一种风险程序溯源方法技术

本发明专利技术公开了一种风险程序溯源方法，所述方法通过对程序行为的判断，识别出系统当前存在的高危风险程序，然后对程序的启动时间、执行高危行为操作的时间、程序的存放路径、程序写入系统的时间、以及写入文件的管理员进行详细的查询识别，然后生成告警信息，便于管理者更快的定位问题，解决问题。本发明专利技术通过采用当前比较成熟的风险程序行为识别技术对风险程序进行捕获，整个风险程序识别、以及追溯过程均由程序完成、省去了人为分析、追查、确认来源的过程。

【技术实现步骤摘要】

本专利技术涉及风险程序检测
，具体涉及一种风险程序溯源方法。
技术介绍
随着云计算、物联网及移动互联网等新技术、新应用的不断出现和发展，信息安全将面临新的挑战，整个产业也将步入转折期。尤其是近年来，各类网络威胁事件频繁发生，带动了市场对信息安全产品和服务需求的持续增长；各种计算机病毒查杀软件层出不穷，但所用的病毒查杀识别技术也不外乎程序风险行为识别，然后发送预警。就目前杀毒风险识别现状而言，只是记录了风险行为、和简单的风险程序文件路径，对于解决风险程序的管理员还需要对文件进行人为的追查确认风险程序的来源。
技术实现思路
本专利技术要解决的技术问题是：本专利技术针对以上问题，提供一种风险程序溯源方法，通过采用当前比较成熟的风险程序行为识别技术对风险程序进行捕获，然后对发现的风险行为进一步进行追踪，将程序的存放路径、程序写入系统的时间、以及写入风险程序的管理员、程序的校验信息，程序的启动时间、异常风险行为以及行为发起时间进行详细的查询识别。然后生成相应的告警信息发出预警。本专利技术所采用的技术方案为：一种风险程序溯源方法，所述方法通过对程序行为的判断，识别出系统当前存在的高危风险程序，然后对程序的启动时间、执行高危行为操作的时间、程序的存放路径、程序写入系统的时间、以及写入文件的管理员进行详细的查询识别，然后生成告警信息，便于管理者更快的定位问题，解决问题。所述高危风险程序的行为包括：频繁写文件、修改文件权限等属性、更改系统启动项、DNS解析、http访问、文件下载、Email登录、邮件发送等恶意网络行为。所述风险程序识别、以及追溯过程均由程序完成：软件程序自动识别系统当前存在的风险行为（如：频繁写文件、修改文件权限等属性，更改系统启动项，DNS解析、http访问、文件下载、Email登录、邮件发送等恶意网络行为），如果是风险行为记录程序名称、行为、以及行为时间；再将捕获到的风险程序进行详细查询，获取程序的可执行文件存放路径、以及文件的所有者、文件大小、校验值、文件写入系统的时间、写入者、修改时间、修改者等详细的文件信息，然后将这些信息汇总记录与之前记录程序的记录信息整理保存，然后将保存的信息发送出去，给管理用户告警。省去了人为分析、追查、确认来源的过程。所述方法涉及功能模块包括：风险行为对比模块、程序文件信息获取模块、记录风险行为模块、告警信息拼装存储模块、告警信息发送显示模块。本专利技术的有益效果为：本专利技术通过采用当前比较成熟的风险程序行为识别技术对风险程序进行捕获，然后对发现的风险行为进一步进行追踪，将程序的存放路径、程序写入系统的时间、以及写入风险程序的管理员、程序的校验信息，程序的启动时间、异常风险行为以及行为发起时间进行详细的查询识别，然后生成相应的告警信息发出预警。整个风险程序识别、以及追溯过程均由程序完成、省去了人为分析、追查、确认来源的过程。附图说明图1为本专利技术风险程序溯源工作流程图。具体实施方式下面结合附图，根据具体实施方式对本专利技术进一步说明：实施例1：如图1所示，一种风险程序溯源方法，所述方法通过对程序行为的判断，识别出系统当前存在的高危风险程序，然后对程序的启动时间、执行高危行为操作的时间、程序的存放路径、程序写入系统的时间、以及写入文件的管理员进行详细的查询识别，然后生成告警信息，便于管理者更快的定位问题，解决问题。实施例2在实施例1的基础上，本实施例所述高危风险程序的行为包括：频繁写文件、修改文件权限等属性、更改系统启动项、DNS解析、http访问、文件下载、Email登录、邮件发送等恶意网络行为。实施例3在实施例1或2的基础上，本实施例所述风险程序识别、以及追溯过程均由程序完成：软件程序自动识别系统当前存在的风险行为（如：频繁写文件、修改文件权限等属性，更改系统启动项，DNS解析、http访问、文件下载、Email登录、邮件发送等恶意网络行为），如果是风险行为记录程序名称、行为、以及行为时间；再将捕获到的风险程序进行详细查询，获取程序的可执行文件存放路径、以及文件的所有者、文件大小、校验值、文件写入系统的时间、写入者、修改时间、修改者等详细的文件信息，然后将这些信息汇总记录与之前记录程序的记录信息整理保存，然后将保存的信息发送出去，给管理用户告警。省去了人为分析、追查、确认来源的过程。实施例4在实施例3的基础上，本实施例所述方法涉及功能模块包括：风险行为对比模块、程序文件信息获取模块、记录风险行为模块、告警信息拼装存储模块、告警信息发送显示模块。实施方式仅用于说明本专利技术，而并非对本专利技术的限制，有关
的普通技术人员，在不脱离本专利技术的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本专利技术的范畴，本专利技术的专利保护范围应由权利要求限定。本文档来自技高网...

【技术保护点】
一种风险程序溯源方法，其特征在于：所述方法通过对程序行为的判断，识别出系统当前存在的高危风险程序，然后对程序的启动时间、执行高危行为操作的时间、程序的存放路径、程序写入系统的时间、以及写入文件的管理员进行详细的查询识别，然后生成告警信息，便于管理者更快的定位问题，解决问题。

【技术特征摘要】
1.一种风险程序溯源方法，其特征在于：所述方法通过对程序行为的判断，识别出系统当前存在的高危风险程序，然后对程序的启动时间、执行高危行为操作的时间、程序的存放路径、程序写入系统的时间、以及写入文件的管理员进行详细的查询识别，然后生成告警信息，便于管理者更快的定位问题，解决问题。2.根据权利要求1所述的一种风险程序溯源方法，其特征在于：所述高危风险程序的行为包括：频繁写文件、修改文件权限、更改系统启动项、DNS解析、http访问、文件下载、Email登录、邮件发送。3.根据权利要求1或2所述的一种风险程序溯源方法，其特征在于，所述风险程序识别、以...

【专利技术属性】
技术研发人员：张敬伦，高丽琴，
申请(专利权)人：浪潮电子信息产业股份有限公司，
类型：发明
国别省市：山东;37