一种恶意类检测方法、系统、装置、设备及介质制造方法及图纸

本申请公开了一种恶意类检测方法、系统、装置、设备及介质，应用于网络安全技术领域，用以解决现有技术中的恶意类检测方法的通用性和可扩展性较差、检测效果不理想的问题。具体为：程序运行设备上的恶意类检测客户端监测到程序运行设备加载了新类时，获取程序运行设备中各新类的第一属性信息并发送至恶意类检测服务器；恶意类检测服务器基于各新类的第一属性信息，对各新类是否为可疑类进行检测，并将检测出的各可疑类的第二属性信息发送至恶意类检测客户端；恶意类检测客户端基于各可疑类的第二属性信息，对各可疑类的字节码进行转储并发送至恶意类检测服务器；恶意类检测服务器基于各可疑类的字节码，对各可疑类是否为恶意类进行检测。类进行检测。类进行检测。

【技术实现步骤摘要】
一种恶意类检测方法、系统、装置、设备及介质


[0001]本申请涉及计算机
，尤其涉及一种恶意类检测方法、系统、装置、设备及介质。

技术介绍

[0002]随着国家和各大企业对网络安全的逐渐重视，黑客攻击人员在面对各大安全厂商的防御策略时，传统的有文件落地的攻击技术的生存空间越来越小，无文件落地的攻击技术逐渐成为一种新的攻击趋势。
[0003]目前，针对无文件攻击的检测方法通常不具备实时检测能力，而且不够轻量，通用性和可扩展性较差，检测效果也不是很理想，如何实现一种高可用、轻量级且具有良好的通用性和可扩展性的无文件攻击检测方法是当前网络安全
需要解决的问题。

技术实现思路

[0004]本申请实施例提供了一种恶意类检测方法、系统、装置、设备及介质，用以解决现有技术中的无文件攻击检测方法不够轻量、通用性和可扩展性较差、检测时效和检测效果不理想的问题。
[0005]本申请实施例提供的技术方案如下：一方面，本申请实施例提供了一种恶意类检测方法，应用于恶意类检测服务器，该恶意类检测方法包括：接收程序运行设备上的恶意本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意类检测方法，其特征在于，应用于恶意类检测服务器，所述恶意类检测方法包括：接收程序运行设备上的恶意类检测客户端监测到所述程序运行设备加载了新类时发送的所述程序运行设备中的各新类的第一属性信息；基于所述程序运行设备中的各新类的第一属性信息，调用存储在第一指定区域的可疑类过滤规则，对所述程序运行设备中的各新类是否为可疑类进行检测，得到所述程序运行设备中的各可疑类；将所述程序运行设备中的各可疑类的第二属性信息发送至所述恶意类检测客户端，以触发所述恶意类检测客户端对所述程序运行设备中的各可疑类的字节码进行转储；基于所述恶意类检测客户端发送的所述程序运行设备中的各可疑类的字节码，调用存储在第二指定区域的恶意类检测模型，对所述程序运行设备中的各可疑类是否为恶意类进行检测，得到所述程序运行设备中的各恶意类。2.如权利要求1所述的恶意类检测方法，其特征在于，接收程序运行设备上的恶意类检测客户端监测到所述程序运行设备加载了新类时发送的所述程序运行设备中的各新类的第一属性信息之前，还包括：确定所述程序运行设备满足插针条件时，采用插针技术，将所述恶意类检测客户端的可执行程序压缩包注入至所述程序运行设备。3.如权利要求1所述的恶意类检测方法，其特征在于，基于所述程序运行设备中的各新类的第一属性信息，调用存储在第一指定区域的可疑类过滤规则，对所述程序运行设备中的各新类是否为可疑类进行检测，包括：将所述程序运行设备中的各新类的第一属性信息发送至可疑类检测引擎，以触发所述可疑类检测引擎基于所述程序运行设备中的各新类的第一属性信息，调用存储在所述第一指定区域的可疑类过滤规则，对所述程序运行设备中的各新类是否为可疑类进行检测。4.如权利要求1所述的恶意类检测方法，其特征在于，基于所述恶意类检测客户端发送的所述程序运行设备中的各可疑类的字节码，调用存储在第二指定区域的恶意类检测模型，对所述程序运行设备中的各可疑类是否为恶意类进行检测，包括：将所述程序运行设备中的各可疑类的字节码发送至恶意类检测引擎，以触发所述恶意类检测引擎基于所述程序运行设备中的各可疑类的字节码，调用存储在所述第二指定区域的恶意类检测模型，对所述程序运行设备中的各可疑类是否为恶意类进行检测。5.一种恶意类检测方法，其特征在于，应用于程序运行设备上的恶意类检测客户端，所述恶意类检测方法包括：监测到所述程序运行设备加载了新类时，获取所述程序运行设备中的各新类的第一属性信息并发送至恶意类检测服务器，以触发所述恶意类检测服务器基于所述程序运行设备中的各新类的第一属性信息，对所述程序运行设备中的各新类是否为可疑类进行检测；接收到所述恶意类检测服务器检测出所述程序运行设备中的各可疑类时发送的所述程序运行设备中的各可疑类的第二属性信息时，对所述程序运行设备中的各可疑类的字节码进行转储并发送至所述恶意类检测服务器，以触发所述恶意类检测服务器基于所述程序运行设备中的各可疑类的字节码，对所述程序运行设备中的各可疑类是否为恶意类进行检测。
6.如权利要求5所述的恶意类检测方法，其特征在于，监测到所述程序运行设备加载了新类时，获取所述程序运行设备中的各新类的第一属性信息，包括：利用钩子加载函数监测到所述程序运行设备加载了新类时，将所述程序运行设备的标准类文件与当前类文件进行匹配，得到所述程序运行设备中的各新类；利用第一回调函数获取所述程序运行设备中各新类的第一属性信息。7.如权利要求5或6所述的恶意类检测方法，其特征在于，对所述程序运行设备中的各可疑类的字节码进行转储，包括：利用第二回调函数获取所述程序运行设备中的各可疑...

【专利技术属性】
技术研发人员：张福，吴俊，
申请(专利权)人：北京升鑫网络科技有限公司，
类型：发明
国别省市：