[发明专利]一种恶意代码检测的方法、装置及系统有效
| 申请号: | 201710087408.0 | 申请日: | 2017-02-17 |
| 公开(公告)号: | CN106909847B | 公开(公告)日: | 2020-10-16 |
| 发明(设计)人: | 李佳;严寒冰;丁丽;徐原;李志辉;高胜;张腾;狄少嘉;张帅;刘丙双;涂波;王学志;吕利锋 | 申请(专利权)人: | 国家计算机网络与信息安全管理中心 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F21/55;H04L29/06 |
| 代理公司: | 北京中原华和知识产权代理有限责任公司 11019 | 代理人: | 寿宁;张华辉 |
| 地址: | 100029*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明是有关于一种恶意代码检测的方法,包括:NIDS根据规则匹配发现恶意代码等疑似攻击事件,NIDS根据预设规则将相关攻击事件信息下发至终端侧与进程端口号关联,以获取与进程相关的关键信息;收集终端侧的恶意代码事件信息及相关样本文件,并将收集的恶意代码事件信息及相关样本文件发送至NIDS,供NIDS进行恶意代码事件判定;获取经NIDS判定确定后的恶意代码事件和相关处置指令,并将其发送至终端侧受害者主机上的终端探针,供终端探针执行相关处置动作。本发明避免了传统NIDS恶意代码检测过程中,由于缺少主机侧关键信息而导致的误判,同时弥补传统NIDS无法对检测出来的安全威胁进行快速处置的不足。 | ||
| 搜索关键词: | 一种 恶意代码 检测 方法 装置 系统 | ||
【主权项】:
一种恶意代码检测的方法,其特征在于,包括:获取NIDS基于规则匹配生成的包括恶意代码疑似事件的相关攻击事件信息;其中,所述相关攻击事件信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;根据NIDS预设规则将所述相关攻击事件信息下发至终端侧与进程端口号关联,以获取与进程相关的关键信息;其中,所述与进程相关的关键信息包括内存使用、网络连接、文件及注册表操作;收集终端侧的恶意代码事件信息及相关样本文件,并将收集的恶意代码事件信息及相关样本文件发送至NIDS,供NIDS进行恶意代码事件判定;其中,NIDS利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;获取经NIDS判定确定后的恶意代码事件和相关处置指令,并将其发送至终端侧受害者主机上的终端探针,供终端探针执行相关处置动作;其中,所述相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国家计算机网络与信息安全管理中心,未经国家计算机网络与信息安全管理中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201710087408.0/,转载请声明来源钻瓜专利网。
