CN103607381B - 白名单生成及恶意程序检测方法、客户端和服务器 - Google Patents
白名单生成及恶意程序检测方法、客户端和服务器 Download PDFInfo
- Publication number
- CN103607381B CN103607381B CN201310552867.3A CN201310552867A CN103607381B CN 103607381 B CN103607381 B CN 103607381B CN 201310552867 A CN201310552867 A CN 201310552867A CN 103607381 B CN103607381 B CN 103607381B
- Authority
- CN
- China
- Prior art keywords
- program
- behavior
- white list
- performance
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 84
- 230000006399 behavior Effects 0.000 claims abstract description 154
- 238000004458 analytical method Methods 0.000 claims abstract description 13
- 238000012545 processing Methods 0.000 claims description 21
- 230000003068 static effect Effects 0.000 claims description 5
- 238000001514 detection method Methods 0.000 claims description 4
- 238000011084 recovery Methods 0.000 claims description 4
- 230000001960 triggered effect Effects 0.000 claims description 3
- 238000000151 deposition Methods 0.000 claims 2
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 2
- 238000004140 cleaning Methods 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Landscapes
- Stored Programmes (AREA)
Abstract
本发明公开了一种依据白名单进行恶意程序检测的方法,包括:服务器端的数据库建立合法程序的白名单并进行收集更新;客户端对一程序的程序特征和/或程序行为进行收集并发送到服务器端进行查询,服务器端根据所述程序特征和/或程序行为在所述白名单中进行分析比对,根据比对结果对所述程序的合法性或信任值进行判定并反馈给所述客户端。本发明通过使用白名单对合法程序进行判定,从而将不属于白名单范畴的非合法程序判定为恶意程序,从另一角度进行恶意程序的判定查杀。
Description
本发明专利申请是申请日为2010年8月18日、申请号为201010256973.3、名称为“一种依据白名单进行恶意程序检测的方法”的中国发明专利申请的分案申请。
技术领域
本发明属于网络安全领域,具体地说,涉及一种依据白名单进行恶意程序检测的方法。
背景技术
传统的恶意程序防杀主要依赖于特征库模式。特征库是由厂商收集到的恶意程序样本的特征码组成,而特征码则是分析工程师从恶意程序中找到和正当软件的不同之处,截取一段类似于“搜索关键词”的程序代码。当查杀过程中,引擎会读取文件并与特征库中的所有特征码“关键词”进行匹配,如果发现文件程序代码被命中,就可以判定该文件程序为恶意程序。
之后又衍生出了在本地启发式杀毒的方式,是以特定方式实现的动态高度器或反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。恶意程序和正常程序的区别可以体现在许多方面,比如:通常一个应用程序在最初的指令,是检查命令行输入有无参数项、清屏和保存原来屏幕显示等,而恶意程序通常最初的指令则是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处,一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术实际上就是把这种经验和知识移植到一个查杀病毒软件中的具体程序体现。
但是上述查杀恶意软件的方法都是基于恶意行为和/或恶意特征,先对一个程序判定其是否为恶意程序,然后再决定是否进行查杀或者清理。这就不可避免导致出现了如下弊端。
据统计,现今全球恶意程序数量呈几何级增长,基于这种爆发式的增速,特征库的生成与更新往往是滞后的,特征库中恶意程序的特征码的补充跟不上层出不穷的未知恶意程序。
另外,近年来,随着恶意程序制作者对免杀技术的应用,通过对恶意程序加壳或修改该恶意程序的特征码的手法越来越多的出现;以及许多木马程序采用了更多更频繁快速的自动变形,这些都导致通过恶意行为和/或恶意特征对恶意程序进行判定的难度越来越大,从而引起对恶意程序的查杀或清理的困难。
发明内容
有鉴于此,本发明所要解决的技术问题是提供了一种依据白名单进行恶意程序检测的方法,不依赖于本地数据库,并且基于对合法程序的认定来反向判定恶意程序。
为了解决上述技术问题,本发明公开了一种依据白名单进行恶意程序检测的方法,包括:服务器端的数据库建立合法程序的白名单并进行收集更新;客户端对一程序的程序特征和/或程序行为进行收集并发送到服务器端进行查询,服务器端根据所述程序特征和/或程序行为在所述白名单中进行分析比对,根据比对结果对所述程序的合法性或信任值进行判定并反馈给所述客户端。
进一步地,所述服务器端根据所述程序特征和/或程序行为,与所述白名单中保存的合法程序特征和/或合法程序行为进行比对,如果命中,则判定所述程序为合法程序,并反馈给所述客户端;如果没有命中,则判定所述程序为恶意程序,并反馈给所述客户端。
进一步地,所述服务器端根据程序的一组程序特征和/或一组程序行为,与所述白名单中保存的合法程序特征和/或合法程序行为进行比对,根据命中的程度,对所述程序赋予一信任值,并将所述信任值反馈给所述客户端;所述客户端预设一阈值,根据所述信任值与所述阈值进行比对,如果所述信任值不小于所述阈值,则判定所述所述程序为合法程序,如果所述信任值小于所述阈值,则判定所述程序为恶意程序。
进一步地,如果所述一组程序特征和/或一组程序行为在所述白名单中全部命中,则所述服务器端对所述程序赋予一最高信任值;如果所述一组程序特征和/或一组程序行为在所述白名单中全部未命中,则所述服务器端对所述程序赋予一最低信任值。
进一步地,还包括:所述客户端根据所述判定结果决定对恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序,恢复***环境。
进一步地,还包括:所述客户端根据所述判定结果并结合所述恶意程序的属性,决定是否对该恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序。
进一步地,所述属性,包括:所述恶意程序是否为自启动程序和/或所述恶意程序是否存在于***目录内。
进一步地,所述服务器端的数据库对合法程序的白名单进行收集更新的步骤,包括:周期性通过手工、利用蜘蛛或网络爬虫和/或用户上传对合法程序进行收集;通过手工或通过工具自动甄别所述合法程序的程序特征和或程序行为并保存在所述白名单中。
进一步地,所述服务器端的数据库对合法程序的白名单进行收集更新的步骤,包括:根据现有已知白名单中的合法程序特征及其对应的程序行为,对未知程序特征及程序行为进行分析,以更新白名单。
进一步地,所述程序特征,包括:程序文件内的静态特征和/或静态特征串。
进一步地,所述对未知程序特征及其程序行为进行分析的步骤,包括:如果未知程序特征与现有白名单中的已知程序特征相同,则将该未知程序特征及其程序行为列入白名单;如果未知程序行为与现有白名单中的已知程序行为相同或近似,则将该未知程序行为及其程序特征列入白名单;当某程序行为被列入白名单时,在数据库中将该程序行为对应的程序特征列入白名单,并将与该程序行为有关联关系的其他程序行为和程序特征也列入白名单;和/或当某程序特征被列入白名单时,在数据库中将该程序特征对应的程序行为列入白名单,并将与该程序特征有关联关系的其他程序行为和程序特征也列入白名单。
进一步地,还包括:在具有相同或近似行为的程序之间建立行为与特征的关联关系,根据所述具有相同或近似行为的程序之间的关联关系,对未知程序特征及程序行为进行分析,以更新白名单。
与现有的方案相比,本发明所获得的技术效果:
本发明通过使用白名单对合法程序进行判定,从而将不属于白名单范畴的非合法程序判定为恶意程序,从另一角度进行恶意程序的判定查杀;
同时引入云安全架构,将所有“云安全”客户端与“云安全”服务器实时连接,将合法程序的判定分析放在服务器端完成;
另外,本发明还通过客户端收集程序行为并关联到程序特征,从而在数据库中记录程序特征及其对应的程序行为,根据收集到的程序行为和程序特征的关联关系,可以在数据库中对样本进行分析归纳,从而有助于对软件或程序进行合法判别。
附图说明
图1为本发明的实施模式示意图;
图2本发明的依据白名单进行恶意程序检测的方法流程图;
图3为根据本发明实施例所述的关联关系示意图。
具体实施方式
以下将配合图式及实施例来详细说明本发明的实施方式,藉此对本发明如何应用技术手段来解决技术问题并达成技术功效的实现过程能充分理解并据以实施。
本发明的核心构思在于:服务器端的数据库建立合法程序的白名单并进行收集更新;客户端对一程序的程序特征和/或程序行为进行收集并发送到服务器端进行查询,服务器端根据所述程序特征和/或程序行为在所述白名单中进行分析比对,根据比对结果对所述程序进行判定并反馈给所述客户端。
下面对于由大量客户端计算机102-服务器端104构成的云安全模式下的白名单检测恶意程序方法进行说明。云结构就是一个大型的客户端/服务器(CS)架构,如图1所示,为本发明的实施模式示意图。
参考图2为本发明的依据白名单进行恶意程序检测的方法流程图,包括:
S1,服务器端的数据库建立合法程序的白名单并进行收集更新;
S2,客户端对一程序的程序特征和/或程序行为进行收集并发送到服务器端进行查询;
S3,服务器端根据所述程序特征和/或程序行为在所述白名单中进行分析比对,根据比对结果对所述程序进行判定并反馈给所述客户端;
S4,所述客户端根据所述判定结果决定对恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序,恢复***环境;或者
所述客户端根据所述判定结果并结合所述恶意程序的属性,决定是否对该恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序;
所述属性,包括:所述恶意程序是否为自启动程序和/或所述恶意程序是否存在于***目录内。
对于步骤S3,可以具体由以下方式实现。
第一方式:所述服务器端根据所述程序特征和/或程序行为,与所述白名单中保存的合法程序特征和/或合法程序行为进行比对,如果命中,则判定所述程序为合法程序,并反馈给所述客户端;如果没有命中,则判定所述程序为恶意程序,并反馈给所述客户端。
第二方式:所述服务器端根据程序的一组程序特征和/或一组程序行为,与所述白名单中保存的合法程序特征和/或合法程序行为进行比对,根据命中的程度,对所述程序赋予一信任值,并将所述信任值反馈给所述客户端;所述客户端预设一阈值,根据所述信任值与所述阈值进行比对,如果所述信任值不小于所述阈值,则判定所述所述程序为合法程序,如果所述信任值小于所述阈值,则判定所述程序为恶意程序。
对于信任值的设定,如果所述一组程序特征和/或一组程序行为在所述白名单中全部命中,则所述服务器端对所述程序赋予一最高信任值;如果所述一组程序特征和/或一组程序行为在所述白名单中全部未命中,则所述服务器端对所述程序赋予一最低信任值;处于上述两命中率之间的程序按所述上述趋势设定。
对于步骤S1,所述服务器端的数据库对合法程序的白名单进行收集更新的步骤,可以由以下方式实现。
第一方式:由技术人员周期性通过手工、利用蜘蛛或网络爬虫和/或用户上传对合法程序进行收集;通过手工或通过工具自动甄别所述合法程序的程序特征和或程序行为并保存在所述白名单中。
第二方式:根据现有已知白名单中的合法程序特征及其对应的程序行为,对未知程序特征及程序行为进行分析,以更新白名单。
所述程序特征,可以是程序文件内的静态特征,如经由MD5(Message-DigestAlgorithm5,信息-摘要算法)运算得出的MD5验证码,或SHA1码,或CRC(Cyclic RedundancyCheck,循环冗余校验)码等可唯一标识原程序的特征码;也可以是程序文件内的静态特征串。
下面对于第二方式中服务器端的数据库白名单的构建及动态维护进行下说明。
其处理思路主要是:根据现有已知白名单中的程序特征及其对应的程序行为,对未知程序特征及程序行为进行分析,以更新白名单。这种对比分析有时候不需要对程序的行为本身做追踪分析,只需要简单的与现有白名单中的已知程序行为做比对即可判定未知程序的性质。
由于在数据库中记录了程序特征及该特征对应的行为记录,因此可以结合已知白名单对未知程序进行分析。
例如,如果未知程序特征与现有白名单中的已知程序特征相同,则将该未知程序特征及其程序行为都列入白名单。
如果未知程序行为与现有白名单中的已知程序行为相同或近似,则将该未知程序行为及其程序特征都列入白名单。
通过数据库中的记录分析,我们可以发现,有一些程序的行为相同或近似,但程序特征不同,这时,只要我们在具有相同或近似行为的程序之间建立行为与特征的关联关系,并根据这种关联关系,就可以更便捷的对未知程序特征及程序行为进行分析,以更新白名单。
如图3所示,为根据本发明实施例所述的关联关系示意图。假设未知程序A、B和C的特征分别为A、B和C,其各自对应的程序行为为A1~A4,B1~B4,C1~C4。如果经过分析发现程序行为A1~A4,B1~B4,C1~C4之间实质上相同或非常近似,那么就可以在特征A、B、C和行为A1~A4,B1~B4,C1~C4之间建立特征与行为的关联关系。
通过这种关联关系,在某些条件下可以更加快捷的自扩展的对数据库进行维护。例如,当程序B的程序行为B1~B4被确认为合法程序行为并被列入白名单时,可以在数据库中自动将与该程序行为对应的程序特征B列入白名单,同时,根据关联关系,可以自动将与该程序行为有关联关系的程序行为A1~A4,C1~C4及对应的程序特征A,特征C也列入白名单。
再例如,如果最初时程序A、B和C都属于黑白未知的程序,而经由其他病毒查杀途径,程序特征B首先被确认为属于合法程序的特征,则在数据库中可以自动将行为B1~B4的组合列入白名单,还可以根据关联关系,将具有相同或近似行为的特征A和C也列入白名单,并将程序行为A1~A4,C1~C4也列入白名单。
本发明由于在数据库中记录了程序特征对应的行为,这就使得对未知程序的行为分析提供了很大的便利。本发明上述分析方法不限于此,还可以利用类似于决策树,贝叶斯算法,神经网域计算等方法,或者使用简单的阈值分析,都可以在本发明的数据库基础上得到很好的应用。
上述说明示出并描述了本发明的若干优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (23)
1.一种白名单生成方法,其包括:
定期对合法程序进行收集;
甄别出所述合法程序的程序特征和/或程序行为;
对所述程序特征和/或程序行为进行保存以生成白名单;
根据已生成的白名单中的合法程序特征及其对应的程序行为,对未知程序特征及程序行为进行分析,以更新白名单;
所述对未知程序特征及程序行为进行分析进一步包括:如果未知程序特征与已生成的白名单中的已知程序特征相同,则将该未知程序特征及其程序行为列入该白名单;
如果未知程序行为与已生成的白名单中的已知程序行为相同或近似,则将该未知程序行为及其程序特征列入该白名单;
当某程序行为被列入白名单时,将该程序行为对应的程序特征列入该白名单,并将与该程序行为有关联关系的其他程序行为和程序特征也列入该白名单;和/或
当某程序特征被列入白名单时,将该程序特征对应的程序行为列入该白名单,并将与该程序特征有关联关系的其他程序行为和程序特征也列入该白名单。
2.如权利要求1中任一项所述的方法,还包括:
在具有相同或近似行为的程序之间建立行为与特征的关联关系,根据所述具有相同或近似行为的程序之间的关联关系,对未知程序特征及程序行为进行分析,以更新白名单。
3.如权利要求2所述的方法,其中,所述程序特征包括程序文件内的静态特征和/或静态特征串。
4.一种恶意程序检测方法,其包括:
对一程序的程序特征和/或程序行为进行收集并发送以供查询,其中,所述查询包括:根据已生成的白名单中的合法程序特征及其对应的程序行为,对所述程序特征及程序行为进行分析,以更新白名单;所述对所述程序特征及程序行为进行分析进一步包括:如果所述程序的程序特征与已生成的白名单中的已知程序特征相同,则将所述程序的程序特征及其程序行为列入该白名单;
如果所述程序的程序行为与已生成的白名单中的已知程序行为相同或近似,则将所述程序的程序行为及其程序特征列入该白名单;
当所述程序的程序行为被列入白名单时,将所述程序的程序行为对应的程序特征列入该白名单,并将与所述程序的程序行为有关联关系的其他程序的程序行为和程序特征也列入该白名单;和/或
当所述程序的程序特征被列入白名单时,将所述程序的程序特征对应的程序行为列入该白名单,并将与所述程序的程序特征有关联关系的其他程序的程序行为和程序特征也列入该白名单;
根据反馈回的查询结果来判定所述程序是否为恶意程序。
5.如权利要求4所述的恶意程序检测方法,其中,根据反馈回的查询结果来判定所述程序是否为恶意程序进一步包括:
预设一阈值;
将反馈回的查询结果与所述阈值进行比对;
如果反馈回的查询结果不小于所述阈值,则判定所述程序为合法程序,如果反馈回的查询结果小于所述阈值,则判定所述程序为恶意程序。
6.如权利要求4或5所述的方法,还包括:根据所述反馈回的查询结果决定对恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序,恢复***环境。
7.如权利要求4或5所述的方法,还包括:根据所述判定结果并结合所述恶意程序的属性,决定是否对该恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序。
8.如权利要求7所述的方法,其中,所述属性包括:所述恶意程序是否为自启动程序和/或所述恶意程序是否存在于***目录内。
9.一种客户端,其包括:
收集单元,适于对一程序的程序特征和/或程序行为进行收集并发送以供查询,其中,所述查询包括:根据已生成的白名单中的合法程序特征及其对应的程序行为,对所述程序特征及程序行为进行分析,以更新白名单;所述对所述程序特征及程序行为进行分析进一步包括:如果所述程序的程序特征与已生成的白名单中的已知程序特征相同,则将所述程序的程序特征及其程序行为列入该白名单;
如果所述程序的程序行为与已生成的白名单中的已知程序行为相同或近似,则将所述程序的程序行为及其程序特征列入该白名单;
当所述程序的程序行为被列入白名单时,将所述程序的程序行为对应的程序特征列入该白名单,并将与所述程序的程序行为有关联关系的其他程序的程序行为和程序特征也列入该白名单;和/或
当所述程序的程序特征被列入白名单时,将所述程序的程序特征对应的程序行为列入该白名单,并将与所述程序的程序特征有关联关系的其他程序的程序行为和程序特征也列入该白名单;
判定单元,适于根据反馈回的查询结果来判定所述程序是否为恶意程序。
10.如权利要求9所述的客户端,其中,所述判定单元包括:
阈值设定单元,适于预设一阈值;
比对单元,适于将反馈回的查询结果与所述阈值进行比对;
结果确定单元,适于如果反馈回的查询结果不小于所述阈值,则判定所述程序为合法程序,如果反馈回的查询结果小于所述阈值,则判定所述程序为恶意程序。
11.如权利要求9或10所述的客户端,还包括:
第一处理单元,适于根据所述反馈回的查询结果决定对恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序,恢复***环境。
12.如权利要求9或10所述的客户端,还包括:
第二处理单元,适于根据所述判定结果并结合所述恶意程序的属性,决定是否对该恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序。
13.如权利要求12所述的客户端,其中,所述属性包括:所述恶意程序是否为自启动程序和/或所述恶意程序是否存在于***目录内。
14.一种恶意程序检测方法,其包括:
接收发送方发送的一程序的程序特征和/或程序行为;
根据所述程序特征和/或程序行为在白名单中进行分析比对,所述白名单用于存放合法程序特征和/或合法程序行为,其中,所述分析比对包括:如果所述程序的程序特征与已生成的白名单中的已知程序特征相同,则将所述程序的程序特征及其程序行为列入该白名单;
如果所述程序的程序行为与已生成的白名单中的已知程序行为相同或近似,则将所述程序的程序行为及其程序特征列入该白名单;
当所述程序的程序行为被列入白名单时,将所述程序的程序行为对应的程序特征列入该白名单,并将与所述程序的程序行为有关联关系的其他程序的程序行为和程序特征也列入该白名单;和/或
当所述程序的程序特征被列入白名单时,将所述程序的程序特征对应的程序行为列入该白名单,并将与所述程序的程序特征有关联关系的其他程序的程序行为和程序特征也列入该白名单;
根据比对结果对所述程序的合法性或信任值进行判定并反馈给所述发送方。
15.如权利要求14所述的方法,其中,所述比对结果包括命中和没有命中,其中,
如果命中,则判定所述程序为合法程序;如果没有命中,则判定所述程序为恶意程序。
16.如权利要求15所述的方法,其中,根据比对结果对所述程序的合法性或信任值进行判定并反馈给所述发送方进一步包括:
根据命中的程度,对所述程序赋予一信任值,并将所述信任值反馈给所述发送方。
17.如权利要求16所述的方法,其中,如果一组程序特征和/或一组程序行为在所述白名单中全部命中,则对所述程序赋予一最高信任值;如果所述一组程序特征和/或一组程序行为在所述白名单中全部未命中,则对所述程序赋予一最低信任值。
18.如权利要求14至17中任一项所述的方法,还包括对合法程序的白名单进行收集更新。
19.一种服务器,其包括:
接收单元,适于接收发送方发送的一程序的程序特征和/或程序行为;
比对单元,适于根据所述程序特征和/或程序行为在白名单中进行分析比对,所述白名单用于存放合法程序特征和/或合法程序行为,其中,所述分析比对包括:如果所述程序的程序特征与已生成的白名单中的已知程序特征相同,则将所述程序的程序特征及其程序行为列入该白名单;
如果所述程序的程序行为与已生成的白名单中的已知程序行为相同或近似,则将所述程序的程序行为及其程序特征列入该白名单;
当所述程序的程序行为被列入白名单时,将所述程序的程序行为对应的程序特征列入该白名单,并将与所述程序的程序行为有关联关系的其他程序的程序行为和程序特征也列入该白名单;和/或
当所述程序的程序特征被列入白名单时,将所述程序的程序特征对应的程序行为列入该白名单,并将与所述程序的程序特征有关联关系的其他程序的程序行为和程序特征也列入该白名单;
判定单元,适于根据比对结果对所述程序的合法性或信任值进行判定并反馈给所述发送方。
20.如权利要求19所述的服务器,其中,所述比对结果包括命中和没有命中,其中,
如果命中,则判定所述程序为合法程序;如果没有命中,则判定所述程序为恶意程序。
21.如权利要求20所述的服务器,其中,所述判定单元还适于:
根据命中的程度,对所述程序赋予一信任值,并将所述信任值反馈给所述发送方。
22.如权利要求21所述的服务器,其中,所述判定单元还适于:
如果一组程序特征和/或一组程序行为在所述白名单中全部命中,则对所述程序赋予一最高信任值;如果所述一组程序特征和/或一组程序行为在所述白名单中全部未命中,则对所述程序赋予一最低信任值。
23.如权利要求19至22中任一项所述的服务器,还包括:
白名单更新单元,适于对合法程序的白名单进行收集更新。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310552867.3A CN103607381B (zh) | 2010-08-18 | 2010-08-18 | 白名单生成及恶意程序检测方法、客户端和服务器 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310552867.3A CN103607381B (zh) | 2010-08-18 | 2010-08-18 | 白名单生成及恶意程序检测方法、客户端和服务器 |
CN2010102569733A CN101924761B (zh) | 2010-08-18 | 2010-08-18 | 一种依据白名单进行恶意程序检测的方法 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010102569733A Division CN101924761B (zh) | 2010-08-18 | 2010-08-18 | 一种依据白名单进行恶意程序检测的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103607381A CN103607381A (zh) | 2014-02-26 |
CN103607381B true CN103607381B (zh) | 2017-02-15 |
Family
ID=50125581
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310552867.3A Active CN103607381B (zh) | 2010-08-18 | 2010-08-18 | 白名单生成及恶意程序检测方法、客户端和服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103607381B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105303107A (zh) * | 2014-06-06 | 2016-02-03 | 中兴通讯股份有限公司 | 一种异常进程检测方法及装置 |
CN104252372A (zh) * | 2014-09-19 | 2014-12-31 | 北京数字天域科技股份有限公司 | 生成应用保留列表、删除预装应用的方法、装置与*** |
US10104107B2 (en) | 2015-05-11 | 2018-10-16 | Qualcomm Incorporated | Methods and systems for behavior-specific actuation for real-time whitelisting |
CN105786579B (zh) * | 2016-03-28 | 2020-06-23 | 联想(北京)有限公司 | 处理方法以及装置、阻止程序启动的方法以及装置 |
CN106971106A (zh) * | 2017-03-30 | 2017-07-21 | 维沃移动通信有限公司 | 一种识别非法应用程序的方法、移动终端及服务器 |
CN107729753A (zh) * | 2017-09-22 | 2018-02-23 | 郑州云海信息技术有限公司 | 一种计算机未知病毒的防御方法及*** |
CN107835317B (zh) * | 2017-11-21 | 2021-05-04 | Oppo广东移动通信有限公司 | 调度作业控制方法、装置、终端设备及存储介质 |
CN112597494A (zh) * | 2020-12-21 | 2021-04-02 | 成都安思科技有限公司 | 一种用于恶意程序检测的行为白名单自动收集方法 |
TWI796683B (zh) * | 2021-04-30 | 2023-03-21 | 精品科技股份有限公司 | 於用戶端執行之應用程式控管方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101593253A (zh) * | 2009-06-22 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种恶意程序判断方法及装置 |
-
2010
- 2010-08-18 CN CN201310552867.3A patent/CN103607381B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101593253A (zh) * | 2009-06-22 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种恶意程序判断方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN103607381A (zh) | 2014-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103607381B (zh) | 白名单生成及恶意程序检测方法、客户端和服务器 | |
US9715588B2 (en) | Method of detecting a malware based on a white list | |
US9916447B2 (en) | Active defense method on the basis of cloud security | |
US10110619B2 (en) | Method and product for providing a predictive security product and evaluating existing security products | |
Zheng et al. | Droid analytics: a signature based analytic system to collect, extract, analyze and associate android malware | |
CN103475671B (zh) | 恶意程序检测方法 | |
US8667583B2 (en) | Collecting and analyzing malware data | |
CN101923617B (zh) | 一种基于云的样本数据库动态维护方法 | |
KR101693370B1 (ko) | 퍼지 화이트리스팅 안티-멀웨어 시스템 및 방법 | |
CN104573515A (zh) | 一种病毒处理方法、装置和*** | |
CN106529294B (zh) | 一种用于手机病毒判定与过滤的方法 | |
WO2016058403A1 (zh) | 一种病毒文件的处理方法、***及设备 | |
KR102120200B1 (ko) | 악성 코드 수집 방법 및 시스템 | |
CN103501294B (zh) | 判断程序是否恶意的方法 | |
Huh et al. | A comprehensive analysis of today’s malware and its distribution network: common adversary strategies and implications | |
Huang et al. | A large-scale study of android malware development phenomenon on public malware submission and scanning platform | |
Luh et al. | Behavior-based malware recognition | |
Matin | Ransomware Extraction Using Static Portable Executable (PE) Feature-Based Approach | |
Mora | Feature Selection and Improving Classification Performance for Malware Detection | |
CN117610001A (zh) | 针对物联网恶意软件中细粒度恶意行为的自动分析方法 | |
CN117521068A (zh) | Linux主机恶意软件检测方法、***、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20220707 Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
TR01 | Transfer of patent right |