CN111027063A - 防止终端感染蠕虫的方法、装置、电子设备及存储介质 - Google Patents
防止终端感染蠕虫的方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN111027063A CN111027063A CN201910861590.XA CN201910861590A CN111027063A CN 111027063 A CN111027063 A CN 111027063A CN 201910861590 A CN201910861590 A CN 201910861590A CN 111027063 A CN111027063 A CN 111027063A
- Authority
- CN
- China
- Prior art keywords
- network
- behavior
- worm
- network behavior
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000002159 abnormal effect Effects 0.000 claims abstract description 104
- 238000012544 monitoring process Methods 0.000 claims abstract description 25
- 238000011084 recovery Methods 0.000 claims abstract description 25
- 230000006399 behavior Effects 0.000 claims description 205
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 12
- 239000013598 vector Substances 0.000 claims description 12
- 238000005206 flow analysis Methods 0.000 claims description 9
- 230000005856 abnormality Effects 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 5
- 238000001514 detection method Methods 0.000 abstract description 15
- 230000008439 repair process Effects 0.000 abstract description 4
- 238000004891 communication Methods 0.000 description 12
- 241000700605 Viruses Species 0.000 description 10
- 230000008569 process Effects 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 201000010099 disease Diseases 0.000 description 2
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004883 computer application Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Virology (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种防止终端感染蠕虫的方法、装置、电子设备及存储介质,用以解决现有技术中检测准确率低、检测不全面,无法对感染的终端进行修复的问题。该方法包括:监控终端网络行为,收集异常网络行为;将所述异常网络行为与预编制网络行为对比;若所述异常网络行为与预编制网络行为不一致,则所述异常网络行为感染网络蠕虫;标识所述异常网络行为,确定所述异常网络行为的网络蠕虫标识符;基于所述异常网络行为和所述网络蠕虫标识符,创建网络蠕虫的恢复脚本。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种防止终端感染蠕虫的方法、装置、电子设备及存储介质。
背景技术
随着计算机技术的发展与普及,计算机应用已经全面渗透到人们的工作与生活中,成为人们不可缺少的重要工具和家庭娱乐设备。随着计算机的广泛使用同时也会产生相应的计算机安全问题。蠕虫病毒是一种常见的计算机病毒。它利用网络进行复制和传播,传染途径是网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中(通常是经过网络连接)。
当前对于计算机蠕虫的检测主要有误用检测和异常检测。误用检测使用已知的攻击模式检测蠕虫,该模式对于已知的蠕虫攻击来说有效,但是对于未知的或者未被发现的攻击该方法不可靠。异常检测基于计算机正常的行为确定一套正常的行为基准,然后将偏离该标准的行为定义为异常,该方法可以检测未知的蠕虫,但是对于正常的行为的标准的定义一直是一个难题,因此造成了检测准确率的降低。另外,计算机蠕虫控制系统也可进行蠕虫检测。其中,一种蠕虫控制系统在计算机网络中布置检测设备检测蠕虫,监测该计算机网络中的出站流量,虽然此种方式可以检测到蠕虫,但是这种方式无法对感染蠕虫的计算机网络进行修复或者恢复。另一种计算机蠕虫控制系统通过检测数据包对协议的标准服从来检测蠕虫的存在,但是这种方式无法覆盖所有的协议,因为有些协议无法进行检测,有些没有被遵从的协议可能是由软件的bug导致的,另外还有一些加密的网络,使得对网络协议的检测更加复杂,这也增加了假阳性检测率。另一种计算机蠕虫检测系统利用“蜜罐”来吸引对计算机的探测尝试,但是对计算机进行探测不一定代表了存在计算机蠕虫,在一些合格的场景中也存在对计算机的探测,比如IP协议通过对地址范围的探测来发现已无法使用的计算机,而且,某些蠕虫如利用0day漏洞的蠕虫无法被该系统检测到,该方法的检测并不全面。
发明内容
本发明实施例提供了一种防止终端感染蠕虫的方法、装置、电子设备及存储介质,用以解决现有技术中检测准确率低、检测不全面,无法对感染的终端进行修复的问题。
基于上述问题,本发明实施例提供的一种防止终端感染蠕虫的方法,包括:
监控终端网络行为,收集异常网络行为;将所述异常网络行为与预编制网络行为对比;若所述异常网络行为与预编制网络行为不一致,则所述异常网络行为感染网络蠕虫;标识所述异常网络行为,确定所述异常网络行为的网络蠕虫标识符;基于所述异常网络行为和所述网络蠕虫标识符,创建网络蠕虫的恢复脚本。
进一步地,收集异常网络行为,具体为:设置流量分析设备,对流量进行分析,如果流量分析发现异常,对该流量对应的网络行为进行收集;或者,设置网络诱饵,并配置指定终端感染网络蠕虫,收集异常网络行为
进一步地,所述预编制网络行为通过正常终端网络之间行为生成的编制序列确定。
进一步地,所述网络蠕虫标识符是描述网络蠕虫异常行为的签名,包括:端口及利用端口的数据、基于统一资源定位器确定的网络蠕虫签名、网络蠕虫异常行为的向量。
进一步地,基于所述异常网络行为和,创建网络蠕虫的恢复脚本,具体为:基于所述异常网络行为和所述网络蠕虫标识符,识别感染网络蠕虫的软件程序或者内存,根据对应的预编制网络行为创建网络蠕虫的恢复脚本。
进一步地,监控终端网络行为之前,还包括:对所述网络行为根据类型分类,对所述预编制网络行为根据类型分类;将所述网络行为与预编制网络行为对比之前,对所述预编制网络行为类型进行选择。
进一步地,将所述异常网络行为与预编制网络行为对比,若所述异常网络行为与预编制网络行为不一致,且相似度未达到阈值,则所述异常网络行为感染网络蠕虫。
本发明实施例提供的一种防止终端感染蠕虫的装置,包括:
监控设备:用于监控终端网络行为;
控制器:包括提取单元,用于收集异常网络行为;
网络蠕虫传感器:用于将所述异常网络行为与预编制网络行为对比;若所述异常网络行为与预编制网络行为不一致,则所述异常网络行为感染网络蠕虫;标识所述异常网络行为,确定所述异常网络行为的网络蠕虫标识符;基于所述异常网络行为和所述网络蠕虫标识符,创建网络蠕虫的恢复脚本。
进一步地,所述控制器还包括:流量分析设备:用于对流量进行分析,如果流量分析发现异常,监控收集设备对该流量对应的网络行为进行收集;或者,在网络蠕虫传感器设置网络诱饵,监控收集设备收集异常网络行为。
进一步地,所述控制器中还包括编制引擎,用于编制所述预编制网络行为,所述预编制网络行为通过正常终端网络之间行为生成的编制序列确定。
进一步地,所述网络蠕虫标识符是描述网络蠕虫异常行为的签名,包括:端口及利用端口的数据、基于统一资源定位器确定的网络蠕虫签名、网络蠕虫异常行为的向量。
进一步地,基于所述异常网络行为和所述网络蠕虫标识符创建网络蠕虫的恢复脚本,具体为:基于所述异常网络行为和所述网络蠕虫标识符,识别感染网络蠕虫的软件程序或者内存,根据对应的预编制网络行为创建网络蠕虫的恢复脚本。
进一步地,还包括分类器,用于监控终端网络行为之前,对所述网络行为根据类型分类,对所述预编制网络行为根据类型分类;将所述网络行为与预编制网络行为对比之前,对所述预编制网络行为类型进行选择。
进一步地,控制器还包括阈值设置单元,将所述异常网络行为与预编制网络行为对比,若所述异常网络行为与预编制网络行为不一致,且相似度未达到阈值,则所述异常网络行为感染网络蠕虫。
本发明实施例同时公开一种防止终端感染蠕虫的电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1至7任一项所述的防止终端感染蠕虫的方法。
本发明实施例提供了计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求中任一项所述的防止终端感染蠕虫的方法。
与现有技术相比,本发明实施例提供的一种防止终端感染蠕虫方法、装置、电子设备及存储介质,至少实现了如下的有益效果:
监控终端网络行为,收集异常网络行为;将所述异常网络行为与预编制网络行为对比;若所述异常网络行为与预编制网络行为不一致,则所述异常网络行为感染网络蠕虫;标识所述异常网络行为,确定所述异常网络行为的网络蠕虫标识符;基于所述异常网络行为和所述网络蠕虫标识符,创建网络蠕虫的恢复脚本。本发明实施例可以有效识别网络中的蠕虫病毒,并通过恢复脚本将受感染的网络恢复正常,同时阻塞网络蠕虫的传播。
附图说明
图1为本发明实施例提供的一种防止终端感染蠕虫方法的流程图;
图2为本发明实施例提供的一种网络流量分析模型示意图;
图3为本发明实施例提供的一种网络流量分析环境模型示意图;
图4为本发明实施例提供的又一种防止终端感染蠕虫方法的流程图;
图5为本发明实施例提供的一种防止终端感染蠕虫装置的结构图;
图6为本发明实施例提供的电子设备的结构示意图。
具体实施方式
下面结合说明书附图,对本发明实施例提供的一种防止终端感染蠕虫方法、装置、电子设备及存储介质的具体实施方式进行说明。
本发明实施例提供的一种防止终端感染蠕虫方法,如图1所示,具体包括以下步骤:
S101、监控终端网络行为,收集异常网络行为;
收集异常网络行为,具体为:设置流量分析设备,对流量进行分析,如果流量分析发现异常,对该流量对应的网络行为进行收集;
或者,设置网络诱饵,并配置指定终端感染网络蠕虫,收集异常网络行为;
其中,设置流量分析设备并进一步进行异常网络行为收集,首先通过一个tap装置复制网络中从源设备A传递到目的设备B的网络数据,tap装置将从通讯网络中复制的网络数据传递给流量分析设备中,由流量分析设备基于启发式算法或者其他方法分析该网络数据,确认该网络数据是否异常;如图2所示。
还可以将该网络数据传递到分析环境中,分析环境中包括回放器、虚拟交换机和虚拟机。分析环境模拟从源设备到目的设备的数据传输,在分析环境中可采用回放器作为源设备,虚拟机作为目的设备,虚拟交换机作为网络数据传输的介质,模拟网络数据在通信网络中的传输。通过分析来自目的设备的响应,确认网络数据中是否含有未授权的行为,如果网络数据中含有未授权的行为,将发送消息到网络数据实际传输的目的设备上,使该目的设备获知该网络数据含有未授权行为,进而避免该目的设备受到未授权的行为的侵害,控制该未授权的恶意行为;如图3所示。
S102、将所述异常网络行为与预编制网络行为对比;
所述预编制网络行为通过正常终端网络之间行为生成的编制序列确定。例如,可以通过通常发生在通信网络终端之间的网络活动序列来确定预编制网络行为。
S103、若所述异常网络行为与预编制网络行为不一致,则所述异常网络行为感染网络蠕虫;
S104、标识所述异常网络行为,确定所述异常网络行为的网络蠕虫标识符;
所述网络蠕虫标识符是描述网络蠕虫异常行为的签名,包括:
端口及利用端口的数据,其表示方式是{(p1、c1)(p2、c2),…},其中pn表示TCP或者UDP的端口号,cn是与该端口号关联的端口数据;
基于统一资源定位器(URL)确定的网络蠕虫签名,例如,识别出超文本传输协议(HTTP)流量数据包中的统一资源定位器(URL),并可以从URL中提取签名。此外,还可以为URL创建一个正则表达式,并在签名中包含正则表达式,这样签名的每个元组都包含一个目标端口和正则表达式。这样,一个URL过滤设备可以使用签名过滤出与URL关联的网络流量;
网络蠕虫异常行为的向量,例如传播向量、攻击向量或负载向量,也可以是描述计算机蠕虫多个传播向量的多向量,其中所述传播向量表示网络蠕虫在计算机网络中所经过的一系列路径的特征。
S105、基于所述异常网络行为和所述网络蠕虫标识符,创建网络蠕虫的恢复脚本;
具体为:基于所述异常网络行为和所述网络蠕虫标识符,识别感染网络蠕虫的软件程序或者内存,根据对应的预编制网络行为创建网络蠕虫的恢复脚本,消除由网络蠕虫造成的差异。
本发明实施例可以有效识别网络中的蠕虫病毒,并通过恢复脚本使网络中的网络蠕虫失效,修复由网络蠕虫感染的计算机网络、通信网络、产生网络蠕虫的源,阻塞网络蠕虫病的传播。
本发明实施例提供的又一种防止终端感染蠕虫方法,如图4所示,具体包括以下步骤:
S201、对所述网络行为根据类型分类,对所述预编制网络行为根据类型分类;
预编制网络行为可以是单一编制模式,可以是选定编制模式,也可以是动态编制模式;其中,单一编制模式可以在所有的终端执行,而选定编制模式可以根据选定的终端进行预编制,或者根据计终端网络动态变化进行预编制,例如,随时间的变化进行预编制;用户可以根据自身需求,对预编制模式进行添加、删除或修改。
S202、监控终端网络行为,收集异常网络行为;
S203、根据所述异常网络行为的类型,对所述预编制网络行为类型进行选择;
S204、将异常网络行为与对应类型的预编制网络行为对比;
若所述异常网络行为与预编制网络行为不一致,则执行步骤205,否则异常网络行为由人为因素引起。
S205、查看相似度是否达到阈值,若未达到阈值,则判断异常网络行为感染网络蠕虫,执行步骤206,若达到阈值,则异常网络行为由人为因素引起。
S206、标识所述异常网络行为,确定所述异常网络行为的网络蠕虫标识符;所述网络蠕虫标识符还可以存放在数据库中,用于检测其他终端中的网络蠕虫病毒。
S207、基于所述异常网络行为和所述网络蠕虫标识符,创建网络蠕虫的恢复脚本;
执行恢复脚本中的恢复序列,修复受感染的终端或者网络,查找网络蠕虫的源,禁用、删除或销毁网络蠕虫病毒,并保存该恢复脚本,用于在其他受感染的终端或者网络中禁用、删除、销毁网络蠕虫病毒。
本发明实施例将网络行为和预编制网络行为根据类型分类,使得后续异常网络行为与对应类型的预编制网络行为对比效率提高;同时,设置阈值后,可进一步确认异常网络行为是人为还是网络蠕虫引起的,进一步提高了检测准确率;还可以通过恢复脚本使网络中的网络蠕虫失效,修复由网络蠕虫感染的计算机网络、通信网络、产生网络蠕虫的源,阻塞网络蠕虫病的的传播。
本发明实施例还提供的一种防止终端感染蠕虫装置,如图5所示,包括:
监控设备51:用于监控终端网络行为;
控制器52:包括提取单元521,用于收集异常网络行为;
网络蠕虫传感器53:用于将所述异常网络行为与预编制网络行为对比;若所述异常网络行为与预编制网络行为不一致,则所述异常网络行为感染网络蠕虫;标识所述异常网络行为,确定所述异常网络行为的网络蠕虫标识符;基于所述异常网络行为和所述网络蠕虫标识符,创建网络蠕虫的恢复脚本。
其中,控制器52还包括:流量分析设备522:用于对流量进行分析,如果流量分析发现异常,监控设备对该流量对应的网络行为进行收集;或者,在网络蠕虫传感器53设置网络诱饵,监控收集设备收集异常网络行为。
进一步地,所述控制器52中还包括编制引擎523,用于编制所述预编制网络行为,所述预编制网络行为通过正常终端网络之间行为生成的编制序列确定。
进一步地,所述网络蠕虫标识符是描述网络蠕虫异常行为的签名,包括:端口及利用端口的数据、基于统一资源定位器确定的网络蠕虫签名、网络蠕虫异常行为的向量。
进一步地,基于所述异常网络行为和所述网络蠕虫标识符创建网络蠕虫的恢复脚本,具体为:基于所述异常网络行为和所述网络蠕虫标识符,识别感染网络蠕虫的软件程序或者内存,根据对应的预编制网络行为创建网络蠕虫的恢复脚本。
进一步地,还包括分类器50,用于监控终端网络行为之前,对所述网络行为根据类型分类,对所述预编制网络行为根据类型分类;将所述网络行为与预编制网络行为对比之前,对所述预编制网络行为类型进行选择。
进一步地,控制器52还包括阈值设置单元524,将所述异常网络行为与预编制网络行为对比,若所述异常网络行为与预编制网络行为不一致,且相似度未达到阈值,则所述异常网络行为感染网络蠕虫。
可选地,控制器52还包括软件配置单元525,用于各个软件配置单元间相互通信,以及与终端网络的通信;以及协议序列回放器526,用于从流量分析设备522接收网络通信,并重放终端网络中的网络通信,并且可以通过通信网络内的专用加密网络(例如虚拟专用网络)或通过另一个通信网络从流量分析设备522接收网络通信。
本发明实施例还提供一种电子设备,图6为本发明电子设备一个实施例的结构示意图,可以实现本发明图1-4所示实施例的流程,如图6所示,上述电子设备可以包括:壳体61、处理器62、存储器63、电路板64和电源电路65,其中,电路板64安置在壳体61围成的空间内部,处理器62和存储器63设置在电路板64上;电源电路65,用于为上述电子设备的各个电路或器件供电;存储器63用于存储可执行程序代码;处理器62通过读取存储器63中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的程序启动方法。
处理器62对上述步骤的具体执行过程以及处理器62通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1-4所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
本发明的实施例还提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述的程序启动方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (16)
1.一种防止终端感染蠕虫的方法,其特征在于,包括:
监控终端网络行为,收集异常网络行为;
将所述异常网络行为与预编制网络行为对比;
若所述异常网络行为与预编制网络行为不一致,则所述异常网络行为感染网络蠕虫;
标识所述异常网络行为,确定所述异常网络行为的网络蠕虫标识符;
基于所述异常网络行为和所述网络蠕虫标识符,创建网络蠕虫的恢复脚本。
2.如权利要求1所述的方法,其特征在于,收集异常网络行为,具体为:设置流量分析设备,对流量进行分析,如果流量分析发现异常,对该流量对应的网络行为进行收集;
或者,设置网络诱饵,并配置指定终端感染网络蠕虫,收集异常网络行为。
3.如权利要求1所述的方法,其特征在于,所述预编制网络行为通过正常终端网络之间行为生成的编制序列确定。
4.如权利要求1所述的方法,其特征在于,所述网络蠕虫标识符是描述网络蠕虫异常行为的签名,包括:端口及利用端口的数据、基于统一资源定位器确定的网络蠕虫签名、网络蠕虫异常行为的向量。
5.如权利要求1所述的方法,其特征在于,基于所述异常网络行为和所述网络蠕虫标识符,创建网络蠕虫的恢复脚本,具体为:基于所述异常网络行为和所述网络蠕虫标识符,识别感染网络蠕虫的软件程序或者内存,根据对应的预编制网络行为创建网络蠕虫的恢复脚本。
6.如权利要求1所述的方法,其特征在于,监控终端网络行为之前,还包括:对所述网络行为根据类型分类,对所述预编制网络行为根据类型分类;将所述网络行为与预编制网络行为对比之前,对所述预编制网络行为类型进行选择。
7.如权利要求1所述的方法,其特征在于,将所述异常网络行为与预编制网络行为对比,若所述异常网络行为与预编制网络行为不一致,且相似度未达到阈值,则所述异常网络行为感染网络蠕虫。
8.一种防止终端感染蠕虫的装置,其特征在于,
监控设备:用于监控终端网络行为;
控制器:包括提取单元,用于收集异常网络行为;
网络蠕虫传感器:用于将所述异常网络行为与预编制网络行为对比;若所述异常网络行为与预编制网络行为不一致,则所述异常网络行为感染网络蠕虫;标识所述异常网络行为,确定所述异常网络行为的网络蠕虫标识符;基于所述异常网络行为和所述网络蠕虫标识符,创建网络蠕虫的恢复脚本。
9.如权利要求8所述的装置,其特征在于,所述控制器还包括:流量分析设备:用于对流量进行分析,如果流量分析发现异常,监控收集设备对该流量对应的网络行为进行收集;
或者,在网络蠕虫传感器设置网络诱饵,监控收集设备收集异常网络行为。
10.如权利要求8所述的装置,其特征在于,所述控制器中还包括编制引擎,用于编制所述预编制网络行为,所述预编制网络行为通过正常终端网络之间行为生成的编制序列确定。
11.如权利要求8所述的装置,其特征在于,所述网络蠕虫标识符是描述网络蠕虫异常行为的签名,包括:端口及利用端口的数据、基于统一资源定位器确定的网络蠕虫签名、网络蠕虫异常行为的向量。
12.如权利要求8所述的装置,其特征在于,基于所述异常网络行为和所述网络蠕虫标识符创建网络蠕虫的恢复脚本,具体为:基于所述异常网络行为和所述网络蠕虫标识符,识别感染网络蠕虫的软件程序或者内存,根据对应的预编制网络行为创建网络蠕虫的恢复脚本。
13.如权利要求8所述的装置,其特征在于,还包括分类器,用于监控终端网络行为之前,对所述网络行为根据类型分类,对所述预编制网络行为根据类型分类;
将所述网络行为与预编制网络行为对比之前,对所述预编制网络行为类型进行选择。
14.如权利要求8所述的装置,其特征在于,所述控制器中还包括阈值设置单元,将所述异常网络行为与预编制网络行为对比,若所述异常网络行为与预编制网络行为不一致,且相似度未达到阈值设置单元设置的预置,则所述异常网络行为感染网络蠕虫。
15.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1至7任一项所述的防止终端感染蠕虫的方法。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1至7中任一项所述的防止终端感染蠕虫的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910861590.XA CN111027063A (zh) | 2019-09-12 | 2019-09-12 | 防止终端感染蠕虫的方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910861590.XA CN111027063A (zh) | 2019-09-12 | 2019-09-12 | 防止终端感染蠕虫的方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111027063A true CN111027063A (zh) | 2020-04-17 |
Family
ID=70203771
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910861590.XA Withdrawn CN111027063A (zh) | 2019-09-12 | 2019-09-12 | 防止终端感染蠕虫的方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111027063A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113569206A (zh) * | 2021-06-30 | 2021-10-29 | 深信服科技股份有限公司 | 一种软件识别方法、系统、设备及计算机可读存储介质 |
| CN116881918A (zh) * | 2023-09-08 | 2023-10-13 | 北京安天网络安全技术有限公司 | 进程安全检测防护方法、装置、电子设备及介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100031361A1 (en) * | 2008-07-21 | 2010-02-04 | Jayant Shukla | Fixing Computer Files Infected by Virus and Other Malware |
| CN101699787A (zh) * | 2009-11-09 | 2010-04-28 | 南京邮电大学 | 一种用于对等网络的蠕虫检测方法 |
| CN101986324A (zh) * | 2009-10-01 | 2011-03-16 | 卡巴斯基实验室封闭式股份公司 | 用于恶意软件检测的事件的异步处理 |
| US20110093951A1 (en) * | 2004-06-14 | 2011-04-21 | NetForts, Inc. | Computer worm defense system and method |
| US20110099633A1 (en) * | 2004-06-14 | 2011-04-28 | NetForts, Inc. | System and method of containing computer worms |
| US8528086B1 (en) * | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
| CN103501302A (zh) * | 2013-10-12 | 2014-01-08 | 沈阳航空航天大学 | 一种蠕虫特征自动提取的方法及系统 |
| US20170034195A1 (en) * | 2015-07-27 | 2017-02-02 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting abnormal connection behavior based on analysis of network data |
| CN108009424A (zh) * | 2017-11-22 | 2018-05-08 | 北京奇虎科技有限公司 | 病毒行为检测方法、装置及系统 |
| CN109302426A (zh) * | 2018-11-30 | 2019-02-01 | 东软集团股份有限公司 | 未知漏洞攻击检测方法、装置、设备及存储介质 |
| CN109962789A (zh) * | 2017-12-14 | 2019-07-02 | 中国电信股份有限公司 | 基于网络数据构建物联网应用标签体系的方法和装置 |
-
2019
- 2019-09-12 CN CN201910861590.XA patent/CN111027063A/zh not_active Withdrawn
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8528086B1 (en) * | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
| US20110093951A1 (en) * | 2004-06-14 | 2011-04-21 | NetForts, Inc. | Computer worm defense system and method |
| US20110099633A1 (en) * | 2004-06-14 | 2011-04-28 | NetForts, Inc. | System and method of containing computer worms |
| US20100031361A1 (en) * | 2008-07-21 | 2010-02-04 | Jayant Shukla | Fixing Computer Files Infected by Virus and Other Malware |
| CN101986324A (zh) * | 2009-10-01 | 2011-03-16 | 卡巴斯基实验室封闭式股份公司 | 用于恶意软件检测的事件的异步处理 |
| CN101699787A (zh) * | 2009-11-09 | 2010-04-28 | 南京邮电大学 | 一种用于对等网络的蠕虫检测方法 |
| CN103501302A (zh) * | 2013-10-12 | 2014-01-08 | 沈阳航空航天大学 | 一种蠕虫特征自动提取的方法及系统 |
| US20170034195A1 (en) * | 2015-07-27 | 2017-02-02 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting abnormal connection behavior based on analysis of network data |
| CN108009424A (zh) * | 2017-11-22 | 2018-05-08 | 北京奇虎科技有限公司 | 病毒行为检测方法、装置及系统 |
| CN109962789A (zh) * | 2017-12-14 | 2019-07-02 | 中国电信股份有限公司 | 基于网络数据构建物联网应用标签体系的方法和装置 |
| CN109302426A (zh) * | 2018-11-30 | 2019-02-01 | 东软集团股份有限公司 | 未知漏洞攻击检测方法、装置、设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 宋站威;周睿康;赖英旭;范科峰;姚相振;李琳;李巍;: "基于行为模型的工控异常检测方法研究", 计算机科学, no. 01 * |
| 张甲;段海新;葛连升;: "基于事件序列的蠕虫网络行为分析算法", 山东大学学报(理学版), no. 09 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113569206A (zh) * | 2021-06-30 | 2021-10-29 | 深信服科技股份有限公司 | 一种软件识别方法、系统、设备及计算机可读存储介质 |
| CN116881918A (zh) * | 2023-09-08 | 2023-10-13 | 北京安天网络安全技术有限公司 | 进程安全检测防护方法、装置、电子设备及介质 |
| CN116881918B (zh) * | 2023-09-08 | 2023-11-10 | 北京安天网络安全技术有限公司 | 进程安全检测防护方法、装置、电子设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Arshad et al. | SAMADroid: a novel 3-level hybrid malware detection model for android operating system | |
| US10657251B1 (en) | Multistage system and method for analyzing obfuscated content for malware | |
| JP6715887B2 (ja) | ユーザのコンピュータ装置への攻撃に対抗するシステムおよび方法 | |
| Vetterl et al. | Bitter harvest: Systematically fingerprinting low-and medium-interaction honeypots at internet scale | |
| CN106557697B (zh) | 生成杀毒记录集合的系统和方法 | |
| US9679140B2 (en) | Outbreak pathology inference | |
| JP6277224B2 (ja) | 仮想スタックマシンで実行可能な有害なファイルを検出するためのシステムおよび方法 | |
| US11290484B2 (en) | Bot characteristic detection method and apparatus | |
| RU2726032C2 (ru) | Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga) | |
| CN106022113A (zh) | 经由沙盒检测恶意文件感染 | |
| Gajrani et al. | A robust dynamic analysis system preventing SandBox detection by Android malware | |
| US10917435B2 (en) | Cloud AI engine for malware analysis and attack prediction | |
| EP3270319B1 (en) | Method and apparatus for generating dynamic security module | |
| CN113141335B (zh) | 网络攻击检测方法及装置 | |
| Mahboubi et al. | A study on formal methods to generalize heterogeneous mobile malware propagation and their impacts | |
| CN111027063A (zh) | 防止终端感染蠕虫的方法、装置、电子设备及存储介质 | |
| Choi et al. | All‐in‐One Framework for Detection, Unpacking, and Verification for Malware Analysis | |
| CN113726825A (zh) | 一种网络攻击事件反制方法、装置及系统 | |
| CN111314370B (zh) | 一种业务漏洞攻击行为的检测方法及装置 | |
| CN110611675A (zh) | 向量级检测规则生成方法、装置、电子设备及存储介质 | |
| Fan et al. | Privacy theft malware multi‐process collaboration analysis | |
| Fan et al. | Privacy Petri net and privacy leak software | |
| Wu et al. | Detection of Android Malware Behavior in Browser Downloads | |
| US20240039933A1 (en) | Optimized analysis for detecting harmful content | |
| CN115766285A (zh) | 网络攻击防御检测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20200417 |
|
| WW01 | Invention patent application withdrawn after publication |