计算机反病毒防护系统和方法技术方案

本发明专利技术涉及一种计算机反病毒防护系统和方法，采用基于程序行为分析的计算机防护系统和方法。其特征在于包括如下部分：程序判断部：用于识别出用户计算机中存在的程序，并将这些程序分成正常程序和异常程序；程序监控部：监控、记录程序动作行为；关联性分析部：创建关联树，并通过该关联树对程序动作行为进行关联性分析；所述关联树包括加载关联树和创建关联树；病毒识别知识库：包括程序行为知识库和攻击识别规则库；病毒防护识别部：将捕获的动作行为与病毒识别知识库中的信息进行比较，对该程序是否为病毒程序做出判断。利用本发明专利技术的方法不但提高了效率，避免了病毒代码更新的滞后性，可以有效的对未知的病毒、木马进行拦截。

【技术实现步骤摘要】

本专利技术涉及一种计算机防护系统和方法，与现有技术相比较不同的是，不采用病毒特征代码进行比对，而是以程序的动作行为为特征，是基于程序行为分析的。
技术介绍
一直以来，对计算机病毒的入侵和反入侵的斗争都在激烈地进行着，随着计算机越来越广泛地使用，这种斗争的激烈程度也上升到一个新的高度。经过长期的斗争实践，人们总结出许多的具体方法来防止对计算机病毒的入侵，研制出许多相应的防范产品。这些产品大体上可以分为两类，一类是对入侵病毒进行隔离，例如防火墙，通过对通讯端口、协议等进行限制来防止入侵病毒的进入；另一类是对可能形成入侵的染病毒文件进行搜寻，例如现有的杀毒软件，利用可能形成入侵感染病毒文件的代码特征，通过扫描发现并清除有害染病毒文件。这两类产品虽然在反病毒入侵的斗争中起了不少的作用，但都具有一些无法克服的缺点，它们分别是(一)防火墙虽然能够阻断一些非法病毒或黑客的入侵，但防火墙的监控对象为主要端口和协议，需要由用户自己设置要么允许通过、要么不允许通过。其主要缺陷，1.要求用户对系统非常熟悉，才能对它进行有效设置；2.由于监控颗粒太大，对于网络应用中必须用到的端口和协议基本无法设置，如果本文档来自技高网...

【技术保护点】
一种计算机反病毒防护系统其特征在于，包括如下部分：　　　　程序判断部：用于识别出用户计算机中存在的程序，并将这些程序分成正常程序和异常程序；　　　　程序监控部：监控、记录程序动作行为；　　　　关联性分析部：创建关联树，并通过该关联树对程序动作行为进行关联性分析；所述关联树包括加载关联树和创建关联树；　　　　病毒识别知识库：包括程序行为知识库和攻击识别规则库；　　　　病毒防护识别部：接收前述程序监控部程序捕获的动作行为，结合前述程序判断部的信息，将捕获的动作行为与病毒识别知识库中的信息进行比较，并在需要时调用关联性分析部对该程序是否为病毒程序做出判断。

【技术特征摘要】
1.一种计算机反病毒防护系统其特征在于，包括如下部分程序判断部用于识别出用户计算机中存在的程序，并将这些程序分成正常程序和异常程序；程序监控部监控、记录程序动作行为；关联性分析部创建关联树，并通过该关联树对程序动作行为进行关联性分析；所述关联树包括加载关联树和创建关联树；病毒识别知识库包括程序行为知识库和攻击识别规则库；病毒防护识别部接收前述程序监控部程序捕获的动作行为，结合前述程序判断部的信息，将捕获的动作行为与病毒识别知识库中的信息进行比较，并在需要时调用关联性分析部对该程序是否为病毒程序做出判断。2.按照权利要求1所述计算机反病毒防护系统，其特征在于所述程序监控部通过勾挂程序系统API函数调用捕获程序动作行为，并进行记录。3.按照权利要求1所述计算机反病毒防护系统，其特征在于，所述正常程序包括将计算机中的程序与已知程序知识库进行比对，识别出的所有的已知程序；计算机桌面上有图标的程序；出现在程序组中的程序以及由安装程序安装的程序；所述异常程序为，上述正常程序以外的程序。4.按照权利要求3所述计算机反病毒防护系统，其特征在于所述安装程序的判断依据为，该程序运行时有窗口，创建程序组或创建桌面图标，并且该安装程序创建反安装项。5.按照权利要求1所述计算机反病毒防护系统，其特征在于所述加载关联树中，每个节点代表一个进程，保存该进程运行时的动作行为信息及其在创建关联树中的索引信息；并且每个节点的父节点是其父进程。6.按照权利要求5所述计算机反病毒防护系统，其特征在于，所述加载关联树中每个节点所保存的信息包括PE文件的全路径、加载者全路径、文件有无描述、是否自启动、谁创建的自启动项、自身其他特征、是否被创建者启动、是否自己创建启动项、是否有窗口或托盘图标、父进程pid号、修改注册表项链表、网络动作链表。7.按照权利要求6所述计算机反病毒防护系统，其特征在于所述注册表链表包括如下结构入口列表、键名、值名、值。8.按照权利要求6所述计算机反病毒防护系统，其特征在于所述网络动作链表包括如下结构类型、本地端口、本地IP地址、远程端口、远程IP地址、使用协议。9.按照权利要求1所述计算机反病毒防护系统，其特征在于所述创建关联树中，每个节点代表一个程序，保存有该程序文件创建时的相关信息及其在加载关联树中索引信息；并且每个节点的父节点是其创建者。10.按照权利要求9所述计算机反病毒防护系统，其特征在于，所述创建关联树中每个节点所保存的信息包括PE文件全路径、创建者的全路径、创建者的特性、创建者有无窗口、与创建者是否同一文件、拷贝自身。11.按照权利要求10所述计算机反病毒防护系统，其特征在于所述创建者特性为对系统中所有程序的分类，包括未知程序、邮件系统、网络浏览器、网络交流系统、其他已知程序。12.按照权利要求1所述计算机反病毒防护系统，其特征在于所述程序行为知识库为，通过勾挂计算机系统的API函数，逐一对合法的已知程序所执行的动作行为进行分析列表，并将所述分析列表进行存储的数据库；所述攻击识别规则库为，通过勾挂计算机系统的API函数，记录了计算机病毒、木马及有害程序的攻击动作行为特征的数据库，每一记录对应一类病毒，每一类病毒对应一个动作集，该动作集包括一系列动作及其之间的关联关系。13.按照权利要求12所述计算机反病毒防护系统，其特征在于，所述攻击识别规则库包括，网络病毒规则h)如果一个异常程序运行时，其所有关联程序均没有窗口，且该异常程序复制自身，修改注册表，使自己或自身的备份具有系统自启动功能，并且执行了包括发送数据包、创建监听端口、将一个线程植入到其他进程中、创建全局钩子、发送邮件的动作。14.按照权利要求12所述计算机反病毒防护系统，其特征在于，所述攻击识别规则库包括，蠕虫病毒规则i)一个异常程序，该程序文件是由邮件系统或即时通讯软件接收到的，并且该程序运行后，指挥键盘或鼠标，并模拟用户的动作通过邮件系统自动发送邮件或通...

【专利技术属性】
技术研发人员：刘旭，
申请(专利权)人：福建东方微点信息安全有限责任公司，
类型：发明
国别省市：35[中国|福建]