本申请各实施例属于网络安全,更具体地,涉及一种域名定位捕获方法及装置。
背景技术:
1、现有技术中,定位恶意文件或者进程都无法做到彻底的清楚,有些是通过进行实时的监控确定恶意进程,但是无法从源头上彻底清楚恶意进程。
2、所以需要研究可以精准定位终端源程序,并跟踪溯源源头程序及其文件所在路径,以实现彻底卸载、清除恶意文件及进程的目标的技术方案。
技术实现思路
1、为了解决或者缓解现有技术的技术问题。
2、第一方面,本申请实施例提供了一种域名定位捕获方法,包括:
3、获取操作系统底层响应事件,并反馈到用户层,再由用户层反馈给检测引擎,由检测引擎进行检测得到威胁评估结果;
4、根据检测引擎的评估结果,阻断恶意进程访问违规域名、阻断恶意进程运行、清除恶意进程和文件。
5、作为本申请一优选实施例,所述获取操作系统底层响应事件,包括:
6、所述获取操作系统底层响应事件包括获取内核态数据和用户态数据。
7、作为本申请一优选实施例,所述所述内核态数据具体通过以下方式获取:
8、通过注册文件操作相应的分发函数捕获文件操作事件;
9、通过注册进程回调函数截获进程创建和终止的事件;
10、通过注册模块加载回调函数截获所有模块加载的事件;
11、通过注册注册表回调函数截获所有注册表操作的事件;
12、通过注册内核对象回调函数捕获内核进程、线程操作的事件;
13、通过注册网络传输层相应的分发函数截获网络数据包事件。
14、作为本申请一优选实施例,所述用户态数据使用用户态应用程序进行获取,具体包括:
15、通过ioctl接口文件驱动接收所有收集到的各类事件;
16、通过ioctl接口从网络驱动接收所有网络数据包进行协议解析事件;
17、通过系统api接口收集系统日志中的各类事件。
18、作为本申请一优选实施例,在获取操作系统底层响应事件之前,包括:
19、通过监控探针监控是否有操作系统底层响应事件。
20、作为本申请一优选实施例,还包括:确定所述监控探针是否被恶意程序攻击。
21、作为本申请一优选实施例,所述确定所述监控探针是否被恶意程序攻击,包括:
22、通过文件系统过滤函数检查是否有恶意程序修改,删除探针程序文件,若有,则阻挡恶意程序攻击监控探针;或,
23、通过对象回调函数检查是否有恶意程序企图结束探针进程,若有,则阻挡恶意程序攻击监控探针;或,
24、通过注册表操作回调函数检查是否有恶意程序企图修改、删除探针相关的注册表,若有,则阻挡恶意程序攻击监控探针。
25、与现有技术相比,本申请实施例提供了一种域名定位捕获方法,包括:获取操作系统底层响应事件,并反馈到用户层,再由用户层反馈给检测引擎,由检测引擎进行检测得到威胁评估结果;根据检测引擎的评估结果,阻断恶意进程访问违规域名、阻断恶意进程运行、清除恶意进程和文件。通过本申请实施例解决当前存在的网络违规域名访问遏制、溯源具有显著的效果。可以精准定位终端源程序,并跟踪溯源源头程序及其文件所在路径,以实现彻底卸载、清除恶意文件及进程的目标。
26、第二方面,本申请实施例一种域名定位捕获装置,包括:
27、获取模块,用于获取操作系统底层响应事件,并反馈到用户层,再由用户层反馈给检测引擎,由检测引擎进行检测得到威胁评估结果;
28、阻断模块,用于根据检测引擎的评估结果,阻断恶意进程访问违规域名、阻断恶意进程运行、清除恶意进程和文件。
29、作为本申请一优选实施例,所述获取模块具体用于:
30、所述获取操作系统底层响应事件包括获取内核态数据和用户态数据。
31、第三方面,本申请实施例还提供了一种电子设备,包括至少一个处理单元以及至少一个存储单元,其中,所述存储单元存储有计算机程序,当所述程序被所述处理单元执行时,使得所述处理单元执行第一方面所述的方法。
32、与现有技术相比,第二方面和第三方面提供的技术方案的有益效果与与第一方面的有益效果相同在此不再赘述。
1.一种域名定位捕获方法,其特征在于,包括:
2.如权利要求1所述的一种域名定位捕获方法,其特征在于,所述获取操作系统底层响应事件,包括:
3.如权利要求2所述的一种域名定位捕获方法,其特征在于,所述所述内核态数据具体通过以下方式获取:
4.如权利要求2所述的一种域名定位捕获方法,其特征在于,所述用户态数据使用用户态应用程序进行获取,具体包括:
5.如权利要求1所述的一种域名定位捕获方法,其特征在于,在获取操作系统底层响应事件之前,包括:
6.如权利要求5所述的一种域名定位捕获方法,其特征在于,还包括:确定所述监控探针是否被恶意程序攻击。
7.如权利要求6所述的一种域名定位捕获方法,其特征在于,所述确定所述监控探针是否被恶意程序攻击,包括:
8.一种域名定位捕获装置,其特征在于,包括:
9.如权利要求1所述的一种域名定位捕获装置,其特征在于,所述获取模块具体用于:
10.一种电子设备,其特征在于,包括至少一个处理单元以及至少一个存储单元,其中,所述存储单元存储有计算机程序,当所述程序被所述处理单元执行时,使得所述处理单元执行权利要求1~8任一权利要求所述的方法。