一种主动防御的方法、装置及系统制造方法及图纸

技术编号:3481448 阅读:182 留言:0更新日期:2012-04-11 18:40
本发明专利技术提供一种主动防御的方法、装置及系统,即对捕获的程序行为进行初步分析,当初步分析结果表明程序行为是需要进行深度分析的程序行为时,才报告程序行为的信息。通过这种方法可以使得大量的正常程序行为不需要经由行为分析引擎进行深度分析,能够减少驱动与行为分析引擎的层间切换,改善系统性能。

【技术实现步骤摘要】

本专利技术涉及信息安全领域,特别是主动防御的方法、装置及系统。技术背景随着网络技术的发展,计算机病毒的产生和传播越来越快,传统的杀毒 思路比较被动,不能很有效地对付病毒,因为它都是病毒先出现,研发人员 才开始做后期的工作,最终提取特征码放入病毒库,用户再通过升级将最新 的病毒清除掉。所以不能在第一时间完成对最新病毒的防护。而主动防御技术正好能解决这个问题,主动防御技术能分析捕获到的程 序行为,并根据预先设定的规则,判定是否应该允许或禁止该程序行为。现有技术中的主动防御技术方案如下驱动捕获到程序行为后,将程序行为发送给行为分析引擎,行为分析引 擎依据规则库和策略库来对程序行为进行分析,根据分析结果向驱动发出允 许或禁止的引擎指令,然后驱动依据引擎指令允许或禁止程序行为,或者行 为分析引擎将根据分析结果向用户界面发出告警问讯消息,行为分析《1擎根 据用户的允许或禁止的抉择消息来向驱动发出允许或禁止的引擎指令。在实现本专利技术的过程中,专利技术人发现上述技术方案至少存在如下缺陷 实际上,有相当多的程序行为不需要进行行为分析引擎进行的高复杂度的处 理就可以得出是否是需要加以防范的程序行为的结论,驱动仍把它所捕获的 所有程序行为全都发给行为分析引擎来处理,而不论这些程序行为是不是有 一部分其实是很容易就能辨别出是安全的正常程序行为,如文件行为和注册表行为。此外,驱动必须在得到行为分析引擎的引擎指令后才能进行下一步 的动作,因而,在得到引擎指令之前一直处于等待状态,极大地影响了用户 的使用体验。在整个驱动发送程序行为给行为分析引擎、行为分析引擎进行分析、驱动接收行为分析引擎的引擎指令的过程中,层间切换资源占用太多。
技术实现思路
本专利技术实施例提供了一种主动防御的方法、装置及系统,使用本专利技术实 施例提供的技术方案,能够减少驱动与行为分析引擎的层间切换。本专利技术实施例的目的是通过以下技术方案实现的 本专利技术实施例提供了一种主动防御的方法,包括 捕获程序行为;对所述程序行为进行初步分析;如果初步分析结果表明所述程序行为是需要进行深度分析的程序行为, 发送所述程序行为的信息;接收针对所述程序行为的引擎指令;如果引擎指令是允许的引擎指令,允许所述程序行为,如果引擎指令是 禁止的引擎指令,禁止所述程序行为。本专利技术实施例还提供了另一种主动防御的方法,包括接收程序行为的信息;对所述程序行为的信息进行深度分析;如果深度分析结果是允许,发送针对所述程序行为的允许的引擎指令; 如果深度分析结果是禁止,发送针对所述程序行为的禁止的引擎指令。本专利技术实施例还提供了一种驱动装置,包括捕获单元、初步分析单元、信息发送单元、接收指令单元、执行单元; 捕获单元用于捕获程序行为;初步分析单元用于对被捕获的程序行为进行初步分析; 信息发送单元用于当初步分析结果为需要进行深度分析的程序行为时,发送所述程序行为的信息;接收指令单元用于接收针对程序行为的引擎指令;执行单元用于当接收指令单元接收的引擎指令是允许的引擎指令时,允 许所述程序行为,当接收指令单元接收的引擎指令是禁止的引擎指令时,禁 止所述程序行为。本专利技术实施例还提供了一种行为分析引擎装置,包括信息接收单元、深度分析单元、指令发送单元;信息接收单元用于接收程序行为的信息;深度分析单元用于依据加载的规则库对程序行为的信息进行深度分析, 得到深度分析结果;擎指令。本专利技术的实施例还提供了 一种主动防御的系统,包括 驱动、行为分析引擎、规则库;驱动用于捕获程序行为,对程序行为进行初步分析,报告经过初步分析 的程序行为的信息,接收针对程序行为的允许/禁止的引擎指令,根据允许的 引擎指令,允许程序行为,根据禁止的引擎指令,禁止程序行为;行为分析引擎用于接收报告的程序行为的信息,依据加载的规则库对所 述程序行为的信息进行深度分析,针对程序行为发出允许/禁止的引擎指令;规则库用于记录引擎进行深度分析所需的依据。从本专利技术实施例所提供的以上技术方案可以看出,由于驱动将捕获到的 程序行为进行了一次初步的分析,对于分析出的大量正常的程序行为,不再 需要将它们上报给行为分析引擎进行处理,只上传需要进行深度分析的程序 行为给行为分析引擎处理,因此,大大减少了驱动和行为分析引擎之间不必要的层间转换,从而减少了对系统性能的影响。 附图说明图1是主动防御的方法实施例的流程图;图2是当程序行为是文件行为时的主动防御的方法实施例的流程图; 图3是当程序行为是注册表行为时的主动防御的方法实施例的流程图; 图4是捕获的程序行为是不需要进行深度分析的程序行为时的方法实施/r.l .-"^《口 H51 -'I 'J孤揮t2J ;图5是在正常时间范围内未接收到针对程序行为的允许指令时的主动防 御的方法实施例的流程图;图6是另一种主动防御的方法实施例的流程图;图7是程序行为是文件行为时的另一种主动防御的方法实施例的流程图; 图8是程序行为是注册表行为时的另一种主动防御的方法实施例的流程图;图9是发出告警问询消息的另 一种主动防御的方法实施例的流程图;图IO是驱动装置实施例的示意图;图ll是行为分析引擎装置实施例的示意图;图12是发送告警问询消息的程序行为的行为分析引擎装置的实施例示意图;图13是主动防御的系统的实施例示意图; 图14是有发送告警问询消息的主动防御的系统的实施例示意图。具体实施方式为使本专利技术的目的、技术方案、及优点更加清楚明白,以下参照附图并 举实施例,对本专利技术进一步详细说明。驱动工作在系统的核心态,利用钩子技术来捕获程序行为,所述程序行 为可以是文件行为、注册表行为、进程线程行为或者其它的程序行为。这种捕获主要有三种途径,截获系统服务的软件中断(HOOKINT2E)、截获系统服 务分配表(SSDT)、截获可移植的执行体(HOOK PE)。如图1所示,驱动对捕获到的程序行为进行初步分析,以分辨所述程序 行为是否是需要进行深度分析的程序行为步骤101:驱动捕获程序行为;步骤102:驱动对程序行为进行以下初步分析提取出该程序行为的信息; 将提取出的信息和驱动中已存的规则中已有的信息进行比较,即捕获到的程 序行为的信息是否与规则中已有的信息能相匹配,相匹配,则初步分析结果 是所述程序行为需要进行深度分析,反之,则初步分析结果是所述程序行为 不需要进行深度分析;步骤103:如果初步分析结果表明所述程序行为是需要进行深度分析的程 序行为,该程序行为的信息会被传递给行为分析引擎做深度分析;步骤104:驱动接收行为分析引擎发出的针对所述程序行为的引擎指令;步骤105:驱动如果接收到针对所述程序行为的允许的引擎指令,允许程 序行为,如果接收到针对所述程序行为的禁止的引擎指令,禁止所述程序行 为。下面以程序行为中的文件行为和注册表行为再次举例i兌明对于一台电脑的整个文件系统来说,可能会存在几十万甚至上百万个文 件,对于这些文件所进行每一个文件行为,都会被我们的驱动捕获到并进行 初步分析,如图2所示,过程如下步骤201:驱动捕获文件行为;步骤202:驱动对文件行为进行以下初步分析提取出该文件行为的信息 如路径信息和属性信息;将提取出的路径信息和属性信息和驱动中已存的规则中已有的路径信息和属性信息进行比较,即捕获到的文件行为的信息是否 与规则中已有的信息本文档来自技高网
...

【技术保护点】
一种主动防御的方法,其特征在于,包括:    捕获程序行为;    对所述程序行为进行初步分析;    如果初步分析结果表明所述程序行为是需要进行深度分析的程序行为,发送所述程序行为的信息;    接收针对所述程序行为的引擎指令;    如果引擎指令是允许的引擎指令,允许所述程序行为,如果引擎指令是禁止的引擎指令,禁止所述程序行为。

【技术特征摘要】

【专利技术属性】
技术研发人员:顾凌志杨玉奇白皓文杜欢罗洪
申请(专利权)人:华为技术有限公司
类型:发明
国别省市:94[中国|深圳]

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
相关领域技术
  • 暂无相关专利