CN113360904A - 一种未知病毒检测方法及系统 - Google Patents
一种未知病毒检测方法及系统 Download PDFInfo
- Publication number
- CN113360904A CN113360904A CN202110534740.3A CN202110534740A CN113360904A CN 113360904 A CN113360904 A CN 113360904A CN 202110534740 A CN202110534740 A CN 202110534740A CN 113360904 A CN113360904 A CN 113360904A
- Authority
- CN
- China
- Prior art keywords
- file
- hash
- host
- data
- hash data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及一种未知病毒检测方法及系统,解决现有技术中计算机病毒检测识别无法有效识别多变的未知病毒的问题。过程包括各端点主机向服务器上传主机数据,服务器生成各端点主机Hash数据集合;对主机数据进行共识机制判定;获取待定文件Hash集合中Hash数据对应的各文件,进行异常行为判定,将异常文件对应Hash数据生成黑名单集合,将正常文件对应Hash数据加入安全文件Hash集合作为白名单集合,将黑名单集合和白名单集合下发到各端点主机;监控端点主机新增文件,将新增文件Hash数据与黑名单集合和白名单集合进行匹配,判断病毒文件。本发明方法实现了对未知病毒的精确检测。
Description
技术领域
本发明涉及计算机病毒安全分析技术领域,尤其是涉及一种未知病毒检测方法及系统。
背景技术
传统的计算机病毒检测识别,仅基于已知恶意行为特征库,由已知恶意特征库基于自身的相关规则特征和行为判定来确认当前文件或应用是否正常,是否存在风险性或已知攻击行为。由于其依赖于自有的相关匹配规则或策略,导致在安全问题上往往出现大量误报、漏报,并在情报更新和威胁嗅探上往往囿于劣势;同时,由于其安全判定基于规则黑名单,而规则黑名单往往又是已知威胁的整理集合,导致目前传统计算机病毒安全策略规则长期停留在“事后诸葛亮”的状态,即只有相关问题已大规模爆发,其特征已知后方能更新相关安全策略,从而对其进行相关检出和告警。因此,当前的计算机病毒检测识别方法无法有效识别多变的未知病毒。
发明内容
本发明主要是解决现有技术中计算机病毒检测识别无法有效识别多变的未知病毒的问题,提供了一种未知病毒检测方法及系统。能够实现利用已知安全文件Hash白名单策略,以未知文件沙箱运行、操作行为为依托,以大多数主机文件对应Hash数据为共识,自动化判别其中文件对应Hash数据与共识不同者,从而精准判别异常文件。
本发明的上述技术问题主要是通过下述技术方案得以解决的:一种未知病毒检测方法,包括以下步骤:
S1.各端点主机向服务器上传主机数据,服务器生成各端点主机Hash数据集合;
S2.对主机数据进行共识机制判定,包括:
统计每个端点主机Hash数据集合中每一条Hash数据在其他端点主机Hash数据集合中出现的次数;根据次数判断是否符合共识机制,将各端点主机Hash数据分配生成安全文件Hash集合和待定文件Hash集合;
S3.获取待定文件Hash集合中Hash数据对应的各文件,进行异常行为判定,将异常文件对应Hash数据生成黑名单集合,将正常文件对应Hash数据加入安全文件Hash集合作为白名单集合,将黑名单集合和白名单集合下发到各端点主机;
S4.监控端点主机新增文件,将新增文件Hash数据与黑名单集合和白名单集合进行匹配,判断病毒文件。
本发明方法通过对主机文件对应Hash数据进行获取,正对文件Hash数据信息共识机制判定,当不符合共识机制时,服务器相对应端点主机获取Hash数据对应的文件,置于服务器沙箱中执行,再进行异常行为判定,最后根据文件行为为样本提供黑白名单,用于对新文件病毒检测,实现了对未知病毒的精确检测。
作为一种优选方案,步骤S1的具体过程包括:
S11.由各端点主机采集主机数据,主机数据包括主机文件对应的Hash数据集合TDx和端点主机代号Tx,其中x为端点主机数量;通过在各端点主机安装agent软件来实现对文件Hash获取。
S12.服务器接收到各端点主机上传的Hash数据集合TDx和端点主机代号Tx后,进行文件Hash统计,生成各端点主机Hash数据集合{TD1,TD2,……,TDx}。
作为一种优选方案,步骤S2的具体过程包括:
S21.统计每个端点主机文件Hash数据集合中每一条Hash数据HyDx在集合Texcept(Dx)中出现的次数Sy,其中集合Texcept(Dx)为除了Hash数据HyDx所在Hash数据集合TDx外所有属于端点主机文件Hash数据集合;其中y为端点主机文件数量。
S22.获得次数统计集合SDx{S1,S2,S3,……,Sy},进行共识比较计算W{(Sy,N)},N为指定的阈值;
S23.将次数统计集合SDx{S1,S2,S3,……,Sy}中每一个元素Sy与N做比较,
当Sy >= N 时,则W{(Sy,N)} = 0,认为该Hash数据符合共识机制判定,对应文件安全,将Sy对应Hash数据HyDx放入主机Tx安全文件Hash集合WDx;
当Sy < N时,则W{(Sy ,N)} = 1,认为该Hash数据不符合共识机制判定,将Sy对应Hash数据HyDx放入主机Tx待定文件Hash集合PDx;
S24.经过算法W后,各主机Tx对应Hash集合TDx被分为安全文件Hash集合WDx与待定文件Hash集合PDx两个子集;
S25.统计主机群组T{T1,T2,……,Tx}全部安全文件Hash集合W{WD1,WD2,WD3,……,WDx},对{WD1,WD2,WD3,……,WDx}中各集合元素进行去重,最终生成主机群组T{T1,T2,……,Tx}全部且唯一安全文件Hash集合Wall,统计主机群组T{T1,T2,……,Tx}全部待定文件Hash集合P{PD1,PD2,PD3,……,PDx},对{PD1,PD2,PD3,……,PDx}中各集合元素进行去重,最终生成主机群组T{T1,T2,……,Tx}全部且唯一待定文件Hash集合Pall。
作为一种优选方案,步骤S3具体过程包括:
S31.将Wall作为白名单集合,下发到主机群组T{T1,T2,……,Tx}全部端点主机;
S32.将主机群组T{T1,T2,……,Tx}全部且唯一待定文件Hash集合Pall根据其中每条Hash数据HyDx的主机代号x,依次向对应端点主机Tx获取对应文件;
S33.将获取到的待定文件Hash集合Pall所对应文件置于服务器沙箱中执行,进行异常行为判定;
若文件存在恶意行为,则将文件对应的Hash数据HyDx加入文件Hash黑名单,并生成黑名单集合Ball;
若文件不存在恶意行为,则将文件Hash数据HyDx加入主机群组T{T1,T2,……,Tn}全部且唯一安全文件Hash集合Wall,更新白名单集合Wall;
S34.将黑名单集合Ball和更新的白名单集合Wall下发到主机群组T{T1,T2,……,Tx}全部端点主机。
作为一种优选方案,所述步骤S4具体过程包括:
S41.端点主机监控新增文件,获取新增文件对应Hash数据集合TrDx{HyrDx}和主机端点代号Tx,并上传至服务器,其中HyrDx为新增文件对应Hash数据;用于主机群组T{T1,T2,……,Tn}全部且唯一安全文件Hash集合即白名单集合Wall及黑名单集合Ball的匹配。
S42. 服务器将新增文件Hash数据与黑名单集合Ball和白名单集合Wall进行匹配,计算F2{HyrDx,(Wall,Ball)},
HyrDx∈Wall,则F2{HyrDx,(Wall,Ball)}=0,HyrDx所对应的文件安全;
HyrDx∈Ball,则F2{HyrDx,(Wall,Ball)}=1,HyrDx所对应的文件为异常文件,将进行异常处理,拦截或者告警该文件;
HyrDx∉Wall且HyrDx∉Ball,则F2{HyrDx,(Wall,Ball)}=2,认为HyrDx所对应的文件为新增待定文件。
作为一种优选方案,对于步骤S42中的新增待定文件的处理过程包括:
S4221. 统计主机群组T{T1,T2,……,Tn}全部新增待定文件Hash集合Pr{PrD1,PrD2,PrD3,……,PrDn};
S4222.对新增待定文件Hash集合Pr{PrD1,PrD2,PrD3,……,PrDn}中各集合元素进行去重,最终生成主机群组T{T1,T2,……,Tn}全部且唯一新增文件Hash集合Prall;
S4223.将新增文件Hash集合Prall作为主机群组T{T1,T2,……,Tn}全部且唯一待定文件Hash集合Pall,重复步骤S3。
一种未知病毒检测系统,包括各端点主机和服务器,端点主机包括获取单元和文件监控单元,主机包括依次相连的检测单元、沙箱单元、审计单元、匹配单元和告警单元,获取单元与检测单元相连,文件监控单元与匹配单元相连,
获取单元,采集主机数据并上传至服务器,主机数据包括主机文件对应的Hash数据集合TDx和端点主机代号Tx,其中x为端点主机数量;
检测单元,对主机数据进行共识机制判定,包括统计每个端点主机Hash数据集合中每一条Hash数据在其他端点主机Hash数据集合中出现的次数,根据次数判断是否符合共识机制,将各端点主机Hash数据分配生成安全文件Hash集合和待定文件Hash集合;
沙箱单元,包括文件执行单元和结果记录单元,文件执行单元执行待定文件Hash集合,结果记录单元记录待定文件Hash集合的执行结果;
审计单元,获取待定文件Hash集合中Hash数据对应的各文件,进行异常行为判定,将异常文件对应Hash数据生成黑名单集合,将正常文件对应Hash数据加入安全文件Hash集合作为白名单集合,将黑名单集合和白名单集合下发到各端点主机;
文件监控单元,监控端点主机新增文件,获取新增文件对应Hash数据集合TrDx{HyrDx}上传至服务器;
匹配单元,将新增文件Hash数据与黑名单集合和白名单集合进行匹配,判断病毒文件;
告警单元,对匹配为病毒文件,进行告警该文件。
因此,本发明的优点是:通过对主机文件对应Hash数据进行获取,正对文件Hash数据信息共识机制判定,当不符合共识机制时,服务器相对应端点主机获取Hash数据对应的文件,置于服务器沙箱中执行,再进行异常行为判定,最后根据文件行为为样本提供黑白名单,用于对新文件病毒检测,实现了对未知病毒的精确检测。
附图说明
图1是本发明方法的一种流程示意图;
图2是本发明系统的一种结构框示图。
1-端点主机 11-获取单元 12-文件监控单元 2-服务器 21-检测单元 22-沙箱单元 23-审计单元 24-匹配单元 25-告警单元。
具体实施方式
下面通过实施例,并结合附图,对本发明的技术方案作进一步具体的说明。
实施例:
本实施例一种未知病毒检测方法,如图1所示,包括以下步骤:
S1.各端点主机向服务器上传主机数据,服务器生成各端点主机Hash数据集合;具体的包括:
S11.由各端点主机采集主机数据,主机数据包括主机文件对应的Hash数据集合TDx和端点主机代号Tx,其中x为端点主机数量;
以实例进行说明,假设端点主机群组T包含10个主机,即T{T1,T2,……,T10},在端点主机群T{T1,T2,……,T10}中各主机上安装agent软件,独立采集各端点主机数据并上传至服务器。采集的数据为主机文件对应Hash数据集合TDx和端点主机代号Tx,假设端点主机群组T{T1,T2,……,T10}中各有50个文件,即采集的数据为:
主机T1:TD1{H1D1,H2D1,H3D1,……,H50D1};
主机T2:TD2{H1D2,H2D2,H3D2,……,H50D2};
主机T3:TD3{H1D3,H2D3,H3D3,……,H50D3};
主机T4:TD4{H1D4,H2D4,H3D4,……,H50D4};
主机T5:TD5{H1D5,H2D5,H3D5,……,H50D5};
主机T6:TD6{H1D6,H2D6,H3D6,……,H50D6};
主机T7:TD7{H1D7,H2D7,H3D7,……,H50D7};
主机T8:TD8{H1D8,H2D8,H3D8,……,H50D8};
主机T9:TD9{H1D9,H2D9,H3D9,……,H50D9};
主机T10:TD10{H1D10,H2D10,H3D10,……,H50D10};
S12.服务器接收到各端点主机上传的Hash数据集合TDx和端点主机代号Tx后,进行文件Hash统计,生成各端点主机Hash数据集合{TD1,TD2,……,TD10}。
S2.对主机数据进行共识机制判定,包括:
统计每个端点主机Hash数据集合中每一条Hash数据在其他端点主机Hash数据集合中出现的次数;根据次数判断是否符合共识机制,将各端点主机Hash数据分配生成安全文件Hash集合和待定文件Hash集合;
具体过程包括:
S21.统计每个端点主机文件Hash数据集合中每一条Hash数据HyDx在集合Texcept(Dx)中出现的次数Sy,其中集合Texcept(Dx)为除了Hash数据HyDx所在Hash数据集合TDx外所有属于端点主机文件Hash数据集合;其中y为端点主机文件数量。
设当前端点主机为T1,其文件Hash数据集合为TD1{H1D1,H2D1,H3D1,……,H50D1},则TD1应与{TD1,TD2,……,TD10}中除TD1外所有属于端点主机文件Hash数据集合Texcept(D1){TD2,TD3,TD4,……,TD10}进行比对,计算F1(TD1,Texcept(D1)),统计集合TD1中每一条Hash数据HyDx在集合Texcept(D1)中出现的次数。
S22.获得次数统计集合SDx{S1,S2,S3,……,Sy},进行共识比较计算W{(Sy,N)},N为指定的阈值;以H1D1为例,统计H1D1在各端点主机文件Hash数据集合Texcept(D1){TD2,TD3,TD4,……,TD10}中出现的次数,得出S1。以H2D1为例,统计H2D1在各端点主机文件Hash数据集合Texcept(D1){TD2,TD3,TD4,……,TD10}中出现的次数,得出S2。依次类推,最终生成集合TD1中每一条Hash数据HyD1在集合Texcept(D1)中出现的次数统计集合SD1{S1,S2,S3,……,S50}。
将获得的次数统计集合SD1{S1,S2,S3,……,S50}通过共识比较算法W{(Sy,N)}进行比较。在本实例中,默认文件Hash出现的次数以主机总数的70%为界,则N的默认值为7,亦可根据实际情况调整。
S23.将次数统计集合SDx{S1,S2,S3,……,Sy}中每一个元素Sy与N做比较,
当Sy >= N 时,则W{(Sy,N)} = 0,认为该Hash数据符合共识机制判定,对应文件安全,将Sy对应Hash数据HyDx放入主机Tx安全文件Hash集合WDx;
当Sy < N时,则W{(Sy ,N)} = 1,认为该Hash数据不符合共识机制判定,将Sy对应Hash数据HyDx放入主机Tx待定文件Hash集合PDx;
共识比较计算W将次数统计集合SD1{S1,S2,S3,……,S50}中每一个元素Sy与7做比对。在本实例中,S1 >= 7 ,则W = 0,认为该文件Hash符合共识机制判定,对应文件安全,将S1对应文件Hash数据H1D1放入主机T1安全文件Hash集合WD1;S2 < 7时,则W = 1,认为不符合共识机制判定,将S2对应文件Hash数据H2D1放入主机T1待定文件Hash集合PD1。以此类推,将次数统计集合SD1{S1,S2,S3,……,S50}中每一个元素Sy与7逐一做比对。假设本实例中,S2、S3、S4、S5对应数值小于7,因故对应文件Hash:H2D1,H3D1,H4D1,H5D1所描述文件在本例中属于待定文件,最终生成主机T1待定文件Hash集合PD1{H2D1,H3D1,H4D1,H5D1},并将除上述4项Hash以外剩余46项文件Hash放入主机T1安全文件Hash集合WD1。
S24.经过算法W后,各主机Tx对应Hash集合TDx被分为安全文件Hash集合WDx与待定文件Hash集合PDx两个子集;
逐一针对剩余9台端点主机群组中的文件Hash数据进行共识机制判定,生成主机群组T{T1,T2,……,T10}中的全部安全文件Hash集合W{WD1,WD2,WD3,……,WD10}与全部待定文件Hash集合P{PD1,PD2,PD3,……,PD10}。
S25.统计主机群组T{T1,T2,……,Tx}全部安全文件Hash集合W{WD1,WD2,WD3,……,WDx},对{WD1,WD2,WD3,……,WDx}中各集合元素进行去重,最终生成主机群组T{T1,T2,……,Tx}全部且唯一安全文件Hash集合Wall,统计主机群组T{T1,T2,……,Tx}全部待定文件Hash集合P{PD1,PD2,PD3,……,PDx},对{PD1,PD2,PD3,……,PDx}中各集合元素进行去重,最终生成主机群组T{T1,T2,……,Tx}全部且唯一待定文件Hash集合Pall。
本实例中,对{WD1,WD2,WD3,……,WD10}中各集合元素进行去重,最终生成主机群组T{T1,T2,……,T10}全部且唯一安全文件Hash集合Wall,对{PD1,PD2,PD3,……,PD10}中各集合元素进行去重,最终生成主机群组T{T1,T2,……,T10}全部且唯一待定文件Hash集合Pall,生成Pall为{H2D1,H3D1,H4D1,H5D1,H2D3,H3D7,H9D7,H3D8,H8D8,H3D10}。
S3.获取待定文件Hash集合中Hash数据对应的各文件,进行异常行为判定,将异常文件对应Hash数据生成黑名单集合,将正常文件对应Hash数据加入安全文件Hash集合作为白名单集合,将黑名单集合和白名单集合下发到各端点主机;具体过程包括:
S31.将Wall作为白名单集合,下发到主机群组T{T1,T2,……,Tx}全部端点主机;
S32.将主机群组T{T1,T2,……,Tx}全部且唯一待定文件Hash集合Pall根据其中每条Hash数据HyDx的主机代号x,依次向对应端点主机Tx获取对应文件;在实例中,将主机群组T{T1,T2,……,T10}全部且唯一待定文件Hash集合Pall{H2D1,H3D1,H4D1,H5D1,H2D3,H3D7,H9D7,H3D8,H8D8,H3D10}根据主机代号1、3、7、8、10依次向对应端点主机T1、T3、T7、T8、T10获取对应文件。
S33.将获取到的待定文件Hash集合Pall所对应文件置于服务器沙箱中执行,记录执行结果,进行异常行为判定;
若文件存在恶意行为,则将文件对应的Hash数据HyDx加入文件Hash黑名单,并生成黑名单集合Ball;
若文件不存在恶意行为,则将文件Hash数据HyDx加入主机群组T{T1,T2,……,Tn}全部且唯一安全文件Hash集合Wall,更新白名单集合Wall;
在本实例中,假设H3D1,H2D3,H3D8,H8D8所对应的文件存在恶意行为,则将文件Hash数据H3D1,H2D3,H3D8,H8D8加入文件Hash黑名单,并生成黑名单集合Ball{H3D1,H2D3,H3D8,H8D8};H2D1,H4D1,H5D1,H3D7,H9D7,H8D8,H3D10所对应的文件不存在恶意行为,则将文件Hash数据H2D1,H4D1,H5D1,H3D7,H9D7,H8D8,H3D10加入主机群组T{T1,T2,……,T10}全部且唯一安全文件Hash集合Wall,更新白名单集合Wall;
S34.将黑名单集合Ball和更新的白名单集合Wall下发到主机群组T{T1,T2,……,Tx}全部端点主机。实例中将生成的主机群组T{T1,T2,……,T10}全部且唯一安全文件Hash白名单集合Wall及黑名单集合Ball{H3D1,H2D3,H3D8,H8D8}下发至各端点主机。
S4.监控端点主机新增文件,将新增文件Hash数据与黑名单集合和白名单集合进行匹配,判断病毒文件。具体过程包括:
S41.端点主机监控新增文件,获取新增文件对应Hash数据集合TrDx{HyrDx}和主机端点代号Tx,并上传至服务器,其中HyrDx为新增文件对应Hash数据;
实例中假设检测到端点主机T5中新增3个文件,则端点主机T5中的agent监控软件自动获取新增文件对应Hash集合TrD5{H1rD5,H2rD5,H3rD5},用于主机群组T{T1,T2,……,T10}全部且唯一安全文件Hash集合即白名单集合Wall及黑名单集合Ball的匹配。
S42. 服务器将新增文件Hash数据与黑名单集合Ball和白名单集合Wall进行匹配,计算F2{HyrDx,(Wall,Ball)},
HyrDx∈Wall,则F2{HyrDx,(Wall,Ball)}=0,HyrDx所对应的文件安全;
HyrDx∈Ball,则F2{HyrDx,(Wall,Ball)}=1,HyrDx所对应的文件为异常文件,将进行异常处理,拦截或者告警该文件;
HyrDx∉Wall且HyrDx∉Ball,则F2{HyrDx,(Wall,Ball)}=2,认为HyrDx所对应的文件为新增待定文件。
在本实例中:
H1rD5∈Wall,则F2{HyrDx,(Wall,Ball)}=0,H1rD5所对应的文件安全;
H2rD5∈Ball,则F2{HyrDx,(Wall,Ball)}=1,H2rD5所对应的文件为异常文件,将进行异常处理,拦截或者告警该文件;
H3rD5∉Wall且H3rD5∉Ball,则F2{HyrDx,(Wall,Ball)}=2,认为H3rD5所对应的文件为新增待定文件。将H3rD5所对应的文件放入主机T5新增待定文件Hsah集合PrD5{H3rD5}。
新增待定文件的处理过程包括:
S4221. 统计主机群组T{T1,T2,……,Tn}全部新增待定文件Hash集合Pr{PrD1,PrD2,PrD3,……,PrDn};
S4222.对新增待定文件Hash集合Pr{PrD1,PrD2,PrD3,……,PrDn}中各集合元素进行去重,最终生成主机群组T{T1,T2,……,Tn}全部且唯一新增文件Hash集合Prall;
S4223.将新增文件Hash集合Prall作为主机群组T{T1,T2,……,Tn}全部且唯一待定文件Hash集合Pall,重复步骤S3。
本实施例还提供了采用上述未知病毒检测方法的一种未知病毒检测系统,如图2所示,包括各端点主机1和服务器2,端点主机包括获取单元11和文件监控单元12,主机包括依次相连的检测单元21、沙箱单元22、审计单元23、匹配单元24和告警单元25,获取单元与检测单元相连,文件监控单元与匹配单元相连,
获取单元,采集主机数据并上传至服务器,主机数据包括主机文件对应的Hash数据集合TDx和端点主机代号Tx,其中x为端点主机数量;
检测单元,对主机数据进行共识机制判定,包括统计每个端点主机Hash数据集合中每一条Hash数据在其他端点主机Hash数据集合中出现的次数,根据次数判断是否符合共识机制,将各端点主机Hash数据分配生成安全文件Hash集合和待定文件Hash集合;
沙箱单元,包括文件执行单元和结果记录单元,文件执行单元执行待定文件Hash集合,结果记录单元记录待定文件Hash集合的执行结果;
审计单元,获取待定文件Hash集合中Hash数据对应的各文件,进行异常行为判定,将异常文件对应Hash数据生成黑名单集合,将正常文件对应Hash数据加入安全文件Hash集合作为白名单集合,将黑名单集合和白名单集合下发到各端点主机;
文件监控单元,监控端点主机新增文件,获取新增文件对应Hash数据集合TrDx{HyrDx}上传至服务器;
匹配单元,将新增文件Hash数据与黑名单集合和白名单集合进行匹配,判断病毒文件;
告警单元,对匹配为病毒文件,进行告警该文件。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。
尽管本文较多地使用了端点主机、获取单元、文件监控单元、服务器等术语,但并不排除使用其它术语的可能性。使用这些术语仅仅是为了更方便地描述和解释本发明的本质;把它们解释成任何一种附加的限制都是与本发明精神相违背的。
Claims (7)
1.一种未知病毒检测方法,其特征在于:包括以下步骤:
S1.各端点主机向服务器上传主机数据,服务器生成各端点主机Hash数据集合;
S2.对主机数据进行共识机制判定,包括:
统计每个端点主机Hash数据集合中每一条Hash数据在其他端点主机Hash数据集合中出现的次数;根据次数判断是否符合共识机制,将各端点主机Hash数据分配生成安全文件Hash集合和待定文件Hash集合;
S3.获取待定文件Hash集合中Hash数据对应的各文件,进行异常行为判定,将异常文件对应Hash数据生成黑名单集合,将正常文件对应Hash数据加入安全文件Hash集合作为白名单集合,将黑名单集合和白名单集合下发到各端点主机;
S4.监控端点主机新增文件,将新增文件Hash数据与黑名单集合和白名单集合进行匹配,判断病毒文件。
2.根据权利要求1所述的一种未知病毒检测方法,其特征是步骤S1的具体过程包括:
S11.由各端点主机采集主机数据,主机数据包括主机文件对应的Hash数据集合TDx和端点主机代号Tx,其中x为端点主机数量;
S12.服务器接收到各端点主机上传的Hash数据集合TDx和端点主机代号Tx后,进行文件Hash统计,生成各端点主机Hash数据集合{TD1,TD2,……,TDx}。
3.根据权利要求1所述的一种未知病毒检测方法,其特征是步骤S2的具体过程包括:
S21.统计每个端点主机文件Hash数据集合中每一条Hash数据HyDx在集合Texcept(Dx)中出现的次数Sy,其中集合Texcept(Dx)为除了Hash数据HyDx所在Hash数据集合TDx外所有属于端点主机文件Hash数据集合;
S22.获得次数统计集合SDx{S1,S2,S3,……,Sy},进行共识比较计算W{(Sy,N)},N为指定的阈值;
S23.将次数统计集合SDx{S1,S2,S3,……,Sy}中每一个元素Sy与N做比较,
当Sy >= N 时,则W{(Sy,N)} = 0,认为该Hash数据符合共识机制判定,对应文件安全,将Sy对应Hash数据HyDx放入主机Tx安全文件Hash集合WDx;
当Sy < N时,则W{(Sy ,N)} = 1,认为该Hash数据不符合共识机制判定,将Sy对应Hash数据HyDx放入主机Tx待定文件Hash集合PDx;
S24.经过算法W后,各主机Tx对应Hash集合TDx被分为安全文件Hash集合WDx与待定文件Hash集合PDx两个子集;
S25.统计主机群组T{T1,T2,……,Tx}全部安全文件Hash集合W{WD1,WD2,WD3,……,WDx},对{WD1,WD2,WD3,……,WDx}中各集合元素进行去重,最终生成主机群组T{T1,T2,……,Tx}全部且唯一安全文件Hash集合Wall,统计主机群组T{T1,T2,……,Tx}全部待定文件Hash集合P{PD1,PD2,PD3,……,PDx},对{PD1,PD2,PD3,……,PDx}中各集合元素进行去重,最终生成主机群组T{T1,T2,……,Tx}全部且唯一待定文件Hash集合Pall。
4.根据权利要求3所述的一种未知病毒检测方法,其特征是步骤S3具体过程包括:
S31.将Wall作为白名单集合,下发到主机群组T{T1,T2,……,Tx}全部端点主机;
S32.将主机群组T{T1,T2,……,Tx}全部且唯一待定文件Hash集合Pall根据其中每条Hash数据HyDx的主机代号x,依次向对应端点主机Tx获取对应文件;
S33.将获取到的待定文件Hash集合Pall所对应文件置于服务器沙箱中执行,进行异常行为判定;
若文件存在恶意行为,则将文件对应的Hash数据HyDx加入文件Hash黑名单,并生成黑名单集合Ball;
若文件不存在恶意行为,则将文件Hash数据HyDx加入主机群组T{T1,T2,……,Tn}全部且唯一安全文件Hash集合Wall,更新白名单集合Wall;
S34.将黑名单集合Ball和更新的白名单集合Wall下发到主机群组T{T1,T2,……,Tx}全部端点主机。
5.根据权利要求4所述的一种未知病毒检测方法,其特征是所述步骤S4具体过程包括:
S41.端点主机监控新增文件,获取新增文件对应Hash数据集合TrDx{HyrDx}和主机端点代号Tx,并上传至服务器,其中HyrDx为新增文件对应Hash数据;
S42. 服务器将新增文件Hash数据与黑名单集合Ball和白名单集合Wall进行匹配,计算F2{HyrDx,(Wall,Ball)},
HyrDx∈Wall,则F2{HyrDx,(Wall,Ball)}=0,HyrDx所对应的文件安全;
HyrDx∈Ball,则F2{HyrDx,(Wall,Ball)}=1,HyrDx所对应的文件为异常文件,将进行异常处理,拦截或者告警该文件;
HyrDx∉Wall且HyrDx∉Ball,则F2{HyrDx,(Wall,Ball)}=2,认为HyrDx所对应的文件为新增待定文件。
6.根据权利要求5所述的一种未知病毒检测方法,其特征是对于步骤S42中的新增待定文件的处理过程包括:
S4221. 统计主机群组T{T1,T2,……,Tn}全部新增待定文件Hash集合Pr{PrD1,PrD2,PrD3,……,PrDn};
S4222.对新增待定文件Hash集合Pr{PrD1,PrD2,PrD3,……,PrDn}中各集合元素进行去重,最终生成主机群组T{T1,T2,……,Tn}全部且唯一新增文件Hash集合Prall;
S4223.将新增文件Hash集合Prall作为主机群组T{T1,T2,……,Tn}全部且唯一待定文件Hash集合Pall,重复步骤S3。
7.一种未知病毒检测系统,采用权利要求1-6任一项中的未知病毒检测方法,其特征是:包括各端点主机和服务器,端点主机包括获取单元和文件监控单元,主机包括依次相连的检测单元、沙箱单元、审计单元、匹配单元和告警单元,获取单元与检测单元相连,文件监控单元与匹配单元相连,
获取单元,采集主机数据并上传至服务器,主机数据包括主机文件对应的Hash数据集合TDx和端点主机代号Tx,其中x为端点主机数量;
检测单元,对主机数据进行共识机制判定,包括统计每个端点主机Hash数据集合中每一条Hash数据在其他端点主机Hash数据集合中出现的次数,根据次数判断是否符合共识机制,将各端点主机Hash数据分配生成安全文件Hash集合和待定文件Hash集合;
沙箱单元,包括文件执行单元和结果记录单元,文件执行单元执行待定文件Hash集合,结果记录单元记录待定文件Hash集合的执行结果;
审计单元,获取待定文件Hash集合中Hash数据对应的各文件,进行异常行为判定,将异常文件对应Hash数据生成黑名单集合,将正常文件对应Hash数据加入安全文件Hash集合作为白名单集合,将黑名单集合和白名单集合下发到各端点主机;
文件监控单元,监控端点主机新增文件,获取新增文件对应Hash数据集合TrDx{HyrDx}上传至服务器;
匹配单元,将新增文件Hash数据与黑名单集合和白名单集合进行匹配,判断病毒文件;
告警单元,对匹配为病毒文件,进行告警该文件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110534740.3A CN113360904A (zh) | 2021-05-17 | 2021-05-17 | 一种未知病毒检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110534740.3A CN113360904A (zh) | 2021-05-17 | 2021-05-17 | 一种未知病毒检测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113360904A true CN113360904A (zh) | 2021-09-07 |
Family
ID=77526968
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110534740.3A Pending CN113360904A (zh) | 2021-05-17 | 2021-05-17 | 一种未知病毒检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113360904A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113569233A (zh) * | 2021-09-24 | 2021-10-29 | 杭州美创科技有限公司 | 一种powershell恶意指令检测方法及其系统 |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101593253A (zh) * | 2009-06-22 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种恶意程序判断方法及装置 |
CN101923617A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云的样本数据库动态维护方法 |
US8225405B1 (en) * | 2009-01-29 | 2012-07-17 | Symantec Corporation | Heuristic detection malicious code blacklist updating and protection system and method |
CN102609515A (zh) * | 2012-02-07 | 2012-07-25 | 奇智软件(北京)有限公司 | 一种文件快速扫描方法和系统 |
CN102945348A (zh) * | 2012-10-19 | 2013-02-27 | 北京奇虎科技有限公司 | 文件信息收集方法与装置 |
CN102945349A (zh) * | 2012-10-19 | 2013-02-27 | 北京奇虎科技有限公司 | 未知文件处理方法与装置 |
CN103164651A (zh) * | 2011-12-15 | 2013-06-19 | 西门子公司 | 提取病毒文件特征码的装置和方法以及病毒检测系统 |
CN104700033A (zh) * | 2015-03-30 | 2015-06-10 | 北京瑞星信息技术有限公司 | 病毒检测的方法及装置 |
CN104978526A (zh) * | 2015-06-30 | 2015-10-14 | 北京奇虎科技有限公司 | 病毒特征的提取方法及装置 |
CN105260662A (zh) * | 2014-07-17 | 2016-01-20 | 南京曼安信息科技有限公司 | 一种未知应用漏洞威胁检测装置及方法 |
CN109492399A (zh) * | 2019-01-17 | 2019-03-19 | 腾讯科技(深圳)有限公司 | 风险文件检测方法、装置及计算机设备 |
CN110688658A (zh) * | 2019-10-09 | 2020-01-14 | 杭州安恒信息技术股份有限公司 | 未知病毒感染追溯方法、装置及系统 |
CN112560031A (zh) * | 2020-11-16 | 2021-03-26 | 杭州美创科技有限公司 | 一种勒索病毒检测方法及系统 |
-
2021
- 2021-05-17 CN CN202110534740.3A patent/CN113360904A/zh active Pending
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8225405B1 (en) * | 2009-01-29 | 2012-07-17 | Symantec Corporation | Heuristic detection malicious code blacklist updating and protection system and method |
CN101593253A (zh) * | 2009-06-22 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种恶意程序判断方法及装置 |
CN101923617A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云的样本数据库动态维护方法 |
CN103164651A (zh) * | 2011-12-15 | 2013-06-19 | 西门子公司 | 提取病毒文件特征码的装置和方法以及病毒检测系统 |
CN102609515A (zh) * | 2012-02-07 | 2012-07-25 | 奇智软件(北京)有限公司 | 一种文件快速扫描方法和系统 |
CN102945349A (zh) * | 2012-10-19 | 2013-02-27 | 北京奇虎科技有限公司 | 未知文件处理方法与装置 |
CN102945348A (zh) * | 2012-10-19 | 2013-02-27 | 北京奇虎科技有限公司 | 文件信息收集方法与装置 |
CN105260662A (zh) * | 2014-07-17 | 2016-01-20 | 南京曼安信息科技有限公司 | 一种未知应用漏洞威胁检测装置及方法 |
CN104700033A (zh) * | 2015-03-30 | 2015-06-10 | 北京瑞星信息技术有限公司 | 病毒检测的方法及装置 |
CN104978526A (zh) * | 2015-06-30 | 2015-10-14 | 北京奇虎科技有限公司 | 病毒特征的提取方法及装置 |
CN109492399A (zh) * | 2019-01-17 | 2019-03-19 | 腾讯科技(深圳)有限公司 | 风险文件检测方法、装置及计算机设备 |
CN110688658A (zh) * | 2019-10-09 | 2020-01-14 | 杭州安恒信息技术股份有限公司 | 未知病毒感染追溯方法、装置及系统 |
CN112560031A (zh) * | 2020-11-16 | 2021-03-26 | 杭州美创科技有限公司 | 一种勒索病毒检测方法及系统 |
Non-Patent Citations (1)
Title |
---|
刘家佳等: "《移动智能终端安全》", 30 November 2019 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113569233A (zh) * | 2021-09-24 | 2021-10-29 | 杭州美创科技有限公司 | 一种powershell恶意指令检测方法及其系统 |
CN113569233B (zh) * | 2021-09-24 | 2022-01-18 | 杭州美创科技有限公司 | 一种powershell恶意指令检测方法及其系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Yumlembam et al. | Iot-based android malware detection using graph neural network with adversarial defense | |
US11785035B2 (en) | System and methods for malware detection using log analytics for channels and super channels | |
US10148685B2 (en) | Event correlation across heterogeneous operations | |
CN107623697B (zh) | 一种基于攻防随机博弈模型的网络安全态势评估方法 | |
TWI711938B (zh) | 用於使用無監督式機器學習和優先權演算法的高速威脅性情報管理的系統及方法 | |
US9742788B2 (en) | Event correlation across heterogeneous operations | |
TWI547823B (zh) | 惡意程式碼分析方法與系統、資料處理裝置及電子裝置 | |
Hofmeyr et al. | Intrusion detection using sequences of system calls | |
US8413235B1 (en) | Malware detection using file heritage data | |
CA2362095C (en) | Computer network intrusion detection | |
KR100910761B1 (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
US8595837B2 (en) | Security event management apparatus, systems, and methods | |
EP1315066A1 (en) | Computer security system | |
JP2007242002A (ja) | ネットワーク管理装置及びネットワーク管理方法及びプログラム | |
Rosli et al. | Clustering analysis for malware behavior detection using registry data | |
Ting et al. | Compression analytics for classification and anomaly detection within network communication | |
CN113360904A (zh) | 一种未知病毒检测方法及系统 | |
CN115632821A (zh) | 基于多种技术的变电站威胁安全检测及防护方法及装置 | |
Moorthy et al. | A study of Intrusion Detection using data mining | |
CN103544438A (zh) | 一种用于云安全系统的用户感知病毒报告分析方法 | |
CN115373834B (zh) | 一种基于进程调用链的入侵检测方法 | |
CN117744094A (zh) | 一种可信执行环境的安全验证方法及系统 | |
KR20070077517A (ko) | 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법 | |
Mohamed et al. | Alert correlation using a novel clustering approach | |
Gautam et al. | Anomaly detection system using entropy based technique |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210907 |
|
RJ01 | Rejection of invention patent application after publication |