本发明专利技术公开了一种恶意程序检测方法和装置,所述方法包括:A.实时监测本地终端网卡接收的数据包;B.根据监测到的数据包的端口信息查找到接收该数据包的本地进程;C.检测所述本地进程是否为恶意程序,在检测出该本地进程是恶意程序时,拦截发往该本地进程的数据包,并输出告警信息。所述装置包括:监测模块,用于实时监测网卡接收的数据包;查找模块,用于根据监测到的数据包的端口查找到对应的本地进程;进程检测模块,用于检测所述本地进程是否为恶意程序,如果是则触发拦截告警模块拦截发往该本地进程的数据包,并输出告警信息。利用本发明专利技术,可以及时检测出在线下载数据的恶意程序,提高数据处理设备的安全防护能力。
【技术实现步骤摘要】
本专利技术涉及数据处理设备安全领域,尤其涉及一种数据处理设备中恶意程序的检测方法和装置。
技术介绍
数据通信网络已经进入了社会的各个角落。文化、经济等各个领域越来越多的依赖于数据处理设备及其通信网络。然而,数据通信网络在给人们带来巨大便利的同时,也带来了不可忽视的问题,数据处理设备如计算机、手机等遭受病毒、木马等恶意程序感染和攻击的事件屡屡发生,给网络和系统带来了巨大的潜在威胁和破坏。同时,也给人类生活带来了很多的不便。因此,数据处理设备的数据安全防护就显得尤其重要。目前通常采用安全防护软件对数据处理设备的数据安全进行防护,所述安全防护软件俗称杀毒软件,是一种可以对病毒、木马等一切已知的对数据处理设备(如计算机、手机等)有恶意危害的程序代码进行清除的软件工具。目前许多恶意程序在系统运行时会偷偷运行,从指定的黑客网站下载盗号木马、病毒程序等,这些病毒、木马分别实现多种功能,例如关闭杀毒软件、窃取网络银行及网络游戏的账号和密码等,使互联网用户面临极大的安全威胁。但是,现有技术中的安全防护软件在查杀恶意程序时需要人为触发检测或定时检测,此时恶意程序已经存储在了数据处理设备中,在触发查杀之前,恶意程序很有可能已经偷偷下载了新的木马、病毒等恶意数据,对本地数据处理设备构成了严重的威胁,因此现有技术的这种检测方式的延迟性较长,不能及时查杀所述在线下载数据的恶意程序,导致数据处理设备的安全防护能力较低。
技术实现思路
有鉴于此,本专利技术的主要目的在于提供一种恶意程序检测方法和装置,可以及时检测出在线下载数据的恶意程序,提高数据处理设备的安全防护能力。本专利技术的技术方案是这样实现的一种恶意程序检测方法,包括A、实时监测本地终端网卡接收的数据包;B、根据监测到的数据包的端口信息查找到接收该数据包的本地进程;C、检测所述本地进程是否为恶意程序,在检测出该本地进程是恶意程序时,拦截发往该本地进程的数据包,并输出告警信息。一种恶意程序检测装置,包括监测模块,用于实时监测网卡接收的数据包;查找模块,用于根据监测到的数据包的端口信息查找到接收该数据包的本地进程;进程检测模块,用于检测所述本地进程是否为恶意程序,在检测出所述本地进程是恶意程序时,触发所述拦截告警模块拦截发往该本地进程的数据包;拦截告警模块,用于拦截发往该本地进程的数据包,并输出告警信息。与现有技术相比,本专利技术通过实时监测网卡接收的数据包来确定对应的程序进程,并检测该进程是否为恶意程序,从而可以及时检测出在线下载数据的恶意程序,提高数据处理设备的安全防护能力。附图说明图1为本专利技术所述恶意程序检测方法的一种实施方式的流程图;图2为本专利技术所述方法的又一种实施方式的流程图;图3为图2所示实施例且利用云检测技术的一种架构示意图;图4为本专利技术所述恶意程序检测装置的一种实施例的组成示意图;图5为利用云检测技术的恶意程序检测装置的一种组成示意图;图6为本专利技术所述恶意程序检测装置的另一种实施例的组成示意图;图7为包括文件检测模块且利用云检测技术的恶意程序检测装置的一种组成示意图。具体实施例方式下面结合附图及具体实施例对本专利技术再作进一步详细的说明。本专利技术所述的方法可以应用在任何数据处理设备中,例如计算机、手机等。图1为本专利技术所述恶意程序检测方法的一种实施方式的流程图,参见图1,该流程包括步骤101、实时监测本地终端网卡接收的数据包。本步骤101中,可以利用现有的流量监控技术在驱动层监测本地终端网卡的数据包,所述数据包中包括通信协议栈中各层通信协议的标记信息,可以通过这些标记信息查找到数据包的接收进程。步骤102、根据监测到的数据包的端口信息查找到接收该数据包的本地进程。本步骤102中,可以对所述监测到的数据包中包括的传输层的标记信息进行分析,查找到传输层头部的端口信息,该端口信息用于指示接收当前数据包的本地进程,所述进程是指是在数据处理设备中的一个正在执行的程序。步骤103、检测所述本地进程是否为恶意程序,如果是,则拦截发往该本地进程的数据包,并输出告警信息;否则放行发往该本地进程的数据包。所述拦截和放行的具体实现方式是记录该本地进程的端口信息并对应标记是否为恶意程序,在后续监测到网卡接收的数据包后,查询该数据包的端口信息是否被记录,如果被记录则再查看对应的标记,如果是恶意程序标记则拦截该数据包,具体的拦截方法可以利用现有的流量监控技术实现;如果是非恶意程序标记则放行该数据包;如果该数据包的端口信息没有被记录,则返回步骤102,对该数据包执行步骤102和103,以判断接收该数据包的本地进程是否为恶意程序。所述告警信息用于提示用户该本地进程是恶意程序,并引导用户进行进一步的操作,例如可以提示用户清除该本地进程,在收到用户的清除指令后,将该本地进程清除。本步骤中103,所述检测本地进程是否为恶意程序的具体方法可以有两种第一种是可以在本地终端设置恶意程序特征库,确定所述本地进程的特征信息,检测所述特征信息是否与所述恶意程序特征库中的特征信息匹配,如果是则判定该本地进程为恶意程序,否则判定该本地进程不是恶意程序。第二种是利用云检测技术,所述云检测技术就是一种对恶意程序或文件的判别从终端转移到后台(即服务器端)进行判别的一种技术,在云检测后台系统中可以设置庞大的恶意程序特征库,还可以设置强大的检测逻辑,可以在线实时判别一个文件是否存在恶意。通过云检测技术,将原有依靠不断升级特征库,在终端进行的恶意程序查杀行为,放到后台服务器端进行,从而减少对终端设备的内存占用,同时后台检测功能更强大,检测结果更实时。本专利技术在利用云检测技术检测本地进程是否为恶意程序时,本地终端先确定所述本地进程的特征信息,并将该特征信息发送到云检测后台系统;所述云检测后台系统检测该特征信息是否与所述恶意程序特征库中的特征信息匹配,如果是则判定所述本地进程为恶意程序,否则判定该本地进程不是恶意程序,并将检测结果返回给本地终端;本地终端根据返回的所述检测结果判断所述本地进程是否为恶意程序。所述本地进程的特征信息是该本地进程的摘要信息,可以利用消息摘要算法计算出所述本地进程的摘要信息;所述恶意程序特征库中的特征信息为利用同样的消息摘要算法计算出的恶意程序的摘要信息。本专利技术实施例中所述消息摘要算法为消息摘要算法第五版(即MD5算法),当然在其他实施例中也可以用其他版本的消息摘要算法。图2为本专利技术所述方法的又一种实施方式的流程图。参见图2,该实施例包括上述步骤101至步骤103,但是在上述步骤103中如果检测出所述本地进程不是恶意程序,则进一步包括以下步骤104至105 步骤104、监控所述本地进程是否有创建或修改文件的操作,如果有则执行步骤105,否则继续监控。步骤105、检测所创建或修改的文件是否为恶意程序,如果是,则发出相应的告警信息,并可以输出针对所创建或修改的文件的清除提示,或者针对所修改文件的修复提示,在接收到用户指令后进行清除或修复处理;否则,允许所述创建和修改文件的操作。在所述步骤中105中,所述检测所创建或修改的文件是否为恶意程序的具体方法也可以有两种第一种是在本地终端设置恶意程序特征库,确定所述本地进程所创建或修改的文件的特征信息,检测所述文件特征信息是否与所述恶意程序特征库中的特征信息匹配,如果是则判定所述文件本文档来自技高网...
【技术保护点】
一种恶意程序检测方法,其特征在于,包括:A、实时监测本地终端网卡接收的数据包;B、根据监测到的数据包的端口信息查找到接收该数据包的本地进程;C、检测所述本地进程是否为恶意程序,在检测出该本地进程是恶意程序时,拦截发往该本地进程的数据包,并输出告警信息。
【技术特征摘要】
1.一种恶意程序检测方法,其特征在于,包括 A、实时监测本地终端网卡接收的数据包; B、根据监测到的数据包的端口信息查找到接收该数据包的本地进程; C、检测所述本地进程是否为恶意程序,在检测出该本地进程是恶意程序时,拦截发往该本地进程的数据包,并输出告警信息。2.根据权利要求1所述的方法,其特征在于,所述检测本地进程是否为恶意程序的具体方法为 在本地终端设置恶意程序特征库,确定所述本地进程的特征信息,检测所述特征信息是否与所述恶意程序特征库中的特征信息匹配,如果是则判定该本地进程为恶意程序,否则判定该本地进程不是恶意程序; 或者,在云检测后台系统设置恶意程序特征库,本地终端确定所述本地进程的特征信息,并将该特征信息发送到云检测后台系统;所述云检测后台系统检测该特征信息是否与所述恶意程序特征库中的特征信息匹配,如果是则判定所述本地进程为恶意程序,否则判定该本地进程不是恶意程序,并将检测结果返回给本地终端;本地终端根据返回的所述检测结果判断所述本地进程是否为恶意程序。3.根据权利要求2所述的方法,其特征在于,所述确定本地进程的特征信息具体为利用消息摘要算法计算出所述本地进程的摘要信息,将该摘要信息作为所述特征信息;所述恶意程序特征库中的特征信息为利用同样的消息摘要算法计算出的恶意程序的摘要信息。4.根据权利要求1所述的方法,其特征在于,步骤C中,在检测出所述本地进程不是恶意程序时,进一步包括 D、监控该本地进程是否有创建或修改文件的操作,如果有则检测所创建或修改的文件是否为恶意程序,在检测出所创建或修改的文件是恶意程序时,发出相应的告警信息。5.根据权利要求4所述的方法,其特征在于,所述检测本地进程所创建或修改的文件是否为恶意程序的具体方法为 在本地终端设置恶意程序特征库,确定所述本地进程所创建或修改的文件的特征信息,检测所述文件特征信息是否与所述恶意程序特征库中的特征信息匹配,如果是则判定所述文件为恶意程序,否则判定所述文件不是恶意程序; 或者,在云检测后台系统设置恶意程序特征库,本地终端确定所述本地进...
【专利技术属性】
技术研发人员:邢玉东,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。