信息安全监控与防御的计算机程序产品及其方法技术

本发明专利技术公开了一种信息安全监控与防御的计算机程序产品及其方法，其方法包含下列步骤：首先，经由虚拟层撷取虚拟机欲执行的程序的程序信息。接着，将程序信息与快取信息进行比对，若匹配即判断此程序为正常程序，再者，若程序信息未匹配取信息时，则把程序信息与白名单信息进行比对，若匹配白名单信息时，即判断程序为正常程序。接着，若程序信息未匹配白名单信息时，则对程序信息的执行参数进行检查，若通过检查即判断程序为正常程序，若未通过检查即判断程序为异常程序。最后，于程序为异常程序即判断执行安全防护操作。

【技术实现步骤摘要】
【专利摘要】本专利技术公开了一种，其方法包含下列步骤：首先，经由虚拟层撷取虚拟机欲执行的程序的程序信息。接着，将程序信息与快取信息进行比对，若匹配即判断此程序为正常程序，再者，若程序信息未匹配取信息时，则把程序信息与白名单信息进行比对，若匹配白名单信息时，即判断程序为正常程序。接着，若程序信息未匹配白名单信息时，则对程序信息的执行参数进行检查，若通过检查即判断程序为正常程序，若未通过检查即判断程序为异常程序。最后，于程序为异常程序即判断执行安全防护操作。【专利说明】【
】本专利技术涉及一种，尤指一种设置在虚拟层，以对辖下的虚拟机进行。【
技术介绍
】随着网络通讯的进步的快速发展，网络服务提供商推出各式各样的云端服务，而一般用户与企业主为了节省购置计算机硬件装置的成本，逐渐把先前于个人计算机上进行的操作移至云端服务器上进行处理。由于云端服务已成为电子商务、电子化办公室的重要一环，因此黑客也把攻击的重心逐渐的移至云端服务器，由于目前恶意程序技术的普及，使得恶意程序相当的泛滥，而对计算机/服务器造成极大的危害。根据国际组织shadowserver研究报告指出，其组织每月可收集到数百万甚至千万个全新的恶意程序样本，且迄今已收集超过两亿个不重复的恶意程序样本。而本国的趋势科技公司亦指出每日大约需要分析4000万笔以上的可疑程序。由于传统防毒软件是监控程序的特征或者是行为来辨别是否为恶意程序，但随着恶意程序的迅速发展，其不仅可通过加密、变形或加壳等技术躲避防毒的侦测，甚至可能会直接关闭防毒软件再进行恶意活动。使得传统的防毒软件已无法负荷防护工作。因此，如何提供一种可有效的侦测多变的恶意程序乃本领域亟须解决的技术问题。【
技术实现思路
】为解决上述传统技术的技术问题，本专利技术提供一种，以有效的进行病毒防护操作。为达上述目的，本专利技术提供一种信息安全监控与防御的计算机程序产品。信息安全监控与防御计算机程序产品应用于计算机装置上，而计算机装置提供了至少一云端虚拟平台，其云端虚拟平匹配虚拟层(Hypervisor)以及包含至少一虚拟机(Virtual Machine,简称VM)。虚拟层的权限高于虚拟机，而计算机程序产品包含了至少一信息搜集模块以及中央控管模块。各个信息搜集模块分别设置于虚拟平台，而各信息搜集模块经由虚拟层，来撷取虚拟机欲执行的程序的程序信息。中央控管模块除连接信息搜集模块，且包含白名单记录模块、信息监控模块以及异常处理模块。白名单记录模块为提供白名单信息，所述白名单信息用于记录允许执行的程序名称。而信息监控模块连接白名单记录模块，并执行:(I)将程序信息与快取信息进行比对，若程序信息匹配于快取信息，即判断程序为正常程序，快取信息记录允许执行且已执行的程序，快取信息为暂存记录允许执行且已执行的程序；(2)若程序信息未匹配快取信息，即把程序信息与设置于计算机装置的数据库的一白名单信息进行比对，若程序信息匹配白名单信息，即判断程序为正常程序；(3)若程序信息未匹配白名单信息，即对程序信息的执行参数进行检查，若通过检查即判断此程序为正常程序，若未通过检查即判断程序为异常程序。而异常处理模块为连接信息监控模块，并于此程序被判断为异常程序即判断执行安全防护操作。为达上述目的，本专利技术还提供一种信息安全监控与防御方法，所述方法应用于计算机装置，计算机装置提供至少一云端虚拟平台，云端虚拟平台匹配虚拟层以及包含至少一虚拟机，虚拟层的权限高于虚拟机，所述方法包含下列步骤:首先，经由虚拟层撷取虚拟机欲执行程序的程序信息。接着，将程序信息与快取信息进行比对，若程序信息匹配于快取信息，即判断程序信息所描述的程序为正常程序，快取信息为暂存记录允许执行且已执行的程序。再者，当程序信息未匹配取信息时，则把程序信息与设置于计算机装置数据库的白名单信息进行比对，若程序信息匹配白名单信息，即判断程序为正常程序。接着，若程序信息未匹配白名单信息时，则对程序信息的执行参数进行检查，若通过检查即判断程序为正常程序，若未通过检查即判断程序为异常程序。最后，于此程序被判定为异常程序即判断是否执行安全防护操作。综上所述，由于本专利技术系在权限高于虚拟机的虚拟层进行信息监控与防御，因此存在虚拟机的病毒无论想通过加密、加壳、变形等技术来躲避侦测，本专利技术皆能有效的进行监控与防范。【【专利附图】【附图说明】】图1为本专利技术的信息安全监控与防御的计算机程序产品的方块图；图2为本专利技术的信息安全监控与防御方法流程图。附图标记说明1、信息安全监控与防御的计算机程序产品；11、中央控管模块；111、白名单记录模块；112、信息监控模块；113、异常处理模块；12、信息搜集模块；121、存储器信息分析模块；122、档案系统分析模块；2、云端虚拟平台；21、虚拟机；SlOl ?S105、步骤。【【具体实施方式】】以下面将结合附图及实施例对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本专利技术，但并不用于限定本专利技术。请参阅图1，其为本专利技术的一种信息安全监控与防御的计算机程序产品。信息安全监控与防御的计算机程序产品I应用于计算机装置，计算机装置提供至少一云端虚拟平台2，云端虚拟平台2为匹配一虚拟层以及包含至少一虚拟机21。且虚拟层的权限高于虚拟机21，且虚拟机21与云端虚拟平台2设置于信息安全监控与防御的计算机程序产品I的外部。信息安全监控与防御的计算机程序产品I包含至少一信息搜集模块12以及中央控管模块11。而各个信息搜集模块12则分别设置于云端虚拟平台2上，各信息搜集模块12经由虚拟层撷取匹配的虚拟机21所欲执行程序的程序信息。中央控管模块11连接信息搜集模块12，并包含白名单记录模块111、信息监控模块112以及异常处理模块113。白名单记录模块111为提供白名单信息，而白名单信息记录允许执行的程序名称。而信息监控模块112连接白名单记录模块111，且信息监控模块112执行:(I)将程序信息与快取信息进行比对，若程序信息匹配于快取信息，即判断此程序为正常程序，快取信息为暂存记录允许执行且已执行的程序；(2)若程序信息未匹配快取信息，即把程序信息与设置于计算机装置数据库的白名单信息进行比对，若程序信息匹配白名单信息，即判断程序为正常程序；(3)若程序信息未匹配设置于数据库的白名单信息，即对程序信息的执行参数进行检查，若通过检查即判断此程序为正常程序，若未通过检查即判断程序为异常程序。而异常处理模块113连接信息监控模块112，异常处理模块113于程序被判定为异常程序即判断是否执行安全防护操作。所述白名单信息包含复数个程序记录信息，各个记录信息包含允许程序的名称信息、程序的执行档案路径信息、载入档案信息、档案散列值(hash)或日期信息。而对程序信息的执行参数其检查项目包含了:(I)检查新程序的存储器内容、(2)检查载入档案、(3)检查是否为恶意隐藏程序、(4)检查是否被植入恶意程序码，以及(5)检查存储器的各区段是否正常。安全防护操作包含隔离网络操作、终止恶意程序执行操作，或者令虚拟机21暂停执行操作。所述信息搜集模块12包含存储器信息分析模块121以及档案系统分析模块122。存储器信息分析模块121分析计算机装置的存储器内欲载入的程序名称信息、原档案路本文档来自技高网...

【技术保护点】
一种信息安全监控与防御的计算机程序产品，应用于计算机装置，所述计算机装置提供至少一云端虚拟平台，所述云端虚拟平台匹配虚拟层以及包含至少一虚拟机，所述虚拟层的权限高于所述虚拟机，且所述虚拟机与所述云端虚拟平台设置于信息安全监控与防御的计算机程序产品的外部，其特征在于，所述计算机装置程序产品包含：至少一信息搜集模块，分别设置于所述至少一云端虚拟平台，各所述信息搜集模块经由所述虚拟层撷取匹配所述虚拟机欲执行程序的程序信息；中央控管模块，连接所述至少一信息搜集模块，所述中央控管模块包含：白名单记录模块，提供白名单信息，所述白名单信息记录允许执行的程序名称；信息监控模块，连接所述白名单记录模块，所述信息监控模块执行：将所述程序信息与快取信息进行比对，若所述程序信息匹配于所述快取信息，即判断所述程序为正常程序，所述快取信息记录允许执行且已执行的程序，所述快取信息为暂存记录允许执行且已执行过的程序；若所述程序信息未匹配所述快取信息，即把所述程序信息与设置于所述计算机装置数据库的白名单信息进行比对，若所述程序信息匹配所述白名单信息，即判断所述程序为正常程序；若所述程序信息未匹配设置于所述数据库的所述白名单信息，即对所述程序信息的执行参数进行检查，若通过检查即判断所述程序为正常程序，若未通过检查即判断所述程序为异常程序。...

【技术特征摘要】
...

【专利技术属性】
技术研发人员：蔡天浩，陈彦仲，王贞力，谢秀芬，林宗毅，
申请(专利权)人：中华电信股份有限公司，
类型：发明
国别省市：中国台湾;71