CN108985051A - 一种基于行为跟踪的入侵防御方法与系统 - Google Patents

一种基于行为跟踪的入侵防御方法与系统 Download PDF

Info

Publication number
CN108985051A
CN108985051A CN201810874196.5A CN201810874196A CN108985051A CN 108985051 A CN108985051 A CN 108985051A CN 201810874196 A CN201810874196 A CN 201810874196A CN 108985051 A CN108985051 A CN 108985051A
Authority
CN
China
Prior art keywords
behavior
library
program
executable file
rogue program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201810874196.5A
Other languages
English (en)
Inventor
邢希双
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Yunhai Information Technology Co Ltd
Original Assignee
Zhengzhou Yunhai Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Yunhai Information Technology Co Ltd filed Critical Zhengzhou Yunhai Information Technology Co Ltd
Priority to CN201810874196.5A priority Critical patent/CN108985051A/zh
Publication of CN108985051A publication Critical patent/CN108985051A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种基于行为跟踪的入侵防御方法与系统,包括:S1、将获取到的可执行文件全路径和哈希值到系统正常程序库中进行比对;S2、将获取到的可执行文件全路径和哈希值到系统恶意程序库中进行比对;S3、将获取到的可执行文件的操作行为和操作行为客体信息到系统恶意行为库中进行比对。本发明综合采用程序黑白名单机制和程序行为动态跟踪机制,结合系统正常程序库、系统恶意程序库、系统恶意行为库、系统操作行为跟踪系统和管理控制系统,可以有效的辨别系统上运行的每个程序是正常程序、恶意程序或未知程序,实现增强系统的安全性,有力保障系统的健壮性。

Description

一种基于行为跟踪的入侵防御方法与系统
技术领域
本发明涉及计算机操作系统安全技术领域,特别是一种基于行为跟踪的入侵防御方法与系统。
背景技术
随着云计算、大数据等新型技术的发展,对云主机和服务器的安全计算环境要求越来越高。安全的计算环境是云计算发展的基础,没有安全的计算环境就不能保证云端数据的安全性,没有安全的计算环境就不能保证云端业务的可持续性。
可执行文件是操作系统和业务系统正常运行的基础,它们在Windows系统下是PE文件,是Linux系统下是ELF文件。二进制文件的每一次运行都会对系统及数据产生或好或坏的影响,正常软件中的可执行文件能够完成预设的软件功能,病毒、木马中的可执行文件能够破坏系统、盗取数据。
而现有技术中针对程序行为动态进行入侵判别的方法,大都存在防御有效性低,且不能进行动态持续识别,系统安全性低等缺陷,因此,急需一种基于行为跟踪的入侵防御方法。
发明内容
本发明的目的是提供一种基于行为跟踪的入侵防御方法与系统,旨在解决现有技术中针对程序行为动态进行的入侵判别存在防御有效性低,系统安全性低等缺陷,实现增强系统的安全性,有力保障系统的健壮性。
为达到上述技术目的,本发明提供了一种基于行为跟踪的入侵防御方法,包括以下步骤:
S1、将获取到的可执行文件全路径和哈希值到系统正常程序库中进行比对,如果所述可执行文件属于系统正常程序,则结束操作;否则,进入下一步;
S2、将获取到的可执行文件全路径和哈希值到系统恶意程序库中进行比对,如果所述可执行文件属于系统恶意程序,则拦截所述可执行文件的操作行为;否则进入下一步;
S3、将获取到的可执行文件的操作行为和操作行为客体信息到系统恶意行为库中进行比对,如果属于系统恶意行为,则拦截所述可执行文件的操作行为;否则放行所述可执行文件的操作行为。
优选地,所述系统正常程序库包括不同版本操作系统的系统正常程序。
优选地,所述系统恶意程序库包括不同版本操作系统的恶意程序,所述恶意程序包括木马、病毒以及蠕虫。
优选地,所述系统恶意行为库包括不同操作系统的恶意程序的操作行为。
优选地,所述方法还包括:
当所述可执行文件属于系统恶意程序或者系统恶意行为时,向管理控制系统进行报警,所述管理控制系统下发指令对所述可执行文件进行操作处理。
优选地,所述操作处理包括持续监控、阻止后续所有操作或删除/隔离该可执行文件。
优选地,所述系统正常程序库、系统恶意程序库和系统恶意行为库的更新通过管理控制系统完成。
本发明还提供了一种基于行为跟踪的入侵防御系统,所述系统包括:
系统正常程序库,用于存放不同版本操作系统的系统正常程序;
系统恶意程序库,用于存放不同版本操作系统的恶意程序;
系统恶意行为库,用于存放不同操作系统的恶意程序的操作行为;
系统操作行为跟踪系统,用于监测操作系统上所有程序操作行为,且在当获知程序操作行为非法的情况下,阻止所述程序操作行为;
管理控制系统,用于接收系统操作行为跟踪系统上报的系统操作行为和报警信息,并下发指令干预程序的操作行为,以及更新所述系统正常程序库、系统恶意程序库以及系统恶意行为库。
优选地,所述恶意程序包括木马、病毒以及蠕虫。
发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
与现有技术相比,本发明通过综合采用程序黑白名单机制和程序行为动态跟踪机制,结合系统正常程序库、系统恶意程序库、系统恶意行为库、系统操作行为跟踪系统和管理控制系统,可以有效的辨别系统上运行的每个程序是正常程序、恶意程序或未知程序。首先保证了系统正常程序不受影响,很好的解决了操作系统兼容性问题;其次可以及时阻止已知恶意程序对系统的破坏,有效的免疫已知病毒、木马、蠕虫等;再次对于未知程序的操作行为进行透明跟踪,依赖系统恶意行为库进行动态持续识别,当判断出未知程序包含系统恶意行为时及时报警,避免系统遭受后续破坏,可以极大的增强系统的安全性,有力的保障系统的健壮性。
附图说明
图1为本发明实施例中所提供的一种基于行为跟踪的入侵防御方法流程图;
图2为本发明实施例中所提供的一种基于行为跟踪的入侵防御系统结构框图。
具体实施方式
为了能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
下面结合附图对本发明实施例所提供的一种基于行为跟踪的入侵防御方法与系统进行详细说明。
如图1所示,本发明实施例公开了一种基于行为跟踪的入侵防御方法,包括以下步骤:
S1、将获取到的可执行文件全路径和哈希值到系统正常程序库中进行比对,如果所述可执行文件属于系统正常程序,则结束操作;否则,进入下一步;
S2、将获取到的可执行文件全路径和哈希值到系统恶意程序库中进行比对,如果所述可执行文件属于系统恶意程序,则拦截所述可执行文件的操作行为;否则进入下一步;
S3、将获取到的可执行文件的操作行为和操作行为客体信息到系统恶意行为库中进行比对,如果属于系统恶意行为,则拦截所述可执行文件的操作行为;否则放行所述可执行文件的操作行为。
将获取到的可执行文件全路径和哈希值到系统正常程序库中进行比对,用于确认该可执行文件是否属于系统正常程序,如果属于系统正常程序,则此可执行文件的操作行为不受限制。
如果该可执行文件不属于系统正常程序时,将获取到的可执行文件全路径和哈希值到系统恶意程序库中进行比对,用以确认该可执行文件是否属于系统恶意程序,如果属于系统恶意程序,则该可执行文件的操作行为将被拦截,并且立即向管理控制系统报警,管理控制系统将下发指令将此二进制文件进行删除或者隔离。
如果该可执行文件既不属于系统正常程序,也不属于系统恶意程序,这种可执行文件统称为未知程序,将获取到的本次操作行为和操作行为客体信息到系统恶意行为库中进行比对。如果本次操作行为属于系统恶意行为,则立即向管理控制系统报警,根据管理控制系统的指令进行即时处理,即管理控制系统根据未知程序的报警信息,下发指令对其持续监控、阻止后续所有操作或删除/隔离该可执行程序;如果不能判断本次操作行为属于系统恶意行为,则该可执行文件的操作行为被放行,对该可执行文件的后续操作行为进行持续跟踪。
本发明实施例通过综合采用程序黑白名单机制和程序行为动态跟踪机制,结合系统正常程序库、系统恶意程序库、系统恶意行为库、系统操作行为跟踪系统和管理控制系统,可以有效的辨别系统上运行的每个程序是正常程序、恶意程序或未知程序。首先保证了系统正常程序不受影响,很好的解决了操作系统兼容性问题;其次可以及时阻止已知恶意程序对系统的破坏,有效的免疫已知病毒、木马、蠕虫等;再次对于未知程序的操作行为进行透明跟踪,依赖系统恶意行为库进行动态持续识别,当判断出未知程序包含系统恶意行为时及时报警,避免系统遭受后续破坏,可以极大的增强系统的安全性,有力的保障系统的健壮性。
如图2所示,本发明实施例还公开了一种基于行为跟踪的入侵防御系统,包括:
系统正常程序库,用于存放不同版本操作系统的系统正常程序;
系统恶意程序库,用于存放不同版本操作系统的恶意程序;
系统恶意行为库,用于存放不同操作系统的恶意程序的操作行为;
系统操作行为跟踪系统,用于监测操作系统上所有程序操作行为,且在当获知程序操作行为非法的情况下,阻止所述程序操作行为;
管理控制系统,用于接收系统操作行为跟踪系统上报的系统操作行为和报警信息,并下发指令干预程序的操作行为,以及更新所述系统正常程序库、系统恶意程序库以及系统恶意行为库。
系统正常程序库,是安全研究人员长期研究各个版本的操作系统及其上的常见业务系统后建立的一份针对不同版本系统的系统正常程序集合。系统正常程序库每个操作系统小版本有一份,并且一直处于持续更新中,更新通过管理控制系统进行。
系统恶意程序库,是安全研究人员长期研究各类恶意程序,包括木马、病毒、蠕虫等,所建立的一份系统恶意程序集合。系统恶意程序库只区分操作系统类型,例如:Windows、Linux,每个类型的操作系统有一份,并且一直处于持续更新中,更新通过管理控制系统进行。
系统恶意行为库,是安全研究人员长期研究各类恶意程序,分解恶意程序的常见操作行为后形成的恶意程序行为的集合。恶意行为既可以是一个行为,例如:自我复制,也可以是一组行为,例如:先启动自身,然后网络下载另一个可执行程序,最后删除自身。系统恶意行为库只区分操作系统类型,例如:Windows、Linux,每个类型的操作系统有一份,并且一直处于持续更新中,更新通过管理控制系统进行。
系统操作行为跟踪系统,是基于行为跟踪的入侵防御方法的核心处理模块,它监测操作系统上的所有程序操作行为,包括:程序启动、创建文件、写入注册表、网络下载程序等。系统操作行为跟踪系统的所有拦截判断逻辑均在系统操作行为实际发生之前进行,判断逻辑依赖系统正常程序库、系统恶意程序库和系统恶意行为库。在获知该操作行为非法的情况下及时阻止该操作执行。
管理控制系统,是基于行为跟踪的入侵防御方法的用户接口模块。它负责安装、启动、停止、卸载整个系统,也负责接收系统操作行为跟踪系统上报的系统操作行为和报警,同时也可通过管理控制系统下发指令干预程序的行为、删除特定程序、隔离特定程序。管理控制系统设有一套默认的处理逻辑用于在无人值守的情况下运行,以便立即响应系统操作行为跟踪系统上报的报警。管理控制系统也负责系统正常程序库、系统恶意程序库和系统恶意行为库中数据的更新。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种基于行为跟踪的入侵防御方法,其特征在于,包括以下步骤:
S1、将获取到的可执行文件全路径和哈希值到系统正常程序库中进行比对,如果所述可执行文件属于系统正常程序,则结束操作;否则,进入下一步;
S2、将获取到的可执行文件全路径和哈希值到系统恶意程序库中进行比对,如果所述可执行文件属于系统恶意程序,则拦截所述可执行文件的操作行为;否则进入下一步;
S3、将获取到的可执行文件的操作行为和操作行为客体信息到系统恶意行为库中进行比对,如果属于系统恶意行为,则拦截所述可执行文件的操作行为;否则放行所述可执行文件的操作行为。
2.根据权利要求1所述的一种基于行为跟踪的入侵防御方法,其特征在于,所述系统正常程序库包括不同版本操作系统的系统正常程序。
3.根据权利要求1所述的一种基于行为跟踪的入侵防御方法,其特征在于,所述系统恶意程序库包括不同版本操作系统的恶意程序,所述恶意程序包括木马、病毒以及蠕虫。
4.根据权利要求1所述的一种基于行为跟踪的入侵防御方法,其特征在于,所述系统恶意行为库包括不同操作系统的恶意程序的操作行为。
5.根据权利要求1-4任意一项所述的一种基于行为跟踪的入侵防御方法,其特征在于,所述方法还包括:
当所述可执行文件属于系统恶意程序或者系统恶意行为时,向管理控制系统进行报警,所述管理控制系统下发指令对所述可执行文件进行操作处理。
6.根据权利要求5所述的一种基于行为跟踪的入侵防御方法,其特征在于,所述操作处理包括持续监控、阻止后续所有操作或删除/隔离该可执行文件。
7.根据权利要求5所述的一种基于行为跟踪的入侵防御方法,其特征在于,所述系统正常程序库、系统恶意程序库和系统恶意行为库的更新通过管理控制系统完成。
8.一种基于行为跟踪的入侵防御系统,其特征在于,所述系统包括:
系统正常程序库,用于存放不同版本操作系统的系统正常程序;
系统恶意程序库,用于存放不同版本操作系统的恶意程序;
系统恶意行为库,用于存放不同操作系统的恶意程序的操作行为;
系统操作行为跟踪系统,用于监测操作系统上所有程序操作行为,且在当获知程序操作行为非法的情况下,阻止所述程序操作行为;
管理控制系统,用于接收系统操作行为跟踪系统上报的系统操作行为和报警信息,并下发指令干预程序的操作行为,以及更新所述系统正常程序库、系统恶意程序库以及系统恶意行为库。
9.根据权利要求8所述的一种基于行为跟踪的入侵防御系统,其特征在于,所述恶意程序包括木马、病毒以及蠕虫。
CN201810874196.5A 2018-08-02 2018-08-02 一种基于行为跟踪的入侵防御方法与系统 Withdrawn CN108985051A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810874196.5A CN108985051A (zh) 2018-08-02 2018-08-02 一种基于行为跟踪的入侵防御方法与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810874196.5A CN108985051A (zh) 2018-08-02 2018-08-02 一种基于行为跟踪的入侵防御方法与系统

Publications (1)

Publication Number Publication Date
CN108985051A true CN108985051A (zh) 2018-12-11

Family

ID=64555126

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810874196.5A Withdrawn CN108985051A (zh) 2018-08-02 2018-08-02 一种基于行为跟踪的入侵防御方法与系统

Country Status (1)

Country Link
CN (1) CN108985051A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110532775A (zh) * 2019-07-26 2019-12-03 苏州浪潮智能科技有限公司 一种计算机进程管制的方法和工具

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103428212A (zh) * 2013-08-08 2013-12-04 电子科技大学 一种恶意代码检测及防御的方法
CN106576105A (zh) * 2014-09-24 2017-04-19 迈克菲股份有限公司 非侵入式白名单制定
CN107506642A (zh) * 2017-08-10 2017-12-22 四川长虹电器股份有限公司 防止文件被恶意操作行为损坏的方法与系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103428212A (zh) * 2013-08-08 2013-12-04 电子科技大学 一种恶意代码检测及防御的方法
CN106576105A (zh) * 2014-09-24 2017-04-19 迈克菲股份有限公司 非侵入式白名单制定
CN107506642A (zh) * 2017-08-10 2017-12-22 四川长虹电器股份有限公司 防止文件被恶意操作行为损坏的方法与系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110532775A (zh) * 2019-07-26 2019-12-03 苏州浪潮智能科技有限公司 一种计算机进程管制的方法和工具

Similar Documents

Publication Publication Date Title
US11941110B2 (en) Process privilege escalation protection in a computing environment
US11321464B2 (en) Method and system for generating cognitive security intelligence for detecting and preventing malwares
CN109164780A (zh) 一种基于边缘计算的工业现场设备控制方法、装置及系统
US9721095B2 (en) Preventing re-patching by malware on a computer
CN103218561B (zh) 一种保护浏览器的防篡改方法和装置
Serhane et al. PLC code-level vulnerabilities
KR102079304B1 (ko) 화이트리스트 기반 악성코드 차단 장치 및 방법
CN109753796B (zh) 一种大数据计算机网络安全防护装置及使用方法
CN103428212A (zh) 一种恶意代码检测及防御的方法
CN114666088A (zh) 工业网络数据行为信息的侦测方法、装置、设备和介质
CN105426751A (zh) 一种防止篡改系统时间的方法及装置
CN109784055A (zh) 一种快速检测和防范恶意软件的方法和系统
CN113852633A (zh) 一种信息安全评估的实施用例的生成方法
CN113395694A (zh) 基于5g及局域基站的智慧安全防御系统及防御方法
CN107302530B (zh) 一种基于白名单的工控系统攻击检测装置及其检测方法
CN116094817A (zh) 一种网络安全检测系统和方法
CN108985051A (zh) 一种基于行为跟踪的入侵防御方法与系统
CN106899977B (zh) 异常流量检验方法和装置
CN112235304A (zh) 一种工业互联网的动态安全防护方法和系统
US20140245454A1 (en) Method and apparatus for protecting flight data
CN109785537B (zh) 一种atm机的安全防护方法及装置
KR101614809B1 (ko) 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법
US11895155B2 (en) Resilient self-detection of malicious exfiltration of sensitive data
CN113987435A (zh) 非法提权检测方法、装置、电子设备及存储介质
CN106919834A (zh) 一种计算机软件安全防护方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20181211