发明名称 |
恶意程序检测方法和装置 |
摘要 |
本发明公开了一种恶意程序检测方法和装置,所述方法包括:A、实时监测本地终端网卡接收的数据包;B、根据监测到的数据包的端口信息查找到接收该数据包的本地进程;C、检测所述本地进程是否为恶意程序,在检测出该本地进程是恶意程序时,拦截发往该本地进程的数据包,并输出告警信息。所述装置包括:监测模块,用于实时监测网卡接收的数据包;查找模块,用于根据监测到的数据包的端口查找到对应的本地进程;进程检测模块,用于检测所述本地进程是否为恶意程序,如果是则触发拦截告警模块拦截发往该本地进程的数据包,并输出告警信息。利用本发明,可以及时检测出在线下载数据的恶意程序,提高数据处理设备的安全防护能力。 |
申请公布号 |
CN103034807B |
申请公布日期 |
2016.01.27 |
申请号 |
CN201110301708.7 |
申请日期 |
2011.10.08 |
申请人 |
腾讯科技(深圳)有限公司 |
发明人 |
邢玉东 |
分类号 |
G06F21/56(2013.01)I |
主分类号 |
G06F21/56(2013.01)I |
代理机构 |
北京德琦知识产权代理有限公司 11018 |
代理人 |
谢安昆;宋志强 |
主权项 |
一种恶意程序检测方法,其特征在于,包括:A、实时监测本地终端网卡接收的数据包;B、根据监测到的数据包的端口信息查找到接收该数据包的本地进程;C、检测所述本地进程是否为恶意程序,在检测出该本地进程是恶意程序时,拦截发往该本地进程的数据包,并输出告警信息;步骤C中,在检测出所述本地进程不是恶意程序时,进一步包括:D、监控该本地进程是否有创建或修改文件的操作,具体为利用流量监控进程对所述本地进程数据包进行监控,根据监控的数据包找到正在接收数据的进程和对应创建或修改的文件,如果有创建或修改文件的操作则检测所创建或修改的文件是否为恶意程序,在检测出所创建或修改的文件是恶意程序时,发出相应的告警信息。 |
地址 |
518044 广东省深圳市福田区振兴路赛格科技园2栋东403室 |