一种恶意软件拦截方法及装置制造方法及图纸

本发明专利技术公开了一种恶意软件拦截方法及装置，该方法包括步骤：对应用软件进行识别；若识别出该应用软件为可疑文件，则将可疑文件载入内存进行分析，并生成内存分析结果；根据内存分析结果触发应用软件遏制操作；应用软件遏制操作包括拦截恶意软件的进程操作。本发明专利技术公开的恶意软件拦截方法及装置，为灰色软件提供了一个备选的、基于行为的方法，通过规定它们在终端上的行为来预先遏制可疑应用；可以减少或消除灰色软件在终端进行恶意更改的能力，而不需要用户等待进行进一步代码分析；可以在终端正常工作时遏制进程；显著加快检测到修正再到保护的威胁防御生命周期、协同工作，形成一个集成的防御体系。

Malicious software intercepting method and device

The invention discloses a malware blocking method and device, the method comprises the following steps: identification of application software; if the application software for the identification of suspicious files will be loaded into the memory of the suspicious file, and generate memory analysis results according to the results of the analysis; memory trigger application software application software to stop the operation to stop the operation; including the interception of malicious software operation process. Malicious software interception method and device are disclosed, as grey software provides an alternative method based on behavior, through the provisions of their behavior to advance in the terminal to curb suspicious application; you can reduce or eliminate malicious software can change the gray force in the terminal, without requiring the user to wait for further code analysis can curb the process in the terminal; normal work; accelerate the detection correction to work life cycle, threat defense protection coordination, to form an integrated defense system.

【技术实现步骤摘要】
一种恶意软件拦截方法及装置
本专利技术涉及网络安全
，尤其涉及一种恶意软件拦截方法及装置。
技术介绍
“零日漏洞”(zero-day)又叫零时差攻击，是指被发现后立即被恶意利用的安全漏洞。通俗地讲，即安全补丁与瑕疵曝光的同一日内，相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。在实现本专利技术的过程中，专利技术人发现现有技术至少存在以下问题：在行业中，尤其是要求比较严格的金融业，终端安全没有弹性的空间，通常采取“先拦截，再询问”的理念，即先拦截所有可执行文件或应用软件，直到每一个可执行文件或应用软件都分析完。这种方式对用户来说，需要等待分析完之后，才可进行有关的操作。
技术实现思路
本专利技术的主要目的在于提出一种恶意软件拦截方法及装置，旨在解决现有技术存在的问题。为实现上述目的，本专利技术实施例第一方面提供一种恶意软件拦截方法，所述方法包括步骤：对应用软件进行识别；若识别出该应用软件为可疑文件，则将所述可疑文件载入内存进行分析，并生成内存分析结果；根据所述内存分析结果触发应用软件遏制操作；所述应用软件遏制操作包括拦截恶意软件的进程操作。结合本专利技术实施例的第一方面，本专利技术实施例的第一方面的第一种实现方式中，所述步骤对应用软件进行识别包括：若应用软件的信息摘要算法值或者哈希值不在特征库中，则识别该应用软件为可疑文件。结合本专利技术实施例的第一方面，本专利技术实施例的第一方面的第二种实现方式中，所述应用软件遏制操作还包括用户自定义的应用软件遏制操作。结合本专利技术实施例的第一方面，本专利技术实施例的第一方面的第三种实现方式中，所述方法还包括步骤：对所述可疑文件进行动态行为分析。结合本专利技术实施例的第一方面，本专利技术实施例的第一方面的第三种实现方式中，所述方法还包括步骤：共享所述可疑文件的信息。此外，为实现上述目的，本专利技术实施例第二方面提供一种恶意软件拦截装置，所述装置包括识别模块、内存分析模块及遏制操作模块；所述识别模块，用于对应用软件进行识别；所述内存分析模块，用于若所述识别模块识别出该应用软件为可疑文件，则将所述可疑文件载入内存进行分析，并生成内存分析结果；所述遏制操作模块，用于根据所述内存分析结果触发应用软件遏制操作；所述应用软件遏制操作包括拦截恶意软件的进程操作。结合本专利技术实施例的第二方面，本专利技术实施例的第二方面的第一种实现方式中，所述识别模块，用于若应用软件的信息摘要算法值或者哈希值不在特征库中，则识别该应用软件为可疑文件。结合本专利技术实施例的第二方面，本专利技术实施例的第二方面的第二种实现方式中，所述应用软件遏制操作还包括用户自定义的应用软件遏制操作。结合本专利技术实施例的第二方面，本专利技术实施例的第二方面的第三种实现方式中，所述装置还包括动态行为分析模块；所述动态行为分析模块，用于对所述可疑文件进行动态行为分析。结合本专利技术实施例的第二方面，本专利技术实施例的第二方面的第四种实现方式中，所述装置还包括共享模块；所述共享模块，用于共享所述可疑文件的信息。本专利技术实施例提供的恶意软件拦截方法及装置，为灰色软件提供了一个备选的、基于行为的方法，通过规定它们在终端上的行为来预先遏制可疑应用；可以减少或消除灰色软件在终端进行恶意更改的能力，而不需要用户等待进行进一步代码分析；可以在终端正常工作时遏制进程；显著加快检测到修正再到保护的威胁防御生命周期、协同工作，形成一个集成的防御体系。附图说明图1为实现本专利技术各个实施例的移动终端的硬件结构示意图；图2为如图1所示的移动终端的无线通信系统示意图；图3为本专利技术实施例提供的恶意软件拦截方法流程示意图；图4为本专利技术实施例提供的恶意软件拦截方法另一流程示意图；图5为本专利技术实施例提供的恶意软件拦截装置结构示意图；图6为本专利技术实施例提供的恶意软件拦截装置另一结构示意图。本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。具体实施方式应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。现在将参考附图描述实现本专利技术各个实施例的移动终端。在后续的描述中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本专利技术的说明，其本身并没有特定的意义。因此，"模块"与"部件"可以混合地使用。移动终端可以以各种形式来实施。例如，本专利技术中描述的终端可以包括诸如移动电话、智能电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、导航装置等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。下面，假设终端是移动终端。然而，本领域技术人员将理解的是，除了特别用于移动目的的元件之外，根据本专利技术的实施方式的构造也能够应用于固定类型的终端。图1为实现本专利技术各个实施例的移动终端的硬件结构示意。移动终端100可以包括无线通信单元110、A/V(音频/视频)输入单元120、用户输入单元130、感测单元140、输出单元150、存储器160、接口单元170、控制器180和电源单元190等等。图1示出了具有各种组件的移动终端，但是应理解的是，并不要求实施所有示出的组件。可以替代地实施更多或更少的组件。将在下面详细描述移动终端的元件。无线通信单元110通常包括一个或多个组件，其允许移动终端100与无线通信系统或网络之间的无线电通信。例如，无线通信单元可以包括广播接收模块111、移动通信模块112、无线互联网模块113、短程通信模块114和位置信息模块115中的至少一个。广播接收模块111经由广播信道从外部广播管理服务器接收广播信号和/或广播相关信息。广播信道可以包括卫星信道和/或地面信道。广播管理服务器可以是生成并发送广播信号和/或广播相关信息的服务器或者接收之前生成的广播信号和/或广播相关信息并且将其发送给终端的服务器。广播信号可以包括TV广播信号、无线电广播信号、数据广播信号等等。而且，广播信号可以进一步包括与TV或无线电广播信号组合的广播信号。广播相关信息也可以经由移动通信网络提供，并且在该情况下，广播相关信息可以由移动通信模块112来接收。广播信号可以以各种形式存在，例如，其可以以数字多媒体广播(DMB)的电子节目指南(EPG)、数字视频广播手持(DVB-H)的电子服务指南(ESG)等等的形式而存在。广播接收模块111可以通过使用各种类型的广播系统接收信号广播。特别地，广播接收模块111可以通过使用诸如多媒体广播-地面(DMB-T)、数字多媒体广播-卫星(DMB-S)、数字视频广播-手持(DVB-H)，前向链路媒体(MediaFLO@)的数据广播系统、地面数字广播综合服务(ISDB-T)等等的数字广播系统接收数字广播。广播接收模块111可以被构造为适合提供广播信号的各种广播系统以及上述数字广播系统。经由广播接收模块111接收的广播信号和/或广播相关信息可以存储在存储器160(或者其它类型的存储介质)中。移动通信模块112将无线电信号发送到基站(例如，接入点、节点B等等)、外部终端以及服务器中的至少一个和/或从其接收无线电信号。这样的无线电信号可以包括语音通话信号、视频通话信号、或者根据文本和/或多媒体消息发送和/或接收的各种类型的数据。无线互联网模块113支持移动终端的无线互联网接入。该模块可以内部或外部地耦接到终端。该模块所涉本文档来自技高网...

【技术保护点】
一种恶意软件拦截方法，所述方法包括步骤：对应用软件进行识别；若识别出该应用软件为可疑文件，则将所述可疑文件载入内存进行分析，并生成内存分析结果；根据所述内存分析结果触发应用软件遏制操作；所述应用软件遏制操作包括拦截恶意软件的进程操作。

【技术特征摘要】
1.一种恶意软件拦截方法，所述方法包括步骤：对应用软件进行识别；若识别出该应用软件为可疑文件，则将所述可疑文件载入内存进行分析，并生成内存分析结果；根据所述内存分析结果触发应用软件遏制操作；所述应用软件遏制操作包括拦截恶意软件的进程操作。2.根据权利要求1所述的一种恶意软件拦截方法，其特征在于，所述步骤对应用软件进行识别包括：若应用软件的信息摘要算法值或者哈希值不在特征库中，则识别该应用软件为可疑文件。3.根据权利要求1所述的一种恶意软件拦截方法，其特征在于，所述应用软件遏制操作还包括用户自定义的应用软件遏制操作。4.根据权利要求1所述的一种恶意软件拦截方法，其特征在于，所述方法还包括步骤：对所述可疑文件进行动态行为分析。5.根据权利要求1所述的一种恶意软件拦截方法，其特征在于，所述方法还包括步骤：共享所述可疑文件的信息。6.一种恶意软件拦截装置，所述装置包括识别模块、内存分析模块及遏制操作模块；...

【专利技术属性】
技术研发人员：杨文峰，
申请(专利权)人：努比亚技术有限公司，
类型：发明
国别省市：广东,44