• 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
    • / 11
    • 下载费用:30 金币  

    重庆时时彩11选5遗漏: 自膨胀病毒拦截方法及系统.pdf

    关 键 词:
    膨胀 病毒 拦截 方法 系统
      专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    摘要
    申请专利号:

    CN201210568316.1

    申请日:

    2012.12.24

    公开号:

    CN103902896A

    公开日:

    2014.07.02

    当前法律状态:

    驳回

    有效性:

    无权

    法律详情: 发明专利申请公布后的驳回IPC(主分类):G06F 21/56申请公布日:20140702|||实质审查的生效IPC(主分类):G06F 21/56申请日:20121224|||公开
    IPC分类号: G06F21/56(2013.01)I 主分类号: G06F21/56
    申请人: 珠海市君天电子科技有限公司; 北京金山安全软件有限公司; 贝壳网际(北京)安全技术有限公司; 北京金山网络科技有限公司
    发明人: 祁伟; 姚辉; 陈睿
    地址: 519015 广东省珠海市吉大景山路莲山巷8号
    优先权:
    专利代理机构: 广州新诺专利商标事务所有限公司 44100 代理人: 张奇洲;华辉
    PDF完整版下载: PDF下载
    法律状态
    申请(专利)号:

    CN201210568316.1

    授权公告号:

    ||||||

    法律状态公告日:

    2018.03.27|||2014.07.30|||2014.07.02

    法律状态类型:

    发明专利申请公布后的驳回|||实质审查的生效|||公开

    摘要

    本发明属于病毒防御技术领域,具体涉及一种自膨胀病毒拦截方法及系统。本发明方法包括以下步骤:监测系统是否出现新进程;判断所述新进程所对应的程序文件大小是否大于预设的大文件阈值;分析大于预设阈值的程序文件是否为高压缩比文件;根据所述高压缩比文件判断结果,决定是否查杀所述新进程并发出相应的警示信息。本发明系统包括与方法对应的各个???。本发明针对无法识别的大文件,在不增加云端服务器负担情况下,可以快速检测和拦截这种自膨胀病毒。

    权利要求书

    权利要求书
    1.  一种自膨胀病毒拦截方法,其特征在于包括以下步骤:
    监测系统是否出现新进程;
    判断所述新进程所对应的程序文件大小是否大于预设的大文件阈值;
    分析大于预设阈值的程序文件是否为高压缩比文件;
    根据所述高压缩比文件判断结果,决定是否查杀所述新进程并发出相应的警示信息。

    2.  根据权利要求1所述的自膨胀病毒拦截方法,其特征在于:
    所述大文件阈值大于等于最大可上传至云端服务器进行病毒检测的文件大小值。

    3.  根据权利要求1所述的自膨胀病毒拦截方法,其特征在于,在根据所述高压缩比文件判断结果,决定是否查杀所述新进程并发出相应的警示信息之后,还包括以下步骤:
    删除所述高压缩比文件。

    4.  根据权利要求1所述的自膨胀病毒拦截方法,其特征在于,所述分析大于预设阈值的程序文件是否为高压缩比文件,具体包括如下子步骤:
    获取所述程序文件的代码段、数据段、自定义区域、以及文件尾四段数据分别占整个程序文件的大小比重;
    判断比重最大的数据段的比重是否大于预设的畸形阈值;
    若大于,则将所述比重最大的畸形数据段均分为多个子段,再将各个子段均分为多个子块;
    分别计算各个子块的数值,采用去重复的方法获得所有子块中数值互不相同的子块数目;
    判断所述子块数目是否小于预设的允许重复阈值,若小于则确定该自膨胀文件是否为高压缩比文件。

    5.  根据权利要求4所述的自膨胀病毒拦截方法,其特征在于:
    所述畸形阈值为70%,所述子段的大小为256K字节,所述子块的大小为256字节,所述允许重复阈值为100个。

    6.  一种自膨胀病毒拦截系统,其特征在于包括以下??椋?BR>进程监测???,用于监测系统是否出现新进程;
    程序文件大小判断???,用于判断所述新进程所对应的程序文件大小是否大于预设的大文件阈值;
    高压缩比文件分析???,用于分析大于预设阈值的程序文件是否为高压缩比文件;
    进程查杀???,用于根据所述高压缩比文件判断结果,决定是否查杀所述新进程并发出相应的警示信息。

    7.  根据权利要求6所述的自膨胀病毒拦截系统,其特征在于:
    所述大文件阈值大于等于最大可上传至云端服务器进行病毒检测的文件大小值。

    8.  根据权利要求6所述的自膨胀病毒拦截系统,其特征在于,该系统还包括以下??椋?BR>病毒文件删除???,用于在进程查杀??橹葱兄?,删除所述高压缩比文件。

    9.  根据权利要求6所述的自膨胀病毒拦截系统,其特征在于,所述高压缩比文件分析??榫咛灏ㄈ缦伦幽?椋?BR>比重计算???,用于获取所述程序文件的代码段、数据段、自定义区域、以及文件尾四段数据分别占整个程序文件的大小比重;
    畸形数据段判断???,用于判断比重最大的数据段的比重是否大于预设的畸形阈值;
    畸形数据段分割???,用于若大于则将所述比重最大的畸形数据段均分为多个子段,再将各个子段均分为多个子块;
    去重复???,分别计算各个子块的数值,采用去重复的方法获得所有子块中数值互不相同的子块数目;
    确定判断???,判断所述子块数目是否小于预设的允许重复阈值,若小于则确定该自膨胀文件是否为高压缩比文件。

    10.  根据权利要求9所述的自膨胀病毒拦截系统,其特征在于:
    所述畸形阈值为70%,所述子段的大小为256K字节,所述子块的大小为256字节,所述允许重复阈值为100个。

