[發(fā)明專利]一種有害腳本識(shí)別方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)在審
| 申請(qǐng)?zhí)枺?/td> | 202210240626.4 | 申請(qǐng)日: | 2022-03-10 |
| 公開(kāi)(公告)號(hào): | CN114611105A | 公開(kāi)(公告)日: | 2022-06-10 |
| 發(fā)明(設(shè)計(jì))人: | 劉慶林;陳建;劉正偉;魏海宇;謝輝;高鵬;吳小勇;李小瓊;康柏榮;王鯤 | 申請(qǐng)(專利權(quán))人: | 北京中睿天下信息技術(shù)有限公司 |
| 主分類號(hào): | G06F21/56 | 分類號(hào): | G06F21/56 |
| 代理公司: | 北京知呱呱知識(shí)產(chǎn)權(quán)代理有限公司 11577 | 代理人: | 胡樂(lè) |
| 地址: | 100085 北京市海淀區(qū)*** | 國(guó)省代碼: | 北京;11 |
| 權(quán)利要求書(shū): | 查看更多 | 說(shuō)明書(shū): | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 有害 腳本 識(shí)別 方法 裝置 設(shè)備 存儲(chǔ) 介質(zhì) | ||
1.一種有害腳本識(shí)別方法,其特征在于,所述方法包括:
通過(guò)鉤掛COM對(duì)象虛函數(shù)監(jiān)控腳本的動(dòng)作行為,對(duì)監(jiān)控到的所述腳本的動(dòng)作行為及對(duì)應(yīng)的行為描述結(jié)構(gòu)進(jìn)行記錄;
當(dāng)監(jiān)控到目標(biāo)腳本的動(dòng)作行為為危險(xiǎn)動(dòng)作時(shí),將所述目標(biāo)腳本的動(dòng)作行為所對(duì)應(yīng)的行為描述結(jié)構(gòu)與預(yù)設(shè)的有害腳本行為規(guī)則進(jìn)行匹配;
當(dāng)匹配成功時(shí),則確定所述目標(biāo)腳本為有害腳本。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述通過(guò)鉤掛COM對(duì)象虛函數(shù)監(jiān)控腳本的動(dòng)作行為,包括:
通過(guò)鉤掛COM對(duì)象虛函數(shù)監(jiān)控腳本的文件操作,其中,所述文件操作至少包括自拷貝動(dòng)作、刪除文件動(dòng)作、修改文件動(dòng)作、創(chuàng)建文件動(dòng)作;
通過(guò)鉤掛COM對(duì)象虛函數(shù)監(jiān)控腳本的創(chuàng)建進(jìn)程操作,其中,所述創(chuàng)建進(jìn)程操作至少包括執(zhí)行程序動(dòng)作;
通過(guò)鉤掛COM對(duì)象虛函數(shù)監(jiān)控腳本的注冊(cè)表操作,其中,所述注冊(cè)表操作至少包括寫(xiě)自啟動(dòng)項(xiàng)動(dòng)作
通過(guò)鉤掛COM對(duì)象虛函數(shù)監(jiān)控腳本的郵件發(fā)送操作,其中,所述郵件發(fā)送操作至少包括發(fā)送郵件動(dòng)作,添加郵件附件動(dòng)作
通過(guò)鉤掛COM對(duì)象虛函數(shù)監(jiān)控腳本的Internet訪問(wèn)操作,其中,所述Internet訪問(wèn)操作至少包括Internet訪問(wèn)動(dòng)作、下載程序動(dòng)作。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述腳本的動(dòng)作行為包括監(jiān)控動(dòng)作和危險(xiǎn)動(dòng)作,其中:
所述監(jiān)控動(dòng)作包括:自拷貝動(dòng)作、下載程序動(dòng)作、添加郵件附件動(dòng)作、Internet訪問(wèn)動(dòng)作以及創(chuàng)建文件動(dòng)作;
所述危險(xiǎn)動(dòng)作包括:寫(xiě)自啟動(dòng)項(xiàng)動(dòng)作、發(fā)郵件動(dòng)作、執(zhí)行程序動(dòng)作、刪除文件動(dòng)作、修改文件動(dòng)作以及寫(xiě)StartPage注冊(cè)表項(xiàng)。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,有害腳本行為規(guī)則包括:
郵件蠕蟲(chóng)規(guī)則一:遍歷地址本,發(fā)送郵件;
郵件蠕蟲(chóng)規(guī)則二:添加腳本文件附件,發(fā)送郵件;
下載者木馬規(guī)則一:下載程序文件并執(zhí)行該程序文件;
下載者木馬規(guī)則二:下載程序文件并為該程序文件添加啟動(dòng)項(xiàng);
P2P蠕蟲(chóng)規(guī)則:拷貝腳本自身到P2P軟件共享目錄;
Autorun蠕蟲(chóng)規(guī)則:修改或創(chuàng)建磁盤(pán)根目錄Autorun.inf文件啟動(dòng)程序;
StartPage木馬規(guī)則:修改StartPage注冊(cè)表項(xiàng);
惡意刪除、修改系統(tǒng)文件病毒規(guī)則:刪除、修改操作系統(tǒng)相關(guān)文件。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述將所述目標(biāo)腳本的動(dòng)作行為所對(duì)應(yīng)的行為描述結(jié)構(gòu)與預(yù)設(shè)的有害腳本行為規(guī)則進(jìn)行匹配,包括:
發(fā)現(xiàn)腳本解釋程序運(yùn)行;
定位腳本文件,對(duì)腳本的動(dòng)作行為進(jìn)行監(jiān)控并記錄到行為描述結(jié)構(gòu);
對(duì)記錄的行為描述結(jié)構(gòu)與有害腳本行為規(guī)則庫(kù)進(jìn)行比較;
根據(jù)比較結(jié)果判斷是否是有害腳本行為。
6.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括:
當(dāng)確定所述目標(biāo)腳本為有害腳本,則報(bào)警并阻止腳本繼續(xù)執(zhí)行。
7.一種有害腳本識(shí)別裝置,其特征在于,所述裝置包括:
監(jiān)控模塊,用于通過(guò)鉤掛COM對(duì)象虛函數(shù)監(jiān)控腳本的動(dòng)作行為,對(duì)監(jiān)控到的所述腳本的動(dòng)作行為及對(duì)應(yīng)的行為描述結(jié)構(gòu)進(jìn)行記錄;
匹配模塊,用于當(dāng)監(jiān)控到目標(biāo)腳本的動(dòng)作行為為危險(xiǎn)動(dòng)作時(shí),將所述目標(biāo)腳本的動(dòng)作行為所對(duì)應(yīng)的行為描述結(jié)構(gòu)與預(yù)設(shè)的有害腳本行為規(guī)則進(jìn)行匹配;
確定模塊,用于當(dāng)匹配成功時(shí),則確定所述目標(biāo)腳本為有害腳本。
8.一種電子設(shè)備,其特征在于,包括存儲(chǔ)器和處理器,所述存儲(chǔ)器存儲(chǔ)有計(jì)算機(jī)程序,所述計(jì)算機(jī)程序被所述處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1至6任一所述的一種有害腳本識(shí)別方法。
9.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),其特征在于,其上存儲(chǔ)有計(jì)算機(jī)程序,所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1至6任一所述的一種有害腳本識(shí)別方法。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京中睿天下信息技術(shù)有限公司,未經(jīng)北京中睿天下信息技術(shù)有限公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202210240626.4/1.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專利網(wǎng)。
- 同類專利
- 專利分類
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過(guò)保護(hù)計(jì)算機(jī)的特定內(nèi)部部件
G06F21-04 .通過(guò)保護(hù)特定的外圍設(shè)備,如鍵盤(pán)或顯示器
G06F21-06 .通過(guò)感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過(guò)限制訪問(wèn)計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn)
G06F21-22 .通過(guò)限制訪問(wèn)或處理程序或過(guò)程
- 腳本處理方法及裝置
- 一種實(shí)現(xiàn)腳本引擎的系統(tǒng)及方法
- 代理自動(dòng)配置腳本的處理方法及代理自動(dòng)配置腳本服務(wù)器
- 一種腳本執(zhí)行方法、裝置及計(jì)算設(shè)備
- 腳本轉(zhuǎn)換方法、裝置、計(jì)算機(jī)設(shè)備及存儲(chǔ)介質(zhì)
- 性能測(cè)試平臺(tái)腳本存儲(chǔ)方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)
- 一種實(shí)現(xiàn)測(cè)試腳本驗(yàn)證的方法及系統(tǒng)
- 結(jié)構(gòu)化查詢語(yǔ)言腳本審查方法及相關(guān)設(shè)備
- 基于FitNesse框架的數(shù)據(jù)驅(qū)動(dòng)腳本庫(kù)的方法、系統(tǒng)及介質(zhì)
- 一種腳本審計(jì)方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)
- 識(shí)別媒體、識(shí)別媒體的識(shí)別方法、識(shí)別對(duì)象物品以及識(shí)別裝置
- 一種探針卡識(shí)別裝置和方法
- 識(shí)別裝置、識(shí)別方法以及記錄介質(zhì)
- 識(shí)別裝置、識(shí)別系統(tǒng),識(shí)別方法以及存儲(chǔ)介質(zhì)
- 識(shí)別程序、識(shí)別方法以及識(shí)別裝置
- 車載身份識(shí)別方法及系統(tǒng)
- 車載身份識(shí)別方法及系統(tǒng)
- 車載身份識(shí)別方法及系統(tǒng)
- 識(shí)別裝置、識(shí)別方法以及識(shí)別程序
- 識(shí)別裝置、識(shí)別方法及識(shí)別程序
- 一種數(shù)據(jù)庫(kù)讀寫(xiě)分離的方法和裝置
- 一種手機(jī)動(dòng)漫人物及背景創(chuàng)作方法
- 一種通訊綜合測(cè)試終端的測(cè)試方法
- 一種服裝用人體測(cè)量基準(zhǔn)點(diǎn)的獲取方法
- 系統(tǒng)升級(jí)方法及裝置
- 用于虛擬和接口方法調(diào)用的裝置和方法
- 線程狀態(tài)監(jiān)控方法、裝置、計(jì)算機(jī)設(shè)備和存儲(chǔ)介質(zhì)
- 一種JAVA智能卡及其虛擬機(jī)組件優(yōu)化方法
- 檢測(cè)程序中方法耗時(shí)的方法、裝置及存儲(chǔ)介質(zhì)
- 函數(shù)的執(zhí)行方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)
