一種基于云平臺的程序行為分析的主動防御方法,系統包括云端和云客戶端,其中,云端由惡意代碼行為分析模塊、程序行為監測模塊、惡意代碼處理模塊構成;云客戶端包括程序行為監測模塊、惡意代碼行為辨識模塊、惡意代碼處理模塊構成,本發明專利技術引入云平臺并基于程序行為分析、辨識、處理的行為算法辨識程序,能夠智能提高主機系統的安全風險靜態防御能力,有效提升終端主機安全防御能力,降低終端主機對病毒、木馬、后門程序、流氓軟件等惡意代碼的感染概率,保證了主機安全。
【技術實現步驟摘要】
本專利技術涉及計算機網絡安全
,尤其涉及。
技術介紹
隨著網絡與信息技術的發展,網絡正深刻地改變著人類的生活與工作方式。各種網絡交叉互聯,在給人們生活與工作帶來極大方便的同時,信息安全問題也逐漸凸顯,當前,隨著計算機技術的發展,木馬黑客技術、惡意攻擊技術日新月異,其特點表現為趨利性、隱蔽性、針對性、抗殺性。黑色產業鏈的形成,惡意代碼數量呈幾何級數增長,而且惡意代碼制造技術門檻降低、免殺技術日新月異、企事業面臨的安全威脅正在飛速增長,黑客攻擊工具、蠕蟲病毒、木馬后門、間諜軟件、惡意腳本、ARP病毒等惡意代碼爆發式增長、海量惡意代碼帶來的海量攻擊持續不斷的或周期性的困擾著用戶,給企事業的信息系統造成嚴重的破壞,故病毒防御技術也在不斷的發展,傳統的病毒防御技術是從病毒體中提取病毒特征值并構成病毒特征庫的方法來識別惡意代碼,盡管這種方法的執行效率很高,但是存在相當大的局限性,這種技術對于新病毒的反應遲鈍,特征代碼庫的更新則依賴于軟件供應商搜集最新病毒信息并分析提取特征碼,這樣導致反病毒技術總是滯后于病毒的產生;且由于惡意代碼快速發展,安全威脅已不是僅局限于病毒,而是包含各類已知和未知的病毒、蠕蟲、木馬、間諜軟件、惡意插件、Rootkit和零日攻擊等惡意代碼,傳統病毒防御技術難以檢測此類攻擊。
技術實現思路
針對現有技術的上述缺陷和問題,本專利技術提供了,能夠智能提高主機系統的安全風險靜態防御能力,能有效提升終端主機安全防御能力,降低終端主機對病毒、木馬、后門程序、流氓軟件等惡意代碼的感染概率,防御主機系統面臨安全威脅。為了達到上述目的,本專利技術提供如下技術方案,系統包括云端和云客戶端,其中,云端由惡意代碼行為分析模塊、程序行為監測模塊、惡意代碼處理模塊構成;云客戶端包括程序行為監測模塊、惡意代碼行為辨識模塊、惡意代碼處理模塊構成,云客戶端對運行的程序行為或動作進行監控,并捕獲行為,用實時運行在云客戶端的惡意代碼行為辨識模塊的行為辨識算法程序對所監控程序的行為進行分析判斷,如能準確判斷該程序為惡意程序,則處理掉該程序;如不能準確判斷時,則把監控捕獲到的該程序的行為或動作傳送到云端的惡意代碼行為分析模塊,惡意代碼行為分析模塊歸納、提取并定義為新的惡意程序行為,加入到云端惡意代碼行為分析模塊中的惡意程序行為辨識處理算法程序中,云端根據行為辨識算法程序的更新或變動情況,實時更新云客戶端的惡意代碼行為辨識模塊的行為辨識算法程序,云客戶端根據惡意代碼行為辨識模塊中新的行為辨識算法程序決定是否對該程序行為進行攔截、終止執行該程序或清理該程序,最終將處理的結果反饋到云端。所述,包括步驟如下步驟101 :在云客戶端計算機,運行或啟動任一程序,如*. exe, *. dll等目標程序;步驟102 :在云客戶端“程序行為監測模塊”的作用下,對運行的程序行為或動作進行監控;步驟103 :捕獲監測到的行為;步驟104 :根據云客戶端的行為辨識算法程序判定捕獲到的行為;步驟105 :判定該程序是否為惡意代碼;步驟106 :如果判斷結果為是惡意代碼,則云客戶端的惡意代碼處理模塊會馬上處理并清除惡意代碼;步驟107 :如果不能準確判斷,把監控捕獲到的該程序的行為或動作傳送到云端的惡意代碼行為分析模塊;步驟108 :云端的惡意代碼行為分析模塊歸納、提取并定義最新的惡意程序行為;步驟109 :實時更新云端惡意代碼行為分析模塊中的惡意程序行為辨識處理算法程序;步驟110 :云端分發新的行為辨識算法程序到云客戶端,云客戶端的惡意代碼行為處理模塊根據云客戶端的惡意代碼行為辨識模塊的新的行為辨識算法程序決定是否對該程序行為進行攔截、終止執行該程序或清理該程序。優選的技術方案,在步驟108 :云端的惡意代碼行為分析模塊歸納、提取并定義最新的惡意程序行為時,云端加載足夠多的各類惡意代碼、正常軟件,對新定義的最新的惡意程序行為生成進行驗證。優選的技術方案,在步驟104 :云客戶端的行為辨識算法程序判定捕獲到的行為,需要通過正向算法辨識是否是惡意代碼,為了增加判斷的準確性,減少誤判率,同時對程序進行反向算法辨識,確定其是否是正常程序。優選的技術方案,云端同云客戶端通過數據加密的方式通信。本專利技術引入云平臺并基于程序行為分析、辨識、處理的行為算法辨識程序,能夠智能提高主機系統的安全風險靜態防御能力,有效提升終端主機安全防御能力,降低終端主機對病毒、木馬、后門程序、流氓軟件等惡意代碼的感染概率,保證了主機安全。為了更清楚地說明本專利技術實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本專利技術的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動性的前提下,還可以根據這些附圖獲得其他的附圖。 附圖說明圖1是本專利技術的流程圖。圖2是惡意代碼行為分析模塊流程圖。具體實施例方式為使本專利技術的目的、技術方案、及優點更加清楚明白,以下參照附圖并舉實施例,對本專利技術進一步詳細說明。本專利技術實施例提供了一種基于云平臺的程序行為分析的方法,以解決現有網絡安全技術根據病毒特征碼對比技術,而滯后于各種各樣的攻擊技術。結合圖1的流程圖來說明:步驟101:在云客戶端計算機,運行或啟動任一程序,如*.exe,*.dll等目標程序;運行的目標程序還包括操作系統可執行文件如:*.exe、*.com等;各類腳本程序如:*.vbs、*.vsh、*.js、*.bat ;系統內核程序以及驅動加載。步驟102:在云客戶端“程序行為監測模塊”的作用下,對運行的程序行為或動作進行監控;步驟103:捕獲監測到的行為,本步驟主要捕獲目標程序在云客戶端計算機的內核、服務、應用、賬號、通信、文件資源系統上的行為;步驟104:根據云客戶端的行為辨識算法程序判定捕獲到的行為,通過正向算法辨識是否是惡意代碼,為了增加判斷的準確性,減少誤判率,同時對程序進行反向算法辨識,確定其是否是正常程序;步驟105:判定該程序是否為惡意代碼;步驟106:如果判斷結果為是惡意代碼,則云客戶端的惡意代碼處理模塊會馬上處理并清除惡意代碼;步驟107:如果不能準確判斷,把監控捕獲到的該程序的行為或動作傳送到云端的惡意代碼行為分析模塊;步驟108:云端的惡意代碼行為分析模塊歸納、提取并定義最新的惡意程序行為,在本步驟中,云端加載 足夠多的各類惡意代碼、正常軟件,對新定義的最新的惡意程序行為生成進行驗證。步驟109:實時更新云端惡意代碼行為分析模塊中的惡意程序行為辨識處理算法程序;步驟110:云端分發新的行為辨識算法程序到云客戶端,云客戶端的惡意代碼行為處理模塊根據云客戶端的惡意代碼行為辨識模塊的新的行為辨識算法程序決定是否對該程序行為進行攔截、終止執行該程序或清理該程序;本專利技術采用了在云端建立海量惡意代碼行為分析模塊,提取最新的惡意代碼行為,生成惡意代碼行為辨識算法程序,加載各種惡意代碼和正常程序進行判斷,通過強大的分發系統,把最新的“行為辨識處理算法程序”分發到云客戶端,使客戶端具有最新的主動防御能力。本專利技術中,為提高數據的安全性,云端同云客戶端通過數據加密的方式通信。根據圖2所示,惡意代碼行為分析模塊,包括步驟為:步驟201:提取最新的惡意代碼行為,生成惡意代碼行為辨識本文檔來自技高網...
【技術保護點】
一種基于云平臺的程序行為分析的主動防御方法,其特征在于:包括步驟如下:步驟101:在云客戶端計算機,運行或啟動任一程序,如*.exe,*.dll等目標程序;步驟102:在云客戶端“程序行為監測模塊”的作用下,對運行的程序行為或動作進行監控;步驟103:捕獲監測到的行為;步驟104:根據云客戶端的行為辨識算法程序判定捕獲到的行為;步驟105:判定該程序是否為惡意代碼;步驟106:如果判斷結果為是惡意代碼,則云客戶端的惡意代碼處理模塊會馬上處理并清除惡意代碼;步驟107:如果不能準確判斷,把監控捕獲到的該程序的行為或動作傳送到云端的惡意代碼行為分析模塊;步驟108:云端的惡意代碼行為分析模塊歸納、提取并定義最新的惡意程序行為;步驟109:實時更新云端惡意代碼行為分析模塊中的惡意程序行為辨識處理算法程序;步驟110:云端分發新的行為辨識算法程序到云客戶端,云客戶端的惡意代碼行為處理模塊根據云客戶端的惡意代碼行為辨識模塊的新的行為辨識算法程序決定是否對該程序行為進行攔截、終止執行該程序或清理該程序。
【技術特征摘要】
1.一種基于云平臺的程序行為分析的主動防御方法,其特征在于:包括步驟如下: 步驟101:在云客戶端計算機,運行或啟動任一程序,如*.exe, *.dll等目標程序; 步驟102:在云客戶端“程序行為監測模塊”的作用下,對運行的程序行為或動作進行監控; 步驟103:捕獲監測到的行為; 步驟104:根據云客戶端的行為辨識算法程序判定捕獲到的行為; 步驟105:判定該程序是否為惡意代碼; 步驟106:如果判斷結果為是惡意代碼,則云客戶端的惡意代碼處理模塊會馬上處理并清除惡意代碼; 步驟107:如果不能準確判斷,把監控捕獲到的該程序的行為或動作傳送到云端的惡意代碼行為分析模塊; 步驟108:云端的惡意代碼行為分析模塊歸納、提取并定義最新的惡意程序行為; 步驟109:實時更新云端惡意代碼行為分析模塊中的惡意程序行為辨識處理算法程序; 步驟110:云端分發新的行為辨識算法程序到云客戶端,云客戶端的惡意代碼行為處理模塊根據云客戶端的惡意代碼行為辨識模塊的新的行為辨識算法程序決定是否對該程序行為進行攔截、終止執行該程序或清理該程序。2.根據權利要求1所述的一種基于云平臺的程序行為分析的主動防御方法,其特征在于:在步驟108:云端的惡意代碼行為分析模塊歸納、提取并定義最新的惡意程序行為時,云端加載足...
【專利技術屬性】
技術研發人員:李雪平,
申請(專利權)人:重慶遠衡科技發展有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。