[發(fā)明專利]一種惡意軟件的檢測方法、裝置、電子設(shè)備及存儲介質(zhì)在審
| 申請?zhí)枺?/td> | 202010250314.2 | 申請日: | 2020-04-01 |
| 公開(公告)號: | CN111310187A | 公開(公告)日: | 2020-06-19 |
| 發(fā)明(設(shè)計(jì))人: | 龐思銘 | 申請(專利權(quán))人: | 深信服科技股份有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;H04L29/06 |
| 代理公司: | 深圳市深佳知識產(chǎn)權(quán)代理事務(wù)所(普通合伙) 44285 | 代理人: | 常忠良 |
| 地址: | 518055 廣東省深圳市南*** | 國省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 惡意 軟件 檢測 方法 裝置 電子設(shè)備 存儲 介質(zhì) | ||
1.一種惡意軟件的檢測方法,其特征在于,包括:
獲取客戶端向服務(wù)器發(fā)送的ClientHello信息;其中,所述ClientHello信息包括所述客戶端的TLS協(xié)議版本、密碼套件、擴(kuò)展項(xiàng)目和密鑰加密信息;
根據(jù)所述ClientHello信息生成所述客戶端的TLS指紋信息;
判斷惡意指紋特征庫中是否包括所述客戶端的TLS指紋信息;
若是,則判定檢測到惡意軟件。
2.根據(jù)權(quán)利要求1所述檢測方法,其特征在于,根據(jù)所述ClientHello信息生成所述客戶端的TLS指紋信息包括:
計(jì)算所述ClientHello信息對應(yīng)的映射值,并將所述映射值作為所述客戶端的TLS指紋信息。
3.根據(jù)權(quán)利要求2所述檢測方法,其特征在于,計(jì)算所述ClientHello信息對應(yīng)的映射值包括;
基于十進(jìn)制映射函數(shù)將所述ClientHello信息映射為對應(yīng)的十進(jìn)制數(shù)據(jù);
或,基于哈希函數(shù)將所述ClientHello信息映射為對應(yīng)的哈希值。
4.根據(jù)權(quán)利要求2所述檢測方法,其特征在于,計(jì)算所述ClientHello信息對應(yīng)的映射值包括:
將所述客戶端的所述TLS協(xié)議版本、所述密碼套件、所述擴(kuò)展項(xiàng)目和所述密鑰加密信息按照預(yù)設(shè)順序排列,得到待映射數(shù)據(jù);
按照預(yù)設(shè)映射方式計(jì)算所述待映射數(shù)據(jù)的映射值。
5.根據(jù)權(quán)利要求1所述檢測方法,其特征在于,所述密鑰加密信息包括橢圓曲線加密算法和所述橢圓曲線加密算法對應(yīng)的橢圓曲線參數(shù)。
6.根據(jù)權(quán)利要求1至5任一項(xiàng)所述檢測方法,其特征在于,還包括:
獲取所述服務(wù)器向所述客戶端發(fā)送的ServerHello信息;其中,所述ServerHello信息包括所述服務(wù)器的TLS協(xié)議版本、密碼套件、擴(kuò)展項(xiàng)目和密鑰加密信息;
根據(jù)所述ServerHello信息生成所述服務(wù)器的TLS指紋信息;
若所述服務(wù)器的TLS指紋信息與所述惡意指紋體征庫中的預(yù)設(shè)指紋信息匹配,則判定檢測到惡意軟件。
7.根據(jù)權(quán)利要求6任一項(xiàng)所述檢測方法,其特征在于,還包括:
若所述服務(wù)器的TLS指紋信息和所述客戶端的TLS指紋信息均為所述惡意指紋體征庫中的預(yù)設(shè)指紋信息,則生成惡意軟件報(bào)警信息,并將所述惡意軟件報(bào)警信息的置信度設(shè)置為最大值。
8.一種惡意軟件的檢測裝置,其特征在于,包括:
信息獲取模塊,用于獲取客戶端向服務(wù)器發(fā)送的ClientHello信息;其中,所述ClientHello信息包括所述客戶端的TLS協(xié)議版本、密碼套件、擴(kuò)展項(xiàng)目和密鑰加密信息;
指紋生成模塊,用于根據(jù)所述ClientHello信息生成所述客戶端的TLS指紋信息;
檢測模塊,用于判斷惡意指紋特征庫中是否包括所述客戶端的TLS指紋信息;若是,則判定檢測到惡意軟件。
9.一種電子設(shè)備,其特征在于,包括存儲器和處理器,所述存儲器中存儲有計(jì)算機(jī)程序,所述處理器調(diào)用所述存儲器中的計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)如權(quán)利要求1至7任一項(xiàng)所述惡意軟件的檢測方法的步驟。
10.一種存儲介質(zhì),其特征在于,所述存儲介質(zhì)中存儲有計(jì)算機(jī)可執(zhí)行指令,所述計(jì)算機(jī)可執(zhí)行指令被處理器加載并執(zhí)行時(shí),實(shí)現(xiàn)如上權(quán)利要求1至7任一項(xiàng)所述惡意軟件的檢測方法的步驟。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于深信服科技股份有限公司,未經(jīng)深信服科技股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010250314.2/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 上一篇:一種醬香羊肝及其制作方法
- 下一篇:一種汽車鈑金件焊接處理工藝
- 同類專利
- 專利分類
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過保護(hù)計(jì)算機(jī)的特定內(nèi)部部件
G06F21-04 .通過保護(hù)特定的外圍設(shè)備,如鍵盤或顯示器
G06F21-06 .通過感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過限制訪問計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn)
G06F21-22 .通過限制訪問或處理程序或過程
- 惡意特征數(shù)據(jù)庫的建立方法、惡意對象檢測方法及其裝置
- 用于檢測惡意鏈接的方法及系統(tǒng)
- 惡意信息識別方法、惡意信息識別裝置及系統(tǒng)
- 主動(dòng)式移動(dòng)終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集獲取方法及系統(tǒng)
- 一種大數(shù)據(jù)告警平臺系統(tǒng)及其方法
- 一種追溯惡意進(jìn)程的方法、裝置及存儲介質(zhì)
- 一種相似惡意軟件推薦方法、裝置、介質(zhì)和設(shè)備
- 軟件惡意行為檢測方法及系統(tǒng)
- 惡意樣本增強(qiáng)方法、惡意程序檢測方法及對應(yīng)裝置
- 惡意語音樣本的確定方法、裝置、計(jì)算機(jī)設(shè)備和存儲介質(zhì)
- 一種基于應(yīng)用軟件散布的軟件授權(quán)與保護(hù)方法及系統(tǒng)
- 一種用于航空機(jī)載設(shè)備的軟件在線加載系統(tǒng)及方法
- 軟件構(gòu)建方法、軟件構(gòu)建裝置和軟件構(gòu)建系統(tǒng)
- 惡意軟件檢測方法及裝置
- 一種基于軟件基因的軟件同源性分析方法和裝置
- 軟件引入系統(tǒng)、軟件引入方法及存儲介質(zhì)
- 軟件驗(yàn)證裝置、軟件驗(yàn)證方法以及軟件驗(yàn)證程序
- 使用靜態(tài)和動(dòng)態(tài)惡意軟件分析來擴(kuò)展惡意軟件的動(dòng)態(tài)檢測
- 一種工業(yè)控制軟件構(gòu)建方法和軟件構(gòu)建系統(tǒng)
- 可替換游戲軟件與測驗(yàn)軟件的裝置與方法
