CN113722705A - 一种恶意程序清除方法及装置 - Google Patents
一种恶意程序清除方法及装置 Download PDFInfo
- Publication number
- CN113722705A CN113722705A CN202111285502.XA CN202111285502A CN113722705A CN 113722705 A CN113722705 A CN 113722705A CN 202111285502 A CN202111285502 A CN 202111285502A CN 113722705 A CN113722705 A CN 113722705A
- Authority
- CN
- China
- Prior art keywords
- malicious program
- sample
- clearing
- instruction
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供一种恶意程序清除方法及装置,涉及网络安全技术领域,该恶意程序清除方法包括:先判断在目标主机上是否检测到恶意程序;如果是,则获取恶意程序的通信特征;再根据预设的恶意程序清除指令库获取与通信特征相匹配的目标清除指令;最后将目标清除指令下发至目标主机,以使目标主机根据目标清除指令对恶意程序进行清除处理,能够实现恶意程序的自动清除,有效避免被再次攻击的风险,从而提升主机的网络安全。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种恶意程序清除方法及装置。
背景技术
随着互联网的不断发展,互联网设备上运行的服务也丰富多样,但同时也隐藏着巨大的网络危险,攻击者通常使用恶意程序来发起网络攻击,以盗取用户隐私、造成用户损失等。现有的恶意程序清除方法,通常是通过封堵恶意程序的通信Domain和IP地址,来阻断被控端和远控端之间的连接,实际上并未清除恶意程序,风险仍然遗留。可见,现有技术无法根除恶意程序,恶意程序还可能通过其他方式与控制端继续通信,存在被再次攻击的风险。
发明内容
本申请实施例的目的在于提供一种恶意程序清除方法及装置,能够实现恶意程序的自动清除,有效避免被再次攻击的风险,从而提升主机的网络安全。
本申请实施例第一方面提供了一种恶意程序清除方法,包括:
判断在目标主机上是否检测到恶意程序;
如果是,则获取所述恶意程序的通信特征;
根据预设的恶意程序清除指令库获取与所述通信特征相匹配的目标清除指令;
将所述目标清除指令下发至所述目标主机,以使所述目标主机根据所述目标清除指令对所述恶意程序进行清除处理。
在上述实现过程中,先判断在目标主机上是否检测到恶意程序;如果是,则获取恶意程序的通信特征;再根据预设的恶意程序清除指令库获取与通信特征相匹配的目标清除指令;最后将目标清除指令下发至目标主机,以使目标主机根据目标清除指令对恶意程序进行清除处理,能够实现恶意程序的自动清除,有效避免被再次攻击的风险,从而提升主机的网络安全。
进一步地,在所述根据预设的恶意程序清除指令库获取与所述通信特征相匹配的目标清除指令之前,所述方法还包括:
获取预先收集的恶意程序样本;
通过预先部署的沙箱运行所述恶意程序样本,得到所述恶意程序样本对应的清除指令和所述恶意程序样本的上线特征;
获取所述恶意程序样本的关联信息;
根据所述清除指令、所述上线特征以及所述关联信息构建恶意程序清除指令库。
进一步地,所述通过预先部署的沙箱运行所述恶意程序样本,得到所述恶意程序样本对应的清除指令和所述恶意程序样本的上线特征,包括:
通过预先部署的沙箱运行所述恶意程序样本,得到所述恶意程序样本在所述沙箱中运行时的具体行为和网络交互数据;
对所述具体行为和网络交互数据进行时序化处理,得到所述恶意程序样本在所述沙箱中运行的行为链;
根据所述行为链确定所述恶意程序样本对应的清除指令以及所述恶意程序样本对应的上线特征。
进一步地,所述根据所述行为链确定所述恶意程序样本对应的清除指令以及所述恶意程序样本对应的上线特征,包括:
根据所述行为链确定所述恶意程序样本在所述沙箱中运行时的清除行为;
根据所述清除行为确定触发清除操作的诱因;
根据所述触发清除操作的诱因确定所述恶意程序样本对应的清除指令以及所述恶意程序样本对应的上线特征。
在上述实现过程中,通过确定恶意程序样本对应的清除指令以及恶意程序样本对应的上线特征,能够实现自动提取远控木马的上线特征和相应的清除指令。
进一步地,在所述根据所述清除指令、所述上线特征以及所述关联信息构建恶意程序清除指令库之后,所述方法还包括:
重新运行所述恶意程序样本;
采用所述恶意程序清除指令库对所述恶意程序样本进行清除处理,并检测所述清除处理的清除验证效果;
判断所述清除验证效果是否达到预设效果阈值;
如果是,则存储所述恶意程序清除指令库,并执行所述的根据预设的恶意程序清除指令库获取与所述通信特征相匹配的目标清除指令。
在上述实现过程中,在得到恶意程序清除指令库之后,还可以重复运行恶意程序样本,验证清除效果,提高清除功能的可靠性。
本申请实施例第二方面提供了一种恶意程序清除装置,所述恶意程序清除装置包括:
判断单元,用于判断在目标主机上是否检测到恶意程序;
第一获取单元,用于在检测到所述恶意程序时,获取所述恶意程序的通信特征;
第二获取单元,用于根据预设的恶意程序清除指令库获取与所述通信特征相匹配的目标清除指令;
下发单元,用于将所述目标清除指令下发至所述目标主机,以使所述目标主机根据所述目标清除指令对所述恶意程序进行清除处理。
在上述实现过程中,判断单元先判断在目标主机上是否检测到恶意程序;第一获取单元在判断出检测到恶意程序时,则获取恶意程序的通信特征;第二获取单元再根据预设的恶意程序清除指令库获取与通信特征相匹配的目标清除指令;最后下发单元将目标清除指令下发至目标主机,以使目标主机根据目标清除指令对恶意程序进行清除处理,能够实现恶意程序的自动清除,有效避免被再次攻击的风险,从而提升主机的网络安全。
进一步地,所述恶意程序清除装置还包括:
第三获取单元,用于在所述根据预设的恶意程序清除指令库获取与所述通信特征相匹配的目标清除指令之前,获取预先收集的恶意程序样本;
运行单元,用于通过预先部署的沙箱运行所述恶意程序样本,得到所述恶意程序样本对应的清除指令和所述恶意程序样本的上线特征;
所述第三获取单元,还用于获取所述恶意程序样本的关联信息;
构建单元,用于根据所述清除指令、所述上线特征以及所述关联信息构建恶意程序清除指令库。
进一步地,所述运行单元包括:
运行子单元,用于通过预先部署的沙箱运行所述恶意程序样本,得到所述恶意程序样本在所述沙箱中运行时的具体行为和网络交互数据;
处理子单元,用于对所述具体行为和网络交互数据进行时序化处理,得到所述恶意程序样本在所述沙箱中运行的行为链;
确定子单元,用于根据所述行为链确定所述恶意程序样本对应的清除指令以及所述恶意程序样本对应的上线特征。
在上述实现过程中,通过确定恶意程序样本对应的清除指令以及恶意程序样本对应的上线特征,能够实现自动提取远控木马的上线特征和相应的清除指令。
本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的恶意程序清除方法。
本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的恶意程序清除方法。
附图说明
为了更清除地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种恶意程序清除方法的流程示意图;
图2为本申请实施例提供的另一种恶意程序清除方法的流程示意图;
图3为本申请实施例提供的一种恶意程序清除装置的结构示意图;
图4为本申请实施例提供的另一种恶意程序清除装置的结构示意图;
图5为本申请实施例提供的一种恶意程序清除***的信息交互流程示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本申请实施例提供了一种恶意程序清除方法的流程示意图。该方法主要应用于针对恶意程序的检测及清除场景中。其中,该恶意程序清除方法包括:
S101、判断在目标主机上是否检测到恶意程序,如果是,执行步骤S102~步骤S104;如果否,执行步骤S101持续判断在目标主机上是否检测到恶意程序。
本申请实施例中,该方法的执行主体可以为恶意程序清除装置。
本申请实施例中,该恶意程序清除装置可以运行于计算机、服务器等计算装置上,对此本实施例中不作任何限定。
本申请实施例中,该恶意程序清除装置还可以运行于智能手机、平板电脑等电子设备上,对此本实施例中不作任何限定。
优选的,该恶意程序清除装置运行于云端服务器上。
本申请实施例中,该恶意程序具体可以为后门、远程访问木马、间谍软件等,对此本申请实施例不作限定。
在步骤S101之后,还包括以下步骤:
S102、获取恶意程序的通信特征。
本申请实施例中,通信特征包括恶意程序上线特征和恶意程序网络连接等,其中,恶意程序网络连接包括但不限于恶意程序的Domain(域名)、IP地址(Internet Protocol,网际互连协议)地址、恶意程序的URL(Uniform Resource Locator,统一资源***)、恶意程序的家族标识等,对此本申请实施例不作限定。其中,URL即为网络地址。
S103、根据预设的恶意程序清除指令库获取与通信特征相匹配的目标清除指令。
本申请实施例中,可以将通信特征中的每个参数依次与预设的恶意程序清除指令库进行匹配比较,以获取目标清除指令。
S104、将目标清除指令下发至目标主机,以使目标主机根据目标清除指令对恶意程序进行清除处理。
本申请实施例中,实现通过流量代理和重放,对不同恶意程序进行自动清除。
本申请实施例中,通过该方法能够在实际网络环境中,以恶意程序的通信特征作为匹配输入,在预设的恶意程序清除指令库中进行查询,如命中则返回目标清除指令,然后再将目标清除指令下发至被控的目标主机实现目标主机上恶意程序的自动清除。
本申请实施例中,在获取到恶意程序的通信特征之后,还可以将该通信特征作为实现指标,应用于威胁情报进行收集存储。
可见,实施本实施例所描述的恶意程序清除方法,能够实现恶意程序的自动清除,有效避免被再次攻击的风险,从而提升主机的网络安全。
实施例2
请参看图2,图2为本申请实施例提供的另一种恶意程序清除方法的流程示意图。如图2所示,其中,该恶意程序清除方法包括:
S201、获取预先收集的恶意程序样本。
本申请实施例中,可以预先部署沙箱集群,及时分析最新恶意程序,第一时间捕获最新远控木马的清除指令。
本申请实施例中,可以收集最新样本,并通过杀毒引擎、多引擎、Yara引擎等对最新样本进行文件检测分析,得到恶意程序样本。
本申请实施例中,该恶意程序样本具体可以为木马样本、间谍软件样本等恶意程序样本,对此本申请实施例不作限定。
S202、通过预先部署的沙箱运行恶意程序样本,得到恶意程序样本在沙箱中运行时的具体行为和网络交互数据。
本申请实施例中,部署多平台多版本沙箱环境,***包含Windows7、Windows10、Ubuntu、CentOS等,版本包含32位和64位等,对此本申请实施例不作限定。
本申请实施例中,将恶意程序样本投递到预先部署的沙箱环境(虚拟机为主,实体机为辅)中进行分析,可以得到恶意程序样本在沙箱中运行时的具体行为和网络交互数据。
本申请实施例中,通过预先部署的沙箱分析集群,能够保证最新木马被及时分析,极大降低漏掉的可能。同时,通过部署多平台沙箱,能够保证覆盖多平台木马,提高自动清除的覆盖面。
S203、对具体行为和网络交互数据进行时序化处理,得到恶意程序样本在沙箱中运行的行为链。
本申请实施例中,通过监控恶意程序样本运行,可以捕获恶意程序样本运行时各种行为发生的时间点,并结合恶意程序样本在沙箱中运行的具体行为和网络交互数据,将具体行为和网络交互数据进行时序化处理,可以得到恶意程序样本运行时的行为链,在捕获到恶意程序样本的清除行为之后停止分析。
本申请实施例中,该清除行为包含恶意程序样本的进程销毁、自动删除恶意程序样本相关文件、删除持久化设置等行为,对此本申请实施例不作限定。
在步骤S203之后,还包括以下步骤:
S204、根据行为链确定恶意程序样本在沙箱中运行时的清除行为。
S205、根据清除行为确定触发清除操作的诱因。
本申请实施例中,通过分析恶意程序样本的具体行为和网络交互数据,可以确定触发清除操作的诱因。举例来说,当检测出一恶意样本网络交互后发生的清除行为可能与网络交互有关,则可以确定该恶意程序样本的清除行为之前的网络交互是触发清除操作的诱因。
S206、根据触发清除操作的诱因确定恶意程序样本对应的清除指令以及恶意程序样本对应的上线特征。
本申请实施例中,以上述举例为例,当确定一恶意程序样本的清除行为之前的网络交互是触发清除操作的诱因时,则可以将该恶意程序样本清除操作前控制端的网络响应作为清除指令,将该恶意程序样本与控制端的通信作为上线特征。
本申请实施例中,将控制端(即被攻击者的主机,也就是上述目标主机)的网络响应与被控端(即攻击者主机)的行为联系起来,以实现根据预定义的清除行为捕获控制端的清除指令。
本申请实施例中,实施上述步骤S204~步骤S206,能够根据行为链确定恶意程序样本对应的清除指令以及恶意程序样本对应的上线特征,从而实现自动提取远控木马的上线特征和相应的清除指令。
本申请实施例中,实施上述步骤S202~步骤S206,能够通过预先部署的沙箱运行恶意程序样本,得到恶意程序样本对应的清除指令和恶意程序样本的上线特征。
本申请实施例中,通过预先部署的沙箱运行恶意程序样本,能够自动并持续地收集恶意程序样本的上线特征,从而得到恶意程序样本的上线特征库。
本申请实施例中,还可以根据恶意程序样本对应的清除指令构建恶意程序的清除指令库。
S207、获取恶意程序样本的关联信息。
本申请实施例中,恶意程序样本的关联信息包括但不限于家族标识、恶意程序样本Hash值(恶意程序样本哈希值)以及恶意程序样本的通信Domain(通信域名)、IP地址和URL地址等,对此本申请实施例不作限定。
在步骤S207之后,还包括以下步骤:
S208、根据清除指令、上线特征以及关联信息构建恶意程序清除指令库。
本申请实施例中,将清除指令、上线特征和关联信息等网络资产关联起来,从而得到恶意程序清除指令库。
本申请实施例中,恶意程序清除指令库包括上线特征库和清除指令库,其中,上线特征库与清除指令库之间通过相应的关联信息进行一一对应关联,恶意程序清除指令库中,清除指令、上线特征以及关联信息之间一一对应关联。
作为一种可选的实施方式,在根据清除指令、上线特征以及关联信息构建恶意程序清除指令库之后,还可以包括以下步骤:
重新运行恶意程序样本;
采用恶意程序清除指令库对恶意程序样本进行清除处理,并检测清除处理的清除验证效果;
判断清除验证效果是否达到预设效果阈值;
如果是,则存储恶意程序清除指令库,并执行的根据预设的恶意程序清除指令库获取与通信特征相匹配的目标清除指令。
在上述实施方式中,在得到恶意程序清除指令库之后,还可以在隔离环境中重复运行恶意程序样本,通过流量代理并模拟流量响应分析、匹配并重放包含清除指令的流量,验证清除效果,提高清除功能的可靠性。
在上述实施方式中,重新运行木马,通过流量代理和分析模块代理,验证清除效果。
在上述实施方式中,当清除验证效果达到预设效果阈值,则可以在实际环境中使用。
在步骤S208之后,还包括以下步骤:
S209、判断在目标主机上是否检测到恶意程序,如果是,执行步骤S210~步骤S212;如果否,执行步骤S209持续判断在目标主机上是否检测到恶意程序。
S210、获取恶意程序的通信特征。
S211、根据预设的恶意程序清除指令库获取与通信特征相匹配的目标清除指令。
S212、将目标清除指令下发至目标主机,以使目标主机根据目标清除指令对恶意程序进行清除处理。
本申请实施例中,请一并参阅图5,图5是本申请实施例提供的一种恶意程序清除方法的关键流程示意图。如图5所示,当恶意程序样本为木马程序时,文件检测模块用于获取预先收集的木马程序,然后通过沙箱分析环境获取木马程序在沙箱中运行的行为链,然后通过监控和分析模块、木马程序的行为链以及关联信息构建包括上线特征库和清除指令库的恶意程序清除指令库,最后再通过流量代理、分析、匹配和重放模块验证恶意程序清除指令库的清除验证效果,如果清除验证效果达到预设效果阈值时,则通过木马自动清除模块在实际环境中进行木马程序清除。
可见,实施本实施例所描述的恶意程序清除方法,能够实现恶意程序的自动清除,有效避免被再次攻击的风险,从而提升主机的网络安全。
实施例3
请参看图3,图3为本申请实施例提供的一种恶意程序清除装置的结构示意图。如图3所示,该恶意程序清除装置包括:
判断单元310,用于判断在目标主机上是否检测到恶意程序;
第一获取单元320,用于在检测到恶意程序时,获取恶意程序的通信特征;
第二获取单元330,用于根据预设的恶意程序清除指令库获取与通信特征相匹配的目标清除指令;
下发单元340,用于将目标清除指令下发至目标主机,以使目标主机根据目标清除指令对恶意程序进行清除处理。
本申请实施例中,对于恶意程序清除装置的解释说明可以参照实施例1或实施例2中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的恶意程序清除装置,能够实现恶意程序的自动清除,有效避免被再次攻击的风险,从而提升主机的网络安全。
实施例4
请一并参阅图4,图4是本申请实施例提供的另一种恶意程序清除装置的结构示意图。其中,图4所示的恶意程序清除装置是由图3所示的恶意程序清除装置进行优化得到的。如图4所示,恶意程序清除装置还包括:
第三获取单元350,用于在根据预设的恶意程序清除指令库获取与通信特征相匹配的目标清除指令之前,获取预先收集的恶意程序样本;
运行单元360,用于通过预先部署的沙箱运行恶意程序样本,得到恶意程序样本对应的清除指令和恶意程序样本的上线特征;
第三获取单元350,还用于获取恶意程序样本的关联信息;
构建单元370,用于根据清除指令、上线特征以及关联信息构建恶意程序清除指令库。
作为一种可选的实施方式,运行单元360包括:
运行子单元361,用于通过预先部署的沙箱运行恶意程序样本,得到恶意程序样本在沙箱中运行时的具体行为和网络交互数据;
处理子单元362,用于对具体行为和网络交互数据进行时序化处理,得到恶意程序样本在沙箱中运行的行为链;
确定子单元363,用于根据行为链确定恶意程序样本对应的清除指令以及恶意程序样本对应的上线特征。
作为一种可选的实施方式,确定子单元363包括:
第一模块,用于根据行为链确定恶意程序样本在沙箱中运行时的清除行为;
第二模块,用于根据清除行为确定触发清除操作的诱因;
第三模块,用于根据触发清除操作的诱因确定恶意程序样本对应的清除指令以及恶意程序样本对应的上线特征。
作为一种可选的实施方式,运行单元360,还用于在根据清除指令、上线特征以及关联信息构建恶意程序清除指令库之后,重新运行恶意程序样本;
恶意程序清除装置还包括:
处理单元380,用于采用恶意程序清除指令库对恶意程序样本进行清除处理,并检测清除处理的清除验证效果;
判断单元310,还用于判断清除验证效果是否达到预设效果阈值;
存储单元390,用于在判断单元310判断出达到预设效果阈值时,则存储恶意程序清除指令库,并触发第二获取单元330根据预设的恶意程序清除指令库获取与通信特征相匹配的目标清除指令。
本申请实施例中,对于恶意程序清除装置的解释说明可以参照实施例1或实施例2中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的恶意程序清除装置,能够实现恶意程序的自动清除,有效避免被再次攻击的风险,从而提升主机的网络安全。
本申请实施例提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例1或实施例2中任一项恶意程序清除方法。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例1或实施例2中任一项恶意程序清除方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种恶意程序清除方法,其特征在于,包括:
判断在目标主机上是否检测到恶意程序;
如果是,则获取所述恶意程序的通信特征;
根据预设的恶意程序清除指令库获取与所述通信特征相匹配的目标清除指令;
将所述目标清除指令下发至所述目标主机,以使所述目标主机根据所述目标清除指令对所述恶意程序进行清除处理。
2.根据权利要求1所述的恶意程序清除方法,其特征在于,在所述根据预设的恶意程序清除指令库获取与所述通信特征相匹配的目标清除指令之前,所述方法还包括:
获取预先收集的恶意程序样本;
通过预先部署的沙箱运行所述恶意程序样本,得到所述恶意程序样本对应的清除指令和所述恶意程序样本的上线特征;
获取所述恶意程序样本的关联信息;
根据所述清除指令、所述上线特征以及所述关联信息构建恶意程序清除指令库。
3.根据权利要求2所述的恶意程序清除方法,其特征在于,所述通过预先部署的沙箱运行所述恶意程序样本,得到所述恶意程序样本对应的清除指令和所述恶意程序样本的上线特征,包括:
通过预先部署的沙箱运行所述恶意程序样本,得到所述恶意程序样本在所述沙箱中运行时的具体行为和网络交互数据;
对所述具体行为和网络交互数据进行时序化处理,得到所述恶意程序样本在所述沙箱中运行的行为链;
根据所述行为链确定所述恶意程序样本对应的清除指令以及所述恶意程序样本对应的上线特征。
4.根据权利要求3所述的恶意程序清除方法,其特征在于,所述根据所述行为链确定所述恶意程序样本对应的清除指令以及所述恶意程序样本对应的上线特征,包括:
根据所述行为链确定所述恶意程序样本在所述沙箱中运行时的清除行为;
根据所述清除行为确定触发清除操作的诱因;
根据所述触发清除操作的诱因确定所述恶意程序样本对应的清除指令以及所述恶意程序样本对应的上线特征。
5.根据权利要求2所述的恶意程序清除方法,其特征在于,在所述根据所述清除指令、所述上线特征以及所述关联信息构建恶意程序清除指令库之后,所述方法还包括:
重新运行所述恶意程序样本;
采用所述恶意程序清除指令库对所述恶意程序样本进行清除处理,并检测所述清除处理的清除验证效果;
判断所述清除验证效果是否达到预设效果阈值;
如果是,则存储所述恶意程序清除指令库,并执行所述的根据预设的恶意程序清除指令库获取与所述通信特征相匹配的目标清除指令。
6.一种恶意程序清除装置,其特征在于,所述恶意程序清除装置包括:
判断单元,用于判断在目标主机上是否检测到恶意程序;
第一获取单元,用于在检测到所述恶意程序时,获取所述恶意程序的通信特征;
第二获取单元,用于根据预设的恶意程序清除指令库获取与所述通信特征相匹配的目标清除指令;
下发单元,用于将所述目标清除指令下发至所述目标主机,以使所述目标主机根据所述目标清除指令对所述恶意程序进行清除处理。
7.根据权利要求6所述的恶意程序清除装置,其特征在于,所述恶意程序清除装置还包括:
第三获取单元,用于在所述根据预设的恶意程序清除指令库获取与所述通信特征相匹配的目标清除指令之前,获取预先收集的恶意程序样本;
运行单元,用于通过预先部署的沙箱运行所述恶意程序样本,得到所述恶意程序样本对应的清除指令和所述恶意程序样本的上线特征;
所述第三获取单元,还用于获取所述恶意程序样本的关联信息;
构建单元,用于根据所述清除指令、所述上线特征以及所述关联信息构建恶意程序清除指令库。
8.根据权利要求7所述的恶意程序清除装置,其特征在于,所述运行单元包括:
运行子单元,用于通过预先部署的沙箱运行所述恶意程序样本,得到所述恶意程序样本在所述沙箱中运行时的具体行为和网络交互数据;
处理子单元,用于对所述具体行为和网络交互数据进行时序化处理,得到所述恶意程序样本在所述沙箱中运行的行为链;
确定子单元,用于根据所述行为链确定所述恶意程序样本对应的清除指令以及所述恶意程序样本对应的上线特征。
9.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至5中任一项所述的恶意程序清除方法。
10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至5任一项所述的恶意程序清除方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111285502.XA CN113722705B (zh) | 2021-11-02 | 2021-11-02 | 一种恶意程序清除方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111285502.XA CN113722705B (zh) | 2021-11-02 | 2021-11-02 | 一种恶意程序清除方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113722705A true CN113722705A (zh) | 2021-11-30 |
CN113722705B CN113722705B (zh) | 2022-02-08 |
Family
ID=78686491
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111285502.XA Active CN113722705B (zh) | 2021-11-02 | 2021-11-02 | 一种恶意程序清除方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113722705B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114266047A (zh) * | 2021-12-14 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 一种恶意程序防御方法、装置、电子设备及存储介质 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080147837A1 (en) * | 2005-02-24 | 2008-06-19 | Amit Klein | System and Method for Detecting and Mitigating Dns Spoofing Trojans |
CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与*** |
CN102045220A (zh) * | 2010-12-09 | 2011-05-04 | 国都兴业信息审计***技术(北京)有限公司 | 木马监控审计方法及*** |
CN102201937A (zh) * | 2011-06-13 | 2011-09-28 | 刘胜利 | 基于心跳行为分析的快速木马检测方法 |
CN103679013A (zh) * | 2012-09-03 | 2014-03-26 | 腾讯科技(深圳)有限公司 | ***恶意程序检测方法及装置 |
CN104462969A (zh) * | 2014-12-16 | 2015-03-25 | 北京奇虎科技有限公司 | 查杀恶意应用程序的方法、装置和*** |
CN104573515A (zh) * | 2014-12-19 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置和*** |
CN106302520A (zh) * | 2016-09-14 | 2017-01-04 | 恒安嘉新(北京)科技有限公司 | 一种远控类木马清除方法及装置 |
CN108064384A (zh) * | 2015-06-27 | 2018-05-22 | 迈克菲有限责任公司 | 恶意软件的减轻 |
CN109800569A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 程序鉴别方法及装置 |
CN111625841A (zh) * | 2020-07-29 | 2020-09-04 | 杭州海康威视数字技术股份有限公司 | 一种病毒处理方法、装置及设备 |
CN111967007A (zh) * | 2020-08-24 | 2020-11-20 | 北京微步在线科技有限公司 | 一种恶意程序处理方法及装置 |
-
2021
- 2021-11-02 CN CN202111285502.XA patent/CN113722705B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080147837A1 (en) * | 2005-02-24 | 2008-06-19 | Amit Klein | System and Method for Detecting and Mitigating Dns Spoofing Trojans |
CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与*** |
CN102045220A (zh) * | 2010-12-09 | 2011-05-04 | 国都兴业信息审计***技术(北京)有限公司 | 木马监控审计方法及*** |
CN102201937A (zh) * | 2011-06-13 | 2011-09-28 | 刘胜利 | 基于心跳行为分析的快速木马检测方法 |
CN103679013A (zh) * | 2012-09-03 | 2014-03-26 | 腾讯科技(深圳)有限公司 | ***恶意程序检测方法及装置 |
CN104462969A (zh) * | 2014-12-16 | 2015-03-25 | 北京奇虎科技有限公司 | 查杀恶意应用程序的方法、装置和*** |
CN104573515A (zh) * | 2014-12-19 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置和*** |
CN108064384A (zh) * | 2015-06-27 | 2018-05-22 | 迈克菲有限责任公司 | 恶意软件的减轻 |
CN106302520A (zh) * | 2016-09-14 | 2017-01-04 | 恒安嘉新(北京)科技有限公司 | 一种远控类木马清除方法及装置 |
CN109800569A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 程序鉴别方法及装置 |
CN111625841A (zh) * | 2020-07-29 | 2020-09-04 | 杭州海康威视数字技术股份有限公司 | 一种病毒处理方法、装置及设备 |
CN111967007A (zh) * | 2020-08-24 | 2020-11-20 | 北京微步在线科技有限公司 | 一种恶意程序处理方法及装置 |
Non-Patent Citations (1)
Title |
---|
商海波等: "《一种基于行为分析的反木马策略》", 《计算机工程》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114266047A (zh) * | 2021-12-14 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 一种恶意程序防御方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113722705B (zh) | 2022-02-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
CN112906001B (zh) | 一种Linux勒索病毒防范方法及*** | |
KR100910761B1 (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
Shabtai et al. | F-sign: Automatic, function-based signature generation for malware | |
US9239922B1 (en) | Document exploit detection using baseline comparison | |
WO2017086837A1 (ru) | Способ обнаружения вредоносных программ и элементов | |
CN110837640B (zh) | 恶意文件的查杀方法、查杀设备、存储介质及装置 | |
KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
CN111786966A (zh) | 浏览网页的方法和装置 | |
CN112134897B (zh) | 网络攻击数据的处理方法和装置 | |
CN111221625B (zh) | 文件检测方法、装置及设备 | |
CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
KR102022058B1 (ko) | 웹 페이지 위변조 탐지 방법 및 시스템 | |
CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
CN112131571B (zh) | 威胁溯源方法及相关设备 | |
CN106549980A (zh) | 一种恶意c&c服务器确定方法及装置 | |
CN113496033A (zh) | 访问行为识别方法和装置及存储介质 | |
CN110750788A (zh) | 一种基于高交互蜜罐技术的病毒文件检测方法 | |
CN113992435A (zh) | 一种攻击检测溯源方法、装置及*** | |
CN113722705B (zh) | 一种恶意程序清除方法及装置 | |
CN113726825B (zh) | 一种网络攻击事件反制方法、装置及*** | |
CN113965419B (zh) | 一种通过反连判定攻击成功的方法及装置 | |
CN102592078A (zh) | 一种提取函数调用序列特征识别恶意软件自主传播的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |