发明名称 |
恶意代码动态检测方法及装置 |
摘要 |
本发明实施例提供的一种恶意代码动态检测方法及装置,涉及计算机安全技术领域,解决了现有恶意代码检测时存在的速度慢、效率低等问题,本发明的主要技术方案为:当在真实环境中检测到文件执行事件时,根据预置告警库判断所述文件执行事件是否可疑,所述预置告警库中存储有各种可疑文件执行的特征信息;若可疑,则拦截所述文件执行事件在所述真实环境中的执行,并将所述文件执行事件复制到虚拟环境中执行,所述虚拟环境中存储有真实环境中的文件、目录;根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码。本发明用于检测恶意代码。 |
申请公布号 |
CN106228067A |
申请公布日期 |
2016.12.14 |
申请号 |
CN201610555960.3 |
申请日期 |
2016.07.15 |
申请人 |
江苏博智软件科技有限公司 |
发明人 |
傅涛;薛敏;孙文静;俞正兵 |
分类号 |
G06F21/56(2013.01)I |
主分类号 |
G06F21/56(2013.01)I |
代理机构 |
北京华仲龙腾专利代理事务所(普通合伙) 11548 |
代理人 |
李静 |
主权项 |
一种恶意代码动态检测方法,其特征在于,包括:当在真实环境中检测到文件执行事件时,根据预置告警库判断所述文件执行事件是否可疑,所述预置告警库中存储有各种可疑文件执行的特征信息;若可疑,则拦截所述文件执行事件在所述真实环境中的执行,并将所述文件执行事件复制到虚拟环境中执行,所述虚拟环境中存储有真实环境中的文件、目录;根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码,所述预置恶意执行结果库中存储有各种恶意代码的执行结果。 |
地址 |
210012 江苏省南京市雨花台区软件大道168号3栋5层 |