CN114039774B - 一种恶意pe程序的阻断方法、检测方法及装置 - Google Patents
一种恶意pe程序的阻断方法、检测方法及装置 Download PDFInfo
- Publication number
- CN114039774B CN114039774B CN202111315479.4A CN202111315479A CN114039774B CN 114039774 B CN114039774 B CN 114039774B CN 202111315479 A CN202111315479 A CN 202111315479A CN 114039774 B CN114039774 B CN 114039774B
- Authority
- CN
- China
- Prior art keywords
- detection
- file
- message
- blocking
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 173
- 238000000034 method Methods 0.000 title claims abstract description 68
- 230000000903 blocking effect Effects 0.000 title claims abstract description 60
- 230000004044 response Effects 0.000 claims abstract description 35
- 238000012545 processing Methods 0.000 claims description 43
- 238000004590 computer program Methods 0.000 claims description 12
- 230000007246 mechanism Effects 0.000 claims description 8
- 241001362551 Samba Species 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 5
- 230000008521 reorganization Effects 0.000 claims description 3
- 238000010801 machine learning Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 11
- 238000012544 monitoring process Methods 0.000 description 8
- 241000700605 Viruses Species 0.000 description 7
- 230000006870 function Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 241001377938 Yara Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Technology Law (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种恶意PE程序的阻断方法、检测方法及装置,涉及网络安全技术领域。该方法包括对当前报文进行解析,以识别文件类型;若为PE文件,则提取文件头,并通过消息队列发送至检测单元进行检测;根据预设的所述检测单元的响应超时时间和检测完成情况判断是否丢弃报文,通过异步检测的方法和预拦截技术,可提升恶意程序的阻断率,解决现有方法阻断效率低以及使用受限的问题。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种恶意PE程序的阻断方法、检测方法及装置。
背景技术
现有方法是通过判断文件拓展名是否一致来确定网络报文是否存在威胁,该方法仅对比请求文件拓展名和真实文件拓展名,准确性难以保证。
对于MD5匹配的方法,随着公开的恶意工具的增加,黑客获取、重新生成工具愈发容易,传统的MD5匹配方式无法检测变种、APT等未知恶意程序,更无法进行阻断。AI引擎、YARA规则、沙箱等检测恶意程序的方式需要先还原出文件,无法进行实时阻断,不适用于串接部署场景。
发明内容
本申请实施例的目的在于提供一种恶意PE程序的阻断方法、检测方法及装置,通过异步检测的方法和预拦截技术,可提升恶意程序的阻断率,解决现有方法阻断效率低以及使用受限的问题。
本申请实施例提供了一种恶意PE程序的阻断方法,应用于报文处理单元,所述方法包括:
对当前报文进行解析,以识别文件类型;
若为PE文件,则提取文件头,并通过消息队列发送至检测单元进行检测;
根据预设的所述检测单元的响应超时时间和检测完成情况判断是否丢弃报文。
在上述实现过程中,通过异步检测方法将耗时较长的机器学习检测从数据面报文处理流程中移出,使得AI技术在串接网络中的应用成为可能,并且实现了实时阻断并根据预设的所述检测单元的响应超时时间和检测完成情况进行综合判断实现预拦截,提高了阻断成功率,从而解决了现有方法阻断效率低以及使用受限的问题。
进一步地,所述对当前报文进行解析,以识别文件类型,包括:
对当前报文进行解码、流重组和应用层解析,以将HTTP、FTP、SAMBA、NFS、邮件协议中的PE文件提取出来。
在上述实现过程中,可应用于HTTP、FTP、SAMBA、NFS、邮件协议,解决了现有方法只能用于HTTP及FTP协议的问题。
进一步地,所述方法还包括:
从共享内存获取检测单元记录的检测结果。
在上述实现过程中,通过共享内存同步检测结果,以便于报文处理单元实时获取检测结果。
进一步地,所述根据预设的所述检测单元的响应超时时间和检测完成情况判断是否丢弃报文,包括:
若未到响应超时时间且检测已完成,且检测结果为恶意,则对所述报文进行阻断;
若未到响应超时时间且检测未完成,则丢弃当前报文;
若到响应超时时间且检测未完成,则对所述当前报文放行,直到检测完成,再根据检测结果进行处置。
在上述实现过程中,检测所需时间为毫秒级,因此在获得PE检测结果前,丢弃当前报文以提升阻断成功率,由于TCP的重传机制,毫秒级延迟对应用影响较小。
本申请实施例还提供一种恶意PE程序的检测方法,应用于检测单元,所述方法包括:
监听消息队列,以获得待检测的PE文件头;
对所述PE文件头利用预设的机器学习检测模型进行检测,以获得检测结果;
将所述检测结果记录至共享内存,以供报文处理单元获取。
在上述实现过程中,通过检测单元实现对PE文件的异步检测,将耗时较长的机器学习检测从数据面报文处理流程中移出,使得AI技术在串接网络中的应用成为可能;通过共享内存进行结果同步,报文处理单元可快速根据结果进行阻断。
本申请实施例还提供一种恶意PE程序的阻断装置,所述装置包括:
解析模块,用于对当前报文进行解析,以识别文件类型;
提取模块,用于若为PE文件,则提取文件头,并通过消息队列发送至检测单元进行检测;
处理模块,用于根据预设的所述检测单元的响应超时时间和检测完成情况判断是否丢弃报文。
在上述实现过程中,通过异步检测方法将耗时较长的机器学习检测从数据面报文处理流程中移出,使得AI技术在串接网络中的应用成为可能,并且实现了实时阻断并根据预设的所述检测单元的响应超时时间和检测完成情况进行综合判断,提高了阻断成功率。
进一步地,所述处理模块包括:
阻断模块,用于若未到响应超时时间且检测已完成,且检测结果为恶意,则对所述报文进行阻断;
丢弃模块,用于若未到响应超时时间且检测未完成,则丢弃当前报文;
放行模块,用于若到响应超时时间且检测未完成,则对所述当前报文放行,直到检测完成,再根据检测结果进行处置。
在上述实现过程中,检测所需时间为毫秒级,因此在获得PE检测结果前,丢弃当前报文以提升阻断成功率,由于TCP的重传机制,毫秒级延迟对应用影响较小。
本申请实施例还提供一种恶意PE程序的检测装置,所述装置包括:
监听模块,用于监听消息队列,以获得待检测的PE文件;
检测模块,用于对所述PE文件利用预设的机器学习检测模型进行检测,以获得检测结果;
记录模块,用于将所述检测结果记录至共享内存,以供报文处理单元获取。
在上述实现过程中,通过检测单元实现对PE文件的异步检测,将耗时较长的机器学习检测从数据面报文处理流程中移出,使得AI技术在串接网络中的应用成为可能;通过共享内存进行结果同步,报文处理单元可快速根据结果进行阻断。
本申请实施例还提供一种电子设备,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行上述中任一项所述的恶意PE程序的阻断方法。
本申请实施例还提供一种可读存储介质,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述中任一项所述的恶意PE程序的阻断方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种恶意PE程序的阻断方法的流程图;
图2为本申请实施例提供的利用伪装传播病毒的阻断方法流程图;
图3为本申请实施例提供的报文处理流程图;
图4为本申请实施例提供的恶意PE程序的检测方法的流程图;
图5为本申请实施例提供的恶意PE程序的阻断装置的结构框图;
图6为本申请实施例提供的另一种恶意PE程序的阻断装置的结构框图;
如图7所示,为本申请实施例提供的恶意PE程序的检测装置的结构框图。
图标:
100-解析模块;200-提取模块;300-处理模块;301-阻断模块;302-丢弃模块;303-放行模块;400-监听模块;500-检测模块;600-记录模块。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本申请实施例提供的一种恶意PE程序的阻断方法的流程图。该方法可实现在串接环境下的未知恶意的PE程序的阻断。
现有技术中,如图2所示,为利用伪装传播病毒的阻断方法流程图。通过文件格式化存储和网络文件传输的特点,通过捕获同一连接的双向网络流量,分别提取客户端向服务器发送请求中的文件拓展名,以及服务器向客户端应答数据的文件头内容;对比两者的文件类型是否匹配。如匹配,认为正常,否则认为异常,这样可以阻断利用伪装传播病毒的途径。具体地,分析已知文件类型的样本文件,提取各种文件类型的文件头特征,建立文件头特征和文件拓展名之间的对应关系,捕获网络中的数据包,并进行协议解码,分离出HTTP与FTP报文,提取HTTP协议头URI字段中的文件名或FTP stor或retr命令携带的文件名,提取HTTP响应或FTP响应中的文件头,识别文件类型并找到对应的拓展名,比较提取到的文件扩展名是否一致,如果不一致则报告未知威胁。
该现有方法仅应用于HTTP与FTP协议,并且仅对比请求文件拓展名和真实文件拓展名,准确性难以保证,偏向于文件伪装(逃逸),报告未知威胁后直接阻断存在一定的风险,基于该现有方法存在的问题,本申请重点在于解决未知恶意PE程序阻断难的问题,以及解决现有技术只能用于HTTP及FTP协议的问题,同时又采用报文预拦截方法,可提升未知恶意程序阻断率。
具体地,本申请所述方法主要由报文处理和检测两个单元实现。整体上,采用异步检测方式,将耗时较长的检测流程从报文处理单元移动到检测单元,解决了AI检测恶意程序无法在数据面报文处理流程中使用的问题。报文处理单元,在超时时间内若检测未完成,由报文处理单元丢弃该连接相关报文。在检测单元,通过共享内存同步机制,检测单元将检测结果写到共享内存,报文处理单元可以实时获取。在报文处理单元端,该方法具体包括以下步骤:
步骤S100:对当前报文进行解析,以识别文件类型;
如图3所示,为报文处理流程图,报文处理单元进行协议解析及PE文件头提取,具体地,对当前报文进行解码、流重组和应用层解析,以将HTTP、FTP、SAMBA、NFS、邮件协议中的PE文件提取出来。在文件传输首个报文时就可以将文件类型识别出来,如果文件类型为PE文件,则将PE文件的文件头通过消息队列发送给检测单元,可用于多个协议,解决了现有方法只能用于HTTP及FTP协议的问题。
步骤S200:若为PE文件,则提取文件头,并通过消息队列发送至检测单元进行检测;
检测单元将检测结果存储到共享内存上,报文处理单元可根据共享内存中的检测结果及是否超时对报文进行处置。
步骤S300:根据预设的所述检测单元的响应超时时间和检测完成情况判断是否丢弃报文。
为保证阻断成功率,报文处理单元将待检测数据发送到检测单元后,将按照以下流程进行处理:
若未到响应超时时间且检测已完成,且检测结果为恶意,则对所述报文进行阻断;
若未到响应超时时间且检测未完成,则丢弃当前报文(可能会增加网络延迟,可配置关闭)。由于大多数恶意PE文件较小,多在kb级别,如不及时丢弃当前报文,在检测结束前文件很可能已完成传输,采用预拦截可显著提高小文件的阻断率,并且即使检测结果不是恶意文件,也不会影响用户正常业务的开展(可利用TCP的重传机制);
采用报文预拦截的方式,即在获得PE文件的检测结果前,丢弃当前报文以提升未知恶意程序阻断率,PE头机器学习检测可在毫秒级时间内检测完成。预拦截后,由于TCP的重传机制,客户端或服务器会重新发送被丢掉的当前报文,不会影响正常业务。PE恶意程序一般都比较小,这种预拦截方式可以取得很好的阻断效果。
若到响应超时时间且检测未完成,则对所述当前报文放行,直到检测完成,再根据检测结果进行处置。
这样设置的目的在于,在保证阻断率的同时能够保证业务的正常进行,使两者达到平衡。
本申请实施例还提供一种恶意PE程序的检测方法,应用于检测单元,如图4所示,为恶意PE程序的检测方法的流程图,所述方法包括:
步骤S400:监听消息队列,以获得待检测的PE文件头;
步骤S500:对所述PE文件头利用预设的机器学习检测模型进行检测,以获得检测结果;
步骤S600:将所述检测结果记录至共享内存,以供报文处理单元获取。
在检测单元端,初始化检测模型并监听消息队列的具体步骤为:检测单元主进程启动,调用cpython库初始化通过机器学习得到的检测模型,初始化用来同步检测结果的共享内存,并监听初始化后接收待检测数据的消息队列。
检测单元对接收到的PE文件头进行格式检查,如格式正确则进行检测,利用机器学习检测模型对PE文件头进行检测,以确定其是否为未知恶意PE程序,检测所需要的时间极短,一般为毫秒级,检测完成后将检测结果保存到共享内存中的指定位置,以便报文处理单元进行查看。
对于机器学习检测模型,示例地,可以采用单分类支持向量机算法,也可以是利用特征矩阵训练的机器学习分类器,对于机器学习检测模型在此不做任何限定。
该方法通过异步检测的方法实现对PE文件的检测,而检测所需的时间为毫秒级,因此可根据响应超时时间和检测完成情况共同判断并处置当前报文,从而提高未知恶意PE程序的拦截率,同时异步检测又不会影响用户的正常业务,因检测时间为毫秒级,因此,设置的响应超时时间也相对较短,不会影响用户正常的业务使用。
此外,将耗时较长的机器学习检测从数据面报文处理流程中移出,使得AI技术在串接网络中的应用成为可能;通过共享内存进行结果同步,报文处理单元可快速根据结果进行阻断,从而通过异步检测机制实现了对恶意PE程序的实时阻断。
示例地,该方法可用于入侵防御系统的检测并阻断未知恶意PE程序。将该方法与基于威胁情报的恶意程序检测技术相结合,本申请提供了一套完整的已知、未知病毒检测与阻断解决方案,具体可以包括以下步骤:
步骤S11:系统启动,底层收包模块及检测引擎模块完成初始化;
步骤S12:报文处理单元进行报文解码、建立会话并进行流重组,对有子连接的会话建立关联表,如FTP协议;
步骤S13:报文处理单元对应用层数据解码,识别文件传输行为并识别文件类型;
步骤S14:如果文件类型为文档、压缩、可执行程序,报文处理模块开始计算MD5,如文件类型为PE,则将PE文件发送给检测单元;
步骤S15:检测单元对PE头进行检测;
步骤S16:文件类型为PE,检测未完成且未到响应超时时间,报文处理单元丢弃当前处理报文;
步骤S17:文件传输完成,报文处理模块将文件MD5与威胁情报库中的MD5进行匹配,如命中则丢弃报文并发送reset。
实施例2
本申请实施例提供一种恶意PE程序的阻断装置,如图5所示,为恶意PE程序的阻断装置的结构框图,所述装置包括:
解析模块100,用于对当前报文进行解析,以识别文件类型;
具体地,报文处理单元进行协议解析及PE文件头提取,具体地,对当前报文进行解码、流重组和应用层解析,以将HTTP、FTP、SAMBA、NFS、邮件协议中的PE文件提取出来。在文件传输首个报文时就可以将文件类型识别出来,如果文件类型为PE文件,则将PE文件的文件头通过消息队列发送给检测单元,可用于多个协议,解决了现有方法只能用于HTTP及FTP协议的问题。
提取模块200,用于若为PE文件,则提取文件头,并通过消息队列发送至检测单元进行检测;
检测单元将检测结果存储到共享内存上,报文处理单元可根据共享内存中的检测结果及是否超时对报文进行处置。
处理模块300,用于根据预设的所述检测单元的响应超时时间和检测完成情况判断是否丢弃报文。
如图6所示,为另一种恶意PE程序的阻断装置的结构框图,其中,所述处理模块300包括:
阻断模块301,用于若未到响应超时时间且检测已完成,且检测结果为恶意,则对所述报文进行阻断;
丢弃模块302,用于若未到响应超时时间且检测未完成,则丢弃当前报文;
放行模块303,用于若到响应超时时间且检测未完成,则对所述当前报文放行,直到检测完成,再根据检测结果进行处置。
这样设置的目的在于,在保证阻断率的同时能够保证业务的正常进行,使两者达到平衡。
相应地,本申请实施例还提供一种恶意PE程序的检测装置,如图7所示,为恶意PE程序的检测装置的结构框图,所述装置包括:
监听模块400,用于监听消息队列,以获得待检测的PE文件;
检测模块500,用于对所述PE文件利用预设的机器学习检测模型进行检测,以获得检测结果;
记录模块600,用于将所述检测结果发送至共享内存,以供报文处理单元获取。
该装置通过异步检测方法在不影响用户正常业务的情况下,提高了未知恶意PE程序拦截率。
综上所述,通过异步检测的方法实现对PE文件的检测,而检测所需的时间为毫秒级,因此可根据响应超时时间和检测完成情况共同判断并处置当前报文,从而提高未知恶意PE程序的拦截率,同时异步检测又不会影响用户的正常业务,因检测时间为毫秒级,因此,设置的响应超时时间也相对较短,不会影响用户正常的业务使用,从而解决现有方法阻断率低以及阻断不适用于串接部署场景,从而使用受到限制的问题。
本申请实施例还提供一种电子设备,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行实施例1所述的恶意PE程序的阻断方法。
本申请实施例还提供一种可读存储介质,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行实施例1所述的恶意PE程序的阻断方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (6)
1.一种恶意PE程序的阻断方法,其特征在于,应用于报文处理单元,所述方法包括:
对当前报文进行解析,以识别文件类型;
若为PE文件,则提取文件头,并通过消息队列发送至检测单元进行检测;
根据预设的所述检测单元的响应超时时间和检测完成情况判断是否丢弃报文,具体地:
若未到响应超时时间且检测已完成,且检测结果为恶意,则对所述报文进行阻断;
若未到响应超时时间且检测未完成,则丢弃当前报文,采用该种预拦截方式避免在检测结束前文件已完成传输,预拦截后,由于TCP的重传机制,客户端或服务器会重新发送被丢掉的当前报文;
若到响应超时时间且检测未完成,则对所述当前报文放行,直到检测完成,再根据检测结果进行处置。
2.根据权利要求1所述的恶意PE程序的阻断方法,其特征在于,所述对当前报文进行解析,以识别文件类型,包括:
对当前报文进行解码、流重组和应用层解析,以将HTTP、FTP、SAMBA、NFS、邮件协议中的PE文件提取出来。
3.根据权利要求1所述的恶意PE程序的阻断方法,其特征在于,所述方法还包括:
从共享内存获取检测单元记录的检测结果。
4.一种恶意PE程序的阻断装置,其特征在于,所述装置包括:
解析模块,用于对当前报文进行解析,以识别文件类型;
提取模块,用于若为PE文件,则提取文件头,并通过消息队列发送至检测单元进行检测;
处理模块,用于根据预设的所述检测单元的响应超时时间和检测完成情况判断是否丢弃报文,所述处理模块包括:
阻断模块,用于若未到响应超时时间且检测已完成,且检测结果为恶意,则对所述报文进行阻断;
丢弃模块,用于若未到响应超时时间且检测未完成,则丢弃当前报文,采用该种预拦截方式避免在检测结束前文件已完成传输,预拦截后,由于TCP的重传机制,客户端或服务器会重新发送被丢掉的当前报文;
放行模块,用于若到响应超时时间且检测未完成,则对所述当前报文放行,直到检测完成,再根据检测结果进行处置。
5.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求1至3中任一项所述的恶意PE程序的阻断方法。
6.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至3任一项所述的恶意PE程序的阻断方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111315479.4A CN114039774B (zh) | 2021-11-08 | 2021-11-08 | 一种恶意pe程序的阻断方法、检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111315479.4A CN114039774B (zh) | 2021-11-08 | 2021-11-08 | 一种恶意pe程序的阻断方法、检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114039774A CN114039774A (zh) | 2022-02-11 |
| CN114039774B true CN114039774B (zh) | 2024-02-09 |
Family
ID=80143457
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111315479.4A Active CN114039774B (zh) | 2021-11-08 | 2021-11-08 | 一种恶意pe程序的阻断方法、检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114039774B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114710482A (zh) * | 2022-03-23 | 2022-07-05 | 马上消费金融股份有限公司 | 文件检测方法、装置、电子设备及存储介质 |
| CN116633656A (zh) * | 2023-06-09 | 2023-08-22 | 北京源堡科技有限公司 | 应用的网络流量阻断方法、装置、计算机设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106911637A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
| CN106911640A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
| CN108040064A (zh) * | 2017-12-22 | 2018-05-15 | 北京知道创宇信息技术有限公司 | 数据传输方法、装置、电子设备及存储介质 |
| CN112528284A (zh) * | 2020-12-18 | 2021-03-19 | 北京明略软件系统有限公司 | 恶意程序的检测方法及装置、存储介质、电子设备 |
| CN112948829A (zh) * | 2021-03-03 | 2021-06-11 | 深信服科技股份有限公司 | 文件查杀方法、系统、设备及存储介质 |
| CN113452691A (zh) * | 2021-06-24 | 2021-09-28 | 未鲲(上海)科技服务有限公司 | 业务流量检测方法及装置、服务器、存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
-
2021
- 2021-11-08 CN CN202111315479.4A patent/CN114039774B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106911637A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
| CN106911640A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
| CN108040064A (zh) * | 2017-12-22 | 2018-05-15 | 北京知道创宇信息技术有限公司 | 数据传输方法、装置、电子设备及存储介质 |
| CN112528284A (zh) * | 2020-12-18 | 2021-03-19 | 北京明略软件系统有限公司 | 恶意程序的检测方法及装置、存储介质、电子设备 |
| CN112948829A (zh) * | 2021-03-03 | 2021-06-11 | 深信服科技股份有限公司 | 文件查杀方法、系统、设备及存储介质 |
| CN113452691A (zh) * | 2021-06-24 | 2021-09-28 | 未鲲(上海)科技服务有限公司 | 业务流量检测方法及装置、服务器、存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114039774A (zh) | 2022-02-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107733851B (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
| CN114039774B (zh) | 一种恶意pe程序的阻断方法、检测方法及装置 | |
| US20230089187A1 (en) | Detecting abnormal packet traffic using fingerprints for plural protocol types | |
| CN111698214A (zh) | 网络攻击的安全处理方法、装置及计算机设备 | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| CN106330944B (zh) | 恶意系统漏洞扫描器的识别方法和装置 | |
| KR20080037909A (ko) | 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법 | |
| CN110417717B (zh) | 登录行为的识别方法及装置 | |
| JPWO2008084729A1 (ja) | アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム | |
| CN107204965B (zh) | 一种密码破解行为的拦截方法及系统 | |
| CN114095274B (zh) | 一种攻击研判方法及装置 | |
| WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
| KR20110088042A (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| EP3826263A1 (en) | Method and apparatus for combining a firewall and a forensics agent to detect and prevent malicious software activity | |
| CN112671759A (zh) | 基于多维度分析的dns隧道检测方法和装置 | |
| JP2008052637A (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
| CN115062293A (zh) | 弱口令检测方法、装置及存储介质、电子设备和计算机程序产品 | |
| CN111182002A (zh) | 基于http首个问答包聚类分析的僵尸网络检测装置 | |
| CN111654499B (zh) | 一种基于协议栈的暴破攻击识别方法和装置 | |
| CN110750788A (zh) | 一种基于高交互蜜罐技术的病毒文件检测方法 | |
| KR101488271B1 (ko) | Ids 오탐 검출 장치 및 방법 | |
| JP4670690B2 (ja) | アプリケーショントレースバックにおけるデータ収集装置及び方法並びにそのプログラム | |
| CN113965418B (zh) | 一种攻击成功判定方法及装置 | |
| TWI640891B (zh) | 偵測惡意程式的方法和裝置 | |
| CN113992443B (zh) | 一种云沙箱流量处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20231226 Address after: 071000 Conference Center 1-184, South Section of Baojin Expressway, Xiong'an Area, Xiong'an New District, Baoding City, Hebei Province Applicant after: Tianrongxin Xiongan Network Security Technology Co.,Ltd. Applicant after: Beijing Topsec Network Security Technology Co.,Ltd. Applicant after: Topsec Technologies Inc. Applicant after: BEIJING TOPSEC SOFTWARE Co.,Ltd. Address before: 100000 4th floor, building 3, yard 1, Shangdi East Road, Haidian District, Beijing Applicant before: Beijing Topsec Network Security Technology Co.,Ltd. Applicant before: Topsec Technologies Inc. Applicant before: BEIJING TOPSEC SOFTWARE Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |