亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于行為的病毒防御方法及系統(tǒng)的制作方法

文檔序號:6493512閱讀:282來源:國知局
基于行為的病毒防御方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明屬于病毒防御【技術(shù)領(lǐng)域】,具體公開了一種基于行為的病毒防御方法及系統(tǒng)。該方法包括以下步驟:采集客戶端新出現(xiàn)的進程所對應(yīng)的進程行為信息,并根據(jù)所述進程行為信息獲取一個相應(yīng)的身份識別碼;將所述進程所對應(yīng)的身份識別碼、操作對象類型信息、操作者進程信息、以及操作對象進程命令信息上傳至云端服務(wù)器;根據(jù)所述身份識別碼查找出預(yù)先設(shè)置的與該身份識別碼相對應(yīng)的允許規(guī)則和攔截規(guī)則;將所述操作對象類型信息、操作者進程信息、以及操作對象進程命令信息與所述允許規(guī)則和攔截規(guī)則進行匹配;將匹配結(jié)果反饋至客戶端以允許或者攔截所述進程。本發(fā)明相對現(xiàn)有的防御方法和系統(tǒng),可更加準確和快速地對未知文件完成鑒定工作。
【專利說明】基于行為的病毒防御方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于病毒防御【技術(shù)領(lǐng)域】,具體涉及一種基于行為的病毒防御方法及系統(tǒng)?!颈尘凹夹g(shù)】
[0002]編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼被稱為計算機病毒(Computer Virus)。它具有破壞性,復(fù)制性和傳染性。
[0003]現(xiàn)有的病毒防御方法僅僅是基于文件的判定方法,其大致是:
[0004]1、客戶端根據(jù)病毒數(shù)據(jù)庫進行掃描,以鑒別病毒文件和安全文件;
[0005]2、針對客戶端無法鑒別的灰文件,上傳至云端服務(wù)器;
[0006]3、云端服務(wù)器基于文件內(nèi)容進行鑒定,并將鑒定結(jié)果反饋給客戶端;
[0007]4、客戶端按照反饋結(jié)果采取對應(yīng)的防御措施。
[0008]由于文件在其未運行前是很難判定其是否為病毒文件,只有它在執(zhí)行一些破壞行為時,才能對其進行判定,就好比一個人在其未進行犯罪行為前是很難判斷其是否為好人壞人。因此,現(xiàn)有基于文件的病毒防御方法面對新出現(xiàn)的灰文件時,很難對其進行鑒別。

【發(fā)明內(nèi)容】

[0009]針對現(xiàn)有病毒系統(tǒng)很難鑒定的灰文件,本發(fā)明的目的在于提供一種快速鑒定此類文件的基于用戶行為差異化的病毒防御方法及系統(tǒng)。
[0010]為了實現(xiàn)上述發(fā)明目的,基于上述研究發(fā)現(xiàn),得到了以下技術(shù)方案:
[0011]一種基于行為的病毒防御方法,包括以下步驟:
[0012]采集客戶端新出現(xiàn)的進程所對應(yīng)的進程行為信息,并根據(jù)所述進程行為信息獲取一個相應(yīng)的身份識別碼;
[0013]將所述進程所對應(yīng)的身份識別碼、操作對象類型信息、操作者進程信息、以及操作對象進程命令信息上傳至云端服務(wù)器;
[0014]根據(jù)所述身份識別碼查找出預(yù)先設(shè)置的與該身份識別碼相對應(yīng)的允許規(guī)則和攔截規(guī)則;
[0015]將所述操作對象類型信息、操作者進程信息、以及操作對象進程命令信息與所述允許規(guī)則和攔截規(guī)則進行匹配;
[0016]將匹配結(jié)果反饋至客戶端以允許或者攔截所述進程。
[0017]進一步的,所述操作對象類型為進程、文件、注冊表、或者系統(tǒng)設(shè)置。
[0018]進一步的,所述操作者進程信息包括映像文件全路徑、映像文件大小、以及映像文件屬性。
[0019]進一步的,所述操作對象進程命令信息包括對進程、文件、以及注冊表作出的命令信息。
[0020]一種基于行為的病毒防御系統(tǒng),包括以下模塊:[0021]采集模塊,用于采集客戶端新出現(xiàn)的進程所對應(yīng)的進程行為信息,并根據(jù)所述進程行為信息獲取一個相應(yīng)的身份識別碼;
[0022]上傳模塊,用于將所述進程所對應(yīng)的身份識別碼、操作對象類型信息、操作者進程信息、以及操作對象進程命令信息上傳至云端服務(wù)器;
[0023]查找模塊,用于根據(jù)所述身份識別碼查找出預(yù)先設(shè)置的與該身份識別碼相對應(yīng)的允許規(guī)則和攔截規(guī)則;
[0024]匹配模塊,用于將所述操作對象類型信息、操作者進程信息、以及操作對象進程命令信息與所述允許規(guī)則和攔截規(guī)則進行匹配;
[0025]反饋模塊,用于將匹配結(jié)果反饋至客戶端以允許或者攔截所述進程。
[0026]進一步的,所述操作對象類型為進程、文件、注冊表、或者系統(tǒng)設(shè)置。
[0027]進一步的,所述操作者進程信息包括映像文件全路徑、映像文件大小、以及映像文件屬性。
[0028]進一步的,所述操作對象進程命令信息包括對進程、文件、以及注冊表作出的命令信息。
[0029]本發(fā)明以進程為監(jiān)控對象,并根據(jù)該進程制定了一套允許規(guī)則和攔截規(guī)則,并根據(jù)該進程的行為分配了一個規(guī)則ID (身份識別碼)作為快速查找和匹配的索引。本發(fā)明運行時,將客戶端中與進程對應(yīng)的規(guī)則ID和與其相關(guān)的數(shù)據(jù)上傳至云端服務(wù)器,服務(wù)器端根據(jù)該規(guī)則ID找到預(yù)先設(shè)置的允許規(guī)則和攔截規(guī)則,然后將上傳至服務(wù)器的與其相關(guān)的數(shù)據(jù)與這些規(guī)則進行匹配,如果符合運行規(guī)則中設(shè)置的條件則反饋允許的結(jié)果,如果符合攔截規(guī)則中設(shè)置的條件則反饋攔截的結(jié)果;最后,客戶端根據(jù)匹配結(jié)果決定是否攔截該新出現(xiàn)的進程。
[0030]進程,是操作系統(tǒng)結(jié)構(gòu)的基礎(chǔ),它是一個動態(tài)運行的程序,也即是它是程序的動態(tài)執(zhí)行過程,可充分體系文件的執(zhí)行行為。
[0031]因此,本發(fā)明是基于行為的病毒防御方法,可更加準確和快速地對未知文件完成鑒定工作。
【專利附圖】

【附圖說明】
[0032]此【專利附圖】
附圖
【附圖說明】所提供的圖片用來輔助對本發(fā)明的進一步理解,構(gòu)成本申請的一部分,并不構(gòu)成對本發(fā)明的不當限定,在附圖中:
[0033]圖1是本發(fā)明方法對應(yīng)的流程圖;
[0034]圖2是本發(fā)明系統(tǒng)對應(yīng)的框圖。
【具體實施方式】
[0035]如圖1所示,本實施例公開了一種基于行為的病毒防御方法,包括以下步驟:
[0036]Stepl:采集客戶端新出現(xiàn)的進程所對應(yīng)的進程行為信息,并根據(jù)所述進程行為信息獲取一個相應(yīng)的身份識別碼,本步驟即是根據(jù)不同的進程行為分配一個不同的規(guī)則ID(身份識別碼),本步驟的檢測對象是新出現(xiàn)的進程,而不是文件,進而改變了傳統(tǒng)基于文件的檢測方式;
[0037]Step2:將所述進程所對應(yīng)的身份識別碼、操作對象類型信息、操作者進程信息、以及操作對象進程命令信息上傳至云端服務(wù)器;其中,所述操作對象類型為進程、文件、注冊表、或者系統(tǒng)設(shè)置;其中,所述操作者進程信息包括映像文件全路徑、映像文件大小、以及映像文件屬性;其中,所述操作對象進程命令信息包括對進程、文件、以及注冊表作出的命令信息;本步驟即是將進程、進程操作對象、以及進程行為相關(guān)的數(shù)據(jù)上傳至服務(wù)器,以便對該進行較為準確的評判;
[0038]Step3:根據(jù)所述身份識別碼查找出預(yù)先設(shè)置的與該身份識別碼相對應(yīng)的允許規(guī)則和攔截規(guī)則;本實施例在云端服務(wù)器中預(yù)先設(shè)置了各種不同的允許規(guī)則和攔截規(guī)則,這些規(guī)則的索引就是客戶端分配的規(guī)則ID,通過這些規(guī)則ID可以快速找到與該進程所對應(yīng)的允許規(guī)則和攔截規(guī)則;通過規(guī)則ID的設(shè)置可以實現(xiàn)更加快速的響應(yīng);
[0039]Step4:將所述操作對象類型信息、操作者進程信息、以及操作對象進程命令信息與所述允許規(guī)則和攔截規(guī)則進行匹配;比如匹配上了允許規(guī)則,則表示該進程是安全的,可以允許其繼續(xù)執(zhí)行;如果匹配上了攔截規(guī)則,則表示該進程是危險的,必須攔截該進程;
[0040]St印5:將匹配結(jié)果反饋至客戶端以允許或者攔截所述進程。
[0041]本實施例還公開了一種與上述方法相對應(yīng)的基于行為的病毒防御系統(tǒng),包括以下模塊:
[0042]采集模塊1,用于采集客戶端新出現(xiàn)的進程所對應(yīng)的進程行為信息,并根據(jù)所述進程行為信息獲取一個相應(yīng)的身份識別碼;
[0043]上傳模塊2,用于將所述進程所對應(yīng)的身份識別碼、操作對象類型信息、操作者進程信息、以及操作對象進程命令信息上傳至云端服務(wù)器;其中,所述操作對象類型為進程、文件、注冊表、或者系統(tǒng)設(shè)置;其中,所述操作者進程信息包括映像文件全路徑、映像文件大小、以及映像文件屬性;其中,所述操作對象進程命令信息包括對進程、文件、以及注冊表作出的命令信息;
[0044]查找模塊3,用于根據(jù)所述身份識別碼查找出預(yù)先設(shè)置的與該身份識別碼相對應(yīng)的允許規(guī)則和攔截規(guī)則;
[0045]匹配模塊4,用于將所述操作對象類型信息、操作者進程信息、以及操作對象進程命令信息與所述允許規(guī)則和攔截規(guī)則進行匹配;
[0046]反饋模塊5,用于將匹配結(jié)果反饋至客戶端以允許或者攔截所述進程。
[0047]通過上述實施方式可知,本發(fā)明通過監(jiān)測進程行為可以根據(jù)準確的判斷其對應(yīng)的程序是否為病毒程序;同時,本發(fā)明將允許規(guī)則和攔截規(guī)則設(shè)置在云端,通過對應(yīng)規(guī)則ID可以快速的將進程相應(yīng)的數(shù)據(jù)與之匹配,從而快速的判斷該進程對應(yīng)的程序是否為病毒程序。
[0048]因此,本發(fā)明相對現(xiàn)有的防御方法和系統(tǒng),可更加準確和快速地對未知文件完成
鑒定工作。
[0049]以上詳細描述了本發(fā)明的較佳具體實施例,應(yīng)當理解,本領(lǐng)域的普通技術(shù)無需創(chuàng)造性勞動就可以根據(jù)本發(fā)明的構(gòu)思做出諸多修改和變化。因此,凡本【技術(shù)領(lǐng)域】中技術(shù)人員依本發(fā)明構(gòu)思在現(xiàn)有技術(shù)基礎(chǔ)上通過邏輯分析、推理或者根據(jù)有限的實驗可以得到的技術(shù)方案,均應(yīng)該在由本權(quán)利要求書所確定的保護范圍之中。
【權(quán)利要求】
1.一種基于行為的病毒防御方法,其特征在于包括以下步驟: 采集客戶端新出現(xiàn)的進程所對應(yīng)的進程行為信息,并根據(jù)所述進程行為信息獲取一個相應(yīng)的身份識別碼; 將所述進程所對應(yīng)的身份識別碼、操作對象類型信息、操作者進程信息、以及操作對象進程命令信息上傳至云端服務(wù)器; 根據(jù)所述身份識別碼查找出預(yù)先設(shè)置的與該身份識別碼相對應(yīng)的允許規(guī)則和攔截規(guī)則; 將所述操作對象類型信息、操作者進程信息、以及操作對象進程命令信息與所述允許規(guī)則和攔截規(guī)則進行匹配; 將匹配結(jié)果反饋至客戶端以允許或者攔截所述進程。
2.根據(jù)權(quán)利要求1所述的基于行為的病毒防御方法,其特征在于: 所述操作對象類型為進程、文件、注冊表、或者系統(tǒng)設(shè)置。
3.根據(jù)權(quán)利要求1所述的基于行為的病毒防御方法,其特征在于: 所述操作者進程信息包括映像文件全路徑、映像文件大小、以及映像文件屬性。
4.根據(jù)權(quán)利要求1 所述的基于行為的病毒防御方法,其特征在于: 所述操作對象進程命令信息包括對進程、文件、以及注冊表作出的命令信息。
5.一種基于行為的病毒防御系統(tǒng),其特征在于包括以下模塊: 采集模塊,用于采集客戶端新出現(xiàn)的進程所對應(yīng)的進程行為信息,并根據(jù)所述進程行為信息獲取一個相應(yīng)的身份識別碼; 上傳模塊,用于將所述進程所對應(yīng)的身份識別碼、操作對象類型信息、操作者進程信息、以及操作對象進程命令信息上傳至云端服務(wù)器; 查找模塊,用于根據(jù)所述身份識別碼查找出預(yù)先設(shè)置的與該身份識別碼相對應(yīng)的允許規(guī)則和攔截規(guī)則; 匹配模塊,用于將所述操作對象類型信息、操作者進程信息、以及操作對象進程命令信息與所述允許規(guī)則和攔截規(guī)則進行匹配; 反饋模塊,用于將匹配結(jié)果反饋至客戶端以允許或者攔截所述進程。
6.根據(jù)權(quán)利要求5所述的基于行為的病毒防御系統(tǒng),其特征在于: 所述操作對象類型為進程、文件、注冊表、或者系統(tǒng)設(shè)置。
7.根據(jù)權(quán)利要求5所述的基于行為的病毒防御系統(tǒng),其特征在于: 所述操作者進程信息包括映像文件全路徑、映像文件大小、以及映像文件屬性。
8.根據(jù)權(quán)利要求5所述的基于行為的病毒防御系統(tǒng),其特征在于: 所述操作對象進程命令信息包括對進程、文件、以及注冊表作出的命令信息。
【文檔編號】G06F21/56GK103902892SQ201210567870
【公開日】2014年7月2日 申請日期:2012年12月24日 優(yōu)先權(quán)日:2012年12月24日
【發(fā)明者】陳志強, 周奕, 陳春曉, 楊軍, 姚輝, 彭仁誠, 徐鳴 申請人:珠海市君天電子科技有限公司, 北京金山安全軟件有限公司, 貝殼網(wǎng)際(北京)安全技術(shù)有限公司, 北京金山網(wǎng)絡(luò)科技有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1