專利名稱:計(jì)算機(jī)信息安全的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種信息安全技術(shù),特別是計(jì)算機(jī)信息安全的方法。
技術(shù)背景現(xiàn)有的計(jì)算機(jī)安全產(chǎn)品門類繁多,但從設(shè)計(jì)方案上來(lái)說(shuō),大致分三類殺毒軟件、 防火墻和安全漏洞評(píng)估及安全服務(wù)。殺毒軟件主要防范和清除客戶機(jī)器硬盤(pán)上的病 毒、木馬、蠕蟲(chóng)文件和被感染的系統(tǒng)設(shè)置,恢復(fù)原始無(wú)毒狀態(tài);防火墻主要通過(guò)設(shè)置 網(wǎng)絡(luò)數(shù)據(jù)包過(guò)濾規(guī)則,過(guò)濾和阻斷網(wǎng)絡(luò)上不符合預(yù)先設(shè)定的規(guī)則的數(shù)據(jù)包,在網(wǎng)絡(luò)上 實(shí)現(xiàn)了一個(gè)用戶可配置的過(guò)濾開(kāi)關(guān)。安全漏洞評(píng)估及安全服務(wù)是通過(guò)人工的經(jīng)驗(yàn)和知 識(shí)對(duì)某個(gè)安全對(duì)象(網(wǎng)絡(luò)或者單機(jī))進(jìn)行安全評(píng)估,提出安全報(bào)告,打補(bǔ)丁等。這三 種方式分別從不同的側(cè)面對(duì)可能或業(yè)已對(duì)用戶造成的安全危害進(jìn)行檢査,清除和防 范,具有各自的作用和價(jià)值。但是,從用戶的整體安全出發(fā)來(lái)考慮,它們都是比較片 面的、短效的和事后的,不足以給用戶營(yíng)造一個(gè)放心的,穩(wěn)定的安全環(huán)境。這是因?yàn)槠湟?、殺毒軟件的設(shè)計(jì)出發(fā)點(diǎn)是認(rèn)為,安全的威脅來(lái)自文件,故以文件為殺毒的 對(duì)象。它的實(shí)際方案是對(duì)文件的病毒檢查和"手術(shù)式"的殺毒。其局限有三點(diǎn)一、 殺毒軟件是針對(duì)具體的病毒,它識(shí)別病毒的前提是先"認(rèn)識(shí)"病毒,必須事前詳細(xì)知 道具體病毒樣本,以便提取特征碼和構(gòu)造的殺毒方法。但對(duì)于未能識(shí)別的病毒,則是 "大門敞開(kāi)","聽(tīng)之任之";二是它只是著眼于文件,著眼于具體的病毒,沒(méi)有對(duì)當(dāng) 前的網(wǎng)絡(luò)狀態(tài)和系統(tǒng)狀態(tài)歷史進(jìn)行歷史的和全局的智能分析。這就使得病毒查殺總是 滯后于病毒的出現(xiàn),必須以用戶受到病毒攻擊為代價(jià);三是殺毒軟件的"性能"很大 程度上取決于病毒樣本收集的齊全和及時(shí)程度,以及用戶升級(jí)的及時(shí)程度。實(shí)際上這 是很難得到保證的,結(jié)果是殺毒軟件的實(shí)際作用大打折扣。其二、防火墻的性能比較片面,主要是對(duì)網(wǎng)絡(luò)包進(jìn)行基于規(guī)則的過(guò)濾,以便阻斷 不合規(guī)則的網(wǎng)絡(luò)傳輸,這固然可以防止某些"已知"的網(wǎng)絡(luò)行為,但從整個(gè)用戶的安 全出發(fā),顯然是不夠的,用戶機(jī)器上實(shí)際上若有什么危害程序,它則鞭長(zhǎng)莫及了。其三、安全漏洞評(píng)估及安全服務(wù)是一種"人工"行為,形同人體的"體檢",充 其量算是一種"抽査式"的手法罷了,根本不能嚴(yán)密地防范實(shí)際安全危害。由于存在上述缺陷,近年來(lái)許多廠商宣稱開(kāi)發(fā)了 "主動(dòng)防御"系統(tǒng)(或稱"行為 分析"等,名稱很多,但思想基本相同,以下統(tǒng)稱為"主動(dòng)防御"),他們?cè)谝欢ǔ潭?上,能夠根據(jù)病毒或其它攻擊代碼的某些行為特征識(shí)別它們,并立即進(jìn)行阻止,刪除 文件等操作。這種方式的安全產(chǎn)品看似完美無(wú)缺,其實(shí)同樣存在不少問(wèn)題。首先是識(shí)別的準(zhǔn)確性問(wèn)題。由于"主動(dòng)防御"設(shè)計(jì)思想上仍然是通過(guò)在病毒運(yùn)行 初期就識(shí)別和處理,沒(méi)有進(jìn)行事后的恢復(fù)和清除,這就要求"主動(dòng)防御"軟件必須在 病毒等惡意代碼的運(yùn)行不久就識(shí)別出來(lái)并處理,無(wú)法根據(jù)充分的證據(jù)來(lái)從容地判斷, 所以它必須僅僅就"蛛絲馬跡"得出結(jié)論,這就不可避免地存在著較大程度的誤報(bào)。其次是識(shí)別的完備性問(wèn)題。同樣由于"主動(dòng)防御"設(shè)計(jì)思想上仍然是"御敵于國(guó) 門之外",它的"取證"來(lái)不及等到完整和充分,這也使得它的"分析"因缺足夠的 "證據(jù)"而有失完整,必然帶來(lái)一定的漏報(bào)、處理不全面、刪除不徹底等完整性問(wèn)題。其次是識(shí)別效率問(wèn)題。根據(jù)"主動(dòng)防御御敵于國(guó)門之外"的設(shè)計(jì)思想,"漏網(wǎng)之 魚(yú)"不再處理,因此漏報(bào)是致命的。為盡量避免漏報(bào),它就必須進(jìn)行"密集分析"(反 復(fù)進(jìn)行頻繁的"分析"),這顯然無(wú)法避免的帶來(lái)系統(tǒng)效率的開(kāi)銷。最后是用戶的安全性問(wèn)題。前面已經(jīng)分析了,根據(jù)"主動(dòng)防御御敵于國(guó)門之外" 的設(shè)計(jì)思想,"漏網(wǎng)之魚(yú)"會(huì)自由行動(dòng),這無(wú)疑帶來(lái)用戶的安全隱患。 發(fā)明內(nèi)容本發(fā)明的第一個(gè)目的是提供一種不需要事前詳細(xì)知道具體病毒樣本的計(jì)算機(jī)信 息安全的方法。本發(fā)明的第二個(gè)目的是提供一種安全性好、識(shí)別效率以及準(zhǔn)確性高的計(jì)算機(jī)信息 安全的方法。本發(fā)明的第三個(gè)目的是提供一種確保用戶指定的文件不會(huì)被非法訪問(wèn)的方法。 本發(fā)明的技術(shù)方案是設(shè)計(jì)一種計(jì)算機(jī)信息安全的方法,其特征是它至少包括如 下步驟1) 對(duì)系統(tǒng)進(jìn)行日志記錄;2) 判斷程序行為是否涉及到被保護(hù)文件,若是被保護(hù)文件,則根據(jù)保護(hù)規(guī)則禁止 運(yùn)行或限制運(yùn)行,若不是被保護(hù)文件則檢測(cè)是否有試圖修改系統(tǒng)安全的敏感文件;3) 沒(méi)有試圖修改系統(tǒng)安全的敏感文件,繼續(xù)運(yùn)行第2)條;4) 如果有試圖修改系統(tǒng)安全的敏感文件,啟動(dòng)自動(dòng)備份原始文件,進(jìn)行第5)條 的操作,如果沒(méi)有試圖修改系統(tǒng)安全的敏感文件,重新返回第2)條;5) 允許修改系統(tǒng)安全的敏感文件;6) 通過(guò)第l)條建立的運(yùn)行日志記錄分析識(shí)別惡意程序;7) 是惡意程序,刪除惡意程序,進(jìn)行第8)條的操作,不是惡意程序重新返回第 2)條;8) 根據(jù)該惡意程序的運(yùn)行軌跡進(jìn)行恢復(fù)被該惡意程序修改的文件和注冊(cè)表的內(nèi) 容等,使系統(tǒng)恢復(fù)到該惡意程序(及其相關(guān)惡意程序)運(yùn)行前的狀態(tài),從而維護(hù)系統(tǒng) 的正常運(yùn)行;9) 返回第2)條。所述的被保護(hù)文件是指用戶事先指定的文件,指定的文件只能在指定的時(shí)間段內(nèi) 被指定的程序以指定的權(quán)限和指定的用戶身份以及指定的密碼訪問(wèn),從而確保用戶指 定的文件不會(huì)被非法訪問(wèn)。所述的對(duì)系統(tǒng)進(jìn)行日志記錄至少包括進(jìn)程日志、網(wǎng)絡(luò)活動(dòng)日志、注冊(cè)表變更日志 (Unix/Linux下無(wú))、文件變更和生成日志等。所述的通過(guò)運(yùn)行日志記錄分析識(shí)別惡意程序包括-1)定時(shí)觸發(fā)分析和敏感事件觸發(fā)分析;所述的敏感事件是指對(duì)系統(tǒng)安全可能造成危害的修改注冊(cè)表,修改啟動(dòng)項(xiàng)入口,啟動(dòng)shell,增加或刪除文件事件。2)分析算法是基于時(shí)間順序分析和進(jìn)程序列分析,用于實(shí)現(xiàn)對(duì)各種危害的識(shí)別和 危害過(guò)程的完整描述,作為后繼恢復(fù)的基礎(chǔ)。所述的自動(dòng)備份原始文件方式是把待修改的文件或注冊(cè)表內(nèi)容進(jìn)行適當(dāng)變形后 保存,同時(shí)記下引起備份的進(jìn)程、時(shí)間、原始文件路徑和時(shí)間等,并進(jìn)行備份大小控 制,防止過(guò)度備份引起硬盤(pán)的緊張,乃至系統(tǒng)的崩潰。所述的文件恢復(fù)包括覆蓋原始文件或注冊(cè)表,使系統(tǒng)還原為原始狀態(tài)。本發(fā)明的優(yōu)點(diǎn)是本發(fā)明采用的是在完整的描述系統(tǒng)運(yùn)行軌跡基礎(chǔ)上的分析、恢 復(fù)和清除策略,能夠有效保障用戶的安全。具體說(shuō)來(lái),就是在保障用戶的機(jī)密信息 不泄密、無(wú)篡改的基礎(chǔ)上,對(duì)病毒、木馬等所有惡意代碼的運(yùn)行軌跡進(jìn)行詳細(xì)而完備 的監(jiān)控和記錄,并根據(jù)這些記錄進(jìn)行智能分析, 一旦分析發(fā)現(xiàn)病毒等程序,就根據(jù)它 的運(yùn)行軌跡進(jìn)行恢復(fù)(即刪除它所安裝的文件,恢復(fù)它修改的注冊(cè)表和文件,使系統(tǒng) 恢復(fù)到病毒運(yùn)行前的狀態(tài)),從而保障用戶的安全。因此本發(fā)明不需要事前詳細(xì)知道 具體病毒樣本就能對(duì)計(jì)算機(jī)運(yùn)行的非法程序進(jìn)行分析和處理。其次,由于采用"事前 自動(dòng)備份、事后自動(dòng)恢復(fù)"的方法,對(duì)非法程序進(jìn)行詳細(xì)全面地分析處理,使計(jì)算機(jī) 安全性好、識(shí)別效率以及準(zhǔn)確性高。本發(fā)明的優(yōu)點(diǎn)可通過(guò)下面具體的流程圖說(shuō)明更深的了解
圖1是本發(fā)明實(shí)施例主流程;圖2是文件規(guī)則處理流程;圖3是分析的觸發(fā)流程;圖4是檢測(cè)是否有修改敏感文件的行為流程; 圖5是文件限定設(shè)置流程; 圖6是日志系統(tǒng)流程圖; 圖7是恢復(fù)系統(tǒng)流程圖; 圖8是啟動(dòng)分析系統(tǒng)流程圖; 圖9是敏感事件分析圖; 圖10是分析系統(tǒng)邏輯流程圖。
具體實(shí)施方式
本發(fā)明實(shí)施例主流程如圖l所示,它至少包括如下步驟步驟IOI,對(duì)系統(tǒng)進(jìn)行 日志記錄;步驟102,檢測(cè)是否有試圖修改系統(tǒng)安全的敏感文件;如果沒(méi)有繼續(xù)執(zhí)行 步驟102;如果有,執(zhí)行步驟103,啟動(dòng)自動(dòng)備份原始文件;接著執(zhí)行步驟104,允許 修改系統(tǒng)安全的敏感文件;執(zhí)行步驟105,通過(guò)步驟101建立的運(yùn)行日志記錄分析識(shí) 別惡意程序;如果是,執(zhí)行步驟106,刪除非法程序;接著完成步驟107,根據(jù)該非 法程序的運(yùn)行軌跡進(jìn)行恢復(fù)被該惡意程序修改的文件和注冊(cè)表的內(nèi)容等,使系統(tǒng)恢復(fù) 到該惡意程序(及其相關(guān)惡意程序)運(yùn)行前的狀態(tài),從而維護(hù)系統(tǒng)的正常運(yùn)行;然后 由步驟108重新返回步驟102,重新檢測(cè)是否有試圖修改系統(tǒng)安全的敏感文件。如果不是,也重新返回步驟102,重新檢測(cè)是否有試圖修改系統(tǒng)安全的敏感文件。通過(guò)主流程不難發(fā)現(xiàn),本發(fā)明采用的是在完整的描述系統(tǒng)運(yùn)行軌跡基礎(chǔ)上的分析、恢復(fù)和清除策略,有效保障用戶的安全。具體說(shuō)來(lái),就是在保障用戶的機(jī)密信息不泄密、無(wú) 篡改的基礎(chǔ)上,對(duì)病毒、木馬等所有惡意代碼的運(yùn)行軌跡進(jìn)行詳細(xì)而完備的監(jiān)控和記 錄,并根據(jù)這些記錄進(jìn)行智能分析, 一旦分析發(fā)現(xiàn)病毒等程序,就根據(jù)它的運(yùn)行軌跡 進(jìn)行恢復(fù)(即刪除它所安裝的文件,恢復(fù)它修改的注冊(cè)表和文件,使系統(tǒng)恢復(fù)到病毒 運(yùn)行前的狀態(tài)),從而保障用戶的安全。圖2是文件規(guī)則處理流程的各步驟說(shuō)明。它至少包括步驟200,打開(kāi)文件;然后 進(jìn)入步驟201,判斷步驟200打開(kāi)的文件是否屬于限定保護(hù)文件;如不是,轉(zhuǎn)到208 條,調(diào)用操作系統(tǒng)的打開(kāi)文件函數(shù);如果是則進(jìn)行步驟202,讀取系統(tǒng)當(dāng)前時(shí)間、 用戶身份、訪問(wèn)權(quán)限、訪問(wèn)者全路徑、訪問(wèn)密碼等;當(dāng)步驟202執(zhí)行完后,接著執(zhí)行 步驟203、步驟204,讀取上述文件的訪問(wèn)規(guī)則,并從第一條開(kāi)始判斷;如果訪問(wèn)時(shí) 間、權(quán)限、密碼、訪問(wèn)者、均符合這條訪問(wèn)規(guī)則,轉(zhuǎn)到步驟208,調(diào)用操作系統(tǒng)的打 開(kāi)文件函數(shù);如果不符合接著執(zhí)行下面步驟205,是否有其它規(guī)則存在,如果有, 執(zhí)行步驟206,讀取下一條文件規(guī)則;如果沒(méi)有,轉(zhuǎn)到步驟207,拒絕本次文件操作, 返回至系統(tǒng)打開(kāi)文件前的狀態(tài)。如圖3是分析的觸發(fā)流程。步驟301內(nèi)核監(jiān)測(cè)到敏感事件發(fā)生時(shí),步驟302紀(jì)錄 發(fā)生該事件的進(jìn)程PID、發(fā)生時(shí)間等信息,步驟303通過(guò)對(duì)上層事件觸發(fā)針對(duì)該進(jìn)程 進(jìn)行一次分析,步驟304根據(jù)分析結(jié)論進(jìn)行處理。如圖4是檢測(cè)是否有修改敏感文件行為的流程的各步驟說(shuō)明。它包括步驟401, 根據(jù)內(nèi)核通知的PID啟動(dòng)分析程序,步驟402判斷該文件是否自啟動(dòng)文件,如果不是, 則進(jìn)入步驟407,認(rèn)為它不是危險(xiǎn)進(jìn)程,可放行;否則,則進(jìn)入步驟403,判斷其是 否可見(jiàn),若可見(jiàn),則進(jìn)入步驟407;否則進(jìn)入步驟404,判斷它是否具有網(wǎng)絡(luò)動(dòng)作, 沒(méi)有,則進(jìn)入步驟407,放行,否則進(jìn)入下一步判斷;步驟405判斷是否具有其他危 險(xiǎn)動(dòng)作,是,進(jìn)入步驟406判斷其是危險(xiǎn)文件產(chǎn)生的進(jìn)程,進(jìn)行恢復(fù)處理。否則進(jìn)入 步驟407繼續(xù)監(jiān)控。敏感事件是指對(duì)系統(tǒng)安全可能造成危害的事件,如修改注冊(cè)表,修改啟動(dòng)項(xiàng)入口, 啟動(dòng)shell,增加或刪除文件等。分析算法是基于時(shí)間順序分析和進(jìn)程序列分析,目的在于實(shí)現(xiàn)對(duì)各種危害的識(shí)別 和危害過(guò)程的完整描述,作為后繼恢復(fù)的基礎(chǔ)。對(duì)前述日志系統(tǒng)的智能分析(簡(jiǎn)稱"分析系統(tǒng)",下同),可識(shí)別和描述多種類別 的計(jì)算機(jī)病毒、木馬和黑客攻擊等各種惡意代碼的發(fā)生、傳播和危害軌跡,危害內(nèi)容 和危害結(jié)果。分析系統(tǒng)的實(shí)現(xiàn)方式包括圖8給出的定時(shí)觸發(fā)和圖9給出的敏感事件觸 發(fā)兩種;兩種觸發(fā)的流程步驟是相同的。如圖5所示給出了是文件限定設(shè)置流程,它包括步驟501,在輸出設(shè)備(顯示器) 界面下用戶通過(guò)界面方便地由輸入設(shè)備(鍵盤(pán)或鼠標(biāo))選擇自己需要限定的文件,限 定選項(xiàng)包括指定訪問(wèn)進(jìn)程,訪問(wèn)時(shí)間,訪問(wèn)權(quán)限,訪問(wèn)密碼,訪問(wèn)用戶的身份等。一個(gè)文件可以全部選擇也可分項(xiàng)選擇。步驟第502條是加載內(nèi)核驅(qū)動(dòng)程序,將用戶的限 定需求加載到內(nèi)核中。步驟第503是在內(nèi)核中監(jiān)控并攔截文件系統(tǒng)的打開(kāi)文件操作。 步驟第504進(jìn)入文件規(guī)則處理流程。文件限定設(shè)置流程實(shí)際上是確定保護(hù)文件的操作。被保護(hù)文件只能在指定的時(shí)間 段內(nèi)被指定的程序以指定的權(quán)限和指定的用戶身份以及指定的密碼訪問(wèn),從而確保用 戶指定的文件不會(huì)被非法訪問(wèn)。圖6是日志記錄的一個(gè)流程步驟,進(jìn)入日志記錄開(kāi)始的步驟601后,依次進(jìn)行步 驟602的攔截內(nèi)核文件操作、步驟603的攔截內(nèi)核注冊(cè)表操作、步驟604的攔截內(nèi)核 網(wǎng)絡(luò)操作、步驟605的攔截內(nèi)核進(jìn)程啟動(dòng)操作,隨后通過(guò)步驟606檢測(cè)上述操作是否 發(fā)生,沒(méi)有重新操作步驟606檢測(cè)上述操作是否發(fā)生,有進(jìn)行步驟607,生成相關(guān)曰 志記錄,再由步驟606進(jìn)入步驟608將日志匯入到數(shù)據(jù)庫(kù)。系統(tǒng)迸程的運(yùn)行日志系統(tǒng) 實(shí)際上包括四大日志l)進(jìn)程啟動(dòng)日志;2)網(wǎng)絡(luò)活動(dòng)日志;3)注冊(cè)表變更日志 (Unix/Linux下無(wú));4)文件變更和生成日志。從圖6可以看出日志系統(tǒng)是一個(gè)反復(fù) 循環(huán)的獨(dú)立運(yùn)行系統(tǒng),它的任務(wù)是詳細(xì)的記錄系統(tǒng)的運(yùn)行日志,并寫(xiě)入日志數(shù)據(jù)庫(kù)中。圖7是恢復(fù)系統(tǒng)具體流程步驟,包括一個(gè)開(kāi)始步驟700;隨后順序完成以下步驟-步驟701,完成從日志庫(kù)中査出非法程序的所有子程序;步驟702,清除非法進(jìn)程; 步驟703,備份非法程序,以便必要時(shí)恢復(fù);步驟704,清除非法程序;步驟705,清 除非法程序生成的文件;步驟706,從備份中査出非法程序修改過(guò)的文件原始備份; 步驟707,恢復(fù)原始文件;步驟708,恢復(fù)非法程序修改的注冊(cè)表鍵值;步驟709,記 入恢復(fù)事件日志;最后從步驟710退出。當(dāng)分析出危害發(fā)生時(shí),不僅從源頭上完整地清除危害代碼,而且根據(jù)它的危害軌跡和危害內(nèi)容,自動(dòng)實(shí)現(xiàn)智能恢復(fù),以便恢復(fù)到危害發(fā)生前的狀態(tài);具體實(shí)現(xiàn)方式就 是將恢復(fù)的內(nèi)容還原,覆蓋原始文件或注冊(cè)表,使系統(tǒng)還原為原始狀態(tài),恢復(fù)系統(tǒng)需 要考慮和遵守合理的順序;保證恢復(fù)的有序和順利。針對(duì)危害可能造成的破壞,在破壞發(fā)生前,自動(dòng)進(jìn)行緊急備份,如改寫(xiě)文件、注 冊(cè)表和其他系統(tǒng)重要參數(shù)前的自動(dòng)備份;以便保證在事后可以智能恢復(fù);具體實(shí)現(xiàn)方 式是通過(guò)驅(qū)動(dòng)掛接內(nèi)核文件驅(qū)動(dòng)和注冊(cè)表驅(qū)動(dòng)等,對(duì)修改可執(zhí)行文件、修改注冊(cè)表 等進(jìn)行修改前備份。備份方式是把待修改的文件或注冊(cè)表內(nèi)容進(jìn)行適當(dāng)變形后保存, 同時(shí)記下引起備份的進(jìn)程、時(shí)間、原始文件路徑和時(shí)間等,并進(jìn)行備份大小控制,防 止過(guò)度備份引起硬盤(pán)的緊張,乃至系統(tǒng)的崩潰。下面分別說(shuō)明圖8的定時(shí)觸發(fā)和圖9給出的敏感事件觸發(fā)。如圖8所示,定時(shí)觸發(fā)流程從步驟800開(kāi)始,進(jìn)入步驟801,進(jìn)行設(shè)置定時(shí)器; 然后執(zhí)行步驟802,檢測(cè)定時(shí)時(shí)間到否;沒(méi)到,繼續(xù)進(jìn)行步驟802;至ij,執(zhí)行步驟803, 分析當(dāng)前所有進(jìn)程日志;再進(jìn)入步驟804,檢測(cè)是否有非法程序;如果沒(méi)有,重新返 回到步驟802;如有執(zhí)行步驟805,進(jìn)行恢復(fù)處理。圖9是敏感事件觸發(fā)流程,與圖8相同,它從步驟900開(kāi)始,進(jìn)入步驟901,進(jìn) 行設(shè)置敏感事件;然后執(zhí)行步驟902,檢測(cè)敏感事件是否發(fā)生;沒(méi)有發(fā)生,繼續(xù)進(jìn)行步驟902;發(fā)生,執(zhí)行步驟903,分析當(dāng)前所有進(jìn)程日志;再進(jìn)入步驟904,檢測(cè)是否 有非法程序;如果沒(méi)有,重新返回到步驟902;如有執(zhí)行步驟905,進(jìn)行恢復(fù)處理。通過(guò)建立的運(yùn)行日志記錄分析識(shí)別惡意程序的算法是基于時(shí)間順序分析和進(jìn)程序列分析,圖IO給出進(jìn)程分析的流程。首先進(jìn)入該流程步驟AOO,然后執(zhí)行步驟AOl, 打開(kāi)日志數(shù)據(jù)庫(kù);隨后通過(guò)步驟A02,査詢出所有進(jìn)程日志,放入緩存中,接著執(zhí)行 步驟A03,先取出一個(gè)進(jìn)程;通過(guò)步驟A04,判定此進(jìn)程是否是自動(dòng)啟動(dòng);如果不是, 重新執(zhí)行步驟A03;如果是,通過(guò)步驟A05,判定進(jìn)程是否有危險(xiǎn)動(dòng)作(危險(xiǎn)動(dòng)作包 括修改注冊(cè)表,修改啟動(dòng)項(xiàng)入口,啟動(dòng)shell,增加或刪除文件等);如果沒(méi)有,重新 執(zhí)行步驟A03;如果有,通過(guò)步驟A06將該進(jìn)程進(jìn)行恢復(fù)處理,包括殺死惡意進(jìn)程(以 及該進(jìn)程家族),恢復(fù)被它們修改的文件和注冊(cè)表等。由于計(jì)算機(jī)信息安全的方法,它至少包括如下步驟l)對(duì)系統(tǒng)進(jìn)行日志記錄;2)判斷程序行為是否涉及到被保護(hù)文件,若是被保護(hù)文 件,則根據(jù)保護(hù)規(guī)則禁止運(yùn)行或限制運(yùn)行,若不是被保護(hù)文件則檢測(cè)是否有試圖修改 系統(tǒng)安全的敏感文件;3)沒(méi)有試圖修改系統(tǒng)安全的敏感文件,繼續(xù)運(yùn)行第2)條;4)如果有試圖修改系統(tǒng)安全的敏感文件,啟動(dòng)自動(dòng)備份原始文件,進(jìn)行第5)條 的操作,如果沒(méi)有試圖修改系統(tǒng)安全的敏感文件,重新返回第2)條;5)允許修改系 統(tǒng)安全的敏感文件;6)通過(guò)第l)條建立的運(yùn)行日志記錄分析識(shí)別惡意程序;7)是非 法程序,刪除非法程序,進(jìn)行第8)條的操作,不是非法程序重新返回第2)條;8) 根據(jù)該非法程序的運(yùn)行軌跡進(jìn)行恢復(fù)被該惡意程序修改的文件和注冊(cè)表的內(nèi)容等,使 系統(tǒng)恢復(fù)到該惡意程序(及其相關(guān)惡意程序)運(yùn)行前的狀態(tài),從而維護(hù)系統(tǒng)的正常運(yùn) 行;9)返回第2)條。而且被保護(hù)文件是指根據(jù)用戶事先的指定的文件,指定的文件 只能在指定的時(shí)間段內(nèi)被指定的程序以指定的權(quán)限和指定的用戶身份以及指定的密 碼訪問(wèn);從而確保用戶指定的文件不會(huì)被非法訪問(wèn)。所述的對(duì)系統(tǒng)進(jìn)行日志記錄至少 包括進(jìn)程日志、網(wǎng)絡(luò)活動(dòng)日志、注冊(cè)表變更日志(Unix/Linux下無(wú))、文件變更和生 成日志等。所述的通過(guò)運(yùn)行日志記錄分析識(shí)別惡意程序包括l)定時(shí)觸發(fā)分析和敏感 事件觸發(fā)分析;所述的敏感事件是指對(duì)系統(tǒng)安全可能造成危害的修改注冊(cè)表,修改啟 動(dòng)項(xiàng)入口,啟動(dòng)shell,增加或刪除文件事件;2)分析算法是基于時(shí)間順序分析和進(jìn) 程序列分析,用于實(shí)現(xiàn)對(duì)各種危害的識(shí)別和危害過(guò)程的完整描述,作為后繼恢復(fù)的基 礎(chǔ)。所述的自動(dòng)備份原始文件方式是把待修改的文件或注冊(cè)表內(nèi)容進(jìn)行適當(dāng)變形后保 存,同時(shí)記下引起備份的進(jìn)程,時(shí)間,原始文件路徑和時(shí)間等,并進(jìn)行備份大小控制, 防止過(guò)度備份引起硬盤(pán)的緊張,乃至系統(tǒng)的崩潰。所述的文件恢復(fù)包括覆蓋原始文件 或注冊(cè)表,使系統(tǒng)還原為原始狀態(tài)。綜上所述本發(fā)明是一種不需要事前詳細(xì)知道具體 病毒樣本的計(jì)算機(jī)信息安全的方法。而且它具有安全性好、識(shí)別效率以及準(zhǔn)確性高的 特點(diǎn),它能確保用戶指定的文件不會(huì)被非法訪問(wèn)。
權(quán)利要求
1. 計(jì)算機(jī)信息安全的方法,其特征是,它至少包括如下步驟1)對(duì)系統(tǒng)進(jìn)行日志記錄;2)判斷程序行為是否涉及到被保護(hù)文件,若是被保護(hù)文件,則根據(jù)保護(hù)規(guī)則禁止運(yùn)行或限制運(yùn)行,若不是被保護(hù)文件則檢測(cè)是否有試圖修改系統(tǒng)安全的敏感文件;3)沒(méi)有試圖修改系統(tǒng)安全的敏感文件,繼續(xù)運(yùn)行第2)條;4)如果有試圖修改系統(tǒng)安全的敏感文件,啟動(dòng)自動(dòng)備份原始文件,進(jìn)行第5)條的操作,如果沒(méi)有試圖修改系統(tǒng)安全的敏感文件,重新返回第2)條;5)允許修改系統(tǒng)安全的敏感文件;6)通過(guò)第1)條建立的運(yùn)行日志記錄分析識(shí)別惡意程序;7)是非法程序,刪除非法程序,進(jìn)行第8)條的操作,不是非法程序重新返回第2)條;8)根據(jù)該非法程序的運(yùn)行軌跡進(jìn)行恢復(fù)被該惡意程序修改的文件和注冊(cè)表的內(nèi)容等,使系統(tǒng)恢復(fù)到該惡意程序(及其相關(guān)惡意程序)運(yùn)行前的狀態(tài),從而維護(hù)系統(tǒng)的正常運(yùn)行;9)返回第2)條。
2、 根據(jù)權(quán)利要求1所述的計(jì)算機(jī)信息安全的方法,其特征是所述的被保護(hù)文 件是指根據(jù)用戶事先的指定的文件,指定的文件只能在指定的時(shí)間段內(nèi)被指定的程序 以指定的權(quán)限和指定的用戶身份以及指定的密碼訪問(wèn);從而確保用戶指定的文件不會(huì) 被非法訪問(wèn)。
3、 根據(jù)權(quán)利要求1所述的計(jì)算機(jī)信息安全的方法,其特征是所述的對(duì)系統(tǒng)進(jìn) 行日志記錄至少包括進(jìn)程日志、網(wǎng)絡(luò)活動(dòng)日志、注冊(cè)表變更日志(Unix/Linux下無(wú))、 文件變更和生成日志等。
4、 根據(jù)權(quán)利要求1所述的計(jì)算機(jī)信息安全的方法,其特征是所述的通過(guò)運(yùn)行 日志記錄分析識(shí)別惡意程序包括1) 定時(shí)觸發(fā)分析和敏感事件觸發(fā)分析;所述的敏感事件是指對(duì)系統(tǒng)安全可能造成 危害的修改注冊(cè)表,修改啟動(dòng)項(xiàng)入口,啟動(dòng)shell,增加或刪除文件事件;2) 分析算法是基于時(shí)間順序分析和進(jìn)程序列分析,用于實(shí)現(xiàn)對(duì)各種危害的識(shí)別和 危害過(guò)程的完整描述,作為后繼恢復(fù)的基礎(chǔ)。
5、 根據(jù)權(quán)利要求1所述的計(jì)算機(jī)信息安全的方法,其特征是所述的自動(dòng)備份 原始文件方式是把待修改的文件或注冊(cè)表內(nèi)容進(jìn)行適當(dāng)變形后保存,同時(shí)記下引起備 份的進(jìn)程,時(shí)間,原始文件路徑和時(shí)間等,并進(jìn)行備份大小控制,防止過(guò)度備份引起 硬盤(pán)的緊張,乃至系統(tǒng)的崩潰。
6、 根據(jù)權(quán)利要求1所述的計(jì)算機(jī)信息安全的方法,其特征是所述的文件恢復(fù) 包括覆蓋原始文件或注冊(cè)表,使系統(tǒng)還原為原始狀態(tài)。
全文摘要
本發(fā)明涉及一種計(jì)算機(jī)信息安全的方法,包括步驟1)對(duì)系統(tǒng)進(jìn)行日志記錄;2)判斷程序行為是否涉及到被保護(hù)文件,若是被保護(hù)文件,則根據(jù)保護(hù)規(guī)則禁止運(yùn)行或限制運(yùn)行,若不是被保護(hù)文件則檢測(cè)是否有試圖修改系統(tǒng)安全的敏感文件;3)沒(méi)有試圖修改系統(tǒng)安全的敏感文件,繼續(xù)運(yùn)行第2)條;4)如果有試圖修改系統(tǒng)安全的敏感文件,啟動(dòng)自動(dòng)備份原始文件,進(jìn)行第5)條的操作,如果沒(méi)有試圖修改系統(tǒng)安全的敏感文件,重新返回第2)條;5)允許修改系統(tǒng)安全的敏感文件6)通過(guò)第1)條建立的運(yùn)行日志記錄分析識(shí)別惡意程序;7)是非法程序,刪除非法程序,進(jìn)行第8)條的操作,不是非法程序重新返回第2)條;8)根據(jù)該非法程序的運(yùn)行軌跡進(jìn)行恢復(fù)。
文檔編號(hào)G06F11/14GK101231682SQ20071001731
公開(kāi)日2008年7月30日 申請(qǐng)日期2007年1月26日 優(yōu)先權(quán)日2007年1月26日
發(fā)明者李貴林 申請(qǐng)人:李貴林