CN1737722A - 一种检测和防御计算机恶意程序的系统和方法 - Google Patents
一种检测和防御计算机恶意程序的系统和方法 Download PDFInfo
- Publication number
- CN1737722A CN1737722A CN 200510036275 CN200510036275A CN1737722A CN 1737722 A CN1737722 A CN 1737722A CN 200510036275 CN200510036275 CN 200510036275 CN 200510036275 A CN200510036275 A CN 200510036275A CN 1737722 A CN1737722 A CN 1737722A
- Authority
- CN
- China
- Prior art keywords
- program
- target program
- behavior
- file
- rogue
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
一种检测和防御计算机恶意程序的系统,包括:计算机操作系统监控装置,用于收集目标程序执行的动作信息;目标程序行为记录装置,用于临时保存目标程序所进行的操作记录,并记录修改前后的文件、注册表内容;已知行为特征存储装置,用于保存已知的、整理到的特定操作信息,并存储有各种操作相对应的威胁级别权值;目标程序行为识别分析装置,用于比较目标程序行为与已知行为特征,根据目标程序行为对应的威胁级别权值进行加权计算,达到一定阈值则确定该目标程序为恶意程序;结果调度处理装置,用于对被确定为恶意程序的目标程序进行终止操作并通知用户进行处理或者自行调度处理;恶意行为撤销装置,用于对被推断为恶意程序的目标程序所执行的操作进行撤销。
Description
技术领域
本发明涉及一种检测和防御计算机病毒、木马程序等恶意破坏程序的技术,特别是能检测和防御未知恶意程序的系统和方法。
背景技术
长期以来,以计算机病毒、逻辑炸弹、特洛伊木马程序、间谍程序为主的执行结果具有破坏性(毁坏系统、篡改文件、影响系统稳定与执行效率、窃取信息等)的计算机程序(以下统称恶意程序)一直是计算机使用中的重大问题,它们对信息安全具有重大的威胁。这些恶意程序种类繁多,传播方式多样,让人防不胜防,如很多恶意程序利用操作系统的漏洞通过网络传播或通过感染计算机中的可执行文件传播;有的恶意程序(如特洛伊木马程序)经常伪装成正常程序,引诱用户执行,从而达到某种目的。它们一旦发作就会对计算机系统造成破坏,轻则篡改文件、影响系统稳定与执行效率、窃取信息,重则导致系统瘫痪,甚至破坏系统硬件部分。
目前普遍使用的杀毒软件技术大多只能检测和杀除已知类型的恶意程序程序,且普遍采用特征码匹配技术。这种方法无法有效判断未知恶意程序,只有在恶意程序被病毒分析人员分析提取特征码并加入病毒库中后才可以被检测。
目前也有人开发了能够检测未知病毒的杀毒技术,例如广谱查毒、启发式查毒等,通过对大量病毒的行为特征进行描述分析,将经典的病毒行为特征串作为检测标准,主要通过经验判断。此方法误报率和漏报率较高。此类方法依然属于静态特征字符串匹配类型。
还有的通过在“虚拟计算机”中模拟执行待检测程序的方法,可以在一个软件模拟的计算机环境中执行目标程序,并放置诱饵文件,引诱病毒执行,通过检测虚拟环境中诱饵文件是否改变来检测未知病毒的方法。此方法利用虚拟机技术,可以判定一部分未知病毒。但是,由于虚拟机环境与真实计算机环境的差异,不能完整的模拟系统。并且由于检测时需要启动一个虚拟机,占用系统资源较大,只能实现查毒,无法在程序执行时实时监测防御。
虚拟机运行待检测程序判断恶意程序的方法,主要有两方面问题。一是占用系统资源巨大,无法做到在程序运行时实时检测,只能通过人为去执行检测。二是,虚拟机环境与真机之间的差异。已经发现有病毒可以专门针对此种虚拟机进行特定操作,如发现自身在虚拟环境中运行则不执行破坏操作,以躲避检测,更有甚者会针对特定虚拟机的漏洞进行攻击。
发明内容
针对上述现有检测恶意程序技术中的问题,本发明的目的在于提供一种能在真实环境中运行、占用系统资源少、误报率低、能实时进行有效检测和防御已知及未知病毒的系统。
本发明的另一目的在于提供一种能在真实环境中运行、占用系统资源少、误报率低、能实时进行有效检测和防御已知及未知病毒的方法。
本发明的目的是通过如下的技术方案实现的:
一种检测和防御计算机恶意程序的系统,包括:
计算机操作系统监控装置,用于收集目标程序执行的动作信息;
目标程序行为记录装置,用于临时保存目标程序所进行的操作记录,并记录修改前后的文件、注册表内容;
已知行为特征存储装置,用于保存已知的、整理到的特定操作信息,并存储有各种操作相对应的威胁级别权值;
目标程序行为识别分析装置,用于比较目标程序行为与已知行为特征,根据目标程序行为对应的威胁级别权值进行加权计算,达到一定阈值则确定该目标程序为恶意程序;
结果调度处理装置,用于对目标程序行为识别分析装置确定为恶意程序的目标程序进行终止操作并通知用户进行处理或者自行调度处理;
恶意行为撤销装置,用于对被推断为恶意程序的目标程序所执行的保存于目标程序行为记录装置中的操作进行撤销。
所述系统还包括用户交互控制装置,用于对经过结果调度处理装置传送来的被终止的目标程序进行处理,并反馈给结果调度处理装置。
所述系统还包括恶意程序报告装置,用于对目标程序行为识别分析装置确定为恶意程序的程序文件或无法确定的文件,在结果调度处理装置的处理下通过网络提交给有关部门或专业反病毒公司,交由专业分析人员分析。
一种检测和防御计算机恶意程序的方法,包括正常的启动和结束步骤外,该方法还包括以下步骤:
目标程序行为收集步骤,收集目标程序执行的动作信息;
目标程序行为记录步骤,临时保存目标程序所进行的操作记录,并记录修改前后的文件、注册表内容;
目标程序行为识别分析步骤,比较目标程序行为与已知行为特征,根据目标程序行为对应的威胁级别权值进行加权计算,达到一定阈值则确定该目标程序为恶意程序;
结果调度处理步骤:对目标程序行为识别分析装置确定为恶意程序的目标程序进行终止操作并通知用户进行处理或者自行调度处理;
恶意行为撤销步骤,对被推断为恶意程序的目标程序所执行的操作进行撤销。
所述方法还包括用户交互控制步骤,对经过结果调度处理装置传送来的被终止的目标程序进行处理,并反馈给结果调度处理装置。
所述系统还包括恶意程序报告步骤,对被确定为恶意程序的程序文件或无法确定的文件,经过系统调度或者用户交互控制通过网络提交给有关部门,或专业反病毒公司,交由专业分析人员分析。
本发明根据恶意程序要达到其传播、隐藏、破坏的目的,要进行一些特定的操作的特性。将收集到的目标程序执行的操作,与已知行为(经过计算机安全人员对已有恶意程序的操作信息分析,积累出的经典的危险操作行为)相对照,并对系统敏感文件、敏感磁盘位置进行监控,可以自动推定目标程序的危险级别。当推定一个程序的操作具有破坏性时,便暂停目标程序,并反馈给计算机操作人员进行相应处理或者系统自行进行调度处理。本发明是根据目标程序在真实计算机中运行所产生的结果进行判断,与已有的文件静态扫描,虚拟机执行等方法不同,具有占用系统资源少、误报率低、能实时进行有效检测和防御已知及未知病毒。既可以判断恶意程序,又可以有效防护系统安全,还可以对危险操作进行恢复操作。因此,此项发明对于扼制计算机病毒传播具有一定意义。
附图说明
图1为包含本发明检测和防御计算机恶意程序的系统的计算机结构示意图;
图2为本发明检测和防御计算机恶意程序的方法的工作流程图;
具体实施方式
如图1所示,在一个普通的计算机系统中,装有一个可由该计算机执行的检测和防御计算机恶意程序的系统1、目标程序2、计算机操作系统3、以及网络连接模块4、文件系统5、注册表数据库6;在该计算机中还带有通常的CPU、内存储设备和外存储设备(图中未示出)。所述目标程序2可以存在于计算机内外存储设备的文件以及从网络下载和传输的文件或数据包中。所述目标程序2能够在所述计算机操作系统3中运行,并能够调用相关功能函数达到操作所述网络连接模块、文件系统、注册表数据库等软硬件。所述检测和防御计算机恶意程序的系统1能够通过对所述目标程序调用相关功能函数的过程进行有效监控。
所述检测和防御计算机恶意程序的系统1包括:
计算机操作系统监控装置11,用于收集目标程序执行动作信息,是所述检测和防御计算机恶意程序的系统1中最基本的装置,又称为目标程序行为收集装置。所述计算机操作系统监控装置11一般包括文件监控模块111、进程监控模块112、网络监控模块113、注册表监控模块114。
所述文件监控模块111,通过挂接操作系统文件操作,可以监控目标程序2的每一个读写文件请求。因为对于传统文件传染型病毒,包括DOS、PE病毒,为了达到传播复制的目的,必须对被感染EXE或COM文件进行改写;传统引导型病毒,会改写软盘及硬盘引导扇区特定位置;对于木马、间谍软件等恶意程序,为了实现破坏或窃取信息目的,也会对特定文件进行读写操作。为了增加对恶意程序判定的准确率,可以在系统中放置特定的诱饵文件;或特别通过文件监控收集目标程序对操作系统敏感文件的读写操作。通过文件监控模块可以将以上目标程序的操作截获,并将此动作信息提交给目标程序行为记录装置12。
进程监控模块112,监控目标程序2执行的系统调用。
网络监控模块113,由于大多新型病毒通过网络进行传播,木马、间谍程序窃取信息也大多通过网络发送。通过监控目标程序2网络连接与发送行为,供上层分析程序参考。
注册表监控模块114,操作系统注册表是操作系统各种重要信息、系统配置的数据库。其中一些重要内容,如系统启动运行项目、文件类型关联等等,一旦被改动,对系统安全会造成不确定影响。注册表监控模块114会将目标程序2对注册表所进行改动操作收集汇报给目标行为记录装置。
目标程序行为记录装置12,用于临时保存目标程序2所进行的敏感操作记录,并记录修改后的文件、注册表内容。供行为识别分析装置判断目标程序2的威胁级别,并在确认恶意程序后供恶意行为撤销装置用于恢复修复系统原有状态。
已知行为特征存储装置14,用于保存根据对已知恶意程序的分析,总结整理出的经典行为参考数据,包括有各种操作威胁级别的权值;用于辅助判定,提高恶意程序识别的效率与准确程度;
目标程序行为识别分析装置13,根据计算机操作系统监控装置11收集的目标程序行为,以及存储于已知行为特征存储装置14现有的行为特征,进行综合判断;并根据目标程序行为对应的威胁级别权值进行加权计算,达到一定阈值则确认为该目标程序为恶意程序。它利用恶意程序行为的基本特征:感染性、敏感系统文件操作等特性来综合检测恶意程序。对于无法确定的恶意程序,可以通过结合传统病毒特征码技术进行扫描。
恶意程序行为撤销装置15,用于在已经判定目标程序为恶意程序后,根据目标行为记录装置12中所保存的目标程序所执行的操作行为记录,反向进行回滚操作,以撤销其对系统的影响,恢复到保存的之前状态。因为有些操作无法撤销(如发送网络数据),因此此方法理论上不能做到完全的防御,但却可以通过优化将恶意程序对系统及网络的破坏减到最小。
结果调度处理装置16,用于对目标程序行为识别分析装置13确定为恶意程序的目标程序2进行挂起(终止)操作并通知用户进行处理或者自行调度处理。即当目标程序行为识别分析装置13判断目标程序2具有一定威胁程度,便挂起(终止)目标程序2,并通知用户进行处理或者自行调度处理。自行处理可以调用恶意程序行为撤销装置恢复系统状态或者通过恶意程序报告装置上报相关机构。
所述检测和防御计算机恶意程序的系统1还包括:
用户交互控制装置17,用于对经过结果调度处理装置16传送来的被挂起的目标程序进行处理(一般以弹出式菜单供用户选择),并反馈相关信息给结果调度处理装置16。此时,用户可以选择忽略继续执行、调用恶意程序行为撤销装置恢复系统状态和/或通过恶意程序报告装置上报相关机构;
恶意程序报告装置18,用于将被确定为恶意程序的目标程序文件,或无法确定的目标程序文件,通过网络提交给有关部门,或专业反病毒公司,交由专业分析人员分析。这将有利于突发新病毒的早发现,早处理,可以遏制病毒传播。
如图2所示为本发明检测和防御计算机恶意程序方法的工作流程图。该流程的各个步骤如下:
S0、启动:启动检测和防御计算机恶意程序的系统1。在启动检测和防御计算机恶意程序的系统1之前操作系统3业已启动,否则没办法启动上述系统1;为了达到理想效果,最好在启动检测和防御计算机恶意程序的系统1之后再启动目标程序2。
S1、目标程序行为收集步骤:在该步骤中,所述目标程序2发出调用系统的请求,所述计算机操作系统监控装置11通过对目标程序2在所述操作系统3中运行时发出的调用请求监控收集目标程序2欲执行的动作信息;这些监控包括文件监控、进程监控、网络监控、注册表监控等。
S2、目标程序行为记录步骤:临时保存来自计算机操作系统监控装置11收集来的目标程序2所进行的操作记录信息,并记录修改后的文件、注册表内容。与此同时,操作系统执行目标程序的动作。
S3、目标程序行为识别分析步骤:根据保存于目标程序行为记录装置12中的来自计算机操作系统监控装置11收集的目标程序行为,以及存储于已知行为特征存储装置14现有的行为特征,进行综合判断;并根据目标程序行为对应的威胁级别权值进行加权计算,达到一定阈值则确认为该目标程序为恶意程序;而且目标程序行为对应的威胁级别加权值越高,该恶意程序的危险程度越高。否则,认为该目标程序为正常程序,执行步骤S6。
S4、结果调度处理:在本步骤中,通过步骤S3被确定为恶意程序的目标程序将会被终止执行;并通知用户进行处理或者自行调度处理。自行处理可以调用恶意程序行为撤销装置恢复系统状态和/或者通过恶意程序报告装置上报相关机构。
S5、恶意程序行为撤销步骤,对于被确认为恶意程序的目标程序所执行的操作,根据目标行为记录装置12中所保存的目标程序所执行的操作行为记录,反向进行回滚操作,以撤销其对系统的影响,恢复到保存的之前状态;并执行步骤S7。
S6、判断是否结束检测系统,如果不结束,则返回步骤S1进行循环检测;如果结束,则执行步骤S7。
S7、结束检测系统的运行。
所述检测和防御计算机恶意程序的方法1还包括如下步骤:
S8、用户交互控制步骤:用户对经过结果调度处理装置16传送来的被终止的目标程序进行处理(一般以弹出式菜单供用户选择)。用户可以选择忽略继续执行、调用恶意程序行为撤销装置恢复系统状态和/或通过恶意程序报告装置上报相关机构;然后可以结束。
S9、恶意程序报告步骤,对被确定为恶意程序的程序文件或无法确定的文件,经过系统调度或者用户交互控制通过网络提交给有关部门或专业反病毒公司,交由专业分析人员分析。
本发明的上述恶意程序检测与防御系统都可以通过普通的计算机编程语言(如C语言等)编制相应的软件程序来实现,该系统可以装在计算机中运行;可以包含在软盘、光盘等介质中进行销售和运行使用;也可以通过网络和互联网的方式进行传播和下载执行。
本发明的实施例不能认为是对本发明的一种限制,本领域的技术人员在本发明的基础上所做的非实质性的改进或改变都应该落入本发明权利要求书的保护范围。
Claims (10)
1、一种检测和防御计算机恶意程序的系统,其特征在于,该系统包括:
计算机操作系统监控装置,用于收集目标程序执行的动作信息;
目标程序行为记录装置,用于临时保存目标程序所进行的操作记录,并记录修改前后的文件、注册表内容;
已知行为特征存储装置,用于保存已知的、整理到的特定操作信息,并存储有各种操作相对应的威胁级别权值;
目标程序行为识别分析装置,用于比较目标程序行为与已知行为特征,根据目标程序行为对应的威胁级别权值进行加权计算,达到一定阈值则确定该目标程序为恶意程序;
结果调度处理装置,用于对目标程序行为识别分析装置确定为恶意程序的目标程序进行终止操作并通知用户进行处理或者自行调度处理;
恶意行为撤销装置,用于对被推断为恶意程序的目标程序所执行的保存于目标程序行为记录装置中的操作进行撤销。
2、根据权利要求1所述的系统,其特征在于,该系统还包括:用户交互控制装置,用于对经过结果调度处理装置传送来的被终止的目标程序进行处理,并反馈给结果调度处理装置。
3、根据权利要求1所述的系统,其特征在于,所述系统还包括:恶意程序报告装置,用于对目标程序行为识别分析装置确定为恶意程序的程序文件或无法确定的文件,在结果调度处理装置的处理下通过网络提交给有关部门或专业反病毒公司,交由专业分析人员分析。
4、根据权利要求1或2或3所述的系统,其特征在于,计算机操作系统监控装置,包括有文件监控模块、进程监控模块、网络监控模块、注册表监控模块;
所述文件监控模块,通过挂接操作系统文件操作,用于监控目标程序的每一个读写文件请求;
所述进程监控模块,用于监控目标程序执行的系统调用;
所述网络监控模块,用于监控目标程序网络连接与发送行为;
所述注册表监控模块,用于监控目标程序对注册表所进行改动操作。
5、根据权利要求4所述的系统,其特征在于,在所述系统中,通过文件监控收集目标程序对操作系统敏感文件的读写操作。
6、一种检测和防御计算机恶意程序的方法,包括正常的启动和结束步骤外,其特征在于,该方法还包括以下步骤:
目标程序行为收集步骤,收集目标程序执行的动作信息;
目标程序行为记录步骤,临时保存目标程序所进行的操作记录,并记录修改前后的文件、注册表内容;
目标程序行为识别分析步骤,比较目标程序行为与已知行为特征,根据目标程序行为对应的威胁级别权值进行加权计算,达到一定阈值则确定该目标程序为恶意程序;否则,认为该目标程序为正常程序,结束检测或者循环检测;
结果调度处理步骤:对目标程序行为识别分析装置确定为恶意程序的目标程序进行终止操作并通知用户进行处理或者自行调度处理;
恶意行为撤销步骤,对被推断为恶意程序的目标程序所执行的操作进行撤销。
7、根据权利要求6所述的方法,其特征在于,所述方法还包括:
用户交互控制步骤,对经过结果调度处理装置传送来的被终止的目标程序进行处理,并反馈给结果调度处理装置。
8、根据权利要求7所述的方法,其特征在于,所述方法还包括:
恶意程序报告步骤,对被确定为恶意程序的程序文件或无法确定的文件,经过系统调度或者用户交互控制通过网络提交给有关部门或专业反病毒公司,交由专业分析人员分析。
9、根据权利要求6或7或8所述的方法,其特征在于,所述目标程序行为收集步骤通过文件监控、进程监控、网络监控块、注册表监控实现;
所述文件监控,通过挂接操作系统文件操作,可以监控目标程序的每一个读写文件请求;
所述进程监控,监控目标程序执行的系统调用;
所述网络监控,监控目标程序网络连接与发送行为;
所述注册表监控,监控目标程序对注册表所进行改动操作。
10、根据权利要求9所述的方法,其特征在于,在所述系统中,通过文件监控收集目标程序对操作系统敏感文件的读写操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100362751A CN100374972C (zh) | 2005-08-03 | 2005-08-03 | 一种检测和防御计算机恶意程序的系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100362751A CN100374972C (zh) | 2005-08-03 | 2005-08-03 | 一种检测和防御计算机恶意程序的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1737722A true CN1737722A (zh) | 2006-02-22 |
| CN100374972C CN100374972C (zh) | 2008-03-12 |
Family
ID=36080535
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100362751A Active CN100374972C (zh) | 2005-08-03 | 2005-08-03 | 一种检测和防御计算机恶意程序的系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100374972C (zh) |
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008098519A1 (fr) * | 2007-02-14 | 2008-08-21 | Jie Bai | Procédé de protection d'ordinateur sur la base d'une analyse de comportements de programme |
| CN100461197C (zh) * | 2006-05-16 | 2009-02-11 | 北京启明星辰信息技术有限公司 | 一种恶意代码自动分析系统及方法 |
| WO2009143742A1 (zh) * | 2008-05-30 | 2009-12-03 | 成都市华为赛门铁克科技有限公司 | 一种可疑文件分析方法及系统 |
| CN102110220A (zh) * | 2011-02-14 | 2011-06-29 | 宇龙计算机通信科技(深圳)有限公司 | 一种应用程序监控方法及装置 |
| CN101604365B (zh) * | 2009-07-10 | 2011-08-17 | 珠海金山软件有限公司 | 确定计算机恶意程序样本家族数的系统和方法 |
| WO2011147306A1 (zh) * | 2010-05-25 | 2011-12-01 | 腾讯科技(深圳)有限公司 | 实时防护的方法和装置 |
| CN102480483A (zh) * | 2010-11-22 | 2012-05-30 | 财团法人资讯工业策进会 | 服务器、使用者装置及其恶意程序检测方法 |
| CN102629310A (zh) * | 2012-02-29 | 2012-08-08 | 卡巴斯基实验室封闭式股份公司 | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 |
| CN102799500A (zh) * | 2012-06-25 | 2012-11-28 | 腾讯科技(深圳)有限公司 | 系统修复方法、装置及存储介质 |
| CN102810142A (zh) * | 2011-12-20 | 2012-12-05 | 北京安天电子设备有限公司 | 基于可扩展模式的恶意代码查杀系统和方法 |
| CN102831010A (zh) * | 2012-08-30 | 2012-12-19 | 腾讯科技(深圳)有限公司 | 打开未知文件的方法和装置 |
| CN103051617A (zh) * | 2012-12-18 | 2013-04-17 | 北京奇虎科技有限公司 | 识别程序的网络行为的方法、装置及系统 |
| CN103369555A (zh) * | 2012-04-01 | 2013-10-23 | 西门子公司 | 一种用于检测手机病毒的方法和装置 |
| CN103428212A (zh) * | 2013-08-08 | 2013-12-04 | 电子科技大学 | 一种恶意代码检测及防御的方法 |
| CN103544438A (zh) * | 2013-09-27 | 2014-01-29 | 南京邮电大学 | 一种用于云安全系统的用户感知病毒报告分析方法 |
| CN103618626A (zh) * | 2013-11-28 | 2014-03-05 | 北京奇虎科技有限公司 | 一种基于日志的安全分析报告生成的方法和系统 |
| CN103782303A (zh) * | 2011-06-01 | 2014-05-07 | 迈可菲公司 | 对于恶意过程的基于非签名的检测的系统和方法 |
| CN103839005A (zh) * | 2013-11-22 | 2014-06-04 | 北京智谷睿拓技术服务有限公司 | 移动操作系统的恶意软件检测方法和恶意软件检测系统 |
| CN104021343A (zh) * | 2014-05-06 | 2014-09-03 | 南京大学 | 一种基于堆访问模式的恶意程序监控方法和系统 |
| CN104252592A (zh) * | 2013-06-27 | 2014-12-31 | 贝壳网际(北京)安全技术有限公司 | 外挂应用程序的识别方法及装置 |
| CN104766011A (zh) * | 2015-03-26 | 2015-07-08 | 国家电网公司 | 基于主机特征的沙箱检测告警方法和系统 |
| CN105279426A (zh) * | 2014-05-29 | 2016-01-27 | 联发科技股份有限公司 | 配置应用程序相关任务的电子设备及其相关方法 |
| CN105426758A (zh) * | 2015-12-18 | 2016-03-23 | 北京奇虎科技有限公司 | 一种虚拟机逃逸的防护方法及装置 |
| CN105630636A (zh) * | 2016-01-26 | 2016-06-01 | 陈谦 | 一种智能电子设备操作系统的动态恢复方法及其装置 |
| CN106055976A (zh) * | 2016-05-16 | 2016-10-26 | 杭州华三通信技术有限公司 | 文件检测方法及沙箱控制器 |
| CN106203116A (zh) * | 2008-06-11 | 2016-12-07 | 北京奇虎科技有限公司 | 一种恶意软件的检测方法及装置 |
| CN106412915A (zh) * | 2016-10-31 | 2017-02-15 | 宇龙计算机通信科技(深圳)有限公司 | 伪无线接入点识别方法及系统 |
| CN106572122A (zh) * | 2016-12-09 | 2017-04-19 | 哈尔滨安天科技股份有限公司 | 基于网络行为特征关联分析的主机安全评估方法及系统 |
| CN106921608A (zh) * | 2015-12-24 | 2017-07-04 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
| CN107004089A (zh) * | 2014-08-11 | 2017-08-01 | 森蒂内尔实验室以色列有限公司 | 恶意软件检测方法及其系统 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI647585B (zh) * | 2017-06-27 | 2019-01-11 | 關隆股份有限公司 | Malicious virus protection method |
| US10503898B2 (en) | 2017-10-03 | 2019-12-10 | Grand Mate Co., Ltd. | Method for defending against malware |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1282083C (zh) * | 2001-09-14 | 2006-10-25 | 北京瑞星科技股份有限公司 | 计算机内存病毒监控和带毒运行方法 |
| GB2396227B (en) * | 2002-12-12 | 2006-02-08 | Messagelabs Ltd | Method of and system for heuristically detecting viruses in executable code |
| CN1235108C (zh) * | 2004-03-29 | 2006-01-04 | 四川大学 | 一种计算机病毒检测和识别方法 |
| CN1707383A (zh) * | 2004-06-10 | 2005-12-14 | 陈朝晖 | 通过进程和系统轨迹分析阻断计算机病毒方法 |
-
2005
- 2005-08-03 CN CNB2005100362751A patent/CN100374972C/zh active Active
Cited By (50)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100461197C (zh) * | 2006-05-16 | 2009-02-11 | 北京启明星辰信息技术有限公司 | 一种恶意代码自动分析系统及方法 |
| WO2008098519A1 (fr) * | 2007-02-14 | 2008-08-21 | Jie Bai | Procédé de protection d'ordinateur sur la base d'une analyse de comportements de programme |
| WO2009143742A1 (zh) * | 2008-05-30 | 2009-12-03 | 成都市华为赛门铁克科技有限公司 | 一种可疑文件分析方法及系统 |
| CN101593249B (zh) * | 2008-05-30 | 2011-08-03 | 成都市华为赛门铁克科技有限公司 | 一种可疑文件分析方法及系统 |
| CN106203116A (zh) * | 2008-06-11 | 2016-12-07 | 北京奇虎科技有限公司 | 一种恶意软件的检测方法及装置 |
| CN101604365B (zh) * | 2009-07-10 | 2011-08-17 | 珠海金山软件有限公司 | 确定计算机恶意程序样本家族数的系统和方法 |
| WO2011147306A1 (zh) * | 2010-05-25 | 2011-12-01 | 腾讯科技(深圳)有限公司 | 实时防护的方法和装置 |
| CN102480483A (zh) * | 2010-11-22 | 2012-05-30 | 财团法人资讯工业策进会 | 服务器、使用者装置及其恶意程序检测方法 |
| CN102110220B (zh) * | 2011-02-14 | 2013-01-23 | 宇龙计算机通信科技(深圳)有限公司 | 一种应用程序监控方法及装置 |
| CN102110220A (zh) * | 2011-02-14 | 2011-06-29 | 宇龙计算机通信科技(深圳)有限公司 | 一种应用程序监控方法及装置 |
| CN103782303B (zh) * | 2011-06-01 | 2016-11-09 | 迈可菲公司 | 对于恶意过程的基于非签名的检测的系统和方法 |
| CN103782303A (zh) * | 2011-06-01 | 2014-05-07 | 迈可菲公司 | 对于恶意过程的基于非签名的检测的系统和方法 |
| CN102810142A (zh) * | 2011-12-20 | 2012-12-05 | 北京安天电子设备有限公司 | 基于可扩展模式的恶意代码查杀系统和方法 |
| CN102810142B (zh) * | 2011-12-20 | 2015-10-21 | 北京安天电子设备有限公司 | 基于可扩展模式的恶意代码查杀系统和方法 |
| CN107103238A (zh) * | 2012-02-29 | 2017-08-29 | 卡巴斯基实验室封闭式股份公司 | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 |
| CN102629310A (zh) * | 2012-02-29 | 2012-08-08 | 卡巴斯基实验室封闭式股份公司 | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 |
| CN103369555A (zh) * | 2012-04-01 | 2013-10-23 | 西门子公司 | 一种用于检测手机病毒的方法和装置 |
| CN103369555B (zh) * | 2012-04-01 | 2017-03-01 | 西门子公司 | 一种用于检测手机病毒的方法和装置 |
| WO2014000613A1 (zh) * | 2012-06-25 | 2014-01-03 | 腾讯科技(深圳)有限公司 | 系统修复方法、装置及存储介质 |
| CN102799500B (zh) * | 2012-06-25 | 2014-04-30 | 腾讯科技(深圳)有限公司 | 系统修复方法及装置 |
| CN102799500A (zh) * | 2012-06-25 | 2012-11-28 | 腾讯科技(深圳)有限公司 | 系统修复方法、装置及存储介质 |
| CN102831010A (zh) * | 2012-08-30 | 2012-12-19 | 腾讯科技(深圳)有限公司 | 打开未知文件的方法和装置 |
| CN103051617A (zh) * | 2012-12-18 | 2013-04-17 | 北京奇虎科技有限公司 | 识别程序的网络行为的方法、装置及系统 |
| CN104252592A (zh) * | 2013-06-27 | 2014-12-31 | 贝壳网际(北京)安全技术有限公司 | 外挂应用程序的识别方法及装置 |
| CN104252592B (zh) * | 2013-06-27 | 2017-07-25 | 贝壳网际(北京)安全技术有限公司 | 外挂应用程序的识别方法及装置 |
| CN103428212A (zh) * | 2013-08-08 | 2013-12-04 | 电子科技大学 | 一种恶意代码检测及防御的方法 |
| CN103544438B (zh) * | 2013-09-27 | 2016-03-02 | 南京邮电大学 | 一种用于云安全系统的用户感知病毒报告分析方法 |
| CN103544438A (zh) * | 2013-09-27 | 2014-01-29 | 南京邮电大学 | 一种用于云安全系统的用户感知病毒报告分析方法 |
| CN103839005B (zh) * | 2013-11-22 | 2016-09-28 | 北京智谷睿拓技术服务有限公司 | 移动操作系统的恶意软件检测方法和恶意软件检测系统 |
| CN103839005A (zh) * | 2013-11-22 | 2014-06-04 | 北京智谷睿拓技术服务有限公司 | 移动操作系统的恶意软件检测方法和恶意软件检测系统 |
| CN103618626A (zh) * | 2013-11-28 | 2014-03-05 | 北京奇虎科技有限公司 | 一种基于日志的安全分析报告生成的方法和系统 |
| CN104021343B (zh) * | 2014-05-06 | 2016-08-24 | 南京大学 | 一种基于堆访问模式的恶意程序监控方法和系统 |
| CN104021343A (zh) * | 2014-05-06 | 2014-09-03 | 南京大学 | 一种基于堆访问模式的恶意程序监控方法和系统 |
| CN105279426A (zh) * | 2014-05-29 | 2016-01-27 | 联发科技股份有限公司 | 配置应用程序相关任务的电子设备及其相关方法 |
| CN105279426B (zh) * | 2014-05-29 | 2018-04-27 | 联发科技股份有限公司 | 配置应用程序相关任务的电子设备及其相关方法 |
| CN107004089A (zh) * | 2014-08-11 | 2017-08-01 | 森蒂内尔实验室以色列有限公司 | 恶意软件检测方法及其系统 |
| CN104766011A (zh) * | 2015-03-26 | 2015-07-08 | 国家电网公司 | 基于主机特征的沙箱检测告警方法和系统 |
| CN104766011B (zh) * | 2015-03-26 | 2017-09-12 | 国家电网公司 | 基于主机特征的沙箱检测告警方法和系统 |
| CN105426758A (zh) * | 2015-12-18 | 2016-03-23 | 北京奇虎科技有限公司 | 一种虚拟机逃逸的防护方法及装置 |
| CN105426758B (zh) * | 2015-12-18 | 2018-07-27 | 北京奇虎科技有限公司 | 一种虚拟机逃逸的防护方法及装置 |
| CN106921608A (zh) * | 2015-12-24 | 2017-07-04 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
| CN106921608B (zh) * | 2015-12-24 | 2019-11-22 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
| US10735374B2 (en) | 2015-12-24 | 2020-08-04 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for detecting terminal security status |
| US11431676B2 (en) | 2015-12-24 | 2022-08-30 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for detecting terminal security status |
| CN105630636A (zh) * | 2016-01-26 | 2016-06-01 | 陈谦 | 一种智能电子设备操作系统的动态恢复方法及其装置 |
| CN106055976A (zh) * | 2016-05-16 | 2016-10-26 | 杭州华三通信技术有限公司 | 文件检测方法及沙箱控制器 |
| CN106055976B (zh) * | 2016-05-16 | 2021-05-28 | 新华三技术有限公司 | 文件检测方法及沙箱控制器 |
| CN106412915A (zh) * | 2016-10-31 | 2017-02-15 | 宇龙计算机通信科技(深圳)有限公司 | 伪无线接入点识别方法及系统 |
| US11019496B2 (en) | 2016-10-31 | 2021-05-25 | Yulong Computer Telecommunication Scientific (Shenzhen) Co., Ltd. | Method and electronic device for identifying a pseudo wireless access point |
| CN106572122A (zh) * | 2016-12-09 | 2017-04-19 | 哈尔滨安天科技股份有限公司 | 基于网络行为特征关联分析的主机安全评估方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100374972C (zh) | 2008-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100374972C (zh) | 一种检测和防御计算机恶意程序的系统和方法 | |
| EP1751649B1 (en) | Systems and method for computer security | |
| Kephart et al. | Biologically inspired defenses against computer viruses | |
| US7832011B2 (en) | Method and apparatus for detecting malicious code in an information handling system | |
| US8719924B1 (en) | Method and apparatus for detecting harmful software | |
| EP2701092A1 (en) | Method for identifying malicious executables | |
| US9135443B2 (en) | Identifying malicious threads | |
| US20170091461A1 (en) | Malicious code analysis method and system, data processing apparatus, and electronic apparatus | |
| KR100910761B1 (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
| JP2002342106A (ja) | 既知や未知のコンピュータウィルスの検索・駆除方法 | |
| EP2593893A1 (en) | Identifying polymorphic malware | |
| Neugschwandtner et al. | Forecast: skimming off the malware cream | |
| KR101851233B1 (ko) | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 | |
| Ramilli et al. | Multi-stage delivery of malware | |
| Belaoued et al. | A chi-square-based decision for real-time malware detection using PE-file features | |
| US9202053B1 (en) | MBR infection detection using emulation | |
| Kumar et al. | A zero-day resistant malware detection method for securing cloud using SVM and sandboxing techniques | |
| Chandrasekaran et al. | Spycon: Emulating user activities to detect evasive spyware | |
| Chowdhury et al. | Malware detection for healthcare data security | |
| Zhang | Computer virus and anti-virus technology | |
| US8239946B2 (en) | Methods and systems for computer security | |
| US20230214489A1 (en) | Rootkit detection based on system dump files analysis | |
| CN109460658A (zh) | 一种针对恶意勒索样本的检测方法 | |
| Kono et al. | An unknown malware detection using execution registry access | |
| Bejoy et al. | An intrusion detection and prevention system using AIS—An NK cell-based approach |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Jinshan computer Building No. 8 Jingshan Hill Road, Lane 519015 Lianshan Jida Zhuhai city in Guangdong Province Patentee after: Zhuhai Kingsoft Software Co.,Ltd. Address before: Jinshan computer Building No. 8 Jingshan Hill Road, Lane 519015 Lianshan Jida Zhuhai city in Guangdong Province Patentee before: Zhuhai Kingsoft Software Co.,Ltd. |
|
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20060222 Assignee: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Assignor: Zhuhai Kingsoft Software Co.,Ltd. Contract record no.: 2014990000718 Denomination of invention: System and method for detecting and defending computer worm Granted publication date: 20080312 License type: Common License Record date: 20140826 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model |