CN101231682B - 计算机信息安全的方法 - Google Patents
计算机信息安全的方法 Download PDFInfo
- Publication number
- CN101231682B CN101231682B CN2007100173138A CN200710017313A CN101231682B CN 101231682 B CN101231682 B CN 101231682B CN 2007100173138 A CN2007100173138 A CN 2007100173138A CN 200710017313 A CN200710017313 A CN 200710017313A CN 101231682 B CN101231682 B CN 101231682B
- Authority
- CN
- China
- Prior art keywords
- file
- program
- analysis
- appointment
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 230000008569 process Effects 0.000 claims description 44
- 238000004458 analytical method Methods 0.000 claims description 33
- 238000011084 recovery Methods 0.000 claims description 19
- 230000006378 damage Effects 0.000 claims description 18
- 230000008859 change Effects 0.000 claims description 9
- 230000004048 modification Effects 0.000 claims description 7
- 238000012986 modification Methods 0.000 claims description 7
- 238000012300 Sequence Analysis Methods 0.000 claims description 5
- 238000012217 deletion Methods 0.000 claims description 5
- 230000037430 deletion Effects 0.000 claims description 5
- 230000000694 effects Effects 0.000 claims description 5
- 238000012163 sequencing technique Methods 0.000 claims description 5
- 208000019901 Anxiety disease Diseases 0.000 claims description 4
- 230000036506 anxiety Effects 0.000 claims description 4
- 238000012423 maintenance Methods 0.000 claims description 4
- 238000004321 preservation Methods 0.000 claims description 4
- 241000700605 Viruses Species 0.000 description 25
- 230000006399 behavior Effects 0.000 description 8
- 238000013461 design Methods 0.000 description 7
- 230000002155 anti-virotic effect Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000001914 filtration Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 238000012797 qualification Methods 0.000 description 4
- 230000026676 system process Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000003612 virological effect Effects 0.000 description 3
- 241000251468 Actinopterygii Species 0.000 description 2
