CN111191234A - 一种病毒信息检测的方法及装置 - Google Patents
一种病毒信息检测的方法及装置 Download PDFInfo
- Publication number
- CN111191234A CN111191234A CN201910727937.1A CN201910727937A CN111191234A CN 111191234 A CN111191234 A CN 111191234A CN 201910727937 A CN201910727937 A CN 201910727937A CN 111191234 A CN111191234 A CN 111191234A
- Authority
- CN
- China
- Prior art keywords
- virus
- client
- information
- characteristic
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请提出一种病毒信息检测方法及装置,上述方法包括:获得已知病毒库,从已知病毒库中提取与已知病毒库中病毒文件对应的特征值作为先验信息;接收客户端发送的特征记录;在特征记录中的第一特征值存在于先验信息中的情况下,将客户端作为第一客户端;在第二特征值在M个第一客户端中出现的次数满足第一阈值条件的情况下,将包含第二特征值的特征记录所对应的客户端作为第二客户端,M为大于1的整数;在先验信息中的第一特征值在N个第二客户端中出现的次数满足第二阈值条件的情况下,将第二特征值作为病毒信息,N为大于1的整数。实施本申请,可以确认设备的使用安全程度,并且提高病毒信息识别准确率,从而优化病毒信息查杀效果。
Description
技术领域
本申请涉及计算机技术领域,具体涉及一种病毒信息检测方式以及装置。
背景技术
目前,为了保障设备正常使用和维护信息安全,会在设备中安装杀毒软件,以便查杀设备中由于敏感操作接触到的病毒。
现有的杀毒软件主要依赖于特征匹配,对设备中存在的病毒进行判断,并且杀毒软件的识别能力与其病毒特征码库中的收录的病毒数量有关。随着病毒不断更新,产生了大量病毒特征码库中尚未收录的新型病毒。面对这些发生了变化的新型病毒,杀毒软件不能确保设备当前处于安全使用的状态,同时,杀毒软件对于新型病毒的识别效果较为低下。
发明内容
鉴于上述问题,提出了本申请以便提供一种克服上述问题或者至少部分地解决上述问题的一种病毒信息检测的方法及装置。
第一方面,本申请实施例提供了一种病毒信息检测方法,上述方法包括:获得已知病毒库,从已知病毒库中提取与上述已知病毒库中病毒文件对应的特征值作为先验信息;接收客户端发送的特征记录;在上述特征记录中的第一特征值存在于上述先验信息中的情况下,将上述客户端作为第一客户端;在第二特征值在M个第一客户端中出现的次数满足第一阈值条件的情况下,将包含上述第二特征值的特征记录所对应的客户端作为第二客户端,上述M为大于1的整数;在上述先验信息中的第一特征值在N个第二客户端中出现的次数满足第二阈值条件的情况下,将上述第二特征值作为病毒信息,上述N为大于1的整数。
在一种可能的实现方式中,上述从已知病毒库中提取与上述已知病毒库中病毒文件对应的特征值作为先验信息,包括:从上述已知病毒库的病毒文件中提取上述病毒文件包含的IP地址信息、IP端口信息、域名信息、文件名称信息、文件关联信息以及文件建立信息中的任意一种信息,作为上述先验信息。
在另一种可能的实现方式中,上述接收客户端发送的特征记录包括:接收上述客户端发送的包含IP地址信息、IP端口信息、域名信息、文件名称信息、文件关联信息以及文件建立信息中的任意一种信息的特征记录。
在又一种可能的实现方式中,上述第二特征值为上述特征记录中包含的IP地址信息、IP端口信息、域名信息、文件名称信息、文件关联信息以及文件建立信息中的任意一种信息。
在又一种可能的实现方式中,上述将上述客户端作为第一客户端,包括:判断上述第一特征值是否出现在设定时间段的上述特征记录中;若确认上述第一特征值出现在设定时间段的上述特征记录中,将上述客户端作为第一客户端。
在又一种可能的实现方式中,上述将上述客户端作为第一客户端之前,上述方法还包括:获取上述第一特征值对应的生命周期,将上述生命周期作为上述设定时间段。
在又一种可能的实现方式中,上述第二特征值在M个第一客户端中出现的次数满足阈值条件,包括:统计上述M个第一客户端的特征记录中的上述第二特征值出现的次数;在上述第二特征值出现的次数与上述M个第一客户端发送的特征记录对应的特征值总数量的比值大于第一阈值的情况下,确定上述第二特征值在M个第一客户端中出现的次数满足第一阈值条件。
在又一种可能的实现方式中,所述从已知病毒库中提取与所述已知病毒库中病毒文件对应的特征值作为先验信息,包括:按照预先设定的病毒文件的优先级确定提取顺序;按上述提取顺序依次从已知病毒库中提取与上述已知病毒库中病毒文件对应的特征值作为先验信息。
第二方面,本申请实施例提供了一种病毒信息检测装置,包括:提取单元,用于获得已知病毒库,从已知病毒库中提取与上述已知病毒库中病毒文件对应的特征值作为先验信息;接收单元,用于接收客户端发送的特征记录;确定单元,用于在上述特征记录中的第一特征值存在于上述先验信息中的情况下,将上述客户端作为第一客户端;上述确定单元还用于,在第二特征值在M个第一客户端中出现的次数满足第一阈值条件的情况下,将包含上述第二特征值的特征记录所对应的客户端作为第二客户端,上述M为大于1的整数;上述确定单元还用于,在上述先验信息中的第一特征值在N个第二客户端中出现的次数满足第二阈值条件的情况下,将上述第二特征值作为病毒信息,上述N为大于1的整数。
在一种可能的实现方式中,上述提取单元具体用于,从上述已知病毒库的病毒文件中提取上述病毒文件包含的IP地址信息、IP端口信息、域名信息、文件名称信息、文件关联信息以及文件建立信息中的任意一种信息,作为上述先验信息。
在又一种可能的实现方式中,上述接收单元具体用于,接收上述客户端发送的包含IP地址信息、IP端口信息、域名信息、文件名称信息、文件关联信息以及文件建立信息中的任意一种的特征记录;。
在又一种可能的实现方式中,上述第二特征值为上述特征记录中包含的IP地址信息、IP端口信息、域名信息、URL站点信息、文件名称信息、文件关联信息以及文件建立信息中的任意一种。
在另一种可能的实现方式中,上述确定单元包括:判断子单元,用于判断上述第一特征值是否出现在设定时间段的上述特征记录中;
确定子单元,用于若确认上述第一特征值出现在设定时间段的上述特征记录中,将上述客户端作为第一客户端。
在又一种可能的实现方式中,上述装置还包括:获取单元,用于获取上述第一特征值对应的潜伏周期,将上述潜伏周期作为上述设定时间段。
在又一种可能的实现方式中,上述确定单元具体用于,统计上述M个第一客户端的特征记录中的上述第二特征值出现的次数;在上述第二特征值出现的次数与上述M个第一客户端发送的特征记录对应的特征值总数量的比值大于阈值的情况下,确定上述第二特征值在M个第一客户端中出现的次数满足第一阈值条件。
第三方面,本申请实施例提供了一种病毒信息检测装置,包括:处理器、输入装置、输出装置和存储器,其中,存储器用于存储支持服务器执行上述方法的计算机程序,计算机程序包括程序指令,处理器被配置用于调用程序指令,执行上述第一方面的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行以实现上述各方面所述的方法。
第五方面,本申请实施例提供了一种包含程序指令的计算机程序产品,当其在计算机上运行时,使得计算机执行如第一方面所示的方法。
实施本申请,基于已知病毒库的信息对客户端上传的特征记录进行检测,可以确认设备的使用安全程度,并且提高病毒信息识别准确率,从而确认病毒信息是否为已知病毒的新变化。
附图说明
为了更清楚地说明本申请实施例或背景技术中的技术方案,下面将对本申请实施例或背景技术中所需要使用的附图进行说明。
图1是本申请实施例提供的一种病毒信息检测系统的架构图;
图2是本申请实施例提供的一种病毒信息检测的流程图;
图3是本申请实施例提供的一种病毒信息检测方法的流程图;
图4是本申请实施例提供的一种病毒信息检测装置的结构示意图;
图5是本申请实施例提供的一种简化的病毒信息检测实体装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例进行描述。
本申请的说明书和权利要求书及所述附图中的术语“第一”、“第二”和“第三”等是用于区别不同对象,而不是用于描述特定顺序。此外,“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
在本申请中使用的术语“服务器”、“单元”、“系统”等用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。例如,服务器可以是但不限于,处理器,数据处理平台,计算设备,计算机,两个或更多个计算机等。
请参阅图1,图1是本申请实施例提供的一种病毒信息检测系统的架构图。如图1所示,该系统中包括客户端10、病毒信息检测装置20和病毒库30。在一种可能的实现方式中,客户端10可以为手机、平板电脑、笔记本电脑等便携式终端,也可以为台式电脑等非便携式终端,或者为其他能够上传数据的设备。
需要说明的是,在图1所示的病毒信息检测系统中:客户端10,用于向病毒信息检测装置20发送特征记录。
病毒信息检测装置20,用于从病毒库30中提取与上述病毒库30中病毒文件对应的特征值作为先验信息;病毒信息检测装置20,还用于接收客户端10发送的特征记录;病毒信息检测装置20,还用于在上述特征记录中的第一特征值存在于上述先验信息中的情况下,将上述客户端作为第一客户端。
病毒库30,用于向病毒信息检测装置20提供上述病毒文件。
在一种可能的实现方式中,客户端10可以向特征记录数据库发送特征记录,病毒信息检测装置20从上述特征记录数据库获取客户端10发送的特征记录。
请参阅图2,图2是本申请实施例提供的一种病毒信息检测的流程图,由图2所示的病毒信息检测流程可知当病毒信息检测装置20提取病毒库30中的病毒文件对应的特征值之后,需要判断该特征值是否已经提取过;若该特征值没有被提取过,病毒信息检测装置20可以选取包含该特征值的M个客户端10作为第一客户端,并获取这些客户端发送的特征记录;否则,则病毒信息检测装置20检查病毒库30中所有病毒文件对应的特征值是否都被提取过。可选的,病毒信息检测装置20获取第一客户端发送特征记录的方式可以为:客户端10向特征记录数据库发送特征记录,病毒信息检测装置20获取第一客户端对应的全局唯一标识符(Globally Unique Identifier,GUID),病毒信息检测装置20根据全局唯一标识符,查找到特征记录数据库中的对应客户端10发送的特征记录;病毒信息检测装置20向对应的客户端10发送信息获取请求,使得客户端10向病毒信息检测装置20发送特征记录。
由图2所示的病毒信息检测流程可知,病毒信息检测装置20需要在第一客户端发送的特征记录中筛选出与上述第一特征值关联较强的第二特征值。病毒信息检测装置20可以通过设置条件的方式,获取至少一个与上述第一特征值关联较强的第二特征值。病毒信息检测装置20对上述第二特征值进行可信验证,进一步排除正常软件文件的干扰。即病毒信息检测装置20重复执行上述步骤,直至确定与第二特征值关联较强的特征值存在第一特征值,则确定第二特征值可能为第一特征值所在病毒家族的病毒信息。否则,确认该第一特征值处理完成。
在一种可能的实现方式中,病毒信息检测装置20查找不到与上述第一特征值关联较强的特征值,则病毒信息检测装置20继续对病毒库30中其他未被提取过的特征值进行处理,直至病毒库30中所有的特征值均被处理完成,病毒信息检测装置20结束本次病毒信息检测流程。
请参阅图3,图3是本申请实施例提供的一种病毒信息检测方法的流程示意图,上述方法包括:
S101、获得已知病毒库,从已知病毒库中提取与上述已知病毒库中病毒文件对应的特征值作为先验信息。
具体的,从上述已知病毒库的病毒文件中提取上述病毒文件包含的IP地址信息、IP端口信息、域名信息、文件名称信息、文件关联信息以及文件建立信息中的任意一种信息,作为上述先验信息。
例如,上述先验信息可以为创建名称为“1”的文件后,访问名称为“2”的文件。又例如,上述先验信息可以为在客户端的A目录下产生名称为“1”的病毒文件。又例如,上述先验信息可以为客户端打开FTP的A端口,用于上传名称为“2”的文件。又例如,上述先验信息可以为客户端通过B端口发送字节长度为100字节的代码。应理解,上述说明仅仅是用作举例,本申请实施例不对先验信息作具体限定。
已知病毒库可以预先将病毒文件进行分类存储,则可以让病毒信息检测装置按照当前的检测需求,确定提取顺序。此处的分类标准可以按照病毒文件所使用的算法进行划分,也可以按照病毒文件传染渠道进行划分,还可以按照病毒文件的破坏能力进行划分,还可以按照病毒文件的连接方式进行划分,本申请实施例不作具体限定。
例如,上述病毒库中存在A、B、C三类病毒文件,上述病毒信息检测装置按照类别标签确定提取顺序。先依次提取全部A类病毒文件对应的特征值作为先验信息,再依次提取全部B类病毒文件对应的特征值作为先验信息,最后再依次提取全部C类病毒文件对应的特征值作为先验信息。
又例如,上述病毒库中存在A、B、C三类病毒文件,上述病毒信息检测装置按照类别标签依次提取不同类别的病毒文件对应的特征值作为先验信息,上述病毒信息检测装置先提取一个A类病毒文件对应的特征值作为先验信息,再提取一个B类病毒文件对应的特征值作为先验信息,最后提取一个C类病毒文件对应的特征值作为先验信息。
在一种可能的实现方式中,按照预先设定的病毒文件的优先级确定提取顺序;按上述提取顺序依次从已知病毒库中提取与上述已知病毒库中病毒文件对应的特征值作为先验信息。
例如,上述病毒信息检测装置依据病毒文件的破坏能力,设定病毒文件对应的优先级。上述病毒信息检测装置按照优先级由高到低的提取顺序,从已知病毒库中提取破坏能力较强的病毒文件对应的特征值。
又例如,在“蠕虫”型病毒肆虐的时间段,上述病毒信息检测装置结合病毒文件的实际的破坏能力,调整“蠕虫”型病毒对应的优先级。先提取上述已知病毒库中的破坏能力较强的“蠕虫”型病毒对应的特征值作为先验信息。
S102、接收客户端发送的特征记录。
具体的,接收上述客户端发送的包含IP地址信息、IP端口信息、域名信息、文件名称信息、文件关联信息以及文件建立信息中的任意一种信息的特征记录。
在一种可能的实现方式中,上述病毒信息检测装置对接收到的特征记录,按照上述先验信息对应信息类型进行分类。
例如,上述病毒检测装置将客户端A和客户端B发送的属于IP地址信息类型的特征记录归为一类,将两个客户端发送的属于文件名称类型的特征记录归为一类。
在另一种可能的实现方式中,特征记录数据库对上述客户端发送的特征记录进行存储,上述病毒信息检测装置从上述特征记录数据库选取相应客户端发送的特征记录进行处理。
进一步的,使用全局唯一标识符(Globally Unique Identifier,GUID)对上述客户端进行区分。
S103、在上述特征记录中的第一特征值存在于上述先验信息中的情况下,将上述客户端作为第一客户端。
在一种可能的实现方式中,若确定上述特征记录中的第一特征值存在于上述先验信息中时,上述病毒信息检测装置获取上述客户端对应的全局唯一标识符。
例如,上述第一特征值为域名信息A,该域名信息A为已知病毒库中的B类病毒文件经常使用的域名信息,则确定上述客户端发送的上述第一特征值存在于上述先验信息中,上述病毒信息检测装置可以根据该客户端对应的全局唯一标识符,生成第一客户端名单。
进一步的,上述病毒信息检测装置对上述第一特征值的出现时间进行统计,生成多个时间段对应的第一客户端名单。
例如,客户端A的特征记录中的第一特征值出现在3天之内,客户端B的特征记录中的第一特征值出现在5天之内,则上述病毒信息检测装置生成的第一客户端名单A(对应3天时间段)中只包含客户端A,上述病毒信息检测装置生成的第一客户端名单B(对应5天时间段)中包含客户端A和客户端B。
可选的,上述第一客户端名单可以按照上述第一特征值出现时间,按照出现时间由早到晚的顺序,将第一客户端进行排序。
例如,客户端A的特征记录中的第一特征值出现在3天之内,客户端B的特征记录中的第一特征值出现在5天之内,即客户端A在第一客户端名单中的顺序高于客户端B在第一客户端名单中的顺序。
在另一种可能的实现方式中,上述将上述客户端作为第一客户端,包括:判断上述第一特征值是否出现在设定时间段的上述特征记录中;若确认上述第一特征值出现在设定时间段的上述特征记录中,将上述客户端作为第一客户端。
例如,上述病毒信息检测装置将上述设定时间段的时长设定为3天,在上述病毒信息检测装置生成多个时间段对应的第一客户端名单的情况下,上述病毒信息检测装置将对应3天时间段的第一客户端名单中的客户端,作为第一客户端。
又例如,上述病毒信息检测装置生成的第一客户端名单包括第一特征值在上述客户端对应的出现时间。在将上述设定时间段的时长设定为5天的情况下,上述病毒信息检测装置根据第一特征值出现时间对客户端进行筛选,将第一特征值出现时间在5天之内的客户端作为第一客户端。
在又一种可能的实现方式中,上述将上述客户端作为第一客户端之前,上述方法还包括:获取上述第一特征值对应的生命周期,将上述生命周期作为设定时间段。
具体的,上述生命周期为上述第一特征值对应的潜伏周期、传播周期、触发周期以及发作周期之和。
例如,上述第一特征值对应的生命周期为3天,则上述病毒信息检测装置将设定时间段设置为3天。
又例如,上述第一特征值的潜伏周期为7天,而传播周期、触发周期和发作周期之和为3天,则上述病毒信息检测装置可以将设定时间段设置为6天,即上述病毒信息检测装置可以获取到的客户端中可能包括处于不同病毒感染极阶段的客户端。
S104、在第二特征值在M个第一客户端中出现的次数满足第一阈值条件的情况下,将包含上述第二特征值的特征记录所对应的客户端作为第二客户端,上述M为大于1的整数。
具体的,统计上述M个第一客户端的特征记录中的上述第二特征值出现的次数;在上述第二特征值出现的次数与上述M个第一客户端发送的特征记录对应的特征值总数量的比值大于第一阈值的情况下,确定上述第二特征值在M个第一客户端中出现的次数满足第一阈值条件。
例如,上述病毒信息检测装置将第一阈值设置为60%,上述M个第一客户端发送的特征记录中一共包含1000个特征值。其中,上述第二特征值出现了650次,即确定上述第二特征值在M个第一客户端中出现的次数满足第一阈值条件。
在一种可能的实现方式中,述第二特征值为上述特征记录中包含的IP地址信息、IP端口信息、域名信息、文件名称信息、文件关联信息以及文件建立信息中的任意一种信息。
在另一种可能的实现方式中,统计上述第二特征值在上述M个第一客户端的每个客户端的特征记录中出现的次数;在上述第二特征值出现的次数与上述M个第一客户端发送的特征记录对应的特征值总数量的至少一个比值大于第一阈值的情况下,确定上述第二特征值在M个第一客户端中出现的次数满足第一阈值条件。
例如,上述病毒信息检测装置将第一阈值设置为60%,上述第二特征值分别在客户端A、客户端B和客户端C中出现过,其中,上述第二特征值出现的次数与这3个第一客户端特征值总数量的比值分别为80%、76%和50%,即确定上述第二特征值在M个第一客户端中出现的次数满足第一阈值条件。
进一步的,上述病毒信息检测装置将上述第二特征值出现次数与上述M个第一客户端发送的特征记录对应的特征值总数量的比值中的最大值,作为判断上述第二特征值是否满足上述第一阈值条件的基础。
例如,上述病毒信息检测装置将第一阈值设置为60%,上述第二特征值分别在客户端A、客户端B和客户端C中出现过,其中,上述第二特征值出现的次数与这3个第一客户端特征值总数量的比值分别为80%、76%和50%,即将80%作为与上述第一阈值条件进行判断的基础,由于80%大于60%,所以上述病毒信息检测装置确定上述第二特征值在M个第一客户端中出现的次数满足第一阈值条件。
可选的,上述病毒信息检测装置选择第二特征值多个比值的平均值,作为判断上述第二特征值是否满足上述第一阈值条件的基础。
例如,上述病毒信息检测装置将第一阈值设置为60%,上述第二特征值分别在客户端A、客户端B和客户端C中出现过,其中,上述第二特征值出现的次数与这3个第一客户端特征值总数量的比值分别为80%、76%和50%,即将68%作为与上述第一阈值条件进行判断的基础。
进一步的,可以根据上述第二特征值出现次数与上述M个第一客户端发送的特征记录对应的特征值总数量的比值,确定上述第二特征值的可疑程度。
例如,若特征值K和特征值H所计算出的比值的最大值分别为65%和75%,即特征值H属于第一特征值所在病毒家族的可能性大于特征值K。
在又一种可能的实现方式中,当需要筛选出尽可能多的病毒信息时,上述病毒信息检测装置可以将第一阈值条件进行下调。
例如,上述病毒信息检测装置将第一阈值设置为40%,上述第二特征值分别在客户端A和客户端B中出现过,其中,上述第二特征值出现的次数与这2个第一客户端特征值总数量的比值分别为41%和35%,由于第一阈值设置为40%,即确定上述第二特征值在M个第一客户端中出现的次数满足第一阈值条件。
进一步的,上述病毒信息检测装置根据设置的第一阈值条件,将上述第二特征值满足上述第一阈值条件的所对应的客户端作为第二客户端。
例如,上述病毒信息检测装置将第一阈值设置为60%,其中,上述第二特征值分别在客户端A、客户端B和客户端C中出现的次数与这3个第一客户端特征值总数量的比值分别为80%、76%和50%,即将客户端A和客户端B作为第二客户端。
在又一种可能的实现方式中,在统计上述M个第一客户端的特征记录中的上述第二特征值出现的次数之前,上述方法还包括:判断上述第一客户端的数量是否大于第一数量阈值;若上述第一客户端的数量大于上述第一数量阈值,上述M为大于或等于上述第一数量阈值的整数;否则,上述M为上述第一客户端的数量。
例如,在上述第一客户端数量为80,上述第一数量阈值为10的情况下,上述M个第一客户端可以为上述80个第一客户端中的任意10个客户端。
又例如,在上述第一客户端数量为5,上述第一数量阈值为10的情况下,上述M个第一客户端为上述5个第一客户端。
进一步的,上述病毒信息检测装置可以根据不同特征值,设置不同的第一数量阈值。
例如,在选取特征值A对应的M个第一客户端时,设置的第一数量阈值为20。在上述第一客户端数量为80的情况下,上述M个第一客户端可以为上述80个第一客户端中的任意20个客户端。在选取特征值B对应的M个第一客户端时,设置的第一数量阈值为15。在上述第一客户端数量为30的情况下,上述M个第一客户端可以为上述30个第一客户端中的任意15个客户端。
在又一种可能的实现方式中,根据将包含上述第二特征值的特征记录所对应的客户端作为第二客户端的次数,生成上述第二特征值对应的排查次数。
例如,当特征值A作为上述先验信息,并且特征值K和特征值H在M个第一客户端中出现的次数均满足第一阈值条件的情况下,特征值K和特征值H对应的排查次数均为1;当特征值B作为上述先验信息,并且特征值K在M个第一客户端中出现的次数均满足第一阈值条件的情况下,将特征值K对应的排查次数更新为2。
进一步的,上述病毒信息检测装置根据上述排查次数,确定上述客户端的使用安全程度。
例如,客户端A发送的特征记录中有4个特征值对应的排查次数超过5次,而客户端B发送的特征记录中有20个特征值对应的排查次数超过5次,则客户端B的使用安全程度低于客户端A。
S105、在上述先验信息中的第一特征值在N个第二客户端中出现的次数满足第二阈值条件的情况下,将上述第二特征值作为病毒信息,上述N为大于1的整数。
具体的,统计上述N个第二客户端的特征记录中上述先验信息中的第一特征值出现的次数;在上述第一特征值出现的次数与上述N个第二客户端发送的特征记录对应的特征值总数量的比值大于第二阈值的情况下,确定上述先验信息中的第一特征值在N个第二客户端中出现的次数满足第二阈值条件。
例如,上述病毒信息检测装置将第二阈值设置为45%,其中,上述第一特征值在上述N个第二客户端的2000个特征值中一共出现了920次,即确定上述第一特征值在N个第二客户端中出现的次数满足第二阈值条件。
在一种可能的实现方式中,统计上述第一特征值在上述N个第二客户端的每个客户端的特征记录中出现的次数;在上述第一特征值出现的次数与上述N个第二客户端发送的特征记录对应的特征值总数量的至少一个比值大于第二阈值的情况下,确定上述第一特征值在N个第二客户端中出现的次数满足第二阈值条件。
例如,上述病毒信息检测装置将第二阈值设置为55%,上述第一特征值分别在客户端A和客户端B出现的次数与这2个第二客户端特征值总数量的比值分别为60%和50%,即确定上述第一特征值在N个第二客户端中出现的次数满足第二阈值条件。
在另一种可能的实现方式中,在统计上述第一特征值在上述N个第二客户端的特征记录中出现的次数之前,上述方法还包括:判断上述第二客户端的数量是否大于第二数量阈值;若上述第二客户端的数量大于上述第二数量阈值,上述N为大于或等于上述第二数量阈值的整数;否则,上述N为上述第二客户端的数量。
例如,在上述第二数量阈值为12的情况下,上述病毒信息检测装置已经获取了15个满足上述条件的客户端,上述N个第二客户端为上述15个客户端中的任意12个客户端。
又例如,在上述第二数量阈值为12的情况下,上述病毒信息检测装置只得到了10个第二客户端,即上述N个第二客户端为上述10个客户端。
进一步的,上述病毒信息检测装置可以根据当前的资源使用程度,选择合适数量的第二客户端。
例如,在上述第二客户端数量为70,上述第二数量阈值为10的情况下,上述病毒信息检测装置由于资源使用程度较低,上述N个第二客户端可以为上述70个第二客户端中的任意20个客户端。
在又一种可能的实现方式中,根据病毒查杀力度,调节上述第二阈值条件。
例如,在需要排查出尽可能多的病毒信息时,上述病毒信息检测装置可以将原来设置的第二阈值由55%下调为35%,得到尽可能多的与上述第一特征值存在关联的第二特征值。
又例如,在需要筛选出可疑程度更高的病毒信息时,上述病毒信息检测装置可以将原来设置的第二阈值由35%上调至65%,得到与上述第一特征值关联更紧密的第二特征值。
在又一种可能的实现方式中,根据上述第二特征值对应的排查次数,确定上述第二特征值类型信息。
例如,特征值A和特征值B为同一个病毒家族,当特征值A和特征值B分别作为先验信息时,特征值K在M个第一客户端中出现的次数均满足第一阈值条件,则特征值K和特征值A、特征值B属于同一个病毒类型的病毒信息。
进一步的,根据上述第二特征值对应的排查次数,对上述第二特征值进行查杀顺序排序。
例如,当特征值A、特征值B和特征值C分别作为先验信息时,特征记录中的特征值K对应的排查次数为3次,特征记录中的特征值H对应的排查次数为5次。按照排查次数由多到少进行排序,特征值H的查杀顺序优于特征值K。
在又一种可能的实现方式中,根据用户的设置和查杀顺序排序,确定提示方式。
例如,用户选择“不提示查杀高危病毒”,并且上述病毒信息检测装置将排查次数超过6次的特征值标记为高危病毒。上述病毒信息检测装置确定某个特征值为高危病毒信息时,进行自动查杀,用户不会接受到任何提示消息。
又例如,用户选择“设备空闲时,自动查杀高危病毒”,即当用户超过一定时间阈值没有对上述病毒信息检测装置进行操作时,上述病毒信息检测装置判断当前属于空闲状态,可以对确定为高危病毒的特征值进行自动查杀,用户不会接受到任何提示消息。
又例如,用户选择“提示高危病毒,不自动查杀”,并且将排查次数超过5次的特征值标记为高危病毒。上述病毒信息检测装置对排查次数在5次及5次以下的特征值进行自动查杀;对于排查次数在5次以上的特征值,需要先向用户进行提示,在获取到用户的确认查杀指令后,再对相关高危病毒进行查杀。
又例如,用户选择“只提示高危病毒,不自动查杀”,并且将排查次数超过5次的特征值标记为高危病毒。上述病毒信息检测装置对于排查次数在5次以上的特征值进行自动查杀;对于排查次数在5次及5次以下的特征值,上述病毒信息检测装置需要先向用户进行提示,在获取到用户的确认查杀指令后,再对相关特征值进行查杀。
进一步的,用户可以根据自身需求,设置上述病毒信息检测装置查杀完成的提示方式。
例如,上述病毒信息检测装置可以在查杀完成后,提示用户查杀操作完成,可以退出查杀页面。
又例如,上述病毒信息检测装置在查杀完成后,不发送任何提示消息,并选择将查杀页面进行最小化处理。
又例如,根据用户设置和上述病毒信息检测装置实际进行的查杀内容,上述病毒信息检测装置可以在查杀完成后,提示用户进行清理重复项的操作。上述重复项可以为用户在系统更新后残余的更新包、无效注册表、以及满足清理要求的备份文件。
又例如,上述病毒信息检测装置在查杀完成后,向用户发送本次查杀报告,上述查杀报告包含查杀所用时间以及高危病毒相关的特征记录。
可选的,上述病毒信息检测装置根据本次查杀所用时间,设置下一次自动检测周期。
例如,本次查杀所用时间为3小时,上述病毒信息检测装置可以将原来设置的自动检测周期由3天更改为1天。
又例如,由于本次查杀所用时间超过设定值,上述病毒信息检测装置向用户发送查杀周期建议,使得用户在规定时间内进行病毒信息检测。
本申请实施例中通过获取客户端上传的特征记录,并基于已知病毒库对客户端上传的特征记录进行检测,可以病毒信息识别准确率,从而确定病毒信息是否为已知病毒的新变化。
请参阅图4,图4是本申请实施例提供的一种病毒信息检测装置的结构示意图,如图4所示的病毒信息检测装置,可包括:提取单元201、接收单元202及确定单元203。
提取单元201,用于获得已知病毒库,从已知病毒库中提取与上述已知病毒库中病毒文件对应的特征值作为先验信息;
接收单元202,用于接收客户端发送的特征记录;
确定单元203,用于在上述特征记录中的第一特征值存在于上述先验信息中的情况下,将上述客户端作为第一客户端。
在一种可能的实现方式中,上述确定单元203还用于,在第二特征值在M个第一客户端中出现的次数满足第一阈值条件的情况下,将包含上述第二特征值的特征记录所对应的客户端作为第二客户端,上述M为大于1的整数。
在另一种可能的实现方式中,上述确定单元203还用于,在上述先验信息中的第一特征值在N个第二客户端中出现的次数满足第二阈值条件的情况下,将上述第二特征值作为病毒信息,上述N为大于1的整数。
在又一种可能的实现方式中,上述提取单元201具体用于,从上述已知病毒库的病毒文件中提取上述病毒文件包含的IP地址信息、IP端口信息、域名信息、文件名称信息、文件关联信息以及文件建立信息中的任意一种信息,作为上述先验信息。
在又一种可能的实现方式中,上述接收单元202具体用于,接收上述客户端发送的包含IP地址信息、IP端口信息、域名信息、文件名称信息、文件关联信息以及文件建立信息中的任意一种的特征记录;。
在又一种可能的实现方式中,上述第二特征值为上述特征记录中包含的IP地址信息、IP端口信息、域名信息、URL站点信息、文件名称信息、文件关联信息以及文件建立信息中的任意一种。在又一种可能的实现方式中,上述确定单元203包括:
判断子单元2031,用于判断上述第一特征值是否出现在设定时间段的上述特征记录中;
确定子单元2032,用于若确认上述第一特征值出现在设定时间段的上述特征记录中,将上述客户端作为第一客户端。
在又一种可能的实现方式中,上述装置还包括:
获取单元204,用于获取上述第一特征值对应的潜伏周期,将上述潜伏周期作为上述设定时间段。
在又一种可能的实现方式中,上述确定单元203具体用于,统计上述M个第一客户端的特征记录中的上述第二特征值出现的次数;在上述第二特征值出现的次数与上述M个第一客户端发送的特征记录对应的特征值总数量的比值大于阈值的情况下,确定上述第二特征值在M个第一客户端中出现的次数满足第一阈值条件。
有关上述提取单元201、接收单元202、确定单元203及获取单元204更详细的描述可以直接参考上述图3所述的方法实施例中病毒信息检测方法的相关描述直接得到,这里不加赘述。
根据本申请实施例提供的一种病毒信息检测装置,通过获取客户端上传的特征记录,并基于已知病毒库对客户端上传的特征记录进行检测,可以确认设备的使用安全程度,并且提高病毒信息识别准确率,从而确认病毒信息是否为已知病毒的新变化。
请参阅图5,图5是本申请实施例提供的一种病毒信息检测装置的实体装置结构示意图。如图5所示的本实施例中的病毒信息检测装置可以包括:处理器301、输入装置302、输出装置303及存储器304。上述处理器301、输入装置302、输出装置303及存储器304之间可以通过总线相互连接。
存储器包括但不限于是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(CompactDisc Read-Only Memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过总线与处理器相连接。存储器也可以和处理器集成在一起。
处理器也可以称为处理组件,处理单元,处理单板,处理模块、处理装置等。处理器可以是中央处理器(central processing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。处理器可以包括是一个或多个处理器,例如包括一个或多个中央处理器,在处理器是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
存储器用于存储网络设备的程序代码和数据。
输入装置用于输入数据和/或信号,以及输出装置用于输出数据和/或信号。输出装置和输入装置可以是独立的器件,也可以是一个整体的器件。
处理器用于调用该存储器中的程序代码和数据,执行如下步骤:获得已知病毒库,从已知病毒库中提取与上述已知病毒库中病毒文件对应的特征值作为先验信息;控制输入装置接收客户端发送的特征记录;在上述特征记录中的第一特征值存在于上述先验信息中的情况下,将上述客户端作为第一客户端;在第二特征值在M个第一客户端中出现的次数满足第一阈值条件的情况下,将包含上述第二特征值的特征记录所对应的客户端作为第二客户端,上述M为大于1的整数;在上述先验信息中的第一特征值在N个第二客户端中出现的次数满足第二阈值条件的情况下,将上述第二特征值作为病毒信息,上述N为大于1的整数。
在一种可能的实现方式中,上述处理器执行上述从已知病毒库中提取与上述已知病毒库中病毒文件对应的特征值作为先验信息的步骤,包括:从上述已知病毒库的病毒文件中提取上述病毒文件包含的IP地址信息、IP端口信息、域名信息、文件名称信息、文件关联信息以及文件建立信息中的任意一种信息,作为上述先验信息。
在另一种可能的实现方式中,上述处理器执行上述控制输入装置接收客户端发送的特征记录的步骤,包括:控制输入装置接收上述客户端发送的包含IP地址信息、IP端口信息、域名信息、文件名称信息、文件关联信息以及文件建立信息中的任意一种信息的特征记录。
在又一种可能的实现方式中,上述第二特征值为上述特征记录中包含的IP地址信息、IP端口信息、域名信息、文件名称信息、文件关联信息以及文件建立信息中的任意一种信息。
在又一种可能的实现方式中,上述处理器执行上述将上述客户端作为第一客户端的步骤,包括:判断上述第一特征值是否出现在设定时间段的上述特征记录中;若确认上述第一特征值出现在设定时间段的上述特征记录中,将上述客户端作为第一客户端。
在又一种可能的实现方式中,上述处理器执行上述将上述客户端作为第一客户端的步骤之前,上述处理器还用于执行以下步骤:获取上述第一特征值对应的潜伏周期,将上述潜伏周期作为上述设定时间段。
在又一种可能的实现方式中,上述处理器执行上述第二特征值在M个第一客户端中出现的次数满足阈值条件的步骤,包括:统计上述M个第一客户端的特征记录中的上述第二特征值出现的次数;在上述第二特征值出现的次数与上述M个第一客户端发送的特征记录对应的特征值总数量的比值大于第一阈值的情况下,确定上述第二特征值在M个第一客户端中出现的次数满足第一阈值条件。
在又一种可能的实现方式中,上述处理器执行上述从已知病毒库中提取与上述已知病毒库中病毒文件对应的特征值作为先验信息的步骤,包括:按照预先设定的病毒文件的优先级确定提取顺序;按上述提取顺序依次从已知病毒库中提取与上述已知病毒库中病毒文件对应的特征值作为先验信息。
可以理解的是,图5仅仅示出了病毒信息检测装置的简化设计。在实际应用中,病毒信息检测装置还可以分别包含必要的其他元件,包含但不限于任意数量的网络接口、输入装置、输出装置、处理器、存储器等,而所有可以实现本申请实施例的计算平台都在本申请的保护范围之内。
在本申请中,所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本申请实施例方案的目的。
另外,在本申请各个实施例中的各功能组件可以集成在一个组件也可以是各个组件单独物理存在,也可以是两个或两个以上组件集成在一个组件中。上述集成的组件既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的组件如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个本申请实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。尽管在此结合各实施例对本申请进行了描述,然而,在实施例所要求保护的本申请过程中,本领域技术人员可理解并实现公开实施例的其他变化。
Claims (10)
1.一种病毒信息检测方法,其特征在于,包括:
获得已知病毒库,从已知病毒库中提取与所述已知病毒库中病毒文件对应的特征值作为先验信息;
接收客户端发送的特征记录;
在所述特征记录中的第一特征值存在于所述先验信息中的情况下,将所述客户端作为第一客户端;
在第二特征值在M个第一客户端中出现的次数满足第一阈值条件的情况下,将包含所述第二特征值的特征记录所对应的客户端作为第二客户端,所述M为大于1的整数;
在所述先验信息中的第一特征值在N个第二客户端中出现的次数满足第二阈值条件的情况下,将所述第二特征值作为病毒信息,所述N为大于1的整数。
2.根据权利要求1所述的方法,其特征在于,所述从已知病毒库中提取与所述已知病毒库中病毒文件对应的特征值作为先验信息,包括:
从所述已知病毒库的病毒文件中提取所述病毒文件包含的IP地址信息、IP端口信息、域名信息、文件名称信息、文件关联信息以及文件建立信息中的任意一种信息,作为所述先验信息;
所述接收客户端发送的特征记录包括:接收所述客户端发送的包含IP地址信息、IP端口信息、域名信息、文件名称信息、文件关联信息以及文件建立信息中的任意一种的特征记录;
所述第二特征值为所述特征记录中包含的IP地址信息、IP端口信息、域名信息、文件名称信息、文件关联信息以及文件建立信息中的任意一种。
3.根据权利要求2所述的方法,其特征在于,所述将所述客户端作为第一客户端,包括:
判断所述第一特征值是否出现在设定时间段的所述特征记录中;
若确认所述第一特征值出现在设定时间段的所述特征记录中,将所述客户端作为第一客户端。
4.根据权利要求3所述的方法,其特征在于,所述将所述客户端作为第一客户端之前,所述方法还包括:
获取所述第一特征值对应的生命周期,将所述生命周期作为所述设定时间段。
5.根据权利要求4所述的方法,其特征在于,所述第二特征值在M个第一客户端中出现的次数满足阈值条件,包括:
统计所述M个第一客户端的特征记录中的所述第二特征值出现的次数;
在所述第二特征值出现的次数与所述M个第一客户端发送的特征记录对应的特征值总数量的比值大于第一阈值的情况下,确定所述第二特征值在M个第一客户端中出现的次数满足第一阈值条件。
6.一种病毒信息检测装置,其特征在于,包括:
提取单元,用于获得已知病毒库,从已知病毒库中提取与所述已知病毒库中病毒文件对应的特征值作为先验信息;
接收单元,用于接收客户端发送的特征记录;
确定单元,用于在所述特征记录中的第一特征值存在于所述先验信息中的情况下,将所述客户端作为第一客户端;
所述确定单元还用于,在第二特征值在M个第一客户端中出现的次数满足第一阈值条件的情况下,将包含所述第二特征值的特征记录所对应的客户端作为第二客户端,所述M为大于1的整数;
所述确定单元还用于,在所述先验信息中的第一特征值在N个第二客户端中出现的次数满足第二阈值条件的情况下,将所述第二特征值作为病毒信息,所述N为大于1的整数。
7.根据权利要求6所述的装置,其特征在于,所述确定单元包括:
判断子单元,用于判断所述第一特征值是否出现在设定时间段的所述特征记录中;
确定子单元,用于若确认所述第一特征值出现在设定时间段的所述特征记录中,将所述客户端作为第一客户端。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
获取单元,用于获取所述第一特征值对应的生命周期,将所述生命周期作为所述设定时间段。
9.一种病毒信息检测装置,其特征在于,包括:处理器、输入装置、输出装置和存储器,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1至5任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910727937.1A CN111191234A (zh) | 2019-08-07 | 2019-08-07 | 一种病毒信息检测的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910727937.1A CN111191234A (zh) | 2019-08-07 | 2019-08-07 | 一种病毒信息检测的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111191234A true CN111191234A (zh) | 2020-05-22 |
Family
ID=70709039
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910727937.1A Pending CN111191234A (zh) | 2019-08-07 | 2019-08-07 | 一种病毒信息检测的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111191234A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022012070A1 (zh) * | 2020-07-14 | 2022-01-20 | 深信服科技股份有限公司 | 病毒特征的提取方法、系统、存储介质和终端 |
-
2019
- 2019-08-07 CN CN201910727937.1A patent/CN111191234A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022012070A1 (zh) * | 2020-07-14 | 2022-01-20 | 深信服科技股份有限公司 | 病毒特征的提取方法、系统、存储介质和终端 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20180268139A1 (en) | Virus detection method, terminal and server | |
US10621349B2 (en) | Detection of malware using feature hashing | |
CN110830986B (zh) | 一种物联网卡异常行为检测方法、装置、设备及存储介质 | |
CN110417778B (zh) | 访问请求的处理方法和装置 | |
CN107395650B (zh) | 基于沙箱检测文件识别木马回连方法及装置 | |
US10990672B2 (en) | Method and apparatus for obtaining virus library, device, server, and system | |
CN110650117A (zh) | 跨站攻击防护方法、装置、设备及存储介质 | |
CN110135162A (zh) | Webshell后门识别方法、装置、设备及存储介质 | |
CN103391520A (zh) | 一种拦截恶意短信的方法、终端、服务器及系统 | |
CN114465741B (zh) | 一种异常检测方法、装置、计算机设备及存储介质 | |
CN108898014B (zh) | 一种病毒查杀方法、服务器及电子设备 | |
CN107666464B (zh) | 一种信息处理方法及服务器 | |
Wu et al. | Detect repackaged android application based on http traffic similarity | |
CN110210218B (zh) | 一种病毒检测的方法以及相关装置 | |
WO2022267084A1 (zh) | 基于大数据的网络安全检测方法及系统 | |
CN112532624A (zh) | 一种黑链检测方法、装置、电子设备及可读存储介质 | |
CN108804501B (zh) | 一种检测有效信息的方法及装置 | |
US9239907B1 (en) | Techniques for identifying misleading applications | |
CN113378161A (zh) | 一种安全检测方法、装置、设备及存储介质 | |
CN111191234A (zh) | 一种病毒信息检测的方法及装置 | |
CN113079157A (zh) | 获取网络攻击者位置的方法、装置、电子设备 | |
CN113704569A (zh) | 信息的处理方法、装置及电子设备 | |
US20160277430A1 (en) | System and method for detecting mobile cyber incident | |
CN111083705A (zh) | 群发诈骗短信检测方法、装置、服务器及存储介质 | |
CN108197475B (zh) | 一种恶意so模块检测方法及相关装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |