CN102984134B - 安全防御系统 - Google Patents
安全防御系统 Download PDFInfo
- Publication number
- CN102984134B CN102984134B CN201210452168.7A CN201210452168A CN102984134B CN 102984134 B CN102984134 B CN 102984134B CN 201210452168 A CN201210452168 A CN 201210452168A CN 102984134 B CN102984134 B CN 102984134B
- Authority
- CN
- China
- Prior art keywords
- file
- defense
- rule
- generated
- path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000007123 defense Effects 0.000 title claims abstract description 267
- 238000012545 processing Methods 0.000 claims description 12
- 238000000034 method Methods 0.000 abstract description 37
- 230000000694 effects Effects 0.000 abstract description 5
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 9
- 230000008569 process Effects 0.000 description 9
- 230000006399 behavior Effects 0.000 description 7
- 230000004048 modification Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 239000000725 suspension Substances 0.000 description 2
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 239000012792 core layer Substances 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000009931 harmful effect Effects 0.000 description 1
- 239000010410 layer Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种安全防御系统,其包括客户端和云安全服务器;其中,所述客户端包括:确定模块,用于主动防御系统确定当前程序写入的注册表目标项不存在;解析模块,用于获取所述目标项的数据,从中解析出所述当前程序待写入的目标路径;文件防御模块,用于将所述目标路径加入文件防御规则,使用所述文件防御规则在所述当前程序生成文件时进行文件防御;所述云安全服务器,用于接收所述文件防御模块发送的所述生成的文件,根据设定的规则对所述生成的文件进行安全性判定,并向所述客户端返回判定结果。通过本发明,达到RD和FD联合进行防御,减少漏报或误报的效果。
Description
技术领域
本发明涉及计算机技术领域,特别是涉及一种安全防御系统。
背景技术
主动防御是基于程序行为自主分析判断,以防御恶意程序的实时防护技术。恶意程序是一个概括性的术语,指任何故意创建用来执行未经授权并通常是有害行为的软件程序。计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒、木马、犯罪软件、间谍软件和广告软件等等,都可以称之为恶意程序。
主动防御在进行恶意程序防御时,不以文件特征值作为判断恶意程序的依据,而是从最原始的定义出发,直接将程序的行为作为判断恶意程序的依据。其中衍生出在本地使用特征库、在本地设置行为阈值、以及在本地启发式杀毒的方式来判别、拦截恶意程序的行为,从而一定程度上达到保护用户设备的目的。
以HIPS(Host-basedIntrusionPreventionSystem,基于主机的入侵防御系统)为例,HIPS是一种能监控计算机中文件的运行和文件运行了其他的文件以及文件对注册表的修改,并发出报告请求允许运行或修改的主动防御软件。HIPS包括AD(ApplicationDefend,应用程序防御体系)、RD(RegistryDefend,注册表防御体系)、和FD(FileDefend,文件防御体系),通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并确定允许或禁止。其中,RD用于对常见的系统敏感注册表项进行监视,FD用于监视系统敏感目录的文件(如HOSTS)操作,如修改删除系统目录里的任何文件或创建新文件等,也可用来发现被驱动木马隐藏的文件本体。
然而,随着计算机应用得越来越广泛,未知程序和文件也越来越多,现有的HIPS在进行主动防御时,常常无法对注册表和/或文件的改动进行精确地防御,以致漏报或误报的情况时有发生。
发明内容
鉴于上述现有的安全防御方法无法对注册表和/或文件的改动进行精确地防御,以致漏报或误报的情况时有发生的问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的安全防御系统。
依据本发明,提供了一种安全防御系统,其包括:客户端和云安全服务器,其中,所述客户端包括:确定模块,用于主动防御系统确定当前程序写入的注册表目标项不存在;解析模块,用于获取目标项的数据,从中解析出当前程序待写入的目标路径;文件防御模块,用于将目标路径加入文件防御规则,使用文件防御规则在当前程序生成文件时进行文件防御;云安全服务器,用于接收文件防御模块发送的生成的文件,根据设定的规则对生成的文件进行安全性判定,并向客户端返回判定结果。
可选地,解析模块,还用于对开机启动程序进行扫描时,获取注册表中开机启动程序的注册表项,从中解析出开机启动程序的路径;文件防御模块,还用于将开机启动程序的路径加入文件防御规则,使用文件防御规则在系统开机启动时进行文件防御。
可选地,文件防御模块,用于将目标路径加入文件防御规则,使主动防御系统在当前程序生成文件时,获取生成的文件的文件路径;判断生成的文件的文件路径与文件防御规则中的目标路径是否匹配;若匹配,则获取生成的文件的文件特征值,将生成的文件的文件特征值发送到服务器进行程序安全性判定;根据服务器的返回结果对当前程序进行文件防御处理。
可选地,文件防御模块,用于将目标路径加入文件防御规则,使主动防御系统在当前程序生成文件时,获取生成的文件的文件路径;判断生成的文件的文件路径与文件防御规则中的目标路径是否匹配;若匹配,则获取生成的文件,判断生成的文件是否在目标白名单中;若生成的文件在目标白名单中,且生成的文件的来源在来源白名单中,则将生成的文件放行。
可选地,文件防御模块,用于将目标路径加入文件防御规则,使主动防御系统在当前程序生成文件时,获取生成的文件的文件路径;判断生成的文件的文件路径与文件防御规则中的目标路径是否匹配;若匹配,则获取生成的文件,判断生成的文件是否符合预置的临界文件规则,其中,临界文件规则用于指示生成的文件为除白名单文件、黑名单文件和可疑文件之外的文件;若符合,则判断生成的文件的来源是否在来源白名单中;若是,则将生成的文件放行;若否,则进行报警提示。
可选地,所述客户端还包括:注册表防御模块,用于主动防御系统确定当前程序写入的注册表目标项是否符合注册表防御规则;若是,则使用注册表防御规则进行注册表防御,若否,则进入确定模块执行。
现有的安全防御方案中,当程序写入的注册表目标项,如写入的目标路径不存在时,主动防御系统不会拦截,因为拦截容易造成误报,但是不拦截又有可能会产生漏报。而根据本发明的安全防御方案,当程序写入的注册表目标项不存在时,主动防御系统不会报警,但会将该目标项中的目标路径加入文件防御规则,在生成文件时进行文件防御。通过本发明,对RD中取决于目标的规则,如果目标不存在,那么使用FD防护规则,在文件生成的时候拦截,解决了现有的安全防御方法无法对注册表和/或文件的改动进行精确地防御,以致漏报或误报的情况时有发生的问题,达到RD和FD联合防御,减少漏报或误报的效果。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是根据本发明实施例一的一种安全防御方法的步骤流程图;
图2是根据本发明实施例二的一种安全防御方法的步骤流程图;
图3是根据本发明实施例三的一种安全防御方法的步骤流程图;
图4是根据本发明实施例四的一种安全防御装置的结构框图;
图5是根据本发明实施例五的一种安全防御系统的结构框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
实施例一
参照图1,示出了根据本发明实施例一的一种安全防御方法的步骤流程图。
本实施例的安全防御方法包括以下步骤:
步骤S102:主动防御系统确定当前程序写入的注册表目标项不存在。
当程序写注册表时,主动防御系统会启动RD。RD提供了对常见的系统敏感注册表项进行监视,如启动项、服务驱动项、系统策略项、浏览器设置或网络设置(包括NameServer)项的添加修改。当有程序进行修改表项的操作时,目前默认都被RD视为敏感行为而拦截挂起,这种拦截挂起造成了现有主动防御系统的漏报或者误报。而本实施例中,当程序写注册表项时,若主动防御系统确定程序写入的注册表目标项不存在,不会进行拦截挂起,而是将待写入的目标路径加入FD规则,等待后续的FD。例如,注册表中不存在程序写入的注册表目标项,如程序写入的目标路径不是系统中当前已经存在的现有路径而是新路径,则主动防御系统不会进行拦截挂起,而是将待写入的目标路径加入FD规则,等待后续的FD。
步骤S104:主动防御系统获取目标项的数据,从中解析出当前程序待写入的目标路径。
步骤S106:主动防御系统将目标路径加入文件防御规则,使用文件防御规则在当前程序生成文件时进行文件防御。
使用文件防御规则进行文件防御;文件防御体系(FD),用于监视系统敏感目录的文件(如HOSTS)操作,如修改删除系统目录里的任何文件或创建新文件等,也可用来发现被驱动木马隐藏的文件本体。实现文件防御体系的要点同样也是拦截系统底层函数如NtOpenFile等,HIPS默认对系统敏感目录进行监控保护,一旦发现异常读写,则把相关操作挂起,并根据一定的匹配模式决定放行、阻止或则弹框提示用户。如果程序写入的注册表目标项,如写入的目标路径不存在时,主动防御系统不会拦截,因为拦截容易造成误报,但是不拦截又有可能会产生漏报。而根据本发明的安全防御方案,当程序写入的注册表目标项不存在时,主动防御系统不会报警,但会将该目标项中的目标路径加入文件防御规则,在生成文件时进行文件防御。通过本实施例,对RD中取决于目标的规则,如果目标不存在,那么使用FD防护规则,在文件生成的时候拦截,解决了现有的安全防御方法无法对注册表和/或文件的改动进行精确地防御,以致漏报和误报的情况时有发生的问题,达到RD和FD联合防御,减少漏报和误报的效果。
实施例二
参照图2,示出了根据本发明实施例二的一种安全防御方法的步骤流程图。
本实施例的安全防御方法包括以下步骤:
步骤S202:当前程序向注册表中写入注册表目标项。
步骤S204:主动防御系统确定当前程序写入的注册表目标项是否符合注册表防御规则;若是,则进行注册表防御,结束本次流程;若否,则执行步骤S206。
注册表防御提供了对常见的系统敏感注册表项进行监视,如对启动项、服务驱动项、系统策略项、浏览器设置或网络设置项的添加修改的监视。一般来说,这些表项会被加入注册表防御规则,当这些表项有改动时,主动防御系统判断该改动是否被允许,若允许则可放过该改动,若不允许则可进行报警等。例如,要对浏览器进行劫持和主页修改就得通过修改注册表中的浏览器设置项等,而这些操作默认符合注册表防御规则,被主动防御系统视为敏感行为而拦截挂起,并根据一定的匹配模式决定放行、阻止或则弹框提示用户。由于注册表防御拦截了系统核心层导出的API函数,无论是木马还是其他程序对用户程序进行的操作都被监控,从而实现了真正有效地监视和拦截。
当当前程序写入的注册表目标项不在注册表防御规则的防御中,则执行步骤S206。
步骤S206:主动防御系统确定当前程序写入的注册表目标项不存在。
如,待写入的目标路径非当前已有路径。
步骤S208:主动防御系统获取目标项的数据,从中解析出当前程序待写入的目标路径。
步骤S210:主动防御系统将目标路径加入文件防御规则。
优选地,本实施例中,主动防御系统不仅将新写入的当前程序的目标路径加入文件防御规则中,并且,主动防御系统还获取注册表中开机启动程序的注册表项,从中解析出开机启动程序的路径;将开机启动程序的路径加入文件防御规则,并使用文件防御规则在系统开机启动时进行文件防御。通过将开机启动程序的路径加入文件防御规则,在系统开机启动的时候也会对注册表中可以启动的项目进行扫描和FD,防止木马在主动防御系统开启之前启动突破主防。
步骤S212:主动防御系统使用文件防御规则在当前程序生成文件时进行文件防御。
当前程序生成的文件可以是当前程序按照指令安装的新文件,或对原文件进行修改后生成的文件等,或者为其它形式。
优选地,一种使用文件防御规则在当前程序生成文件时进行文件防御的方式是:主动防御系统在当前程序生成文件时,获取生成的文件的文件路径;判断生成的文件的文件路径与文件防御规则中的目标路径是否匹配;若匹配,则获取生成的文件,将生成的文件发送到服务器进行程序安全性判定(如判定生成的文件是否为恶意程序);根据服务器的返回结果对当前程序进行文件防御处理。优选地,主动防御系统获取生成的文件的文件特征值,将生成的文件的文件特征值发送到服务器进行程序安全性判定。其中,服务器端存储有相应的文件判定规则,预先通过对文件特征值进行分析将文件等级分类,进而根据文件的等级分类判定文件是否是恶意程序等。若经过服务器端判定,确定生成的文件为白文件(即安全的文件),则可以放行;若确定生成的文件为黑文件(即恶意程序文件),则进行拦截或者提示报警等处理;若不能确定文件的性质,则提示用户,由用户进行相应的处理,如决定放行或禁止等。若生成的文件的文件路径与文件防御规则中的目标路径不匹配,则可以根据设置的其他规则进行处理,如放行、提示、或者使用AD规则进行防御等等。
例如,将文件的文件特征值如文件哈希值发送到服务器进行查询,服务器中预先保存有根据文件哈希值划分的文件等级,根据查询结果确定文件的等级。另外,对于有白签名的文件,服务器会按白文件处理。服务器的数据库保存有白名单,该白名单可以包括目标白名单和来源白名单,以便于对生成的文件及其来源进行安全性判定,其中,目标白名单和来源白名单也可以统一为同一个白名单来进行安全性判定,也可以划分为不同的白名单,保存在服务器中数据库的不同的位置。
其中,文件哈希值可以是经由MD5(Message-DigestAlgorithm5,信息-摘要算法)运算得出的MD5验证码,或SHA1码,或CRC(CyclicRedundancyCheck,循环冗余校验)码等可唯一标识原程序的特征码。
另一种使用文件防御规则在当前程序生成文件时进行文件防御的方式是:主动防御系统在当前程序生成文件时,获取生成的文件的文件路径;判断生成的文件的文件路径与文件防御规则中的目标路径是否匹配;若匹配,则获取生成的文件,判断生成的文件是否在目标白名单中;若生成的文件在目标白名单中,且生成的文件的来源在来源白名单中,则将生成的文件放行。
优选地,当主动防御系统判断生成的文件的文件路径与文件防御规则中的目标路径匹配时,获取生成的文件,先判断生成的文件是否符合预置的临界文件规则,其中,临界文件规则用于指示生成的文件为除白名单文件、黑名单文件和可疑文件之外的文件;若符合,则判断生成的文件的来源是否在来源白名单中;若是,则将生成的文件放行;若否,则进行报警提示。临界文件规则可以由本领域技术人员根据实际情况适当设置,如根据文件等级判断生成的文件是否为灰名单文件等,其中,灰名单文件可以是危险级别大于白名单文件,但又小于可疑文件的文件。但不限于此,也可以将灰名单文件和可疑文件等均囊括入临界文件中。在FD规则中放过了白来源(即来源白名单中的文件来源)的文件,可以有效减少误报。如果该文件的来源是白的,则可以直接放过,运行其写注册表等。
需要说明的是,本实施例中的服务器可以是部署于主动防御系统所在设备之外的后台服务器,如后台云服务器,但不限于此,在硬件条件许可的情况下,该服务器也可以与主动防御系统合并设置,即主动防御系统与服务器设置在一台机器上。
通过本实施例,实现了RD、FD的联防;并且,将开机启动程序的路径加入FD规则,防止了恶意程序在主动防御系统开启之前启动突破主防,提高了系统安全性;此外,在FD规则中放过文件来源白名单中的文件,减少了误报。
实施例三
参照图3,示出了根据本发明实施例三的一种安全防御方法的步骤流程图。
本实施例以HIPS的RD和FD联合防御为例,对本发明的安全防御方案作以说明。本实施例的方案包含了可以用于静态扫描开机启动项,加入FD规则,以防止文件被篡改的内容。
本实施例的安全防御方法包括以下步骤:
步骤S302:主动防御系统获取注册表中开机启动程序的注册表项,从中解析出开机启动程序的路径,将开机启动程序的路径加入FD规则。
例如,主动防御系统可以在对开机启动程序进行扫描时,获取注册表中开机启动程序的注册表项,从中解析出开机启动程序的路径,进而将开机启动程序的路径加入FD规则。
步骤S304:系统开机启动时,使用FD规则进行文件防御。
本实施例中,对于修改开机启动的注册表中的目标文件(如ImagePath指向的文件)的文件内容也会使用FD进行防护拦截,防止木马突破。
RD规则、FD规则和AD规则,是通过TRAY下发给驱动的,其中TRAY规定了每个规则如何根据不同的行为定义拦截,例如,当木马写入文件到一个文件路径下,替换该路径本身的文件(文件名不变),此时,主动防御系统的服务TRAY还未运行起来,而此时木马却运行起来,则主动防御系统无法进行拦截防护。而通过将开机启动程序的路径加入FD规则中,则很好地解决了这一问题。
步骤S306:当前程序向注册表中写入注册表目标项。
本实施例中,注册表目标项为当前程序的注册目标路径。
注册表中有一些值是文件的路径,这些路径容易被木马利用,例如,RUN项、服务中的imagepath项等,都是容易被利用的可执行程序的路径。
在注册表防护中,有一些注册表防御规则需要分析目标项,比如新建的服务/驱动,需要把目标路径写入注册表项:
例如:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run;其中,Run是注册表中的键;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;
或者,
HKEY_LOCAL_MACHINE\System\CurrentcontrolSet\Services\*\[ImagePath];其中,ImagePath是一个值,对应服务/驱动的路径。
步骤S308:主动防御系统确定当前程序写入的注册表目标项不存在。
如,主动防御系统确定注册表目标项,即当前程序写入的目标路径HKEY_LOCAL_MACHINE\System\CurrentcontrolSet\Services\*\[ImagePath]不存在。
本实施例中,如果写入的目标路径不存在,主动防御系统此时是不会拦截的,以免造成误报,但为了避免不拦截而可能造成的漏报,可以在当前程序生成文件的时候再使用FD进行拦截。
步骤S310:主动防御系统获取写入的目标项的数据,从中解析出当前程序待写入的目标路径。
步骤S312:主动防御系统将当前程序待写入的目标路径加入FD规则。
步骤S314:当当前程序生成文件时,主动防御系统获取生成的文件的文件路径。
步骤S316:主动防御系统判断该文件路径与FD规则中的目标路径是否匹配,若是,则执行步骤S318;若否,则按照设定策略进行处理。
例如,RD运行起来后,会扫描注册表启动项目,主要扫描的项目包括:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run。
若RD扫描完注册表项目后,发现了木马程序的文件路径,则会根据FD规则,当该木马程序修改文件时,主动防御系统会截获到该文件,避免开机时该木马程序绕过主动防御的拦截。
本步骤中,设定策略可以由本领域技术人员根据实际情况适当设置,如放行、提示、或者使用AD进行防御等,本实施例对此不作限制。
步骤S318:主动防御系统获取生成的文件,判断生成的文件是否符合预置的临界文件规则,若是,则执行步骤S320;若否,则按照设定策略进行处理。
其中,临界文件规则用于指示生成的文件为除白名单文件、黑名单文件和可疑文件之外的文件。
例如,后台预置的规则库中保存有文件等级等信息,根据这些信息判断文件是否是临界文件。文件等级包括“纯白、白”(称为白),“灰,灰白”(称为灰),“低可疑,高可疑”(可疑),“木马”(黑),“未知”(没有获取到文件)等,文件等级的设置可以由本领域技术人员根据现有方式适当设置,本实施例对此不作限制。
以临界文件为“灰”等级的文件为例,当主动防御系统确定生成的文件的文件等级为灰时,则认为该生成的文件符合预置的临界文件规则,则执行步骤S320。
此外,本步骤中的设定策略也可以由本领域技术人员根据实际情况适当设置,如放行、提示、或者使用AD进行防御等,本实施例对此不作限制。
步骤S320:主动防御系统判断生成的文件的来源是否在来源白名单中,若是,则将生成的文件放行;若否,则进行报警提示,例如弹出报警提示框。
基于某些程序由于生成的文件没有及时收入白名单中引起的误报,本实施例对FD规则进行进一步修改,判断文件的来源是否在来源白名单中,以放过白进程链生成的文件,减少误报。
与现有主动防御系统相比,现有的主动防御系统对来源为白而目标为灰文件会拦截并弹出提示框,造成如果目标没有及时加入白名单仍然会误报,而通过本实施例,可以将来源为白而目标为灰的文件放行。
其中,概括来说,来源一般指命中规则的进程,目标即是被命中的规则;对于FD来源是指修改/创建文件的进程,目标是指被修改/创建的文件;对于AD来源是进程创建者,目标是指被创建的进程;对于RD目标就是命中的注册表项所对应的文件路径。
本实施例中,主动防御系统首先利用RD来防护,针对先写注册表项,后生成文件的程序,当这些程序先写了注册表项,主动防御系统此时先不报警,将该程序的目标文件路径加在FD规则中,后续利用FD防护;当该程序的文件生成的时候,直接获取该文件,查出文件等级,进而进行相应处理,如报警等。需要说明的是,对于那些先写了文件的程序,当主动防御系统检测到写入注册表而文件等级存在时,可以直接通过查文件等级进行等级报出。
通过本实施例,对RD中需要分析目标项的规则(一般来说是文件路径),如果目标不存在,那么使用FD规则进行防护,在文件生成的时候拦截,达到RD和FD联防的效果;另外,主动防御系统在启动的时候也会对注册表中可以启动的项目进行扫描并加入FD规则,防止木马在防护程序开启之前启动突破主防;并且,在FD规则中放过了白来源的文件,减少了误报。
实施例四
参照图4,示出了根据本发明实施例四的一种安全防御装置的结构框图。
本实施例的安全防御装置用于主动防御系统进行安全防御,该装置包括:确定模块402,用于主动防御系统确定当前程序写入的注册表目标项不存在;解析模块404,用于获取目标项的数据,从中解析出当前程序待写入的目标路径;文件防御模块406,用于将目标路径加入文件防御规则,使用文件防御规则在当前程序生成文件时进行文件防御。
优选地,解析模块404,还用于在对开机启动程序进行扫描时,获取注册表中开机启动程序的注册表项,从中解析出开机启动程序的路径;文件防御模块406,还用于将开机启动程序的路径加入文件防御规则,使用文件防御规则在系统开机启动时进行文件防御。
优选地,文件防御模块406,用于将目标路径加入文件防御规则,使主动防御系统在当前程序生成文件时,获取生成的文件的文件路径;判断生成的文件的文件路径与文件防御规则中的目标路径是否匹配;若匹配,则获取生成的文件的文件特征值,将生成的文件的文件特征值发送到服务器进行程序安全性判定;根据服务器的返回结果对当前程序进行文件防御处理。
优选地,文件防御模块406,用于将目标路径加入文件防御规则,使主动防御系统在当前程序生成文件时,获取生成的文件的文件路径;判断生成的文件的文件路径与文件防御规则中的目标路径是否匹配;若匹配,则获取生成的文件,判断所述生成的文件是否在目标白名单中;若生成的文件在目标白名单中,且所述生成的文件的来源在来源白名单中,则将所述生成的文件放行。
优选地,文件防御模块406,用于将目标路径加入文件防御规则,使主动防御系统在当前程序生成文件时,获取生成的文件的文件路径;判断生成的文件的文件路径与文件防御规则中的目标路径是否匹配;若匹配,则获取生成的文件,判断生成的文件是否符合预置的临界文件规则,其中,临界文件规则用于指示生成的文件为除白名单文件、黑名单文件和可疑文件之外的文件;若符合,则判断生成的文件的来源是否在来源白名单中;若是,则将生成的文件放行;若否,则进行报警提示。
优选地,本实施例的安全防御装置还包括:注册表防御模块408,用于主动防御系统确定当前程序写入的注册表目标项是否符合注册表防御规则;若是,则使用注册表防御规则进行注册表防御,若否,则进入确定模块402执行。
本实施例的安全防御装置用于实现前述多个方法实施例中相应的安全防御方法,并具有相应的方法实施例的有益效果,在此不再赘述。
实施例五
参照图5,示出了根据本发明实施例五的一种安全防御系统的结构框图。
本实施例的安全防御系统包括客户端500和云安全服务器600。
其中,客户端500具有实施例四中所述的安全防御装置,包括:确定模块502,用于主动防御系统确定当前程序写入的注册表目标项不存在;解析模块504,用于获取目标项的数据,从中解析出当前程序待写入的目标路径;文件防御模块506,用于将目标路径加入文件防御规则,使主动防御系统在当前程序生成文件时,获取生成的文件的文件路径;判断生成的文件的文件路径与文件防御规则中的目标路径是否匹配;若匹配,则获取生成的文件,将生成的文件发送到云安全服务器600进行程序安全性判定;以及,接收并根据云安全服务器600的返回结果对当前程序进行文件防御处理。
云安全服务器600,用于接收文件防御模块506发送的生成的文件,根据设定的规则对生成的文件进行安全性判定,并向客户端返回判定结果。其中,设定的规则包括但不限于如前所述的文件等级规则、黑白名单规则等等,本领域技术人员在实际使用中,可以根据实际情况适当设置安全性判定规则,本发明对此不作限制。
优选地,解析模块504,还用于在对开机启动程序进行扫描时,获取注册表中开机启动程序的注册表项,从中解析出开机启动程序的路径;文件防御模块506,还用于将开机启动程序的路径加入文件防御规则,使用文件防御规则在系统开机启动时进行文件防御。
优选地,文件防御模块506,用于将目标路径加入文件防御规则,使主动防御系统在当前程序生成文件时,获取生成的文件的文件路径;判断生成的文件的文件路径与文件防御规则中的目标路径是否匹配;若匹配,则获取生成的文件的文件特征值,将生成的文件的文件特征值发送到云安全服务器600进行程序安全性判定;以及,接收并根据云安全服务器600的返回结果对当前程序进行文件防御处理。
优选地,文件防御模块506,用于将目标路径加入文件防御规则,使主动防御系统在当前程序生成文件时,获取生成的文件的文件路径;判断生成的文件的文件路径与文件防御规则中的目标路径是否匹配;若匹配,则获取生成的文件,判断生成的文件是否在目标白名单中;若生成的文件在目标白名单中,且生成的文件的来源在来源白名单中,则将生成的文件放行。
优选地,文件防御模块506,用于将目标路径加入文件防御规则,使主动防御系统在当前程序生成文件时,获取生成的文件的文件路径;判断生成的文件的文件路径与文件防御规则中的目标路径是否匹配;若匹配,则获取生成的文件,判断生成的文件是否符合预置的临界文件规则,其中,临界文件规则用于指示生成的文件为除白名单文件、黑名单文件和可疑文件之外的文件;若符合,则判断生成的文件的来源是否在来源白名单中;若是,则将生成的文件放行;若否,则进行报警提示。
优选地,本实施例的客户端500还包括:注册表防御模块508,用于主动防御系统确定当前程序写入的注册表目标项是否符合注册表防御规则;若是,则使用注册表防御规则进行注册表防御,若否,则进入确定模块502执行。
本实施例的安全防御系统用于实现前述多个方法实施例中相应的安全防御方法,并具有相应的方法实施例的有益效果,在此不再赘述。
本发明针对先写注册表后生成文件的程序,使用RD、FD联防的策略进行安全防御,解决了现有的安全防御方法无法对注册表和/或文件的改动进行精确地防御,以致漏报和误报的情况时有发生的问题,达到RD和FD联防,减少漏报和误报的效果。
在此提供的安全防御方案不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造具有本发明方案的系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的安全防御方案中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (4)
1.一种安全防御系统,包括:客户端和云安全服务器;其中,
所述客户端包括:
确定模块,用于主动防御系统确定当前程序写入的注册表目标项不存在;
解析模块,用于获取所述目标项的数据,从中解析出所述当前程序待写入的目标路径;
文件防御模块,用于将所述目标路径加入文件防御规则,使用所述文件防御规则在所述当前程序生成文件时进行文件防御;
所述云安全服务器,用于接收所述文件防御模块发送的所述生成的文件,根据设定的规则对所述生成的文件进行安全性判定,并向所述客户端返回判定结果;
其中,
所述解析模块,还用于在所述主动防御系统对开机启动程序进行扫描时,获取所述注册表中开机启动程序的注册表项,从中解析出所述开机启动程序的路径;
所述文件防御模块,还用于将所述开机启动程序的路径加入所述文件防御规则,使用所述文件防御规则在系统开机启动时进行文件防御;
所述客户端还包括:注册表防御模块,用于所述主动防御系统确定所述当前程序写入的注册表目标项是否符合注册表防御规则;若是,则使用所述注册表防御规则进行注册表防御,若否,则进入所述确定模块执行。
2.根据权利要求1所述的安全防御系统,其中,所述文件防御模块,用于将所述目标路径加入文件防御规则,使所述主动防御系统在所述当前程序生成文件时,获取生成的文件的文件路径;判断所述生成的文件的文件路径与所述文件防御规则中的目标路径是否匹配;若匹配,则获取所述生成的文件的文件特征值,将所述生成的文件的文件特征值发送到服务器进行程序安全性判定;根据所述服务器的返回结果对所述当前程序进行文件防御处理。
3.根据权利要求1所述的安全防御系统,其中,所述文件防御模块,用于将所述目标路径加入文件防御规则,使所述主动防御系统在所述当前程序生成文件时,获取生成的文件的文件路径;判断所述生成的文件的文件路径与所述文件防御规则中的目标路径是否匹配;若匹配,则获取所述生成的文件,判断所述生成的文件是否在目标白名单中;若生成的文件在目标白名单中,且所述生成的文件的来源在来源白名单中,则将所述生成的文件放行。
4.根据权利要求3所述的安全防御系统,其中,所述文件防御模块,用于将所述目标路径加入文件防御规则,使所述主动防御系统在所述当前程序生成文件时,获取生成的文件的文件路径;判断所述生成的文件的文件路径与所述文件防御规则中的目标路径是否匹配;若匹配,则获取所述生成的文件,判断所述生成的文件是否符合预置的临界文件规则,其中,所述临界文件规则用于指示所述生成的文件为除白名单文件、黑名单文件和可疑文件之外的文件;若符合,则判断所述生成的文件的来源是否在来源白名单中;若是,则将所述生成的文件放行;若否,则进行报警提示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210452168.7A CN102984134B (zh) | 2012-11-12 | 2012-11-12 | 安全防御系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210452168.7A CN102984134B (zh) | 2012-11-12 | 2012-11-12 | 安全防御系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102984134A CN102984134A (zh) | 2013-03-20 |
| CN102984134B true CN102984134B (zh) | 2015-11-25 |
Family
ID=47857880
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210452168.7A Expired - Fee Related CN102984134B (zh) | 2012-11-12 | 2012-11-12 | 安全防御系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102984134B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105844161B (zh) * | 2012-11-12 | 2019-07-02 | 北京奇虎科技有限公司 | 安全防御方法、装置与系统 |
| CN103647753B (zh) * | 2013-11-19 | 2017-05-24 | 北京奇安信科技有限公司 | 一种局域网文件安全管理方法、服务端和系统 |
| CN103823873B (zh) * | 2014-02-27 | 2017-05-24 | 北京奇虎科技有限公司 | 一种浏览器设置项的读/写方法、装置和系统 |
| CN106407802B (zh) * | 2016-09-05 | 2019-04-02 | 北京蓝海讯通科技股份有限公司 | 一种对应用安全进行监控的装置、方法以及系统 |
| CN109472139B (zh) * | 2017-12-25 | 2022-04-19 | 北京安天网络安全技术有限公司 | 一种防御勒索病毒对主机文档二次加密的方法及系统 |
| JP6700337B2 (ja) * | 2018-05-30 | 2020-05-27 | 日本電信電話株式会社 | 保護装置及び保護方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1766779A (zh) * | 2004-10-29 | 2006-05-03 | 微软公司 | 对文档进行标记的反病毒清单 |
| CN101350053A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 防止网页浏览器被漏洞利用的方法和装置 |
| CN101604361A (zh) * | 2008-06-11 | 2009-12-16 | 北京奇虎科技有限公司 | 一种恶意软件的检测方法及装置 |
| CN102413142A (zh) * | 2011-11-30 | 2012-04-11 | 华中科技大学 | 基于云平台的主动防御方法 |
| CN102984135A (zh) * | 2012-11-12 | 2013-03-20 | 北京奇虎科技有限公司 | 安全防御方法、装置与系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4282207B2 (ja) * | 2000-05-31 | 2009-06-17 | 日本電気株式会社 | サーバ装置、クライアント装置、クライアントサーバ通信システム及びそれらに用いるサーバ特定方式 |
-
2012
- 2012-11-12 CN CN201210452168.7A patent/CN102984134B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1766779A (zh) * | 2004-10-29 | 2006-05-03 | 微软公司 | 对文档进行标记的反病毒清单 |
| CN101350053A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 防止网页浏览器被漏洞利用的方法和装置 |
| CN101604361A (zh) * | 2008-06-11 | 2009-12-16 | 北京奇虎科技有限公司 | 一种恶意软件的检测方法及装置 |
| CN102413142A (zh) * | 2011-11-30 | 2012-04-11 | 华中科技大学 | 基于云平台的主动防御方法 |
| CN102984135A (zh) * | 2012-11-12 | 2013-03-20 | 北京奇虎科技有限公司 | 安全防御方法、装置与系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102984134A (zh) | 2013-03-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12019734B2 (en) | Methods and apparatus for control and detection of malicious content using a sandbox environment | |
| US9858416B2 (en) | Malware protection | |
| JP5326062B1 (ja) | 非実行ファイル検査装置及び方法 | |
| US9571520B2 (en) | Preventing execution of task scheduled malware | |
| US9251343B1 (en) | Detecting bootkits resident on compromised computers | |
| US8484739B1 (en) | Techniques for securely performing reputation based analysis using virtualization | |
| JP5265061B1 (ja) | 悪意のあるファイル検査装置及び方法 | |
| Kapravelos et al. | Escape from monkey island: Evading high-interaction honeyclients | |
| CN102984134B (zh) | 安全防御系统 | |
| JP6909770B2 (ja) | ウィルス対策レコードを作成するシステムと方法 | |
| JP2014509421A (ja) | Usbホストシステムの拡張usbプロトコルスタックのためのセキュリティ手段 | |
| CN102984135B (zh) | 安全防御方法、装置与系统 | |
| KR101588542B1 (ko) | 멀웨어 위험 스캐너 | |
| JP6407184B2 (ja) | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム | |
| JP5326063B1 (ja) | デバッグイベントを用いた悪意のあるシェルコードの検知装置及び方法 | |
| CN105791250B (zh) | 应用程序检测方法及装置 | |
| US10489593B2 (en) | Mitigation of malicious actions associated with graphical user interface elements | |
| US8640242B2 (en) | Preventing and detecting print-provider startup malware | |
| Bridges | Studying a virtual testbed for unverified data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220727 Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20151125 |