CN114553539A - 恶意程序的防御方法、装置及相关设备 - Google Patents
恶意程序的防御方法、装置及相关设备 Download PDFInfo
- Publication number
- CN114553539A CN114553539A CN202210164056.5A CN202210164056A CN114553539A CN 114553539 A CN114553539 A CN 114553539A CN 202210164056 A CN202210164056 A CN 202210164056A CN 114553539 A CN114553539 A CN 114553539A
- Authority
- CN
- China
- Prior art keywords
- false
- trace
- malicious program
- malicious
- detection logic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 75
- 238000001514 detection method Methods 0.000 claims abstract description 71
- 238000003860 storage Methods 0.000 claims abstract description 23
- 230000007123 defense Effects 0.000 claims description 35
- 238000004590 computer program Methods 0.000 claims description 21
- 230000008569 process Effects 0.000 claims description 20
- 230000000694 effects Effects 0.000 abstract description 9
- 230000006870 function Effects 0.000 description 11
- 244000035744 Hura crepitans Species 0.000 description 7
- 241000700605 Viruses Species 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 230000002085 persistent effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 235000015122 lemonade Nutrition 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000002255 vaccination Methods 0.000 description 2
- 208000003322 Coinfection Diseases 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000003908 quality control method Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种恶意程序的防御方法、装置、计算机设备、存储介质及云计算平台,应用于网络安全技术领域,用于解决对恶意程序的检测滞后导致防御效果不佳的技术问题。本发明提供的方法包括:部署虚假痕迹至终端设备,以供所述恶意程序进行前置环境检测;其中,所述虚假痕迹与恶意程序的检查逻辑相对应,所述虚假痕迹与所述恶意程序的检查逻辑检查的实际痕迹具有相同的特征。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种恶意程序的防御方法、装置、计算机设备、存储介质及云计算平台。
背景技术
目前网络攻击有往高级威胁攻击、APT(Advanced Persistent Threat,高级可持续威胁攻击)攻击趋势发展,常态化的攻击日趋严重,网络安全事件频发,高级持续性威胁也处于持续高发状态,2020年还发生了历史上最复杂且影响最深远的供应链攻击,另外勒索软件攻击愈演愈烈,BGH(Big Game Hunting,大型攻击活动)不断升级,赎金要求飙升至数百万,并且造成极大的破坏。针对eCrime生态系统不断发展,以及其成熟度和专业化程度不断提高,攻击所采用的手法越来越复杂和难以检测,例如深入探寻离地攻击(Living offthe Land)、无文件攻击(Fileless Attack)、无恶意软件攻击(Malware Free Attack)和内存攻击甚至是在野0Day攻击成为比较常见的攻击手法。
深入探寻离地攻击(Living off the Land)指攻击并不使用可能被标记为恶意软件的自定义工具,而是使用已存在于设备上的合法工具,接管合法的系统进程,并在其内存空间运行攻击行为。
现有的应对安全攻击的方案,包括EPP(Endpoint Protection Platform,端点保护平台)、EDR(Endpoint Detection and Response,终端检测与响应)、NDR(NetworkDetection and Response,网络检测与响应)、XDR(Extended Detection and Response,扩展检测和响应)、MDR(Managed Detection and Response,管理检测与响应)都无法保证能够100%检测和防御高级威胁攻击,人们逐步达成共识高级威胁攻击无法保证彻底防御住,转而采用这一系列检测响应方案:通过持续的监控记录安全日记,事后分析安全日记以发现潜伏在企业内部的已经发生的未知攻击,达到减低和减小被攻击损失的目的。
但目前这种检测响应的方案有一定的时间滞后性,对某些攻击特别是像勒索攻击这种不可逆转的攻击事后分析检测方案防御效果不佳。
发明内容
本发明实施例提供一种恶意程序的防御方法、装置、计算机设备、存储介质及云计算平台,以解决对恶意程序的检测滞后导致防御效果不佳的技术问题。
根据本发明的一个方面提供的一种恶意程序的防御方法,所述方法包括:
部署虚假痕迹至终端设备,以供所述恶意程序进行前置环境检测;其中,所述虚假痕迹与恶意程序的检测逻辑相对应,所述虚假痕迹与所述恶意程序的检测逻辑检测的实际痕迹具有相同的特征。
根据本发明的另一方面提供的一种恶意程序的防御装置,包括:
部署模块,用于部署虚假痕迹至终端设备,以供所述恶意程序进行前置环境检测;其中,所述虚假痕迹与恶意程序的检测逻辑相对应,所述虚假痕迹与所述恶意程序的检测逻辑检测的实际痕迹具有相同的特征。
根据本发明的又一方面提供的一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述恶意程序的防御方法的步骤。
根据本发明的又一方面提供的一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述恶意程序的防御方法的步骤。
根据本发明的又一方面提供的一种云计算平台,包括软件模块,所述软件模块用于实现上述恶意程序的防御方法的步骤.。
本申请提出的恶意程序的防御方法、装置、计算机设备、存储介质及云计算平台,通过部署预先制作的至少一类虚假痕迹,由于每类虚假痕迹与恶意程序的检测逻辑相对应,所述虚假痕迹与所述恶意程序的检测逻辑检测的实际痕迹具有相同的特征,在该恶意程序入侵前进行前置环境检测时,根据所述恶意程序的检测逻辑,执行对应类的虚假痕迹供所述恶意程序进行前置环境检测,使得该恶意程序依据与实际痕迹具有相同名称的虚假痕迹,分析得到该终端设备的前置环境不适合运行该恶意程序,进而使得该恶意程序停止攻击,从而达到前摄防御以及提高防御效果的目的。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例中恶意程序的防御方法的一应用环境示意图;
图2是本发明一实施例中恶意程序的防御方法的一流程图;
图3是本发明一实施例中恶意程序的防御装置的结构示意图;
图4是本发明一实施例中计算机设备的一示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请提供的恶意程序的防御方法,可应用在如图1的应用环境中,其中,该终端设备能够通过网络与服务器进行通信。其中,该终端设备可以但不限于各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备等。该服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一实施例中,如图2所示,提供一种恶意程序的防御方法,以该方法应用在图1中的终端设备为例进行说明,包括如下步骤S101。
S101、部署虚假痕迹至终端设备,以供所述恶意程序进行前置环境检测;其中,所述虚假痕迹与恶意程序的检测逻辑相对应,所述虚假痕迹与所述恶意程序的检测逻辑检测的实际痕迹具有相同的特征。
可以理解的是,恶意程序的检测逻辑为:恶意程序发动攻击之前所执行的检测逻辑。该恶意程序的检测逻辑可以包括检测“是否安装用于防御恶意程序的网络安全防御产品”的检测逻辑,还可以包括该恶意程序的自身检测逻辑,比如是否已对某文件执行过加密操作。相应地,虚假痕迹为:安装有网络安全防御产品的痕迹、已经对某文件执行过加密操作的痕迹。
上述“特征”的选择,应和恶意程序检测逻辑执行检测操作时所采用的“特征”一致。比如,对于网络安全防御产品是否安装的检测,恶意程序往往采用“网络安全防御产品的名称”这一特征,则上述S101的特征应包括“网络安全防御产品的名称”。
此外,在步骤S101之前,还可以包括步骤:获取待对抗的恶意程序,基于获取的恶意程序,确定待部署的虚假痕迹以及虚假痕迹的特征。
其中,该实际痕迹例如实际的网络安全防御产品在运行时创建的文件、进程、服务和注册表等,同样地,该虚假痕迹包括但不限于文件、进程、服务和/或注册表,具体地,上述相同的特征可以为“名称相同”,即该虚假痕迹与该恶意程序的检测逻辑检测的实际痕迹应当具有相同的名称,但是该虚假痕迹的具体内容不做限定,可以是空载的进程、服务和/或注册表,也可以是内容为空的文件。
具体实现时,对于虚假类型的文件或者注册表,可以在系统应用程序的默认安装路径下预先创建虚假文件或虚假注册表即可,当然也可以从外部获取虚拟痕迹,将获取到的虚假痕迹保存至应用程序的默认安装路径下,该步骤S101中的“特征”例如为名称时,需要该虚假文件或注册表与该恶意程序的检测逻辑检测的真实文件或注册表具有相同的文件名称。
同样的,对于虚假的进程或者服务,也可以通过预先创建得到。进一步地,也需要该虚假痕迹中的服务及进程与该恶意程序的检测逻辑检测的真实服务及真实进程具有相同的名称,在任务管理器中可以看到新建的进程的名称及服务的名称。
目前的高级恶意程序攻击特别是APT攻击,都是以定向攻击为主,其攻击者会投入大量精力来开发和测试恶意程序,例如免杀测试,另外还会加入反调试分析、反沙箱分析和反蜜罐分析等逃避手法,以避免其攻击手法或者使用的0Day漏洞被捕获分析,这类的恶意程序攻击只有在其通过了前置环境检测后才会启动攻击。
APT攻击也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。通常由国家背景的相关攻击组织进行攻击的活动,攻击常用于国家间的网络攻击行动,实施窃取国家机密信息、重要企业的商业信息、破坏网络基础设施等活动,具有强烈的政治、经济目的。
本实施例提出的恶意程序的防御方法,通过部署预先制作的至少一类虚假痕迹,由于每类虚假痕迹与恶意程序的检测逻辑相对应,所述虚假痕迹与所述恶意程序的检测逻辑检测的实际痕迹具有相同的特征,在该恶意程序入侵前进行前置环境检测时,根据所述恶意程序的检测逻辑,执行对应类的虚假痕迹供所述恶意程序进行前置环境检测,使得该恶意程序依据与实际痕迹具有相同名称的虚假痕迹,分析得到该终端设备的前置环境不适合运行该恶意程序,进而使得该恶意程序停止攻击,从而达到前摄防御以及提高防御效果的目的。
在其中一个实施例中,所述虚假痕迹包括以下至少之一:
(1)、所述虚假痕迹包括与网络安全防御产品的检测逻辑相对应的第一虚假痕迹;
(2)、所述虚假痕迹包括与模拟器的检测逻辑相对应的第二虚假痕迹;
(3)、所述虚假痕迹还可以包括与调试分析软件的检测逻辑相对应的第四虚假痕迹。
具体地,该网络安全防御产品的类型可以包括多种,即该虚假痕迹包括与不同类型的网络安全防御产品的检测逻辑相对应的第一虚假痕迹。其中,针对每一类型的网络安全防御产品,所述第一虚假痕迹包括文件、进程、服务和/或注册表。
其中,该不同类型的网络安全防御产品包括但不限于Microsoft 365Defender、Trend Micro Vision One、Palo Alto Networks Cortex XDR、CrowdStrike Falcon、SentinelOne Singularity Complete等。
本实施例采用威慑策略,具体为虚假网络安全防御产品的安装文件、服务、进程、注册表项,使恶意程序或者攻击者误以为该终端设备上已经安装了很多该网络安全防御产品,利用恶意程序的前置环境检测的检测逻辑,如果发现无法绕过的网络安全防御产品后会主动放弃攻击,同样对于人为渗透攻击也启动威慑作用,令其知难而退。
在其中一个实施例中,所述虚假痕迹包括与模拟器的检测逻辑相对应的第二虚假痕迹。
所述模拟器为沙箱或蜜罐形式的虚拟运行环境。
具体地,该模拟器可以是不同类型的模拟器,即所述虚假痕迹包括与不同类型的模拟器的检测逻辑相对应的第二虚假痕迹。其中,该模拟器的类型包括但不限于VMware沙箱、VirtureBox沙箱等。针对每一类型的模拟器,该第二虚假痕迹包括文件、进程、服务和/或注册表。
本实施例提出的恶意程序的防御方法采用伪装策略,在模拟的敌对环境中前摄的放置模拟器(沙箱或蜜罐形式)的虚假痕迹,让恶意程序或者攻击者误以为该终端设备的运行环境为模拟器(比如沙箱或者蜜罐),从而能够使该恶意程序主动放弃攻击。
其中,预先制作的虚假痕迹包括文件、进程、服务、注册表等沙箱或者蜜罐特有的虚拟机和模拟器特征。
在其它实施例中,所述虚假痕迹还可以包括与调试分析软件的检测逻辑相对应的第四虚假痕迹,还可以虚假布置调试分析软件。
可以理解的是,真实的调试分析软件为病毒监控分析工具软件,其目的在于对病毒进行分析,从众多的信息中筛选病毒信息,在具体实现时,可以通过该调试分析软件监控该病毒所调用的大多数病毒相关的API,最终将生成一份病毒分析报告。其中,该调试分析软件的第四虚假痕迹例如该调试分析软件的文件、进程、服务和/或注册表。
还可以虚假布置Forensic取证软件、网络抓包软件等,进一步迷惑该恶意程序,这样可以触发该恶意程序的逃逸逻辑,以达到免于被攻击的目的,可以理解的是,该Forensic取证软件、网络抓包软件等也为某些恶意程序在入侵前进行前置环境检测时检查的对象,也可以通过模拟文件、注册表等来模拟。
在其中一个实施例中,所述虚假痕迹包括与恶意程序进行二次攻击检测时的检测逻辑相对应的第三虚拟痕迹,在所述步骤S101之前,还包括:
根据用户的输入,确定需要防御的所述恶意程序的唯一标识。
其中,该恶意程序的唯一标识例如该恶意程序的程序名称,还可以是用户自行为该恶意程序编码的具有识别能力的唯一标识。
相应地,所述第三虚拟痕迹根据所述恶意程序的唯一标识进行确定。
在其中一个实施例中,所述第三虚假痕迹包括与所述唯一标识相对应的恶意程序的文件、注册表、Event事件和/或Mutex互斥体。
考虑到恶意程序除了会进行沙箱或者蜜罐逃逸检查外,还会有其它的一些检查逻辑,例如创建一些特定的Event事件、Mutex互斥体、文件或者注册表项以避免其二次运行,比如对于PE(portable executable,可移植的执行体)病毒感染类的恶意程序会做避免二次感染的检查、勒索恶意程序会做后缀名等特征检查避免二次加密。
本实施例提出的恶意程序的防御方法采用攻击痕迹特征疫苗接种策略,通过收集恶意程序的实际攻击痕迹,并在终端设备上虚假接种这些攻击痕迹,欺骗恶意程序,让恶意程序以为已经发生过该攻击,从而使其主动放弃攻击。
本实施例通过在用户真实的终端设备上模拟出一种敌对环境,该环境包括三种前摄防御策略:威慑策略、伪装策略和攻击痕迹特征疫苗接种策略,通过模拟出一种敌对环境,让攻击主动停止和放弃发起攻击以达到防御目的,解决网络攻击和高级威胁攻击防御能力薄弱问题,提高防御成功率。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
在一实施例中,提供一种恶意程序的防御装置,该恶意程序的防御装置100与上述实施例中恶意程序的防御方法一一对应。如图3所示,该恶意程序的防御装置100包括部署模块11。各功能模块详细说明如下:
部署模块11,用于部署虚假痕迹至终端设备,以供所述恶意程序进行前置环境检测;其中,所述虚假痕迹与恶意程序的检测逻辑相对应,所述虚假痕迹与所述恶意程序的检测逻辑检测的实际痕迹具有相同的特征。
在其中一个实施例中,所述虚假痕迹包括与网络安全防御产品的检测逻辑相对应的第一虚假痕迹。
在其中一个实施例中,所述虚假痕迹包括与模拟器的检测逻辑相对应的第二虚假痕迹。
在其中一个实施例中,所述虚假痕迹包括与调试分析软件的检测逻辑相对应的第四虚假痕迹。
在其中一个实施例中,该虚假痕迹包括文件、进程、服务和/或注册表。
在其中一个实施例中,所述虚假痕迹包括与恶意程序进行二次攻击检测时的检测逻辑相对应的第三虚拟痕迹,该恶意程序的防御装置还包括:
标识确定模块,用于根据用户的输入,确定需要防御的所述恶意程序的唯一标识,所述第三虚拟痕迹根据所述恶意程序的唯一标识进行确定。
在其中一个实施例中,该第三虚假痕迹包括与所述唯一标识相对应的恶意程序的文件、注册表、Event事件和/或Mutex互斥体。
其中上述的“第一”和“第二”的意义仅在于将不同的对象加以区分,并不用于限定哪个对象的优先级更高或者其它的限定意义。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块,本申请中所出现的模块的划分,仅仅是一种逻辑上的划分,实际应用中实现时可以有另外的划分方式。
关于恶意程序的防御装置的具体限定可以参见上文中对于恶意程序的防御方法的限定,在此不再赘述。上述恶意程序的防御装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
上述恶意程序的防御装置可以是镜像文件形式,该镜像文件被执行后,可以以容器或者虚拟机的形式运行,以实现本申请所述的恶意程序的防御方法。当然也不局限为镜像文件形式,只要能够实现本申请所述的方法的一些软件形式都在本申请的保护范围之内,比如还可以为云计算平台中hypervisor(虚拟机监控器)中所实现的软件模块。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器或者PC,该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括存储介质、内存储器。该存储介质包括非易失性存储介质和/或易失性的存储介质,该存储介质存储有操作系统、计算机程序和数据库。该内存储器为存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储恶意程序的防御方法中涉及到的数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种恶意程序的防御方法。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括存储介质、内存储器。该存储介质包括非易失性存储介质和/或易失性的存储介质,该存储介质存储有操作系统和计算机程序。该内存储器为存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部服务器通过网络连接通信。该计算机程序被处理器执行时以实现一种恶意程序的防御方法。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述实施例中恶意程序的防御方法的步骤,例如图2所示的步骤101及该方法的其它扩展和相关步骤的延伸。或者,处理器执行计算机程序时实现上述实施例中恶意程序的防御装置的各模块/单元的功能,例如图3所示模块11的功能。为避免重复,这里不再赘述。
所述处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述计算机装置的控制中心,利用各种接口和线路连接整个计算机装置的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述计算机装置的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、视频数据等)等。
所述存储器可以集成在所述处理器中,也可以与所述处理器分开设置。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述实施例中恶意程序的防御方法的步骤,例如图2所示的步骤101及该方法的其它扩展和相关步骤的延伸。或者,计算机程序被处理器执行时实现上述实施例中恶意程序的防御装置的各模块/单元的功能,例如图3所示模块11的功能。为避免重复,这里不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性和/或易失性的计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
本申请还提供了一种云计算平台,包括软件模块,所述软件模块用于实现上述恶意程序的防御方法的步骤。云计算平台是采用计算虚拟化、网络虚拟化、存储虚拟化技术把多个独立的服务器物理硬件资源组织成池化资源的一种业务形态,它是一种基于虚拟化技术发展基础上软件定义资源的结构,可以提供虚拟机、容器等形态的资源能力。通过消除硬件与操作系统之间的固定关系,依赖网络的连通统一资源调度,然后提供所需要的虚拟资源和服务,是一种新型的IT,软件交付模式,具备灵活,弹性,分布式,多租户,按需等特点。
目前的云计算平台支持几种服务模式:
SaaS(Software as a Service,软件即服务):云计算平台用户无需购买软件,而改为租用部署于云计算平台的软件,用户无需对软件进行维护,软件服务提供商会全权管理和维护软件;
PaaS(Platform as a Service,平台即服务):云计算平台用户(此时通常为软件开发商)可以在云计算平台提供的架构上建设新的应用,或者扩展已有的应用,同时却不必购买开发、质量控制或生产服务器;
IaaS(Infrastructure as a Service,基础架构即服务):云计算平台通过互联网提供了数据中心、基础架构硬件和软件资源,IaaS模式下的云计算平台可以提供服务器、操作系统、磁盘存储、数据库和/或信息资源。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.恶意程序的防御方法,其特征在于,所述方法包括:
部署虚假痕迹至终端设备,以供所述恶意程序进行前置环境检测;其中,所述虚假痕迹与恶意程序的检测逻辑相对应,所述虚假痕迹与所述恶意程序的检测逻辑检测的实际痕迹具有相同的特征。
2.根据权利要求1所述的恶意程序的防御方法,其特征在于,所述虚假痕迹包括以下至少之一:
与网络安全防御产品的检测逻辑相对应的第一虚假痕迹;
与模拟器的检测逻辑相对应的第二虚假痕迹;
与调试分析软件的检测逻辑相对应的第四虚假痕迹。
3.根据权利要求2所述的恶意程序的防御方法,其特征在于,所述虚假痕迹包括文件、进程、服务和/或注册表。
4.根据权利要求1所述的恶意程序的防御方法,其特征在于,所述虚假痕迹包括与恶意程序进行二次攻击检测时的检测逻辑相对应的第三虚拟痕迹,在所述部署虚假痕迹至所述终端设备之前,还包括:
根据用户的输入,确定需要防御的所述恶意程序的唯一标识,所述第三虚拟痕迹根据所述恶意程序的唯一标识进行确定。
5.根据权利要求4所述的恶意程序的防御方法,其特征在于,所述第三虚假痕迹包括与所述唯一标识相对应的恶意程序的文件、注册表、Event事件和/或Mutex互斥体。
6.一种恶意程序的防御装置,其特征在于,包括:
部署模块,用于部署虚假痕迹至终端设备,以供所述恶意程序进行前置环境检测;其中,所述虚假痕迹与恶意程序的检测逻辑相对应,所述虚假痕迹与所述恶意程序的检测逻辑检测的实际痕迹具有相同的特征。
7.根据权利要求6所述的恶意程序的防御装置,其特征在于,所述虚假痕迹包括以下至少之一:
与网络安全防御产品的检测逻辑相对应的第一虚假痕迹;
与模拟器的检测逻辑相对应的第二虚假痕迹;
与调试分析软件的检测逻辑相对应的第四虚假痕迹。
8.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至5中任一项所述恶意程序的防御方法的步骤。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述恶意程序的防御方法的步骤。
10.一种云计算平台,其特征在于,包括软件模块,所述软件模块用于实现如权利要求1至5中任一项所述的恶意程序的防御方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210164056.5A CN114553539A (zh) | 2022-02-22 | 2022-02-22 | 恶意程序的防御方法、装置及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210164056.5A CN114553539A (zh) | 2022-02-22 | 2022-02-22 | 恶意程序的防御方法、装置及相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114553539A true CN114553539A (zh) | 2022-05-27 |
Family
ID=81677390
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210164056.5A Pending CN114553539A (zh) | 2022-02-22 | 2022-02-22 | 恶意程序的防御方法、装置及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114553539A (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103428212A (zh) * | 2013-08-08 | 2013-12-04 | 电子科技大学 | 一种恶意代码检测及防御的方法 |
| US20160191550A1 (en) * | 2014-12-29 | 2016-06-30 | Fireeye, Inc. | Microvisor-based malware detection endpoint architecture |
| GB201610600D0 (en) * | 2015-10-20 | 2016-08-03 | Sophos Ltd | Mitigation of anti-sandbox malware techniques |
| US9619649B1 (en) * | 2015-03-13 | 2017-04-11 | Symantec Corporation | Systems and methods for detecting potentially malicious applications |
| CN109684826A (zh) * | 2018-01-15 | 2019-04-26 | 北京微步在线科技有限公司 | 应用程序沙箱反逃逸方法和电子设备 |
| CN111565176A (zh) * | 2020-04-24 | 2020-08-21 | 上海沪景信息科技有限公司 | 智能伪装主机方法、系统、设备及可读存储介质 |
| CN112329014A (zh) * | 2020-11-27 | 2021-02-05 | 杭州安恒信息技术股份有限公司 | 一种病毒识别防御方法、装置、存储介质及设备 |
| CN113312153A (zh) * | 2021-06-25 | 2021-08-27 | 深信服科技股份有限公司 | 一种集群部署方法、装置、电子设备及存储介质 |
| CN113886826A (zh) * | 2021-10-09 | 2022-01-04 | 杭州默安科技有限公司 | 一种基于恶意软件反沙箱特性的威胁防御方法及系统 |
-
2022
- 2022-02-22 CN CN202210164056.5A patent/CN114553539A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103428212A (zh) * | 2013-08-08 | 2013-12-04 | 电子科技大学 | 一种恶意代码检测及防御的方法 |
| US20160191550A1 (en) * | 2014-12-29 | 2016-06-30 | Fireeye, Inc. | Microvisor-based malware detection endpoint architecture |
| US9619649B1 (en) * | 2015-03-13 | 2017-04-11 | Symantec Corporation | Systems and methods for detecting potentially malicious applications |
| GB201610600D0 (en) * | 2015-10-20 | 2016-08-03 | Sophos Ltd | Mitigation of anti-sandbox malware techniques |
| CN109684826A (zh) * | 2018-01-15 | 2019-04-26 | 北京微步在线科技有限公司 | 应用程序沙箱反逃逸方法和电子设备 |
| CN111565176A (zh) * | 2020-04-24 | 2020-08-21 | 上海沪景信息科技有限公司 | 智能伪装主机方法、系统、设备及可读存储介质 |
| CN112329014A (zh) * | 2020-11-27 | 2021-02-05 | 杭州安恒信息技术股份有限公司 | 一种病毒识别防御方法、装置、存储介质及设备 |
| CN113312153A (zh) * | 2021-06-25 | 2021-08-27 | 深信服科技股份有限公司 | 一种集群部署方法、装置、电子设备及存储介质 |
| CN113886826A (zh) * | 2021-10-09 | 2022-01-04 | 杭州默安科技有限公司 | 一种基于恶意软件反沙箱特性的威胁防御方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Javaheri et al. | Detection and elimination of spyware and ransomware by intercepting kernel-level system routines | |
| US10691792B2 (en) | System and method for process hollowing detection | |
| US10581879B1 (en) | Enhanced malware detection for generated objects | |
| KR101946982B1 (ko) | 가상 머신에서 멀웨어 탐지를 위한 프로세스 평가 | |
| Moustafa et al. | Data analytics-enabled intrusion detection: Evaluations of ToN_IoT linux datasets | |
| US9251343B1 (en) | Detecting bootkits resident on compromised computers | |
| US9973531B1 (en) | Shellcode detection | |
| US10402563B2 (en) | Automated classification of exploits based on runtime environmental features | |
| US11070570B2 (en) | Methods and cloud-based systems for correlating malware detections by endpoint devices and servers | |
| CA3017936A1 (en) | System and method for reverse command shell detection | |
| Shan et al. | Safe side effects commitment for OS-level virtualization | |
| CN110119619B (zh) | 创建防病毒记录的系统和方法 | |
| US11706251B2 (en) | Simulating user interactions for malware analysis | |
| Čisar et al. | The framework of runtime application self-protection technology | |
| US20230275916A1 (en) | Detecting malicious activity on an endpoint based on real-time system events | |
| Lee et al. | Securing KVM-based cloud systems via virtualization introspection | |
| CN109597675A (zh) | 虚拟机恶意软件行为检测方法及系统 | |
| Orbinato et al. | Laccolith: Hypervisor-Based Adversary Emulation with Anti-Detection | |
| Zhuravchak et al. | Monitoring ransomware with berkeley packet filter | |
| CN114553539A (zh) | 恶意程序的防御方法、装置及相关设备 | |
| US11763004B1 (en) | System and method for bootkit detection | |
| Pham et al. | Evading Security Products for Credential Dumping Through Exploiting Vulnerable Driver in Windows Operating Systems | |
| Griffin | Assessment of run-time malware detection through critical function hooking and process introspection against real-world attacks | |
| Al-Saleh et al. | On Improving Antivirus Scanning Engines: Memory On-Access Scanner. | |
| Anjikar | Detection and Analysis of Rootkits on Android Smart Phones |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |