System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 基于用户交互的恶意软件检测制造技术_技高网
当前位置: 首页 > 专利查询>瞻博网络公司专利>正文

基于用户交互的恶意软件检测制造技术

技术编号:41385454 阅读:2 留言:0更新日期:2024-05-20 19:06
本公开的实施例涉及基于用户交互的恶意软件检测。设备可以接收文件,该文件已经被下载到或者将被下载到用户设备并且将经历恶意软件检测过程。基于文件的一个或多个文件标识属性,设备可以获得标识与文件相关联的用户交互的元数据。元数据可以包括当文件在用户设备上被访问时执行的第一组用户交互或者当文件在一个或多个其它用户设备上被访问时执行的第二组用户交互。设备可以通过执行由元数据标识的用户交互并且执行恶意软件检测过程以确定文件是否是恶意软件来在沙盒环境中测试文件以获得结果。设备可以提供通知以在文件是恶意软件时使用户设备执行动作。

全部详细技术资料下载

【技术实现步骤摘要】

本公开的实施例涉及恶意软件的检测领域,更具体地,涉及基于用户交互的恶意软件检测


技术介绍

1、恶意软件可以指被有意设计为对计算机、服务器、网络等造成损害的任何软件。为了防止、检测和/或移除恶意软件,组织可以通过使设备配备有防火墙软件、恶意软件检测和/或移除软件等来保护设备。


技术实现思路

1、根据一些可能的实施方式,设备可以包括一个或多个存储器以及被通信地耦合至一个或多个存储器的一个或多个处理器,用以接收文件,该文件已经被下载到第一用户设备或者将被下载到第一用户设备,其中文件将经历恶意软件检测过程。一个或多个处理器可以处理文件以确定一个或多个文件标识属性。一个或多个处理器可以基于一个或多个文件标识属性获得标识与文件相关联的用户交互的元数据,其中用户交互包括以下中的至少一个:当文件在第一用户设备上被访问时所执行的第一组用户交互,或者当文件在一个或多个其它用户设备上被访问时所执行的第二组用户交互。一个或多个处理器可以在沙盒环境中测试文件以获得结果,其中一个或多个处理器在测试文件时用以:执行由元数据标识的用户交互,并且执行恶意软件检测过程以确定文件是否是恶意软件。一个或多个处理器可以向第一用户设备提供包括结果的通知,以在文件是恶意软件时使第一用户设备执行一个或多个动作。

2、根据一些可能的实施方式,方法可以包括:由设备接收文件,该文件已经被下载到第一用户设备或者将被下载到第一用户设备。该方法可以包括:由设备处理文件以确定一个或多个文件标识属性。该方法可以包括:由设备并且基于一个或多个文件标识属性获得元数据,该元数据标识包括以下中的至少一个的与文件相关联的用户交互:当文件在第一用户设备上被访问时所执行的第一组用户交互或者当文件在一个或多个其它用户设备上被访问时所执行的第二组用户交互。该方法可以包括:由设备并且在沙盒环境内执行由元数据标识的用户交互。该方法可以包括:由设备并且在沙盒环境内执行恶意软件检测过程以确定文件是否是恶意软件,其中用户交互被执行以减少或消除恶意软件防御机制在执行恶意软件检测过程之前触发良性恶意软件行为的可能性。该方法可以包括:由设备并且向第一用户设备提供通知,该通知指示文件是否是恶意软件,以在文件是恶意软件时使第一用户设备执行一个或多个动作。

3、根据一些可能的实施方式,非瞬态计算机可读介质可以存储指令,该指令包括一个或多个指令,该一个或多个指令在由用户设备的一个或多个处理器执行时使一个或多个处理器接收将在用户设备上被访问的文件。一个或多个指令可以使一个或多个处理器处理文件以确定文件标识符。一个或多个指令可以使一个或多个处理器捕获与一个或多个界面对象的用户交互,该一个或多个界面对象与在文件被访问之后所显示的文件相关联。一个或多个指令可以使一个或多个处理器生成标识与一个或多个界面对象的用户交互的元数据,该一个或多个界面对象与文件相关联。一个或多个指令可以使一个或多个处理器向由安全平台可访问的数据结构提供文件标识符和元数据,以允许安全平台在沙盒环境中测试文件以确定文件是否是恶意软件。一个或多个指令可以使一个或多个处理器从安全平台接收通知,该通知指示文件是否是恶意软件。一个或多个指令可以使一个或多个处理器基于接收到通知并且通知指示文件是恶意软件来执行一个或多个动作以撤销由恶意软件对用户设备产生的修改集合。

本文档来自技高网...

