專利名稱:一種蜜罐系統(tǒng)和運用該系統(tǒng)檢測木馬的方法
技術領域:
本發(fā)明屬于網(wǎng)絡安全技術領域���,具體涉及木馬程序的檢測系統(tǒng)和檢測方法���。
背景技術:
木馬程序利用系統(tǒng)的漏洞,通過internet達到控制服務端的目的?��,F(xiàn)在的木馬程序在未運行前一般難以檢測�,由于其不具有危險性���。但是當木馬程序被一些特定的動作觸發(fā)時�����,其會針對性地對一些控制端���、服務端進行控制,達到控制系統(tǒng)的目的�����。由于木馬程序會自動銷毀�,一般的生存周期在20分鐘左右。傳統(tǒng)的安全檢測軟件針對一些可疑的程序會進行分析�、判斷。傳統(tǒng)安全檢測軟件收集的往往是海量病毒樣本�����,通過上傳到服務器進行進一步地分析��,由于樣本量比較大���,分析時間比較長���,無法在短時間內給出判斷結果。簡單的基于云技術的搜集方式�����,由于樣本量巨大���,有可能在云計算中丟失該樣本����,無法精確����、快速地檢測出木馬在生存周期內的活動狀態(tài)�,更不用說進行進一步的防御��。因此需要一種快速�����、安全的檢測系統(tǒng)��。能在短時間內把木馬程序檢測出來����,并提醒用戶做進一步防御。隨著網(wǎng)購的發(fā)展���,支付安全已經越來越重要����。目前很多木馬程序在發(fā)布之前都會針對專門的防火墻�、殺毒軟件之類的安全防護軟件進行反復檢測,以求通過殺毒軟件�����,獲得更多的竊取價值。在這些木馬程序正式發(fā)布前�����,通過常見的殺毒軟件是必須的�,所以如果可以在木馬病毒在殺毒軟件測試的時候快速��、準確地獲得該木馬的行為特征��,可以有效地預防該木馬病毒�。
發(fā)明內容
為了在木馬生存周期內快速、精確發(fā)現(xiàn)木馬病毒���,本發(fā)明目的在于提供新型一種在病毒制作者正式發(fā)布木馬病毒之前���,利用安全防護軟件測試木馬病毒文件時就能發(fā)現(xiàn)木馬病毒的蜜罐系統(tǒng)和運用該系統(tǒng)檢測木馬的方法。為了實現(xiàn)上述目的����,本發(fā)明所采用技術方案如下:一種蜜罐系統(tǒng),包括安裝于用戶計算機操作系統(tǒng)的系統(tǒng)客戶端�����、與所述系統(tǒng)客戶端交互通信的系統(tǒng)服務器,在所述系統(tǒng)客戶端設有病毒作者過濾庫����,用于存儲預存的病毒作者的病毒作者行為規(guī)則,所述病毒作者行為規(guī)則包括安全防護軟件的數(shù)量��、安全防護軟件的操作次數(shù)和特征碼定位器�;在所述系統(tǒng)客戶端設有檢測模塊,用于檢測計算機安全防護軟件的數(shù)量���、安全防護軟件的掃描操作次數(shù)��、以及計算機中是否包含特征碼定位器��;在所述系統(tǒng)客戶端設有第一判斷模塊�����,用于判斷檢測模塊檢測的結果是否是病毒作者過濾庫中的病毒作者行為規(guī)則�����;在所述系統(tǒng)客戶端設有提示模塊���,用于提示計算機操作者使用安全防護軟件掃描的文件是否為病毒文件���;在所述系統(tǒng)客戶端設有提取模塊,用于上傳病毒作者掃描的文件至系統(tǒng)服務器��;在所述系統(tǒng)服務器設有木馬規(guī)則過濾庫�����,用于存儲常見的木馬行為規(guī)則���;在所述系統(tǒng)服務器設有第二判斷模塊,其根據(jù)木馬規(guī)則過濾庫判斷提取模塊上傳的文件是否為病毒文件�,并將判斷結果反饋至提示模塊,由提示模塊通過窗口提示模式提示用戶�����。
進一步地��,所述病毒作者行為規(guī)則包括計算機內安裝兩個以上安全防護軟件���、24小時內安全防護軟件掃描操作兩次以上�����、以及存在特征碼定位器�����。進一步地�����,所述檢測模塊檢測結果與病毒作者行為規(guī)則過濾庫中任一病毒作者行為規(guī)則匹配���,則第一判斷模塊判斷該計算機為病毒計算機����。一種運用上述蜜罐系統(tǒng)的檢測方法����,用于快速、精確檢測木馬病毒���,該檢測方法包括以下步驟�,檢測模塊檢測計算機內安裝安全防護軟件的數(shù)量�、24小時內安全防護軟件掃描操作次數(shù)以及計算機內是否存在特征碼定位器�����;第一判斷模塊判斷根據(jù)檢測模塊的檢測結果��,通過與病毒作者過濾庫中的病毒作者行為規(guī)則匹配��,判斷該計算機是否為病毒計算機��;若檢測模塊檢測結果與病毒作者行為規(guī)則過濾庫中任一病毒作者行為規(guī)則匹配�����,則第一判斷模塊判斷該計算機為病毒計算機;第一判斷模塊的判斷結果發(fā)送至提取模塊���;提取模塊提取計算機操作者使用安全防護軟件掃描的文件至系統(tǒng)服務器���;系統(tǒng)服務器的第二判斷模塊根據(jù)木馬規(guī)則過濾庫中的木馬行為規(guī)則判斷該文件是否為木馬文件;第二判斷模塊的判斷結果發(fā)送至系統(tǒng)客戶端的提示模塊�;提示模塊通過提示窗口的模式提示用戶。進一步地����,所述第一判斷模塊把該計算機為病毒計算機的判斷結果發(fā)送至提取模塊��;判斷結果為非病毒計算機則返回檢測模塊繼續(xù)檢測步驟����。進一步地�����,所述第二判斷模塊把判斷結果為木馬文件的判斷結果發(fā)送至客戶端的提示模塊��;判斷結果為非木馬文件則返回檢測模塊繼續(xù)檢測步驟�����。與現(xiàn)有的技術相比���,本發(fā)明的有益技術效果在于:本發(fā)明檢測模塊對計算機的安全防護軟件數(shù)量����、安全防護軟件掃描操作的次數(shù)��、以及計算機系統(tǒng)是否包含特征碼定位器進行檢測�����,第一判斷模塊根據(jù)檢測結果和病毒作者過濾庫判斷計算機的狀態(tài),如果是病毒計算機��,則對相應的文件進行進一步處理�����。這樣可以有效��、快速��、準確地從病毒制作者這個源頭上發(fā)現(xiàn)病毒��,在木馬病毒發(fā)布前就識別�����、并加以處理��。通過第二判斷模塊對文件進一步處理��,可以提前最新的木馬行為規(guī)則�,豐富了木馬規(guī)則過濾庫�。進一步達到了更好的防御和發(fā)現(xiàn)木馬的目的。本發(fā)明的檢測方法區(qū)別于云檢測���,具有很強的針對性�,可以快速、準確發(fā)現(xiàn)木馬病毒�����,達到很好的預防效果����。
此
所提供的圖片用來輔助對本發(fā)明的進一步理解,構成本申請的一部分����,并不構成對本發(fā)明的不當限定,在附圖中:圖1為本發(fā)明的結構示意圖�����;圖2為本發(fā)明檢測流程示意圖����。圖中:I—系統(tǒng)客戶端;11 一檢測模塊�;12—第一判斷模塊;13—提取模塊����;14一病毒作者過濾庫�;15—提示模塊��;2—系統(tǒng)服務器�����;21—木馬規(guī)則過濾庫�;22—第二判斷模塊。
具體實施例方式下面將結合附圖以及具體實施方法來詳細說明本發(fā)明��,在本發(fā)明的示意性實施及說明用來解釋本發(fā)明���,但并不作為對本發(fā)明的限定�����。本實施例包括安裝于用戶計算機操作系統(tǒng)的系統(tǒng)客戶端1、與系統(tǒng)客戶端I交互通信的系統(tǒng)服務器2兩大部分����。系統(tǒng)客戶端I設有檢測模塊11、第一判斷模塊12�����、提取模塊
13、病毒作者過濾庫14和提示模塊15���。系統(tǒng)服務器2設有木馬規(guī)則過濾庫21�,第二判斷模塊22���。所述檢測模塊11用于檢測計算機安全防護軟件的數(shù)量��、安全防護軟件的操作次數(shù)���、以及檢測利用安全防護軟件掃描的文件中是否包含特征碼定位器。所述病毒作者過濾庫14中存儲有預設的病毒作者的病毒作者行為規(guī)則�����,所述病毒作者行為規(guī)則包括安全防護軟件的數(shù)量�、安全防護軟件的掃描操作次數(shù)和特征碼定位器。所述第一判斷模塊12用于判斷檢測模塊11檢測的結果是否是病毒作者過濾庫14中的病毒作者行為規(guī)則���。所述提取模塊13用于上傳病毒作者掃描的文件至系統(tǒng)服務器2�����。所述提示模塊15用于提示計算機操作者使用安全防護軟件掃描的文件是否為病毒文件��。所述木馬規(guī)則過濾庫21用于存儲常見的木馬行為規(guī)則�。所述第二判斷模塊22根據(jù)木馬規(guī)則過濾庫21判斷提取模塊13上傳的文件是否為病毒文件,并將判斷結果反饋至提示模塊15����,由提示模塊15通過窗口提示模式提示用戶。木馬規(guī)則過濾庫21中的木馬行為規(guī)則根據(jù)多年以來搜集的木馬病毒的行為規(guī)則制定�����。比如:操作系統(tǒng)經常發(fā)布漏洞更新�,這些漏洞會成為木馬下手的切入點。木馬進程會對這些漏洞進行掃描�����,如果發(fā)現(xiàn)漏洞并沒有及時打補丁�,木馬就會利用這些漏洞盜取用戶信息。因此�����,掃描���、探測操作系統(tǒng)漏洞是一種木馬行為的表現(xiàn)�。還有一些使用用戶較多的安全防護軟件也會有漏洞���,這些漏洞與操作系統(tǒng)的服務端有聯(lián)系����,木馬進程會利用這些漏洞劫持安全防護軟件���,進而產生竊取用戶的信息等行為�。這些動作行為都是木馬具有的行為規(guī)則��,木馬行為過濾庫21就是存儲了大量這種木馬行為規(guī)則����。由于一個木馬病毒程序在發(fā)布前,木馬病毒制作者需要對其使用多款安全防護軟件對其進行掃描�����、檢測�,以求通過盡可能多的安全防護軟件的掃描、檢測。因此�����,病毒制作者使用的計算機中必然會安裝多款安全防護軟件����,并且這些安全軟件的使用頻率遠遠大于正常使用者。而且�,目前病毒制作者制作木馬病毒多使用特征碼定位器。特征碼定位器是一種通過修改特征碼避免查殺軟件查殺的程序��。病毒制作者利用安全防護軟件多次對木馬病毒掃描��,測試����,看看是否能通過。因此需要多次對木馬病毒程序修改�����,這種修改借助于特征碼定位器�����。因此,計算機中存在這種非正常人使用的程序多數(shù)是一些病毒制造者�����。通過檢測模塊11檢測計算機中安全防護軟件數(shù)量����、安全防護軟件的使用頻率�����、以及是否存在特征定位器可以初步判斷該計算機是否病毒制作者使用的計算機��。作為優(yōu)選�����,病毒作者過濾庫14中包括兩個以上安全防護軟件���,24小時內安全防護軟件運行兩次以上的病毒作者行為規(guī)則�。第一判斷模塊12根據(jù)檢測模塊11的檢測結果判斷該計算機是否為病毒計算機����。若檢測模塊11檢測到計算機中的安全防護軟件包括兩個以上����,或者24小時內任一安全防護軟件掃描操作的次數(shù)多于兩次�����,或計算機中包含特征碼定位器����。只要檢測模塊11的檢測結果滿足三者其一,則第一判斷模塊12判斷該計算機為病毒計算機���。第一判斷模塊12根據(jù)檢測模塊11的檢測結果與病毒作者過濾庫14中的病毒作者規(guī)則匹配���,當檢測結果滿足病毒作者過濾庫14中的3個病毒作者規(guī)則中的一個就判斷該計算機為病毒計算機并把判斷結果傳送至提取模塊13進一步處理。作為優(yōu)選�����,安全防護軟件包括殺毒軟件����、防火墻、木馬查殺器��、蠕蟲病毒專殺軟件等等。不同公司出品的安全防護軟件所用的查殺����、防護技術不同。因此�����,病毒作者過濾庫14的病毒作者規(guī)則的兩個以上安全防護軟件為相同或不同公司出品的安全防護軟件�����。這樣才能在更多使用不同安全防護軟件的用戶中逃避安全防護軟件的查殺���。提取模塊13接收到第一判斷模塊12的判斷結果,若判斷結果為病毒計算機�����,則提取模塊13提取計算機操作者使用安全軟件掃描的文件到系統(tǒng)服務器2中�。系統(tǒng)服務器2中木馬規(guī)則過濾庫21里存儲有預設的木馬規(guī)則行為。這些木馬行為規(guī)則經過多年的搜集包含了很多已有木馬的操作行為�����。其包括對文件自動壓縮或解壓,木馬捆綁在一些文件上��,造成文件增大��,將文件改名���,刪除文件�����,更改文件內容��,上傳下載文件����,掃描次數(shù)����,掃描天數(shù)和掃描對象,還包括利用系統(tǒng)自動運行程序啟動�����,修改注冊表���,偽裝文件����,修改組策略等行為。這些行為是木馬的特有行為��,也符合木馬規(guī)則過濾庫21中的木馬行為規(guī)則�。提取模塊13把第一判斷模塊12把該計算機判斷為病毒計算機的計算機操作者使用安全防護軟件對文件進行掃描的文件提取到系統(tǒng)服務器2中。系統(tǒng)服務器2包含有虛擬機����,可以模擬正常的計算機環(huán)境��,通過監(jiān)測判斷該文件的行為判斷該文件是否為木馬病毒文件����。若該文件的行為與木馬規(guī)則過濾庫21匹配,即該木馬在系統(tǒng)服務器2的虛擬機中表現(xiàn)出對文件自動壓縮或解壓�,木馬捆綁在一些文件上,造成文件增大����,將文件改名,刪除文件���,更改文件內容�,上傳下載文件,掃描次數(shù)���,掃描天數(shù)和掃描對象����,還包括利用系統(tǒng)自動運行程序啟動�,修改注冊表,偽裝文件��,修改組策略等行為���,則第二判斷模塊22判斷該文件為木馬文件���。第二判斷模塊22產生了判斷結果后,如果判斷結果反饋至提示模塊15�����。通過提示模塊15提示用戶��。系統(tǒng)客戶端I的提示模塊15,收到第二判斷模塊22發(fā)送的判斷結果��。判斷結果是木馬文件�,則通過彈出網(wǎng)頁窗口的形式或者發(fā)出聲音等形式警告用戶發(fā)現(xiàn)木馬文件,并停止用戶正在運行程序���。比如用戶在網(wǎng)購�,處于支付狀態(tài)時發(fā)現(xiàn)了木馬文件�����,通過窗口提示用戶支付狀態(tài)異常�����,停止交易��。本實施例的系統(tǒng)服務器2還設有后端處理系統(tǒng)�����。后端處理系統(tǒng)可以進一步分析被第二判斷模塊22判斷為木馬文件的文件�。從中提取更多新的木馬規(guī)則��,進一步更新木馬規(guī)則過濾庫21。舉例:第二判斷模塊22判斷提取模塊13上傳的文件為木馬文件�����,該木馬文件在系統(tǒng)服務器2的虛擬機中運行����,其包括了 5個行為信息,分別為:把文件屬性設置為只讀�,刪除系統(tǒng)文件,將木馬文件名稱改成系統(tǒng)文件的名稱����,修改注冊表load項,突然彈出一個警告窗口�。通過與木馬規(guī)則過濾庫21中的木馬行為規(guī)則對比,發(fā)現(xiàn)木馬行為規(guī)則中沒有突然彈出一個警告窗口這個行為信息����。因此,后端處理系統(tǒng)把該行為信息增加到木馬規(guī)則過濾庫21中�,更新了木馬行為規(guī)則過濾庫。本發(fā)明的蜜罐系統(tǒng)著重點在于發(fā)現(xiàn)木馬病毒的制作者�����,進而提取木馬文件的行為信息。通過發(fā)現(xiàn)木馬病毒的制作者��,有效地從源頭上對木馬文件進行分析����、監(jiān)控。更快�����,更準確地發(fā)現(xiàn)木馬病毒�����。一種運用本發(fā)明的檢測方法��,用于快速���、精確檢測木馬病毒�����,該檢測方法包括以下步驟,
檢測模塊11檢測計算機內安裝安全防護軟件的數(shù)量�、24小時內安全防護軟件掃描操作次數(shù)以及計算機內是否存在特征碼定位器;檢測模塊11對這三項數(shù)據(jù)進行檢測,并記錄檢測結果�。第一判斷模塊12判斷根據(jù)檢測模塊11的檢測結果,通過與病毒作者過濾庫14中的病毒作者行為規(guī)則匹配���,判斷該計算機是否為病毒計算機�。病毒作者行為規(guī)則包括:計算機內的安全軟件的數(shù)量在兩個以上���,24小時內安全防護軟件掃描操作次數(shù)兩次以上����,計算機內包含特征碼定位器�����。若檢測模塊11檢測結果與病毒作者行為規(guī)則過濾庫中任一病毒作者行為規(guī)則匹配�����,即檢測模塊檢測的結果中包含計算機內的安全軟件的數(shù)量在兩個以上或24小時內安全防護軟件掃描操作次數(shù)兩次以上或計算機內包含特征碼定位器或這三種的組合�,則第一判斷模塊12判斷該計算機為病毒計算機。第一判斷模塊12的把判斷為病毒計算機的判斷結果發(fā)送至提取模塊13�����。若檢測的結果為安全軟件的數(shù)量為一個或24小時內安全防護軟件掃描操作次數(shù)一次或計算機內沒有特征碼定位器,則判斷該計算機為正常計算機���,檢測模塊繼續(xù)檢測�。提取模塊13接收到第一判斷模塊12的判斷結果后�,提取計算機操作者使用安全防護軟件掃描的文件至系統(tǒng)服務器2。文件在系統(tǒng)服務器的虛擬機中安裝��,由虛擬機檢測其運行狀態(tài)���,提取其行為規(guī)則����。系統(tǒng)服務器2的第二判斷模塊22根據(jù)木馬規(guī)則過濾庫21中的木馬行為規(guī)則判斷該文件是否為木馬文件����。木馬規(guī)則過濾庫中存儲有大量的預設的木馬行為規(guī)則,若上傳至系統(tǒng)服務器2中的文件在虛擬機中具有木馬規(guī)則過濾庫中的木馬行為規(guī)則�����,則第二判斷模塊22判斷該文件為木馬文件�����。第二判斷模塊22的判斷結果發(fā)送至系統(tǒng)客戶端I的提示模塊15����。提示模塊15接收第二判斷模塊22的判斷結果,如果第二判斷模塊22的判斷結果是木馬文件�����,則通過提示窗口的模式提示用戶��。如果第二判斷模塊22的判斷結果不是木馬文件���,則返回檢測模塊11繼續(xù)檢測���。以上對本發(fā)明實施例所提供的技術方案進行了詳細介紹,本文中應用了具體個例對本發(fā)明實施例的原理以及實施方式進行了闡述�����,以上實施例的說明只適用于幫助理解本發(fā)明實施例的原理�����;同時��,對于本領域的一般技術人員,依據(jù)本發(fā)明實施例�,在具體實施方式
以及應用范圍上均會有改變之處,綜上所述���,本說明書內容不應理解為對本發(fā)明的限制�。
權利要求
1.一種蜜罐系統(tǒng)�,包括安裝于用戶計算機操作系統(tǒng)的系統(tǒng)客戶端、與所述系統(tǒng)客戶端交互通信的系統(tǒng)服務器����,其特征在于: 在所述系統(tǒng)客戶端設有病毒作者過濾庫,用于存儲預存的病毒作者的病毒作者行為規(guī)貝U�,所述病毒作者行為規(guī)則包括安全防護軟件的數(shù)量、安全防護軟件的掃描操作次數(shù)和特征碼定位器����; 在所述系統(tǒng)客戶端設有檢測模塊,用于檢測計算機安全防護軟件的數(shù)量��、安全防護軟件的掃描操作次數(shù)�、以及計算機中是否包含特征碼定位器; 在所述系統(tǒng)客戶端設有第一判斷模塊��,用于判斷檢測模塊檢測的結果是否是病毒作者過濾庫中的病毒作者行為規(guī)則; 在所述系統(tǒng)客戶端設有提示模塊���,用于提示計算機操作者使用安全防護軟件掃描的文件是否為病毒文件����; 在所述系統(tǒng)客戶端設有提取模塊����,用于上傳病毒作者掃描的文件至系統(tǒng)服務器�; 在所述系統(tǒng)服務器設有木馬規(guī)則過濾庫,用于存儲常見的木馬行為規(guī)則�; 在所述系統(tǒng)服務器設有第二判斷模塊,其根據(jù)木馬規(guī)則過濾庫判斷提取模塊上傳的文件是否為病毒文件���,并將判斷結果反饋至提示模塊���,由提示模塊通過窗口提示模式提示用戶。
