CN109472142A - 一种恶意代码自动处置方法及*** - Google Patents
一种恶意代码自动处置方法及*** Download PDFInfo
- Publication number
- CN109472142A CN109472142A CN201711471900.4A CN201711471900A CN109472142A CN 109472142 A CN109472142 A CN 109472142A CN 201711471900 A CN201711471900 A CN 201711471900A CN 109472142 A CN109472142 A CN 109472142A
- Authority
- CN
- China
- Prior art keywords
- malice sample
- disposal
- malice
- sample
- circulation way
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种恶意代码自动处置方法及***,包括:捕获网络数据包,根据报文内容对实体文件进行还原;扫描还原的实体文件,判断是否存在恶意样本;若存在恶意样本,则对恶意样本的危害等级和传播方式进行判定;根据危害等级和传播方式,通过既定算法从处置方案库中选择响应的方法,并将响应方法传送给网络侧和终端侧设备。本发明各环节互相连接,形成一个闭环控制流,依据算法自动确定下一步的操作,减少了人工干涉和处置时间。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种恶意代码自动处置方法及***。
背景技术
现有恶意代码处置的过程中,所需的各项数据来源于不同的设备,处置的过程需要人工执行,并根据效果修改处置方案后进行二次处置,最终实现基本终止恶意代码传播的目的。在这个过程中,恶意代码样本的来源和传播情况由文件还原设备提供,判定、传播方式分析由检测设备和人工综合判定,阻断传播由网络设备进行或者在各终端人工执行。各环节互相独立,沟通连接目前依赖于人工操作,效率较低,并且依赖于工作人员的经验,较难大规模推广。
发明内容
针对上述现有技术中存在的问题,本发明提出了一种恶意代码自动处置方法及***。具体发明内容包括:
一种恶意代码自动处置方法,包括:
捕获网络数据包,根据报文内容对实体文件进行还原;
扫描还原的实体文件,判断是否存在恶意样本;
若存在恶意样本,则对恶意样本的危害等级和传播方式进行判定;
根据危害等级和传播方式,通过既定算法从处置方案库中选择响应的方法,并将响应方法传送给网络侧和终端侧设备;在选择响应方法时,大原则为危害等级评估越高,越倾向于使用见效快、覆盖面广的方法,反之则选择负面影响小的方法;主要选择依据则是根据恶意样本的传播方式选择能够阻断传播的方法。
进一步地,所述若存在恶意样本,则对恶意样本的危害等级和传播方式进行判定,具体为:若存在恶意样本,则进一步判断恶意样本是否为已知;若为已知,则通过恶意样本数据库匹配获取所述恶意样本的危害等级和传播方式;否则,对所述恶意样本进行动静态快速分析,得到其危害等级和传播方式。
进一步地,将响应方法传送给网络侧和终端侧设备后,若恶意样本仍然继续传播,则从所述处置方案库中重新选择响应方法,并再次传送给网络侧和终端侧设备;若经过规定时间后,恶意样本的传播依然没有被控制,则向管理员发出报警信号。
进一步地,将每次处置的过程信息及采取的响应方法动态加入处置方案库,且对处置方案库中的数据进行机器学习;减少处置方案库数据冗余的同时,自动学习出最佳的处置策略,当***发现有新样本的时候,可以根据既定算法给出更加贴合的处置方案。
一种恶意代码自动处置***,包括:
流量还原模块,用于捕获网络数据包,根据报文内容对实体文件进行还原;
恶意判定模块,用于扫描还原的实体文件,判断是否存在恶意样本;
综合分析模块,用于若存在恶意样本,则对恶意样本的危害等级和传播方式进行判定;
方案下发模块,用于根据危害等级和传播方式,通过既定算法从处置方案库中选择响应的方法,并将响应方法传送给网络侧和终端侧设备;在选择响应方法时,大原则为危害等级评估越高,越倾向于使用见效快、覆盖面广的方法,反之则选择负面影响小的方法;主要选择依据则是根据恶意样本的传播方式选择能够阻断传播的方法。
进一步地,所恶意判定模块具体用于:若存在恶意样本,则进一步判断恶意样本是否为已知;若为已知,则通过恶意样本数据库匹配获取所述恶意样本的危害等级和传播方式;否则,对所述恶意样本进行动静态快速分析,得到其危害等级和传播方式。
进一步地,将响应方法传送给网络侧和终端侧设备后,若恶意样本仍然继续传播,则重新调用方案下发模块,从所述处置方案库中重新选择响应方法,并再次传送给网络侧和终端侧设备;若经过规定时间后,恶意样本的传播依然没有被控制,则向管理员发出报警信号。
进一步地,将每次处置的过程信息及采取的响应方法动态加入处置方案库,且对处置方案库中的数据进行机器学习;减少处置方案库数据冗余的同时,自动学习出最佳的处置策略,当***发现有新样本的时候,可以根据既定算法给出更加贴合的处置方案。
一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述的自动处置方法。
一种计算机可读存储介质,用于存储计算机程序,所述计算机程序可被处理器执行所述的自动处置方法。
本发明的有益效果是:
本发明各环节互相连接,形成一个闭环控制流,依据算法自动确定下一步的操作,***自动采集处置所需的各项数据,依靠已有的方案库和算法自动选择并根据效果优化,提高了处置效率,减少了人工干涉和处置时间;各环节所有处置过程全部记录,积累大量的数据,可以供大数据和机器学习作为训练的素材,选择出最优的处置方法、不断的优化,并且可以根据恶意样本的变化趋势实时更新,保证在面临最新的恶意代码时处置也是及时有效的;同时不排斥人工干预,实现人工分析和自动分析的有效结合并实现最大效果。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种恶意代码自动处置的方法流程图;
图2为本发明一种恶意代码自动处置的***结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明给出了一种恶意代码自动处置的方法实施例,如图1所示,包括:
S101:捕获网络数据包,根据报文内容对实体文件进行还原;
S102:扫描还原的实体文件,判断是否存在恶意样本;
S103:若存在恶意样本,则对恶意样本的危害等级和传播方式进行判定;
S104:根据危害等级和传播方式,通过既定算法从处置方案库中选择响应的方法;在选择响应方法时,大原则为危害等级评估越高,越倾向于使用见效快、覆盖面广的方法,反之则选择负面影响小的方法;主要选择依据则是根据恶意样本的传播方式选择能够阻断传播的方法;
S105:将响应方法传送给网络侧和终端侧设备。
优选地,所述若存在恶意样本,则对恶意样本的危害等级和传播方式进行判定,具体为:若存在恶意样本,则进一步判断恶意样本是否为已知;若为已知,则通过恶意样本数据库匹配获取所述恶意样本的危害等级和传播方式;否则,对所述恶意样本进行动静态快速分析,得到其危害等级和传播方式。
优选地,将响应方法传送给网络侧和终端侧设备后,若恶意样本仍然继续传播,则从所述处置方案库中重新选择响应方法,并再次传送给网络侧和终端侧设备;若经过规定时间后,恶意样本的传播依然没有被控制,则向管理员发出报警信号。
优选地,将每次处置的过程信息及采取的响应方法动态加入处置方案库,且对处置方案库中的数据进行机器学习;减少处置方案库数据冗余的同时,自动学习出最佳的处置策略,当***发现有新样本的时候,可以根据既定算法给出更加贴合的处置方案。
本发明还给出了一种恶意代码自动处置的***实施例,如图2所示,包括:
流量还原模块201,用于捕获网络数据包,根据报文内容对实体文件进行还原;
恶意判定模块202,用于扫描还原的实体文件,判断是否存在恶意样本;
综合分析模块203,用于若存在恶意样本,则对恶意样本的危害等级和传播方式进行判定;
方案下发模块204,用于根据危害等级和传播方式,通过既定算法从处置方案库中选择响应的方法,并将响应方法传送给网络侧和终端侧设备;在选择响应方法时,大原则为危害等级评估越高,越倾向于使用见效快、覆盖面广的方法,反之则选择负面影响小的方法;主要选择依据则是根据恶意样本的传播方式选择能够阻断传播的方法。
进一步地,所恶意判定模块202具体用于:若存在恶意样本,则进一步判断恶意样本是否为已知;若为已知,则通过恶意样本数据库匹配获取所述恶意样本的危害等级和传播方式;否则,对所述恶意样本进行动静态快速分析,得到其危害等级和传播方式。
进一步地,将响应方法传送给网络侧和终端侧设备后,若恶意样本仍然继续传播,则重新调用方案下发模块204,从所述处置方案库中重新选择响应方法,并再次传送给网络侧和终端侧设备;若经过规定时间后,恶意样本的传播依然没有被控制,则向管理员发出报警信号。
进一步地,将每次处置的过程信息及采取的响应方法动态加入处置方案库,且对处置方案库中的数据进行机器学习;减少处置方案库数据冗余的同时,自动学习出最佳的处置策略,当***发现有新样本的时候,可以根据既定算法给出更加贴合的处置方案。
另,本发明给出了一种实施例的计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时,实现上述实施例中自动处置的方法;同时还可能包括用于存储器和处理器通信的通信接口;所述存储器可能包含RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器;所述处理器可能是一个中央处理器(Central Processing Unit,简称为CPU),或者是特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路;所述存储器、处理器可以独立部署,也可以集成在一块芯片上。
为了实现上述实施例,本发明还给出了一种非临时性计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述实施例中自动处置的方法。
本说明书中方法的实施例采用递进的方式描述,对于***的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。本发明提出了一种恶意代码自动处置方法及***,包括:捕获网络数据包,根据报文内容对实体文件进行还原;扫描还原的实体文件,判断是否存在恶意样本;若存在恶意样本,则对恶意样本的危害等级和传播方式进行判定;根据危害等级和传播方式,通过既定算法从处置方案库中选择响应的方法,并将响应方法传送给网络侧和终端侧设备。本发明各环节互相连接,形成一个闭环控制流,依据算法自动确定下一步的操作,***自动采集处置所需的各项数据,依靠已有的方案库和算法自动选择并根据效果优化,提高了处置效率,减少了人工干涉和处置时间;各环节所有处置过程全部记录,积累大量的数据,可以供大数据和机器学习作为训练的素材,选择出最优的处置方法、不断的优化,并且可以根据恶意样本的变化趋势实时更新,保证在面临最新的恶意代码时处置也是及时有效的;同时不排斥人工干预,实现人工分析和自动分析的有效结合并实现最大效果。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (10)
1.一种恶意代码自动处置方法,其特征在于,包括:
捕获网络数据包,根据报文内容对实体文件进行还原;
扫描还原的实体文件,判断是否存在恶意样本;
若存在恶意样本,则对恶意样本的危害等级和传播方式进行判定;
根据危害等级和传播方式,通过既定算法从处置方案库中选择响应的方法,并将响应方法传送给网络侧和终端侧设备。
2.如权利要求1所述的方法,其特征在于,所述若存在恶意样本,则对恶意样本的危害等级和传播方式进行判定,具体为:若存在恶意样本,则进一步判断恶意样本是否为已知;若为已知,则通过恶意样本数据库匹配获取所述恶意样本的危害等级和传播方式;否则,对所述恶意样本进行动静态快速分析,得到其危害等级和传播方式。
3.如权利要求1或2所述的方法,其特征在于,将响应方法传送给网络侧和终端侧设备后,若恶意样本仍然继续传播,则从所述处置方案库中重新选择响应方法,并再次传送给网络侧和终端侧设备;若经过规定时间后,恶意样本的传播依然没有被控制,则向管理员发出报警信号。
4.如权利要求3所述的方法,其特征在于,将每次处置的过程信息及采取的响应方法动态加入处置方案库,且对处置方案库中的数据进行机器学习。
5.一种恶意代码自动处置***,其特征在于,包括:
流量还原模块,用于捕获网络数据包,根据报文内容对实体文件进行还原;
恶意判定模块,用于扫描还原的实体文件,判断是否存在恶意样本;
综合分析模块,用于若存在恶意样本,则对恶意样本的危害等级和传播方式进行判定;
方案下发模块,用于根据危害等级和传播方式,通过既定算法从处置方案库中选择响应的方法,并将响应方法传送给网络侧和终端侧设备。
6.如权利要求5所述的***,其特征在于,所恶意判定模块具体用于:若存在恶意样本,则进一步判断恶意样本是否为已知;若为已知,则通过恶意样本数据库匹配获取所述恶意样本的危害等级和传播方式;否则,对所述恶意样本进行动静态快速分析,得到其危害等级和传播方式。
7.如权利要求5或6所述的***,其特征在于,将响应方法传送给网络侧和终端侧设备后,若恶意样本仍然继续传播,则重新调用方案下发模块,从所述处置方案库中重新选择响应方法,并再次传送给网络侧和终端侧设备;若经过规定时间后,恶意样本的传播依然没有被控制,则向管理员发出报警信号。
8.如权利要求7所述的***,其特征在于,将每次处置的过程信息及采取的响应方法动态加入处置方案库,且对处置方案库中的数据进行机器学习。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-4任一所述的自动处置方法。
10.一种计算机可读存储介质,用于存储计算机程序,其特征在于,所述计算机程序可被处理器执行如权利要求1-4任一所述的自动处置方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711471900.4A CN109472142A (zh) | 2017-12-29 | 2017-12-29 | 一种恶意代码自动处置方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711471900.4A CN109472142A (zh) | 2017-12-29 | 2017-12-29 | 一种恶意代码自动处置方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109472142A true CN109472142A (zh) | 2019-03-15 |
Family
ID=65657999
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711471900.4A Withdrawn CN109472142A (zh) | 2017-12-29 | 2017-12-29 | 一种恶意代码自动处置方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109472142A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594783A (zh) * | 2011-01-14 | 2012-07-18 | 中国科学院软件研究所 | 一种网络安全应急响应方法 |
| CN103294951A (zh) * | 2012-11-29 | 2013-09-11 | 北京安天电子设备有限公司 | 一种基于文档型漏洞的恶意代码样本提取方法及*** |
| US8959643B1 (en) * | 2013-08-09 | 2015-02-17 | Narus, Inc. | Detecting malware infestations in large-scale networks |
| CN105323247A (zh) * | 2015-10-13 | 2016-02-10 | 华中科技大学 | 一种用于移动终端的入侵检测*** |
| CN105718798A (zh) * | 2015-08-18 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 基于私有网络信息放大的恶意代码自动分析方法及*** |
-
2017
- 2017-12-29 CN CN201711471900.4A patent/CN109472142A/zh not_active Withdrawn
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594783A (zh) * | 2011-01-14 | 2012-07-18 | 中国科学院软件研究所 | 一种网络安全应急响应方法 |
| CN103294951A (zh) * | 2012-11-29 | 2013-09-11 | 北京安天电子设备有限公司 | 一种基于文档型漏洞的恶意代码样本提取方法及*** |
| US8959643B1 (en) * | 2013-08-09 | 2015-02-17 | Narus, Inc. | Detecting malware infestations in large-scale networks |
| CN105718798A (zh) * | 2015-08-18 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 基于私有网络信息放大的恶意代码自动分析方法及*** |
| CN105323247A (zh) * | 2015-10-13 | 2016-02-10 | 华中科技大学 | 一种用于移动终端的入侵检测*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105872654A (zh) | 音频播放***中的蓝牙连接切换方法、装置及*** | |
| KR20110131094A (ko) | 정보 네트워크 내의 커뮤니티를 식별하는 방법 및 시스템 | |
| CN108009497A (zh) | 图像识别监控方法、***、计算设备以及可读存储介质 | |
| CN107347205A (zh) | 一种网络切片选择方法、装置及*** | |
| CN105354042A (zh) | 应用安装的处理方法及装置 | |
| CN104809046B (zh) | 一种应用程序联网控制方法和应用程序联网控制装置 | |
| CN107404728A (zh) | 一种网络问题定位的方法及装置 | |
| CN105790801A (zh) | 一种电子设备与蓝牙设备的配对测试方法及测试装置 | |
| CN102111400A (zh) | 一种木马检测方法、装置及*** | |
| CN104980254A (zh) | 因特网信息处理*** | |
| CN109472142A (zh) | 一种恶意代码自动处置方法及*** | |
| CN110351273B (zh) | 一种网络追踪长链条攻击的方法、装置和*** | |
| CN103580951B (zh) | 多个信息***的输出比较方法、测试迁移辅助方法及*** | |
| CN107517474B (zh) | 一种网络分析优化方法及装置 | |
| CN103618643B (zh) | 一种消息队列动态报警监控方法及装置 | |
| CN107888693A (zh) | Nb‑iot设备调试方法及服务器 | |
| CN109699041A (zh) | 一种rru通道故障诊断处理方法及rru设备 | |
| CN115045702A (zh) | 基于多模态数据的智能放煤控制方法和*** | |
| JP5959148B2 (ja) | 処理装置及び監視システム | |
| CN108810935A (zh) | 一种流量转发方法及装置 | |
| CN104735097A (zh) | 信息的收集方法和*** | |
| CN106921464A (zh) | 一种信息调整方法和装置 | |
| CN106339797A (zh) | 一种点检数据处理方法及装置 | |
| CN106713016A (zh) | 室内分布***的故障推理方法及装置 | |
| CN110086580A (zh) | 一种基于人工智能的环保监测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20190315 |