CN101692267A - 一种大规模恶意网页检测方法及*** - Google Patents
一种大规模恶意网页检测方法及*** Download PDFInfo
- Publication number
- CN101692267A CN101692267A CN200910092887A CN200910092887A CN101692267A CN 101692267 A CN101692267 A CN 101692267A CN 200910092887 A CN200910092887 A CN 200910092887A CN 200910092887 A CN200910092887 A CN 200910092887A CN 101692267 A CN101692267 A CN 101692267A
- Authority
- CN
- China
- Prior art keywords
- node
- analysis
- task
- webpage
- analyzed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种大规模恶意网页检测方法及***,采用三层并行架构和分层控制保障方法:第一层,并行部署若干检测服务器通过网络互接,构建检测服务器机群,在某一检测服务器上设置待分析任务集;第二层,在各个检测服务器内并行部署多个分析节点,部署节点簇监控模块,监控分析节点的运行情况;第三层,在各个分析节点内部构建并行沙箱环境实现待分析任务并行化检测中。本发明的架构保证了各检测服务器之间以及各分析节点间的互相独立和自我维护,物理主机和节点数目的动态扩充不会影响***的整体运行,单个分析节点的失效也不会影响***整体的功能;在同一个节点内可同时多路并行检测多个任务,提高了***分析效率。
Description
技术领域
本发明属于计算机安全领域,提出一种大规模恶意网页检测方法及***,采用三层并行架构和分层监控保障的策略,联合使用虚拟主机技术和并行沙盒技术,构建大规模持续运行的自动化分析环境,动态检测网页中包含的网络木马威胁。
背景技术
目前互联网已经成了传播恶意程序的重要途径。根据中国互联网络信息中心(CNNIC)2008年1月发布的《中国互联网络发展状况统计报告》,我国网民人数已超过2亿,网民在日常生活中对万维网的依赖将越来越强。同时,我国互联网资源也在迅猛增长,域名、网站、网页的年增长率都超过60%。然而,近两年基于互联网的安全问题却层出不穷,并有逐渐加剧之势。2007年网民电脑感染恶意代码的比率高达90.8%,接近一半的网民有个人信息、账号被盗或被修改的经历。
据统计,2008年1月至10月,全国约有8100多万台电脑(包含企业用户)曾经被病毒感染,其中通过网页挂马方式被感染的超过90%。近两年来,木马病毒已经成为恶意代码发展的主要方向,从2007、2008两年来反病毒厂商截获的新增病毒样本数来看,木马病毒的比例都占到60%以上。通过在网页上挂马,利用浏览器及其插件的漏洞,获得执行权限,进而劫持浏览器,植入木马病毒,是当前木马病毒传播的主要途径。
传统的网页木马检测技术通常依靠基于静态特征的方法对网页中包含的恶意代码进行扫描和识别[参见专利:基于统计特征的网页恶意脚本检测方法,专利号ZL200610152531.8,北京理工大学]。但网页木马编写者往往使用了“免杀”技术,利用页面混淆和加密等各种方法躲避反病毒软件的检测。因此,仅仅给出某个网页文档中包含网页木马的告警信息是不充分的。
针对浏览挂马网页会对***造成恶意侵害的行为特点,研究领域提出了基于客户端蜜罐技术思路的动态行为检测方法,该方法依据网页木马对蜜罐环境的“损害结果”进行判定,对混淆机制免疫、能够检测新出现网页木马,被作为监测网页木马所普遍应用的新型技术。在部署上,传统的高交互蜜罐常依赖虚拟主机程序(如VMWare,QEMU等)来构建沙箱,沙箱又叫沙盒,用于为一些来源不可信、具备破坏力或无法判定程序意图的程序提供试验环境。通常,这种技术被计算机技术人员广泛使用,尤其是计算机反病毒行业,沙箱是一个观察计算机病毒的重要环境。沙盒中的所有改动对操作***不会造成损失。通过传统方式部署,一个虚拟主机节点内进行实现一个沙箱环境,同一时期仅能运行单个任务,分析效率较低,且未提供明确的保障措施保证***的持续运行。[参见:基于客户端蜜罐的恶意网页检测***的设计与实现,孙晓妍、王洋、祝跃飞、武东英,计算机应用,2007年第27(7)卷;All Your iFRAMEs Point to Us,Niels Provos Panayiotis MavrommatisMoheeb Abu Rajab Fabian Monrose,17th USENIX Security Symposium]
发明内容
本发明为提高分析效率,提出一种三层并行架构的恶意网页检测方法及***,通过分层控制来保障***的持续运行。所述***提供了高效自动化分析环境,可持续运行、动态检测网页中的网络木马威胁。
本发明的技术方案概述如下:
一种大规模恶意网页检测方法,其步骤包括:
1)将若干检测服务器通过网络互接,在某一检测服务器上设置待分析任务集;
2)在各个检测服务器内部署节点自动分发模块,利用虚拟主机实现分析节点分发,并行部署多个分析节点,同一服务器内的所有节点构成一个节点簇,部署节点簇监控模块,通过访问分析节点内部文件的方式监控分析节点的运行情况,对节点簇内所有节点状态进行监控,如果节点运行不正常,则调用脚本程序重置分析节点;
3)分析节点通过内部网络连接待分析任务集获取待分析任务,实现任务的分布式调度,分析节点内部部署蜜罐环境和挂马网页检测模块,构建并行沙箱环境实现待分析任务并行化检测;由检测状态监控模块监控挂马网页检测模块的运行,检测结果保存在服务器上的分析结果数据库中。
所述待分析任务集通过网页爬虫或其他方式收集到。
所述节点分发模块通过网络获取分析节点的初始镜像,利用虚拟机程序提供的API接口编写的虚拟机复制脚本,自动在每台物理主机上部署多个分析节点。
所述节点簇监控模块应用虚拟机程序所提供的API接口,读取各个分析节点内部部署的检测状态监控模块记录的挂马网页检测模块运行状态信息,实现对分析节点的状态监控,当获取状态日志文件失败,或状态日志文件提示分析节点中部署的挂马网页检测模块失效,则调用脚本程序重置分析节点。
在分析节点内部部署的蜜罐环境包括:
选择含有易被网页木马利用的漏洞的操作***和浏览器版本的安装盘来安装操作***环境;
选择安装特定版本的常被网页木马利用的浏览器插件软件;
安装挂马网页检测模块的自动更新程序。
在分析节点内部部署的挂马网页检测模块包括:
任务调度模块:在分析节点内运行任务调度程序,获取待分析任务集;
并行沙箱控制模块:构建并行沙箱程序,捕获浏览器在访问待分析任务集后所产生的***行为信息;
日志解析和挂马网页判断模块:浏览器访问待分析任务集后,对访问过程中记录下来的***行为信息进行分析,判定是否为挂马网页行为。
所述任务调度模块的任务调度方法包括以下步骤:
1.读取配置信息;
2.加载***行为监控驱动程序;
3.获取待分析任务集成功,则获取一个空置的沙箱,创建新的***行为日志文件记录访问待分析任务集期间***的行为;
4.启动浏览器访问待分析任务集中的网页链接,***监控程序记录沙箱内的***资源的访问信息;
5.调用日志解析和挂马网页判断模块解析日志文件,并判断该网页链接是否挂马网页。
所述解析日志文件判断网页链接是否为挂马网页的方法包括以下步骤:
1.从配置文件中读取新建进程的白名单、可执行文件的后缀名名单、***启动文件名单和控制***启动的注册表项及其变量名单;
2.从API调用的参数列表中获取创建进程名,若进程名不在白名单内,即判断该网页为挂马网页;
3.从API调用的参数列表获取创建文件名,若文件名后缀包含在可执行文件名后缀名单内,即判断该网页为挂马网页;
4.从API调用的参数列表获取修改文件路径,若***启动文件名包含在***启动文件路径中,即判断该网页为挂马网页;
5.从API调用的参数列表获取创建或修改的注册表项和变量名,若注册表项和变量名包含在控制***启动的注册表项/变量名单中,即判断该网页为挂马网页。
一种大规模恶意网页检测***,其特征在于,采用三层并行架构:
第一层,并行部署若干检测服务器通过网络互接,构建检测服务器机群,在某一检测服务器上设置待分析任务集;
第二层,各个检测服务器内部署有节点自动分发模块,所述节点自动分发模块利用虚拟主机实现分析节点分发,并行部署多个分析节点;同一检测服务器内的所有节点构成一个节点簇,部署有节点簇监控模块,所述节点簇监控模块通过访问分析节点内部文件的方式监控分析节点的运行情况,对节点簇内所有节点状态进行监控,如果节点运行不正常,则调用脚本程序重置分析节点;
第三层,分析节点通过内部网络连接待分析任务集获取待分析任务,实现任务的分布式调度,分析节点内部署了蜜罐环境和挂马网页检测模块,构建并行沙箱环境实现待分析任务并行化检测;由检测状态监控模块监控挂马网页检测模块的运行,检测结果保存在服务器上的分析结果数据库中。
所述并行部署的服务器群的规模随分析规模扩大的需求的动态扩展。
所述待分析任务集是由集中存储于数据库或文件中的网页链接构成。
与现有技术相比,本发明的有益效果是:
1)本发明提供的三层并行架构中的第一层,并行的物理主机(服务器)独立进行自我管理,可根据***需要动态增加物理主机的数量;任务调度位于并行架构中的第二层,通过分布在分析节点上的任务调度模块连接数据库申请任务,实现了分布式的任务调度,可根据物理主机的性能修改每台主机上的节点数配置;这种架构保证了各物理主机之间以及各分析节点间的互相独立和自我维护,物理主机和节点数目的动态扩充不会影响***的整体运行,单个分析节点的失效也不会影响***整体的功能;
2)本发明提出的分层监控保障策略,以节点簇为单位进行节点运行状态的实时监测可有效监管分析节点的运行状态,当分析节点出现异常时,监控程序利用虚拟主机程序提供的API可方便的重置分析节点的状态,保障整个分析环境的持续稳定运行;节点自动分发策略可实现节点运行环境的高效更新;挂马网页检测程序自动更新策略,可方便的实现挂马网页检测程序的更新;在分析节点层实现并行沙箱的调度控制,在同一个节点内可同时多路并行检测多个URL,比传统的单任务的动态网马检测***分析效率更高;
3)本发明的分析环境是针对网页挂马经常利用到的漏洞精心部署的高交互蜜罐环境,与受害Web用户的***配置类似,在这样的环境中动态运行浏览器访问指定的网页链接,可更有效触发恶意网页中包含的恶意行为,可有效检测杀毒软件不能检测出的经过加密处理的恶意网页;本发明提出的网页挂马的判断的依据,根据沙箱内进程创建进程、下载可执行文件***、修改启动和文件和注册表启动项等行为判断网页是否挂马,标准明确,误报率低,可有效识别恶意网页。
附图说明
图1是大规模部署恶意网页检测***的结构示意图
图2是单个物理主机的架构示意图
图3是分析节点内挂马网页检测模块的架构示意图
图4是挂马网页检测程序中的任务调度流程示意图
图5是节点簇监控程序的流程示意图
图6是恶意网页检测***中挂马判断的流程示意图
具体实施方式
本发明综合使用虚拟主机技术和恶意代码分析领域中基于Copy on write思想的轻量级沙箱技术[参见:A Feather-weight Virtual Machine for Windows Applications,YangYu,Fanglu Guo,Susanta Nanda,Lap-chung Lam,Tzi-cker Chiueh,Proceedings of the2nd international conference on Virtual execution environments],下面结合附图和具体实施方式对本发明作进一步详细描述:
本发明中定义的“任务集”是由集中存储于数据库中的待检测URL构成;
本发明定义“分析节点簇”为单台物理主机(检测服务器)内部署的若干分析节点的集合,每台物理主机(检测服务器)上部署的所有分析节点构成一个分析节点簇。每个分析节点簇所能包含的节点数量规模与该服务器的硬件性能相关,可进行动态配置。
本发明定义的“分析节点”是指安装部署了特定的蜜罐环境的分析机,利用虚拟主机构建分析节点,可以方便的进行分析机的状态重置等维护;在分析节点内部署的挂马网页检测程序,实现分析任务的调度和网页挂马的判定。
本发明定义的“并行沙箱”是指在分析节点内部,由挂马网页检测程序控制调度的,通过内核级API HOOKING技术实现的受控执行环境。通过对沙箱内访问的资源进行名字空间重定向,可实现沙箱与沙箱之间,沙箱与***之间的相互隔离,保障沙箱内部运行的进程不会对***造成危害,也不会影响***内部其他并行的沙箱的行为;
本发明定义“节点簇自动分发模块”是指为提高节点分发效率,而部署在物理主机上的节点簇自动分配程序,该程序利用虚拟机软件提供的API和配置文件中的设定信息,自动获取分析节点的***镜像并进行拷贝分发。
本发明定义“节点簇监控模块”是指为了保障分析节点正常运行,而部署在物理主机上的节点簇监管程序,该程序利用虚拟机软件提供的API,实时监控分析节点内部的状态日志文件,当获取状态日志文件失败,或状态日志文件提示分析节点中部署的挂马网页检测程序失效,则通过预先定义好的策略调用脚本程序重置分析节点,保障分析节点的持续运行。
本发明的***整体架构可参见附图1,主要包括以下部分:
1)待分析URL数据库(任务集):待分析URL数据库内存储通过网页爬虫或通过其他方法收集到的待检测的Web页面链接地址,这些URL是本***中的任务源,将提供给挂马网页检测服务器群分析;
2)挂马网页检测服务器群:挂马检测服务器群由一个或多个物理主机(分析节点簇)构成,这些物理主机(分析节点簇间)相互独立,各自管理自己内部的分析节点。各分析节点,即部署了特定的蜜罐环境,并安装了挂马网页检测程序的虚拟分析主机,通过内部网络与待分析URL数据库相连,分别获取URL任务集进行检测;
3)分析结果数据库:通过挂马网页检测程序深度分析后验证的挂马网页,会记录下分析时间和分析结果并保存在挂马网页数据库中,该数据将用于挂马网页的追踪分析和为上网用户提供网页安全度的参考信息。
本发明中的单个检测服务器的架构可参见附图2,也就是一个独立的分析节点簇,其部署中主要包括以下部分:
1)节点自动分发模块:由于***中可能会需要部署多个(几百个甚至上千个)分析服务器,要有效的在服务器中部署分析节点,要求***提供自动高效的节点分发策略。本***通过在物理主机中部署分析节点分发模块来实现这一要求,分析节点分发模块通过网络获取分析节点的初始镜像,再利用虚拟机程序提供的API接口编写的虚拟机复制脚本,自动在每台服务上部署多个分析节点,并自动生成虚拟机重启脚本程序;按照脚本设定进行分发,设定的信息主要包括:镜像名生成规则,镜像数量,要设置的snapshot名等,对于相同配置的服务器,这些信息是相同的。
2)节点簇监控模块:在物理主机的Host OS内部署分析节点簇监控模块,应用虚拟机程序所提供的API接口,读取分析节点内部部署的检测状态监控模块记录的检测程序运行状态信息,实现对分析节点的状态监控,当节点出现异常时(获取状态日志文件失败,或状态日志文件提示分析节点中部署的挂马网页检测程序失效),调用由节点分发模块自动生成的重启脚本来重启分析节点,保障节点的持续运行。
3)分析节点及其重置脚本:分析节点是指安装部署了特定的蜜罐环境的虚拟分析机,利用虚拟主机构建分析节点,可以方便通过API对其进行监控,必要时可通过重置脚本对其进行状态重置等维护;
本发明中的单个分析节点配置,主要包括以下内容
1)分析节点蜜罐环境的部署:
a)操作***和浏览器的选择:选择目前主流的,含有易被网马利用的漏洞的操作***和浏览器版本的安装盘来安装操作***环境,并保持操作***和浏览器的稳定性;
