CN114547610A - 一种文件检测方法、装置及设备 - Google Patents

一种文件检测方法、装置及设备 Download PDF

Info

Publication number
CN114547610A
CN114547610A CN202210139222.6A CN202210139222A CN114547610A CN 114547610 A CN114547610 A CN 114547610A CN 202210139222 A CN202210139222 A CN 202210139222A CN 114547610 A CN114547610 A CN 114547610A
Authority
CN
China
Prior art keywords
file
virtual environment
monitoring
scheduling
detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210139222.6A
Other languages
English (en)
Inventor
郭鑫
陈文�
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Huasheng Longyuan Technology Co ltd
Original Assignee
Beijing Huasheng Longyuan Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Huasheng Longyuan Technology Co ltd filed Critical Beijing Huasheng Longyuan Technology Co ltd
Priority to CN202210139222.6A priority Critical patent/CN114547610A/zh
Publication of CN114547610A publication Critical patent/CN114547610A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/48Program initiating; Program switching, e.g. by interrupt
    • G06F9/4806Task transfer initiation or dispatching
    • G06F9/4843Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
    • G06F9/4881Scheduling strategies for dispatcher, e.g. round robin, multi-level priority queues
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5011Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resources being hardware resources other than CPUs, Servers and Terminals
    • G06F9/5016Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resources being hardware resources other than CPUs, Servers and Terminals the resource being the memory

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种文件检测方法、装置和设备,属于信息安全领域;在获取内存队列中的任务后,对任务进行调度,然后采用多引擎对所述调度结果进行检测,其中检测时将文件放置在虚拟环境中进行运行,监测其行为。而基于文件行为检测的技术手段不依赖于任何规则库,哪怕属于未知行为文件,只要是在虚拟执行环境里有了一系列的高危动作,就可以视为是高危文件。因为通过虚拟环境监测文件,能够通过旁路获取文件分析,不会对和基于链路上的安全设备或基于终端的安全软件有着本质区别,以告警的方式,呈现给管理员,因此误报率低。且因为是在虚拟环境中监测,不会对设备连续性造成影响。

Description

一种文件检测方法、装置及设备
技术领域
本发明涉及信息安全领域,特别地,涉及一种文件检测方法、装置及设备。
背景技术
为了提升传统安全产品,组件及与其他安全产品之间的互操作性,DARPA提出的建议是公共入侵检测框架,也就是我们所熟知的CIDF模型,作为一个通用模型,将分为4个基本组件,分别为:事件产生器、事件分析器、事件数据库以及响应单元这4部分。目前,国内绝大部分安全产品的检测方式都根据此模型而来。
当网络中发生安全事件时,首先到了事件产生器模块,该模块同时提交给事件分析器来分析和定性事件,同时将事件的动作、行为等存储在事件数据库中,为响应单元执行处置动作提供了知识的支撑,响应单元根据事件分析器和数据库中定义好的恶意行为进行处置。例如我们所熟知的杀毒软件,所执行的一系列查杀动作,都是被提前定义好的(提前被事件分析器和事件数据库),响应单元只需执行即可。
由此可见,CIDF模型的核心思想是依赖于它强大的事件分析器及数据库,它的优势在于,依赖于强大的规则数据库,通过快速匹配进行检测和处置,能够做到快速处置。同时,CIDF模型也有着众多的缺点,详情如下:
(1)误报较多,对于一个庞大的数据中心,依赖于此模型的IDS、IPS等安全产品,基于流量侧,获取全网数据,这样就会有大量的误报,海量的安全日志数据会给管理人员造成很大的困扰。
(2)影响终端业务连续性,终端查杀软件只停留在系统层面,对于病毒母体挂载MBR、BIOS驻留等威胁方式毫无检测办法,这就导致了同一种病毒,每当重启后终端杀毒都会查出大量病毒的原因。同时,恶意文件为了达到自启动的目的,会注入系统的一些关键进程(例如IEexplorer、svchost或winlogon等),杀毒软件处置时,会连同关键进程一并处置,导致系统崩溃,短期内无法恢复,这也是一些重要的信息资产不安装杀毒软件的直接原因。
(3)无法应对未知行为恶意文件。如前面所述,传统的安全设备(软件)都是基于CIDF模型的(IDS、IPS、防毒墙、杀毒软件),该模型的核心思想就是依赖于规则库,当出现一种新型的、未知行为的恶意文件时,CIDF模型中的事件分析器和事件数据库都没有此恶意文件的规则和动作时,攻击者只需要发送一封捆绑着恶意文件的邮件,即可穿透现有的所有的安全防御体系,而依赖于规则库的传统安全设备是无法检测到的。
发明内容
为了克服现有技术的不足,本发明提供一种文件检测方法、装置及设备,以解决现有CIDF模型误报多、影响业务终端连续性以及无法应对未知行为恶意文件的问题。
本发明解决其技术问题所采用的技术方案是:
第一方面,
一种文件检测方法,包括以下步骤:
获取内存队列中的任务;
对所述任务进行调度;
采用多引擎对所述调度结果进行检测,所述采用多引擎对所述调度结果进行检测包括:将所述调度结果中的文件放入虚拟环境中模拟所述文件在真实环境中运行,以便获取所述文件的行为;
根据所述行为判断所述文件是否为恶意文件。
进一步地,所述获取内存队列中的任务,包括:
接收手动提交和/或检测的文件;
将所述文件放入内存队列。
进一步地,其特征在于:在进行任务调度前还包括:对所述内存队列中的任务进行预处理;所述预处理包括以下至少一种:
预过滤处理、文件大小/类型过滤、白名单过滤、压缩文件解压处理和文件基本物理信息处理。
进一步地,所述对所述任务进行调度包括:
获取任务中各文件的信息,所述信息包括各文件间的依赖关系和各文件的使用时间;
根据所述依赖关系和使用时间对所述任务进行调度。
进一步地,所述采用多引擎对所述调度结果进行检测,包括:
对调度结果进行前置检测,所述前置检测包括AV-TEST和Hash检测;
将前置检测得到的结果中的文件放入虚拟环境中模拟所述文件在真实环境中运行。
进一步地,所述放入虚拟环境中模拟所述文件在真实环境中运行,包括:
采用探针监控文件在虚拟环境里的行为;所述探针监控包括:模块监控、API监控、文件监控、进程监控、注册表监控、异常监控、漏洞利用监控、反虚拟环境监控对抗、窗口监控和网络监控。
进一步地,在将文件放入虚拟环境前还包括:
获取所述文件的目标虚拟环境;
判断当前虚拟环境是否与目标虚拟环境相同;
若不同,则停止文件检测服务和定时修复服务;
删除当前虚拟环境的虚拟机文件,并将目标虚拟环境的虚拟机文件复制到指定目录;
根据所述目标虚拟环境的虚拟机文件修改当前虚拟机配置文件,以便所述虚拟机通过软链接指向对应的真实环境的配置文件。
进一步地,还包括:
获取所述文件的静态特征和动态特征,所述静态特征包括:文件程序的节信息、签名信息和证书信息,所述动态特征包括文件程序动态运行过程中调用的API信息;
将所述静态特征和动态特征输入到预先训练的模型中判断所述文件是否存在病毒;
根据所述病毒判断结果和所述行为判断结果判断所述文件是否是恶意文件。
第二方面,
一种文件检测装置,包括:
任务获取模块,用于获取内存队列中的任务;
任务调度模块,用于对所述任务进行调度;
文件检测模块,用于采用多引擎对所述调度结果进行检测,所述采用多引擎对所述调度结果进行检测包括:将所述调度结果中的文件放入虚拟环境中模拟所述文件在真实环境中运行,以便获取所述文件的行为;
文件判断模块,用于根据所述行为判断所述文件是否为恶意文件。
第三方面,
一种文件检测设备,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
所述处理器被配置为用于执行第一方面中技术方案提供的任一项所述的方法。
有益效果:
本申请技术方案提供一种文件检测方法、装置和设备,在获取内存队列中的任务后,对任务进行调度,然后采用多引擎对所述调度结果进行检测,其中检测时将文件放置在虚拟环境中进行运行,监测其行为。而基于文件行为检测的技术手段不依赖于任何规则库,哪怕属于未知行为文件,只要是在虚拟执行环境里有了一系列的高危动作,就可以视为是高危文件。基于行为的未知威胁检测不依赖任何规则库,如果行为是高风险,则为高风险文件。因为通过虚拟环境监测文件,能够通过旁路获取文件分析,不会对和基于链路上的安全设备或基于终端的安全软件有着本质区别,以告警的方式,呈现给管理员,因此误报率低。且因为是在虚拟环境中监测,不会对设备连续性造成影响。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种文件检测方法流程图;
图2是本发明实施例提供的一种具体的文件检测方法流程图;
图3是本发明实施例提供的一种预处理方法流程图;
图4是本发明实施例提供的一种文件检测装置结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面结合附图和实施例对本发明的技术方案进行详细的描述说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本申请所保护的范围。
参照图1,本发明实施例提供了一种文件检测方法,包括以下步骤:
获取内存队列中的任务;
对任务进行调度;
采用多引擎对调度结果进行检测,采用多引擎对调度结果进行检测包括:将调度结果中的文件放入虚拟环境中模拟文件在真实环境中运行,以便获取文件的行为;
根据行为判断文件是否为恶意文件。
本发明实施例提供的一种文件检测方法,在获取内存队列中的任务后,对任务进行调度,然后采用多引擎对调度结果进行检测,其中检测时将文件放置在虚拟环境中进行运行,监测其行为。而基于文件行为检测的技术手段不依赖于任何规则库,哪怕属于未知行为文件,只要是在虚拟执行环境里有了一系列的高危动作,就可以视为是高危文件。基于行为的未知威胁检测不依赖任何规则库,如果行为是高风险,则为高风险文件。因为通过虚拟环境监测文件,能够通过旁路获取文件分析,不会对和基于链路上的安全设备或基于终端的安全软件有着本质区别,以告警的方式,呈现给管理员,因此误报率低。且因为是在虚拟环境中监测,不会对设备连续性造成影响。
作为对上述实施例的一种补充说明,本发明实施例还提供一种文件检测方法,如图2所示,包括以下步骤:
获取内存队列中的任务;具体地,接收手动提交和/或检测的文件;将文件放入内存队列。如图3所示,本发明实施例支持手工提交和采集还原的文件自动检测两个方式。在接收到检测请求之后,提交到内存队列中,然后根据系统预定的过滤策略对文件进行过滤后,将检测任务入库存储。在进行任务调度前还包括:对内存队列中的任务进行预处理;预处理包括但不限于:预过滤处理、文件大小/类型过滤、白名单过滤、压缩文件解压处理和文件基本物理信息处理。
对任务进行调度;包括:获取任务中各文件的信息,信息包括各文件间的依赖关系和各文件的使用时间;根据依赖关系和使用时间对任务进行调度。示例性的,依赖关系是指:若存在包括文件A的任务和包括文件B的任务,文件A和文件B没有要求执行时间先后顺序,但是文件A和文件B存在依赖关系,如:执行文件A时必须已经执行过文件B。则此时先执行包括文件B的任务,再执行包括文件A的任务。当然实际情况中可能要执行某个文件需要先执行多个文件的任务。因此本申请中依赖关系可以是两两之间的依赖关系,也可以是多个文件与一个文件的依赖关系,或者多个文件与多个文件的依赖关系。
采用多引擎对调度结果进行检测,采用多引擎对调度结果进行检测包括:将调度结果中的文件放入虚拟环境中模拟文件在真实环境中运行,以便获取文件的行为;采用多引擎对调度结果进行检测,包括:对调度结果进行前置检测,前置检测包括AV-TEST和Hash检测;将前置检测得到的结果中的文件放入虚拟环境中模拟文件在真实环境中运行。其中,放入虚拟环境中模拟文件在真实环境中运行,包括:采用探针监控文件在虚拟环境里的行为;探针监控包括:模块监控、API监控、文件监控、进程监控、注册表监控、异常监控、漏洞利用监控、反虚拟环境监控对抗、窗口监控和网络监控。
示例性的,将文件放入虚拟环境中采用将文件提交到沙箱中,沙箱会通过探针对内核和用户态API进行监控,并将日志输出和相关记录输出到底层调度系统中进行存储。为了检测恶意文件的各类动作,在沙箱内部部署了探针,用来监测文件在虚拟环境里的一系列恶意行为,再将沙箱的硬件标识修改为真实的硬件厂商标识,所有标识去掉“VM”字样。
作为本发明实施例一种可选的实现方式,在将文件放入虚拟环境前还包括:获取文件的目标虚拟环境;判断当前虚拟环境是否与目标虚拟环境相同;若不同,则停止文件检测服务和定时修复服务;删除当前虚拟环境的虚拟机文件,并将目标虚拟环境的虚拟机文件复制到指定目录;根据目标虚拟环境的虚拟机文件修改当前虚拟机配置文件,以便虚拟机通过软链接指向对应的真实环境的配置文件。
示例性的,在系统中会预先安装好多沙箱模板的环境,每种模板会对应不同的虚拟机配置文件,(例如:安装有xp和win7的环境中,会有WinXP_virtualbox.conf文件和Win7_virtualbox.conf文件),通过软链接使得虚拟机调度程序使用的当前的虚拟机配置文件virtualbox.conf始终指向当前要使用的对应的配置模板文件。
可选地,还包括:获取文件的静态特征和动态特征,静态特征包括:文件程序的节信息、签名信息和证书信息,动态特征包括文件程序动态运行过程中调用的API信息;将静态特征和动态特征输入到预先训练的模型中判断文件是否存在病毒;根据病毒判断结果和行为判断结果判断文件是否是恶意文件。示例性的,针对恶意代码进行了病毒家族分类,目前主要支持Adware,Backdoors,Dropper,Trojan,Worm五大类别的分类判定。利用机器学习技术,选取了大量已知的定性的病毒样本,并针对所有的样本,分别进行了静态特征(样本程序的节信息,签名信息,证书信息等)提取以及动态特征(样本程序动态运行过程中调用的API信息等)提取,同时对每一个样本进行了家族标记,形成相应的训练数据集。结合主流的机器学习算法,将训练数据集输入主流的机器学习算法中,不断进行算法调参,模型训练,并依据机器学习的核心能力指标进行评估,得出最优的模型,使得模型能够以最高的准确率来识别出样本的性质。对于未知种类的样本,同样对其进行静态及动态特征数据提取,并输入训练好的模型中,得到相应的家族种类结果。
本发明实施例提供的具体的文件检测方法具有以下优点:1、传统安全防护技术都是通过CIDF模型进行匹配检测,该模型的核心就是规则库,但未知恶意文件的恶意行为往往都是“规则库”里没有的。当真正的未知威胁攻击发生时,基于传统CIDF模型的检测方式都将失效,会认为是正常文件。而基于文件恶意行文检测的技术手段则不同,他们不依赖于任何规则库,只要是在虚拟执行环境里有了一系列的高危动作,就可以视为是高危文件。
2、除了虚拟执行技术之外,还可以通过机器学习技术和威胁情报来综合判定恶意文件,最终定性恶意文件。
3、误报率极低,基于CIDF检测模型的安全产品会产生大量的误报或者误杀,严重的可造成系统损坏,甚至业务中断。基于行为的未知威胁检测不依赖任何规则库,如果行为是高风险,则为高风险文件。因为通过流量还原的文件,这项技术通过旁路获取文件分析,不会对和基于链路上的安全设备或基于终端的安全软件有着本质区别,以告警的方式,呈现给管理员。
一个实施例中,本发明提供一种文件检测装置,如图4所示,包括:
任务获取模块41,用于获取内存队列中的任务;具体地,任务获取模块41接收手动提交和/或检测的文件;将文件放入内存队列。
预处理模块42,用于在进行任务调度前,对内存队列中的任务进行预处理;预处理包括以下至少一种:预过滤处理、文件大小/类型过滤、白名单过滤、压缩文件解压处理和文件基本物理信息处理。
任务调度模块43,用于对任务进行调度;具体地,对任务进行调度包括:获取任务中各文件的信息,信息包括各文件间的依赖关系和各文件的使用时间;根据依赖关系和使用时间对任务进行调度。
文件检测模块44,用于采用多引擎对调度结果进行检测,采用多引擎对调度结果进行检测包括:将调度结果中的文件放入虚拟环境中模拟文件在真实环境中运行,以便获取文件的行为;文件检测模块44还用于对调度结果进行前置检测,前置检测包括AV-TEST和Hash检测;将前置检测得到的结果中的文件放入虚拟环境中模拟文件在真实环境中运行。
其中,放入虚拟环境中模拟文件在真实环境中运行,包括:采用探针监控文件在虚拟环境里的行为;探针监控包括:模块监控、API监控、文件监控、进程监控、注册表监控、异常监控、漏洞利用监控、反虚拟环境监控对抗、窗口监控和网络监控。
可选地,文件检测模块44还用于获取文件的目标虚拟环境;判断当前虚拟环境是否与目标虚拟环境相同;若不同,则停止文件检测服务和定时修复服务;删除当前虚拟环境的虚拟机文件,并将目标虚拟环境的虚拟机文件复制到指定目录;根据目标虚拟环境的虚拟机文件修改当前虚拟机配置文件,以便虚拟机通过软链接指向对应的真实环境的配置文件。
还包括病毒判断模块45,用于获取文件的静态特征和动态特征,静态特征包括:文件程序的节信息、签名信息和证书信息,动态特征包括文件程序动态运行过程中调用的API信息;将静态特征和动态特征输入到预先训练的模型中判断文件是否存在病毒。
文件判断模块46,用于根据病毒判断结果和行为判断结果判断文件是否是恶意文件。具体如何判断根据实际情况设置,本发明实施例提供一种简单示例,只要这两项判断结果有任一项为是,则判断为恶意文件。
一个实施例中,本发明一种文件检测设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
处理器被配置为用于执行上述实施例中任一项提供的文件检测方法。由于上述实施例已经详细说明文件检测方法,在此不再赘述。
可以理解的是,上述各实施例中相同或相似部分可以相互参考,在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
需要说明的是,在本申请的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本申请的描述中,除非另有说明,“多个”的含义是指至少两个。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (10)

1.一种文件检测方法,其特征在于,包括以下步骤:
获取内存队列中的任务;
对所述任务进行调度;
采用多引擎对所述调度结果进行检测,所述采用多引擎对所述调度结果进行检测包括:将所述调度结果中的文件放入虚拟环境中模拟所述文件在真实环境中运行,以便获取所述文件的行为;
根据所述行为判断所述文件是否为恶意文件。
2.根据权利要求1所述的方法,其特征在于:所述获取内存队列中的任务,包括:
接收手动提交和/或检测的文件;
将所述文件放入内存队列。
3.根据权利要求1所述的方法,其特征在于:在进行任务调度前还包括:对所述内存队列中的任务进行预处理;所述预处理包括以下至少一种:
预过滤处理、文件大小/类型过滤、白名单过滤、压缩文件解压处理和文件基本物理信息处理。
4.根据权利要求1所述的方法,其特征在于:所述对所述任务进行调度包括:
获取任务中各文件的信息,所述信息包括各文件间的依赖关系和各文件的使用时间;
根据所述依赖关系和使用时间对所述任务进行调度。
5.根据权利要求1所述的方法,其特征在于:所述采用多引擎对所述调度结果进行检测,包括:
对调度结果进行前置检测,所述前置检测包括AV-TEST和Hash检测;
将前置检测得到的结果中的文件放入虚拟环境中模拟所述文件在真实环境中运行。
6.根据权利要求1或5所述的方法,其特征在于:所述放入虚拟环境中模拟所述文件在真实环境中运行,包括:
采用探针监控文件在虚拟环境里的行为;所述探针监控包括:模块监控、API监控、文件监控、进程监控、注册表监控、异常监控、漏洞利用监控、反虚拟环境监控对抗、窗口监控和网络监控。
7.根据权利要求1所述的方法,其特征在于:在将文件放入虚拟环境前还包括:
获取所述文件的目标虚拟环境;
判断当前虚拟环境是否与目标虚拟环境相同;
若不同,则停止文件检测服务和定时修复服务;
删除当前虚拟环境的虚拟机文件,并将目标虚拟环境的虚拟机文件复制到指定目录;
根据所述目标虚拟环境的虚拟机文件修改当前虚拟机配置文件,以便所述虚拟机通过软链接指向对应的真实环境的配置文件。
8.根据权利要求1所述的方法,其特征在于,还包括:
获取所述文件的静态特征和动态特征,所述静态特征包括:文件程序的节信息、签名信息和证书信息,所述动态特征包括文件程序动态运行过程中调用的API信息;
将所述静态特征和动态特征输入到预先训练的模型中判断所述文件是否存在病毒;
根据所述病毒判断结果和所述行为判断结果判断所述文件是否是恶意文件。
9.一种文件检测装置,其特征在于,包括:
任务获取模块,用于获取内存队列中的任务;
任务调度模块,用于对所述任务进行调度;
文件检测模块,用于采用多引擎对所述调度结果进行检测,所述采用多引擎对所述调度结果进行检测包括:将所述调度结果中的文件放入虚拟环境中模拟所述文件在真实环境中运行,以便获取所述文件的行为;
文件判断模块,用于根据所述行为判断所述文件是否为恶意文件。
10.一种文件检测设备,其特征在于,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
所述处理器被配置为用于执行权利要求1-8任一项所述的方法。
CN202210139222.6A 2022-02-15 2022-02-15 一种文件检测方法、装置及设备 Pending CN114547610A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210139222.6A CN114547610A (zh) 2022-02-15 2022-02-15 一种文件检测方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210139222.6A CN114547610A (zh) 2022-02-15 2022-02-15 一种文件检测方法、装置及设备

Publications (1)

Publication Number Publication Date
CN114547610A true CN114547610A (zh) 2022-05-27

Family

ID=81676247

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210139222.6A Pending CN114547610A (zh) 2022-02-15 2022-02-15 一种文件检测方法、装置及设备

Country Status (1)

Country Link
CN (1) CN114547610A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115309785A (zh) * 2022-08-08 2022-11-08 北京百度网讯科技有限公司 文件规则引擎库的生成、文件信息检测方法、装置及设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115309785A (zh) * 2022-08-08 2022-11-08 北京百度网讯科技有限公司 文件规则引擎库的生成、文件信息检测方法、装置及设备
CN115309785B (zh) * 2022-08-08 2023-07-07 北京百度网讯科技有限公司 文件规则引擎库的生成、文件信息检测方法、装置及设备

Similar Documents

Publication Publication Date Title
CN103839003B (zh) 恶意文件检测方法及装置
CN113661693B (zh) 经由日志检测敏感数据暴露
US9424426B2 (en) Detection of malicious code insertion in trusted environments
CA2790206C (en) Automated malware detection and remediation
US20160342794A1 (en) Identifying an evasive malicious object based on a behavior delta
EP2701092A1 (en) Method for identifying malicious executables
EP2975873A1 (en) A computer implemented method for classifying mobile applications and computer programs thereof
CN105593870A (zh) 用于恶意软件检测的复杂评分
KR101132197B1 (ko) 악성 코드 자동 판별 장치 및 방법
US11797668B2 (en) Sample data generation apparatus, sample data generation method, and computer readable medium
US10839074B2 (en) System and method of adapting patterns of dangerous behavior of programs to the computer systems of users
CN111460445A (zh) 样本程序恶意程度自动识别方法及装置
CN109074448B (zh) 计算装置的安全状态与额定安全状态的偏差的检测
Sun et al. Malware virtualization-resistant behavior detection
JP2019514119A (ja) ハイブリッドプログラムバイナリ特徴の抽出及び比較
JP2017142744A (ja) 情報処理装置、ウィルス検出方法及びプログラム
CN116382755A (zh) 基于漏洞防护的国产操作系统补丁升级方法
CN113158197A (zh) 一种基于主动iast的sql注入漏洞检测方法、系统
CN114547610A (zh) 一种文件检测方法、装置及设备
US11003772B2 (en) System and method for adapting patterns of malicious program behavior from groups of computer systems
KR101327740B1 (ko) 악성코드의 행동 패턴 수집장치 및 방법
US20180341770A1 (en) Anomaly detection method and anomaly detection apparatus
CN116127453A (zh) 一种apt攻击检测方法、系统、装置、介质及设备
CN112347479B (zh) 恶意软件检测的误报纠正方法、装置、设备和存储介质
Jia et al. Findevasion: an effective environment-sensitive malware detection system for the cloud

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination