CN100547513C - 基于程序行为分析的计算机防护方法 - Google Patents
基于程序行为分析的计算机防护方法 Download PDFInfo
- Publication number
- CN100547513C CN100547513C CNB200510007682XA CN200510007682A CN100547513C CN 100547513 C CN100547513 C CN 100547513C CN B200510007682X A CNB200510007682X A CN B200510007682XA CN 200510007682 A CN200510007682 A CN 200510007682A CN 100547513 C CN100547513 C CN 100547513C
- Authority
- CN
- China
- Prior art keywords
- program
- behavior
- action
- protecting method
- analyzing based
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 212
- 238000004458 analytical method Methods 0.000 title claims abstract description 15
- 230000009471 action Effects 0.000 claims abstract description 160
- 241000700605 Viruses Species 0.000 claims abstract description 61
- 230000009931 harmful effect Effects 0.000 claims abstract description 40
- 230000008569 process Effects 0.000 claims description 26
- 241000726445 Viroids Species 0.000 claims description 12
- 230000004048 modification Effects 0.000 claims description 10
- 238000012986 modification Methods 0.000 claims description 10
- 239000010410 layer Substances 0.000 claims description 8
- KKIMDKMETPPURN-UHFFFAOYSA-N 1-(3-(trifluoromethyl)phenyl)piperazine Chemical compound FC(F)(F)C1=CC=CC(N2CCNCC2)=C1 KKIMDKMETPPURN-UHFFFAOYSA-N 0.000 claims description 6
- 230000000052 comparative effect Effects 0.000 claims description 6
- 102100033641 Bromodomain-containing protein 2 Human genes 0.000 claims description 5
- 101000871850 Homo sapiens Bromodomain-containing protein 2 Proteins 0.000 claims description 5
- 208000032826 Ring chromosome 3 syndrome Diseases 0.000 claims description 5
- 238000009434 installation Methods 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 claims description 5
- 230000008859 change Effects 0.000 claims description 4
- 238000009825 accumulation Methods 0.000 claims description 3
- 239000012792 core layer Substances 0.000 claims description 3
- 238000011112 process operation Methods 0.000 claims description 3
- 230000002155 anti-virotic effect Effects 0.000 abstract description 10
- 230000003612 virological effect Effects 0.000 abstract description 3
- 230000006399 behavior Effects 0.000 description 177
- 230000009545 invasion Effects 0.000 description 6
- 239000000047 product Substances 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000006378 damage Effects 0.000 description 3
- 241000283086 Equidae Species 0.000 description 2
- 230000015556 catabolic process Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 239000012467 final product Substances 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000009885 systemic effect Effects 0.000 description 2
- 208000027418 Wounds and injury Diseases 0.000 description 1
- 230000001740 anti-invasion Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
Images
Abstract
本发明涉及一种计算机防护方法,即,基于程序行为分析的计算机防护方法。其特征在于:对于已知程序,监控其动作行为,并与程序行为知识库中记录的该已知程序的合法动作行为进行比较,判断该已知程序是否受到非法攻击;对于未知程序,监控其动作行为,并与攻击识别规则库中记录的攻击识别规则进行比较,判断其是否为有害程序。避免了现有的杀毒软件需要将程序与病毒库中的病毒特征代码进行比较。利用本发明的方法不但提高了效率,避免了病毒代码更新的滞后性,可以有效的对未知的病毒、木马进行拦截。
Description
技术领域
本发明涉及一种计算机防护方法,与现有技术相比较不同的是,不采用病毒特征代码进行比对,而是以程序的动作行为为特征,是基于程序行为分析的计算机防护方法。
背景技术
一直以来,对计算机病毒的入侵和反入侵的斗争都在激烈地进行着,随着计算机越来越广泛地使用,这种斗争的激烈程度也上升到一个新的高度。经过长期的斗争实践,人们总结出许多的具体方法来防止对计算机病毒的入侵,研制出许多相应的防范产品。这些产品大体上可以分为两类,一类是对入侵病毒进行隔离,例如防火墙,通过对通讯端口、协议等进行限制来防止入侵病毒的进入;另一类是对可能形成入侵的染病毒文件进行搜寻,例如现有的杀毒软件,利用可能形成入侵染病毒文件的代码特征,通过扫描发现并清除有害染病毒文件。这两类产品虽然在反病毒入侵的斗争中起了不少的作用,但都具有一些无法克服的缺点,它们分别是:
(一)防火墙虽然能够阻断一些非法病毒或黑客的入侵,但防火墙的监控对象为主要端口和协议,需要由用户自己设置要么允许通过、要么不允许通过。其主要缺陷,1.要求用户对系统非常熟悉,才能对它进行有效设置;2.由于监控颗粒太大,对于网络应用中必须用到的端口和协议基本无法设置,如果允许通过,则可能导致病毒或黑客入侵发生;若不允许通过,则可能又直接影响网络的正常运行。
(二)利用病毒特征码的杀毒软件将永远滞后于病毒的发展,因为只有捕获到病毒样本后,才能提取到病毒的特征码,这使得这种杀毒软件对新出现的未知病毒入侵无法防范,用户即使装备了杀毒软件,也会再次受到该病毒的攻击伤害,只有通过升级、更新病毒数据库才可以解决,而这种解决是滞后于病毒发生的。
发明内容
本发明正是为了解决现有技术的缺点而产生,解决了现有杀毒软件、防火墙不能对未知病毒以及木马进行有效的防护,并且解决了现有杀毒软件、防火墙使用过于复杂的弊病。其目的在于提供一种基于程序行为分析的计算机防护方法,并能够有效的对病毒、木马的攻击进行拦截,保证计算机的安全。
本发明的基于程序行为分析的计算机防护方法,其特征在于:
对于已知程序,监控其动作行为,并与程序行为知识库中记录的所述已知程序的合法动作行为进行比较,判断该已知程序是否受到非法攻击;
对于未知程序,监控其动作行为,并与攻击识别规则库中记录的攻击识别规则进行比较,判断其是否为有害程序;
前述程序行为知识库为,利用自动化工具,逐一对合法的已知程序所执行的动作行为进行分析列表,并将所述分析列表进行存储的数据库;
所述攻击识别规则库为,利用自动化工具,记录了计算机病毒、木马及有害程序的攻击行为特征的数据库,每一记录对应一类病毒,每一类病毒对应一个动作集,该动作集包括一系列动作及其之间特定的关联关系。
如上所述,可知前述攻击识别规则库中记录的有害程序的攻击行为特征,并非某个或某种病毒、木马的单一的动作。根据下述动作行为分类可知,单一的动作并不是判断有害程序的标准。因此,攻击识别规则库中存储的记录为,每一条所述记录对应一类病毒或木马,并且包括该类病毒或木马的多个动作行为作为其特征,并且记录了所述该类病毒或木马的多个动作行为之间在时间等方面的关联关系,从而可以准确的对有害程序做出判断。
并且,对于各个监控动作和危险动作设置权值,当未知程序执行所述监控动作或危险动作达到权值上限时,则可以向用户报警;且该权值上限可以使用本发明所提供的经验值,也可由用户自定义,给用户在使用上带来了方便。
如上所述,进行监控、记录的动作行为包括:
监控动作,该动作可能影响计算机安全,需要对其进行实时监控;并且所述监控动作,是计算机程序所执行的常见的动作,是多数的正常程序也必须执行的动作。
并且所述监控动作包括:文件操作;网络操作;创建进程、创建线程;注册表操作;窗口、托盘操作;堆栈溢出;注入线程;拦截系统API调用以及访问、修改和创建用户帐号。
危险动作,该动作首先是一个监控动作,在程序运行中,该动作可能威胁计算机安全;并且所述危险动作为少数正常程序会执行的动作,并且多数的病毒程序或木马程序需要执行的程序,因此执行这样的动作的程序具有危害性会更大,例如,程序自行改变运行层级,在微软Windows操作系统中,某程序自动从应用级(RING3)提升系统级(RING0)执行,只有少数的正常程序才具有这一特征,但是却是很多具有攻击性的病毒程序所共同具有的特征。
并且所述危险动作包括:调用SHELL程序;修改程序文件或写程序文件;调用FTP或TFTP;创建FTP或TFTP服务;发送邮件;浏览器或邮件系统自动运行其他程序;创建大量相同线程;修改和创建用户帐号;危险网络操作;向系统注册表添加启动项;修改系统启动文件;向其他进程注入线程;堆栈溢出;应用级进程时自动提升为系统级进程操作;拦截系统API调用。
除前述监控动作和危险动作以外,还包括非监控动作,即不影响计算机安全无需进行监控的动作。例如,修改显示设置、对GDI资源的调用等。
本发明的基于程序行为分析的计算机防护方法中,所述自动化工具为,通过勾挂系统的API(Application Programming Interface:应用编程接口)函数对程序的动作行为进行监控。现有的操作系统,程序执行时通常需要进行系统提供的API的调用,因此,只需要通过勾挂程序的系统API调用,即可对程序所执行的动作行为进行监控。
本发明的基于程序行为分析的计算机防护方法,其特征在于,包括如下步骤:
6.1)程序开始运行;
6.2)判断该程序是否为已知程序;
6.3)如判断为已知程序,则监控、记录该已知程序的动作行为,并与程序行为知识库中存储的已知程序合法的动作行为进行比较,并判断该程序是否被攻击;如判断为未知程序,对该程序的动作行为是否为有害动作行为进行判断。
并且,所述程序被判断为已知程序后,对该已知程序是否受到攻击进行判断的步骤,还包括如下步骤:
7.1)勾挂程序系统API调用;
7.2)监控程序动作行为,捕获程序所执行的监控动作和危险动作;
7.3)将所记录的动作行为与程序行为知识库中存储的已知程序合法动作行为进行比较,判断该已知程序是否受到攻击;
7.4)如果比较结果为合法动作行为,则返回步骤7.1);如果比较结果为否,则证明该已知程序已受到攻击,并终止该程序继续运行,向用户报警,或等待进一步处理。因此,采用如上所述的方法对已知程序进行检查,不但可以保证对已知程序是否正常运行进行判断,而且可以检查出已知程序是否受到攻击,并且与现有技术采用病毒特征代码比较的方法相比,不但检查病毒攻击的准确性更好,而且执行效率更高。
因此,根据将已知程序与程序行为知识库中记录的合法的动作行为进行比较,如果已知程序按照前述所记录的合法的程序行为执行,则说明所述已知程序运行正常;如果一旦出现了该已知程序合法动作行为以外的动作行为,则可以确定所述已知程序收到攻击,应将其停止。
并且,所述步骤7.4)中还包括如下步骤:
8.1)根据程序行为知识库的定义,判断是否结束进程;
8.2)如果判断结果为是,则调用系统API函数结束当前进程;如果判断结果为否,则调用系统API函数结束当前线程。
由于在已知程序中,有相当一部分程序其功能是系统的底层服务,如果直接将这些程序结束,会使系统重启,以致系统瘫痪。因此,在本发明中,对于程序行为知识库中的程序进行定义,如上述步骤8.1),对于那些不可以终止,且已经受到攻击的程序,将按照步骤8.2)所述,将执行了非法操作的线程结束即可。如上所述,即保证系统的安全,又可以不影响系统的工作,使系统稳定运行,避免了现有的病毒防火墙工具,由于对系统中的重要服务的程序病毒进行检查时,杀灭病毒的同时,使系统中重要的程序文件造成损坏,影响系统的稳定性。
如果,所述程序被判断为未知程序后,对该程序的动作行为是否为有害动作行为进行判断的步骤,包括如下步骤:
9.1)勾挂程序系统API调用;
9.2)监控程序动作行为,捕获程序所执行的监控动作和危险动作;
9.3)判断该程序是否有程序来源;
9.4)将捕获到的该程序的动作行为与攻击识别规则库中的攻击识别规则进行比较;
9.5)判断该程序是否为有害程序;如果判断结果为是,则进入下一步;
9.6)由用户确认是否允许该程序继续执行;
9.7)如果用户确认允许该程序继续运行,则该程序继续运行,如果用户确认不允许该程序继续运行,则终止该程序继续运行。
如上所述对于未知程序,根据前述攻击识别规则库,可以判断该程序是否为有害程序,从程序行为进行分析不但省去了现有杀毒软件中用户频繁升级病毒库的麻烦,而且对于未知的病毒、木马等有害程序更能起到很好的拦截效果,这是现有技术所不能解决的难题,并且具有更高的执行效率。
本发明的基于程序行为分析的计算机防护方法中,如果该程序有程序来源信息,则将监控到的该程序的动作行为记录到程序行为知识库中,并返回步骤9.2),继续对该程序的动作行为进行监控、记录。
将该有程序来源的程序的动作行为记录到程序行为知识库中时,其记录的结构与程序行为知识库相同,并在返回步骤9.2)后,继续捕获该程序的监控动作和危险动作,并继续向程序行为知识库中添加该程序的记录。
前述步骤9.3)中,所述程序来源信息为包括:是否为安装程序创建;是否为经用户确认过的程序。当某未知程序是由安装程序创建时,该程序具有很高的可靠性,因此可以通过系统默认设置,认为该程序是合法程序,因此将其动作行为,添加到程序行为知识库中,因此在保证系统安全的前提下,减少了系统的开销。如果某未知程序其执行的动作行为已经通过了用户的确认,则说明用户了解该程序的动作行为,因此将其添加到程序行为知识库,并且将以后的动作行为也添加到程序行为知识库中。
本发明的基于程序行为分析的计算机防护方法,所述步骤9.6)中,在用户确认允许被判定为有害程序的无来源未知程序继续执行后,将该程序的所述动作行为记录到程序行为知识库中;并返回步骤9.2)。
用户对未知程序的动作行为进行确认,并添加到程序行为知识库中时,其记录的结构与程序行为知识库相同,并在返回步骤9.2)后,继续捕获该程序的监控动作和危险动作,并继续向程序行为知识库中添加该程序的记录。
如上所述,可以使程序行为知识库得到不断补充,当未知程序的记录被加入到程序行为知识库中后,该未知程序就转变为了已知程序,再次执行该程序时,则按照已知程序的判断方法进行判断,从而提高了系统的效率。
本发明的基于程序行为分析的计算机防护方法中,所述步骤7.4)或所述步骤9.7)中,通过调用系统API,将受到攻击的已知程序和具有有害动作行为的未知程序终止。所述API函数均为操作系统提供的固定的函数。
本发明的基于程序行为分析的计算机防护方法,其中所述步骤9.4)或所述步骤9.5)中,判断该程序的动作行为是否为有害动作行为,通过在步骤9.4)中与攻击识别规则库中的攻击识别规则进行比较,得到该监控动作或危险动作的权值,并在步骤9.5)中将权值累加;当权值累加结果达到权值上限,则将该程序行为判断为有害程序行为。
本发明的基于程序行为分析的计算机防护方法中,所述权值上限由本发明提供的经验值判断,或按照用户自定义。
本发明的基于程序行为分析的计算机防护方法,所述被监控的程序处于运行状态,其退出后,不再进行监视和记录。这样,不但可以有效的保护系统,而且可以减少系统开销。
本发明的基于程序行为分析的计算机防护方法中,所述程序行为知识库,其结构描述包括:程序ID、程序类型、程序运行层级、写PE文件权限、调用系统SHELL权限、网络行为和注册表操作。
其中所述程序行为知识库中,所述程序类型为程序分类枚举类型,分为可被缓冲区溢出攻击的程序和普通应用程序。
其中所述网络行为,其结构描述包括:网络连接动作类型、使用端口数量以及连接描述。
其中所述连接描述包括:本地端口、本地地址、远程端口、远程地址以及使用协议。
其中所述注册表操作,其结构描述包括:该程序所操作的注册表项数、每项操作的键值。
并且,所述程序行为知识库,通过对本地计算机使用软件进行检查,添加与用户已经使用的已知程序相对应的已知程序行为的记录,作为本地计算机的程序行为知识库,并按照用户需要对用户将要使用的已知程序进行补充。
其中,所述攻击识别规则库,包括:
病毒规则一,
a)运行于用户层RING3的程序,转入系统核心层RING0运行;
病毒规则二,
b)该程序执行修改其他程序文件的操作;
远程攻击规则一,
c)该程序通过监听端口接受数据后,立即调用SHELL程序;
远程攻击规则二,
d)该程序通过监听端口接收数据后,发生缓冲区溢出;
远程攻击规则三,
e)该程序通过监听端口接收数据后,立即调用一般文件传输协议TFTP程序;
邮件蠕虫规则一,
f)该程序由邮件系统自动生成,且该程序运行时修改注册表的自启动项,该程序无窗口、无托盘,并且立即开始发送邮件;
可疑木马规则一,
g)该程序由邮件系统自动生成,且该程序运行时修改注册表的自启动项,该程序无窗口、无托盘,并且立即开始创建监听端口;
本发明的基于程序行为分析的计算机防护方法中,所述攻击识别规则库,其结构描述包括:可执行PE文件的全路径、创建者全路径、创建者的特性、创建者有无窗口、与创建者是否同一文件、是否拷贝自身、文件有无描述、是否自启动、谁创建的自启动项、是否被创建者启动、是否自己创建自启动项、是否有窗口或托盘图标、修改注册表项链表和网络动作链表。
其中,所述修改注册表项链表的子数据结构,包括:入口列表、键名、值名和值。
其中,所述网络动作链表的子数据结构,包括:类型、本地端口、本地地址、远程端口、远程地址和使用协议。
附图说明
图1为本发明的基于程序行为分析的计算机防护方法的流程图;
图2为判断未知程序的动作行为的权值计算的流程图。
具体实施方式
下面参照附图,并结合最常用的微软Windows操作系统,将本发明的基于程序行为分析的计算机防护方法运用于该微软Windows操作系统中,对本发明的实施例作详细说明。
如图1所示,为本发明的基于程序行为分析的计算机防护方法的流程图。
本发明的基于程序行为分析的计算机防护方法,其特征在于:
对于已知程序,监控其动作行为,并与程序行为知识库中记录的所述已知程序的合法动作行为进行比较,判断该已知程序是否受到非法攻击;
对于未知程序,监控其动作行为,并与攻击识别规则库中记录的攻击识别规则进行比较,判断其是否为有害程序;
本发明的基于程序行为分析的计算机防护方法,其特征在于,包括如下步骤:
6.1)程序开始运行;
6.2)判断该程序是否为已知程序;
6.3)如判断为已知程序,则监控、记录该已知程序的动作行为,并与程序行为知识库中存储的已知程序合法的动作行为进行比较,并判断该程序是否被攻击;如判断为未知程序,对该程序的动作行为是否为有害动作行为进行判断。
并且,所述程序被判断为已知程序后,对该已知程序是否受到攻击进行判断的步骤,还包括如下步骤:
7.1)勾挂程序系统API调用;
7.2)监控程序动作行为,捕获程序所执行的监控动作和危险动作;
7.3)将所记录的动作行为与程序行为知识库中存储的已知程序合法动作行为进行比较,判断该已知程序是否受到攻击;
7.4)如果比较结果为合法动作行为,则返回步骤7.1);如果比较结果为否,则证明该已知程序已受到攻击,并终止该程序继续运行,向用户报警,或等待进一步处理。因此,采用如上所述的方法对已知程序进行检查,不但可以保证对已知程序是否正常运行进行判断,而且可以检查出已知程序是否受到攻击,并且与现有技术采用病毒特征代码比较的方法相比,不但检查病毒攻击的准确性更好,而且执行效率更高。
如上所述,根据将已知程序与程序行为知识库中记录的合法的动作行为进行比较,如果已知程序按照前述所记录的合法的程序行为执行,则说明所述已知程序运行正常;如果一旦出现了该已知程序合法动作行为以外的动作行为,则可以确定所述已知程序收到攻击,应将其停止。
并且,所述步骤7.4)中还包括如下步骤:
8.1)根据程序行为知识库的定义,判断是否结束进程;
8.2)如果判断结果为是,则调用系统API函数结束当前进程;如果判断结果为否,则调用系统API函数结束当前线程。
由于在已知程序中,有相当一部分程序其功能是系统的底层服务,如果直接将这些程序结束,会使系统重启,以致系统瘫痪。因此,在本发明中,对于程序行为知识库中的程序进行定义,如上述步骤8.1),对于那些不可以终止,且已经受到攻击的程序,将按照步骤8.2)所述,将执行了非法操作的线程结束即可。如上所述,即保证系统的安全,又可以不影响系统的工作,使系统稳定运行,避免了现有的病毒防火墙工具,由于对系统中的重要服务的程序病毒进行检查时,杀灭病毒的同时,使系统中重要的程序文件造成损坏,影响系统的稳定性。例如微软Windows操作系统中,Lsass.exe为系统服务程序,如果该程序可能受到溢出攻击,则不能将其进程结束,这样会使系统重启造成系统不稳定;因此,按照本发明的方法及程序行为知识库中对其定义,将该程序发生溢出攻击的线程结束,这样,即可以保证系统安全,又能够组织有害程序对系统的侵害;又如微软Word文字编辑软件,也存在溢出攻击的危险,但是由于其不是系统服务软件,因此根据本发明的方法及程序行为知识库的定义,可以将整个Word进程结束,以此保护了系统的安全。
如果,所述程序被判断为未知程序后,对该程序的动作行为是否为有害动作行为进行判断的步骤,包括如下步骤:
9.1)勾挂程序系统API调用;
9.2)监控程序动作行为,捕获程序所执行的监控动作和危险动作;
9.3)判断该程序是否有程序来源;
9.4)将捕获到的该程序的动作行为与攻击识别规则库中的攻击识别规则进行比较;
9.5)判断该程序是否为有害程序;如果判断结果为是,则进入下一步;
9.6)由用户确认是否允许该程序继续执行;
9.7)如果用户确认允许该程序继续运行,则该程序继续运行,如果用户确认不允许该程序继续运行,则终止该程序继续运行。
本发明的基于程序行为分析的计算机防护方法中,如果该程序有程序来源信息,则将监控到的该程序的动作行为记录到程序行为知识库中,并返回步骤9.2),继续对该程序的动作行为进行监控、记录。
将该有程序来源的程序的动作行为记录到程序行为知识库中时,其记录的结构与程序行为知识库相同,并在返回步骤9.2)后,继续捕获该程序的监控动作和危险动作,并继续向程序行为知识库中添加该程序的记录。如上所述,可以使程序行为知识库得到不断补充,当未知程序的记录被加入到程序行为知识库中后,该未知程序就转变为了已知程序,再次执行该程序时,则按照已知程序的判断方法进行判断,从而提高了系统的效率。
并且,如图2所示,为判断未知程序的动作行为的权值计算的流程图。
本发明的基于程序行为分析的计算机防护方法,其中所述步骤9.4)或所述步骤9.5)中,判断该程序的动作行为是否为有害动作行为,通过在步骤9.4)中与攻击识别规则库中的攻击识别规则进行比较,得到该监控动作或危险动作的权值,并在步骤9.5)中将权值累加;当权值累加结果达到权值上限,则将该程序行为判断为有害程序行为。其中,所述权值上限由本发明提供的经验值判断,或按照用户自定义。
本发明的基于程序行为分析的计算机防护方法,其中,前述程序行为知识库为,利用自动化工具,逐一对合法的已知程序所执行的动作行为进行分析列表,并将所述分析列表进行存储的数据库;
所述攻击识别规则库为,利用自动化工具,记录了计算机病毒、木马及有害程序的攻击行为特征的数据库,每一记录对应一类病毒,每一类病毒对应一个动作集,该动作集包括一系列动作及其之间特定的关联关系。
如上所述,可知前述攻击识别规则库中记录的有害程序的攻击行为特征,并非某个或某种病毒、木马的单一的动作。根据下述动作行为分类可知,单一的动作并不是判断有害程序的标准。因此,攻击识别规则库中存储的记录为,每一条所述记录对应一类病毒或木马,并且包括该类病毒或木马的多个动作行为作为其特征,并且记录了所述该类病毒或木马的多个动作行为之间在时间等方面的关联关系,从而可以准确的对有害程序做出判断。
并且如上所述,对于各个监控动作和危险动作设置权值,当未知程序执行所述监控动作或危险动作达到权值上限时,则可以向用户报警;且该权值上限可以使用本发明所提供的经验值,也可由用户自定义,给用户在使用上带来了方便。
如上所述,进行监控、记录的动作行为包括:
监控动作,该动作可能影响计算机安全,需要对其进行实时监控;并且所述监控动作,是计算机程序所执行的常见的动作,是多数的正常程序也必须执行的动作。
并且所述监控动作包括:文件操作;网络操作;创建进程、创建线程;注册表操作;窗口、托盘操作;堆栈溢出;注入线程;拦截系统API调用以及访问、修改和创建用户帐号。
危险动作,该动作首先是一个监控动作,在程序运行中,该动作可能威胁计算机安全;并且所述危险动作为少数正常程序会执行的动作,并且多数的病毒程序或木马程序需要执行的程序,因此执行这样的动作的程序具有危害性会更大,例如,程序自行改变运行层级,在微软Windows操作系统中,某程序自动从应用级(RING3)提升系统级(RING0)执行,只有少数的正常程序才具有这一特征,但是却是很多具有攻击性的病毒程序所共同具有的特征。
并且所述危险动作包括:调用SHELL程序;修改程序文件或写程序文件;调用FTP或TFTP;创建FTP或TFTP服务;发送邮件;浏览器或邮件系统自动运行其他程序;创建大量相同线程;修改和创建用户帐号;危险网络操作;向系统注册表添加启动项;修改系统启动文件;向其他进程注入线程;堆栈溢出;应用级进程时自动提升为系统级进程操作;拦截系统API调用。
除前述监控动作和危险动作以外,还包括非监控动作,即不影响计算机安全无需进行监控的动作。例如,修改显示设置,对GDI资源的调用等。这些动作不会对系统造成不良影响,因此为了节省系统开销,并不对这些动作行为进行监控。
本发明的基于程序行为分析的计算机防护方法中,所述自动化工具为,通过勾挂系统的API(Application Programming Interface:应用编程接口)函数对程序的动作行为进行监控。现有的操作系统,程序执行时通常需要进行系统提供的API的调用,因此,只需要通过勾挂程序的系统API调用,即可对程序所执行的动作行为进行监控。
如上所述对于未知程序,根据前述攻击识别规则库,可以判断该程序是否为有害程序,从程序行为进行分析不但省去了现有杀毒软件中用户频繁升级病毒库的麻烦,而且对于未知的病毒、木马等有害程序更能起到很好的拦截效果,这是现有技术所不能解决的难题,并且具有更高的执行效率。
并且,前述步骤9.3)中,所述程序来源信息为包括:是否为安装程序创建,是否为经用户确认过的程序。如图1所示,当某未知程序是由安装程序创建时,该程序具有很高的可靠性,因此可以通过系统默认设置,认为该程序是合法程序,因此将其动作行为,添加到程序行为知识库中,因此在保证系统安全的前提下,减少了系统的开销。如果某未知程序其执行的动作行为已经通过了用户的确认,则说明用户了解该程序的动作行为,因此将其添加到程序行为知识库,并且将以后的动作行为也添加到程序行为知识库中。
本发明的基于程序行为分析的计算机防护方法中,所述步骤7.4)或所述步骤9.7)中,通过调用系统API,将受到攻击的已知程序和具有有害动作行为的未知程序终止。所述API函数均为操作系统提供的固定的函数。
本发明的基于程序行为分析的计算机防护方法,所述被监控的程序处于运行状态,其退出后,不再进行监视和记录。这样,不但可以有效的保护系统,而且可以减少系统开销。
本发明的基于程序行为分析的计算机防护方法中,所述程序行为知识库,其结构描述包括:程序ID、程序类型、程序运行层级、写PE文件权限、调用系统SHELL权限、网络行为和注册表操作。
所述程序行为知识库结构实体描述如下:
struct Know
{
DWORD type1;
BOOL bAllowedWriteFile;
BOOL bCreateShell;
DWORD NetOffset;
DWORD RegOffset;
};
其中:type1为程序分类枚举类型,目前暂时分为可被缓冲区溢出攻击的程序和普通应用程序两类,描述如下,
enum KnowType{OVERFLOW,NORMAL};
bAllowedWriteFile,表示该程序是否可以写可执行PE文件。
bCreateShell,表示该程序是否可以调用系统shell。
NetOffset,表示在知识库文件中偏移多少的位置为对该程序网络行为的描述。
RegOffset,表示在知识库文件中偏移多少的位置为对该程序注册表操作行为的描述。
在程序行为知识库中使用以下分结构描述该程序的网络动作行为的结构实体描述为:
struct Net
{
short type2;
int num;
ListenPort port[];
};
其中,Type2,用来描述网络连接的动作类型,分为两类,监听和连接,使用如下枚举量描述,
enum NetType{Listen,Connect};
num,为涉及到的端口数量;
ListenPort,针对每一个连接的具体描述,使用如下结构表示,
struct ListenPort
{
short lport;
IPADDR lipaddr;
short dport;
IPADDR dipaddr;
short protocol;
};
lport:使用的本地端口;
lipaddr:使用的本地地址;
dport:所连接的远程端口;
dipaddr:所连接的远程地址;
protocol:所使用的协议,使用TCP/IP协议定义。
在程序行为知识库中使用以下分结构描述该程序的注册表操作动作行为的结构实体描述为:
struct Reg
{
int num;
char*fullregname[];
};
num,表示该程序所操作的注册表项数。
fullregname,每一项操作的键值。
并且,所述程序行为知识库,通过对本地计算机使用软件进行检查,添加与用户已经使用的已知程序相对应的已知程序行为的记录,作为本地计算机的程序行为知识库,并按照用户需要对用户将要使用的已知程序进行补充。
本发明的基于程序行为分析的计算机防护方法中,所述攻击识别规则库,其结构描述包括:可执行PE文件的全路径、创建者全路径、创建者的特性、创建者有无窗口、与创建者是否同一文件、是否拷贝自身、文件有无描述、是否自启动、谁创建的自启动项、是否被创建者启动、是否自己创建自启动项、是否有窗口或托盘图标、修改注册表项链表和网络动作链表。
本发明的区分有害程序行为的方法中,所述攻击识别规则库,其中,每一记录的数据结构实体为:
struct UnknowPEFileInMem
{
Char WeighofDanger;//危险权值
Char FileName[MAX_PATH];//新创建的PE文件的全路径
Char CreatorName[MAX_PATH];//创建者的全路径
Char CharacterOfCreator;//创建者的特性
Char NoWindowOfCreator;//创建者有无窗口
Char SameAsCreator;//与创建者是同一个文件
Char CopySelf;//拷贝自身,对于创建者是CopySelf,对于被复
制的文件是SameAsCreator,//以次来区分两者
Char FileDescription;//文件有无描述
Char AutoRun;//是否自启动
Char WhoWriteAutoRun;//谁创建的自启动项
BOOLEAN RunByCreator;//是否被创建者启动
BOOLEAN RunBySelf;//是否自己创建启动项
BOOLEAN bCreateWindow;//是否有窗口或托盘图标
LIST_ENTRY RegList;//修改注册表项链表
LIST_NET ListNetAction;//网络动作链表
}
上述创建者的特性“CharacterOfCreator”的具体数据记录及描述是:
-1:未知程序;
0:其它已知程序;
1:邮件系统;
2:网络浏览器;
3:网络交流系统(如QQ、MSN等);
上述谁创建的自启动项“WhoWriteAutoRun”的具体数据记录及描述是:
0:未知;
1:自己;
2:创建者;
3.自己,创建者都会写
其中修改注册表项链表的子数据结构实体为。
struct REG_DATA
{
LIST_ENTRY List;//入口列表
char Key[];//键名
char ValueName[];//值名
char Value[];//值
}
其中网络动作链表的子数据结构实体为:
struct LIST_NET
{
int type;//类型
short lport;//本地端口
IPADDR lipaddr;//本地IP地址
short dport;//远程端口
IPADDR dipaddr;//远程IP地址
short protocol;//使用协议
};
按照如上所述攻击识别规则库,其中包括:
病毒规则一,
a)运行于用户层RING3的程序,转入系统核心层RING0运行;
病毒规则二,
b)该程序执行修改其他程序文件的操作;
远程攻击规则一,
c)该程序通过监听端口接受数据后,立即调用SHELL程序;
远程攻击规则二,
d)该程序通过监听端口接收数据后,发生缓冲区溢出;
远程攻击规则三,
e)该程序通过监听端口接收数据后,立即调用一般文件传输协议TFTP程序;
邮件蠕虫规则一,
f)该程序由邮件系统自动生成,且该程序运行时修改注册表的自启动项,该程序无窗口、无托盘,并且立即开始发送邮件;
可疑木马规则一,
g)该程序由邮件系统自动生成,且该程序运行时修改注册表的自启动项,该程序无窗口、无托盘,并且立即开始创建监听端口;
下面以病毒攻击为例,对本发明的实施例作详细说明。
对于一个已知程序,如果程序行为描述为不能修改程序文件,当该程序运行时,却修改了其他程序文件,上述危险动作被系统监控,然后与程序行为知识库中存储的该已知程序的合法动作行为相比较,产生不同的动作,因此可以判断该已知程序一定是被病毒感染。利用这一方法可以发现CIH等病毒,对于被CIH等病毒感染的已知程序运行时,该已知程序就会试图感染其他PE文件,因此可以在对病毒并不了解的情况下,将其阻止,从而避免了由于病毒代码更新的滞后性而使新生的病毒有机可乘。
下面利用拦截震荡波病毒,对本发明的实施例作以说明:震荡波蠕虫病毒与其他蠕虫病毒不同,并不发送邮件,其工作原理为,在本地开辟后门。监听TCP 5554端口,做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。病毒开辟128个扫描线程,以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows操作系统中的LSASS中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播。
当感染了震荡波病毒的的计算机发出攻击包至使用了本发明的防护系统时,本地计算机的LSASS进程溢出,溢出代码会调用GetProcAddress,就会被本发明的监控机制捕获,判断为缓冲区溢出,而且在溢出前,LSASS进程会从系统的139,445端口接收数据,这与上述d)规则所提供的规则相符;因此本发明可以准确判断出该远程攻击,于是系统调用ExitThread,将这个线程结束,从而使震荡波蠕虫无法进入下一步的动作,有效保护了本地计算机。
下面再利用截获著名的反弹行木马黑洞对本发明的实施例作以说明:由于其属于未知程序,该进程启动即被本发明的监控系统捕获,同时该程序没有创建应用程序窗口及系统托盘区图标;并且该程序启动后会修改注册表启动项,以保证自己可以在下次用户登录时自动启动,此动作行为也是危险动作,因此也被本发明的监控系统捕获,该进程继续执行将会连接远端web服务器以获得客户端服务的地址、端口信息,以便与其建立连接进行信息传输,此连网动作被捕获后,将上述动作一同与攻击识别规则库中的规则比较,符合攻击识别规则库中的规则g),便可判断为可疑木马,并向用户报警,同时说明该非法程序的属性为可疑木马,,以便用户更准确的了解信息,避免了现有防火墙系统只要发生网络动作便报警,而且需要用户对报警动作安全性做出判断,避免了计算机知识较少的用户在使用防护系统时产生麻烦。
通过上述的说明内容,本发明领域相关工作人员完全可以在不偏离本项发明技术思想的范围内,进行多样的变更以及修改。因此,本项发明的技术性范围并不局限于说明书上的内容,必须要根据权利范围来确定其技术性范围。
Claims (37)
1、一种基于程序行为分析的计算机防护方法,其特征在于:对于已知程序,通过勾挂程序系统的API调用监控其动作行为,并与程序行为知识库中记录的该已知程序的合法动作行为进行比较,判断该已知程序是否受到非法攻击;对于未知程序,通过勾挂程序系统的API调用监控其动作行为,并与攻击识别规则库中记录的攻击识别规则进行比较,判断其是否为有害程序;
所述程序行为知识库为,利用自动化工具,逐一对合法的已知程序所执行的动作行为进行分析列表,并将所述分析列表进行存储的数据库;
所述攻击识别规则库为,利用自动化工具,记录了计算机病毒、木马及有害程序的攻击行为特征的数据库,每一记录对应一类病毒,每一类病毒对应一个动作集,该动作集包括一系列动作及其之间的关联关系。
2、按照权利要求1所述基于程序行为分析的计算机防护方法,其特征在于,包括如下步骤:
6.1)程序开始运行;
6.2)判断该程序是否为已知程序;
6.3)如判断为已知程序,则监控、记录该已知程序的动作行为,并与程序行为知识库中存储的已知程序合法的动作行为进行比较,并判断该程序是否被攻击;如判断为未知程序,对该程序的动作行为是否为有害动作行为进行判断。
3、按照权利要求2所述基于程序行为分析的计算机防护方法,其特征在于,所述监控、记录该已知程序的动作行为包括:
监控动作,该动作可能影响计算机安全、需要对其进行实时监控;
危险动作,该动作首先是一个监控动作,在程序运行中,该动作可能威胁计算机安全;
此外,还包括非监控动作,即不影响计算机安全无需进行监控的动作。
4、按照权利要求3所述基于程序行为分析的计算机防护方法,其特征在于,所述监控动作,包括:
文件操作;网络操作;创建进程、创建线程;注册表操作;窗口、托盘操作;堆栈溢出;注入线程;拦截系统API调用以及访问、修改和创建用户帐号。
5、按照权利要求3所述基于程序行为分析的计算机防护方法,其特征在于,所述危险动作包括:
调用SHELL程序;修改程序文件或写程序文件;调用FTP或TFTP;创建FTP或TFTP服务;发送邮件;浏览器或邮件系统自动运行其他程序;创建大量相同线程;修改和创建用户帐号;危险网络操作;向系统注册表添加启动项;修改系统启动文件;向其他进程注入线程;堆栈溢出;应用级进程自动提升为系统级进程操作;拦截系统API调用。
6、按照权利要求1所述基于程序行为分析的计算机防护方法,其特征在于:所述自动化工具为,通过勾挂系统的API函数对程序的动作行为进行监控。
7、按照权利要求3所述基于程序行为分析的计算机防护方法,其特征在于,所述程序被判断为已知程序后,对该已知程序是否受到攻击进行判断的步骤,还包括如下步骤:
7.1)勾挂程序系统API调用;
7.2)监控程序动作行为,捕获程序所执行的监控动作和危险动作;
7.3)将所记录的动作行为与程序行为知识库中存储的已知程序合法动作行为进行比较,判断该已知程序是否受到攻击;
7.4)如果比较结果为合法动作行为,则返回步骤7.1);如果比较结果为否,则证明该已知程序已受到攻击,并终止该程序继续运行,向用户报警,或等待进一步处理。
8、按照权利要求7所述基于程序行为分析的计算机防护方法,其特征在于,所述步骤7.4)中还包括如下步骤:
8.1)根据程序行为知识库的定义,判断是否结束进程;
8.2)如果判断结果为是,则调用系统API函数结束当前进程;如果判断结果为否,则调用系统API函数结束当前线程。
9、按照权利要求3所述基于程序行为分析的计算机防护方法,其特征在于,所述程序被判断为未知程序后,对该程序的动作行为是否为有害动作行为进行判断的步骤,包括如下步骤:
9.1)勾挂程序系统API调用;
9.2)监控程序动作行为,捕获程序所执行的监控动作和危险动作;
9.3)判断该程序是否有程序来源;
9.4)在判断该程序没有程序来源的情况下,将捕获到的该程序的动作行为与攻击识别规则库中的攻击识别规则进行比较;
9.5)判断该程序是否为有害程序;如果判断结果为是,则进入下一步;
9.6)由用户确认是否允许该程序继续执行;
9.7)如果用户确认允许该程序继续运行,则该程序继续运行,如果用户确认不允许该程序继续运行,则终止该程序继续运行。
10、按照权利要求9所述基于程序行为分析的计算机防护方法,其特征在于:所述步骤9.3)中,如果该程序有程序来源信息,则将监控到的该程序的动作行为记录到程序行为知识库中,并返回步骤9.2)。
11、按照权利要求10所述基于程序行为分析的计算机防护方法,其特征在于:将该有程序来源的程序的动作行为记录到程序行为知识库中时,其记录的结构与程序行为知识库相同,并在返回步骤9.2)后,继续捕获该程序的监控动作和危险动作,并继续向程序行为知识库中添加该程序的记录。
12、按照权利要求9所述基于程序行为分析的计算机防护方法,其特征在于,所述步骤9.3)中,所述程序来源包括:是否为安装程序创建;是否为经用户确认过的程序。
13、按照权利要求9所述基于程序行为分析的计算机防护方法,其特征在于:所述步骤9.6)中,在用户确认允许被判为有害程序的无来源未知程序继续执行后,将该程序的所述动作行为记录到程序行为知识库中;并返回步骤9.2)。
14、按照权利要求13所述基于程序行为分析的计算机防护方法,其特征在于:用户对未知程序的动作行为进行确认,并添加到程序行为知识库中时,其记录的结构与程序行为知识库相同,并在返回步骤9.2)后,继续捕获该程序的监控动作和危险动作,并继续向程序行为知识库中添加该程序的记录。
15、按照权利要求10或11所述基于程序行为分析的计算机防护方法,其特征在于:已记录到程序行为知识库的有程序来源的未知程序,当再次运行该程序时,将按照已知程序的判断方法对其进行判断。
16、按照权利要求13或14所述基于程序行为分析的计算机防护方法,其特征在于:经过用户对其动作行为进行确认的未知程序,当再次运行该程序时,将按照已知程序的判断方法对其进行判断。
17、按照权利要求1、7或9中的任意一项所述基于程序行为分析的计算机防护方法,其特征在于:所述步骤7.4)或所述步骤9.7)中,通过调用系统API,将受到攻击的已知程序和具有有害动作行为的未知程序终止。
18、按照权利要求9所述基于程序行为分析的计算机防护方法,其特征在于:
通过在步骤9.4)中捕获的该未知程序的动作行为与攻击识别规则库中的攻击识别规则进行比较,得到该监控动作或危险动作的权值;
在步骤9.5)中将权值累加;当权值累加结果达到权值上限,则将该程序行为判断为有害程序行为。
19、按照权利要求18所述基于程序行为分析的计算机防护方法,其特征在于:所述权值上限由经验值判断,或按照用户自定义。
20、按照权利要求6至9中任意一项所述基于程序行为分析的计算机防护方法,其特征在于:所述被监控的程序处于运行状态,其退出后,不再进行监视和记录。
21、按照权利要求1所述基于程序行为分析的计算机防护方法,其特征在于,所述程序行为知识库,其结构描述包括:程序ID、程序类型、程序运行层级、写PE文件权限、调用系统SHELL权限、网络行为和注册表操作。
22、按照权利要求21所述基于程序行为分析的计算机防护方法,其特征在于:所述程序行为知识库中,所述程序类型为程序分类枚举类型,分为可被缓冲区溢出攻击的程序和普通应用程序。
23、按照权利要求21所述基于程序行为分析的计算机防护方法,其特征在于,所述网络行为,其结构描述包括:网络连接动作类型、使用端口数量以及连接描述。
24、按照权利要求23所述基于程序行为分析的计算机防护方法,其特征在于,所述连接描述包括:本地端口、本地地址、远程端口、远程地址以及使用协议。
25、按照权利要求21所述基于程序行为分析的计算机防护方法,其特征在于,所述注册表操作,其结构描述包括:该程序所操作的注册表项数、每项操作的键值。
26、按照权利要求1或21所述基于程序行为分析的计算机防护方法,其特征在于:所述程序行为知识库,通过对本地计算机使用软件进行检查,添加与用户已经使用的已知程序相对应的已知程序行为的记录,作为本地计算机的程序行为知识库,并按照用户需要对用户将要使用的已知程序进行补充。
27、按照权利要求1所述基于程序行为分析的计算机防护方法,其特征在于,所述攻击识别规则库中,所述关联关系包括前后动作之间的时间关系及调用和被调用关系。
28、按照权利要求27所述基于程序行为分析的计算机防护方法,其特征在于,所述攻击识别规则库,包括病毒规则一:
a)运行于用户层RING3的程序,转入系统核心层RING0运行。
29、按照权利要求27所述基于程序行为分析的计算机防护方法,其特征在于,所述攻击识别规则库,包括病毒规则二:
b)该程序执行修改其他程序文件的操作。
30、按照权利要求27所述基于程序行为分析的计算机防护方法,其特征在于,所述攻击识别规则库,包括远程攻击规则一:
c)该程序通过监听端口接受数据后,立即调用SHELL程序。
31、按照权利要求27所述基于程序行为分析的计算机防护方法,其特征在于,所述攻击识别规则库,包括远程攻击规则二:
d)该程序通过监听端口接收数据后,发生缓冲区溢出。
32、按照权利要求27所述基于程序行为分析的计算机防护方法,其特征在于,所述攻击识别规则库,包括远程攻击规则三:
e)该程序通过监听端口接收数据后,立即调用一般文件传输协议TFTP程序。
33、按照权利要求27所述基于程序行为分析的计算机防护方法,其特征在于,所述攻击识别规则库,包括邮件蠕虫规则一:
f)该程序由邮件系统自动生成,且该程序运行时修改注册表的自启动项,该程序无窗口、无托盘,并且立即开始发送邮件。
34、按照权利要求27所述基于程序行为分析的计算机防护方法,其特征在于,所述攻击识别规则库,包括可疑木马规则一:
g)该程序由邮件系统自动生成,且该程序运行时修改注册表的自启动项,该程序无窗口、无托盘,并且立即开始创建监听端口。
35、按照权利要求27所述基于程序行为分析的计算机防护方法,其特征在于,所述攻击识别规则库,其结构包括:可执行PE文件的全路径、创建者全路径、创建者的特性、创建者有无窗口、与创建者是否同一文件、是否拷贝自身、文件有无描述、是否自启动、谁创建的自启动项、是否被创建者启动、是否自己创建自启动项、是否有窗口或托盘图标、修改注册表项链表和网络动作链表。
36、按照权利要求35所述基于程序行为分析的计算机防护方法,其特征在于,所述修改注册表项链表的子数据结构,包括:入口列表、键名、值名和值。
37、按照权利要求35所述基于程序行为分析的计算机防护方法,其特征在于,所述网络动作链表的子数据结构,包括:类型、本地端口、本地地址、远程端口、远程地址和使用协议。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200510007682XA CN100547513C (zh) | 2005-02-07 | 2005-02-07 | 基于程序行为分析的计算机防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200510007682XA CN100547513C (zh) | 2005-02-07 | 2005-02-07 | 基于程序行为分析的计算机防护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1818823A CN1818823A (zh) | 2006-08-16 |
| CN100547513C true CN100547513C (zh) | 2009-10-07 |
Family
ID=36918868
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB200510007682XA Expired - Fee Related CN100547513C (zh) | 2005-02-07 | 2005-02-07 | 基于程序行为分析的计算机防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100547513C (zh) |
Families Citing this family (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100437614C (zh) * | 2005-11-16 | 2008-11-26 | 白杰 | 未知病毒程序的识别及清除方法 |
| US7870612B2 (en) | 2006-09-11 | 2011-01-11 | Fujian Eastern Micropoint Info-Tech Co., Ltd | Antivirus protection system and method for computers |
| CN101013461A (zh) * | 2007-02-14 | 2007-08-08 | 白杰 | 基于程序行为分析的计算机防护方法 |
| CN101127638B (zh) * | 2007-06-07 | 2011-06-15 | 飞塔公司 | 一种具有主动性的病毒自动防控系统和方法 |
| CN101350054B (zh) | 2007-10-15 | 2011-05-25 | 北京瑞星信息技术有限公司 | 计算机有害程序自动防护方法及装置 |
| CN101350052B (zh) | 2007-10-15 | 2010-11-03 | 北京瑞星信息技术有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| CN101470620B (zh) * | 2007-12-29 | 2013-01-16 | 珠海金山软件有限公司 | Pe文件源代码一致性的判定方法及装置 |
| CN101286986B (zh) * | 2008-05-15 | 2011-09-14 | 成都市华为赛门铁克科技有限公司 | 一种主动防御的方法、装置及系统 |
| CN101593249B (zh) * | 2008-05-30 | 2011-08-03 | 成都市华为赛门铁克科技有限公司 | 一种可疑文件分析方法及系统 |
| CN102073816A (zh) * | 2010-12-31 | 2011-05-25 | 兰雨晴 | 基于行为的软件可信度量系统及方法 |
| CN102789559A (zh) * | 2011-05-20 | 2012-11-21 | 北京网秦天下科技有限公司 | 监测移动设备中程序安装和程序运行的方法和系统 |
| CN103136471B (zh) * | 2011-11-25 | 2015-12-16 | 中国科学院软件研究所 | 一种恶意Android应用程序检测方法和系统 |
| CN103136475B (zh) * | 2011-11-29 | 2017-07-04 | 姚纪卫 | 一种检查计算机病毒的方法和装置 |
| JP2013171556A (ja) * | 2012-02-23 | 2013-09-02 | Hitachi Ltd | プログラム解析システム及び方法 |
| CN102694817B (zh) * | 2012-06-08 | 2016-08-03 | 北京奇虎科技有限公司 | 一种识别程序的网络行为是否异常的方法、装置及系统 |
| CN102752290B (zh) * | 2012-06-13 | 2016-06-01 | 深圳市腾讯计算机系统有限公司 | 一种云安全系统中的未知文件安全信息确定方法和装置 |
| CN102779255B (zh) | 2012-07-16 | 2014-11-12 | 腾讯科技(深圳)有限公司 | 判断恶意程序的方法及装置 |
| CN103810424B (zh) | 2012-11-05 | 2017-02-08 | 腾讯科技(深圳)有限公司 | 一种异常应用程序的识别方法及装置 |
| CN103839003B (zh) * | 2012-11-22 | 2018-01-30 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| CN103207969B (zh) * | 2013-04-12 | 2016-10-05 | 百度在线网络技术(北京)有限公司 | 检测Android恶意软件的装置以及方法 |
| CN103366115B (zh) * | 2013-07-03 | 2016-03-23 | 中国联合网络通信集团有限公司 | 安全性检测方法和装置 |
| CN103428223B (zh) * | 2013-08-28 | 2016-08-10 | 北京永信至诚科技股份有限公司 | 一种木马行为识别方法与系统 |
| CN105653948B (zh) * | 2014-11-14 | 2020-04-24 | 腾讯数码(深圳)有限公司 | 一种阻止恶意操作的方法及装置 |
| CN106033511A (zh) * | 2015-03-17 | 2016-10-19 | 阿里巴巴集团控股有限公司 | 防止网站数据泄露的方法及设备 |
| CN106682507B (zh) | 2016-05-19 | 2019-05-14 | 腾讯科技(深圳)有限公司 | 病毒库的获取方法及装置、设备、服务器、系统 |
| CN108959951B (zh) * | 2017-05-19 | 2021-01-12 | 北京瑞星网安技术股份有限公司 | 文档安全防护的方法、装置、设备及可读存储介质 |
| CN107609411A (zh) * | 2017-09-15 | 2018-01-19 | 郑州云海信息技术有限公司 | 一种智能监控保密文件的系统和方法 |
| CN107657176A (zh) * | 2017-09-26 | 2018-02-02 | 四川长虹电器股份有限公司 | 一种基于行为分析的未知恶意代码识别与分析方法 |
| CN107992751B (zh) * | 2017-12-21 | 2020-05-08 | 苏州浪潮智能科技有限公司 | 一种基于分支行为模型的实时威胁检测方法 |
| CN108073809A (zh) * | 2017-12-25 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 基于异常组件关联的apt启发式检测方法及系统 |
| CN110798438A (zh) * | 2018-08-09 | 2020-02-14 | 北京安天网络安全技术有限公司 | 应用内防火墙实现方法、系统及存储介质 |
| CN109040136A (zh) * | 2018-09-29 | 2018-12-18 | 成都亚信网络安全产业技术研究院有限公司 | 一种网络攻击的检测方法及电子设备 |
| CN111104670B (zh) * | 2019-12-11 | 2023-09-01 | 国网甘肃省电力公司电力科学研究院 | 一种apt攻击的识别和防护方法 |
| CN117313095B (zh) * | 2023-11-28 | 2024-02-13 | 慧盾信息安全科技(苏州)股份有限公司 | 一种实时监控记录未知病毒行为轨迹的系统与方法 |
-
2005
- 2005-02-07 CN CNB200510007682XA patent/CN100547513C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1818823A (zh) | 2006-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100547513C (zh) | 基于程序行为分析的计算机防护方法 | |
| CN100401224C (zh) | 计算机反病毒防护系统和方法 | |
| US7870612B2 (en) | Antivirus protection system and method for computers | |
| US10417420B2 (en) | Malware detection and classification based on memory semantic analysis | |
| US8646080B2 (en) | Method and apparatus for removing harmful software | |
| US8397297B2 (en) | Method and apparatus for removing harmful software | |
| US7673137B2 (en) | System and method for the managed security control of processes on a computer system | |
| US11562068B2 (en) | Performing threat detection by synergistically combining results of static file analysis and behavior analysis | |
| CN101098226B (zh) | 一种病毒在线实时处理系统及其方法 | |
| RU2571723C2 (ru) | Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения | |
| US8621624B2 (en) | Apparatus and method for preventing anomaly of application program | |
| CN101350054B (zh) | 计算机有害程序自动防护方法及装置 | |
| CN100557545C (zh) | 一种区分有害程序行为的方法 | |
| CA2533853C (en) | Method and system for detecting unauthorised use of a communication network | |
| US7665139B1 (en) | Method and apparatus to detect and prevent malicious changes to tokens | |
| US8397292B2 (en) | Method and device for online secure logging-on | |
| CN101986324A (zh) | 用于恶意软件检测的事件的异步处理 | |
| CN105408911A (zh) | 硬件和软件执行概况分析 | |
| CN113364750B (zh) | 一种基于Snort和OpenFlow启发式诱导APT攻击引入蜜罐的方法 | |
| WO2008098519A1 (fr) | Procédé de protection d'ordinateur sur la base d'une analyse de comportements de programme | |
| US20100005528A1 (en) | Methods for hooking applications to monitor and prevent execution of security-sensitive operations | |
| CN115086081B (zh) | 一种蜜罐防逃逸方法及系统 | |
| CN1801031B (zh) | 运用程序行为知识库判断已知程序被攻击的方法 | |
| RU2708355C1 (ru) | Способ обнаружения вредоносных файлов, противодействующих анализу в изолированной среде | |
| US20230315850A1 (en) | Rootkit detection based on system dump sequence analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: BEIJING EASTERN MICROPOINT INFO-TECH CO., LTD. Free format text: FORMER OWNER: FUJIAN ORIENT MICROPOINT INFORMATION SECURITY CO., LTD. Effective date: 20150715 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150715 Address after: 100097 Beijing city Haidian District landianchang road A Jin Yuan era business center No. 2 block 5E Patentee after: Beijing Dongfang Micropoint Information Technology Co.,Ltd. Address before: 350002, No. 548, industrial road, Gulou District, Fujian, Fuzhou, five Patentee before: Fujian Orient Micropoint Information Security Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20091007 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |