一種風(fēng)險(xiǎn)程序溯源方法
【專利摘要】本發(fā)明公開了一種風(fēng)險(xiǎn)程序溯源方法����,所述方法通過對程序行為的判斷,識(shí)別出系統(tǒng)當(dāng)前存在的高危風(fēng)險(xiǎn)程序��,然后對程序的啟動(dòng)時(shí)間����、執(zhí)行高危行為操作的時(shí)間����、程序的存放路徑�、程序?qū)懭胂到y(tǒng)的時(shí)間�����、以及寫入文件的管理員進(jìn)行詳細(xì)的查詢識(shí)別���,然后生成告警信息��,便于管理者更快的定位問題��,解決問題�。本發(fā)明通過采用當(dāng)前比較成熟的風(fēng)險(xiǎn)程序行為識(shí)別技術(shù)對風(fēng)險(xiǎn)程序進(jìn)行捕獲�,整個(gè)風(fēng)險(xiǎn)程序識(shí)別、以及追溯過程均由程序完成����、省去了人為分析、追查����、確認(rèn)來源的過程��。
【專利說明】
一種風(fēng)險(xiǎn)程序溯源方法
技術(shù)領(lǐng)域
[0001 ]本發(fā)明涉及風(fēng)險(xiǎn)程序檢測技術(shù)領(lǐng)域�����,具體涉及一種風(fēng)險(xiǎn)程序溯源方法�����。
【背景技術(shù)】
[0002]隨著云計(jì)算�、物聯(lián)網(wǎng)及移動(dòng)互聯(lián)網(wǎng)等新技術(shù)��、新應(yīng)用的不斷出現(xiàn)和發(fā)展��,信息安全將面臨新的挑戰(zhàn)��,整個(gè)產(chǎn)業(yè)也將步入轉(zhuǎn)折期����。尤其是近年來,各類網(wǎng)絡(luò)威脅事件頻繁發(fā)生����,帶動(dòng)了市場對信息安全產(chǎn)品和服務(wù)需求的持續(xù)增長;各種計(jì)算機(jī)病毒查殺軟件層出不窮�����,但所用的病毒查殺識(shí)別技術(shù)也不外乎程序風(fēng)險(xiǎn)行為識(shí)別����,然后發(fā)送預(yù)警�。就目前殺毒風(fēng)險(xiǎn)識(shí)別現(xiàn)狀而言����,只是記錄了風(fēng)險(xiǎn)行為、和簡單的風(fēng)險(xiǎn)程序文件路徑�,對于解決風(fēng)險(xiǎn)程序的管理員還需要對文件進(jìn)行人為的追查確認(rèn)風(fēng)險(xiǎn)程序的來源。
【發(fā)明內(nèi)容】
[0003]本發(fā)明要解決的技術(shù)問題是:本發(fā)明針對以上問題�,提供一種風(fēng)險(xiǎn)程序溯源方法,通過采用當(dāng)前比較成熟的風(fēng)險(xiǎn)程序行為識(shí)別技術(shù)對風(fēng)險(xiǎn)程序進(jìn)行捕獲�,然后對發(fā)現(xiàn)的風(fēng)險(xiǎn)行為進(jìn)一步進(jìn)行追蹤,將程序的存放路徑����、程序?qū)懭胂到y(tǒng)的時(shí)間、以及寫入風(fēng)險(xiǎn)程序的管理員��、程序的校驗(yàn)信息,程序的啟動(dòng)時(shí)間���、異常風(fēng)險(xiǎn)行為以及行為發(fā)起時(shí)間進(jìn)行詳細(xì)的查詢識(shí)另O����。然后生成相應(yīng)的告警信息發(fā)出預(yù)警����。
[0004]本發(fā)明所采用的技術(shù)方案為:
一種風(fēng)險(xiǎn)程序溯源方法,所述方法通過對程序行為的判斷�,識(shí)別出系統(tǒng)當(dāng)前存在的高危風(fēng)險(xiǎn)程序,然后對程序的啟動(dòng)時(shí)間����、執(zhí)行高危行為操作的時(shí)間、程序的存放路徑�、程序?qū)懭胂到y(tǒng)的時(shí)間、以及寫入文件的管理員進(jìn)行詳細(xì)的查詢識(shí)別�,然后生成告警信息,便于管理者更快的定位問題���,解決問題��。
[0005]所述高危風(fēng)險(xiǎn)程序的行為包括:頻繁寫文件���、修改文件權(quán)限等屬性����、更改系統(tǒng)啟動(dòng)項(xiàng)����、DNS解析、http訪問����、文件下載、EmaiI登錄�����、郵件發(fā)送等惡意網(wǎng)絡(luò)行為�。
[0006]所述風(fēng)險(xiǎn)程序識(shí)別�����、以及追溯過程均由程序完成:
軟件程序自動(dòng)識(shí)別系統(tǒng)當(dāng)前存在的風(fēng)險(xiǎn)行為(如:頻繁寫文件���、修改文件權(quán)限等屬性�����,更改系統(tǒng)啟動(dòng)項(xiàng)����,DNS解析、http訪問��、文件下載��、EmaiI登錄����、郵件發(fā)送等惡意網(wǎng)絡(luò)行為),如果是風(fēng)險(xiǎn)行為記錄程序名稱���、行為����、以及行為時(shí)間��;
再將捕獲到的風(fēng)險(xiǎn)程序進(jìn)行詳細(xì)查詢����,獲取程序的可執(zhí)行文件存放路徑�����、以及文件的所有者�����、文件大小���、校驗(yàn)值、文件寫入系統(tǒng)的時(shí)間��、寫入者��、修改時(shí)間����、修改者等詳細(xì)的文件信息����,然后將這些信息匯總記錄與之前記錄程序的記錄信息整理保存,然后將保存的信息發(fā)送出去�����,給管理用戶告警。省去了人為分析�����、追查����、確認(rèn)來源的過程。
[0007]所述方法涉及功能模塊包括:風(fēng)險(xiǎn)行為對比模塊����、程序文件信息獲取模塊、記錄風(fēng)險(xiǎn)行為模塊����、告警信息拼裝存儲(chǔ)模塊、告警信息發(fā)送顯示模塊�。
[0008]本發(fā)明的有益效果為:
本發(fā)明通過采用當(dāng)前比較成熟的風(fēng)險(xiǎn)程序行為識(shí)別技術(shù)對風(fēng)險(xiǎn)程序進(jìn)行捕獲,然后對發(fā)現(xiàn)的風(fēng)險(xiǎn)行為進(jìn)一步進(jìn)行追蹤�����,將程序的存放路徑�����、程序?qū)懭胂到y(tǒng)的時(shí)間、以及寫入風(fēng)險(xiǎn)程序的管理員�����、程序的校驗(yàn)信息�����,程序的啟動(dòng)時(shí)間�����、異常風(fēng)險(xiǎn)行為以及行為發(fā)起時(shí)間進(jìn)行詳細(xì)的查詢識(shí)別����,然后生成相應(yīng)的告警信息發(fā)出預(yù)警。整個(gè)風(fēng)險(xiǎn)程序識(shí)別��、以及追溯過程均由程序完成���、省去了人為分析��、追查、確認(rèn)來源的過程��。
【附圖說明】
[0009]圖1為本發(fā)明風(fēng)險(xiǎn)程序溯源工作流程圖。
【具體實(shí)施方式】
[0010]下面結(jié)合附圖�,根據(jù)【具體實(shí)施方式】對本發(fā)明進(jìn)一步說明:
實(shí)施例1:
如圖1所示,一種風(fēng)險(xiǎn)程序溯源方法�,所述方法通過對程序行為的判斷,識(shí)別出系統(tǒng)當(dāng)前存在的高危風(fēng)險(xiǎn)程序����,然后對程序的啟動(dòng)時(shí)間、執(zhí)行高危行為操作的時(shí)間�����、程序的存放路徑��、程序?qū)懭胂到y(tǒng)的時(shí)間��、以及寫入文件的管理員進(jìn)行詳細(xì)的查詢識(shí)別����,然后生成告警信息,便于管理者更快的定位問題�,解決問題。
[0011]實(shí)施例2
在實(shí)施例1的基礎(chǔ)上�,本實(shí)施例所述高危風(fēng)險(xiǎn)程序的行為包括:頻繁寫文件、修改文件權(quán)限等屬性���、更改系統(tǒng)啟動(dòng)項(xiàng)���、DNS解析����、http訪問�、文件下載、Emai I登錄�、郵件發(fā)送等惡意網(wǎng)絡(luò)行為。
[0012]實(shí)施例3
在實(shí)施例1或2的基礎(chǔ)上�����,本實(shí)施例所述風(fēng)險(xiǎn)程序識(shí)別�����、以及追溯過程均由程序完成:
軟件程序自動(dòng)識(shí)別系統(tǒng)當(dāng)前存在的風(fēng)險(xiǎn)行為(如:頻繁寫文件���、修改文件權(quán)限等屬性�,更改系統(tǒng)啟動(dòng)項(xiàng)�����,DNS解析�����、http訪問�、文件下載、EmaiI登錄���、郵件發(fā)送等惡意網(wǎng)絡(luò)行為)�����,如果是風(fēng)險(xiǎn)行為記錄程序名稱��、行為��、以及行為時(shí)間��;
再將捕獲到的風(fēng)險(xiǎn)程序進(jìn)行詳細(xì)查詢�,獲取程序的可執(zhí)行文件存放路徑�����、以及文件的所有者、文件大小�����、校驗(yàn)值�����、文件寫入系統(tǒng)的時(shí)間����、寫入者、修改時(shí)間�����、修改者等詳細(xì)的文件信息�,然后將這些信息匯總記錄與之前記錄程序的記錄信息整理保存,然后將保存的信息發(fā)送出去�,給管理用戶告警。省去了人為分析�、追查、確認(rèn)來源的過程��。
[0013]實(shí)施例4
在實(shí)施例3的基礎(chǔ)上��,本實(shí)施例所述方法涉及功能模塊包括:風(fēng)險(xiǎn)行為對比模塊、程序文件信息獲取模塊�����、記錄風(fēng)險(xiǎn)行為模塊���、告警信息拼裝存儲(chǔ)模塊、告警信息發(fā)送顯示模塊��。
[0014]實(shí)施方式僅用于說明本發(fā)明�,而并非對本發(fā)明的限制,有關(guān)技術(shù)領(lǐng)域的普通技術(shù)人員�,在不脫離本發(fā)明的精神和范圍的情況下,還可以做出各種變化和變型���,因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇��,本發(fā)明的專利保護(hù)范圍應(yīng)由權(quán)利要求限定����。
【主權(quán)項(xiàng)】
1.一種風(fēng)險(xiǎn)程序溯源方法��,其特征在于:所述方法通過對程序行為的判斷�����,識(shí)別出系統(tǒng)當(dāng)前存在的高危風(fēng)險(xiǎn)程序,然后對程序的啟動(dòng)時(shí)間��、執(zhí)行高危行為操作的時(shí)間���、程序的存放路徑�、程序?qū)懭胂到y(tǒng)的時(shí)間��、以及寫入文件的管理員進(jìn)行詳細(xì)的查詢識(shí)別����,然后生成告警信息,便于管理者更快的定位問題����,解決問題。2.根據(jù)權(quán)利要求1所述的一種風(fēng)險(xiǎn)程序溯源方法���,其特征在于:所述高危風(fēng)險(xiǎn)程序的行為包括:頻繁寫文件���、修改文件權(quán)限、更改系統(tǒng)啟動(dòng)項(xiàng)����、DNS解析�����、http訪問�、文件下載��、Emai I登錄����、郵件發(fā)送���。3.根據(jù)權(quán)利要求1或2所述的一種風(fēng)險(xiǎn)程序溯源方法���,其特征在于,所述風(fēng)險(xiǎn)程序識(shí)別�����、以及追溯過程均由程序完成: 軟件程序自動(dòng)識(shí)別系統(tǒng)當(dāng)前存在的風(fēng)險(xiǎn)行為��,如果是風(fēng)險(xiǎn)行為記錄程序名稱�、行為�����、以及行為時(shí)間����; 再將捕獲到的風(fēng)險(xiǎn)程序進(jìn)行詳細(xì)查詢��,獲取程序的可執(zhí)行文件存放路徑��、以及文件的所有者����、文件大小、校驗(yàn)值��、文件寫入系統(tǒng)的時(shí)間�、寫入者、修改時(shí)間���、修改者的文件信息���,然后將這些信息匯總記錄與之前記錄程序的記錄信息整理保存,然后將保存的信息發(fā)送出去����,給管理用戶告警���。4.根據(jù)權(quán)利要求3所述的一種風(fēng)險(xiǎn)程序溯源方法,其特征在于:所述方法涉及功能模塊包括:風(fēng)險(xiǎn)行為對比模塊�、程序文件信息獲取模塊、記錄風(fēng)險(xiǎn)行為模塊���、告警信息拼裝存儲(chǔ)模塊���、告警信息發(fā)送顯示模塊。
【文檔編號(hào)】G06F21/56GK106022115SQ201610571928
【公開日】2016年10月12日
【申請日】2016年7月20日
【發(fā)明人】張敬倫, 高麗琴
【申請人】浪潮電子信息產(chǎn)業(yè)股份有限公司