CN111368300A - 恶意文件处置方法、装置、设备及存储介质 - Google Patents
恶意文件处置方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111368300A CN111368300A CN202010137205.XA CN202010137205A CN111368300A CN 111368300 A CN111368300 A CN 111368300A CN 202010137205 A CN202010137205 A CN 202010137205A CN 111368300 A CN111368300 A CN 111368300A
- Authority
- CN
- China
- Prior art keywords
- domain name
- file
- malicious
- preset list
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 91
- 238000002955 isolation Methods 0.000 claims description 45
- 241000700605 Viruses Species 0.000 claims description 32
- 238000001514 detection method Methods 0.000 claims description 24
- 230000002155 anti-virotic effect Effects 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例公开了一种恶意文件处置方法、装置、设备及存储介质,其中,所述方法包括:接收终端集合中第一终端发送的访问请求,所述访问请求中包括待请求的域名;若所述域名为恶意域名,判断所述恶意域名是否在预设列表中;若所述恶意域名在预设列表中,根据所述预设列表对应的处置建议下发对所述文件的处置指令;若所述恶意域名不在预设列表中,获取所述恶意域名的举证文件集合中各文件的状态,根据所述文件的状态下发对所述文件的处置指令,并将所述恶意域名添加至所述预设列表中。
Description
技术领域
本申请实施例涉及互联网技术领域,涉及但不限于一种恶意文件处置方法、 装置、设备及存储介质。
背景技术
当内网主机感染僵尸程序病毒变成僵尸主机时,会称为被黑客程序控制的 计算机设备。该计算机设备可以是终端设备,也可以是云端设备。其可以随时 按照黑客的命令与控制(Command and Control,C&C)指令展开拒绝服务攻击 或发送垃圾信息。通常,一部被侵占的电脑只是僵尸网络里面众多中的一个, 会被用来去运行一连串的或远端控制的恶意程序。此类病毒极有可能横向传播 感染内网的多台主机。此时各主机内的病毒会对外请求相同的恶意域名,恶意 域名都带有“家族”信息,家族代表的病毒的种类,一般情况下一个恶意域名 都对应着同一种病毒。在通过恶意域名溯源的恶意文件后,所有的主机都要处 置一次恶意文件,并且当病毒复发后还要继续处置,这样就会非常的繁琐。
发明内容
有鉴于此,本申请实施例提供一种恶意文件处置方法、装置、设备及存储 介质。
本申请实施例的技术方案是这样实现的:
第一方面,本申请实施例提供一种恶意文件处置方法,包括:接收终端集 合中第一终端发送的访问请求,所述访问请求中包括待请求的域名;若所述域 名为恶意域名,判断所述恶意域名是否在预设列表中;若所述恶意域名在预设 列表中,根据所述预设列表对应的处置建议下发对所述文件的处置指令;若所 述恶意域名不在预设列表中,获取所述恶意域名的举证文件集合中各文件的状 态,根据所述文件的状态下发对所述文件的处置指令,并将所述恶意域名添加 至所述预设列表中。
第二方面,本申请实施例提供一种恶意文件处置装置,包括:接收模块, 用于接收终端集合中第一终端发送的访问请求,所述访问请求中包括待请求的 域名;判断模块,用于若所述域名为恶意域名,判断所述恶意域名是否在预设 列表中;第一下发模块,用于若所述恶意域名在预设列表中,根据所述预设列 表对应的处置建议下发对所述文件的处置指令;第二下发模块,用于若所述恶 意域名不在预设列表中,获取所述恶意域名的举证文件集合中各文件的状态, 根据所述文件的状态下发对所述文件的处置指令,并将所述恶意域名添加至所 述预设列表中。
第三方面,本申请实施例提供一种恶意文件处置设备,包括:包括存储器 和处理器,所述存储器存储有可在处理器上运行的计算机程序,其特征在于, 所述处理器执行所述程序时实现上述方法中的步骤。
第四方面,本申请实施例提供一种存储介质,存储有可执行指令,用于引 起处理器执行时,实现上所述方法中的步骤。
本申请实施例提供的一种恶意文件处置方法,先初判终端申请的域名是恶 意域名,再确定该域名在自动隔离列表中,如果该域名在预设列表中,发隔离 指令给管理器,由管理器发送命令给对应的终端检测响应平台(Endpoint Detection and Response,EDR)执行隔离恶意文件;如果该域名不在预设列表 中,根据所述文件的状态下发对所述文件的处置指令,并将所述恶意域名添加 至所述预设列表中。这样,设置自动隔离列表可以达到内网的其他终端请求相 同的恶意域名时就会自动将对应终端的恶意文件及时隔离掉,不需要二次操作 了避免了病毒的二次传播。
附图说明
图1A为本申请实施例提供的一种恶意文件处置系统结构示意图;
图1B为本申请实施例提供的一种恶意文件处置方法的实现流程示意图;
图2为本申请实施例提供的另一种恶意文件处置方法的实现流程示意图;
图3为本申请实施例提供的又一种恶意文件处置方法的实现流程示意图;
图4为本申请实施例提供的再一种恶意文件处置方法的实现流程示意图;
图5为本申请实施例恶意文件处置装置的组成结构示意图;
图6为本申请实施例恶意文件处置设备的一种硬件实体示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清 楚、完整地描述。
应当理解,此处所描述的一些实施例仅仅用以解释本申请的技术方案,并 不用于限定本申请的技术范围。
图1A为本申请实施例提供的一种恶意文件处置系统结构示意图,如图1A 所示,该示意图包括:云端威胁情报数据库101、应用防火墙(Application Filewall, AF)102、EDR103、EDR的终端管控平台(Manage,MGR)104、互联网105 和隔离文件询问对话框106。
云端威胁情报数据库通过云端数据分析平台计算的海量数据发现流量中的 隐藏威胁;应用防火墙是通过执行一系列针对网络响应协议的安全策略来专门 为网络应用提供保护的产品;EDR可以实现终端的威胁扫描、举证溯源、高危 隔离等功能。MGR实现内网环境多台终端EDR的管理及控制;内网终端需要 连接互联网请求域名;隔离文件询问对话框用于提示用户勾选,将恶意域名加 入自动隔离列表。
终端加AF加威胁情报数据库构成了一个完整的云网端联动系统,这个系统 实现了终端请求域名的检测、恶意域名的拦截、恶意域名对恶意进程的举证、 进程树相关文件的威胁等级的查询、恶意文件的处置这样一个闭环流程。
基于图1A,本申请实施例提供的一种恶意文件处置方法的实现流程示意图, 如图1B所示,该方法包括:
步骤S101、接收终端集合中第一终端发送的访问请求,所述访问请求中包 括待请求的域名;
如图1A所示,一个内网中有多个终端,多个终端连接到一个AF 102。当 一个终端对外请求域名时,会先发访问请求给AF。这里,访问请求中包括有待 请求的域名。病毒要与外界通信需要先请求恶意域名获得病毒服务器的地址。 终端病毒发作的时候会对服务器请求域名。
步骤S102、若所述域名为恶意域名,判断所述恶意域名是否在预设列表中;
AF接收到第一终端发送的域名访问请求后,会检测请求域名的流量特性。 当域名的流量特性满足特定条件时,AF会初判所述域名是恶意域名,需要获取 所述域名下配置文件集合中每一配置文件的状态。配置文件集合可以是所述域 名下的所有配置文件,也可以是一部分,当为一部分时候,未包括进入的那一 部分为可信文件,这里可信文件即非恶意文件。
步骤S103、若所述恶意域名在预设列表中,根据所述预设列表对应的处置 建议下发对所述文件的处置指令;
AF中配置有恶意域名自动隔离列表,当所述配置文件集合中包括状态为恶 意的配置文件时,且确定所述域名在自动隔离列表中时,不需要手动提示用户 隔离恶意文件,对管理器发送自动隔离请求,管理器给申请所述域名的终端对 应的EDR发送隔离恶意文件的指令,EDR完成隔离恶意文件。
步骤S104、若所述恶意域名不在预设列表中,获取所述恶意域名的举证文 件集合中各文件的状态,根据所述文件的状态下发对所述文件的处置指令,并 将所述恶意域名添加至所述预设列表中。
如果所述恶意域名不在预设列表中,系统根据所述文件的状态下发对所述 文件的处置指令,提示用户将所述恶意域名添加至所述预设列表中。其中获取 恶意域名的举证文件集合中各文件状态的步骤的执行顺序只要在步骤“根据所 述文件的状态下发对所述文件的处置指令,并将所述恶意域名添加至所述预设 列表中”之前即可,其他不受限定。
本申请实施例提供的一种恶意文件处置方法,先初判终端申请的域名是恶 意域名,再确定该域名在自动隔离列表中,如果该域名在预设列表中,发隔离 指令给管理器,由管理器发送命令给对应的EDR执行隔离恶意文件;如果该域 名不在预设列表中,根据所述文件的状态下发对所述文件的处置指令,并将所 述恶意域名添加至所述预设列表中。这样,设置自动隔离列表可以达到内网的 其他终端请求相同的恶意域名时就会自动将对应终端的恶意文件及时隔离掉, 不需要二次操作了避免了病毒的二次传播。
本实施例提供另一种恶意文件处置方法。图2为本申请实施例提供的另一 种恶意文件处置方法的实现流程示意图,如图2所示,该方法包括:
步骤S201、接收终端集合中第一终端发送的访问请求,所述访问请求中包 括待请求的域名;
步骤S202、当所述域名的流量特性满足特定条件时,向第一终端的管理器 请求所述域名的进程树的标识;所述管理器用于管理所述终端集合中终端;
这里管理器可以是如图1A所示的终端管控平台(Manage,MGR)104, 终端管控平台可以实现内网环境多台终端EDR的管理及控制,如图1A所示, 当所述域名的流量特性满足特定条件时,向第一终端的终端管控平台104请求 所述域名的进程树的标识。进程树是一种进程关系表示方法,由父进程和子进 程两部分组成。一些程序进程运行后,会调用其他进程,这样就组成了一个进 程树。
步骤S203、接收所述管理器返回的所述进程树的标识;
AF发送请求给管理器,管理器可以根据终端正在请求的域名,确定域名的 进程树标识,这里标识即可以唯一的标识域名的进程树的标识这里进程树的标 识可以是MD5值。
步骤S204、根据所述进程树的标识从数据库查询所述域名下配置文件集合 中配置文件的状态;
如图1A所示,AF将得到的进程树的MD5值发送给数据库,这里的数据 库可以是云端威胁情报数据库101,数据库经过分析得到所述域名下配置文件 集合中配置文件的状态。一般情况下分为三种状态:黑、白、灰。文件状态为 黑代表是病毒文件;文件状态为白代表不是病毒文件;文件状态为灰代表不确 定文件的状态。
步骤S205、判断所述恶意域名是否在预设列表中;
步骤S206、若所述恶意域名在预设列表中,获取终端上杀毒平台对所述配 置文件的检测结果;
AF将所述域名与自动隔离列表进行匹配,当确定所述域名在自动隔离列表 时,还需要获取终端上杀毒平台对所述配置文件的检测结果。杀毒平台可以是 图1A所示EDR,EDR对配置文件进行杀毒检测,检测结果可以分为第一等级、 第二等级、第三等级和第四等级四个等级,其中第一等级,即最高等级可以是 高危文件、第二等级可以是中危文件、第三等级可以是低危文件、第四等级可 以是安全文件。当检测结果为高危文件时,建议将该文件隔离;中危文件、低 危文件和安全文件建议持续观察该文件。
步骤S207、若所述举证文件集合中包括状态为恶意的文件或者所述检测结 果中包括危险等级为最高等级的文件,向所述管理器发送对所述文件隔离的处 置指令。
当所述配置文件集合中包括状态为恶意的配置文件时,即配置文件集合中 包括状态为黑的配置文件,需要将恶意文件处置,AF对管理器发送自动隔离请 求,用于隔离所述状态为恶意的配置文件;或者,
杀毒平台检测结果明所述配置文件集合中包括危险等级为最高等级的配置 文件时,即配置文件集合中包括危险等级为高危的配置文件,AF对管理器发送 自动隔离请求,用于隔离所述状态为恶意的配置文件。
本申请实施例提供的一种恶意文件处置方法,在AF初判域名为恶意域时, 通过向终端管控平台请求域名的进程树标识,得到标识后再到云端威胁情报数 据库中查询配置文件集合中配置文件的状态。确定所述域名在自动隔离列表中 时,还需要获取终端上杀毒平台对所述配置文件的检测结果,综合文件状态和 杀毒检测结果,对所述管理器发送自动隔离请求,所述自动隔离请求用于隔离 所述状态为恶意的配置文件。由管理器发送命令给对应的EDR执行隔离恶意文 件。这样,综合杀毒检测结果和云端威胁情报数据库确定需要隔离的文件,确 保恶意文件都能有效被隔离。
本申请实施例提供一种恶意文件处置方法,图3为本申请实施例提供的又 一种恶意文件处置方法的实现流程示意图,如图3所示,该方法包括:
步骤S301、接收终端集合中第一终端发送的访问请求,所述访问请求中包 括待请求的域名;
步骤S302、若所述域名为恶意域名,判断所述恶意域名是否在预设列表中;
步骤S303、若所述恶意域名在预设列表中,根据所述预设列表对应的处置 建议下发对所述文件的处置指令;
步骤S304、若所述恶意域名不在预设列表中,获取所述恶意域名的举证文 件集合中各文件的状态,根据所述文件的状态下发对所述文件的处置指令,并 将所述恶意域名添加至所述预设列表中;
步骤S305、当所述举证文件集合中包括状态为恶意的文件时,且确定所述 恶意域名不在自动隔离列表中时,输出提示信息,以将所述恶意域名加入所述 自动隔离列表。
如图1A所示,当所述配置文件集合中包括状态为恶意的配置文件时,且 确定所述域名未在自动隔离列表中时,AF输出提示信息,例如隔离文件询问对 话框106,用于提示用户勾选将域名加入自动隔离列表。
本申请实施例提供的一种恶意文件处置方法,当所述配置文件集合中包括 状态为恶意的配置文件时,且确定所述域名未在自动隔离列表中时,输出提示 信息,以将所述域名加入所述自动隔离列表且隔离所述状态为恶意的配置文件。 这样下一个终端如果申请相同的域名,就会自动将对应终端的恶意文件及时隔 离掉,不需要二次操作了避免了病毒的二次传播。
本申请实施例提供的再一种恶意文件处置方法,图4为本申请实施例提供的 另一种恶意文件处置方法的实现流程示意图,如图4所示,该方法包括:
步骤S400、开始;
任一终端请求向AF发起域名访问请求。
步骤S401、AF解析终端请求的域名;
AF解析终端请求的域名。病毒要与外界通信需要先请求恶意域名获得病毒 服务器的地址。终端病毒发作的时候会对服务器请求域名。
步骤S402、AF初步确定域名是否为恶意域名;
应用防火墙根据检测请求域名的流量特性初步确定终端请求的域名是否为 恶意域名。如果该域名不是恶意的则进入下一个检测流程S409。如果该域名是 恶意的则进入步骤S403。
步骤S403、AF进入举证及威胁情报查询,确定域名配置文件的状态;
应用防火墙向终端管控平台请求恶意域名的举证信息,终端管控平台返回 恶意域名的举证信息给应用防火墙;其中,举证信息是请求该域名的进程树 MD5值及相关配置文件。
应用防火墙将进程文件树MD5值发送给云端威胁情报数据库查询文件的 状态。应用防火墙得到文件状态(黑白灰)后结合EDR杀毒判断结果得到恶意 域名相关配置文件的处置建议。其中黑表示病毒文件,建议隔离;白标识不是 病毒文件,建议持续观察;灰表示不确定,建议持续观察。EDR杀毒判断文件 结果分为高危、中危、低危和安全四类。当得到文件状态为黑或EDR杀毒判断 文件结果为高危时,确定该文件是恶意文件需要被隔离;当文件状态为白且EDR 杀毒判断结果为安全时,确定该文件不是恶意文件,不需要被隔离;其他情况 对文件持续观察。
步骤S404、AF确定域名是否在自动隔离列表中;
隔离文件就是被电脑查出或者是怀疑有病毒的文件,但因为种种原因,如 病毒库未升级等,没法进行有效杀毒,所以杀毒软件将其进行隔离,避免用户 随意使用该文件,从而引发病毒。应用防火墙查询该域名是否在自动处置列表 中,如果不在就需要手动隔离恶意文件,转到步骤S405;如果在则能自动给终 端管控平台发送隔离指令,转到步骤S408;
步骤S405、AF提示用户手动隔离恶意文件;
经过步骤S403确定的恶意文件需要手动隔离,AF提示用户这些恶意文件需 要手动隔离;
步骤S406、AF提示用户将域名加入到自动隔离列表中;
在防火墙服务器上,弹出对话框,让用户选择是否“自动隔离相同域名关 联的恶意文件”。这里的自动隔离列表只包含需要隔离的域名,相同的恶意域名 有可能有不同的配置文件。如果用户选择是,转到步骤S407;如果用户没有选 择是,转到步骤S408。
步骤S407、AF将恶意域名加入到自动隔离列表中;
步骤S408、AF给MGR发送隔离的指令;
防火墙给MGR发送隔离的指令,MGR收到隔离指令后,结合S403判断得 出的恶意文件,给请求域名的终端的EDR发送隔离指令,恶意文件被自动隔离。
步骤S409、进入下个检测流程。
本申请实施例中,一台终端上配置恶意域名的联动隔离后,内网的其他终 端请求相同的恶意域名时就会自动将对应终端的恶意文件及时隔离掉,不需要 二次操作了避免了病毒的二次传播。
基于前述的实施例,本申请实施例提供一种恶意文件处置装置,该装置包 括所包括的各模块,可以通过恶意文件处置设备中的处理器来实现;当然也可 通过具体的逻辑电路实现;在实施的过程中,处理器可以为中央处理器(CPU)、 微处理器(MPU)、数字信号处理器(DSP)或现场可编程门阵列(FPGA)等。
图5为本申请实施例提供的恶意文件处置装置的组成结构示意图,如图5 所示,所述装置500包括接收模块501、判断模块502、第一下发模块503和第 二下发模块504,其中:
接收模块501,用于AF接收终端集合中第一终端发送的访问请求,所述访 问请求中包括待请求的域名;
判断模块502,用于若所述域名为恶意域名,判断所述恶意域名是否在预 设列表中;
第一下发模块503,用于若所述恶意域名在预设列表中,获取所述恶意域 名的举证文件集合中各文件的状态,根据所述预设列表对应的处置建议下发对 所述文件的处置指令;
第二下发模块504,用于若所述恶意域名不在预设列表中,根据所述文件 的状态下发对所述文件的处置指令,并将所述恶意域名添加至所述预设列表中。
基于前述的实施例,本申请实施例提供一种恶意文件处置装置,所述装置 包括:接收模块、判断模块、第一下发模块和第二下发模块,其中第一下发模 块包括获取单元、得到单元,第二下发模块包括请求单元、接收单元、查询单 元,其中:
接收模块,用于接收终端集合中第一终端发送的访问请求,所述访问请求 中包括待请求的域名;
判断模块,用于若所述域名为恶意域名,判断所述恶意域名是否在预设列 表中;
请求单元,用于当所述域名的流量特性满足特定条件时,向第一终端的管 理器请求所述域名的进程树的标识;所述管理器用于管理所述终端集合中终端;
接收单元,用于接收所述管理器返回的所述进程树的标识;
查询单元,用于根据所述进程树的标识从数据库查询所述域名下配置文件 集合中配置文件的状态;
获取单元,用于获取所述恶意域名的举证文件集合中各文件的状态,还用 于若所述恶意域名在预设列表中,获取终端上杀毒平台对所述配置文件的检测 结果;
得到单元,用于根据所述文件的状态和所述检测结果得到对所述文件的处 置指令;还用于若所述举证文件集合中包括状态为恶意的文件或者所述检测结 果中包括危险等级为最高等级的文件,向所述管理器发送对所述文件隔离的处 置指令;还用于当所述配置文件集合中包括状态为恶意的配置文件时,且确定 所述域名未在自动隔离列表中时,输出提示信息,以将所述域名加入所述自动 隔离列表且隔离所述状态为恶意的配置文件。
所以上装置实施例的描述,与上述方法实施例的描述是类似的,具有同方 法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节,请参 照本申请方法实施例的描述而理解。
需要说明的是,本申请实施例中,如果以软件功能模块的形式实现上述的 恶意文件处置方法,并作为独立的产品销售或使用时,也可以存储在一个计算 机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者 说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件 产品存储在一个存储介质中,包括若干指令用以使得电子设备(可以是手机、 平板电脑、笔记本电脑、台式计算机、机器人、无人机等)执行本申请各个实 施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读 存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码 的介质。这样,本申请实施例不限制于任何特定的硬件和软件结合。
对应地,本申请实施例提供一种计算机可读存储介质,其上存储有计算机 程序,该计算机程序被处理器执行时实现上述实施例中提供的客户端侧的或服 务端侧的恶意文件处置方法中的步骤。
对应地,本申请实施例提供一种恶意文件处置设备,图6为本申请实施例 恶意文件处置设备的一种硬件实体示意图,如图6所示,该设备600的硬件实 体包括:包括存储器601和处理器602,所述存储器601存储有可在处理器602 上运行的计算机程序,所述处理器602执行所述程序时实现上述实施例中提供 的恶意文件处置方法中的步骤。
存储器601配置为存储由处理器602可执行的指令和应用,还可以缓存待 处理器602以及恶意文件处置设备600中各模块待处理或已经处理的数据(例 如,图像数据、音频数据、语音通信数据和视频通信数据),可以通过闪存 (FLASH)或随机访问存储器(RandomAccess Memory,RAM)实现。
这里需要指出的是:以上存储介质和设备实施例的描述,与上述方法实施 例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请存储介质 和设备实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实 施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此, 在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指 相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合 在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序 号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻 辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例 序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意 在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装 置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为 这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由 语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物 品或者装置中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可 以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所 述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式, 如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽 略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦 合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可 以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为 单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可 以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来 实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中, 也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一 个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软 件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可 以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储 介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介 质包括:移动存储设备、只读存储器(Read Only Memory,ROM)、磁碟或者 光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立 的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样 的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可 以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包 括若干指令用以使得恶意文件处置设备(可以是手机、平板电脑、笔记本电脑、 台式计算机、机器人、无人机等)执行本申请各个实施例所述方法的全部或部 分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以 存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可 以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可 以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情 况下可以任意组合,得到新的方法实施例或设备实施例。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此, 任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化 或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所 述权利要求的保护范围为准。
Claims (10)
1.一种恶意文件处置方法,其特征在于,所述方法包括:
接收终端集合中第一终端发送的访问请求,所述访问请求中包括待请求的域名;
若所述域名为恶意域名,判断所述恶意域名是否在预设列表中;
若所述恶意域名在预设列表中,根据所述预设列表对应的处置建议下发对所述文件的处置指令;
若所述恶意域名不在预设列表中,获取所述恶意域名的举证文件集合中各文件的状态,根据所述文件的状态下发对所述文件的处置指令,并将所述恶意域名添加至所述预设列表中。
2.根据权利要求1所述的方法,其特征在于,所述若所述恶意域名在预设列表中,根据预设列表对应的处置建议下发对所述文件的处置指令,包括:
获取终端上杀毒平台对所述文件的检测结果;
根据所述文件的状态和所述检测结果得到对所述文件的处置指令。
3.根据权利要求2所述的方法,其特征在于,所述处置指令包括隔离,所述根据配置文件的状态和所述检测结果得到对所述文件的处置指令,包括:
若所述举证文件集合中包括状态为恶意的文件或者所述检测结果中包括危险等级为最高等级的文件,向所述管理器发送对所述文件隔离的处置指令。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述若所述域名为恶意域名,获取所述恶意域名的举证文件集合中各文件的状态,包括:
当所述域名的流量特性满足特定条件时,向第一终端的管理器请求所述域名的进程树的标识;所述管理器用于管理所述终端集合中终端;
接收所述管理器返回的所述进程树;
根据所述进程树的标识从数据库查询所述域名下配置文件集合中配置文件的状态。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述举证文件集合中包括状态为恶意的文件时,且确定所述恶意域名不在预设列表中时,输出提示信息,以将所述恶意域名加入所述自动隔离列表。
6.一种恶意文件处置装置,其特征在于,包括:
接收模块,用于接收终端集合中第一终端发送的访问请求,所述访问请求中包括待请求的域名;
判断模块,用于若所述域名为恶意域名,判断所述恶意域名是否在预设列表中;
第一下发模块,用于若所述恶意域名在预设列表中,根据所述预设列表对应的处置建议下发对所述文件的处置指令;
第二下发模块,用于若所述恶意域名不在预设列表中,获取所述恶意域名的举证文件集合中各文件的状态,根据所述文件的状态下发对所述文件的处置指令,并将所述恶意域名添加至所述预设列表中。
7.根据权利要求6所述的装置,其特征在于,所述第一下发模块包括:
获取单元,获取终端上杀毒平台对所述配置文件的检测结果;
得到单元,用于根据所述配置文件的状态和所述检测结果得到对所述文件的处置指令。
8.根据权利要求7所述的装置,其特征在于,所述得到单元还用于:
若所述举证文件集合中包括状态为恶意的文件或者所述检测结果中包括危险等级为最高等级的文件,向所述管理器发送对所述文件隔离的处置指令。
9.一种恶意文件处置设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至5任一项所述方法中的步骤。
10.一种存储介质,其特征在于,存储有可执行指令,用于引起处理器执行时,实现权利要求1至5任一项所述方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010137205.XA CN111368300A (zh) | 2020-03-02 | 2020-03-02 | 恶意文件处置方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010137205.XA CN111368300A (zh) | 2020-03-02 | 2020-03-02 | 恶意文件处置方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111368300A true CN111368300A (zh) | 2020-07-03 |
Family
ID=71206484
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010137205.XA Pending CN111368300A (zh) | 2020-03-02 | 2020-03-02 | 恶意文件处置方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111368300A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113676489A (zh) * | 2021-09-13 | 2021-11-19 | 深信服科技股份有限公司 | 一种威胁文件处置方法、装置及介质 |
CN114143077A (zh) * | 2021-11-29 | 2022-03-04 | 北京天融信网络安全技术有限公司 | 一种终端安全防护方法及装置 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7854001B1 (en) * | 2007-06-29 | 2010-12-14 | Trend Micro Incorporated | Aggregation-based phishing site detection |
KR20130096565A (ko) * | 2012-02-22 | 2013-08-30 | 주식회사 더존정보보호서비스 | 활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템 |
CN105119930A (zh) * | 2015-09-09 | 2015-12-02 | 南京理工大学 | 基于OpenFlow协议的恶意网站防护方法 |
CN106650439A (zh) * | 2016-09-30 | 2017-05-10 | 北京奇虎科技有限公司 | 检测可疑应用程序的方法及装置 |
CN107634931A (zh) * | 2016-07-18 | 2018-01-26 | 深圳市深信服电子科技有限公司 | 异常数据的处理方法、云端服务器、网关及终端 |
US10176325B1 (en) * | 2016-06-21 | 2019-01-08 | Symantec Corporation | System and method for dynamic detection of command and control malware |
CN110035062A (zh) * | 2019-03-07 | 2019-07-19 | 亚信科技(成都)有限公司 | 一种网络验伤方法及设备 |
CN110826067A (zh) * | 2019-10-31 | 2020-02-21 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
-
2020
- 2020-03-02 CN CN202010137205.XA patent/CN111368300A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7854001B1 (en) * | 2007-06-29 | 2010-12-14 | Trend Micro Incorporated | Aggregation-based phishing site detection |
KR20130096565A (ko) * | 2012-02-22 | 2013-08-30 | 주식회사 더존정보보호서비스 | 활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템 |
CN105119930A (zh) * | 2015-09-09 | 2015-12-02 | 南京理工大学 | 基于OpenFlow协议的恶意网站防护方法 |
US10176325B1 (en) * | 2016-06-21 | 2019-01-08 | Symantec Corporation | System and method for dynamic detection of command and control malware |
CN107634931A (zh) * | 2016-07-18 | 2018-01-26 | 深圳市深信服电子科技有限公司 | 异常数据的处理方法、云端服务器、网关及终端 |
CN106650439A (zh) * | 2016-09-30 | 2017-05-10 | 北京奇虎科技有限公司 | 检测可疑应用程序的方法及装置 |
CN110035062A (zh) * | 2019-03-07 | 2019-07-19 | 亚信科技(成都)有限公司 | 一种网络验伤方法及设备 |
CN110826067A (zh) * | 2019-10-31 | 2020-02-21 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113676489A (zh) * | 2021-09-13 | 2021-11-19 | 深信服科技股份有限公司 | 一种威胁文件处置方法、装置及介质 |
CN114143077A (zh) * | 2021-11-29 | 2022-03-04 | 北京天融信网络安全技术有限公司 | 一种终端安全防护方法及装置 |
CN114143077B (zh) * | 2021-11-29 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种终端安全防护方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3506141B1 (en) | System for query injection detection using abstract syntax trees | |
US10528745B2 (en) | Method and system for identification of security vulnerabilities | |
JP6553524B2 (ja) | 専用のコンピュータセキュリティサービスを利用するシステムおよび方法 | |
USRE47558E1 (en) | System, method, and computer program product for automatically identifying potentially unwanted data as unwanted | |
CN111737696A (zh) | 一种恶意文件检测的方法、系统、设备及可读存储介质 | |
US9948667B2 (en) | Signature rule processing method, server, and intrusion prevention system | |
EP2447877B1 (en) | System and method for detection of malware and management of malware-related information | |
EP2754081B1 (en) | Dynamic cleaning for malware using cloud technology | |
US8495747B1 (en) | Prioritizing asset remediations | |
US20210157916A1 (en) | Probabilistic Set Membership Using Bloom Filters | |
US20130167236A1 (en) | Method and system for automatically generating virus descriptions | |
CN107786564B (zh) | 基于威胁情报的攻击检测方法、系统及电子设备 | |
US20210120022A1 (en) | Network security blacklist derived from honeypot statistics | |
EP3371953B1 (en) | System and methods for detecting domain generation algorithm (dga) malware | |
US10484400B2 (en) | Dynamic sensors | |
TW201719485A (zh) | 利用多層策略管理風險之方法及系統 | |
CN112738071A (zh) | 一种攻击链拓扑的构建方法及装置 | |
CN111368300A (zh) | 恶意文件处置方法、装置、设备及存储介质 | |
US9894045B1 (en) | Determining application reputation based on deviations in security rating scores | |
USRE48043E1 (en) | System, method and computer program product for sending unwanted activity information to a central system | |
US8640242B2 (en) | Preventing and detecting print-provider startup malware | |
CN111092886B (zh) | 一种终端防御方法、系统、设备及计算机可读存储介质 | |
CN112217770B (zh) | 一种安全检测方法、装置、计算机设备及存储介质 | |
US20230185915A1 (en) | Detecting microsoft windows installer malware using text classification models | |
JP6286314B2 (ja) | マルウェア通信制御装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |