CN1707383A - 通过进程和系统轨迹分析阻断计算机病毒方法 - Google Patents
通过进程和系统轨迹分析阻断计算机病毒方法 Download PDFInfo
- Publication number
- CN1707383A CN1707383A CN 200410013285 CN200410013285A CN1707383A CN 1707383 A CN1707383 A CN 1707383A CN 200410013285 CN200410013285 CN 200410013285 CN 200410013285 A CN200410013285 A CN 200410013285A CN 1707383 A CN1707383 A CN 1707383A
- Authority
- CN
- China
- Prior art keywords
- analysis
- behavior
- file
- software product
- daily record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明设计了一种新的计算机安全软件产品。通过对进程的行为监控、行为轨迹日志设立和分析、系统轨迹日志设立和分析,实现了一种自动分析和阻断各种已知、未知病毒、蠕虫、木马攻击的功能,并可根据日志进行攻击分析和系统还原。它包括日志系统,负责完成记录进程的行为和结果;预警系统,监控特定的动作,对动作的执行者进行“行为验证”,并根据验证结果和预先设置进行预警、阻断、或者记入黑名单等操作;分析系统,根据日志进行综合分析,以便识别有无安全事故发生,为恢复系统提供恢复依据;还原系统,对业已造成的破坏进行智能恢复,主要是根据分析系统提供的分析结论(事故轨迹)进行有害文件的清除,系统设置的恢复。
Description
技术领域
本发明涉及一种检测、分析和阻断计算机病毒的技术,特别是一种检测和分析未知计算机病毒的方法,以及采用这种发明的计算机系统。
背景技术
传统的个人安全软件产品分两类:杀毒软件和个人防火墙。杀毒软件主要防范和清除客户机器硬盘上的病毒、木马、蠕虫文件和被感染的系统设置,恢复原始无毒状态;个人防火墙主要通过设置IP包过滤规则,过滤和阻断网络上某些IP、端口的数据包,在IP层实现了一个用户可配置的过滤开关。
但是,这种传统的设计思路认为安全的威胁主要来自文件,故以文件为杀毒的对象,其局限有两点:一是针对具体的病毒来查杀的,它识别病毒的前提是先“认识”病毒,具体方式是静态扫描和虚拟执行,二是它将病毒查杀和防火墙割裂开来,只是着眼于单一的具体病毒,没有对当前的网络状态和系统状态进行全局的分析和使用。这就使得病毒查杀总是滞后于病毒的出现,必须以用户受到病毒攻击为代价。
针对上述目前个人安全软件中存在的问题,本发明实现了一种针对进程变化轨迹分析病毒的安全技术,它通过对进程的行为监控、行为轨迹日志、系统轨迹日志和进程行为知识库的设立,实现了一种自动分析和阻断各种已知、未知病毒、蠕虫、木马攻击的功能,并可根据日志进行攻击分析和系统还原。
发明内容
本发明基于以下观点:
1.安全防范的对象是进程而不是文件;
2.计算机病毒(如木马、蠕虫)识别的技术是进行进程行为识别和进程轨迹分析而不是文件扫描和虚拟执行;
3.计算机病毒(如木马、蠕虫)的清除技术是根据进程轨迹和系统轨迹进行智能恢复而不是对染毒文件的“手术”式修改;
4.系统状态和网络状态统一考虑,不再割裂成两块。
基于上述观点,本发明的技术设计如下:
1.定义并监控进程的行为;
进程的行为包括:
①外在行为(有无程序文件,有无界面);
②网络行为(监听、收发邮件,收发数据);
③系统行为(3环跳到0环,hook行为,修改boot和mainboot,修改PE文件,写文件,改写系统敏感位置)。
进程的行为监控包括;
①进程的身份识别(“认出”改进程的身份和来历);
②进程的启动、停止,网络动作,系统动作的监控;
③进程的“轨迹”描述,以日志方式记录进程的活动轨迹,如何时启动,被谁加载,何时发送过邮件,何时开启过端口,何时写过文件,什么文件,何时启动过什么系统服务,内核模块等。
2.将程序的行为进行分析,判断是否存在“违规”行为。“违规行为”是一些预定义的“危险行为”规则,符合任意一条便是“违规”,根据危险程度的强弱决定是否立即报警或阻断。
当系统监测到受控行为(如发送邮件,写文件、加载服务等)发生时,跟踪发生该动作的进程,再进行进程身份识别,进程行为规则验证,根据规则决定进行阻断或报警,并记入日志。
3.根据进程轨迹和系统轨迹进行日志分析和还原,以便实现对非法进程的破坏分析和恢复。因为对系统的文件、注册表、服务、内核模块等数据的变化过程进行了记录(系统轨迹变化),所以可以根据这些记录进行分析和恢复。并可以进一步进行综合日志分析得出结论,演示客户机器的受害过程,进行修复和还原。
具体实现方式
1.监控并记录进程的启动、停止,文件的增加删除,邮件的收发,系统服务的增加/减少、内核模块的增加和减少,系统配置信息的更新等事件,每一个事件计一条记录,包括事件的发生时间、发生事件的PID,这样描述一个完整的进程行为轨迹和系统变化轨迹,供后继分析和恢复还原。
2.监控若干危险行为,如3环跳到0环,启动网络服务、修改PE文件、修改系统的启动项等。当发生这些动作时,检查该动作的执行进程,通过分析该进程的行为决定是否阻断运行、报警、记入黑名单等。
3.在合理的时候(开机、关机、特定危险行为发生、客户设置的指定时间等)自动根据日志进行分析,并根据分析结果进行告警和还原。
产品共分为4个部分:日志系统、预警系统、分析系统、还原系统。
1.日志系统:包括日志“探针”的设置和日志数据库系统的实现日志探针的设置:
进程的启动、停止日志(进程何时启动、结束、PID、启动者(父进程)、启动方式(手动、自动);
文件的变更历史(创建、改写、换名、删除、移动,设为共享);
系统的服务变更日志(启动项、系统时间、系统服务的变更日志、boot和mainboot);
邮件收发日志(本机所有的邮件收发,包括所有进程的邮件。应记录进程PID,邮件的收发地址、主题、内容和附件(可选));
系统变更日志:启动项、Shell变更历史(关联的变化记录,谁干的,启动的变化)可以在每次开关机时进行一次检查,比较原有配置(保留原有配置是为了恢复),不必设置“探针”以减轻系统的负担。
2.预警系统:包括两个部分:
①对预警规则的定义:包括违规动作的违规等级值设定以及违规行为的处理方式:杀死进程、阻断执行、报警、记入黑名单。
②在系统的必要地方设置“探针”,以监控需要预警的违规动作。
探针的设置包括以下几个方面:
3环跳到0环
在堆栈中执行代码
写PE文件
在文件日志中实现
写注册表的敏感位置(如run,runonce,runservice,shell键)
发送邮件
修改boot区和mainboot区
shell敏感配置的变更
3.分析系统:在下列情况下进行分析:
异常行为发生时,开机、关机,重启机器时和客户自行设定的时间到达时。
首先分析有无异常行为发生,再根据导致异常行为发生的肇事者(pid),追查前一级的肇事者(pid),逐次递推,找出第一肇事者;再从第一肇事者开始,查找所有的肇事结果(生成的文件,修改的系统变量,环境变量等等),进而恢复(删除其生成物)。
4.还原系统:包括三项:
文件还原:对被修改的文件,删除其生成物;
系统还原:根据系统被改动的纪录,恢复系统原貌。删除其生成物;
生成还原日志。
Claims (4)
1.一种计算机安全软件产品,它包括四个方面:
日志系统,负责完成记录进程的行为和结果,以及操作系统的变更;
预警系统,预先设置的预警条件,监控进程特定的动作,当这些动作发生时,对该动作的执行者进行“行为验证”,并根据验证结果和预先设置进行预警、阻断、或者记入黑名单等操作;
分析系统,根据日志进行综合分析,以便识别有无安全事故发生,追查特定动作的来源,为恢复操作系统提供恢复依据;
还原系统,对业已造成的破坏进行智能恢复,主要是根据分析系统提供的分析结论(事故轨迹)进行有害文件的清除,系统设置的恢复,包括:启动项的清理,服务项的清理,内核模块的加载。
2.如权利要求1所述的计算机安全软件产品,其中所述系统指包括WINDOWS95,WINDOWS98,WINDOWS ME的WINDOWS操作系统,以及包括WINDOWS NT,WINDOWS 2000,WINDOWSXP的WINDOWS NT操作系统。
3.如权利要求1所述的计算机安全软件产品,其中所述日志系统包括文件系统日志、系统配置的变化日志、进程日志、本机邮件发送日志、内核模块的变化日志、网络行为日志、Shell变更历史等。通过这些日志记录可以完整地反映病毒、木马、蠕虫的活动轨迹,为后继的预警、分析和还原做好准备。
4.如权利要求1所述的计算机安全软件产品,其中所述预警系统包括:
3环跳到0环;
在堆栈中执行代码;
写PE文件;
写注册表的敏感位置(如run,runonce,runservice,shell键);
向管理者发送预警邮件;
修改boot区和mainboot区;
WriteProcessMemory来向每个进程映射Kernel32.dll的地址写入病毒代码,实现病毒的驻留;
拦截特定进程的api调用;
网络层的动作;
shell敏感配置的变更。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410013285 CN1707383A (zh) | 2004-06-10 | 2004-06-10 | 通过进程和系统轨迹分析阻断计算机病毒方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410013285 CN1707383A (zh) | 2004-06-10 | 2004-06-10 | 通过进程和系统轨迹分析阻断计算机病毒方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1707383A true CN1707383A (zh) | 2005-12-14 |
Family
ID=35581341
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200410013285 Pending CN1707383A (zh) | 2004-06-10 | 2004-06-10 | 通过进程和系统轨迹分析阻断计算机病毒方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1707383A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100374972C (zh) * | 2005-08-03 | 2008-03-12 | 珠海金山软件股份有限公司 | 一种检测和防御计算机恶意程序的系统和方法 |
| CN100437614C (zh) * | 2005-11-16 | 2008-11-26 | 白杰 | 未知病毒程序的识别及清除方法 |
| CN100465978C (zh) * | 2005-11-16 | 2009-03-04 | 白杰 | 被病毒程序破坏的数据恢复方法、装置及病毒清除方法 |
| CN101098226B (zh) * | 2006-06-27 | 2011-02-09 | 飞塔公司 | 一种病毒在线实时处理系统及其方法 |
| CN101593249B (zh) * | 2008-05-30 | 2011-08-03 | 成都市华为赛门铁克科技有限公司 | 一种可疑文件分析方法及系统 |
| CN103618720A (zh) * | 2013-11-29 | 2014-03-05 | 华中科技大学 | 一种木马网络通信检测与取证方法和系统 |
| CN103902892A (zh) * | 2012-12-24 | 2014-07-02 | 珠海市君天电子科技有限公司 | 基于行为的病毒防御方法及系统 |
| CN104144063A (zh) * | 2013-05-08 | 2014-11-12 | 朱烨 | 基于日志分析和防火墙安全矩阵的网站安全监控报警系统 |
| CN104901822A (zh) * | 2014-03-04 | 2015-09-09 | 北京奇虎科技有限公司 | 一种应用程序传播过程的跟踪方法和装置 |
| CN106203116A (zh) * | 2008-06-11 | 2016-12-07 | 北京奇虎科技有限公司 | 一种恶意软件的检测方法及装置 |
| CN110780857A (zh) * | 2019-10-23 | 2020-02-11 | 杭州涂鸦信息技术有限公司 | 一种统一日志组件 |
| CN114676429A (zh) * | 2022-03-18 | 2022-06-28 | 山东鼎夏智能科技有限公司 | 一种启动项未知风险的检测方法及装置 |
-
2004
- 2004-06-10 CN CN 200410013285 patent/CN1707383A/zh active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100374972C (zh) * | 2005-08-03 | 2008-03-12 | 珠海金山软件股份有限公司 | 一种检测和防御计算机恶意程序的系统和方法 |
| CN100437614C (zh) * | 2005-11-16 | 2008-11-26 | 白杰 | 未知病毒程序的识别及清除方法 |
| CN100465978C (zh) * | 2005-11-16 | 2009-03-04 | 白杰 | 被病毒程序破坏的数据恢复方法、装置及病毒清除方法 |
| CN101098226B (zh) * | 2006-06-27 | 2011-02-09 | 飞塔公司 | 一种病毒在线实时处理系统及其方法 |
| CN101593249B (zh) * | 2008-05-30 | 2011-08-03 | 成都市华为赛门铁克科技有限公司 | 一种可疑文件分析方法及系统 |
| CN106203116A (zh) * | 2008-06-11 | 2016-12-07 | 北京奇虎科技有限公司 | 一种恶意软件的检测方法及装置 |
| CN103902892A (zh) * | 2012-12-24 | 2014-07-02 | 珠海市君天电子科技有限公司 | 基于行为的病毒防御方法及系统 |
| CN103902892B (zh) * | 2012-12-24 | 2017-08-04 | 珠海市君天电子科技有限公司 | 基于行为的病毒防御方法及系统 |
| CN104144063A (zh) * | 2013-05-08 | 2014-11-12 | 朱烨 | 基于日志分析和防火墙安全矩阵的网站安全监控报警系统 |
| CN104144063B (zh) * | 2013-05-08 | 2018-08-10 | 朱烨 | 基于日志分析和防火墙安全矩阵的网站安全监控报警系统 |
| CN103618720A (zh) * | 2013-11-29 | 2014-03-05 | 华中科技大学 | 一种木马网络通信检测与取证方法和系统 |
| CN104901822A (zh) * | 2014-03-04 | 2015-09-09 | 北京奇虎科技有限公司 | 一种应用程序传播过程的跟踪方法和装置 |
| CN110780857A (zh) * | 2019-10-23 | 2020-02-11 | 杭州涂鸦信息技术有限公司 | 一种统一日志组件 |
| CN110780857B (zh) * | 2019-10-23 | 2024-01-30 | 杭州涂鸦信息技术有限公司 | 一种统一日志组件 |
| CN114676429A (zh) * | 2022-03-18 | 2022-06-28 | 山东鼎夏智能科技有限公司 | 一种启动项未知风险的检测方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113661693B (zh) | 经由日志检测敏感数据暴露 | |
| EP3502943B1 (en) | Method and system for generating cognitive security intelligence for detecting and preventing malwares | |
| CN101231682B (zh) | 计算机信息安全的方法 | |
| CN101986324B (zh) | 用于恶意软件检测的事件的异步处理 | |
| CN101350052B (zh) | 发现计算机程序的恶意行为的方法和装置 | |
| Saeed et al. | A survey on malware and malware detection systems | |
| CN102160048B (zh) | 收集和分析恶意软件数据 | |
| CN1702590A (zh) | 一种建立计算机中可信任运行环境的方法 | |
| CN1707383A (zh) | 通过进程和系统轨迹分析阻断计算机病毒方法 | |
| CN1794193A (zh) | 自恢复性能设备的方法和系统 | |
| CN1550950A (zh) | 防护计算机系统使之免受恶意软件破坏的方法和系统 | |
| CN103246849A (zh) | 一种Windows下基于增强型ROST的安全运行方法 | |
| CN101877039A (zh) | 一种服务器操作系统的故障检测技术 | |
| KR101031786B1 (ko) | 의심스러운 행위의 수준별 분류 및 격리 실행을 통한 악성 코드 사전 대응 장치, 방법 및 그 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 | |
| US9959406B2 (en) | System and method for zero-day privilege escalation malware detection | |
| CN101068168A (zh) | 主机入侵检测方法及系统 | |
| CN100596336C (zh) | 一种清除rootkit的系统及方法 | |
| CN1375775A (zh) | 网关级计算机网络病毒防范的方法及其装置 | |
| CN1949240A (zh) | 用于计算机的电子数据取证方法和系统 | |
| EP2306356A2 (en) | Asynchronous processing of events for malware detection | |
| KR20110087826A (ko) | 가상머신을 이용한 악성소프트웨어 탐지 방법 | |
| CN105930740A (zh) | 软体文件被修改时的来源追溯方法、监测方法、还原方法及系统 | |
| CN106250764A (zh) | 一种计算机终端控制系统 | |
| KR101580624B1 (ko) | 벌점기반의 알려지지 않은 악성코드 탐지 및 대응 방법 | |
| CN115361182B (zh) | 一种僵尸网络行为分析方法、装置、电子设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |