專利名稱:安全防御系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域,特別是涉及一種安全防御系統(tǒng)��。
背景技術(shù):
主動防御是基于程序行為自主分析判斷�,以防御惡意程序的實(shí)時(shí)防護(hù)技術(shù)。惡意程序是一個(gè)概括性的術(shù)語����,指任何故意創(chuàng)建用來執(zhí)行未經(jīng)授權(quán)并通常是有害行為的軟件程序。計(jì)算機(jī)病毒�、后門程序、鍵盤記錄器���、密碼盜取者�����、Word和Excel宏病毒����、引導(dǎo)區(qū)病毒��、 腳本病毒、木馬���、犯罪軟件���、間諜軟件和廣告軟件等等,都可以稱之為惡意程序��。
主動防御在進(jìn)行惡意程序防御時(shí)�,不以文件特征值作為判斷惡意程序的依據(jù),而是從最原始的定義出發(fā)�����,直接將程序的行為作為判斷惡意程序的依據(jù)�。其中衍生出在本地使用特征庫����、在本地設(shè)置行為閾值、以及在本地啟發(fā)式殺毒的方式來判別�����、攔截惡意程序的行為�,從而一定程度上達(dá)到保護(hù)用戶設(shè)備的目的。
以HIPS(Host_based Intrusion Prevention System,基于主機(jī)的入侵防御系統(tǒng)) 為例,HIPS是一種能監(jiān)控計(jì)算機(jī)中文件的運(yùn)行和文件運(yùn)行了其他的文件以及文件對注冊表的修改�,并發(fā)出報(bào)告請求允許運(yùn)行或修改的主動防御軟件。HIPS包括AD (Application Defend,應(yīng)用程序防御體系)�、RD(Registry Defend,注冊表防御體系)、和FD(File Defend, 文件防御體系)��,通過可定制的規(guī)則對本地的運(yùn)行程序����、注冊表的讀寫操作、以及文件讀寫操作進(jìn)行判斷并確定允許或禁止����。其中,RD用于對常見的系統(tǒng)敏感注冊表項(xiàng)進(jìn)行監(jiān)視����,F(xiàn)D 用于監(jiān)視系統(tǒng)敏感目錄的文件(如HOSTS)操作,如修改刪除系統(tǒng)目錄里的任何文件或創(chuàng)建新文件等����,也可用來發(fā)現(xiàn)被驅(qū)動木馬隱藏的文件本體。
然而�����,隨著計(jì)算機(jī)應(yīng)用得越來越廣泛,未知程序和文件也越來越多�����,現(xiàn)有的HIPS 在進(jìn)行主動防御時(shí)���,常常無法對注冊表和/或文件的改動進(jìn)行精確地防御���,以致漏報(bào)或誤報(bào)的情況時(shí)有發(fā)生。發(fā)明內(nèi)容
鑒于上述現(xiàn)有的安全防御方法無法對注冊表和/或文件的改動進(jìn)行精確地防御����, 以致漏報(bào)或誤報(bào)的情況時(shí)有發(fā)生的問題,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的安全防御系統(tǒng)�。
依據(jù)本發(fā)明,提供了一種安全防御系統(tǒng)����,其包括客戶端和云安全服務(wù)器�����,其中�,所述客戶端包括確定模塊�����,用于主動防御系統(tǒng)確定當(dāng)前程序?qū)懭氲淖员砟繕?biāo)項(xiàng)不存在���; 解析模塊,用于獲取目標(biāo)項(xiàng)的數(shù)據(jù)����,從中解析出當(dāng)前程序待寫入的目標(biāo)路徑;文件防御模塊���,用于將目標(biāo)路徑加入文件防御規(guī)則�,使用文件防御規(guī)則在當(dāng)前程序生成文件時(shí)進(jìn)行文件防御����;云安全服務(wù)器,用于接收文件防御模塊發(fā)送的生成的文件�,根據(jù)設(shè)定的規(guī)則對生成的文件進(jìn)行安全性判定,并向客戶端返回判定結(jié)果���。
可選地���,解析模塊�,還用于對開機(jī)啟動程序進(jìn)行掃描時(shí)�,獲取注冊表中開機(jī)啟動程序的注冊表項(xiàng),從中解析出開機(jī)啟動程序的路徑�����;文件防御模塊�����,還用于將開機(jī)啟動程序的路徑加入文件防御規(guī)則����,使用文件防御規(guī)則在系統(tǒng)開機(jī)啟動時(shí)進(jìn)行文件防御。
可選地�����,文件防御模塊��,用于將目標(biāo)路徑加入文件防御規(guī)則�����,使主動防御系統(tǒng)在當(dāng)前程序生成文件時(shí)���,獲取生成的文件的文件路徑���;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標(biāo)路徑是否匹配;若匹配��,則獲取生成的文件的文件特征值�,將生成的文件的文件特征值發(fā)送到服務(wù)器進(jìn)行程序安全性判定;根據(jù)服務(wù)器的返回結(jié)果對當(dāng)前程序進(jìn)行文件防御處理�。
可選地,文件防御模塊���,用于將目標(biāo)路徑加入文件防御規(guī)則�,使主動防御系統(tǒng)在當(dāng)前程序生成文件時(shí)���,獲取生成的文件的文件路徑����;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標(biāo)路徑是否匹配����;若匹配,則獲取生成的文件��,判斷生成的文件是否在目標(biāo)白名單中;若生成的文件在目標(biāo)白名單中����,且生成的文件的來源在來源白名單中,則將生成的文件放行���。
可選地�,文件防御模塊��,用于將目標(biāo)路徑加入文件防御規(guī)則����,使主動防御系統(tǒng)在當(dāng)前程序生成文件時(shí),獲取生成的文件的文件路徑�;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標(biāo)路徑是否匹配;若匹配�����,則獲取生成的文件�����,判斷生成的文件是否符合預(yù)置的臨界文件規(guī)則,其中�,臨界文件規(guī)則用于指示生成的文件為除白名單文件����、黑名單文件和可疑文件之外的文件;若符合�����,則判斷生成的文件的來源是否在來源白名單中��;若是���,則將生成的文件放行�;若否��,則進(jìn)行報(bào)警提示�。
可選地,所述客戶端還包括注冊表防御模塊�,用于主動防御系統(tǒng)確定當(dāng)前程序?qū)懭氲淖员砟繕?biāo)項(xiàng)是否符合注冊表防御規(guī)則;若是�,則使用注冊表防御規(guī)則進(jìn)行注冊表防御,若否���,則進(jìn)入確定模塊執(zhí)行����。
現(xiàn)有的安全防御方案中,當(dāng)程序?qū)懭氲淖员砟繕?biāo)項(xiàng)���,如寫入的目標(biāo)路徑不存在時(shí)��,主動防御系統(tǒng)不會攔截���,因?yàn)閿r截容易造成誤報(bào),但是不攔截又有可能會產(chǎn)生漏報(bào)��。而根據(jù)本發(fā)明的安全防御方案���,當(dāng)程序?qū)懭氲淖员砟繕?biāo)項(xiàng)不存在時(shí)����,主動防御系統(tǒng)不會報(bào)警���,但會將該目標(biāo)項(xiàng)中的目標(biāo)路徑加入文件防御規(guī)則�����,在生成文件時(shí)進(jìn)行文件防御�。通過本發(fā)明,對RD中取決于目標(biāo)的規(guī)則�,如果目標(biāo)不存在,那么使用FD防護(hù)規(guī)則�,在文件生成的時(shí)候攔截���,解決了現(xiàn)有的安全防御方法無法對注冊表和/或文件的改動進(jìn)行精確地防御���,以致漏報(bào)或誤報(bào)的情況時(shí)有發(fā)生的問題,達(dá)到RD和FD聯(lián)合防御��,減少漏報(bào)或誤報(bào)的效果��。
上述說明僅是本發(fā)明技術(shù)方案的概述����,為了能夠更清楚了解本發(fā)明的技術(shù)手段, 而可依照說明書的內(nèi)容予以實(shí)施���,并且為了讓本發(fā)明的上述和其它目的����、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉本發(fā)明的具體實(shí)施方式
�。
通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了�。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對本發(fā)明的限制���。而且在整個(gè)附圖中���,用相同的參考符號表示相同的部件。在附圖中
圖I是根據(jù)本發(fā)明實(shí)施例一的一種安全防御方法的步驟流程圖2是根據(jù)本發(fā)明實(shí)施例二的一種安全防御方法的步驟流程圖3是根據(jù)本發(fā)明實(shí)施例三的一種安全防御方法的步驟流程圖4是根據(jù)本發(fā)明實(shí)施例四的一種安全防御裝置的結(jié)構(gòu)框圖5是根據(jù)本發(fā)明實(shí)施例五的一種安全防御系統(tǒng)的結(jié)構(gòu)框圖����。
具體實(shí)施方式
下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例。雖然附圖中顯示了本公開的示例性實(shí)施例���,然而應(yīng)當(dāng)理解����,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制��。相反����,提供這些實(shí)施例是為了能夠更透徹地理解本公開����,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員�����。
實(shí)施例一
參照圖1��,示出了根據(jù)本發(fā)明實(shí)施例一的一種安全防御方法的步驟流程圖�。
本實(shí)施例的安全防御方法包括以下步驟
步驟S102 :主動防御系統(tǒng)確定當(dāng)前程序?qū)懭氲淖员砟繕?biāo)項(xiàng)不存在�����。
當(dāng)程序?qū)懽员頃r(shí)����,主動防御系統(tǒng)會啟動RD。RD提供了對常見的系統(tǒng)敏感注冊表項(xiàng)進(jìn)行監(jiān)視��,如啟動項(xiàng)���、服務(wù)驅(qū)動項(xiàng)��、系統(tǒng)策略項(xiàng)���、瀏覽器設(shè)置或網(wǎng)絡(luò)設(shè)置(包括 NameServer)項(xiàng)的添加修改�����。當(dāng)有程序進(jìn)行修改表項(xiàng)的操作時(shí)����,目前默認(rèn)都被RD視為敏感行為而攔截掛起��,這種攔截掛起造成了現(xiàn)有主動防御系統(tǒng)的漏報(bào)或者誤報(bào)�����。而本實(shí)施例中�����, 當(dāng)程序?qū)懽员眄?xiàng)時(shí)�����,若主動防御系統(tǒng)確定程序?qū)懭氲淖员砟繕?biāo)項(xiàng)不存在��,不會進(jìn)行攔截掛起���,而是將待寫入的目標(biāo)路徑加入FD規(guī)則����,等待后續(xù)的FD。例如����,注冊表中不存在程序?qū)懭氲淖员砟繕?biāo)項(xiàng),如程序?qū)懭氲哪繕?biāo)路徑不是系統(tǒng)中當(dāng)前已經(jīng)存在的現(xiàn)有路徑而是新路徑�,則主動防御系統(tǒng)不會進(jìn)行攔截掛起,而是將待寫入的目標(biāo)路徑加入FD規(guī)則����,等待后續(xù)的FD�。
步驟S104:主動防御系統(tǒng)獲取目標(biāo)項(xiàng)的數(shù)據(jù),從中解析出當(dāng)前程序待寫入的目標(biāo)路徑��。
步驟S106 :主動防御系統(tǒng)將目標(biāo)路徑加入文件防御規(guī)則����,使用文件防御規(guī)則在當(dāng)前程序生成文件時(shí)進(jìn)行文件防御。
使用文件防御規(guī)則進(jìn)行文件防御�����;文件防御體系(FD),用于監(jiān)視系統(tǒng)敏感目錄的文件(如HOSTS)操作�,如修改刪除系統(tǒng)目錄里的任何文件或創(chuàng)建新文件等,也可用來發(fā)現(xiàn)被驅(qū)動木馬隱藏的文件本體���。實(shí)現(xiàn)文件防御體系的要點(diǎn)同樣也是攔截系統(tǒng)底層函數(shù)如 NtOpenFile等���,HIPS默認(rèn)對系統(tǒng)敏感目錄進(jìn)行監(jiān)控保護(hù),一旦發(fā)現(xiàn)異常讀寫���,則把相關(guān)操作掛起�����,并根據(jù)一定的匹配模式?jīng)Q定放行�����、阻止或則彈框提示用戶��。如果程序?qū)懭氲淖员砟繕?biāo)項(xiàng)�,如寫入的目標(biāo)路徑不存在時(shí)��,主動防御系統(tǒng)不會攔截,因?yàn)閿r截容易造成誤報(bào)�,但是不攔截又有可能會產(chǎn)生漏報(bào)。而根據(jù)本發(fā)明的安全防御方案���,當(dāng)程序?qū)懭氲淖员砟繕?biāo)項(xiàng)不存在時(shí)�,主動防御系統(tǒng)不會報(bào)警��,但會將該目標(biāo)項(xiàng)中的目標(biāo)路徑加入文件防御規(guī)則����,在生成文件時(shí)進(jìn)行文件防御。通過本實(shí)施例�����,對RD中取決于目標(biāo)的規(guī)則���,如果目標(biāo)不存在��,那么使用FD防護(hù)規(guī)則,在文件生成的時(shí)候攔截�����,解決了現(xiàn)有的安全防御方法無法對注冊表和 /或文件的改動進(jìn)行精確地防御����,以致漏報(bào)和誤報(bào)的情況時(shí)有發(fā)生的問題���,達(dá)到RD和FD聯(lián)合防御,減少漏報(bào)和誤報(bào)的效果��。
實(shí)施例二
參照圖2�,示出了根據(jù)本發(fā)明實(shí)施例二的一種安全防御方法的步驟流程圖。
本實(shí)施例的安全防御方法包括以下步驟5
步驟S202 :當(dāng)前程序向注冊表中寫入注冊表目標(biāo)項(xiàng)�。
步驟S204:主動防御系統(tǒng)確定當(dāng)前程序?qū)懭氲淖员砟繕?biāo)項(xiàng)是否符合注冊表防御規(guī)則;若是����,則進(jìn)行注冊表防御,結(jié)束本次流程����;若否,則執(zhí)行步驟S206�。
注冊表防御提供了對常見的系統(tǒng)敏感注冊表項(xiàng)進(jìn)行監(jiān)視,如對啟動項(xiàng)���、服務(wù)驅(qū)動項(xiàng)���、系統(tǒng)策略項(xiàng)��、瀏覽器設(shè)置或網(wǎng)絡(luò)設(shè)置項(xiàng)的添加修改的監(jiān)視�。一般來說�,這些表項(xiàng)會被加入注冊表防御規(guī)則,當(dāng)這些表項(xiàng)有改動時(shí)�,主動防御系統(tǒng)判斷該改動是否被允許,若允許則可放過該改動�����,若不允許則可進(jìn)行報(bào)警等���。例如�,要對瀏覽器進(jìn)行劫持和主頁修改就得通過修改注冊表中的瀏覽器設(shè)置項(xiàng)等����,而這些操作默認(rèn)符合注冊表防御規(guī)則,被主動防御系統(tǒng)視為敏感行為而攔截掛起��,并根據(jù)一定的匹配模式?jīng)Q定放行�、阻止或則彈框提示用戶�。由于注冊表防御攔截了系統(tǒng)核心層導(dǎo)出的API函數(shù),無論是木馬還是其他程序?qū)τ脩舫绦蜻M(jìn)行的操作都被監(jiān)控,從而實(shí)現(xiàn)了真正有效地監(jiān)視和攔截��。
當(dāng)當(dāng)前程序?qū)懭氲淖员砟繕?biāo)項(xiàng)不在注冊表防御規(guī)則的防御中��,則執(zhí)行步驟 S206�。
步驟S206 :主動防御系統(tǒng)確定當(dāng)前程序?qū)懭氲淖员砟繕?biāo)項(xiàng)不存在。
如���,待寫入的目標(biāo)路徑非當(dāng)前已有路徑����。
步驟S208 :主動防御系統(tǒng)獲取目標(biāo)項(xiàng)的數(shù)據(jù)�,從中解析出當(dāng)前程序待寫入的目標(biāo)路徑。
步驟S210 :主動防御系統(tǒng)將目標(biāo)路徑加入文件防御規(guī)則���。
優(yōu)選地���,本實(shí)施例中,主動防御系統(tǒng)不僅將新寫入的當(dāng)前程序的目標(biāo)路徑加入文件防御規(guī)則中�,并且,主動防御系統(tǒng)還獲取注冊表中開機(jī)啟動程序的注冊表項(xiàng)����,從中解析出開機(jī)啟動程序的路徑���;將開機(jī)啟動程序的路徑加入文件防御規(guī)則,并使用文件防御規(guī)則在系統(tǒng)開機(jī)啟動時(shí)進(jìn)行文件防御��。通過將開機(jī)啟動程序的路徑加入文件防御規(guī)則����,在系統(tǒng)開機(jī)啟動的時(shí)候也會對注冊表中可以啟動的項(xiàng)目進(jìn)行掃描和FD,防止木馬在主動防御系統(tǒng)開啟之如啟動關(guān)破王防�。
步驟S212 :主動防御系統(tǒng)使用文件防御規(guī)則在當(dāng)前程序生成文件時(shí)進(jìn)行文件防御。
當(dāng)前程序生成的文件可以是當(dāng)前程序按照指令安裝的新文件��,或?qū)υ募M(jìn)行修改后生成的文件等��,或者為其它形式��。
優(yōu)選地�����,一種使用文件防御規(guī)則在當(dāng)前程序生成文件時(shí)進(jìn)行文件防御的方式是 主動防御系統(tǒng)在當(dāng)前程序生成文件時(shí)�����,獲取生成的文件的文件路徑����;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標(biāo)路徑是否匹配�����;若匹配,則獲取生成的文件��,將生成的文件發(fā)送到服務(wù)器進(jìn)行程序安全性判定(如判定生成的文件是否為惡意程序)�;根據(jù)服務(wù)器的返回結(jié)果對當(dāng)前程序進(jìn)行文件防御處理。優(yōu)選地����,主動防御系統(tǒng)獲取生成的文件的文件特征值,將生成的文件的文件特征值發(fā)送到服務(wù)器進(jìn)行程序安全性判定��。其中���,服務(wù)器端存儲有相應(yīng)的文件判定規(guī)則����,預(yù)先通過對文件特征值進(jìn)行分析將文件等級分類�,進(jìn)而根據(jù)文件的等級分類判定文件是否是惡意程序等。若經(jīng)過服務(wù)器端判定����,確定生成的文件為白文件(即安全的文件)�����,則可以放行���;若確定生成的文件為黑文件(即惡意程序文件),則進(jìn)行攔截或者提示報(bào)警等處理�����;若不能確定文件的性質(zhì)����,則提示用戶,由用戶進(jìn)行相應(yīng)的處理��,如決定放行或禁止等�����。若生成的文件的文件路徑與文件防御規(guī)則中的目標(biāo)路徑不匹配����,則可以根6據(jù)設(shè)置的其他規(guī)則進(jìn)行處理�����,如放行��、提示�、或者使用AD規(guī)則進(jìn)行防御等等��。
例如���,將文件的文件特征值如文件哈希值發(fā)送到服務(wù)器進(jìn)行查詢,服務(wù)器中預(yù)先保存有根據(jù)文件哈希值劃分的文件等級���,根據(jù)查詢結(jié)果確定文件的等級���。另外,對于有白簽名的文件�,服務(wù)器會按白文件處理。服務(wù)器的數(shù)據(jù)庫保存有白名單���,該白名單可以包括目標(biāo)白名單和來源白名單�,以便于對生成的文件及其來源進(jìn)行安全性判定��,其中,目標(biāo)白名單和來源白名單也可以統(tǒng)一為同一個(gè)白名單來進(jìn)行安全性判定��,也可以劃分為不同的白名單�����, 保存在服務(wù)器中數(shù)據(jù)庫的不同的位置�。
其中,文件哈希值可以是經(jīng)由MD5 (Message-Digest Algorithm5,信息-摘要算法)運(yùn)算得出的MD5驗(yàn)證碼,或SHAl碼,或CRC(Cyclic Redundancy Check,循環(huán)冗余校驗(yàn)) 碼等可唯一標(biāo)識原程序的特征碼����。
另一種使用文件防御規(guī)則在當(dāng)前程序生成文件時(shí)進(jìn)行文件防御的方式是主動防御系統(tǒng)在當(dāng)前程序生成文件時(shí),獲取生成的文件的文件路徑���;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標(biāo)路徑是否匹配�;若匹配����,則獲取生成的文件,判斷生成的文件是否在目標(biāo)白名單中���;若生成的文件在目標(biāo)白名單中�,且生成的文件的來源在來源白名單中,則將生成的文件放行���。
優(yōu)選地��,當(dāng)主動防御系統(tǒng)判斷生成的文件的文件路徑與文件防御規(guī)則中的目標(biāo)路徑匹配時(shí)�����,獲取生成的文件�,先判斷生成的文件是否符合預(yù)置的臨界文件規(guī)則��,其中���,臨界文件規(guī)則用于指示生成的文件為除白名單文件、黑名單文件和可疑文件之外的文件�����;若符合����,則判斷生成的文件的來源是否在來源白名單中;若是��,則將生成的文件放行;若否�����,則進(jìn)行報(bào)警提示��。臨界文件規(guī)則可以由本領(lǐng)域技術(shù)人員根據(jù)實(shí)際情況適當(dāng)設(shè)置���,如根據(jù)文件等級判斷生成的文件是否為灰名單文件等�,其中���,灰名單文件可以是危險(xiǎn)級別大于白名單文件��,但又小于可疑文件的文件����。但不限于此�����,也可以將灰名單文件和可疑文件等均囊括入臨界文件中�。在FD規(guī)則中放過了白來源(即來源白名單中的文件來源)的文件,可以有效減少誤報(bào)�。如果該文件的來源是白的,則可以直接放過,運(yùn)行其寫注冊表等��。
需要說明的是�����,本實(shí)施例中的服務(wù)器可以是部署于主動防御系統(tǒng)所在設(shè)備之外的后臺服務(wù)器����,如后臺云服務(wù)器,但不限于此���,在硬件條件許可的情況下�,該服務(wù)器也可以與主動防御系統(tǒng)合并設(shè)置�����,即主動防御系統(tǒng)與服務(wù)器設(shè)置在一臺機(jī)器上����。
通過本實(shí)施例�����,實(shí)現(xiàn)了 RD、FD的聯(lián)防��;并且����,將開機(jī)啟動程序的路徑加入FD規(guī)則, 防止了惡意程序在主動防御系統(tǒng)開啟之前啟動突破主防�����,提高了系統(tǒng)安全性���;此外��,在FD 規(guī)則中放過文件來源白名單中的文件��,減少了誤報(bào)����。
實(shí)施例三
參照圖3�,示出了根據(jù)本發(fā)明實(shí)施例三的一種安全防御方法的步驟流程圖。
本實(shí)施例以HIPS的RD和FD聯(lián)合防御為例���,對本發(fā)明的安全防御方案作以說明���。 本實(shí)施例的方案包含了可以用于靜態(tài)掃描開機(jī)啟動項(xiàng)�����,加入FD規(guī)則��,以防止文件被篡改的內(nèi)容����。
本實(shí)施例的安全防御方法包括以下步驟
步驟S302 :主動防御系統(tǒng)獲取注冊表中開機(jī)啟動程序的注冊表項(xiàng)�����,從中解析出開機(jī)啟動程序的路徑��,將開機(jī)啟動程序的路徑加入FD規(guī)則��。
例如�����,主動防御系統(tǒng)可以在對開機(jī)啟動程序進(jìn)行掃描時(shí)����,獲取注冊表中開機(jī)啟動程序的注冊表項(xiàng),從中解析出開機(jī)啟動程序的路徑�,進(jìn)而將開機(jī)啟動程序的路徑加入FD規(guī)則。
步驟S304 :系統(tǒng)開機(jī)啟動時(shí)�,使用FD規(guī)則進(jìn)行文件防御。
本實(shí)施例中��,對于修改開機(jī)啟動的注冊表中的目標(biāo)文件(如ImagePath指向的文件)的文件內(nèi)容也會使用FD進(jìn)行防護(hù)攔截����,防止木馬突破。
RD規(guī)則���、FD規(guī)則和AD規(guī)則����,是通過TRAY下發(fā)給驅(qū)動的����,其中TRAY規(guī)定了每個(gè)規(guī)則如何根據(jù)不同的行為定義攔截,例如�����,當(dāng)木馬寫入文件到一個(gè)文件路徑下�����,替換該路徑本身的文件(文件名不變),此時(shí)�����,主動防御系統(tǒng)的服務(wù)TRAY還未運(yùn)行起來����,而此時(shí)木馬卻運(yùn)行起來,則主動防御系統(tǒng)無法進(jìn)行攔截防護(hù)�。而通過將開機(jī)啟動程序的路徑加入FD規(guī)則中, 則很好地解決了這一問題����。
步驟S306 :當(dāng)前程序向注冊表中寫入注冊表目標(biāo)項(xiàng)。
本實(shí)施例中���,注冊表目標(biāo)項(xiàng)為當(dāng)前程序的注冊目標(biāo)路徑�����。
注冊表中有一些值是文件的路徑����,這些路徑容易被木馬利用�����,例如��,RUN項(xiàng)��、服務(wù)中的image path項(xiàng)等����,都是容易被利用的可執(zhí)行程序的路徑。
在注冊表防護(hù)中�,有一些注冊表防御規(guī)則需要分析目標(biāo)項(xiàng),比如新建的服務(wù)/驅(qū)動����,需要把目標(biāo)路徑寫入注冊表項(xiàng)
例如
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ffindows\CurrentVersion\Run ;其中�,Run是注冊表中的鍵;
HKEY_CURRENT_USER\Software\Microsoft\ffindows\CurrentVersion\Run �;
或者,
HKEY_LOCAL_MACHINE\System\CurrentcontrolSet\Services\*\[ImagePath]����;其中����,ImagePath是一個(gè)值,對應(yīng)服務(wù)/驅(qū)動的路徑��。
步驟S308 :主動防御系統(tǒng)確定當(dāng)前程序?qū)懭氲淖员砟繕?biāo)項(xiàng)不存在���。
如��,主動防御系統(tǒng)確定注冊表目標(biāo)項(xiàng)�����,即當(dāng)前程序?qū)懭氲哪繕?biāo)路徑HKEY_L0CAL_ MACHINE\System\CurrentcontrolSet\Services\*\ [ImagePath]不存在�����。
本實(shí)施例中���,如果寫入的目標(biāo)路徑不存在,主動防御系統(tǒng)此時(shí)是不會攔截的�����,以免造成誤報(bào),但為了避免不攔截而可能造成的漏報(bào)���,可以在當(dāng)前程序生成文件的時(shí)候再使用 FD進(jìn)行攔截���。
步驟S310 :主動防御系統(tǒng)獲取寫入的目標(biāo)項(xiàng)的數(shù)據(jù)�,從中解析出當(dāng)前程序待寫入的目標(biāo)路徑。
步驟S312 :主動防御系統(tǒng)將當(dāng)前程序待寫入的目標(biāo)路徑加入FD規(guī)則�����。
步驟S314 :當(dāng)當(dāng)前程序生成文件時(shí)�,主動防御系統(tǒng)獲取生成的文件的文件路徑。
步驟S316 :主動防御系統(tǒng)判斷該文件路徑與FD規(guī)則中的目標(biāo)路徑是否匹配��,若是���,則執(zhí)行步驟S318 ;若否�����,則按照設(shè)定策略進(jìn)行處理���。
例如,RD運(yùn)行起來后,會掃描注冊表啟動項(xiàng)目�,主要掃描的項(xiàng)目包括
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ffindows\CurrentVersion\Run ;
HKEY_CURRENT_USER\Software\Microsoft\Windows\Cu;rrentVersion\Run��。
若RD掃描完注冊表項(xiàng)目后����,發(fā)現(xiàn)了木馬程序的文件路徑,則會根據(jù)FD規(guī)則��,當(dāng)該木馬程序修改文件時(shí)��,主動防御系統(tǒng)會截獲到該文件���,避免開機(jī)時(shí)該木馬程序繞過主動防御的攔截�。
本步驟中�����,設(shè)定策略可以由本領(lǐng)域技術(shù)人員根據(jù)實(shí)際情況適當(dāng)設(shè)置����,如放行、提示��、或者使用AD進(jìn)行防御等,本實(shí)施例對此不作限制�����。
步驟S318 :主動防御系統(tǒng)獲取生成的文件�,判斷生成的文件是否符合預(yù)置的臨界文件規(guī)則,若是��,則執(zhí)行步驟S320 ;若否�,則按照設(shè)定策略進(jìn)行處理���。
其中�����,臨界文件規(guī)則用于指示生成的文件為除白名單文件�、黑名單文件和可疑文件之外的文件�����。
例如���,后臺預(yù)置的規(guī)則庫中保存有文件等級等信息�,根據(jù)這些信息判斷文件是否是臨界文件。文件等級包括“純白�、白”(稱為白),“灰��,灰白”(稱為灰)����,“低可疑,高可疑” (可疑)����,“木馬”(黑),“未知”(沒有獲取到文件)等�����,文件等級的設(shè)置可以由本領(lǐng)域技術(shù)人員根據(jù)現(xiàn)有方式適當(dāng)設(shè)置�,本實(shí)施例對此不作限制。
以臨界文件為“灰”等級的文件為例��,當(dāng)主動防御系統(tǒng)確定生成的文件的文件等級為灰時(shí)�����,則認(rèn)為該生成的文件符合預(yù)置的臨界文件規(guī)則����,則執(zhí)行步驟S320����。
此外����,本步驟中的設(shè)定策略也可以由本領(lǐng)域技術(shù)人員根據(jù)實(shí)際情況適當(dāng)設(shè)置,如放行����、提示、或者使用AD進(jìn)行防御等�����,本實(shí)施例對此不作限制���。
步驟S320 :主動防御系統(tǒng)判斷生成的文件的來源是否在來源白名單中,若是��,則將生成的文件放行�;若否,則進(jìn)行報(bào)警提示���,例如彈出報(bào)警提示框����。
基于某些程序由于生成的文件沒有及時(shí)收入白名單中引起的誤報(bào),本實(shí)施例對FD 規(guī)則進(jìn)行進(jìn)一步修改��,判斷文件的來源是否在來源白名單中���,以放過白進(jìn)程鏈生成的文件����, 減少誤報(bào)�����。
與現(xiàn)有主動防御系統(tǒng)相比�����,現(xiàn)有的主動防御系統(tǒng)對來源為白而目標(biāo)為灰文件會攔截并彈出提示框�����,造成如果目標(biāo)沒有及時(shí)加入白名單仍然會誤報(bào)���,而通過本實(shí)施例�,可以將來源為白而目標(biāo)為灰的文件放行。
其中�,概括來說,來源一般指命中規(guī)則的進(jìn)程�,目標(biāo)即是被命中的規(guī)則;對于FD來源是指修改/創(chuàng)建文件的進(jìn)程����,目標(biāo)是指被修改/創(chuàng)建的文件;對于AD來源是進(jìn)程創(chuàng)建者�����, 目標(biāo)是指被創(chuàng)建的進(jìn)程�;對于RD目標(biāo)就是命中的注冊表項(xiàng)所對應(yīng)的文件路徑。
本實(shí)施例中�,主動防御系統(tǒng)首先利用RD來防護(hù)����,針對先寫注冊表項(xiàng),后生成文件的程序�,當(dāng)這些程序先寫了注冊表項(xiàng),主動防御系統(tǒng)此時(shí)先不報(bào)警�����,將該程序的目標(biāo)文件路徑加在FD規(guī)則中,后續(xù)利用FD防護(hù)���;當(dāng)該程序的文件生成的時(shí)候��,直接獲取該文件�����,查出文件等級���,進(jìn)而進(jìn)行相應(yīng)處理,如報(bào)警等��。需要說明的是����,對于那些先寫了文件的程序,當(dāng)主動防御系統(tǒng)檢測到寫入注冊表而文件等級存在時(shí)����,可以直接通過查文件等級進(jìn)行等級報(bào)出。
通過本實(shí)施例,對RD中需要分析目標(biāo)項(xiàng)的規(guī)則(一般來說是文件路徑)����,如果目標(biāo)不存在,那么使用FD規(guī)則進(jìn)行防護(hù)����,在文件生成的時(shí)候攔截,達(dá)到RD和FD聯(lián)防的效果�;另外,主動防御系統(tǒng)在啟動的時(shí)候也會對注冊表中可以啟動的項(xiàng)目進(jìn)行掃描并加入FD規(guī)則�, 防止木馬在防護(hù)程序開啟之前啟動突破主防;并且��,在FD規(guī)則中放過了白來源的文件��,減少了誤報(bào)�����。
實(shí)施例四
參照圖4�����,示出了根據(jù)本發(fā)明實(shí)施例四的一種安全防御裝置的結(jié)構(gòu)框圖�����。
本實(shí)施例的安全防御裝置用于主動防御系統(tǒng)進(jìn)行安全防御��,該裝置包括確定模塊402���,用于主動防御系統(tǒng)確定當(dāng)前程序?qū)懭氲淖员砟繕?biāo)項(xiàng)不存在���;解析模塊404,用于獲取目標(biāo)項(xiàng)的數(shù)據(jù)�,從中解析出當(dāng)前程序待寫入的目標(biāo)路徑;文件防御模塊406���,用于將目標(biāo)路徑加入文件防御規(guī)則�����,使用文件防御規(guī)則在當(dāng)前程序生成文件時(shí)進(jìn)行文件防御�����。
優(yōu)選地��,解析模塊404�����,還用于在對開機(jī)啟動程序進(jìn)行掃描時(shí)����,獲取注冊表中開機(jī)啟動程序的注冊表項(xiàng),從中解析出開機(jī)啟動程序的路徑�;文件防御模塊406,還用于將開機(jī)啟動程序的路徑加入文件防御規(guī)則����,使用文件防御規(guī)則在系統(tǒng)開機(jī)啟動時(shí)進(jìn)行文件防御。
優(yōu)選地����,文件防御模塊406,用于將目標(biāo)路徑加入文件防御規(guī)則��,使主動防御系統(tǒng)在當(dāng)前程序生成文件時(shí)����,獲取生成的文件的文件路徑;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標(biāo)路徑是否匹配��;若匹配��,則獲取生成的文件的文件特征值,將生成的文件的文件特征值發(fā)送到服務(wù)器進(jìn)行程序安全性判定�;根據(jù)服務(wù)器的返回結(jié)果對當(dāng)前程序進(jìn)行文件防御處理����。
優(yōu)選地,文件防御模塊406���,用于將目標(biāo)路徑加入文件防御規(guī)則�����,使主動防御系統(tǒng)在當(dāng)前程序生成文件時(shí)���,獲取生成的文件的文件路徑;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標(biāo)路徑是否匹配���;若匹配���,則獲取生成的文件,判斷所述生成的文件是否在目標(biāo)白名單中�����;若生成的文件在目標(biāo)白名單中,且所述生成的文件的來源在來源白名單中����, 則將所述生成的文件放行。
優(yōu)選地����,文件防御模塊406,用于將目標(biāo)路徑加入文件防御規(guī)則����,使主動防御系統(tǒng)在當(dāng)前程序生成文件時(shí),獲取生成的文件的文件路徑�;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標(biāo)路徑是否匹配;若匹配���,則獲取生成的文件�,判斷生成的文件是否符合預(yù)置的臨界文件規(guī)則�����,其中�,臨界文件規(guī)則用于指示生成的文件為除白名單文件、黑名單文件和可疑文件之外的文件����;若符合�,則判斷生成的文件的來源是否在來源白名單中���;若是,則將生成的文件放行���;若否�,則進(jìn)行報(bào)警提示����。
優(yōu)選地,本實(shí)施例的安全防御裝置還包括注冊表防御模塊408��,用于主動防御系統(tǒng)確定當(dāng)前程序?qū)懭氲淖员砟繕?biāo)項(xiàng)是否符合注冊表防御規(guī)則�����;若是����,則使用注冊表防御規(guī)則進(jìn)行注冊表防御,若否�,則進(jìn)入確定模塊402執(zhí)行����。
本實(shí)施例的安全防御裝置用于實(shí)現(xiàn)前述多個(gè)方法實(shí)施例中相應(yīng)的安全防御方法���, 并具有相應(yīng)的方法實(shí)施例的有益效果�����,在此不再贅述���。
實(shí)施例五
參照圖5,示出了根據(jù)本發(fā)明實(shí)施例五的一種安全防御系統(tǒng)的結(jié)構(gòu)框圖�。
本實(shí)施例的安全防御系統(tǒng)包括客戶端500和云安全服務(wù)器600。
其中����,客戶端500具有實(shí)施例四中所述的安全防御裝置,包括確定模塊502��,用于主動防御系統(tǒng)確定當(dāng)前程序?qū)懭氲淖员砟繕?biāo)項(xiàng)不存在�;解析模塊504,用于獲取目標(biāo)項(xiàng)的數(shù)據(jù)�����,從中解析出當(dāng)前程序待寫入的目標(biāo)路徑;文件防御模塊506��,用于將目標(biāo)路徑加入文件防御規(guī)則���,使主動防御系統(tǒng)在當(dāng)前程序生成文件時(shí)��,獲取生成的文件的文件路徑��;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標(biāo)路徑是否匹配;若匹配�����,則獲取生成的文件��,將生成的文件發(fā)送到云安全服務(wù)器600進(jìn)行程序安全性判定�;以及,接收并根據(jù)云安全服務(wù)器600的返回結(jié)果對當(dāng)前程序進(jìn)行文件防御處理���。
云安全服務(wù)器600�����,用于接收文件防御模塊506發(fā)送的生成的文件�����,根據(jù)設(shè)定的規(guī)則對生成的文件進(jìn)行安全性判定����,并向客戶端返回判定結(jié)果。其中�,設(shè)定的規(guī)則包括但不限于如前所述的文件等級規(guī)則、黑白名單規(guī)則等等��,本領(lǐng)域技術(shù)人員在實(shí)際使用中����,可以根據(jù)實(shí)際情況適當(dāng)設(shè)置安全性判定規(guī)則,本發(fā)明對此不作限制�。
優(yōu)選地,解析模塊504��,還用于在對開機(jī)啟動程序進(jìn)行掃描時(shí)�����,獲取注冊表中開機(jī)啟動程序的注冊表項(xiàng)�,從中解析出開機(jī)啟動程序的路徑;文件防御模塊506,還用于將開機(jī)啟動程序的路徑加入文件防御規(guī)則�����,使用文件防御規(guī)則在系統(tǒng)開機(jī)啟動時(shí)進(jìn)行文件防御��。
優(yōu)選地����,文件防御模塊506,用于將目標(biāo)路徑加入文件防御規(guī)則�,使主動防御系統(tǒng)在當(dāng)前程序生成文件時(shí),獲取生成的文件的文件路徑��;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標(biāo)路徑是否匹配��;若匹配�����,則獲取生成的文件的文件特征值�����,將生成的文件的文件特征值發(fā)送到云安全服務(wù)器600進(jìn)行程序安全性判定��;以及�����,接收并根據(jù)云安全服務(wù)器600的返回結(jié)果對當(dāng)前程序進(jìn)行文件防御處理��。
優(yōu)選地����,文件防御模塊506,用于將目標(biāo)路徑加入文件防御規(guī)則�����,使主動防御系統(tǒng)在當(dāng)前程序生成文件時(shí)��,獲取生成的文件的文件路徑�����;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標(biāo)路徑是否匹配���;若匹配���,則獲取生成的文件,判斷生成的文件是否在目標(biāo)白名單中;若生成的文件在目標(biāo)白名單中�,且生成的文件的來源在來源白名單中,則將生成的文件放行�。
優(yōu)選地,文件防御模塊506��,用于將目標(biāo)路徑加入文件防御規(guī)則�,使主動防御系統(tǒng)在當(dāng)前程序生成文件時(shí),獲取生成的文件的文件路徑�;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標(biāo)路徑是否匹配;若匹配�����,則獲取生成的文件��,判斷生成的文件是否符合預(yù)置的臨界文件規(guī)則�����,其中�����,臨界文件規(guī)則用于指示生成的文件為除白名單文件�、黑名單文件和可疑文件之外的文件;若符合���,則判斷生成的文件的來源是否在來源白名單中�����;若是���,則將生成的文件放行;若否�,則進(jìn)行報(bào)警提示。
優(yōu)選地�����,本實(shí)施例的客戶端500還包括注冊表防御模塊508,用于主動防御系統(tǒng)確定當(dāng)前程序?qū)懭氲淖员砟繕?biāo)項(xiàng)是否符合注冊表防御規(guī)則�;若是,則使用注冊表防御規(guī)則進(jìn)行注冊表防御��,若否�,則進(jìn)入確定模塊502執(zhí)行。
本實(shí)施例的安全防御系統(tǒng)用于實(shí)現(xiàn)前述多個(gè)方法實(shí)施例中相應(yīng)的安全防御方法�, 并具有相應(yīng)的方法實(shí)施例的有益效果,在此不再贅述��。
本發(fā)明針對先寫注冊表后生成文件的程序,使用RD�����、FD聯(lián)防的策略進(jìn)行安全防御��,解決了現(xiàn)有的安全防御方法無法對注冊表和/或文件的改動進(jìn)行精確地防御���,以致漏報(bào)和誤報(bào)的情況時(shí)有發(fā)生的問題�,達(dá)到RD和FD聯(lián)防�,減少漏報(bào)和誤報(bào)的效果。
在此提供的安全防御方案不與任何特定計(jì)算機(jī)���、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)����。各種通用系統(tǒng)也可以與基于在此的示教一起使用���。根據(jù)上面的描述�,構(gòu)造具有本發(fā)明方案的系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的���。此外��,本發(fā)明也不針對任何特定編程語言����。應(yīng)當(dāng)明白�,可以利用各種編程語言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式���。
在此處所提供的說明書中�,說明了大量具體細(xì)節(jié)���。然而�����,能夠理解�,本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐����。在一些實(shí)例中,并未詳細(xì)示出公知的方法�����、結(jié)構(gòu)和技術(shù),以便不模糊對本說明書的理解����。
類似地,應(yīng)當(dāng)理解�,為了精簡本公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè),在上面對本發(fā)明的示例性實(shí)施例的描述中�,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖��、或者對其的描述中�。然而,并不應(yīng)將該公開的方法解釋成反映如下意圖即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征�。更確切地說,如權(quán)利要求書所反映的那樣����,發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征。因此����,遵循具體實(shí)施方式
的權(quán)利要求書由此明確地并入該具體實(shí)施方式
,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例��。
本領(lǐng)域那些技術(shù)人員可以理解��,可以對實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中?��?梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件�。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求�、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述���,本說明書(包括伴隨的權(quán)利要求����、摘要和附圖)中公開的每個(gè)特征可以由提供相同����、等同或相似目的的替代特征來代替。
此外��,本領(lǐng)域的技術(shù)人員能夠理解���,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征���,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例���。例如,在權(quán)利要求書中���,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用���。
本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn),或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)��,或者以它們的組合實(shí)現(xiàn)���。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解�,可以在實(shí)踐中使用微處理器或者數(shù)字信號處理器(DSP)來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的安全防御方案中的一些或者全部部件的一些或者全部功能���。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如���,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲在計(jì)算機(jī)可讀介質(zhì)上�,或者可以具有一個(gè)或者多個(gè)信號的形式。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到�����,或者在載體信號上提供,或者以任何其他形式提供�����。
應(yīng)該注意的是上述實(shí)施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制��,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例��。在權(quán)利要求中�����, 不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制��。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟��。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件�����。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來實(shí)現(xiàn)���。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個(gè)可以是通過同一個(gè)硬件項(xiàng)來具體體現(xiàn)。單詞第一���、第二���、以及第三等的使用不表示任何順序?���?蓪⑦@些單詞解釋為名稱。1權(quán)利要求
1.一種安全防御系統(tǒng)���,包括客戶端和云安全服務(wù)器����;其中�����, 所述客戶端包括 確定模塊�����,用于主動防御系統(tǒng)確定當(dāng)前程序?qū)懭氲淖员砟繕?biāo)項(xiàng)不存在��; 解析模塊,用于獲取所述目標(biāo)項(xiàng)的數(shù)據(jù)�,從中解析出所述當(dāng)前程序待寫入的目標(biāo)路徑; 文件防御模塊,用于將所述目標(biāo)路徑加入文件防御規(guī)則���,使用所述文件防御規(guī)則在所述當(dāng)前程序生成文件時(shí)進(jìn)行文件防御�����; 所述云安全服務(wù)器����,用于接收所述文件防御模塊發(fā)送的所述生成的文件��,根據(jù)設(shè)定的規(guī)則對所述生成的文件進(jìn)行安全性判定����,并向所述客戶端返回判定結(jié)果����。
2.根據(jù)權(quán)利要求I所述的安全防御系統(tǒng),其中��, 所述解析模塊����,還用于在所述主動防御系統(tǒng)對開機(jī)啟動程序進(jìn)行掃描時(shí)���,獲取所述注冊表中開機(jī)啟動程序的注冊表項(xiàng),從中解析出所述開機(jī)啟動程序的路徑��; 所述文件防御模塊���,還用于將所述開機(jī)啟動程序的路徑加入所述文件防御規(guī)則�,使用所述文件防御規(guī)則在系統(tǒng)開機(jī)啟動時(shí)進(jìn)行文件防御���。
3.根據(jù)權(quán)利要求I所述的安全防御系統(tǒng)�����,其中�����,所述文件防御模塊��,用于將所述目標(biāo)路徑加入文件防御規(guī)則���,使所述主動防御系統(tǒng)在所述當(dāng)前程序生成文件時(shí)����,獲取生成的文件的文件路徑��;判斷所述生成的文件的文件路徑與所述文件防御規(guī)則中的目標(biāo)路徑是否匹配�����;若匹配���,則獲取所述生成的文件的文件特征值�,將所述生成的文件的文件特征值發(fā)送到服務(wù)器進(jìn)行程序安全性判定����;根據(jù)所述服務(wù)器的返回結(jié)果對所述當(dāng)前程序進(jìn)行文件防御處理���。
4.根據(jù)權(quán)利要求I所述的安全防御系統(tǒng)���,其中,所述文件防御模塊��,用于將所述目標(biāo)路徑加入文件防御規(guī)則��,使所述主動防御系統(tǒng)在所述當(dāng)前程序生成文件時(shí),獲取生成的文件的文件路徑����;判斷所述生成的文件的文件路徑與所述文件防御規(guī)則中的目標(biāo)路徑是否匹配;若匹配���,則獲取所述生成的文件����,判斷所述生成的文件是否在目標(biāo)白名單中���;若生成的文件在目標(biāo)白名單中����,且所述生成的文件的來源在來源白名單中�,則將所述生成的文件放行。
5.根據(jù)權(quán)利要求4所述的安全防御系統(tǒng)����,其中,所述文件防御模塊����,用于將所述目標(biāo)路徑加入文件防御規(guī)則�����,使所述主動防御系統(tǒng)在所述當(dāng)前程序生成文件時(shí)�����,獲取生成的文件的文件路徑����;判斷所述生成的文件的文件路徑與所述文件防御規(guī)則中的目標(biāo)路徑是否匹配����;若匹配,則獲取所述生成的文件��,判斷所述生成的文件是否符合預(yù)置的臨界文件規(guī)則����,其中,所述臨界文件規(guī)則用于指示所述生成的文件為除白名單文件��、黑名單文件和可疑文件之外的文件���;若符合�,則判斷所述生成的文件的來源是否在來源白名單中���;若是�����,則將所述生成的文件放行�;若否��,則進(jìn)行報(bào)警提示�。
6.根據(jù)權(quán)利要求I所述的安全防御系統(tǒng),其中�����,所述客戶端還包括 注冊表防御模塊����,用于所述主動防御系統(tǒng)確定所述當(dāng)前程序?qū)懭氲淖员砟繕?biāo)項(xiàng)是否符合注冊表防御規(guī)則;若是��,則使用所述注冊表防御規(guī)則進(jìn)行注冊表防御���,若否���,則進(jìn)入所述確定模塊執(zhí)行���。
全文摘要
本發(fā)明提供了一種安全防御系統(tǒng),其包括客戶端和云安全服務(wù)器�����;其中�,所述客戶端包括確定模塊,用于主動防御系統(tǒng)確定當(dāng)前程序?qū)懭氲淖员砟繕?biāo)項(xiàng)不存在�����;解析模塊���,用于獲取所述目標(biāo)項(xiàng)的數(shù)據(jù)���,從中解析出所述當(dāng)前程序待寫入的目標(biāo)路徑;文件防御模塊�,用于將所述目標(biāo)路徑加入文件防御規(guī)則,使用所述文件防御規(guī)則在所述當(dāng)前程序生成文件時(shí)進(jìn)行文件防御���;所述云安全服務(wù)器��,用于接收所述文件防御模塊發(fā)送的所述生成的文件��,根據(jù)設(shè)定的規(guī)則對所述生成的文件進(jìn)行安全性判定�,并向所述客戶端返回判定結(jié)果�����。通過本發(fā)明����,達(dá)到RD和FD聯(lián)合進(jìn)行防御,減少漏報(bào)或誤報(bào)的效果����。
文檔編號H04L29/06GK102984134SQ201210452168
公開日2013年3月20日 申請日期2012年11月12日 優(yōu)先權(quán)日2012年11月12日
發(fā)明者閆繼平, 張曉霖 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司