CN101286986A - 一种主动防御的方法、装置及系统 - Google Patents
一种主动防御的方法、装置及系统 Download PDFInfo
- Publication number
- CN101286986A CN101286986A CNA2008100975985A CN200810097598A CN101286986A CN 101286986 A CN101286986 A CN 101286986A CN A2008100975985 A CNA2008100975985 A CN A2008100975985A CN 200810097598 A CN200810097598 A CN 200810097598A CN 101286986 A CN101286986 A CN 101286986A
- Authority
- CN
- China
- Prior art keywords
- program behavior
- behavior
- engine
- information
- described program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 230000007123 defense Effects 0.000 title abstract description 6
- 230000003542 behavioural effect Effects 0.000 claims abstract description 66
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 31
- 230000008569 process Effects 0.000 claims description 15
- 239000000284 extract Substances 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 5
- 230000006399 behavior Effects 0.000 abstract description 264
- 239000011229 interlayer Substances 0.000 abstract description 7
- 241000700605 Viruses Species 0.000 description 7
- 230000000295 complement effect Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 3
- 230000009897 systematic effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 239000012792 core layer Substances 0.000 description 2
- 239000010410 layer Substances 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009931 harmful effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Landscapes
- Medical Treatment And Welfare Office Work (AREA)
Abstract
本发明提供一种主动防御的方法、装置及系统,即对捕获的程序行为进行初步分析,当初步分析结果表明程序行为是需要进行深度分析的程序行为时,才报告程序行为的信息。通过这种方法可以使得大量的正常程序行为不需要经由行为分析引擎进行深度分析,能够减少驱动与行为分析引擎的层间切换,改善系统性能。
Description
技术领域
本发明涉及信息安全领域,特别是主动防御的方法、装置及系统。
背景技术
随着网络技术的发展,计算机病毒的产生和传播越来越快,传统的杀毒思路比较被动,不能很有效地对付病毒,因为它都是病毒先出现,研发人员才开始做后期的工作,最终提取特征码放入病毒库,用户再通过升级将最新的病毒清除掉。所以不能在第一时间完成对最新病毒的防护。
而主动防御技术正好能解决这个问题,主动防御技术能分析捕获到的程序行为,并根据预先设定的规则,判定是否应该允许或禁止该程序行为。
现有技术中的主动防御技术方案如下:
驱动捕获到程序行为后,将程序行为发送给行为分析引擎,行为分析引擎依据规则库和策略库来对程序行为进行分析,根据分析结果向驱动发出允许或禁止的引擎指令,然后驱动依据引擎指令允许或禁止程序行为,或者行为分析引擎将根据分析结果向用户界面发出告警问讯消息,行为分析引擎根据用户的允许或禁止的抉择消息来向驱动发出允许或禁止的引擎指令。
在实现本发明的过程中,发明人发现上述技术方案至少存在如下缺陷:实际上,有相当多的程序行为不需要进行行为分析引擎进行的高复杂度的处理就可以得出是否是需要加以防范的程序行为的结论,驱动仍把它所捕获的所有程序行为全都发给行为分析引擎来处理,而不论这些程序行为是不是有一部分其实是很容易就能辨别出是安全的正常程序行为,如文件行为和注册表行为。此外,驱动必须在得到行为分析引擎的引擎指令后才能进行下一步的动作,因而,在得到引擎指令之前一直处于等待状态,极大地影响了用户的使用体验。在整个驱动发送程序行为给行为分析引擎、行为分析引擎进行分析、驱动接收行为分析引擎的引擎指令的过程中,层间切换资源占用太多。
发明内容
本发明实施例提供了一种主动防御的方法、装置及系统,使用本发明实施例提供的技术方案,能够减少驱动与行为分析引擎的层间切换。
本发明实施例的目的是通过以下技术方案实现的:
本发明实施例提供了一种主动防御的方法,包括:
捕获程序行为;
对所述程序行为进行初步分析;
如果初步分析结果表明所述程序行为是需要进行深度分析的程序行为,发送所述程序行为的信息;
接收针对所述程序行为的引擎指令;
如果引擎指令是允许的引擎指令,允许所述程序行为,如果引擎指令是禁止的引擎指令,禁止所述程序行为。
本发明实施例还提供了另一种主动防御的方法,包括:
接收程序行为的信息;
对所述程序行为的信息进行深度分析;
如果深度分析结果是允许,发送针对所述程序行为的允许的引擎指令;如果深度分析结果是禁止,发送针对所述程序行为的禁止的引擎指令。
本发明实施例还提供了一种驱动装置,包括:
捕获单元、初步分析单元、信息发送单元、接收指令单元、执行单元;
捕获单元用于捕获程序行为;
初步分析单元用于对被捕获的程序行为进行初步分析;
信息发送单元用于当初步分析结果为需要进行深度分析的程序行为时,发送所述程序行为的信息;
接收指令单元用于接收针对程序行为的引擎指令;
执行单元用于当接收指令单元接收的引擎指令是允许的引擎指令时,允许所述程序行为,当接收指令单元接收的引擎指令是禁止的引擎指令时,禁止所述程序行为。
本发明实施例还提供了一种行为分析引擎装置,包括:
信息接收单元、深度分析单元、指令发送单元;
信息接收单元用于接收程序行为的信息;
深度分析单元用于依据加载的规则库对程序行为的信息进行深度分析,得到深度分析结果;
指令发送单元用于根据深度分析结果发出针对程序行为的允许/禁止的引擎指令。
本发明的实施例还提供了一种主动防御的系统,包括:
驱动、行为分析引擎、规则库;
驱动用于捕获程序行为,对程序行为进行初步分析,报告经过初步分析的程序行为的信息,接收针对程序行为的允许/禁止的引擎指令,根据允许的引擎指令,允许程序行为,根据禁止的引擎指令,禁止程序行为;
行为分析引擎用于接收报告的程序行为的信息,依据加载的规则库对所述程序行为的信息进行深度分析,针对程序行为发出允许/禁止的引擎指令;
规则库用于记录引擎进行深度分析所需的依据。
从本发明实施例所提供的以上技术方案可以看出,由于驱动将捕获到的程序行为进行了一次初步的分析,对于分析出的大量正常的程序行为,不再需要将它们上报给行为分析引擎进行处理,只上传需要进行深度分析的程序行为给行为分析引擎处理,因此,大大减少了驱动和行为分析引擎之间不必要的层间转换,从而减少了对系统性能的影响。
附图说明
图1是主动防御的方法实施例的流程图;
图2是当程序行为是文件行为时的主动防御的方法实施例的流程图;
图3是当程序行为是注册表行为时的主动防御的方法实施例的流程图;
图4是捕获的程序行为是不需要进行深度分析的程序行为时的方法实施例流程图;
图5是在正常时间范围内未接收到针对程序行为的允许指令时的主动防御的方法实施例的流程图;
图6是另一种主动防御的方法实施例的流程图;
图7是程序行为是文件行为时的另一种主动防御的方法实施例的流程图;
图8是程序行为是注册表行为时的另一种主动防御的方法实施例的流程图;
图9是发出告警问询消息的另一种主动防御的方法实施例的流程图;
图10是驱动装置实施例的示意图;
图11是行为分析引擎装置实施例的示意图;
图12是发送告警问询消息的程序行为的行为分析引擎装置的实施例示意图;
图13是主动防御的系统的实施例示意图;
图14是有发送告警问询消息的主动防御的系统的实施例示意图。
具体实施方式
为使本发明的目的、技术方案、及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
驱动工作在系统的核心态,利用钩子技术来捕获程序行为,所述程序行为可以是文件行为、注册表行为、进程线程行为或者其它的程序行为。这种捕获主要有三种途径,截获系统服务的软件中断(HOOK INT 2E)、截获系统服务分配表(SSDT)、截获可移植的执行体(HOOK PE)。
如图1所示,驱动对捕获到的程序行为进行初步分析,以分辨所述程序行为是否是需要进行深度分析的程序行为:
步骤101:驱动捕获程序行为;
步骤102:驱动对程序行为进行以下初步分析:提取出该程序行为的信息;将提取出的信息和驱动中已存的规则中已有的信息进行比较,即捕获到的程序行为的信息是否与规则中已有的信息能相匹配,相匹配,则初步分析结果是所述程序行为需要进行深度分析,反之,则初步分析结果是所述程序行为不需要进行深度分析;
步骤103:如果初步分析结果表明所述程序行为是需要进行深度分析的程序行为,该程序行为的信息会被传递给行为分析引擎做深度分析;
步骤104:驱动接收行为分析引擎发出的针对所述程序行为的引擎指令;
步骤105:驱动如果接收到针对所述程序行为的允许的引擎指令,允许程序行为,如果接收到针对所述程序行为的禁止的引擎指令,禁止所述程序行为。
下面以程序行为中的文件行为和注册表行为再次举例说明:
对于一台电脑的整个文件系统来说,可能会存在几十万甚至上百万个文件,对于这些文件所进行每一个文件行为,都会被我们的驱动捕获到并进行初步分析,如图2所示,过程如下:
步骤201:驱动捕获文件行为;
步骤202:驱动对文件行为进行以下初步分析:提取出该文件行为的信息如路径信息和属性信息;将提取出的路径信息和属性信息和驱动中已存的规则中已有的路径信息和属性信息进行比较,即捕获到的文件行为的信息是否与规则中已有的信息能相匹配,相匹配,则初步分析结果是所述文件行为需要进行深度分析,反之,则初步分析结果是所述文件行为不需要进行深度分析;
步骤203:如果初步分析结果是文件行为为需要进行深度分析的文件行为,该路径信息以及相应的属性信息会被传递给行为分析引擎做深度分析;
步骤204:驱动接收行为分析引擎发出的针对所述文件行为的引擎指令;
步骤205:驱动如果接收到针对所述文件行为的允许的引擎指令,允许文件行为,如果接收到的针对所述文件行为的禁止的引擎指令,禁止文件行为。
注册表存在非常多的注册表项和键值,几乎所有的系统行为都会涉及到对注册表的读、写、修改等操作,捕获及初步分析等过程如图3所示:
步骤301:驱动捕获注册表行为;
步骤302:,驱动对注册表行为进行以下初步分析:提取出所述注册表行为的信息如键值和其他属性信息;将提取出的键值和其他属性信息和驱动中已存的规则中已有的键值信息和其他属性信息进行比较,即捕获的注册表行为的信息是否与规则中已有的注册表信息能相匹配,相匹配,则初步分析结果是所述注册表行为需要进行深度分析,反之,则初步分析结果是所述注册表行为不需要进行深度分析;
步骤303:如果初步分析结果表明所述注册表行为为需要进行深度分析的注册表行为,该键值信息以及相应的属性信息会被驱动报告给行为分析引擎做深度分析;
步骤304:驱动接收行为分析引擎会发出的针对所述注册表行为的引擎指令;
步骤305:驱动如果接收到针对所述注册表行为的允许的引擎指令,允许注册表行为,如果接收到的针对所述注册表行为的禁止的引擎指令,禁止注册表行为。
如图4所示,在上述本发明实施例中,还会出现的另一种情况是:
步骤401:捕获程序行为,如文件行为和/或注册表行为;
步骤402:初步分析程序行为,如文件行为和/或注册表行为;
步骤403:初步分析结果表明程序行为不是需要进行深度分析的程序行为,驱动允许所述程序行为。例如:捕获到的文件行为的信息和规则中已有的文件信息没有匹配上,说明我们没有将该文件行为归类为需要进行深度分析的文件行为,该文件行为将被允许。或者捕获的注册表行为的信息和规则中已有的注册表信息没有匹配上,说明我们没有将该注册表行为归类为需要进行深度分析的注册表行为,该注册表行为将被允许。
从以上实施例可以看出,将程序行为如在程序行为总量中所占份额较大的文件行为和注册表行为的初步分析放在驱动中,可以过滤掉很多正常的文件行为和注册表行为,驱动直接放行这样的正常的程序行为如文件行为和注册表行为,而不需要将它们的信息发给行为分析引擎进行深度分析,只向引擎报告需要进行深度分析的程序行为,所以能减少层间切换,从而降低了对系统性能的不良影响。
另外,在以上的本发明实施例中,如图5所示,还可能出现的情况是:
步骤501:捕获程序行为,如文件行为和/或注册表行为;
步骤502:初步分析程序行为;
步骤503:初步分析结果是程序行为是需要进行深度分析的程序行为时,发送该程序行为的信息:
步骤504:驱动在正常时间范围内未接收到针对所述程序行为的引擎指令,则允许所述程序行为。
这样的处理,使得系统在行为分析引擎出错如异常终止、执行错误等情况下,驱动可以避免因行为分析引擎异常所导致的系统崩溃,使得系统运行正常。
如图6所示,引擎接收到程序行为的信息后,对所述程序行为的信息进行深度分析,以便向驱动发出针对所述程序行为的允许/禁止的引擎指令:
步骤601:行为分析引擎接收驱动发送的所述程序行为的信息;
步骤602:行为分析引擎对驱动发送的信息进行深度分析,深度分析过程可以为:根据驱动传递来的程序行为的信息从规则库中相对应的规则中获取对该程序行为的操作信息,将其作为深度分析结果;
步骤603:如果深度分析结果是允许,行为分析引擎发送针对所述程序行为的允许的引擎指令给驱动,如果深度分析结果是禁止,发送针对所述程序行为的禁止的引擎指令给驱动。
下面再以文件行为和注册表行为举例说明:
对文件行为进行深度分析的过程如图7所示:
步骤701:行为分析引擎接收驱动发送的所述文件行为的信息;
步骤702:行为分析引擎对驱动发送的信息进行深度分析,深度分析过程为:根据驱动传递来的文件行为的信息从规则库中相对应的规则中获取对该文件行为的操作信息,将其作为深度分析结果;
步骤703:如果深度分析结果是允许,行为分析引擎发送针对所述文件行为的允许的引擎指令给驱动,如果深度分析结果是禁止,发送针对所述文件行为的禁止的引擎指令给驱动。
对注册表行为进行深度分析的过程如图8所示:
步骤801:行为分析引擎接收驱动发送的注册表行为的信息;
步骤802:行为分析引擎对驱动发送的信息进行深度分析,深度分析过程为:根据驱动发送的注册表行为的信息从规则库中相对应的规则中获取对该注册表行为的操作信息,将其作为深度分析结果;
步骤803:如果深度分析结果是允许,行为分析引擎发送针对所述注册表行为的允许的引擎指令给驱动,如果深度分析结果是禁止,发送针对所述注册表行为的禁止的引擎指令给驱动。
从以上本发明的实施例可以看出,行为分析引擎只对已经经过驱动进行初步分析后,初步分析结果是所述程序行为是需要进行深度分析的程序行为进行深度分析,行为分析引擎的工作重点更加突出,处理的程序行为数量也大为减少。
另外,如图9所示,在以上的本发明实施例中,还会出现的情况如下:
步骤901:行为分析引擎接收程序行为的信息;
步骤902:行为分析引擎对所述程序行为进行深度分析,即根据驱动发送的程序行为的信息从规则库中相对应的规则中获取对所述程序行为的操作信息,将其作为深度分析结果;
步骤903:如果深度分析结果是问询,则将该程序行为的相关信息以告警问询消息的形式传递给用户,让用户来选择,选择项包括允许和禁止。例如,将文件行为的相关信息(包括路径信息、操作该文件的进程等)以友好的界面以告警问询消息的形式传递给用户,让用户来进行选择,该选择项包括允许和禁止,同样地,将注册表行为的相关信息(包括键值信息、操作该注册表的进程等)以友好的界面以告警问询消息的形式传递给用户,让用户来进行选择,该选择项包括允许和禁止;
步骤904:行为分析引擎接收用户的响应所述告警消息的允许/禁止的抉择消息;
步骤905:行为分析引擎如果接收到允许的抉择消息,发出针对所述程序行为的允许的引擎指令,如果接收到的是禁止的抉择消息,发出针对程序行为的禁止的引擎指令。
由于规则库也不是完美的,所以当行为分析引擎经过深度分析后发现,不存在对程序行为的禁止或允许的操作信息作为深度分析结果,只存在问询的操作信息作为深度分析结果,则通过问询,由用户来决定是否允许该敏感的程序行为。所以这种设计能克服规则库的局限性,依赖于用户的抉择来使得危险的程序行为的允许减少到最小的程度。
本发明实施例还提供了一种驱动装置,如图10所示,包括:
捕获单元1001、初步分析单元1002、信息发送单元1003、接收指令单元1004、执行单元1005;
捕获单元1001用于捕获程序行为;
初步分析单元1002用于对被捕获的程序行为进行初步分析;
信息发送单元1003用于发送经过初步分析的需要进行深度分析的程序行为的信息;
接收指令单元1004用于接收引擎发出的针对程序行为的引擎指令;
执行单元1005用于当接收到针对所述程序行为的允许的引擎指令时,允许程序行为,或者当接收到针对所述程序行为的禁止的引擎指令时,禁止程序行为。
该驱动装置能通过对程序行为的初步分析,过滤出并允许正常的程序行为,而不将其报告给行为分析引擎,从而在第一层面减少了层间切换的资源浪费。
所述执行单元1005还用于:当接收指令单元在正常时间范围内未接收到行为分析引擎发出的针对程序行为的引擎指令时,允许程序行为;或者在初步分析单元对程序行为进行初步分析的初步分析结果是所述程序行为不是需要进行深度分析的程序行为时,允许所述程序行为。
从上一实施例可以看出,在行为分析引擎出错的情况下,驱动装置不会被动等待,而是允许所述程序行为,这样不会把用户层的错误带到核心层,使得系统正常运转。另外,当驱动装置对程序行为进行分析后,初步分析结果是所述程序行为不需要进行深度分析,直接允许所述程序行为,毕竟,大量的程序行为是正常无害的程序行为,这样,就不用将这些正常的程序行为交由行为分析引擎进行重复无益的分析了,可以减少大量的层间切换,节约系统资源。
本发明实施例还提供了程序行为的行为分析引擎装置,如图11所示,包括:信息接收单元1101、深度分析单元1102、指令发送单元1103;
信息接收单元1101用于接收驱动发出的程序行为的信息;
深度分析单元1102用于依据加载的规则库对程序行为的信息进行深度分析;
指令发送单元1103用于向驱动发出针对程序行为发出允许/禁止的引擎指令。
行为分析引擎装置只运用于深度分析已经经过初步分析并被确定为需要进行深度分析的程序行为,这样,行为分析引擎装置要处理的对象大为减少,因而,系统性能得到很大的改进。
如图12所示,行为分析引擎装置还可以由下列单元构成:
信息接收单元1201、深度分析单元1202、告警问询消息发送单元1203、抉择消息接收单元1204、指令发送单元1205;
信息接收单元1201用于接收驱动发出的程序行为的信息;
深度分析单元1202用于依据加载的规则库对程序行为的信息进行深度分析;
深度分析单元的深度分析结果为问询时,告警问讯消息发送单元1203和抉择消息接收单元1204被启动:
告警问讯消息发送单元1203用于发送针对程序行为的告警问讯消息;
抉择消息接收单元1204用于接收用户的响应所述告警问讯消息的允许/禁止的抉择消息;
所述指令发送单元1205用于根据抉择消息接收单元1204接收的抉择消息,发出针对所述程序行为的引擎指令,若抉择消息是允许,引擎指令是允许,若抉择消息是禁止,引擎指令是禁止。
在面对无法得到禁止或允许、只能得到问询的深度分析结果的程序行为时,行为分析引擎装置增加了告警问讯消息发送单元1203和抉择消息接收单元1204,使得行为分析引擎装置能克服规则库的局限性,依赖于用户的抉择来使得危险的程序行为的允许减少到最小的程度。
本发明实施例还提供一种主动防御的系统,如图13所示,包括:
驱动1301、行为分析引擎1302、规则库1303;
驱动1301用于捕获程序行为,对程序行为进行初步分析,向行为分析引擎报告经过初步分析的需要进行深度分析的程序行为的信息,接收针对程序行为的允许/禁止的引擎指令,根据接收到的针对所述程序行为的允许的引擎指令,允许程序行为,或者根据接收到的针对所述程序行为的禁止的引擎指令,禁止程序行为;
行为分析引擎1302用于接收驱动发送的程序行为的信息,依据加载的规则库对所述程序行为的信息进行深度分析,针对程序行为发出允许/禁止的引擎指令;
规则库1303用于记录引擎进行深度分析所需的依据。
如图14所示,主动防御的系统还可以由驱动1401、行为分析引擎1402、规则库1403组成;
驱动1401用于捕获程序行为,对程序行为进行初步分析,向行为分析引擎发送经过初步分析的需要进行深度分析的程序行为的信息,接收针对程序行为的允许/禁止的引擎指令,根据接收到的针对所述程序行为的允许的引擎指令,允许程序行为,或者根据接收到的针对所述程序行为的禁止的引擎指令,禁止程序行为;
行为分析引擎1402用于接收驱动发送的程序行为的信息,依据加载的规则库对所述程序行为的信息进行深度分析,向用户发送针对程序行为的告警问讯消息,接收用户响应所述告警问讯消息的允许/禁止的抉择消息,根据允许的抉择消息,发出针对所述程序行为的允许的引擎指令,或者根据禁止的抉择消息,发出针对所述程序行为的禁止的引擎指令。
规则库1403用于记录引擎进行深度分析所需的依据。
所述主动防御的系统能够更有针对性地处理系统中的各种程序行为的事务,对于程序行为在核心层就进行一定的初步分析,使得最后要进入行为分析引擎(也即是主动防御技术实施系统中的核心模块)进行深度分析的处理对象大为减少,这样就能减少系统中的层间切换的资源浪费,提高系统的性能。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括如下步骤:
捕获程序行为;
对所述程序行为进行初步分析;
如果初步分析结果表明所述程序行为是需要进行深度分析的程序行为,发送所述程序行为的信息;
接收针对所述程序行为的引擎指令;
如果引擎指令是允许,允许所述程序行为,如果引擎指令是禁止,禁止所述程序行为。
和/或以下步骤:
接收程序行为的信息;
对所述程序行为的信息进行深度分析,得到允许或禁止的深度分析结果;
根据深度分析结果发送针对所述程序行为的引擎指令,如果深度分析结果是允许,所述引擎指令为允许的引擎指令,如果深度分析结果是禁止,所述引擎指令为禁止的引擎指令。
以上对本发明实施例所提供的一种主动防御的方法、装置及系统进行了详细介绍,以上实施例的说明只是用于帮助理解本发明的方法及其思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (15)
1、一种主动防御的方法,其特征在于,包括:
捕获程序行为;
对所述程序行为进行初步分析;
如果初步分析结果表明所述程序行为是需要进行深度分析的程序行为,发送所述程序行为的信息;
接收针对所述程序行为的引擎指令;
如果引擎指令是允许的引擎指令,允许所述程序行为,如果引擎指令是禁止的引擎指令,禁止所述程序行为。
2、根据权利要求1所述的主动防御的方法,其特征在于,对所述程序行为进行初步分析的步骤包括:
提取所述程序行为的信息;
将提取的信息和规则库中已有的信息进行比较,得到初步分析结果。
3、根据权利要求1或2所述的主动防御的方法,其特征在于,所述程序行为是文件行为、和/或注册表行为、和/或进程线程行为。
4、根据权利要求1所述的主动防御的方法,其特征在于:
在发送所述程序行为的信息之后,如果在正常时间范围内未接收到针对所述程序行为的引擎指令,允许所述程序行为。
5、根据权利要求1所述的主动防御的方法,其特征在于:如果初步分析结果表明所述程序行为是不需要进行深度分析的程序行为,允许所述程序行为。
6、一种主动防御的方法,其特征在于,包括:
接收程序行为的信息;
对所述程序行为的信息进行深度分析;
如果深度分析结果是允许,发送针对所述程序行为的允许的引擎指令;如果深度分析结果是禁止,发送针对所述程序行为的禁止的引擎指令。
7、根据权利要求6所述的主动防御的方法,其特征在于,对所述程序行为的信息进行深度分析的步骤包括:
从加载的规则库相对应的规则中获取对所述程序行为的操作信息,将其作为深度分析结果。
8、根据权利要求6所述的主动防御的方法,其特征在于,在对程序行为的信息进行深度分析后,若得到的深度分析结果是问询,该方法进一步包括:
发出告警问询消息;
接收到响应所述告警问询消息的抉择消息;
如果抉择消息是允许,发送针对所述程序行为的允许的引擎指令;如果抉择消息是禁止,发送针对所述程序行为的禁止的引擎指令。
9、一种驱动装置,其特征在于,包括:
捕获单元、初步分析单元、信息发送单元、接收指令单元、执行单元;
捕获单元用于捕获程序行为;
初步分析单元用于对被捕获的程序行为进行初步分析;
信息发送单元用于当初步分析结果为需要进行深度分析的程序行为时,发送所述程序行为的信息;
接收指令单元用于接收针对程序行为的引擎指令;
执行单元用于当接收指令单元接收的引擎指令是允许的引擎指令时,允许所述程序行为,当接收指令单元接收的引擎指令是禁止的引擎指令时,禁止所述程序行为。
10、根据权利要求9所述的驱动装置,其特征在于,所述执行单元还用于当所述接收指令单元在正常时间范围内未接收到针对程序行为的引擎指令时,允许程序行为。
11、根据权利要求9所述的驱动装置,其特征在于,在初步分析单元的初步分析结果表明所述程序行为是不需要进行深度分析的程序行为时,执行单元还用于允许所述程序行为。
12、一种行为分析引擎装置,其特征在于,包括:
信息接收单元、深度分析单元、指令发送单元;
信息接收单元用于接收程序行为的信息;
深度分析单元用于依据加载的规则库对程序行为的信息进行深度分析,得到深度分析结果;
指令发送单元用于根据深度分析结果发出针对程序行为的允许/禁止的引擎指令。
13、根据权利要求12所述的行为分析引擎装置,其特征在于,还包括:
告警问讯消息发送单元、抉择消息接收单元;
告警问讯消息发送单元用于当深度分析单元的深度分析结果是问询时,发送针对程序行为的告警问讯消息;
抉择消息接收单元用于接收响应所述告警问讯消息的允许/禁止的抉择消息;
所述指令发送单元还用于若抉择消息是允许时,发送针对所述程序行为的允许的引擎指令;若抉择消息是禁止时,发送针对所述程序行为的禁止的引擎指令。
14、一种主动防御的系统,其特征在于,包括:
驱动、行为分析引擎、规则库;
驱动用于捕获程序行为,对程序行为进行初步分析,报告经过初步分析的程序行为的信息,接收针对程序行为的引擎指令,根据允许的引擎指令,允许程序行为,根据禁止的引擎指令,禁止程序行为;
行为分析引擎用于接收程序行为的信息,依据加载的规则库对所述程序行为的信息进行深度分析,发出针对程序行为的允许/禁止的引擎指令;
规则库用于记录引擎进行深度分析所需的依据。
15、根据权利要求14所述的主动防御的系统,其特征在于:所述行为分析引擎还用于发送针对程序行为的告警问讯消息,接收响应所述告警问讯消息的允许/禁止的抉择消息,根据接收到的允许的抉择消息发出针对所述程序行为的允许的引擎指令,根据接收到的禁止的抉择消息发出针对所述程序行为的禁止的引擎指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100975985A CN101286986B (zh) | 2008-05-15 | 2008-05-15 | 一种主动防御的方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100975985A CN101286986B (zh) | 2008-05-15 | 2008-05-15 | 一种主动防御的方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101286986A true CN101286986A (zh) | 2008-10-15 |
| CN101286986B CN101286986B (zh) | 2011-09-14 |
Family
ID=40058953
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100975985A Expired - Fee Related CN101286986B (zh) | 2008-05-15 | 2008-05-15 | 一种主动防御的方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101286986B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102984135A (zh) * | 2012-11-12 | 2013-03-20 | 北京奇虎科技有限公司 | 安全防御方法、装置与系统 |
| CN104239786A (zh) * | 2014-10-13 | 2014-12-24 | 北京奇虎科技有限公司 | 免root主动防御配置方法及装置 |
| CN104424101A (zh) * | 2013-09-10 | 2015-03-18 | 华为技术有限公司 | 程序性能干扰模型的确定方法及设备 |
| CN108712427A (zh) * | 2018-05-23 | 2018-10-26 | 北京国信安服信息安全科技有限公司 | 一种动态主动防御的网络安全方法及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100557545C (zh) * | 2004-12-31 | 2009-11-04 | 福建东方微点信息安全有限责任公司 | 一种区分有害程序行为的方法 |
| CN100547513C (zh) * | 2005-02-07 | 2009-10-07 | 福建东方微点信息安全有限责任公司 | 基于程序行为分析的计算机防护方法 |
| US8984636B2 (en) * | 2005-07-29 | 2015-03-17 | Bit9, Inc. | Content extractor and analysis system |
-
2008
- 2008-05-15 CN CN2008100975985A patent/CN101286986B/zh not_active Expired - Fee Related
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102984135A (zh) * | 2012-11-12 | 2013-03-20 | 北京奇虎科技有限公司 | 安全防御方法、装置与系统 |
| CN102984135B (zh) * | 2012-11-12 | 2016-04-20 | 北京奇虎科技有限公司 | 安全防御方法、装置与系统 |
| CN105844161A (zh) * | 2012-11-12 | 2016-08-10 | 北京奇虎科技有限公司 | 安全防御方法、装置与系统 |
| CN105844161B (zh) * | 2012-11-12 | 2019-07-02 | 北京奇虎科技有限公司 | 安全防御方法、装置与系统 |
| CN104424101A (zh) * | 2013-09-10 | 2015-03-18 | 华为技术有限公司 | 程序性能干扰模型的确定方法及设备 |
| CN104424101B (zh) * | 2013-09-10 | 2017-08-11 | 华为技术有限公司 | 程序性能干扰模型的确定方法及设备 |
| US10430312B2 (en) | 2013-09-10 | 2019-10-01 | Huawei Technologies Co., Ltd. | Method and device for determining program performance interference model |
| CN104239786A (zh) * | 2014-10-13 | 2014-12-24 | 北京奇虎科技有限公司 | 免root主动防御配置方法及装置 |
| CN104239786B (zh) * | 2014-10-13 | 2017-08-04 | 北京奇虎科技有限公司 | 免root主动防御配置方法及装置 |
| CN108712427A (zh) * | 2018-05-23 | 2018-10-26 | 北京国信安服信息安全科技有限公司 | 一种动态主动防御的网络安全方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101286986B (zh) | 2011-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110545260B (zh) | 一种基于拟态构造的云管理平台构建方法 | |
| CN103379099B (zh) | 恶意攻击识别方法及系统 | |
| CN106161395B (zh) | 一种防止暴力破解的方法、装置及系统 | |
| CN104065644A (zh) | 基于日志分析的cc攻击识别方法和设备 | |
| EP1701285A1 (en) | System security approaches using multiple processing units | |
| CN111818069B (zh) | 呈现安全事件处理流程的方法、装置、介质及计算机设备 | |
| CN102867146B (zh) | 一种防止计算机病毒反复感染系统的方法及系统 | |
| CN103688489A (zh) | 一种策略处理的方法及网络设备 | |
| CN102799811B (zh) | 扫描方法和装置 | |
| CN108293039B (zh) | 处理网络威胁的计算设备、方法和存储介质 | |
| CN101286986B (zh) | 一种主动防御的方法、装置及系统 | |
| CN112769827B (zh) | 一种网络攻击代理端检测及溯源方法与装置 | |
| CN102208002B (zh) | 一种新型计算机病毒查杀装置 | |
| CN111131253A (zh) | 基于场景的安全事件全局响应方法以及装置、设备、存储介质 | |
| CN109257370B (zh) | 验证请求的处理系统 | |
| CN111368293B (zh) | 进程管理方法、装置、系统与计算机可读存储介质 | |
| CN105787370A (zh) | 一种基于蜜罐的恶意软件收集和分析方法 | |
| CN110968476B (zh) | 一种自动监控Linux系统登录信息的方法及装置 | |
| CN103679024B (zh) | 病毒的处理方法及设备 | |
| DE112021000455T5 (de) | Deep packet analyse | |
| CN107454043A (zh) | 一种网络攻击的监控方法及装置 | |
| CN105893845B (zh) | 一种数据处理方法及装置 | |
| CN103944896A (zh) | 智能电网安全防护系统 | |
| CN110581844A (zh) | 拟态防御中的取证方法 | |
| CN111049842A (zh) | 利用动态黑名单提高waf防护效率的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: CHENGDU CITY HUAWEI SAIMENTEKE SCIENCE CO., LTD. Free format text: FORMER OWNER: HUAWEI TECHNOLOGY CO., LTD. Effective date: 20090424 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20090424 Address after: Qingshui River District, Chengdu high tech Zone, Sichuan Province, China: 611731 Applicant after: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. Address before: Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Province, China: 518129 Applicant before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110914 |