CN101276387A - 基于预定义健康运行环境的网络计算机防病毒系统 - Google Patents
基于预定义健康运行环境的网络计算机防病毒系统 Download PDFInfo
- Publication number
- CN101276387A CN101276387A CN 200810011407 CN200810011407A CN101276387A CN 101276387 A CN101276387 A CN 101276387A CN 200810011407 CN200810011407 CN 200810011407 CN 200810011407 A CN200810011407 A CN 200810011407A CN 101276387 A CN101276387 A CN 101276387A
- Authority
- CN
- China
- Prior art keywords
- running environment
- healthy
- software
- virus
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种以预定义的网络计算机的健康运行环境为基础的防病毒机理及相应的应用系统,特别是涉及以局域网的形式组成的办公网络的防毒和防各类恶意软件的应用环境。基于预定义健康运行环境的网络计算机防病毒系统,不是必须要查杀已知的病毒或病毒机制而是通过定义和严格限定计算机应有的健康运行环境解决计算机的病毒或恶意软件,健康运行环境由两个部分组成:一是健康软件的集合;二是与代码运行相关的系统机制的严格监控和保护。本发明可以应用于网络计算机系统。用以防止计算机受到各类病毒软件或其他恶意软件的破坏。
Description
技术领域
本发明涉及一种以预定义的网络计算机的健康运行环境为基础的防病毒机理及相应的应用系统,特别是涉及以局域网的形式组成的办公网络的防毒和防各类恶意软件的应用环境。本发明可以应用于网络计算机系统。
背景技术
首先对网络计算机系统中有关“健康运行环境、计算机病毒、恶意软件”做以下介绍。
健康运行环境:指网络计算机系统在没有受到任何病毒或恶意软件破坏的正常运行环境,其中包含各种可执行的代码,及与运行代码相关的系统配置等。
计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
恶意软件:可以是计算机病毒的同义词。但它包含了后门、木马和各种流氓软件等一切以影响计算机系统正常工作为目的的软件。
计算机病毒的泛滥是影响网络计算机发挥其应有作用的最主要原因之一。然而,到目前为止,人们解决病毒问题的方式还是局限于发现和识别已知的病毒特征或病毒机制,然后,进行有针对性地查杀或防范。不难想象,这种解决问题的方式永远是滞后的,因此不可能彻底解决病毒问题。另外,由于已经可以识别的病毒越来越多,杀毒软件需要扫描查杀的内容就越来越多,由此而耗费的系统资源也就越来越多。近些年来,由于病毒及各种恶意软件的泛滥,杀毒厂商有了快速的发展,杀毒产品也有了多方面的改进。主要的改进表现在如下的几个方面:
1.对新病毒的反映速度明显加快;
2.针对已识别的病毒常用机制,建立了有针对性的主动防御机制;
3.针对多种可能引入病毒的通道,例如,网络和移动存储等,进行全面的病毒查杀和防范。
上述这些杀毒产品的重要改进,在很多条件下,对于杀毒的效果有一定改善,然而,这些改进并没有真正突破杀毒软件的两个主要的局限性,一是仍然只能查杀或防范已知的病毒或已知的病毒常用机制;二是占用的系统资源仍然是越来越大。特别是启动杀毒时,CPU的占用率常常是100%,其他应用都难以运行。对很多计算机使用者而言,这种严重滞后,又占用大量系统资源的杀毒办法,已经到了不能接受的程度。
为了改变这种防杀病毒的被动局面,应该认证和定义网络计算机的健康运行环境,并对这种健康运行环境进行有效的保护,从而可以有效地防止任何已知或未知的病毒或恶意软件侵害网络计算机系统。本发明所创造的这种基于预定义的健康运行环境的防病毒系统,彻底解决了上述杀毒软件的两大局限性,可以在占用很少系统资源的条件下,以预防的模式杜绝计算机病毒和各类恶意软件可能对网络计算机造成的损害。
发明内容
本发明的目的在于提供一种有效的防御机制,用以防止计算机受到各类病毒软件或其他恶意软件的破坏,在进行这种有效保护的同时,不占用明显的系统资源,也不给计算机使用者的正常使用带来明显的不便。而且,这种有效防御各类病毒和恶意软件的机制必须能够适应计算机用户不断更新的应用环境。
本发明的目的是通过以下技术方案实现的:
基于预定义健康运行环境的网络计算机防病毒系统,本系统不是必须要查杀已知的病毒或病毒机制而是通过定义和严格限定计算机应有的健康运行环境解决计算机的病毒或恶意软件,所述健康运行环境由两个部分组成:
一是健康软件的集合;
二是与代码运行相关的系统机制的严格监控和保护,主要包括有:
A.已知系统漏洞的及时修复;
B.注册表启动项的监控;
C.注册新的驱动程序和服务程序;
D.系统文件修改的严格控制;
E.限制未认证软件的内网通信。
如上所述的基于预定义健康运行环境的网络计算机防病毒系统,其健康软件集合的形成主要是通过收集和认证每一款软件的正当合法出处,凡是能够表明软件作者,如:自然人或单位的正当合法身份的软件均可以被认证为健康软件。
如上所述的基于预定义健康运行环境的网络计算机防病毒系统,所述预定义健康运行环境是由可收集到并通过认证的健康软件集合及上述的与代码运行相关的系统机制的严格保护组成的。
如上所述的基于预定义健康运行环境的网络计算机防病毒系统,其每一台计算机应有的健康运行环境是由预定义健康运行环境和对本机现有软件的分析认证结果相结合而构成的,因此,健康运行环境是可以共享的。
如上所述的基于预定义健康运行环境的网络计算机防病毒系统,其不在健康运行环境中的新软件,可以通过过渡认证机制方便地运行,同时触发系统的认证机制;如果通过了认证,则加入健康软件集合并在必要的范围内共享;如果由于含有病毒或恶意代码而没有通过认证,也不会因为在过渡认证机制中的运行而对计算机或网络系统产生可复制性的损害。
如上所述的基于预定义健康运行环境的网络计算机防病毒系统,该系统面向单位用户时包括有如下基本构件:
a.客户端:在每台被保护的计算机上采集相关信息并对该机实施本系统的保护机制;该系统又进一步分解为:本地应有健康运行环境数据库、运行环境管理器、待认证软件绿色通道;
b.服务器引擎:该子系统主要是构成整个应用系统的网络通信中枢,并实现必要的服务器机制,其中的机制包括新软件的认证和认证软件的共享;
c.控制台:该子系统是管理人员实施管理策略,采集管理数据,观察防毒管理效果的UI界面;
d.健康运行环境数据库:其中包含预定义健康运行环境数据库,本网共享应有健康运行环境数据库。
如上所述的基于预定义健康运行环境的网络计算机防病毒系统,该系统面向个人用户时包括有如下基本构件:
a.客户端:在每台被保护的计算机上采集相关信息并对该机实施本系统的保护机制;该系统又进一步分解为:本地应有健康运行环境数据库、运行环境管理器、待认证软件绿色通道;
b.服务器引擎:该子系统主要是构成整个应用系统的网络通信中枢,并实现必要的服务器机制,其中的机制包括新软件的认证和认证软件的共享,及客户端健康运行环境的升级;
c.控制台:该子系统是管理运维人员实施管理策略,采集管理数据,观察防毒管理效果的UI界面;
d.健康运行环境数据库:其中包含个人电脑共享的健康运行环境数据库。
本发明的优点与效果是:
1.解决传统杀毒软件严重滞后的问题,以预防的方式同时杜绝已知和未知的病毒及各类恶意软件。
2.在比较彻底地解决病毒及各类恶意软件的同时,该系统本身仅占用很少的系统资源,因此,对用户网络计算机的健康运行环境的正常使用不构成负担。
3.本发明提供的“过渡认证机制”或绿色通道,可使用户很方便地使用新的软件,同时有效地防止病毒及恶意软件侵害系统的健康运行环境。同时,随着新的软件得到认证,预定义健康运行环境将不断得到更新和完善。
附图说明
图1是本发明实例,面向单位用户防毒系统之建立健康运行环境过程示意图(个人用户与之类似);
图2是本发明实例,面向单位用户防病毒系统之运行健康运行环境及更新过程示意图(个人用户与之类似)。
具体实施方式
下面参照附图对本发明进行详细说明。
一.对技术组成的说明
为了不仅可以防御已知病毒同时还可以防御未知病毒,本系统不是基于病毒特征去防御或查杀特定的病毒。而是基于网络计算机的现有和可以预期的健康运行环境来定义应有的健康运行环境,并对该健康运行环境进行严格的保护,同时建立一套有效的机制更新应有健康运行环境。
应有健康运行环境的建立:
“运行环境”包含两部分内容:可执行代码的集合、与运行代码相关的配置和机制。
“健康运行环境”包含两层含义:经过认证的可执行代码集合或健康软件集合、与运行代码相关的配置和机制得到了严格的保护。
对于一个具体网络计算机或局域网而言,其应有健康软件集合来自于两个方面:预定义的通用健康软件集合和现有本机或本网软件的分析认证结果。健康软件的认证可以通过多种机制实现,但其中最重要也是最有效的机制就是确认软件的合法正当出处。病毒和各种恶意软件的最主要特征之一就是不敢表明其出处。鉴于“以公开的身份传播病毒或各类恶意软件是不可能生存的”这样一个无争的事实,我们可以放心的把所有表明正当合法出处的软件认证为健康软件。事实上,这已经覆盖了绝大多数的社会常用软件。对于非通用的单位内部软件,更可以以类似的机制在内部进行认证。此外,少数出处不清但又确有使用价值的软件,经仔细分析确认无害于计算机系统和使用人,也可通过认证加入健康软件集合。事实上,每次实施这种“基于预定义健康环境的网络计算机防病毒系统”都可能进一步完善预定义的通用健康软件集合。
对与运行代码相关的系统配置和机制进行严格保护也有两方面的含义:
1.安全补丁的及时准确升级,以防病毒或恶意软件利用已知安全漏洞运行恶意代码;
2.对于在“过渡认证机制”中运行的未认证软件进行严格监控,防止恶意代码利用“过渡认证机制”修改与运行代码相关的配置和机制。
应有健康运行环境的严格保护:
该健康环境外的代码不能随意运行,这就有效地杜绝了绝大多数的恶意代码运行;
如果使用者确实需要立即运行某些未经认证的软件,则该系统可以为使用者提供一个“过渡机制”或称为“绿色通道”来运行其软件。但在此过渡机制中运行的软件将受到本防毒系统的严格监控。
未知软件的运行(即“过渡认证机制”):
对于由用户启动的程序,如果不在健康软件集合中,则提示通过绿色通道来运行,在运行过程中对其进行限制。对于不是由用户启动的程序,如果不在健康软件集合中,则系统会阻止该程序运行。同时系统将把客户端通过绿色通道运行的程序信息发送到服务器,服务器会对这些程序进行验证,验证通过后,将程序添加到健康软件集合中,用户可以正常使用;未通过验证的程序,用户仅可以在绿色通道中运行,不能危及计算机或网络的其他部分。
应有健康运行环境的不断更新:
1.健康运行环境中软件自动升级:对已经存在于健康运行环境中软件进行升级操作时,本系统会自动作出判断并放行,在升级完成后,自动将升级后的程序添加到应有健康软件运行环境中。
2.用户采用绿色通道运行的软件:对于用户采用绿色通道运行的软件,本系统自动将其发送到服务器,服务器对这些程序进行验证,验证通过后,将程序添加到健康软件集合中,并向各个终端共享此更新的健康运行环境,保证资源及时更新和共享。
二.实际应用举例
1.面向单位用户:
基于预定义健康运行环境的局域网计算机防病毒系统。该系统是基于本发明实现的应用系统,其可以对局域网内的计算机统一进行有效的防病毒保护。
该系统主要由如下基本构件组成:
a.客户端:在每台被保护的计算机上采集相关信息并对该机实施本系统的保护机制;该系统又进一步分解为:①本地应有健康运行环境数据库;②运行环境管理器;③待认证软件绿色通道。
b.服务器引擎:该子系统主要是构成整个应用系统的网络通信中枢,并实现必要的服务器机制,其中最重要的机制包括新软件的认证和认证软件的共享。
c.控制台:该子系统是管理人员实施管理策略,采集管理数据,观察防毒管理效果的UI界面。
d.健康运行环境数据库:其中包含预定义健康运行环境数据库,本网共享应有健康运行环境数据库。
该防病毒系统的工作机理:
本防病毒系统有三种工作阶段或三种工作模式,它们分别为:建立健康运行环境、运行健康运行环境和更新健康运行环境。下面就这三种工作模式介绍本防毒系统的基本系统模块是如何相互配合从而实现防毒目的的工作机理。
建立健康运行环境:
在一个局域网中建立健康运行环境主要是对现有运行环境的收集和认证并与预定义的通用健康运行环境相结合的过程。
预定义通用健康运行环境数据库的建立:
这个通用健康运行环境数据库应该包含所有健康软件,但对于防毒系统的实际实现而言,这个通用数据库建立是一个不断积累和完善的过程。由于绝大多数计算机用户仅仅使用一小部分最常用的软件这样一个事实,即使在预定义通用健康运行环境数据库不是十分完整的情况下,该防毒系统也可以对绝大多数计算机用户表现出很高价值的实用性和易用性。
判别健康软件的标准可以有很多种,甚至可以带有主观爱好的色彩,但是要建立一个实用性很强的通用健康运行环境数据库,就必须基于一个普遍适用的客观标准。本系统所使用的判定健康软件的标准是基于这样一个不争的事实:绝大多数健康软件的原作者(个人或单位)都愿意在其软件适用的范围内直接亮明其身份,并让其软件的使用者了解该软件的正当出处及正规版本;与此相反,几乎所有的恶意软件,包含各类病毒、木马和流氓软件等等,其原作者(个人或单位)都不敢亮明其身份,甚至是极力隐藏其真实身份。(尽管在真实世界中可能会有一些个别的例外,但这不改变上述情况对绝大多数软件而言是不争的事实)。因此,该防毒系统判别一个软件是否为健康软件就是检查该软件是否有亮明其真实身份的原作者、正当的出处及是否正规的版本。
在该数据库中,包含每一个健康软件的名称、作者及出处的相关信息,更关键的是代表该软件正规版本的唯一性特征码。在防毒系统的客户端程序初次在将被保护的计算机系统上安装之后,它首先要取得该计算机运行环境的完整信息101,为此,客户端程序要利用基于其线程优先级分配到的CPU运行时间对该计算机的本地存储(通常是“硬盘”)进行完整的扫描102,并在扫描的过程中形成本机现有运行环境数据集合103,该数据集合中的主要内容为包含可执行代码的各类文件名、对应的特征码及与运行代码相关的一些操作系统配置。
在建立了本机现有运行环境数据集合之后,客户端100将利用分配到的CPU运行时间对现有运行环境进行第一轮的认证。第一轮认证的基本工作就是把现有运行环境中的可执行文件一一在预定义的通用健康运行环境数据库104中寻找对应的文件,如果找到了则比较唯一性特征码,如果特征码匹配,则该可执行文件通过了认证,并加入了本地健康运行环境数据库105,基于一个比较完整的预定义通用健康运行环境数据库,经过第一轮的认证,在现有运行环境数据集合中应该只剩下数量很少的未认证可执行文件106,或者全部通过了认证,这些待认证的可执行文件将触发第二轮的认证过程。
第二轮认证其实是一个认证新的健康软件和识别恶意软件的过程,这个过程往往是半自动的,要有软件认证工作人员的参与:在这个过程中,防毒系统的客户端100通过本机的网卡把需要进行第二轮认证的相关信息108传到防毒系统的服务器引擎107。引擎首先启动自动认证机制109,例如,同一个可执行文件已由其他客户端先行进行了第二轮认证,则不再重复认证,而且直接返回认证结果110。此外,引擎还将自动执行认证人员已经配置的认证规则111,例如,自动执行一些可信的检测工具,以求鉴别恶意软件。在这个子过程中,优质的杀毒软件、防木马和流氓软件的工具可以发挥一定的积极作用,提高自动化程度。但是,该防毒系统的主要防毒依据还是一个完整的预定义健康运行环境数据库。这个数据库越完整,在软件认证过程中,对其他工具的依赖性就越小。在完成了上述的自动鉴别过程后,若还有剩余的待认证软件,服务器引擎将通过本机的网卡或某种IPC机制,把这些待认证软件的相关信息传至防毒系统的控制台112。认证人员在控制台上对这些待认证的软件进行最终的鉴别工作。在这个环节上,认证人员要综合多种信息以求做出正确的判断,但其中最主要的工作还是设法找到每一个软件的正当出处。事实上,随着预定义通用健康运行环境数据库的不断完整,在任何一个具体的局域网内,需要认证人员参与做最终鉴别工作的情况会越来越少。而且在任何一个局域网内,认证人员参与的认证结果将使得预定义通用健康运行环境数据库更加完整。在第二轮过程中,如果发现一个未知的可执行文件又无法找到正当的出处,则被列为恶意软件可疑项。如果发现了一个已知的可执行文件但唯一特征码不符,则可以断定是感染了病毒的版本114。
经过两轮的认证,建立起本机健康运行环境数据库,同时也净化了系统的运行环境。在一个局域网中,在每一台客户机上的认证结果是可以在网内共享的。如上所述,这种建立本网健康运行环境的过程往往又会进一步丰富预定义通用健康运行环境数据库,因此,可以在所有该防毒系统的用户中共享。
运行健康运行环境:
所谓运行健康运行环境,就是在建立了本网的健康运行环境之后,有效的保护该健康运行环境的运转,并防止该健康运行环境以外的任何恶意软件可能对计算机系统的正常使用产生的不良影响。实现上述目的的最大挑战就是既要严格保护健康运行环境,又要让用户使用的很方便,不能在易用性上付出明显代价。
具体实现上主要有两大环节:第一个环节就是严格保护已定义的健康运行环境。为此,防毒系统的客户端在本机的系统内存中监控每一个要启动运行的可执行文件201。如果确定是健康运行环境的成员则自动放行203;如果不是健康运行环境的成员则立即阻断204。第二个环节是在严格管理的基础上开放一条便利通道,或称“绿色通道”,以便于用户运行一些尚未认证纳入健康运行环境的新软件205。换言之,通过这个绿色通道用户可以运行任何想运行的软件207,但绿色通道将提供一些必要的保护,其中主要是对可执行文件及系统配置的修改和局域网内的网络访问进行必要的限制。
通过绿色通道运行新的软件将触发新的软件认证过程208。这个过程是更新健康运行环境工作模式的一部分,并在下面给予介绍。
更新健康运行环境:
如上所述,该防毒系统的工作机理的主要依据是一个比较完整的健康运行环境。然而,无论是软件集合本身还是计算机用户对软件应用的状态都是一个永无止境的增长和变化过程,因此,防毒系统所基于的健康运行环境必须不断更新。更新有两大机制:主动更新和被动更新。下面分别给予介绍。
主动更新:该防毒系统的运维主体必须有专门的团队和工作流程以保证进行尽可能广泛的软件收集和认证,从而不断的主动更新丰富预定义通用健康运行环境数据库,这种主动收集和更新健康运行环境的最低标准是要有效地覆盖绝大多数用户较常用的健康软件。除了上述的面向所有用户的通用更新之外,在每个局域网内,随时都可能有必要加入一些新的健康软件,以适应单位的计算机应用。这是本网健康运行环境的主动更新。
被动更新:被动更新是指用户需要运行未认证的软件,由此触发的认证机制210/212/214,并导致健康运行环境的更新211/213/215。这种被动更新多数是由客户端的绿色通道触发的,个别情况也可能是在服务端直接引入的。被动更新一旦在某个局部发生应该尽快在尽可能大的范围内共享(当然,前提是有必要)。
2.面向个人用户:
基于预定义健康运行环境的个人互联网计算机防病毒系统。该系统是基于本发明实现的应用系统,其可以对个人互联网计算机统一进行有效的防病毒保护。
该系统主要由如下基本构件组成:
a.客户端:在每台被保护的计算机上采集相关信息并对该机实施本系统的保护机制;该系统又进一步分解为:①本地应有健康运行环境数据库;②运行环境管理器;③待认证软件绿色通道。
b.服务器引擎:该子系统主要是构成整个应用系统的网络通信中枢,并实现必要的服务器机制,其中最重要的机制包括新软件的认证和认证软件的共享,及客户端健康运行环境的升级。
c.控制台:该子系统是管理运维人员实施管理策略,采集管理数据,观察防毒管理效果的UI界面。
d.健康运行环境数据库:其中包含所有个人电脑共享的健康运行环境数据库。
该防病毒系统的工作机理:
本防病毒系统有三种工作阶段或三种工作模式,它们分别为:建立健康运行环境、运行健康运行环境和更新健康运行环境。下面就这三种工作模式介绍本防毒系统的基本系统模块是如何相互配合从而实现防毒目的的工作机理。
建立健康运行环境:
在一个个人电脑上建立健康运行环境主要是对现有运行环境的收集和认证并与预定义的通用健康运行环境相结合的过程。
预定义通用健康运行环境数据库的建立:
这个通用健康运行环境数据库应该包含所有健康软件,但对于防毒系统的实际实现而言,这个通用数据库建立是一个不断积累和完善的过程。由于绝大多数计算机用户仅仅使用一小部分最常用的软件这样一个事实,即使在预定义通用健康运行环境数据库不是十分完整的情况下,该防毒系统也可以对绝大多数计算机用户表现出很高价值的实用性和易用性。
判别健康软件的标准可以有很多种,甚至可以带有主观爱好的色彩,但是要建立一个实用性很强的通用健康运行环境数据库,就必须基于一个普遍适用的客观标准。本系统所使用的判定健康软件的标准是基于这样一个不争的事实:绝大多数健康软件的原作者(个人或单位)都愿意在其软件适用的范围内直接亮明其身份,并让其软件的使用者了解该软件的正当出处及正规版本;与此相反,几乎所有的恶意软件,包含各类病毒、木马和流氓软件等等,其原作者(个人或单位)都不敢亮明其身份,甚至是极力隐藏其真实身份。(尽管在真实世界中可能会有一些个别的例外,但这不改变上述情况对绝大多数软件而言是不争的事实)。因此,该防毒系统判别一个软件是否为健康软件就是检查该软件是否有亮明其真实身份的原作者、正当的出处及是否正规的版本。
在该数据库中,包含每一个健康软件的名称、作者及出处的相关信息,更关键的是代表该软件正规版本的唯一性特征码。在防毒系统的客户端初次在将被保护的计算机系统上安装之后,它首先要取得该计算机运行环境的完整信息,为此,客户端程序要利用基于其线程优先级分配到的CPU运行时间对该计算机的本地存储(通常是“硬盘”)进行完整的扫描,并在扫描的过程中形成本机现有运行环境数据集合,该数据集合中的主要内容为包含可执行代码的各类文件名、对应的特征码及与运行代码相关的一些操作系统配置。
在建立了本机现有运行环境数据集合之后,客户端将利用分配到的CPU运行时间对现有运行环境进行第一轮的认证。第一轮认证的基本工作就是把现有运行环境中的可执行文件一一在预定义的通用健康运行环境数据库中寻找对应的文件,如果找到了则比较唯一性特征码,如果特征码匹配,则该可执行文件通过了认证,并加入了本地健康运行环境数据库,基于一个比较完整的预定义通用健康运行环境数据库,经过第一轮的认证,在现有运行环境数据集合中应该只剩下数量很少的未认证可执行文件,或者全部通过了认证,这些待认证的可执行文件将触发第二轮的认证过程。
第二轮认证其实是一个认证新的健康软件和识别恶意软件的过程,这个过程往往是半自动的,要有软件认证工作人员的参与:在这个过程中,防毒系统的客户端通过本机的网卡把需要进行第二轮认证的相关信息传到防毒系统的服务器引擎。引擎首先启动自动认证机制,例如,同一个可执行文件已由其他客户端先行进行了第二轮认证,则不再重复认证,而且直接返回认证结果。此外,引擎还将自动执行认证人员已经配置的认证规则,例如,自动执行一些可信的检测工具,以求鉴别恶意软件。在这个子过程中,优质的杀毒软件、防木马和流氓软件的工具可以发挥一定的积极作用,提高自动化程度。但是,该防毒系统的主要防毒依据还是一个完整的预定义健康运行环境数据库。这个数据库越完整,在软件认证过程中,对其他工具的依赖性就越小。在完成了上述的自动鉴别过程后,若还有剩余的待认证软件,服务器引擎将通过本机的网卡或某种IPC机制,把这些待认证软件的相关信息传至防毒系统的控制台。认证人员在控制台上对这些待认证的软件进行最终的鉴别工作。在这个环节上,认证人员要综合多种信息以求做出正确的判断,但其中最主要的工作还是设法找到每一个软件的正当出处。事实上,随着预定义通用健康运行环境数据库的不断完整,需要做最终鉴别工作的情况会越来越少。而且在此过程中,认证人员参与的认证结果将使得预定义通用健康运行环境数据库更加完整。在第二轮过程中,如果发现一个未知的可执行文件又无法找到正当的出处,则被列为恶意软件可疑项。如果发现了一个已知的可执行文件但唯一特征码不符,则可以断定是感染了病毒的版本。
经过两轮的认证,建立起本机健康运行环境数据库,同时也净化了系统的运行环境。在个人互联网中,在每一台计算机上的认证结果是可以在网上共享的。如上所述,这种建立健康运行环境的过程往往又会进一步丰富预定义通用健康运行环境数据库,因此,可以在所有该防毒系统的用户中共享。
运行健康运行环境:
所谓运行健康运行环境,就是在建立了本网的健康运行环境之后,有效的保护该健康运行环境的运转,并防止该健康运行环境以外的任何恶意软件可能对计算机系统的正常使用产生的不良影响。实现上述目的的最大挑战就是既要严格保护健康运行环境,又要让用户使用的很方便,不能在易用性上付出明显代价。
具体实现上主要有两大环节:第一个环节就是严格保护已定义的健康运行环境。为此,防毒系统的客户端在本机的系统内存中监控每一个要启动运行的可执行文件。如果确定是健康运行环境的成员则自动放行;如果不是健康运行环境的成员则立即阻断。第二个环节是在严格管理的基础上开放一条便利通道,或称“绿色通道”,以便于用户运行一些尚未认证纳入健康运行环境的新软件。换言之,通过这个绿色通道用户可以运行任何想运行的软件,但绿色通道将提供一些必要的保护,其中主要是对可执行文件及系统配置的修改进行必要的限制。
通过绿色通道运行新的软件将触发新的软件认证过程。这个过程是更新健康运行环境工作模式的一部分,并在下面给予介绍。
更新健康运行环境:
如上所述,该防毒系统的工作机理的主要依据是一个比较完整的健康运行环境。然而,无论是软件集合本身还是计算机用户对软件应用的状态都是一个永无止境的增长和变化过程,因此,防毒系统所基于的健康运行环境必须不断更新。更新有两大机制:主动更新和被动更新。下面分别给予介绍。
主动更新:该防毒系统的运维主体必须有专门的团队和工作流程以保证进行尽可能广泛的软件收集和认证,从而不断的主动更新丰富预定义通用健康运行环境数据库,这种主动收集和更新健康运行环境的最低标准是要有效地覆盖绝大多数用户较常用的健康软件。
被动更新:是指用户需要运行未认证的软件,由此触发的认证机制,并导致健康运行环境的更新。这种被动更新多数是由客户端的绿色通道触发的,个别情况也可能是在服务端直接引入的。被动更新一旦在某个局部发生应该尽快在尽可能大的范围内共享。
综上所述,基于预定义健康运行环境的防病毒系统是一个具有自学习能力的不断完善的系统,它既可以有效地防止各类恶意软件,又可以方便地让用户使用其想运行的软件。另一个重要的特色是该防毒系统不需要像杀毒软件那样占用大量的计算机资源进行扫描,因此,用起来非常快捷。
Claims (7)
1.基于预定义健康运行环境的网络计算机防病毒系统,本系统不是必须要查杀已知的病毒或病毒机制而是通过定义和严格限定计算机应有的健康运行环境解决计算机病毒或恶意软件,其特征在于,所述健康运行环境由两个部分组成:
一是健康软件的集合;
二是与代码运行相关的系统机制的严格监控和保护,主要包括有:
A.已知系统漏洞的及时修复;
B.注册表启动项的监控;
C.注册新的驱动程序和服务程序;
D.系统文件修改的严格控制;
E.限制未认证软件的内网通信。
2.根据权利要求1所述的基于预定义健康运行环境的网络计算机防病毒系统,其特征在于,健康软件集合的形成主要是通过收集和认证每一款软件的正当合法出处,凡是能够表明软件作者,如:自然人或单位的正当合法身份的软件均可以被认证为健康软件。
3.根据权利要求1所述的基于预定义健康运行环境的网络计算机防病毒系统,其特征在于,所述预定义健康运行环境是由可收集到并通过认证的健康软件集合及上述的与代码运行相关的系统机制的严格保护组成的。
4.根据权利要求1所述的基于预定义健康运行环境的网络计算机防病毒系统,其特征在于,每一台计算机应有的健康运行环境是由预定义健康运行环境和对本机现有软件的分析认证结果相结合而构成的,因此,健康运行环境是可以共享的。
5.根据权利要求1所述的基于预定义健康运行环境的网络计算机防病毒系统,其特征在于,不在健康运行环境中的新软件,可以通过过渡认证机制方便地运行,同时触发系统的认证机制;如果通过了认证,则加入健康软件集合并在必要的范围内共享;如果由于含有病毒或恶意代码而没有通过认证,也不会因为在过渡认证机制中的运行而对计算机或网络系统产生可复制性的损害。
6.根据权利要求1所述的基于预定义健康运行环境的网络计算机防病毒系统,其特征在于,该系统面向单位用户时包括有如下基本构件:
a.客户端:在每台被保护的计算机上采集相关信息并对该机实施本系统的保护机制;该系统又进一步分解为:本地应有健康运行环境数据库、运行环境管理器、待认证软件绿色通道;
b.服务器引擎:该子系统主要是构成整个应用系统的网络通信中枢,并实现必要的服务器机制,其中的机制包括新软件的认证和认证软件的共享;
c.控制台:该子系统是管理人员实施管理策略,采集管理数据,观察防毒管理效果的UI界面;
d.健康运行环境数据库:其中包含预定义健康运行环境数据库,本网共享应有健康运行环境数据库。
7.根据权利要求1所述的基于预定义健康运行环境的网络计算机防病毒系统,其特征在于,该系统面向个人用户时包括有如下基本构件:
a.客户端:在每台被保护的计算机上采集相关信息并对该机实施本系统的保护机制;该系统又进一步分解为:本地应有健康运行环境数据库、运行环境管理器、待认证软件绿色通道;
b.服务器引擎:该子系统主要是构成整个应用系统的网络通信中枢,并实现必要的服务器机制,其中的机制包括新软件的认证和认证软件的共享,及客户端健康运行环境的升级;
c.控制台:该子系统是管理运维人员实施管理策略,采集管理数据,观察防毒管理效果的UI界面;
d.健康运行环境数据库:其中包含个人电脑共享的健康运行环境数据库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810011407 CN101276387A (zh) | 2008-05-15 | 2008-05-15 | 基于预定义健康运行环境的网络计算机防病毒系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810011407 CN101276387A (zh) | 2008-05-15 | 2008-05-15 | 基于预定义健康运行环境的网络计算机防病毒系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101276387A true CN101276387A (zh) | 2008-10-01 |
Family
ID=39995827
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200810011407 Pending CN101276387A (zh) | 2008-05-15 | 2008-05-15 | 基于预定义健康运行环境的网络计算机防病毒系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101276387A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102195987A (zh) * | 2011-05-31 | 2011-09-21 | 成都七巧软件有限责任公司 | 一种基于软件产品库的分布式可信认证方法和系统 |
| CN102419806A (zh) * | 2011-12-15 | 2012-04-18 | 武汉大学 | 一种虚拟机批量离线杀毒方法 |
| CN105160244A (zh) * | 2012-09-19 | 2015-12-16 | 北京奇虎科技有限公司 | 一种文件处理方法和系统 |
-
2008
- 2008-05-15 CN CN 200810011407 patent/CN101276387A/zh active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102195987A (zh) * | 2011-05-31 | 2011-09-21 | 成都七巧软件有限责任公司 | 一种基于软件产品库的分布式可信认证方法和系统 |
| CN102195987B (zh) * | 2011-05-31 | 2014-04-30 | 成都七巧软件有限责任公司 | 一种基于软件产品库的分布式可信认证方法和系统 |
| CN102419806A (zh) * | 2011-12-15 | 2012-04-18 | 武汉大学 | 一种虚拟机批量离线杀毒方法 |
| CN105160244A (zh) * | 2012-09-19 | 2015-12-16 | 北京奇虎科技有限公司 | 一种文件处理方法和系统 |
| CN105160244B (zh) * | 2012-09-19 | 2019-02-22 | 北京奇安信科技有限公司 | 一种文件处理方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kotov et al. | Anatomy of exploit kits: Preliminary analysis of exploit kits as software artefacts | |
| US9886579B2 (en) | Method and system for proactive detection of malicious shared libraries via a remote reputation system | |
| CN108768989A (zh) | 一种采用拟态技术的apt攻击防御方法、系统 | |
| Ask et al. | Advanced persistent threat (APT) beyond the hype | |
| Sharma et al. | Advanced Persistent Threats (APT): evolution, anatomy, attribution and countermeasures | |
| Lewis | Raising the bar for cybersecurity | |
| Marczak et al. | Champing at the cyberbit: Ethiopian dissidents targeted with new commercial spyware | |
| Keong Ng et al. | VoterChoice: A ransomware detection honeypot with multiple voting framework | |
| Prakash et al. | On the trustworthiness of memory analysis—an empirical study from the perspective of binary execution | |
| Deng et al. | Lexical analysis for the webshell attacks | |
| Zou et al. | An approach for detection of advanced persistent threat attacks | |
| Reinhold et al. | Toward a Cyber Weapons Assessment Model—Assessment of the Technical Features of Malicious Software | |
| Eom et al. | A framework of defense system for prevention of insider's malicious behaviors | |
| Supriya et al. | Malware detection techniques: a survey | |
| CN101276387A (zh) | 基于预定义健康运行环境的网络计算机防病毒系统 | |
| Alsmadi | Cyber threat analysis | |
| Davis et al. | A framework for programming and budgeting for cybersecurity | |
| Bishnoi et al. | Comprehensive Assessment of Reverse Social Engineering to Understand Social Engineering Attacks | |
| Ostler | Defensive cyber battle damage assessment through attack methodology modeling | |
| Sun et al. | Classification of SQL injection attacks | |
| Ramachandran et al. | Defence against crypto-ransomware families using dynamic binary instrumentation and DLL injection | |
| Singhal | Analysis and Categorization of Drive-By Download Malware Using Sandboxing and Yara Ruleset | |
| Deshpande et al. | Detection and Notification of Zero-Day attack to Prevent Cybercrime | |
| Ahirao | Proactive technique for securing smart cities against malware attacks using static and dynamic analysis | |
| Okul et al. | A review on cyber risk management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Assignee: Shenyang GeneralSoft Co.,Ltd. Assignor: Jin Kui Contract fulfillment period: 2009.6.1 to 2019.5.31 contract change Contract record no.: 2009210000181 Denomination of invention: Network computer anti-virus system based on predefined health operating environment License type: Exclusive license Record date: 2009.7.21 |
|
| LIC | Patent licence contract for exploitation submitted for record |
Free format text: EXCLUSIVE LICENSE; TIME LIMIT OF IMPLEMENTING CONTACT: 2009.6.1 TO 2019.5.31; CHANGE OF CONTRACT Name of requester: SHENYANG GENERAL SOFT CO., LTD. Effective date: 20090721 |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20081001 |