【技术实现步骤摘要】
本申请涉及安全领域,具体而言本申请实施例涉及一种内核级安全终端及安装方法。
技术介绍
1、随着互联网在日常生活中的普及,恶意软件对系统资源、数据和个人信息的威胁日益严重。传统的应对方法主要包括使用基于签名和启发式技术的杀毒软件。这些技术依赖远程服务器定义恶意软件,扫描安装了杀毒软件的主机设备,并将扫描文件上传到远程服务器以匹配恶意软件。
2、然而,传统杀毒软件存在一系列问题。恶意软件提供者通常能够更快地更新恶意软件,以避开安全软件的检测。此外,在实施新的定义或更新安全软件时存在一个时间窗口,而在这段时间内,没有任何防止恶意软件侵入和传播的措施。另外,杀毒软件通常是用户模式应用程序,加载在操作系统后,给予恶意软件逃避检测的机会。
技术实现思路
1、本申请实施例的目的在于提供一种内核级安全终端及安装方法,采用本申请实施例的内核级安全终端通过在内核模块和用户模块对进程行为的监测,能够很好检出未知威胁,从而更好应对当前恶意软件更新迭代快,未知威胁数量多的环境。
2、第一方面,本申请实施例提供一种内核级安全终端,所述内核级安全终端包括:用户模块,运行于第三特权级别ring3,被配置为用于监测目标事件,并对所述目标事件进行过滤得到待处理事件,其中,所述目标事件为内核模式不可见的事件;内核模块,运行于第零特权级别ring0,被配置为收集内核态中的事件信息得到内核事件,并对所述待处理事件和所述内核事件进行处理,其中,所述待处理事件是通过i/o机制传输至所述内核模块中。>
3、本申请的实施例的用户模块和内核模块实时交互,通过进程的行为检出恶意程序,这与传统的终端安全检出恶意程序依赖病毒的特征,如文件哈希等,对与未知威胁(在病毒的特征库中匹配不到哈希)的病毒检出率低的技术方案相比,本申请实施例的内核级安全终端通过在内核模块和用户模块对进程行为的监测,能够很好检出未知威胁,从而更好应对当前恶意软件更新迭代快,未知威胁数量多的环境。
4、在本申请的一些实施例中,所述用户模块包括:用户模块收集器,被配置为收集所述目标事件;过滤模块,被配置为过滤掉被确认为可信程序的正常行为,并保留可信程序的非正常行为和非可信程序的行为。
5、在一些实施例中,所述目标事件包括:用户态api的hook事件、etw相关事件或者syscall直接调用。
6、在一些实施例中,所述内核模块包括:内核模块收集器,被配置为收集文件事件、与注册表对应的事件、与进程和线程对应的事件,得到所述内核事件;过滤和分派器,被配置为接收所述内核事件和所述待处理事件,并筛选出设定类型事件;信息关联器,被配置为记录所述设定类型事件的发生频率并统计频率异常事件;事件信息库,被配置为跟踪计算设备对象或进程的属性、行为和/或模式并提供进程活动的完整链条,以及根据所述频率异常事件进行数据更新;事件处理器,被配置为根据配置信息确定所述频率异常事件是否属于恶意行为,在确认属于恶意行为时更新所述事件信息库中的数据并采取处理措施。
7、在一些实施例中,所述内核模块收集器通过钩子或过滤驱动程序接收所述内核事件发生情况;或者,所述内核模块收集器通过生成线程观测与日志文件或内存位置对应内核事件。
8、在一些实施例中,所述内核模块收集器的监测对象可配置。
9、在一些实施例中,所述信息关联器被配置为将发生频率大于设置频率阈值的第一设定类型事件作为所述频率异常事件。
10、在一些实施例中,所述信息关联器将所述频率异常事件提供至所述事件信息库、所述事件处理器或所述管理器。
11、在一些实施例中,所述处理措施包括:停止相关进程、清除恶意代码,或进行欺骗性行动以防范攻击。
12、本申请的实施例在检出未知威胁之后能够立即阻止恶意程序的执行,而现有内核级终端对未知威胁检出率低,每次处理未知威胁需要人工分析和产品更新存在一个时间窗口,本申请实施例的内核级安全终端通过对进程行为分析,能够较好的检出未知威胁,消除安全覆盖范围中的危险间隙。
13、在一些实施例中,所述内核级安全终端还包括:管理器,被配置为管理各种配置文件和日志文件,其中,所述日志文件至少用于记录将所述过滤和分派器的配置同步至所述用户模块收集器的操作。
14、第二方面,本申请的一些实施例提供一种用于内核级安全终端的方法,所述方法包括:通过用户模块收集器收集用户态信息,得到目标事件;对所述目标事件进行过滤,并将过滤后的信息由用户模块和内核模块间的i/o机制传递给内核模块包括的过滤分派器;通过内核模块收集器收集内核态的事件信息,得到内核事件;将所述内核事件传递给所述过滤和分派器;通过过滤和分派器将收到的信息中需要所述信息关联器处理的设定类型事件传递给信息关联器;通过信息关联器通过查询事件信息库生成事件的关联信息得到频率异常事件,并将所述频率异常事件回传给所述过滤和分派器;通过所述过滤和分派器将接收的信息同步到事件信息库中;通过所述过滤和分派器查询事件信息库中的数据;通过过滤和分派器对行为分析后得出的处置方法发送给事件处理器;通过所述事件处理器将处理结果回传给所述过滤和分派器;所述信息关联器读取所述事件信息库中的数据;所述事件处理器读取事件信息库中的数据并根据所述频率异常事件识别到恶意攻击后会将与所述恶意攻击对应的进程的信息发送给所述管理器;所述管理器用于向所述过滤和分派器和所述用户模块收集器下发配置文件,进行配置文件更新。
15、第三方面,本申请的一些实施例提供一种在电子设备上安装内核级安全终端的方法,所述方法包括:在目标时刻在电子设备上运行如第一方面任意一个实施例所述的内核级安全终端,其中,所述目标时刻用于避免风险事件,所述风险事件为在操作系统开机之后杀毒软件未安装时恶意软件已启动。
16、计算机在启动的过程中需要首先加载windows系统启动所必须的模块,之后才加载用户应用程序,本申请实施例的内核级安全终端通过在计算机加载启动必须的模块(即加载windows系统启动所必须的模块)后立即加载,确保能够全程保护用户主机,避免出现晚于恶意程序加载的情况的出现。
本文档来自技高网...【技术保护点】
1.一种内核级安全终端,其特征在于,所述内核级安全终端包括:
2.如权利要求1所述的内核级安全终端,其特征在于,所述用户模块包括:
3.如权利要求2所述的内核级安全终端,其特征在于,所述目标事件包括:用户态API的HOOK事件、ETW相关事件或者syscall直接调用。
4.如权利要求2-3任一项所述的内核级安全终端,其特征在于,所述内核模块包括:
5.如权利要求4所述的内核级安全终端,其特征在于,所述内核模块收集器通过钩子或过滤驱动程序接收所述内核事件发生情况;或者,所述内核模块收集器通过生成线程观测与日志文件或内存位置对应内核事件。
6.如权利要求5所述的内核级安全终端,其特征在于,所述内核模块收集器的监测对象可配置。
7.如权利要求4所述的内核级安全终端:其特征在于,所述信息关联器被配置为将发生频率大于设置频率阈值的第一设定类型事件作为所述频率异常事件。
8.如权利要求7所述的内核级安全终端,其特征在于,所述信息关联器将所述频率异常事件提供至所述事件信息库、所述事件处理器或管理器。
<...【技术特征摘要】
1.一种内核级安全终端,其特征在于,所述内核级安全终端包括:
2.如权利要求1所述的内核级安全终端,其特征在于,所述用户模块包括:
3.如权利要求2所述的内核级安全终端,其特征在于,所述目标事件包括:用户态api的hook事件、etw相关事件或者syscall直接调用。
4.如权利要求2-3任一项所述的内核级安全终端,其特征在于,所述内核模块包括:
5.如权利要求4所述的内核级安全终端,其特征在于,所述内核模块收集器通过钩子或过滤驱动程序接收所述内核事件发生情况;或者,所述内核模块收集器通过生成线程观测与日志文件或内存位置对应内核事件。
6.如权利要求5所述的内核级安全终端,其特征在于,所述内核模块收集器的监测对象可配置。
7.如权利要求4所述的内核级安全终端:其特征在于,所述信息关联器被配置为...
【专利技术属性】
技术研发人员:孙晓骏,覃梓兴,张苏洵,刘铠文,李宜檑,张一武,
申请(专利权)人:戎码科技北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。