本发明专利技术公开了一种文件病毒免疫的方法和装置,其中,方法包括:在病毒检测引擎的检测通知任务发出后,通过监控技术,截获与文件有关的操作行为请求;根据操作行为请求,进行行为识别,得到操作行为的信息,操作行为的信息包括行为发起进程以及行为对应的动作和/或行为对应的对象;根据操作行为的信息,判断操作行为是否为由病毒导致的异常行为;若该操作行为是由病毒导致的异常行为,则通过病毒检测引擎的提示界面向用户发出提示信息或拦截该操作行为。根据该方案,对待免疫的文件的监控不依赖与现有的特征库,具有实时性,并且对病毒行为的判断结合了文件信息、发起进程、动作特点,有效提高了判断的准确性。
【技术实现步骤摘要】
一种文件病毒免疫的方法和装置
本专利技术涉及计算机安全
,具体涉及一种文件病毒免疫方法和装置。
技术介绍
随着计算机技术的发展,各类应用程序已渗入到生产、生活的各个领域,为用户带来了极大的便利,提高了生产效率。应用程序的执行依赖于各类计算机文件,例如,文本文件、可执行文件、动态链接库文件等。这些文件记录数据结果,或者用于存储程序信息。文件可能被病毒或恶意程序感染,影响应用程序的执行,或者其中存储的个人数据被非法读取、修改,使用户的利益受到威胁。现阶段防止病毒或恶意程序主要依赖于传统的特征库模式,基于特征库对运行程序进行实时扫描。特征库是由厂商收集到的恶意程序样本的特征码组成,查杀过程中,引擎会读取文件并与特征库中的所有特征码进行匹配,如果发现由程序代码被命中,就可以判定该文件程序被病毒或恶意程序感染。特征库匹配是查杀已知恶意程序的一项有效技术,但随着恶意程序数量呈几何增长,特征库的生成与更新具有滞后性。此外,扫描的实时运行也会消耗大量的系统资源。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的一种文件病毒免疫方法和装置。根据本专利技术的一个方面,提供了一种文件病毒免疫方法,包括:在病毒检测引擎的检测通知任务发出后,通过监控技术,截获与文件有关的操作行为请求;根据操作行为请求,进行行为识别,得到操作行为的信息,操作行为的信息包括行为发起进程以及行为对应的动作和/或行为对应的对象;根据操作行为的信息,判断操作行为是否为由病毒导致的异常行为;若该操作行为是由病毒导致的异常行为,则向用户发出提示信息或拦截该操作行为。根据本专利技术的另一方面,提供了一种文件病毒免疫装置,包括:监控模块,适于接收病毒检测引擎的检测通知,通过监控技术截获与文件有关的操作行为请求;识别模块,适于根据操作行为请求,进行行为识别,得到操作行为的信息,所述操作行为的信息包括行为发起进程以及行为对应的动作和/或行为对应的对象;判断模块,适于根据操作行为的信息,判断操作行为是否为由病毒导致的异常行为;处理模块,适于在判断模块判断出操作行为是由病毒导致的异常行为的情况下,通过病毒检测引擎的提示界面向用户发出提示信息或拦截所述操作行为。根据本专利技术的文件病毒免疫方法和装置,病毒检测引擎的检测通知任务发出后,在监控到对文件的操作行为请求时,得到该行为的发起进程、行为对应动作及行为对象等操作行为的信息,综合上述操作行为的信息,判断出对特定文件的操作行为是否为病毒导致的异常行为,然后,拦截异常行为或通过病毒检测引擎的提示界面向用户提供提示信息。根据该方案,对待免疫的文件的监控不依赖与现有的特征库,具有实时性,并且对病毒行为的判断结合了文件信息、发起进程、动作特点,有效提高了判断的准确性。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的【具体实施方式】。【附图说明】通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1示出了根据本专利技术一个实施例的文件病毒免疫方法的流程图;图2示出了根据本专利技术另一个实施例的文件病毒免疫方法的流程图;图3示出了根据本专利技术另一个实施例的文件病毒免疫方法的流程图;图4示出了根据本专利技术另一个实施例的文件病毒免疫方法的流程图;图5示出了根据本专利技术另一个实施例的文件病毒免疫装置的结构框图。【具体实施方式】下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。本专利技术实施例可以应用于计算机系统/服务器,其可与众多其它通用或专用计算系统环境或配置一起操作。适于与计算机系统/服务器一起使用的众所周知的计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统、大型计算机系统和包括上述任何系统的分布式云计算技术环境,等坐寸ο计算机系统/服务器可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。本专利技术中所说的文件包括存储在存储设备上的数据文件,通常存放在特定的文件夹或目录中,以及计算机实现外部设备管理的设备文件。图1示出了根据本专利技术一个实施例的文件病毒免疫方法的流程图,如图1所示,该方法包括如下步骤:步骤S110,在病毒检测引擎的检测通知任务发出后,通过监控技术,截获与文件有关的操作行为请求。常见的计算机操作系统,如Windows等,都为开发人员提供有多种应用程序开发接口(API),各种应用层程序都是通过调用相应的API来实现的,病毒及恶意程序也不例夕卜。因此,监控对文件的操作行为请求实际上就是监控能够实现文件操作的API函数的调用请求。步骤S120,根据操作行为请求,进行行为识别,得到操作行为的信息。这里,操作行为的信息包括:发起该行为的进程,操作行为对应的动作和/或行为对应的对象,具体地,该步骤可以包括:在监控到有程序请求调用操作文件的API时,获取发起该请求的进程,即该操作行为的发起进程;根据API的类型或名称得知该API对应的文件操作动作,即为该操作行为对应的动作。例如,某一程序请求调用CreateFile这个API函数,而该API函数是Windows系统用于创建文件的函数,则可以得知操作行为对应的动作是创建一个新文件;解析该应用程序请求调用的API函数的参数,获取操作对象以及操作对象信息,操作对象信息包括:文件扩展名、文件路径、文件属性等。步骤S130,根据操作行为的信息,判断操作行为是否为由病毒导致的异常行为。综合考虑步骤S120中所述的操作行为发起进程、操作行为对应的动作,以及行为对应的对象进行判断。几种可能的情况是:对指定文件进行操作的进程是可疑的恶意进程;正常进程对可能的恶意文件执行了操作,例如读取了非指定目录下的文件或执行了脚本文件;以及进程对指定文件执行了异常的动作,例如修改了文件的注册表关联项。步骤S140,若操作行为是由病毒导致的异常行为,则向用户发出提示信息或拦截操作行为。对于确定的病毒行为,可以直接拦截;对于无法直接确定的病毒行为,可以向用户发出提示信息,根据用户反馈,选择拦截或不拦截。根据本专利技术上述实施例提供的方法,在病毒检测引擎的检测通知任务发出后,监控到对文件的操作行为请求,得到该行为的发起进程、行本文档来自技高网...
【技术保护点】
一种文件病毒免疫方法,包括:在病毒检测引擎的检测通知任务发出后,通过监控技术,截获与文件有关的操作行为请求;根据所述操作行为请求,进行行为识别,得到所述操作行为的信息,所述操作行为的信息包括行为发起进程以及行为对应的动作和/或行为对应的对象;根据所述操作行为的信息,判断所述操作行为是否为由病毒导致的异常行为;若所述操作行为是由病毒导致的异常行为,则向用户发出提示信息或拦截所述操作行为。
【技术特征摘要】
1.一种文件病毒免疫方法,包括: 在病毒检测引擎的检测通知任务发出后,通过监控技术,截获与文件有关的操作行为请求; 根据所述操作行为请求,进行行为识别,得到所述操作行为的信息,所述操作行为的信息包括行为发起进程以及行为对应的动作和/或行为对应的对象; 根据所述操作行为的信息,判断所述操作行为是否为由病毒导致的异常行为; 若所述操作行为是由病毒导致的异常行为,则向用户发出提示信息或拦截所述操作行为。2.根据权利要求1所述的方法,所述监控技术包括:文件监控技术、注册表监控技术或网络监控技术。3.根据权利要求2所述的方法,若所述监控技术为文件监控技术,所述行为对应的动作包括:读文件、写文件、修改文件、删除文件、执行文件和/或创建文件; 若所述监控技术为注册表监控技术,所述行为对应的动作包括:修改注册表中与文件的配置信息关联的表项; 若所述监控技术为网络监控技术,所述行为对应的动作包括:上传文件和/或下载文件。4.根据权利要求2所述的方法,所述监控技术还包括对程序的资源占用情况进行监控,所述根据操作行为请求`,进行行为识别,得到所述操作行为的信息具体包括: 获取当前客户端从启动开始至当前时间所运行过的各程序的资源占用信息; 根据各程序的资源占用信息和当前客户端的可用资源信息,分别计算各程序的资源占用率。5.根据权利要求1-3任一项所述的方法,本地和/或云端保存有指定的行为对应的动作和/或行为对应的对象的进程白名单; 所述根据所述操作行为的信息,判断所述操作行为是否为由病毒导致的异常行为具体包括: 查询所述操作行为的信息所包含的行为发起进程是否属于所述操作行为的信息所包含的行为对应的动作和/或行为对应的对象对应的进程白名单,若是,则判定所述操作行为不是由病毒导致的异常行为; 所述方法还包括:若所述操作行为不是由病毒导致的异常行为,则执行所述操作行为。6.根据权利要求1-3任一项所述的方法,本地和/或云...
【专利技术属性】
技术研发人员:禹健文,邹贵强,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。