CN112084501A - 一种恶意程序的检测方法、装置、电子设备及存储介质 - Google Patents
一种恶意程序的检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN112084501A CN112084501A CN202010986473.9A CN202010986473A CN112084501A CN 112084501 A CN112084501 A CN 112084501A CN 202010986473 A CN202010986473 A CN 202010986473A CN 112084501 A CN112084501 A CN 112084501A
- Authority
- CN
- China
- Prior art keywords
- address
- information
- malicious
- program
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 70
- 238000012544 monitoring process Methods 0.000 claims abstract description 15
- 230000004044 response Effects 0.000 claims description 33
- 230000008569 process Effects 0.000 claims description 30
- 238000004891 communication Methods 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 15
- 238000004422 calculation algorithm Methods 0.000 description 20
- 238000012545 processing Methods 0.000 description 13
- 238000004364 calculation method Methods 0.000 description 8
- 238000001514 detection method Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000003491 array Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种恶意程序的检测方法、装置、电子设备及存储介质,所述方法包括:当监测到应用程序发送网络请求时,获取该网络请求包括的所要访问的服务器地址,作为待检测地址;查询预设的服务器地址数据库中是否存在与所述待检测地址匹配的目标地址信息,其中,所述服务器地址数据库中存储有多个恶意服务器地址对应的地址信息,所述恶意服务器地址为恶意程序的服务器的地址;若所述服务器地址数据库中存在所述目标地址信息,则确定所述应用程序为恶意程序。采用本发明实施例,可以提高检测恶意程序的准确度。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种恶意程序的检测方法、装置、电子设备及存储介质。
背景技术
当用户使用安装有恶意程序的手机、电脑等电子设备上网时,恶意程序通常创建弹窗窗口,这会影响用户正常使用电子设备,因此恶意程序也被称为流氓程序。
目前,恶意程序的检测通常是基于检测弹窗窗口的类名及标题的方式实现的。具体来说,当电子设备监测到应用程序创建的弹窗窗口时,将会获取该弹窗窗口的类名及标题,然后查询预先设置的恶意程序数据库中是否存在与获取到的类名或标题匹配的信息,如果存在,将确定该应用程序为恶意程序,并关闭该弹窗窗口。
为了逃避检测,目前的很多恶意程序在创建弹窗窗口时会随机生成弹窗窗口的类名及标题。这种随机生成的类名及标题很难在预先设置的数据库中查询到匹配的信息,因此,采用目前的恶意程序检测方式很难准确地检测到恶意程序。
发明内容
本发明实施例的目的在于提供一种恶意程序的检测方法、装置、电子设备及存储介质,以提高检测恶意程序的准确度。
第一方面,本发明实施例提供了一种恶意程序的检测方法,所述方法包括:
当监测到应用程序发送网络请求时,获取该网络请求包括的所要访问的服务器地址,作为待检测地址;
查询预设的服务器地址数据库中是否存在与所述待检测地址匹配的目标地址信息,其中,所述服务器地址数据库中存储有多个恶意服务器地址对应的地址信息,所述恶意服务器地址为恶意程序的服务器的地址;
若所述服务器地址数据库中存在有所述目标地址信息,则确定所述应用程序为恶意程序。
可选的,在所述确定所述应用程序为恶意程序之后,所述方法还包括:
当接收所述目标地址信息对应的服务器地址返回的响应信息时,丢弃所述响应信息。
可选的,在所述确定所述应用程序为恶意程序之后,所述方法还包括:
记录所述恶意程序的软件标识;
当监测到所述软件标识对应的应用程序发出网络请求时,拦截所述网络请求。
可选的,在所述记录所述恶意程序的软件标识之前,所述方法还包括:
获取运行所述恶意程序的进程的标识,将所述进程的标识作为所述恶意程序的软件标识;和/或,从所述恶意程序的可执行文件中读取所述恶意程序的签名信息,将所述签名信息作为所述恶意程序的软件标识。
可选的,若所述服务器地址数据库中不存在有所述目标地址信息,所述方法还包括:
当监测到所述应用程序创建的弹窗窗口时,获取该弹窗窗口的属性信息,其中,所述属性信息包括弹窗窗口的类名和/或标题;
查询预设的窗口信息数据库中是否存在与所述属性信息匹配的目标窗口信息,其中,所述窗口信息数据库中存储有多个恶意窗口的属性信息对应的窗口信息,所述恶意窗口的属性信息为恶意程序创建的弹窗窗口的属性信息;
若所述窗口信息数据库中存在所述目标窗口信息,则确定所述应用程序为恶意程序。
可选的,在所述若所述窗口信息数据库中存在所述目标窗口信息,则确定所述应用程序为恶意程序之后,所述方法还包括:
将所述待检测地址对应的服务器地址信息存储在所述服务器地址数据库中。
第二方面,本发明实施例提供了一种恶意程序的检测装置,所述装置包括:
待检测地址获取模块,用于当监测到应用程序发送网络请求时,获取该网络请求包括的所要访问的服务器地址,作为待检测地址;
地址匹配模块,用于查询预设的服务器地址数据库中是否存在与所述待检测地址匹配的目标地址信息,其中,所述服务器地址数据库中存储有多个恶意服务器地址对应的地址信息,所述恶意服务器地址为恶意程序的服务器的地址;
第一恶意程序确定模块,用于若所述服务器地址数据库中存在有所述目标地址信息,则确定所述应用程序为恶意程序。
可选的,所述装置还包括:
响应信息丢弃模块,用于在确定所述应用程序为恶意程序之后,当接收所述目标地址信息对应的服务器地址返回的响应信息时,丢弃所述响应信息。
可选的,所述装置还包括:
软件标识记录模块,用于在确定所述应用程序为恶意程序之后,记录所述恶意程序的软件标识;
请求拦截模块,用于当监测到所述软件标识对应的应用程序发出网络请求时,拦截所述网络请求。
可选的,所述装置还包括:
软件标识获取模块,用于在记录所述恶意程序的软件标识之前,获取运行所述恶意程序的进程的标识,将所述进程的标识作为所述恶意程序的软件标识;和/或,从所述恶意程序的可执行文件中读取所述恶意程序的签名信息,将所述签名信息作为所述恶意程序的软件标识。
可选的,所述装置还包括:
弹窗属性获取模块,用于若所述服务器地址数据库中不存在所述目标地址信息,当监测到所述应用程序创建的弹窗窗口时,获取该弹窗窗口的属性信息,其中,所述属性信息包括弹窗窗口的类名和/或标题;
属性匹配模块,用于查询预设的窗口信息数据库中是否存在与所述属性信息匹配的目标窗口信息,其中,所述窗口信息数据库中存储有多个恶意窗口的属性信息对应的窗口信息,所述恶意窗口的属性信息为恶意程序创建的弹窗窗口的属性信息;
第二恶意程序确定模块,用于若所述窗口信息数据库中存在所述目标窗口信息,则确定所述应用程序为恶意程序。
可选的,所述装置还包括:
地址信息存储模块,用于在若所述窗口信息数据库中存在所述目标窗口信息,则确定所述应用程序为恶意程序之后,将所述待检测地址对应的服务器地址信息存储在所述服务器地址数据库中。
第三方面,本发明实施例提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一所述的恶意程序的检测方法步骤。
第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一所述的恶意程序的检测方法步骤。
本发明实施例提供的方案中,电子设备可以当监测到应用程序发送网络请求时,获取该网络请求包括的所要访问的服务器地址,作为待检测地址;查询预设的服务器地址数据库中是否存在与待检测地址匹配的目标地址信息,其中,服务器地址数据库中存储有多个恶意服务器地址对应的地址信息,恶意服务器地址为恶意程序的服务器的地址;若服务器地址数据库中存在有目标地址信息,则确定应用程序为恶意程序。恶意程序在创建弹窗窗口之前会发送网络请求至恶意程序的服务器,获取用于在将要创建的弹窗窗口中展示的内容信息,预先建立的服务器地址数据库中存储有恶意服务器地址对应的地址信息,因此若服务器地址数据库中存在有与待检测地址匹配的目标地址信息时,电子设备可以确定应用程序为恶意程序,这样可以提高检测恶意程序的准确度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明实施例所提供的恶意程序的检测方法的一种流程图;
图2为本发明实施例所提供的恶意程序的检测方法的另一种流程图;
图3为本发明实施例所提供的恶意程序的检测装置的一种结构示意图;
图4为本发明实施例所提供的恶意程序的检测装置的另一种结构示意图;
图5为本发明实施例所提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了提高检测恶意程序的准确度,本发明实施例提供了一种恶意程序的检测方法、装置、电子设备、计算机可读存储介质及计算机程序产品。下面首先对本发明实施例所提供的一种恶意程序的检测方法进行介绍。
本发明实施例提供的一种恶意程序的检测方法适用于任意需要检测恶意程序的电子设备,例如,可以为手机、电脑等。为了描述方便,后续称为电子设备。
如图1所示,一种恶意程序的检测方法,所述方法包括:
S101,当监测到应用程序发送网络请求时,获取该网络请求包括的所要访问的服务器地址,作为待检测地址;
S102,查询预设的服务器地址数据库中是否存在与所述待检测地址匹配的目标地址信息;
其中,所述服务器地址数据库中存储有多个恶意服务器地址对应的地址信息,所述恶意服务器地址为恶意程序的服务器的地址。
S103,若所述服务器地址数据库中存在有所述目标地址信息,则确定所述应用程序为恶意程序。
可见,本发明实施例所提供的方案中,电子设备可以当监测到应用程序发送网络请求时,获取该网络请求包括的所要访问的服务器地址,作为待检测地址;查询预设的服务器地址数据库中是否存在与待检测地址匹配的目标地址信息,其中,服务器地址数据库中存储有多个恶意服务器地址对应的地址信息,恶意服务器地址为恶意程序的服务器的地址;若服务器地址数据库中存在有目标地址信息,则确定应用程序为恶意程序。恶意程序在创建弹窗窗口之前会发送网络请求至恶意程序的服务器,获取用于在将要创建的弹窗窗口中展示的内容信息,预先建立的服务器地址数据库中存储有恶意服务器地址对应的地址信息,因此若服务器地址数据库中存在有与待检测地址匹配的目标地址信息时,电子设备可以确定应用程序为恶意程序,这样可以提高检测恶意程序的准确度。
安装在电子设备中的恶意程序在运行时将会创建弹窗窗口,并通过弹窗窗口展示广告等内容。为了获取用于在创建的弹窗窗口中展示的内容,恶意程序在创建弹窗窗口之前,将会发送用于访问该恶意程序的服务器的网络请求,从该恶意程序的服务器中获取用于在弹窗窗口中展示的内容,所以恶意程序发出的网络请求携带其所要访问的恶意程序的服务器的地址。
为了检测安装在电子设备中的应用程序是否为恶意程序,电子设备可以对应用程序发送的网络请求进行监测,在上述步骤S101中,电子设备当监测到应用程序发送网络请求时,可以对该网络请求进行解析,获得该网络请求包括的所要访问的服务器地址,作为待检测地址。
其中,监测网络请求的具体方式可以为网络安全领域中的相应方式,在此不做具体限定和说明,只要可以监测到应用程序发送的网络请求即可。上述服务器地址可以为服务器的IP地址或URL(uniform resource locator,统一资源定位符)地址等。
在获取到待检测地址之后,为了确定待检测地址是否为恶意程序的服务器的地址,电子设备可以预先设置服务器地址数据库,这样,在上述步骤S102中,电子设备可以查询该预设的服务器地址数据库中是否存在与待检测地址匹配的目标地址信息。其中,上述服务器地址数据库中存储有多个恶意服务器地址对应的地址信息,恶意服务器地址为恶意程序的服务器的地址。当然,服务器地址数据库中也可以存储恶意服务器的服务器地址及服务器标识,这也是合理的。
在建立服务器地址数据库时,可以预先搜集恶意服务器地址,然后对搜集到的恶意服务器地址进行处理,得到恶意服务器地址对应的地址信息。其中,对搜集到的恶意服务器地址进行处理的具体处理方式可以为加密处理,具体的,电子设备可以采用加密算法,对搜集到的恶意服务器地址进行加密处理,得到加密后的恶意服务器地址,作为恶意服务器地址对应的地址信息。
电子设备在获取到待检测地址后,可以采用与上述加密算法相同的加密算法对待检测地址进行加密处理,得到加密后的待检测地址,作为待检测地址对应的地址信息。然后,电子设备可以从服务器地址数据库中查找是否存在目标地址信息。其中,目标地址信息即为与待检测地址对应的地址信息相匹配的地址信息,上述加密算法可以为SHA-1(SecureHash Algorithm 1,安全散列算法1)、MD5信息摘要算法(MD5 Message-DigestAlgorithm)、SHA-256(Secure Hash Algorithm 256,安全散列算法256)等,在此不做具体限定及说明。
在一种实施方式中,电子设备可以从服务器地址数据库中查找是否存在与待检测地址对应的地址信息相同的地址信息,如果查找到,则可以确定服务器地址数据库中存在与待检测地址匹配的目标地址信息;如果未查找到,则可以确定服务器地址数据库中不存在与待检测地址匹配的目标地址信息。
例如,服务器地址数据库中存储的地址信息如下表所示:
| 序号 | 地址信息 |
| 1 | Dz1 |
| 2 | Dz2 |
| 3 | Dz3 |
| 4 | Dz4 |
电子设备在获取到待检测地址dj1后,按照加密算法对待检测地址dj1进行加密处理,得到待检测地址dj1加密处理后的地址信息为Dz3,那么电子设备根据上表所示的地址信息可以确定服务器地址数据库中存在与待检测地址dj1匹配的目标地址信息Dz3。
在另一种实施方式中,电子设备在确定待检测地址对应的地址信息后,可以计算服务器地址数据库中存储的地址信息与待检测地址对应的地址信息之间的第一相似度,当服务器地址数据库中存在对应的第一相似度不低于预设的第一相似度阈值的地址信息时,电子设备可以确定服务器地址数据库中存在与待检测地址匹配的目标地址信息。其中,上述第一相似度阈值可以根据经验值进行设置,上述第一相似度的计算方法可以为余弦相似度的计算方法、欧式距离的计算方法、曼哈顿距离的计算方法等,在此不做具体限定及说明。
例如,预设的第一相似度阈值为0.80,服务器地址数据库中存储的地址信息如下表所示:
| 序号 | 地址信息 |
| 1 | Dz*1 |
| 2 | Dz*2 |
| 3 | Dz*3 |
| 4 | Dz*4 |
电子设备在获取到待检测地址dj2后,按照加密算法对待检测地址dj1进行加密处理,得到待检测地址dj2加密处理后的地址信息为Dz1,然后电子设备计算地址信息Dz*1与地址信息Dz1之间的第一相似度为0.81、地址信息Dz*2与地址信息Dz1之间的第一相似度为0.73、地址信息Dz*3与地址信息Dz1之间的第一相似度为0.05、地址信息Dz*4与地址信息Dz1之间的第一相似度为0.11,那么电子设备便可以确定服务器地址数据库中存在对应的相似度不低于0.80的地址信息Dz*1,也就是说,服务器地址数据库中存在与待检测地址dj2匹配的目标地址信息Dz*1。
若电子设备确定服务器地址数据库中存在有目标地址信息,说明电子设备监测到的网络请求包括的所要访问的服务器地址为恶意服务器的地址,也就是说,发送该网络请求的应用程序所要访问的服务器为恶意服务器,那么电子设备便可以确定该应用程序为恶意程序。
若电子设备确定服务器地址数据库中不存在目标地址信息,说明电子设备监测到的网络请求包括的所要访问的服务器地址不是恶意服务器的地址,也就是说,发送该网络请求的应用程序所要访问的服务器不是恶意服务器,那么电子设备便可以确定该应用程序不为恶意程序。
这样,电子设备可以根据预先建立的服务器地址数据库及网络请求中包括的所要访问的服务器地址,检测发送网络请求的应用程序是否为恶意程序,可以提高检测恶意程序的准确度。
作为本发明实施例的一种实施方式,在上述确定所述应用程序为恶意程序之后,上述方法还可以包括:
当接收目标地址信息对应的服务器地址返回的响应信息时,丢弃响应信息。
当确定应用程序为恶意程序时,恶意程序已经发送了网络请求,恶意服务器在接收到该网络请求后将会返回响应信息,该响应信息包括用于在恶意程序将要创建的弹窗窗口中进行展示的内容信息,该内容信息可能是广告图片、广告视频、网页等。恶意程序在接收到该响应信息后将会创建弹窗窗口,然后在该弹窗窗口中展示该内容信息。
在确定应用程序为恶意程序后,为了阻止恶意程序通过弹窗窗口展示内容信息,电子设备可以对接收到的响应信息进行解析,确定接收到的响应信息是否为目标地址信息对应的服务器地址返回的响应信息。
具体来说,电子设备可以对接收到的信息进行解析,获取发送该信息的服务器的服务器地址,然后确定发送该信息的服务器的服务器地址是否为目标地址信息对应的服务器地址。如果是,那么该信息很可能是恶意服务器在接收到恶意程序发送的请求后返回的响应信息,那么电子设备便可以丢弃该响应信息,恶意程序也就无法通过弹窗窗口展示内容信息。如果不是,那么该信息便不是恶意服务器在接收到恶意程序发送的请求后返回的响应信息,那么电子设备便可以按照该响应信息对应的处理要求对该响应信息进行相应的处理即可。
可见,本发明实施例所提供的方案中,电子设备在确定应用程序为恶意程序之后,当接收目标地址信息对应的服务器地址返回的响应信息时,丢弃响应信息。这样,电子设备可以在接收到恶意服务器返回的响应信息时丢弃该响应信息,从而实现对恶意程序所请求的响应信息的拦截,可以阻止恶意程序创建弹窗窗口来展示内容信息。
作为本发明实施例的一种实施方式,在上述确定所述应用程序为恶意程序之后,上述方法还可以包括:
记录恶意程序的软件标识;当监测到软件标识对应的应用程序发出网络请求时,拦截网络请求。
在确定应用程序为恶意程序后,为了能够在该恶意程序再次发送网络请求时拦截该网络请求,电子设备可以记录该恶意程序的软件标识,其中,软件标识即为用于唯一标识恶意程序的信息。这样,电子设备在监测到该软件标识对应的应用程序发出网络请求时,便可以确定该网络请求为恶意程序发出的网络请求,在这种情况下电子设备便可以拦截该网络请求。
在一种实施方式中,可以预先建立软件标识数据库,在确定应用程序为恶意程序后,电子设备可以将恶意程序的软件标识存储在软件标识数据库中。当电子设备监测到某应用程序发出网络请求时,可以获取该应用程序的软件标识,然后查询软件标识数据库中是否存在该应用程序的软件标识。当确定软件标识数据库中存在该应用程序的软件标识时,电子设备便可以拦截该网络请求。
例如,应用程序Y1的软件标识为r*2,软件标识数据库如下表所示:
| 序号 | 软件标识 |
| 1 | r*1 |
| 2 | r*2 |
| 3 | r*3 |
| 4 | r*4 |
电子设备在监测到应用程序Y1发送网络请求时,可以获取应用程序Y1的软件标识r*2,然后根据上表中所记录的软件标识确定软件标识数据库中存在应用程序Y1的软件标识r*2,进而电子设备可以拦截应用程序Y1发送的网络请求。
可见,本发明实施例所提供的方案中,电子设备在确定应用程序为恶意程序之后,可以记录恶意程序的软件标识;当监测到软件标识对应的应用程序发出的网络请求时,拦截该网络请求。这样,电子设备在监测到恶意程序的软件标识对应的应用程序发出网络请求时,无需对该网络请求进行解析,可以直接拦截该网络请求,这样可以阻止恶意程序获取响应信息,进而可以阻止恶意程序创建弹窗窗口来展示内容信息。
作为本发明实施例的一种实施方式,在上述记录所述恶意程序的软件标识之前,上述方法还可以包括:
获取运行恶意程序的进程的标识,将进程的标识作为恶意程序的软件标识;和/或,从恶意程序的可执行文件中读取恶意程序的签名信息,将签名信息作为恶意程序的软件标识。
在确定应用程序为恶意程序后,电子设备可以将运行恶意程序的进程的标识和/或恶意程序的签名信息作为恶意程序的软件标识。在一种实施方式,由于运行恶意程序的进程与恶意进程之间是唯一对应的,因此,电子设备可以获取运行恶意程序的进程的标识,然后可以将进程的标识作为恶意程序的软件标识。
在另一种实施方式中,电子设备可以从恶意程序的可执行文件(executablefile)中读取恶意程序的签名信息,将该签名信息作为恶意程序的软件标识。其中,上述可执行文件即为电子设备的操作系统进行加载执行的文件,格式可以为.exe、.sys、.com等。上述签名信息可以为数字签名。
在另一种实施方式中,电子设备可以获取运行恶意程序的进程的标识,并从恶意程序的可执行文件中读取恶意程序的签名信息,然后将运行恶意程序的进程的标识及恶意程序的签名信息作为恶意程序的软件标识。在这种情况下,电子设备当监测到某应用程序发出网络请求时,可以获取运行该应用程序的进程的标识及该应用程序的签名信息,然后查询软件标识数据库中是否存在运行该应用程序的进程的标识或该应用程序的签名信息。当确定软件标识数据库中至少存在运行该应用程序的进程的标识和该应用程序的签名信息中的至少一个时,电子设备便可以拦截该网络请求。
例如,软件标识数据库如下表所示:
| 序号 | 进程的标识 | 签名信息 |
| 1 | j*1 | Q1 |
| 2 | j*2 | Q2 |
| 3 | j*3 | Q3 |
| 4 | j*4 | Q4 |
当电子设备监测到应用程序yy1发出网络请求时,获取到运行应用程序yy1的进程的标识为j*5,并获取到应用程序yy1的签名信息为Q4,在这种情况下电子设备查询到软件标识数据库中存在签名信息Q4,便可以拦截应用程序yy1发出的该网络请求。
可见,本发明实施例所提供的方案中,在记录恶意程序的软件标识之前,电子设备可以获取运行恶意程序的进行的标识,将进程的标识作为恶意程序的软件标识;和/或,从恶意程序的可执行文件中读取恶意程序的签名信息,将签名信息作为恶意程序的软件标识。这样,电子设备可以将运行恶意程序的进程的标识和/或恶意程序的签名信息作为恶意程序的软件标识,进而可以存储恶意程序的软件标识,这样,电子设备可以在恶意程序再次发送网络请求时拦截该网络请求,从而阻止恶意程序获取响应信息。
作为本发明实施例的一种实施方式,为了进一步提高恶意程序检测的准确度,如图2所示,若上述服务器地址数据库中不存在有目标地址信息时,上述方法还可以包括:
S201,当监测到所述应用程序创建的弹窗窗口时,获取该弹窗窗口的属性信息;
由于服务器地址数据库中可能没有存储所有恶意服务器的地址信息,因此,当服务器地址数据库中不存在与待检测地址匹配的目标地址信息时,发送网络请求的应用程序也可能为恶意程序。
为了进一步检测未在服务器地址数据库中查找到与待检测地址匹配的目标地址信息的应用程序是否为恶意程序,电子设备可以监测应用程序创建的弹窗窗口,当电子设备监测到未在服务器地址数据库中查找到与待检测地址匹配的目标地址信息的应用程序创建的弹窗窗口时,可以获取该弹窗窗口的属性信息。其中,弹窗窗口的属性信息可以包括弹窗窗口的类名和/或标题,弹窗窗口的类名也就是应用程序在创建该弹窗窗口时在电子设备的操作系统中注册的Windows Class(窗口类)的名称。
S202,查询预设的窗口信息数据库中是否存在与所述属性信息匹配的目标窗口信息;
在获取上述弹窗窗口的属性信息之后,为了确定创建该弹窗窗口的应用程序是否为恶意程序,电子设备可以查询预设的窗口信息数据库中是否存在与弹窗窗口的属性信息匹配的目标窗口信息。其中,上述窗口信息数据库中存储有多个恶意窗口的属性信息对应的窗口信息,恶意窗口的属性信息即为恶意程序创建的弹窗窗口的属性信息,也就是弹窗窗口的类名和/或标题。
在创建窗口信息数据库时,可以预先搜集恶意窗口的属性信息,然后对搜集到的恶意窗口的属性信息进行处理,得到恶意窗口的属性信息对应的窗口信息。其中,对搜集到的恶意窗口的属性信息进行处理的具体处理方式可以为加密处理。具体的,电子设备可以采用加密算法,对搜集到的恶意窗口的属性信息进行加密处理,得到加密后的恶意窗口的属性信息,作为恶意窗口的属性信息对应的窗口信息。进而,可以将恶意窗口的属性信息对应的窗口信息进行存储,得到窗口信息数据库。
电子设备在获取到弹窗窗口的属性信息之后,可以采用上述加密算法相同的加密算法对弹窗窗口的属性信息进行加密处理,得到加密后的弹窗窗口的属性信息,作为弹窗窗口的属性信息对应的窗口信息。然后,电子设备可以从窗口信息数据库中查找是否存在目标窗口信息。其中,目标窗口信息即为与获取到的弹窗窗口的属性信息相匹配的窗口信息,上述加密算法可以为SHA-1(Secure Hash Algorithm 1,安全散列算法1)、MD5信息摘要算法(MD5Message-Digest Algorithm)、SHA-256(Secure Hash Algorithm 256,安全散列算法256)等,在此不做具体限定及说明。
在一种实施方式中,电子设备可以从窗口信息数据库中查找是否存在与弹窗窗口的属性信息对应的窗口信息相同的窗口信息,如果查找到,则可以确定窗口信息数据库中存在与弹窗窗口的属性信息匹配的目标窗口信息;如果未查找到,则可以确定窗口信息数据库中不存在与弹窗窗口的属性信息匹配的目标窗口信息。
例如,窗口信息数据库中存储的窗口信息如下表所示:
| 序号 | 窗口信息 |
| 1 | win1 |
| 2 | win2 |
| 3 | win3 |
| 4 | win4 |
电子设备在获取到弹窗窗口t1的属性信息x1后,按照加密算法对属性信息x1进行处理,得到属性信息x1加密处理后的口信息为win2,那么电子设备根据上表所示的窗口信息可以确定窗口信息数据库中存在与弹窗窗口t1的属性信息x1匹配的目标窗口信息win2。
在另一种实施方式中,电子设备在确定弹窗窗口的属性信息对应的窗口信息后,可以计算窗口信息数据库中存储的每个窗口信息与弹窗窗口的属性信息对应的窗口信息之间的第二相似度,当窗口信息数据库中存在对应的第二相似度不低于预设的第二相似度阈值的窗口信息时,电子设备可以确定窗口信息数据库中存在与弹窗窗口的属性信息匹配的目标窗口信息。其中,上述第二相似度阈值可以根据经验值进行设置,上述第二相似度的计算方法可以为余弦相似度的计算方法、欧式距离的计算方法、曼哈顿距离的计算方法等,在此不做具体限定及说明。
例如,预设的第二相似度阈值为0.75,窗口信息数据库中存储的窗口信息如下表所示:
| 序号 | 窗口信息 |
| 1 | win*1 |
| 2 | win*2 |
| 3 | win*3 |
| 4 | win*4 |
电子设备在获取到弹窗窗口tc1的属性信息sx1后,按照加密算法对属性信息sx1进行加密处理,得到属性信息sx1加密处理后的窗口信息为win*5,然后电子设备计算窗口信息win*1与窗口信息win*5之间的第二相似度为0.33、窗口信息win*2与窗口信息win*5之间的第二相似度为0.62、窗口信息win*3与窗口信息win*5之间的第二相似度为0.14、窗口信息win*4与窗口信息win*5之间的第二相似度为0.93,那么电子设备便可以确定窗口信息数据库中存在对应的相似度不低于0.80的窗口信息win*4,也就是说,服务器地址数据库中存在与弹窗窗口tc1的属性信息sx1匹配的目标窗口信息win*4。
S203,若所述窗口信息数据库中存在所述目标窗口信息,则确定所述应用程序为恶意程序。
当电子设备确定窗口信息数据库中存在目标窗口信息时,说明电子设备监测到的弹窗窗口为恶意恶意程序创建的弹窗窗口,那么电子设备便可以确定创建弹窗窗口的应用程序为恶意程序。
当电子设备确定窗口信息数据库中不存在目标窗口信息时,说明电子设备监测到的弹窗窗口不是恶意恶意程序创建的弹窗窗口,那么电子设备便可以确定创建弹窗窗口的应用程序不为恶意程序。
可见,本发明实施例所提供的方案中,若服务器地址数据库中不存在有目标地址信息,电子设备可以当监测到应用程序创建的弹窗窗口时,获取该弹窗窗口的属性信息;查询预设的窗口信息数据库中是否存在与属性信息匹配的目标窗口信息;若窗口信息数据库中存在目标窗口信息,则确定应用程序为恶意程序。这样,当服务器地址数据库中不存在目标地址信息时,电子设备可以进一步根据应用程序创建的弹窗窗口的属性信息检测应用程序是否为恶意程序,这要可以提高恶意程序检测的准确度。
作为本发明实施例的一种实施方式,在上述若所述窗口信息数据库中存在所述目标窗口信息,则确定所述应用程序为恶意程序之后,上述方法还可以包括:
将待检测地址对应的服务器地址信息存储在服务器地址数据库中。
在确定应用程序为恶意程序后,由于上述服务器地址数据库中并不存在与待检测地址匹配的目标地址信息,所以为了后续能够通过服务器地址数据库检测出该应用程序为恶意程序,电子设备可以对待检测地址进行处理,得到待检测地址对应的服务器地址信息,进而可以将待检测地址对应的服务器地址信息存储在服务器地址数据库中。这样,电子设备可以在通过弹窗窗口的属性信息检测出应用程序为恶意程序后,可以及时更新服务器地址数据库,这样可以提高通过服务器地址数据库检测恶意程序的准确度。
可见,本发明实施例所提供的方案中,在若窗口信息数据库中存在目标窗口信息,则确定应用程序为恶意程序之后,电子设备可以将待检测地址对应的服务器地址信息存储在服务器地址数据库中。这样,电子设备可以及时更新服务器地址数据库,可以提高后续通过服务器地址数据库检测恶意程序的准确度。
相应于上述恶意程序的检测方法,本发明实施例还提供了一种恶意程序的检测装置。下面对本发明实施例所提供的一种恶意程序的检测装置进行介绍。
如图3所示,一种恶意程序的检测装置,所述装置包括:
待检测地址获取模块301,用于当监测到应用程序发送网络请求时,获取该网络请求包括的所要访问的服务器地址,作为待检测地址;
地址匹配模块302,用于查询预设的服务器地址数据库中是否存在与所述待检测地址匹配的目标地址信息;
其中,所述服务器地址数据库中存储有多个恶意服务器地址对应的地址信息,所述恶意服务器地址为恶意程序的服务器的地址。
第一恶意程序确定模块303,用于若所述服务器地址数据库中存在有所述目标地址信息,则确定所述应用程序为恶意程序。
可见,本发明实施例所提供的方案中,电子设备可以当监测到应用程序发送网络请求时,获取该网络请求包括的所要访问的服务器地址,作为待检测地址;查询预设的服务器地址数据库中是否存在与待检测地址匹配的目标地址信息,其中,服务器地址数据库中存储有多个恶意服务器地址对应的地址信息,恶意服务器地址为恶意程序的服务器的地址;若服务器地址数据库中存在有目标地址信息,则确定应用程序为恶意程序。恶意程序在创建弹窗窗口之前会发送网络请求至恶意程序的服务器,获取用于在将要创建的弹窗窗口中展示的内容信息,预先建立的服务器地址数据库中存储有恶意服务器地址对应的地址信息,因此若服务器地址数据库中存在有与待检测地址匹配的目标地址信息时,电子设备可以确定应用程序为恶意程序,这样可以提高检测恶意程序的准确度。
作为本发明实施例的一种实施方式,上述装置还可以包括:
响应信息丢弃模块(图3中未示出),用于在确定所述应用程序为恶意程序之后,当接收所述目标地址信息对应的服务器地址返回的响应信息时,丢弃所述响应信息。
作为本发明实施例的一种实施方式,上述装置还可以包括:
软件标识记录模块(图3中未示出),用于在确定所述应用程序为恶意程序之后,记录所述恶意程序的软件标识;
请求拦截模块(图3中未示出),用于当监测到所述软件标识对应的应用程序发出网络请求时,拦截所述网络请求。
作为本发明实施例的一种实施方式,上述装置还可以包括:
软件标识获取模块(图3中未示出),用于在记录所述恶意程序的软件标识之前,获取运行所述恶意程序的进程的标识,将所述进程的标识作为所述恶意程序的软件标识;和/或,从所述恶意程序的可执行文件中读取所述恶意程序的签名信息,将所述签名信息作为所述恶意程序的软件标识。
作为本发明实施例的一种实施方式,如图4所示,上述装置还可以包括:
弹窗属性获取模块401,用于若所述服务器地址数据库中不存在有所述目标地址信息,当监测到所述应用程序创建的弹窗窗口时,获取该弹窗窗口的属性信息;
其中,所述属性信息包括弹窗窗口的类名和/或标题。
属性匹配模块402,用于查询预设的窗口信息数据库中是否存在与所述属性信息匹配的目标窗口信息;
其中,所述窗口信息数据库中存储有多个恶意窗口的属性信息对应的窗口信息,所述恶意窗口的属性信息为恶意程序创建的弹窗窗口的属性信息。
第二恶意程序确定模块403,用于若所述窗口信息数据库中存在所述目标窗口信息,则确定所述应用程序为恶意程序。
作为本发明实施例的一种实施方式,上述装置还可以包括:
地址信息存储模块(图4中未示出),用于在若所述窗口信息数据库中存在所述目标窗口信息,则确定所述应用程序为恶意程序之后,将所述待检测地址对应的服务器地址信息存储在所述服务器地址数据库中。
本发明实施例还提供了一种电子设备,如图5所示,包括处理器501、通信接口502、存储器503和通信总线504,其中,处理器501,通信接口502,存储器503通过通信总线504完成相互间的通信,
存储器503,用于存放计算机程序;
处理器501,用于执行存储器503上所存放的程序时,实现上述任一实施例所述的恶意程序的检测方法的步骤。
可见,本发明实施例所提供的方案中,电子设备可以当监测到应用程序发送网络请求时,获取该网络请求包括的所要访问的服务器地址,作为待检测地址;查询预设的服务器地址数据库中是否存在与待检测地址匹配的目标地址信息,其中,服务器地址数据库中存储有多个恶意服务器地址对应的地址信息,恶意服务器地址为恶意程序的服务器的地址;若服务器地址数据库中存在有目标地址信息,则确定应用程序为恶意程序。恶意程序在创建弹窗窗口之前会发送网络请求至恶意程序的服务器,获取用于在将要创建的弹窗窗口中展示的内容信息,预先建立的服务器地址数据库中存储有恶意服务器地址对应的地址信息,因此若服务器地址数据库中存在有与待检测地址匹配的目标地址信息时,电子设备可以确定应用程序为恶意程序,这样可以提高检测恶意程序的准确度。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一实施例所述的恶意程序的检测方法的步骤。
可见,本发明实施例所提供的方案中,计算机可读存储介质内存储的计算机程序被处理器执行时,可以当监测到应用程序发送网络请求时,获取该网络请求包括的所要访问的服务器地址,作为待检测地址;查询预设的服务器地址数据库中是否存在与待检测地址匹配的目标地址信息,其中,服务器地址数据库中存储有多个恶意服务器地址对应的地址信息,恶意服务器地址为恶意程序的服务器的地址;若服务器地址数据库中存在有目标地址信息,则确定应用程序为恶意程序。恶意程序在创建弹窗窗口之前会发送网络请求至恶意程序的服务器,获取用于在将要创建的弹窗窗口中展示的内容信息,预先建立的服务器地址数据库中存储有恶意服务器地址对应的地址信息,因此若服务器地址数据库中存在有与待检测地址匹配的目标地址信息时,电子设备可以确定应用程序为恶意程序,这样可以提高检测恶意程序的准确度。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一实施例所述的恶意程序的检测方法的步骤。
可见,本发明实施例所提供的方案中,计算机程序产品在计算机上运行时,可以当监测到应用程序发送网络请求时,获取该网络请求包括的所要访问的服务器地址,作为待检测地址;查询预设的服务器地址数据库中是否存在与待检测地址匹配的目标地址信息,其中,服务器地址数据库中存储有多个恶意服务器地址对应的地址信息,恶意服务器地址为恶意程序的服务器的地址;若服务器地址数据库中存在有目标地址信息,则确定应用程序为恶意程序。恶意程序在创建弹窗窗口之前会发送网络请求至恶意程序的服务器,获取用于在将要创建的弹窗窗口中展示的内容信息,预先建立的服务器地址数据库中存储有恶意服务器地址对应的地址信息,因此若服务器地址数据库中存在有与待检测地址匹配的目标地址信息时,电子设备可以确定应用程序为恶意程序,这样可以提高检测恶意程序的准确度。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
以上所述仅为本发明的较佳实施例,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种恶意程序的检测方法,其特征在于,所述方法包括:
当监测到应用程序发送网络请求时,获取该网络请求包括的所要访问的服务器地址,作为待检测地址;
查询预设的服务器地址数据库中是否存在与所述待检测地址匹配的目标地址信息,其中,所述服务器地址数据库中存储有多个恶意服务器地址对应的地址信息,所述恶意服务器地址为恶意程序的服务器的地址;
若所述服务器地址数据库中存在有所述目标地址信息,则确定所述应用程序为恶意程序。
2.根据权利要求1所述的方法,其特征在于,在所述确定所述应用程序为恶意程序之后,所述方法还包括:
当接收所述目标地址信息对应的服务器地址返回的响应信息时,丢弃所述响应信息。
3.根据权利要求1所述的方法,其特征在于,在所述确定所述应用程序为恶意程序之后,所述方法还包括:
记录所述恶意程序的软件标识;
当监测到所述软件标识对应的应用程序发出网络请求时,拦截所述网络请求。
4.根据权利要求3所述的方法,其特征在于,在所述记录所述恶意程序的软件标识之前,所述方法还包括:
获取运行所述恶意程序的进程的标识,将所述进程的标识作为所述恶意程序的软件标识;和/或,从所述恶意程序的可执行文件中读取所述恶意程序的签名信息,将所述签名信息作为所述恶意程序的软件标识。
5.根据权利要求1-4任一项所述的方法,其特征在于,若所述服务器地址数据库中不存在有所述目标地址信息,所述方法还包括:
当监测到所述应用程序创建的弹窗窗口时,获取该弹窗窗口的属性信息,其中,所述属性信息包括弹窗窗口的类名和/或标题;
查询预设的窗口信息数据库中是否存在与所述属性信息匹配的目标窗口信息,其中,所述窗口信息数据库中存储有多个恶意窗口的属性信息对应的窗口信息,所述恶意窗口的属性信息为恶意程序创建的弹窗窗口的属性信息;
若所述窗口信息数据库中存在所述目标窗口信息,则确定所述应用程序为恶意程序。
6.根据权利要求5所述的方法,其特征在于,在所述若所述窗口信息数据库中存在所述目标窗口信息,则确定所述应用程序为恶意程序之后,所述方法还包括:
将所述待检测地址对应的服务器地址信息存储在所述服务器地址数据库中。
7.一种恶意程序的检测装置,其特征在于,所述装置包括:
待检测地址获取模块,用于当监测到应用程序发送网络请求时,获取该网络请求包括的所要访问的服务器地址,作为待检测地址;
地址匹配模块,用于查询预设的服务器地址数据库中是否存在与所述待检测地址匹配的目标地址信息,其中,所述服务器地址数据库中存储有多个恶意服务器地址对应的地址信息,所述恶意服务器地址为恶意程序的服务器的地址;
第一恶意程序确定模块,用于若所述服务器地址数据库中存在有所述目标地址信息,则确定所述应用程序为恶意程序。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
响应信息丢弃模块,用于在确定所述应用程序为恶意程序之后,当接收所述目标地址信息对应的服务器地址返回的响应信息时,丢弃所述响应信息。
9.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-6任一所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-6任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010986473.9A CN112084501B (zh) | 2020-09-18 | 2020-09-18 | 一种恶意程序的检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010986473.9A CN112084501B (zh) | 2020-09-18 | 2020-09-18 | 一种恶意程序的检测方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112084501A true CN112084501A (zh) | 2020-12-15 |
| CN112084501B CN112084501B (zh) | 2024-06-25 |
Family
ID=73738235
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010986473.9A Active CN112084501B (zh) | 2020-09-18 | 2020-09-18 | 一种恶意程序的检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112084501B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113327063A (zh) * | 2021-06-25 | 2021-08-31 | 北京奇艺世纪科技有限公司 | 资源检测方法、装置、电子设备及计算机可读存储介质 |
| CN113468528A (zh) * | 2021-06-29 | 2021-10-01 | 平安普惠企业管理有限公司 | 恶意设备识别方法、装置、服务器及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080177994A1 (en) * | 2003-01-12 | 2008-07-24 | Yaron Mayer | System and method for improving the efficiency, comfort, and/or reliability in Operating Systems, such as for example Windows |
| CN103501306A (zh) * | 2013-10-23 | 2014-01-08 | 腾讯科技(武汉)有限公司 | 一种网址识别的方法、服务器及系统 |
| WO2016015680A1 (zh) * | 2014-08-01 | 2016-02-04 | 北京奇虎科技有限公司 | 移动终端输入窗口的安全检测方法和安全检测装置 |
| CN105975380A (zh) * | 2016-05-26 | 2016-09-28 | 北京金山安全软件有限公司 | 一种处理弹窗的方法、装置及电子设备 |
| CN106203097A (zh) * | 2016-07-14 | 2016-12-07 | 北京金山安全软件有限公司 | 一种保护软件的方法、装置和电子设备 |
| CN106302531A (zh) * | 2016-09-30 | 2017-01-04 | 北京金山安全软件有限公司 | 安全防护方法、装置及终端设备 |
| CN109190376A (zh) * | 2018-08-30 | 2019-01-11 | 郑州云海信息技术有限公司 | 一种网页木马检测方法、系统及电子设备和存储介质 |
| CN110889116A (zh) * | 2019-11-15 | 2020-03-17 | 珠海豹趣科技有限公司 | 一种广告拦截方法、装置及电子设备 |
| CN111597557A (zh) * | 2020-06-30 | 2020-08-28 | 腾讯科技(深圳)有限公司 | 恶意应用程序的检测方法、系统、装置、设备及存储介质 |
-
2020
- 2020-09-18 CN CN202010986473.9A patent/CN112084501B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080177994A1 (en) * | 2003-01-12 | 2008-07-24 | Yaron Mayer | System and method for improving the efficiency, comfort, and/or reliability in Operating Systems, such as for example Windows |
| CN103501306A (zh) * | 2013-10-23 | 2014-01-08 | 腾讯科技(武汉)有限公司 | 一种网址识别的方法、服务器及系统 |
| WO2016015680A1 (zh) * | 2014-08-01 | 2016-02-04 | 北京奇虎科技有限公司 | 移动终端输入窗口的安全检测方法和安全检测装置 |
| CN105975380A (zh) * | 2016-05-26 | 2016-09-28 | 北京金山安全软件有限公司 | 一种处理弹窗的方法、装置及电子设备 |
| CN106203097A (zh) * | 2016-07-14 | 2016-12-07 | 北京金山安全软件有限公司 | 一种保护软件的方法、装置和电子设备 |
| CN106302531A (zh) * | 2016-09-30 | 2017-01-04 | 北京金山安全软件有限公司 | 安全防护方法、装置及终端设备 |
| CN109190376A (zh) * | 2018-08-30 | 2019-01-11 | 郑州云海信息技术有限公司 | 一种网页木马检测方法、系统及电子设备和存储介质 |
| CN110889116A (zh) * | 2019-11-15 | 2020-03-17 | 珠海豹趣科技有限公司 | 一种广告拦截方法、装置及电子设备 |
| CN111597557A (zh) * | 2020-06-30 | 2020-08-28 | 腾讯科技(深圳)有限公司 | 恶意应用程序的检测方法、系统、装置、设备及存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| CAMERON H. MALIN 等: "Malware Forensics:Investigating and Analyzing Malicious Code", MALIN2008MALWAREFI, 30 June 2008 (2008-06-30) * |
| 徐国天;: "基于函数映射的恶意程序逆向取证方法研究", 警察技术, no. 04, 7 July 2018 (2018-07-07), pages 56 - 59 * |
| 童瀛;牛博威;周宇;张旗;: "基于沙箱技术的恶意代码行为检测方法", 西安邮电大学学报, no. 05, 10 September 2018 (2018-09-10), pages 105 - 114 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113327063A (zh) * | 2021-06-25 | 2021-08-31 | 北京奇艺世纪科技有限公司 | 资源检测方法、装置、电子设备及计算机可读存储介质 |
| CN113327063B (zh) * | 2021-06-25 | 2023-08-18 | 北京奇艺世纪科技有限公司 | 资源检测方法、装置、电子设备及计算机可读存储介质 |
| CN113468528A (zh) * | 2021-06-29 | 2021-10-01 | 平安普惠企业管理有限公司 | 恶意设备识别方法、装置、服务器及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112084501B (zh) | 2024-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106878264B (zh) | 一种数据管理方法及服务器 | |
| US9082128B2 (en) | System and method for tracking and scoring user activities | |
| CN112003838B (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
| US10834105B2 (en) | Method and apparatus for identifying malicious website, and computer storage medium | |
| WO2015051720A1 (zh) | 检测可疑dns的方法、装置和可疑dns的处理方法、系统 | |
| US20150033331A1 (en) | System and method for webpage analysis | |
| CN109194671B (zh) | 一种异常访问行为的识别方法及服务器 | |
| US10728225B1 (en) | People-based user synchronization within an online system | |
| US10114960B1 (en) | Identifying sensitive data writes to data stores | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| US11080427B2 (en) | Method and apparatus for detecting label data leakage channel | |
| US20170374086A1 (en) | System and method for tracking malware route and behavior for defending against cyberattacks | |
| CN112084501B (zh) | 一种恶意程序的检测方法、装置、电子设备及存储介质 | |
| CN112019519B (zh) | 网络安全情报威胁度的检测方法、装置和电子装置 | |
| CN110619075B (zh) | 一种网页识别方法与设备 | |
| CN105959294A (zh) | 一种恶意域名鉴别方法及装置 | |
| He et al. | Mobile app identification for encrypted network flows by traffic correlation | |
| WO2019153586A1 (zh) | 聊天数据处理方法、装置、计算机设备及存储介质 | |
| US10412076B2 (en) | Identifying users based on federated user identifiers | |
| JP6623128B2 (ja) | ログ分析システム、ログ分析方法及びログ分析装置 | |
| US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| CN114491533B (zh) | 数据处理方法、装置、服务器及存储介质 | |
| US9231971B2 (en) | Protecting a user from a compromised web resource | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| CN112769792A (zh) | 一种isp攻击检测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |