本发明专利技术提供了一种计算机有害程序自动防护方法和装置。其中根据本发明专利技术的方法包括:基于预定的资源访问规则限制目标程序对计算机系统中一些资源的访问;对于经过所述目标程序访问的计算机资源进行资源扫描,以判定所述被访问的计算机资源是否被所述目标程序感染;基于所述目标程序的行为特征进行恶意行为分析,以判定所述目标程序是否为有害程序。
【技术实现步骤摘要】
本专利技术涉及一种计算机有害程序自动防护方法及装置,更具体 地,涉及一种包括资源访问规则控制、资源访问扫描以及恶意行为分 析等功能的计算机有害程序自动防护方法及装置。
技术介绍
计算机及网络技术的迅猛发展极大地促进了信息交互。但是,伴 随着技术的发展,计算机病毒也在不断地演化更新,对人们正常使用 计算机形成了严重的威胁。因此,如何防范计算机病毒侵袭成为当前 人们关注的一个焦点。防范计算机病毒侵袭的一个重要步骤是在病毒 运行之前识别出带有病毒的文件,即通常意义上所称的查毒,从而采 取相应的措施来遏制其侵害计算机系统。目前的杀毒软件普遍使用的査毒方法为匹配特征串方法。该方法 利用从病毒样本中提取出的特征串(通常为一段或多段特定的二进制 码流),在被査文件中进行匹配搜索。由于该方法中使用的特征串是 ^^已经发作或査出的病毒样本中提取出的,其是固定特征串,并且相 对于病毒通常具有滞后性。因此,对于那些特征串易于变化的病毒(即 易于变种的病毒)或者新病毒(即,其特征串尚未提取出的病毒), 该方法则不能取到实时监控保护的作用。特别是近年来,随着病毒数 量曰益增多以及反查毒技术的出现和发展,传统"特征码査毒"滞后 的缺点表现得越来越严重,从而导致许多病毒不能被实时检测出。一 旦这些未被实时检测出的病毒被运行,则计算机资源就完全暴露在计 算机病毒之前,任其读取或者破坏。此外,由于传统"特征码査毒" 中的病毒样本通常需要进行人工更新,而不能及时、自动地添加,从 而也使得传统"特征码査毒"的滞后问题更为严重。为了克服上述"特征码查毒"的滞后问题以及实时地阻止计算机 病毒运行篡改或破坏敏感的资源,需要一种新的计算机有害程序自动 防护方法及装置。
技术实现思路
本专利技术的一个目的是提供一种计算机自动防护方法,该方法能够 及时准确地主动识别出和清除未知的病毒,同时可在无用户参与的情 7兄下通过更新限制规则从而实时地、主动地保护计算机的安全。为了实现上述目的,本专利技术提出的方法包括基于预定的资源访 问规则限制目标程序对计算机系统中一些资源的访问;对于经过所述目标程序访问的计算机资源进行资源扫描,以判定所述被访问的计算机资源是否被所述目标程序感染;基于所述目标程序的行为特征进行 恶意行为分析,以判定所述目标程序是否为有害程序。本专利技术还提出了用于实现上述方法的计算机自动防护装置,所述 装置包括资源访问规则控制模块,其基于预定的资源访问规则限制 目标程序对计算机系统中一些资源的访问;资源访问扫描模块,其对 于经过所述目标程序访问的计算机资源进行资源扫描,以判定所述被 访问的计算机资源是否被所述目标程序感染;以及恶意行为分析模 块,其基于所述目标程序的行为特征进行恶意行为分析,以判定所述 目标程序是否为有害程序。附图说明以下将结合附图和具体实施例对本专利技术进行详细描述,其中-图1示出了根据本专利技术的计算机自动防护方法的体系结构的示图2示出了在目标程序试图访问文件时根据本专利技术的一个实施 例的计算机自动防护方法的示意图3示出了在目标程序试图启动进程时根据本专利技术的一个实施 例的计算机自动防护方法的示意图4和图5分别示出了在目标程序试图进行注册表访问以及试图 调用系统关键API函数时,根据本专利技术的计算机自动防护方法的示意 图6示出了基于非精确判定结果进行的资源访问规则的自动更 新过程;图7示出了基于精确判定结果进行的资源访问规则的自动更新 过程;和图8示出了按照本专利技术的一个实施例的计算机有害程序自动防 护设备的结构框图。在所有附图中,相同的标号表示相似或相应的特征或功能。专利技术详述下面将参照附图对本专利技术的实施例进行详细说明。 图1示出了根据本专利技术的计算机自动防护方法的体系结构的示 意图。如图1所示,根据本专利技术的计算机自动防护方法从上到下总共 包括三层结构第一层为资源访问规则控制处理、第二层为资源访问 扫描处理,以及第三层为恶意行为分析处理。这种三层的体系结构将 恶意行为分析与资源访问控制和传统的病毒扫描方法相结合,从而能 够更加准确和快捷地发现恶意程序并及时阻止其运行。 下面将分别概述上述三层结构的具体功能和组成。资源访问规则控制处理资源访问规则控制处理是第一层结构,其是本专利技术提出的计算机 防护方法的最为基础的部分,这是因为程序的运行往往是从资源访问 开始的,例如目标程序需要通过访问目标文件来启动目标文件对应的 进程。为了防止恶意程序通过对系统资源的使用,例如通过访问文件、注册表或调用特定系统API函数等,进行攻击或病毒传播,在第一层 结构中预先设定了一些资源访问规则。这些预定的资源访问规则用于 防止系统中的部分重要的资源被非法访问。这些预定的资源访问规则 可以是在对大量中毒用户的案例进行分析的基础上通过总结归纳而 得出的,可包括文件访问规则控制、进程启动控制、注册表访问规则 控制、系统动作规则控制等等。具体地,资源访问规则控制处理在运行时,首先拦截一个目标程 序对系统资源的访问请求,然后基于上述预定的资源访问规则判定该 目标程序是否将要访问被该预定的资源访问规则确定为需要访问确 认的资源。如果判定结果为是,则表示当前的目标程序触犯了资源访 问规则,其可能是诸如木马、病毒等有害程序,需要询问以确认本次 资源的访问的合法性。上述的资源访问规则控制处理可以在某程序对有害程序进行访 问或执行之前加以限制,也可以有害程序开始执行之后,在其访问敏 感的资源时加以限制。因此,这种资源访问规则控制处理能够在有害 程序施行侵害之初及时将其阻止,从而能够达到抵御未知病毒攻击的 目的。资源访问扫描处理在资源访问规则控制处理的基础上,进一步执行第二层结构—— 资源访问扫描处理。资源访问扫描处理是传统的依赖于病毒扫描识别 技术的实时监控,主要监控被目标程序所访问的资源,如文件、引导 区、邮件、脚本等等。例如,资源访问扫描处理对所截获的被目标程 序访问的上下文内容(例如,文件内存、引导区内容等)进行病毒扫 描识别,以判定目标程序访问过的内容是否被该目标程序感染病毒, 从而判断该目标程序是否为有害程序。由于第二层结构采用的是精确的病毒扫描识别方法,因而其得出 的判断结果是可靠的。另外,在某些特殊情况下,资源访问扫描处理 也是可以省去的。例如,当目标程序仅仅是采取某些攻击系统的行动 时,就可能不涉及对文件的影响,从而可以省略所述资源访问扫描处理。恶意行为分析处理恶意行为分析处理是第三层结构,其在上述两层的基础上进而通 过监视目标程序所采取的动作,并且根据其行为表现(即行为特征) 来判定目标程序是否为有害程序。例如,当该目标程序施行自我复制 以及挂接全局钩子时,可判断其为有害程序。由于恶意行为分析是基 于行为特征进行判断的,它能够识别出一些未知的病毒。但是,这种 分析判断具有一定不准确性。优选地,为了避免恶意行为分析的误判,在第三层结构中还可以将恶意行为分析技术与病毒"DNA"识别技术相结合。所述病毒 "DNA"识别技术是这样一种技术,其通过采用特定的特征发现方 法提取出未知病毒的特征序列,然后同已知病毒特征进行比对,最后 找到相似度最大且大于一特定阈值的特征序列。所找到的特征序列所 对应的文件则被确定为有害文件。具体地,在第三层结构中,还可以 根据需要,在进行恶意行为分析后,本文档来自技高网...
【技术保护点】
一种计算机自动防护方法,包括: 基于预定的资源访问规则限制目标程序对计算机系统中一些资源的访问; 对于经过所述目标程序访问的计算机资源进行资源扫描,以判定所述被访问的计算机资源是否被所述目标程序感染; 基于所述目标程序的行为特征进行恶意行为分析,以判定所述目标程序是否为有害程序。
【技术特征摘要】
【专利技术属性】
技术研发人员:叶超,
申请(专利权)人:北京瑞星信息技术有限公司,
类型:发明
国别省市:11[]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。