CN111737696A - 一种恶意文件检测的方法、系统、设备及可读存储介质 - Google Patents
一种恶意文件检测的方法、系统、设备及可读存储介质 Download PDFInfo
- Publication number
- CN111737696A CN111737696A CN202010597641.5A CN202010597641A CN111737696A CN 111737696 A CN111737696 A CN 111737696A CN 202010597641 A CN202010597641 A CN 202010597641A CN 111737696 A CN111737696 A CN 111737696A
- Authority
- CN
- China
- Prior art keywords
- file
- detected
- malicious
- malicious file
- sandbox
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种恶意文件检测的方法,包括:利用静态参数与本地威胁情报库进行匹配;判断待检测文件是否为恶意文件;若否,则令待检测文件在沙箱中运行,并获取运行过程中产生的动态参数;利用动态参数与本地威胁情报库进行匹配,并根据得到的第二匹配结果判定待检测文件是否为恶意文件。本申请令待检测文件在沙箱中运行,只要待检测文件在运行过程中产生了可疑的动态参数,就将其标记为恶意文件,解决了现有技术中对于未知的、新出现的恶意文件无法立即防御的问题,降低了恶意文件检测漏报率,提高了网络防御的及时性。本申请同时还提供了一种恶意文件检测的系统、设备及可读存储介质,具有上述有益效果。
Description
技术领域
本申请涉及恶意文件检测领域,特别涉及一种恶意文件检测的方法、系统、设备及可读存储介质。
背景技术
随着以定向威胁攻击、恶意挖矿、勒索病毒等新型威胁和攻击的不断增长,网络威胁正在迅速恶性演变,攻击手段与攻击渠道的多元化,对网络安全人员的分析与处理能力提出了更高的要求。企业和组织在防范外部的攻击过程中越发需要依靠充分、高效、精准的安全威胁情报作为支撑,以帮助其更好的发现和应对这些新型威胁。
目前恶意文件检测的方法大致分为两种:一种是基于病毒特征库的静态检测方法,另一种是利用沙箱运行文件,分析文件运行过程中的动态行为的检测方法,然而两种方法对于未知的、新出现的恶意文件无法立即防御,导致恶意文件检测的漏报率较高。
因此,如何降低恶意文件检测的漏报率是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种恶意文件检测的方法、系统、设备及可读存储介质,用于降低恶意文件检测的漏报率。
为解决上述技术问题,本申请提供一种恶意文件检测的方法,该方法包括:
获取待检测文件的静态参数,并利用所述静态参数与本地威胁情报库进行匹配,得到第一匹配结果;
根据所述第一匹配结果判断所述待检测文件是否为恶意文件;
若否,则令所述待检测文件在沙箱中运行,并获取运行过程中产生的动态参数;
利用所述动态参数与所述本地威胁情报库进行匹配,并根据得到的第二匹配结果判定所述待检测文件是否为所述恶意文件。
可选的,令所述待检测文件在沙箱中运行,并获取运行过程中产生的动态参数,包括:
获取所述待检测文件在所述沙箱中运行时网络连接的目标地址;
获取所述待检测文件在所述沙箱中运行时创建的临时文件,并计算所述临时文件的Hash值。
可选的,获取所述待检测文件在所述沙箱中运行时网络连接的目标地址,包括:
记录所述待检测文件运行时调用的网络应用程序接口以及对应的调用参数,并根据所述网络应用程序接口以及所述调用参数确定所述目标地址。
可选的,获取所述待检测文件在所述沙箱中运行时网络连接的目标地址,包括:
捕捉所述待检测文件运行时的网络流量,并通过解析所述网络流量得到所述目标地址。
可选的,当所述待检测文件为所述恶意文件时,还包括:
从所述本地威胁情报库中获取所述待检测文件的威胁类型及威胁信息。
可选的,所述威胁类型包括钓鱼地址、垃圾邮件、僵尸网络、矿池、黑产IP、蠕虫、勒索软件、漏洞利用、恶意软件、DDOS攻击、TOR代理中的至少一项;
所述威胁信息包括威胁程度、所属黑客组织、所属病毒家族、域名注册信息中的至少一项。
可选的,在利用所述静态参数与本地威胁情报库进行匹配,得到第一匹配结果之前,还包括:
获取云端威胁情报库的更新情况,并根据所述更新情况判断是否需要对所述本地威胁情报库进行更新。
本申请还提供一种恶意文件检测的系统,该系统包括:
第一获取模块,用于获取待检测文件的静态参数,并利用所述静态参数与本地威胁情报库进行匹配,得到第一匹配结果;
判断模块,用于根据所述第一匹配结果判断所述待检测文件是否为恶意文件;
第二获取模块,用于当所述待检测文件不为所述恶意文件时,令所述待检测文件在沙箱中运行,并获取运行过程中产生的动态参数;
判定模块,用于利用所述动态参数与所述本地威胁情报库进行匹配,并根据得到的第二匹配结果判定所述待检测文件是否为所述恶意文件。
本申请还提供一种恶意文件检测设备,该恶意文件检测设备包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述任一项所述恶意文件检测的方法的步骤。
本申请还提供一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述恶意文件检测的方法的步骤。
本申请所提供恶意文件检测的方法,包括:获取待检测文件的静态参数,并利用静态参数与本地威胁情报库进行匹配,得到第一匹配结果;根据第一匹配结果判断待检测文件是否为恶意文件;若否,则令待检测文件在沙箱中运行,并获取运行过程中产生的动态参数;利用动态参数与本地威胁情报库进行匹配,并根据得到的第二匹配结果判定待检测文件是否为恶意文件。
本申请所提供的技术方案,通过在根据第一匹配结果判断待检测文件不为恶意文件时,令待检测文件在沙箱中运行,并获取运行过程中产生的动态参数,然后利用动态参数与本地威胁情报库进行匹配来判定待检测文件是否为恶意文件,也就是说,只要待检测文件在运行过程中产生了可疑的动态参数,就将其标记为恶意文件,解决了现有技术中对于未知的、新出现的恶意文件无法立即防御的问题,降低了恶意文件检测漏报率,提高了网络防御的及时性。本申请同时还提供了一种恶意文件检测的系统、设备及可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种恶意文件检测的方法的流程图;
图2为本申请实施例所提供的一种恶意文件检测的系统的结构图;
图3为本申请实施例所提供的一种恶意文件检测设备的结构图。
具体实施方式
本申请的核心是提供一种恶意文件检测的方法、系统、设备及可读存储介质,用于降低恶意文件检测的漏报率。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参考图1,图1为本申请实施例所提供的一种恶意文件检测的方法的流程图。
其具体包括如下步骤:
S101:获取待检测文件的静态参数,并利用静态参数与本地威胁情报库进行匹配,得到第一匹配结果;
基于现有恶意文件检测的两种方法对于未知的、新出现的恶意文件无法立即防御,导致恶意文件检测的漏报率校高,本申请提供了一种恶意文件检测的方法,用于解决上述问题。
可选的,这里提到的静态参数具体可以为待检测文件的MD5值或SHA256值等Hash值,也可以为待检测文件中恶意关键字出现的频率等,本申请对此不做具体限定。
可选的,由于现有技术中还存在着病毒特征库和动态行为分析策略更新不及时、实时性差的问题,为解决该问题,还可以在执行步骤S101之前执行如下操作:
获取云端威胁情报库的更新情况,并根据更新情况判断是否需要对本地威胁情报库进行更新。
在一个具体实施例中,可以定期获取(例如3分钟以内)云端威胁情报库的更新情况,恶意文件检测设备也可以与云端之间发送心跳包,当有新的威胁情报数据更新时,云端通过心跳包通知恶意文件检测设备进行下载操作。
这里提到的云端威胁情报库中保存着全量的威胁情报数据,云端包括查询接口和更新接口,其中:
恶意文件检测设备可以通过该查询接口提供查询参数,例如:IP、域名,或者文件Hash值、URL等请求查询,然后云端反馈这些请求参数相关的威胁情报信息。
恶意文件检测设备可以通过更新接口在初始运行时,全量下载一次威胁情报,后续每次请求更新之前,提供最后一次从云端更新威胁情报的时间,可以下载该时间以后,云端全量情报库里更新的数据。
S102:根据第一匹配结果判断待检测文件是否为恶意文件;
若否,则进入步骤S103;
当第一匹配结果为静态参数与本地威胁情报库不匹配时,则证明该静态参数未被标记为恶意特征,待检测文件无法被判定为恶意文件,此时执行步骤S103做进一步处理;
可选的,当第一匹配结果为静态参数与本地威胁情报库相匹配时,则证明该静态参数已经被标记为恶意特征,待检测文件被判定为恶意文件,此时还可以输出检测到恶意文件的提示信息,并对该恶意文件做隔离处理。
S103:令待检测文件在沙箱中运行,并获取运行过程中产生的动态参数;
沙箱又叫Sandbox、沙盘、沙盒,是一个虚拟系统程序,允许在沙盘环境中运行浏览器或其他程序,运行所产生的变化可以随后删除,它创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响。在网络安全中,沙箱指在隔离环境中,用以测试不受信任的文件或应用程序等行为的工具。
可选的,这里提到的令待检测文件在沙箱中运行,并获取运行过程中产生的动态参数,其具体可以为:
获取待检测文件在沙箱中运行时网络连接的目标地址;
获取待检测文件在沙箱中运行时创建的临时文件,并计算临时文件的Hash值。
即这里提到的动态参数包括待检测文件运行时网络连接的目标地址以及创建的临时文件的Hash值,在此基础上,步骤S104中提到的利用动态参数与本地威胁情报库进行匹配,并根据得到的第二匹配结果判定待检测文件是否为恶意文件,其具体可以为,利用目标地址以及临时文件的Hash值分别与本地威胁情报库进行匹配,当存在匹配成功的动态参数时则判定该待检测文件为恶意文件。
可选的,这里提到的获取待检测文件在沙箱中运行时网络连接的目标地址,其具体可以为:
记录待检测文件运行时调用的网络应用程序接口以及对应的调用参数,并根据网络应用程序接口以及调用参数确定目标地址。
例如,可以通过应用程序接口创建socket连接,可以通过获取调用该应用程序接口传入的参数得到连接的目标地址。
可选的,这里提到的获取待检测文件在沙箱中运行时网络连接的目标地址,其具体也可以为:
捕捉待检测文件运行时的网络流量,并通过解析网络流量得到目标地址。
例如,通过DNS流量可以获取待检测文件在沙箱里运行时尝试解析的域名;通过解析HTTP流量可以获取连接的IP地址、URL、域名。
S104:利用动态参数与本地威胁情报库进行匹配,并根据得到的第二匹配结果判定待检测文件是否为恶意文件。
当第二匹配结果为动态参数与本地威胁情报库匹配失败时,则证明待检测文件在沙箱中运行产生的动态参数未被标记为恶意特征,待检测文件被判定为安全文件;
当第二匹配结果为动态参数与本地威胁情报库匹配成功时,则证明待检测文件在沙箱中运行产生的动态参数已经被标记为恶意特征,待检测文件被判定为恶意文件。
可选的,当待检测文件为恶意文件时,还包括:
从本地威胁情报库中获取待检测文件的威胁类型及威胁信息。
进一步的,这里提到的威胁类型可以包括钓鱼地址、垃圾邮件、僵尸网络、矿池、黑产IP、蠕虫、勒索软件、漏洞利用、恶意软件、DDOS攻击、TOR代理中的至少一项;
这里提到的威胁信息可以包括威胁程度、所属黑客组织、所属病毒家族、域名注册信息中的至少一项。
在具体实施时,还可以根据需求为威胁信息何威胁类型增加新的分类。
基于上述技术方案,本申请所提供的一种恶意文件检测的方法,通过在根据第一匹配结果判断待检测文件不为恶意文件时,令待检测文件在沙箱中运行,并获取运行过程中产生的动态参数,然后利用动态参数与本地威胁情报库进行匹配来判定待检测文件是否为恶意文件,也就是说,只要待检测文件在运行过程中产生了可疑的动态参数,就将其标记为恶意文件,解决了现有技术中对于未知的、新出现的恶意文件无法立即防御的问题,降低了恶意文件检测漏报率,提高了网络防御的及时性。
请参考图2,图2为本申请实施例所提供的一种恶意文件检测的系统的结构图。
该系统可以包括:
第一获取模块100,用于获取待检测文件的静态参数,并利用静态参数与本地威胁情报库进行匹配,得到第一匹配结果;
判断模块200,用于根据第一匹配结果判断待检测文件是否为恶意文件;
第二获取模块300,用于当待检测文件不为恶意文件时,令待检测文件在沙箱中运行,并获取运行过程中产生的动态参数;
判定模块400,用于利用动态参数与本地威胁情报库进行匹配,并根据得到的第二匹配结果判定待检测文件是否为恶意文件。
在上述实施例的基础上,在一个具体实施例中,该第二获取模块300可以包括:
第一获取子模块,用于获取待检测文件在沙箱中运行时网络连接的目标地址;
第二获取子模块,用于获取待检测文件在沙箱中运行时创建的临时文件,并计算临时文件的Hash值。
在上述实施例的基础上,在一个具体实施例中,该第一获取子模块可以包括:
确定单元,用于记录待检测文件运行时调用的网络应用程序接口以及对应的调用参数,并根据网络应用程序接口以及调用参数确定目标地址。
在上述实施例的基础上,在一个具体实施例中,该第一获取子模块可以包括:
解析单元,用于捕捉待检测文件运行时的网络流量,并通过解析网络流量得到目标地址。
在上述实施例的基础上,在一个具体实施例中,该系统还可以包括:
第三获取模块,用于当待检测文件为恶意文件时,从本地威胁情报库中获取待检测文件的威胁类型及威胁信息。
在上述实施例的基础上,在一个具体实施例中,该威胁类型包括钓鱼地址、垃圾邮件、僵尸网络、矿池、黑产IP、蠕虫、勒索软件、漏洞利用、恶意软件、DDOS攻击、TOR代理中的至少一项;
威胁信息包括威胁程度、所属黑客组织、所属病毒家族、域名注册信息中的至少一项。
在上述实施例的基础上,在一个具体实施例中,该系统还可以包括:
第四获取模块,用于获取云端威胁情报库的更新情况,并根据更新情况判断是否需要对本地威胁情报库进行更新。
由于系统部分的实施例与方法部分的实施例相互对应,因此系统部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
请参考图3,图3为本申请实施例所提供的一种恶意文件检测设备的结构图。
该恶意文件检测设备500可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)522(例如,一个或一个以上处理器)和存储器532,一个或一个以上存储应用程序542或数据544的存储介质530(例如一个或一个以上海量存储设备)。其中,存储器532和存储介质530可以是短暂存储或持久存储。存储在存储介质530的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对装置中的一系列指令操作。更进一步地,处理器522可以设置为与存储介质530通信,在恶意文件检测设备500上执行存储介质530中的一系列指令操作。
恶意文件检测设备500还可以包括一个或一个以上电源525,一个或一个以上有线或无线网络接口550,一个或一个以上输入输出接口558,和/或,一个或一个以上操作系统541,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述图1所描述的恶意文件检测的方法中的步骤由恶意文件检测设备基于该图3所示的结构实现。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置、设备和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,功能调用装置,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上对本申请所提供的一种恶意文件检测的方法、系统、设备及可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种恶意文件检测的方法,其特征在于,包括:
获取待检测文件的静态参数,并利用所述静态参数与本地威胁情报库进行匹配,得到第一匹配结果;
根据所述第一匹配结果判断所述待检测文件是否为恶意文件;
若否,则令所述待检测文件在沙箱中运行,并获取运行过程中产生的动态参数;
利用所述动态参数与所述本地威胁情报库进行匹配,并根据得到的第二匹配结果判定所述待检测文件是否为所述恶意文件。
2.根据权利要求1所述的方法,其特征在于,令所述待检测文件在沙箱中运行,并获取运行过程中产生的动态参数,包括:
获取所述待检测文件在所述沙箱中运行时网络连接的目标地址;
获取所述待检测文件在所述沙箱中运行时创建的临时文件,并计算所述临时文件的Hash值。
3.根据权利要求2所述的方法,其特征在于,获取所述待检测文件在所述沙箱中运行时网络连接的目标地址,包括:
记录所述待检测文件运行时调用的网络应用程序接口以及对应的调用参数,并根据所述网络应用程序接口以及所述调用参数确定所述目标地址。
4.根据权利要求2所述的方法,其特征在于,获取所述待检测文件在所述沙箱中运行时网络连接的目标地址,包括:
捕捉所述待检测文件运行时的网络流量,并通过解析所述网络流量得到所述目标地址。
5.根据权利要求1-4任一项所述的方法,其特征在于,当所述待检测文件为所述恶意文件时,还包括:
从所述本地威胁情报库中获取所述待检测文件的威胁类型及威胁信息。
6.根据权利要求5所述的方法,其特征在于,所述威胁类型包括钓鱼地址、垃圾邮件、僵尸网络、矿池、黑产IP、蠕虫、勒索软件、漏洞利用、恶意软件、DDOS攻击、TOR代理中的至少一项;
所述威胁信息包括威胁程度、所属黑客组织、所属病毒家族、域名注册信息中的至少一项。
7.根据权利要求1所述的方法,其特征在于,在利用所述静态参数与本地威胁情报库进行匹配,得到第一匹配结果之前,还包括:
获取云端威胁情报库的更新情况,并根据所述更新情况判断是否需要对所述本地威胁情报库进行更新。
8.一种恶意文件检测的系统,其特征在于,包括:
第一获取模块,用于获取待检测文件的静态参数,并利用所述静态参数与本地威胁情报库进行匹配,得到第一匹配结果;
判断模块,用于根据所述第一匹配结果判断所述待检测文件是否为恶意文件;
第二获取模块,用于当所述待检测文件不为所述恶意文件时,令所述待检测文件在沙箱中运行,并获取运行过程中产生的动态参数;
判定模块,用于利用所述动态参数与所述本地威胁情报库进行匹配,并根据得到的第二匹配结果判定所述待检测文件是否为所述恶意文件。
9.一种恶意文件检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述恶意文件检测的方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述恶意文件检测的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010597641.5A CN111737696A (zh) | 2020-06-28 | 2020-06-28 | 一种恶意文件检测的方法、系统、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010597641.5A CN111737696A (zh) | 2020-06-28 | 2020-06-28 | 一种恶意文件检测的方法、系统、设备及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111737696A true CN111737696A (zh) | 2020-10-02 |
Family
ID=72651324
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010597641.5A Pending CN111737696A (zh) | 2020-06-28 | 2020-06-28 | 一种恶意文件检测的方法、系统、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111737696A (zh) |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112464236A (zh) * | 2020-11-26 | 2021-03-09 | 杭州安恒信息技术股份有限公司 | 一种恶意程序检测方法、系统及相关装置 |
CN112487432A (zh) * | 2020-12-10 | 2021-03-12 | 杭州安恒信息技术股份有限公司 | 一种基于图标匹配的恶意文件检测的方法、系统及设备 |
CN112738118A (zh) * | 2020-12-30 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 网络威胁检测方法、装置、系统、电子设备及存储介质 |
CN112749390A (zh) * | 2020-12-28 | 2021-05-04 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、设备及计算机可读存储介质 |
CN112910920A (zh) * | 2021-03-01 | 2021-06-04 | 深信服科技股份有限公司 | 恶意通信检测方法、系统、存储介质和电子设备 |
CN113032785A (zh) * | 2021-03-26 | 2021-06-25 | 深信服科技股份有限公司 | 一种文档检测方法、装置、设备及存储介质 |
CN113536300A (zh) * | 2021-07-12 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 一种pdf文件信任过滤及分析方法、装置、设备及介质 |
CN113660232A (zh) * | 2021-08-06 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 基于云服务器的威胁指标查询方法、系统和电子装置 |
CN113672927A (zh) * | 2021-08-27 | 2021-11-19 | 杭州美创科技有限公司 | 一种恶意代理软件检测的方法及其系统 |
CN113688392A (zh) * | 2021-09-07 | 2021-11-23 | 南方电网科学研究院有限责任公司 | 一种基于电力物联网的恶意代码攻击抵御方法和相关装置 |
CN114004604A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种邮件中url数据的检测方法、装置、电子设备 |
CN114172721A (zh) * | 2021-12-06 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 恶意数据防护方法、装置、电子设备及存储介质 |
CN114301696A (zh) * | 2021-12-30 | 2022-04-08 | 北京天融信网络安全技术有限公司 | 恶意域名检测方法、装置、计算机设备及存储介质 |
CN114969741A (zh) * | 2022-06-07 | 2022-08-30 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 恶意软件检测与分析方法、装置、设备和可读存储介质 |
CN115001754A (zh) * | 2022-05-13 | 2022-09-02 | 国科华盾(北京)科技有限公司 | 一种可对敏感数字信息传输进行实时监控的网络安全系统 |
CN115842685A (zh) * | 2023-02-21 | 2023-03-24 | 北京微步在线科技有限公司 | 一种威胁情报的生成方法、装置、电子设备及存储介质 |
CN116628693A (zh) * | 2023-07-25 | 2023-08-22 | 积至网络(北京)有限公司 | 一种基于预配置信物的勒索软件防御方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790287A (zh) * | 2017-03-03 | 2017-05-31 | 努比亚技术有限公司 | 一种恶意软件拦截方法及装置 |
KR101851233B1 (ko) * | 2018-02-13 | 2018-04-23 | (주)지란지교시큐리티 | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 |
CN108200105A (zh) * | 2018-03-30 | 2018-06-22 | 杭州迪普科技股份有限公司 | 一种检测钓鱼邮件的方法及装置 |
CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
CN110955893A (zh) * | 2019-11-22 | 2020-04-03 | 杭州安恒信息技术股份有限公司 | 一种恶意文件威胁分析平台及恶意文件威胁分析方法 |
-
2020
- 2020-06-28 CN CN202010597641.5A patent/CN111737696A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790287A (zh) * | 2017-03-03 | 2017-05-31 | 努比亚技术有限公司 | 一种恶意软件拦截方法及装置 |
KR101851233B1 (ko) * | 2018-02-13 | 2018-04-23 | (주)지란지교시큐리티 | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 |
CN108200105A (zh) * | 2018-03-30 | 2018-06-22 | 杭州迪普科技股份有限公司 | 一种检测钓鱼邮件的方法及装置 |
CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
CN110955893A (zh) * | 2019-11-22 | 2020-04-03 | 杭州安恒信息技术股份有限公司 | 一种恶意文件威胁分析平台及恶意文件威胁分析方法 |
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112464236A (zh) * | 2020-11-26 | 2021-03-09 | 杭州安恒信息技术股份有限公司 | 一种恶意程序检测方法、系统及相关装置 |
CN112487432A (zh) * | 2020-12-10 | 2021-03-12 | 杭州安恒信息技术股份有限公司 | 一种基于图标匹配的恶意文件检测的方法、系统及设备 |
CN112749390A (zh) * | 2020-12-28 | 2021-05-04 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、设备及计算机可读存储介质 |
CN112738118A (zh) * | 2020-12-30 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 网络威胁检测方法、装置、系统、电子设备及存储介质 |
CN112738118B (zh) * | 2020-12-30 | 2023-08-29 | 北京天融信网络安全技术有限公司 | 网络威胁检测方法、装置、系统、电子设备及存储介质 |
CN112910920A (zh) * | 2021-03-01 | 2021-06-04 | 深信服科技股份有限公司 | 恶意通信检测方法、系统、存储介质和电子设备 |
CN113032785A (zh) * | 2021-03-26 | 2021-06-25 | 深信服科技股份有限公司 | 一种文档检测方法、装置、设备及存储介质 |
CN113536300A (zh) * | 2021-07-12 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 一种pdf文件信任过滤及分析方法、装置、设备及介质 |
CN113660232A (zh) * | 2021-08-06 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 基于云服务器的威胁指标查询方法、系统和电子装置 |
CN113672927A (zh) * | 2021-08-27 | 2021-11-19 | 杭州美创科技有限公司 | 一种恶意代理软件检测的方法及其系统 |
CN113688392A (zh) * | 2021-09-07 | 2021-11-23 | 南方电网科学研究院有限责任公司 | 一种基于电力物联网的恶意代码攻击抵御方法和相关装置 |
CN114172721A (zh) * | 2021-12-06 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 恶意数据防护方法、装置、电子设备及存储介质 |
CN114172721B (zh) * | 2021-12-06 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 恶意数据防护方法、装置、电子设备及存储介质 |
CN114004604A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种邮件中url数据的检测方法、装置、电子设备 |
CN114301696B (zh) * | 2021-12-30 | 2023-12-01 | 北京天融信网络安全技术有限公司 | 恶意域名检测方法、装置、计算机设备及存储介质 |
CN114301696A (zh) * | 2021-12-30 | 2022-04-08 | 北京天融信网络安全技术有限公司 | 恶意域名检测方法、装置、计算机设备及存储介质 |
CN115001754A (zh) * | 2022-05-13 | 2022-09-02 | 国科华盾(北京)科技有限公司 | 一种可对敏感数字信息传输进行实时监控的网络安全系统 |
CN114969741A (zh) * | 2022-06-07 | 2022-08-30 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 恶意软件检测与分析方法、装置、设备和可读存储介质 |
CN115842685A (zh) * | 2023-02-21 | 2023-03-24 | 北京微步在线科技有限公司 | 一种威胁情报的生成方法、装置、电子设备及存储介质 |
CN115842685B (zh) * | 2023-02-21 | 2023-05-05 | 北京微步在线科技有限公司 | 一种威胁情报的生成方法、装置、电子设备及存储介质 |
CN116628693A (zh) * | 2023-07-25 | 2023-08-22 | 积至网络(北京)有限公司 | 一种基于预配置信物的勒索软件防御方法 |
CN116628693B (zh) * | 2023-07-25 | 2023-09-29 | 积至网络(北京)有限公司 | 一种基于预配置信物的勒索软件防御方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111737696A (zh) | 一种恶意文件检测的方法、系统、设备及可读存储介质 | |
US20210029156A1 (en) | Security monitoring system for internet of things (iot) device environments | |
CN109583193B (zh) | 目标攻击的云检测、调查以及消除的系统和方法 | |
US10645124B2 (en) | System and method for collection of forensic and event data | |
EP3171572B1 (en) | Network security protection method and device | |
US10225280B2 (en) | System and method for verifying and detecting malware | |
US9609019B2 (en) | System and method for directing malicous activity to a monitoring system | |
US20190332771A1 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
US8869268B1 (en) | Method and apparatus for disrupting the command and control infrastructure of hostile programs | |
US11290484B2 (en) | Bot characteristic detection method and apparatus | |
RU2726032C2 (ru) | Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga) | |
US11252167B2 (en) | System and method for detecting and classifying malware | |
US8955138B1 (en) | Systems and methods for reevaluating apparently benign behavior on computing devices | |
WO2016081561A1 (en) | System and method for directing malicious activity to a monitoring system | |
US11374946B2 (en) | Inline malware detection | |
US11611583B2 (en) | System and method for detection of malicious interactions in a computer network | |
US11636208B2 (en) | Generating models for performing inline malware detection | |
US20220417255A1 (en) | Managed detection and response system and method based on endpoints | |
US10645107B2 (en) | System and method for detecting and classifying malware | |
WO2017217247A1 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
Choi et al. | A study on analysis of malicious code behavior information for predicting security threats in new environments | |
EP3999985A1 (en) | Inline malware detection | |
CN112005234A (zh) | 恶意软件检测的上下文剖析 | |
Kühnel et al. | Applying highly space efficient blacklisting to mobile malware | |
US20230344838A1 (en) | Detecting microsoft .net malware using machine learning on .net structure |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201002 |