CN110781495A - 物联网分布式多级协同恶意代码检测方法、系统及装置 - Google Patents
物联网分布式多级协同恶意代码检测方法、系统及装置 Download PDFInfo
- Publication number
- CN110781495A CN110781495A CN201811579395.XA CN201811579395A CN110781495A CN 110781495 A CN110781495 A CN 110781495A CN 201811579395 A CN201811579395 A CN 201811579395A CN 110781495 A CN110781495 A CN 110781495A
- Authority
- CN
- China
- Prior art keywords
- malicious code
- cloud
- performance
- performance equipment
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出一种物联网分布式多级协同恶意代码检测方法、系统及装置,包括:根据物联网云管端架构内的设备性能,分别部署本地检测组件;若终端低性能设备检测到可疑样本,则将所述可疑样本上传到云端高性能设备中;若管端常规性能设备或云端高性能设备检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心;集中管理中心收集各设备上报的恶意代码特征,根据预设周期进行恶意代码流行度及威胁度评估,并将高流行度及威胁度的恶意代码的恶意代码特征下发到物联网云管端架构内的各设备中。本发明通过针对不同性能设备进行差异化部署检测,实现了不同性能节点的协同检测能力。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种物联网分布式多级协同恶意代码检测方法、系统及装置。
背景技术
物联网云-管-端架构具有独特性,设备性能差异大,终端轻载设备、管端网关设备、云端高性能设备,设备硬件性能差异大,对部署的恶意代码检测组件占用的内存、磁盘、扫描吞吐率有不同需求。物联网终端设备一般性能差,对检测组件占用的内存和CPU要求较低,流量侧网关设备对检测组件的检测速度要求较高,但目前针对物联网异构设备的恶意代码检测均采用部署同一套恶意代码检测组件的方法,定期进行病毒库的更新,无法做到针对不同性能设备进行差异化部署不同能力的检测组件,而且某些针对可联网的物联网设备常采用云检测的方式进行恶意代码检测,难以应对不能连接外网,无法进行云查杀的内网物联网设备。
发明内容
基于上述问题,本申请提出了一种物联网分布式多级协同恶意代码检测方法、系统及装置,通过弹性部署各物联网终端设备上的检测方式,实现物联网架构下各设备间互相协同的检测防护能力。
首先本发明提出一种物联网分布式多级协同恶意代码检测方法,包括:
根据物联网云管端架构内的设备性能,分别部署本地检测组件;
所述物联网云管端架构包括,至少一个云端高性能设备、至少一个管端常规性能设备及至少一个终端低性能设备;
若终端低性能设备检测到可疑样本,则将所述可疑样本上传到云端高性能设备中进行深度检测;
云端高性能设备获取终端低性能设备上传的可疑样本,并进行深度检测,若检测为恶意,则提取恶意代码特征,并上报集中管理中心;
集中管理中心收集云端高性能设备上报的可疑样本的恶意代码特征,并将所述恶意代码特征分发到物联网各设备中;
若管端常规性能设备或云端高性能设备检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心。
进一步的,所述根据物联网云管端架构内的设备性能,分别部署本地检测组件,具体为:在云端高性能设备上部署全特征库检测组件及深度分析组件;在管端常规性能设备上部署全特征库检测组件;在终端低性能设备上部署轻量级特征库及静态启发分析组件。
进一步的,还包括:集中管理中心根据预设周期进行恶意代码流行度及威胁度评估,并将高流行度及威胁度的恶意代码的恶意代码特征下发到物联网云管端架构内的各设备中。
进一步的,所述恶意代码流行度是指,恶意代码出现频率,若恶意代码出现频率高于预设值,则认为是高流行度恶意代码;所述恶意代码威胁度是指,恶意代码的核心行为对物联网内设备的威胁程度。
进一步的,所述集中管理中心部署在云端高性能设备中。
本发明还提出一种物联网分布式多级协同恶意代码检测方法,应用于云端高性能设备;
在云端高性能设备上部署全特征库检测组件及深度分析组件;
若云端高性能设备获取终端低性能设备上传的可疑样本,并进行深度检测,若检测为恶意,则提取恶意代码特征,并上报集中管理中心;
集中管理中心收集云端高性能设备上报的可疑样本的恶意代码特征,并将所述恶意代码特征分发到物联网各设备中;
若云端高性能设备检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心。
进一步的,还包括:集中管理中心根据预设周期进行恶意代码流行度及威胁度评估,并将高流行度及威胁度的恶意代码的恶意代码特征下发到物联网云管端架构内的各设备中。
本发明还提出一种物联网分布式多级协同恶意代码检测方法,应用于管端常规性能设备;
在管端常规性能设备上部署全特征库检测组件;
若所述管端常规性能设备检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心。
本发明提出一种物联网分布式多级协同恶意代码检测方法,应用于终端低性能设备;
在终端低性能设备上部署轻量级特征库及静态启发分析组件;
若终端低性能设备检测到可疑样本,则将所述可疑样本上传到云端高性能设备中进行深度检测。
相应的,本发明提出一种物联网分布式多级协同恶意代码检测系统,包括:至少一个云端高性能设备、至少一个管端常规性能设备及至少一个终端低性能设备;所述云端高性能设备、管端常规性能设备及终端低性能设备构成物联网云管端架构;
根据物联网云管端架构内的设备性能,分别部署本地检测组件;
若终端低性能设备检测到可疑样本,则将所述可疑样本上传到云端高性能设备中进行深度检测;
云端高性能设备获取终端低性能设备上传的可疑样本,并进行深度检测,若检测为恶意,则提取恶意代码特征,并上报集中管理中心;
集中管理中心收集云端高性能设备上报的可疑样本的恶意代码特征,并将所述恶意代码特征分发到物联网各设备中;
若管端常规性能设备或云端高性能设备检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心。
进一步的,还包括:集中管理中心根据预设周期进行恶意代码流行度及威胁度评估,并将高流行度及威胁度的恶意代码的恶意代码特征下发到物联网云管端架构内的各设备中。
进一步的,所述集中管理中心部署在云端高性能设备中。
本发明还提出一种物联网分布式多级协同恶意代码检测装置,应用于云端高性能设备,包括:存储器和处理器;
所述存储器可存储在处理器上运行的计算机程序;
所述处理器在运行计算机程序时,实现如下步骤:
云端高性能设备获取终端低性能设备上传的可疑样本,并进行深度检测,若检测为恶意,则提取恶意代码特征,并上报集中管理中心;
集中管理中心收集云端高性能设备上报的可疑样本的恶意代码特征,并将所述恶意代码特征分发到物联网各设备中;
若云端高性能设备检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心。
进一步的,所述集中管理中心还根据预设周期进行恶意代码流行度及威胁度评估,并将高流行度及威胁度的恶意代码的恶意代码特征下发到物联网云管端架构内的各设备中。
本发明提出一种物联网分布式多级协同恶意代码检测装置,应用于管端常规性能设备,包括:存储器和处理器;
所述存储器可存储在处理器上运行的计算机程序;
所述处理器在运行计算机程序时,实现如下步骤:
在管端常规性能设备上部署全特征库检测组件;
若所述管端常规性能设备检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心。
本发明最后提出一种物联网分布式多级协同恶意代码检测装置,应用于终端低性能设备,包括:存储器和处理器;
所述存储器可存储在处理器上运行的计算机程序;
所述处理器在运行计算机程序时,实现如下步骤:
在终端低性能设备上部署轻量级特征库及静态启发分析组件;
若终端低性能设备检测到可疑样本,则将所述可疑样本上传到云端高性能设备中进行深度检测。
本发明的优势在于,通过根据物联网云-管-端架构下设备性能差异大的问题,应对不同设备的计算资源,充分发挥或适应设备的计算资源,对不同性能的设备,弹性分布式部署不同检测能力的检测组件,再通过不同节点之间的协同检测能力,提高不同节点的检测效率。通过云端集中管理中心,将某一终端设备上检测到的恶意特征下发到物联网内全部设备中,实现由点及面的检测能力。同时,根据管端和云端的检测情况,集中管理中心定期评估恶意代码的流行度和威胁度,能够将流行或危害较大的特征下发到网内其他弱节点上,提高其对流行威胁的检测能力。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种物联网分布式多级协同恶意代码检测方法一实施例流程图;
图2为本发明一种物联网分布式多级协同恶意代码检测方法另一实施例流程图;
图3为本发明一种物联网分布式多级协同恶意代码检测方法再一实施例流程图;
图4为本发明一种物联网分布式多级协同恶意代码检测系统实施例结构示意图;
图5为本发明一种物联网分布式多级协同恶意代码检测装置实施例结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本申请提出了一种物联网分布式多级协同恶意代码检测方法、系统及装置,通过弹性部署各物联网终端设备上的检测方式,实现物联网架构下各设备间互相协同的检测防护能力。
弹性部署的原因在于,物联网设备性能差异大,由不同性能的强弱设备组成,包括终端轻载设备、管端网关设备、云端高性能设备;针对不同的性能设备和场景部署不同检测能力的本地检测组件,如终端弱性能设备部署可实施快速特征匹配的轻量级特征库(流行特征)检测组件,网关设备部署全特征库检测组件和静态启发分析组件、云端高性能服务器部署全特征库检测组件和深度分析组件。采用协同检测的原因在于,集中管理中心通过收集“强”节点(如云端高性能服务器或流量侧网关设备)的全检测能力的检测特征,定期进行特征流行度评估和威胁度评估,将流行或危害度较大的特征下发或替代物联网“弱”节点(终端低性能设备)上的旧特征,提高弱节点应对流行病毒和危害度比较大的病毒的目的。
因此本发明首先提出一种物联网分布式多级协同恶意代码检测方法,如图1所示,包括:
S101:根据物联网云管端架构内的设备性能,分别部署本地检测组件;
所述物联网云管端架构包括,至少一个云端高性能设备、至少一个管端常规性能设备及至少一个终端低性能设备;
S102:若终端低性能设备检测到可疑样本,则将所述可疑样本上传到云端高性能设备中进行深度检测;
S103:云端高性能设备获取终端低性能设备上传的可疑样本,并进行深度检测,若检测为恶意,则提取恶意代码特征,并上报集中管理中心;
S104:集中管理中心收集云端高性能设备上报的可疑样本的恶意代码特征,并将所述恶意代码特征分发到物联网各设备中;
S105:若管端常规性能设备或云端高性能设备检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心。
进一步的,所述根据物联网云管端架构内的设备性能,分别部署本地检测组件,具体为:在云端高性能设备上部署全特征库检测组件及深度分析组件;在管端常规性能设备上部署全特征库检测组件;在终端低性能设备上部署轻量级特征库及静态启发分析组件。
进一步的,如图2所示,本发明还包括:S106集中管理中心根据预设周期进行恶意代码流行度及威胁度评估,并将高流行度及威胁度的恶意代码的恶意代码特征下发到物联网云管端架构内的各设备中。
流行度的评估方法有多种方式,如对一段时间内被不同设备的检测组件检出的特征进行统计排序,特征在一段时间内被不同设备的检测到的数量大于一定阈值,则认为流行。如特征A被设备1和设备2在最近一周内均被检测到,则认为该特征最近一周内流行。
威胁度评估的方式也存在多种,如根据恶意代码特征对应的恶意代码的核心行为来进行威胁度判定,假设主要分为非常危险、危险、普通、低四个威胁等级,如DDOS、后门、勒索等具有强破坏行为的恶意代码为非常危险;窃取、下载、释放等具有一定破坏作用的为危险;风险工具、远程管理等具有潜在破坏作用的为普通危险;弹广告、安装WEB工具栏等具有影响正常使用但不进行恶意破坏的为低危险。
通过上述内容可以了解,流行度评估和威胁度评估,应当根据对设备安全性的具体要求进行设定。
进一步的,所述恶意代码流行度是指,恶意代码出现频率,若恶意代码出现频率高于预设值,则认为是高流行度恶意代码;所述恶意代码威胁度是指,恶意代码的核心行为对物联网内设备的威胁程度。
进一步的,所述集中管理中心部署在云端高性能设备中。
本发明还提出一种物联网分布式多级协同恶意代码检测方法,应用于云端高性能设备,如图3所示,包括;
S301:在云端高性能设备上部署全特征库检测组件及深度分析组件;
S302:若云端高性能设备获取终端低性能设备上传的可疑样本,并进行深度检测,若检测为恶意,则提取恶意代码特征,并上报集中管理中心;
S303:集中管理中心收集云端高性能设备上报的可疑样本的恶意代码特征,并将所述恶意代码特征分发到物联网各设备中;
S304:若云端高性能设备检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心。
进一步的,还包括S305:集中管理中心根据预设周期进行恶意代码流行度及威胁度评估,并将高流行度及威胁度的恶意代码的恶意代码特征下发到物联网云管端架构内的各设备中。
本发明还提出一种物联网分布式多级协同恶意代码检测方法,应用于管端常规性能设备;
在管端常规性能设备上部署全特征库检测组件;
若所述管端常规性能设备检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心。
本发明提出一种物联网分布式多级协同恶意代码检测方法,应用于终端低性能设备;
在终端低性能设备上部署轻量级特征库及静态启发分析组件;
若终端低性能设备检测到可疑样本,则将所述可疑样本上传到云端高性能设备中进行深度检测。
相应的,本发明提出一种物联网分布式多级协同恶意代码检测系统,如图4所示,包括:至少一个云端高性能设备401、至少一个管端常规性能设备402及至少一个终端低性能设备403;所述云端高性能设备、管端常规性能设备及终端低性能设备构成物联网云管端架构;
根据物联网云管端架构内的设备性能,分别部署本地检测组件;
若终端低性能设备403检测到可疑样本,则将所述可疑样本上传到云端高性能设备401中进行深度检测;
云端高性能设备401获取终端低性能设备403上传的可疑样本,并进行深度检测,若检测为恶意,则提取恶意代码特征,并上报集中管理中心;
集中管理中心收集云端高性能设备上报的可疑样本的恶意代码特征,并将所述恶意代码特征分发到物联网各设备中;
若管端常规性能设备402或云端高性能设备401检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心。
进一步的,还包括:集中管理中心根据预设周期进行恶意代码流行度及威胁度评估,并将高流行度及威胁度的恶意代码的恶意代码特征下发到物联网云管端架构内的各设备中。
进一步的,所述集中管理中心部署在云端高性能设备中。
本发明还提出一种物联网分布式多级协同恶意代码检测装置,应用于云端高性能设备,如图5所示,包括:存储器501和处理器502;
所述存储器可存储在处理器上运行的计算机程序;
所述处理器在运行计算机程序时,实现如下步骤:
云端高性能设备获取终端低性能设备上传的可疑样本,并进行深度检测,若检测为恶意,则提取恶意代码特征,并上报集中管理中心;
集中管理中心收集云端高性能设备上报的可疑样本的恶意代码特征,并将所述恶意代码特征分发到物联网各设备中;
若云端高性能设备检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心。
进一步的,所述集中管理中心还根据预设周期进行恶意代码流行度及威胁度评估,并将高流行度及威胁度的恶意代码的恶意代码特征下发到物联网云管端架构内的各设备中。
本发明提出一种物联网分布式多级协同恶意代码检测装置,应用于管端常规性能设备,包括:存储器和处理器;所述装置结构可参看图5;
所述存储器可存储在处理器上运行的计算机程序;
所述处理器在运行计算机程序时,实现如下步骤:
在管端常规性能设备上部署全特征库检测组件;
若所述管端常规性能设备检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心。
本发明最后提出一种物联网分布式多级协同恶意代码检测装置,应用于终端低性能设备,包括:存储器和处理器;所述装置结构可参看图5;
所述存储器可存储在处理器上运行的计算机程序;
所述处理器在运行计算机程序时,实现如下步骤:
在终端低性能设备上部署轻量级特征库及静态启发分析组件;
若终端低性能设备检测到可疑样本,则将所述可疑样本上传到云端高性能设备中进行深度检测。
基于上述技术方案可以了解,本申请提出了针对物联网不同设备进行分布式协同检测的方法,通过分布式协同检测的机制,在单点发现恶意样本的情况下,可以快速下发恶意特征到其他设备节点,提高所有设备节点对新恶意代码的快速检测能力;同时,通过对节点上报的恶意特征的收集汇总,定期进行流行度评估和威胁度评估,将流行或威胁度较大的特征下发或替代物联网终端低性能设备上的就特征,提高弱节点应对流行恶意代码和危害较大恶意代码的检测能力。
本发明的优势在于,通过根据物联网云-管-端架构下设备性能差异大的问题,应对不同设备的计算资源,充分发挥或适应设备的计算资源,对不同性能的设备,弹性分布式部署不同检测能力的检测组件,再通过不同节点之间的协同检测能力,提高不同节点的检测效率。通过云端集中管理中心,将某一终端设备上检测到的恶意特征下发到物联网内全部设备中,实现由点及面的检测能力。同时,根据管端和云端的检测情况,集中管理中心定期评估恶意代码的流行度和威胁度,能够将流行或危害较大的特征下发到网内其他弱节点上,提高其对流行威胁的检测能力。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (16)
1.一种物联网分布式多级协同恶意代码检测方法,其特征在于,包括:
根据物联网云管端架构内的设备性能,分别部署本地检测组件;
所述物联网云管端架构包括,至少一个云端高性能设备、至少一个管端常规性能设备及至少一个终端低性能设备;
若终端低性能设备检测到可疑样本,则将所述可疑样本上传到云端高性能设备中进行深度检测;
云端高性能设备获取终端低性能设备上传的可疑样本,并进行深度检测,若检测为恶意,则提取恶意代码特征,并上报集中管理中心;
集中管理中心收集云端高性能设备上报的可疑样本的恶意代码特征,并将所述恶意代码特征分发到物联网各设备中;
若管端常规性能设备或云端高性能设备检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心。
2.如权利要求1所述的方法,其特征在于,所述根据物联网云管端架构内的设备性能,分别部署本地检测组件,具体为:在云端高性能设备上部署全特征库检测组件及深度分析组件;在管端常规性能设备上部署全特征库检测组件;在终端低性能设备上部署轻量级特征库及静态启发分析组件。
3.如权利要求1所述的方法,其特征在于,还包括:集中管理中心根据预设周期进行恶意代码流行度及威胁度评估,并将高流行度及威胁度的恶意代码的恶意代码特征下发到物联网云管端架构内的各设备中。
4.如权利要求3所述的方法,其特征在于,所述恶意代码流行度是指,恶意代码出现频率,若恶意代码出现频率高于预设值,则认为是高流行度恶意代码;所述恶意代码威胁度是指,恶意代码的核心行为对物联网内设备的威胁程度。
5.如权利要求1至4所述的任一方法,其特征在于,所述集中管理中心部署在云端高性能设备中。
6.一种物联网分布式多级协同恶意代码检测方法,其特征在于,应用于云端高性能设备;
在云端高性能设备上部署全特征库检测组件及深度分析组件;
云端高性能设备获取终端低性能设备上传的可疑样本,并进行深度检测,若检测为恶意,则提取恶意代码特征,并上报集中管理中心;
集中管理中心收集云端高性能设备上报的可疑样本的恶意代码特征,并将所述恶意代码特征分发到物联网各设备中;
若云端高性能设备检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心。
7.如权利要求6所述的方法,其特征在于,还包括:集中管理中心根据预设周期进行恶意代码流行度及威胁度评估,并将高流行度及威胁度的恶意代码的恶意代码特征下发到物联网云管端架构内的各设备中。
8.一种物联网分布式多级协同恶意代码检测方法,其特征在于,应用于管端常规性能设备;
在管端常规性能设备上部署全特征库检测组件;
若所述管端常规性能设备检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心。
9.一种物联网分布式多级协同恶意代码检测方法,其特征在于,应用于终端低性能设备;
在终端低性能设备上部署轻量级特征库及静态启发分析组件;
若终端低性能设备检测到可疑样本,则将所述可疑样本上传到云端高性能设备中进行深度检测。
10.一种物联网分布式多级协同恶意代码检测系统,其特征在于,包括:至少一个云端高性能设备、至少一个管端常规性能设备及至少一个终端低性能设备;所述云端高性能设备、管端常规性能设备及终端低性能设备构成物联网云管端架构;
根据物联网云管端架构内的设备性能,分别部署本地检测组件;
若终端低性能设备检测到可疑样本,则将所述可疑样本上传到云端高性能设备中进行深度检测;
云端高性能设备获取终端低性能设备上传的可疑样本,并进行深度检测,若检测为恶意,则提取恶意代码特征,并上报集中管理中心;
集中管理中心收集云端高性能设备上报的可疑样本的恶意代码特征,并将所述恶意代码特征分发到物联网各设备中;
若管端常规性能设备或云端高性能设备检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心。
11.如权利要求10所述的系统,其特征在于,还包括:集中管理中心根据预设周期进行恶意代码流行度及威胁度评估,并将高流行度及威胁度的恶意代码的恶意代码特征下发到物联网云管端架构内的各设备中。
12.如权利要求11所述的系统,其特征在于,所述集中管理中心部署在云端高性能设备中。
13.一种物联网分布式多级协同恶意代码检测装置,其特征在于,应用于云端高性能设备,包括:存储器和处理器;
所述存储器可存储在处理器上运行的计算机程序;
所述处理器在运行计算机程序时,实现如下步骤:
云端高性能设备获取终端低性能设备上传的可疑样本,并进行深度检测,若检测为恶意,则提取恶意代码特征,并上报集中管理中心;
集中管理中心收集云端高性能设备上报的可疑样本的恶意代码特征,并将所述恶意代码特征分发到物联网各设备中;
若云端高性能设备检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心。
14.如权利要求13所述的装置,其特征在于,所述集中管理中心还根据预设周期进行恶意代码流行度及威胁度评估,并将高流行度及威胁度的恶意代码的恶意代码特征下发到物联网云管端架构内的各设备中。
15.一种物联网分布式多级协同恶意代码检测装置,其特征在于,应用于管端常规性能设备,包括:存储器和处理器;
所述存储器可存储在处理器上运行的计算机程序;
所述处理器在运行计算机程序时,实现如下步骤:
在管端常规性能设备上部署全特征库检测组件;
若所述管端常规性能设备检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心。
16.一种物联网分布式多级协同恶意代码检测装置,其特征在于,应用于终端低性能设备,包括:存储器和处理器;
所述存储器可存储在处理器上运行的计算机程序;
所述处理器在运行计算机程序时,实现如下步骤:
在终端低性能设备上部署轻量级特征库及静态启发分析组件;
若终端低性能设备检测到可疑样本,则将所述可疑样本上传到云端高性能设备中进行深度检测。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811579395.XA CN110781495A (zh) | 2018-12-24 | 2018-12-24 | 物联网分布式多级协同恶意代码检测方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811579395.XA CN110781495A (zh) | 2018-12-24 | 2018-12-24 | 物联网分布式多级协同恶意代码检测方法、系统及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110781495A true CN110781495A (zh) | 2020-02-11 |
Family
ID=69382963
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811579395.XA Withdrawn CN110781495A (zh) | 2018-12-24 | 2018-12-24 | 物联网分布式多级协同恶意代码检测方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110781495A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114172721A (zh) * | 2021-12-06 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 恶意数据防护方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103281301A (zh) * | 2013-04-28 | 2013-09-04 | 上海海事大学 | 云安全恶意程序判断系统及方法 |
| CN103500305A (zh) * | 2013-09-04 | 2014-01-08 | 中国航天科工集团第二研究院七〇六所 | 一种基于云计算的恶意代码分析系统和方法 |
| CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御系统 |
-
2018
- 2018-12-24 CN CN201811579395.XA patent/CN110781495A/zh not_active Withdrawn
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103281301A (zh) * | 2013-04-28 | 2013-09-04 | 上海海事大学 | 云安全恶意程序判断系统及方法 |
| CN103500305A (zh) * | 2013-09-04 | 2014-01-08 | 中国航天科工集团第二研究院七〇六所 | 一种基于云计算的恶意代码分析系统和方法 |
| CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御系统 |
Non-Patent Citations (1)
| Title |
|---|
| 陈晓天 等: "基于移动互联网云-管-端一体化的恶意软件解决及安全防护类产品实现方案", 《第二届全国信息安全等级保护技术大会会议论文集》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114172721A (zh) * | 2021-12-06 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 恶意数据防护方法、装置、电子设备及存储介质 |
| CN114172721B (zh) * | 2021-12-06 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 恶意数据防护方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10182070B2 (en) | System and method for detecting a compromised computing system | |
| EP3803655A1 (en) | Threat mitigation system and method | |
| US9621578B2 (en) | System and method for detecting network activity of interest | |
| Hu et al. | BAYWATCH: robust beaconing detection to identify infected hosts in large-scale enterprise networks | |
| US10015192B1 (en) | Sample selection for data analysis for use in malware detection | |
| US11552983B2 (en) | Threat mitigation system and method | |
| JP2013533554A (ja) | マルウェア検出に使用するカスタマイズされた信頼帯を作成するシステム及び方法 | |
| US9270689B1 (en) | Dynamic and adaptive traffic scanning | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
| CN110781495A (zh) | 物联网分布式多级协同恶意代码检测方法、系统及装置 | |
| CN110401664A (zh) | 恶意网络cc攻击防范的方法及装置 | |
| Schmitt | Advanced threat hunting over software-defined networks in smart cities | |
| Kim et al. | A hybrid static tool to increase the usability and scalability of dynamic detection of malware | |
| Samuel et al. | Intelligent Malware Detection System Based on Behavior Analysis in Cloud Computing Environment | |
| Roozbahani et al. | Service Oriented Approach to Improve the Power of Snorts | |
| LaCurts et al. | 9th USENIX Symposium on Networked Systems Design and Implementation 94 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road) Applicant after: Antan Technology Group Co.,Ltd. Address before: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road) Applicant before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20200211 |