公开(公告)号：CN106909847B

公开(公告)日：2020-10-16

申请号：CN201710087408.0

申请日：2017-02-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李佳 ,  严寒冰 ,  丁丽 ,  徐原 ,  李志辉 ,  高胜 ,  张腾 ,  狄少嘉 ,  张帅 ,  刘丙双 ,  涂波 ,  王学志 ,  吕利锋

IPC: G06F21/56 ,  G06F21/55 ,  H04L29/06

Abstract: 本发明是有关于一种恶意代码检测的方法，包括：NIDS根据规则匹配发现恶意代码等疑似攻击事件，NIDS根据预设规则将相关攻击事件信息下发至终端侧与进程端口号关联，以获取与进程相关的关键信息；收集终端侧的恶意代码事件信息及相关样本文件，并将收集的恶意代码事件信息及相关样本文件发送至NIDS，供NIDS进行恶意代码事件判定；获取经NIDS判定确定后的恶意代码事件和相关处置指令，并将其发送至终端侧受害者主机上的终端探针，供终端探针执行相关处置动作。本发明避免了传统NIDS恶意代码检测过程中，由于缺少主机侧关键信息而导致的误判，同时弥补传统NIDS无法对检测出来的安全威胁进行快速处置的不足。

公开(公告)号：CN106909847A

公开(公告)日：2017-06-30

申请号：CN201710087408.0

申请日：2017-02-17

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 李佳 ,  严寒冰 ,  丁丽 ,  徐原 ,  李志辉 ,  高胜 ,  张腾 ,  狄少嘉 ,  张帅 ,  刘丙双 ,  涂波 ,  王学志 ,  吕利锋

IPC: G06F21/56 ,  G06F21/55 ,  H04L29/06

CPC classification number: G06F21/562 ,  G06F21/554 ,  H04L63/1416 ,  H04L63/145

Abstract: 本发明是有关于一种恶意代码检测的方法，包括：NIDS根据规则匹配发现恶意代码等疑似攻击事件，NIDS根据预设规则将相关攻击事件信息下发至终端侧与进程端口号关联，以获取与进程相关的关键信息；收集终端侧的恶意代码事件信息及相关样本文件，并将收集的恶意代码事件信息及相关样本文件发送至NIDS，供NIDS进行恶意代码事件判定；获取经NIDS判定确定后的恶意代码事件和相关处置指令，并将其发送至终端侧受害者主机上的终端探针，供终端探针执行相关处置动作。本发明避免了传统NIDS恶意代码检测过程中，由于缺少主机侧关键信息而导致的误判，同时弥补传统NIDS无法对检测出来的安全威胁进行快速处置的不足。