CN1801030A - 一种区分有害程序行为的方法 - Google Patents
一种区分有害程序行为的方法 Download PDFInfo
- Publication number
- CN1801030A CN1801030A CN 200410103148 CN200410103148A CN1801030A CN 1801030 A CN1801030 A CN 1801030A CN 200410103148 CN200410103148 CN 200410103148 CN 200410103148 A CN200410103148 A CN 200410103148A CN 1801030 A CN1801030 A CN 1801030A
- Authority
- CN
- China
- Prior art keywords
- program
- behavior
- harmful
- action
- differentiation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 105
- 241000700605 Viruses Species 0.000 claims abstract description 54
- 238000012544 monitoring process Methods 0.000 claims abstract description 12
- 230000006399 behavior Effects 0.000 claims description 150
- 230000009471 action Effects 0.000 claims description 81
- 230000004069 differentiation Effects 0.000 claims description 73
- 230000008569 process Effects 0.000 claims description 13
- 230000004048 modification Effects 0.000 claims description 9
- 238000012986 modification Methods 0.000 claims description 9
- 230000002155 anti-virotic effect Effects 0.000 claims description 7
- 239000010410 layer Substances 0.000 claims description 7
- KKIMDKMETPPURN-UHFFFAOYSA-N 1-(3-(trifluoromethyl)phenyl)piperazine Chemical compound FC(F)(F)C1=CC=CC(N2CCNCC2)=C1 KKIMDKMETPPURN-UHFFFAOYSA-N 0.000 claims description 6
- 241000726445 Viroids Species 0.000 claims description 6
- 238000011112 process operation Methods 0.000 claims description 6
- 239000007787 solid Substances 0.000 claims description 6
- 230000008859 change Effects 0.000 claims description 4
- 102100033641 Bromodomain-containing protein 2 Human genes 0.000 claims description 3
- 101000871850 Homo sapiens Bromodomain-containing protein 2 Proteins 0.000 claims description 3
- 208000032826 Ring chromosome 3 syndrome Diseases 0.000 claims description 3
- 230000000052 comparative effect Effects 0.000 claims description 3
- 239000012792 core layer Substances 0.000 claims description 3
- 231100001261 hazardous Toxicity 0.000 claims description 3
- 238000004458 analytical method Methods 0.000 abstract 1
- 230000009545 invasion Effects 0.000 description 6
- 230000003542 behavioural effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000003612 virological effect Effects 0.000 description 2
- 208000027418 Wounds and injury Diseases 0.000 description 1
- 230000001740 anti-invasion Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
Abstract
本发明涉及了一种区分有害程序行为的方法,其特征在于,使用了基于状态动作集的病毒攻击识别库,包括如下步骤:1.1)对未知程序的动作行为进行监控并记录;1.2)将该程序被记录的动作行为作为一个整体,与所述病毒攻击识别规则库进行比较;1.3)根据比较结果区分有害程序行为;是,则向用户报警或阻止该程序继续运行;否,则程序继续运行并返回步骤1.1)。运用本发明的方法,不依赖病毒代码特征,而是对未知程序动作行为进行分析,判断是否为有害程序行为,因此,该方法具有高效、准确的优点,并且能对新生的攻击程序提前做出警报。
Description
技术领域
本发明涉及一种计算机病毒、攻击防护方法,特别是对于未知程序的一种区分有害程序行为的方法。
背景技术
一直以来,对计算机病毒的入侵和反入侵的斗争都在激烈地进行着,随着计算机越来越广泛地使用,这种斗争的激烈程度也上升到一个新的高度。经过长期的斗争实践,人们总结出许多的具体方法来防止对计算机病毒的入侵,研制出许多相应的防范产品。这些产品大体上可以分为两类,一类是对入侵病毒进行隔离,例如防火墙,通过对通讯端口、协议等进行限制来防止入侵病毒的进入;另一类是对可能形成入侵的染病毒文件进行搜寻,例如杀毒软件,利用可能形成入侵染病毒文件的代码特征,通过扫描发现并清除有害染病毒文件。这两类产品虽然在反病毒入侵的斗争中起了不少的作用,但都具有一些无法克服的缺点,它们分别是:
(一)防火墙虽然能够阻断一些非法病毒或黑客的入侵,但防火墙的监控对象为主要端口和协议,需要由用户自己设置要么允许通过、要么不允许通过。其主要缺陷,1.要求用户对系统非常熟悉,才能对它进行有效设置;2.由于监控颗粒太大,对于网络应用中必须用到的端口和协议基本无法设置,如果允许通过,则可能导致病毒或黑客入侵发生;若不允许通过,则可能又直接影响网络的正常运行。
(二)利用病毒特征码的杀毒软件将永远滞后于病毒的发展,因为只有捕获到病毒样本后,才能提取到病毒的特征码,这使得这种杀毒软件对新出现的未知病毒入侵无法防范,用户即使装备了杀毒软件,也会再次受到该病毒的攻击伤害,只有通过升级、更新病毒数据库才可以解决,而这种解决是滞后于病毒发生的。
发明内容
本发明就是为了解决上述问题,其目的在于提供一种能够有效保护计算机免受未知程序中的病毒、木马等攻击的基于对程序动作行为特征的区分有害程序行为的方法。
本发明的区分有害程序行为的方法,可以应用于基于程序行为方式的病毒防护实时监控系统中;对于已经存储于程序行为知识库中的合法的已知程序,通过将其动作行为与程序行为识别库存储的该程序的合法动作行为进行对比,来判断已知程序是否受到攻击;但对于没有存储于程序行为知识库的未知程序,则通过监控并记录未知程序的动作行为,并与病毒攻击识别规则库中存储的有害程序攻击行为特征作比较,从而识别有害的程序行为,并及时拦截有害程序对系统的攻击。
基于病毒攻击识别规则库,所述病毒攻击识别规则库记录了多种病毒、木马及有害程序的攻击行为特征,每一记录对应一类病毒,每一类病毒对应一个动作集,该动作集包括一系列动作及其之间特定的关联关系。
本发明的有害程序行为的方法包括如下步骤:
1.1)对未知程序的动作行为进行监控并记录;
1.2)将该程序被记录的动作行为作为一个整体,与所述病毒攻击识别规则库进行比较;
1.3)根据比较结果区分有害程序行为;是,则向用户报警或阻止该程序继续运行;否,则程序继续运行并返回步骤1.1)。
本发明的区分有害程序行为的方法中,所述被记录的动作行为包括:动作类型、动作发生时间和调用者。
本发明的区分有害程序行为的方法中,所述监控并记录的动作行为包括:
监控动作,指该动作可能影响计算机安全、需要对其进行实时监控;
危险动作,该动作首先是一个监控动作,在程序运行中,该动作可能威胁计算机安全;
此外所述动作行为还包括,非监控动作,不影响计算机安全无需进行监控的动作。
本发明的区分有害程序行为的方法,截获程序运行时影响计算机安全的每一个监控动作和危险动作,并与攻击识别规则库中记录的攻击行为特征进行比较。
本发明的区分有害程序行为的方法中,所述关联关系包括前后动作之间的时间关系及调用和被调用关系。
本发明的区分有害程序行为的方法中,所述攻击识别规则库,包括病毒规则一:
a)运行于用户层RING3的程序,转入系统核心层RING0运行。
本发明的区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括病毒规则二:
b)该程序执行修改其他程序文件的操作。
本发明的区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括远程攻击规则一:
c)该程序通过监听端口接受数据后,立即调用SHELL程序。
本发明的区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括远程攻击规则二:
d)该程序通过监听端口接收数据后,发生缓冲区溢出。
本发明的区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括远程攻击规则三:
e)该程序通过监听端口接收数据后,立即调用一般文件传输协议TFTP程序。
本发明的区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括邮件蠕虫规则一:
f)该程序由邮件系统自动生成,且该程序运行时修改注册表的自启动项,该程序无窗口、无托盘,并且立即开始发送邮件。
本发明的区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括可疑木马规则一:
g)该程序由邮件系统自动生成,且该程序运行时修改注册表的自启动项,该程序无窗口、无托盘,并且立即开始创建监听端口。
本发明的区分有害程序行为的方法,其特征在于:所述监控动作,包括,文件操作;网络操作;创建进程、创建线程;注册表操作;窗口、托盘操作;堆栈溢出;注入线程;拦截系统API调用以及访问、修改和创建用户帐号。
本发明的区分有害程序行为的方法,其特征在于:所述危险动作,包括,调用SHELL程序;修改程序文件或写程序文件;调用FTP或TFTP;创建FTP或TFTP服务;发送邮件;浏览器或邮件系统自动运行其他程序;创建大量相同线程;修改和创建用户帐号;危险网络操作;向系统注册表添加启动项;修改系统启动文件;向其他进程注入线程;堆栈溢出;应用级进程运行时自动提升为系统级进程操作;拦截系统API调用。
本发明的区分有害程序行为的方法,其特征在于:所述被监控程序处于运行状态,其退出后,不再监视和记录。
本发明的区分有害程序行为的方法,其特征在于,包括如下步骤:
16.1)发现未知程序或进程运行;
16.2)创建与该程序对应的行为的描述结构实体;
16.3)捕获该程序可能危害计算机安全的监控行为和危险行为;
16.4)判断其动作类型;
16.5)将识别的动作记录到对应的行为描述结构实体中;
16.6)对比攻击识别规则库,计算该行为描述结构实体的权值
16.7)判断是否超过权值上限,否,返回步骤16.3);是,进入下一步;
16.8)判定为有害程序行为。
本发明的区分有害程序行为的方法,其特征在于:所述行为描述结构实体与所述攻击识别规则库的结构一致。
本发明的区分有害程序行为的方法,其特征在于:所述行为是程序调用操作系统提供的API函数。
本发明的区分有害程序行为的方法,其特征在于:步骤16.6)中所述权值为,由规则库提供各项行为判断标准的经验值,并对其多项行为的所述经验值进行累加后得到描述实体的权值。
本发明的区分有害程序行为的方法,其特征在于:步骤16.7)中所述权值上限,由本发明提供的经验值判断,或按照用户自定义。
本发明的区分有害程序行为的方法,其特征在于:判断为有害程序行为后,由用户对其是否继续执行进行判断。
本发明的区分有害程序行为的方法,其特征在于,所述攻击识别规则库,其数据结构,包括:
可执行PE文件的全路径、创建者的全路径、创建者的特性、创建者有无窗口、与创建者是否同一个文件、是否拷贝自身、文件有无描述、是否自启动、谁创建的自启动项、是否被创建者启动、是否自己创建启动项、是否有窗口或托盘图标、修改注册表项链表和网络动作链表。
本发明的区分有害程序行为的方法,其特征在于,所述修改注册表项链表的子数据结构,包括:入口列表、键名、值名和值。
本发明的区分有害程序行为的方法,其特征在于,所述网络动作链表的子数据结构,包括:类型、本地端口、本地地址、远程端口、远程地址和使用协议。
本发明的优点在于,本发明区分有害程序行为的方法能够准确的检查出未知程序的有害程序行为,保护计算机免受病毒、木马等有害程序的攻击,并且与现有技术相比具有高效、准确的优点。
附图说明
图1为本发明区分有害程序行为的方法的流程示意图。
具体实施方式
下面结合附图对本发明的具体实施例进行详细说明。
本发明的区分有害程序行为的方法,是基于病毒攻击识别规则库,所述病毒攻击识别规则库记录了多种病毒、木马及有害程序的攻击行为特征,每一记录对应一类病毒,每一类病毒对应一个动作集,该动作集包括一系列动作及其之间特定的关联关系。
本发明的区分有害程序行为的方法包括如下步骤:
1.1)对未知程序的动作行为进行监控并记录;
1.2)将该程序被记录的动作行为作为一个整体,与所述病毒攻击识别规则库进行比较;
1.3)根据比较结果区分有害程序行为;是,则向用户报警或阻止该程序继续运行;否,则程序继续运行并返回步骤1.1)。
本发明的区分有害程序行为的方法中,所述被记录的动作行为包括:动作类型、动作发生时间和调用者。
本发明的区分有害程序行为的方法中,所述监控并记录的动作行为包括:
监控动作,指该动作可能影响计算机安全、需要对其进行实时监控;
危险动作,该动作首先是一个监控动作,在程序运行中,该动作可能威胁计算机安全;
此外所述动作行为还包括,非监控动作,不影响计算机安全无需进行监控的动作。
本发明的区分有害程序行为的方法,截获程序运行时影响计算机安全的每一个监控动作和危险动作,并与攻击识别规则库中记录的攻击行为特征进行比较。
本发明的区分有害程序行为的方法中,所述关联关系包括前后动作之间的时间关系及调用和被调用关系。
本发明的区分有害程序行为的方法中,所述攻击识别规则库,包括病毒规则一:
a)运行于用户层RING3的程序,转入系统核心层RING0运行。
本发明的区分有害程序行为的方法中,所述攻击识别规则库中,包括病毒规则二:
b)该程序执行修改其他程序文件的操作。
如上所述病毒规则,如果某未知程序执行了前述a)或b)的操作,便可以判断该程序具有病毒攻击的行为。众所周知,上述动作是极其危险的动作,并且是绝大多数病毒程序所具有的共同特征,例如:CIH病毒则具有上述两特征,其一开始执行便转入系统RING0层执行,因此凭借上述规则便可在CIH病毒刚刚开始运行时就发现,并通过本发明中下述的方法将其禁止,从而有效保护系统免受CIH病毒的攻击;并且,对于许多未知病毒程序或新生病毒,可以不再依靠病毒特征代码的检验,通过病毒动作行为的特征将其识别出来,做到了检查的准确而且执行效率提高,减少系统开销,并能做到及时发现及时拦截。
本发明的区分有害程序行为的方法中,所述攻击识别规则库中,包括远程攻击规则一:
c)该程序通过监听端口接受数据后,立即调用SHELL程序。
本发明的区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括远程攻击规则二:
d)该程序通过监听端口接收数据后,发生缓冲区溢出。
本发明的区分有害程序行为的方法中,所述攻击识别规则库中,包括远程攻击规则三:
e)该程序通过监听端口接收数据后,立即调用一般文件传输协议TFTP程序。
如上所述远程攻击规则c)、d)和e)均由多个动作组合而成,对于其中的单独的动作虽然无法判断上述攻击程序的目的,但是通过对多个动作行为在时间上的关系,就可以轻易判断出该程序是否具有攻击性,因此,对于具有上述行为特征的未知程序可以判断为远程攻击程序,从而将其禁止。与现有的防火墙技术相比,不但对于远程攻击的预报上更为准确,而且减少了用户麻烦,不必每次浏览新网页或发送接收邮件需要进行网络连接时,都要先接收防火墙的警报,但如果停止防火墙,系统则变得不安全。
下面利用本发明截获“震荡波”蠕虫的攻击,对上述远程攻击规则作以简要说明:震荡波蠕虫病毒与其他蠕虫病毒不同,并不发送邮件,其工作原理为,在本地开辟后门。监听TCP 5554端口,做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows操作系统中的LSASS中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常。
利用本发明的区分有害程序行为的方法,当已经感染了震荡波的计算机发出攻击包至使用本发明的防护系统时,本地计算机的LSASS进程溢出,溢出代码会调用GetProcAddress,就会被本发明的监控机制抓住,判断为缓冲区溢出,而且在溢出前,LSASS进程会从系统的139,445端口接收数据,这与上述d)规则所提供的规则相符;因此本发明可以准确判断出该远程攻击,于是系统调用ExitThread,将这个线程结束,从而使震荡波蠕虫无法进入下一步的动作,有效保护了本地计算机。
本发明的区分有害程序行为的方法中,所述攻击识别规则库中,包括邮件蠕虫规则一:
f)该程序由邮件系统自动生成,且该程序运行时修改注册表的自启动项,该程序无窗口、无托盘,并且立即开始发送邮件。
如上所述蠕虫规则,由多个动作行为构成蠕虫攻击行为特征,根据如上所述信息,便可有效的防范蠕虫攻击,并能够有效遏制蠕虫在网络上的蔓延。
本发明的区分有害程序行为的方法中,所述攻击识别规则库中,包括可疑木马规则一:
g)该程序由邮件系统自动生成,且该程序运行时修改注册表的自启动项,该程序无窗口、无托盘,并且立即开始创建监听端口。
根据如上所述可疑木马规则,也可以不依赖现有的防火墙系统,将其识别出来,监控方式更为简便,而且简化了用户使用的复杂程度。
下面利用本发明截获著名的反弹行木马黑洞对规则g)作以简要说明:由于其属于未知程序,该进程启动即被本发明的监控系统捕获,同时该程序没有创建应用程序窗口及系统托盘区图标;并且该程序启动后会修改注册表启动项,以保证自己可以在下次用户登录时自动启动,此动作行为也是危险动作,因此也被本发明的监控系统捕获,该进程继续执行将会连接远端web服务器以获得客户端服务的地址、端口信息,以便与其建立连接进行信息传输,此连网动作被捕获后,将上述动作一同与攻击识别规则库中的规则比较,便可判断为可疑木马,并向用户报警,同时说明该非法程序的属性为可疑木马,以便用户更准确的了解信息,避免了现有防火墙系统只要发生网络动作便报警,而且需要用户对报警动作安全性的判断。
按照本发明的区分有害程序行为的方法中,所述监控动作,包括,文件操作;网络操作;创建进程、线程;注册表操作;窗口、托盘操作;堆栈溢出;注入线程;拦截系统API调用以及访问、修改和创建用户帐号。
所述危险动作,包括,调用SHELL程序;修改程序文件或写程序文件;调用FTP或TFTP;创建FTP或TFTP服务;发送邮件;浏览器或邮件系统自动运行其他程序;创建大量相同线程;修改和创建用户帐号;危险网络操作;向系统注册表添加启动项;修改系统启动文件;向其他进程注入线程;堆栈溢出;应用级进程运行时自动提升为系统级进程操作;拦截系统API调用。
本发明的区分有害程序行为的方法中,所述被监控程序处于运行状态,其退出后,不再监视和记录,因此可以释放更多的系统资源,减小系统的开销。
本发明的区分有害程序行为的方法,包括如下步骤:
16.1)发现未知程序或进程运行;
16.2)创建与该程序对应的行为的描述结构实体;
16.3)捕获该程序可能危害计算机安全的监控行为和危险行为;
16.4)判断其动作类型;
16.5)将识别的动作记录到对应的行为描述结构实体中;
16.6)对比攻击识别规则库,计算该行为描述结构实体的权值
16.7)判断是否超过权值上限,否,返回步骤16.3);是,进入下一步;
16.8)判定为有害程序行为。
本发明的区分有害程序行为的方法中,所述行为描述结构实体与所述攻击识别规则库的结构一致。
本发明的区分有害程序行为的方法中,所述行为是程序调用操作系统提供的API函数。
本发明的区分有害程序行为的方法,其中步骤16.6)中所述权值为,由规则库提供各项行为判断标准的经验值,并对其多项行为的所述经验值进行累加后得到描述实体的权值。
本发明的区分有害程序行为的方法,其中步骤16.7)中所述权值上限,由本发明提供的经验值判断,或按照用户自定义。许多对计算机程序有较深了解的用户经常需要一些自己设计或其他没有正式来源的程序,而这些程序很有可能是为了改善系统性能或提高系统易用性,因此,这些未知程序会执行很多监控动作或危险动作,与攻击识别规则库的规则相符合,如果由本发明的方法直接将该程序判断为有害程序,然后禁止执行,也会给上述这一部分用户带来麻烦,因而,本发明还提供了按照用户自定义某一程序的权值的设置,即,虽然判断为有害程序行为后,但由用户决定否继续执行该程序。
本发明的区分有害程序行为的方法中,所述攻击识别规则库,其中,每一记录的数据结构实体为:
struct UnknowPEFileInMem
{
Char WeighofDanger;//危险权值
Char FileName[MAX_PATH];//新创建的PE文件的全路径
Char CreatorName[MAX_PATH];//创建者的全路径
Char CharacterOfCreator;/创建者的特性
Char NoWindowOfCreator;//创建者有无窗口
Char SameAsCreator;//与创建者是同一个文件
Char CopySelf;//拷贝自身,对于创建者是CopySelf,对于被复制的文件是SameAsCreator,//以次来区分两者
Char FileDescription;//文件有无描述
Char AutoRun;//是否自启动
Char WhoWriteAutoRun;//谁创建的自启动项
BOOLEAN RunByCreator;//是否被创建者启动
BOOLEAN RunBySelf;//是否自己创建启动项
BOOLEAN bCreateWindow;//是否有窗口或托盘图标
LIST_ENTRY RegList;//修改注册表项链表
LIST_NET ListNetAction;//网络动作链表
}
上述创建者的特性“CharacterOfCreator”的具体数据记录及描述是:
-1:未知程序;
0:其它已知程序;
1:邮件系统;
2:网络浏览器;
3:网络交流系统(如QQ、MSN等);
上述谁创建的自启动项“WhoWriteAutoRun”的具体数据记录及描述是:
0:未知;
1:自己;
2:创建者;
3.自己,创建者都会写
其中修改注册表项链表的子数据结构实体为。
struct REG_DATA
{
LIST_ENTRY List;//入口列表
char Key[];//键名
char ValueName[];//值名
char Value[];//值
}
其中网络动作链表的子数据结构实体为:
struct LIST_NET
{
int type;//类型
short lport;//本地端口
IPADDR lipaddr;//本地IP地址
short dport;//远程端口
IPADDR dipaddr;//远程IP地址
short protoco1;//使用协议
};
综上所述,本发明的区分有害程序行为的方法,能够准确的检查出未知程序的有害程序行为,保护计算机免受病毒、木马等有害程序的攻击,并且与现有技术相比具有高效、准确的优点。
通过上述的说明内容,相关工作人员完全可以在不偏离本项发明技术思想的范围内,进行多样的变更以及修改。因此,本项发明的技术性范围并不局限于说明书上的内容,必须要根据权利范围来确定其技术性范围。
Claims (25)
1、一种区分有害程序行为的方法,其特征在于:该方法是基于病毒攻击识别规则库,所述病毒攻击识别规则库记录了多种病毒、木马及有害程序的攻击行为特征,每一记录对应一类病毒,每一类病毒对应一个动作集,该动作集包括一系列动作及其之间特定的关联关系,并且所述区分有害程序行为的方法包括如下步骤,
1.1)对未知程序的动作行为进行监控并记录;
1.2)将该程序被记录的动作行为作为一个整体,与所述病毒攻击识别规则库进行比较;
1.3)根据比较结果区分有害程序行为;是,则向用户报警或阻止该程序继续运行;否,则程序继续运行并返回步骤1.1)。
2、按照权利要求1所述区分有害程序行为的方法,其特征在于,所述被记录的动作行为包括:动作类型、动作发生时间和调用者。
3、按照权利要求1所述区分有害程序行为的方法,其特征在于,
所述监控并记录的动作行为包括,
监控动作,指该动作可能影响计算机安全、需要对其进行实时监控;
危险动作,该动作首先是一个监控动作,在程序运行中,该动作可能威胁计算机安全;
此外所述动作行为还包括,非监控动作,不影响计算机安全无需进行监控的动作。
4、按照权利要求3所述区分有害程序行为的方法,其特征在于:截获程序运行时影响计算机安全的每一个监控动作和危险动作,并与攻击识别规则库中记录的攻击行为特征进行比较。
5、按照权利要求1所述区分有害程序行为的方法,其特征在于,所述关联关系包括前后动作之间的时间关系及调用和被调用关系。
6、按照权利要求1所述区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括病毒规则一:
a)运行于用户层RING3的程序,转入系统核心层RING0运行。
7、按照权利要求1所述区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括病毒规则二:
b)该程序执行修改其他程序文件的操作。
8、按照权利要求1所述区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括远程攻击规则一:
c)该程序通过监听端口接受数据后,立即调用SHELL程序。
9、按照权利要求1所述区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括远程攻击规则二:
d)该程序通过监听端口接收数据后,发生缓冲区溢出。
10、按照权利要求1所述区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括远程攻击规则三:
e)该程序通过监听端口接收数据后,立即调用一般文件传输协议TFTP程序。
11、按照权利要求1所述区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括邮件蠕虫规则一:
f)该程序由邮件系统自动生成,且该程序运行时修改注册表的自启动项,该程序无窗口、无托盘,并且立即开始发送邮件。
12、按照权利要求1所述区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括可疑木马规则一:
g)该程序由邮件系统自动生成,且该程序运行时修改注册表的自启动项,该程序无窗口、无托盘,并且立即开始创建监听端口。
13、按照权利要求3所述区分有害程序行为的方法,其特征在于:所述监控动作,包括,文件操作;网络操作;创建进程、创建线程;注册表操作;窗口、托盘操作;堆栈溢出;注入线程;拦截系统API调用以及访问、修改和创建用户帐号。
14、按照权利要求3所述区分有害程序行为的方法,其特征在于:所述危险动作,包括,调用SHELL程序;修改程序文件或写程序文件;调用FTP或TFTP;创建FTP或TFTP服务;发送邮件;浏览器或邮件系统自动运行其他程序;创建大量相同线程;修改和创建用户帐号;危险网络操作;向系统注册表添加启动项;修改系统启动文件;向其他进程注入线程;堆栈溢出;应用级进程运行时自动提升为系统级进程操作;拦截系统API调用及访问。
15、按照权利要求1所述区分有害程序行为的方法,其特征在于:所述被监控程序处于运行状态,其退出后,不再监视和记录。
16、按照权利要求1所述区分有害程序行为的方法,其特征在于,包括如下步骤:
16.1)发现未知程序或进程运行;
16.2)创建与该程序对应的行为的描述结构实体;
16.3)捕获该程序可能危害计算机安全的监控行为和危险行为;
16.4)判断其动作类型;
16.5)将识别的动作记录到对应的行为描述结构实体中;
16.6)对比攻击识别规则库,计算该行为描述结构实体的权值
16.7)判断是否超过权值上限,否,则返回步骤16.3);是,则进入下一步;
16.8)判定为有害程序行为。
17、按照权利要求16所述区分有害程序行为的方法,其特征在于:所述行为描述结构实体与所述攻击识别规则库的结构一致。
18、按照权利要求16所述区分有害程序行为的方法,其特征在于:所述行为是程序调用操作系统提供的API函数。
19、按照权利要求16所述区分有害程序行为的方法,其特征在于:步骤16.6)中所述权值为,由规则库提供各项行为判断标准的经验值,并对其多项行为的所述经验值进行累加后得到描述实体的权值。
20、按照权利要求16所述区分有害程序行为的方法,其特征在于:步骤16.7)中所述权值上限,由本发明提供的经验值判断,或按照用户自定义。
21、按照权利要求16所述区分有害程序行为的方法,其特征在于:判断为有害程序行为后,由用户对其是否继续执行进行判断。
22、按照权利要求1或16所述区分有害程序行为的方法,其特征在于,所述攻击识别规则库,其数据结构,包括:
可执行PE文件的全路径、创建者的全路径、创建者的特性、创建者有无窗口、与创建者是否同一个文件、是否拷贝自身、文件有无描述、是否自启动、谁创建的自启动项、是否被创建者启动、是否自己创建启动项、是否有窗口或托盘图标、修改注册表项链表和网络动作链表。
23、按照权利要求22所述区分有害程序行为的方法,其特征在于,所述修改注册表项链表的子数据结构,包括:入口列表、键名、值名和值。
24、按照权利要求22所述区分有害程序行为的方法,其特征在于,所述网络动作链表的子数据结构,包括:类型、本地端口、本地地址、远程端口、远程地址和使用协议。
25、按照权利要求1所述区分有害程序行为的方法,其特征在于:将所述方法应用于基于程序行为方式的病毒防护实时监控系统中,监控可能是有害程序的未知程序所执行的监控动作和危险动作,并及时拦截有害程序对系统的攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004101031484A CN100557545C (zh) | 2004-12-31 | 2004-12-31 | 一种区分有害程序行为的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004101031484A CN100557545C (zh) | 2004-12-31 | 2004-12-31 | 一种区分有害程序行为的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1801030A true CN1801030A (zh) | 2006-07-12 |
| CN100557545C CN100557545C (zh) | 2009-11-04 |
Family
ID=36811075
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004101031484A Expired - Fee Related CN100557545C (zh) | 2004-12-31 | 2004-12-31 | 一种区分有害程序行为的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100557545C (zh) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100437614C (zh) * | 2005-11-16 | 2008-11-26 | 白杰 | 未知病毒程序的识别及清除方法 |
| CN101350052B (zh) * | 2007-10-15 | 2010-11-03 | 北京瑞星信息技术有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| CN101350054B (zh) * | 2007-10-15 | 2011-05-25 | 北京瑞星信息技术有限公司 | 计算机有害程序自动防护方法及装置 |
| CN102111400A (zh) * | 2010-12-07 | 2011-06-29 | 成都市华为赛门铁克科技有限公司 | 一种木马检测方法、装置及系统 |
| CN101286986B (zh) * | 2008-05-15 | 2011-09-14 | 成都市华为赛门铁克科技有限公司 | 一种主动防御的方法、装置及系统 |
| CN102724182A (zh) * | 2012-05-30 | 2012-10-10 | 北京像素软件科技股份有限公司 | 异常客户端的识别方法 |
| CN102789559A (zh) * | 2011-05-20 | 2012-11-21 | 北京网秦天下科技有限公司 | 监测移动设备中程序安装和程序运行的方法和系统 |
| CN102831338A (zh) * | 2012-06-28 | 2012-12-19 | 北京奇虎科技有限公司 | 一种Android应用程序的安全检测方法及系统 |
| CN103136475A (zh) * | 2011-11-29 | 2013-06-05 | 姚纪卫 | 一种检查计算机病毒的方法和装置 |
| CN103425798A (zh) * | 2013-09-02 | 2013-12-04 | 成都网安科技发展有限公司 | 启发式行为参数分析算法 |
| CN103428223A (zh) * | 2013-08-28 | 2013-12-04 | 北京永信至诚科技有限公司 | 一种木马行为识别方法与系统 |
| CN103501300A (zh) * | 2013-09-30 | 2014-01-08 | 华为技术有限公司 | 网络钓鱼攻击的检测方法、终端及服务器 |
| CN103957193A (zh) * | 2014-04-04 | 2014-07-30 | 华为技术有限公司 | 客户端、服务器和事件类型确定方法 |
| CN105488405A (zh) * | 2014-12-25 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种基于pdb调试信息的恶意代码分析方法及系统 |
| CN105488393A (zh) * | 2014-12-27 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种基于数据库蜜罐的攻击行为意图分类方法及系统 |
| CN110647743A (zh) * | 2018-06-26 | 2020-01-03 | 北京安天网络安全技术有限公司 | 一种恶意行为的鉴定方法、装置和存储设备 |
| CN115203699A (zh) * | 2022-09-16 | 2022-10-18 | 北京网藤科技有限公司 | 一种基于行为特征的病毒识别方法和系统 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102567674A (zh) * | 2012-02-10 | 2012-07-11 | 联信摩贝软件(北京)有限公司 | 基于行为判断软件是否含有病毒的方法和设备 |
-
2004
- 2004-12-31 CN CNB2004101031484A patent/CN100557545C/zh not_active Expired - Fee Related
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100437614C (zh) * | 2005-11-16 | 2008-11-26 | 白杰 | 未知病毒程序的识别及清除方法 |
| CN101350052B (zh) * | 2007-10-15 | 2010-11-03 | 北京瑞星信息技术有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| CN101350054B (zh) * | 2007-10-15 | 2011-05-25 | 北京瑞星信息技术有限公司 | 计算机有害程序自动防护方法及装置 |
| CN101286986B (zh) * | 2008-05-15 | 2011-09-14 | 成都市华为赛门铁克科技有限公司 | 一种主动防御的方法、装置及系统 |
| CN102111400B (zh) * | 2010-12-07 | 2014-07-09 | 华为数字技术(成都)有限公司 | 一种木马检测方法、装置及系统 |
| CN102111400A (zh) * | 2010-12-07 | 2011-06-29 | 成都市华为赛门铁克科技有限公司 | 一种木马检测方法、装置及系统 |
| CN102789559A (zh) * | 2011-05-20 | 2012-11-21 | 北京网秦天下科技有限公司 | 监测移动设备中程序安装和程序运行的方法和系统 |
| CN103136475A (zh) * | 2011-11-29 | 2013-06-05 | 姚纪卫 | 一种检查计算机病毒的方法和装置 |
| CN103136475B (zh) * | 2011-11-29 | 2017-07-04 | 姚纪卫 | 一种检查计算机病毒的方法和装置 |
| CN102724182A (zh) * | 2012-05-30 | 2012-10-10 | 北京像素软件科技股份有限公司 | 异常客户端的识别方法 |
| CN102724182B (zh) * | 2012-05-30 | 2015-03-25 | 北京像素软件科技股份有限公司 | 异常客户端的识别方法 |
| CN102831338A (zh) * | 2012-06-28 | 2012-12-19 | 北京奇虎科技有限公司 | 一种Android应用程序的安全检测方法及系统 |
| CN103428223A (zh) * | 2013-08-28 | 2013-12-04 | 北京永信至诚科技有限公司 | 一种木马行为识别方法与系统 |
| CN103425798A (zh) * | 2013-09-02 | 2013-12-04 | 成都网安科技发展有限公司 | 启发式行为参数分析算法 |
| CN103501300A (zh) * | 2013-09-30 | 2014-01-08 | 华为技术有限公司 | 网络钓鱼攻击的检测方法、终端及服务器 |
| CN103957193A (zh) * | 2014-04-04 | 2014-07-30 | 华为技术有限公司 | 客户端、服务器和事件类型确定方法 |
| CN105488405A (zh) * | 2014-12-25 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种基于pdb调试信息的恶意代码分析方法及系统 |
| CN105488393A (zh) * | 2014-12-27 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种基于数据库蜜罐的攻击行为意图分类方法及系统 |
| CN105488393B (zh) * | 2014-12-27 | 2018-07-03 | 哈尔滨安天科技股份有限公司 | 一种基于数据库蜜罐的攻击行为意图分类方法及系统 |
| CN110647743A (zh) * | 2018-06-26 | 2020-01-03 | 北京安天网络安全技术有限公司 | 一种恶意行为的鉴定方法、装置和存储设备 |
| CN115203699A (zh) * | 2022-09-16 | 2022-10-18 | 北京网藤科技有限公司 | 一种基于行为特征的病毒识别方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100557545C (zh) | 2009-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1801030A (zh) | 一种区分有害程序行为的方法 | |
| CN100547513C (zh) | 基于程序行为分析的计算机防护方法 | |
| CN100401224C (zh) | 计算机反病毒防护系统和方法 | |
| RU2444056C1 (ru) | Система и способ ускорения решения проблем за счет накопления статистической информации | |
| US11562068B2 (en) | Performing threat detection by synergistically combining results of static file analysis and behavior analysis | |
| US8214905B1 (en) | System and method for dynamically allocating computing resources for processing security information | |
| US8312268B2 (en) | Virtual machine | |
| CN101986324B (zh) | 用于恶意软件检测的事件的异步处理 | |
| CN101350052B (zh) | 发现计算机程序的恶意行为的方法和装置 | |
| CN1309214C (zh) | 基于协同入侵检测的大规模网络安全防御系统 | |
| US7483993B2 (en) | Temporal access control for computer virus prevention | |
| US7870612B2 (en) | Antivirus protection system and method for computers | |
| CN1320472C (zh) | 以使用者知识为基础的信息分类系统 | |
| US9602527B2 (en) | Security threat detection | |
| RU2487405C1 (ru) | Система и способ для исправления антивирусных записей | |
| US8209758B1 (en) | System and method for classifying users of antivirus software based on their level of expertise in the field of computer security | |
| CN1550950A (zh) | 防护计算机系统使之免受恶意软件破坏的方法和系统 | |
| US8214904B1 (en) | System and method for detecting computer security threats based on verdicts of computer users | |
| CN1885788A (zh) | 网络安全防护方法及系统 | |
| CN1694454A (zh) | 主动式网络安全漏洞检测器 | |
| CN103065092A (zh) | 一种拦截可疑程序运行的方法 | |
| CN1815949A (zh) | 客户端装置、设备检验装置以及检验方法 | |
| CN101039326A (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
| CN101034974A (zh) | 基于时间序列和事件序列的关联分析攻击检测方法和装置 | |
| CN1731310A (zh) | Windows环境下的主机入侵检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: BEIJING EASTERN MICROPOINT INFO-TECH CO., LTD. Free format text: FORMER OWNER: FUJIAN ORIENT MICROPOINT INFORMATION SECURITY CO., LTD. Effective date: 20150715 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150715 Address after: 100097 Beijing city Haidian District landianchang road A Jin Yuan era business center No. 2 block 5E Patentee after: Beijing Dongfang Micropoint Information Technology Co.,Ltd. Address before: 350002, No. 548, industrial road, Gulou District, Fujian, Fuzhou, five Patentee before: Fujian Orient Micropoint Information Security Co.,Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20180507 Address after: 100097 Jin Yuan, A 5E, business center, 2 East Road, Haidian District, Beijing. Patentee after: Weidian Baihui (Beijing) Information Security Technology Co.,Ltd. Address before: 100097 Jin Yuan, A 5E, business center, 2 East Road, Haidian District, Beijing. Patentee before: Beijing Dongfang Micropoint Information Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20091104 Termination date: 20211231 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |