CN105491002A - 一种高级威胁追溯的方法及*** - Google Patents
一种高级威胁追溯的方法及*** Download PDFInfo
- Publication number
- CN105491002A CN105491002A CN201510343083.9A CN201510343083A CN105491002A CN 105491002 A CN105491002 A CN 105491002A CN 201510343083 A CN201510343083 A CN 201510343083A CN 105491002 A CN105491002 A CN 105491002A
- Authority
- CN
- China
- Prior art keywords
- advanced threat
- review
- reviewed
- bag
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提出了一种高级威胁追溯的方法及***,通过对高级威胁样本静、动态分析,获取高级威胁追溯特征,并生成高级威胁追溯包,客户端解析高级威胁追溯包,利用其追溯特征对***中的文件进行检测,判断是否存在高级威胁,并追溯存在威胁的文件。本发明弥补现有技术不能有效检测高级威胁这一不足的同时,更有效的对***信息安全进行维护、对攻击进行防御,防止潜在的高级威胁对***的攻击或者进一步攻击,有效防止高级威胁利用指定终端作为跳板而对其它设备进行攻击或者实现大规模的攻击,从而实现了快速有效的全网高级威胁检测。
Description
技术领域
本发明涉及网络信息安全技术领域,尤其涉及一种高级威胁追溯的方法及***。
背景技术
当今网络威胁已经上升到国家战略层面,网络攻击也从针对大众的无明确目的的恶意攻击转变成为目标明确的以发动信息战为目的的高级威胁攻击。由于传统反恶意程序软件采用的是黑名单机制,依靠单纯的特征码扫描技术作为核心技术,而高级威胁是一系列动态攻击行为的组合,无法通过特征码技术进行检测,并且很多高级威胁利用了***漏洞等技术,这让传统安全软件无法防御。
发明内容
针对上述现有技术存在的不足和缺陷,本发明提出一种高级威胁追溯的方法及***,通过对高级威胁样本静、动态分析,获取高级威胁追溯特征,并生成高级威胁追溯包,客户端解析高级威胁追溯包,利用其追溯特征对***中的文件进行检测,判断是否存在高级威胁,并追溯存在威胁的文件,有效维护***信息安全,防止潜在的高级威胁对***的进一步攻击,或者利用指定设备进行跳板性的攻击。
具体发明内容包括:
一种高级威胁追溯的方法,包括:
服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征,根据追溯特征生成高级威胁追溯包;
当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端;
指定客户端解析高级威胁追溯包,得到追溯特征,根据追溯特征进行高级威胁追溯。
进一步地,所述根据追溯特征生成高级威胁追溯包,具体为:使用JASON数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成高级威胁追溯包。
进一步地,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。
进一步地,还包括历史威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。
进一步地,所述高级威胁追溯包括文件追溯、注册表追溯、***漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁。
进一步地,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、***漏洞信息、软件漏洞信息。
一种高级威胁追溯的***,包括:
追溯包生成模块,用于服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征,根据追溯特征生成高级威胁追溯包;
追溯包请求模块,用于当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端;
高级威胁追溯模块,用于指定客户端解析高级威胁追溯包,得到追溯特征,根据追溯特征进行高级威胁追溯。
进一步地,所述根据追溯特征生成高级威胁追溯包,具体为:使用JASON数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成高级威胁追溯包。
进一步地,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。
进一步地,还包括历史威胁追溯模块,用于对客户端的历史文件进行高级威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。
进一步地,所述高级威胁追溯包括文件追溯、注册表追溯、***漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁。
进一步地,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、***漏洞信息、软件漏洞信息。
本发明的有益效果是:
高级威胁是一系列动态攻击行为的组合,并且很多高级威胁利用***漏洞等技术释放攻击,这让现有的安全软件无法进行有效的检测和防御,针对上述不足和缺陷,本发明提出一种高级威胁追溯的方法及***,根据训练的高级威胁样本数据,对客户端进行检测,并对威胁源文件进行追溯。本发明对高级威胁样本进行静、动态分析,获取静、动态双特征的追溯特征,并将追溯特征打包加密生成追溯包,客户端利用追溯包可以准确的判断***中是否存在高级威胁,并对存在威胁的目标文件进行追溯,本发明还提出了对客户端进行历史威胁追溯的方法,对现有以及历史保存过的文件建档,即使携带威胁的样本文件已经被删除,也可得知目标终端是否曾经受到过高级威胁攻击,便于追责与定损。本发明可有效对高级威胁进行检测,并实现对威胁源文件的追溯,弥补现有技术不能有效检测高级威胁这一不足的同时,更有效的对***信息安全进行维护、对攻击进行防御,防止潜在的高级威胁对***的攻击或者进一步攻击,有效防止高级威胁利用指定终端作为跳板而对其它设备进行攻击或者实现大规模的攻击,从而实现了快速有效的全网高级威胁检测。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种高级威胁追溯的方法流程图;
图2为本发明一种高级威胁追溯的***结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明给出了一种高级威胁追溯的方法实施例,如图1所示,包括:
S101:服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征;
S102:根据追溯特征生成高级威胁追溯包;
S103:当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端;
S104:指定客户端解析高级威胁追溯包,得到追溯特征;
S105:根据追溯特征进行高级威胁追溯,所述追溯包含了对高级威胁进行检测以及对携带威胁的文件进行追溯处理的过程。
优选地,所述根据追溯特征生成高级威胁追溯包,具体为:使用JASON数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成高级威胁追溯包。
优选地,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。
优选地,还包括历史威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。
优选地,所述高级威胁追溯包括文件追溯、注册表追溯、***漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁;
优选地,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、***漏洞信息、软件漏洞信息;
客户端利用追溯包进行高级威追溯的方法举例如下:
例如文件追溯可以采用下述方法:对客户端中的所有文件进行遍历,并分别提取其特征信息,所述特征信息包括文件名、文件路径、文件MD5值,将各文件的特征信息分别与追溯特征中的文件名、文件路径、文件MD5值进行匹配,若存在文件使所述匹配成功,则说明***中存在高级威胁,甚至已经受到了高级威胁的攻击,此时则对携带威胁的相应文件进行追溯处理,若均匹配失败,则说明客户端中的文件无威胁;
例如注册表追溯可以采用下述方法:对客户端中的注册表进行遍历,分别提取其特征信息,所述特征信息包括注册表读取信息、注册表行为信息,将各注册表的特征信息分别与追溯特征中的注册表读取信息、注册表行为信息进行匹配,若存在注册表使所述匹配成功,则说明***中存在高级威胁,甚至已经受到了高级威胁的攻击,此时则对携带威胁的相应注册表进行追溯处理,若均匹配失败,则说明客户端中的注册表无威胁;
例如***漏洞追溯可以采用下述方法:遍历客户端中***漏洞补丁列表,获取各***漏洞补丁的漏洞编号,并分别与追溯特征中的***漏洞编号进行匹配,若存在匹配成功的对象,则说明***存在高级威胁攻击渗透的可能,此时则对匹配成功的***漏洞编号对应的***漏洞补丁进行追溯处理,并检测相应漏洞是否被成功修补,以及对相应漏洞进行更深入的检测分析,若均匹配失败,则说明客户端的***无威胁,不存在高级威胁利用***漏洞进行渗透攻击的情况;
例如数字签名追溯可以采用下述方法:遍历客户端中文件的数字签名信息,并分别与追溯特征中的数字签名信息进行匹配,若存在文件使所述匹配成功,则该文件的数字签名可能是冒用或者仿造的,或者该文件的数字签名被冒用或者仿造了,则相应的文件存在携带高级威胁的可能,此时则对相应的文件进行追溯处理,若均匹配失败,则说明客户端中文件数字签名不携带威胁;
所述追溯处理包括目标文件位置确定、目标文件行为确定、对目标文件进行进一步检测分析、对目标文件进行删除处理。
本发明还给出了一种高级威胁追溯的***实施例,如图2所示,包括:
追溯包生成模块201,用于服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征,根据追溯特征生成高级威胁追溯包;
追溯包请求模块202,用于当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端;
高级威胁追溯模块203,用于指定客户端解析高级威胁追溯包,得到追溯特征,根据追溯特征进行高级威胁追溯。
优选地,所述根据追溯特征生成高级威胁追溯包,具体为:使用JASON数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成高级威胁追溯包。
优选地,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。
优选地,还包括历史威胁追溯模块,用于对客户端的历史文件进行高级威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。
优选地,所述高级威胁追溯包括文件追溯、注册表追溯、***漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁。
优选地,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、***漏洞信息、软件漏洞信息。
本说明书中方法的实施例采用递进的方式描述,对于***的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。本发明提出一种高级威胁追溯的方法及***,根据训练的高级威胁样本数据,对客户端进行检测,并对威胁源文件进行追溯。本发明对高级威胁样本进行静、动态分析,获取静、动态双特征的追溯特征,并将追溯特征打包加密生成追溯包,客户端利用追溯包可以准确的判断***中是否存在高级威胁,并对存在威胁的目标文件进行追溯,本发明还提出了对客户端进行历史威胁追溯的方法,对现有以及历史保存过的文件建档,即使携带威胁的样本文件已经被删除,也可得知目标终端是否曾经受到过高级威胁攻击,便于追责与定损。本发明可有效对高级威胁进行检测,并实现对威胁源文件的追溯,弥补现有技术不能有效检测高级威胁这一不足的同时,更有效的对***信息安全进行维护、对攻击进行防御,防止潜在的高级威胁对***的攻击或者进一步攻击,有效防止高级威胁利用指定终端作为跳板而对其它设备进行攻击或者实现大规模的攻击,从而实现了快速有效的全网高级威胁检测。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (12)
1.一种高级威胁追溯的方法,其特征在于,包括:
服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征,根据追溯特征生成高级威胁追溯包;
当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端;
指定客户端解析高级威胁追溯包,得到追溯特征,根据追溯特征进行高级威胁追溯。
2.如权利要求1所述的方法,其特征在于,所述根据追溯特征生成高级威胁追溯包,具体为:使用JASON数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成高级威胁追溯包。
3.如权利要求1所述的方法,其特征在于,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。
4.如权利要求1所述的方法,其特征在于,还包括历史威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。
5.如权利要求1或4所述的方法,其特征在于,所述高级威胁追溯包括文件追溯、注册表追溯、***漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁。
6.如权利要求1或2或4所述的方法,其特征在于,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、***漏洞信息、软件漏洞信息。
7.一种高级威胁追溯的***,其特征在于,包括:
追溯包生成模块,用于服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征,根据追溯特征生成高级威胁追溯包;
追溯包请求模块,用于当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端;
高级威胁追溯模块,用于指定客户端解析高级威胁追溯包,得到追溯特征,根据追溯特征进行高级威胁追溯。
8.如权利要求7所述的***,其特征在于,所述根据追溯特征生成高级威胁追溯包,具体为:使用JASON数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成高级威胁追溯包。
9.如权利要求7所述的***,其特征在于,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。
10.如权利要求7所述的***,其特征在于,还包括历史威胁追溯模块,用于对客户端的历史文件进行高级威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。
11.如权利要求7或10所述的***,其特征在于,所述高级威胁追溯包括文件追溯、注册表追溯、***漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁。
12.如权利要求7或8或10所述的***,其特征在于,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、***漏洞信息、软件漏洞信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510343083.9A CN105491002A (zh) | 2015-06-19 | 2015-06-19 | 一种高级威胁追溯的方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510343083.9A CN105491002A (zh) | 2015-06-19 | 2015-06-19 | 一种高级威胁追溯的方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105491002A true CN105491002A (zh) | 2016-04-13 |
Family
ID=55677722
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510343083.9A Pending CN105491002A (zh) | 2015-06-19 | 2015-06-19 | 一种高级威胁追溯的方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105491002A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106203110A (zh) * | 2016-06-30 | 2016-12-07 | 中国地质大学(武汉) | 基于逆向解析机制的Android安全增强*** |
| CN110602044A (zh) * | 2019-08-12 | 2019-12-20 | 贵州电网有限责任公司 | 一种网络威胁分析方法和*** |
| WO2020102925A1 (zh) * | 2018-11-20 | 2020-05-28 | 马勇 | 一种混合环境下静态对象篡改的监测方法 |
| CN116527323A (zh) * | 2023-04-04 | 2023-08-01 | 中国华能集团有限公司北京招标分公司 | 一种动态威胁分析方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101373502A (zh) * | 2008-05-12 | 2009-02-25 | 公安部第三研究所 | 基于Win32平台下病毒行为的自动化分析*** |
| CN101373501A (zh) * | 2008-05-12 | 2009-02-25 | 公安部第三研究所 | 针对计算机病毒的动态行为捕获方法 |
| CN102006290A (zh) * | 2010-08-12 | 2011-04-06 | 清华大学 | Ip源地址追溯的方法 |
| CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和*** |
| CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
| CN104363240A (zh) * | 2014-11-26 | 2015-02-18 | 国家电网公司 | 基于信息流行为合法性检测的未知威胁的综合检测方法 |
-
2015
- 2015-06-19 CN CN201510343083.9A patent/CN105491002A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101373502A (zh) * | 2008-05-12 | 2009-02-25 | 公安部第三研究所 | 基于Win32平台下病毒行为的自动化分析*** |
| CN101373501A (zh) * | 2008-05-12 | 2009-02-25 | 公安部第三研究所 | 针对计算机病毒的动态行为捕获方法 |
| CN102006290A (zh) * | 2010-08-12 | 2011-04-06 | 清华大学 | Ip源地址追溯的方法 |
| CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和*** |
| CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
| CN104363240A (zh) * | 2014-11-26 | 2015-02-18 | 国家电网公司 | 基于信息流行为合法性检测的未知威胁的综合检测方法 |
Non-Patent Citations (2)
| Title |
|---|
| 米昂,杨海军,姚钦锋,戴沁芸: "从国家网络安全保障看APT防御思路", 《世界电信》 * |
| 雷迟骏: "基于启发式算法的恶意代码检测***研究与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106203110A (zh) * | 2016-06-30 | 2016-12-07 | 中国地质大学(武汉) | 基于逆向解析机制的Android安全增强*** |
| CN106203110B (zh) * | 2016-06-30 | 2019-03-19 | 中国地质大学(武汉) | 基于逆向解析机制的Android安全增强*** |
| WO2020102925A1 (zh) * | 2018-11-20 | 2020-05-28 | 马勇 | 一种混合环境下静态对象篡改的监测方法 |
| CN110602044A (zh) * | 2019-08-12 | 2019-12-20 | 贵州电网有限责任公司 | 一种网络威胁分析方法和*** |
| CN116527323A (zh) * | 2023-04-04 | 2023-08-01 | 中国华能集团有限公司北京招标分公司 | 一种动态威胁分析方法 |
| CN116527323B (zh) * | 2023-04-04 | 2024-01-30 | 中国华能集团有限公司北京招标分公司 | 一种动态威胁分析方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102663288B (zh) | 病毒查杀方法及装置 | |
| CN102810138B (zh) | 一种用户端文件的修复方法和*** | |
| US9953162B2 (en) | Rapid malware inspection of mobile applications | |
| US10318730B2 (en) | Detection and prevention of malicious code execution using risk scoring | |
| US20170344743A1 (en) | Method and apparatus for proactively identifying and mitigating malware attacks via hosted web assets | |
| CN103294950B (zh) | 一种基于反向追踪的高威窃密恶意代码检测方法及*** | |
| Zheng et al. | DroidRay: a security evaluation system for customized android firmwares | |
| CN104199654B (zh) | 开放平台的调用方法及装置 | |
| US9332029B1 (en) | System and method for malware detection in a distributed network of computer nodes | |
| Nadji et al. | Automated remote repair for mobile malware | |
| CN110516448B (zh) | 一种灰盒测试方法、装置、设备及可读存储介质 | |
| CN105939311A (zh) | 一种网络攻击行为的确定方法和装置 | |
| CN107896219B (zh) | 一种网站脆弱性的检测方法、***及相关装置 | |
| CN104765682B (zh) | 跨站脚本漏洞的线下检测方法和*** | |
| CN102546576A (zh) | 一种网页挂马检测和防护方法、***及相应代码提取方法 | |
| CN105491002A (zh) | 一种高级威胁追溯的方法及*** | |
| CN105553917A (zh) | 一种网页漏洞的检测方法和*** | |
| CN102664876A (zh) | 网络安全检测方法及*** | |
| CN105991554A (zh) | 漏洞检测方法和设备 | |
| CN113067812B (zh) | Apt攻击事件溯源分析方法、装置和计算机可读介质 | |
| CN103778375A (zh) | 防止用户设备加载非法的动态链接库文件的装置和方法 | |
| US20220141252A1 (en) | System and method for data filtering in machine learning model to detect impersonation attacks | |
| CN104700029A (zh) | 一种软件在线检测方法、装置和服务器 | |
| CN108462749B (zh) | 一种Web应用处理方法、装置及*** | |
| JP6169497B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160413 |
|
| WD01 | Invention patent application deemed withdrawn after publication |