[发明专利]一种基于反向追踪的高威窃密恶意代码检测方法及系统有效
| 申请号: | 201210497639.6 | 申请日: | 2012-11-29 |
| 公开(公告)号: | CN103294950A | 公开(公告)日: | 2013-09-11 |
| 发明(设计)人: | 刘佳男;布宁;宋兵;李柏松 | 申请(专利权)人: | 北京安天电子设备有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 100080 北京市海淀区*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于反向追踪的高威窃密恶意代码检测方法及系统,首先,在系统中预置诱饵文件和关键词库;监控诱饵文件,若存在进程和/或线程对所述诱饵文件进行非法操作,或者监控系统文件,若存在进程和/或线程对系统文件进行非法操作,则对所述系统文件进行关键词库匹配,若发现所述系统文件中存在关键词库中的敏感词汇,则定位所述进程和/或线程,并定位与所述进程和/或线程相关的可执行文件,并进行白名单匹配,匹配失败的为高威窃密恶意代码文件,并在此基础上进行关联对比,获取其他的相关联的高威窃密恶意代码文件。从而,克服了现有的恶意代码检测方法无法检测高威窃密恶意代码的缺点,并且该方法检测及时,不存在滞后性。 | ||
| 搜索关键词: | 一种 基于 反向 追踪 窃密 恶意代码 检测 方法 系统 | ||
【主权项】:
一种基于反向追踪的高威窃密恶意代码检测方法,其特征在于,包括:步骤1、在系统中预置文件名或者文件内容中包含敏感词汇的诱饵文件,并创建由敏感词汇构成的关键词库;步骤2、监控诱饵文件,若存在进程和/或线程对所述诱饵文件进行非法操作,则执行步骤3;监控系统文件,若存在进程和/或线程对系统文件进行非法操作,则对所述系统文件进行关键词库匹配,若发现所述系统文件的文件名或者文件内容中存在关键词库中的敏感词汇,则执行步骤3;步骤3、定位所述进程和/或线程,并反向定位与所述进程和/或线程相关的可执行文件;步骤4、针对所述可执行文件进行白名单匹配,如果匹配成功则所述可执行文件不是高威窃密恶意代码文件,否则所述可执行文件为高威窃密恶意代码文件,并执行步骤5;步骤5、提取系统中所述进程和/或线程以外的其他进程和/或线程相关的文件,并提取敏感目录文件;所述敏感目录包括:所述可执行文件所在目录、系统用户目录或者system32目录;步骤6、针对步骤5提取的文件进行白名单匹配,如果全部匹配成功则不存在相关联的高威窃密恶意代码文件,否则,执行步骤7;步骤7、将没有匹配成功的文件与步骤4所述的高威窃密恶意代码文件进行关联对比,对比成功的文件为相关联的高威窃密恶意代码文件。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京安天电子设备有限公司,未经北京安天电子设备有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201210497639.6/,转载请声明来源钻瓜专利网。
- 上一篇:可移动商城电子票务系统后台管理员模块
- 下一篇:信息搜索系统及方法
