【技术实现步骤摘要】
一种恶意PE程序的阻断方法、检测方法及装置
[0001]本申请涉及网络安全
,具体而言,涉及一种恶意PE程序的阻断方法、检测方法及装置。
技术介绍
[0002]现有方法是通过判断文件拓展名是否一致来确定网络报文是否存在威胁,该方法仅对比请求文件拓展名和真实文件拓展名,准确性难以保证。
[0003]对于MD5匹配的方法,随着公开的恶意工具的增加,黑客获取、重新生成工具愈发容易,传统的MD5匹配方式无法检测变种、APT等未知恶意程序,更无法进行阻断。AI引擎、YARA规则、沙箱等检测恶意程序的方式需要先还原出文件,无法进行实时阻断,不适用于串接部署场景。
技术实现思路
[0004]本申请实施例的目的在于提供一种恶意PE程序的阻断方法、检测方法及装置,通过异步检测的方法和预拦截技术,可提升恶意程序的阻断率,解决现有方法阻断效率低以及使用受限的问题。
[0005]本申请实施例提供了一种恶意PE程序的阻断方法,应用于报文处理单元,所述方法包括:
[0006]对当前报文进行解析,以识别文件类...
【技术保护点】
【技术特征摘要】
1.一种恶意PE程序的阻断方法,其特征在于,应用于报文处理单元,所述方法包括:对当前报文进行解析,以识别文件类型;若为PE文件,则提取文件头,并通过消息队列发送至检测单元进行检测;根据预设的所述检测单元的响应超时时间和检测完成情况判断是否丢弃报文。2.根据权利要求1所述的恶意PE程序的阻断方法,其特征在于,所述对当前报文进行解析,以识别文件类型,包括:对当前报文进行解码、流重组和应用层解析,以将HTTP、FTP、SAMBA、NFS、邮件协议中的PE文件提取出来。3.根据权利要求1所述的恶意PE程序的阻断方法,其特征在于,所述方法还包括:从共享内存获取检测单元记录的检测结果。4.根据权利要求1所述的恶意PE程序的阻断方法,其特征在于,所述根据预设的所述检测单元的响应超时时间和检测完成情况判断是否丢弃报文,包括:若未到响应超时时间且检测已完成,且检测结果为恶意,则对所述报文进行阻断;若未到响应超时时间且检测未完成,则丢弃当前报文;若到响应超时时间且检测未完成,则对所述当前报文放行,直到检测完成,再根据检测结果进行处置。5.一种恶意PE程序的检测方法,其特征在于,应用于检测单元,所述方法包括:监听消息队列,以获得待检测的PE文件头;对所述PE文件头利用预设的机器学习检测模型进行检测,以获得检测结果;将所述检测结果记录至共享内存,以供报文处理单元获取。6.一种恶意PE程序的阻断装置,其特征在于,所...
【专利技术属性】
技术研发人员:崔路,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。