2.根據(jù)權利要求1所述的蜜罐系統(tǒng)��,其特征在于:所述病毒作者行為規(guī)則包括計算機內安裝兩個以上安全防護軟件��、24小時內安全防護軟件掃描操作兩次以上��、以及存在特征碼定位器�。
3.根據(jù)權利要求1或2所述的蜜罐系統(tǒng)��,其特征在于:所述檢測模塊檢測結果與病毒作者行為規(guī)則過濾庫中任一病毒作者行為規(guī)則匹配�����,則第一判斷模塊判斷該計算機為病毒計算機����。
4.一種運用權利要求1-3任一所述蜜罐系統(tǒng)檢測木馬的方法����,用于快速、精確檢測木馬病毒�����,其特征在于�,該檢測方法包括以下步驟: 檢測模塊檢測計算機內安裝安全防護軟件的數(shù)量、24小時內安全防護軟件掃描操作次數(shù)以及計算機內是否存在特征碼定位器���; 第一判斷模塊判斷根據(jù)檢測模塊的檢測結果�,通過與病毒作者過濾庫中的病毒作者行為規(guī)則匹配���,判斷該計算機是否為病毒計算機����;若檢測模塊檢測結果與病毒作者行為規(guī)則過濾庫中任一病毒作者行為規(guī)則匹配,則第一判斷模塊判斷該計算機為病毒計算機�;第一判斷模塊的判斷結果發(fā)送至提取模塊; 提取模塊提取計算機操作者使用安全防護軟件掃描的文件至系統(tǒng)服務器���; 系統(tǒng)服務器的第二判斷模塊根據(jù)木馬規(guī)則過濾庫中的木馬行為規(guī)則判斷該文件是否為木馬文件�;第二判斷模塊的判斷結果發(fā)送至系統(tǒng)客戶端的提示模塊�����; 提示模塊通過提示窗口的模式提示用戶���。
5.根據(jù)權利要求4所述的方法,其特征在于:所述第一判斷模塊把該計算機為病毒計算機的判斷結果發(fā)送至提取模塊����;判斷結果為非病毒計算機則返回檢測模塊繼續(xù)檢測步驟。
6.根據(jù)權利要求4所述的方法�����,其特征在于:所述第二判斷模塊把判斷結果為木馬文件的判斷結果發(fā)送至客戶端的提示模塊;判斷結果為非木馬文件則返回檢測模塊繼續(xù)檢測步驟����。
全文摘要
本發(fā)明公開了一種蜜罐系統(tǒng)和運用該系統(tǒng)檢測木馬的方法,包括安裝于用戶計算機操作系統(tǒng)的系統(tǒng)客戶端����、與系統(tǒng)客戶端交互通信的系統(tǒng)服務器,所述系統(tǒng)客戶端設有第一判斷模塊���、檢測模塊���、提示模塊和提取模塊;所述系統(tǒng)服務器設有木馬規(guī)則過濾庫和第二判斷模塊��;本系統(tǒng)通過系統(tǒng)客戶端從源頭發(fā)現(xiàn)木馬病毒的源頭病毒作者�,在系統(tǒng)服務器對病毒作者使用安全防護軟件掃描的文件進行木馬判斷。本發(fā)明區(qū)別基于“云”的搜集方式�,可以從源頭快速、準確檢測木馬文件并對用戶進行提示�����。
文檔編號G06F21/56GK103150512SQ20131008663
公開日2013年6月12日 申請日期2013年3月18日 優(yōu)先權日2013年3月18日
發(fā)明者陳章群, 楊銳, 陳睿 申請人:珠海市君天電子科技有限公司, 北京金山安全軟件有限公司, 貝殼網(wǎng)際(北京)安全技術有限公司, 北京金山網(wǎng)絡科技有限公司