CN107944260A - 一种恶意软件的行为阻断装置及方法 - Google Patents
一种恶意软件的行为阻断装置及方法 Download PDFInfo
- Publication number
- CN107944260A CN107944260A CN201711259007.5A CN201711259007A CN107944260A CN 107944260 A CN107944260 A CN 107944260A CN 201711259007 A CN201711259007 A CN 201711259007A CN 107944260 A CN107944260 A CN 107944260A
- Authority
- CN
- China
- Prior art keywords
- software
- malware
- behavior
- database
- security strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Abstract
本发明特别涉及一种恶意软件的行为阻断装置,由客户代理端,数据库和控制台三部分组成,所述客户代理端位于操作系统内核处,通过网络连接到Web服务器,并分别连接数据库和控制台;所述控制台与数据库相连接。该恶意软件的行为阻断装置及方法,直接监视软件的具体行为,而不仅仅依靠其代码特征或数字签名来判断是否具有恶意行为,能够有效地抵御未知恶意软件,有效地提高了恶意软件的检测效率,避免了出现漏判和误判,具有良好的应用前景。
Description
技术领域
本发明涉及服务器散热技术领域,特别涉及一种恶意软件的行为阻断装置及方法。
背景技术
近年来,随着信息化的飞速发展,网络逐渐成为人们交流的主要途径。然而网络在传播一些先进工具与技术的时候,恶意软件也开始出现。目前已知的恶意软件有病毒、蠕虫、特洛伊木马以及各种恶意的Java Apple[和ActiveX控件等。恶意软件的流行会给人们带来了诸多的烦恼和困惑,它给用户的电脑造成速率和内存以及空间上的影响;并且通过非法访问文件系统,篡改重要文件,破坏系统的完整性,造成私密信息的泄露。对整个网络以及信息安全带来很大危害。
传统的恶意软件防御技术主要有特征码匹配的扫描技术和启发式经验规则两种。
(1)基于恶意代码特征匹配的扫描技术主要通过对下载到主机的恶意软件进行扫描,并与已知恶意代码特征库进行匹配以检测是否具有恶意行为。这种技术能够高效地检测已知的恶意代码,但随着网络的发展,恶意代码通过网络进行传播的速度大大加快,经常在安全专家分析出其恶意代码特征之前就已经造成严重的破坏,在恶意代码的传播与相应预防措施的发布之间形成一个“脆弱性窗口”,基于代码特征的扫描技术对此无能为力。
(2)启发式经验规则通过仔细检查程序的总体结构、各条指令以及文件中包含的数据,然后根据程序具有的明显的意图对程序具有恶意行为的可能性给出一个判断,由于这种方法检测的是一般的可疑逻辑而不是特定的程序特征,因此可以用来检测未知的恶意代码。但由于仿真程度的限制,扫描程序不能了解程序完整的执行情况,而目前又有许多方法可以将恶意代码的逻辑故意弄乱以迷惑扫描程序,因此这种方法也不能较好地解决恶意代码问题。
目前传统的基于代码特征检测的方法己经不能阻止越来越多的未知恶意软件的攻击。基于此,本发明设计了一种恶意软件的行为阻断装置及方法。从而可以提高恶意软件的检测效率,避免出现漏判和误判,有效阻断恶意行为。
发明内容
本发明为了弥补现有技术的缺陷,提供了一种简单高效的恶意软件的行为阻断装置及方法。
本发明是通过如下技术方案实现的:
一种恶意软件的行为阻断装置,其特征在于:由客户代理端,数据库和控制台三部分组成,所述客户代理端位于操作系统内核处,通过网络连接到Web服务器,并分别连接数据库和控制台;所述控制台与数据库相连接。
所述客户代理端用于实现实时监听恶意软件的行为,实施安全策略,并产生安全报告发送到控制台;所述数据库包括主机认可的数字签名列表数据库,恶意网站黑名单数据库,已知恶意软件数据库和安全策略数据库;所述控制台用于设定安全策略,接收客户代理端送来的安全报告,并根据安全报告调整安全策略,根据新出现的恶意软件随时对安全策略数据库进行升级。
本发明恶意软件的行为阻断方法,其特征在于:当软件到达主机后,客户代理端在操作系统处实时监听软件发出的系统调用命令,并与预先定义的安全策略进行对比;如果软件的行为违反了安全策略,则终止执行软件发出的系统调用命令,并报告用户,同时记录攻击行为;如果软件的行为与安全策略相符,则软件发出的系统调用命令可以正常执行。
所述恶意软件的行为阻断方法,包括以下步骤:
(1)首先检查软件是否携带数字签名及密钥证书,如果软件携带主机认可的数字签名及证书,则用其公钥对数字签名解密,获得其身份信息,根据其身份信息决定是否执行该软件;
(2)如果软件没有携带主机认可的数字签名,则检查恶意网站黑名单数据库中是否包括该软件的URL地址,如果该软件的URL地址在恶意URL黑名单中,则拒绝其执行;
(3)如果软件的URL地址没有在恶意URL黑名单中,则通过扫描引擎把软件与已知恶意软件数据库进行特征匹配,若匹配成功则认定软件为恶意软件拒绝其执行;
(4)如果匹配没有成功,则把软件载入一个沙盒中执行,同时实时监听软件发出的系统调用命令,与预先定义的安全策略进行比较;
(5)如果软件的行为与安全策略相违背,则终止执行软件发出的系统调用命令,并向用户报告;如果软件的行为与安全策略相符,则顺利执行软件发出的系统调用命令。
本发明的有益效果:该恶意软件的行为阻断装置及方法,直接监视软件的具体行为,而不仅仅依靠其代码特征或数字签名来判断是否具有恶意行为,能够有效地抵御未知恶意软件,有效地提高了恶意软件的检测效率,避免了出现漏判和误判,具有良好的应用前景。
附图说明
附图1为本发明恶意软件的行为阻断装置示意图。
附图2为本发明恶意软件的行为阻断装置的阻断方法示意图。
具体实施方式
为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图和实施例,对本发明进行详细的说明。应当说明的是,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
该恶意软件的行为阻断装置,由客户代理端,数据库和控制台三部分组成,所述客户代理端位于操作系统内核处,通过网络连接到Web服务器,并分别连接数据库和控制台;所述控制台与数据库相连接。
所述客户代理端用于实现实时监听恶意软件的行为,实施安全策略,并产生安全报告发送到控制台;所述数据库包括主机认可的数字签名列表数据库,恶意网站黑名单数据库,已知恶意软件数据库和安全策略数据库;所述控制台用于设定安全策略,接收客户代理端送来的安全报告,并根据安全报告调整安全策略,根据新出现的恶意软件随时对安全策略数据库进行升级。
该恶意软件的行为阻断装置的阻断方法,当软件到达主机后,客户代理端在操作系统处实时监听软件发出的系统调用命令,并与预先定义的安全策略进行对比;如果软件的行为违反了安全策略,则终止执行软件发出的系统调用命令,并报告用户,同时记录攻击行为;如果软件的行为与安全策略相符,则软件发出的系统调用命令可以正常执行。
该恶意软件的行为阻断装置的阻断方法,包括以下步骤:
(1)首先检查软件是否携带数字签名及密钥证书,如果软件携带主机认可的数字签名及证书,则用其公钥对数字签名解密,获得其身份信息,根据其身份信息决定是否执行该软件;
(2)如果软件没有携带主机认可的数字签名,则检查恶意网站黑名单数据库中是否包括该软件的URL地址,如果该软件的URL地址在恶意URL黑名单中,则拒绝其执行;
(3)如果软件的URL地址没有在恶意URL黑名单中,则通过扫描引擎把软件与已知恶意软件数据库进行特征匹配,若匹配成功则认定软件为恶意软件拒绝其执行;
(4)如果匹配没有成功,则把软件载入一个沙盒中执行,同时实时监听软件发出的系统调用命令,与预先定义的安全策略进行比较;
(5)如果软件的行为与安全策略相违背,则终止执行软件发出的系统调用命令,并向用户报告;如果软件的行为与安全策略相符,则顺利执行软件发出的系统调用命令。
该恶意软件的行为阻断装置及方法,通过数字签名鉴别技术,对具有合法数字签名的移动代码直接执行,无需进行后续检查,大大提高了程序的执行效率;通过信息搜集,建立了已知恶意软件数据库,对于明确属于恶意软件的程序直接拒绝,避免客户代理端进行行为监视带来的不确定性;通过周密而灵活地制定安全策略,在分析各种已知恶意软件恶意行为的基础上,制定了较为通用的行为阻断策略,同时可以根据新出现的恶意软件随时升级安全策略,用户还可以根据自身需要对安全策略进行调整。
Claims (4)
1.一种恶意软件的行为阻断装置,其特征在于:由客户代理端,数据库和控制台三部分组成,所述客户代理端位于操作系统内核处,通过网络连接到Web服务器,并分别连接数据库和控制台;所述控制台与数据库相连接。
2.根据权利要求1所述的恶意软件的行为阻断装置,其特征在于:所述客户代理端用于实现实时监听恶意软件的行为,实施安全策略,并产生安全报告发送到控制台;所述数据库包括主机认可的数字签名列表数据库,恶意网站黑名单数据库,已知恶意软件数据库和安全策略数据库;所述控制台用于设定安全策略,接收客户代理端送来的安全报告,并根据安全报告调整安全策略,根据新出现的恶意软件随时对安全策略数据库进行升级。
3.根据权利要求2所述的恶意软件的行为阻断装置的阻断方法,其特征在于:当软件到达主机后,客户代理端在操作系统处实时监听软件发出的系统调用命令,并与预先定义的安全策略进行对比;如果软件的行为违反了安全策略,则终止执行软件发出的系统调用命令,并报告用户,同时记录攻击行为;如果软件的行为与安全策略相符,则软件发出的系统调用命令可以正常执行。
4.根据权利要求3所述的恶意软件的行为阻断装置的阻断方法,其特征在于,包括以下步骤:
(1)首先检查软件是否携带数字签名及密钥证书,如果软件携带主机认可的数字签名及证书,则用其公钥对数字签名解密,获得其身份信息,根据其身份信息决定是否执行该软件;
(2)如果软件没有携带主机认可的数字签名,则检查恶意网站黑名单数据库中是否包括该软件的URL地址,如果该软件的URL地址在恶意URL黑名单中,则拒绝其执行;
(3)如果软件的URL地址没有在恶意URL黑名单中,则通过扫描引擎把软件与已知恶意软件数据库进行特征匹配,若匹配成功则认定软件为恶意软件拒绝其执行;
(4)如果匹配没有成功,则把软件载入一个沙盒中执行,同时实时监听软件发出的系统调用命令,与预先定义的安全策略进行比较;
(5)如果软件的行为与安全策略相违背,则终止执行软件发出的系统调用命令,并向用户报告;如果软件的行为与安全策略相符,则顺利执行软件发出的系统调用命令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711259007.5A CN107944260A (zh) | 2017-12-04 | 2017-12-04 | 一种恶意软件的行为阻断装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711259007.5A CN107944260A (zh) | 2017-12-04 | 2017-12-04 | 一种恶意软件的行为阻断装置及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107944260A true CN107944260A (zh) | 2018-04-20 |
Family
ID=61948530
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711259007.5A Pending CN107944260A (zh) | 2017-12-04 | 2017-12-04 | 一种恶意软件的行为阻断装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107944260A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110532775A (zh) * | 2019-07-26 | 2019-12-03 | 苏州浪潮智能科技有限公司 | 一种计算机进程管制的方法和工具 |
| CN110879889A (zh) * | 2019-11-27 | 2020-03-13 | 武汉虹旭信息技术有限责任公司 | Windows平台的恶意软件的检测方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101959193A (zh) * | 2010-09-26 | 2011-01-26 | 宇龙计算机通信科技(深圳)有限公司 | 一种信息安全检测方法及移动终端 |
| CN103441844A (zh) * | 2013-07-31 | 2013-12-11 | 南京神盾信息技术有限公司 | 基于云存储的数据安全和内网监控系统 |
| CN106982231A (zh) * | 2017-05-12 | 2017-07-25 | 王振辉 | 一种基于Agent的内部威胁实时检测方法 |
-
2017
- 2017-12-04 CN CN201711259007.5A patent/CN107944260A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101959193A (zh) * | 2010-09-26 | 2011-01-26 | 宇龙计算机通信科技(深圳)有限公司 | 一种信息安全检测方法及移动终端 |
| CN103441844A (zh) * | 2013-07-31 | 2013-12-11 | 南京神盾信息技术有限公司 | 基于云存储的数据安全和内网监控系统 |
| CN106982231A (zh) * | 2017-05-12 | 2017-07-25 | 王振辉 | 一种基于Agent的内部威胁实时检测方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110532775A (zh) * | 2019-07-26 | 2019-12-03 | 苏州浪潮智能科技有限公司 | 一种计算机进程管制的方法和工具 |
| CN110879889A (zh) * | 2019-11-27 | 2020-03-13 | 武汉虹旭信息技术有限责任公司 | Windows平台的恶意软件的检测方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9317701B2 (en) | Security methods and systems | |
| US20210014246A1 (en) | In-stream malware protection | |
| US9092823B2 (en) | Internet fraud prevention | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| US8806629B1 (en) | Automatic generation of policy-driven anti-malware signatures and mitigation of DoS (denial-of-service) attacks | |
| Nadji et al. | Automated remote repair for mobile malware | |
| Xu et al. | Data-provenance verification for secure hosts | |
| CN105408911A (zh) | 硬件和软件执行概况分析 | |
| Venkatesan et al. | Advanced mobile agent security models for code integrity and malicious availability check | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
| CN111314381A (zh) | 安全隔离网关 | |
| Cinar et al. | The current state and future of mobile security in the light of the recent mobile security threat reports | |
| US10339307B2 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
| CN105930728B (zh) | 一种应用审查方法及装置 | |
| US8978150B1 (en) | Data recovery service with automated identification and response to compromised user credentials | |
| CN107944260A (zh) | 一种恶意软件的行为阻断装置及方法 | |
| US20150172310A1 (en) | Method and system to identify key logging activities | |
| Yu et al. | Analysis and suggestions for the security of web applications | |
| CN106850592A (zh) | 一种信息处理方法、服务器及终端 | |
| Hyun et al. | Design and analysis of push notification-based malware on android | |
| CN114938313B (zh) | 一种基于动态令牌的人机识别方法及装置 | |
| KR100680559B1 (ko) | 네트워크 바이러스 진단 및 치료 시스템과 방법 | |
| Ham et al. | DroidVulMon--Android Based Mobile Device Vulnerability Analysis and Monitoring System | |
| CN107517226B (zh) | 基于无线网络入侵的报警方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180420 |
|
| RJ01 | Rejection of invention patent application after publication |