- 241000283086 Equidae Species 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种计算机信息安全的方法,包括步骤:1)对系统进行日志记录;2)判断程序行为是否涉及到被保护文件,若涉及被保护文件,则根据保护规则禁止程序行为或限制程序行为,若不涉及被保护文件则检测是否有试图修改影响系统安全的敏感文件;3)如果没有试图修改影响系统安全的敏感文件,继续运行第2)条;4)如果有试图修改影响系统安全的敏感文件,自动备份原始文件,进行第5)条的操作;5)允许修改影响系统安全的敏感文件;6)通过第1)条建立的运行日志记录分析识别恶意程序;7)如果存在恶意程序,删除恶意程序,进行第8)条的操作,不存在恶意程序重新返回第2)条;8)根据该恶意程序的运行轨迹进行恢复。
Description
技术领域
本发明涉及一种信息安全技术,特别是计算机信息安全的方法。
背景技术
现有的计算机安全产品门类繁多,但从设计方案上来说,大致分三类:杀毒软件、防火墙和安全漏洞评估及安全服务。杀毒软件主要防范和清除客户机器硬盘上的病毒、木马、蠕虫文件和被感染的系统设置,恢复原始无毒状态;防火墙主要通过设置网络数据包过滤规则,过滤和阻断网络上不符合预先设定的规则的数据包,在网络上实现了一个用户可配置的过滤开关。安全漏洞评估及安全服务是通过人工的经验和知识对某个安全对象(网络或者单机)进行安全评估,提出安全报告,打补丁等。这三种方式分别从不同的侧面对可能或业已对用户造成的安全危害进行检查,清除和防范,具有各自的作用和价值。但是,从用户的整体安全出发来考虑,它们都是比较片面的、短效的和事后的,不足以给用户营造一个放心的,稳定的安全环境。这是因为:
其一、杀毒软件的设计出发点是认为,安全的威胁来自文件,故以文件为杀毒的对象。它的实际方案是对文件的病毒检查和“手术式”的杀毒。其局限有三点:一、杀毒软件是针对具体的病毒,它识别病毒的前提是先“认识”病毒,必须事前详细知道具体病毒样本,以便提取特征码和构造的杀毒方法。但对于未能识别的病毒,则是“大门敞开”,“听之任之”;二是它只是着眼于文件,着眼于具体的病毒,没有对当前的网络状态和系统状态历史进行历史的和全局的智能分析。这就使得病毒查杀总是滞后于病毒的出现,必须以用户受到病毒攻击为代价;三是杀毒软件的“性能”很大程度上取决于病毒样本收集的齐全和及时程度,以及用户升级的及时程度。实际上这是很难得到保证的,结果是杀毒软件的实际作用大打折扣。
其二、防火墙的性能比较片面,主要是对网络包进行基于规则的过滤,以便阻断不合规则的网络传输,这固然可以防止某些“已知”的网络行为,但从整个用户的安全出发,显然是不够的,用户机器上实际上若有什么危害程序,它则鞭长莫及了。
其三、安全漏洞评估及安全服务是一种“人工”行为,形同人体的“体检”,充其量算是一种“抽查式”的手法罢了,根本不能严密地防范实际安全危害。
由于存在上述缺陷,近年来许多厂商宣称开发了“主动防御”系统(或称“行为分析”等,名称很多,但思想基本相同,以下统称为“主动防御”),他们在一定程度上,能够根据病毒或其它攻击代码的某些行为特征识别它们,并立即进行阻止,删除文件等操作。这种方式的安全产品看似完美无缺,其实同样存在不少问题。
首先是识别的准确性问题。由于“主动防御”设计思想上仍然是通过在病毒运行初期就识别和处理,没有进行事后的恢复和清除,这就要求“主动防御”软件必须在病毒等恶意代码的运行不久就识别出来并处理,无法根据充分的证据来从容地判断,所以它必须仅仅就“蛛丝马迹”得出结论,这就不可避免地存在着较大程度的误报。
其次是识别的完备性问题。同样由于“主动防御”设计思想上仍然是“御敌于国门之外”,它的“取证”来不及等到完整和充分,这也使得它的“分析”因缺足够的“证据”而有失完整,必然带来一定的漏报、处理不全面、删除不彻底等完整性问题。
其次是识别效率问题。根据“主动防御御敌于国门之外”的设计思想,“漏网之鱼”不再处理,因此漏报是致命的。为尽量避免漏报,它就必须进行“密集分析”(反复进行频繁的“分析”),这显然无法避免的带来系统效率的开销。
最后是用户的安全性问题。前面已经分析了,根据“主动防御御敌于国门之外”的设计思想,“漏网之鱼”会自由行动,这无疑带来用户的安全隐患。
发明内容
本发明的第一个目的是提供一种不需要事前详细知道具体病毒样本的计算机信息安全的方法。
本发明的第二个目的是提供一种安全性好、识别效率以及准确性高的计算机信息安全的方法。
本发明的第三个目的是提供一种确保用户指定的文件不会被非法访问的方法。
本发明的技术方案是设计一种计算机信息安全的方法,其特征是,它至少包括如下步骤:
1)对系统进行日志记录;
2)判断程序行为是否涉及到被保护文件,若涉及被保护文件,则根据保护规则禁止程序行为或限制程序行为,若不涉及被保护文件则检测是否有试图修改影响系统安全的敏感文件;
3)如果没有试图修改影响系统安全的敏感文件,继续运行第2)条;
4)如果有试图修改影响系统安全的敏感文件,自动备份原始文件,进行第5)条的操作;
5)允许修改影响系统安全的敏感文件;
6)通过第1)条建立的运行日志记录分析识别恶意程序;
7)如果存在恶意程序,删除恶意程序,进行第8)条的操作,不存在恶意程序重新返回第2)条;
8)根据该恶意程序的运行轨迹进行恢复被该恶意程序修改的所备份过的文件和注册表的内容等,使系统恢复到该恶意程序及其相关恶意程序运行前的状态,从而维护系统的正常运行;
9)返回第2)条。
所述的被保护文件是指根据用户事先的指定的文件,指定的文件只能在指定的时间段内被指定的程序以指定的权限和指定的用户身份以及指定的密码访问;从而确保用户指定的文件不会被非法访问。
所述的对系统进行日志记录至少包括进程日志、网络活动日志、注册表变更日志Unix/Linux下无、文件变更和生成日志等。
所述的通过运行日志记录分析识别恶意程序包括:
1)定时触发分析和敏感事件触发分析;所述的敏感事件是指对系统安全可能造成 危害的修改注册表,修改启动项入口,启动shell,增加或删除文件事件;所述分析是基于时间顺序分析和进程序列分析,用于实现对各种危害的识别和危害过程的完整描述,作为后继恢复的基础。
所述的自动备份原始文件方式是把待修改的文件或注册表内容进行适当变形后保存,同时记下引起备份的进程,原始文件路径和时间,并进行备份大小控制,防止过度备份引起硬盘的紧张,乃至系统的崩溃。
所述的文件恢复包括覆盖原始文件或注册表,使系统还原为原始状态。
本发明的优点是:本发明采用的是在完整的描述系统运行轨迹基础上的分析、恢复和清除策略,能够有效保障用户的安全。具体说来,就是:在保障用户的机密信息不泄密、无篡改的基础上,对病毒、木马等所有恶意代码的运行轨迹进行详细而完备的监控和记录,并根据这些记录进行智能分析,一旦分析发现病毒等程序,就根据它的运行轨迹进行恢复(即删除它所安装的文件,恢复它修改的注册表和文件,使系统恢复到病毒运行前的状态),从而保障用户的安全。因此本发明不需要事前详细知道具体病毒样本就能对计算机运行的非法程序进行分析和处理。其次,由于采用“事前自动备份、事后自动恢复”的方法,对非法程序进行详细全面地分析处理,使计算机安全性好、识别效率以及准确性高。
本发明的优点可通过下面具体的流程图说明更深的了解:
附图说明
图1是本发明实施例主流程;
图2是文件规则处理流程;
图3是分析的触发流程;
图4是检测是否有修改敏感文件的行为流程;
图5是文件限定设置流程;
图6是日志系统流程图;
图7是恢复系统流程图;
图8是启动分析系统流程图;
图9是敏感事件分析图;
图10是分析系统逻辑流程图。
具体实施方式
本发明实施例主流程如图1所示,它至少包括如下步骤:步骤101,对系统进行日志记录;步骤102,检测是否有试图修改系统安全的敏感文件;如果没有继续执行步骤102;如果有,执行步骤103,启动自动备份原始文件;接着执行步骤104,允许修改系统安全的敏感文件;执行步骤105,通过步骤101建立的运行日志记录分析识别恶意程序;如果是,执行步骤106,删除非法程序;接着完成步骤107,根据该非法程序的运行轨迹进行恢复被该恶意程序修改的文件和注册表的内容等,使系统恢复到该恶意程序(及其相关恶意程序)运行前的状态,从而维护系统的正常运行;然后由步骤108重新返回步骤102,重新检测是否有试图修改系统安全的敏感文件。如果 不是,也重新返回步骤102,重新检测是否有试图修改系统安全的敏感文件。通过主流程不难发现,本发明采用的是在完整的描述系统运行轨迹基础上的分析、恢复和清除策略,有效保障用户的安全。具体说来,就是:在保障用户的机密信息不泄密、无篡改的基础上,对病毒、木马等所有恶意代码的运行轨迹进行详细而完备的监控和记录,并根据这些记录进行智能分析,一旦分析发现病毒等程序,就根据它的运行轨迹进行恢复(即删除它所安装的文件,恢复它修改的注册表和文件,使系统恢复到病毒运行前的状态),从而保障用户的安全。
图2是文件规则处理流程的各步骤说明。它至少包括步骤200,打开文件;然后进入步骤201,判断步骤200打开的文件是否属于限定保护文件;如不是,转到208条,调用操作系统的打开文件函数;如果是:则进行步骤202,读取系统当前时间、用户身份、访问权限、访问者全路径、访问密码等;当步骤202执行完后,接着执行步骤203、步骤204,读取上述文件的访问规则,并从第一条开始判断;如果访问时间、权限、密码、访问者、均符合这条访问规则,转到步骤208,调用操作系统的打开文件函数;如果不符合:接着执行下面步骤205,是否有其它规则存在,如果有,执行步骤206,读取下一条文件规则;如果没有,转到步骤207,拒绝本次文件操作,返回至系统打开文件前的状态。
如图3是分析的触发流程。步骤301内核监测到敏感事件发生时,步骤302纪录发生该事件的进程PID、发生时间等信息,步骤303通过对上层事件触发针对该进程进行一次分析,步骤304根据分析结论进行处理。
如图4是检测是否有修改敏感文件行为的流程的各步骤说明。它包括步骤401,根据内核通知的PID启动分析程序,步骤402判断该文件是否自启动文件,如果不是,则进入步骤407,认为它不是危险进程,可放行;否则,则进入步骤403,判断其是否可见,若可见,则进入步骤407;否则进入步骤404,判断它是否具有网络动作,没有,则进入步骤407,放行,否则进入下一步判断;步骤405判断是否具有其他危险动作,是,进入步骤406判断其是危险文件产生的进程,进行恢复处理。否则进入步骤407继续监控。
敏感事件是指对系统安全可能造成危害的事件,如修改注册表,修改启动项入口,启动shell,增加或删除文件等。
分析算法是基于时间顺序分析和进程序列分析,目的在于实现对各种危害的识别和危害过程的完整描述,作为后继恢复的基础。
对前述日志系统的智能分析(简称“分析系统”,下同),可识别和描述多种类别的计算机病毒、木马和黑客攻击等各种恶意代码的发生、传播和危害轨迹,危害内容和危害结果。分析系统的实现方式包括图8给出的定时触发和图9给出的敏感事件触发两种;两种触发的流程步骤是相同的。
如图5所示给出了是文件限定设置流程,它包括步骤501,在输出设备(显示器)界面下用户通过界面方便地由输入设备(键盘或鼠标)选择自己需要限定的文件,限定选项包括指定访问进程,访问时间,访问权限,访问密码,访问用户的身份等。一 个文件可以全部选择也可分项选择。步骤第502条是加载内核驱动程序,将用户的限定需求加载到内核中。步骤第503是在内核中监控并拦截文件系统的打开文件操作。步骤第504进入文件规则处理流程。
文件限定设置流程实际上是确定保护文件的操作。被保护文件只能在指定的时间段内被指定的程序以指定的权限和指定的用户身份以及指定的密码访问,从而确保用户指定的文件不会被非法访问。
图6是日志记录的一个流程步骤,进入日志记录开始的步骤601后,依次进行步骤602的拦截内核文件操作、步骤603的拦截内核注册表操作、步骤604的拦截内核网络操作、步骤605的拦截内核进程启动操作,随后通过步骤606检测上述操作是否发生,没有重新操作步骤606检测上述操作是否发生,有进行步骤607,生成相关日志记录,再由步骤606进入步骤608将日志汇入到数据库。系统进程的运行日志系统实际上包括四大日志:1)进程启动日志;2)网络活动日志;3)注册表变更日志(Unix/Linux下无);4)文件变更和生成日志。从图6可以看出日志系统是一个反复循环的独立运行系统,它的任务是详细的记录系统的运行日志,并写入日志数据库中。
图7是恢复系统具体流程步骤,包括一个开始步骤700;随后顺序完成以下步骤:步骤701,完成从日志库中查出非法程序的所有子程序;步骤702,清除非法进程;步骤703,备份非法程序,以便必要时恢复;步骤704,清除非法程序;步骤705,清除非法程序生成的文件;步骤706,从备份中查出非法程序修改过的文件原始备份;步骤707,恢复原始文件;步骤708,恢复非法程序修改的注册表键值;步骤709,记入恢复事件日志;最后从步骤710退出。
当分析出危害发生时,不仅从源头上完整地清除危害代码,而且根据它的危害轨迹和危害内容,自动实现智能恢复,以便恢复到危害发生前的状态;具体实现方式就是将恢复的内容还原,覆盖原始文件或注册表,使系统还原为原始状态,恢复系统需要考虑和遵守合理的顺序;保证恢复的有序和顺利。
针对危害可能造成的破坏,在破坏发生前,自动进行紧急备份,如改写文件、注册表和其他系统重要参数前的自动备份;以便保证在事后可以智能恢复;具体实现方式是:通过驱动挂接内核文件驱动和注册表驱动等,对修改可执行文件、修改注册表等进行修改前备份。备份方式是把待修改的文件或注册表内容进行适当变形后保存,同时记下引起备份的进程、时间、原始文件路径和时间等,并进行备份大小控制,防止过度备份引起硬盘的紧张,乃至系统的崩溃。
下面分别说明图8的定时触发和图9给出的敏感事件触发。
如图8所示,定时触发流程从步骤800开始,进入步骤801,进行设置定时器;然后执行步骤802,检测定时时间到否;没到,继续进行步骤802;到,执行步骤803,分析当前所有进程日志;再进入步骤804,检测是否有非法程序;如果没有,重新返回到步骤802;如有执行步骤805,进行恢复处理。
图9是敏感事件触发流程,与图8相同,它从步骤900开始,进入步骤901,进行设置敏感事件;然后执行步骤902,检测敏感事件是否发生;没有发生,继续进行 步骤902;发生,执行步骤903,分析当前所有进程日志;再进入步骤904,检测是否有非法程序;如果没有,重新返回到步骤902;如有执行步骤905,进行恢复处理。
通过建立的运行日志记录分析识别恶意程序的算法是:基于时间顺序分析和进程序列分析,图10给出进程分析的流程。首先进入该流程步骤A00,然后执行步骤A01,打开日志数据库;随后通过步骤A02,查询出所有进程日志,放入缓存中,接着执行步骤A03,先取出一个进程;通过步骤A04,判定此进程是否是自动启动;如果不是,重新执行步骤A03;如果是,通过步骤A05,判定进程是否有危险动作(危险动作包括修改注册表,修改启动项入口,启动shell,增加或删除文件等);如果没有,重新执行步骤A03;如果有,通过步骤A06将该进程进行恢复处理,包括杀死恶意进程(以及该进程家族),恢复被它们修改的文件和注册表等。
由于计算机信息安全的方法,它至少包括如下步骤:
1)对系统进行日志记录;2)判断程序行为是否涉及到被保护文件,若是被保护文件,则根据保护规则禁止运行或限制运行,若不是被保护文件则检测是否有试图修改系统安全的敏感文件;3)没有试图修改系统安全的敏感文件,继续运行第2)条;
4)如果有试图修改系统安全的敏感文件,启动自动备份原始文件,进行第5)条的操作,如果没有试图修改系统安全的敏感文件,重新返回第2)条;5)允许修改系统安全的敏感文件;6)通过第1)条建立的运行日志记录分析识别恶意程序;7)是非法程序,删除非法程序,进行第8)条的操作,不是非法程序重新返回第2)条;8)根据该非法程序的运行轨迹进行恢复被该恶意程序修改的文件和注册表的内容等,使系统恢复到该恶意程序(及其相关恶意程序)运行前的状态,从而维护系统的正常运行;9)返回第2)条。而且被保护文件是指根据用户事先的指定的文件,指定的文件只能在指定的时间段内被指定的程序以指定的权限和指定的用户身份以及指定的密码访问;从而确保用户指定的文件不会被非法访问。所述的对系统进行日志记录至少包括进程日志、网络活动日志、注册表变更日志(Unix/Linux下无)、文件变更和生成日志等。所述的通过运行日志记录分析识别恶意程序包括:1)定时触发分析和敏感事件触发分析;所述的敏感事件是指对系统安全可能造成危害的修改注册表,修改启动项入口,启动shell,增加或删除文件事件;2)分析算法是基于时间顺序分析和进程序列分析,用于实现对各种危害的识别和危害过程的完整描述,作为后继恢复的基础。所述的自动备份原始文件方式是把待修改的文件或注册表内容进行适当变形后保存,同时记下引起备份的进程,时间,原始文件路径和时间等,并进行备份大小控制,防止过度备份引起硬盘的紧张,乃至系统的崩溃。所述的文件恢复包括覆盖原始文件或注册表,使系统还原为原始状态。综上所述本发明是一种不需要事前详细知道具体病毒样本的计算机信息安全的方法。而且它具有安全性好、识别效率以及准确性高的特点,它能确保用户指定的文件不会被非法访问。
Claims (5)
1.计算机信息安全的方法,其特征是,它至少包括如下步骤:
1)对系统进行日志记录;
2)判断程序行为是否涉及到被保护文件,若涉及被保护文件,则根据保护规则禁止程序行为或限制程序行为,若不涉及被保护文件则检测是否有试图修改影响系统安全的敏感文件;
3)如果没有试图修改影响系统安全的敏感文件,继续运行第2)条;
4)如果有试图修改影响系统安全的敏感文件,自动备份原始文件,进行第5)条的操作;
5)允许修改影响系统安全的敏感文件;
6)通过第1)条建立的运行日志记录分析识别恶意程序;
7)如果存在恶意程序,删除恶意程序,进行第8)条的操作,不存在恶意程序重新返回第2)条;
8)根据该恶意程序的运行轨迹进行恢复被该恶意程序修改的所备份过的文件和注册表的内容,使系统恢复到该恶意程序及其相关恶意程序运行前的状态,从而维护系统的正常运行;
9)返回第2)条;
所述的通过运行日志记录分析识别恶意程序包括:
1)定时触发分析和敏感事件触发分析;所述的敏感事件是指对系统安全可能造成危害的修改注册表,修改启动项入口,启动shell,增加或删除文件事件;所述分析是基于时间顺序分析和进程序列分析,用于实现对各种危害的识别和危害过程的完整描述,作为后继恢复的基础。
2.根据权利要求1所述的计算机信息安全的方法,其特征是:所述的被保护文件是指根据用户事先的指定的文件,指定的文件只能在指定的时间段内被指定的程序以指定的权限和指定的用户身份以及指定的密码访问;从而确保用户指定的文件不会被非法访问。
3.根据权利要求1所述的计算机信息安全的方法,其特征是:所述的对系统进行日志记录至少包括进程日志、网络活动日志、注册表变更日志、文件变更和生成日志,其中注册表变更日志在Unix/Linux下没有。
4.根据权利要求1所述的计算机信息安全的方法,其特征是:所述的自动备份原始文件方式是把待修改的文件或注册表内容进行适当变形后保存,同时记下引起备份的进程,原始文件路径和时间,并进行备份大小控制,防止过度备份引起硬盘的紧张,乃至系统的崩溃。
5.根据权利要求1所述的计算机信息安全的方法,其特征是:所述的恢复包括覆盖原始文件或注册表,使系统还原为原始状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100173138A CN101231682B (zh) | 2007-01-26 | 2007-01-26 | 计算机信息安全的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100173138A CN101231682B (zh) | 2007-01-26 | 2007-01-26 | 计算机信息安全的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101231682A CN101231682A (zh) | 2008-07-30 |
| CN101231682B true CN101231682B (zh) | 2011-01-26 |
Family
ID=39898149
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100173138A Expired - Fee Related CN101231682B (zh) | 2007-01-26 | 2007-01-26 | 计算机信息安全的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101231682B (zh) |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101370305B (zh) * | 2008-09-23 | 2011-10-26 | 中兴通讯股份有限公司 | 一种保护数据业务安全的方法和系统 |
| CN101667232B (zh) * | 2009-07-13 | 2014-12-10 | 北京可信华泰信息技术有限公司 | 基于可信计算的终端可信保障系统与方法 |
| US9672363B2 (en) | 2010-04-14 | 2017-06-06 | Mitsubishi Electric Corporation | Security method for engineering tools and industrial products, and security system |
| CN102222185B (zh) * | 2011-05-25 | 2014-02-26 | 成都康禾科技有限公司 | 一种避免操作系统启动文件被感染的方法 |
| CN102279812B (zh) * | 2011-08-08 | 2013-12-25 | 宇龙计算机通信科技(深圳)有限公司 | 数据保护方法和终端 |
| CN102436411B (zh) * | 2011-12-31 | 2015-07-22 | 曙光信息产业股份有限公司 | 计算机系统进程恢复方法 |
| CN102629310A (zh) * | 2012-02-29 | 2012-08-08 | 卡巴斯基实验室封闭式股份公司 | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 |
| CN103516864B (zh) * | 2012-06-18 | 2015-11-11 | 腾讯科技(深圳)有限公司 | 在移动终端中监控预设操作的方法和装置 |
| CN102831035B (zh) * | 2012-08-20 | 2015-11-18 | 腾讯科技(深圳)有限公司 | 备份信息的方法及装置 |
| CN103839003B (zh) * | 2012-11-22 | 2018-01-30 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| CN103902893A (zh) * | 2012-12-24 | 2014-07-02 | 珠海市君天电子科技有限公司 | 一种监控Android程序行为的方法及系统 |
| CN103268452A (zh) * | 2013-05-31 | 2013-08-28 | 福建伊时代信息科技股份有限公司 | 文件处理方法和装置 |
| CN104219052A (zh) * | 2014-08-22 | 2014-12-17 | 小米科技有限责任公司 | 一种服务程序的验证方法及装置 |
| CN104850802A (zh) * | 2015-05-12 | 2015-08-19 | 浪潮电子信息产业股份有限公司 | 一种监控linux下文件变化并保障数据不被篡改的方法 |
| CN107133522A (zh) * | 2016-02-29 | 2017-09-05 | 阿里巴巴集团控股有限公司 | 一种权限确定方法及装置 |
| CN105930739B (zh) * | 2016-04-14 | 2019-07-23 | 珠海豹趣科技有限公司 | 一种防止文件被删除的方法及终端 |
| CN106126980A (zh) * | 2016-08-03 | 2016-11-16 | 北京英贝思科技有限公司 | 一种代码保护方法及系统 |
| CN106446718A (zh) * | 2016-09-13 | 2017-02-22 | 郑州云海信息技术有限公司 | 一种基于事件驱动机制的文件保护方法及系统 |
| CN108959951B (zh) * | 2017-05-19 | 2021-01-12 | 北京瑞星网安技术股份有限公司 | 文档安全防护的方法、装置、设备及可读存储介质 |
| CN109002709A (zh) * | 2018-07-25 | 2018-12-14 | 郑州云海信息技术有限公司 | 服务器系统安全保护方法、装置、设备及可读存储介质 |
| TWI691860B (zh) * | 2018-10-23 | 2020-04-21 | 財團法人工業技術研究院 | 用於防禦惡意軟體攻擊電腦系統之檔案的方法與電腦系統以及對應之非暫態電腦可讀取儲存媒體 |
| CN110851300A (zh) * | 2019-09-26 | 2020-02-28 | 三维通信股份有限公司 | 程序进程监控的方法、装置、计算机设备及可读存储介质 |
| CN112214757B (zh) * | 2020-07-23 | 2022-08-02 | 国家工业信息安全发展研究中心 | 基于windows驱动技术的终端注册表安全防护方法及系统 |
| CN112016089A (zh) * | 2020-08-14 | 2020-12-01 | 杭州银核存储区块链有限公司 | 一种计算机终端保密检查方法和装置 |
| CN111708678A (zh) * | 2020-08-18 | 2020-09-25 | 北京志翔科技股份有限公司 | 一种异常监测方法及装置 |
| CN112181822A (zh) * | 2020-09-24 | 2021-01-05 | 北京达佳互联信息技术有限公司 | 一种测试方法和应用程序的启动耗时测试方法 |
| CN112506714B (zh) * | 2021-01-12 | 2022-04-01 | 博智安全科技股份有限公司 | 一种Windows系统热备份方法和对应的热恢复方法 |
| CN113051550A (zh) * | 2021-03-30 | 2021-06-29 | 深信服科技股份有限公司 | 一种终端设备及其防护方法、装置和可读存储介质 |
| TWI753829B (zh) * | 2021-05-19 | 2022-01-21 | 彰化商業銀行股份有限公司 | 企業電腦即時管控系統及其方法 |
| CN116910744B (zh) * | 2023-07-25 | 2024-04-12 | 上海合芯数字科技有限公司 | 变量访问管理方法、装置、计算机设备及存储介质 |
| CN117272392B (zh) * | 2023-11-21 | 2024-03-15 | 国网四川省电力公司信息通信公司 | 用于终端的数据安全保护与备份控制方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1558600A (zh) * | 2004-01-19 | 2004-12-29 | �Ϻ���ͨ��ѧ | 一种基于用户保护规则的文件保护方法 |
| CN1604541A (zh) * | 2004-11-01 | 2005-04-06 | 沈明峰 | 基于安全策略的网络安全管理系统和方法 |
| CN1719780A (zh) * | 2005-07-15 | 2006-01-11 | 复旦大学 | 一种基于移动代理的入侵检测系统和方法 |
| EP1420562A3 (en) * | 2002-11-12 | 2006-06-07 | Microsoft Corporation | Automated detection of cross site scripting vulnerabilities |
-
2007
- 2007-01-26 CN CN2007100173138A patent/CN101231682B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1420562A3 (en) * | 2002-11-12 | 2006-06-07 | Microsoft Corporation | Automated detection of cross site scripting vulnerabilities |
| CN1558600A (zh) * | 2004-01-19 | 2004-12-29 | �Ϻ���ͨ��ѧ | 一种基于用户保护规则的文件保护方法 |
| CN1604541A (zh) * | 2004-11-01 | 2005-04-06 | 沈明峰 | 基于安全策略的网络安全管理系统和方法 |
| CN1719780A (zh) * | 2005-07-15 | 2006-01-11 | 复旦大学 | 一种基于移动代理的入侵检测系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101231682A (zh) | 2008-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101231682B (zh) | 计算机信息安全的方法 | |
| Halme et al. | AINT misbehaving: A taxonomy of anti-intrusion techniques | |
| CN101350052B (zh) | 发现计算机程序的恶意行为的方法和装置 | |
| Wagner et al. | Mimicry attacks on host-based intrusion detection systems | |
| Berthome et al. | Repackaging android applications for auditing access to private data | |
| CN102222194A (zh) | Linux主机计算环境安全保护的模块及方法 | |
| KR100910761B1 (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
| CN105408911A (zh) | 硬件和软件执行概况分析 | |
| CN102208004B (zh) | 一种基于最小化特权原则的软件行为控制方法 | |
| CN108462714A (zh) | 一种基于系统弹性的apt防御系统及其防御方法 | |
| CN110717183B (zh) | 病毒查杀方法、装置、设备及存储介质 | |
| CN104021467A (zh) | 保护移动终端支付安全的方法和装置以及移动终端 | |
| CN106055385A (zh) | 监控虚拟机进程的系统和方法、过滤page fault异常的方法 | |
| CN101154253B (zh) | 计算机安全防护方法及计算机安全防护装置 | |
| CN109753796B (zh) | 一种大数据计算机网络安全防护装置及使用方法 | |
| CN103839008A (zh) | 一句话脚本后门和php变量函数后门免疫安全服务 | |
| KR100745640B1 (ko) | 커널 메모리를 보호하는 방법 및 그 장치 | |
| KR100745639B1 (ko) | 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치 | |
| Reinhold et al. | Toward a Cyber Weapons Assessment Model—Assessment of the Technical Features of Malicious Software | |
| KR100666562B1 (ko) | 커널 드라이버 및 프로세스 보호 방법 | |
| CN1707383A (zh) | 通过进程和系统轨迹分析阻断计算机病毒方法 | |
| CN103679024A (zh) | 病毒的处理方法及设备 | |
| CN107818260B (zh) | 保障系统安全的方法及装置 | |
| CN113297628A (zh) | 一种修改行为审计方法、装置、设备及可读存储介质 | |
| Ginter et al. | Cybersecurity for chemical engineers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Assignee: Beijing High Tech Co., Ltd. Assignor: Li Guilin Contract record no.: 2012990000422 Denomination of invention: Computer information safe method Granted publication date: 20110126 License type: Exclusive License Open date: 20080730 Record date: 20120614 |
|
| EC01 | Cancellation of recordation of patent licensing contract |
Assignee: Beijing High Tech Co., Ltd. Assignor: Li Guilin Contract record no.: 2012990000422 Date of cancellation: 20130516 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20080730 Assignee: BEIJING NATEBITE SCIENCE & TECHNOLOGY CO., LTD. Assignor: Li Guilin Contract record no.: 2014990000215 Denomination of invention: Computer information safe method Granted publication date: 20110126 License type: Exclusive License Record date: 20140417 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110126 Termination date: 20210126 |