[發(fā)明專利]一種惡意文件徹底清除方法、系統(tǒng)及存儲介質(zhì)在審
| 申請?zhí)枺?/td> | 201811238620.3 | 申請日: | 2018-10-23 |
| 公開(公告)號: | CN110795730A | 公開(公告)日: | 2020-02-14 |
| 發(fā)明(設(shè)計)人: | 奚乾悅;徐翰隆;王小豐;肖新光 | 申請(專利權(quán))人: | 北京安天網(wǎng)絡(luò)安全技術(shù)有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06F21/55 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 100195 北京市海淀區(qū)*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 可疑文件 移動存儲設(shè)備 計算機終端 惡意文件 攔截 流量監(jiān)控設(shè)備 備份文件 存儲介質(zhì) 存儲設(shè)備 關(guān)鍵項目 記錄內(nèi)容 記錄修改 記錄移動 網(wǎng)絡(luò)傳輸 傳輸 告警 多維度 記錄源 聯(lián)動 發(fā)現(xiàn) 感染 監(jiān)測 監(jiān)控 檢測 恢復(fù) 網(wǎng)絡(luò) | ||
本發(fā)明提出了一種惡意文件徹底清除方法、系統(tǒng)及存儲介質(zhì),所述方法通過檢測計算機終端中的惡意文件攔截情況,針對未攔截的可疑文件進行系統(tǒng)、移動存儲設(shè)備及流量等多維度的監(jiān)控,當發(fā)現(xiàn)可疑文件對系統(tǒng)關(guān)鍵項目進行修改,則記錄修改內(nèi)容并備份文件;當發(fā)現(xiàn)可疑文件感染了移動存儲設(shè)備,則記錄移動存儲設(shè)備的信息;同時本方法還與網(wǎng)絡(luò)側(cè)的流量監(jiān)控設(shè)備聯(lián)動,監(jiān)測可疑文件是否通過網(wǎng)絡(luò)傳輸,若傳輸則記錄源IP及目的IP等信息;當計算機終端清除可疑文件時,則能夠根據(jù)上述記錄內(nèi)容對修改進行恢復(fù),同時對可疑文件的傳輸情況進行告警。
技術(shù)領(lǐng)域
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,特別涉及一種惡意文件徹底清除方法、系統(tǒng)及存儲介質(zhì)。
背景技術(shù)
現(xiàn)階段計算機終端發(fā)現(xiàn)病毒或者可疑文件時,殺毒軟件會彈窗詢問用戶是否進行清除,但是用戶有時會選擇不處理病毒或者可疑文件,甚至?xí)⒉《竞涂梢晌募尤胧谛抨犃小_@就造成了病毒在終端殘留,并且病毒和可疑文件的一些操作將不再被攔截,有時還會通過網(wǎng)絡(luò)或者移動存儲設(shè)備進行傳播。當后續(xù)用戶想要清除這些殘留病毒或者可疑文件時,殺毒軟件僅能夠清理已發(fā)現(xiàn)的文件,卻不能對文件在終端進行的操作就行修復(fù),也無法統(tǒng)計在病毒殘留期間,病毒是否有感染移動存儲設(shè)備,是否有借助網(wǎng)絡(luò)擴散到其他終端。
發(fā)明內(nèi)容
基于上述問題,本發(fā)明提出了一種惡意文件徹底清除方法、系統(tǒng)及存儲介質(zhì),解決了對歷史放行文件無法徹底清除的問題。
首先,本發(fā)明提出一種惡意文件徹底清除方法,包括:
檢測計算機終端,發(fā)現(xiàn)可疑文件,并判斷是否已攔截,若未攔截,則將所述可疑文件加入監(jiān)控隊列;
對所述監(jiān)控隊列中的可疑文件進行操作系統(tǒng)監(jiān)控,若監(jiān)控到修改系統(tǒng)配置的行為,則記錄修改項目,并對被修改文件進行備份;
對所述監(jiān)控隊列中的可疑文件進行移動存儲設(shè)備監(jiān)控,若檢測到監(jiān)控隊列中的可疑文件存儲到移動存儲設(shè)備中,則記錄移動存儲設(shè)備信息及存儲時間;
對所述監(jiān)控隊列中的可疑文件進行流量監(jiān)控,將監(jiān)控隊列中的可疑文件的文件信息發(fā)送到流量監(jiān)控設(shè)備中,流量監(jiān)控設(shè)備檢測到所述監(jiān)控隊列中的可疑文件被傳輸時,記錄傳輸信息,包括源終端名稱及IP、目的終端名稱及IP信息;
當計算機終端對監(jiān)控隊列中的可疑文件進行清除時,則還原對應(yīng)被修改項目及備份文件,并根據(jù)記錄的移動存儲設(shè)備信息及傳輸信息生成告警。
所述的方法中,所述操作系統(tǒng)監(jiān)控包括:注冊表、進程、MBR、計劃任務(wù)及系統(tǒng)文件監(jiān)控。
所述的方法中,所述可疑文件的文件信息包括:文件名稱、文件MD5及文件路徑。
所述的方法中,還包括,在首次檢測計算機終端時,根據(jù)默認設(shè)置記錄,檢測計算機終端系統(tǒng)配置是否被篡改,如果被篡改,則根據(jù)默認設(shè)置記錄,對數(shù)據(jù)進行恢復(fù)。
本發(fā)明還提出一種惡意文件徹底清除系統(tǒng),包括:客戶端及流量監(jiān)控設(shè)備,所述客戶端及流量監(jiān)控設(shè)備上分別包括存儲器和處理器,所述存儲器可存儲在處理器上運行的程序;所述客戶端上的處理器在運行計算機程序時,實現(xiàn)如下步驟:
檢測計算機終端,發(fā)現(xiàn)可疑文件,并判斷是否已攔截,若未攔截,則將所述可疑文件加入監(jiān)控隊列;
對所述監(jiān)控隊列中的可疑文件進行操作系統(tǒng)監(jiān)控,若監(jiān)控到修改系統(tǒng)配置的行為,則記錄修改項目,并對被修改文件進行備份;
對所述監(jiān)控隊列中的可疑文件進行移動存儲設(shè)備監(jiān)控,若檢測到監(jiān)控隊列中的可疑文件存儲到移動存儲設(shè)備中,則記錄移動存儲設(shè)備信息及存儲時間;
對所述監(jiān)控隊列中的可疑文件進行流量監(jiān)控,將監(jiān)控隊列中的可疑文件的文件信息發(fā)送到流量監(jiān)控設(shè)備中;
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京安天網(wǎng)絡(luò)安全技術(shù)有限公司,未經(jīng)北京安天網(wǎng)絡(luò)安全技術(shù)有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201811238620.3/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
