惡意程序防護(hù)方法與系統(tǒng)及其過(guò)濾表格更新方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種信息安全技術(shù),且特別是關(guān)于一種惡意程序防護(hù)方法與系統(tǒng)及其過(guò)濾表格更新方法。
【背景技術(shù)】
[0002]隨著信息科技越來(lái)越進(jìn)步,網(wǎng)際網(wǎng)絡(luò)已與現(xiàn)代人的生活產(chǎn)生密不可分的關(guān)系。舉例來(lái)說(shuō),使用者只要在家中使用電腦,就可以輕易的通過(guò)網(wǎng)際網(wǎng)絡(luò)與遠(yuǎn)方的朋友聊天、下載文件或者進(jìn)行線(xiàn)上交易等等。也因如此,惡意程序(malware)也更容易進(jìn)入使用者的電腦。例如,當(dāng)使用者通過(guò)網(wǎng)際網(wǎng)絡(luò)下載來(lái)路不明的應(yīng)用程序或多媒體文件時(shí),惡意程序可能會(huì)隨著此應(yīng)用程序或多媒體文件被下載至使用者的電腦,進(jìn)而可竊取電腦中的帳號(hào)與密碼等使用者信息。
[0003]此外,隨著智能電視(Smart TV)與數(shù)字機(jī)頂盒(Set Top Box, STB)等多媒體播放裝置的系統(tǒng)性能普遍提升,多媒體播放裝置儼然已成為小型的個(gè)人電腦,并且逐漸成為網(wǎng)絡(luò)黑客的攻擊目標(biāo)。然而,在多媒體播放裝置上運(yùn)行傳統(tǒng)的防毒軟件或架設(shè)入侵檢測(cè)系統(tǒng)(Intrus1n Detect1n System),對(duì)于數(shù)據(jù)處理能力有限的多媒體播放裝置來(lái)說(shuō)還是略顯吃力。因此,有必要提出系統(tǒng)需求相對(duì)較低且具有一定程度的防護(hù)能力的惡意程序防護(hù)系統(tǒng),以提升多媒體播放裝置的安全性。
【發(fā)明內(nèi)容】
[0004]本發(fā)明要解決的技術(shù)問(wèn)題是:提供一種惡意程序防護(hù)方法與系統(tǒng),可提供用戶(hù)端裝置一定程度的惡意程序防護(hù)能力,并且可有效減少用戶(hù)端裝置的系統(tǒng)資源消耗。
[0005]本發(fā)明還提供一種過(guò)濾表格更新方法,可由用戶(hù)端裝置與服務(wù)器端裝置合作產(chǎn)生新的過(guò)濾規(guī)則,并且據(jù)以更新用戶(hù)端裝置的過(guò)濾表格。
[0006]本發(fā)明解決技術(shù)問(wèn)題的方案包括:提供一種惡意程序防護(hù)方法,此惡意程序防護(hù)方法包括:由電子裝置接收網(wǎng)絡(luò)封包,其中電子裝置存儲(chǔ)有過(guò)濾表格;由電子裝置判斷網(wǎng)絡(luò)封包是否符合過(guò)濾表格中的特定過(guò)濾規(guī)則;若網(wǎng)絡(luò)封包符合過(guò)濾表格中的所述特定過(guò)濾規(guī)則,由電子裝置根據(jù)所述特定過(guò)濾規(guī)則對(duì)網(wǎng)絡(luò)封包執(zhí)行特定操作;以及若網(wǎng)絡(luò)封包不符合過(guò)濾表格中的所述特定過(guò)濾規(guī)則,由電子裝置將網(wǎng)絡(luò)封包的特征信息上傳至惡意程序分析裝置。
[0007]在本發(fā)明的一范例實(shí)施例中,所述電子裝置還存儲(chǔ)有惡意程序特征組,并且所述惡意程序防護(hù)方法還包括:由電子裝置根據(jù)所述惡意程序特征組對(duì)網(wǎng)絡(luò)封包執(zhí)行惡意程序特征檢查程序,以產(chǎn)生網(wǎng)絡(luò)封包的特征信息。
[0008]在本發(fā)明的一范例實(shí)施例中,所述惡意程序特征組中的第一惡意程序特征組包括多個(gè)惡意程序特征,并且由電子裝置根據(jù)所述惡意程序特征組對(duì)網(wǎng)絡(luò)封包執(zhí)行所述惡意程序特征檢查程序的步驟包括:在對(duì)應(yīng)于第一惡意程序特征組的第一惡意程序特征檢查程序中,由電子裝置根據(jù)惡意程序特征對(duì)應(yīng)在網(wǎng)絡(luò)封包中的位置順序,依序檢查網(wǎng)絡(luò)封包中的數(shù)據(jù)。
[0009]在本發(fā)明的一范例實(shí)施例中,所述惡意程序防護(hù)方法還包括:由惡意程序分析裝置根據(jù)網(wǎng)絡(luò)封包的特征信息判斷網(wǎng)絡(luò)封包是否包含惡意程序;若網(wǎng)絡(luò)封包包含惡意程序,由惡意程序分析裝置產(chǎn)生對(duì)應(yīng)于惡意程序的過(guò)濾規(guī)則,并且發(fā)送更新指令;由電子裝置從惡意程序分析裝置接收更新指令,且根據(jù)更新指令新增對(duì)應(yīng)于惡意程序的過(guò)濾規(guī)則至過(guò)濾表格。
[0010]在本發(fā)明的一范例實(shí)施例中,所述惡意程序分析裝置存儲(chǔ)有對(duì)應(yīng)于所述惡意程序特征組的惡意程序腳本,并且由惡意程序分析裝置根據(jù)網(wǎng)絡(luò)封包的特征信息判斷網(wǎng)絡(luò)封包是否包含惡意程序的步驟包括:由惡意程序分析裝置根據(jù)所述惡意程序腳本重新排序網(wǎng)絡(luò)封包的特征信息;由惡意程序分析裝置根據(jù)排序后的特征信息判斷網(wǎng)絡(luò)封包是否包含惡意程序。
[0011]在本發(fā)明的一范例實(shí)施例中,若惡意程序?yàn)榭汕宄龕阂獬绦驎r(shí),由惡意程序分析裝置設(shè)定對(duì)應(yīng)于惡意程序的過(guò)濾規(guī)則為清除指令。若惡意程序非為可清除惡意程序時(shí),由惡意程序分析裝置設(shè)定對(duì)應(yīng)于惡意程序的過(guò)濾規(guī)則為阻擋指令。
[0012]在本發(fā)明的一范例實(shí)施例中,所述惡意程序防護(hù)方法還包括:當(dāng)電子裝置接收到包含惡意程序的另一網(wǎng)絡(luò)封包時(shí),由電子裝置根據(jù)清除指令清除另一網(wǎng)絡(luò)封包中至少部分的惡意程序,或者根據(jù)阻擋指令阻擋另一網(wǎng)絡(luò)封包。
[0013]在本發(fā)明的一范例實(shí)施例中,所述惡意程序防護(hù)方法還包括:由惡意程序分析裝置模擬使用者行為,并且記錄應(yīng)用程序或網(wǎng)頁(yè)反應(yīng)于使用者行為而執(zhí)行的異常行為;若異常行為不合法,由惡意程序分析裝置產(chǎn)生對(duì)應(yīng)于應(yīng)用程序或網(wǎng)頁(yè)的過(guò)濾規(guī)則,并發(fā)送更新指令;由電子裝置從惡意程序分析裝置接收更新指令,且根據(jù)更新指令,新增對(duì)應(yīng)于應(yīng)用程序或網(wǎng)頁(yè)的過(guò)濾規(guī)則至過(guò)濾表格。
[0014]在本發(fā)明的一范例實(shí)施例中,所述惡意程序防護(hù)方法還包括:若電子裝置所在的網(wǎng)絡(luò)環(huán)境內(nèi)存在高傳染性惡意程序,由惡意程序分析裝置發(fā)送網(wǎng)絡(luò)管制指令;由電子裝置從惡意程序分析裝置接收網(wǎng)絡(luò)管制指令,且根據(jù)網(wǎng)絡(luò)管制指令,管制至少部分電子裝置與網(wǎng)際網(wǎng)絡(luò)的連線(xiàn)。
[0015]本發(fā)明另提供一種惡意程序防護(hù)系統(tǒng),此惡意程序防護(hù)系統(tǒng)包括電子裝置與惡意程序分析裝置。此電子裝置包括第一網(wǎng)絡(luò)模塊、第一數(shù)據(jù)庫(kù)模塊及初步處理模塊。第一網(wǎng)絡(luò)模塊用以接收網(wǎng)絡(luò)封包。第一數(shù)據(jù)庫(kù)模塊用以存儲(chǔ)過(guò)濾表格。初步處理模塊耦接第一網(wǎng)絡(luò)模塊與第一數(shù)據(jù)庫(kù)模塊,并且用以判斷網(wǎng)絡(luò)封包是否符合過(guò)濾表格中的特定過(guò)濾規(guī)則。若網(wǎng)絡(luò)封包符合過(guò)濾表格中的所述特定過(guò)濾規(guī)則,初步處理模塊還用以根據(jù)所述特定過(guò)濾規(guī)則對(duì)網(wǎng)絡(luò)封包執(zhí)行特定操作。若網(wǎng)絡(luò)封包不符合過(guò)濾表格中的所述特定過(guò)濾規(guī)則,初步處理模塊還用以通過(guò)第一網(wǎng)絡(luò)模塊上傳網(wǎng)絡(luò)封包的特征信息至惡意程序分析裝置。
[0016]在本發(fā)明的一范例實(shí)施例中,所述第一數(shù)據(jù)庫(kù)模塊還存儲(chǔ)有惡意程序特征組。初步處理模塊還用以根據(jù)所述惡意程序特征組對(duì)網(wǎng)絡(luò)封包執(zhí)行惡意程序特征檢查程序,以產(chǎn)生網(wǎng)絡(luò)封包的特征信息。
[0017]在本發(fā)明的一范例實(shí)施例中,所述惡意程序特征組中的第一惡意程序特征組包括多個(gè)惡意程序特征。在對(duì)應(yīng)于第一惡意程序特征組的第一惡意程序特征檢查程序中,初步處理模塊還用以根據(jù)惡意程序特征對(duì)應(yīng)在網(wǎng)絡(luò)封包中的位置順序,依序檢查網(wǎng)絡(luò)封包中的數(shù)據(jù)。
[0018]在本發(fā)明的一范例實(shí)施例中,所述惡意程序分析裝置包括第二網(wǎng)絡(luò)模塊與進(jìn)階處理模塊。第二網(wǎng)絡(luò)模塊用以接收網(wǎng)絡(luò)封包的特征信息。進(jìn)階處理模塊耦接第二網(wǎng)絡(luò)模塊,并且用以根據(jù)網(wǎng)絡(luò)封包的特征信息判斷網(wǎng)絡(luò)封包是否包含惡意程序。若網(wǎng)絡(luò)封包包含惡意程序,進(jìn)階處理模塊還用以產(chǎn)生對(duì)應(yīng)于惡意程序的過(guò)濾規(guī)則,并且通過(guò)第二網(wǎng)絡(luò)模塊發(fā)送更新指令至電子裝置。初步處理模塊還用以根據(jù)更新指令新增對(duì)應(yīng)于惡意程序的過(guò)濾規(guī)則至過(guò)濾表格。
[0019]在本發(fā)明的一范例實(shí)施例中,所述惡意程序分析裝置還包括第二數(shù)據(jù)庫(kù)模塊。第二數(shù)據(jù)庫(kù)模塊耦接進(jìn)階處理模塊,并且用以存儲(chǔ)對(duì)應(yīng)于所述惡意程序特征組的惡意程序腳本。進(jìn)階處理模塊還用以根據(jù)所述惡意程序腳本重新排序網(wǎng)絡(luò)封包的特征信息。進(jìn)階處理模塊還用以根據(jù)排序后的特征信息判斷網(wǎng)絡(luò)封包是否包含惡意程序。
[0020]在本發(fā)明的一范例實(shí)施例中,若惡意程序?yàn)榭汕宄龕阂獬绦?,進(jìn)階處理模塊還用以設(shè)定對(duì)應(yīng)于惡意程序的過(guò)濾規(guī)則為清除指令。若惡意程序非為可清除惡意程序,則進(jìn)階處理模塊還用以設(shè)定對(duì)應(yīng)于惡意程序的過(guò)濾規(guī)則為阻擋指令。
[0021]在本發(fā)明的一范例實(shí)施例中,當(dāng)?shù)谝痪W(wǎng)絡(luò)模塊接收到包含惡意程序的另一網(wǎng)絡(luò)封包時(shí),初步處理模塊還用以根據(jù)清除指令清除另一網(wǎng)絡(luò)封包中至少部分的惡意程序,或者根據(jù)阻擋指令阻擋另一網(wǎng)絡(luò)封包。
[0022]在本發(fā)明的一范例實(shí)施例中,所述進(jìn)階處理模塊還用以模擬使用者行為,并且記錄應(yīng)用程序或網(wǎng)頁(yè)反應(yīng)于使用者行為而執(zhí)行的異常行為。若異常行為不合法,進(jìn)階處理模塊還用以產(chǎn)生對(duì)應(yīng)于應(yīng)用程序或網(wǎng)頁(yè)的過(guò)濾規(guī)則,并發(fā)送更新指令至電子裝置。初步處理模塊還用以根據(jù)更新指令,新增對(duì)應(yīng)于應(yīng)用程序或網(wǎng)頁(yè)的過(guò)濾規(guī)則至過(guò)濾表格。
[0023]在本發(fā)明的一范例實(shí)施例中,若電子裝置所在的網(wǎng)絡(luò)環(huán)境內(nèi)存在高傳染性惡意程序,進(jìn)階處理模塊還用以通過(guò)第二網(wǎng)絡(luò)模塊發(fā)送網(wǎng)絡(luò)管制指令至電子裝置。初步處理模塊還用以根據(jù)網(wǎng)絡(luò)管制指令,管制至少部分第一網(wǎng)絡(luò)模塊與網(wǎng)際網(wǎng)絡(luò)的連線(xiàn)。
[0024]此外,本發(fā)明另提出一種過(guò)濾表格更新方法,此過(guò)濾表格更新方法包括:由電子裝置根據(jù)惡意程序特征組對(duì)網(wǎng)絡(luò)封包執(zhí)行惡意程序特征檢查程序,以產(chǎn)生網(wǎng)絡(luò)封包的特征信息,并將網(wǎng)絡(luò)封包的特征信息上傳至惡意程序分析裝置;由惡意程序分析裝置根據(jù)網(wǎng)絡(luò)封包的特征信息判斷網(wǎng)絡(luò)封包是否包含惡意程序;若網(wǎng)絡(luò)封包包含惡意程序,由惡意程序分析裝置產(chǎn)生對(duì)應(yīng)于惡意程序的過(guò)濾規(guī)則,并且發(fā)送更新指令至電子裝置;由電子裝置根據(jù)更新指令新增對(duì)應(yīng)于惡意程序的過(guò)濾規(guī)則至過(guò)濾表格。
[0025]在本發(fā)明的一范例實(shí)施例中,所述惡意程序特征組中的第一惡意程序特征組包括多個(gè)惡意程序特征,并且由電子裝置根據(jù)所述惡意程序特征組對(duì)網(wǎng)絡(luò)封包執(zhí)行所述惡意程序特征檢查程序的步驟包括:在對(duì)應(yīng)于第一惡意程序特征組的第一惡意程序特征檢查程序中,由電子裝置根據(jù)惡意程序特征對(duì)應(yīng)在網(wǎng)絡(luò)封包中的位置順序,依序檢查網(wǎng)絡(luò)封包中的數(shù)據(jù)。
[0026]在本發(fā)明的一范例實(shí)施例中,所述惡意程序分析裝置存儲(chǔ)有對(duì)應(yīng)于所述惡意程序特征組的惡意程序腳本,并且由惡意程序分析裝置根據(jù)網(wǎng)絡(luò)封包的特征信息判斷網(wǎng)絡(luò)封包是否包含惡意程序的步驟包括:由惡意程序分析裝置根據(jù)所述惡意程序腳本重新排序網(wǎng)絡(luò)封包的特征信息;由惡意程序分析裝置根據(jù)排序后的特征信息判斷網(wǎng)絡(luò)封包是否包含惡意程序。
[0027]在本發(fā)明的一范例實(shí)施例中,所述過(guò)濾表格更新方法還包括:由惡意程序分析裝置模擬使用者行為,并且記錄應(yīng)用程序或網(wǎng)頁(yè)反應(yīng)于使用者行為而執(zhí)行的異常行為;若異常行為不合法,由惡意程序分析裝置產(chǎn)生對(duì)應(yīng)于應(yīng)用程序或網(wǎng)頁(yè)的過(guò)濾規(guī)則,并發(fā)送更新指令至電子裝置;由電子裝置根據(jù)更新指令,新增對(duì)應(yīng)于應(yīng)用程序或網(wǎng)頁(yè)的過(guò)濾規(guī)則至過(guò)濾表格。
[0028]基于上述,本發(fā)明僅讓本地端的電子裝置負(fù)責(zé)簡(jiǎn)單的封包內(nèi)容比對(duì),而將需要較多系統(tǒng)資源的排序與決策交由服務(wù)器端的惡意程序分析裝置執(zhí)行,以達(dá)到提升電子裝置的惡意程序防護(hù)能力與降低其系統(tǒng)資源