CN113569240B - 恶意软件的检测方法、装置及设备 - Google Patents
恶意软件的检测方法、装置及设备 Download PDFInfo
- Publication number
- CN113569240B CN113569240B CN202110856101.9A CN202110856101A CN113569240B CN 113569240 B CN113569240 B CN 113569240B CN 202110856101 A CN202110856101 A CN 202110856101A CN 113569240 B CN113569240 B CN 113569240B
- Authority
- CN
- China
- Prior art keywords
- countermeasure
- malicious software
- triggering
- malicious
- atomic operation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Abstract
本申请公开了一种恶意软件的检测方法、装置及设备,涉及网络安全技术领域,能够针对恶意软件进行细粒度的查杀,无需将专用查杀代码移植、集成到终端杀毒软件中,保证操作系统的稳定性。其中方法包括:将恶意软件的对抗动作抽象处理为原子操作集合,并封装至驱动模块,原子操作集合包括针对恶意软件清除过程中所有原子操作;响应于恶意软件的扫描结果,接收云服务端派发的对抗触发规则,对抗触发规则为根据恶意软件特征所设置原子操作的触发条件;通过解析对抗触发规则,按照脚本文件指导驱动模块查询出原子操作集合中目标原子操作;利用目标原子操作定位到恶意软件的位置信息,并根据位置信息清除所述恶意软件执行的恶意代码。
Description
技术领域
本申请涉及网络安全技术领域,尤其是涉及到一种恶意软件的检测方法、装置及设备。
背景技术
近年来,随着互联网技术的不断发展,以窃取计算机控制和敏感信息为目标的程序迅速增加,特别是近些年来针对Linux系统的各种恶意软件在不断地更新。
现有的计算机操作系统在权限划分时使用“高权限”和“低权限”两个概念来区分不同的系统权限等级。Ring0表示高权限(系统权限),Ring3表示低权限(用户权限),一般来说,客户端针对恶意软件的查杀引擎以及恶意行为拦截模块等工作均在高权限状态,这些模块通常以第三方驱动或内核扩展形态呈现。随着攻防技术的发展,如果计算机病毒或恶意软件携带了驱动级组件,则说明出现了高级恶意软件,Rootkit作为高级恶意软件中的一种,在攻击系统的过程中,通常与反病毒软件具有相同的系统权限和操作能力,一方面可以使用访问重定向等手段干扰、阻断扫描过程,使得反病毒软件无法准确鉴别出Rootkit的存在,另一方面可以使用回写回复、访问拒绝等手段干扰、阻断清除过程,使得反病毒软件无法删除已发现的Rootkit。
鉴于Rootkit的独特性,针对代码处理基本都是逐个执行,相关技术中可以使用专用查杀工具来处理,而专用查杀工具需要足够专业知识去指导对抗Rootkit,大部分用户不具备Rootkit行为判定和恶意软件家族鉴别等专业能力,很难准确检测到Rootkit。为了进一步检测Rootkit,可将Rootkit的专用查杀代码移植、集成到终端杀毒软件中,但是如果在终端杀毒软件中为大量用户开启Rootkit对抗功能,针对高权限代码的任何错误都导致操作系统的崩溃,极大增强了操作系统的不稳定性。
发明内容
有鉴于此,本申请提供了一种恶意软件的检测方法、装置及设备,主要目的在于解决现有技术恶意软件的检测过程中大量用户开启Rootkit对抗功能会导致操作系统不稳定的问题。
根据本申请的第一个方面,提供了一种恶意软件的检测方法,应用于客户端,该方法包括:
将恶意软件的对抗动作抽象处理为原子操作集合,并封装至驱动模块,所述原子操作集合包括针对恶意软件清除过程中所有原子操作;
响应于恶意软件的扫描结果,接收云服务端派发的对抗触发规则,所述对抗触发规则为根据恶意软件特征所设置原子操作的触发条件,所述对抗触发规则以脚本文件形式描述;
通过解析所述对抗触发规则,按照所述脚本文件指导所述驱动模块查询出所述原子操作集合中目标原子操作;
利用所述目标原子操作定位到恶意软件的位置信息,并根据所述位置信息清除所述恶意软件执行的恶意代码。
进一步地,在所述响应于恶意软件的扫描结果,接收云服务端派发的对抗触发规则之前,所述方法还包括:
按照预设周期扫描恶意软件,将所述扫描结果发送至云服务端,以使得云服务端根据所述扫描结果确定恶意软件的执行级别,并派发符合执行级别的对抗触发规则;
所述响应于恶意软件的扫描结果,接收云服务端派发符合执行级别的对抗触发规则,具体包括:
响应于恶意软件的扫描结果,接收云服务端派发符合执行级别的对抗触发规则。
进一步地,所述将恶意软件的对抗动作抽象处理为原子操作集合,并封装至驱动模块,具体包括:
获取针对恶意软件清除过程中涉及的对抗动作,所述对抗动作至少包括检测和删除动作;
针对所述对抗动作进行量化、去重处理为原子操作集合,并封装至驱动模块。
进一步地,在所述根据所述位置信息清除所述恶意软件执行的恶意代码之前,所述方法还包括:
根据所述位置信息采集所述恶意软件执行的恶意代码;
通过接入预设远程接口,将所述恶意代码作为恶意样本数据回传至云服务端进行清除干预。
根据本申请的第二个方面,提供了一种恶意软件的检测方法,应用于云服务端,该方法包括:
针对恶意软件的恶意特征,获取恶意软件清除过程中所有原子操作的触发条件;
将所述原子操作的触发条件整理为对抗触发规则集,所述对抗触发规则集中的对抗触发规则以脚本文件形式描述;
当接收到恶意软件的扫描结果,向客户端派发对抗触发规则。
进一步地,在所述将所述原子操作的触发条件整理为对抗触发规则集之后,所述方法还包括:
根据不同客户端的属性特征为所述对抗触发规则集中的对抗触发规则设置执行级别;
所述当接收到恶意软件的扫描结果,向客户端派发对抗触发规则,具体包括:
当接收到恶意软件的扫描结果,向客户端派发符合执行级别的对抗触发规则。
进一步地,在所述当接收到恶意软件的扫描结果,根据所述扫描结果向客户端派发符合执行级别的对抗触发规则之前,所述方法还包括:
利用预设时间内恶意软件样本的爆发情况,从所述对抗触发规则集中筛选目标对抗触发规则,所述目标对抗触发规则为恶意软件样本清除过程中所有原子操作的触发条件;
向客户端派发目标对抗触发规则。
进一步地,在所述将所述原子操作的触发条件整理为对抗触发规则集之后,所述方法还包括:
针对所述对抗触发规则集中的对抗触发规则进行在离线测试环境进行功能验证。
根据本申请的第三个方面,提供了一种客户端,该客户端包括:
处理单元,用于将恶意软件的对抗动作抽象处理为原子操作集合,并封装至驱动模块,所述原子操作集合包括针对恶意软件清除过程中所有原子操作;
接收单元,用于响应于恶意软件的扫描结果,接收云服务端派发的对抗触发规则,所述对抗触发规则为根据恶意软件特征所设置原子操作的触发条件,所述对抗触发规则以脚本文件形式描述;
查询单元,用于通过解析所述对抗触发规则,按照所述脚本文件指导所述驱动模块查询出所述原子操作集合中目标原子操作;
清除单元,用于利用所述目标原子操作定位到恶意软件的位置信息,并根据所述位置信息清除所述恶意软件执行的恶意代码。
进一步地,所述装置还包括:
扫描单元,用于在所述响应于恶意软件的扫描结果,接收云服务端派发的对抗触发规则之前,按照预设周期扫描恶意软件,将所述扫描结果发送至云服务端,以使得云服务端根据所述扫描结果确定恶意软件的执行级别,并派发符合执行级别的对抗触发规则;
所述接收单元,具体用于响应于恶意软件的扫描结果,接收云服务端派发符合执行级别的对抗触发规则。
进一步地,所述处理单元包括:
获取模块,用于获取针对恶意软件清除过程中涉及的对抗动作,所述对抗动作至少包括检测和删除动作;
处理模块,用于针对所述对抗动作进行量化、去重处理为原子操作集合,并封装至驱动模块。
进一步地,所述装置还包括:
采集单元,用于在所述根据所述位置信息清除所述恶意软件执行的恶意代码之前,根据所述位置信息采集所述恶意软件执行的恶意代码;
回传单元,用于通过接入预设远程接口,将所述恶意代码作为恶意样本数据回传至云服务端进行清除干预。
根据本申请的第三个方面,提供了一种云服务端,该云服务端包括:
获取单元,用于针对恶意软件的恶意特征,获取恶意软件清除过程中所有原子操作的触发条件;
整理单元,用于将所述原子操作的触发条件整理为对抗触发规则集,所述对抗触发规则集中的对抗触发规则以脚本文件形式描述;
第一派发单元,用于当接收到恶意软件的扫描结果,向客户端派发对抗触发规则。
进一步地,所述装置还包括:
设置单元,用于在所述将所述原子操作的触发条件整理为对抗触发规则集之后,根据不同客户端的属性特征为所述对抗触发规则集中的对抗触发规则设置执行级别;
所述第一派发单元,具体用于当接收到恶意软件的扫描结果,向客户端派发符合执行级别的对抗触发规则。
进一步地,所述装置还包括:
筛选单元,用于在所述当接收到恶意软件的扫描结果,根据所述扫描结果向客户端派发符合执行级别的对抗触发规则之前,利用预设时间内恶意软件样本的爆发情况,从所述对抗触发规则集中筛选目标对抗触发规则,所述目标对抗触发规则为恶意软件样本清除过程中所有原子操作的触发条件;
第二派发单元,用于向客户端派发目标对抗触发规则。
进一步地,所述装置还包括:
验证单元,用于在所述将所述原子操作的触发条件整理为对抗触发规则集之后,针对所述对抗触发规则集中的对抗触发规则进行在离线测试环境进行功能验证。
根据本申请的第五个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述恶意软件的检测方法。
根据本申请的第六方面,提供了一种客户端设备和云服务端设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述恶意软件的检测方法。
借由上述技术方案,本申请提供的一种恶意软件的检测方法、装置及设备,与目前现有方式中使用移植或者集成有Rootkit专用查杀代码的终端杀毒软件进行恶意软件检测的方式相比,本申请使用客户端将恶意软件的对抗动作抽象为原子操作集合,并封装至驱动模块以供调用,这里原子操作集合理论上可以描述恶意软件的清除过程,具有更强的描述能力以及处理能力,使用云服务端针对恶意软件的恶意特征,获取恶意软件清除过程中所有原子操作的触发条件,并将原子操作的触发条件整理为对抗触发规则集,当接收到恶意软件的扫描结果,向客户端派发对抗触发规则,而客户端响应于恶意软件的扫描结果,接收云服务端派发的对抗触发规则,该对抗触发规则以脚本文件形式描述,通过解析对抗触发规则,按照脚本文件指导驱动模块查询出原子操作集合中目标原子操作,利用目标原子操作定位到恶意软件的位置信息,并根据位置信息清除恶意软件执行的恶意代码,这里通过将恶意软件的抵抗动作分别抽象为一组动作和规则,针对恶意软件进行细粒度的查杀,无需将专用查杀代码移植、集成到终端杀毒软件中,保证操作系统的稳定性,提高恶意软件的检测效率。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种恶意软件的检测方法的流程示意图;
图2示出了本申请实施例提供的另一种恶意软件的检测方法的流程示意图;
图3示出了本申请实施例提供的一种恶意软件的检测系统的结构框图;
图4示出了本申请实施例提供的另一种恶意软件的检测系统的结构框图;
图5示出了本申请实施例提供的一种恶意软件的检测装置的结构示意图;
图6示出了本申请实施例提供的另一种恶意软件的检测装置的结构示意图;
图7示出了本申请实施例提供的另一种恶意软件的检测装置的结构示意图;
图8示出了本申请实施例提供的另一种恶意软件的检测装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
相关技术中,鉴于Rootkit的独特性,针对代码处理基本都是逐个执行,相关技术中可以使用专用查杀工具来处理,而专用查杀工具需要足够专业知识去指导对抗Rootkit,大部分用户不具备Rootkit行为判定和恶意软件家族鉴别等专业能力,很难准确检测到Rootkit。为了进一步检测Rootkit,可将Rootkit的专用查杀代码移植、集成到终端杀毒软件中,但是该方式存在以下两个问题,一个是如果在终端杀毒软件中为大量用户开启Rootkit对抗功能,针对高权限代码的任何错误都导致操作系统的崩溃,极大增强了操作系统的不稳定性;另一个是基于Rootkit的查杀特性,终端用户升级文件将不再是样本的特征库,而是查杀代码,而代码的生效时间慢与特征库升级的生效时间,使得服务器系统的重启效率较低。
为了解决上述问题,本申请涉及的恶意软件的检测系统包括客户端和云服务端,其中,客户端具体可应用于用户的终端设备,为了能够更粒度检测出恶意软件,该客户端用于将恶意软件的对抗动作处理为原子操作集合,由于每一个款恶意软件都具有自己的特殊清除动作,通过将这些动作全部量化、去重,可得到原子动作集合,该原子动作集合理论上可以描述恶意软件的清除过程,然后根据恶意软件的扫描结果,接收云服务端派发的对抗触发规则,该对抗触发规则为根据恶意软件特征所设置原子操作的触发条件,以脚本文件形式描述,通过解析对抗触发规则,按照脚本文件知道驱动模块查找出原子操作集合中的目标原子操作,并利用目标操作定位到恶意软件的位置信息后,清除恶意软件执行的恶意代码。云服务端用于针对恶意软件的恶意特征,获取恶意软件清除过程中所有原子操作的触发条件,并将原子操作的触发条件整理为对抗触发规则集,该对抗触发规则集中的对抗触发规则以及脚本文件形式描述,当接收到恶意软件的扫描结果,向客户端派发对抗触发规则。具体在实际应用过程中,通过在客户端将恶意软件的对抗动作抽象为原子操作集合,以及在云服务端上存储有针对原子操作的触发条件所整理的对抗触发规则,客户端会周期地扫描恶意软件,并根据恶意软件的扫描结果来触发恶意软件的对抗动作,而云服务端可以向不同客户端下发不同的对抗触发规则,客户端通过解析对抗触发规则可以指导驱动模块去查找并清除恶意软件。
一方面,本实施例提供了一种恶意软件的检测方法,如图1所示,该方法应用于客户端,包括如下步骤:
101、将恶意软件的对抗动作抽象处理为原子操作集合,并封装至驱动模块。
其中,原子操作集合包括针对恶意软件清除过程中所有原子操作,这里对抗动作可以包括但不局限于以下几类,文件操作、进程/线程操作、注册表操作、网络操作、内核模块操作、其他操作,这里文件操作、进程/线程操作、注册表操作是针对系统权限和用户权限的恶意软件的对抗动作,内核模块操作、其他操作是针对高级恶意软件的对抗动作。具体在将恶意软件的对抗动作抽象处理为原子操作集合过程中,可以通过监控恶意软件清除过程中执行的动作链路,并针对动作链路中每个对抗动作进行拆解形成多个原子操作,该原子操作为在执行过程中不会被别的代码路径所中断的操作。应说明的是,文件操作、进程/线程操作、注册表操作、网络操作的主要目的是在复杂客户端环境下,帮助查杀引擎获取真实的信息,即,无论样本如何隐藏、对抗以及干扰,这组对抗动作可以检测并操作被恶意文件所隐藏的文件、进程/线程、注册表以及网络端口。
具体在将恶意软件的对抗动作抽象处理为原子操作集合,并封装置驱动模块的过程中,可以获取针对恶意软件清除过程中涉及的对抗动作,该对抗动作至少包括检测和删除动作,进一步针对对抗动作进行量化、去重处理为原子操作集合,并封装至驱动模块,这里原子操作集合理论上可以描述恶意软件的清除过程,具有更强的描述能力以及处理能力。
这里需要说明的是,针对本申请客户端的对抗原子操作不局限于被集成在内核驱动中,还可以被集成在用户态的服务中,例如,操作系统版本/补丁信息采集、dump日志文件提取、普通进程结束(这里的普通进程结束是相对于“强力进程结束”而言)、普通文件删除(这里的普通文件删除是相对于“强力文件删除/文件粉碎”而言)等。
在实际应用场景中,具体针对不同对抗动作抽象形成的原子操作进行举例,针对文件操作,可以包括但不局限于新建/打开文件、读文件/写文件、查询文件信息、设置文件信息、解锁文件、删除文件等,针对进程/线程操作,可以包括但不局限于创建/打开进程、查询进程信息、设置进程信息、枚举进程、中断进程、枚举动态库、加载动态库、创建/打开线程、查询线程信息、设置线程信息、枚举线程、中断线程,针对注册表操作,可以包括但不局限于创建秘钥/打开秘钥、查询秘钥值、设置秘钥值、枚举值、枚举秘钥值、删除秘钥、删除秘钥值,针对网络操作可以包括但不局限于枚举端口、建立连接、关闭连接,针对其他操作可以包括但不局限于关机回调接口、进程创建回调、下载图片回调、注册表回调、上下过滤器驱动程序操作等。
进一步地,考虑到原子操作在清除场景下的执行对象,这里针对每个原子操作可以列出多个具体动作,例如,针对原子操作关机回调接口,可以表现为枚举关机回调接口和清除关机回调接口的具体动作,每个具体动作可以是枚举所有/指定,也可以是清除所有/指定,针对原子操作上下过滤器驱动程序操作,可以表现为针对特定目标枚举上过滤器驱动程序操作、针对特定目标枚举下过滤器驱动程序操作、针对特定目标清除上过滤器驱动程序操作、针对特定目标清除下过滤器驱动程序操作,每个具体动作可以是枚举所有/指定,也可以是清除所有/指定。
对于本发明实施例的执行主体可以为恶意软件的检测装置,可以为客户端,通过客户端预先将恶意软件的对抗动作抽象处理为原子操作集合,封装至驱动模块,能够针对恶意软件清除过程进行细粒度描述,以便于扫描到恶意软件后,驱动模块根据云服务端下发的对抗触发规则查询到相应原子操作,从而更准确定位恶意软件并将其清除。
102、响应于恶意软件的扫描结果,接收云服务端派发的对抗触发规则。
其中,对抗触发规则为根据恶意软件特征所设置原子操作的触发条件,该对抗触发规则以脚本文件形式描述,这里云服务端可以同时派发多个对抗触发规则,该对抗触发规则可以指导驱动模块执行查杀功能,云服务端派发不同的对抗触发规则可以检测并清除掉恶意软件针对不同原子操作所执行的恶意代码,例如,云服务端通过派发对抗触发规则2.4、5.2,检测并清理掉开源Rootkit:zwhawk,云服务端通过派发规则1.6、2.4、3.5、6.9、5.2,,检测并清理掉开源Rootkit:kmd rootkit,云服务端通过派发规则2.4、5.4、6.9、5.2,,检测并清理掉闭源Rootkit:heng pro。
可以理解的是,为了保证恶意软件的检测效果,云服务端并不会随时随意的派发对抗触发规则,而是需要根据恶意软件的扫描结果来确定,该扫描结果可依赖特征码来检测恶意软件片段,这里特征码可以是简单的散列值,一系列字符串,一系列代表代码的字节或者一个复杂的识别规则集,但无论特征码以何种形式创建,大都是基于恶意软件代码,如果和特征代码相匹配,被扫描的文件会标记为恶意软件,如果没有任何匹配的特征码,则认为文件时良性的。进一步云服务端可根据扫描结果向相应客户端派发对抗触发规则,以针对恶意软件实现更精准的查杀效果。
103、通过解析所述对抗触发规则,按照所述脚本文件指导所述驱动模块查询出所述原子操作集合中目标原子操作。
这里对抗触发规则所对应的脚本文件可以理解为一组抽象程度较高的知道说明书,能够指导驱动模块去查询触发对抗动作的目标原子操作,具体通过解析对抗触发规则,可以遍历原子操作集中的原子操作,获取到恶意软件在客户端触发对抗动作的目标原子操作。
示例性的,恶意软件通过释放动态链接库文件,并将他们注入到其他软件及系统进程中执行,此时针对恶意软件的扫描结果主要包括动态链接库文件和其他软件及系统进程,云服务端针对扫描结果会相应派发具有针对性的对抗触发规则,该对抗触发规则主要针对动态链接库文件和其他软件及系统进程,并指导驱动模块从原子操作集合中来查出询目标原子操作。
104、利用所述目标原子操作定位到恶意软件的位置信息,并根据所述位置信息清除所述恶意软件执行的恶意代码。
由于目标原子操作具有更细粒度,能够更准确定位到恶意软件的位置信息,进一步针对该位置信息上清除恶意软件的执行代码。这里清除恶意代码的过程可针对恶意软件破坏的执行对象,使用不同的清除方式,如果破坏的执行对象为文件信息,可以直接删除文件,以清除恶意软件执行的恶意代码,如果破坏的执行对象为进程,可以终止进程,清除所述恶意软件执行的恶意代码。
进一步地,为了更好地实现恶意软件的检测效果,可以在接收云服务端派发的对抗触发规则之前,客户端按照预设周期扫描恶意软件,将扫描结果发送至云服务端。具体在按照预设周期扫描恶意软件过程中,可使用扫描引擎,在扫描磁盘上或者内存中的二进制文件时,扫描引擎首先查找可执行文件的入口点,入口点是第一条指令的存放地址,是跟踪二进制文件执行过程的关键,入口点指向了二进制代码本身。当定位到二进制代码,扫描引擎将二进制代码与数据库中所有用于检测的特征码进行比较,如果存在匹配,该二进制文件被标记为恶意软件。
对于文件感染程序,入口点指向的是恶意软件代码本身,因为一个被感染的文件在将执行传递给宿主文件时,需要先执行恶意软件。对于经过打包的恶意软件,原始的入口点是很关键的,因为它是对内存中已解压的恶意软件代码进行定位的关键。
相应的,云服务端根据扫描结果确定恶意软件的执行级别,并派发符合执行级别的对抗触发规则,并在客户端响应于恶意软件的扫描结果,接收云服务端派发符合执行级别的对抗触发规则,这里执行级别由云服务端针对客户端属性所设置,具体云服务端可根据客户端对应的用户组别、操作系统类型、防护等级等派发不同级别的对抗触发规则,以响应恶意软件的扫描结果。
在实际应用场景中,由于恶意软件的特殊性,在遇到极端情况下还可以回传相应恶意代码样本,使用辅助人员分析进行人工审核,具体可在根据位置信息清除所述恶意软件执行的恶意代码之前,根据位置信息采集恶意软件执行的恶意代码,并通过接入预设远程接口,将恶意代码作为恶意样本数据回传至云服务端进行清除干预。
另一方面,本实施例还提供了另一种恶意软件的检测方法,如图2所示,该方法应用于云服务端,包括如下步骤:
201、针对恶意软件的恶意特征,获取恶意软件清除过程中所有原子操作的触发条件。
现有恶意代码的数目和种类繁多,很难为每个恶意代码类别提供精准定义,通常情况下,恶意软件的类别决定了恶意软件的恶意特征,针对特洛伊木马类型的恶意软件,该程序包含了利用或损坏运行程序的系统的隐藏代码,并通过没有正确说明此程序的用途和功能的电子邮件传递用户,以在运行时传递恶意负载或任务达到目的,针对蠕虫类型的恶意软件,可通过网络连接自动将其自身从一台计算机分发到另一台计算机上,并执行有害操作,如消耗网络或本地系统资源,导致拒绝服务攻击,针对病毒代码类型的恶意软件,可将其自身附加到宿主程序,以便在计算机之间进行传播,可损害硬件、软件或数据,宿主程序执行时,病毒代码也随之运行,并会感染新的宿主,有时会传递额外负载,这里负载标识恶意软件攻击在已感染计算机上执行的操作,针对Rootkit类型的恶意软件,可用来获取计算机未经授权的远程访问权限,并发动其他攻击,这些程序可能使用许多不同的技术,包括监视击键、更改系统日志文件或现有的系统应用程序、在系统中创建后门、以及对网络的其他计算机发起攻击。
具体可以结合恶意软件的类别确定恶意软件的攻击过程,进一步针对恶意软件的攻击过程中涉及的攻击位置、攻击目标、攻击方式等信息,提取恶意软件的恶意特征,而恶意软件的恶意特征决定了恶意软件清除过程中所使用对抗动作的原子操作以及原子操作的触发条件,根据恶意软件的恶意特征,可以获取恶意软件清除过程中所有原子操作的触发条件。
202、将所述原子操作的触发条件整理为对抗触发规则集。
其中,对抗触发规则集中的对抗触发规则以脚本文件形式描述,由于客户端之间属性信息的差异性,为了便于后续对抗触发规则的派发,这里可以针对对抗触发规则进行整理,具体可根据客户端对应用户组别、操作系统类型、防护等级形成不同执行级别的对抗触发规则,以使得客户端都能够被分配到更合理的对抗触发规则。
具体可以将原子操作的触发条件整理为对抗触发规则集之前,根据不同客户端的属性特征为对抗触发规则集中的对抗触发规则设置执行级别,并在向客户端派发对抗触发规则时,先查询到符合客户端执行级别的对抗触发规则后,向客户端派发符合执行级别的对抗触发规则。
203、当接收到恶意软件的扫描结果,向客户端派发对抗触发规则。
这里恶意软件的扫描结果相当于恶意软件被客户端发现后的响应动作,一旦客户端扫描到恶意软件,云服务端才会向客户端派发对抗触发规则。
进一步地,为了提高客户端对恶意软件的检测效率,云服务端还可以预先向客户端派发一些热门的对抗触发规则,这里热门的对抗触发规则可以针对近期恶意软件样本的爆发情况,还可以根据内网环境的学习情况来决定,例如,内网内有许多FTP服务器,而没有邮件服务器,那么可以重点关注攻击FTP服务器的恶意软件样本,调低邮件服务器恶意软件样本的派发优先级。具体可以利用预设时间内恶意软件样本的爆发情况,从对抗触发规则集中筛选目标对抗触发规则,该目标对抗触发规则为恶意软件样本清除过程中所有原子操作的触发条件,并向客户端派发目标对抗触发规则。
进一步地,为了保证派发到客户端的对抗触发规则的可靠性,还可以在将原子操作的触发条件整理为对抗触发规则之后,针对对抗触发规则集中的对抗触发规则进行在离线测试环境进行功能验证。这里针对对抗触发规则的测试环境分为(在线)生产环境和(离线)测试环境,它们的功能类似,但是针对在线生产环境的测试需要非常谨慎,离线环境的测试相对安全,影响范围小。
本申请实施例提供的恶意软件的检测方法,与目前现有方式中使用移植或者集成有Rootkit专用查杀代码的终端杀毒软件进行恶意软件检测的方式相比,本申请使用客户端将恶意软件的对抗动作抽象为原子操作集合,并封装至驱动模块以供调用,这里原子操作集合理论上可以描述恶意软件的清除过程,具有更强的描述能力以及处理能力,使用云服务端针对恶意软件的恶意特征,获取恶意软件清除过程中所有原子操作的触发条件,并将原子操作的触发条件整理为对抗触发规则集,当接收到恶意软件的扫描结果,向客户端派发对抗触发规则,而客户端响应于恶意软件的扫描结果,接收云服务端派发的对抗触发规则,该对抗触发规则以脚本文件形式描述,通过解析对抗触发规则,按照脚本文件指导驱动模块查询出原子操作集合中目标原子操作,利用目标原子操作定位到恶意软件的位置信息,并根据位置信息清除恶意软件执行的恶意代码,这里通过将恶意软件的抵抗动作分别抽象为一组动作和规则,针对恶意软件进行细粒度的查杀,无需将专用查杀代码移植、集成到终端杀毒软件中,保证操作系统的稳定性,提高恶意软件的检测效率。
具体在实际应用场景中,上述客户端与云服务端之间的交互过程形成恶意软件的检测系统,该系统可应用任何操作平台,包括但不局限于Windows、Linux、macOS、iOS、Android等操作系统。系统的结构框图如图3所示,主要由三个核心部分组成:云端服务端集群、客户端Agent Ring 3接口模块、客户端Agent Ring 0驱动模块;云端服务端还可以包括以下功能和组件:Rootkit规则编辑器、Rootkit规则存储模块及数据库、Rootkit规则下发模块、Rootkit样本采集/数据回传模块、Rootkit规则离线测试子系统等。其中,Rootkit规则下发模块可以向不同的客户端派发不同的对抗触发规则;客户端Agent Ring 3接口模块至少包括以下功能和组件:和云端的上/下行接口层、和客户端Agent Ring 0驱动模块的上/下行接口层、脚本规则解析模块、响应模块等;客户端Agent Ring 0驱动模块至少包括以下功能和组件:Rootkit对抗原子操作集合、Rootkit样本/数据采集组件、Agent自我保护组件、Rootkit对抗本地规则数据库等;其中,系统的下行数据是规则,上行数据是查杀日志(结果)和回传样本。
应说明的是,上述图3中所采用的客户端Agent Ring 3接口模块以及客户端AgentRing 0驱动模块设计只是可行性方案的一种实现,随着技术的发展,Intel等厂商一直在扩充权限模型设计,使得权限层级扩展到了Ring-3,所以,上述的客户端驱动可以从内核层移动到虚拟机层,由于CPU/操作系统的内核层(即Ring-0层)已经不是唯一的高权限层级了,比内核层更底层的层级还有虚拟机层等,理论上可以把所有内核层的实现封装并移植到虚拟机层。
具体在实际应用场景中,上述恶意软件的检测系统可应用到车载计算平台中,需要结合考虑车载环境下的娱乐系统、T-BOX车路协同设备以及CAN总线防火墙等模块,该系统的结构框图如图4所示,这里Agent端除了可以保护车载计算单元以外还可以与CAN防火墙联动,通过派发防火墙规则监控或阻断恶意CAN数据流。在与T-BOX车路协同设备及车载娱乐系统联动时,Agent端可以通过派发规则监控或阻断系统异常行为,例如:发现或阻断车载娱乐系统存在的异常(恶意)外部网络连接等。这里CAN总线防火墙相当于一种车载设备,用于保护汽车总线的安全,这类设备往往可编程、可配置,通过设计成和CAN总线防火墙联动,可自动发送防火墙拦截规则,例如,在车速大于3km/h时拦截所有的开启车门、后备箱指令。
进一步的,作为图1方法的具体实现,本申请实施例提供了一种恶意软件的检测装置,如图5所示,该装置包括:处理单元31、接收单元32、查询单元33、清除单元34。
处理单元31,可以用于将恶意软件的对抗动作抽象处理为原子操作集合,并封装至驱动模块,所述原子操作集合包括针对恶意软件清除过程中所有原子操作;
接收单元32,可以用于响应于恶意软件的扫描结果,接收云服务端派发的对抗触发规则,所述对抗触发规则为根据恶意软件特征所设置原子操作的触发条件,所述对抗触发规则以脚本文件形式描述;
查询单元33,可以用于通过解析所述对抗触发规则,按照所述脚本文件指导所述驱动模块查询出所述原子操作集合中目标原子操作;
清除单元34,可以用于利用所述目标原子操作定位到恶意软件的位置信息,并根据所述位置信息清除所述恶意软件执行的恶意代码。
在具体的应用场景中,如图6所示,所述装置还包括:
扫描单元35,可以用于在所述响应于恶意软件的扫描结果,接收云服务端派发的对抗触发规则之前,按照预设周期扫描恶意软件,将所述扫描结果发送至云服务端,以使得云服务端根据所述扫描结果确定恶意软件的执行级别,并派发符合执行级别的对抗触发规则;
所述接收单元32,具体可以用于响应于恶意软件的扫描结果,接收云服务端派发符合执行级别的对抗触发规则。
在具体的应用场景中,如图6所示,所述处理单元31包括:
获取模块311,可以用于获取针对恶意软件清除过程中涉及的对抗动作,所述对抗动作至少包括检测和删除动作;
处理模块312,可以用于针对所述对抗动作进行量化、去重处理为原子操作集合,并封装至驱动模块。
在具体的应用场景中,如图6所示,所述装置还包括:
采集单元36,可以用于在所述根据所述位置信息清除所述恶意软件执行的恶意代码之前,根据所述位置信息采集所述恶意软件执行的恶意代码;
回传单元37,可以用于通过接入预设远程接口,将所述恶意代码作为恶意样本数据回传至云服务端进行清除干预。
需要说明的是,本实施例提供的一种可应用于客户端侧的恶意软件的检测装置所涉及各功能单元的其它相应描述,可以参考图1和图2中的对应描述,在此不再赘述。
基于上述如图1所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1所示的恶意软件的检测方法;
进一步的,作为图1方法的具体实现,本申请实施例提供了一种恶意软件的检测装置,如图7所示,该装置包括:获取单元41、整理单元42、第一派发单元43。
获取单元41,可以用于针对恶意软件的恶意特征,获取恶意软件清除过程中所有原子操作的触发条件;
整理单元42,可以用于将所述原子操作的触发条件整理为对抗触发规则集,所述对抗触发规则集中的对抗触发规则以脚本文件形式描述;
第一派发单元43,可以用于当接收到恶意软件的扫描结果,向客户端派发对抗触发规则。
在具体的应用场景中,如图8所示,所述装置还包括:
设置单元44,可以用于在所述将所述原子操作的触发条件整理为对抗触发规则集之后,根据不同客户端的属性特征为所述对抗触发规则集中的对抗触发规则设置执行级别;
所述第一派发单元43,具体可以用于当接收到恶意软件的扫描结果,向客户端派发符合执行级别的对抗触发规则。
在具体的应用场景中,如图8所示,所述装置还包括:
筛选单元45,可以用于在所述当接收到恶意软件的扫描结果,根据所述扫描结果向客户端派发符合执行级别的对抗触发规则之前,利用预设时间内恶意软件样本的爆发情况,从所述对抗触发规则集中筛选目标对抗触发规则,所述目标对抗触发规则为恶意软件样本清除过程中所有原子操作的触发条件;
第二派发单元46,可以用于向客户端派发目标对抗触发规则。
在具体的应用场景中,如图8所示,所述装置还包括:
验证单元47,可以用于在所述将所述原子操作的触发条件整理为对抗触发规则集之后,针对所述对抗触发规则集中的对抗触发规则进行在离线测试环境进行功能验证。
需要说明的是,本实施例提供的一种可应用于与服务端侧的恶意软件的检测装置所涉及各功能单元的其它相应描述,可以参考图2中的对应描述,在此不再赘述。
基于上述如图2所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1-图2所示的恶意软件的检测方法;
本发明实施例提供的恶意软件的检测装置,与目前现有方式中使用移植或者集成有Rootkit专用查杀代码的终端杀毒软件进行恶意软件检测的方式相比,本申请使用客户端将恶意软件的对抗动作抽象为原子操作集合,并封装至驱动模块以供调用,这里原子操作集合理论上可以描述恶意软件的清除过程,具有更强的描述能力以及处理能力,使用云服务端针对恶意软件的恶意特征,获取恶意软件清除过程中所有原子操作的触发条件,并将原子操作的触发条件整理为对抗触发规则集,当接收到恶意软件的扫描结果,向客户端派发对抗触发规则,而客户端响应于恶意软件的扫描结果,接收云服务端派发的对抗触发规则,该对抗触发规则以脚本文件形式描述,通过解析对抗触发规则,按照脚本文件指导驱动模块查询出原子操作集合中目标原子操作,利用目标原子操作定位到恶意软件的位置信息,并根据位置信息清除恶意软件执行的恶意代码,这里通过将恶意软件的抵抗动作分别抽象为一组动作和规则,针对恶意软件进行细粒度的查杀,无需将专用查杀代码移植、集成到终端杀毒软件中,保证操作系统的稳定性,提高恶意软件的检测效率。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1所示的方法,以及图5-6所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种客户端实体设备,具体可以为计算机,智能手机,平板电脑,智能手表,或者网络设备等,该实体设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1所示的恶意软件的检测方法。基于上述如图2所示的方法,以及图7-8所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种服务端实体设备,具体可以为计算机,服务器,或者其他网络设备等,该实体设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图2所示的恶意软件的检测方法。
可选的,上述两种实体设备都还可以包括用户接口、网络接口、摄像头、射频(Radio Frequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种恶意软件的检测的实体设备结构并不构成对该实体设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理上述店铺搜索信息处理的实体设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与信息处理实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现。通过应用本申请的技术方案,与目前现有方式相比,本申请通过将恶意软件的抵抗动作分别抽象为一组动作和规则,针对恶意软件进行细粒度的查杀,无需将专用查杀代码移植、集成到终端杀毒软件中,保证操作系统的稳定性,提高恶意软件的检测效率。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (8)
1.一种恶意软件的检测方法,应用于客户端,其特征在于,包括:
将恶意软件的对抗动作抽象处理为原子操作集合,并封装至驱动模块,所述原子操作集合包括针对恶意软件清除过程中所有原子操作,所述对抗动作至少包括检测和删除动作;
响应于恶意软件的扫描结果,接收云服务端派发的对抗触发规则,所述对抗触发规则为根据恶意软件特征所设置原子操作的触发条件,所述对抗触发规则以脚本文件形式描述;
通过解析所述对抗触发规则,按照所述脚本文件指导所述驱动模块查询出所述原子操作集合中目标原子操作;
利用所述目标原子操作定位到恶意软件的位置信息,并根据所述位置信息清除所述恶意软件执行的恶意代码;
在所述响应于恶意软件的扫描结果,接收云服务端派发的对抗触发规则之前,按照预设周期扫描恶意软件,将所述扫描结果发送至云服务端,以使得云服务端根据所述扫描结果确定恶意软件的执行级别,并派发符合执行级别的对抗触发规则,所述执行级别由云服务端针对客户端属性所设置;
所述响应于恶意软件的扫描结果,接收云服务端派发的对抗触发规则,具体包括:响应于恶意软件的扫描结果,接收云服务端派发符合执行级别的对抗触发规则。
2.根据权利要求1所述的方法,其特征在于,所述将恶意软件的对抗动作抽象处理为原子操作集合,并封装至驱动模块,具体包括:
获取针对恶意软件清除过程中涉及的对抗动作;
针对所述对抗动作进行量化、去重处理为原子操作集合,并封装至驱动模块。
3.根据权利要求1-2中任一项所述的方法,其特征在于,在所述根据所述位置信息清除所述恶意软件执行的恶意代码之前,所述方法还包括:
根据所述位置信息采集所述恶意软件执行的恶意代码;
通过接入预设远程接口,将所述恶意代码作为恶意样本数据回传至云服务端进行清除干预。
4.一种恶意软件的检测方法,应用于云服务端,其特征在于,包括:
针对恶意软件的恶意特征,获取恶意软件清除过程中所有原子操作的触发条件,所述恶意软件的恶意特征决定了恶意软件清除过程中所使用对抗动作的原子操作;
将所述原子操作的触发条件整理为对抗触发规则集,所述对抗触发规则集中的对抗触发规则以脚本文件形式描述;
当接收到恶意软件的扫描结果,向客户端派发对抗触发规则;
在所述将所述原子操作的触发条件整理为对抗触发规则集之后,根据不同客户端的属性特征为所述对抗触发规则集中的对抗触发规则设置执行级别,所述执行级别由云服务端针对客户端属性所设置;
所述当接收到恶意软件的扫描结果,向客户端派发对抗触发规则,具体包括:当接收到恶意软件的扫描结果,向客户端派发符合执行级别的对抗触发规则。
5.根据权利要求4所述的方法,其特征在于,在所述当接收到恶意软件的扫描结果,根据所述扫描结果向客户端派发符合执行级别的对抗触发规则之前,所述方法还包括:
利用预设时间内恶意软件样本的爆发情况,从所述对抗触发规则集中筛选目标对抗触发规则,所述目标对抗触发规则为恶意软件样本清除过程中所有原子操作的触发条件;
向客户端派发目标对抗触发规则。
6.根据权利要求4-5中任一项所述的方法,其特征在于,在所述将所述原子操作的触发条件整理为对抗触发规则集之后,所述方法还包括:
针对所述对抗触发规则集中的对抗触发规则在离线测试环境进行功能验证。
7.一种客户端,其特征在于,包括:
处理单元,用于将恶意软件的对抗动作抽象处理为原子操作集合,并封装至驱动模块,所述原子操作集合包括针对恶意软件清除过程中所有原子操作,所述对抗动作至少包括检测和删除动作;
接收单元,用于响应于恶意软件的扫描结果,接收云服务端派发的对抗触发规则,所述对抗触发规则为根据恶意软件特征所设置原子操作的触发条件,所述对抗触发规则以脚本文件形式描述;
查询单元,用于通过解析所述对抗触发规则,按照所述脚本文件指导所述驱动模块查询出所述原子操作集合中目标原子操作;
清除单元,用于利用所述目标原子操作定位到恶意软件的位置信息,并根据所述位置信息清除所述恶意软件执行的恶意代码;
扫描单元,用于在所述响应于恶意软件的扫描结果,接收云服务端派发的对抗触发规则之前,按照预设周期扫描恶意软件,将所述扫描结果发送至云服务端,以使得云服务端根据所述扫描结果确定恶意软件的执行级别,并派发符合执行级别的对抗触发规则,所述执行级别由云服务端针对客户端属性所设置;
所述接收单元,具体用于响应于恶意软件的扫描结果,接收云服务端派发符合执行级别的对抗触发规则。
8.一种云服务端,其特征在于,包括:
获取单元,用于针对恶意软件的恶意特征,获取恶意软件清除过程中所有原子操作的触发条件,所述恶意软件的恶意特征决定了恶意软件清除过程中所使用对抗动作的原子操作;
整理单元,用于将所述原子操作的触发条件整理为对抗触发规则集,所述对抗触发规则集中的对抗触发规则以脚本文件形式描述;
第一派发单元,用于当接收到恶意软件的扫描结果,向客户端派发对抗触发规则;
设置单元,用于在所述将所述原子操作的触发条件整理为对抗触发规则集之后,根据不同客户端的属性特征为所述对抗触发规则集中的对抗触发规则设置执行级别,所述执行级别由云服务端针对客户端属性所设置;
所述第一派发单元,具体用于当接收到恶意软件的扫描结果,向客户端派发符合执行级别的对抗触发规则。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110856101.9A CN113569240B (zh) | 2021-07-28 | 2021-07-28 | 恶意软件的检测方法、装置及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110856101.9A CN113569240B (zh) | 2021-07-28 | 2021-07-28 | 恶意软件的检测方法、装置及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113569240A CN113569240A (zh) | 2021-10-29 |
CN113569240B true CN113569240B (zh) | 2023-04-21 |
Family
ID=78168322
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110856101.9A Active CN113569240B (zh) | 2021-07-28 | 2021-07-28 | 恶意软件的检测方法、装置及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113569240B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114491543A (zh) * | 2022-04-19 | 2022-05-13 | 南京伟跃网络科技有限公司 | 一种针对新出现恶意代码的分析方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8099785B1 (en) * | 2007-05-03 | 2012-01-17 | Kaspersky Lab, Zao | Method and system for treatment of cure-resistant computer malware |
CN103679013A (zh) * | 2012-09-03 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 系统恶意程序检测方法及装置 |
CN106650436A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
CN109033828A (zh) * | 2018-07-25 | 2018-12-18 | 山东省计算中心(国家超级计算济南中心) | 一种基于计算机内存分析技术的木马检测方法 |
-
2021
- 2021-07-28 CN CN202110856101.9A patent/CN113569240B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8099785B1 (en) * | 2007-05-03 | 2012-01-17 | Kaspersky Lab, Zao | Method and system for treatment of cure-resistant computer malware |
CN103679013A (zh) * | 2012-09-03 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 系统恶意程序检测方法及装置 |
CN106650436A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
CN109033828A (zh) * | 2018-07-25 | 2018-12-18 | 山东省计算中心(国家超级计算济南中心) | 一种基于计算机内存分析技术的木马检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113569240A (zh) | 2021-10-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3506139B1 (en) | Malware detection in event loops | |
US10581879B1 (en) | Enhanced malware detection for generated objects | |
CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
CN111460445B (zh) | 样本程序恶意程度自动识别方法及装置 | |
US20190147163A1 (en) | Inferential exploit attempt detection | |
US20110209218A1 (en) | Environmental imaging | |
EP3531329B1 (en) | Anomaly-based-malicious-behavior detection | |
CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
Apvrille et al. | Identifying unknown android malware with feature extractions and classification techniques | |
CN103473501A (zh) | 一种基于云安全的恶意软件追踪方法 | |
CN110099044A (zh) | 云主机安全检测系统及方法 | |
CN115859274B (zh) | 一种监控Windows进程清空系统事件日志行为的方法及系统 | |
CN114091039A (zh) | 基于rasp的攻击防护系统及应用设备 | |
US20220201016A1 (en) | Detecting malicious threats via autostart execution point analysis | |
CN113569240B (zh) | 恶意软件的检测方法、装置及设备 | |
CN109684826B (zh) | 应用程序沙箱反逃逸方法和电子设备 | |
US20230315850A1 (en) | Rootkit detection based on system dump sequence analysis | |
US11930019B2 (en) | Methods and systems for fast-paced dynamic malware analysis | |
US11822666B2 (en) | Malware detection | |
US11763004B1 (en) | System and method for bootkit detection | |
Kono et al. | An unknown malware detection using execution registry access | |
CN109800581B (zh) | 软件行为的安全防护方法及装置、存储介质、计算机设备 | |
Jawhar | A Survey on Malware Attacks Analysis and Detected | |
Deepserish et al. | PET-Droid: Android Malware Detection Using Static Analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |