CN110826067B - 一种病毒检测方法、装置、电子设备及存储介质 - Google Patents
一种病毒检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110826067B CN110826067B CN201911054471.XA CN201911054471A CN110826067B CN 110826067 B CN110826067 B CN 110826067B CN 201911054471 A CN201911054471 A CN 201911054471A CN 110826067 B CN110826067 B CN 110826067B
- Authority
- CN
- China
- Prior art keywords
- target
- parent
- domain name
- information
- child
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种病毒检测方法、装置、一种电子设备及一种存储介质,所述病毒检测方法包括检测访问恶意域名的目标进程;获取进程关联信息,并根据所述进程关联信息对所述目标进程执行溯源操作得到所述目标进程的关联进程;对所述目标进程和所述关联进程对应的进程文件执行病毒检测操作,本申请能够准确定位病毒文件。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种病毒检测方法、装置、一种电子设备及一种存储介质。
背景技术
计算机病毒(Computer Virus)指计算机程序中插入的用于破坏计算机功能或者数据的代码,计算机病毒具有传染性,能够实现较大范围的恶意入侵,造成大量计算机数据丢失或系统崩溃。
僵尸网络(Botnet)为一种将大量主机感染bot程序(僵尸程序)的病毒,能够在控制者和被感染主机之间所形成的一个可一对多控制的网络。相关技术中,通常采用防火墙检测访问异常域名的方式检测僵尸网络病毒,但是无法找到异常域名的访问发起者无法删除原始病毒文件从而造成反复感染。
因此,如何准确定位病毒文件是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种病毒检测方法、装置、一种电子设备及一种存储介质,能够提高系统的病毒检测效率,避免同一病毒文件反复感染。
为解决上述技术问题,本申请提供一种病毒检测方法,该病毒检测方法包括:
检测访问恶意域名的目标进程;
获取进程关联信息,并根据所述进程关联信息对所述目标进程执行溯源操作得到所述目标进程的关联进程;
对所述目标进程和所述关联进程对应的进程文件执行病毒检测操作。
可选的,在检测访问恶意域名的目标进程之前,还包括:
查询所有进程的域名访问记录;
相应的,检测访问恶意域名的目标进程包括:
将所述域名访问记录对应的域名与预设域名名单中的域名执行匹配操作,并根据匹配结果确定访问所述恶意域名的目标进程。
可选的,在对所述目标进程和所述关联进程对应的进程文件执行病毒检测操作之后,还包括:
根据病毒检测结果确定包括病毒程序的目标进程对应的进程文件,并对包括所述病毒程序的进程文件进行处理。
可选的,还包括:
判断包括所述病毒程序的目标进程是否存在服务进程的进程文件;
若存在,删除所述目标进程对应的服务进程的进程文件。
可选的,所述目标进程包括访问C&C域名的进程和/或用于对Http协议解析得到C&C域名的进程。
可选的,所述进程关联信息包括父子进程关联信息和/或远程线程注入信息;
相应的,生成所述进程关联信息的过程包括:
根据监测到的进程创建信息和进程销毁信息生成所述父子进程关联信息;
和/或,根据监测到的线程创建信息和线程销毁信息生成所述远程线程注入信息。
可选的,根据所述进程关联信息对所述目标进程执行溯源操作得到所述目标进程的关联进程包括:
判断所述目标进程中是否包括其他进程远程注入的线程;
若是,则根据所述远程线程注入信息确定所述目标进程的注入进程,并根据所述父子进程关联信息确定所述注入进程的父子进程创建链和所述目标进程的父子进程创建链,将所述注入进程的父子进程创建链和所述目标进程的父子进程创建链中的进程设置为所述目标进程的关联进程;
若否,则根据所述父子进程关联信息对所述目标进程执行溯源操作得到所述目标进程的父子进程创建链,并将所述目标进程的父子进程创建链设置为所述目标进程的关联进程。
本申请还提供了一种病毒检测装置,该装置包括:
查询模块,用于检测访问恶意域名的目标进程;
溯源模块,用于获取进程关联信息,并根据所述进程关联信息对所述目标进程执行溯源操作得到所述目标进程的关联进程;
检测模块,用于对所述目标进程和所述关联进程对应的进程文件执行病毒检测操作。
本申请还提供了一种存储介质,其上存储有计算机程序,所述计算机程序执行时实现上述病毒检测方法执行的步骤。
本申请还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现上述病毒检测方法执行的步骤。
本申请提供了一种病毒检测方法,包括检测访问恶意域名的目标进程;获取进程关联信息,并根据所述进程关联信息对所述目标进程执行溯源操作得到所述目标进程的关联进程;对所述目标进程和所述关联进程对应的进程文件执行病毒检测操作。
本申请首先查询访问了恶意域名的目标进程,由于目标进程可以为其他进程创建的子进程或包括其他进程远程注入的进程,因此与目标进程存在创建或注入关系的进程中也可能存在病毒文件。本申请在查询目标进程后,根据进程关联信息对目标进程执行溯源操作,得到与目标进程存在创建或注入关系的关联进程,进而对目标进程和关联进程执行病毒检测操作,通过上述病毒检测方式可以确定原始病毒文件,实现准确定位病毒文件。本申请同时还提供了一种病毒检测装置、一种存储介质和一种电子设备,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种病毒检测方法的流程图;
图2为本申请实施例所提供的一种访问恶意域名的进程查询方法的流程图;
图3为本申请实施例所提供的一种病毒文件处理方法的流程图;
图4为本申请实施例所提供的一种进程溯源方法的流程图;
图5为本申请实施例所提供的一种病毒检测装置的结构示意图;
图6为本申请实施例所提供的一种僵尸网络检测系统的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
计算机本身的主要功能是信息的复制和传播,因此计算机病毒会随着信息的幅值和传播产生大面积感染。相关技术中,通过黑白名单的方式能够检测出计算机访问异常域名的行为,进而拦截对于异常域名的访问,但是无法确定计算机中的原始病毒文件,导致病毒反复感染。基于上述相关技术中存在的种种缺陷,本申请通过以下几个实施例提供新的病毒检测方式,能够提高系统的病毒检测效率,避免同一病毒文件反复感染。
下面请参见图1,图1为本申请实施例所提供的一种病毒检测方法的流程图。
具体步骤可以包括:
S101:检测访问恶意域名的目标进程。
其中,本实施例的执行主体可以为与主机设备连接的防火墙、路由器、等保一体机等网络安全设备,也可以为服务器、个人计算机等主机设备。本步骤的目的在于确定主机设备中访问了恶意域名的目标进程,本实施例中提到的恶意域名可以为C&C域名(Commandand Control,命令及控制的域名),通过访问C&C域名可以使主机设备接收来自服务器的命令,从而达到控制目标设备的目的。所述目标进程包括访问C&C域名的进程和/或用于对Http协议解析得到C&C域名的进程。
在本步骤之前可以存在监控主机设备中进程网络行为的操作,得到监控数据中可以包括进程信息、访问域名和源目标IP地址等信息。根据监控数据本实施例可以确定存在访问恶意域名行为的目标进程,具体的,本实施例可以通过设置黑白域名名单确定目标进程。本实施例可以按照预设周期生成进程网络行为的监控数据,并根据本周期内的监控数据中确定目标进程。
S102:获取进程关联信息,并根据进程关联信息对目标进程执行溯源操作得到目标进程的关联进程。
其中,进程关联信息用于描述两个或两个以上进程之间的关系,具体的进程之间的关系可以包括创建/被创建关系以及注入/被注入关系。本实施例中进程关联信息可以包括父子进程关联信息和/或远程线程注入信息;父子进程关联信息可以根据监测到的进程创建信息和进程销毁信息生成,远程线程注入信息可以根据监测到线程创建信息和线程销毁信息生成。
本实施例可以将存在直接或间接创建/被创建关系的进程作为同一条父子进程链上的进程,例如进程X创建进程Y,进程Y创建进程Z,进程Z的关联进程可以包括进程X和进程Y。本步骤中提到的目标进程的关联进程可以包括直接或间接创建目标进程的进程,也可以包括目标进程直接或间接创建的进程。
在实际应用中还可以存在以下恶意域名访问方式:恶意进程通过远程线程注入的方式在其他进程中创建线程,利用远程创建的线程访问恶意域名。针对上述恶意域名访问方式,本步骤中可以确定对目标进程执行远程线程注入操作注入进程,将注入进程所在的父子进程链上的进程作为目标进程的关联进程。例如进程文件a为病毒文件,进程文件a对应的进程A创建进程B,进程B通过远程线程注入的方式在进程C创建新线程,以使进程C访问恶意域名;在这种情况下若对进程C的父进程或子进程仅从病毒检测将无法检测到原始病毒文件,并且还会使进程文件a逃避检测,因此在本实施例中可以确定进程C对应的注入进程,即进程B,进而将进程B所在的父子进程链中的进程作为进程C的关联进程。
S103:对目标进程和关联进程对应的进程文件执行病毒检测操作。
其中,本步骤建立在已经确定访问恶意域名的目标进程以及目标进程的关联进程的基础上,在进行病毒检测操作之前,本实施例可以停止或挂起目标进程和关联进程,并对目标进程和关联进程的进程文件进行隔离,然后再对上述进程文件执行病毒检测操作。
本实施例首先查询访问了恶意域名的目标进程,由于目标进程可以为其他进程创建的子进程或包括其他进程远程注入的进程,因此与目标进程存在创建或注入关系的进程中也可能存在病毒文件。本实施例在查询目标进程后,根据进程关联信息对目标进程执行溯源操作,得到与目标进程存在创建或注入关系的关联进程,进而对目标进程和关联进程执行病毒检测操作,通过上述病毒检测方式可以确定原始病毒文件,准确定位病毒文件。
下面请参见图2,图2为本申请实施例所提供的一种访问恶意域名的进程查询方法的流程图;本实施例是对图1对应实施例中S101的进一步介绍,可以将本实施例与图1对应的实施例相结合得到更为优选的实施方式,本实施例可以包括以下步骤:
S201:查询进程网络行为数据,并根据进程网络行为数据确定每一进程的域名访问记录。
S202:将所述域名访问记录对应的域名与预设域名名单中的域名执行匹配操作;
S203:根据匹配结果确定访问所述恶意域名的目标进程;
其中,所述预设域名名单包括域名黑名单和/或域名白名单,所述域名黑名单为用于记录所述恶意域名的域名名单,所述域名白名单为用于记录非恶意域名的域名名单。
本实施例可以预先对线程的网络行为进行监控得到当前执行主体的各个进程的进程网络行为数据,网络行为数据中可以包括进程信息、访问域名和源目标IP地址等信息,本实施例根据网络行为数据确定每一进程的域名访问记录。作为一种可行的实施方式,本实施例中可以查询特定监控点涉及的进程网络行为数据,以便对特定功能模块中的进程进行检测。
本实施例中的预设域名名单可以包括域名黑名单和/或域名白名单,所述域名黑名单为用于记录所述恶意域名的域名名单,所述域名白名单为用于记录非恶意域名的域名名单。当预设域名名单中包括域名黑名单时,S202和S203的操作可以包括:将域名访问记录对应的域名与恶意域名对应的域名黑名单中的域名执行匹配操作,并将域名匹配成功的进程设置为所述目标进程。当预设域名名单中包括域名白名单时,S202和S203的操作可以包括:将域名访问记录对应的域名与非恶意域名对应的域名白名单中的域名执行匹配操作,并将域名匹配失败的进程设置为所述目标进程。本实施例采用域名黑名单和/或域名白名单对进程访问的域名进行匹配,提高了检测访问恶意域名的目标进程的效率。作为一种可行的实施方式,本实施例中的域名黑名单可以包括本地域名黑名单和联网域名黑名单,本地域名黑名单为本地预先设置的基础黑名单。但是由于恶意域名可以灵活改变,因此可以通过联网域名黑名单确定其他设备新检测到的恶意域名,进而实现域名黑名单的联网更新。同理,域名白名单也可以存在与域名黑名单相同的本地预先设置名单和联网更新名单的操作。当然,恶意域名除了通过黑白名单的本地策略进行确定外,还可以将域名访问记录对应的域名上报到外部检测设备,比如防火墙、交换机、等保一体机等设备,通过外部检测设备进行检测,根据外部检测设备的检测结果确定是否为恶意域名。
下面请参见图3,图3为本申请实施例所提供的一种病毒文件处理方法的流程图;本实施例是对图1对应实施例中执行病毒检测操作后的进一步介绍,可以将本实施例与图1对应的实施例相结合得到更为优选的实施方式,本实施例可以包括以下步骤:
S301:根据病毒检测结果确定包括病毒程序的目标进程文件。
S302:对包括所述病毒程序的进程文件进行处理;
其中,S302中对病毒程序的进程文件进行处理的操作可以包括,隔离目标进程文件,并终止目标进程文件对应的恶意进程。
S303:判断包括病毒程序的目标进程是否存在服务进程的进程文件;若是,则进入S304;若否,则结束流程;
S304:删除所述目标进程对应的服务进程的进程文件。
本实施例在对进程文件进行病毒检测操作之后可以得到相应的病毒检测结果,根据病毒检测结果可以确定包括病毒程序的目标进程文件。目标进程文件中可以包括原始病毒文件,因此可以隔离该目标进程文件并终止目标进程文件对应的目标进程文件,以避免目标进程文件继续传播病毒文件。进一步的,若目标进程文件为服务器进程的进程文件,本实施例将目标进程文件对应的服务删除,以防止重启系统时再次感染病毒。
下面请参见图4,图4为本申请实施例所提供的一种进程溯源方法的流程图;本实施例是对图1对应的实施例中S102的进一步介绍,可以将本实施例与图1对应的实施例相结合得到更为优选的实施方式,本实施例可以包括以下步骤:
S401:根据监测到的进程创建信息和进程销毁信息生成父子进程关联信息,并根据监测到的线程创建信息和线程销毁信息生成远程线程注入信息。
其中,本实施例可以通过进程监控驱动监控进程创建信息和进程销毁信息,可以通过线程监控驱动监控线程创建信息和线程销毁信息,进而得到线程与线程之间的父子关联信息和注入信息,即得到父子进程关联信息和远程线程注入信息。具体的,可以根据进程创建信息和进程销毁信息生成父子进程关联信息,可以根据线程创建信息和线程销毁信息生成远程线程注入信息。
父子进程关联信息为用于描述进程之间创建与被创建的关系,创建操作可以包括直接创建和间接创建,被创建操作可以包括直接被创建或间接被创建。根据进程创建信息可以确定处于存活状态的子进程的创建信息,该创建信息可以包括创建该子进程的父进程ID;根据进程销毁信息可以确定已经销毁的子进程的销毁信息,该销毁信息可以包括销毁该子进程的父进程ID。根据本实施例中的特定子进程的父子进程关联信息可以确定创建特定子进程的父进程,以及间接创建特定子进程的父进程。远程线程注入信息为用于描述某一进程与另一进程之间的线程注入关系的信息。根据线程创建信息可以确定每一处于存活状态的线程的创建信息,创建信息可以包括注入该线程的进程ID;根据线程销毁信息可以确定每一已经销毁的线程的销毁信息,销毁信息可以包括注入该线程的进程ID。根据远程注入信息可以确定每一进程中的外部注入线程,以及注入该外部注入线程的其他进程;上述外部注入进程指某一进程内由其他进程通过远程注入的方式注入的进程。
S402:生成包括父子进程关联信息和远程线程注入信息的进程关联消息。
S403:判断目标进程中是否包括其他进程远程注入的线程;若是,则进入S404;若否,则进入S405;
其中,本步骤可以根据远程线程注入信息判断访问异常域名的目标进程是否包括由其他进程远程注入的线程,其他进程远程注入的线程指其他进程通过远程线程注入的方式在目标进程中注入的线程。
S404:根据远程线程注入信息确定目标进程的注入进程,并根据父子进程关联信息确定注入进程的父子进程创建链和目标进程的父子进程创建链,将注入进程的父子进程创建链和目标进程的父子进程创建链中的进程设置为目标进程的关联进程;。
S405:根据父子进程关联信息对目标进程执行溯源操作得到目标进程的父子进程创建链,并将目标进程的父子进程创建链设置为目标进程的关联进程;
其中,所述注入进程的父子进程创建链包括直接或间接创建所述注入进程的进程,以及所述注入进程的直接或间接创建的进程;所述目标进程的父子进程创建链包括直接或间接创建所述目标进程的进程,以及所述目标进程的直接或间接创建的进程。
进一步地,获得目标进程的父子进程创建链的过程可以包括以下步骤:
步骤1:将目标进程作为待查询进程;
步骤2:根据父子进程关联信息判断是否存在创建待查询进程的父进程;若是,则进入步骤3;若否,则进入步骤4;
步骤3:将所述待查询进程的父进程添加至目标集合中,并将所述待查询进程的父进程设置为新的待查询进程进入步骤2的相关操作;
步骤4:根据目标集合中的进程和目标进程生成父子进程创建链;其中,父子进程创建链中包括进程ID和进程创建关系。
例如,根据进程创建信息和进程销毁信息可知:进程E创建进程F和进程G,进程F创建进程I,进程G创建进程J和进程K,进程K创建进程L;若进程L为本实施例中提到的目标进程,可以确定父子进程链中包括进程E、进程G、进程K和进程L。若用箭头表示进程创建关系(父进程指向子进程),父子进程创建链为:进程E→进程G→进程K→进程L。
进一步地,若目标进程中包括其他进程远程注入的线程,可以将上述其他进程作为新待查询信息执行上述步骤2至步骤4的操作,得到向目标进程注入线程的其他进程的父子进程创建链。
进一步地,为了更准确的定位病毒文件,本实施例还判断包括所述病毒程序的目标进程是否存在服务进程的进程文件;
若存在,删除所述目标进程对应的服务进程的进程文件。
其中,服务进程指计算机系统中用于提供用户所需的服务的进程,例如当运行中的用户程序提出打印请求后,系统将专门创建一个打印进程来提供用户所需要打印服务。由于服务进程在被挂起后会自动重启,当病毒程序的目标进程存在于服务进程的进程文件时,则可以删除服务器进程的服务进程,可以避免病毒反复感染。
对于本实施例中提到的目标进程,本文提供以下两种情况:
情况1:目标进程是被病毒母体进程创建的子进程或者多层子进程,所以清除病毒时,除了要对访问异常域名的目标进程进行病毒检测之外,还可以对目标进程父子进程链进行病毒检测,例如停止或挂起相关进程,若是存在服务进程,还需要进一步删除服务,防止重启再次感染。
情况2:目标进程本身是白进程,如smss.exe,winlogon.exe等。由于目标进程被母体病毒进程注入恶意代码,从而访问了异常域名。本实施例可以采用举证进程注入链,追溯注入进程的父子进程创建链,以便追溯到恶意进程或母体从而在清除病毒时,除了将访问C&C域名的进程进行病毒检测外,还可以进一步对注入进程链处理,如停止或挂起相关进程,若是存在服务进程,还需要进一步删除服务,防止重启再次感染。
针对情况1,本实施例可以通过目标进程的父子进程创建链确定直接或间接创建目标进程的病毒母体进程;针对情况2,本实施例可以根据远程线程注入信息确定目标进程的注入进程,由于该注入进程可能是由病毒母体进程创建的子进程,因此可以通过注入进程的父子进程创建链确定直接或间接创建注入进程的病毒母体进程。
本实施例在目标进程包括其他进程远程注入的线程后,确定注入进程所在的第一父子进程创建链和目标进程的第二父子进程创建链,可以将第一父子进程创建链和第二父子进程创建链中所包括的进程作为目标进程的关联进程。作为一种可行的实施方式,本实施例可以确定目标进程中访问异常域名的目标线程,若目标线程为其他进程远程注入的线程时,可以仅将注入进程所在的第一父子进程创建链中包括的进程作为目标进程的关联进程。若目标进程不是其他进程远程注入的线程时,可以将目标进程所在的第二父子进程创建链中包括的进程作为目标进程的关联进程。通过上述关联进程的设置方式,能够有效查询原始病毒文件对应的进程,提高病毒检测的效率。
请参见图5,图5为本申请实施例所提供的一种病毒检测装置的结构示意图;
该装置可以包括:
查询模块100,用于检测访问恶意域名的目标进程;
溯源模块200,用于获取进程关联信息,并根据所述进程关联信息对所述目标进程执行溯源操作得到所述目标进程的关联进程;
检测模块300,用于对所述目标进程和所述关联进程对应的进程文件执行病毒检测操作。
本实施例首先查询访问了恶意域名的目标进程,由于目标进程可以为其他进程创建的子进程或包括其他进程远程注入的进程,因此与目标进程存在创建或注入关系的进程中也可能存在病毒文件。本实施例在查询目标进程后,根据进程关联信息对目标进程执行溯源操作,得到与目标进程存在创建或注入关系的关联进程,进而对目标进程和关联进程执行病毒检测操作,通过上述病毒检测方式可以确定原始病毒文件,准确定位病毒文件。
进一步的,还包括:
访问记录查询模块,用于在检测访问恶意域名的目标进程之前,查询所有进程的域名访问记录;
相应的,查询模块100具体为用于将所述域名访问记录对应的域名与预设域名名单中的域名执行匹配操作,并根据匹配结果确定访问所述恶意域名的目标进程的模块;
其中,所述预设域名名单包括域名黑名单和/或域名白名单,所述域名黑名单为用于记录所述恶意域名的域名名单,所述域名白名单为用于记录非恶意域名的域名名单。
进一步的,还包括:
目标进程文件确定单元,用于根据病毒检测结果确定包括病毒程序的目标进程文件;
恶意进程处理单元,用于根据病毒检测结果确定包括病毒程序的目标进程对应的进程文件,并对包括所述病毒程序的进程文件进行处理。
进一步的,还包括:
服务删除单元,用于判断包括所述病毒程序的目标进程是否存在服务进程的进程文件;若存在,则删除所述目标进程对应的服务进程的进程文件。
进一步的,所述目标进程包括访问C&C域名的进程和/或用于对Http协议解析得到C&C域名的进程。
进一步的,所述进程关联信息包括父子进程关联信息和/或远程线程注入信息;
相应的,还包括:
父子进程关联信息生成模块,用于根据监测到的进程创建信息和进程销毁信息生成所述父子进程关联信息;
和/或,远程线程注入信息生成模块,用于根据监测到的线程创建信息和线程销毁信息生成所述远程线程注入信息。
进一步的,溯源模块200包括:
判断单元,用于判断所述目标进程中是否包括其他进程远程注入的线程;
第一处理单元,用于当目标进程中包括其他进程远程注入的线程时,根据所述远程线程注入信息确定所述目标进程的注入进程,并根据所述父子进程关联信息确定所述注入进程的父子进程创建链和所述目标进程的父子进程创建链,将所述注入进程的父子进程创建链和所述目标进程的父子进程创建链中的进程设置为所述目标进程的关联进程;
第二处理单元,用于当目标进程中不包括其他进程远程注入的线程时,若否,则根据所述父子进程关联信息对所述目标进程执行溯源操作得到所述目标进程的父子进程创建链,并将所述目标进程的父子进程创建链设置为所述目标进程的关联进程;
其中,所述注入进程的父子进程创建链包括直接或间接创建所述注入进程的进程,以及所述注入进程的直接或间接创建的进程;所述目标进程的父子进程创建链包括直接或间接创建所述目标进程的进程,以及所述目标进程的直接或间接创建的进程。
下面通过在实际应用中的僵尸网络检测系统来说明上述实施例描述的流程,请参见图6,图6为本申请实施例所提供的一种僵尸网络检测系统的结构示意图。
僵尸网络监测系统可以包括策略管理模块、网络行为监控驱动、线程进程行为监控驱动、僵尸网络举证模块、进程关系溯源模块和数据存储模块。
策略管理模块可以用于对本地黑白域名设置策略和联动黑白域名设置策略的管理,通过将本地黑白域名和联动黑白域名下发至特定的监控点,可以对网络行为进行监控。策略管理模块还可以将黑白进程ID和黑白线程ID下发至进程线程行为监控驱动,以便实现对于特定线程或特定进程的行为监控。
网络行为监控驱动可以接收来自应用层策略管理模块设置的监控点与驱动策略(即本地黑白域名和联动黑白域名),上传的监控数据中可以包括进程信息,域名与IP等关系给应用层。例如对于监控点,实时监控访问了C&C域名或是相关Http协议解析的进程,此时网络行为监控驱动可以关联其访问的域名、IP与进程信息,进而到达监控指定的网络行为的目的。当然,对相关驱动策略的应用可以去除非必要进程的监控,例如应用黑白域名名单过滤相关进程等,从而降低误报率。
进程线程监控驱动用于监控整个系统的进程的创建、销毁以及线程的创建、销毁行为,进而得到获取父子进程之间的创建关系,以及与远程线程注入相关进程的信息。
进程关系溯源模块用于接收来自进程线程行为监控驱动的数据,如监控父子进程的创建关系以及远程线程注入进程之间关系等。进程关系溯源模块可以对数据进行存储,从而为僵尸网络举证模块提供查询进程关系的接口,配合僵尸网络举证模块到达举证溯源的目的。
僵尸网络举证模块用于接收来自网络行为监控驱动发送的监控数据进行数据存储,并通过调用进程关系溯源模块的溯源接口对访问僵尸网络的进程进行举证溯源,进而获取该进程的父子进程创建链或注入该进程的进程链关系,以实现对僵尸网络进程举证与病毒母体溯源的目的。
需要说明的是,本实施例中策略管理模块起到的作用是将本地黑白域名和联动黑白域名下发至网络行为监控驱动,策略管理模块可以直接将信息下发至网络行为监控驱动。当策略管理模块为一个插件形式的内容时,无法直接访问内核,此时策略管理模块可以将本地黑白域名和联动黑白域名先发送至僵尸网络举证模块,再由僵尸网络举证模块转发至网络行为监控驱动。同理可知,策略管理模块还可以通过应用层中的模块,如进程关系溯源模块,将黑白进程ID和黑白线程ID下发至进程线程行为监控驱动。
本实施例持续监控检测主机进程访问域名行为,对检测到访问恶意域名的进程自动进行“进程注入关系”与“进程创建关系”溯源,获取注入与被注入进程关联链以及父子进程创建关系链,进而对进程文件与模块进行病毒检测。当进程文件被判断为已知威胁的文件时,可以进行文件隔离并清除相关恶意进程操作。本实施例增强用户主机对僵尸网络的检测,举证溯源等方面能力,不仅提高对病毒的举证能力,同时也能提高对病毒的处置率。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请还提供了一种存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种电子设备,可以包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然所述电子设备还可以包括各种网络接口,电源等组件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (9)
1.一种病毒检测方法,其特征在于,包括:
检测访问恶意域名的目标进程;
获取进程关联信息,其中,所述进程关联信息包括父子进程关联信息和远程线程注入信息;
判断所述目标进程中是否包括其他进程远程注入的线程;
若是,则根据所述远程线程注入信息确定所述目标进程的注入进程,并根据所述父子进程关联信息确定所述注入进程的父子进程创建链和所述目标进程的父子进程创建链,将所述注入进程的父子进程创建链和所述目标进程的父子进程创建链中的进程设置为所述目标进程的关联进程;
若否,则根据所述父子进程关联信息对所述目标进程执行溯源操作得到所述目标进程的父子进程创建链,并将所述目标进程的父子进程创建链中的进程设置为所述目标进程的关联进程;
对所述目标进程和所述关联进程对应的进程文件执行病毒检测操作。
2.根据权利要求1所述病毒检测方法,其特征在于,在检测访问恶意域名的目标进程之前,还包括:
查询所有进程的域名访问记录;
相应的,检测访问恶意域名的目标进程包括:
将所述域名访问记录对应的域名与预设域名名单中的域名执行匹配操作,并根据匹配结果确定访问所述恶意域名的目标进程。
3.根据权利要求1所述病毒检测方法,其特征在于,在对所述目标进程和所述关联进程对应的进程文件执行病毒检测操作之后,还包括:
根据病毒检测结果确定包括病毒程序的目标进程对应的进程文件,并对包括所述病毒程序的进程文件进行处理。
4.根据权利要求3所述病毒检测方法,其特征在于,还包括:
判断包括所述病毒程序的目标进程是否存在服务进程的进程文件;
若存在,删除所述目标进程对应的服务进程的进程文件。
5.根据权利要求1所述病毒检测方法,其特征在于,所述目标进程包括访问C&C域名的进程和/或用于对Http协议解析得到C&C域名的进程。
6.根据权利要求1至5任一项所述病毒检测方法,其特征在于,生成所述进程关联信息的过程包括:
根据监测到的进程创建信息和进程销毁信息生成所述父子进程关联信息;
根据监测到的线程创建信息和线程销毁信息生成所述远程线程注入信息。
7.一种病毒检测装置,其特征在于,包括:
查询模块,用于检测访问恶意域名的目标进程;
溯源模块,用于获取进程关联信息,并根据所述进程关联信息对所述目标进程执行溯源操作得到所述目标进程的关联进程;其中,所述进程关联信息包括父子进程关联信息和远程线程注入信息;
检测模块,用于对所述目标进程和所述关联进程对应的进程文件执行病毒检测操作;
其中,所述溯源模块包括:
判断单元,用于判断所述目标进程中是否包括其他进程远程注入的线程;
第一处理单元,用于当目标进程中包括其他进程远程注入的线程时,根据所述远程线程注入信息确定所述目标进程的注入进程,并根据所述父子进程关联信息确定所述注入进程的父子进程创建链和所述目标进程的父子进程创建链,将所述注入进程的父子进程创建链和所述目标进程的父子进程创建链中的进程设置为所述目标进程的关联进程;
第二处理单元,用于当目标进程中不包括其他进程远程注入的线程时,则根据所述父子进程关联信息对所述目标进程执行溯源操作得到所述目标进程的父子进程创建链,并将所述目标进程的父子进程创建链中的进程设置为所述目标进程的关联进程。
8.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如权利要求1至6任一项所述病毒检测方法的步骤。
9.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上权利要求1至6任一项所述病毒检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911054471.XA CN110826067B (zh) | 2019-10-31 | 2019-10-31 | 一种病毒检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911054471.XA CN110826067B (zh) | 2019-10-31 | 2019-10-31 | 一种病毒检测方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110826067A CN110826067A (zh) | 2020-02-21 |
| CN110826067B true CN110826067B (zh) | 2022-08-09 |
Family
ID=69552073
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911054471.XA Active CN110826067B (zh) | 2019-10-31 | 2019-10-31 | 一种病毒检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110826067B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111368300B (zh) * | 2020-03-02 | 2024-05-24 | 深信服科技股份有限公司 | 恶意文件处置方法、装置、设备及存储介质 |
| CN111327632B (zh) * | 2020-03-06 | 2022-08-09 | 深信服科技股份有限公司 | 一种僵尸主机检测方法、系统、设备及存储介质 |
| CN111786964B (zh) * | 2020-06-12 | 2022-09-30 | 深信服科技股份有限公司 | 网络安全检测方法、终端及网络安全设备 |
| CN112003835B (zh) * | 2020-08-03 | 2022-10-14 | 奇安信科技集团股份有限公司 | 安全威胁的检测方法、装置、计算机设备和存储介质 |
| CN112989349B (zh) * | 2021-04-19 | 2021-08-13 | 腾讯科技(深圳)有限公司 | 病毒检测方法、装置、设备及存储介质 |
| CN113315775A (zh) * | 2021-06-01 | 2021-08-27 | 深信服科技股份有限公司 | 恶意事件的定位方法、系统、存储介质和终端 |
| CN113704202A (zh) * | 2021-09-03 | 2021-11-26 | 杭州雾联科技有限公司 | 一种进程监控方法、进程监控系统及相关装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011501279A (ja) * | 2007-10-15 | 2011-01-06 | ベイジン ライジング インフォメーション テクノロジー カンパニー、リミテッド | コンピュータプログラムの悪意ある行為を見つける方法及び装置 |
| US20150143523A1 (en) * | 2013-11-19 | 2015-05-21 | Baidu Online Network Technology (Beijing) Co., Ltd. | Virus processing method and apparatus |
| CN106203116A (zh) * | 2008-06-11 | 2016-12-07 | 北京奇虎科技有限公司 | 一种恶意软件的检测方法及装置 |
| CN106415581A (zh) * | 2014-06-27 | 2017-02-15 | 迈克菲股份有限公司 | 用于追踪和检测恶意软件的系统和方法 |
| CN107292169A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 恶意软件的威胁溯源方法及装置 |
| CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
| CN109787964A (zh) * | 2018-12-29 | 2019-05-21 | 北京零平数据处理有限公司 | 进程行为溯源装置和方法 |
| CN110099059A (zh) * | 2019-05-06 | 2019-08-06 | 腾讯科技(深圳)有限公司 | 一种域名识别方法、装置及存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104866765B (zh) * | 2015-06-03 | 2017-11-10 | 康绯 | 基于行为特征相似性的恶意代码同源性分析方法 |
| CN105187367B (zh) * | 2015-06-04 | 2019-03-08 | 何飚 | 基于大数据发现的僵尸木马病毒检测及管控方法 |
| CN105095759A (zh) * | 2015-07-21 | 2015-11-25 | 安一恒通(北京)科技有限公司 | 文件的检测方法及装置 |
| WO2017180666A1 (en) * | 2016-04-15 | 2017-10-19 | Sophos Limited | Forensic analysis of computing activity and malware detection using an event graph |
| CN106101104A (zh) * | 2016-06-15 | 2016-11-09 | 国家计算机网络与信息安全管理中心 | 一种基于域名解析的恶意域名检测方法及系统 |
| US10868821B2 (en) * | 2017-12-20 | 2020-12-15 | Sophos Limited | Electronic mail security using a heartbeat |
| CN110149350B (zh) * | 2019-06-24 | 2021-11-05 | 国网安徽省电力有限公司信息通信分公司 | 一种告警日志关联的网络攻击事件分析方法及装置 |
-
2019
- 2019-10-31 CN CN201911054471.XA patent/CN110826067B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011501279A (ja) * | 2007-10-15 | 2011-01-06 | ベイジン ライジング インフォメーション テクノロジー カンパニー、リミテッド | コンピュータプログラムの悪意ある行為を見つける方法及び装置 |
| CN106203116A (zh) * | 2008-06-11 | 2016-12-07 | 北京奇虎科技有限公司 | 一种恶意软件的检测方法及装置 |
| US20150143523A1 (en) * | 2013-11-19 | 2015-05-21 | Baidu Online Network Technology (Beijing) Co., Ltd. | Virus processing method and apparatus |
| CN106415581A (zh) * | 2014-06-27 | 2017-02-15 | 迈克菲股份有限公司 | 用于追踪和检测恶意软件的系统和方法 |
| CN107292169A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 恶意软件的威胁溯源方法及装置 |
| CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
| CN109787964A (zh) * | 2018-12-29 | 2019-05-21 | 北京零平数据处理有限公司 | 进程行为溯源装置和方法 |
| CN110099059A (zh) * | 2019-05-06 | 2019-08-06 | 腾讯科技(深圳)有限公司 | 一种域名识别方法、装置及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 一种针对算法自动生成恶意域名的检测方法;王峥;《信息工程大学学报》;20171231;第18卷(第6期);第731-735页 * |
| 基于词法特征的恶意域名快速检测算法;赵宏 等;《计算机应用》;20190110;第39卷(第1期);第227-231页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110826067A (zh) | 2020-02-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110826067B (zh) | 一种病毒检测方法、装置、电子设备及存储介质 | |
| US10664602B2 (en) | Determining malware prevention based on retrospective content scan | |
| CA2968201C (en) | Systems and methods for malicious code detection | |
| US11153341B1 (en) | System and method for detecting malicious network content using virtual environment components | |
| US7398399B2 (en) | Apparatus, methods and computer programs for controlling performance of operations within a data processing system or network | |
| CN107347057B (zh) | 入侵检测方法、检测规则生成方法、装置及系统 | |
| CN110717183B (zh) | 病毒查杀方法、装置、设备及存储介质 | |
| US20050132205A1 (en) | Apparatus, methods and computer programs for identifying matching resources within a data processing network | |
| CN111786964B (zh) | 网络安全检测方法、终端及网络安全设备 | |
| KR20040101490A (ko) | 기업 네트워크에서의 악의적 코드 검출 및 무효화 | |
| WO2009049556A1 (fr) | Procédé et dispositif permettant d'empêcher l'utilisation de la faille de sécurité d'un navigateur | |
| CN114257413B (zh) | 基于应用容器引擎的反制阻断方法、装置和计算机设备 | |
| CN111800405A (zh) | 检测方法及检测设备、存储介质 | |
| US11627164B2 (en) | Multi-perspective security context per actor | |
| WO2022208045A1 (en) | Encrypted cache protection | |
| CN110505246B (zh) | 客户端网络通讯检测方法、装置及存储介质 | |
| CN116015717A (zh) | 一种网络防御方法、装置、设备及存储介质 | |
| CN113726825B (zh) | 一种网络攻击事件反制方法、装置及系统 | |
| WO2019122832A1 (en) | Electronic mail security using a user-based inquiry | |
| WO2021217652A1 (zh) | 一种移动存储设备的控制方法、装置和计算机可读介质 | |
| GB2574209A (en) | Threat control | |
| TWI711939B (zh) | 用於惡意程式碼檢測之系統及方法 | |
| CN111092886B (zh) | 一种终端防御方法、系统、设备及计算机可读存储介质 | |
| US20060075493A1 (en) | Sending a message to an alert computer | |
| WO2018233517A1 (zh) | 签名消息的自动通知方法、装置以及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |