專利名稱:建立根據(jù)計算系統(tǒng)操作請求關聯(lián)關系判斷計算機操作請求安全性的計算機信息安全防護方法
技術領域:
本發(fā)明涉及一種計算機系統(tǒng)安全的防護方法,更具體地說涉及一種建立根據(jù)計算 系統(tǒng)操作請求關聯(lián)關系判斷計算機操作請求安全性的計算機信息安全防護方法。
背景技術:
由于計算機應用技術和網絡通信技術的普及,由計算機應用和網絡通信構成的信 息平臺已經成為人們工作、學習、購物等日常生活基礎條件之一,人們在充分享受信息平臺 帶來的系統(tǒng)化便利的同時,可能也沒有人能幸免受到惡意代碼的侵害。目前常見的保護人們日常使用的信息安全平臺的系統(tǒng)主要有“黑名單”類如殺病 毒類軟件、防火墻類軟件,“白名單”類如防水墻類軟件和主動防御類軟件,以及非常見的 有“可信”操作系統(tǒng)、“安全”操作系統(tǒng)以及“庇護類”安全系統(tǒng)。上述的安全系統(tǒng)中,“黑名單”類系統(tǒng)應用相對廣泛,而“白名單”類系統(tǒng)、“可信系 統(tǒng)”以及“操作系統(tǒng)加固”類系統(tǒng)因其應用技術要求高而使其應用范圍相對較小?!昂诿麊巍毕到y(tǒng)具體通過“查殺”來實現(xiàn)安全保障,實現(xiàn)方法查系統(tǒng)問題、定位惡意 代碼側面、分析惡意代碼特征碼、清除惡意代碼等四個步驟?!安闅ⅰ毕到y(tǒng)必須具有以下的技 術保障①必須及時發(fā)現(xiàn)計算系統(tǒng)存在的問題;②必須能準確定位問題的產生原因;③必 須準確分析惡意代碼的特征;④必須完整清除惡意代碼。但是實際上發(fā)現(xiàn)計算機所有存在 的問題就十分困難,更無法保障其它步驟的準確性和完整性。因此,“查殺”系統(tǒng)是一種事后 的補救措施,其并不保證操作系統(tǒng)的安全性,更不具備防范未知惡意代碼的能力?!鞍酌麊巍鳖愊到y(tǒng)是確定哪些程序允許運行,哪些程序不允許運行,“白名單”系統(tǒng) 的突出問題是因為無法保障允許執(zhí)行程序在代碼執(zhí)行過程中加載和調用的正確性。也無法 保證程序之間的關聯(lián)加載和調用正確性。因此“白名單”系統(tǒng)在實際應用中難以推廣。“可信系統(tǒng)”和“庇護”類系統(tǒng)一般具有較強的抗惡意代碼能力,從理論上說且具有 抗未知惡意代碼能力,但是“可信系統(tǒng)”和“庇護”類系統(tǒng)對應用者的要求極高,使用者不但 要熟悉操作系統(tǒng),而且要對應用系統(tǒng)十分熟悉,且能夠對操作系統(tǒng)和應用系統(tǒng)進行相應的 安全定義,并且需要使用者具有系統(tǒng)執(zhí)行的跟蹤和分析能力。因對應用者具有極高技術要 求,因此此類系統(tǒng)只應用在高端應用領域。
發(fā)明內容
本發(fā)明的目的是針對現(xiàn)有信息安全理論和信息安全技術不足而提供一種建立根 據(jù)計算系統(tǒng)操作請求關聯(lián)關系判斷計算機操作請求安全性的計算機信息安全防護方法。本發(fā)明的目的是通過以下措施來實現(xiàn)一種建立根據(jù)計算系統(tǒng)操作請求關聯(lián)關系 判斷計算機操作請求安全性的計算機信息安全防護方法,其特征在于,包含以下步驟步驟一,在計算運行狀態(tài)下,對計算機操作系統(tǒng)內核或硬件抽象層產生的操作請 求進行攔截;
步驟二,依據(jù)攔截到的操作請求的屬性,在現(xiàn)有的關聯(lián)結構已知某節(jié)點下創(chuàng)建虛 擬節(jié)點,建立關聯(lián)關系,構成一個虛擬關聯(lián)結構;步驟三,在虛擬關聯(lián)結構中回溯虛擬節(jié)點的根節(jié)點,取得當前操作請求在虛擬關 聯(lián)結構中的關聯(lián)規(guī)則;步驟四,依據(jù)回溯取得的關聯(lián)規(guī)則,與已定義的危險操作規(guī)則匹配,確定是否存在
危害;步驟五,依據(jù)與危險操作規(guī)則匹配結果決定當前操作是否允許執(zhí)行,并更新關聯(lián) 結構。所述步驟一攔截為利用操作系統(tǒng)內部的文件過濾、設備過濾、網絡包過濾的過濾 功能進行攔截。所述步驟一攔截操作請求是指攔截計算機內部的文件操作請求、配置操作請求、 內存操作請求、磁盤操作請求、網絡操作請求。所述步驟二的操作請求的屬性為操作者請求發(fā)起者、被請求操作對象以及請求操 作類型。所述步驟二現(xiàn)有的關聯(lián)結構定義為僅由操作系統(tǒng)內核、組件、服務發(fā)起的操作請 求以及由直接用戶發(fā)起的應用系統(tǒng)操作請求為根節(jié)點,由上述根節(jié)點發(fā)起的操作請求為子 節(jié)點、子節(jié)點發(fā)起的請求為孫子節(jié)點的一種系統(tǒng)操作請求追溯結構。所述步驟二的某節(jié)點是指在關聯(lián)結構中與所攔截到的任意一個操作請求其屬性 中的操作請求發(fā)起者相匹配的節(jié)點。所述步驟二的關聯(lián)關系為指攔截到任意一個請求時,首先假設請求成立,根據(jù)攔 截到的操作請求屬性,在當前操作請求的發(fā)起者節(jié)點下虛擬一個子節(jié)點,當對一個已經存 在的節(jié)點調用時,則建立一個虛擬子關聯(lián),使所有操作請求發(fā)起者與被請求的操作對象進 行關聯(lián),得到虛擬關聯(lián)節(jié)點。所述步驟二虛擬關聯(lián)結構為根據(jù)攔截到的當前操作請求屬性中的請求發(fā)起者信 息,在請求發(fā)起者節(jié)點下創(chuàng)建虛擬的子節(jié)點,該虛擬關聯(lián)節(jié)點與現(xiàn)有的關聯(lián)結構共同構成 虛擬關聯(lián)結構。所述步驟三的根節(jié)點為通過已經建立的虛擬關聯(lián)結構,從虛擬節(jié)點開始,回溯當 前節(jié)點與上一級節(jié)點的關聯(lián)關系,最終回溯至虛擬節(jié)點的最初發(fā)起者節(jié)點。所述步驟三關聯(lián)規(guī)則為當前操作請求的請求發(fā)起者、請求操作對象、請求操作類 型、根節(jié)點類型、虛擬關聯(lián)類型信息。所述步驟四的已定義的危險操作規(guī)則含文件危險操作請求規(guī)則、內存危險操作 請求規(guī)則、磁盤危險操作請求規(guī)則、配置危險操作請求規(guī)則、網絡危險操作請求規(guī)則。所述步驟四匹配將當前操作請求虛擬節(jié)點回溯得到的關聯(lián)操作規(guī)則與已定義的 危險操作規(guī)則進行匹配,判斷當前操作請求的操作規(guī)則是否落入危險操作規(guī)則范圍中。所述步驟五更新關聯(lián)結構為當匹配成功,當前操作請求不允許運行,并將計算機 操作請求關聯(lián)結構中虛擬的當前節(jié)點刪除,保持原有的關聯(lián)結構;當匹配不成功,則允許運 行,并將計算機操作請求關聯(lián)結構中當前操作請求虛擬節(jié)點改變?yōu)橛行Ч?jié)點,更新為新關 聯(lián)結構。與現(xiàn)有技術相比,由于采用了本發(fā)明提出的一種建立根據(jù)計算系統(tǒng)操作請求關聯(lián)關系判斷計算機操作請求安全性的計算機信息安全防護方法,改變了目前分析惡意代碼特 征或分析操作系統(tǒng)和應用系統(tǒng)特征的思路。本發(fā)明基于系統(tǒng)的任何操作首先都是系統(tǒng)內部 的一個請求,而請求之間都存在著關聯(lián)關系,本發(fā)明在建立關聯(lián)關系的基礎上,分析系統(tǒng)操 作請求的特征,建立了請求之間關系的非法操作請求規(guī)則,通過分析操作請求的關聯(lián)關系 以確定請求的安全性。本發(fā)明克服了其它系統(tǒng)需要針對性分析惡意代碼的特征和不同的操 作系統(tǒng)以及不同應用系統(tǒng)的特征,不需要應用者具有相關的技術水平,且本發(fā)明具有事前 防御能力,并具有防御未知惡意代碼能力,也就是說已知和未知惡意代碼的操作請求在本 發(fā)明中都被分析和阻止,能較好地彌補其它安全理論體系和安全產品的不足。
具體實施例方式術語定義操作請求指計算機應用過程中對某一設備,如硬件、軟件代碼的進行加載、執(zhí)行、 變動的操作的請求;應用請求是指基于操作系統(tǒng)建立操作環(huán)境的需要或應用程序代碼運行的需要而 發(fā)起的請求;操作請求關聯(lián)結構當計算運行時,計算機系統(tǒng)是由一個個操作請求產生的操作 構建其運行狀態(tài),操作請求關聯(lián)結構是指建立由操作請求為節(jié)點的反應當前時刻計算運行 狀態(tài)的邏輯結構;危險操作請求規(guī)則是指操作請求關聯(lián)結構,違反了某種操作請求之間的關聯(lián)關 系操作請求即被定義為危險操作請求規(guī)則;下面詳細說明本發(fā)明的方法其包含以下步驟步驟一,在計算機運行狀態(tài)下,對計算機操作系統(tǒng)內核或硬件抽象層產生的操作 請求進行攔截。所述攔截為利用操作系統(tǒng)內部的文件過濾、設備過濾、網絡包過濾的過濾功 能進行攔截。通常在計算機啟動過程中,計算機進行加電自檢、加載微內核、加載內核、加載 操作系統(tǒng)部件、加載應用至此完成操作系統(tǒng)加載;在應用環(huán)境加載后,用戶將根據(jù)需要進行 相應的操作。在以上計算機操作系統(tǒng)加載和用戶進行應用操作過程中,分別進行了硬件操 作、配置操作、文件操作、內存操作以及網絡通信檢測操作。以上的每一個操作在執(zhí)行前, 都會在操作系統(tǒng)內核和硬件抽象層中產生一系列的操作請求,由這些操作請求請求操作相 應的設備,相應的設備根據(jù)每個操作請求分配資源執(zhí)行相應的步驟。在計算機操作系統(tǒng)如 Windows, Linux、Unix中,提供了相應的文件過濾、設備過濾、網絡包過濾等過濾功能,能實 現(xiàn)對操作系統(tǒng)內核和硬件抽象層發(fā)起的文件操作請求、配置操作請求、內存操作請求、磁盤 操作請求、網絡操作請求進行攔截。所述攔截操作請求是指攔截計算機內部的文件操作請 求、配置操作請求、內存操作請求、磁盤操作請求、網絡操作請求。文件操作請求是主要是指 對文件及文件內容的讀、寫、加載、修改屬性、執(zhí)行的操作請求;配置操作請求是指對系統(tǒng)配 置的變量或運行參數(shù)進行讀取、改寫的操作請求;內存操作請求主要是指對內存的讀、寫、 執(zhí)行操作請求;磁盤操作請求主要是指對存儲設備進行的非文件模式的存、取操作請求; 網絡操作請求主要是指通過網絡發(fā)起的對本地文件、設備、內存等操作請求。步驟二,依據(jù)攔截到的操作請求的屬性,在現(xiàn)有的關聯(lián)結構已知某節(jié)點下創(chuàng)建虛 擬節(jié)點,建立關聯(lián)關系,構成一個虛擬關聯(lián)結構。所述的操作請求的屬性為操作者請求發(fā)起者、被請求操作對象以及請求操作類型。所述現(xiàn)有的關聯(lián)結構定義為僅由操作系統(tǒng)內核、 組件、服務發(fā)起的操作請求以及由直接用戶發(fā)起的應用系統(tǒng)操作請求為根節(jié)點,由上述根 節(jié)點發(fā)起的操作請求為子節(jié)點、子節(jié)點發(fā)起的請求為孫子節(jié)點的一種系統(tǒng)操作請求追溯結 構。所述步驟二的某節(jié)點是指在關聯(lián)結構中與所攔截到的任意一個操作請求其屬性中的操 作請求發(fā)起者相匹配的節(jié)點。所述步驟二的創(chuàng)建虛擬節(jié)點是指攔截到任意一個請求時,首 先假設請求成立,根據(jù)攔截到的操作請求屬性,在當前操作請求的發(fā)起者節(jié)點下虛擬一個 子節(jié)點,當對一個已經存在的節(jié)點調用時,則建立一個虛擬子關聯(lián),使所有操作請求發(fā)起者 與被請求的操作對象進行關聯(lián),得到虛擬關聯(lián)節(jié)點。所述步驟二的關聯(lián)關系是指在操作請 求關聯(lián)結構中,以當前節(jié)點為基準,從當前節(jié)點開始,回溯當前節(jié)點與上一級節(jié)點的關聯(lián), 直到回溯到當前節(jié)點的根節(jié)點所取得的當前節(jié)點與上級各節(jié)點的關聯(lián)屬性。所述步驟二虛 擬關聯(lián)結構為根據(jù)攔截到的當前操作請求屬性中的請求發(fā)起者信息,在請求發(fā)起者節(jié)點下 創(chuàng)建虛擬的子節(jié)點,該虛擬關聯(lián)節(jié)點與現(xiàn)有的關聯(lián)結構共同構成虛擬關聯(lián)結構。因該節(jié)點 還不是一個有效節(jié)點,即該節(jié)點不能反應當前計算機的操作狀態(tài),因此這種帶有虛擬節(jié)點 的結構稱為虛擬關聯(lián)結構。通過建立虛擬的關聯(lián)結構,是為了建立當前的操作請求與已知 的操作請求之間的內在聯(lián)系。步驟三,在虛擬關聯(lián)結構中回溯虛擬節(jié)點的根節(jié)點,取得當前操作請求在虛擬關 聯(lián)結構中的關聯(lián)規(guī)則。所述步驟三的根節(jié)點為通過已經建立的虛擬關聯(lián)結構,從虛擬節(jié)點 開始,回溯當前節(jié)點與上一級節(jié)點的關聯(lián)關系,最終回溯至虛擬節(jié)點的最初發(fā)起者。所述步 驟三關聯(lián)規(guī)則為當前操作請求的請求發(fā)起者、請求操作對象、請求操作類型、根節(jié)點類型、 虛擬關聯(lián)類型信息。在虛擬的關聯(lián)結構中回溯虛擬節(jié)點與各相關節(jié)點的關聯(lián)關系就是為了 準確地定位當前的操作請求是如何引發(fā)和產生的,在產生當前操作的各個步驟都存在什么 的關聯(lián)特征,直到追溯到當前操作的根節(jié)點,也就是當前操作請求是由操作系統(tǒng)應用層的 何種應用請求引發(fā),至此,當前節(jié)點與各節(jié)點的關聯(lián)特征就組成了當前操作請求的關聯(lián)規(guī) 則。由上可知,操作請求的關聯(lián)規(guī)則的取得,是在反應計算機動態(tài)運行狀態(tài)的關聯(lián)結構中獲 取,因此是一個動態(tài)過程,克服了其它安全系統(tǒng)依賴的靜態(tài)的代碼分析和系統(tǒng)功能分析存 在的不足。步驟四,依據(jù)回溯取得的關聯(lián)規(guī)則,與已定義的危險操作規(guī)則匹配,確定是否存在 危害。所述步驟四的已定義的危險操作規(guī)則含文件危險操作請求規(guī)則、內存危險操作請 求規(guī)則、磁盤危險操作請求規(guī)則、配置危險操作請求規(guī)則、網絡危險操作請求規(guī)則。所述文 件危險操作請求規(guī)則是指對計算機系內的文件及文件內容發(fā)起的讀、寫、加載、修改屬性、 執(zhí)行的操作請求過程中,存在具有安全威脅的關聯(lián)規(guī)則定義,例如由普通非安裝類應用程 序發(fā)起的可執(zhí)行程序的寫和屬性修改;解釋器類程序通過解釋腳本程序進行非可解釋類程 序的讀、寫操作。所述內存危險操作請求規(guī)則主要是指發(fā)起的對內存的讀、寫、執(zhí)行操作請 求過程中含有安全威脅操作規(guī)則定義;例如操作非同一內存地址空間的請求,向某一內存 空間注入代碼等危險操作。配置危險操作請求規(guī)則是指對系統(tǒng)配置的變量或運行參數(shù)發(fā)起 的讀取、改寫過程中具有安全威脅的操作規(guī)則,例如由應用程序對配置文件進行修正、應用 程序進行配置參數(shù)的修改。網絡危險操作請求規(guī)則指通過網絡發(fā)起的對本地文件、設備、內 存等操作請求中具有安全威脅的操作規(guī)則,例如請求進行內存地址操作、請求加載新的線 程等危險操作。磁盤操作請求規(guī)則主要是指從網絡發(fā)起的對存儲設備進行的非文件模式的存、取操作請求中具有威脅的操作規(guī)則,例如請求非文件系統(tǒng)操作模式操作磁盤,請求指定 存儲塊操作等危險操作。當前計算機系統(tǒng)安全威脅從攻擊方向上來說,可以分為外部入侵 和內部控制,這些攻擊的完成主要是依賴系統(tǒng)漏洞對系統(tǒng)功能非法調用、植入惡意代碼。事 實上,分析系統(tǒng)漏洞和找出所有的未代碼是不可能的。本步驟定義這些規(guī)則是為了避免進 行惡意代碼分析和進行系統(tǒng)功能定義,所有的危害實現(xiàn),都是要利用已有的計算機系統(tǒng)環(huán) 境,改變操作請求的某些關聯(lián),加入攻擊者需要的請求,面這些請求的加入都是利用操作系 統(tǒng)的內核和硬件設備層實現(xiàn)。傳統(tǒng)和代碼分析、行為分析幾乎難以阻止大量的危害發(fā)生。因 為最初的安全威脅就是因為操作請求發(fā)生了關聯(lián)規(guī)則的改變,本發(fā)明通過對操作請求關聯(lián) 進行規(guī)則定義,使安全威脅難以形成,同時也具有了危害預防能力和防范未知惡意代碼能 力。所述匹配將當前操作請求虛擬節(jié)點回溯得到的關聯(lián)操作規(guī)則與已定義的危險操作規(guī)則 進行匹配,判斷當前操作請求的操作規(guī)則是否落入危險操作規(guī)則范圍中。當取得當前操作 請求的操作關聯(lián)規(guī)則后,與已定義的相應的如文件、內存、配置、存儲設備、網絡危險操作請 求規(guī)則匹配,以確定當前的操作請求是否具有危險性。步驟五,依據(jù)與危險操作規(guī)則匹配結果決定當前操作是否允許執(zhí)行,并更新關聯(lián) 結構。所述步驟五更關聯(lián)結構為操作請求規(guī)則匹配成功阻止當前操作請求執(zhí)行,并將計算 機操作請求關聯(lián)結構中虛擬的當前節(jié)點刪除,保持原有的關聯(lián)結構;當操作請求規(guī)則匹配 不成功則允許當前操作執(zhí)行,并將計算機操作請求虛擬關聯(lián)結構中當前操作請求的虛擬 節(jié)點改變更為有效節(jié)點,形成新的關聯(lián)結構。本步驟根據(jù)匹配結果,對當前的操作請求進行 放行和阻止處理,完成了對操作請求的有效攔截,同時更新計算機操作請求的關聯(lián)結構,使 計算機操作請求關聯(lián)結構始終能準確反應計算機的當前運行狀態(tài),為后續(xù)虛擬節(jié)點提供結 構。下面例舉實施例進一步說明例1 假設某Office文檔帶有惡意腳代碼,該腳本代碼可感染可執(zhí)行程序,阻止邏 輯如下當操作系統(tǒng)的內核攔截到一個對可執(zhí)行文件內容的寫操作請求時,根據(jù)操作請求 屬性中的請求發(fā)起者屬性項可知,該請求是由VBA腳本引擎所發(fā)出,為了找到當前操作請 求的關聯(lián)關系,在已知的計算機操作請求的關聯(lián)結構的VBA腳本引擎節(jié)點下創(chuàng)建當前操作 的虛擬節(jié)點,并回溯當前操作的關聯(lián)關系,回溯最終結果發(fā)現(xiàn)是打開某個Office文檔這個 請求引發(fā)了當前的操作請求,取當前的操作規(guī)則,Office是普通應用程序、由用戶觸發(fā)請 求、Off ice請求VBA腳引擎是正常調用,當前操作對是PE文件,操作類型是寫操作,匹配到 是普通非安裝類應用程序進行可執(zhí)行文件內容的寫操作規(guī)則;結果是危險動作阻止此 操作請求,刪除計算機操作請求結構中的虛擬節(jié)點。例2.假設系統(tǒng)允許黑客程序運行,黑客通過硬地址直接調用某個系統(tǒng)的操作當攔截到一個對內存的操作請求空間硬地址操作請求,根據(jù)操作請求屬性,構建 虛擬節(jié)點,確定為操作系統(tǒng)內核發(fā)起請求,回溯其關聯(lián)關系,發(fā)現(xiàn)內核的內存硬地址操作被 應用程序調用;將當前內存操作請求的請求關聯(lián)規(guī)則與已經定義的內存危險操作請求關聯(lián) 規(guī)則進行匹配,匹配成功1.未進行內存請求調用的操作是危險操作;2.遠程對內存進行 硬地址操作危險;結果危險操作請求。阻止內存操作,刪除計算機操作請求結構中的虛擬 節(jié)點。
8
權利要求
一種建立根據(jù)計算系統(tǒng)操作請求關聯(lián)關系判斷計算機操作請求安全性的計算機信息安全防護方法,其特征是在于包括以下步驟步驟一,在計算運行狀態(tài)下,對操作系統(tǒng)內核或硬件抽象層產生的操作請求進行攔截;步驟二,依據(jù)攔截到的操作請求的屬性,在現(xiàn)有的關聯(lián)結構已知某節(jié)點下創(chuàng)建虛擬節(jié)點,建立關聯(lián)關系,形成一個虛擬關聯(lián)結構;步驟三,在虛擬關聯(lián)結構中回溯虛擬節(jié)點的根節(jié)點,取得當前操作請求在虛擬關聯(lián)結構中的關聯(lián)規(guī)則;步驟四,依據(jù)回溯取得的關聯(lián)規(guī)則,與已定義的危險操作規(guī)則匹配,確定是否存在危害;步驟五,依據(jù)與危險操作規(guī)則匹配結果決定當前操作是否允許執(zhí)行,并更新關聯(lián)結構。
2.根據(jù)權利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關聯(lián)關系判斷計算機操作請求 安全性的計算機信息安全防護方法,其特征是所述步驟一攔截為利用操作系統(tǒng)內部的文件 過濾、設備過濾、網絡包過濾的過濾功能進行攔截。
3.根據(jù)權利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關聯(lián)關系判斷計算機操作請求 安全性的計算機信息安全防護方法,其特征是所述步驟一攔截操作請求是指攔截計算機內 部的文件操作請求、配置操作請求、內存操作請求、磁盤操作請求、網絡操作請求。
4.根據(jù)權利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關聯(lián)關系判斷計算機操作請求 安全性的計算機信息安全防護方法,其特征是所述步驟二的操作請求的屬性為操作者請求 發(fā)起者、被請求操作對象以及請求操作類型。
5.根據(jù)權利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關聯(lián)關系判斷計算機操作請求 安全性的計算機信息安全防護方法,其特征是所述步驟二現(xiàn)有的關聯(lián)結構定義為僅由操作 系統(tǒng)內核、組件、服務發(fā)起的操作請求以及由直接用戶發(fā)起的應用系統(tǒng)操作請求為根節(jié)點, 由上述根節(jié)點發(fā)起的操作請求為子節(jié)點、子節(jié)點發(fā)起的請求為孫子節(jié)點的一種系統(tǒng)操作請 求追溯結構。
6.根據(jù)權利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關聯(lián)關系判斷計算機操作請求 安全性的計算機信息安全防護方法,其特征是所述步驟二的某節(jié)點是指在關聯(lián)結構中與所 攔截到的任意一個操作請求其屬性中的操作請求發(fā)起者相匹配的節(jié)點。
7.根據(jù)權利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關聯(lián)關系判斷計算機操作請求 安全性的計算機信息安全防護方法,其特征是所述步驟二的關聯(lián)關系為指攔截到任意一個 請求時,首先假設請求成立,根據(jù)攔截到的操作請求屬性,在當前操作請求的發(fā)起者節(jié)點下 虛擬一個子節(jié)點,當對一個已經存在的節(jié)點調用時,則建立一個虛擬子關聯(lián),使所有操作請 求發(fā)起者與被請求的操作對象進行關聯(lián),得到虛擬關聯(lián)節(jié)點。
8.根據(jù)權利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關聯(lián)關系判斷計算機操作請求 安全性的計算機信息安全防護方法,其特征是所述步驟二虛擬關聯(lián)結構為根據(jù)攔截到的當 前操作請求屬性中的請求發(fā)起者信息,在請求發(fā)起者節(jié)點下創(chuàng)建虛擬的子節(jié)點,該虛擬關 聯(lián)節(jié)點與現(xiàn)有的關聯(lián)結構共同構成虛擬關聯(lián)結構。
9.根據(jù)權利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關聯(lián)關系判斷計算機操作請求 安全性的計算機信息安全防護方法,其特征是所述步驟三的根節(jié)點為通過已經建立的虛擬關聯(lián)結構,從虛擬節(jié)點開始,回溯當前節(jié)點與上一級節(jié)點的關聯(lián)關系,最終回溯至虛擬節(jié)點 的最初發(fā)起者節(jié)點。
10.根據(jù)權利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關聯(lián)關系判斷計算機操作請求 安全性的計算機信息安全防護方法,其特征是所述步驟三關聯(lián)規(guī)則為當前操作請求的請求 發(fā)起者、請求操作對象、請求操作類型、根節(jié)點類型、虛擬關聯(lián)類型信息。
11.根據(jù)權利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關聯(lián)關系判斷計算機操作請求 安全性的計算機信息安全防護方法,其特征是所述步驟四的已定義的危險操作規(guī)則含文 件危險操作請求規(guī)則、內存危險操作請求規(guī)則、磁盤危險操作請求規(guī)則、配置危險操作請求 規(guī)則、網絡危險操作請求規(guī)則。
12.根據(jù)權利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關聯(lián)關系判斷計算機操作請求 安全性的計算機信息安全防護方法,其特征是所述步驟四匹配將當前操作請求虛擬節(jié)點回 溯得到的關聯(lián)操作規(guī)則與已定義的危險操作規(guī)則進行匹配,判斷當前操作請求的操作規(guī)則 是否落入危險操作規(guī)則范圍中。
13.根據(jù)權利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關聯(lián)關系判斷計算機操作請求 安全性的計算機信息安全防護方法,其特征是所述步驟五更新關聯(lián)結構為當匹配成功,當 前請求不允許運行,并將計算機操作請求關聯(lián)結構中虛擬的當前節(jié)點刪除,保持原有的關 聯(lián)結構;當匹配不成功,則允許運行,并將計算機操作請求關聯(lián)結構中當前操作請求虛擬節(jié) 點改變?yōu)橛行Ч?jié)點,更新為新關聯(lián)結構。
全文摘要
本發(fā)明涉及一種建立根據(jù)計算系統(tǒng)操作請求關聯(lián)關系判斷計算機操作請求安全性的計算機信息安全防護方法。包含以下步驟在計算運行狀態(tài)下,對計算機操作系統(tǒng)內核或硬件抽象層產生的操作請求進行攔截;依據(jù)攔截到的操作請求的屬性,在現(xiàn)有的關聯(lián)結構已知某節(jié)點下創(chuàng)建虛擬節(jié)點,建立關聯(lián)關系,構成一個虛擬關聯(lián)結構;在虛擬關聯(lián)結構中回溯虛擬節(jié)點的根節(jié)點,取得當前操作請求在虛擬關聯(lián)結構中的關聯(lián)規(guī)則;依據(jù)回溯取得的關聯(lián)規(guī)則,與已定義的危險操作規(guī)則匹配,確定是否存在危害;依據(jù)與危險操作規(guī)則匹配結果決定當前操作是否允許執(zhí)行,并更新關聯(lián)結構。本發(fā)明克服了其它系統(tǒng)需要針對性分析惡意代碼的特征和不同的操作系統(tǒng)以及不同應用系統(tǒng)的特征,具有事前防御未知惡意代碼能力。
文檔編號G06F21/02GK101872400SQ20091004994
公開日2010年10月27日 申請日期2009年4月24日 優(yōu)先權日2009年4月24日
發(fā)明者曲立東, 汪家祥 申請人:汪家祥;曲立東