常见漏洞软件的选择:安装特定版本的常被网马利用的浏览器插件软件,关闭这些软件的自动更新选项,保持***版本的稳定性;
b)挂马网页检测程序的自动更新:由于需要进行大规模部署,程序更新的过程也相应的需要自动化进行。本发明提供的自动更新的方法是,当***重启时,通过自动更新程序来获取最新的分析软件,实现挂马网页检测程序的自动更新;
2)挂马网页检测模块的架构可参见附图3,主要包括以下内容:
a)任务调度模块:在分析节点内运行任务调度程序,通过检测任务调度接口连接待分析URL数据库获取要分析的网页链接,并通过检测任务调度接口将分析结果存入分析结果数据库;
b)并行沙箱控制模块:在客户端蜜罐中部署基于内核级API Hooking技术构建并行沙箱程序Hook沙箱内进程对内存、进程、文件***、注册表的行为,捕获浏览器在访问URL后所产生的***行为。
c)日志解析和挂马判断模块:当浏览器访问URL后,需要访问过程中记录下来的***行为信息进行分析,判定这些行为是否为挂马网页所特有的行为。如创建异常的新进程、没有得到用户许可即下载可执行文件、修改启动文件或注册表的启动表项等情况,即可判断该URL所指向的页面挂马。
d)检测程序状态监控模块:检测状态监控模块用于监控挂马网页检测程序运行正常,则设置监测文件内容为“ok”,当挂马网页检测程序发现错误时,则置该文件内容为“error”。
根据发明内容中的技术方法,我们实施了一个大规模的网马检测分析环境,结合附图说明我们的具体的实施方式如下:
1)检测服务器层的实施策略:
a)分析节点簇的部署:目前我们的***实施中采用64位服务器构建分析节点簇,每个服务器中部署8个虚拟主机分析节点,形成一个分析节点簇,每个节点内部署10个并行沙箱,单台服务器可同时进行80个URL的并行分析;
b)分析节点的分发:当需要更新分析节点的环境时,可通过远程控制启动运行分析节点分发模块,通过ftp获取分析节点的初始镜像,再利用虚拟机程序提供的API接口编写的虚拟机复制脚本,自动在每台服务上拷贝多个分析节点和生成快照,然后生成虚拟机启动脚本程序;
2)分析节点簇的监控流程可参见图5,具体监控方法如下:
a)启动节点簇监控模块
b)读取节点簇配置文件信息,包括各节点虚拟文件的存储路径、检测时间间隔、重置时需要读取的快照镜像名等;
c)循环访问每个分析节点
c1、若虚拟主机未运行,则无法读取监测日志文件,此时可认为该分析节点异常,重置分析节点;
c2、读取网页挂马分析程序监测日志文件,若该检测文件不存在,则可认为是挂马网页检测程序出现异常,重置分析节点;
c3、读取网页挂马分析程序监测日志文件内容,若文件内容为“ok”,则认为分析机状态正常,若文件内容为“error”,则认为网页挂马分析程序状态异常,重置分析节点;
d)当检测完最后一个分析机后睡眠等待一段时间,在我们的实现过程中,设置等待时间为5分钟,之后重复c的轮询检查过程。
3)分析节点的实施策略:
a)操作***和浏览器选择目前挂马网页主要的目标操作***Windows XP SP2版本,浏览器采用IE 6.0.2900.2180.xpsp_sp2_rtm.040803-2158.版本,这样的***配置会包含常被网马利用的MS06014漏洞;
b)安装特定版本的常被网马利用的浏览器插件软件,包括:Adobe Flash Player,RealPlayer等,关闭这些软件的自动更新选项,保持软件版本的稳定性;
c)设置分析节点的网络配置为DHCP动态获取IP;
d)在此***中预先安装编译好的自动更新程序,该程序的快捷方式添加***启动栏中,当***重启时,便自动运行自动更新程序,从服务器上获取挂马网页检测程序的最新版本。
4)挂马网页检测程序任务调度流程可参见附图4,主要包括以下步骤:
a)启动挂马网页检测程序;
b)读取配置信息,包括:启用并行沙箱的个数(这里设定10)、任务源数据库服务器的配置、单个任务运行的时间(这里设定为5分钟),等信息;
c)加载***行为监控驱动程序;
d)访问数据库获取URL,如成功,则获取一个空置的沙箱,创建新的***行为日志文件记录访问该URL期间,***的行为;
e)启动浏览器访问待分析链接,***监控程序会hook***API,记录沙箱内的进程、文件、注册表等***资源的访问信息;
f)当单个任务运行的时间达到配置设定的时间时,停止沙箱,关闭日志文件;
g)解析日志文件并判断该URL是否挂马;
5)解析日志文件并判断该URL是否挂马的流程可参见附图6,实施策略如下:
a)从配置文件中读取新建进程的白名单、可执行文件的后缀名名单、***启动文件名单、控制***启动的注册表项及其变量名单;
b)访问并探测日志文件是否存在,如文件不存在或文件大小异常,则判定此次分析失败,解析过程退出;否则继续;
c)读取文件行,获取api信息和api调用参数列表,判断API所属类型,若API函数为进程创建函数,转向步骤d;若API函数为创建文件函数,转向步骤e;若API函数为修改文件函数,转向步骤f;若API函数为新建/修改注册表项函数,转向步骤g;
d)从API调用的参数列表中获取创建进程名,判断进程名是否在白名单,若不在白名单内,即判断该网页挂马;
e)从API调用的参数列表获取创建文件名,判断该文件名后缀是否包含在配置文件提供的可执行文件名后缀中,若包含在该名单内,即判断该网页挂马;
f)从API调用的参数列表获取修改文件路径,判断该文件名是否包含在配置文件提供的***启动文件路径中,若包含在该名单内,即判断该网页挂马;
g)从API调用的参数列表获取创建/修改的注册表项和变量名,判断该注册表项和变量名是否包含在配置文件提供的控制***启动的注册表项/变量名单中,若包含在该名单内,即判断该网页挂马。
如上所述,本发明利用高交互蜜罐主机技术和并行沙箱技术,针对网页木马的行为特点,提出一种构建大规模恶意网页检测***的方法。目前,本发明中的方法已被应用于北京大学信息安全工程中心挂马网页检测平台,已持续运行数月,检测出上万个恶意网页,很好的实现了本发明的目的。本发明具有很好的实用性和推广应用前景。
尽管为说明发明目的公开了具体实施例和附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。因此,本发明不应局限于最佳实施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (11)
1.一种大规模恶意网页检测方法,其步骤包括:
1)将若干检测服务器通过网络互接,在某一检测服务器上设置待分析任务集;
2)在各个检测服务器内部署节点自动分发模块,利用虚拟主机实现分析节点分发,并行部署多个分析节点,同一服务器内的所有节点构成一个节点簇,部署节点簇监控模块,通过访问分析节点内部文件的方式监控分析节点的运行情况,对节点簇内所有节点状态进行监控,如果节点运行不正常,则调用脚本程序重置分析节点;
3)分析节点通过内部网络连接待分析任务集获取待分析任务,实现任务的分布式调度,分析节点内部部署蜜罐环境和挂马网页检测模块,构建并行沙箱环境实现待分析任务并行化检测;由检测状态监控模块监控挂马网页检测模块的运行,检测结果保存在服务器上的分析结果数据库中。
2.如权利要求1所述的方法,其特征在于,所述待分析任务集通过网页爬虫或其他方式收集到。
3.如权利要求1所述的方法,其特征在于,所述节点分发模块通过网络获取分析节点的初始镜像,利用虚拟机程序提供的API接口编写的虚拟机复制脚本,自动在每台物理主机上部署多个分析节点。
4.如权利要求1所述的方法,其特征在于,所述节点簇监控模块应用虚拟机程序所提供的API接口,读取各个分析节点内部部署的检测状态监控模块记录的挂马网页检测模块运行状态信息,实现对分析节点的状态监控,当获取状态日志文件失败,或状态日志文件提示分析节点中部署的挂马网页检测模块失效,则调用脚本程序重置分析节点。
5.如权利要求1所述的方法,其特征在于,在分析节点内部部署蜜罐环境包括:
选择含有易被网页木马利用的漏洞的操作***和浏览器版本的安装盘来安装操作***环境;
选择特定版本的常被网页木马利用的浏览器插件软件安装;
安装挂马网页检测模块的自动更新程序。
6.如权利要求1所述的方法,其特征在于,部署的挂马网页检测模块包括:
任务调度模块:在分析节点内运行任务调度程序,获取待分析任务集;
并行沙箱控制模块:构建并行沙箱程序,捕获浏览器在访问待分析任务集后所产生的***行为信息;
日志解析和挂马网页判断模块:浏览器访问待分析任务集后,对访问过程中记录下来的***行为信息进行分析,判定是否为挂马网页行为。
7.如权利要求6所述的方法,其特征在于,所述任务调度模块的任务调度方法包括以下步骤:
7.1.读取配置信息;
7.2.加载***行为监控驱动程序;
7.3.获取待分析任务集成功,则获取一个空置的沙箱,创建新的***行为日志文件记录访问待分析任务集期间***的行为;
7.4.启动浏览器访问待分析任务集中的网页链接,***监控程序记录沙箱内的***资源的访问信息;
7.5.调用日志解析和挂马网页判断模块,解析日志文件并判断该网页链接是否挂马网页。
8.如权利要求6所述的方法,其特征在于,日志解析和挂马网页判断模块判断网页链接是否为挂马网页的方法包括以下步骤:
8.1.从配置文件中读取新建进程的白名单、可执行文件的后缀名名单、***启动文件名单和控制***启动的注册表项及其变量名单;
8.2.从API调用的参数列表中获取创建进程名,若进程名不在白名单内,即判断该网页为挂马网页;
8.3.从API调用的参数列表获取创建文件名,若文件名后缀包含在可执行文件名后缀名单内,即判断该网页为挂马网页;
8.4.从API调用的参数列表获取修改文件路径,若***启动文件名包含在***启动文件路径中,即判断该网页为挂马网页;
8.5.从API调用的参数列表获取创建或修改的注册表项和变量名,若注册表项和变量名包含在控制***启动的注册表项/变量名单中,即判断该网页为挂马网页。
9.一种大规模恶意网页检测***,其特征在于,采用三层并行架构:
第一层,并行部署若干检测服务器通过网络互接,构建检测服务器机群,在某一检测服务器上设置待分析任务集;
第二层,各个检测服务器内部署有节点自动分发模块,所述节点自动分发模块利用虚拟主机实现分析节点分发,并行部署多个分析节点;同一检测服务器内的所有节点构成一个节点簇,部署有节点簇监控模块,所述节点簇监控模块通过访问分析节点内部文件的方式监控分析节点的运行情况,对节点簇内所有节点状态进行监控,如果节点运行不正常,则调用脚本程序重置分析节点;
第三层,分析节点通过内部网络连接待分析任务集获取待分析任务,实现任务的分布式调度,分析节点内部署了蜜罐环境和挂马网页检测模块,构建并行沙箱环境实现待分析任务并行化检测;由检测状态监控模块监控挂马网页检测模块的运行,检测结果保存在服务器上的分析结果数据库中。
10.如权利要求9所述的***,其特征在于,所述并行部署的服务器群的规模随分析规模扩大的需求的动态扩展。
11.如权利要求9所述的***,其特征在于,所述待分析任务集是由集中存储于数据库或文件中的网页链接构成。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100928870A CN101692267B (zh) | 2009-09-15 | 2009-09-15 | 一种大规模恶意网页检测方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100928870A CN101692267B (zh) | 2009-09-15 | 2009-09-15 | 一种大规模恶意网页检测方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101692267A true CN101692267A (zh) | 2010-04-07 |
CN101692267B CN101692267B (zh) | 2011-09-07 |
Family
ID=42080951
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009100928870A Expired - Fee Related CN101692267B (zh) | 2009-09-15 | 2009-09-15 | 一种大规模恶意网页检测方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101692267B (zh) |
Cited By (56)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102088379A (zh) * | 2011-01-24 | 2011-06-08 | 国家计算机网络与信息安全管理中心 | 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置 |
CN102122331A (zh) * | 2011-01-24 | 2011-07-13 | 中国人民解放军国防科学技术大学 | 一种构造“In-VM”恶意代码检测架构的方法 |
CN102147842A (zh) * | 2010-07-23 | 2011-08-10 | 卡巴斯基实验室封闭式股份公司 | 防御网络资源上的恶意软件 |
CN102254111A (zh) * | 2010-05-17 | 2011-11-23 | 北京知道创宇信息技术有限公司 | 恶意网站检测方法及装置 |
CN102385616A (zh) * | 2011-10-10 | 2012-03-21 | 江苏鸿信***集成有限公司 | 通过web分发、数据库生成定制虚拟呼叫中心的方法 |
CN102469113A (zh) * | 2010-11-01 | 2012-05-23 | 北京启明星辰信息技术股份有限公司 | 一种安全网关及其转发网页的方法 |
CN102594897A (zh) * | 2012-02-27 | 2012-07-18 | 中兴通讯股份有限公司 | 智能分析***及方法 |
CN102663052A (zh) * | 2012-03-29 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种提供搜索引擎搜索结果的方法及装置 |
CN102737188A (zh) * | 2012-06-27 | 2012-10-17 | 北京奇虎科技有限公司 | 检测恶意网页的方法及装置 |
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全***及实现方法 |
CN102768630A (zh) * | 2012-06-29 | 2012-11-07 | 腾讯科技(深圳)有限公司 | 检测网页运行环境的方法、装置及存储介质 |
CN102801740A (zh) * | 2012-08-30 | 2012-11-28 | 苏州山石网络有限公司 | 木马病毒的阻止方法及装置 |
CN103268442A (zh) * | 2013-05-14 | 2013-08-28 | 北京奇虎科技有限公司 | 一种实现安全访问视频网站的方法和装置 |
CN103281177A (zh) * | 2013-04-10 | 2013-09-04 | 广东电网公司信息中心 | 对Internet信息***恶意攻击的检测方法及*** |
CN103580948A (zh) * | 2012-12-27 | 2014-02-12 | 哈尔滨安天科技股份有限公司 | 一种基于结构性文件索引信息的网络检测方法及装置 |
CN103595732A (zh) * | 2013-11-29 | 2014-02-19 | 北京奇虎科技有限公司 | 一种网络攻击取证的方法及装置 |
CN103905422A (zh) * | 2013-12-17 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种本地模拟请求辅助查找webshell的方法及*** |
CN103916365A (zh) * | 2012-12-31 | 2014-07-09 | 西门子公司 | 导出和验证恶意代码的网络行为特征的方法和装置 |
CN104331663A (zh) * | 2014-10-31 | 2015-02-04 | 北京奇虎科技有限公司 | web shell的检测方法以及web服务器 |
CN104331335A (zh) * | 2014-11-20 | 2015-02-04 | 国家电网公司 | 门户网站的死链检查方法和装置 |
CN104462955A (zh) * | 2014-12-25 | 2015-03-25 | 中国科学院信息工程研究所 | 一种基于虚拟化的主机行为主动检测***及方法 |
CN104519007A (zh) * | 2013-09-26 | 2015-04-15 | 深圳市腾讯计算机***有限公司 | 一种漏洞检测的方法及服务器 |
CN104899006A (zh) * | 2015-05-25 | 2015-09-09 | 山东中孚信息产业股份有限公司 | 一种多***平台的多进程并行处理方法 |
CN105138907A (zh) * | 2015-07-22 | 2015-12-09 | 国家计算机网络与信息安全管理中心 | 一种主动探测被攻击网站的方法和*** |
CN105447088A (zh) * | 2015-11-06 | 2016-03-30 | 杭州掘数科技有限公司 | 一种基于志愿者计算的多租户专业云爬虫 |
CN105515815A (zh) * | 2014-10-17 | 2016-04-20 | 任子行网络技术股份有限公司 | 一种基于Heritrix爬虫的分布式采集方法及*** |
CN105607945A (zh) * | 2015-12-22 | 2016-05-25 | 中国科学院信息工程研究所 | 基于虚拟化的主机行为异步侦听截获***和方法 |
CN106055975A (zh) * | 2016-05-16 | 2016-10-26 | 杭州华三通信技术有限公司 | 文件检测方法及沙箱 |
CN106130960A (zh) * | 2016-06-12 | 2016-11-16 | 微梦创科网络科技(中国)有限公司 | 盗号行为的判断***、负载调度方法和装置 |
CN103885796B (zh) * | 2014-03-03 | 2016-11-30 | 西安电子科技大学 | 一种基于脚本工具的软件动态部署方法 |
CN106202319A (zh) * | 2016-06-30 | 2016-12-07 | 北京奇虎科技有限公司 | 一种异常url验证方法及*** |
CN106446685A (zh) * | 2016-09-30 | 2017-02-22 | 北京奇虎科技有限公司 | 恶意文档的检测方法及装置 |
CN106485152A (zh) * | 2016-09-30 | 2017-03-08 | 北京奇虎科技有限公司 | 漏洞检测方法及装置 |
CN106487844A (zh) * | 2015-08-28 | 2017-03-08 | 北京奇虎科技有限公司 | 一种检测推广url的有效性的方法和*** |
CN107103242A (zh) * | 2017-05-11 | 2017-08-29 | 北京安赛创想科技有限公司 | 数据的获取方法及装置 |
CN107171894A (zh) * | 2017-06-15 | 2017-09-15 | 北京奇虎科技有限公司 | 终端设备、分布式云端检测***以及样本检测的方法 |
WO2017193626A1 (zh) * | 2016-05-10 | 2017-11-16 | 华为技术有限公司 | 一种威胁检测方法、装置及网络*** |
CN108363919A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种病毒专杀工具生成方法及*** |
CN108551404A (zh) * | 2018-04-20 | 2018-09-18 | 北京百度网讯科技有限公司 | 客户端信息分析的方法、装置、存储介质和终端设备 |
CN108563946A (zh) * | 2018-04-17 | 2018-09-21 | 广州大学 | 一种浏览器挖矿行为检测的方法、浏览器插件和*** |
CN108769026A (zh) * | 2018-05-31 | 2018-11-06 | 康键信息技术(深圳)有限公司 | 用户账号检测***和方法 |
CN109067708A (zh) * | 2018-06-29 | 2018-12-21 | 北京奇虎科技有限公司 | 一种网页后门的检测方法、装置、设备及存储介质 |
CN109145532A (zh) * | 2018-08-20 | 2019-01-04 | 北京广成同泰科技有限公司 | 一种支持软件在线升级的程序白名单管理方法及*** |
CN109327451A (zh) * | 2018-10-30 | 2019-02-12 | 深信服科技股份有限公司 | 一种防御文件上传验证绕过的方法、***、装置及介质 |
CN109684845A (zh) * | 2018-12-27 | 2019-04-26 | 北京天融信网络安全技术有限公司 | 一种检测方法和装置 |
CN109766691A (zh) * | 2018-12-20 | 2019-05-17 | 广东电网有限责任公司 | 一种勒索病毒监控方法及装置 |
CN109828921A (zh) * | 2019-01-18 | 2019-05-31 | 上海极链网络科技有限公司 | Html5网页自动化功能测试方法、***和电子设备 |
CN110826069A (zh) * | 2019-11-05 | 2020-02-21 | 深信服科技股份有限公司 | 一种病毒处理方法、装置、设备及存储介质 |
CN111477048A (zh) * | 2020-05-16 | 2020-07-31 | 安徽商贸职业技术学院 | 一种在线实验教学平台及教学方法 |
CN111488571A (zh) * | 2015-03-31 | 2020-08-04 | 瞻博网络公司 | 配置用于恶意件测试的沙箱环境 |
CN111680294A (zh) * | 2020-06-15 | 2020-09-18 | 杭州安恒信息技术股份有限公司 | 一种基于高交互蜜罐技术的数据库监控方法、装置、设备 |
CN112583778A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 恶意网站的监控方法及装置、***、存储介质、电子装置 |
CN114491509A (zh) * | 2022-01-28 | 2022-05-13 | 济南大学 | 基于沙箱的恶意程序行为分析处理方法及*** |
CN114826670A (zh) * | 2022-03-23 | 2022-07-29 | 国家计算机网络与信息安全管理中心 | 一种分析网络流量检测大规模恶意代码传播的方法 |
CN116932163A (zh) * | 2023-07-13 | 2023-10-24 | 深圳市世强元件网络有限公司 | 一种任务调度中心控制方法、存储介质及设备 |
CN117370966A (zh) * | 2023-10-16 | 2024-01-09 | 深圳市马博士网络科技有限公司 | 恶意文件检测方法、装置、设备及存储介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100454309C (zh) * | 2006-09-28 | 2009-01-21 | 北京理工大学 | 基于链接分析的网页木马追踪技术 |
CN101515318B (zh) * | 2009-04-03 | 2011-05-04 | 深圳市腾讯计算机***有限公司 | 一种识别vbs网页木马的方法和装置 |
-
2009
- 2009-09-15 CN CN2009100928870A patent/CN101692267B/zh not_active Expired - Fee Related
Cited By (86)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102254111A (zh) * | 2010-05-17 | 2011-11-23 | 北京知道创宇信息技术有限公司 | 恶意网站检测方法及装置 |
CN102254111B (zh) * | 2010-05-17 | 2015-09-30 | 北京知道创宇信息技术有限公司 | 恶意网站检测方法及装置 |
CN102147842A (zh) * | 2010-07-23 | 2011-08-10 | 卡巴斯基实验室封闭式股份公司 | 防御网络资源上的恶意软件 |
CN102147842B (zh) * | 2010-07-23 | 2014-12-10 | 卡巴斯基实验室封闭式股份公司 | 用于对网络资源进行预定恶意软件扫描的***和方法 |
CN102469113A (zh) * | 2010-11-01 | 2012-05-23 | 北京启明星辰信息技术股份有限公司 | 一种安全网关及其转发网页的方法 |
CN102469113B (zh) * | 2010-11-01 | 2014-08-20 | 北京启明星辰信息技术股份有限公司 | 一种安全网关及其转发网页的方法 |
CN102088379A (zh) * | 2011-01-24 | 2011-06-08 | 国家计算机网络与信息安全管理中心 | 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置 |
CN102122331A (zh) * | 2011-01-24 | 2011-07-13 | 中国人民解放军国防科学技术大学 | 一种构造“In-VM”恶意代码检测架构的方法 |
CN102122331B (zh) * | 2011-01-24 | 2014-04-30 | 中国人民解放军国防科学技术大学 | 一种构造“In-VM”恶意代码检测架构的方法 |
CN102088379B (zh) * | 2011-01-24 | 2013-03-13 | 国家计算机网络与信息安全管理中心 | 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置 |
CN102385616A (zh) * | 2011-10-10 | 2012-03-21 | 江苏鸿信***集成有限公司 | 通过web分发、数据库生成定制虚拟呼叫中心的方法 |
CN102385616B (zh) * | 2011-10-10 | 2016-07-13 | 江苏鸿信***集成有限公司 | 通过web分发、数据库生成定制虚拟呼叫中心的方法 |
CN102594897B (zh) * | 2012-02-27 | 2018-02-27 | 中兴通讯股份有限公司 | 智能分析***及方法 |
CN102594897A (zh) * | 2012-02-27 | 2012-07-18 | 中兴通讯股份有限公司 | 智能分析***及方法 |
CN102663052A (zh) * | 2012-03-29 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种提供搜索引擎搜索结果的方法及装置 |
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全***及实现方法 |
CN102737188A (zh) * | 2012-06-27 | 2012-10-17 | 北京奇虎科技有限公司 | 检测恶意网页的方法及装置 |
CN102768630A (zh) * | 2012-06-29 | 2012-11-07 | 腾讯科技(深圳)有限公司 | 检测网页运行环境的方法、装置及存储介质 |
CN102768630B (zh) * | 2012-06-29 | 2015-07-15 | 腾讯科技(深圳)有限公司 | 检测网页运行环境的方法和装置 |
CN102801740A (zh) * | 2012-08-30 | 2012-11-28 | 苏州山石网络有限公司 | 木马病毒的阻止方法及装置 |
CN103580948A (zh) * | 2012-12-27 | 2014-02-12 | 哈尔滨安天科技股份有限公司 | 一种基于结构性文件索引信息的网络检测方法及装置 |
CN103916365A (zh) * | 2012-12-31 | 2014-07-09 | 西门子公司 | 导出和验证恶意代码的网络行为特征的方法和装置 |
CN103281177B (zh) * | 2013-04-10 | 2016-09-14 | 广东电网公司信息中心 | 对Internet信息***恶意攻击的检测方法及*** |
CN103281177A (zh) * | 2013-04-10 | 2013-09-04 | 广东电网公司信息中心 | 对Internet信息***恶意攻击的检测方法及*** |
CN103268442B (zh) * | 2013-05-14 | 2015-12-23 | 北京奇虎科技有限公司 | 一种实现安全访问视频网站的方法和装置 |
CN103268442A (zh) * | 2013-05-14 | 2013-08-28 | 北京奇虎科技有限公司 | 一种实现安全访问视频网站的方法和装置 |
CN104519007A (zh) * | 2013-09-26 | 2015-04-15 | 深圳市腾讯计算机***有限公司 | 一种漏洞检测的方法及服务器 |
CN103595732A (zh) * | 2013-11-29 | 2014-02-19 | 北京奇虎科技有限公司 | 一种网络攻击取证的方法及装置 |
CN103905422A (zh) * | 2013-12-17 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种本地模拟请求辅助查找webshell的方法及*** |
CN103885796B (zh) * | 2014-03-03 | 2016-11-30 | 西安电子科技大学 | 一种基于脚本工具的软件动态部署方法 |
CN105515815B (zh) * | 2014-10-17 | 2018-11-06 | 任子行网络技术股份有限公司 | 一种基于Heritrix爬虫的分布式采集方法及*** |
CN105515815A (zh) * | 2014-10-17 | 2016-04-20 | 任子行网络技术股份有限公司 | 一种基于Heritrix爬虫的分布式采集方法及*** |
CN104331663A (zh) * | 2014-10-31 | 2015-02-04 | 北京奇虎科技有限公司 | web shell的检测方法以及web服务器 |
CN104331663B (zh) * | 2014-10-31 | 2017-09-01 | 北京奇虎科技有限公司 | web shell的检测方法以及web服务器 |
CN104331335A (zh) * | 2014-11-20 | 2015-02-04 | 国家电网公司 | 门户网站的死链检查方法和装置 |
CN104331335B (zh) * | 2014-11-20 | 2018-03-23 | 国家电网公司 | 门户网站的死链检查方法和装置 |
CN104462955A (zh) * | 2014-12-25 | 2015-03-25 | 中国科学院信息工程研究所 | 一种基于虚拟化的主机行为主动检测***及方法 |
CN104462955B (zh) * | 2014-12-25 | 2017-04-05 | 中国科学院信息工程研究所 | 一种基于虚拟化的主机行为主动检测***及方法 |
CN111488571B (zh) * | 2015-03-31 | 2021-11-26 | 瞻博网络公司 | 配置用于恶意件测试的沙箱环境 |
CN111488571A (zh) * | 2015-03-31 | 2020-08-04 | 瞻博网络公司 | 配置用于恶意件测试的沙箱环境 |
CN104899006A (zh) * | 2015-05-25 | 2015-09-09 | 山东中孚信息产业股份有限公司 | 一种多***平台的多进程并行处理方法 |
CN104899006B (zh) * | 2015-05-25 | 2018-03-30 | 中孚信息股份有限公司 | 一种多***平台的多进程并行处理方法 |
CN105138907A (zh) * | 2015-07-22 | 2015-12-09 | 国家计算机网络与信息安全管理中心 | 一种主动探测被攻击网站的方法和*** |
CN106487844A (zh) * | 2015-08-28 | 2017-03-08 | 北京奇虎科技有限公司 | 一种检测推广url的有效性的方法和*** |
CN105447088B (zh) * | 2015-11-06 | 2019-04-09 | 杭州掘数科技有限公司 | 一种基于志愿者计算的多租户专业云爬虫*** |
CN105447088A (zh) * | 2015-11-06 | 2016-03-30 | 杭州掘数科技有限公司 | 一种基于志愿者计算的多租户专业云爬虫 |
CN105607945A (zh) * | 2015-12-22 | 2016-05-25 | 中国科学院信息工程研究所 | 基于虚拟化的主机行为异步侦听截获***和方法 |
CN105607945B (zh) * | 2015-12-22 | 2018-12-28 | 中国科学院信息工程研究所 | 基于虚拟化的主机行为异步侦听截获***和方法 |
CN107358095A (zh) * | 2016-05-10 | 2017-11-17 | 华为技术有限公司 | 一种威胁检测方法、装置及网络*** |
US11604872B2 (en) | 2016-05-10 | 2023-03-14 | Huawei Technologies Co., Ltd. | Threat detection method and apparatus, and network system |
WO2017193626A1 (zh) * | 2016-05-10 | 2017-11-16 | 华为技术有限公司 | 一种威胁检测方法、装置及网络*** |
US11036849B2 (en) | 2016-05-10 | 2021-06-15 | Huawei Technologies Co., Ltd. | Threat detection method and apparatus, and network system |
CN107358095B (zh) * | 2016-05-10 | 2019-10-25 | 华为技术有限公司 | 一种威胁检测方法、装置及网络*** |
CN106055975A (zh) * | 2016-05-16 | 2016-10-26 | 杭州华三通信技术有限公司 | 文件检测方法及沙箱 |
CN106130960A (zh) * | 2016-06-12 | 2016-11-16 | 微梦创科网络科技(中国)有限公司 | 盗号行为的判断***、负载调度方法和装置 |
CN106130960B (zh) * | 2016-06-12 | 2019-08-09 | 微梦创科网络科技(中国)有限公司 | 盗号行为的判断***、负载调度方法和装置 |
CN106202319A (zh) * | 2016-06-30 | 2016-12-07 | 北京奇虎科技有限公司 | 一种异常url验证方法及*** |
CN106202319B (zh) * | 2016-06-30 | 2020-03-10 | 北京奇虎科技有限公司 | 一种异常url验证方法及*** |
CN106446685A (zh) * | 2016-09-30 | 2017-02-22 | 北京奇虎科技有限公司 | 恶意文档的检测方法及装置 |
CN106485152A (zh) * | 2016-09-30 | 2017-03-08 | 北京奇虎科技有限公司 | 漏洞检测方法及装置 |
CN107103242A (zh) * | 2017-05-11 | 2017-08-29 | 北京安赛创想科技有限公司 | 数据的获取方法及装置 |
CN107171894A (zh) * | 2017-06-15 | 2017-09-15 | 北京奇虎科技有限公司 | 终端设备、分布式云端检测***以及样本检测的方法 |
CN108363919B (zh) * | 2017-10-19 | 2021-04-20 | 北京安天网络安全技术有限公司 | 一种病毒专杀工具生成方法及*** |
CN108363919A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种病毒专杀工具生成方法及*** |
CN108563946A (zh) * | 2018-04-17 | 2018-09-21 | 广州大学 | 一种浏览器挖矿行为检测的方法、浏览器插件和*** |
CN108551404A (zh) * | 2018-04-20 | 2018-09-18 | 北京百度网讯科技有限公司 | 客户端信息分析的方法、装置、存储介质和终端设备 |
CN108769026A (zh) * | 2018-05-31 | 2018-11-06 | 康键信息技术(深圳)有限公司 | 用户账号检测***和方法 |
CN109067708B (zh) * | 2018-06-29 | 2021-07-30 | 北京奇虎科技有限公司 | 一种网页后门的检测方法、装置、设备及存储介质 |
CN109067708A (zh) * | 2018-06-29 | 2018-12-21 | 北京奇虎科技有限公司 | 一种网页后门的检测方法、装置、设备及存储介质 |
CN109145532A (zh) * | 2018-08-20 | 2019-01-04 | 北京广成同泰科技有限公司 | 一种支持软件在线升级的程序白名单管理方法及*** |
CN109327451A (zh) * | 2018-10-30 | 2019-02-12 | 深信服科技股份有限公司 | 一种防御文件上传验证绕过的方法、***、装置及介质 |
CN109766691B (zh) * | 2018-12-20 | 2023-08-22 | 广东电网有限责任公司 | 一种勒索病毒监控方法及装置 |
CN109766691A (zh) * | 2018-12-20 | 2019-05-17 | 广东电网有限责任公司 | 一种勒索病毒监控方法及装置 |
CN109684845A (zh) * | 2018-12-27 | 2019-04-26 | 北京天融信网络安全技术有限公司 | 一种检测方法和装置 |
CN109684845B (zh) * | 2018-12-27 | 2021-04-06 | 北京天融信网络安全技术有限公司 | 一种检测方法和装置 |
CN109828921A (zh) * | 2019-01-18 | 2019-05-31 | 上海极链网络科技有限公司 | Html5网页自动化功能测试方法、***和电子设备 |
CN112583778B (zh) * | 2019-09-30 | 2023-01-06 | 奇安信安全技术(珠海)有限公司 | 恶意网站的监控方法及装置、***、存储介质、电子装置 |
CN112583778A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 恶意网站的监控方法及装置、***、存储介质、电子装置 |
CN110826069A (zh) * | 2019-11-05 | 2020-02-21 | 深信服科技股份有限公司 | 一种病毒处理方法、装置、设备及存储介质 |
CN111477048A (zh) * | 2020-05-16 | 2020-07-31 | 安徽商贸职业技术学院 | 一种在线实验教学平台及教学方法 |
CN111680294A (zh) * | 2020-06-15 | 2020-09-18 | 杭州安恒信息技术股份有限公司 | 一种基于高交互蜜罐技术的数据库监控方法、装置、设备 |
CN114491509A (zh) * | 2022-01-28 | 2022-05-13 | 济南大学 | 基于沙箱的恶意程序行为分析处理方法及*** |
CN114826670A (zh) * | 2022-03-23 | 2022-07-29 | 国家计算机网络与信息安全管理中心 | 一种分析网络流量检测大规模恶意代码传播的方法 |
CN114826670B (zh) * | 2022-03-23 | 2024-03-29 | 国家计算机网络与信息安全管理中心 | 一种分析网络流量检测大规模恶意代码传播的方法 |
CN116932163A (zh) * | 2023-07-13 | 2023-10-24 | 深圳市世强元件网络有限公司 | 一种任务调度中心控制方法、存储介质及设备 |
CN117370966A (zh) * | 2023-10-16 | 2024-01-09 | 深圳市马博士网络科技有限公司 | 恶意文件检测方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101692267B (zh) | 2011-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101692267B (zh) | 一种大规模恶意网页检测方法及*** | |
Kim et al. | Firmae: Towards large-scale emulation of iot firmware for dynamic analysis | |
Afonso et al. | Going native: Using a large-scale analysis of android apps to create a practical native-code sandboxing policy | |
Pohly et al. | Hi-fi: collecting high-fidelity whole-system provenance | |
US7757291B2 (en) | Malware containment by application encapsulation | |
US9721089B2 (en) | Methods, systems, and computer readable media for efficient computer forensic analysis and data access control | |
US11943238B1 (en) | Process tree and tags | |
Eder et al. | Ananas-a framework for analyzing android applications | |
Ho et al. | PREC: practical root exploit containment for android devices | |
CN103078864A (zh) | 一种基于云安全的主动防御文件修复方法 | |
Srivastava et al. | Automatic discovery of parasitic malware | |
Gruhn et al. | Security of public continuous integration services | |
Wu et al. | Exception beyond Exception: Crashing Android System by Trapping in" Uncaught Exception" | |
CN106469275A (zh) | 虚拟机杀毒方法及装置 | |
Di Pietro et al. | CloRExPa: Cloud resilience via execution path analysis | |
KR101234066B1 (ko) | 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법 | |
US11683329B2 (en) | Detecting malicious activity on an endpoint based on real-time system events | |
Reeves | Autoscopy Jr.: Intrusion detection for embedded control systems | |
Krishnan et al. | Trail of bytes: New techniques for supporting data provenance and limiting privacy breaches | |
Salman et al. | DAIDS: An architecture for modular mobile IDS | |
Carella et al. | UML extensions for honeypots in the ISTS Distributed Honeypot Project | |
Wang et al. | Notice of Retraction: Research on the anti-virus system of military network based on cloud security | |
US12041070B2 (en) | Detecting malicious activity on an endpoint based on real-time system events | |
Skrzewski | Monitoring malware activity on the lan network | |
Liu et al. | Malyzer: Defeating anti-detection for application-level malware analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110907 Termination date: 20180915 |
|
CF01 | Termination of patent right due to non-payment of annual fee |