一種基于驅(qū)動級程序的apt預(yù)防方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種基于驅(qū)動級程序的APT預(yù)防方法及系統(tǒng)�,在系統(tǒng)啟動前,對操作系統(tǒng)啟動項進行HOOK攔截���,并識別是否為系統(tǒng)最小啟動項��,如果是�����,則校驗后加載��,否則進入靜態(tài)模式匹配�����;靜態(tài)模式匹配根據(jù)用戶模式中的規(guī)則判斷���,如果在規(guī)則之中則加載,否則啟動項可能有存在惡意代碼的可能�����,進行攔截不與啟動。在操作系統(tǒng)開啟運行后���,如果有寫啟動項操作�,則會觸發(fā)動態(tài)預(yù)警���。本發(fā)明還提供了相應(yīng)的系統(tǒng)���。本發(fā)明能夠針對未知惡意代碼能夠在源頭直接攔截,使惡意代碼沒有啟動的機會��,極大地保障了APT攻擊的預(yù)防效果���。
【專利說明】一種基于驅(qū)動級程序的APT預(yù)防方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全領(lǐng)域,特別涉及一種基于驅(qū)動級程序的APT預(yù)防方法及系統(tǒng)�����。
【背景技術(shù)】
[0002]計算機與互聯(lián)網(wǎng)經(jīng)歷幾代變革的高速發(fā)展����,催生出來各個多元化的分支,其中信息安全不僅涉及到了各個分支中�����,而且在移動通信、物聯(lián)網(wǎng)���、甚至工業(yè)控制領(lǐng)域等均有所涉足����;目前已經(jīng)成為一門獨立的具有全新技術(shù)體系的成熟領(lǐng)域�。在此領(lǐng)域中又分出了眾多的子課題,而惡意代碼防護技術(shù)是信息安全中的一個最重要的子課題之一�。
[0003]在惡意代碼防護技術(shù)中一個最重要的部分便是高級可持續(xù)性威脅(AdvancedPersistent Threat),簡稱APT���。APT攻擊是目前攻擊類型中最高端的攻擊模式�,被公認(rèn)為是一種地下產(chǎn)業(yè)鏈的核心行為�。APT所應(yīng)用的技術(shù)方法層出不窮,以專業(yè)的地下產(chǎn)業(yè)團隊進行有針對性��、有計劃��、有特定目的��、有固定目標(biāo)的小范圍的針對性的定向攻擊。APT的眾多技術(shù)中的核心技術(shù)之一為應(yīng)用未知惡意代碼進行隱蔽攻擊�����、潛伏隱藏����、竊取數(shù)據(jù)、遠(yuǎn)程操控等��。而這些未知惡意代碼具有高級的防反病毒軟件檢測能力�,且因為針對性的定向攻擊,模仿正常軟件行為�����、條件觸發(fā)�、再加上加殼加密等多種高端技術(shù),讓攻擊更加有效��,更加精準(zhǔn)����。
[0004]在目前惡意代碼的檢測方案����、防護產(chǎn)品層出不窮��,但大部分均為基于惡意代碼本地特征庫�、惡意代碼網(wǎng)絡(luò)特征庫��、防火墻規(guī)則等的用戶終端程序或產(chǎn)品�����、防火墻����、IDS、IPS��、SOC, UTM����、NAC、網(wǎng)閘等�����;這些產(chǎn)品有一個共同的特點是基于已知規(guī)則檢測��,針對未知惡意代碼的檢測能力較弱,雖然也有些產(chǎn)品具有基于白名單的未知檢測能力�����,但白名單的維護量太大�����,不可能面面俱到的收集所有的程序與軟件�����,存在大量的漏報��;而本發(fā)明解決了利用未知惡意代碼進行APT攻擊的防護問題���,給出了切實可行的一種基于驅(qū)動程序的APT預(yù)防方法及系統(tǒng)����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明提供了一種基于驅(qū)動級程序的APT預(yù)防方法及系統(tǒng)實現(xiàn)��,解決了目前在未知惡意代碼通用查殺與預(yù)防方法上的不足與滯后性�����;特別是在APT類惡意代碼上具有良好的預(yù)防效果��。
[0006]一種基于驅(qū)動級程序的APT預(yù)防方法�����,包括:
在系統(tǒng)啟動前��,HOOK攔截操作系統(tǒng)所有啟動項��;
判斷所攔截的操作系統(tǒng)啟動項是否為最小啟動項�;如果是,則加載所述操作系統(tǒng)啟動項����,否則攔截,并進行靜態(tài)模式匹配�����;所述最小啟動項為能夠完成操作系統(tǒng)基本服務(wù)的啟動項�;通過該步驟操作,能夠使系統(tǒng)按照最小啟動項的設(shè)定����,過濾和管理系統(tǒng)啟動項�����;
判斷所述靜態(tài)模式匹配為普通用戶模式或?qū)I(yè)用戶模式��,如果為普通用戶模式��,則判斷所述操作系統(tǒng)啟動項是否在預(yù)設(shè)啟動規(guī)則中��,如果是�,則加載所述操作系統(tǒng)啟動項����,否則攔截所述操作系統(tǒng)啟動項;預(yù)設(shè)啟動規(guī)則為管理員在初次安裝軟件時進行設(shè)定的啟動項���,用戶無法進行更改�����;
如果為專業(yè)用戶模式�,則判斷所述操作系統(tǒng)啟動項是否在手動配置啟動規(guī)則中�����,如果是,則加載所述操作系統(tǒng)啟動項��,否則攔截所述操作系統(tǒng)啟動項�;
根據(jù)加載的操作系統(tǒng)啟動項���,運行操作系統(tǒng)��。
[0007]本發(fā)明方法在操作系統(tǒng)開啟后��,如果是普通用戶模式�����,由于只加載存在于預(yù)設(shè)啟動規(guī)則中的啟動項�,則每次啟動后都是相同的操作系統(tǒng)環(huán)境��;如果是專業(yè)用戶模式��,則每次啟動后隨手動配置啟動規(guī)則中規(guī)則的添加和改變��,操作系統(tǒng)環(huán)境會有相應(yīng)變化�。
[0008]進一步所述的方法中,在加載所述操作系統(tǒng)啟動項之前���,還包括:校驗所述操作系統(tǒng)啟動項�。
[0009]進一步所述的方法中,所述預(yù)設(shè)啟動規(guī)則�����,為由系統(tǒng)管理員預(yù)先設(shè)定的啟動項列表��;所述手動配置啟動規(guī)則���,為由用戶在系統(tǒng)初裝或運行過程中�,手動添加的啟動項列表���。
[0010]進一步所述方法中����,運行操作系統(tǒng)后����,若系統(tǒng)當(dāng)前為專業(yè)用戶模式,則還包括: 若檢測到操作系統(tǒng)中的進程進行寫啟動項操作����,則進行HOOK攔截�����,并向用戶發(fā)出警
生P=I ;
根據(jù)用戶指令進行相應(yīng)操作�����。
[0011]進一步所述的方法中,所述用戶指令包括:允許寫入啟動項����,并將所述啟動項添加到手動配置啟動規(guī)則中;或上報所述寫啟動項行為信息��。
[0012]本發(fā)明方法基于操作系統(tǒng)啟動具有固定先后啟動順序的原理�����,本發(fā)明方法應(yīng)用于操作系統(tǒng)啟動前����,相當(dāng)于系統(tǒng)內(nèi)核級程序,具有最高的執(zhí)行權(quán)限���,能夠HOOK攔截系統(tǒng)中的所有啟動項��,并根據(jù)確定的最小啟動項確認(rèn)放行加載的系統(tǒng)啟動項�,能夠做到精準(zhǔn)定位;并且由于支持普通用戶模式與專業(yè)用戶模式���,使靜態(tài)模式匹配可定制����,具有可擴展性與靈活性���;能夠針對未知的惡意代碼在第一步啟動處攔截��,且不影響正常軟件的啟動與運行�。
[0013]本發(fā)明還提供一種基于驅(qū)動級程序的APT預(yù)防系統(tǒng)���,包括:
系統(tǒng)啟動項攔截模塊���,用于在系統(tǒng)啟動前,HOOK攔截操作系統(tǒng)所有啟動項�;
最小啟動項模塊,用于判斷所攔截的操作系統(tǒng)啟動項是否為最小啟動項�;如果是,則力口載所述操作系統(tǒng)啟動項,否則攔截��,并進行靜態(tài)模式匹配����;所述最小啟動項為能夠完成操作系統(tǒng)基本服務(wù)的啟動項;
靜態(tài)模式匹配模塊��,判斷所述靜態(tài)模式匹配為普通用戶模式或?qū)I(yè)用戶模式����,如果為普通用戶模式����,則判斷所述操作系統(tǒng)啟動項是否在預(yù)設(shè)啟動規(guī)則中,如果是�����,則加載所述操作系統(tǒng)啟動項���,否則攔截所述操作系統(tǒng)啟動項��;
如果為專業(yè)用戶模式�����,則判斷所述操作系統(tǒng)啟動項是否在手動配置啟動規(guī)則中��,如果是����,則加載所述操作系統(tǒng)啟動項,否則攔截所述操作系統(tǒng)啟動項�;
啟動模塊,用于根據(jù)加載的操作系統(tǒng)啟動項�����,運行操作系統(tǒng)��。
[0014]進一步所述的系統(tǒng)中�,在加載所述操作系統(tǒng)啟動項之前,還包括:校驗所述操作系統(tǒng)啟動項�����。
[0015]進一步所述的系統(tǒng)中�,所述預(yù)設(shè)啟動規(guī)則,為由系統(tǒng)管理員預(yù)先設(shè)定的啟動項列表��;所述手動配置啟動規(guī)則,為由用戶在系統(tǒng)運行過程中�����,手動添加的啟動項列表�。
[0016]進一步所述系統(tǒng)中,運行操作系統(tǒng)后��,若系統(tǒng)當(dāng)前為專業(yè)用戶模式�,則還包括: 動態(tài)預(yù)警模塊,若檢測到操作系統(tǒng)中的進程進行寫啟動項操作����,則進行HOOK攔截,并向用戶發(fā)出警告��;
根據(jù)用戶指令進行相應(yīng)操作�����。
[0017]進一步所述的系統(tǒng)中��,所述用戶指令包括:允許寫入啟動項�����,并將所述啟動項添加到手動配置啟動規(guī)則中�����;或上報所述寫啟動項行為信息��。
[0018]本發(fā)明提供了一種基于驅(qū)動級程序的APT預(yù)防方法及系統(tǒng)�,在系統(tǒng)啟動前,對操作系統(tǒng)啟動項進行HOOK攔截��,并識別是否為系統(tǒng)最小啟動項���,如果是����,則校驗后加載�����,否則進入靜態(tài)模式匹配��;靜態(tài)模式匹配根據(jù)用戶模式中的規(guī)則判斷��,如果在規(guī)則之中則加載�����,否則啟動項可能有存在惡意代碼的可能,進行攔截不與啟動�。在操作系統(tǒng)開啟運行后,如果有寫啟動項操作��,則會觸發(fā)動態(tài)預(yù)警�����。本發(fā)明還提供了相應(yīng)的系統(tǒng)���。本發(fā)明能夠針對未知惡意代碼能夠在源頭直接攔截����,使惡意代碼沒有啟動的機會���,極大地保障了 APT攻擊的預(yù)防效果���。
[0019]本發(fā)明達(dá)到的有益效果為針對未知的惡意代碼能夠在源頭直接攔截���,惡意代碼沒有啟動的機會���,即使惡意代碼用了再多的隱藏技術(shù)����、竊取技術(shù)�����、注入技術(shù)�����、傳播技術(shù)��、感染技術(shù)�、控制技術(shù)、反檢測軟件技術(shù)等���,都無用武之地�����;因為其根本沒有啟動進程或代碼注入的機會����。常規(guī)反病毒產(chǎn)品不僅要維護海量的病毒庫,而且難于進行代碼更新�����、開發(fā)周期長�;而本發(fā)明針對操作系統(tǒng)開發(fā)完成后易于維護、易于擴展��;沒有額外的開發(fā)及人工開銷��,極大的保障了 APT攻擊的預(yù)防��。解決了傳統(tǒng)的惡意代碼特征庫處置特征滯后性的弊端����;而本發(fā)明無論是已知惡意代碼還是未知APT類惡意代碼均沒有啟動的機會,直接將惡意代碼扼殺在源頭����;本發(fā)明特別適用于重要數(shù)據(jù)與核心業(yè)務(wù)的保護,防范APT類未知惡意代碼的入侵與攻擊�。
【專利附圖】
【附圖說明】
[0020]為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹��,顯而易見地�����,下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例�,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下���,還可以根據(jù)這些附圖獲得其他的附圖���。
[0021]圖1為本發(fā)明基于驅(qū)動級程序的APT預(yù)防方法實施例流程圖;
圖2為本發(fā)明基于驅(qū)動級程序的APT預(yù)防系統(tǒng)結(jié)構(gòu)框圖���。
【具體實施方式】
[0022]為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明實施例中的技術(shù)方案��,并使本發(fā)明的上述目的��、特征和優(yōu)點能夠更加明顯易懂�����,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進一步詳細(xì)的說明��。
[0023]本發(fā)明主要作用于操作系統(tǒng)之上��,攔截每一個系統(tǒng)啟動項����,并過濾匹配決策是否進行啟動,經(jīng)這些操作最終達(dá)到預(yù)防APT類惡意代碼運行的目的����。下面結(jié)合附圖針對此發(fā)明過程與應(yīng)用簡要進行舉例說明。此舉例是按操作系統(tǒng)啟動到運行的步驟進行說明����。
[0024]BIOS啟動過程:計算機啟動都要首先以BIOS啟動開始,然后再進行不同的操作系統(tǒng)的啟動�����,啟動的操作系統(tǒng)有多種�,例如Winodws、Unix��、Linux�、Mac、solaris����、dos等。本實施例中以Windows的Vista版本為例。BIOS啟動主要包括如下兩部分:P0ST開機加電自檢�����,和BIOS讀取MBR (主引導(dǎo)記錄)���。
[0025]Windows系統(tǒng)啟動管理器:B10S啟動完成后便會進入Windows系統(tǒng)啟動管理器的bootmgr.exe程序,這部分操作包括=Windows系統(tǒng)啟動管理器啟動;讀取啟動配置數(shù)據(jù)�����;生成并顯示啟動菜單�。
[0026]操作系統(tǒng)啟動鏈:Vista操作系統(tǒng)簡略啟動鏈描述如下:
首先加載OSLoader、然后加載ntoskrnl.exe系統(tǒng)內(nèi)核�����、硬件抽象層hal.dll (加載需要的驅(qū)動程序和服務(wù))�����。內(nèi)核初始化完成后�����,加載會話管理器Smss.exe。然后Windows啟動應(yīng)用程序wininit.exe, wininit.exe啟動服務(wù)控制管理器(services, exe)�����、本地安全授權(quán)(lsass.exe)����、本地會話管理器(Ism.exe)。當(dāng)上述進程都啟動之后��,便是用戶登錄并加載用戶啟動項�����。至此���,Vista啟動完成進入到運行態(tài)��。
[0027]在Vista進行啟動中���,APT相關(guān)文件可能會存在操作系統(tǒng)啟動鏈的各個環(huán)節(jié),例如以驅(qū)動的形式啟動�,那么在注冊表中讀取設(shè)置加載驅(qū)動時,便將此APT相關(guān)文件加載啟動�;例如在用戶啟動項中�����,那么在用戶登陸后便隨后會加載APT相關(guān)文件�。
[0028]因此�,在操作系統(tǒng)啟動鏈啟動各啟動項之前,需要增加本發(fā)明的基于驅(qū)動級程序的APT預(yù)防方法����,如圖1所示:
SlOl:在系統(tǒng)啟動前�,Η00Κ攔截操作系統(tǒng)所有啟動項;操作系統(tǒng)啟動項����,在每加載一項前,都要被Η00Κ攔截�,本發(fā)明中的Η00Κ技術(shù)可有多種實現(xiàn)方式,只要達(dá)到攔截的目的便可��。
[0029]S102:判斷所攔截的操作系統(tǒng)啟動項是否為最小啟動項�����;如果是�,則加載所述操作系統(tǒng)啟動項,否則執(zhí)行S103 ;所述最小啟動項為能夠完成操作系統(tǒng)基本服務(wù)的啟動項;通過該步驟操作��,能夠使系統(tǒng)按照最小啟動項的設(shè)定��,過濾和管理系統(tǒng)啟動項���;
S103:攔截��,并進行靜態(tài)模式匹配����;判斷所述靜態(tài)模式匹配為普通用戶模式或?qū)I(yè)用戶模式�,如果為普通用戶模式,則執(zhí)行S104 ;如果為專業(yè)用戶模式���,則執(zhí)行S105 �����;
S104:判斷所述操作系統(tǒng)啟動項是否在預(yù)設(shè)啟動規(guī)則中�,如果是�����,則加載所述操作系統(tǒng)啟動項,否則攔截所述操作系統(tǒng)啟動項�;預(yù)設(shè)啟動規(guī)則為管理員在初次安裝軟件時進行設(shè)定的啟動項,用戶無法進行更改�;
S105:判斷所述操作系統(tǒng)啟動項是否在手動配置啟動規(guī)則中,如果是�����,則加載所述操作系統(tǒng)啟動項�����,否則攔截所述操作系統(tǒng)啟動項�����;
針對非系統(tǒng)最小啟動項在本發(fā)明中以規(guī)則為前提的兩種模式來應(yīng)對��,分別為普通用戶模式和專業(yè)用戶模式��。普通用戶模式不支持用戶配置���,具有專業(yè)的規(guī)則,在系統(tǒng)管理員安裝初期會進行一次性配置�,此一次性配置是指在初裝時會列出除最小啟動外的所有啟動項����,當(dāng)然如果批量相同計算機安裝�����,也可將配置文件分發(fā)���,進而省去一次性配置�。在一次性配置中包括系統(tǒng)最小啟動項與用戶的核心業(yè)務(wù)啟動����;除此之外再不加載任何其他啟動項;進而最大限度的保障了用戶的核心業(yè)務(wù)不受APT攻擊��。專業(yè)用戶模式只支持高級用戶使用�����,技術(shù)性特別強����;要掌握系統(tǒng)啟動項原理,高級用戶自行配置除系統(tǒng)最小啟動外的所有啟動項�����,不僅僅在初裝時進行配置,而且在系統(tǒng)運行態(tài)時也能夠進行配置�����,允許高級用戶增加與刪減一些核心業(yè)務(wù)啟動項�����、辦公軟件啟動項��、或一些加解密工具等��,使用特別靈活��。這兩種模式各有不同的特點���,在本發(fā)明中統(tǒng)一歸結(jié)到靜態(tài)模式匹配中,旨在區(qū)分系統(tǒng)運行態(tài)中的監(jiān)控�。這兩種模式可在配置中單獨使用也可以混合使用。
[0030]S106:根據(jù)加載的操作系統(tǒng)啟動項�,運行操作系統(tǒng)。當(dāng)系統(tǒng)啟動運行到用戶登錄加載用戶啟動項后�����,并且完成了本發(fā)明之前所有步驟的工作,那么代表所有啟動項都經(jīng)過了本發(fā)明的攔截與過濾����;此時啟動的系統(tǒng)應(yīng)把已存在的APT啟動項完全攔截。系統(tǒng)接下來將進入到運行態(tài)�。如果用戶模式為專業(yè)用戶模式,則繼續(xù)執(zhí)行S107����。
[0031]S107:當(dāng)檢測到操作系統(tǒng)中的進程進行寫啟動項操作,則進行HOOK攔截����,并向用戶發(fā)出警告;根據(jù)用戶指令進行相應(yīng)操作��。
[0032]所述用戶指令包括:允許寫入啟動項��,并將所述啟動項添加到手動配置啟動規(guī)則中�;或上報所述寫啟動項行為信息。
[0033]本發(fā)明方法在操作系統(tǒng)開啟后���,如果是普通用戶模式�����,由于只加載存在于預(yù)設(shè)啟動規(guī)則中的啟動項�����,則每次啟動后都是相同的操作系統(tǒng)環(huán)境��;如果是專業(yè)用戶模式���,則每次啟動后隨手動配置啟動規(guī)則中規(guī)則的添加和改變�����,操作系統(tǒng)環(huán)境會有相應(yīng)變化��。
[0034]進一步所述的方法中�,在加載所述操作系統(tǒng)啟動項之前�,還包括:校驗所述操作系統(tǒng)啟動項。在加載前要進行一些校驗工作����,以防止APT類代碼的感染�����、捆綁、替換(重命名原文件)等操作�。例如感染類APT代碼是先運行感染代碼然后再將入口點跳到正常文件;捆綁類APT代碼是先運行頭部PE文件��,再運行尾部附屬的正常文件�;替換類APT是將APT文件命名為正常文件名,將正常文件重命名���,在APT文件執(zhí)行后再調(diào)用改名后的正常文件執(zhí)行�;這三種方式都執(zhí)行了 APT代碼�,但又執(zhí)行了正常的調(diào)用。加載前的校驗工作有多種方式���,最簡單的方式是進行哈希校驗���。
[0035]進一步所述的方法中,所述預(yù)設(shè)啟動規(guī)則��,為由系統(tǒng)管理員預(yù)先設(shè)定的啟動項列表���;所述手動配置啟動規(guī)則�,為由用戶在系統(tǒng)運行過程中,手動添加的啟動項列表�����。
[0036]本發(fā)明方法基于操作系統(tǒng)啟動具有固定先后啟動順序的原理��,本發(fā)明方法應(yīng)用于操作系統(tǒng)啟動前����,相當(dāng)于系統(tǒng)內(nèi)核級程序,具有最高的執(zhí)行權(quán)限�,能夠HOOK攔截系統(tǒng)中的所有啟動項,并根據(jù)確定的最小啟動項確認(rèn)放行加載的系統(tǒng)啟動項����,能夠做到精準(zhǔn)定位;并且由于支持普通用戶模式與專業(yè)用戶模式��,使靜態(tài)模式匹配可定制����,具有可擴展性與靈活性;能夠針對未知的惡意代碼在第一步啟動處攔截���,且不影響正常軟件的啟動與運行�����。
[0037]本發(fā)明還提供一種基于驅(qū)動級程序的APT預(yù)防系統(tǒng)����,如圖2所示����,包括:
系統(tǒng)啟動項攔截模塊201,用于在系統(tǒng)啟動前�����,HOOK攔截操作系統(tǒng)所有啟動項�;
最小啟動項模塊202,用于判斷所攔截的操作系統(tǒng)啟動項是否為最小啟動項��;如果是���,則加載所述操作系統(tǒng)啟動項����,否則攔截,并進行靜態(tài)模式匹配�;所述最小啟動項為能夠完成操作系統(tǒng)基本服務(wù)的啟動項;
靜態(tài)模式匹配模塊203����,判斷所述靜態(tài)模式匹配為普通用戶模式或?qū)I(yè)用戶模式,如果為普通用戶模式�����,則判斷所述操作系統(tǒng)啟動項是否在預(yù)設(shè)啟動規(guī)則中�����,如果是����,則加載所述操作系統(tǒng)啟動項,否則攔截所述操作系統(tǒng)啟動項�;
如果為專業(yè)用戶模式,則判斷所述操作系統(tǒng)啟動項是否在手動配置啟動規(guī)則中���,如果是�����,則加載所述操作系統(tǒng)啟動項�����,否則攔截所述操作系統(tǒng)啟動項�;
啟動模塊204��,用于根據(jù)加載的操作系統(tǒng)啟動項��,運行操作系統(tǒng)�。
[0038]進一步所述的系統(tǒng)中,在加載所述操作系統(tǒng)啟動項之前���,還包括:校驗所述操作系統(tǒng)啟動項��。
[0039]進一步所述的系統(tǒng)中�����,所述預(yù)設(shè)啟動規(guī)則��,為由系統(tǒng)管理員預(yù)先設(shè)定的啟動項列表����;所述手動配置啟動規(guī)則,為由用戶在系統(tǒng)運行過程中����,手動添加的啟動項列表。[0040]進一步所述系統(tǒng)中�����,運行操作系統(tǒng)后�,若系統(tǒng)當(dāng)前為專業(yè)用戶模式,則還包括: 動態(tài)預(yù)警模塊205�����,如果檢測到操作系統(tǒng)中的進程進行寫啟動項操作�,則進行HOOK攔
截,并向用戶發(fā)出警告���;
根據(jù)用戶指令進行相應(yīng)操作�。
[0041]進一步所述的系統(tǒng)中�����,所述用戶指令包括:允許寫入啟動項��,并將所述啟動項添加到手動配置啟動規(guī)則中;或上報所述寫啟動項行為信息�。
[0042]本發(fā)明提供了一種基于驅(qū)動級程序的APT預(yù)防方法,在系統(tǒng)啟動前�����,對操作系統(tǒng)啟動項進行HOOK攔截����,并識別是否為系統(tǒng)最小啟動項��,如果是�����,則校驗后加載���,否則進入靜態(tài)模式匹配��;靜態(tài)模式匹配根據(jù)用戶模式中的規(guī)則判斷����,如果在規(guī)則之中則加載���,否則啟動項可能有存在惡意代碼的可能��,進行攔截不與啟動�����。在操作系統(tǒng)開啟運行后�����,如果有寫啟動項操作�,則會觸發(fā)動態(tài)預(yù)警。本發(fā)明還提供了相應(yīng)的系統(tǒng)����。本發(fā)明能夠針對未知惡意代碼能夠在源頭直接攔截,使惡意代碼沒有啟動的機會�����,極大地保障了 APT攻擊的預(yù)防效果��。
[0043]本發(fā)明達(dá)到的有益效果為針對未知的惡意代碼能夠在源頭直接攔截����,惡意代碼沒有啟動的機會��,即使惡意代碼用了再多的隱藏技術(shù)�、竊取技術(shù)�、注入技術(shù)、傳播技術(shù)�、感染技術(shù)、控制技術(shù)���、反檢測軟件技術(shù)等�,都無用武之地��;因為其根本沒有啟動進程或代碼注入的機會�。常規(guī)反病毒產(chǎn)品不僅要維護海量的病毒庫�����,而且難于進行代碼更新�����、開發(fā)周期長����;而本發(fā)明針對操作系統(tǒng)開發(fā)完成后易于維護��、易于擴展�����;沒有額外的開發(fā)及人工開銷����,極大的保障了 APT攻擊的預(yù)防����。解決了傳統(tǒng)的惡意代碼特征庫處置特征滯后性的弊端;而本發(fā)明無論是已知惡意代碼還是未知APT類惡意代碼均沒有啟動的機會�,直接將惡意代碼扼殺在源頭;本發(fā)明特別適用于重要數(shù)據(jù)與核心業(yè)務(wù)的保護�,防范APT類未知惡意代碼的入侵與攻擊。
[0044]本說明書中的各個實施例均采用遞進的方式描述�,各個實施例之間相同相似的部分互相參見即可,每個實施例重點說明的都是與其他實施例的不同之處��。尤其�����,對于系統(tǒng)實施例而言,由于其基本相似于方法實施例�����,所以描述的比較簡單�����,相關(guān)之處參見方法實施例的部分說明即可��。
[0045]本發(fā)明可用于眾多通用或?qū)S玫挠嬎阆到y(tǒng)環(huán)境或配置中��。例如:個人計算機�����、服務(wù)器計算機����、手持設(shè)備或便攜式設(shè)備����、平板型設(shè)備、多處理器系統(tǒng)�、基于微處理器的系統(tǒng)、置頂盒、可編程的消費電子設(shè)備����、網(wǎng)絡(luò)PC、小型計算機�����、大型計算機��、包括以上任何系統(tǒng)或設(shè)備的分布式計算環(huán)境等等�。
[0046]雖然通過實施例描繪了本發(fā)明,本領(lǐng)域普通技術(shù)人員知道�,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神,希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神�。
【權(quán)利要求】
1.一種基于驅(qū)動級程序的APT預(yù)防方法,其特征在于�����,包括: 在系統(tǒng)啟動前��,HOOK攔截操作系統(tǒng)所有啟動項�����; 判斷所攔截的操作系統(tǒng)啟動項是否為最小啟動項;如果是���,則加載所述操作系統(tǒng)啟動項���,否則攔截,并進行靜態(tài)模式匹配���;所述最小啟動項為能夠完成操作系統(tǒng)基本服務(wù)的啟動項�����; 判斷所述靜態(tài)模式匹配為普通用戶模式或?qū)I(yè)用戶模式���,如果為普通用戶模式,則判斷所述操作系統(tǒng)啟動項是否在預(yù)設(shè)啟動規(guī)則中��,如果是����,則加載所述操作系統(tǒng)啟動項,否則攔截所述操作系統(tǒng)啟動項�; 如果為專業(yè)用戶模式���,則判斷所述操作系統(tǒng)啟動項是否在手動配置啟動規(guī)則中���,如果是����,則加載所述操作系統(tǒng)啟動項�����,否則攔截所述操作系統(tǒng)啟動項����; 根據(jù)加載的操作系統(tǒng)啟動項,運行操作系統(tǒng)����。
2.如權(quán)利要求1所述的方法,其特征在于��,在加載所述操作系統(tǒng)啟動項之前�,還包括:校驗所述操作系統(tǒng)啟動項。
3.如權(quán)利要求1所述的方法���,其特征在于��,所述預(yù)設(shè)啟動規(guī)則���,為由系統(tǒng)管理員預(yù)先設(shè)定的啟動項列表 ��;所述手動配置啟動規(guī)則�,為由用戶在系統(tǒng)運行過程中�,手動添加的啟動項列表。
4.如權(quán)利要求1所述方法�,其特征在于,運行操作系統(tǒng)后�����,若系統(tǒng)當(dāng)前為專業(yè)用戶模式�,則還包括: 若檢測到操作系統(tǒng)中的進程進行寫啟動項操作,則進行HOOK攔截����,并向用戶發(fā)出警生P=I ; 根據(jù)用戶指令進行相應(yīng)操作。
5.如權(quán)利要求4所述的方法�,其特征在于,所述用戶指令包括:允許寫入啟動項�����,并將所述啟動項添加到手動配置啟動規(guī)則中;或上報所述寫啟動項行為信息�。
6.一種基于驅(qū)動級程序的APT預(yù)防系統(tǒng)�,其特征在于,包括: 系統(tǒng)啟動項攔截模塊����,用于在系統(tǒng)啟動前,HOOK攔截操作系統(tǒng)所有啟動項����; 最小啟動項模塊,用于判斷所攔截的操作系統(tǒng)啟動項是否為最小啟動項���;如果是��,則加載所述操作系統(tǒng)啟動項�,否則攔截���,并進行靜態(tài)模式匹配���;所述最小啟動項為能夠完成操作系統(tǒng)基本服務(wù)的啟動項; 靜態(tài)模式匹配模塊�����,判斷所述靜態(tài)模式匹配為普通用戶模式或?qū)I(yè)用戶模式,如果為普通用戶模式����,則判斷所述操作系統(tǒng)啟動項是否在預(yù)設(shè)啟動規(guī)則中,如果是�,則加載所述操作系統(tǒng)啟動項,否則攔截所述操作系統(tǒng)啟動項���; 如果為專業(yè)用戶模式�����,則判斷所述操作系統(tǒng)啟動項是否在手動配置啟動規(guī)則中���,如果是,則加載所述操作系統(tǒng)啟動項�,否則攔截所述操作系統(tǒng)啟動項; 啟動模塊��,用于根據(jù)加載的操作系統(tǒng)啟動項�����,運行操作系統(tǒng)。
7.如權(quán)利要求6所述的系統(tǒng)����,其特征在于,在加載所述操作系統(tǒng)啟動項之前�,還包括:校驗所述操作系統(tǒng)啟動項���。
8.如權(quán)利要求6所述的系統(tǒng)�����,其特征在于�����,所述預(yù)設(shè)啟動規(guī)則����,為由系統(tǒng)管理員預(yù)先設(shè)定的啟動項列表��;所述手動配置啟動規(guī)則�����,為由用戶在系統(tǒng)運行過程中,手動添加的啟動項列表��。
9.如權(quán)利要求6所述系統(tǒng)��,其特征在于�,運行操作系統(tǒng)后,若系統(tǒng)當(dāng)前為專業(yè)用戶模式��,則還包括: 動態(tài)預(yù)警模塊��,若檢測到操作系統(tǒng)中的進程進行寫啟動項操作����,則進行HOOK攔截,并向用戶發(fā)出警告�����; 根據(jù)用戶指令進行相應(yīng)操作���。
10.如權(quán)利要求9所述的系統(tǒng)��,其特征在于�,所述用戶指令包括:允許寫入啟動項,并將所述啟動項添加到手動配置 啟動規(guī)則中�����;或上報所述寫啟動項行為信息��。
【文檔編號】G06F9/445GK103902883SQ201310436027
【公開日】2014年7月2日 申請日期:2013年9月24日 優(yōu)先權(quán)日:2013年9月24日
【發(fā)明者】劉佳男, 宋兵, 李柏松 申請人:北京安天電子設(shè)備有限公司