【技术实现步骤摘要】
本专利技术涉及网络安全,特别是涉及一种免杀场景下防病毒产品的防御方法及系统。
技术介绍
1、随着网络安全事件屡次发生,对于反病毒产品而言,能够成功地应对恶意代码编写者的免杀测试至关重要。这些免杀测试旨在从技术角度与恶意代码编写者进行对抗。然而,由于网络对抗的本质特点(反病毒软件公开,而病毒木马在发布之前通常保密),新型病毒木马作者会针对流行杀毒软件进行免杀测试,现有的安全产品所采取的方法往往难以解决,这导致网络安全事件频繁发生,使网络安全防护者陷入劣势。
2、对于杀毒软件免杀对抗技术,目前存在的方案有:云查免杀,根据上传频率进行ip封锁。
3、对于云端免杀对抗技术而言,采用原理就是记录单位时间内固定ip上传的样本次数,大于阙值将ip加入黑名单,后续对黑名单用户不进行报毒处理。
4、尽管云端ip黑名单方案代表了在免杀对抗中的一项重要进展,但还是需要注意该方案存在两个主要不足之处,缺点一:免杀测试者会在不同时间段执行上传测试。这意味着如果我们的方案只关注特定时间段的活动,它也会在其他时间段失效。缺点二:当免杀测试者使用vpn进行ip切换测试时,就不存在相同ip短期频繁请求,导致策略失败。
5、由此可见,上述现有的免杀测试下的防御方法在使用上,显然仍存在有不便与缺陷,而亟待加以进一步改进。如何能创设一种新的免杀测试下的防御方法,成为当前业界急需改进的目标。
技术实现思路
1、有鉴于此,本公开实施例提供一种免杀场景下防病毒产品的防御方法,至少
2、第一方面,本公开实施例提供了一种免杀场景下防病毒产品的防御方法,所述方法包括以下步骤:
3、对输入文件进行扫描;使用病毒库中的特征码与文件内容进行匹配,将匹配成功的特征码组成特征码列表;
4、检测所述匹配成功的特征码是否为数据库中任一特征码列表的子集;其中,当所述匹配成功的特征码为数据库中任一特征码列表的子集时,代表非首次测试;
5、当所述文件为首次输入,且当前特征码不为数据库中任一特征码列表的子集时,将此特征列表存储到对应数据库中。
6、根据本公开实施例的一种具体实现方式,当恶意文件非首次输入时,包括以下步骤:
7、测试文件输入后,反病毒引擎扫描获取特征码列表;
8、判定所述测试文件为数据库中任一特征码列表的子集时,将本次扫描提取的特征码列表与数据库列表执行或操作去除多余项;其中,所述数据库列表为前一次对该文件扫描并存储到数据库中的特征码列表;
9、检测已存储的反病毒引擎扫描获取特征码列表是否为空;其中,当不为空时当前流程结束;
10、当已存储的反病毒引擎扫描获取特征码列表为空时,将当前测试文件设置为诱饵种子文件;
11、提取所述诱饵种子文件中非重复字符串作为威胁特征,并添加到临时特征数据库;
12、当文件再次输入测试时,检测诱饵特征是否存在,存在即判定免杀测试行为。
13、根据本公开实施例的一种具体实现方式,所述检测当前特征码是否为数据库中任一特征码列表的子集,包括:
14、判断所述文件是否首次传入;其中,当所述文件首次传入时,反病毒引擎对所述文件扫描后生成大量的特征码,并将所述特征码组成特征列表进行存储;以及,
15、当所述文件非首次传入,并且没有清空特征列表时,文件由反病毒引擎扫描后,生成新的特征码;检查所述新的特征码是否在原始特征列表中存在;其中,当存在时,将原始特征列表中对应的特征码项删除,直到原始特征列表中的最后一个特征码被删除;
16、当所述文件非首次传入,并且清空特征列表时,将当前传入的文件视为潜在威胁的诱饵片段。
17、根据本公开实施例的一种具体实现方式,所述方法还包括以下步骤:
18、当传入文件非诱饵标记文件时,获取特殊字符串作为诱饵特征,将所述诱饵特征添加到特征列表数据库中;
19、切割文件,将添加到特征列表数据库的特征查询到并修改,作为诱饵文件;
20、当传入文件为诱饵标记文件时,表示正在进行免杀测试。
21、根据本公开实施例的一种具体实现方式,每次文件上传后,查看特征列表是否被清空;当特征列表被清空时,表示正在进行免杀测试。
22、第二方面,本公开实施例提供了一种免杀场景下防病毒产品的防御系统,所述系统包括:
23、扫描模块,被配置用于对输入文件进行扫描;使用病毒库中的特征码与文件内容进行匹配,将匹配成功的特征码组成特征码列表;
24、识别模块,被配置用于检测所述匹配成功的特征码是否为数据库中任一特征码列表的子集;其中,当所述匹配成功的特征码为数据库中任一特征码列表的子集时,代表非首次测试;以及,
25、当所述文件为首次输入,且当前特征码不为数据库中任一特征码列表的子集时,将此特征列表存储到对应数据库中。
26、根据本公开实施例的一种具体实现方式,所述系统还包括:
27、操作模块,被配置用于测试文件输入后,反病毒引擎扫描获取特征码列表;
28、判定所述测试文件为数据库中任一特征码列表的子集时,将本次扫描提取的特征码列表与数据库列表执行或操作去除多余项;其中,所述数据库列表为前一次对该文件扫描并存储到数据库中的特征码列表;
29、检测已存储的反病毒引擎扫描获取特征码列表是否为空;其中,当不为空时当前流程结束;
30、当已存储的反病毒引擎扫描获取特征码列表为空时,将当前测试文件设置为诱饵种子文件;
31、提取所述诱饵种子文件中非重复字符串作为威胁特征,并添加到临时特征数据库;
32、当文件再次输入测试时,检测诱饵特征是否存在,存在即判定免杀测试行为。
33、第三方面,本公开实施例还提供了一种电子设备,该电子设备包括:
34、至少一个处理器;以及,
35、与所述至少一个处理器通信连接的存储器;其中,
36、所述存储器存储有能够被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行时,使所述至少一个处理器前述第一方面或第一方面的任一实现方式中的任一项所述的免杀场景下防病毒产品的防御方法。
37、第四方面,本公开实施例还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令当由至少一个处理器执行时使所述至少一个处理器执行前述第一方面或第一方面的任一实现方式中的免杀场景下防病毒产品的防御方法。
38、第五方面,本公开实施例还提供了一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使该计算机执行前述第一方面或第一方面的任一实现方式中的免杀场景下防病毒产品的防御方法。
39、本公开实施例中的免杀场景下本文档来自技高网...
【技术保护点】
1.一种免杀场景下防病毒产品的防御方法,其特征在于,所述方法包括以下步骤:
2.根据权利要求1所述的免杀场景下防病毒产品的防御方法,其特征在于,当恶意文件非首次输入时,包括以下步骤:
3.根据权利要求1所述的免杀场景下防病毒产品的防御方法,其特征在于,所述检测当前特征码是否为数据库中任一特征码列表的子集,包括:
4.根据权利要求3所述的免杀场景下防病毒产品的防御方法,其特征在于,所述方法还包括以下步骤:
5.根据权利要求1至4中任意一项所述的免杀场景下防病毒产品的防御方法,其特征在于,每次文件上传后,查看特征列表是否被清空;当特征列表被清空时,表示正在进行免杀测试。
6.一种免杀场景下防病毒产品的防御系统,其特征在于,所述系统包括:
7.根据权利要求6所述的免杀场景下防病毒产品的防御系统,其特征在于,所述系统还包括:
8.一种电子设备,其特征在于,该电子设备包括:
9.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令当由至少一个处理器
...【技术特征摘要】
1.一种免杀场景下防病毒产品的防御方法,其特征在于,所述方法包括以下步骤:
2.根据权利要求1所述的免杀场景下防病毒产品的防御方法,其特征在于,当恶意文件非首次输入时,包括以下步骤:
3.根据权利要求1所述的免杀场景下防病毒产品的防御方法,其特征在于,所述检测当前特征码是否为数据库中任一特征码列表的子集,包括:
4.根据权利要求3所述的免杀场景下防病毒产品的防御方法,其特征在于,所述方法还包括以下步骤:
5.根据权利要求1至4中任意一项所述的免杀场景下防病毒产品的防御方法,其特征在于,每次文...
【专利技术属性】
技术研发人员:郭昌盛,张景如,李华生,王磊,邵佳,姜昱西,
申请(专利权)人:北京江民新科技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。