專利名稱:惡意程序檢測(cè)方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)處理設(shè)備安全領(lǐng)域,尤其涉及一種數(shù)據(jù)處理設(shè)備中惡意程序的檢測(cè)方法和裝置。
背景技術(shù):
數(shù)據(jù)通信網(wǎng)絡(luò)已經(jīng)進(jìn)入了社會(huì)的各個(gè)角落。文化、經(jīng)濟(jì)等各個(gè)領(lǐng)域越來越多的依賴于數(shù)據(jù)處理設(shè)備及其通信網(wǎng)絡(luò)。然而,數(shù)據(jù)通信網(wǎng)絡(luò)在給人們帶來巨大便利的同時(shí),也帶來了不可忽視的問題,數(shù)據(jù)處理設(shè)備如計(jì)算機(jī)、手機(jī)等遭受病毒、木馬等惡意程序感染和攻擊的事件屢屢發(fā)生,給網(wǎng)絡(luò)和系統(tǒng)帶來了巨大的潛在威脅和破壞。同時(shí),也給人類生活帶來了很多的不便。因此,數(shù)據(jù)處理設(shè)備的數(shù)據(jù)安全防護(hù)就顯得尤其重要。目前通常采用安全防護(hù)軟件對(duì)數(shù)據(jù)處理設(shè)備的數(shù)據(jù)安全進(jìn)行防護(hù),所述安全防護(hù)軟件俗稱殺毒軟件,是一種可以對(duì)病毒、木馬等一切已知的對(duì)數(shù)據(jù)處理設(shè)備(如計(jì)算機(jī)、手機(jī)等)有惡意危害的程序代碼進(jìn)行清除的軟件工具。目前許多惡意程序在系統(tǒng)運(yùn)行時(shí)會(huì)偷偷運(yùn)行,從指定的黑客網(wǎng)站下載盜號(hào)木馬、病毒程序等,這些病毒、木馬分別實(shí)現(xiàn)多種功能,例如關(guān)閉殺毒軟件、竊取網(wǎng)絡(luò)銀行及網(wǎng)絡(luò)游戲的賬號(hào)和密碼等,使互聯(lián)網(wǎng)用戶面臨極大的安全威脅。但是,現(xiàn)有技術(shù)中的安全防護(hù)軟件在查殺惡意程序時(shí)需要人為觸發(fā)檢測(cè)或定時(shí)檢測(cè),此時(shí)惡意程序已經(jīng)存儲(chǔ)在了數(shù)據(jù)處理設(shè)備中,在觸發(fā)查殺之前,惡意程序很有可能已經(jīng)偷偷下載了新的木馬、病毒等惡意數(shù)據(jù),對(duì)本地?cái)?shù)據(jù)處理設(shè)備構(gòu)成了嚴(yán)重的威脅,因此現(xiàn)有技術(shù)的這種檢測(cè)方式的延遲性較長(zhǎng),不能及時(shí)查殺所述在線下載數(shù)據(jù)的惡意程序,導(dǎo)致數(shù)據(jù)處理設(shè)備的安全防護(hù)能力較低。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種惡意程序檢測(cè)方法和裝置,可以及時(shí)檢測(cè)出在線下載數(shù)據(jù)的惡意程序,提高數(shù)據(jù)處理設(shè)備的安全防護(hù)能力。本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種惡意程序檢測(cè)方法,包括A、實(shí)時(shí)監(jiān)測(cè)本地終端網(wǎng)卡接收的數(shù)據(jù)包;B、根據(jù)監(jiān)測(cè)到的數(shù)據(jù)包的端口信息查找到接收該數(shù)據(jù)包的本地進(jìn)程;C、檢測(cè)所述本地進(jìn)程是否為惡意程序,在檢測(cè)出該本地進(jìn)程是惡意程序時(shí),攔截發(fā)往該本地進(jìn)程的數(shù)據(jù)包,并輸出告警信息。一種惡意程序檢測(cè)裝置,包括監(jiān)測(cè)模塊,用于實(shí)時(shí)監(jiān)測(cè)網(wǎng)卡接收的數(shù)據(jù)包;查找模塊,用于根據(jù)監(jiān)測(cè)到的數(shù)據(jù)包的端口信息查找到接收該數(shù)據(jù)包的本地進(jìn)程;進(jìn)程檢測(cè)模塊,用于檢測(cè)所述本地進(jìn)程是否為惡意程序,在檢測(cè)出所述本地進(jìn)程是惡意程序時(shí),觸發(fā)所述攔截告警模塊攔截發(fā)往該本地進(jìn)程的數(shù)據(jù)包;攔截告警模塊,用于攔截發(fā)往該本地進(jìn)程的數(shù)據(jù)包,并輸出告警信息。與現(xiàn)有技術(shù)相比,本發(fā)明通過實(shí)時(shí)監(jiān)測(cè)網(wǎng)卡接收的數(shù)據(jù)包來確定對(duì)應(yīng)的程序進(jìn)程,并檢測(cè)該進(jìn)程是否為惡意程序,從而可以及時(shí)檢測(cè)出在線下載數(shù)據(jù)的惡意程序,提高數(shù)據(jù)處理設(shè)備的安全防護(hù)能力。
圖1為本發(fā)明所述惡意程序檢測(cè)方法的一種實(shí)施方式的流程圖;圖2為本發(fā)明所述方法的又一種實(shí)施方式的流程圖;圖3為圖2所示實(shí)施例且利用云檢測(cè)技術(shù)的一種架構(gòu)示意圖;圖4為本發(fā)明所述惡意程序檢測(cè)裝置的一種實(shí)施例的組成示意圖;圖5為利用云檢測(cè)技術(shù)的惡意程序檢測(cè)裝置的一種組成示意圖;圖6為本發(fā)明所述惡意程序檢測(cè)裝置的另一種實(shí)施例的組成示意圖;圖7為包括文件檢測(cè)模塊且利用云檢測(cè)技術(shù)的惡意程序檢測(cè)裝置的一種組成示意圖。
具體實(shí)施例方式下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明再作進(jìn)一步詳細(xì)的說明。本發(fā)明所述的方法可以應(yīng)用在任何數(shù)據(jù)處理設(shè)備中,例如計(jì)算機(jī)、手機(jī)等。圖1為本發(fā)明所述惡意程序檢測(cè)方法的一種實(shí)施方式的流程圖,參見圖1,該流程包括步驟101、實(shí)時(shí)監(jiān)測(cè)本地終端網(wǎng)卡接收的數(shù)據(jù)包。本步驟101中,可以利用現(xiàn)有的流量監(jiān)控技術(shù)在驅(qū)動(dòng)層監(jiān)測(cè)本地終端網(wǎng)卡的數(shù)據(jù)包,所述數(shù)據(jù)包中包括通信協(xié)議棧中各層通信協(xié)議的標(biāo)記信息,可以通過這些標(biāo)記信息查找到數(shù)據(jù)包的接收進(jìn)程。步驟102、根據(jù)監(jiān)測(cè)到的數(shù)據(jù)包的端口信息查找到接收該數(shù)據(jù)包的本地進(jìn)程。本步驟102中,可以對(duì)所述監(jiān)測(cè)到的數(shù)據(jù)包中包括的傳輸層的標(biāo)記信息進(jìn)行分析,查找到傳輸層頭部的端口信息,該端口信息用于指示接收當(dāng)前數(shù)據(jù)包的本地進(jìn)程,所述進(jìn)程是指是在數(shù)據(jù)處理設(shè)備中的一個(gè)正在執(zhí)行的程序。步驟103、檢測(cè)所述本地進(jìn)程是否為惡意程序,如果是,則攔截發(fā)往該本地進(jìn)程的數(shù)據(jù)包,并輸出告警信息;否則放行發(fā)往該本地進(jìn)程的數(shù)據(jù)包。所述攔截和放行的具體實(shí)現(xiàn)方式是記錄該本地進(jìn)程的端口信息并對(duì)應(yīng)標(biāo)記是否為惡意程序,在后續(xù)監(jiān)測(cè)到網(wǎng)卡接收的數(shù)據(jù)包后,查詢?cè)摂?shù)據(jù)包的端口信息是否被記錄,如果被記錄則再查看對(duì)應(yīng)的標(biāo)記,如果是惡意程序標(biāo)記則攔截該數(shù)據(jù)包,具體的攔截方法可以利用現(xiàn)有的流量監(jiān)控技術(shù)實(shí)現(xiàn);如果是非惡意程序標(biāo)記則放行該數(shù)據(jù)包;如果該數(shù)據(jù)包的端口信息沒有被記錄,則返回步驟102,對(duì)該數(shù)據(jù)包執(zhí)行步驟102和103,以判斷接收該數(shù)據(jù)包的本地進(jìn)程是否為惡意程序。所述告警信息用于提示用戶該本地進(jìn)程是惡意程序,并引導(dǎo)用戶進(jìn)行進(jìn)一步的操作,例如可以提示用戶清除該本地進(jìn)程,在收到用戶的清除指令后,將該本地進(jìn)程清除。
本步驟中103,所述檢測(cè)本地進(jìn)程是否為惡意程序的具體方法可以有兩種第一種是可以在本地終端設(shè)置惡意程序特征庫(kù),確定所述本地進(jìn)程的特征信息,檢測(cè)所述特征信息是否與所述惡意程序特征庫(kù)中的特征信息匹配,如果是則判定該本地進(jìn)程為惡意程序,否則判定該本地進(jìn)程不是惡意程序。第二種是利用云檢測(cè)技術(shù),所述云檢測(cè)技術(shù)就是一種對(duì)惡意程序或文件的判別從終端轉(zhuǎn)移到后臺(tái)(即服務(wù)器端)進(jìn)行判別的一種技術(shù),在云檢測(cè)后臺(tái)系統(tǒng)中可以設(shè)置龐大的惡意程序特征庫(kù),還可以設(shè)置強(qiáng)大的檢測(cè)邏輯,可以在線實(shí)時(shí)判別一個(gè)文件是否存在惡意。通過云檢測(cè)技術(shù),將原有依靠不斷升級(jí)特征庫(kù),在終端進(jìn)行的惡意程序查殺行為,放到后臺(tái)服務(wù)器端進(jìn)行,從而減少對(duì)終端設(shè)備的內(nèi)存占用,同時(shí)后臺(tái)檢測(cè)功能更強(qiáng)大,檢測(cè)結(jié)果更實(shí)時(shí)。本發(fā)明在利用云檢測(cè)技術(shù)檢測(cè)本地進(jìn)程是否為惡意程序時(shí),本地終端先確定所述本地進(jìn)程的特征信息,并將該特征信息發(fā)送到云檢測(cè)后臺(tái)系統(tǒng);所述云檢測(cè)后臺(tái)系統(tǒng)檢測(cè)該特征信息是否與所述惡意程序特征庫(kù)中的特征信息匹配,如果是則判定所述本地進(jìn)程為惡意程序,否則判定該本地進(jìn)程不是惡意程序,并將檢測(cè)結(jié)果返回給本地終端;本地終端根據(jù)返回的所述檢測(cè)結(jié)果判斷所述本地進(jìn)程是否為惡意程序。所述本地進(jìn)程的特征信息是該本地進(jìn)程的摘要信息,可以利用消息摘要算法計(jì)算出所述本地進(jìn)程的摘要信息;所述惡意程序特征庫(kù)中的特征信息為利用同樣的消息摘要算法計(jì)算出的惡意程序的摘要信息。本發(fā)明實(shí)施例中所述消息摘要算法為消息摘要算法第五版(即MD5算法),當(dāng)然在其他實(shí)施例中也可以用其他版本的消息摘要算法。圖2為本發(fā)明所述方法的又一種實(shí)施方式的流程圖。參見圖2,該實(shí)施例包括上述步驟101至步驟103,但是在上述步驟103中如果檢測(cè)出所述本地進(jìn)程不是惡意程序,則進(jìn)一步包括以下步驟104至105 步驟104、監(jiān)控所述本地進(jìn)程是否有創(chuàng)建或修改文件的操作,如果有則執(zhí)行步驟105,否則繼續(xù)監(jiān)控。步驟105、檢測(cè)所創(chuàng)建或修改的文件是否為惡意程序,如果是,則發(fā)出相應(yīng)的告警信息,并可以輸出針對(duì)所創(chuàng)建或修改的文件的清除提示,或者針對(duì)所修改文件的修復(fù)提示,在接收到用戶指令后進(jìn)行清除或修復(fù)處理;否則,允許所述創(chuàng)建和修改文件的操作。在所述步驟中105中,所述檢測(cè)所創(chuàng)建或修改的文件是否為惡意程序的具體方法也可以有兩種第一種是在本地終端設(shè)置惡意程序特征庫(kù),確定所述本地進(jìn)程所創(chuàng)建或修改的文件的特征信息,檢測(cè)所述文件特征信息是否與所述惡意程序特征庫(kù)中的特征信息匹配,如果是則判定所述文件為惡意程序,否則判定所述文件不是惡意程序。第二種是利用云檢測(cè)技術(shù),在云檢測(cè)后臺(tái)系統(tǒng)設(shè)置惡意程序特征庫(kù),本地終端確定所述本地進(jìn)程所創(chuàng)建或修改的文件的特征信息,并將該文件特征信息發(fā)送到云檢測(cè)后臺(tái)系統(tǒng);所述云檢測(cè)后臺(tái)系統(tǒng)檢測(cè)該文件特征信息是否與所述惡意程序特征庫(kù)中的文件特征信息匹配,如果是則判定所述文件為惡意程序,否則判定所述文件不是惡意程序,并將檢測(cè)結(jié)果返回給本地終端;本地終端根據(jù)返回的所述檢測(cè)結(jié)果判斷所述本地進(jìn)程創(chuàng)建或修改的文件是否為惡意程序。所述創(chuàng)建或修改的文件的特征信息是該文件的摘要信息,可以利用消息摘要算法計(jì)算出該文件的摘要信息;所述惡意程序特征庫(kù)中的特征信息為利用同樣的消息摘要算法計(jì)算出的惡意程序的摘要信息。本發(fā)明實(shí)施例中所述消息摘要算法為MD5算法,當(dāng)然在其他實(shí)施例中也可以用其他版本的消息摘要算法。圖3為圖2所示實(shí)施例且利用云檢測(cè)技術(shù)的一種架構(gòu)示意圖。參見圖3,利用本發(fā)明,可以利用流量監(jiān)控進(jìn)程實(shí)現(xiàn)對(duì)本地進(jìn)程數(shù)據(jù)包的監(jiān)控,如監(jiān)測(cè)、攔截、限制等操作,并可以根據(jù)監(jiān)控的數(shù)據(jù)包找到正在接收數(shù)據(jù)的進(jìn)程和對(duì)應(yīng)創(chuàng)建或修改的文件,并利用云檢測(cè)技術(shù)檢測(cè)對(duì)應(yīng)的進(jìn)程和文件是否為惡意程序。由于目前絕大部分的惡意程序都來源于網(wǎng)絡(luò),因此利用本發(fā)明可以從源頭(即網(wǎng)絡(luò))監(jiān)控所有與網(wǎng)絡(luò)有通信的進(jìn)程以及來自網(wǎng)絡(luò)的數(shù)據(jù),控制惡意程序進(jìn)入本地終端,在第一時(shí)間發(fā)現(xiàn)惡意程序和文件,從根本上提高了數(shù)據(jù)處理設(shè)備的安全防護(hù)能力。而運(yùn)用云檢測(cè)技術(shù)進(jìn)行惡意程序和文件的檢測(cè),不但可以利用云檢測(cè)后臺(tái)系統(tǒng)的龐大的惡意程序和文件特征庫(kù)來提高檢測(cè)的精確度,而且可以降低對(duì)本地終端內(nèi)存等資源的占用。基于上述惡意程序檢測(cè)方法,本發(fā)明還公開了一種惡意程序檢測(cè)裝置。圖4為本發(fā)明所述惡意程序檢測(cè)裝置的一種實(shí)施例的組成示意圖,參見圖4,該惡意程序檢測(cè)裝置包括監(jiān)測(cè)模塊401,用于實(shí)時(shí)監(jiān)測(cè)網(wǎng)卡接收的數(shù)據(jù)包。查找模塊402,用于根據(jù)監(jiān)測(cè)到的數(shù)據(jù)包的端口信息查找到接收該數(shù)據(jù)包的本地進(jìn)程。進(jìn)程檢測(cè)模塊403,用于檢測(cè)所述本地進(jìn)程是否為惡意程序,在檢測(cè)出所述本地進(jìn)程是惡意程序時(shí),觸發(fā)所述攔截告警模塊404攔截發(fā)往該本地進(jìn)程的數(shù)據(jù)包。攔截告警模塊404,用于攔截發(fā)往該本地進(jìn)程的數(shù)據(jù)包,并輸出告警信息。所述進(jìn)程檢測(cè)模塊既可以在本地存儲(chǔ)惡意程序特征庫(kù)并在本地進(jìn)行檢測(cè),也可以利用云檢測(cè)技術(shù)對(duì)本地進(jìn)程進(jìn)行云檢測(cè)。圖5為利用云檢測(cè)技術(shù)的惡意程序檢測(cè)裝置的一種組成示意圖,參見圖5,該實(shí)施例中所述進(jìn)程檢測(cè)模塊403中包括云檢測(cè)模塊431,用于發(fā)送所述本地進(jìn)程的特征信息給云檢測(cè)后臺(tái)系統(tǒng)500以檢測(cè)該本地進(jìn)程是否為惡意程序,并接收該云檢測(cè)后臺(tái)系統(tǒng)500的檢測(cè)結(jié)果,根據(jù)該檢測(cè)結(jié)果判斷所述本地進(jìn)程是否為惡意程序。圖6為本發(fā)明所述惡意程序檢測(cè)裝置的另一種實(shí)施例的組成示意圖,參見圖6,該實(shí)施例中進(jìn)一步包括文件檢測(cè)模塊405,所述進(jìn)程檢測(cè)模塊403在檢測(cè)出所述本地進(jìn)程不是惡意程序時(shí)觸發(fā)執(zhí)行該文件檢測(cè)模塊405 ;該文件檢測(cè)模塊405用于監(jiān)控所述本地進(jìn)程是否有創(chuàng)建或修改文件的操作,如果有則檢測(cè)所創(chuàng)建或修改的文件是否為惡意程序,在檢測(cè)出所創(chuàng)建或修改的文件是惡意程序時(shí),發(fā)出相應(yīng)的告警信息。所述文件檢測(cè)模塊既可以在本地存儲(chǔ)惡意程序特征庫(kù)并在本地進(jìn)行檢測(cè),也可以利用云檢測(cè)技術(shù)對(duì)本地進(jìn)程進(jìn)行云檢測(cè)。圖7為包括文件檢測(cè)模塊且利用云檢測(cè)技術(shù)的惡意程序檢測(cè)裝置的一種組成示意圖,參見圖7,該實(shí)施例中所述進(jìn)程檢測(cè)模塊403中包括云檢測(cè)模塊431用于與云檢測(cè)后臺(tái)系統(tǒng)500交互以檢測(cè)本地進(jìn)程是否為惡意程序,所述文件檢測(cè)模塊405中包括云檢測(cè)模塊451,該云檢測(cè)模塊451用于發(fā)送所述本地進(jìn)程所創(chuàng)建或修改文件的特征信息給云檢測(cè)后臺(tái)系統(tǒng)500以檢測(cè)所述文件是否為惡意程序,并接收該云檢測(cè)后臺(tái)系統(tǒng)500的檢測(cè)結(jié)果,根據(jù)該檢測(cè)結(jié)果判斷所述本地進(jìn)程所創(chuàng)建或修改的文件是否為惡意程序。以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。
權(quán)利要求
1.一種惡意程序檢測(cè)方法,其特征在于,包括 A、實(shí)時(shí)監(jiān)測(cè)本地終端網(wǎng)卡接收的數(shù)據(jù)包; B、根據(jù)監(jiān)測(cè)到的數(shù)據(jù)包的端口信息查找到接收該數(shù)據(jù)包的本地進(jìn)程; C、檢測(cè)所述本地進(jìn)程是否為惡意程序,在檢測(cè)出該本地進(jìn)程是惡意程序時(shí),攔截發(fā)往該本地進(jìn)程的數(shù)據(jù)包,并輸出告警信息。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述檢測(cè)本地進(jìn)程是否為惡意程序的具體方法為 在本地終端設(shè)置惡意程序特征庫(kù),確定所述本地進(jìn)程的特征信息,檢測(cè)所述特征信息是否與所述惡意程序特征庫(kù)中的特征信息匹配,如果是則判定該本地進(jìn)程為惡意程序,否則判定該本地進(jìn)程不是惡意程序; 或者,在云檢測(cè)后臺(tái)系統(tǒng)設(shè)置惡意程序特征庫(kù),本地終端確定所述本地進(jìn)程的特征信息,并將該特征信息發(fā)送到云檢測(cè)后臺(tái)系統(tǒng);所述云檢測(cè)后臺(tái)系統(tǒng)檢測(cè)該特征信息是否與所述惡意程序特征庫(kù)中的特征信息匹配,如果是則判定所述本地進(jìn)程為惡意程序,否則判定該本地進(jìn)程不是惡意程序,并將檢測(cè)結(jié)果返回給本地終端;本地終端根據(jù)返回的所述檢測(cè)結(jié)果判斷所述本地進(jìn)程是否為惡意程序。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述確定本地進(jìn)程的特征信息具體為利用消息摘要算法計(jì)算出所述本地進(jìn)程的摘要信息,將該摘要信息作為所述特征信息;所述惡意程序特征庫(kù)中的特征信息為利用同樣的消息摘要算法計(jì)算出的惡意程序的摘要信息。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟C中,在檢測(cè)出所述本地進(jìn)程不是惡意程序時(shí),進(jìn)一步包括 D、監(jiān)控該本地進(jìn)程是否有創(chuàng)建或修改文件的操作,如果有則檢測(cè)所創(chuàng)建或修改的文件是否為惡意程序,在檢測(cè)出所創(chuàng)建或修改的文件是惡意程序時(shí),發(fā)出相應(yīng)的告警信息。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述檢測(cè)本地進(jìn)程所創(chuàng)建或修改的文件是否為惡意程序的具體方法為 在本地終端設(shè)置惡意程序特征庫(kù),確定所述本地進(jìn)程所創(chuàng)建或修改的文件的特征信息,檢測(cè)所述文件特征信息是否與所述惡意程序特征庫(kù)中的特征信息匹配,如果是則判定所述文件為惡意程序,否則判定所述文件不是惡意程序; 或者,在云檢測(cè)后臺(tái)系統(tǒng)設(shè)置惡意程序特征庫(kù),本地終端確定所述本地進(jìn)程所創(chuàng)建或修改的文件的特征信息,并將該文件特征信息發(fā)送到云檢測(cè)后臺(tái)系統(tǒng);所述云檢測(cè)后臺(tái)系統(tǒng)檢測(cè)該文件特征信息是否與所述惡意程序特征庫(kù)中的文件特征信息匹配,如果是則判定所述文件為惡意程序,否則判定所述文件不是惡意程序,并將檢測(cè)結(jié)果返回給本地終端;本地終端根據(jù)返回的所述檢測(cè)結(jié)果判斷所述本地進(jìn)程創(chuàng)建或修改的文件是否為惡意程序。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述確定本地進(jìn)程所創(chuàng)建或修改的文件的特征信息具體為利用消息摘要算法計(jì)算出所述文件的摘要信息,將該摘要信息作為所述文件特征信息;所述惡意程序特征庫(kù)中的特征信息為利用同樣的消息摘要算法計(jì)算出的惡意程序的摘要信息。
7.—種惡意程序檢測(cè)裝置,其特征在于,包括 監(jiān)測(cè)模塊,用于實(shí)時(shí)監(jiān)測(cè)網(wǎng)卡接收的數(shù)據(jù)包; 查找模塊,用于根據(jù)監(jiān)測(cè)到的數(shù)據(jù)包的端口信息查找到接收該數(shù)據(jù)包的本地進(jìn)程;進(jìn)程檢測(cè)模塊,用于檢測(cè)所述本地進(jìn)程是否為惡意程序,在檢測(cè)出所述本地進(jìn)程是惡意程序時(shí),觸發(fā)所述攔截告警模塊攔截發(fā)往該本地進(jìn)程的數(shù)據(jù)包; 攔截告警模塊,用于攔截發(fā)往該本地進(jìn)程的數(shù)據(jù)包,并輸出告警信息。
8.根據(jù)權(quán)利要求7所述的裝置,其特征在于,所述進(jìn)程檢測(cè)模塊中包括云檢測(cè)模塊,用于發(fā)送所述本地進(jìn)程的特征信息給云檢測(cè)后臺(tái)系統(tǒng)以檢測(cè)該本地進(jìn)程是否為惡意程序,并接收該云檢測(cè)后臺(tái)系統(tǒng)的檢測(cè)結(jié)果,根據(jù)該檢測(cè)結(jié)果判斷所述本地進(jìn)程是否為惡意程序。
9.根據(jù)權(quán)利要求7所述的裝置,其特征在于,該裝置進(jìn)一步包括文件檢測(cè)模塊,所述進(jìn)程檢測(cè)模塊在檢測(cè)出所述本地進(jìn)程不是惡意程序時(shí)觸發(fā)執(zhí)行該文件檢測(cè)模塊;該文件檢測(cè)模塊用于監(jiān)控所述本地進(jìn)程是否有創(chuàng)建或修改文件的操作,如果有則檢測(cè)所創(chuàng)建或修改的文件是否為惡意程序,在檢測(cè)出所創(chuàng)建或修改的文件是惡意程序時(shí),發(fā)出相應(yīng)的告警信息。
10.根據(jù)權(quán)利要求9所述的裝置,其特征在于,所述文件檢測(cè)模塊中包括云檢測(cè)模塊,用于發(fā)送所述本地進(jìn)程所創(chuàng)建或修改文件的特征信息給云檢測(cè)后臺(tái)系統(tǒng)以檢測(cè)所述文件是否為惡意程序,并接收該云檢測(cè)后臺(tái)系統(tǒng)的檢測(cè)結(jié)果,根據(jù)該檢測(cè)結(jié)果判斷所述本地進(jìn)程所創(chuàng)建或修改的文件是否為惡意程序。
全文摘要
本發(fā)明公開了一種惡意程序檢測(cè)方法和裝置,所述方法包括A.實(shí)時(shí)監(jiān)測(cè)本地終端網(wǎng)卡接收的數(shù)據(jù)包;B.根據(jù)監(jiān)測(cè)到的數(shù)據(jù)包的端口信息查找到接收該數(shù)據(jù)包的本地進(jìn)程;C.檢測(cè)所述本地進(jìn)程是否為惡意程序,在檢測(cè)出該本地進(jìn)程是惡意程序時(shí),攔截發(fā)往該本地進(jìn)程的數(shù)據(jù)包,并輸出告警信息。所述裝置包括監(jiān)測(cè)模塊,用于實(shí)時(shí)監(jiān)測(cè)網(wǎng)卡接收的數(shù)據(jù)包;查找模塊,用于根據(jù)監(jiān)測(cè)到的數(shù)據(jù)包的端口查找到對(duì)應(yīng)的本地進(jìn)程;進(jìn)程檢測(cè)模塊,用于檢測(cè)所述本地進(jìn)程是否為惡意程序,如果是則觸發(fā)攔截告警模塊攔截發(fā)往該本地進(jìn)程的數(shù)據(jù)包,并輸出告警信息。利用本發(fā)明,可以及時(shí)檢測(cè)出在線下載數(shù)據(jù)的惡意程序,提高數(shù)據(jù)處理設(shè)備的安全防護(hù)能力。
文檔編號(hào)G06F21/56GK103034807SQ201110301708
公開日2013年4月10日 申請(qǐng)日期2011年10月8日 優(yōu)先權(quán)日2011年10月8日
發(fā)明者邢玉東 申請(qǐng)人:騰訊科技(深圳)有限公司