的方法及服务器以及防火墙 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |