-
公开(公告)号:CN102394859A
公开(公告)日:2012-03-28
申请号:CN201110211059.1
申请日:2011-07-27
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种基于线程行为的木马窃取文件检测方法,包括:监视线程的文件操作和网络操作;将监视的线程和线程所属的进程以及截获的文件操作及文件读取数据和网络操作及网络发送数据形成行为序列缓冲队列;根据缓冲队列中的行为序列判断线程读取的文件是否为网络发送的文件;如果线程读取的文件为网络发送的文件,并且检查该线程及线程所属的进程具有隐蔽性,则有木马窃取文件行为。本发明还提供了一种基于线程行为的木马窃取文件检测系统。本方法和系统极大减少对正常文件传输的误报,提高对木马窃取文件的检测。
Search Results
41
records
(took 0.061 seconds)
筛选
AND
AND
过滤
NOT
NOT
Scan to Join
