-
公开(公告)号:CN110417768A
公开(公告)日:2019-11-05
申请号:CN201910671979.8
申请日:2019-07-24
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: H04L29/06
Abstract: 本申请公开一种僵尸网络的跟踪方法及装置,属于网络安全技术领域,包括:预先对僵尸网络的恶意程序进行分析确定恶意程序的内存搜索特征,并将恶意程序部署到虚拟机中使虚拟机成为受控端,其中,内存搜索特征包括恶意程序的字符特征和执行特征,后续,受控端对自身运行的任一程序,若确定该程序的执行代码符合恶意程序的字符特征,则在该程序对应的内存中搜索符合恶意程序的执行特征的目标代码,若搜索到目标代码,则确定该程序为恶意程序,进而对搜索到的目标代码进行挂钩,钩取该程序在解密密文恶意指令后执行的明文恶意指令,解析明文恶意指令确定该程序在用户空间中执行的操作,保存该程序在用户空间中的操作信息,以对恶意程序进行跟踪。
-
公开(公告)号:CN110417768B
公开(公告)日:2021-10-08
申请号:CN201910671979.8
申请日:2019-07-24
Applicant: 绿盟科技集团股份有限公司 , 北京神州绿盟科技有限公司
IPC: H04L29/06
Abstract: 本申请公开一种僵尸网络的跟踪方法及装置,属于网络安全技术领域,包括:预先对僵尸网络的恶意程序进行分析确定恶意程序的内存搜索特征,并将恶意程序部署到虚拟机中使虚拟机成为受控端,其中,内存搜索特征包括恶意程序的字符特征和执行特征,后续,受控端对自身运行的任一程序,若确定该程序的执行代码符合恶意程序的字符特征,则在该程序对应的内存中搜索符合恶意程序的执行特征的目标代码,若搜索到目标代码,则确定该程序为恶意程序,进而对搜索到的目标代码进行挂钩,钩取该程序在解密密文恶意指令后执行的明文恶意指令,解析明文恶意指令确定该程序在用户空间中执行的操作,保存该程序在用户空间中的操作信息,以对恶意程序进行跟踪。
-
公开(公告)号:CN111368304B
公开(公告)日:2022-07-05
申请号:CN202010241438.4
申请日:2020-03-31
Applicant: 绿盟科技集团股份有限公司 , 北京神州绿盟科技有限公司
IPC: G06F21/56 , G06V10/774 , G06V10/764 , G06K9/62
Abstract: 本发明提供一种恶意样本类别检测方法和装置及设备,包括:获取恶意样本并基于虚拟系统程序运行恶意样本得到对应的函数调用图;将函数调用图中任一函数作为调用函数,将调用函数对函数调用图中各函数是否有调用关系用不同的取值表示得到邻接矩阵;根据表示有调用关系的取值的密度分布,通过满足密度分区分割条件时对应的分区,定位属于本地函数的调用函数的分区;并将该分区映射为目标函数调用图,提取目标函数调用图的特征并输入到分类预测模型确定所述恶意样本的类别。本发明可以通过分离恶意样本的本地函数及分类预测模型,解决叠加壳保护后恶意样本特征趋于一致,同源判断的效果不理想及需要对控制流程图的大小进行标准化处理的问题。
-
公开(公告)号:CN111368304A
公开(公告)日:2020-07-03
申请号:CN202010241438.4
申请日:2020-03-31
Applicant: 绿盟科技集团股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本发明提供一种恶意样本类别检测方法和装置及设备,包括:获取恶意样本并基于虚拟系统程序运行恶意样本得到对应的函数调用图;将函数调用图中任一函数作为调用函数,将调用函数对函数调用图中各函数是否有调用关系用不同的取值表示得到邻接矩阵;根据表示有调用关系的取值的密度分布,通过满足密度分区分割条件时对应的分区,定位属于本地函数的调用函数的分区;并将该分区映射为目标函数调用图,提取目标函数调用图的特征并输入到分类预测模型确定所述恶意样本的类别。本发明可以通过分离恶意样本的本地函数及分类预测模型,解决叠加壳保护后恶意样本特征趋于一致,同源判断的效果不理想及需要对控制流程图的大小进行标准化处理的问题。
-
-
-