【技术保护点】

1.一种方法,包括:

2.根据权利要求1所述的方法,其中所述用户交互包括以下至少一项:

3.根据权利要求1所述的方法,其中在所述沙盒环境中测试所述文件包括:

4.根据权利要求1所述的方法,其中在所述沙盒环境中测试所述文件包括:

5.根据权利要求1所述的方法,其中提供所述信息包括:

6.根据权利要求1所述的方法,其中所述用户交互被执行以减少或消除恶意软件防御机制在执行恶意软件检测过程之前触发良性恶意软件行为的可能性。

7.根据权利要求1所述的方法,其中在所述文件中的信息的执行触发所述界面对象集合的显示。

8.一种设备,包括:

9.根据权利要求8所述的设备,其中所述用户交互包括以下至少一项:

10.根据权利要求8所述的设备,其中当测试所述文件时,所述一个或多个处理器用于:

11.根据权利要求8所述的设备,其中所述一个或多个处理器还用于:

12.根据权利要求8所述的设备,其中所述一个或多个处理器还用于:

13.根据权利要求8所述的设备,其中所述用户交互被执行以减少或消除恶意软件防御机制在执行恶意软件检测过程之前触发良性恶意软件行为的可能性。

14.根据权利要求8所述的设备,其中所述界面对象集合包括至少一个对话框。

15.一种非瞬态计算机可读介质,存储指令,所述指令包括:

16.根据权利要求15所述的非瞬态计算机可读介质,其中所述用户交互包括以下至少一项:

17.根据权利要求15所述的非瞬态计算机可读介质,其中使所述一个或多个处理器在所述沙盒环境中测试所述文件的所述一个或多个指令使所述一个或多个处理器:

18.根据权利要求15所述的非瞬态计算机可读介质,其中所述元数据标识由先前已经下载或访问与所述文件相同类型的文件的所述用户设备执行的用户交互。

19.根据权利要求15所述的非瞬态计算机可读介质,其中使所述一个或多个处理器提供所述信息的所述一个或多个指令使所述一个或多个处理器:

20.根据权利要求15所述的非瞬态计算机可读介质,其中所述用户交互被执行以减少或消除恶意软件防御机制在执行恶意软件检测过程之前触发良性恶意软件行为的可能性。

...

【技术特征摘要】

1.一种方法,包括:

2.根据权利要求1所述的方法,其中所述用户交互包括以下至少一项:

3.根据权利要求1所述的方法,其中在所述沙盒环境中测试所述文件包括:

4.根据权利要求1所述的方法,其中在所述沙盒环境中测试所述文件包括:

5.根据权利要求1所述的方法,其中提供所述信息包括:

6.根据权利要求1所述的方法,其中所述用户交互被执行以减少或消除恶意软件防御机制在执行恶意软件检测过程之前触发良性恶意软件行为的可能性。

7.根据权利要求1所述的方法,其中在所述文件中的信息的执行触发所述界面对象集合的显示。

8.一种设备,包括:

9.根据权利要求8所述的设备,其中所述用户交互包括以下至少一项:

10.根据权利要求8所述的设备,其中当测试所述文件时,所述一个或多个处理器用于:

11.根据权利要求8所述的设备,其中所述一个或多个处理器还用于:

12.根据权利要求8所述的设备,其中所述一个或多个处理器还用于:

13.根据权利要求8所述的设备,其中...

【专利技术属性】
技术研发人员:K·萨斯亚纳拉亚纳A·W·萨尔达尼亚A·莫汉塔
申请(专利权)人:瞻博网络公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有