CN116506222B - 一种安全防护系统 - Google Patents

一种安全防护系统 Download PDF

Info

Publication number
CN116506222B
CN116506222B CN202310753338.3A CN202310753338A CN116506222B CN 116506222 B CN116506222 B CN 116506222B CN 202310753338 A CN202310753338 A CN 202310753338A CN 116506222 B CN116506222 B CN 116506222B
Authority
CN
China
Prior art keywords
file
malicious program
program
terminal
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310753338.3A
Other languages
English (en)
Other versions
CN116506222A (zh
Inventor
吕经祥
李石磊
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Antiy Network Technology Co Ltd
Original Assignee
Beijing Antiy Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Network Technology Co Ltd filed Critical Beijing Antiy Network Technology Co Ltd
Priority to CN202310753338.3A priority Critical patent/CN116506222B/zh
Publication of CN116506222A publication Critical patent/CN116506222A/zh
Application granted granted Critical
Publication of CN116506222B publication Critical patent/CN116506222B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)
  • Alarm Systems (AREA)

Abstract

本发明提供了一种安全防护系统,涉及网络安全领域,该系统包括第一终端以及与第一终端连接的若干恶意程序检测软件;第一终端用于执行以下步骤:获取恶意程序下载平台中的第一恶意程序集E;根据E,获取每一第一恶意程序的特征信息,以得到第一特征信息集R;将R发送至每一恶意程序检测软件;恶意程序检测软件用于执行以下步骤:响应所在的第二终端获取到第一文件,获取第一文件对应的待检测特征信息Ra;若Ra∈R,则对第一文件进行持续监控;当获取到针对第一文件的启动指令,则阻止第一文件的启动,并将发出启动指令的程序确定为目标程序;本发明将发出该启动指令的程序确定为目标程序,能够达到识别出隐藏在设备内的起爆器的目的。

Description

一种安全防护系统
技术领域
本发明涉及网络安全领域,特别是涉及一种安全防护系统。
背景技术
随着互联网技术的发展,网络应用到越来越广泛的领域。然而有些网络恶意程序用户会从网络恶意程序的发布网站中下载一些网络恶意程序,他们会利用这些网络恶意程序去攻击网络设备(如服务器、个人计算机等),这种非法行为会威胁到社会的治安和稳定。
为了防止网络恶意程序用户利用网络恶意程序去攻击网络设备,通常的做法是在终端设备上安装恶意程序检测程序,当检测到恶意程序后,将检测到的恶意程序进行隔离或者删除;该方法在一定程度上能够避免终端设备被恶意程序破坏,但是,对检测到的恶意程序进行隔离或者删除,虽然阻止了检测到的恶意程序的运行,但是,该方法不能够确定出终端设备上用于启动检测到的恶意程序的程序;在网络安全领域内,通常将此类程序称为起爆器,起爆器在终端设备上会伪装成正常文件,由于其不进行任何恶意行为,仅是发出启动指令以启动其他的恶意程序,故而难以被安全检测软件检测出来;如果起爆器存在于终端设备上,起爆器则有可能随时启动终端设备上还未被发现的一个或多个恶意程序,使得恶意程序执行恶意操作,导致终端设备上的文件丢失或损坏。
发明内容
针对上述技术问题,本发明采用的技术方案为:
一种安全防护系统,所述安全防护系统包括第一终端以及与所述第一终端连接的若干恶意程序检测软件;所述第一终端与恶意程序下载平台连接;每一所述恶意程序检测软件分别安装于一个第二终端内;
所述第一终端用于执行以下步骤:
S100,获取恶意程序下载平台中的第一恶意程序集E=(E1,E2,…,Em,…,En),m=1,2,…,n;其中,Em为第m个第一恶意程序,n为恶意程序下载平台中第一恶意程序的数量;
S110,根据E,获取每一第一恶意程序的特征信息,以得到第一特征信息集R=(R1,R2,…,Rm,…,Rn),其中,Rm为Em的特征信息;
S120,将R发送至每一恶意程序检测软件;
所述恶意程序检测软件用于执行以下步骤:
S200,响应于所在的第二终端获取到第一文件,获取所述第一文件对应的待检测特征信息Ra
S210,若Ra∈R,则对所述第一文件进行持续监控;
S220,在对所述第一文件进行监控期间,当获取到针对所述第一文件的启动指令时,阻止所述第一文件的启动,并将发出所述启动指令的程序确定为目标程序。
可选的,在步骤S100之后,所述第一终端还用于执行以下步骤:
S101,将预设的功能模块添加到Em内,以得到第二恶意程序集E’=(E’1,E’2,…,E’m,…,E’n),其中,E’m为Em添加预设的功能模块后得到的第二恶意程序,E’m与Em的名称相同;所述预设的功能模块用于记录第一恶意程序的操作指令;
S102,根据E’,获取每一第二恶意程序的特征信息,以得到第二特征信息集R’=(R’1,R’2,…,R’m,…,R’n),其中,R’m为E’m的特征信息;
S103,将R’发送至每一恶意程序检测软件;
S104,将E’上传至恶意程序下载平台。
可选的,在步骤S200之后,所述恶意程序检测软件还用于执行以下步骤:
S230,若Ra∈R’,则对所述第一文件进行持续监控;
S240,在对所述第一文件进行监控期间,当获取到针对所述第一文件的启动指令,通过所述预设的功能模块记录所述第一文件的操作指令;
S250,将发出所述启动指令的程序确定为目标程序。
可选的,所述步骤S200包括以下步骤:
S201,响应于所在的第二终端获取到第一文件,判断所述第一文件是否为可执行文件;
S202,若所述第一文件为可执行文件,则获取所述第一文件对应的待检测特征信息Ra
可选的,在所述步骤S220之后,所述恶意程序检测软件还用于执行以下步骤:
S221,对所述目标程序进行持续监控;
S222,在对所述目标程序监控期间,当获取到所述目标程序向第二文件发送的启动指令时,阻止所述第二文件的启动;所述第二文件为第二终端内存储的任一文件;
S222,将所述第二文件确定为恶意文件。
可选的,所述步骤S101包括以下步骤:
S1011,获取Em的可执行代码;
S1012,遍历Em的可执行代码,以得到Em的可执行代码中的各预置函数,生成预置函数集W=(W1,W2,…,Wj,…,Wk(m)),j=1,2,…,k(m);其中,Wj为第j个预置函数,k(m)为Em中预置函数的数量;
S1013,遍历W,若Wj为目标函数,则在Wj内添加预设的功能模块,以生成E’m
可选的,所述目标函数包括调用函数,所述调用函数中的预设的功能模块用于执行以下步骤:
S001,对所在的调用函数进行持续监控;
S002,记录所在的调用函数发出的调用指令以及被调用函数执行完毕后返回的返回值。
可选的,所述目标函数包括加密函数,所述加密函数中的预设的功能模块用于执行以下步骤:
S003,对所在的加密函数进行持续监控;
S004,当获取到对应的加密函数发出的加密指令,挂起所述加密指令;
S005,获取所述加密指令对应的待加密文件;
S006,将所述待加密文件复制至预设的存储空间,并恢复所述加密指令。
可选的,所述目标函数包括删除函数,所述删除函数中的预设的功能模块用于执行以下步骤:
S007,对所在的删除函数进行持续监控;
S008,当获取到对应的删除函数发出的删除指令,挂起所述删除指令;
S009,获取所述删除指令对应的待删除文件;
S0010,将所述待删除文件复制至预设的存储空间,并恢复所述删除指令。
可选的,在所述步骤S101之后,所述第一终端还用于执行以下步骤:
S1011,对所述E’m添加版本号,使得所述E’m对应的版本号高于所述Em对应的版本号。
本发明至少具有以下有益效果:
本发明的安全防护系统,首先通过第一终端获取恶意程序下载平台中的所有恶意程序,并获取各恶意程序的特征信息,然后将各恶意程序的特征信息发送至安装于第二终端的恶意程序检测软件;那么,第二终端在接收到第一文件后,恶意程序检测软件获取第一文件的特征信息Ra,并将Ra与第一终端发送的各恶意程序的特征信息进行比对,若第一终端发送的各恶意程序的特征信息中存在与Ra相同的特征信息,则判断第一文件为恶意程序,因此,该方法能够确定第一文件是否为恶意程序。
进一步的,在确定第一文件为恶意程序后,对该第一文件进行持续监控,此时,并不对检测出来的为恶意程序的第一文件进行隔离或者删除等操作;那么,该第一文件还能够接收启动指令;本申请中,当获取到针对第一文件的启动指令时,会阻止第一文件的启动,以避免恶意程序的运行对第二终端造成损坏。
更进一步的,在获取到针对第一文件的启动指令后,将发出该启动指令的程序确定为目标程序,以达到识别出隐藏在设备内的起爆器的目的。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的安全防护系统结构图;
图2为本发明实施例提供的第一终端执行的步骤的流程图;
图3为本发明实施例提供的恶意程序检测软件执行的步骤的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
参见图1,为本实施例提供的安全防护系统的结构图,所述安全防护系统包括第一终端以及与所述第一终端连接的若干恶意程序检测软件;所述第一终端与恶意程序下载平台连接;每一所述恶意程序检测软件分别安装于一个第二终端内。
本实施例中,第一终端为服务器,可以理解为恶意程序检测软件所对应的服务器,第二终端为用户的电脑,第二终端上安装有恶意程序检测软件,第一终端和第二终端之间通过互联网通讯连接;另外,第一终端能够通过互联网与恶意程序下载平台连接,以从恶意程序下载平台下载恶意程序,恶意程序下载平台为发布恶意程序的平台,例如,异常平台。
参见图2,为本实施例提供的第一终端执行的步骤的流程图,所述第一终端用于执行以下步骤:
S100,获取恶意程序下载平台中的第一恶意程序集E=(E1,E2,…,Em,…,En),m=1,2,…,n;其中,Em为第m个第一恶意程序,n为恶意程序下载平台中第一恶意程序的数量。
本实施例中,第一终端能够将恶意程序下载平台所发布的恶意程序全部获取,可以理解的是,恶意程序下载平台上存在有一个或者多个恶意程序,当恶意程序下载平台上存在有多个恶意程序时,得到第一恶意程序集E。
S110,根据E,获取每一第一恶意程序的特征信息,以得到第一特征信息集R=(R1,R2,…,Rm,…,Rn),其中,Rm为Em的特征信息。
本实施例中,对于获取到的每个第一恶意程序,都会具有对应的特征信息,例如,第一恶意程序的MD5值或者哈希值;获取E中的各第一恶意程序的特征信息,可以得到第一特征信息集R;由于每个第一恶意程序的MD5值或者哈希值是唯一的,因此,能够利用各第一恶意程序唯一对应的特征信息来区分各第一恶意程序。
本领域技术人员可以根据实际需求采用现有的MD5值或者哈希值的获取方法来确定各恶意程序的MD5值或哈希值,此处不加赘述。
S120,将R发送至每一恶意程序检测软件。
本实施例中,在第一终端上得到R后,需要将R发送至安装于各第二终端的恶意程序检测软件,以作为各恶意程序检测软件的对比数据;在第二终端获取到待检测文件后,能够将待检测文件的特征信息与R中的各第一恶意程序的特征信息进行比对,以确定第二终端获取到的待检测文件是否为第一恶意程序。
参见图3,为本实施例提供的恶意程序检测软件执行的步骤的流程图,所述恶意程序检测软件用于执行以下步骤:
S200,响应于所在的第二终端获取到第一文件,获取所述第一文件对应的待检测特征信息Ra
本实施例中,安装于第二终端的恶意程序检测软件会对第二终端获取到的第一文件进行特征信息提取,例如,第二终端获取到待检测文件后,恶意程序检测软件会获取该待检测文件的MD5值或者哈希值作为待检测文件的特征信息。
作为其他实施方式,对于第二终端上已存在的文件,可以通过逐个文件扫描的方式来确定第二终端上已存在的文件是否存在恶意程序,如果存在恶意程序,则也可以获取该恶意程序的特征信息。
S210,若Ra∈R,则对所述第一文件进行持续监控。
本实施例中,将Ra与R中的各特征信息进行逐个比对,例如,特征信息为MD5值或哈希值,如果R中存在有与Ra相同的特征信息,则可判定Ra∈R;而在Ra∈R时,Ra对应的第一文件为第一恶意程序,此时,则对该第一文件进行持续监控,监控的内容为第一文件是否接收到启动指令。
作为其他实施方式,还可以采用以下方法来判定第一文件是否为恶意程序:
获取各第一恶意程序的特征信息时,获取各第一恶意程序不同维度下的多个特征信息,例如,获取第一恶意程序的MD5值、哈希值以及名称等;由此,每一第一恶意程序都对应有特征信息序列,特征序列中包含有M个特征信息。
在对第一文件进行特征信息获取时,同样获取第一文件不同维度下的M个特征信息,例如,第一文件的MD5值、哈希值、文件名称、文件大小、文件类型以及文件创建日期等,需要说明的是,获取的第一文件的各特征信息的类别与第一恶意程序的特征信息的类别和数量相同,且M个特征信息中不能只包含第一文件的MD5值和/或哈希值;由此,得到第一文件对应的特征信息序列;然后将第一文件对应的特征信息序列与每一第一恶意程序对应的特征信息序列进行同类别的特征信息比对,能够得到第一文件对应的特征信息序列中,与每一第一恶意程序对应的特征信息序列中相同的特征信息的数量的最大值N,由此能够得到相似度η=N/M*100%;如果η大于预设的相似度阈值,则判定第一文件为恶意程序;由此,能够避免由于获取到的第一文件的特征信息不准确,而导致的误判第一文件不是恶意程序的情况发生。
可以理解的是,当确定第一文件为恶意程序后,并不对检测出来为恶意程序的第一文件进行隔离或者删除等操作;那么,该第一文件还能够接收启动指令;以进一步确定出向第一文件发出启动指令的程序。
S220,在对所述第一文件进行监控期间,当获取到针对所述第一文件的启动指令时,阻止所述第一文件的启动,并将发出所述启动指令的程序确定为目标程序。
本实施例中,在第二终端上,正常情况下,在接收到启动指令之前,第一文件不会启动执行,而当第一文件接收到启动指令后,需要阻止第一文件的启动,由此,能够避免恶意程序启动对目标终端造成损坏;在获取到针对第一文件的启动指令后,将发出该启动指令的程序确定为目标程序,以达到识别出隐藏在设备内的“起爆器”的目的。
本实施例的安全防护系统,首先通过第一终端获取恶意程序下载平台中的所有恶意程序,并获取各恶意程序的特征信息,然后将各恶意程序的特征信息发送至安装于第二终端的恶意程序检测软件;那么,第二终端在接收到第一文件后,恶意程序检测软件获取第一文件的特征信息Ra,并将Ra与第一终端发送的各恶意程序的特征信息进行比对,若第一终端发送的各恶意程序的特征信息中存在与Ra相同的特征信息,则判断第一文件为恶意程序,因此,该方法能够确定第一文件是否为恶意程序。
进一步的,在确定第一文件为恶意程序后,对该第一文件进行持续监控,此时,并不对检测出来的为恶意程序的第一文件进行隔离或者删除等操作;那么,该第一文件还能够接收启动指令;本申请中,当获取到针对第一文件的启动指令时,会阻止第一文件的启动,以避免恶意程序的运行对第二终端造成损坏。
更进一步的,在获取到针对第一文件的启动指令后,将发出该启动指令的程序确定为目标程序,以达到识别出隐藏在设备内的起爆器的目的。
在一示例性的实施例中,在步骤S100之后,所述第一终端还用于执行以下步骤:
S101,将预设的功能模块添加到Em内,以得到第二恶意程序集E’=(E’1,E’2,…,E’m,…,E’n),其中,E’m为Em添加预设的功能模块后得到的第二恶意程序,E’m与Em的名称相同;所述预设的功能模块用于记录第一恶意程序的操作指令。
值得注意的是,本实施例中,虽然未删除第二恶意程序中原有的预置函数,但其内添加的功能模块,能够记录所在的第二恶意程序的所有行为,并在第二恶意程序执行恶意行为时执行对应的补救行为(如提前将第二恶意程序要删除的文件进行备份等),以避免对所在的第二终端产生实际的负面影响。
本实施例中,E中的各第一恶意程序为原始的恶意程序,其在第二终端上的运行不易控制,第一恶意程序运行后,会对第二终端上的文件进行加密或者删除;例如,第一恶意程序为勒索软件,在第二终端上运行后,会对第二终端上的文件进行删除或者加密操作;为了避免第二终端上的文件丢失或损坏,可以阻止第一恶意程序的恶意行为;但是,如果阻止第一恶意程序的恶意行为,也就无法获取到更多的与第一恶意程序相关的信息。
针对上述情况,本实施例中为E内的各第一恶意程序添加预设的功能模块,然后封装成与第一恶意程序名称相同的第二恶意程序;可以理解的是,第二恶意程序为添加功能模块的恶意程序,其运行是可控的;在第二恶意程序运行时,功能模块会实时记录恶意程序所执行的删除或者加密操作,在恶意程序对相关文件进行删除或者加密之前,功能模块将这些文件存储于预设的存储空间内,以在后期将这些文件进行还原;由此,使得第二恶意程序能够在不对所在的第二终端产生实际的负面影响的前提下,利用第二恶意程序的运行获取到与第二恶意程序对应的第一恶意程序更多的信息。
本实施例中,虽然第二恶意程序能够在第二终端上运行,但是,第二恶意程序不会对第二终端产生任何实际影响;同时,还能够在第二恶意程序运行时,获取第二恶意程序的行为特征,根据获取到的第二恶意程序的行为特征来对第二终端上的程序进行分析,以确定出更多的恶意程序,或者利用获取到的第二恶意程序的行为特征来构建恶意程序检测的方法。
进一步的,假如第二恶意程序对应的第一恶意程序为勒索软件,功能模块能够获取该第一恶意程序执行勒索过程中所发送的相关账号信息,然后根据该账号信息来反向追踪与勒索软件相关的恶意用户。
本实施例中,虽然E’m与Em的名称相同,但E’m与Em的特征信息不同,例如,E’m与Em的MD5值或哈希值不同;那么,在后期可根据第二终端获取到的第一文件的特征信息来判断第一文件属于E还是属于E’。
S102,根据E’,获取每一第二恶意程序的特征信息,以得到第二特征信息集R’=(R’1,R’2,…,R’m,…,R’n),其中,R’m为E’m的特征信息。
本实施例中,对于每个第二恶意程序,都会具有对应的特征信息,例如,第二恶意程序的MD5值或者哈希值;获取E’中的各第二恶意程序的特征信息,可以得到第二特征信息集R’;由于每个第二恶意程序的MD5值或者哈希值是唯一的,因此,能够利用各第二恶意程序唯一的特征信息来区分各第二恶意程序;需要说明的是,第二恶意程序的特征信息与对应的第一恶意程序的特征信息是不同的,由此,对于第二终端获取到的第一文件,能够根据第一文件的特征信息来确定第一文件为第一恶意程序或第二恶意程序。
S103,将R’发送至每一恶意程序检测软件。
本实施例中,R’是在第一终端上生成的,此时,第二终端上的恶意程序检测软件并未接收到R’,恶意程序检测软件对第一文件检测时,并不能处理第一文件为第二恶意程序的情况,因此,需要将R’发送至每一恶意程序检测软件,以使每一恶意程序检测软件都能够处理第一文件为第二恶意程序的情况。
S104,将E’上传至恶意程序下载平台。
本实施例中,将添加有功能模块的各第二恶意程序上传至恶意程序下载平台,那么,恶意程序传播者从恶意程序下载平台获取恶意程序时,会有一定的概率获取到第二恶意程序,该第二恶意程序添加有预设的功能模块,不会对所在的第二终端产生任何实际的负面影响;那么,恶意程序传播者如果将第二恶意程序植入到第二终端后,第二终端上的恶意程序检测软件能够根据通过第二恶意程序的功能模块来对恶意程序所操作的文件进行备份,以防止第二终端上的文件丢失或者被加密。
进一步的,在所述步骤S101之后,所述第一终端还用于执行以下步骤:
S1011,对所述E’m添加版本号,使得所述E’m对应的版本号高于所述Em对应的版本号。
本实施例中,为了提高恶意程序传播者获取第二恶意程序的概率,在对第一恶意程序添加功能模块后,可将添加有功能模块的第二恶意程序的版本号设置为高于对应的第一恶意程序的版本号;恶意程序传播者在看到两个名称相同的恶意程序后,会优先获取版本号较高的恶意程序,由此来提高第二恶意程序被获取的概率。
在步骤S200之后,所述恶意程序检测软件还用于执行以下步骤:
S230,若Ra∈R’,则对所述第一文件进行持续监控。
将E’上传至恶意程序下载平台后,第一文件可能为第一恶意程序,也可能为第二恶意程序,那么,如果Ra∈R’,可判断第一文件为添加有功能模块的第二恶意程序,此时,则对该第一文件进行持续监控,监控的内容为第一文件是否接收到启动指令。
S240,在对所述第一文件进行监控期间,当获取到针对所述第一文件的启动指令时,通过所述预设的功能模块记录所述第一文件的操作指令和相关信息。
本实施例中,由于第二恶意程序添加有预设的功能模块,预设的功能模块能够对第二恶意程序对应的第一恶意程序所删除或者加密的文件进行提前备份,因此,当获取到针对第一文件的启动指令,此时并不阻止第一文件的启动,而是使其启动并执行;即使让第一文件执行,也不会对第二终端上的文件造成损坏;而且,在第二恶意程序的执行期间,还能够通过功能模块来记录第一文件的操作指令,由此,使得第二恶意程序能够在不对所在的第二终端产生实际的负面影响的前提下,利用第二恶意程序的运行获取到与第二恶意程序对应的第一恶意程序更多的信息。
S250,将发出所述启动指令的程序确定为目标程序。
在获取到针对第一文件的启动指令后,将发出该启动指令的程序确定为目标程序,以达到识别出隐藏在设备内的起爆器的目的。
进一步的,所述步骤S200包括以下步骤:
S201,响应于所在的第二终端获取到第一文件,判断所述第一文件是否为可执行文件。
本实施例中,在第二终端获取到第一文件后,第一文件有可能是可执行文件,也有可能是不可执行文件,例如,视频文件、音频文件等,一般无需对此类文件进行特征信息获取;可根据第一文件的属性参数来确定第一文件的类型,判断第一文件是否为可执行文件。
S202,若所述第一文件为可执行文件,则获取所述第一文件对应的待检测特征信息Ra
本实施例中,只有在第一文件为可执行文件的情况下,才会获取第一文件对应的待检测特征信息Ra;由此,不用对获取到的每一个第一文件都进行特征信息的获取,从而能够减少对第一文件的特征信息的获取数量,降低安全防护系统在第二终端所占用的算力,提高系统的运行效率。
进一步的,在所述步骤S220之后,所述恶意程序检测软件还用于执行以下步骤:
S221,对所述目标程序进行持续监控。
本实施例中,目标程序有可能会启动多个恶意程序,因此,需要对目标程序进行持续监控,以确定出更多的未被发现的恶意程序。
S222,在对所述目标程序监控期间,当获取到所述目标程序向第二文件发送的启动指令时,阻止所述第二文件的启动;所述第二文件为第二终端内存储的任一文件。
本实施例中,目标程序所发出的启动指令可认为是用于启动恶意程序的指令;在第二文件接收到目标程序发送的启动指令后,阻止第二文件的启动,能够避免第二文件启动对第二终端造成损坏。
S222,将所述第二文件确定为恶意文件。
本实施例中,通过对目标程序的监控,不仅能够检测出第二终端上更多的未被发现的恶意程序,而且还能够阻止第二文件的启动,避免第二文件启动对第二终端造成损坏。
进一步的,所述步骤S101包括以下步骤:
S1011,获取Em的可执行代码。
S1012,遍历Em的可执行代码,以得到Em的可执行代码中的各预置函数,生成预置函数集W=(W1,W2,…,Wj,…,Wk(m)),j=1,2,…,k(m);其中,Wj为第j个预置函数,k(m)为Em中预置函数的数量。
本实施例中,Em中会包含有若干预置函数,例如,调用函数、加密函数、删除函数等;且Em中的预置函数的数量为K(m),K(m)与m的值相关,将所有的预置函数获取,得到预置函数集W。
S1013,遍历W,若Wj为目标函数,则在Wj内添加预设的功能模块,以生成E’m
本实施例中,目标函数为预设的函数,例如,目标函数包括调用函数、加密函数或者删除函数等,如果Wj为目标函数,则在Wj内添加预设的功能模块,以通过预设的功能模块来记录Wj的操作指令或者备份Wj操作的对象;由此,能够避免预置函数运行对第二终端上的文件造成损坏。
可选的,所述目标函数包括调用函数,所述调用函数中的预设的功能模块用于执行以下步骤:
S001,对所在的调用函数进行持续监控。
S002,记录所在的调用函数发出的调用指令以及被调用函数执行完毕后返回的返回值。
本实施例中,若预置函数为调用函数,则该预置函数在执行时会发出调用指令,该调用指令内包含用于表征被调用函数的字段,预设的功能模块能够将该字段记录;在被调用函数执行完毕后会返回相应的返回值,预设的功能模块也能够将该返回值记录;在后期可以根据预设的功能模块所记录的字段及返回值对被调用函数执行的对象进行反向操作,以使对应的第二终端恢复到被调用函数执行前的状态,避免第二终端运行异常。
可选的,所述目标函数包括加密函数,所述加密函数中的预设的功能模块用于执行以下步骤:
S003,对所在的加密函数进行持续监控。
S004,当获取到对应的加密函数发出的加密指令,挂起所述加密指令。
本实施例中,在获取到对应的加密函数发出的加密指令后,挂起该加密指令;以防止加密函数对第二终端上的文件加密后,在不知道加密规则的情况下,无法对加密的文件进行解密,造成文件损坏的情况发生。
S005,获取所述加密指令对应的待加密文件。
本实施例中,加密指令对应有待加密文件,预设的功能模块能够将待加密文件获取。
S006,将所述待加密文件复制至预设的存储空间,并恢复所述加密指令。
根据上述步骤S005获取到的待加密文件,然后将待加密文件复制至预设的存储空间,以在后期将待加密文件恢复至原来的存储位置,从而避免文件丢失。
进一步的,在将待加密文件复制至预设的存储空间后,需要恢复加密指令,以使功能模块对应的第二恶意程序能够正常执行加密操作,避免因第二恶意程序执行中断而使得第二恶意程序被攻击者识破的情况发生。
可选的,所述目标函数包括删除函数,所述删除函数中的预设的功能模块用于执行以下步骤:
S007,对所在的删除函数进行持续监控。
S008,当获取到对应的删除函数发出的删除指令,挂起所述删除指令。
本实施例中,在获取到对应的删除函数发出的删除指令后,挂起该删除指令;以防止删除函数对第二终端上的文件执行删除操作,无法对删除的文件进行恢复,造成文件丢失的情况发生。
S009,获取所述删除指令对应的待删除文件。
本实施例中,删除指令对应有待删除文件,预设的功能模块能够将待删除文件获取。
S0010,将所述待删除文件复制至预设的存储空间,并恢复所述删除指令。
根据上述步骤S009获取到的待删除文件,然后将待删除文件复制至预设的存储空间,以在后期将待删除文件恢复至原来的存储位置,从而避免文件丢失。
进一步的,在将待删除文件复制至预设的存储空间后,需要恢复删除指令,以使预设的功能模块对应的第二恶意程序能够正常执行删除操作,避免因第二恶意程序执行中断而使得第二恶意程序被攻击者识破的情况发生。
可选的,所述特征信息为MD5值或哈希值。
可选的,所述第一终端为服务器,所述第二终端为电脑或手机。
可选的,所述第一终端与所述第二终端之间通过互联网通讯连接。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
本发明的实施例还提供了一种非瞬时性计算机可读存储介质,该存储介质可设置于电子设备之中以保存用于实现方法实施例中一种方法相关的至少一条指令或至少一段程序,该至少一条指令或该至少一段程序由该处理器加载并执行以实现上述实施例提供的方法。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
本发明的实施例还提供了一种电子设备,包括处理器和前述的非瞬时性计算机可读存储介质。
根据本申请的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,所述储存器存储有程序代码,所述程序代码可以被所述处理器执行,使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
本发明的实施例还提供一种计算机程序产品,其包括程序代码,当所述程序产品在电子设备上运行时,所述程序代码用于使该电子设备执行本说明书上述描述的根据本发明各种示例性实施方式的方法中的步骤。
虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员还应理解,可以对实施例进行多种修改而不脱离本发明的范围和精神。本发明开的范围由所附权利要求来限定。

Claims (8)

1.一种安全防护系统,其特征在于,所述安全防护系统包括第一终端以及与所述第一终端连接的若干恶意程序检测软件;所述第一终端与恶意程序下载平台连接;每一所述恶意程序检测软件分别安装于一个第二终端内;
所述第一终端用于执行以下步骤:
S100,获取恶意程序下载平台中的第一恶意程序集E=(E1,E2,…,Em,…,En),m=1,2,…,n;其中,Em为第m个第一恶意程序,n为恶意程序下载平台中第一恶意程序的数量;
S110,根据E,获取每一第一恶意程序的特征信息,以得到第一特征信息集R=(R1,R2,…,Rm,…,Rn),其中,Rm为Em的特征信息;
S120,将R发送至每一恶意程序检测软件;
所述恶意程序检测软件用于执行以下步骤:
S200,响应于所在的第二终端获取到第一文件,获取所述第一文件对应的待检测特征信息Ra
S210,若Ra∈R,则对所述第一文件进行持续监控;
S220,在对所述第一文件进行监控期间,当获取到针对所述第一文件的启动指令时,阻止所述第一文件的启动,并将发出所述启动指令的程序确定为目标程序;
在步骤S100之后,所述第一终端还用于执行以下步骤:
S101,将预设的功能模块添加到Em内,以得到第二恶意程序集E’=(E’1,E’2,…,E’m,…,E’n),其中,E’m为Em添加预设的功能模块后得到的第二恶意程序,E’m与Em的名称相同;所述预设的功能模块用于记录第一恶意程序的操作指令;
S102,根据E’,获取每一第二恶意程序的特征信息,以得到第二特征信息集R’=(R’1,R’2,…,R’m,…,R’n),其中,R’m为E’m的特征信息;
S103,将R’发送至每一恶意程序检测软件;
S104,将E’上传至恶意程序下载平台;
在步骤S200之后,所述恶意程序检测软件还用于执行以下步骤:
S230,若Ra∈R’,则对所述第一文件进行持续监控;
S240,在对所述第一文件进行监控期间,当获取到针对所述第一文件的启动指令时,使第一文件启动并执行,通过所述预设的功能模块记录所述第一文件的操作指令;
S250,将发出所述启动指令的程序确定为目标程序。
2.根据权利要求1所述的安全防护系统,其特征在于,所述步骤S200包括以下步骤:
S201,响应于所在的第二终端获取到第一文件,判断所述第一文件是否为可执行文件;
S202,若所述第一文件为可执行文件,则获取所述第一文件对应的待检测特征信息Ra
3.根据权利要求1所述的安全防护系统,其特征在于,在所述步骤S220之后,所述恶意程序检测软件还用于执行以下步骤:
S221,对所述目标程序进行持续监控;
S222,在对所述目标程序监控期间,当获取到所述目标程序向第二文件发送的启动指令时,阻止所述第二文件的启动;所述第二文件为第二终端内存储的任一文件;
S222,将所述第二文件确定为恶意文件。
4.根据权利要求1所述的安全防护系统,其特征在于,所述步骤S101包括以下步骤:
S1011,获取Em的可执行代码;
S1012,遍历Em的可执行代码,以得到Em的可执行代码中的各预置函数,生成预置函数集W=(W1,W2,…,Wj,…,Wk(m)),j=1,2,…,k(m);其中,Wj为第j个预置函数,k(m)为Em中预置函数的数量;
S1013,遍历W,若Wj为目标函数,则在Wj内添加预设的功能模块,以生成E’m
5.根据权利要求4所述的安全防护系统,其特征在于,所述目标函数包括调用函数,所述调用函数中的预设的功能模块用于执行以下步骤:
S001,对所在的调用函数进行持续监控;
S002,记录所在的调用函数发出的调用指令以及被调用函数执行完毕后返回的返回值。
6.根据权利要求4所述的安全防护系统,其特征在于,所述目标函数包括加密函数,所述加密函数中的预设的功能模块用于执行以下步骤:
S003,对所在的加密函数进行持续监控;
S004,当获取到对应的加密函数发出的加密指令,挂起所述加密指令;
S005,获取所述加密指令对应的待加密文件;
S006,将所述待加密文件复制至预设的存储空间,并恢复所述加密指令。
7.根据权利要求4所述的安全防护系统,其特征在于,所述目标函数包括删除函数,所述删除函数中的预设的功能模块用于执行以下步骤:
S007,对所在的删除函数进行持续监控;
S008,当获取到对应的删除函数发出的删除指令,挂起所述删除指令;
S009,获取所述删除指令对应的待删除文件;
S0010,将所述待删除文件复制至预设的存储空间,并恢复所述删除指令。
8.根据权利要求1所述的安全防护系统,其特征在于,在所述步骤S101之后,所述第一终端还用于执行以下步骤:
S1011,对所述E’m添加版本号,使得所述E’m对应的版本号高于所述Em对应的版本号。
CN202310753338.3A 2023-06-26 2023-06-26 一种安全防护系统 Active CN116506222B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310753338.3A CN116506222B (zh) 2023-06-26 2023-06-26 一种安全防护系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310753338.3A CN116506222B (zh) 2023-06-26 2023-06-26 一种安全防护系统

Publications (2)

Publication Number Publication Date
CN116506222A CN116506222A (zh) 2023-07-28
CN116506222B true CN116506222B (zh) 2023-09-08

Family

ID=87328627

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310753338.3A Active CN116506222B (zh) 2023-06-26 2023-06-26 一种安全防护系统

Country Status (1)

Country Link
CN (1) CN116506222B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101599114A (zh) * 2009-06-17 2009-12-09 北京东方微点信息技术有限责任公司 对病毒程序的驱动进行定位的方法及系统
CN103914657A (zh) * 2014-04-16 2014-07-09 南京大学 一种基于函数特征的恶意程序检测方法
CN104598824A (zh) * 2015-01-28 2015-05-06 国家计算机网络与信息安全管理中心 一种恶意程序检测方法及其装置
CN106203070A (zh) * 2016-06-29 2016-12-07 北京金山安全软件有限公司 驱动加载阻止方法及装置
CN106971106A (zh) * 2017-03-30 2017-07-21 维沃移动通信有限公司 一种识别非法应用程序的方法、移动终端及服务器
CN109344616A (zh) * 2018-09-13 2019-02-15 西安交通大学 一种移动应用程序动态加载行为监控方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8677491B2 (en) * 2010-02-04 2014-03-18 F-Secure Oyj Malware detection
CN103390130B (zh) * 2013-07-18 2017-04-05 北京奇虎科技有限公司 基于云安全的恶意程序查杀的方法、装置和服务器

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101599114A (zh) * 2009-06-17 2009-12-09 北京东方微点信息技术有限责任公司 对病毒程序的驱动进行定位的方法及系统
CN103914657A (zh) * 2014-04-16 2014-07-09 南京大学 一种基于函数特征的恶意程序检测方法
CN104598824A (zh) * 2015-01-28 2015-05-06 国家计算机网络与信息安全管理中心 一种恶意程序检测方法及其装置
CN106203070A (zh) * 2016-06-29 2016-12-07 北京金山安全软件有限公司 驱动加载阻止方法及装置
CN106971106A (zh) * 2017-03-30 2017-07-21 维沃移动通信有限公司 一种识别非法应用程序的方法、移动终端及服务器
CN109344616A (zh) * 2018-09-13 2019-02-15 西安交通大学 一种移动应用程序动态加载行为监控方法及装置

Also Published As

Publication number Publication date
CN116506222A (zh) 2023-07-28

Similar Documents

Publication Publication Date Title
US12019734B2 (en) Methods and apparatus for control and detection of malicious content using a sandbox environment
US11687653B2 (en) Methods and apparatus for identifying and removing malicious applications
US11586736B2 (en) Systems and methods for detecting malicious processes
US9852289B1 (en) Systems and methods for protecting files from malicious encryption attempts
EP3568791B1 (en) Early runtime detection and prevention of ransomware
US10783041B2 (en) Backup and recovery of data files using hard links
US11494491B2 (en) Systems and methods for protecting against malware code injections in trusted processes by a multi-target injector
US9053321B2 (en) Antivirus system and method for removable media devices
US20100306851A1 (en) Method and apparatus for preventing a vulnerability of a web browser from being exploited
US9111089B1 (en) Systems and methods for safely executing programs
JP2022537079A (ja) フォレンジクスのための動作ベースのvmリソースキャプチャ
US10678917B1 (en) Systems and methods for evaluating unfamiliar executables
KR102149711B1 (ko) 위장 프로세스를 이용한 랜섬웨어 행위 탐지 및 방지 장치, 이를 위한 방법 및 이 방법을 수행하는 프로그램이 기록된 컴퓨터 판독 가능한 기록매체
CN116506222B (zh) 一种安全防护系统
US8621632B1 (en) Systems and methods for locating malware
CN113672925B (zh) 阻止勒索软件攻击的方法、装置、存储介质及电子设备
US11979418B2 (en) Detecting potential malicious use of a resource management agent using a resource management log
CN114880667A (zh) 一种脚本检测方法及装置
US20210240364A1 (en) Storing new settings for write-protected systems on non-write-protected storage
CN110909349A (zh) docker容器内反弹shell的检测方法和系统
US8225104B1 (en) Data access security
US20240320323A1 (en) Methods and apparatus for control and detection of malicious content using a sandbox environment
CN115329331A (zh) 应用程序的入侵检测方法及装置、存储介质和电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant