主動防御方法及裝置的制造方法
【技術領域】
[0001]本發(fā)明涉及計算機安全技術領域����,特別是涉及主動防御方法及裝置�����。
【背景技術】
[0002]惡意程序是一個概括性的術語,指任何故意創(chuàng)建用來執(zhí)行未經(jīng)授權(quán)并通常是有害行為的軟件程序���。計算機病毒����、后門程序��、鍵盤記錄器��、密碼盜取者��、Word和Excel宏病毒��、引導區(qū)病毒���、腳本病毒(batch, windows shell, java等)����、木馬�����、犯罪軟件、間課軟件和廣告軟件等等�,都是一些可以稱之為惡意程序的例子。
[0003]傳統(tǒng)的惡意程序防殺主要依賴于特征庫模式�。特征庫是由廠商收集到的惡意程序樣本的特征碼組成,而特征碼則是分析工程師從惡意程序中找到和正當軟件的不同之處���,截取一段類似于“搜索關鍵詞”的程序代碼��。當查殺過程中��,引擎會讀取文件并與特征庫中的所有特征碼“關鍵詞”進行匹配���,如果發(fā)現(xiàn)文件程序代碼被命中,就可以判定該文件程序為惡意程序����。
[0004]特征庫匹配是查殺已知惡意程序很有效的一項技術。但是現(xiàn)今全球惡意程序數(shù)量呈幾何級增長����,基于這種爆發(fā)式的增速��,特征庫的生成與更新往往是滯后的�����,很多時候殺毒軟件無法防殺層出不窮的未知惡意程序。
[0005]HIPS (Host-based Intrus1n Prevent1n System���,基于主機的入侵防御系統(tǒng))是一種通過攔截系統(tǒng)內(nèi)的常見危險動作�����,不以特征碼作為判斷惡意程序的依據(jù)�����,而是從最原始的定義出發(fā)�����,直接將程序的行為作為判斷惡意程序的依據(jù)���,其中衍生出在本地使用特征庫、在本地設置行為閾值以及在本地啟發(fā)式殺毒的方式來判別����、攔截惡意程序的行為,從而一定程度上達到保護用戶電腦的目的。借助自己對軟件及系統(tǒng)的了解���,人為的或者軟件內(nèi)置的一些觸發(fā)條件制+止一些不正常的動作��,以達到系統(tǒng)安全的一個軟件系統(tǒng)���,這種觸發(fā)條件一般稱為HIPS規(guī)則。
[0006]然而�,在現(xiàn)有技術中使用HIPS規(guī)則進行主動防御時,經(jīng)常出現(xiàn)誤報的現(xiàn)象�。因此,迫切需要本領域技術人員解決的技術問題就在于�����,如何在使用HIPS規(guī)則進行主動防御時�����,降低誤報的概率���。
【發(fā)明內(nèi)容】
[0007]本發(fā)明提供了主動防御方法及裝置���,能夠降低誤判的概率����。
[0008]本發(fā)明提供了如下方案:
[0009]本發(fā)明實施例提供一種主動防御方法�����,包括:
[0010]對預置接口產(chǎn)生的遠程過程調(diào)用協(xié)議RPC調(diào)用進行跟蹤����;
[0011]當用戶權(quán)限的進程通過預置接口發(fā)起調(diào)用系統(tǒng)服務進程的請求時�,攔截所述請求,從所述請求中提取源文件的路徑��,并建立所述源文件的路徑與被調(diào)用的系統(tǒng)服務進程之間的關聯(lián)�;
[0012]如果有操作行為觸發(fā)基于主機的入侵防御系統(tǒng)HIPS規(guī)則、并根據(jù)進程鏈追溯到發(fā)起所述操作行為的進程是被調(diào)用的系統(tǒng)服務進程�,則將所述源文件的路徑確定為所述操作行為的來源;
[0013]根據(jù)所述源文件的危險等級����,執(zhí)行主機入侵防御處理。
[0014]可選地��,所述源文件包括MSI安裝包文件��,所述對預置接口的RPC調(diào)用進行跟蹤包括:
[0015]對接口 MSIServer::DoInstal IRemote的RPC調(diào)用進行跟蹤,以便獲取所述MSI安裝包文件在系統(tǒng)中的保存路徑�����。
[0016]可選地��,所述源文件包括MSI安裝包文件中的動態(tài)鏈接庫DLL文件�,所述對預置接口的RPC調(diào)用進行跟蹤包括:
[0017]對接口CMsiCustomAct1n::PrepareDLLCustomAct1n 的 RPC 調(diào)用進行跟蹤,以便獲取所述MSI安裝包文件中的DLL文件的DLL路徑�����。
[0018]可選地�����,所述根據(jù)所述源文件的危險等級�����,執(zhí)行主機入侵防御處理包括:
[0019]確定源文件的危險等級�����;
[0020]根據(jù)所述源文件的危險等級���,對所述操作行為執(zhí)行攔截���。
[0021]可選地��,所述根據(jù)所述源文件的危險等級,執(zhí)行主機入侵防御處理包括:
[0022]根據(jù)所述源文件的危險等級�����,向用戶進行風險提示��,并將所述源文件的信息提示給用戶��。
[0023]本發(fā)明實施例提供一種主動防御裝置��,包括:
[0024]跟蹤單元�,用于對預置接口產(chǎn)生的遠程過程調(diào)用協(xié)議RPC調(diào)用進行跟蹤;
[0025]攔截單元���,用于當當用戶權(quán)限的進程通過預置接口發(fā)起調(diào)用系統(tǒng)服務進程的請求時�,攔截所述請求��,從所述請求中提取源文件的路徑�,并建立所述源文件的路徑與被調(diào)用的系統(tǒng)服務進程之間的關聯(lián)����;
[0026]來源確定單元��,用于如果有操作行為觸發(fā)基于主機的入侵防御系統(tǒng)HIPS規(guī)則�����、并根據(jù)進程鏈追溯到所述被調(diào)用的系統(tǒng)服務進程�����,則將所述源文件的路徑確定為所述操作行為的來源���;
[0027]處理單元��,用于根據(jù)所述源文件的危險等級���,執(zhí)行主機入侵防御處理。
[0028]可選地���,所述源文件包括MSI安裝包文件�,所述跟蹤單元包括:
[0029]第一跟蹤子單元����,用于對接口 IMSIServer: =DoInstallRemote的RPC調(diào)用進行跟蹤�,以便獲取所述MSI安裝包文件在系統(tǒng)中的保存路徑����。
[0030]可選地,所述源文件包括MSI安裝包文件中的動態(tài)鏈接庫DLL文件����,所述跟蹤單元包括:
[0031]第二跟蹤子單元�,用于對接口CMsiCustomAct1n::PrepareDLLCustomAct1n 的RPC調(diào)用進行跟蹤,以便獲取所述MSI安裝包文件中的DLL文件的DLL路徑��。
[0032]可選地����,所述處理單元包括:
[0033]操作攔截子單元,用于根據(jù)所述源文件的危險等級��,對所述操作行為執(zhí)行攔截�。
[0034]可選地,所述處理單元包括:
[0035]風險提示子單元�,用于根據(jù)所述源文件的危險等級,向用戶進行風險提示���,并將所述源文件的信息提示給用戶�����。
[0036]根據(jù)本發(fā)明提供的具體實施例���,本發(fā)明公開了以下技術效果:
[0037]通過本發(fā)明�����,針對用戶啟動運行某文件之后���,會通過用戶權(quán)限下的一個進程轉(zhuǎn)移到系統(tǒng)服務權(quán)限下的另一個進程中去執(zhí)行,導致進程鏈斷鏈的情況�����,能夠?qū)⒔⒃次募c被調(diào)用的系統(tǒng)服務權(quán)限進程之間的關聯(lián)�,從而在某操作行為觸發(fā)HIPS規(guī)則時,能夠追溯到操作行為的真正來源����,進而通過對真正來源處的文件進行危險等級的判斷,來確定是否需要進行攔截或者彈出提示,這樣可以降低誤判的概率����。
【附圖說明】
[0038]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案,下面將對實施例中所需要使用的附圖作簡單地介紹��,顯而易見地��,下面描述中的附圖僅僅是本發(fā)明的一些實施例�,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下����,還可以根據(jù)這些附圖獲得其他的附圖。
[0039]圖1是HIPS系統(tǒng)示意圖���;
[0040]圖2是本發(fā)明實施例提供的方法的流程圖;
[0041]圖3是本發(fā)明實施例提供的裝置的示意圖��;
[0042]圖4是本發(fā)明實施例提供的系統(tǒng)的示意圖���;
[0043]圖5是本發(fā)明實施例提供的另一系統(tǒng)的示意圖��。
【具體實施方式】
[0044]下面將結(jié)合本發(fā)明實施例中的附圖�����,對本發(fā)明實施例中的技術方案進行清楚�、完整地描述,顯然����,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例�。基于本發(fā)明中的實施例����,本領域普通技術人員所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍�。
[0045]為了便于理解本發(fā)明,首先對HIPS的相關內(nèi)容進行簡單的介紹���。參見圖1�����,最常見的HIPS是“3D”類的借助規(guī)則攔截程序動作的軟件�����。所謂的3D包括AD (Applicat1nDefend,應用程序防御體系)��、RD (Registry Defend����,注冊表防御體系)、FD (File Defend����,文件防御體系),這三個HIPS進行防御所采用的最直觀的動作����,通過攔截這些直觀的動作的來起到保護系統(tǒng)的安全。其中��,AD的作用是監(jiān)控程序運行�����、加載�����、訪問物理內(nèi)存�����、操作底層磁盤���、鍵盤記錄等等的關鍵操作����;FD的作用就是監(jiān)控系統(tǒng)對任何文件的讀取����、修改、創(chuàng)建���、刪除操作��;RD的作用是監(jiān)控對注冊表的操作����。
[0046]例如:假設有病毒入侵電腦�����,則:
[0047]病毒首先會在硬盤上建立病毒實體��,這時候就會觸發(fā)FD的“創(chuàng)建”規(guī)則;
[0048]接著讀取病毒體�,會觸發(fā)FD的“讀取”規(guī)則;
[0049]再接著運行病毒體�,會觸發(fā)AD的各項規(guī)則;
[0050]如果是感染型病毒���,在運行過程中還會修改硬盤的文件�����,例如感染exe文件��,此時����,會觸發(fā)FD的“修改”規(guī)則�����;如果是破壞型病毒��,運行過程中還會