CN114969741A - 恶意软件检测与分析方法、装置、设备和可读存储介质 - Google Patents
恶意软件检测与分析方法、装置、设备和可读存储介质 Download PDFInfo
- Publication number
- CN114969741A CN114969741A CN202210636891.4A CN202210636891A CN114969741A CN 114969741 A CN114969741 A CN 114969741A CN 202210636891 A CN202210636891 A CN 202210636891A CN 114969741 A CN114969741 A CN 114969741A
- Authority
- CN
- China
- Prior art keywords
- software
- malicious
- detected
- information
- behavior information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 108
- 238000000034 method Methods 0.000 claims abstract description 73
- 230000008569 process Effects 0.000 claims abstract description 33
- 238000012544 monitoring process Methods 0.000 claims abstract description 13
- 230000006399 behavior Effects 0.000 claims description 195
- 238000001514 detection method Methods 0.000 claims description 84
- 238000004590 computer program Methods 0.000 claims description 6
- 230000002155 anti-virotic effect Effects 0.000 description 47
- 238000012986 modification Methods 0.000 description 12
- 230000004048 modification Effects 0.000 description 12
- 238000012217 deletion Methods 0.000 description 10
- 230000037430 deletion Effects 0.000 description 10
- 244000035744 Hura crepitans Species 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 230000001360 synchronised effect Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请适用于网络安全技术领域,提供了一种恶意软件检测与分析方法、装置、设备和可读存储介质,该方法包括:获取待检测软件的特征信息;将特征信息与恶意特征库中的恶意特征信息进行匹配,在确定未匹配到恶意特征信息时,对待检测软件的运行进行监视,获取待检测软件运行过程中的行为信息;将行为信息与恶意行为库中的恶意行为信息进行匹配;在确定匹配到恶意行为信息时,确定待检测软件为恶意软件;在确定未匹配到恶意行为信息时,根据行为信息和特征信息确定待检测软件满足预设条件时,确定待检测软件为恶意软件。该方法提高了恶意软件检测的准确率。
Description
技术领域
本申请属于网络安全技术领域,尤其涉及一种恶意软件检测与分析方法、装置、设备和可读存储介质。
背景技术
恶意软件是一种破坏受害者的工作站、移动设备、服务器和网关的程序。恶意软件可以是各种类型的敌意软件或侵入式软件,包括计算机病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件、恐吓软件、僵尸程序、rootkit或其他恶意软件。网络罪犯常利用恶意软件攻击个人和组织,实现破坏操作系统、破坏电脑或网络、窃取机密数据、收集个人信息、劫持或敏感隐私数据等操作。因此,对恶意软件进行分析和检测至关重要。
目前,恶意软件分析方法主要分为静态分析法和动态分析法。
然而,静态分析识别准确度低,动态分析识别效率低。对此,提出一个识别效率和准确度高的恶意软件检测与分析方法显得尤为重要。
发明内容
本申请提供了一种恶意软件检测与分析方法、装置、设备和可读存储介质,可以提高恶意软件的识别效率,以及保证恶意软件的识别准确度。
第一方面,本申请提供一种恶意软件检测与分析方法,包括:
获取待检测软件的特征信息;
将所述特征信息与恶意特征库中的恶意特征信息进行匹配,在确定未匹配到所述恶意特征信息时,对所述待检测软件的运行进行监视,获取所述待检测软件运行过程中的行为信息;
将所述行为信息与恶意行为库中的恶意行为信息进行匹配;
在确定匹配到所述恶意行为信息时,确定所述待检测软件为恶意软件;在确定未匹配到所述恶意行为信息时,根据所述行为信息和所述特征信息确定所述待检测软件满足预设条件时,确定所述待检测软件为恶意软件;
其中,所述预设条件包括如下至少一项:将超过预设数量的请求数据发送给操作系统、将操作系统的性能参数降低至预设数值、或者存在对用户的隐私数据进行加密。
在第一方面的一种可能的实现方式中,所述确定所述待检测软件为恶意软件之后,包括:
通知所述特征信息和/或所述行为信息,以实现对所述待检测软件的预警。
在第一方面的一种可能的实现方式中,所述通知所述特征信息和/或所述行为信息,包括:
显示所述特征信息和所述行为信息。
在第一方面的一种可能的实现方式中,
所述确定所述待检测软件为恶意软件之后,还包括:
将所述特征信息作为恶意特征信息添加至所述恶意特征库中,以更新所述恶意特征库;
将所述行为信息作为恶意行为信息添加至所述恶意行为库中,以更新所述恶意行为库。
在第一方面的一种可能的实现方式中,
在确定所述待检测软件不满足预设条件时,所述方法还包括:
通知所述待检测软件不为恶意软件。
在第一方面的一种可能的实现方式中,
在根据所述行为信息和所述特征信息确定所述待检测软件是否满足预设条件之前,所述方法还包括:
更新所述行为信息;
根据更新后的所述行为信息和所述特征信息确定所述待检测软件是否满足所述预设条件。
在第一方面的一种可能的实现方式中,在确定匹配到所述恶意特征信息时,所述方法还包括:
确定所述待检测软件为恶意软件;
通知所述特征信息。
本申请的一种恶意软件检测与分析方法,通过恶意软件分析与检测装置设置恶意特征库和恶意行为库,将待检测软件的特征信息和行为信息与恶意特征库和恶意行为库中的特征信息和行为信息进行匹配,保证检测恶意软件的准确率。保证了恶意软件的识别效率和识别准确度,避免了恶意软件对操作系统的破坏。
第二方面,本申请提供一种恶意软件分析与检测装置,该装置用于执行上述第一方面或第一方面的任一可能的实现方式中的方法。具体地,该装置包括:
获取模块,用于获取待检测软件的特征信息;
第一确定模块,用于将所述特征信息与恶意特征库中的恶意特征信息进行匹配,在确定未匹配到所述恶意特征信息时,对所述待检测软件的运行进行监视,获取所述待检测软件运行过程中的行为信息;
第二确定模块,用于执行如下步骤:
将所述行为信息与恶意行为库中的恶意行为信息进行匹配;
在确定匹配到所述恶意行为信息时,确定所述待检测软件为恶意软件;
在确定未匹配到所述恶意行为信息时,根据所述行为信息和所述特征信息确定所述待检测软件满足预设条件时,确定所述待检测软件为恶意软件;
其中,所述预设条件包括如下至少一项:将超过预设数量的请求数据发送给操作系统、将操作系统的性能参数降低至预设数值、或者存在对用户的隐私数据进行加密。
第三方面,本申请提供一种终端设备,该设备包括存储器与处理器。该存储器用于存储指令;该处理器执行该存储器存储的指令,使得该设备执行第一方面或第一方面的任一可能的实现方式中恶意软件分析与检测方法。
第四方面,本申请提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行第一方面或第一方面的任一可能的实现方式中恶意软件分析与检测方法。
第五方面,提供一种包含指令的计算机程序产品,当该指令在设备上运行时,使得设备执行第一方面或第一方面的任一可能的实现方式中恶意软件分析与检测方法。
可以理解的是,上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
附图说明
为了更清楚地说明本申请中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例提供的恶意软件检测与分析方法的流程示意图;
图2是本申请一实施例提供的恶意软件检测与分析方法的流程示意图;
图3是本申请一实施例提供的恶意软件检测与分析方法的流程示意图;
图4是本申请一实施例提供的恶意软件检测与分析方法的流程示意图
图5是本申请一实施例提供的恶意软件检测与分析装置的结构示意图;
图6是本申请一实施例提供的终端设备的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本申请说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
本申请提供一种恶意软件检测与分析方法、装置、设备和存储介质,该方法可通过恶意软件检测与分析装置进行实现,且应用于恶意软件检测与分析场景中。
其中,恶意软件检测与分析装置与终端设备通信连接。例如,恶意软件检测与分析装置可通过如应用程序(application,APP)等形式,与终端设备进行相互通信,使得恶意软件检测与分析装置与终端设备能够相互传递信息。还款用户可通过与终端设备通信的恶意软件检测与分析装置实现恶意软件检测与分析。
其中,终端设备指的是进行恶意软件检测与分析的设备。终端设备可以为具有显示屏硬件以及相应软件支持的设备,例如智能手机、平板电脑、台式电脑、服务器等。
基于上述场景描述,下面,结合恶意软件检测与分析装置,对本申请实施例提供的恶意软件检测与分析方法进行详细说明。
请参阅图1,图1示出了本申请一实施例提供的恶意软件检测与分析方法的流程示意图。
如图1所示,本申请提供的恶意软件检测与分析方法可以包括:
S101、获取待检测软件的特征信息。
其中,待检测软件可以为正在下载的软件或正在下载的软件中携带的插件,也可以为下载后尚未运行的软件,又可以为运行中的软件。
在一些实施例中,待检测软件为正在下载的软件或正在下载的软件中携带的插件时,恶意软件检测与分析装置从正在下载的软件或正在下载的软件中携带的插件中提取该软件或插件的特征信息。
在另一些实施例中,待检测软件为下载后尚未运行的软件时,恶意软件检测与分析装置可以定时从下载后尚未运行的软件中提取该软件的特征信息。
在另一些实施例中,待检测软件为运行中的软件时,恶意软件检测与分析装置在检测到有软件运行时,从运行的软件中提取该软件的特征信息。
其中,特征信息可以包括但不限于软件名称、软件简介、软件组成内容、软件的哈希值。
软件组成内容包括但不限于软件的代码、软件的结构。
哈希值,即HASH值,是通过对软件的文件组成内容进行加密运算得到的一组二进制值,主要用途是用于软件校验或签名。正是因为这样的特点,它常常用来判断两个软件是否相同。在一个具体的实施例中,假设终端设备为台式电脑,恶意软件检测与分析装置为杀毒软件,杀毒软件具有显示页面,且待检测软件为正在下载中的软件。在待检测软件在台式电脑上开始下载时,杀毒软件可以获知待检测软件的软件名称、软件简介、软件组成内容和软件的哈希值。
S102、将所述特征信息与恶意特征库中的恶意特征信息进行匹配,在确定未匹配到所述恶意特征信息时,对所述待检测软件的运行进行监视,获取所述待检测软件运行过程中的行为信息。
恶意软件检测与分析装置可以预先设计恶意特征库,并将恶意特征库存储在恶意软件检测与分析装置和/或存储设备中。
其中,存储设备可与恶意软件检测与分析装置进行通信,使得恶意软件检测与分析装置能够从存储设备中获取恶意特征库。本申请对存储设备的存储方式和具体类型不做限定。
可以理解的是,恶意特征库中的恶意特征为从多个确定的已知恶意软件中提取的恶意特征。
恶意特征库中的恶意特征可采用如表格、数组等存储方式。
恶意特征库中的恶意特征信息包括但不限于恶意软件名称、恶意软件简介、恶意软件组成内容、恶意软件的哈希值。
行为信息需要在待检测软件运行时获取。其中,待检测软件运行时的行为信息包括但不限于广告弹出、恶意捆绑、修改用户的浏览器设置、操作删除文件、将操作系统蓝屏、修改操作系统文件、修改/删除注册表。
监视是指对待检测软件运行过程中发生的行为信息进行监视。
在一些实施例中,对待检测软件的运行进行监视时,是通过将待检测软件放在沙箱中隔离运行,再进行监视。
沙箱指在隔离环境中,用以测试不受信任的文件或应用程序等行为的工具。
其中,沙箱通常位于恶意软件检测与分析装置中。
在一个具体的实施例中,假设终端设备为台式电脑,恶意软件检测与分析装置为杀毒软件,杀毒软件具有展示页面,且待检测软件为正在下载中的软件。在待检测软件在台式电脑上开始下载时,杀毒软件可以获知待检测软件的软件名称、软件简介、软件组成内容和软件的哈希值,当检测到待检测软件的软件名称、软件简介、软件组成内容和软件的哈希值中均与恶意特征库中的恶意软件名称、恶意软件简介和恶意软件组成内容和恶意软件的哈希值不一致时,杀毒软件将待检测软件放入沙箱中隔离运行,并对待检测软件的运行进行监视,然后再获取待检测软件运行过程中的行为信息。
S103、将所述行为信息与恶意行为库中的恶意行为信息进行匹配。
恶意软件检测与分析装置可以预先设计恶意行为库,并将恶意行为库存储在恶意软件检测与分析装置和/或存储设备中。
恶意行为库中的恶意行为包括但不限于将操作系统蓝屏、修改/删除操作系统文件和修改/删除注册表。
恶意行为库为预先设计,恶意行为库用于对通过恶意特征库未检测出待检测软件为恶意软件时,对待检测软件进行再次检测,保证检测的准确率。
其中,基于S102,恶意软件检测与分析装置可获得待检测软件运行过程中的行为信息。从而,恶意软件检测与分析装置可以将行为信息与恶意行为库中的恶意行为信息进行匹配。
可以理解的是,待检测软件运行过程中的行为信息至少具有一个。例如,待检测软件运行时的行为信息包括将操作系统蓝屏。
在一些实施例中,待检测软件运行过程中的行为信息具有一个时,将行为信息与恶意行为库中的每一个恶意行为信息进行匹配。
在另一些实施例中,待检测软件运行过程中的行为信息具有两个及两个以上时,将行为信息中的每一个跟恶意行为库中的恶意行为信息进行匹配。
在一个具体的实施例中,假设终端设备为台式电脑,恶意软件检测与分析装置为杀毒软件,杀毒软件具有展示页面,且待检测软件为正在下载中的软件。在待检测软件在台式电脑上开始下载时,杀毒软件可以获知待检测软件的软件名称、软件简介、软件组成内容和软件的哈希值,当杀毒软件检测到待检测软件的软件名称、软件简介、软件组成内容和软件的哈希值中均与恶意特征库中的恶意软件名称、恶意软件简介和恶意软件组成内容和恶意软件的哈希值不一致时,杀毒软件将待检测软件放入沙箱中隔离运行,并对待检测软件的运行进行监视,然后杀毒软件再获取待检测软件运行过程中的行为信息为将操作系统蓝屏,并将该将操作系统蓝屏的行为信息与恶意行为库中的将操作系统蓝屏、修改/删除操作系统文件和修改/删除注册表进行匹配。
S104、在确定匹配到所述恶意行为信息时,确定所述待检测软件为恶意软件。
确定匹配到恶意行为信息是指待检测软件的行为信息匹配到恶意特征库中的任意一个恶意行为信息。
在一些实施例中,确定待检测软件为恶意软件后,还需要标记该恶意软件。
在一个具体的实施例中,假设终端设备为台式电脑,恶意软件检测与分析装置为杀毒软件,杀毒软件具有展示页面,且待检测软件为正在下载中的软件。在待检测软件在台式电脑上开始下载时,杀毒软件可以获知待检测软件的软件名称、软件简介、软件组成内容和软件的哈希值,当检测到待检测软件的软件名称、软件简介、软件组成内容和软件的哈希值中均与恶意特征库中的恶意软件名称、恶意软件简介和恶意软件组成内容和恶意软件的哈希值不一致时,杀毒软件将待检测软件放入沙箱中隔离运行,并对待检测软件的运行进行监视,然后再获取待检测软件运行过程中的行为信息为将操作系统蓝屏,并将该将操作系统蓝屏的行为信息与恶意行为库中的将操作系统蓝屏、修改/删除操作系统文件和修改/删除注册表进行匹配,当杀毒软件检测到待检测软件的行为信息与恶意行为库中的任意一个恶意行为信息一致时,杀毒软件认为待检测软件为恶意软件,杀毒软件将待检测软件确定为恶意软件,并对恶意软件进行标记。
S105、在确定未匹配到所述恶意行为信息时,根据所述行为信息和所述特征信息确定所述待检测软件满足预设条件时,确定所述待检测软件为恶意软件。
其中,所述预设条件包括如下至少一项:将超过预设数量的请求数据发送给操作系统、将操作系统的性能参数降低至预设数值、或者存在对用户的隐私数据进行加密。
预设条件为预先设计,预设条件用于对通过恶意特征库和恶意行为库均未检测出待检测软件为恶意软件时,对待检测软件进行再次检测,保证检测的准确率。
在一些实施例中,根据行为信息和特征信息确定待检测软件是否满足预设条件由技术人员确定。
在一些实施例中,在恶意软件检测与分析装置根据行为信息和特征信息确定待检测软件是否满足预设条件之前,恶意软件检测与分析装置更新行为信息,再根据更新后的行为信息和特征信息确定待检测软件是否满足预设条件。恶意软件检测与分析装置通过更新后的行为信息和特征信息确定待检测软件是否满足预设条件,可以保证在确定是否满足预设条件时,判断更加准确。
在一个具体的实施例中,假设终端设备为台式电脑,恶意软件检测与分析装置为杀毒软件,杀毒软件具有展示页面,且待检测软件为正在下载中的软件。在待检测软件在台式电脑上开始下载时,杀毒软件可以获知待检测软件的软件名称、软件简介、软件组成内容和软件的哈希值,当检测到待检测软件的软件名称、软件简介、软件组成内容和软件的哈希值中均与恶意特征库中的恶意软件名称、恶意软件简介和恶意软件组成内容和恶意软件的哈希值不一致时,杀毒软件将待检测软件放入沙箱中隔离运行,并对待检测软件的运行进行监视,然后再获取待检测软件运行过程中的行为信息为将操作系统蓝屏,并将该将操作系统蓝屏的行为信息与恶意行为库中的将操作系统蓝屏、修改/删除操作系统文件和修改/删除注册表进行匹配,当杀毒软件检测到待检测软件的行为信息与恶意行为库中的任意一个恶意行为信息均不一致时,根据行为信息和特征信息确定待检测软件是否满足将超过预设数量的请求数据发送给操作系统、将操作系统的性能参数降低至预设数值、或者存在对用户的隐私数据进行加密中的任意一个,满足其中一个时,杀毒软件确定待检测软件为恶意软件。
在一些实施例中,在确定所述待检测软件不满足预设条件时,通知所述待检测软件不为恶意软件。
在一个具体的实施例中,假设终端设备为台式电脑,恶意软件检测与分析装置为杀毒软件,杀毒软件具有展示页面,且待检测软件为正在下载中的软件。在待检测软件在台式电脑上开始下载时,杀毒软件可以获知待检测软件的软件名称、软件简介、软件组成内容和软件的哈希值,当检测到待检测软件的软件名称、软件简介、软件组成内容和软件的哈希值中均与恶意特征库中的恶意软件名称、恶意软件简介和恶意软件组成内容和恶意软件的哈希值不一致时,杀毒软件将待检测软件放入沙箱中隔离运行,并对待检测软件的运行进行监视,然后再获取待检测软件运行过程中的行为信息为将操作系统蓝屏,并将该将操作系统蓝屏的行为信息与恶意行为库中的将操作系统蓝屏、修改/删除操作系统文件和修改/删除注册表进行匹配,当杀毒软件检测到待检测软件的行为信息与恶意行为库中的任意一个恶意行为信息均不一致时,根据行为信息和特征信息确定待检测软件是否满足将超过预设数量的请求数据发送给操作系统、将操作系统的性能参数降低至预设数值、或者存在对用户的隐私数据进行加密中的任意一个,不满足预设条件中的所有条件时,杀毒软件确定待检测软件不为恶意软件。
本申请中,恶意软件检测与分析装置通过获取待检测软件的特征信息,在确定未匹配到恶意特征库中的恶意特征信息时,获取待检测软件运行过程中的行为信息,在确定匹配到恶意行为库中的恶意行为信息时,确定待检测软件为恶意软件,在确定未匹配到恶意行为库中的恶意行为信息时,根据行为信息和特征信息确定待检测软件满足预设条件时,确定待检测软件为恶意软件。借助恶意特征库和恶意行为库,将待检测软件的特征信息与恶意特征库中的恶意特征进行比对,以及将待检测软件的行为信息与和恶意行为库中的恶意行为信息进行对比,两个库结合可以更加准确的确定待检测软件是否为恶意软件,保证了恶意软件检测与分析装置对恶意软件的识别效率和识别准确度,避免了恶意软件对操作系统的破坏。同时,在恶意特征库和恶意行为库结合还不能确定待检测软件是否为恶意软件时,引入预设条件再次判断,进一步保证了恶意软件检测与分析装置对恶意软件的识别效率。
基于上述图1所示实施例的描述,恶意软件检测与分析装置在确定待检测软件为恶意软件之后,还需要通知用户所述特征信息和/或行为信息,以实现对待检测软件的预警。
下面,结合图2,详细介绍本申请的恶意软件检测与分析方法的具体实现过程。
请参阅图2,图2示出了本申请一实施例提供的恶意软件检测与分析方法的流程示意图。
如图2所示,本申请提供的恶意软件检测与分析方法可以包括:
S201、获取待检测软件的特征信息。
S202、将所述特征信息与恶意特征库中的恶意特征信息进行匹配,在确定未匹配到所述恶意特征信息时,对所述待检测软件的运行进行监视,获取所述待检测软件运行过程中的行为信息。
S203、将所述行为信息与恶意行为库中的恶意行为信息进行匹配。
在确定匹配到所述恶意行为信息时,恶意软件检测与分析装置执行S204和S204;在确定未匹配到所述恶意行为信息时,恶意软件检测与分析装置执行S205。
S204、确定所述待检测软件为恶意软件。
S205、根据所述行为信息和所述特征信息确定所述待检测软件满足预设条件时,确定所述待检测软件为恶意软件。
其中,所述预设条件包括如下至少一项:将超过预设数量的请求数据发送给操作系统、将操作系统的性能参数降低至预设数值、或者存在对用户的隐私数据进行加密。
其中,S201、S202、S203、S204和S205分别与图1所示实施例中的S101、S102、S102、S104和S105实现方式类似,本申请此处不再赘述。
S206、通知所述特征信息和/或所述行为信息,以实现对所述待检测软件的预警。
终端设备可显示恶意软件检测与分析装置的显示页面。其中,恶意软件检测与分析装置的显示页面用于显示恶意软件的恶意软件的行为信息和恶意软件的特征信息。本申请对恶意软件检测与分析装置的展示页面的具体实现方式不做限定。
在一些实施例中,恶意软件检测与分析装置将特征信息和行为信息显示在终端设备的显示页面上。
在一些实施例中,在恶意软件检测与分析装置直接通过恶意行为库可以确定待检测软件为恶意软件时,恶意软件检测与分析装置将与恶意特征库中匹配的特征信息和行为信息作为恶意软件的特征信息和行为信息显示在显示屏上。
在另一些实施例中,在恶意软件检测与分析装置直接通过恶意行为库可以确定待检测软件为恶意软件后,更新待检测软件运行过程中的行为信息,恶意软件检测与分析装置将与恶意特征库中匹配的特征信息和更新后的行为信息作为恶意软件的特征信息和行为信息显示在显示屏上。先更新待检测软件运行过程中的行为信息再进行显示,以保证显示的行为信息更加全面。
在另一些实施例中,在恶意软件检测与分析装置直接通过恶意行为库不能确定待检测软件为恶意软件,且通过预设条件可以确定待检测软件为恶意软件时,恶意软件检测与分析装置将待检测软件的特征信息和运行过程中的行为信息作为恶意软件的特征信息和行为信息显示在显示屏上。
在一个具体的实施例中,假设终端设备为台式电脑,恶意软件检测与分析装置为杀毒软件,杀毒软件具有展示页面,且待检测软件为正在下载中的软件。在待检测软件在台式电脑上开始下载时,杀毒软件可以获知待检测软件的软件名称、软件简介、软件组成内容和软件的哈希值,当杀毒软件检测到待检测软件的软件名称、软件简介、软件组成内容和软件的哈希值中均与恶意特征库中的恶意软件名称、恶意软件简介和恶意软件组成内容和恶意软件的哈希值不一致时,杀毒软件将待检测软件放入沙箱中隔离运行,并对待检测软件的运行进行监视,然后再获取待检测软件运行过程中的行为信息为将操作系统蓝屏,并将该将操作系统蓝屏的行为信息与恶意行为库中的将操作系统蓝屏、修改/删除操作系统文件和修改/删除注册表进行匹配,当杀毒软件检测到待检测软件的行为信息与恶意行为库中的任意一个恶意行为信息均不一致时,根据行为信息和特征信息确定待检测软件是否满足将超过预设数量的请求数据发送给操作系统、将操作系统的性能参数降低至预设数值、或者存在对用户的隐私数据进行加密中的任意一个,满足其中一个时,杀毒软件确定待检测软件为恶意软件,杀毒软件将将待检测软件的行为信息作为恶意软件的行为信息,以及将待检测软件的特征信息作为恶意软件的特征信息在显示页面上。
本申请中,恶意软件检测与分析装置在确定待检测软件为恶意软件时,通知特征信息和/或行为信息,以实现对待检测软件的预警。可以使得用户直接获取待检测软件的特征信息和行为信息,以便于用于可以根据待检测软件的特征信息和行为信息了解该待检测软件为恶意软件的原因。
基于上述图1所示实施例的描述,恶意软件检测与分析装置确定所述待检测软件为恶意软件之后,还包括根据特征信息和行为信息与恶意特征库和恶意行为库的更新。
下面,结合图3,详细介绍本申请的恶意软件检测与分析方法的具体实现过程。
请参阅图3,图3示出了本申请一实施例提供的恶意软件检测与分析方法的流程示意图。
如图3所示,本申请提供的恶意软件检测与分析方法可以包括:
S301、获取待检测软件的特征信息。
S302、将所述特征信息与恶意特征库中的恶意特征信息进行匹配,在确定未匹配到所述恶意特征信息时,对所述待检测软件的运行进行监视,获取所述待检测软件运行过程中的行为信息。
S303、将所述行为信息与恶意行为库中的恶意行为信息进行匹配。
在确定匹配到所述恶意行为信息时,恶意软件检测与分析装置执行S303和S305;在确定未匹配到所述恶意行为信息时,恶意软件检测与分析装置执行S306。
S304、确定所述待检测软件为恶意软件。
S305、根据所述行为信息和所述特征信息确定所述待检测软件满足预设条件时,确定所述待检测软件为恶意软件。
其中,S301、S302、S303、S303和S305和分别与图1所示实施例中的S301、S302、S303和S303实现方式类似,本申请此处不再赘述。
S306、将所述特征信息作为恶意特征信息添加至所述恶意特征库中,以更新所述恶意特征库。
S307、将所述行为信息作为恶意行为信息添加至所述恶意行为库中,以更新所述恶意行为库。
在一个具体的实施例中,假设终端设备为台式电脑,恶意软件检测与分析装置为杀毒软件时,且待检测软件为正在下载中的软件。在杀毒软件确定待检测软件为恶意软件时,杀毒软件将待检测软件的特征信息作为恶意特征信息添加至恶意特征库,并将待检测软件的行为信息作为恶意行为信息添加至恶意行为库,以更新恶意特征库和恶意行为库。
本申请中,恶意软件检测与分析装置通过将待检测软件的特征信息更新至恶意特征库中,以及将待检测软件运行时的行为信息更新至恶意行为库中,保证下一次恶意软件检测与分析装置在检测待检测软件是否为恶意软件时,能够快速检测到该软件为恶意软件,体现了恶意软件检测与分析装置的人性化。基于上述图1所示实施例的描述,恶意软件检测与分析装置在确定待检测软件的特征信息匹配到恶意特征信息时,确定待检测软件为恶意软件。
下面,结合图4,详细介绍本申请的恶意软件检测与分析方法的具体实现过程。
基于图1中S103的描述,恶意软件检测与分析装置在确定匹配到恶意特征库中的恶意特征信息时,可以直接确定待检测软件为恶意软件。
请参阅图4,图4示出了本申请一实施例提供的恶意软件检测与分析方法的流程示意图。
如图4所示,本申请提供的恶意软件检测与分析方法可以包括:
S401、获取待检测软件的特征信息。
S402、将所述特征信息与恶意特征库中的恶意特征信息进行匹配。
在确定未匹配到所述恶意特征信息时,恶意软件检测与分析装置执行S403;在确定匹配到恶意特征库中的至少一个恶意特征信息时,恶意软件检测与分析装置执行S404。
S403、对所述待检测软件的运行进行监视,获取所述待检测软件运行过程中的行为信息。
其中,S401、S404和S403分别与图1所示实施例中的S101和S104实现方式类似,本申请此处不再赘述。
S404、在确定匹配到所述恶意特征信息时,确定所述待检测软件为恶意软件。
确定匹配到所述恶意特征信息表示待检测软件的至少一个特征信息与恶意特征库中的恶意特征信息一致,此时,恶意软件检测与分析装置可以确定待检测软件为已知的恶意特征软件。
S405、通知所述特征信息。
在一些实施例中,恶意软件检测与分析装置将待检测软件的特征信息与恶意特征库中的恶意特征相匹配的特征信息进行显示。例如,将恶意软件的名称、简介和哈希值进行显示在恶意软件检测与分析装置的显示页面上。
在一个具体的实施例中,假设终端设备为台式电脑,恶意软件检测与分析装置为杀毒软件,杀毒软件具有展示页面,且待检测软件为正在下载中的软件。在待检测软件在台式电脑上开始下载时,杀毒软件可以获知待检测软件的软件名称、软件简介、软件内容和软件的哈希值,当检测到待检测软件的软件名称、软件简介、软件内容和软件的哈希值中的任意一个与恶意特征库中的恶意软件名称、恶意软件简介和恶意软件内容和恶意软件的哈希值中的任意一个一致时,杀毒软件认为待检测软件为已知的恶意特征软件,杀毒软件将待检测软件的名称、简介和哈希值作为已知恶意软件的名称、简介和哈希值显示在显示页面上。
本申请,恶意软件检测与分析装置在确定匹配到恶意特征信息时,确定待检测软件为恶意软件,通知特征信息。以保证用户能够快速了解终端设备上有恶意软件正在下载或者运行,便于用户或者相关技术人员能够及时对恶意软件进行清理。
对应于上述图1所示实施例所述的一种恶意软件分析与检测方法,本申请还提供了一种信贷还款系统。
下面,结合图5,对本申请一实施例提供的恶意软件分析与检测装置进行详细说明。
请参阅图5,图5示出了本申请一实施例提供的恶意软件分析与检测装置的示意性框图。
如图5所示,本申请一实施例提供的恶意软件分析与检测装置500,包括获取模块501、第一确定模块502、第二确定模块503和展示模块504。
获取模块501,用于获取待检测软件的特征信息;
第一确定模块502,用于将所述特征信息与恶意特征库中的恶意特征信息进行匹配,在确定未匹配到所述恶意特征信息时,对所述待检测软件的运行进行监视,获取所述待检测软件运行过程中的行为信息;
第二确定模块503,用于执行如下步骤:
将所述行为信息与恶意行为库中的恶意行为信息进行匹配;
在确定匹配到所述恶意行为信息时,确定所述待检测软件为恶意软件;
在确定未匹配到所述恶意行为信息时,根据所述行为信息和所述特征信息确定所述待检测软件满足预设条件时,确定所述待检测软件为恶意软件;
其中,所述预设条件包括如下至少一项:将超过预设数量的请求数据发送给操作系统、将操作系统的性能参数降低至预设数值、或者存在对用户的隐私数据进行加密。
在一些实施例中,第二确定模块503,具体用于:
所述确定所述待检测软件为恶意软件之后,包括:
通知所述特征信息和/或所述行为信息,以实现对所述待检测软件的预警。
在一些实施例中,第二确定模块503,具体用于:
显示所述特征信息和所述行为信息。
在一些实施例中,恶意软件分析与检测装置500还包括:更新模块,(图6中未进行示意)。
更新模块,用于:
在确定所述待检测软件为恶意软件之后,将所述特征信息作为恶意特征信息添加至所述恶意特征库中,以更新所述恶意特征库;
将所述行为信息作为恶意行为信息添加至所述恶意行为库中,以更新所述恶意行为库。
在一些实施例中,第二确定模块503,具体用于:
在确定所述待检测软件不满足预设条件时,通知所述待检测软件不为恶意软件。
在一些实施例中,第二确定模块503,具体用于:
更新所述行为信息;
根据更新后的所述行为信息和所述特征信息确定所述待检测软件是否满足所述预设条件。
在一些实施例中,第二确定模块503,具体用于:
在确定匹配到所述恶意特征信息时,确定所述待检测软件为恶意软件;
通知所述特征信息。
应理解的是,本申请的装置500可以通过专用集成电路(application-specificintegrated circuit,ASIC)实现,或可编程逻辑器件(programmable logic device,PLD)实现,上述PLD可以是复杂程序逻辑器件(complex programmable logical device,CPLD),现场可编程门阵列(field-programmable gate array,FPGA),通用阵列逻辑(genericarray logic,GAL)或其任意组合。也可以通过软件实现图1所示的恶意软件分析与检测方法,当通过软件实现图1所示的恶意软件分析与检测方法时,装置500及其各个模块也可以为软件模块。
图6为本申请提供的一种终端设备的结构示意图。如图6所示,其中设备600包括处理器601、存储器602、通信接口603和总线604。其中,处理器601、存储器602、通信接口603通过总线604进行通信,也可以通过无线传输等其他手段实现通信。该存储器602用于存储指令,该处理器601用于执行该存储器602存储的指令。该存储器602存储程序代码6021,且处理器601可以调用存储器602中存储的程序代码6021执行图1所示的恶意软件分析与检测方法。
应理解,在本申请中,处理器601可以是CPU,处理器601还可以是其他通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器等。
该存储器602可以包括只读存储器和随机存取存储器,并向处理器601提供指令和数据。存储器602还可以包括非易失性随机存取存储器。该存储器602可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electricallyEPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double datadate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DR RAM)。
该总线604除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图6中将各种总线都标为总线604。
应理解,根据本申请的设备600可对应于本申请中的装置500,并可以对应于本申请图1所示方法中的设备,当设备600对应于图1所示方法中的设备时,设备600中的各个模块的上述和其它操作和/或功能分别为了实现图1中的由设备执行的方法的操作步骤,为了简洁,在此不再赘述。
本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现可实现上述各个方法实施例中的步骤。
本申请提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行时实现可实现上述各个方法实施例中的步骤。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请的实施过程构成任何限定。
需要说明的是,上述装置/单元之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将上述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/网络设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/网络设备实施例仅仅是示意性的,例如,上述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本申请方案的目的。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种恶意软件检测与分析方法,其特征在于,包括:
获取待检测软件的特征信息;
将所述特征信息与恶意特征库中的恶意特征信息进行匹配,在确定未匹配到所述恶意特征信息时,对所述待检测软件的运行进行监视,获取所述待检测软件运行过程中的行为信息;
将所述行为信息与恶意行为库中的恶意行为信息进行匹配;
在确定匹配到所述恶意行为信息时,确定所述待检测软件为恶意软件;在确定未匹配到所述恶意行为信息时,根据所述行为信息和所述特征信息确定所述待检测软件满足预设条件时,确定所述待检测软件为恶意软件;
其中,所述预设条件包括如下至少一项:将超过预设数量的请求数据发送给操作系统、将操作系统的性能参数降低至预设数值、或者存在对用户的隐私数据进行加密。
2.如权利要求1所述的方法,其特征在于,所述确定所述待检测软件为恶意软件之后,包括:
通知所述特征信息和/或所述行为信息,以实现对所述待检测软件的预警。
3.如权利要求2所述的方法,其特征在于,通知所述特征信息和/或所述行为信息,包括:
显示所述特征信息和所述行为信息。
4.如权利要求1至3中任一所述的方法,其特征在于,所述确定所述待检测软件为恶意软件之后,还包括:
将所述特征信息作为恶意特征信息添加至所述恶意特征库中,以更新所述恶意特征库;
将所述行为信息作为恶意行为信息添加至所述恶意行为库中,以更新所述恶意行为库。
5.如权利要求1所述的方法,其特征在于,在确定所述待检测软件不满足预设条件时,所述方法还包括:
通知所述待检测软件不为恶意软件。
6.如权利要求1所述的方法,其特征在于,在根据所述行为信息和所述特征信息确定所述待检测软件是否满足预设条件之前,所述方法还包括:
更新所述行为信息;
根据更新后的所述行为信息和所述特征信息确定所述待检测软件是否满足所述预设条件。
7.如权利要求1所述的方法,其特征在于,在确定匹配到所述恶意特征信息时,所述方法还包括:
确定所述待检测软件为恶意软件;
通知所述特征信息。
8.一种恶意软件分析与检测装置,其特征在于,包括:
获取模块,用于获取待检测软件的特征信息;
第一确定模块,用于将所述特征信息与恶意特征库中的恶意特征信息进行匹配,在确定未匹配到所述恶意特征信息时,对所述待检测软件的运行进行监视,获取所述待检测软件运行过程中的行为信息;
第二确定模块,用于执行如下步骤:
将所述行为信息与恶意行为库中的恶意行为信息进行匹配;
在确定匹配到所述恶意行为信息时,确定所述待检测软件为恶意软件;
在确定未匹配到所述恶意行为信息时,根据所述行为信息和所述特征信息确定所述待检测软件满足预设条件时,确定所述待检测软件为恶意软件;
其中,所述预设条件包括如下至少一项:将超过预设数量的请求数据发送给操作系统、将操作系统的性能参数降低至预设数值、或者存在对用户的隐私数据进行加密。
9.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210636891.4A CN114969741A (zh) | 2022-06-07 | 2022-06-07 | 恶意软件检测与分析方法、装置、设备和可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210636891.4A CN114969741A (zh) | 2022-06-07 | 2022-06-07 | 恶意软件检测与分析方法、装置、设备和可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114969741A true CN114969741A (zh) | 2022-08-30 |
Family
ID=82959030
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210636891.4A Pending CN114969741A (zh) | 2022-06-07 | 2022-06-07 | 恶意软件检测与分析方法、装置、设备和可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114969741A (zh) |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110219449A1 (en) * | 2010-03-04 | 2011-09-08 | St Neitzel Michael | Malware detection method, system and computer program product |
| CN103186740A (zh) * | 2011-12-27 | 2013-07-03 | 北京大学 | 一种Android恶意软件的自动化检测方法 |
| CN104794051A (zh) * | 2014-01-21 | 2015-07-22 | 中国科学院声学研究所 | 一种Android平台恶意软件自动化检测方法 |
| US20160191550A1 (en) * | 2014-12-29 | 2016-06-30 | Fireeye, Inc. | Microvisor-based malware detection endpoint architecture |
| CN105825129A (zh) * | 2015-01-04 | 2016-08-03 | 中国移动通信集团设计院有限公司 | 一种融合通信中恶意软件鉴别方法和系统 |
| US20170083703A1 (en) * | 2015-09-22 | 2017-03-23 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
| US9607148B1 (en) * | 2009-06-30 | 2017-03-28 | Symantec Corporation | Method and apparatus for detecting malware on a computer system |
| CN107145780A (zh) * | 2017-03-31 | 2017-09-08 | 腾讯科技(深圳)有限公司 | 恶意软件检测方法及装置 |
| CN108985051A (zh) * | 2018-08-02 | 2018-12-11 | 郑州云海信息技术有限公司 | 一种基于行为跟踪的入侵防御方法与系统 |
| CN109145604A (zh) * | 2018-08-21 | 2019-01-04 | 成都网思科平科技有限公司 | 一种勒索软件智能检测方法及系统 |
| CN111414617A (zh) * | 2020-03-13 | 2020-07-14 | 苏州浪潮智能科技有限公司 | 一种恶意软件检测方法、装置、设备、介质 |
| CN111737696A (zh) * | 2020-06-28 | 2020-10-02 | 杭州安恒信息技术股份有限公司 | 一种恶意文件检测的方法、系统、设备及可读存储介质 |
| CN114065202A (zh) * | 2021-11-24 | 2022-02-18 | 安天科技集团股份有限公司 | 一种恶意代码检测方法、装置、电子设备及存储介质 |
| CN114282216A (zh) * | 2021-12-22 | 2022-04-05 | 国能信息技术有限公司 | 一种恶意软件检测方法、装置、计算机设备及存储介质 |
| CN114531294A (zh) * | 2022-02-28 | 2022-05-24 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 一种网络异常感知方法、装置、终端及存储介质 |
-
2022
- 2022-06-07 CN CN202210636891.4A patent/CN114969741A/zh active Pending
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9607148B1 (en) * | 2009-06-30 | 2017-03-28 | Symantec Corporation | Method and apparatus for detecting malware on a computer system |
| US20110219449A1 (en) * | 2010-03-04 | 2011-09-08 | St Neitzel Michael | Malware detection method, system and computer program product |
| CN103186740A (zh) * | 2011-12-27 | 2013-07-03 | 北京大学 | 一种Android恶意软件的自动化检测方法 |
| CN104794051A (zh) * | 2014-01-21 | 2015-07-22 | 中国科学院声学研究所 | 一种Android平台恶意软件自动化检测方法 |
| US20160191550A1 (en) * | 2014-12-29 | 2016-06-30 | Fireeye, Inc. | Microvisor-based malware detection endpoint architecture |
| CN105825129A (zh) * | 2015-01-04 | 2016-08-03 | 中国移动通信集团设计院有限公司 | 一种融合通信中恶意软件鉴别方法和系统 |
| US20170083703A1 (en) * | 2015-09-22 | 2017-03-23 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
| CN107145780A (zh) * | 2017-03-31 | 2017-09-08 | 腾讯科技(深圳)有限公司 | 恶意软件检测方法及装置 |
| CN108985051A (zh) * | 2018-08-02 | 2018-12-11 | 郑州云海信息技术有限公司 | 一种基于行为跟踪的入侵防御方法与系统 |
| CN109145604A (zh) * | 2018-08-21 | 2019-01-04 | 成都网思科平科技有限公司 | 一种勒索软件智能检测方法及系统 |
| CN111414617A (zh) * | 2020-03-13 | 2020-07-14 | 苏州浪潮智能科技有限公司 | 一种恶意软件检测方法、装置、设备、介质 |
| CN111737696A (zh) * | 2020-06-28 | 2020-10-02 | 杭州安恒信息技术股份有限公司 | 一种恶意文件检测的方法、系统、设备及可读存储介质 |
| CN114065202A (zh) * | 2021-11-24 | 2022-02-18 | 安天科技集团股份有限公司 | 一种恶意代码检测方法、装置、电子设备及存储介质 |
| CN114282216A (zh) * | 2021-12-22 | 2022-04-05 | 国能信息技术有限公司 | 一种恶意软件检测方法、装置、计算机设备及存储介质 |
| CN114531294A (zh) * | 2022-02-28 | 2022-05-24 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 一种网络异常感知方法、装置、终端及存储介质 |
Non-Patent Citations (6)
| Title |
|---|
| 《交通大辞典》编辑委员会: "《交通大辞典 增补本》", 31 July 2008, 上海科学文献技术出版社, pages: 151 * |
| 张基温: "《信息系统安全》", 31 August 2020, 机械工业出版社, pages: 10 - 11 * |
| 徐欣;程绍银;蒋凡;: "恶意软件动态分析云平台", 计算机系统应用, no. 03, 15 March 2016 (2016-03-15) * |
| 李梦玮;赵晓飞;巩潇;: "基于故障树的服务机器人信息安全测评系统模型", 工业技术创新, no. 03, 11 June 2020 (2020-06-11) * |
| 林鑫;: "基于沙盒的Android恶意软件检测技术研究", 电子设计工程, no. 12, 20 June 2016 (2016-06-20) * |
| 龚琪: "基于特征频繁度的勒索软件检测方法研究", 《计算机应用研究》, vol. 35, no. 8, 31 August 2018 (2018-08-31), pages 2435 - 2438 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10872151B1 (en) | System and method for triggering analysis of an object for malware in response to modification of that object | |
| US8955121B2 (en) | System, method, and computer program product for dynamically adjusting a level of security applied to a system | |
| US11861006B2 (en) | High-confidence malware severity classification of reference file set | |
| US7779062B2 (en) | System for preventing keystroke logging software from accessing or identifying keystrokes | |
| US9507936B2 (en) | Systems, methods, apparatuses, and computer program products for forensic monitoring | |
| KR101161493B1 (ko) | 안드로이드 단말 플랫폼에서의 악성 코드와 위험 파일의 진단 방법 | |
| US8256000B1 (en) | Method and system for identifying icons | |
| EP2642715A1 (en) | Method and system for malicious code detection | |
| TW201642135A (zh) | 文件檢測方法、裝置及系統 | |
| US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| CN111460445A (zh) | 样本程序恶意程度自动识别方法及装置 | |
| JP6000465B2 (ja) | プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法 | |
| KR100985076B1 (ko) | Usb 디바이스 보안 장치 및 방법 | |
| US20170171224A1 (en) | Method and System for Determining Initial Execution of an Attack | |
| KR20110087826A (ko) | 가상머신을 이용한 악성소프트웨어 탐지 방법 | |
| CN108092795A (zh) | 一种提示方法、终端设备及计算机可读介质 | |
| CN106407815A (zh) | 漏洞检测方法及装置 | |
| CN114969741A (zh) | 恶意软件检测与分析方法、装置、设备和可读存储介质 | |
| CN114491533A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN114417349A (zh) | 攻击结果判定方法、装置、电子设备及存储介质 | |
| US11763004B1 (en) | System and method for bootkit detection | |
| EP3622430B1 (en) | System and method for interception of malicious files | |
| Park et al. | Study on Structural and Systematic Security Threats of Vehicle Black Box as Embedded System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Gong Xiao Inventor after: Li Mengwei Inventor after: Wan Binbin Inventor after: Cui Dengqi Inventor after: Zhao Zhengbin Inventor before: Cui Dengqi Inventor before: Wan Binbin Inventor before: Gong Xiao Inventor before: Li Mengwei Inventor before: Zhao Zhengbin |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |