CN116738427B - 终端安全防护方法、装置、设备及存储介质 - Google Patents
终端安全防护方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN116738427B CN116738427B CN202311015213.7A CN202311015213A CN116738427B CN 116738427 B CN116738427 B CN 116738427B CN 202311015213 A CN202311015213 A CN 202311015213A CN 116738427 B CN116738427 B CN 116738427B
- Authority
- CN
- China
- Prior art keywords
- detection
- static
- terminal
- dynamic
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 76
- 238000001514 detection method Methods 0.000 claims abstract description 352
- 230000003068 static effect Effects 0.000 claims abstract description 191
- 230000008569 process Effects 0.000 claims abstract description 35
- 230000000694 effects Effects 0.000 claims abstract description 33
- 230000006399 behavior Effects 0.000 claims description 103
- 238000013473 artificial intelligence Methods 0.000 claims description 42
- 238000005516 engineering process Methods 0.000 claims description 19
- 230000008878 coupling Effects 0.000 claims description 17
- 238000010168 coupling process Methods 0.000 claims description 17
- 238000005859 coupling reaction Methods 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 12
- 238000012544 monitoring process Methods 0.000 description 26
- 230000001360 synchronised effect Effects 0.000 description 9
- 241000700605 Viruses Species 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000005291 magnetic effect Effects 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 238000012549 training Methods 0.000 description 3
- 239000013598 vector Substances 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000000513 principal component analysis Methods 0.000 description 2
- 238000007637 random forest analysis Methods 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000005294 ferromagnetic effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000004659 sterilization and disinfection Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种终端安全防护方法、装置、设备及存储介质。该方法包括:在终端活动期间,对终端执行如下第一检测以及第二检测;其中,第一检测包括:获取终端活动期间中待检测文件对应的静态信息,对静态信息进行静态检测,在无法检测待检测文件是否为恶意时,基于待检测文件运行时的行为信息,进行动态检测;第二检测包括:获取终端活动期间出现的行为信息,对行为信息进行动态检测,在无法检测行为信息是否为恶意时,获取行为信息所属进程的静态信息,对静态信息进行静态检测;基于第一检测的检测结果以及第二检测的检测结果,判断终端是否被恶意攻击,以对终端进行全面防护。可以有效提升终端运行的安全性和可靠性。
Description
技术领域
本申请涉及网络安全领域,尤其涉及一种终端安全防护方法、装置、设备及存储介质。
背景技术
随着通信和互联网技术的快速发展,信息交互更加频繁,各类恶意文件也越来越多。相关技术中,可以基于静态防护或者动态防护来防护终端安全。其中,静态防护是指基于计算机二进制文件信息进行扫描的恶意攻击防护方案,通常又称为反病毒。该计算机二进制文件包括正常文件(例如,可执行文件以及office文档、脚本等非可执行文件),以及各类病毒文件(包括但不限于勒索软件、挖矿软件、木马、蠕虫等;用户计算机终端感染后,可能带来信息丢失、泄露、计算机终端不可用等后果)。动态防护是指基于程序执行行为进行监控,致力于在恶意威胁执行阶段进行阻断的防护方案。该程序执行行为包括但不限于注册表修改、开启或添加远程控制、进行横向传播、实施文件窃取、加密行为等。
虽然上述静态防护和/或动态防护基于各厂商的实现路径有所不同,仍存在对未知威胁漏检,导致终端存在安全漏洞的风险。
发明内容
有鉴于此,本申请实施例提供了一种终端安全防护方法、装置、设备及存储介质,旨在实现终端的全面防护,减少安全隐患。
本申请实施例的技术方案是这样实现的:
第一方面,本申请实施例提供了一种终端安全防护方法,包括:
在所述终端活动期间,对所述终端执行如下第一检测以及第二检测;
其中,所述第一检测包括:
获取所述终端活动期间中待检测文件对应的静态信息,对所述静态信息进行静态检测,在无法检测所述待检测文件是否为恶意时,基于所述待检测文件运行时的行为信息,进行动态检测;
其中,所述第二检测包括:
获取所述终端活动期间出现的行为信息,对所述行为信息进行动态检测,在无法检测所述行为信息是否为恶意时,获取所述行为信息所属进程的静态信息,对所述静态信息进行静态检测;
基于所述第一检测的检测结果以及所述第二检测的检测结果,判断所述终端是否被恶意攻击,以对所述终端进行全面防护。
上述方案中,所述基于所述第一检测的检测结果以及所述第二检测的检测结果,判断所述终端是否被恶意攻击,包括:
针对所述第一检测的检测结果,基于所述静态检测的第一检测值和所述动态检测的第二检测值得到第一加权结果,基于所述第一加权结果和第一设定阈值,确定所述终端是否被恶意攻击;
针对所述第二检测的检测结果,基于所述动态检测的第三检测值和所述静态检测的第四检测值得到第二加权结果,基于所述第二加权结果和第二设定阈值,确定所述终端是否被恶意攻击。
上述方案中,所述静态检测包括:
基于人工智能(Artificial Intelligence,AI)技术和所述静态信息得到所述待检测文件或者所述行为信息所属进程的深度特征;
对所述深度特征基于深度特征分析得到静态检测结果。
上述方案中,所述动态检测包括:
将所述行为信息输入至预先训练的行为识别模型,得到动态检测结果。
上述方案中,若执行所述静态检测的静态引擎的数量为多个,所述第二检测还包括:
所述对所述静态信息进行静态检测之前,基于所述行为信息所属进程的静态信息确定目标静态引擎;其中,所述目标静态引擎为多个所述静态引擎中的一个。
上述方案中,若执行所述动态检测的动态引擎的数量为多个,所述第一检测还包括:
所述进行动态检测之前,基于所述待检测文件运行时的行为信息确定目标动态引擎;其中,所述目标动态引擎为多个所述动态引擎中的一个。
上述方案中,所述方法还包括:
基于二分图实现所述第一检测中静态检测与动态检测的耦合,和/或,所述第二检测中的动态检测与静态检测的耦合。
第二方面,本申请实施例提供了一种终端安全防护装置,包括:
检测模块,用于在所述终端活动期间,对所述终端执行如下第一检测以及第二检测;
其中,所述第一检测包括:
获取所述终端活动期间中待检测文件对应的静态信息,对所述静态信息进行静态检测,在无法检测所述待检测文件是否为恶意时,基于所述待检测文件运行时的行为信息,进行动态检测;
其中,所述第二检测包括:
获取所述终端活动期间出现的行为信息,对所述行为信息进行动态检测,在无法检测所述行为信息是否为恶意时,获取所述行为信息所属进程的静态信息,对所述静态信息进行静态检测;
防护模块,用于基于所述第一检测的检测结果以及所述第二检测的检测结果,判断所述终端是否被恶意攻击,以对所述终端进行全面防护。
第三方面,本申请实施例提供了一种终端,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器,用于运行计算机程序时,执行本申请实施例第一方面所述方法的步骤。
第四方面,本申请实施例提供了一种计算机存储介质,所述计算机存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本申请实施例第一方面所述方法的步骤。
本申请实施例提供的技术方案,在终端活动期间,对终端执行如下第一检测以及第二检测;其中,第一检测包括:获取终端活动期间中待检测文件对应的静态信息,对静态信息进行静态检测,在无法检测待检测文件是否为恶意时,基于待检测文件运行时的行为信息,进行动态检测;第二检测包括:获取终端活动期间出现的行为信息,对行为信息进行动态检测,在无法检测行为信息是否为恶意时,获取行为信息所属进程的静态信息,对静态信息进行静态检测;基于第一检测的检测结果以及第二检测的检测结果,判断终端是否被恶意攻击,以对终端进行全面防护。如此,可以实现动态检测与静态检测的耦合联动,即在终端活动期间,动态检测和静态检测均可以形成监测点,进而触发另一种检测,从而实现终端的全面防护,可以有效减小基于静态检测或者动态检测导致的未知威胁漏检,利于提升终端运行的安全性和可靠性。
附图说明
图1为本申请实施例终端安全防护方法的流程示意图;
图2为本申请一应用示例中动态AI引擎与静态AI引擎协同防护的原理示意图;
图3为本申请实施例终端安全防护装置的结构示意图;
图4为本申请实施例终端的结构示意图。
具体实施方式
下面结合附图及实施例对本申请再作进一步详细的描述。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请。
相关技术中,终端防护体系包括静态防护和动态防护,其中,静态防护涉及特征云查技术、启发式检测技术、虚拟执行技术、端上AI(人工智能)技术等,其中,虚拟执行技术是指针对二进制文件为对象的静态检测手段。由于上述各技术的侧重点与耦合方式各不相同,导致对未知病毒的检测能力存在显著差别。
举例来说,一种检测方案中采用指纹证书子系统、规则检测子系统和云查子系统这一检测路径对恶意文件进行检测,此方案的检出主要是依靠提前入库的规则,因此对未知病毒的检测能力差;另一种检测方案中采用指纹证书子系统、解包分析子系统、规则检测子系统和云查子系统这一检测路径对恶意文件进行检测,此方案的检出主要是依靠规则检测子系统中提取恶意文件中恶意行为比较大的原生字节生成防护规则,实现对勒索病毒等的高效检测闭环处理;虽然此规则检测子系统中生成的防护规则具有一定的泛化能力,但泛化能力较为一般,因此在未知病毒检测能力方面表现一般。相关的检测方案中还存在采用指纹证书子系统、基于虚拟执行的解包分析子系统和规则检测子系统这一检测路径对恶意文件进行检测,此方案的检出主要是依靠虚拟执行技术来分析恶意文件(即二进制文件),对未知病毒的检测能力尚可,但是仍然不如本地AI检测子系统,此外,亦存在无文件攻击等攻击手段漏检的缺陷。
类似地,各厂商基于动态防护(执行阶段行为分析)的实现路径也有所不同,包括云端基于规则的主防方案、终端基于规则的进程高可疑行为分析方案、端云联动基于AI的行为AI防护引擎等。
然而,上述静态防护、动态防护均是孤立地存在,其中,静态防护用于闭环恶意文件落地阶段防护,动态防护用于执行阶段防护,导致终端的静态防护与动态防护没有有效地协同配合,影响终端防护的全面性及可靠性。
基于此,在本申请的各种实施例中,基于动态防护和静态防护的协同配合,实现终端的全面防护,有效增强终端运行的安全性和可靠性。
此外,需要说明的是,本申请的核心发明点并非是简单的动静协同配合。本申请的核心发明点在于:静态监测点协同配合动态监测点,同时,动态监测点协同配合静态监测点,以此实现对终端的全访问安全防护。
本申请实施例提供了一种终端安全防护方法。该终端包括但不限于:笔记本电脑、台式电脑、服务器设备、便携式电子设备等。如图1所示,该方法包括:
步骤101,在所述终端活动期间,对所述终端执行如下第一检测以及第二检测;其中,所述第一检测包括:获取所述终端活动期间中待检测文件对应的静态信息,对所述静态信息进行静态检测,在无法检测所述待检测文件是否为恶意时,基于所述待检测文件运行时的行为信息,进行动态检测;所述第二检测包括:获取所述终端活动期间出现的行为信息,对所述行为信息进行动态检测,在无法检测所述行为信息是否为恶意时,获取所述行为信息所属进程的静态信息,对所述静态信息进行静态检测。
这里,第一检测可以理解为对待检测文件基于静态信息进行静态防护,并在静态防护过程中,基于静态信息作为监测点拉起动态检测,进而实现静态检测与动态检测的耦合联动。第二检测可以理解为对终端活动期间的行为信息进行动态防护,并在动态防护过程中,基于行为信息作为监测点拉起静态检测,进而实现动态检测与静态检测的耦合联动。
步骤102,基于所述第一检测的检测结果以及所述第二检测的检测结果,判断所述终端是否被恶意攻击,以对所述终端进行全面防护。
可以理解的是,本申请实施例的方法可以实现动态检测与静态检测的耦合联动,即在终端活动期间,动态检测和静态检测均可以形成监测点,进而触发另一种检测,从而实现终端的全面防护,可以有效减小基于静态检测或者动态检测导致的未知威胁漏检,利于提升终端运行的安全性和可靠性。
这里,未知威胁可以是指未被各大第三方平台广泛收录的(静态)病毒文件或(动态)攻击手法。本申请实施例的方法,在终端活动期间,动态检测和静态检测均可以形成监测点,进而触发另一种检测,可以实现“动态AI防护”和“静态AI防护”协同工作的机制,提供传统杀毒防御能力的同时,更能轻松应对新兴和快速变化的无文件攻击、勒索软件、0day(零日漏洞)和恶意软件等。
示例性地,所述静态检测包括:
基于AI技术和所述静态信息得到所述待检测文件或者所述行为信息所属进程的深度特征;
对所述深度特征基于深度特征分析得到静态检测结果。
这里,静态信息可以包括以下至少之一:文件头部信息、操作码序列、字节序列、熵、DLL(Dynamic Link Library,动态链接库)相关信息等。示例性地,可以对待检测文件或者扫描行为信息所属进程的链文件或者内存进行内容提取(又称为静态分析),即在不运行文件的基础上进行内容提取,得到上述静态信息。
示例性地,通过静态分析得到相关的静态信息,该静态信息可以包括:文件头部信息、操作码序列、字节序列、熵、DLL相关信息等,利用AI技术对所述静态信息进行处理得到深度特征,其中,AI技术包括word2vec(词到向量)和主成分分析,再综合多种AI模型算法如神经网络、随机森林算法对深度特征进行自动化分析,实现对未知恶意文件的检测。
示例性地,静态检测可以基于检测值对待检测文件进行标记。举例来说,若基于检测值确定待检测文件为恶意文件,则将待检测文件标记为黑;若基于检测值确定待检测文件为非恶意文件,则将待检测文件标记为白;若基于检测值无法确定待检测文件是否为恶意文件或者非恶意文件,则将待检测文件标记为灰,此时由于无法判定此待检测文件是否为恶意文件,则需要基于待检测文件运行时的行为信息进行动态检测,并结合静态检测和动态检测的检测结果进行综合判断。这里的黑、白、灰只是一个特定的标记形式,而并不限于标记只有黑、白、灰这一种标记形式。
示例性地,所述动态检测包括:
将所述行为信息输入至预先训练的行为识别模型,得到动态检测结果。
需要说明的是,对于采用加壳、混淆、注入等方式绕过静态防护的攻击行为,可以对待检测文件进行动态分析,得到行为信息。该动态分析是指在运行待检测文件的情况下提取的安全特征,常用的做法是在安全可控的虚拟环境中运行待检测文件,在运行的过程中,此文件会产生大量的恶意动态行为特征。示例性地,行为信息可以包括以下至少之一:系统运行状态信息、操作码特征、API系统调用特征系统操作信息和网络活动特征。
示例性地,可以将动态分析得到的行为信息输入至预先训练的行为识别模型,得到动态检测结果。该行为识别模型用于对恶意攻击行为进行自动识别,其可以基于已知的攻击行为和相应的行为信息进行AI训练并更新,进而不断迭代优化,增强泛化能力。
示例性地,动态检测可以基于检测值对行为信息进行标记。举例来说,若基于检测值确定行为信息为恶意,则将行为信息标记为黑;若基于检测值确定行为信息为非恶意,则将行为信息标记为白;若基于检测值无法确定行为信息是否为恶意或者非恶意,则将行为信息标记为灰,此时由于无法判定此行为信息是否为恶意,则需要基于所述行为信息所属进程的静态信息进行静态检测,并结合静态检测和动态检测的检测结果进行综合判断。这里的黑、白、灰只是一个特定的标记形式,而并不限于标记只有黑、白、灰这一种标记形式。
示例性地,本申请实施例的静态检测和动态检测均采用采集点-监测点-检测点-处置点的处理流程,例如,结合MITRE Engage Framework,在终端构建完善的采集点至处置点的诱饵系统,完善采集、监测系统,并应用AI为主引擎的技术进行恶意威胁检测。
需要说明的是,上述静态检测中的监测点无法转换为检测点时,即无法检测待检测文件是否为恶意时,可以触发动态检测中检测点进行动态检测,例如,以静态检测中的监测点拉起内存扫描或者虚拟执行等动态检测;当上述动态检测中的监测点无法转换为检测点时,即无法检测相关行为信息是否为恶意时,可以触发静态检测中检测点进行静态检测,例如,动态扫描到可疑行为,对进程链文件或内存,进行静态检测。
示例性地,可以基于二分图(Bipartite Graph)实现所述第一检测中静态检测与动态检测的耦合,和/或,所述第二检测中的动态检测与静态检测的耦合。
示例性地,可以基于二分图实现上述静态检测中的监测点触发动态检测中的检测点以及动态检测中的监测点触发静态检测中的检测点的行为。该二分图又称为二部图,是图论中的一种模型,设G=(V,E)是一个无向图,如果顶点V可分割为两个互不相交的子集(A,B),并且图中的每条边(i,j)所关联的两个顶点i和j分别属于这两个不同的顶点集(i inA,j in B),则称图G为一个二分图。简而言之,就是顶点集V可分割为两个互不相交的子集,并且图中每条边依附的两个顶点都分属于这两个互不相交的子集,两个子集内的顶点不相邻。本申请实施例中,静态检测的监测点与对应的动态检测中的检测点可以分割为两个互不相交的子集,进而基于二分图实现基于静态检测的监测点触发动态检测中检测点的行为;同理,动态检测的监测点与对应的静态检测中的检测点可以分割为两个互不相交的子集,进而基于二分图实现基于动态检测的监测点触发静态检测中检测点的行为。如此,可以实现场景化的AI训练,并实现“动态AI防护”和“静态AI防护”协同工作的机制。
示例性地,可以采用松耦合的架构模式实现静态检测和动态检测的协同配合,例如,采用消息驱动或总线型的组件间协助模式,比如多个单点检测引擎(动态和静态)、场景化的行为AI引擎以及业务模块,实现不同场景的终端防护体系。换言之,基于前述的二分图实现多个执行静态检测的静态引擎与多个执行动态检测的动态引擎之间的耦合,可以实现不同场景下的防护流程和体系,增强业务的灵活性和扩展性。
示例性地,若执行所述静态检测的静态引擎的数量为多个,所述第二检测还包括:
所述对所述静态信息进行静态检测之前,基于所述行为信息所属进程的静态信息确定目标静态引擎;其中,所述目标静态引擎为多个所述静态引擎中的一个。
可以理解的是,针对第二检测,二分图可以基于动态检测的行为信息确定静态检测的监测点,即得到行为信息所属进程的静态信息,进而在多个静态引擎中确定目标静态引擎,实现动态检测过程中与静态检测的动态耦合。
示例性地,若执行所述动态检测的动态引擎的数量为多个,所述第一检测还包括:
所述进行动态检测之前,基于所述待检测文件运行时的行为信息确定目标动态引擎;其中,所述目标动态引擎为多个所述动态引擎中的一个。
可以理解的是,针对第一检测,二分图可以基于静态检测的静态信息确定动态检测的监测点,即得到待检测文件运行时的行为信息,进而在多个动态引擎中确定目标动态引擎,实现静态检测过程中与动态检测的动态耦合。
示例性地,所述方法还包括:
响应于终端被恶意攻击,对所述恶意攻击对应的文件进行隔离处理。
可以理解的是,终端若确定基于所述第一检测的检测结果以及所述第二检测的检测结果,确定被恶意攻击,则对所述恶意攻击对应的文件进行隔离处理,例如,挂起或阻断进程,进而实现终端的安全防护。
示例性地,所述基于所述第一检测的检测结果以及所述第二检测的检测结果,判断所述终端是否被恶意攻击,包括:
针对所述第一检测的检测结果,基于所述静态检测的第一检测值和所述动态检测的第二检测值得到第一加权结果,基于所述第一加权结果和第一设定阈值,确定所述终端是否被恶意攻击;
针对所述第二检测的检测结果,基于所述动态检测的第三检测值和所述静态检测的第四检测值得到第二加权结果,基于所述第二加权结果和第二设定阈值,确定所述终端是否被恶意攻击。
可以理解的是,上述第一检测的检测结果和第二检测的检测结果均可以综合静态检测和动态检测确定终端是否被恶意攻击。以上述第一检测的检测结果为例,若静态检测的第一检测值为0.3,动态检测的第二检测值为0.6,直接求和后的第一加权结果为0.9,假定第一设定阈值为0.8,由于第一加权结果0.9超过第一设定阈值0.8,则判定存在恶意攻击。上述第二检测的检测结果的确定过程与之类似,在此不再赘述。如此,基于静态检测和动态检测的检测值进行综合判断,可以有效提高安全防护的准确性和全面性,增强终端运行的安全性和可靠性。
下面结合一应用示例对本申请再作进一步详细的描述。
图2示出了本应用示例中动态AI引擎与静态AI引擎协同防护的原理示意图。其中,采集点可以采集进程对文件、系统的一系列操作行为和待检测文件的静态信息,通过二分图进行事件驱动,实现动态AI引擎与静态AI引擎之间的耦合。其中,动态AI引擎和静态AI引擎可以进行场景化的AI模型训练,在终端打造出“动态AI”+“静态AI”双引擎协同工作机制,提供传统杀毒防御能力的同时,更能轻松应对新兴和快速变化的无文件攻击、勒索软件、0day和恶意软件等。技术实现上可以以AI为主,同时将规则作为必不可少的部分,以最大程度上提升安全效果及检测能效。
如图2所示,静态AI引擎可以基于静态分析获取待检测文件的静态信息,例如,文件头部信息、文件节信息、证书信息和资源信息,并基于word2vec(词到向量)和主成分分析对上述静态信息进行处理,得到深度特征,该深度特征可以采用特征向量表征,再基于神经网络、随机森林算法对深度特征进行自动化分析,得到分类结果,实现对未知恶意文件的检测。
如图2所示,动态AI引擎对于采用加壳、混淆、注入等方式绕过静态防护的攻击行为,可以在安全可控的虚拟环境中运行待检测文件,进行动态分析得到相关的行为信息,例如,采集事先定义的API(Application Programming Interface,应用程序编程接口)、文件操作等运行序列,并将行为信息输入至基于AI的行为模型中,得到动态检测结果。
针对图2所示的静态AI引擎,从静态维度,采取监测点-检测点-处置点的递进思路,结合IOA(Indicator of Attack,攻击指示器)引擎和命令行扫描作为监测点,即动态检测的监测点触发静态检测的输入,其中提取出来的高可疑程序、脚本、甚至内存代码段等数据作为静态AI引擎的输入,启动检测流程,如:内存扫描分析、可疑文件扫描,最后再结合文件的检出结果来综合判定。
针对图2所示的动态AI引擎,从动态维度进行动态检测,对于静态AI模型无法研判的文件(灰文件),此时静态检测的监测点触发动态检测的输入,通过虚拟执行等技术产生动态行为序列,并将其输入到动态AI引擎中进行检测,可以有效地检测和防御各种恶意软件攻击,包括病毒、木马、蠕虫、间谍软件等。同时,这种技术还可以避免传统的基于特征的检测方法的局限性,提高安全防护的准确性和效率性。
为了实现本申请实施例的方法,本申请实施例还提供一种终端安全防护装置,该终端安全防护装置与上述终端安全防护方法对应,上述终端安全防护方法实施例中的各步骤也完全适用于本终端安全防护装置实施例。
如图3所示,该终端安全防护装置包括:检测模块301和防护模块302,检测模块301用于在所述终端活动期间,对所述终端执行如下第一检测以及第二检测;其中,所述第一检测包括:获取所述终端活动期间中待检测文件对应的静态信息,对所述静态信息进行静态检测,在无法检测所述待检测文件是否为恶意时,基于所述待检测文件运行时的行为信息,进行动态检测;所述第二检测包括:获取所述终端活动期间出现的行为信息,对所述行为信息进行动态检测,在无法检测所述行为信息是否为恶意时,获取所述行为信息所属进程的静态信息,对所述静态信息进行静态检测;防护模块302用于基于所述第一检测的检测结果以及所述第二检测的检测结果,判断所述终端是否被恶意攻击,以对所述终端进行全面防护。
在一些实施例中,防护模块302基于所述第一检测的检测结果以及所述第二检测的检测结果,判断所述终端是否被恶意攻击,包括:
针对所述第一检测的检测结果,基于所述静态检测的第一检测值和所述动态检测的第二检测值得到第一加权结果,基于所述第一加权结果和第一设定阈值,确定所述终端是否被恶意攻击;
针对所述第二检测的检测结果,基于所述动态检测的第三检测值和所述静态检测的第四检测值得到第二加权结果,基于所述第二加权结果和第二设定阈值,确定所述终端是否被恶意攻击。
在一些实施例中,所述静态检测包括:
基于AI技术和所述静态信息得到所述待检测文件或者所述行为信息所属进程的深度特征;
对所述深度特征基于深度特征分析得到静态检测结果。
在一些实施例中,所述动态检测包括:
将所述行为信息输入至预先训练的行为识别模型,得到动态检测结果。
在一些实施例中,若执行所述静态检测的静态引擎的数量为多个,所述第二检测还包括:
所述对所述静态信息进行静态检测之前,基于所述行为信息所属进程的静态信息确定目标静态引擎;其中,所述目标静态引擎为多个所述静态引擎中的一个。
在一些实施例中,若执行所述动态检测的动态引擎的数量为多个,所述第一检测还包括:
所述进行动态检测之前,基于所述待检测文件运行时的行为信息确定目标动态引擎;其中,所述目标动态引擎为多个所述动态引擎中的一个。
在一些实施例中,检测模块301还用于:
基于二分图实现所述第一检测中静态检测与动态检测的耦合,和/或,所述第二检测中的动态检测与静态检测的耦合。
实际应用时,检测模块301和防护模块302,可以由终端安全防护装置中的处理器来实现。当然,处理器需要运行存储器中的计算机程序来实现它的功能。
需要说明的是:上述实施例提供的终端安全防护装置在进行终端安全防护时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的终端安全防护装置与终端安全防护方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本申请实施例的方法,本申请实施例还提供一种终端。图4仅仅示出了该终端的示例性结构而非全部结构,根据需要可以实施图4示出的部分结构或全部结构。
如图4所示,本申请实施例提供的终端400包括:至少一个处理器401、存储器402、用户接口403和至少一个网络接口404。终端400中的各个组件通过总线系统405耦合在一起。可以理解,总线系统405用于实现这些组件之间的连接通信。总线系统405除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图4中将各种总线都标为总线系统405。
其中,用户接口403可以包括显示器、键盘、鼠标、轨迹球、点击轮、按键、按钮、触感板或者触摸屏等。
本申请实施例中的存储器402用于存储各种类型的数据以支持终端的操作。这些数据的示例包括:用于在终端上操作的任何计算机程序。
本申请实施例揭示的终端安全防护方法可以应用于处理器401中,或者由处理器401实现。处理器401可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,终端安全防护方法的各步骤可以通过处理器401中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器401可以是通用处理器、数字信号处理器(DSP,Digital SignalProcessor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器401可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器402,处理器401读取存储器402中的信息,结合其硬件完成本申请实施例提供的终端安全防护方法的步骤。
在示例性实施例中,终端可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex ProgrammableLogic Device)、现场可编程逻辑门阵列(FPGA,Field Programmable Gate Array)、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现,用于执行前述方法。
可以理解,存储器402可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic randomaccess memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random AccessMemory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,Sync Link DynamicRandom Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
在示例性实施例中,本申请实施例还提供了一种计算机存储介质,具体可以是计算机可读存储介质,例如包括存储计算机程序的存储器402,上述计算机程序可由终端的处理器401执行,以完成本申请实施例方法所述的步骤。计算机可读存储介质可以是ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
需要说明的是:“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
另外,本申请实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请披露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
Claims (10)
1.一种终端安全防护方法,其特征在于,包括:
在所述终端活动期间,对所述终端执行如下第一检测以及第二检测;
其中,所述第一检测包括:
获取所述终端活动期间中待检测文件对应的静态信息,对所述静态信息进行静态检测,在无法检测所述待检测文件是否为恶意时,基于所述待检测文件运行时的行为信息,进行动态检测;
其中,所述第二检测包括:
获取所述终端活动期间出现的行为信息,对所述行为信息进行动态检测,在无法检测所述行为信息是否为恶意时,获取所述行为信息所属进程的静态信息,对所述静态信息进行静态检测,所述第二检测中的静态信息为:无需动态运行即可得到的内容,和/或,内存中提取的内容;
基于所述第一检测的检测结果以及所述第二检测的检测结果,判断所述终端是否被恶意攻击,以对所述终端进行全面防护。
2.根据权利要求1所述的方法,其特征在于,所述基于所述第一检测的检测结果以及所述第二检测的检测结果,判断所述终端是否被恶意攻击,包括:
针对所述第一检测的检测结果,基于所述静态检测的第一检测值和所述动态检测的第二检测值得到第一加权结果,基于所述第一加权结果和第一设定阈值,确定所述终端是否被恶意攻击;
针对所述第二检测的检测结果,基于所述动态检测的第三检测值和所述静态检测的第四检测值得到第二加权结果,基于所述第二加权结果和第二设定阈值,确定所述终端是否被恶意攻击。
3.根据权利要求1所述的方法,其特征在于,所述静态检测包括:
基于人工智能AI技术和所述终端活动期间中待检测文件对应的静态信息,得到所述待检测文件的深度特征;
或者,基于人工智能AI技术和所述终端活动期间出现的行为信息所属进程的静态信息,得到所述行为信息所属进程的深度特征;
对所述深度特征基于深度特征分析得到静态检测结果。
4.根据权利要求1所述的方法,其特征在于,所述动态检测包括:
将所述待检测文件运行时的行为信息或所述终端活动期间出现的行为信息输入至预先训练的行为识别模型,得到动态检测结果。
5.根据权利要求1所述的方法,其特征在于,若执行所述第二检测中的静态检测的静态引擎的数量为多个,所述第二检测还包括:
所述对行为信息所属进程的静态信息进行静态检测之前,基于行为信息所属进程的静态信息确定目标静态引擎;其中,所述目标静态引擎为多个所述静态引擎中的一个。
6.根据权利要求1所述的方法,其特征在于,若执行所述第一检测中的动态检测的动态引擎的数量为多个,所述第一检测还包括:
所述基于所述待检测文件运行时的行为信息,进行动态检测之前,确定目标动态引擎;其中,所述目标动态引擎为多个所述动态引擎中的一个。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于二分图实现所述第一检测中静态检测与动态检测的耦合,和/或,所述第二检测中的动态检测与静态检测的耦合。
8.一种终端安全防护装置,其特征在于,包括:
检测模块,用于在所述终端活动期间,对所述终端执行如下第一检测以及第二检测;
其中,所述第一检测包括:
获取所述终端活动期间中待检测文件对应的静态信息,对所述静态信息进行静态检测,在无法检测所述待检测文件是否为恶意时,基于所述待检测文件运行时的行为信息,进行动态检测;
其中,所述第二检测包括:
获取所述终端活动期间出现的行为信息,对所述行为信息进行动态检测,在无法检测所述行为信息是否为恶意时,获取所述行为信息所属进程的静态信息,对所述静态信息进行静态检测,所述第二检测中的静态信息为:无需动态运行即可得到的内容,和/或,内存中提取的内容;
防护模块,用于基于所述第一检测的检测结果以及所述第二检测的检测结果,判断所述终端是否被恶意攻击,以对所述终端进行全面防护。
9.一种终端,其特征在于,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,
所述处理器,用于运行计算机程序时,执行权利要求1至7任一项所述方法的步骤。
10.一种计算机存储介质,所述计算机存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311015213.7A CN116738427B (zh) | 2023-08-14 | 2023-08-14 | 终端安全防护方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311015213.7A CN116738427B (zh) | 2023-08-14 | 2023-08-14 | 终端安全防护方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116738427A CN116738427A (zh) | 2023-09-12 |
| CN116738427B true CN116738427B (zh) | 2024-02-23 |
Family
ID=87910019
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311015213.7A Active CN116738427B (zh) | 2023-08-14 | 2023-08-14 | 终端安全防护方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116738427B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108734010A (zh) * | 2017-04-17 | 2018-11-02 | 北京京东尚科信息技术有限公司 | 文件检测的方法、装置 |
| CN109033835A (zh) * | 2018-07-23 | 2018-12-18 | 成都立鑫新技术科技有限公司 | 一种异构双引擎检测移动终端恶意代码的方法 |
| CN109492395A (zh) * | 2018-10-31 | 2019-03-19 | 厦门安胜网络科技有限公司 | 一种检测恶意程序的方法、装置及存储介质 |
| CN110287701A (zh) * | 2019-06-28 | 2019-09-27 | 深信服科技股份有限公司 | 一种恶意文件检测方法、装置、系统及相关组件 |
| CN111310183A (zh) * | 2020-03-04 | 2020-06-19 | 深信服科技股份有限公司 | 一种软件风险识别方法、装置、设备、存储介质及系统 |
| CN115098858A (zh) * | 2022-06-17 | 2022-09-23 | 山西大学 | 一种恶意软件检测方法及装置 |
| CN116089000A (zh) * | 2021-11-04 | 2023-05-09 | 上海交通大学 | 一种基于运行时信息的容器逃逸检测方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11165797B2 (en) * | 2016-04-22 | 2021-11-02 | Sophos Limited | Detecting endpoint compromise based on network usage history |
-
2023
- 2023-08-14 CN CN202311015213.7A patent/CN116738427B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108734010A (zh) * | 2017-04-17 | 2018-11-02 | 北京京东尚科信息技术有限公司 | 文件检测的方法、装置 |
| CN109033835A (zh) * | 2018-07-23 | 2018-12-18 | 成都立鑫新技术科技有限公司 | 一种异构双引擎检测移动终端恶意代码的方法 |
| CN109492395A (zh) * | 2018-10-31 | 2019-03-19 | 厦门安胜网络科技有限公司 | 一种检测恶意程序的方法、装置及存储介质 |
| CN110287701A (zh) * | 2019-06-28 | 2019-09-27 | 深信服科技股份有限公司 | 一种恶意文件检测方法、装置、系统及相关组件 |
| CN111310183A (zh) * | 2020-03-04 | 2020-06-19 | 深信服科技股份有限公司 | 一种软件风险识别方法、装置、设备、存储介质及系统 |
| CN116089000A (zh) * | 2021-11-04 | 2023-05-09 | 上海交通大学 | 一种基于运行时信息的容器逃逸检测方法和系统 |
| CN115098858A (zh) * | 2022-06-17 | 2022-09-23 | 山西大学 | 一种恶意软件检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116738427A (zh) | 2023-09-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5326062B1 (ja) | 非実行ファイル検査装置及び方法 | |
| RU2706896C1 (ru) | Система и способ выявления вредоносных файлов с использованием модели обучения, обученной на одном вредоносном файле | |
| US10043001B2 (en) | Methods and apparatus for control and detection of malicious content using a sandbox environment | |
| Javaheri et al. | Detection and elimination of spyware and ransomware by intercepting kernel-level system routines | |
| CN106850582B (zh) | 一种基于指令监控的apt高级威胁检测方法 | |
| JP5265061B1 (ja) | 悪意のあるファイル検査装置及び方法 | |
| EP3462358B1 (en) | System and method for detection of malicious code in the address space of processes | |
| US10216934B2 (en) | Inferential exploit attempt detection | |
| Sihwail et al. | An Effective Memory Analysis for Malware Detection and Classification. | |
| KR101851233B1 (ko) | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 | |
| CN110417768B (zh) | 一种僵尸网络的跟踪方法及装置 | |
| Aslan et al. | Using a subtractive center behavioral model to detect malware | |
| Ramilli et al. | Multi-stage delivery of malware | |
| Khushali | A Review on Fileless Malware Analysis Techniques | |
| Cen et al. | Ransomware early detection: A survey | |
| CN116738427B (zh) | 终端安全防护方法、装置、设备及存储介质 | |
| RU2665910C1 (ru) | Система и способ обнаружения вредоносного кода в адресном пространстве процессов | |
| KR101908517B1 (ko) | 스트링과 코드 시그니처를 이용한 악성코드 탐지 및 패커 해제 방법 | |
| Wolsey | The State-of-the-Art in AI-Based Malware Detection Techniques: A Review | |
| Mousavi et al. | Systems in Danger: A Short Review on Metamorphic Computer Viruses | |
| Dai et al. | Holography: a hardware virtualization tool for malware analysis | |
| Visaggio | The state of the malware: What can we defend against? | |
| Ibrahim et al. | GUARDING ANDROID: A COMPREHENSIVE REVIEW OF INTRUSION DETECTION TECHNIQUES FOR SMARTPHONES | |
| CN116204892B (zh) | 漏洞处理方法、装置、设备以及存储介质 | |
| Klymenko | Modern information systems security means |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |