信息安全監(jiān)控與防御的計算機程序產(chǎn)品及其方法
【專利摘要】本發(fā)明公開了一種信息安全監(jiān)控與防御的計算機程序產(chǎn)品及其方法，其方法包含下列步驟：首先，經(jīng)由虛擬層擷取虛擬機欲執(zhí)行的程序的程序信息。接著，將程序信息與快取信息進行比對，若匹配即判斷此程序為正常程序，再者，若程序信息未匹配取信息時，則把程序信息與白名單信息進行比對，若匹配白名單信息時，即判斷程序為正常程序。接著，若程序信息未匹配白名單信息時，則對程序信息的執(zhí)行參數(shù)進行檢查，若通過檢查即判斷程序為正常程序，若未通過檢查即判斷程序為異常程序。最后，于程序為異常程序即判斷執(zhí)行安全防護操作。
【專利說明】信息安全監(jiān)控與防御的計算機程序產(chǎn)品及其方法
【【技術(shù)領(lǐng)域】】
[0001]本發(fā)明涉及一種信息安全監(jiān)控與防御的計算機程序產(chǎn)品及其方法，尤指一種設(shè)置在虛擬層，以對轄下的虛擬機進行信息安全監(jiān)控與防御的計算機程序產(chǎn)品及其方法。
【【背景技術(shù)】】
[0002]隨著網(wǎng)絡(luò)通訊的進步的快速發(fā)展，網(wǎng)絡(luò)服務(wù)提供商推出各式各樣的云端服務(wù)，而一般用戶與企業(yè)主為了節(jié)省購置計算機硬件裝置的成本，逐漸把先前于個人計算機上進行的操作移至云端服務(wù)器上進行處理。
[0003]由于云端服務(wù)已成為電子商務(wù)、電子化辦公室的重要一環(huán)，因此黑客也把攻擊的重心逐漸的移至云端服務(wù)器，由于目前惡意程序技術(shù)的普及，使得惡意程序相當(dāng)?shù)姆簽E，而對計算機/服務(wù)器造成極大的危害。根據(jù)國際組織shadowserver研究報告指出，其組織每月可收集到數(shù)百萬甚至千萬個全新的惡意程序樣本，且迄今已收集超過兩億個不重復(fù)的惡意程序樣本。而本國的趨勢科技公司亦指出每日大約需要分析4000萬筆以上的可疑程序。
[0004]由于傳統(tǒng)防毒軟件是監(jiān)控程序的特征或者是行為來辨別是否為惡意程序，但隨著惡意程序的迅速發(fā)展，其不僅可通過加密、變形或加殼等技術(shù)躲避防毒的偵測，甚至可能會直接關(guān)閉防毒軟件再進行惡意活動。使得傳統(tǒng)的防毒軟件已無法負荷防護工作。因此，如何提供一種可有效的偵測多變的惡意程序乃本領(lǐng)域亟須解決的技術(shù)問題。
【
【發(fā)明內(nèi)容】
】
[0005]為解決上述傳統(tǒng)技術(shù)的技術(shù)問題，本發(fā)明提供一種信息安全監(jiān)控與防御的計算機程序產(chǎn)品及其方法，以有效的進行病毒防護操作。
[0006]為達上述目的，本發(fā)明提供一種信息安全監(jiān)控與防御的計算機程序產(chǎn)品。信息安全監(jiān)控與防御計算機程序產(chǎn)品應(yīng)用于計算機裝置上，而計算機裝置提供了至少一云端虛擬平臺，其云端虛擬平匹配虛擬層(Hypervisor)以及包含至少一虛擬機(Virtual Machine,簡稱VM)。虛擬層的權(quán)限高于虛擬機，而計算機程序產(chǎn)品包含了至少一信息搜集模塊以及中央控管模塊。各個信息搜集模塊分別設(shè)置于虛擬平臺，而各信息搜集模塊經(jīng)由虛擬層，來擷取虛擬機欲執(zhí)行的程序的程序信息。中央控管模塊除連接信息搜集模塊，且包含白名單記錄模塊、信息監(jiān)控模塊以及異常處理模塊。白名單記錄模塊為提供白名單信息，所述白名單信息用于記錄允許執(zhí)行的程序名稱。而信息監(jiān)控模塊連接白名單記錄模塊，并執(zhí)行:(I)將程序信息與快取信息進行比對，若程序信息匹配于快取信息，即判斷程序為正常程序，快取信息記錄允許執(zhí)行且已執(zhí)行的程序，快取信息為暫存記錄允許執(zhí)行且已執(zhí)行的程序；(2)若程序信息未匹配快取信息，即把程序信息與設(shè)置于計算機裝置的數(shù)據(jù)庫的一白名單信息進行比對，若程序信息匹配白名單信息，即判斷程序為正常程序；(3)若程序信息未匹配白名單信息，即對程序信息的執(zhí)行參數(shù)進行檢查，若通過檢查即判斷此程序為正常程序，若未通過檢查即判斷程序為異常程序。而異常處理模塊為連接信息監(jiān)控模塊，并于此程序被判斷為異常程序即判斷執(zhí)行安全防護操作。
[0007]為達上述目的，本發(fā)明還提供一種信息安全監(jiān)控與防御方法，所述方法應(yīng)用于計算機裝置，計算機裝置提供至少一云端虛擬平臺，云端虛擬平臺匹配虛擬層以及包含至少一虛擬機，虛擬層的權(quán)限高于虛擬機，所述方法包含下列步驟:首先，經(jīng)由虛擬層擷取虛擬機欲執(zhí)行程序的程序信息。接著，將程序信息與快取信息進行比對，若程序信息匹配于快取信息，即判斷程序信息所描述的程序為正常程序，快取信息為暫存記錄允許執(zhí)行且已執(zhí)行的程序。再者，當(dāng)程序信息未匹配取信息時，則把程序信息與設(shè)置于計算機裝置數(shù)據(jù)庫的白名單信息進行比對，若程序信息匹配白名單信息，即判斷程序為正常程序。接著，若程序信息未匹配白名單信息時，則對程序信息的執(zhí)行參數(shù)進行檢查，若通過檢查即判斷程序為正常程序，若未通過檢查即判斷程序為異常程序。最后，于此程序被判定為異常程序即判斷是否執(zhí)行安全防護操作。
[0008]綜上所述，由于本發(fā)明系在權(quán)限高于虛擬機的虛擬層進行信息監(jiān)控與防御，因此存在虛擬機的病毒無論想通過加密、加殼、變形等技術(shù)來躲避偵測，本發(fā)明皆能有效的進行監(jiān)控與防范。
【【專利附圖】

【附圖說明】】
[0009]圖1為本發(fā)明的信息安全監(jiān)控與防御的計算機程序產(chǎn)品的方塊圖；
[0010]圖2為本發(fā)明的信息安全監(jiān)控與防御方法流程圖。
[0011]附圖標記說明
[0012]1、信息安全監(jiān)控與防御的計算機程序產(chǎn)品；
[0013]11、中央控管模塊；
[0014]111、白名單記錄模塊；
[0015]112、信息監(jiān)控模塊；
[0016]113、異常處理模塊；
[0017]12、信息搜集模塊；
[0018]121、存儲器信息分析模塊；
[0019]122、檔案系統(tǒng)分析模塊；
[0020]2、云端虛擬平臺；
[0021]21、虛擬機；
[0022]SlOl ?S105、步驟。
【【具體實施方式】】
[0023]以下面將結(jié)合附圖及實施例對本發(fā)明進行進一步詳細說明。應(yīng)當(dāng)理解，此處所描述的具體實施例僅用以解釋本發(fā)明，但并不用于限定本發(fā)明。
[0024]請參閱圖1，其為本發(fā)明的一種信息安全監(jiān)控與防御的計算機程序產(chǎn)品。信息安全監(jiān)控與防御的計算機程序產(chǎn)品I應(yīng)用于計算機裝置，計算機裝置提供至少一云端虛擬平臺2，云端虛擬平臺2為匹配一虛擬層以及包含至少一虛擬機21。且虛擬層的權(quán)限高于虛擬機21，且虛擬機21與云端虛擬平臺2設(shè)置于信息安全監(jiān)控與防御的計算機程序產(chǎn)品I的外部。信息安全監(jiān)控與防御的計算機程序產(chǎn)品I包含至少一信息搜集模塊12以及中央控管模塊11。而各個信息搜集模塊12則分別設(shè)置于云端虛擬平臺2上，各信息搜集模塊12經(jīng)由虛擬層擷取匹配的虛擬機21所欲執(zhí)行程序的程序信息。中央控管模塊11連接信息搜集模塊12，并包含白名單記錄模塊111、信息監(jiān)控模塊112以及異常處理模塊113。白名單記錄模塊111為提供白名單信息，而白名單信息記錄允許執(zhí)行的程序名稱。而信息監(jiān)控模塊112連接白名單記錄模塊111，且信息監(jiān)控模塊112執(zhí)行:
[0025](I)將程序信息與快取信息進行比對，若程序信息匹配于快取信息，即判斷此程序為正常程序，快取信息為暫存記錄允許執(zhí)行且已執(zhí)行的程序；
[0026](2)若程序信息未匹配快取信息，即把程序信息與設(shè)置于計算機裝置數(shù)據(jù)庫的白名單信息進行比對，若程序信息匹配白名單信息，即判斷程序為正常程序；
[0027](3)若程序信息未匹配設(shè)置于數(shù)據(jù)庫的白名單信息，即對程序信息的執(zhí)行參數(shù)進行檢查，若通過檢查即判斷此程序為正常程序，若未通過檢查即判斷程序為異常程序。
[0028]而異常處理模塊113連接信息監(jiān)控模塊112，異常處理模塊113于程序被判定為異常程序即判斷是否執(zhí)行安全防護操作。
[0029]所述白名單信息包含復(fù)數(shù)個程序記錄信息，各個記錄信息包含允許程序的名稱信息、程序的執(zhí)行檔案路徑信息、載入檔案信息、檔案散列值(hash)或日期信息。而對程序信息的執(zhí)行參數(shù)其檢查項目包含了:(I)檢查新程序的存儲器內(nèi)容、(2)檢查載入檔案、(3)檢查是否為惡意隱藏程序、(4)檢查是否被植入惡意程序碼，以及(5)檢查存儲器的各區(qū)段是否正常。安全防護操作包含隔離網(wǎng)絡(luò)操作、終止惡意程序執(zhí)行操作，或者令虛擬機21暫停執(zhí)行操作。
[0030]所述信息搜集模塊12包含存儲器信息分析模塊121以及檔案系統(tǒng)分析模塊122。存儲器信息分析模塊121分析計算機裝置的存儲器內(nèi)欲載入的程序名稱信息、原檔案路徑信息，以及載入檔案信息，以配置前述的程序信息。而檔案系統(tǒng)分析模塊122則根據(jù)存儲器信息分析模塊121的程序信息(程序名稱信息、檔案路徑信息、載入檔案信息)，進一步分析虛擬機21的檔案系統(tǒng)所執(zhí)行或載入檔案的日期信息、MD5散列值，或者是數(shù)字簽章信息等。
[0031]請接著參閱圖2，其為本發(fā)明的一種信息安全監(jiān)控與防御方法，所述方法應(yīng)用于計算機裝置。計算機裝置提供至少一云端虛擬平臺2，而各個云端虛擬平臺2匹配一虛擬層以及包含至少一虛擬機21。虛擬層的權(quán)限高于等虛擬機21，信息安全監(jiān)控與防御方法包含下列步驟:
[0032]SlOl:發(fā)現(xiàn)新的執(zhí)行程序。
[0033]S102:經(jīng)由虛擬層擷取虛擬機欲執(zhí)行程序的程序信息。
[0034]S103:將程序信息與快取信息進行比對，若程序信息匹配于快取信息，即判斷程序信息所描述的程序為正常程序，并跳至步驟S106，所述快取信息為暫存記錄允許執(zhí)行且已執(zhí)行的程序。
[0035]S104:若程序信息未匹配快取信息時，則把程序信息與設(shè)置于計算機裝置數(shù)據(jù)庫的白名單信息進行比對，若程序信息匹配白名單信息，即判斷程序為正常程序，并跳至步驟S106。
[0036]S105:若程序信息未匹配設(shè)置于數(shù)據(jù)庫的白名單信息時，則對程序信息的執(zhí)行參數(shù)及其存儲器內(nèi)容信息進行檢查，若通過檢查即判斷程序為正常程序，并跳至步驟S106;若未通過檢查即判斷程序為異常程序，并跳至步驟S107
[0037]S106:將程序視為正常程序。
[0038]S107:將程序視為異常程序，跳至S108。
[0039]S108:判斷是否執(zhí)行安全防護操作。
[0040]請共同參閱圖1以及圖2，其為本發(fā)明的一實施例。本發(fā)明的信息安全監(jiān)控與防御的計算機程序產(chǎn)品I利用云端虛擬平臺的特性，將計算機程序產(chǎn)品設(shè)置于服務(wù)器的高權(quán)限的虛擬層，以取得較低權(quán)限的虛擬機21的運行狀態(tài)、存儲器內(nèi)容、檔案系統(tǒng)等信息。
[0041]本計算機程序產(chǎn)品采用多對一的Client-Server架構(gòu)，且分可為中央控管模塊lKServer端)以及設(shè)置于虛擬平臺的信息搜集模塊12 (Client端)。所述的中央控管模塊11為應(yīng)用程序軟件模塊，而中央控管模塊11可安裝在服務(wù)器、服務(wù)器的虛擬層，或者進一步安裝置虛擬機21內(nèi)(Virtual Appliance),當(dāng)此計算機程序產(chǎn)品開始運作時,信息搜集模塊12通過結(jié)合虛擬層來監(jiān)視服務(wù)器處理器的暫存器(Register)，如CR3的變化等，來實時得知虛擬機21是否有欲執(zhí)行或者是新的初始執(zhí)行程序，接著再擷取程序的程序信息。擷取后會先檢查服務(wù)器的暫存器的快取信息內(nèi)是否有允許執(zhí)行且已執(zhí)行過的程序，若擷取的程序信息與快取信息內(nèi)的程序匹配相符時，則讓此程序通過檢驗。若不通過時，則再把程序信息與白名單信息進行比對，若此程序?qū)儆谛刨嚨陌酌麊危页绦虻膬?nèi)容信息完全未經(jīng)過變更或修改(如程序名稱、執(zhí)行檔案路徑、載入檔案信息、檔案雜湊值、日期等信息皆正確)，則讓此程序通過檢驗，讓其繼續(xù)執(zhí)行，而本計算機程序產(chǎn)品可再依據(jù)用戶安全的需求，并通過指派信息監(jiān)控模塊112、存儲器信息分析模塊121，或檔案系統(tǒng)分析模塊122進行進階檔案檢驗，如檢驗程序的檔案數(shù)字簽章是否合法、深入分析程序關(guān)聯(lián)的檔案內(nèi)容是否夾藏惡意行為。若無發(fā)現(xiàn)異常，則持續(xù)監(jiān)控程序所對應(yīng)的存儲器內(nèi)容，包含相關(guān)載入檔案(DLL、Library、Module等)是否合法、是否為惡意隱藏的程序、是否被植入惡意程序碼，以及深入分析存儲器各區(qū)段是否正常。
[0042]上述的快取檢查、白名單檢查以及針對執(zhí)行參數(shù)所為的進階存儲器檢查，其中任一步驟通過即視為正常程序，而全部不符合則視為異常程序。藉由此流程的檢查，可補強現(xiàn)有防毒軟件無法偵測未知病毒的不足、而能有效防范進階持續(xù)威脅，且不用持續(xù)更新病毒特征碼。當(dāng)發(fā)現(xiàn)異常時，將會通過異常處理模塊113發(fā)出告警信息；并根據(jù)虛擬機21的用戶需求進行對應(yīng)措施，例如:隔離網(wǎng)絡(luò)、終止惡意程序執(zhí)行、對虛擬機21暫停執(zhí)行等安全防護。
[0043]本發(fā)明通過云端虛擬化平臺的架構(gòu)，在高權(quán)限的虛擬層來監(jiān)控低權(quán)限的虛擬機21操作系統(tǒng)和運行程序，與傳統(tǒng)技術(shù)相較下，本發(fā)明的優(yōu)點在于:
[0044]有別于傳統(tǒng)防毒機制安裝于操作系統(tǒng)，防護能力容易受到病毒的干擾(如:病毒可利用漏洞取得操作系統(tǒng)的高權(quán)限)；而本發(fā)明則在虛擬機外部進行監(jiān)控，由權(quán)限高于虛擬機的操作系統(tǒng)，故不受病毒的影響。
[0045]本發(fā)明可監(jiān)控虛擬機操作系統(tǒng)的完整性,并針對user & kernel mode的Rootkit攻擊(包含Ring3與RingO hooking, DKOM等)加以防范,達到完善的防護。
[0046]針對虛擬機使用操作系統(tǒng)存儲器分析技術(shù)，可有效觀察虛擬機內(nèi)的程序?qū)嶋H運作狀況，避免病毒使用加密、加殼、變形等技術(shù)來躲避偵測?？裳a強防毒軟件無法偵測未知病毒的不足，并有效防范進階持續(xù)威脅。
[0047]本發(fā)明所述的計算機軟件產(chǎn)品及其方法安裝于虛擬層，故不需要個別安裝程序于虛擬機21，也不用持續(xù)更新病毒特征碼。
[0048]以上所述實施例僅表達了本發(fā)明的幾種實施方式，其描述較為具體和詳細，但并不能因此而理解為對本發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是，對于本領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明構(gòu)思的前提下，還可以做出若干變形和改進，這些都屬于本發(fā)明的保護范圍。因此，本發(fā)明專利的保護范圍應(yīng)以所附權(quán)利要求為準。
【權(quán)利要求】
1.一種信息安全監(jiān)控與防御的計算機程序產(chǎn)品，應(yīng)用于計算機裝置，所述計算機裝置提供至少一云端虛擬平臺，所述云端虛擬平臺匹配虛擬層以及包含至少一虛擬機，所述虛擬層的權(quán)限高于所述虛擬機，且所述虛擬機與所述云端虛擬平臺設(shè)置于信息安全監(jiān)控與防御的計算機程序產(chǎn)品的外部，其特征在于，所述計算機裝置程序產(chǎn)品包含: 至少一信息搜集模塊，分別設(shè)置于所述至少一云端虛擬平臺，各所述信息搜集模塊經(jīng)由所述虛擬層擷取匹配所述虛擬機欲執(zhí)行程序的程序信息； 中央控管模塊，連接所述至少一信息搜集模塊，所述中央控管模塊包含: 白名單記錄模塊，提供白名單信息，所述白名單信息記錄允許執(zhí)行的程序名稱； 信息監(jiān)控模塊，連接所述白名單記錄模塊，所述信息監(jiān)控模塊執(zhí)行: 將所述程序信息與快取信息進行比對，若所述程序信息匹配于所述快取信息，即判斷所述程序為正常程序，所述快取信息記錄允許執(zhí)行且已執(zhí)行的程序，所述快取信息為暫存記錄允許執(zhí)行且已執(zhí)行過的程序； 若所述程序信息未匹配所述快取信息，即把所述程序信息與設(shè)置于所述計算機裝置數(shù)據(jù)庫的白名單信息進行比對，若所述程序信息匹配所述白名單信息，即判斷所述程序為正常程序； 若所述程序信息未匹配設(shè)置于所述數(shù)據(jù)庫的所述白名單信息，即對所述程序信息的執(zhí)行參數(shù)進行檢查，若通過檢查即判斷所述程序為正常程序，若未通過檢查即判斷所述程序為異常程序。
2.根據(jù)權(quán)利要求1所述的信息安全監(jiān)控與防御的計算機程序產(chǎn)品，其特征在于，所述設(shè)置于計算機裝置的白名單信息包含復(fù)數(shù)個程序記錄信息，各程序記錄信息包含允許程序的名稱信息、程序的執(zhí)行檔案路徑信息、載入檔案信息、檔案散列值或日期信息。
3.根據(jù)權(quán)利要求1所述的信息安全監(jiān)控與防御的計算機程序產(chǎn)品，其特征在于，所述對程序信息的執(zhí)行參數(shù)所檢查項目包含檢查新程序的存儲器內(nèi)容、檢查載入檔案、檢查是否為惡意隱藏程序、檢查是否被植入惡意程序碼，以及檢查存儲器的各區(qū)段是否正常。
4.根據(jù)權(quán)利要求1所述的信息安全監(jiān)控與防御的計算機程序產(chǎn)品，其特征在于，所述中央管控模塊還包含異常處理模塊，所述異常處理模塊連接信息監(jiān)控模塊，所述異常處理模塊于程序為異常程序即判斷執(zhí)行安全防護操作，其中所述安全防護操作包含隔離網(wǎng)絡(luò)操作、終止惡意程序執(zhí)行操作或虛擬機暫停執(zhí)行操作。
5.根據(jù)權(quán)利要求1所述的信息安全監(jiān)控與防御的計算機程序產(chǎn)品，其特征在于，各所述信息搜集模塊包含: 存儲器信息分析模塊，所述存儲器信息分析模塊分析計算機裝置的存儲器內(nèi)欲載入的程序名稱信息、原檔案路徑信息，或載入檔案信息，以配置所述程序信息；以及 檔案系統(tǒng)分析模塊，所述檔案系統(tǒng)分析模塊分析所述計算機裝置的存儲器內(nèi)的程序名稱信息、檔案路徑信息、以及載入檔案信息，并分析程序所執(zhí)行的檔案位于檔案系統(tǒng)內(nèi)的日期信息、MD5散列值，或數(shù)字簽章信息。
6.一種信息安全監(jiān)控與防御方法，應(yīng)用于計算機裝置，所述計算機裝置提供至少一云端虛擬平臺，所述云端虛擬平臺匹配虛擬層以及包含至少一虛擬機，所述虛擬層的權(quán)限高于所述虛擬機，其特征在于，信息安全監(jiān)控與防御方法包含下列步驟: 經(jīng)由所述虛擬層擷取所述至少一虛擬機欲執(zhí)行程序的程序信息； 將所述程序信息與快取信息進行比對，若所述程序信息匹配于所述快取信息，即判斷所述程序信息所描述的所述程序為正常程序，所述快取信息為暫存記錄允許執(zhí)行且已執(zhí)行過的程序； 若所述程序信息未匹所述快取信息時，則把所述程序信息與設(shè)置于所述計算機裝置數(shù)據(jù)庫的白名單信息進行比對，若所述程序信息匹配所述白名單信息，即判斷所述程序為正常程序；以及 若所述程序信息未匹配設(shè)置于所述數(shù)據(jù)庫的所述白名單信息時，則對所述程序信息的執(zhí)行參數(shù)進行檢查，若通過檢查即判斷所述程序為正常程序，若未通過檢查即判斷所述程序為異常程序。
7.根據(jù)權(quán)利要求6所述的信息安全監(jiān)控與防御方法，其特征在于，所述設(shè)置于數(shù)據(jù)庫的白名單包含復(fù)數(shù)個程序記錄信息，各所述程序記錄信息包含允許程序的名稱信息、程序路徑信息、檔案散列值或日期信息。
8.根據(jù)權(quán)利要求6所述的信息安全監(jiān)控與防御方法，其特征在于，對所述程序信息的執(zhí)行參數(shù)所檢查的項目包含檢查所述程序的存儲器內(nèi)容、檢查載入檔案、檢查是否為惡意隱藏程序、檢查是否被植入惡意程序碼，以及檢查存儲器的各區(qū)段是否正常。
9.根據(jù)權(quán)利要求6所述的信息安全監(jiān)控與防御方法，其特征在于，進一步地于所述程序為異常程序即判斷執(zhí)行安全防護操作，所述安全防護操作包含隔離網(wǎng)絡(luò)操作、終止惡意程序執(zhí)行操作或虛擬機暫停執(zhí)行操作。
10.根據(jù)權(quán)利要求6所述的信息安全監(jiān)控與防御方法，其特征在于，所述程序信息包含: 存儲器分析信息，記錄所述計算機裝置的存儲器欲載入的程序名稱信息、原檔案路徑?目息，或需載入檔案?目息；以及 檔案系統(tǒng)分析信息，記錄所述計算機裝置所述程序的文件名稱信息、執(zhí)行檔案路徑信息、載入檔案信息、日期信息、MD5散列值，或數(shù)字簽章信息。
【文檔編號】G06F21/56GK104200162SQ201410418166
【公開日】2014年12月10日 申請日期:2014年8月22日 優(yōu)先權(quán)日:2014年3月17日
【發(fā)明者】蔡天浩, 陳彥仲, 王貞力, 謝秀芬, 林宗毅 申請人:中華電信股份有限公司