【技术实现步骤摘要】
一种识别计算机威胁的方法、装置及存储介质
本专利技术实施例涉及计算机安全
,具体涉及一种识别计算机威胁的方法、装置及存储介质。
技术介绍
信息系统已经在全球规模上逐渐融入人们的日常生活和工作中,且信息安全的领域已经同样地在现在的社会中变得愈加重要。这样大规模的融合还为恶意操作者展现了许多利用这些系统的机会。如果恶意软件能感染主计算机,则它能执行任意数量的恶意行动,如从主计算机发出垃圾邮件或恶意邮件、从与主计算机相关联的企业或个人盗取敏感信息、向其它主计算机传播和/或帮助分布式拒绝服务攻击。此外,对于一些类型的恶意软件,恶意操作者能向其它恶意操作者出售或者以其它方式给予访问权,由此扩大对主计算机的利用。因此,有效保护并维持稳定的计算机和系统的能力仍然对于组件制造商、系统设计者和网络运营商提出很大的挑战。目前市面上的安全侦测类系统,其数据量和系统监测的关键点以及终端数量成正比,尤其是在当有全量数据收集的情况下甚至可以达到每个终端500G左右的数据投递量,严重影响到服务端的IO性能,以及处理量。专利技...
【技术保护点】
1.一种识别计算机威胁的方法,其特征在于,包括:/n对过滤驱动程序获取的待识别可移植可执行文件采用密码散列算法进行运算,得到新文件的第一散列值;/n将所述第一散列值与预先存储的黑名单对应的第二散列值进行匹配,若匹配成功,则判定所述第一散列值对应的待识别可移植可执行文件为威胁文件,并对所述威胁文件进行拦截。/n
【技术特征摘要】
1.一种识别计算机威胁的方法,其特征在于,包括:
对过滤驱动程序获取的待识别可移植可执行文件采用密码散列算法进行运算,得到新文件的第一散列值;
将所述第一散列值与预先存储的黑名单对应的第二散列值进行匹配,若匹配成功,则判定所述第一散列值对应的待识别可移植可执行文件为威胁文件,并对所述威胁文件进行拦截。
2.根据权利要求1所述的方法,其特征在于,还包括,若所述第一散列值与黑名单对应的第二散列值匹配不成功,则将所述第一散列值与预先存储的白名单对应的第三散列值进行匹配,若匹配不成功,则对第一散列值对应的所述待识别可移植可执行文件进行拦截;若匹配成功,对所述待识别可移植可执行文件不进行拦截。
3.根据权利要求2所述的方法,其特征在于,还包括,若所述第一散列值与预先存储的白名单对应的第三散列值匹配不成功并对所述待识别可移植可执行文件进行拦截之后,将所述第一散列值与预先存储的已知文件列表对应的第四散列值进行匹配,若匹配成功,则对待识别可移植可执行文件不进行拦截;若匹配不成功进行拦截。
4.根据权利要求3所述的方法,其特征在于,所述已知文件列表的散列值的可通过以下步骤获得:
对windows系统的当前磁盘进行扫描,将所有可移植可执行文件进行遍历,得到已知文件列表;
将所述已知文件列表采用密码散列算法进行运算,得到已知文件列表的第四散列值。
5.根据权利要求1-4任一所述的方法,其特征在于,所述密码散列算法采用MD5消息摘要算法。
6.一种识别计算机威胁的装置,其特征在于,包括第一散列值计算模块,用于对过滤驱动程序拦截的新的可移植...
【专利技术属性】
技术研发人员:马寻,
申请(专利权)人:成都网思科平科技有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。