專利名稱:一種檢測(cè)和防御計(jì)算機(jī)惡意程序的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種檢測(cè)和防御計(jì)算機(jī)病毒、木馬程序等惡意破壞程序的技術(shù)�,特別是能檢測(cè)和防御未知惡意程序的系統(tǒng)和方法。
背景技術(shù):
長(zhǎng)期以來(lái)�����,以計(jì)算機(jī)病毒����、邏輯炸彈、特洛伊木馬程序����、間諜程序?yàn)橹鞯膱?zhí)行結(jié)果具有破壞性(毀壞系統(tǒng)、篡改文件���、影響系統(tǒng)穩(wěn)定與執(zhí)行效率���、竊取信息等)的計(jì)算機(jī)程序(以下統(tǒng)稱惡意程序)一直是計(jì)算機(jī)使用中的重大問(wèn)題,它們對(duì)信息安全具有重大的威脅����。這些惡意程序種類繁多,傳播方式多樣���,讓人防不勝防���,如很多惡意程序利用操作系統(tǒng)的漏洞通過(guò)網(wǎng)絡(luò)傳播或通過(guò)感染計(jì)算機(jī)中的可執(zhí)行文件傳播�;有的惡意程序(如特洛伊木馬程序)經(jīng)常偽裝成正常程序����,引誘用戶執(zhí)行,從而達(dá)到某種目的�。它們一旦發(fā)作就會(huì)對(duì)計(jì)算機(jī)系統(tǒng)造成破壞,輕則篡改文件���、影響系統(tǒng)穩(wěn)定與執(zhí)行效率�、竊取信息�����,重則導(dǎo)致系統(tǒng)癱瘓�����,甚至破壞系統(tǒng)硬件部分��。
目前普遍使用的殺毒軟件技術(shù)大多只能檢測(cè)和殺除已知類型的惡意程序程序,且普遍采用特征碼匹配技術(shù)��。這種方法無(wú)法有效判斷未知惡意程序�����,只有在惡意程序被病毒分析人員分析提取特征碼并加入病毒庫(kù)中后才可以被檢測(cè)��。
目前也有人開(kāi)發(fā)了能夠檢測(cè)未知病毒的殺毒技術(shù)�����,例如廣譜查毒����、啟發(fā)式查毒等����,通過(guò)對(duì)大量病毒的行為特征進(jìn)行描述分析,將經(jīng)典的病毒行為特征串作為檢測(cè)標(biāo)準(zhǔn)�����,主要通過(guò)經(jīng)驗(yàn)判斷�。此方法誤報(bào)率和漏報(bào)率較高。此類方法依然屬于靜態(tài)特征字符串匹配類型。
還有的通過(guò)在“虛擬計(jì)算機(jī)”中模擬執(zhí)行待檢測(cè)程序的方法�����,可以在一個(gè)軟件模擬的計(jì)算機(jī)環(huán)境中執(zhí)行目標(biāo)程序�����,并放置誘餌文件���,引誘病毒執(zhí)行����,通過(guò)檢測(cè)虛擬環(huán)境中誘餌文件是否改變來(lái)檢測(cè)未知病毒的方法��。此方法利用虛擬機(jī)技術(shù)��,可以判定一部分未知病毒�����。但是�����,由于虛擬機(jī)環(huán)境與真實(shí)計(jì)算機(jī)環(huán)境的差異,不能完整的模擬系統(tǒng)��。并且由于檢測(cè)時(shí)需要啟動(dòng)一個(gè)虛擬機(jī)��,占用系統(tǒng)資源較大��,只能實(shí)現(xiàn)查毒����,無(wú)法在程序執(zhí)行時(shí)實(shí)時(shí)監(jiān)測(cè)防御����。
虛擬機(jī)運(yùn)行待檢測(cè)程序判斷惡意程序的方法,主要有兩方面問(wèn)題�����。一是占用系統(tǒng)資源巨大����,無(wú)法做到在程序運(yùn)行時(shí)實(shí)時(shí)檢測(cè),只能通過(guò)人為去執(zhí)行檢測(cè)�。二是,虛擬機(jī)環(huán)境與真機(jī)之間的差異��。已經(jīng)發(fā)現(xiàn)有病毒可以專門針對(duì)此種虛擬機(jī)進(jìn)行特定操作,如發(fā)現(xiàn)自身在虛擬環(huán)境中運(yùn)行則不執(zhí)行破壞操作����,以躲避檢測(cè),更有甚者會(huì)針對(duì)特定虛擬機(jī)的漏洞進(jìn)行攻擊��。
發(fā)明內(nèi)容
針對(duì)上述現(xiàn)有檢測(cè)惡意程序技術(shù)中的問(wèn)題�,本發(fā)明的目的在于提供一種能在真實(shí)環(huán)境中運(yùn)行、占用系統(tǒng)資源少���、誤報(bào)率低�����、能實(shí)時(shí)進(jìn)行有效檢測(cè)和防御已知及未知病毒的系統(tǒng)���。
本發(fā)明的另一目的在于提供一種能在真實(shí)環(huán)境中運(yùn)行、占用系統(tǒng)資源少����、誤報(bào)率低、能實(shí)時(shí)進(jìn)行有效檢測(cè)和防御已知及未知病毒的方法����。
本發(fā)明的目的是通過(guò)如下的技術(shù)方案實(shí)現(xiàn)的一種檢測(cè)和防御計(jì)算機(jī)惡意程序的系統(tǒng)�����,包括計(jì)算機(jī)操作系統(tǒng)監(jiān)控裝置����,用于收集目標(biāo)程序執(zhí)行的動(dòng)作信息���;目標(biāo)程序行為記錄裝置���,用于臨時(shí)保存目標(biāo)程序所進(jìn)行的操作記錄���,并記錄修改前后的文件�、注冊(cè)表內(nèi)容�;已知行為特征存儲(chǔ)裝置,用于保存已知的���、整理到的特定操作信息��,并存儲(chǔ)有各種操作相對(duì)應(yīng)的威脅級(jí)別權(quán)值��;目標(biāo)程序行為識(shí)別分析裝置����,用于比較目標(biāo)程序行為與已知行為特征,根據(jù)目標(biāo)程序行為對(duì)應(yīng)的威脅級(jí)別權(quán)值進(jìn)行加權(quán)計(jì)算����,達(dá)到一定閾值則確定該目標(biāo)程序?yàn)閻阂獬绦颍唤Y(jié)果調(diào)度處理裝置�,用于對(duì)目標(biāo)程序行為識(shí)別分析裝置確定為惡意程序的目標(biāo)程序進(jìn)行終止操作并通知用戶進(jìn)行處理或者自行調(diào)度處理;惡意行為撤銷裝置�,用于對(duì)被推斷為惡意程序的目標(biāo)程序所執(zhí)行的保存于目標(biāo)程序行為記錄裝置中的操作進(jìn)行撤銷。
所述系統(tǒng)還包括用戶交互控制裝置����,用于對(duì)經(jīng)過(guò)結(jié)果調(diào)度處理裝置傳送來(lái)的被終止的目標(biāo)程序進(jìn)行處理,并反饋給結(jié)果調(diào)度處理裝置���。
所述系統(tǒng)還包括惡意程序報(bào)告裝置�����,用于對(duì)目標(biāo)程序行為識(shí)別分析裝置確定為惡意程序的程序文件或無(wú)法確定的文件�,在結(jié)果調(diào)度處理裝置的處理下通過(guò)網(wǎng)絡(luò)提交給有關(guān)部門或?qū)I(yè)反病毒公司�����,交由專業(yè)分析人員分析。
一種檢測(cè)和防御計(jì)算機(jī)惡意程序的方法����,包括正常的啟動(dòng)和結(jié)束步驟外,該方法還包括以下步驟目標(biāo)程序行為收集步驟����,收集目標(biāo)程序執(zhí)行的動(dòng)作信息���;目標(biāo)程序行為記錄步驟�����,臨時(shí)保存目標(biāo)程序所進(jìn)行的操作記錄�,并記錄修改前后的文件���、注冊(cè)表內(nèi)容�����;目標(biāo)程序行為識(shí)別分析步驟�����,比較目標(biāo)程序行為與已知行為特征��,根據(jù)目標(biāo)程序行為對(duì)應(yīng)的威脅級(jí)別權(quán)值進(jìn)行加權(quán)計(jì)算����,達(dá)到一定閾值則確定該目標(biāo)程序?yàn)閻阂獬绦颍唤Y(jié)果調(diào)度處理步驟對(duì)目標(biāo)程序行為識(shí)別分析裝置確定為惡意程序的目標(biāo)程序進(jìn)行終止操作并通知用戶進(jìn)行處理或者自行調(diào)度處理�;惡意行為撤銷步驟,對(duì)被推斷為惡意程序的目標(biāo)程序所執(zhí)行的操作進(jìn)行撤銷���。
所述方法還包括用戶交互控制步驟�����,對(duì)經(jīng)過(guò)結(jié)果調(diào)度處理裝置傳送來(lái)的被終止的目標(biāo)程序進(jìn)行處理��,并反饋給結(jié)果調(diào)度處理裝置�����。
所述系統(tǒng)還包括惡意程序報(bào)告步驟��,對(duì)被確定為惡意程序的程序文件或無(wú)法確定的文件�����,經(jīng)過(guò)系統(tǒng)調(diào)度或者用戶交互控制通過(guò)網(wǎng)絡(luò)提交給有關(guān)部門����,或?qū)I(yè)反病毒公司,交由專業(yè)分析人員分析����。
本發(fā)明根據(jù)惡意程序要達(dá)到其傳播、隱藏�����、破壞的目的�����,要進(jìn)行一些特定的操作的特性�����。將收集到的目標(biāo)程序執(zhí)行的操作�����,與已知行為(經(jīng)過(guò)計(jì)算機(jī)安全人員對(duì)已有惡意程序的操作信息分析��,積累出的經(jīng)典的危險(xiǎn)操作行為)相對(duì)照�����,并對(duì)系統(tǒng)敏感文件���、敏感磁盤位置進(jìn)行監(jiān)控����,可以自動(dòng)推定目標(biāo)程序的危險(xiǎn)級(jí)別��。當(dāng)推定一個(gè)程序的操作具有破壞性時(shí)��,便暫停目標(biāo)程序����,并反饋給計(jì)算機(jī)操作人員進(jìn)行相應(yīng)處理或者系統(tǒng)自行進(jìn)行調(diào)度處理。本發(fā)明是根據(jù)目標(biāo)程序在真實(shí)計(jì)算機(jī)中運(yùn)行所產(chǎn)生的結(jié)果進(jìn)行判斷��,與已有的文件靜態(tài)掃描���,虛擬機(jī)執(zhí)行等方法不同��,具有占用系統(tǒng)資源少�����、誤報(bào)率低����、能實(shí)時(shí)進(jìn)行有效檢測(cè)和防御已知及未知病毒。既可以判斷惡意程序�����,又可以有效防護(hù)系統(tǒng)安全�,還可以對(duì)危險(xiǎn)操作進(jìn)行恢復(fù)操作。因此����,此項(xiàng)發(fā)明對(duì)于扼制計(jì)算機(jī)病毒傳播具有一定意義。
圖1為包含本發(fā)明檢測(cè)和防御計(jì)算機(jī)惡意程序的系統(tǒng)的計(jì)算機(jī)結(jié)構(gòu)示意圖����;圖2為本發(fā)明檢測(cè)和防御計(jì)算機(jī)惡意程序的方法的工作流程圖;具體實(shí)施方式
如圖1所示�,在一個(gè)普通的計(jì)算機(jī)系統(tǒng)中,裝有一個(gè)可由該計(jì)算機(jī)執(zhí)行的檢測(cè)和防御計(jì)算機(jī)惡意程序的系統(tǒng)1����、目標(biāo)程序2、計(jì)算機(jī)操作系統(tǒng)3�����、以及網(wǎng)絡(luò)連接模塊4��、文件系統(tǒng)5�、注冊(cè)表數(shù)據(jù)庫(kù)6;在該計(jì)算機(jī)中還帶有通常的CPU�����、內(nèi)存儲(chǔ)設(shè)備和外存儲(chǔ)設(shè)備(圖中未示出)����。所述目標(biāo)程序2可以存在于計(jì)算機(jī)內(nèi)外存儲(chǔ)設(shè)備的文件以及從網(wǎng)絡(luò)下載和傳輸?shù)奈募驍?shù)據(jù)包中。所述目標(biāo)程序2能夠在所述計(jì)算機(jī)操作系統(tǒng)3中運(yùn)行�����,并能夠調(diào)用相關(guān)功能函數(shù)達(dá)到操作所述網(wǎng)絡(luò)連接模塊���、文件系統(tǒng)����、注冊(cè)表數(shù)據(jù)庫(kù)等軟硬件。所述檢測(cè)和防御計(jì)算機(jī)惡意程序的系統(tǒng)1能夠通過(guò)對(duì)所述目標(biāo)程序調(diào)用相關(guān)功能函數(shù)的過(guò)程進(jìn)行有效監(jiān)控�。
所述檢測(cè)和防御計(jì)算機(jī)惡意程序的系統(tǒng)1包括計(jì)算機(jī)操作系統(tǒng)監(jiān)控裝置11,用于收集目標(biāo)程序執(zhí)行動(dòng)作信息��,是所述檢測(cè)和防御計(jì)算機(jī)惡意程序的系統(tǒng)1中最基本的裝置�,又稱為目標(biāo)程序行為收集裝置。所述計(jì)算機(jī)操作系統(tǒng)監(jiān)控裝置11一般包括文件監(jiān)控模塊111�、進(jìn)程監(jiān)控模塊112、網(wǎng)絡(luò)監(jiān)控模塊113��、注冊(cè)表監(jiān)控模塊114�。
所述文件監(jiān)控模塊111,通過(guò)掛接操作系統(tǒng)文件操作�����,可以監(jiān)控目標(biāo)程序2的每一個(gè)讀寫文件請(qǐng)求���。因?yàn)閷?duì)于傳統(tǒng)文件傳染型病毒����,包括DOS�、PE病毒��,為了達(dá)到傳播復(fù)制的目的��,必須對(duì)被感染EXE或COM文件進(jìn)行改寫;傳統(tǒng)引導(dǎo)型病毒���,會(huì)改寫軟盤及硬盤引導(dǎo)扇區(qū)特定位置���;對(duì)于木馬、間諜軟件等惡意程序����,為了實(shí)現(xiàn)破壞或竊取信息目的,也會(huì)對(duì)特定文件進(jìn)行讀寫操作����。為了增加對(duì)惡意程序判定的準(zhǔn)確率,可以在系統(tǒng)中放置特定的誘餌文件��;或特別通過(guò)文件監(jiān)控收集目標(biāo)程序?qū)Σ僮飨到y(tǒng)敏感文件的讀寫操作���。通過(guò)文件監(jiān)控模塊可以將以上目標(biāo)程序的操作截獲����,并將此動(dòng)作信息提交給目標(biāo)程序行為記錄裝置12。
進(jìn)程監(jiān)控模塊112����,監(jiān)控目標(biāo)程序2執(zhí)行的系統(tǒng)調(diào)用。
網(wǎng)絡(luò)監(jiān)控模塊113����,由于大多新型病毒通過(guò)網(wǎng)絡(luò)進(jìn)行傳播,木馬�、間諜程序竊取信息也大多通過(guò)網(wǎng)絡(luò)發(fā)送。通過(guò)監(jiān)控目標(biāo)程序2網(wǎng)絡(luò)連接與發(fā)送行為����,供上層分析程序參考。
注冊(cè)表監(jiān)控模塊114�����,操作系統(tǒng)注冊(cè)表是操作系統(tǒng)各種重要信息���、系統(tǒng)配置的數(shù)據(jù)庫(kù)���。其中一些重要內(nèi)容,如系統(tǒng)啟動(dòng)運(yùn)行項(xiàng)目�、文件類型關(guān)聯(lián)等等�����,一旦被改動(dòng)���,對(duì)系統(tǒng)安全會(huì)造成不確定影響。注冊(cè)表監(jiān)控模塊114會(huì)將目標(biāo)程序2對(duì)注冊(cè)表所進(jìn)行改動(dòng)操作收集匯報(bào)給目標(biāo)行為記錄裝置�。
目標(biāo)程序行為記錄裝置12���,用于臨時(shí)保存目標(biāo)程序2所進(jìn)行的敏感操作記錄���,并記錄修改后的文件、注冊(cè)表內(nèi)容����。供行為識(shí)別分析裝置判斷目標(biāo)程序2的威脅級(jí)別,并在確認(rèn)惡意程序后供惡意行為撤銷裝置用于恢復(fù)修復(fù)系統(tǒng)原有狀態(tài)�����。
已知行為特征存儲(chǔ)裝置14���,用于保存根據(jù)對(duì)已知惡意程序的分析���,總結(jié)整理出的經(jīng)典行為參考數(shù)據(jù)�,包括有各種操作威脅級(jí)別的權(quán)值�����;用于輔助判定�����,提高惡意程序識(shí)別的效率與準(zhǔn)確程度��;目標(biāo)程序行為識(shí)別分析裝置13����,根據(jù)計(jì)算機(jī)操作系統(tǒng)監(jiān)控裝置11收集的目標(biāo)程序行為,以及存儲(chǔ)于已知行為特征存儲(chǔ)裝置14現(xiàn)有的行為特征��,進(jìn)行綜合判斷�����;并根據(jù)目標(biāo)程序行為對(duì)應(yīng)的威脅級(jí)別權(quán)值進(jìn)行加權(quán)計(jì)算����,達(dá)到一定閾值則確認(rèn)為該目標(biāo)程序?yàn)閻阂獬绦?。它利用惡意程序行為的基本特征感染性��、敏感系統(tǒng)文件操作等特性來(lái)綜合檢測(cè)惡意程序�����。對(duì)于無(wú)法確定的惡意程序���,可以通過(guò)結(jié)合傳統(tǒng)病毒特征碼技術(shù)進(jìn)行掃描����。
惡意程序行為撤銷裝置15�����,用于在已經(jīng)判定目標(biāo)程序?yàn)閻阂獬绦蚝?,根?jù)目標(biāo)行為記錄裝置12中所保存的目標(biāo)程序所執(zhí)行的操作行為記錄��,反向進(jìn)行回滾操作�����,以撤銷其對(duì)系統(tǒng)的影響,恢復(fù)到保存的之前狀態(tài)��。因?yàn)橛行┎僮鳠o(wú)法撤銷(如發(fā)送網(wǎng)絡(luò)數(shù)據(jù))���,因此此方法理論上不能做到完全的防御����,但卻可以通過(guò)優(yōu)化將惡意程序?qū)ο到y(tǒng)及網(wǎng)絡(luò)的破壞減到最小����。
結(jié)果調(diào)度處理裝置16,用于對(duì)目標(biāo)程序行為識(shí)別分析裝置13確定為惡意程序的目標(biāo)程序2進(jìn)行掛起(終止)操作并通知用戶進(jìn)行處理或者自行調(diào)度處理����。即當(dāng)目標(biāo)程序行為識(shí)別分析裝置13判斷目標(biāo)程序2具有一定威脅程度,便掛起(終止)目標(biāo)程序2���,并通知用戶進(jìn)行處理或者自行調(diào)度處理��。自行處理可以調(diào)用惡意程序行為撤銷裝置恢復(fù)系統(tǒng)狀態(tài)或者通過(guò)惡意程序報(bào)告裝置上報(bào)相關(guān)機(jī)構(gòu)�。
所述檢測(cè)和防御計(jì)算機(jī)惡意程序的系統(tǒng)1還包括用戶交互控制裝置17���,用于對(duì)經(jīng)過(guò)結(jié)果調(diào)度處理裝置16傳送來(lái)的被掛起的目標(biāo)程序進(jìn)行處理(一般以彈出式菜單供用戶選擇)�����,并反饋相關(guān)信息給結(jié)果調(diào)度處理裝置16�����。此時(shí)���,用戶可以選擇忽略繼續(xù)執(zhí)行����、調(diào)用惡意程序行為撤銷裝置恢復(fù)系統(tǒng)狀態(tài)和/或通過(guò)惡意程序報(bào)告裝置上報(bào)相關(guān)機(jī)構(gòu)�;
惡意程序報(bào)告裝置18,用于將被確定為惡意程序的目標(biāo)程序文件���,或無(wú)法確定的目標(biāo)程序文件���,通過(guò)網(wǎng)絡(luò)提交給有關(guān)部門����,或?qū)I(yè)反病毒公司,交由專業(yè)分析人員分析���。這將有利于突發(fā)新病毒的早發(fā)現(xiàn)����,早處理,可以遏制病毒傳播���。
如圖2所示為本發(fā)明檢測(cè)和防御計(jì)算機(jī)惡意程序方法的工作流程圖�。該流程的各個(gè)步驟如下S0����、啟動(dòng)啟動(dòng)檢測(cè)和防御計(jì)算機(jī)惡意程序的系統(tǒng)1。在啟動(dòng)檢測(cè)和防御計(jì)算機(jī)惡意程序的系統(tǒng)1之前操作系統(tǒng)3業(yè)已啟動(dòng)�����,否則沒(méi)辦法啟動(dòng)上述系統(tǒng)1����;為了達(dá)到理想效果,最好在啟動(dòng)檢測(cè)和防御計(jì)算機(jī)惡意程序的系統(tǒng)1之后再啟動(dòng)目標(biāo)程序2��。
S1�、目標(biāo)程序行為收集步驟在該步驟中,所述目標(biāo)程序2發(fā)出調(diào)用系統(tǒng)的請(qǐng)求���,所述計(jì)算機(jī)操作系統(tǒng)監(jiān)控裝置11通過(guò)對(duì)目標(biāo)程序2在所述操作系統(tǒng)3中運(yùn)行時(shí)發(fā)出的調(diào)用請(qǐng)求監(jiān)控收集目標(biāo)程序2欲執(zhí)行的動(dòng)作信息�;這些監(jiān)控包括文件監(jiān)控、進(jìn)程監(jiān)控�、網(wǎng)絡(luò)監(jiān)控、注冊(cè)表監(jiān)控等�。
S2、目標(biāo)程序行為記錄步驟臨時(shí)保存來(lái)自計(jì)算機(jī)操作系統(tǒng)監(jiān)控裝置11收集來(lái)的目標(biāo)程序2所進(jìn)行的操作記錄信息���,并記錄修改后的文件����、注冊(cè)表內(nèi)容��。與此同時(shí)��,操作系統(tǒng)執(zhí)行目標(biāo)程序的動(dòng)作��。
S3�、目標(biāo)程序行為識(shí)別分析步驟根據(jù)保存于目標(biāo)程序行為記錄裝置12中的來(lái)自計(jì)算機(jī)操作系統(tǒng)監(jiān)控裝置11收集的目標(biāo)程序行為,以及存儲(chǔ)于已知行為特征存儲(chǔ)裝置14現(xiàn)有的行為特征���,進(jìn)行綜合判斷;并根據(jù)目標(biāo)程序行為對(duì)應(yīng)的威脅級(jí)別權(quán)值進(jìn)行加權(quán)計(jì)算����,達(dá)到一定閾值則確認(rèn)為該目標(biāo)程序?yàn)閻阂獬绦?����;而且目?biāo)程序行為對(duì)應(yīng)的威脅級(jí)別加權(quán)值越高��,該惡意程序的危險(xiǎn)程度越高��。否則�����,認(rèn)為該目標(biāo)程序?yàn)檎3绦?�,?zhí)行步驟S6�����。
S4���、結(jié)果調(diào)度處理在本步驟中,通過(guò)步驟S3被確定為惡意程序的目標(biāo)程序?qū)?huì)被終止執(zhí)行��;并通知用戶進(jìn)行處理或者自行調(diào)度處理�。自行處理可以調(diào)用惡意程序行為撤銷裝置恢復(fù)系統(tǒng)狀態(tài)和/或者通過(guò)惡意程序報(bào)告裝置上報(bào)相關(guān)機(jī)構(gòu)��。
S5���、惡意程序行為撤銷步驟,對(duì)于被確認(rèn)為惡意程序的目標(biāo)程序所執(zhí)行的操作�,根據(jù)目標(biāo)行為記錄裝置12中所保存的目標(biāo)程序所執(zhí)行的操作行為記錄,反向進(jìn)行回滾操作�����,以撤銷其對(duì)系統(tǒng)的影響�,恢復(fù)到保存的之前狀態(tài);并執(zhí)行步驟S7�����。
S6����、判斷是否結(jié)束檢測(cè)系統(tǒng),如果不結(jié)束����,則返回步驟S1進(jìn)行循環(huán)檢測(cè);如果結(jié)束,則執(zhí)行步驟S7����。
S7�、結(jié)束檢測(cè)系統(tǒng)的運(yùn)行。
所述檢測(cè)和防御計(jì)算機(jī)惡意程序的方法1還包括如下步驟S8�、用戶交互控制步驟用戶對(duì)經(jīng)過(guò)結(jié)果調(diào)度處理裝置16傳送來(lái)的被終止的目標(biāo)程序進(jìn)行處理(一般以彈出式菜單供用戶選擇)。用戶可以選擇忽略繼續(xù)執(zhí)行�、調(diào)用惡意程序行為撤銷裝置恢復(fù)系統(tǒng)狀態(tài)和/或通過(guò)惡意程序報(bào)告裝置上報(bào)相關(guān)機(jī)構(gòu);然后可以結(jié)束��。
S9��、惡意程序報(bào)告步驟����,對(duì)被確定為惡意程序的程序文件或無(wú)法確定的文件,經(jīng)過(guò)系統(tǒng)調(diào)度或者用戶交互控制通過(guò)網(wǎng)絡(luò)提交給有關(guān)部門或?qū)I(yè)反病毒公司���,交由專業(yè)分析人員分析���。
本發(fā)明的上述惡意程序檢測(cè)與防御系統(tǒng)都可以通過(guò)普通的計(jì)算機(jī)編程語(yǔ)言(如C語(yǔ)言等)編制相應(yīng)的軟件程序來(lái)實(shí)現(xiàn),該系統(tǒng)可以裝在計(jì)算機(jī)中運(yùn)行��;可以包含在軟盤���、光盤等介質(zhì)中進(jìn)行銷售和運(yùn)行使用����;也可以通過(guò)網(wǎng)絡(luò)和互聯(lián)網(wǎng)的方式進(jìn)行傳播和下載執(zhí)行。
本發(fā)明的實(shí)施例不能認(rèn)為是對(duì)本發(fā)明的一種限制���,本領(lǐng)域的技術(shù)人員在本發(fā)明的基礎(chǔ)上所做的非實(shí)質(zhì)性的改進(jìn)或改變都應(yīng)該落入本發(fā)明權(quán)利要求書的保護(hù)范圍����。
權(quán)利要求
1.一種檢測(cè)和防御計(jì)算機(jī)惡意程序的系統(tǒng)�����,其特征在于����,該系統(tǒng)包括計(jì)算機(jī)操作系統(tǒng)監(jiān)控裝置,用于收集目標(biāo)程序執(zhí)行的動(dòng)作信息�;目標(biāo)程序行為記錄裝置,用于臨時(shí)保存目標(biāo)程序所進(jìn)行的操作記錄��,并記錄修改前后的文件����、注冊(cè)表內(nèi)容����;已知行為特征存儲(chǔ)裝置����,用于保存已知的��、整理到的特定操作信息���,并存儲(chǔ)有各種操作相對(duì)應(yīng)的威脅級(jí)別權(quán)值�����;目標(biāo)程序行為識(shí)別分析裝置�,用于比較目標(biāo)程序行為與已知行為特征���,根據(jù)目標(biāo)程序行為對(duì)應(yīng)的威脅級(jí)別權(quán)值進(jìn)行加權(quán)計(jì)算���,達(dá)到一定閾值則確定該目標(biāo)程序?yàn)閻阂獬绦颍唤Y(jié)果調(diào)度處理裝置����,用于對(duì)目標(biāo)程序行為識(shí)別分析裝置確定為惡意程序的目標(biāo)程序進(jìn)行終止操作并通知用戶進(jìn)行處理或者自行調(diào)度處理�;惡意行為撤銷裝置�����,用于對(duì)被推斷為惡意程序的目標(biāo)程序所執(zhí)行的保存于目標(biāo)程序行為記錄裝置中的操作進(jìn)行撤銷���。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其特征在于����,該系統(tǒng)還包括用戶交互控制裝置��,用于對(duì)經(jīng)過(guò)結(jié)果調(diào)度處理裝置傳送來(lái)的被終止的目標(biāo)程序進(jìn)行處理����,并反饋給結(jié)果調(diào)度處理裝置。
3.根據(jù)權(quán)利要求1所述的系統(tǒng)����,其特征在于����,所述系統(tǒng)還包括惡意程序報(bào)告裝置����,用于對(duì)目標(biāo)程序行為識(shí)別分析裝置確定為惡意程序的程序文件或無(wú)法確定的文件,在結(jié)果調(diào)度處理裝置的處理下通過(guò)網(wǎng)絡(luò)提交給有關(guān)部門或?qū)I(yè)反病毒公司���,交由專業(yè)分析人員分析�����。
4.根據(jù)權(quán)利要求1或2或3所述的系統(tǒng),其特征在于��,計(jì)算機(jī)操作系統(tǒng)監(jiān)控裝置����,包括有文件監(jiān)控模塊、進(jìn)程監(jiān)控模塊����、網(wǎng)絡(luò)監(jiān)控模塊、注冊(cè)表監(jiān)控模塊���;所述文件監(jiān)控模塊�����,通過(guò)掛接操作系統(tǒng)文件操作����,用于監(jiān)控目標(biāo)程序的每一個(gè)讀寫文件請(qǐng)求;所述進(jìn)程監(jiān)控模塊�����,用于監(jiān)控目標(biāo)程序執(zhí)行的系統(tǒng)調(diào)用�����;所述網(wǎng)絡(luò)監(jiān)控模塊��,用于監(jiān)控目標(biāo)程序網(wǎng)絡(luò)連接與發(fā)送行為����;所述注冊(cè)表監(jiān)控模塊,用于監(jiān)控目標(biāo)程序?qū)ψ?cè)表所進(jìn)行改動(dòng)操作����。
5.根據(jù)權(quán)利要求4所述的系統(tǒng)���,其特征在于,在所述系統(tǒng)中�,通過(guò)文件監(jiān)控收集目標(biāo)程序?qū)Σ僮飨到y(tǒng)敏感文件的讀寫操作。
6.一種檢測(cè)和防御計(jì)算機(jī)惡意程序的方法�����,包括正常的啟動(dòng)和結(jié)束步驟外����,其特征在于,該方法還包括以下步驟目標(biāo)程序行為收集步驟�,收集目標(biāo)程序執(zhí)行的動(dòng)作信息;目標(biāo)程序行為記錄步驟����,臨時(shí)保存目標(biāo)程序所進(jìn)行的操作記錄����,并記錄修改前后的文件、注冊(cè)表內(nèi)容���;目標(biāo)程序行為識(shí)別分析步驟�,比較目標(biāo)程序行為與已知行為特征,根據(jù)目標(biāo)程序行為對(duì)應(yīng)的威脅級(jí)別權(quán)值進(jìn)行加權(quán)計(jì)算�����,達(dá)到一定閾值則確定該目標(biāo)程序?yàn)閻阂獬绦?�;否則�����,認(rèn)為該目標(biāo)程序?yàn)檎3绦?��,結(jié)束檢測(cè)或者循環(huán)檢測(cè)�;結(jié)果調(diào)度處理步驟對(duì)目標(biāo)程序行為識(shí)別分析裝置確定為惡意程序的目標(biāo)程序進(jìn)行終止操作并通知用戶進(jìn)行處理或者自行調(diào)度處理����;惡意行為撤銷步驟,對(duì)被推斷為惡意程序的目標(biāo)程序所執(zhí)行的操作進(jìn)行撤銷�����。
7.根據(jù)權(quán)利要求6所述的方法�,其特征在于,所述方法還包括用戶交互控制步驟��,對(duì)經(jīng)過(guò)結(jié)果調(diào)度處理裝置傳送來(lái)的被終止的目標(biāo)程序進(jìn)行處理,并反饋給結(jié)果調(diào)度處理裝置�����。
8.根據(jù)權(quán)利要求7所述的方法����,其特征在于,所述方法還包括惡意程序報(bào)告步驟���,對(duì)被確定為惡意程序的程序文件或無(wú)法確定的文件�����,經(jīng)過(guò)系統(tǒng)調(diào)度或者用戶交互控制通過(guò)網(wǎng)絡(luò)提交給有關(guān)部門或?qū)I(yè)反病毒公司��,交由專業(yè)分析人員分析�����。
9.根據(jù)權(quán)利要求6或7或8所述的方法,其特征在于�,所述目標(biāo)程序行為收集步驟通過(guò)文件監(jiān)控、進(jìn)程監(jiān)控��、網(wǎng)絡(luò)監(jiān)控塊、注冊(cè)表監(jiān)控實(shí)現(xiàn)����;所述文件監(jiān)控,通過(guò)掛接操作系統(tǒng)文件操作����,可以監(jiān)控目標(biāo)程序的每一個(gè)讀寫文件請(qǐng)求;所述進(jìn)程監(jiān)控����,監(jiān)控目標(biāo)程序執(zhí)行的系統(tǒng)調(diào)用;所述網(wǎng)絡(luò)監(jiān)控�����,監(jiān)控目標(biāo)程序網(wǎng)絡(luò)連接與發(fā)送行為����;所述注冊(cè)表監(jiān)控,監(jiān)控目標(biāo)程序?qū)ψ?cè)表所進(jìn)行改動(dòng)操作���。
10.根據(jù)權(quán)利要求9所述的方法���,其特征在于���,在所述系統(tǒng)中,通過(guò)文件監(jiān)控收集目標(biāo)程序?qū)Σ僮飨到y(tǒng)敏感文件的讀寫操作���。
全文摘要
一種檢測(cè)和防御計(jì)算機(jī)惡意程序的系統(tǒng)����,包括計(jì)算機(jī)操作系統(tǒng)監(jiān)控裝置�,用于收集目標(biāo)程序執(zhí)行的動(dòng)作信息;目標(biāo)程序行為記錄裝置�,用于臨時(shí)保存目標(biāo)程序所進(jìn)行的操作記錄,并記錄修改前后的文件����、注冊(cè)表內(nèi)容;已知行為特征存儲(chǔ)裝置���,用于保存已知的���、整理到的特定操作信息,并存儲(chǔ)有各種操作相對(duì)應(yīng)的威脅級(jí)別權(quán)值����;目標(biāo)程序行為識(shí)別分析裝置,用于比較目標(biāo)程序行為與已知行為特征���,根據(jù)目標(biāo)程序行為對(duì)應(yīng)的威脅級(jí)別權(quán)值進(jìn)行加權(quán)計(jì)算�,達(dá)到一定閾值則確定該目標(biāo)程序?yàn)閻阂獬绦?���;結(jié)果調(diào)度處理裝置,用于對(duì)被確定為惡意程序的目標(biāo)程序進(jìn)行終止操作并通知用戶進(jìn)行處理或者自行調(diào)度處理�;惡意行為撤銷裝置,用于對(duì)被推斷為惡意程序的目標(biāo)程序所執(zhí)行的操作進(jìn)行撤銷���。
文檔編號(hào)G06F1/00GK1737722SQ20051003627
公開(kāi)日2006年2月22日 申請(qǐng)日期2005年8月3日 優(yōu)先權(quán)日2005年8月3日
發(fā)明者陳睿, 孟檳榔, 韓祝鵬, 陳飛舟, 孫國(guó)軍 申請(qǐng)人:珠海金山軟件股份有限公司