【技术实现步骤摘要】
本专利技术涉及数据处理设备安全领域,尤其涉及一种数据处理设备中恶意程序的检测方法和装置。
技术介绍
数据通信网络已经进入了社会的各个角落。文化、经济等各个领域越来越多的依赖于数据处理设备及其通信网络。然而,数据通信网络在给人们带来巨大便利的同时,也带来了不可忽视的问题,数据处理设备如计算机、手机等遭受病毒、木马等恶意程序感染和攻击的事件屡屡发生,给网络和系统带来了巨大的潜在威胁和破坏。同时,也给人类生活带来了很多的不便。因此,数据处理设备的数据安全防护就显得尤其重要。目前通常采用安全防护软件对数据处理设备的数据安全进行防护,所述安全防护软件俗称杀毒软件,是一种可以对病毒、木马等一切已知的对数据处理设备(如计算机、手机等)有恶意危害的程序代码进行清除的软件工具。目前许多恶意程序在系统运行时会偷偷运行,从指定的黑客网站下载盗号木马、病毒程序等,这些病毒、木马分别实现多种功能,例如关闭杀毒软件、窃取网络银行及网络游戏的账号和密码等,使互联网用户面临极大的安全威胁。但是,现有技术中的安全防护软件在查杀恶意程序时需要人为触发检测或定时检测,此时恶意程序已经存储在了数据处理...
【技术保护点】
一种恶意程序检测方法,其特征在于,包括:A、实时监测本地终端网卡接收的数据包;B、根据监测到的数据包的端口信息查找到接收该数据包的本地进程;C、检测所述本地进程是否为恶意程序,在检测出该本地进程是恶意程序时,拦截发往该本地进程的数据包,并输出告警信息。
【技术特征摘要】
1.一种恶意程序检测方法,其特征在于,包括 A、实时监测本地终端网卡接收的数据包; B、根据监测到的数据包的端口信息查找到接收该数据包的本地进程; C、检测所述本地进程是否为恶意程序,在检测出该本地进程是恶意程序时,拦截发往该本地进程的数据包,并输出告警信息。2.根据权利要求1所述的方法,其特征在于,所述检测本地进程是否为恶意程序的具体方法为 在本地终端设置恶意程序特征库,确定所述本地进程的特征信息,检测所述特征信息是否与所述恶意程序特征库中的特征信息匹配,如果是则判定该本地进程为恶意程序,否则判定该本地进程不是恶意程序; 或者,在云检测后台系统设置恶意程序特征库,本地终端确定所述本地进程的特征信息,并将该特征信息发送到云检测后台系统;所述云检测后台系统检测该特征信息是否与所述恶意程序特征库中的特征信息匹配,如果是则判定所述本地进程为恶意程序,否则判定该本地进程不是恶意程序,并将检测结果返回给本地终端;本地终端根据返回的所述检测结果判断所述本地进程是否为恶意程序。3.根据权利要求2所述的方法,其特征在于,所述确定本地进程的特征信息具体为利用消息摘要算法计算出所述本地进程的摘要信息,将该摘要信息作为所述特征信息;所述恶意程序特征库中的特征信息为利用同样的消息摘要算法计算出的恶意程序的摘要信息。4.根据权利要求1所述的方法,其特征在于,步骤C中,在检测出所述本地进程不是恶意程序时,进一步包括 D、监控该本地进程是否有创建或修改文件的操作,如果有则检测所创建或修改的文件是否为恶意程序,在检测出所创建或修改的文件是恶意程序时,发出相应的告警信息。5.根据权利要求4所述的方法,其特征在于,所述检测本地进程所创建或修改的文件是否为恶意程序的具体方法为 在本地终端设置恶意程序特征库,确定所述本地进程所创建或修改的文件的特征信息,检测所述文件特征信息是否与所述恶意程序特征库中的特征信息匹配,如果是则判定所述文件为恶意程序,否则判定所述文件不是恶意程序; 或者,在云检测后台系统设置恶意程序特征库,本地终端确定所述本地进...
【专利技术属性】
技术研发人员:邢玉东,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。