CN1801031A - 运用程序行为知识库判断已知程序被攻击的方法 - Google Patents

运用程序行为知识库判断已知程序被攻击的方法 Download PDF

Info

Publication number
CN1801031A
CN1801031A CN 200410103149 CN200410103149A CN1801031A CN 1801031 A CN1801031 A CN 1801031A CN 200410103149 CN200410103149 CN 200410103149 CN 200410103149 A CN200410103149 A CN 200410103149A CN 1801031 A CN1801031 A CN 1801031A
Authority
CN
China
Prior art keywords
program
knowledge base
known procedure
behavior
program behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN 200410103149
Other languages
English (en)
Other versions
CN1801031B (zh
Inventor
刘旭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Dongfang Micropoint Information Technology Co ltd
Original Assignee
DONGFANG MICRO-POINT INFORMATION SECURITY Co Ltd FUJIAN
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DONGFANG MICRO-POINT INFORMATION SECURITY Co Ltd FUJIAN filed Critical DONGFANG MICRO-POINT INFORMATION SECURITY Co Ltd FUJIAN
Priority to CN 200410103149 priority Critical patent/CN1801031B/zh
Publication of CN1801031A publication Critical patent/CN1801031A/zh
Application granted granted Critical
Publication of CN1801031B publication Critical patent/CN1801031B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种运用程序行为知识库判断已知程序被攻击的方法,该方法通过将已知程序的动作行为与程序行为知识库中存储的已知程序的合法行为相比较,判断已知程序是否受到攻击。因此无需使用现有技术的病毒特征代码,以及防火墙工具,具有高效、准确的优点,并且可以在使用中,根据用户自定义对程序行为知识库进行扩充。

Description

运用程序行为知识库判断已知程序被攻击的方法
技术领域
本发明涉及一种计算机病毒、攻击防护方法,特别是运用程序行为知识库判断已知程序被攻击的方法。
背景技术
一直以来,对计算机病毒的入侵和反入侵的斗争都在激烈地进行着,随着计算机越来越广泛地使用,这种斗争的激烈程度也上升到一个新的高度。经过长期的斗争实践,人们总结出许多的具体方法来防止对计算机病毒的入侵,研制出许多相应的防范产品。这些产品大体上可以分为两类,一类是对入侵病毒进行隔离,例如防火墙,通过对通讯端口、协议等进行限制来防止入侵病毒的进入;另一类是对可能形成入侵的染病毒文件进行搜寻,例如杀毒软件,利用可能形成入侵染病毒文件的代码特征,通过扫描发现并清除有害染病毒文件。这两类产品虽然在反病毒入侵的斗争中起了不少的作用,但都具有一些无法克服的缺点,它们分别是:
(一)防火墙虽然能够阻断一些非法病毒或黑客的入侵,但防火墙的监控对象为主要端口和协议,需要由用户自己设置要么允许通过、要么不允许通过。其主要缺陷,1.要求用户对系统非常熟悉,才能对它进行有效设置;2.由于监控颗粒太大,对于网络应用中必须用到的端口和协议基本无法设置,如果允许通过,则可能导致病毒或黑客入侵发生;若不允许通过,则可能又直接影响网络的正常运行。
(二)利用病毒特征码的杀毒软件将永远滞后于病毒的发展,因为只有捕获到病毒样本后,才能提取到病毒的特征码,这使得这种杀毒软件对新出现的未知病毒入侵无法防范,用户即使装备了杀毒软件,也会再次受到该病毒的攻击伤害,只有通过升级、更新病毒数据库才可以解决,而这种解决是滞后于病毒发生的。
发明内容
本发明就是为了解决上述问题,其目的在于提供一种能够快速、有效的检查出已知程序是否遭到攻击或破坏的方法,本发明就是提供了一种使用程序行为知识库,来检查已知程序是否正常运行,从而判断已知程序是否受到攻击。
本发明的运用程序行为知识库判断已知程序被攻击的方法,就是通过监控已知程序的动作行为,与程序行为知识库中记录的合法行为相比较,判断已知程序是否被攻击;
所述程序行为知识库为,利用自动化工具,逐一对合法的已知程序所执行的可能影响计算机安全动作行为进行分析列表,并将所述分析列表进行存储的数据库。
本发明的运用程序行为知识库判断已知程序被攻击的方法中,所述动作行为分为:
监控动作,指该动作可能影响计算机安全、需要对其进行实时监控;
危险动作,该动作首先是一个监控动作,在程序运行中,该动作可能威胁计算机安全;
非监控动作,不影响计算机安全无需进行监控的动作。
本发明的运用程序行为知识库判断已知程序被攻击的方法中,所述程序行为知识库为,利用自动化工具,逐一对合法的已知程序所执行的可能影响、危害计算机安全的监控动作和危险动作进行分析列表,并将所述分析列表进行存储的数据库。
监控并记录已知程序运行时的监控动作和危险动作,并与程序行为知识库中记录的已知程序合法行为进行比较。
本发明的运用程序行为知识库判断已知程序被攻击的方法中,所述程序行为知识库结构包括:程序ID、程序类型、程序运行层级、写PE文件权限、调用系统SHELL权限、网络行为和注册表操作。
其中,所述程序类型为程序分类枚举类型,分为可被缓冲区溢出攻击的程序和普通应用程序;所述网络行为,其结构描述包括:网络连接动作类型、使用端口数量以及连接描述;所述连接描述包括:本地端口、本地地址、远程端口、远程地址以及使用协议;所述注册表操作,其结构描述包括:该程序所操作的注册表项数、每项操作的键值。
本发明的运用程序行为知识库判断已知程序被攻击的方法,还包括:对于未记录在程序行为知识库中的程序,由用户自定义添加到程序行为知识库。因此在使用过程中,可以按照用户需要,对程序行为知识库进行不断扩充。
因此,可以对于未记录在程序行为知识库的程序,通过使用过程中用户对其监控动作与危险动作进行授权,并按照程序行为知识库的结构添加到所述程序行为知识库。
本发明的运用程序行为知识库判断已知程序被攻击的方法,其特征在于,将未记录在程序行为知识库中的程序添加到程序行为知识库,包括如下步骤:
12.1)运行该程序;
12.2)判断是否为已知程序?是,则利用自动化工具收集该程序的监控动作和危险动作,并与程序行为知识库中的记录进行比较;否,则进入下一步;
12.3)判断是否有程序来源?是,则利用自动化工具收集该程序的监控动作和危险动作,并在所述程序行为知识库中添加新纪录;否,则进入下一步;
12.4)利用自动化工具监控并记录该程序所执行的监控动作和危险动作,并向用户报警;
12.5)用户确认是否允许该动作进行?是,则作为合法程序,利用自动化工具收集该程序的监控动作和危险动作,并在所述程序行为知识库中添加该程序的新纪录;否,则不对该程序的监控动作和危险动作进行记录。
并且,在步骤12.5)中,当用户不允许所述动作进行时,还包括终止该动作进行,并阻止该程序继续执行的步骤。
本发明的运用程序行为知识库判断已知程序被攻击的方法中,所述合法程序包括已知程序和经过用户确认的无程序来源信息的未知程序。
本发明的运用程序行为知识库判断已知程序被攻击的方法中,所述利用自动化工具收集程序的监控动作和危险动作,是通过勾挂系统的API函数,对程序进程进行监控并记录。
本发明的运用程序行为知识库判断已知程序被攻击的方法中,判断已知程序是否被攻击,包括如下步骤:
16.1)程序运行;
16.2)是否为已知程序;是,则进入下一步;否,则转到12.3);
16.3)勾挂程序API函数,监控程序行为动作,捕获到监控动作或危险动作;
16.4)将捕获到的监控动作或危险动作与程序行为知识库中的信息相比较,判断是否为合法动作;是,则进入下一步;
16.5)程序继续运行,返回16.3)。
本发明的运用程序行为知识库判断已知程序被攻击的方法,其特征在于,所述步骤16.4)中,还包括判断为非法动作后,阻止该程序继续运行的步骤。
本发明的运用程序行为知识库判断已知程序被攻击的方法中,所勾挂的API函数为可能影响计算机安全的API函数。
本发明的运用程序行为知识库判断已知程序被攻击的方法,可以应用于基于程序行为方式的病毒防护实时监控系统中,对已知程序进行实时监控,保证已知程序正常运行。
附图说明
图1为本发明的运用程序行为知识库判断已知程序被攻击的方法的流程图。
具体实施方式
下面将结合实例对本发明的运用程序行为知识库判断已知程序被攻击的方法作以详细说明。
所述程序行为知识库为,利用自动化工具,逐一对合法的已知程序所执行的可能影响计算机安全动作行为进行分析列表,并将所述分析列表进行存储的数据库。
本发明的运用程序行为知识库判断已知程序被攻击的方法中,所述动作行为分为:监控动作,指该动作可能影响计算机安全、需要对其进行实时监控;危险动作,该动作首先是一个监控动作,在程序运行中,该动作可能威胁计算机安全。此外对不影响计算机安全无需进行监控的非监控动作,不进行监控和记录。
本发明的运用程序行为知识库判断已知程序被攻击的方法中,所述程序行为知识库为,利用自动化工具,逐一对合法的已知程序所执行的可能影响、危害计算机安全的监控动作和危险动作进行分析列表,并将所述分析列表进行存储的数据库。
监控并记录已知程序运行时的监控动作和危险动作,并与程序行为知识库中记录的已知程序合法行为进行比较。
本发明的运用程序行为知识库判断已知程序被攻击的方法中,所述程序行为知识库结构实体描述如下:
struct Know
 {
   DWORD type1;
   BOOL bAllowedWriteFile;
   BOOL bCreateShell;
   DWORD NetOffset;
   DWORD RegOffset;
};
其中:type1为程序分类枚举类型,目前暂时分为可被缓冲区溢出攻击的程序和普通应用程序两类,描述如下,
enum KnowType{OVERFLOW,NORMAL};
bAllowedWriteFile,表示该程序是否可以写可执行PE文件。
bCreateShell,表示该程序是否可以调用系统shell。
NetOffset,表示在知识库文件中偏移多少的位置为对该程序网络行为的描述。
RegOffset,表示在知识库文件中偏移多少的位置为对该程序注册表操作行为的描述。
在程序行为知识库中使用以下分结构描述该程序的网络动作行为的结构实体描述为:
struct Net
 {
   short type2;
   int num;
   ListenPort port[];
};
其中,Type2,用来描述网络连接的动作类型,分为两类,监听和连接,使用如下枚举量描述,
enum NetType{Listen,Connect};
num,为涉及到的端口数量;
ListenPort,针对每一个连接的具体描述,使用如下结构表示,
struct ListenPort
 {
    short lport;
    IPADDR lipaddr;
    short dport;
    IPADDR dipaddr;
    short protocol;
};
lport:使用的本地端口;
lipaddr:使用的本地地址;
dport:所连接的远程端口;
dipaddr:所连接的远程地址;
protocol:所使用的协议,使用TCP/IP协议定义。
在程序行为知识库中使用以下分结构描述该程序的注册表操作动作行为的结构实体描述为:
struct Reg
{
   int num;
   char*fullregname[];
};
num,表示该程序所操作的注册表项数。
fullregname,每一项操作的键值。
本发明的运用程序行为知识库判断已知程序被攻击的方法,还包括:对于未记录在程序行为知识库中的程序,由用户自定义添加到程序行为知识库。因此在使用过程中,可以按照用户需要,对程序行为知识库进行不断扩充。
如图1所示,为本发明的运用程序行为知识库判断已知程序被攻击的方法的流程图。
因此,可以对于未记录在程序行为知识库的程序,通过使用过程中用户对其监控动作与危险动作进行授权,并按照程序行为知识库的结构添加到所述程序行为知识库。
根据本发明的运用程序行为知识库判断已知程序被攻击的方法,将未记录在程序行为知识库中的程序添加到程序行为知识库,包括如下步骤:
12.1)运行该程序;
12.2)判断是否为已知程序?是,则利用自动化工具收集该程序的监控动作和危险动作,并与程序行为知识库中的记录进行比较;否,则进入下一步;
12.3)判断是否有程序来源?是,则利用自动化工具收集该程序的监控动作和危险动作,并在所述程序行为知识库中添加新纪录;否,则进入下一步;
12.4)利用自动化工具监控并记录该程序所执行的监控动作和危险动作,并向用户报警;
12.5)用户确认是否允许该动作进行?是,则作为合法程序,利用自动化工具收集该程序的监控动作和危险动作,并在所述程序行为知识库中添加该程序的新纪录;否,则不对该程序的监控动作和危险动作进行记录。
并且,在步骤12.5)中,当用户不允许所述动作进行时,还包括终止该动作进行,并阻止该程序继续执行的步骤。
本发明的运用程序行为知识库判断已知程序被攻击的方法中,所述利用自动化工具收集程序的监控动作和危险动作,是通过勾挂系统的API函数,实现对程序进程进行监控并记录。
本发明的运用程序行为知识库判断已知程序被攻击的方法中,判断已知程序是否被攻击,包括如下步骤:
16.1)程序运行;
16.2)是否为已知程序;是,则进入下一步;否,则转到12.3);
16.3)勾挂程序API函数,监控程序行为动作,捕获到监控动作或危险动作;
16.4)将捕获到的监控动作或危险动作与程序行为知识库中的信息相比较,判断是否为合法动作;是,则进入下一步;
16.5)程序继续运行,返回16.3)。
本发明的运用程序行为知识库判断已知程序被攻击的方法,其特征在于,所述步骤16.4)中,还包括判断为非法动作后,阻止该程序继续运行的步骤。
本发明的运用程序行为知识库判断已知程序被攻击的方法中,所勾挂的API函数为可能影响计算机安全的API函数。
下面以病毒攻击为例,对本发明作详细说明。
对于一个已知程序,如果程序行为描述为不能修改程序文件,当该程序运行时,却修改了其他程序文件,上述危险动作被系统监控,然后与程序行为知识库中存储的该已知程序的合法动作行为相比较,产生不不同的动作,因此可以判断该已知程序一定是被病毒感染。利用这一方法可以发现CIH等病毒,对于被CIH等病毒感染的已知程序运行时,该已知程序就会试图感染其他PE文件,因此可以在对病毒并不了解的情况下,将其阻止,从而避免了由于病毒代码更新的滞后性而使新生的病毒有机可乘。
综上所述,本发明的运用程序行为知识库判断已知程序被攻击的方法,可以应用于基于程序行为方式的病毒防护实时监控系统中,对已知程序进行实时监控,保证已知程序正常运行。
通过上述的说明内容,相关工作人员完全可以在不偏离本项发明技术思想的范围内,进行多样的变更以及修改。因此,本项发明的技术性范围并不局限于说明书上的内容,必须要根据权利范围来确定其技术性范围。

Claims (19)

1、一种运用程序行为知识库判断已知程序被攻击的方法,其特征在于:
监控已知程序的动作行为,与程序行为知识库中记录的合法行为相比较,判断已知程序是否被攻击;
所述程序行为知识库为,利用自动化工具,逐一对合法的已知程序所执行的可能影响计算机安全动作行为进行分析列表,并将所述分析列表进行存储的数据库。
2、按照权利要求1所述运用程序行为知识库判断已知程序被攻击的方法,其特征在于,所述动作行为分为:
监控动作,指该动作可能影响计算机安全、需要对其进行实时监控;
危险动作,该动作首先是一个监控动作,在程序运行中,该动作可能威胁计算机安全;
非监控动作,不影响计算机安全无需进行监控的动作。
3、按照权利要求2所述运用程序行为知识库判断已知程序被攻击的方法,其特征在于:所述程序行为知识库为,利用自动化工具,逐一对合法的已知程序所执行的可能影响、危害计算机安全的监控动作和危险动作进行分析列表,并将所述分析列表进行存储的数据库。
4、按照权利要求2所述运用程序行为知识库判断已知程序被攻击的方法,其特征在于:记录已知程序运行时的监控动作和危险动作,并与程序行为知识库中记录的已知程序合法行为进行比较。
5、按照权利要求4所述运用程序行为知识库判断已知程序被攻击的方法,其特征在于,所述程序行为知识库结构包括:程序ID、程序类型、程序运行层级、写PE文件权限、调用系统SHELL权限、网络行为和注册表操作。
6、按照权利要求5所述运用程序行为知识库判断已知程序被攻击的方法,其特征在于:所述程序行为知识库中,所述程序类型为程序分类枚举类型,分为可被缓冲区溢出攻击的程序和普通应用程序。
7、按照权利要求5所述运用程序行为知识库判断已知程序被攻击的方法,其特征在于,所述网络行为,其结构描述包括:网络连接动作类型、使用端口数量以及连接描述。
8、按照权利要求7所述运用程序行为知识库判断已知程序被攻击的方法,其特征在于,所述连接描述包括:本地端口、本地地址、远程端口、远程地址以及使用协议。
9、按照权利要求5所述运用程序行为知识库判断已知程序被攻击的方法,其特征在于,所述注册表操作,其结构描述包括:该程序所操作的注册表项数、每项操作的键值。
10、按照权利要求1所述运用程序行为知识库判断已知程序被攻击的方法,其特征在于,还包括:对于未记录在程序行为知识库中的程序,由用户自定义添加到程序行为知识库。
11、按照权利要求10所述运用程序行为知识库判断已知程序被攻击的方法,其特征在于:对于未记录在程序行为知识库的程序,通过使用过程中用户对其监控动作与危险动作进行授权,并按照程序行为知识库的结构添加到所述程序行为知识库。
12、按照权利要求1、10或11所述运用程序行为知识库判断已知程序被攻击的方法,其特征在于,将未记录在程序行为知识库中的程序添加到程序行为知识库,包括如下步骤:
12.1)运行该程序;
12.2)判断是否为已知程序?是,则利用自动化工具收集该程序的监控动作和危险动作,并与程序行为知识库中的记录进行比较;否,则进入下一步;
12.3)判断是否有程序来源?是,则利用自动化工具收集该程序的监控动作和危险动作,并在所述程序行为知识库中添加新纪录;否,则进入下一步;
12.4)利用自动化工具监控并记录该程序所执行的监控动作和危险动作,并向用户报警;
12.5)用户确认是否允许该动作进行?是,则作为合法程序,利用自动化工具收集该程序的监控动作和危险动作,并在所述程序行为知识库中添加该程序的新纪录;否,则不对该程序的监控动作和危险动作进行记录。
13、按照权利要求12所述运用程序行为知识库判断已知程序被攻击的方法,其特征在于,所述步骤12.5)中,当用户不允许所述动作进行时,还包括终止该动作进行,并阻止该程序继续执行的步骤。
14、按照权利要求12所述运用程序行为知识库判断已知程序被攻击的方法,其特征在于,所述合法程序包括已知程序和经过用户确认的无程序来源信息的未知程序。
15、按照权利要求2或12所述运用程序行为知识库判断已知程序被攻击的方法,其特征在于:所述利用自动化工具收集程序的监控动作和危险动作,通过勾挂系统的API函数,对程序进程进行监控并记录。
16、按照权利要求1或15所述运用程序行为知识库判断已知程序被攻击的方法,其特征在于,所述判断已知程序是否被攻击,包括如下步骤:
16.1)程序运行;
16.2)是否为已知程序;是,则进入下一步;否,则转到12.3);
16.3)勾挂程序API函数,监控程序行为动作,捕获到监控动作或危险动作;
16.4)将捕获到的监控动作或危险动作与程序行为知识库中的信息相比较,判断是否为合法动作;是,则进入下一步;
16.5)程序继续运行,返回16.3)。
17、按照权利要求16所述运用程序行为知识库判断已知程序被攻击的方法,其特征在于,所述步骤16.4)中,还包括判断为非法动作后,阻止该程序继续运行的步骤。
18、按照权利要求16所述运用程序行为知识库判断已知程序被攻击的方法,其特征在于:所述API函数为可能影响计算机安全的API函数。
19、按照权利要求1所述运用程序行为知识库判断已知程序被攻击的方法,其特征在于:将所述方法应用于基于程序行为方式的病毒防护实时监控系统中,判断已知程序是否被攻击,并收集新的合法应用程序的监控动作和危险动作。
CN 200410103149 2004-12-31 2004-12-31 运用程序行为知识库判断已知程序被攻击的方法 Expired - Fee Related CN1801031B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 200410103149 CN1801031B (zh) 2004-12-31 2004-12-31 运用程序行为知识库判断已知程序被攻击的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 200410103149 CN1801031B (zh) 2004-12-31 2004-12-31 运用程序行为知识库判断已知程序被攻击的方法

Publications (2)

Publication Number Publication Date
CN1801031A true CN1801031A (zh) 2006-07-12
CN1801031B CN1801031B (zh) 2013-01-02

Family

ID=36811076

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 200410103149 Expired - Fee Related CN1801031B (zh) 2004-12-31 2004-12-31 运用程序行为知识库判断已知程序被攻击的方法

Country Status (1)

Country Link
CN (1) CN1801031B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100437614C (zh) * 2005-11-16 2008-11-26 白杰 未知病毒程序的识别及清除方法
CN102473221A (zh) * 2009-09-01 2012-05-23 株式会社日立制作所 非法进程检测方法及非法进程检测系统
CN101414997B (zh) * 2007-10-15 2013-06-12 北京瑞星信息技术有限公司 阻止恶意程序访问网络的方法和装置
CN104766011A (zh) * 2015-03-26 2015-07-08 国家电网公司 基于主机特征的沙箱检测告警方法和系统
CN106022115A (zh) * 2016-07-20 2016-10-12 浪潮电子信息产业股份有限公司 一种风险程序溯源方法
CN109726548A (zh) * 2018-12-29 2019-05-07 360企业安全技术(珠海)有限公司 应用程序行为的处理方法、服务器、系统及存储介质
WO2020057156A1 (zh) * 2018-09-20 2020-03-26 华为技术有限公司 一种安全管理方法和安全管理装置
WO2021046811A1 (zh) * 2019-09-12 2021-03-18 奇安信安全技术(珠海)有限公司 一种攻击行为的判定方法、装置及计算机存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5050212A (en) * 1990-06-20 1991-09-17 Apple Computer, Inc. Method and apparatus for verifying the integrity of a file stored separately from a computer
US5613002A (en) * 1994-11-21 1997-03-18 International Business Machines Corporation Generic disinfection of programs infected with a computer virus
CN1183452C (zh) * 2000-02-24 2005-01-05 英业达股份有限公司 被动式程序监控方法

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100437614C (zh) * 2005-11-16 2008-11-26 白杰 未知病毒程序的识别及清除方法
CN101414997B (zh) * 2007-10-15 2013-06-12 北京瑞星信息技术有限公司 阻止恶意程序访问网络的方法和装置
CN102473221A (zh) * 2009-09-01 2012-05-23 株式会社日立制作所 非法进程检测方法及非法进程检测系统
CN104766011A (zh) * 2015-03-26 2015-07-08 国家电网公司 基于主机特征的沙箱检测告警方法和系统
CN104766011B (zh) * 2015-03-26 2017-09-12 国家电网公司 基于主机特征的沙箱检测告警方法和系统
CN106022115A (zh) * 2016-07-20 2016-10-12 浪潮电子信息产业股份有限公司 一种风险程序溯源方法
WO2020057156A1 (zh) * 2018-09-20 2020-03-26 华为技术有限公司 一种安全管理方法和安全管理装置
CN109726548A (zh) * 2018-12-29 2019-05-07 360企业安全技术(珠海)有限公司 应用程序行为的处理方法、服务器、系统及存储介质
WO2021046811A1 (zh) * 2019-09-12 2021-03-18 奇安信安全技术(珠海)有限公司 一种攻击行为的判定方法、装置及计算机存储介质
CN113632432A (zh) * 2019-09-12 2021-11-09 奇安信安全技术(珠海)有限公司 一种攻击行为的判定方法、装置及计算机存储介质
CN113632432B (zh) * 2019-09-12 2023-09-19 奇安信安全技术(珠海)有限公司 一种攻击行为的判定方法、装置及计算机存储介质

Also Published As

Publication number Publication date
CN1801031B (zh) 2013-01-02

Similar Documents

Publication Publication Date Title
CN100547513C (zh) 基于程序行为分析的计算机防护方法
CN101986324B (zh) 用于恶意软件检测的事件的异步处理
CN1550950A (zh) 防护计算机系统使之免受恶意软件破坏的方法和系统
RU2454705C1 (ru) Система и способ защиты компьютерного устройства от вредоносных объектов, использующих сложные схемы заражения
CN1288527C (zh) 计算机安全控制装置及其安全保护控制方法
US8528089B2 (en) Known files database for malware elimination
RU2487405C1 (ru) Система и способ для исправления антивирусных записей
CN1694454A (zh) 主动式网络安全漏洞检测器
CN1801030A (zh) 一种区分有害程序行为的方法
CN1845066A (zh) 一种自动协议识别方法及系统
CN1731310A (zh) Windows环境下的主机入侵检测方法
CN103065092A (zh) 一种拦截可疑程序运行的方法
CN1871612A (zh) 适于病毒防护的网络隔离技术
CN101039326A (zh) 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统
CN1885788A (zh) 网络安全防护方法及系统
CN1878093A (zh) 安全事件关联分析方法和系统
CN1773944A (zh) 检测恶意代码
CN101034974A (zh) 基于时间序列和事件序列的关联分析攻击检测方法和装置
CN1900940A (zh) 计算机安全启动的方法
CN1818822A (zh) 缓冲区溢出攻击的检测方法
CN1738257A (zh) 基于应用协议检测引擎的网络入侵检测系统和方法
CN109766694A (zh) 一种工控主机的程序协议白名单联动方法及装置
CN1153146C (zh) 网关级计算机网络病毒防范的方法
CN1960246A (zh) 过滤网络中终端与目的主机间传输的危害性数据的方法
CN1801031A (zh) 运用程序行为知识库判断已知程序被攻击的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C12 Rejection of a patent application after its publication
RJ01 Rejection of invention patent application after publication

Open date: 20060712

C14 Grant of patent or utility model
GR01 Patent grant
ASS Succession or assignment of patent right

Owner name: BEIJING EASTERN MICROPOINT INFO-TECH CO., LTD.

Free format text: FORMER OWNER: FUJIAN ORIENT MICROPOINT INFORMATION SECURITY CO., LTD.

Effective date: 20150715

C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20150715

Address after: 100097 Beijing city Haidian District landianchang road A Jin Yuan era business center No. 2 block 5E

Patentee after: Beijing Dongfang Micropoint Information Technology Co.,Ltd.

Address before: 350002, No. 548, industrial road, Gulou District, Fujian, Fuzhou, five

Patentee before: Fujian Orient Micropoint Information Security Co.,Ltd.

CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130102

CF01 Termination of patent right due to non-payment of annual fee