CN111030969A - 基于可视和非可视数据的威胁检测方法、装置及存储设备 - Google Patents
基于可视和非可视数据的威胁检测方法、装置及存储设备 Download PDFInfo
- Publication number
- CN111030969A CN111030969A CN201910141220.9A CN201910141220A CN111030969A CN 111030969 A CN111030969 A CN 111030969A CN 201910141220 A CN201910141220 A CN 201910141220A CN 111030969 A CN111030969 A CN 111030969A
- Authority
- CN
- China
- Prior art keywords
- application program
- visual data
- terminal
- similarity
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Stored Programmes (AREA)
Abstract
本发明实施例公开一种基于可视和非可视数据的威胁检测方法、装置及存储设备,用以解决对伪装成授信应用程序的病毒文件存在误判及漏判的问题。该方法包括:终端提取应用程序的可视数据和非可视数据,形成所述应用程序的唯一标识;将所述应用程序的唯一标识发送给服务器;服务器接收所述应用程序的唯一标识,与信息库中该应用程序的标识信息进行相似度计算,判断终端上的所述应用程序是否为病毒文件;服务器将所述应用程序是否为病毒文件的判断结果返回终端,若所述应用程序为病毒文件,则对该应用程序进行处置;所述信息库中包括:所有厂商的可视数据以及非可视数据信息。
Description
技术领域
本发明实施例涉及病毒检测领域,尤其涉及一种基于可视和非可视数据的威胁检测方法、装置及存储设备。
背景技术
如今计算机越来越普及,帮助人们完成日常办公,同时也丰富了人们的娱乐生活。在每台计算机上都运行着各种软件,帮助人们实现不同的处理要求。随着网络的普及,每台计算机都连接到网络,形成了庞大复杂的网络体系,因此无论是个人还是公司都会通过网络进行各式各样的数据交换。但是由于各种设备都可以连接到网络环境中,势必会使网络环境变得不安全。一些具有恶意行为的设备可以通过互联网连接到个人主机,并获取一些隐秘信息或直接操控该个人主机。传统的病毒检测方法依赖于病毒库或特征值匹配,但是这种检测方法只能检测出已知病毒,对未知病毒并不有效。而病毒经常也会伪造自己,使用户感觉恶意程序就像以往授信的程序一样,例如病毒使用授信的应用程序图标作为自己文档的图标,仅仅通过观看图标,用户会认为这是一个正常的文本文件,但是这个文本文件却包含了后门程序,广告程序或者键盘记录文件等。因此目前迫切需要一种可以准确检测出这种伪装成授信应用程序的病毒文件的方法。
发明内容
基于上述存在的问题,本发明实施例提供一种基于可视和非可视数据的威胁检测方法、装置及存储设备,用以解决对伪装成授信应用程序的病毒文件存在误判及漏判的问题。
本发明实施例公开一种基于可视和非可视数据的威胁检测方法,包括:
终端提取应用程序的可视数据和非可视数据,形成所述应用程序的唯一标识;将所述应用程序的唯一标识发送给服务器;服务器接收所述应用程序的唯一标识,与信息库中该应用程序的标识信息进行相似度计算,判断终端上的所述应用程序是否为病毒文件;服务器将所述应用程序是否为病毒文件的判断结果返回终端,若所述应用程序为病毒文件,则对该应用程序进行处置;所述信息库中包括:所有厂商的可视数据以及非可视数据信息。
进一步地,所述可视数据为所述应用程序对应的图标;所述非可视数据为所述应用程序的可移植的可执行文件结构,包括:位图、菜单、对话框、字符串、快捷键、图标组,版本以及厂商信息;其中,厂商信息包括:厂商的厂商名、签名、时间戳、文件类型。
进一步地,将应用程序对应的图标和图标组转换成PNG格式。
进一步地,服务器接收所述应用程序的唯一标识,与信息库中该应用程序的标识信息进行相似度计算,判断终端上的所述应用程序是否为病毒文件,具体为:
服务器接收所述应用程序的唯一标识;利用图像识别检测所述应用程序的可视数据与信息库中该应用程序的可视数据的相似度;若可视数据相似度的熵值低于预定值,则所述应用程序为病毒文件;若可视数据相似度的熵值不低于预定值,继续检测所述应用程序的非可视数据与信息库中该应用程序的非可视数据的相似度;若非可视数据相似度低于预定值,则所述应用程序为病毒文件,否则,所述应用程序为可信文件。
进一步地,利用图像识别检测所述应用程序的可视数据与信息库中该应用程序的可视数据的相似度,具体为:
对可视数据进行转换,包括:调整可视数据的尺寸、基于熵值的区域选择、将可视数据分割成不同属性的区域;利用光谱还原减少图像的噪声;使用边缘检测算法进行相似度计算。
本发明实施例公开一种基于可视和非可视数据的威胁检测装置,包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
终端提取应用程序的可视数据和非可视数据,形成所述应用程序的唯一标识;将所述应用程序的唯一标识发送给服务器;服务器接收所述应用程序的唯一标识,与信息库中该应用程序的标识信息进行相似度计算,判断终端上的所述应用程序是否为病毒文件;服务器将所述应用程序是否为病毒文件的判断结果返回终端,若所述应用程序为病毒文件,则对该应用程序进行处置;所述信息库中包括:所有厂商的可视数据以及非可视数据信息。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
所述可视数据为所述应用程序对应的图标;所述非可视数据为所述应用程序的可移植的可执行文件结构,包括:位图、菜单、对话框、字符串、快捷键、图标组,版本以及厂商信息;其中,厂商信息包括:厂商的厂商名、签名、时间戳、文件类型。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
将应用程序对应的图标和图标组转换成PNG格式。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
服务器接收所述应用程序的唯一标识,与信息库中该应用程序的标识信息进行相似度计算,判断终端上的所述应用程序是否为病毒文件,具体为:
服务器接收所述应用程序的唯一标识;利用图像识别检测所述应用程序的可视数据与信息库中该应用程序的可视数据的相似度;若可视数据相似度的熵值低于预定值,则所述应用程序为病毒文件;若可视数据相似度的熵值不低于预定值,继续检测所述应用程序的非可视数据与信息库中该应用程序的非可视数据的相似度;若非可视数据相似度低于预定值,则所述应用程序为病毒文件,否则,所述应用程序为可信文件。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
利用图像识别检测所述应用程序的可视数据与信息库中该应用程序的可视数据的相似度,具体为:
对可视数据进行转换,包括:调整可视数据的尺寸、基于熵值的区域选择、将可视数据分割成不同属性的区域;利用光谱还原减少图像的噪声;使用边缘检测算法进行相似度计算。
本发明实施例同时公开一种基于可视和非可视数据的威胁检测装置,包括:
服务器端和终端,服务器端和终端通过数据传输管理模块和数据传输模块建立数据连接关系;所述服务器端包括标识接收模块、匹配模块、判断模块、判断结果发送模块、处置模块和数据传输管理模块,所述终端包括数据提取模块、标识生成模块、标识发送模块和数据传输模块;
数据提取模块:用于终端提取应用程序的可视数据和非可视数据;
标识生成模块:用于终端形成所述应用程序的唯一标识;
标识发送模块:用于将所述应用程序的唯一标识发送给服务器;
标识接收模块:用于服务器接收所述应用程序的唯一标识;
匹配模块:用于与服务器存储的信息库中该应用程序的标识信息进行相似度计算,所述信息库中包括:所有厂商的可视数据以及非可视数据信息;
判断模块:用于判断终端上的所述应用程序是否为病毒文件;
判断结果发送模块:服务器将所述应用程序是否为病毒文件的判断结果返回终端;
处置模块:用于若所述应用程序为病毒文件,则服务器对该应用程序进行处置。
本发明实施例提供了一种存储设备,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行本发明实施例提供的基于可视和非可视数据的威胁检测方法步骤。
与现有技术相比,本发明提供的一种基于可视和非可视数据的威胁检测方法、装置及存储设备,至少实现了如下的有益效果:
终端提取应用程序的可视数据和非可视数据,形成所述应用程序的唯一标识;将所述应用程序的唯一标识发送给服务器;服务器接收所述应用程序的唯一标识,与信息库中该应用程序的标识信息进行相似度计算,判断终端上的所述应用程序是否为病毒文件;服务器将所述应用程序是否为病毒文件的判断结果返回终端,若所述应用程序为病毒文件,则对该应用程序进行处置;所述信息库中包括:所有厂商的可视数据以及非可视数据信息。伪装成授信应用程序的病毒文件势必会带有授信程序的可视数据,而该可视数据与真正授信程序的可视数据会在某一点上存在不同,且这些不同点是无法通过肉眼识别出来的。应用程序的可见数据即为图标,而图标是存储在可移植的可执行文件结构中,同时还有一些属性也存在可移植的可执行文件结构中,如编写应用程序的厂商名、应用程序的类型等等,上述的属性即为应用程序的非可见数据。将这些可见及非可见数据从应用程序中提取,并加以分析,这种方法能够提高伪装成授信应用程序的病毒文件判定的准确率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于可视和非可视数据的威胁检测方法流程图;
图2为本发明实施例提供的又一基于可视和非可视数据的威胁检测方法流程图;
图3为本发明实施例提供的基于可视和非可视数据的威胁检测装置结构图;
图4为本发明实施例提供的又一基于可视和非可视数据的威胁检测装置结构图。
具体实施方式
为了使本发明的目的,技术方案和优点更加清楚,下面结合附图,对本发明实施例提供的基于可视和非可视数据的威胁检测方法的具体实施方式进行详细地说明。应当理解,下面所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
伪装成授信应用程序的恶意程序势必会带有授信程序的可视数据,而该可视数据与真正授信程序的可视数据会在某一点上存在不同,且这些不同点是无法通过肉眼识别出来的。应用程序的可见数据即为图标,而图标是存储在可移植的可执行文件结构中,同时还有一些属性也存在可移植的可执行文件结构中,如编写应用程序的厂商名、应用程序的类型等等。上述的属性即为应用程序的非可见数据。将这些可见及非可见数据从应用程序中提取,并加以分析,能够解决对伪装成授信应用程序的恶意程序存在误判及漏判的问题。
基于此,本发明实施例提供了基于可视和非可视数据的威胁检测方法流程图,如图1所示,包括:
步骤11,终端提取应用程序的可视数据和非可视数据,形成所述应用程序的唯一标识;
其中,可视数据为所述应用程序对应的图标;非可视数据为所述应用程序的可移植的可执行文件结构,包括:位图、菜单、对话框、字符串、快捷键、图标组,版本以及厂商信息;而厂商信息包括:厂商的厂商名、签名、时间戳、文件类型;
步骤12,将所述应用程序的唯一标识发送给服务器;
步骤13,服务器接收所述应用程序的唯一标识,与信息库中该应用程序的标识信息进行相似度计算,判断终端上的所述应用程序是否为病毒文件;
信息库中包括:所有厂商的可视数据以及非可视数据。
步骤14,服务器将所述应用程序是否为病毒文件的判断结果返回终端,若所述应用程序为病毒文件,则对该应用程序进行处置。
因此,本发明实施例提供的方法能够提高伪装成授信应用程序的恶意程序判定的准确率;同时,本方法采用终端/服务器的结构进行部署,占用较少的系统资源且不依赖于任何病毒库,无论何时的病毒,在不需要升级的情况下,便可以自动检测出伪装成授信应用程序的病毒文件。
本发明实施例提供的又一基于可视和非可视数据的威胁检测方法流程图,如图2所示,包括:
步骤21,终端提取应用程序的图标和可移植的可执行文件结构;
步骤22,将应用程序对应的图标和图标组转换成PNG格式;
步骤23,形成应用程序的唯一标识;
步骤24,将应用程序的唯一标识发送给服务器;
步骤25,服务器接收所述应用程序的唯一标识;
步骤26,对应用程序的图标进行转换;
转换包括:调整图标的尺寸、基于熵值的区域选择、将图标分割成不同属性的区域。
步骤27,利用光谱还原减少图像的噪声;
步骤28,使用边缘检测算法进行相似度计算;
为了保证兼容所有系统,本方法中不采用颜色作为比较内容,因为一些系统允许使用少量的颜色集合。
步骤29,比较图标相似度的熵值与预定值的大小,若图标相似度的熵值低于预定值,则所述应用程序为病毒文件,执行步骤31;若图标相似度的熵值不低于预定值,则执行步骤30;
步骤30,检测应用程序的可移植的可执行文件结构与信息库中该应用程序的可移植的可执行文件结构的相似度;
若非可视数据相似度低于预定值,则所述应用程序为病毒文件,否则,所述应用程序为可信文件。
步骤31,服务器将判断结果返回终端,若应用程序为可信文件,则执行步骤32,若应用程序为病毒文件,则执行步骤33;
步骤32,用户可以进行操作;
步骤33,对该应用程序进行处置。
例如,终端发送了一个Word图标的唯一标识,服务器通过匹配图标,查找出对应的厂商为Microsoft,对应的文件类型为Word文档,同时匹配客户端提取的内容,包括文件厂商和数字签名,如果均匹配成功,则返回是正常应用程序。如果匹配不成功,则可以认为该PE文档是伪造Word文档的病毒文件。
本发明实施例还提供了一种基于可视和非可视数据的威胁检测装置,如图3所示,包括:所述装置包括存储器310和处理器320,所述存储器310用于存储多条指令,所述处理器320用于加载所述存储器310中存储的指令以执行:
终端提取应用程序的可视数据和非可视数据,形成所述应用程序的唯一标识;将所述应用程序的唯一标识发送给服务器;服务器接收所述应用程序的唯一标识,与信息库中该应用程序的标识信息进行匹配,判断终端上的所述应用程序是否为病毒文件;服务器将所述应用程序是否为病毒文件的判断结果返回终端,若所述应用程序为病毒文件,则对该应用程序进行处置;所述信息库中包括:所有厂商的可视数据以及非可视数据信息。
所述处理器320用于加载所述存储器310中存储的指令以执行:
所述可视数据为所述应用程序对应的图标;所述非可视数据为所述应用程序的可移植的可执行文件结构,包括:位图、菜单、对话框、字符串、快捷键、图标组,版本以及厂商信息;其中,厂商信息包括:厂商的厂商名、签名、时间戳、文件类型。
所述处理器320用于加载所述存储器310中存储的指令以执行:
将应用程序对应的图标和图标组转换成PNG格式。
所述处理器320用于加载所述存储器310中存储的指令以执行:
服务器接收所述应用程序的唯一标识,与信息库中该应用程序的标识信息进行匹配,判断终端上的所述应用程序是否为病毒文件,具体为:
服务器接收所述应用程序的唯一标识;利用图像识别检测所述应用程序的可视数据与信息库中该应用程序的可视数据的相似度;若可视数据相似度的熵值低于预定值,则所述应用程序为病毒文件;若可视数据相似度的熵值不低于预定值,继续检测所述应用程序的非可视数据与信息库中该应用程序的非可视数据的相似度;若非可视数据相似度低于预定值,则所述应用程序为病毒文件,否则,所述应用程序为可信文件。
所述处理器320用于加载所述存储器310中存储的指令以执行:
利用图像识别检测所述应用程序的可视数据与信息库中该应用程序的可视数据的相似度,具体为:
对可视数据进行转换,包括:调整可视数据的尺寸、基于熵值的区域选择、将可视数据分割成不同属性的区域;利用光谱还原减少图像的噪声;使用边缘检测算法进行相似度计算。
本发明实施例同时提供了又一种基于可视和非可视数据的威胁检测装置,如图4所示,包括:
服务器端41和终端42,服务器端41和终端42通过数据传输管理模块410和数据传输模块420建立数据连接关系;所述服务器端41包括标识接收模块411、匹配模块412、判断模块413、判断结果发送模块414、处置模块415和数据传输管理模块410,所述终端42包括数据提取模块421、标识生成模块422、标识发送模块423和数据传输模块420;
数据提取模块421:用于终端提取应用程序的可视数据和非可视数据;
标识生成模块422:用于终端形成所述应用程序的唯一标识;
标识发送模块423:用于将所述应用程序的唯一标识发送给服务器;
标识接收模块411:用于服务器接收所述应用程序的唯一标识;
匹配模块412:用于与服务器存储的信息库中该应用程序的标识信息进行匹配;
判断模块413:用于判断终端上的所述应用程序是否为病毒文件;
判断结果发送模块414:服务器将所述应用程序是否为病毒文件的判断结果返回终端;
处置模块415:用于若所述应用程序为病毒文件,则对该应用程序进行处置。
本发明实施例还提供一种存储设备,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行本发明实施例提供的基于可视和非可视数据的威胁检测方法的步骤。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明实施例可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种基于可视和非可视数据的威胁检测方法,其特征在于:
终端提取应用程序的可视数据和非可视数据,形成所述应用程序的唯一标识;
将所述应用程序的唯一标识发送给服务器;
服务器接收所述应用程序的唯一标识,与信息库中该应用程序的标识信息进行相似度计算,判断终端上的所述应用程序是否为病毒文件;
服务器将所述应用程序是否为病毒文件的判断结果返回终端,若所述应用程序为病毒文件,则对该应用程序进行处置;
所述信息库中包括:所有厂商的可视数据以及非可视数据信息。
2.如权利要求1所述的方法,其特征在于,
所述可视数据为所述应用程序对应的图标;
所述非可视数据为所述应用程序的可移植的可执行文件结构,包括:位图、菜单、对话框、字符串、快捷键、图标组,版本以及厂商信息;
其中,厂商信息包括:厂商的厂商名、签名、时间戳、文件类型。
3.如权利要求2所述的方法,其特征在于,
将应用程序对应的图标和图标组转换成PNG格式。
4.如权利要求1所述的方法,其特征在于,服务器接收所述应用程序的唯一标识,与信息库中该应用程序的标识信息进行相似度计算,判断终端上的所述应用程序是否为病毒文件,具体为:
服务器接收所述应用程序的唯一标识;
利用图像识别检测所述应用程序的可视数据与信息库中该应用程序的可视数据的相似度;
若可视数据相似度的熵值低于预定值,则所述应用程序为病毒文件;
若可视数据相似度的熵值不低于预定值,继续检测所述应用程序的非可视数据与信息库中该应用程序的非可视数据的相似度;
若非可视数据相似度低于预定值,则所述应用程序为病毒文件,否则,所述应用程序为可信文件。
5.如权利要求4所述的方法,其特征在于,利用图像识别检测所述应用程序的可视数据与信息库中该应用程序的可视数据的相似度,具体为:
对可视数据进行转换,包括:调整可视数据的尺寸、基于熵值的区域选择、将可视数据分割成不同属性的区域;
利用光谱还原减少图像噪声;
使用边缘检测算法进行相似度计算。
6.一种基于可视和非可视数据的威胁检测装置,其特征在于,所述装置包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
终端提取应用程序的可视数据和非可视数据,形成所述应用程序的唯一标识;
将所述应用程序的唯一标识发送给服务器;
服务器接收所述应用程序的唯一标识,与信息库中该应用程序的标识信息进行相似度计算,判断终端上的所述应用程序是否为病毒文件;
服务器将所述应用程序是否为病毒文件的判断结果返回终端,若所述应用程序为病毒文件,则对该应用程序进行处置;
所述信息库中包括:所有厂商的可视数据以及非可视数据信息。
7.如权利要求6所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
所述可视数据为所述应用程序对应的图标;
所述非可视数据为所述应用程序的可移植的可执行文件结构,包括:位图、菜单、对话框、字符串、快捷键、图标组,版本以及厂商信息;
其中,厂商信息包括:厂商的厂商名、签名、时间戳、文件类型。
8.如权利要求7所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
将应用程序对应的图标和图标组转换成PNG格式。
9.如权利要求6所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
服务器接收所述应用程序的唯一标识,与信息库中该应用程序的标识信息进行相似度计算,判断终端上的所述应用程序是否为病毒文件,具体为:
服务器接收所述应用程序的唯一标识;
利用图像识别检测所述应用程序的可视数据与信息库中该应用程序的可视数据的相似度;
若可视数据相似度的熵值低于预定值,则所述应用程序为病毒文件;
若可视数据相似度的熵值不低于预定值,继续检测所述应用程序的非可视数据与信息库中该应用程序的非可视数据的相似度;
若非可视数据相似度低于预定值,则所述应用程序为病毒文件,否则,所述应用程序为可信文件。
10.如权利要求9所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
利用图像识别检测所述应用程序的可视数据与信息库中该应用程序的可视数据的相似度,具体为:
对可视数据进行转换,包括:调整可视数据的尺寸、基于熵值的区域选择、将可视数据分割成不同属性的区域;
利用光谱还原减少图像噪声;
使用边缘检测算法进行相似度计算。
11.一种基于可视和非可视数据的威胁检测装置,其特征在于,包括:
服务器端和终端,服务器端和终端通过数据传输管理模块和数据传输模块建立数据连接关系;所述服务器端包括标识接收模块、匹配模块、判断模块、判断结果发送模块、处置模块和数据传输管理模块,所述终端包括数据提取模块、标识生成模块、标识发送模块和数据传输模块;
数据提取模块:用于终端提取应用程序的可视数据和非可视数据;
标识生成模块:用于终端形成所述应用程序的唯一标识;
标识发送模块:用于将所述应用程序的唯一标识发送给服务器;
标识接收模块:用于服务器接收所述应用程序的唯一标识;
匹配模块:用于与服务器存储的信息库中该应用程序的标识信息进行相似度计算,所述信息库中包括:所有厂商的可视数据以及非可视数据信息;
判断模块:用于判断终端上的所述应用程序是否为病毒文件;
判断结果发送模块:服务器将所述应用程序是否为病毒文件的判断结果返回终端;
处置模块:用于若所述应用程序为病毒文件,则服务器对该应用程序进行处置。
12.一种存储设备,其特征在于,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行权1-5任一所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910141220.9A CN111030969A (zh) | 2019-02-26 | 2019-02-26 | 基于可视和非可视数据的威胁检测方法、装置及存储设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910141220.9A CN111030969A (zh) | 2019-02-26 | 2019-02-26 | 基于可视和非可视数据的威胁检测方法、装置及存储设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111030969A true CN111030969A (zh) | 2020-04-17 |
Family
ID=70203483
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910141220.9A Withdrawn CN111030969A (zh) | 2019-02-26 | 2019-02-26 | 基于可视和非可视数据的威胁检测方法、装置及存储设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111030969A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111814909A (zh) * | 2020-08-06 | 2020-10-23 | 蔡淦祺 | 基于网络直播和在线电商带货的信息处理方法及云服务器 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102222199A (zh) * | 2011-06-03 | 2011-10-19 | 奇智软件(北京)有限公司 | 应用程序身份识别方法及系统 |
| CN103281325A (zh) * | 2013-06-04 | 2013-09-04 | 北京奇虎科技有限公司 | 基于云安全的文件处理方法及装置 |
| CN104486312A (zh) * | 2014-12-04 | 2015-04-01 | 北京奇虎科技有限公司 | 一种应用程序的识别方法和装置 |
| US20150113652A1 (en) * | 2011-07-14 | 2015-04-23 | AVG Netherlands B.V. | Detection of rogue software applications |
-
2019
- 2019-02-26 CN CN201910141220.9A patent/CN111030969A/zh not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102222199A (zh) * | 2011-06-03 | 2011-10-19 | 奇智软件(北京)有限公司 | 应用程序身份识别方法及系统 |
| US20150113652A1 (en) * | 2011-07-14 | 2015-04-23 | AVG Netherlands B.V. | Detection of rogue software applications |
| CN103281325A (zh) * | 2013-06-04 | 2013-09-04 | 北京奇虎科技有限公司 | 基于云安全的文件处理方法及装置 |