    说明书

    说明书自膨胀病毒拦截方法及系统
    技术领域
    本发明属于病毒防御技术领域,具体涉及一种自膨胀病毒拦截方法及系统。
    背景技术
    目前的病毒文件检测方式,如下流程:
    1、客户端根据本地病毒数据库对文件进行病毒扫描;
    2、针对病毒文件进行查杀,针对安全文件予以运行;
    3、针对无法识别的灰文件,将其上传至云端服务器中进行查询验证;
    4、云端服务器将查询结果反馈给客户端;
    5、客户端根据查询结果做出对应的处理。
    由于每天都有大量的新文件产生,现有的病毒扫描方法进行识别,肯定会出现不少灰文件,如果都上传到云端服务器进行验证,尤其是一些大文件,网络传输都是个大文件,而且将给服务器造成巨大的压力。与此同时,即是某大文件是病毒文件,那么由于网络传输时间关系,也很难大规模的传播。因此,现有的检测方式中将一些无法识别的大文件就直接默认为安全文件。
    经过申请人研究发现,最近出现了一种的大文件病毒,申请人将其定义为自膨胀病毒。它是由一种高压缩比的压缩文件解压而来,比如一个1M的文件解压后就变为了500M的大文件,1M的时候便于传播,解压后由于过大无法识别也无法上传云端服务器检测,进而逃过现有病毒检测系统,而且它通常在解压后会将其原始的压缩包给删除掉,让现有病毒防御系统无可奈何。
    发明内容
    针对自膨胀病毒难以检测的问题,本发明的目的在于自膨胀病毒拦截方法及系统,在不增加云端服务器负担情况下快速检测和拦截这种自膨胀病毒。
    申请人进一步研究发现,这种自膨胀病毒的PE数据结构的四个数据段:代码段、数据段、自定义区域、以及文件尾中始终有一个畸形段,即是该段数据特别大,该段数据中只有少数几个数据重复构成,进而便于压缩,解压后能膨胀为一个大文件,将病毒隐藏在其中的一个字段就可以逃过现有防御系统。
    为了实现上述发明目的,基于上述研究发现,得到了以下技术方案:
    一种自膨胀病毒拦截方法,其特征在于包括以下步骤:
    监测系统是否出现新进程;
    判断所述新进程所对应的程序文件大小是否大于预设的大文件阈值;
    分析大于预设阈值的程序文件是否为高压缩比文件;
    根据所述高压缩比文件判断结果,决定是否查杀所述新进程并发出相应的警示信息。
    进一步的,所述大文件阈值大于等于最大可上传至云端服务器进行病毒检测的文件大小值。
    进一步的,在根据所述高压缩比文件判断结果,决定是否查杀所述新进程并发出相应的警示信息之后,还包括以下步骤:删除所述高压缩比文件。
    进一步的,所述分析大于预设阈值的程序文件是否为高压缩比文件,具体包括如下子步骤:
    获取所述程序文件的代码段、数据段、自定义区域、以及文件尾四段数据分别占整个程序文件的大小比重;
    判断比重最大的数据段的比重是否大于预设的畸形阈值;
    若大于,则将所述比重最大的畸形数据段均分为多个子段,再将各个子段均分为多个子块;
    分别计算各个子块的数值,采用去重复的方法获得所有子块中数值互不相同的子块数目;
    判断所述子块数目是否小于预设的允许重复阈值,若小于则确定该自膨胀文件是否为高压缩比文件。
    进一步的,所述畸形阈值为70%,所述子段的大小为256K字节,所述子块的大小为256字节,所述允许重复阈值为100个。
    一种自膨胀病毒拦截系统,包括以下??椋?
    进程监测???,用于监测系统是否出现新进程;
    程序文件大小判断???,用于判断所述新进程所对应的程序文件大小是否大于预设的大文件阈值;
    高压缩比文件分析???,用于分析大于预设阈值的程序文件是否为高压缩比文件;
    进程查杀???,用于根据所述高压缩比文件判断结果,决定是否查杀所述新进程并发出相应的警示信息。
    进一步的,所述大文件阈值大于等于最大可上传至云端服务器进行病毒检测的文件大小值。
    进一步的,病毒文件删除???,用于在进程查杀??橹葱兄?,删除所述高压缩比文件。
    进一步的,所述高压缩比文件分析??榫咛灏ㄈ缦伦幽?椋?
    比重计算???,用于获取所述程序文件的代码段、数据段、自定义区域、以及文件尾四段数据分别占整个程序文件的大小比重;
    畸形数据段判断???,用于判断比重最大的数据段的比重是否大于预设的畸形阈值;
    畸形数据段分割???,用于若大于则将所述比重最大的畸形数据段均分为多个子段,再将各个子段均分为多个子块;
    去重复???,分别计算各个子块的数值,采用去重复的方法获得所有子块中数值互不相同的子块数目;
    确定判断???,判断所述子块数目是否小于预设的允许重复阈值,若小于则确定该自膨胀文件是否为高压缩比文件。
    进一步的,所述畸形阈值为70%,所述子段的大小为256K字节,所述子块的大小为256字节,所述允许重复阈值为100个。
    本发明针对无法上传云端服务器验证的大文件,判断其是否为病毒类高压缩比文件,如是则查杀其进程并给出相应的警示,使其不至于对计算机形成破坏。
    因此,本发明针对无法识别的大文件,在不增加云端服务器负担情况下,可以快速检测和拦截这种自膨胀病毒。
    附图说明
    此附图说明所提供的图片用来辅助对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的不当限定,在附图中:
    图1是本发明方法对应的流程图;
    图2是本发明第3步的具体子流程图;
    图3是本发明系统对应的框图;
    图4是高压缩比文件分析??榈淖幽?榭蛲?。
    具体实施方式
    如图1所示,本实施例公开了一种自膨胀病毒拦截方法,包括以下步骤:
    Step1:监测系统是否出现新进程,本发明之所以只监控进程,而不是直接分析该文件,因为文件在未运行状态中是不会对系统构成破坏的,而且很多文件比如WORD文档一般不会是病毒;
    Step2:判断所述新进程所对应的程序文件大小是否大于预设的大文件阈值,所述大文件 阈值大于等于最大可上传至云端服务器进行病毒检测的文件大小值;对于能够通过现有病毒检测系统进行检测的文件,本发明是不予检测的,即是小于该阈值的文件通过现有的防御系统进行识别;目前该阈值通常为500M,但阈值不是一个确定数值,它会随着现有防御系统的发展而变化,即是当现有的计算机网络传输技术和云端服务器能够支持更大文件上传至云端进行检测的时候,该阈值可能就会设置更大;
    Step3:分析大于预设阈值的程序文件是否为高压缩比文件,本发明所述的高压缩比实质是指其压缩比例超过了一般正常的比例,比如1M的文件解压后变成700M的大文件这类的非正常文件,他之所以能够有如此高的压缩比,是因为其中包含的有效数据并不多,它采用重复数据段的方式进行解压而来;
    Step4:根据所述高压缩比文件判断结果,决定是否查杀所述新进程并发出相应的警示信息;即是:如果判断结果是高压缩比文件,则查杀所述新进程并发出相应的警示信息,反之则不予处理;
    Step5:删除所述高压缩比文件。
    如图2所示,其中Step3所述分析大于预设阈值的程序文件是否为高压缩比文件,具体包括如下子步骤:
    Step31:获取所述程序文件的代码段、数据段、自定义区域、以及文件尾四段数据分别占整个程序文件的大小比重,比如整个文件800M,代码段为600M,那么代码段的比重就是75%;
    Step32:判断比重最大的数据段的比重是否大于预设的畸形阈值,本实施例经过大量病毒样本分析得出畸形阈值一般设定70%比较合理,如果大于该数值,则表明该段时间很可能是畸形数据段,这样子就避免了每一段都去分析,进而缩短分析时间;
    Step33:若大于,则将所述比重最大的畸形数据段均分为多个子段,再将各个子段均分为多个子块,为了合理而快速分析该畸形段,本实施例中的子段的大小选取256K字节,所述子块的大小选取为256字节;
    Step34:分别计算各个子块的数值,采用去重复的方法获得所有子块中数值互不相同的子块数目,比如各个子块的数据位:2、2、2、2、2、14、14、14、14、14、50、50、50、50,那么去重之后就2、14、50三个互不相同的数值;
    Step35:判断所述子块数目是否小于预设的允许重复阈值,本实施例根据大量病毒样本分析得出允许重复阈值大概为100个比较合理,若小于则确定该自膨胀文件是否为高压缩比文件。
    如图3所示,本实施例还公开了一种自膨胀病毒拦截系统,包括以下??椋?
    进程监测???,用于监测系统是否出现新进程;
    程序文件大小判断???,用于判断所述新进程所对应的程序文件大小是否大于预设的大文件阈值,所述大文件阈值大于等于最大可上传至云端服务器进行病毒检测的文件大小值;
    高压缩比文件分析???,用于分析大于预设阈值的程序文件是否为高压缩比文件;
    进程查杀???,用于根据所述高压缩比文件判断结果,决定是否查杀所述新进程并发出相应的警示信息;
    病毒文件删除???,用于在进程查杀??橹葱兄?,删除所述高压缩比文件。
    如图4所示,高压缩比文件分析???具体包括如下子??椋?
    比重计算???1,用于获取所述程序文件的代码段、数据段、自定义区域、以及文件尾四段数据分别占整个程序文件的大小比重;
    畸形数据段判断???2,用于判断比重最大的数据段的比重是否大于预设的畸形阈值,所述畸形阈值为70%
    畸形数据段分割???3,用于若大于则将所述比重最大的畸形数据段均分为多个子段,再将各个子段均分为多个子块,所述子段的大小为256K字节,所述子块的大小为256字节
    去重复???4,分别计算各个子块的数值,采用去重复的方法获得所有子块中数值互不相同的子块数目;
    确定判断???5,判断所述子块数目是否小于预设的允许重复阈值,所述允许重复阈值为100个,若小于则确定该自膨胀文件是否为高压缩比文件。
    需要说明的是本实施例中所选取的具体数值,并不代表对本发明的限制,本发明还可以根据病毒的发展,基于病毒样本的分析情况进行适当调整,不过只要是按照本发明原理的检查方式,均是本发明的?;し段?。
    采用本发明方法和系统,可以有效识别出绝大部分自膨胀病毒,而且不需要对现有的病毒防御系统进行较大改变,也不需要增加云端服务器负担情况下,可以快速检测和拦截这种自膨胀病毒。
    以上详细描述了本发明的较佳具体实施例,应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明构思在现有技术基础上通过逻辑分析、推理或者根据有限的实验可以得到的技术方案,均应该在由本权利要求书所确定的?;し段е?。

    关于本文
    本文标题:自膨胀病毒拦截方法及系统.pdf
    链接地址://www.4mum.com.cn/p-6134084.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    [email protected] 2017-2018 www.4mum.com.cn网站版权所有
    经营许可证编号:粤ICP备17046363号-1 
     


    收起
    展开
  • 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
  • 彩票中奖是的是 股票推荐骗局法律责任 陕西快乐十分组三遗漏表 彩53彩票首页 河北排列7走势图百度 山东群英会遗漏走势图 打麻将带什么东西会赢 零点棋牌的覆灭 3d试机号开机号今天1 闲来麻将官网网址 微信购彩票 关于篮球的小说排行榜 模具赚钱设备 河南快赢481官网 nba比分情况 快播彩票首页