CN103902892B - 基于行为的病毒防御方法及系统 - Google Patents
基于行为的病毒防御方法及系统 Download PDFInfo
- Publication number
- CN103902892B CN103902892B CN201210567870.8A CN201210567870A CN103902892B CN 103902892 B CN103902892 B CN 103902892B CN 201210567870 A CN201210567870 A CN 201210567870A CN 103902892 B CN103902892 B CN 103902892B
- Authority
- CN
- China
- Prior art keywords
- information
- operation object
- behavior
- rule
- identity code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明属于病毒防御技术领域,具体公开了一种基于行为的病毒防御方法及系统。该方法包括以下步骤:采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码;将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器;根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则;将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配;将匹配结果反馈至客户端以允许或者拦截所述进程。本发明相对现有的防御方法和系统,可更加准确和快速地对未知文件完成鉴定工作。
Description
技术领域
本发明属于病毒防御技术领域,具体涉及一种基于行为的病毒防御方法及系统。
背景技术
编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus)。它具有破坏性,复制性和传染性。
现有的病毒防御方法仅仅是基于文件的判定方法,其大致是:
1、客户端根据病毒数据库进行扫描,以鉴别病毒文件和安全文件;
2、针对客户端无法鉴别的灰文件,上传至云端服务器;
3、云端服务器基于文件内容进行鉴定,并将鉴定结果反馈给客户端;
4、客户端按照反馈结果采取对应的防御措施。
由于文件在其未运行前是很难判定其是否为病毒文件,只有它在执行一些破坏行为时,才能对其进行判定,就好比一个人在其未进行犯罪行为前是很难判断其是否为好人坏人。因此,现有基于文件的病毒防御方法面对新出现的灰文件时,很难对其进行鉴别。
发明内容
针对现有病毒系统很难鉴定的灰文件,本发明的目的在于提供一种快速鉴定此类文件的基于用户行为差异化的病毒防御方法及系统。
为了实现上述发明目的,基于上述研究发现,得到了以下技术方案:
一种基于行为的病毒防御方法,包括以下步骤:
采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码;
将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器;
根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则;
将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配;
将匹配结果反馈至客户端以允许或者拦截所述进程。
进一步的,所述操作对象类型为进程、文件、注册表、或者系统设置。
进一步的,所述操作者进程信息包括映像文件全路径、映像文件大小、以及映像文件属性。
进一步的,所述操作对象进程命令信息包括对进程、文件、以及注册表作出的命令信息。
一种基于行为的病毒防御系统,包括以下模块:
采集模块,用于采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码;
上传模块,用于将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器;
查找模块,用于根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则;
匹配模块,用于将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配;
反馈模块,用于将匹配结果反馈至客户端以允许或者拦截所述进程。
进一步的,所述操作对象类型为进程、文件、注册表、或者系统设置。
进一步的,所述操作者进程信息包括映像文件全路径、映像文件大小、以及映像文件属性。
进一步的,所述操作对象进程命令信息包括对进程、文件、以及注册表作出的命令信息。
本发明以进程为监控对象,并根据该进程制定了一套允许规则和拦截规则,并根据该进程的行为分配了一个规则ID(身份识别码)作为快速查找和匹配的索引。本发明运行时,将客户端中与进程对应的规则ID和与其相关的数据上传至云端服务器,服务器端根据该规则ID找到预先设置的允许规则和拦截规则,然后将上传至服务器的与其相关的数据与这些规则进行匹配,如果符合运行规则中设置的条件则反馈允许的结果,如果符合拦截规则中设置的条件则反馈拦截的结果;最后,客户端根据匹配结果决定是否拦截该新出现的进程。
进程,是操作系统结构的基础,它是一个动态运行的程序,也即是它是程序的动态执行过程,可充分体系文件的执行行为。
因此,本发明是基于行为的病毒防御方法,可更加准确和快速地对未知文件完成鉴定工作。
附图说明
此附图说明所提供的图片用来辅助对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的不当限定,在附图中:
图1是本发明方法对应的流程图;
图2是本发明系统对应的框图。
具体实施方式
如图1所示,本实施例公开了一种基于行为的病毒防御方法,包括以下步骤:
Step1:采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码,本步骤即是根据不同的进程行为分配一个不同的规则ID(身份识别码),本步骤的检测对象是新出现的进程,而不是文件,进而改变了传统基于文件的检测方式;
Step2:将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器;其中,所述操作对象类型为进程、文件、注册表、或者系统设置;其中,所述操作者进程信息包括映像文件全路径、映像文件大小、以及映像文件属性;其中,所述操作对象进程命令信息包括对进程、文件、以及注册表作出的命令信息;本步骤即是将进程、进程操作对象、以及进程行为相关的数据上传至服务器,以便对该进行较为准确的评判;
Step3:根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则;本实施例在云端服务器中预先设置了各种不同的允许规则和拦截规则,这些规则的索引就是客户端分配的规则ID,通过这些规则ID可以快速找到与该进程所对应的允许规则和拦截规则;通过规则ID的设置可以实现更加快速的响应;
Step4:将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配;比如匹配上了允许规则,则表示该进程是安全的,可以允许其继续执行;如果匹配上了拦截规则,则表示该进程是危险的,必须拦截该进程;
Step5:将匹配结果反馈至客户端以允许或者拦截所述进程。
本实施例还公开了一种与上述方法相对应的基于行为的病毒防御系统,包括以下模块:
采集模块1,用于采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码;
上传模块2,用于将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器;其中,所述操作对象类型为进程、文件、注册表、或者系统设置;其中,所述操作者进程信息包括映像文件全路径、映像文件大小、以及映像文件属性;其中,所述操作对象进程命令信息包括对进程、文件、以及注册表作出的命令信息;
查找模块3,用于根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则;
匹配模块4,用于将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配;
反馈模块5,用于将匹配结果反馈至客户端以允许或者拦截所述进程。
通过上述实施方式可知,本发明通过监测进程行为可以根据准确的判断其对应的程序是否为病毒程序;同时,本发明将允许规则和拦截规则设置在云端,通过对应规则ID可以快速的将进程相应的数据与之匹配,从而快速的判断该进程对应的程序是否为病毒程序。
因此,本发明相对现有的防御方法和系统,可更加准确和快速地对未知文件完成鉴定工作。
以上详细描述了本发明的较佳具体实施例,应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明构思在现有技术基础上通过逻辑分析、推理或者根据有限的实验可以得到的技术方案,均应该在由本权利要求书所确定的保护范围之中。
Claims (6)
1.一种基于行为的病毒防御方法,其特征在于包括以下步骤:
采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码;
将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器,所述操作者进程信息包括映像文件全路径、映像文件大小以及映像文件属性;
根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则;
将所述操作对象类型信息、操作者进程信息以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配;
将匹配结果反馈至客户端以允许或者拦截所述进程。
2.根据权利要求1所述的基于行为的病毒防御方法,其特征在于:
所述操作对象类型为进程、文件、注册表或者系统设置。
3.根据权利要求1所述的基于行为的病毒防御方法,其特征在于:
所述操作对象进程命令信息包括对进程、文件以及注册表作出的命令信息。
4.一种基于行为的病毒防御系统,其特征在于包括以下模块:
采集模块,用于采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码;
上传模块,用于将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息以及操作对象进程命令信息上传至云端服务器,所述操作者进程信息包括映像文件全路径、映像文件大小以及映像文件属性;
查找模块,用于根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则;
匹配模块,用于将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配;
反馈模块,用于将匹配结果反馈至客户端以允许或者拦截所述进程。
5.根据权利要求4所述的基于行为的病毒防御系统,其特征在于:
所述操作对象类型为进程、文件、注册表或者系统设置。
6.根据权利要求4所述的基于行为的病毒防御系统,其特征在于:
所述操作对象进程命令信息包括对进程、文件以及注册表作出的命令信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210567870.8A CN103902892B (zh) | 2012-12-24 | 2012-12-24 | 基于行为的病毒防御方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210567870.8A CN103902892B (zh) | 2012-12-24 | 2012-12-24 | 基于行为的病毒防御方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103902892A CN103902892A (zh) | 2014-07-02 |
| CN103902892B true CN103902892B (zh) | 2017-08-04 |
Family
ID=50994204
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210567870.8A Active CN103902892B (zh) | 2012-12-24 | 2012-12-24 | 基于行为的病毒防御方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103902892B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104392175B (zh) | 2014-11-26 | 2018-05-29 | 华为技术有限公司 | 一种云计算系统中云应用攻击行为处理方法、装置及系统 |
| CN105184162B (zh) * | 2015-08-18 | 2019-01-04 | 安一恒通(北京)科技有限公司 | 程序监控方法和装置 |
| CN107315952A (zh) * | 2016-04-26 | 2017-11-03 | 华为技术有限公司 | 用于确定应用程序可疑行为的方法和装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1707383A (zh) * | 2004-06-10 | 2005-12-14 | 陈朝晖 | 通过进程和系统轨迹分析阻断计算机病毒方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100401224C (zh) * | 2005-06-23 | 2008-07-09 | 福建东方微点信息安全有限责任公司 | 计算机反病毒防护系统和方法 |
| CN101350052B (zh) * | 2007-10-15 | 2010-11-03 | 北京瑞星信息技术有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| CN101373502B (zh) * | 2008-05-12 | 2012-06-20 | 公安部第三研究所 | 基于Win32平台下病毒行为的自动化分析系统 |
| US8161552B1 (en) * | 2009-09-23 | 2012-04-17 | Trend Micro, Inc. | White list creation in behavior monitoring system |
| CN102208004B (zh) * | 2011-05-13 | 2013-07-03 | 南京邮电大学 | 一种基于最小化特权原则的软件行为控制方法 |
| CN102222194A (zh) * | 2011-07-14 | 2011-10-19 | 哈尔滨工业大学 | Linux主机计算环境安全保护的模块及方法 |
| CN102413142A (zh) * | 2011-11-30 | 2012-04-11 | 华中科技大学 | 基于云平台的主动防御方法 |
-
2012
- 2012-12-24 CN CN201210567870.8A patent/CN103902892B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1707383A (zh) * | 2004-06-10 | 2005-12-14 | 陈朝晖 | 通过进程和系统轨迹分析阻断计算机病毒方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103902892A (zh) | 2014-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103902892B (zh) | 基于行为的病毒防御方法及系统 | |
| CN103843003A (zh) | 句法指纹识别 | |
| CN104200167A (zh) | 自动化渗透测试方法及系统 | |
| CN103544071A (zh) | 崩溃信息的处理方法、装置及系统 | |
| EP2671189A1 (en) | Systems and methods for biometric identification | |
| US20170277887A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| CN102867038A (zh) | 文件类型的确定方法和装置 | |
| CN106254321A (zh) | 一种全网络异常数据流分类方法 | |
| CN104036187A (zh) | 计算机病毒类型确定方法及其系统 | |
| CN110929253A (zh) | 一种弱口令检测的方法、装置及智能设备 | |
| CN105468981A (zh) | 基于漏洞识别技术的插件安全扫描装置及扫描方法 | |
| CN107395597A (zh) | 一种虚拟主机防御优化方法 | |
| CN112732693B (zh) | 智能化物联网数据采集方法、装置、设备及存储介质 | |
| CN111835781B (zh) | 一种基于失陷主机发现同源攻击的主机的方法及系统 | |
| CN105553982B (zh) | 路由器的安全检测方法、系统及路由器 | |
| Ambika | An economical machine learning approach for anomaly detection in IoT environment | |
| CN108494759B (zh) | 一种访问请求处理方法、系统、设备和存储介质 | |
| CN103902894A (zh) | 基于用户行为差异化的病毒防御方法及系统 | |
| DE102022211513A1 (de) | System und Verfahren zum Verarbeiten einer Datensubjekt-Rechteanforderung unter Verwendung von biometrischem Datenabgleich | |
| CN111083118B (zh) | 一种电力系统云服务的网络安全防护系统、装置及方法 | |
| CN105447067A (zh) | 一种社交媒体中热点微博数据的自适应取样方法 | |
| CN113849636A (zh) | 一种基于人工智能的大数据分析建模预测方法 | |
| CN113205401A (zh) | 一种大数据军工企业智慧管理平台使用方法 | |
| CN103973708A (zh) | 一种外泄事件的确定方法和系统 | |
| Zhang | Application of Artificial Intelligence Technology in Computer Network Security. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 519070, six level 601F, 10 main building, science and technology road, Tangjia Bay Town, Zhuhai, Guangdong. Co-patentee after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Patentee after: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd. Co-patentee after: Beijing Cheetah Mobile Technology Co.,Ltd. Co-patentee after: Beijing Cheetah Network Technology Co.,Ltd. Address before: 519015 8 Lanshan lane, Jida Jingshan Hill Road, Zhuhai, Guangdong Co-patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd. Co-patentee before: SHELL INTERNET (BEIJING) SECURITY TECHNOLOGY Co.,Ltd. Co-patentee before: BEIJING KINGSOFT NETWORK TECHNOLOGY Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20191128 Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Patentee after: Zhuhai Leopard Technology Co.,Ltd. Address before: 519070, No. 10, main building, No. six, science Road, Harbour Road, Tang Wan Town, Guangdong, Zhuhai, 601F Co-patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd. Co-patentee before: Beijing Cheetah Mobile Technology Co.,Ltd. Co-patentee before: Beijing Cheetah Network Technology Co.,Ltd. |