| CN104486312A (zh) * | 2014-12-04 | 2015-04-01 | 北京奇虎科技有限公司 | 一种应用程序的识别方法和装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111814909A (zh) * | 2020-08-06 | 2020-10-23 | 蔡淦祺 | 基于网络直播和在线电商带货的信息处理方法及云服务器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2614557C2 (ru) | Система и способ обнаружения вредоносных файлов на мобильных устройствах | |
| US20200193024A1 (en) | Detection Of Malware Using Feature Hashing | |
| US8161548B1 (en) | Malware detection using pattern classification | |
| US20200057953A1 (en) | Similarity based approach for clustering and accelerating multiple incidents investigation | |
| AU2018217323A1 (en) | Methods and systems for identifying potential enterprise software threats based on visual and non-visual data | |
| US9626495B2 (en) | Authenticating a device based on availability of other authentication methods | |
| US8572725B2 (en) | Dynamic password strength dependent on system state | |
| US20180247108A1 (en) | Segment-based handwritten signature authentication system and method | |
| US9003314B2 (en) | System, method, and computer program product for detecting unwanted data based on an analysis of an icon | |
| Naz et al. | Review of machine learning methods for windows malware detection | |
| EP3113065B1 (en) | System and method of detecting malicious files on mobile devices | |
| US20210336973A1 (en) | Method and system for detecting malicious or suspicious activity by baselining host behavior | |
| US20200050744A1 (en) | Authetication using features extracted based on cursor locations | |
| CN106685945B (zh) | 业务请求处理方法、业务办理号码的验证方法及其终端 | |
| CN107808082B (zh) | 电子装置、数据访问验证方法和计算机可读存储介质 | |
| US9177146B1 (en) | Layout scanner for application classification | |
| CN111030969A (zh) | 基于可视和非可视数据的威胁检测方法、装置及存储设备 | |
| KR20210035987A (ko) | 자카드 모델 기반의 문서 검색 장치 및 방법 | |
| CN112528286B (zh) | 终端设备安全检测方法、关联设备以及计算机程序产品 | |
| EP3182313B1 (en) | Content-based authentication | |
| CN113420302A (zh) | 主机漏洞检测方法及装置 | |
| CN112487432A (zh) | 一种基于图标匹配的恶意文件检测的方法、系统及设备 | |
| CN112883375A (zh) | 恶意文件识别方法、装置、设备及存储介质 | |
| RU2606556C2 (ru) | Способ ввода конфиденциальных данных | |
| CN111600901A (zh) | 一种应用鉴权方法、装置、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20200417 |
|
| WW01 | Invention patent application withdrawn after publication |