主動防御惡意程序的方法和裝置制造方法及圖紙

本發明專利技術涉及計算機網絡安全領域，公開了主動防御惡意程序的方法和裝置，該方法包括：在待保護的設備創建進程時，根據與該創建的進程相關的進程文件判斷該創建的進程是否具有危險性，如果是，則攔截創建的進程加載該進程的動態鏈接庫DLL文件的操作，并將該DLL文件記錄到內存的進程信息中；在待保護的設備啟動進程后，當進程執行的操作為危險操作時，檢測記錄的該進程的DLL文件是否安全，如果不安全，則阻止待保護的設備執行該進程的操作。本發明專利技術能夠解決惡意程序將惡意DLL文件與可信任的白程序打包在一起，當白程序被執行時，加載惡意DLL文件，從而突破主動防御的技術問題。

【技術實現步驟摘要】

本專利技術涉及計算機網絡安全領域，具體涉及一種主動防御惡意程序的方法和裝置。
技術介紹
惡意程序是一個概括性的術語，指任何故意創建用來執行未經授權并通常是有害行為的程序。惡意程序可以包括病毒、木馬、惡意腳本、惡意插件、惡評軟件或流氓軟件等。計算機病毒、后門程序、鍵盤記錄器、密碼盜取者、Word和Excel宏病毒、引導區病毒、腳本病毒、木馬、犯罪程序、間諜程序和廣告程序等，都為惡意程序的例子。現有技術中，惡意程序防殺主要依賴于特征庫模式。特征庫由殺毒產品提供商收集到的惡意程序樣本的特征碼組成，而特征碼為分析工程師從惡意程序中找到的和正當程序的不同之處，截取一段類似于“搜索關鍵詞”的程序代碼。在查殺過程中，引擎會讀取文件并與特征庫中的所有特征碼“關鍵詞”進行匹配，如果發現文件程序代碼被命中，則可以判定該文件程序為惡意程序。特征庫匹配是現有技術中查殺已知惡意程序的常用技術。但是現今全球惡意程序數量呈幾何級增長，基于這種爆發式的增速，特征庫的生成與更新相對于病毒的產生通常滯后，導致惡意程序防殺方式無法防殺不斷產生的未知惡意程序。現有技術中，隨之出現了主動防御技術，其是基于程序行為自主分析判斷的實時防護技術，不以特征碼作為判斷惡意程序的依據，而是從設置的規則出發，直接將程序的行為作為判斷程序是否為惡意程序的依據，其中衍生出在本地使用特征庫、在本地設置行為閾值以及在本地啟發式殺毒的方式來判別、攔截惡意程序的行為，從而在一定程度上達到保護設備的目的。在現有技術中，出于對性能的考慮，設備中的主動防御模塊只檢查程序的可執行文件(例如，exe文件)是否可以信任,而不檢查程序加載的DLL (Dynamic Link Library,動態鏈接庫)文件。現有技術中主動防御的上述特點被一些惡意程序所利用，惡意程序使用DLL劫持技術將木馬DLL與可信任的白程序打包在一起，當白程序被執行時，木馬DLL就會被加載，從而實現利用白程序突破主動防御的目的。
技術實現思路
鑒于上述問題，本專利技術提出了主動防御惡意程序的方法和裝置。依據本專利技術的一個方面，提供了一種主動防御惡意程序的方法，該方法包括在待保護的設備創建進程時，根據與該創建的進程相關的進程文件判斷該創建的進程是否具有危險性，如果是，則攔截創建的進程加載該進程的動態鏈接庫DLL文件的操作，并將該DLL文件記錄到內存的進程信息中；在待保護的設備啟動進程后，當進程執行的操作為危險操作時，檢測記錄的該進程的DLL文件是否安全，如果不安全，則阻止待保護的設備執行該進程。其中，所述根據與該創建的進程相關的進程文件判斷該創建的進程是否具有危險性具體包括查詢該創建的進程所在進程鏈中各個進程的進程文件的來源，根據所述各個進程的進程文件的來源判斷該創建的進程是否具有危險性；所述創建的進程所在進程鏈為進程樹中從該創建的進程到根進程的進程鏈。其中，所述根據所述各個進程的進程文件的來源判斷該創建的進程是否具有危險性具體包括判斷所述各個進程的進程文件中是否存在來自網絡下載的文件，如果存在，則該創建的進程具有危險性。其中，所述根據所述各個進程的進程文件的來源判斷該創建的進程是否具有危險性具體包括判斷所述各個進程的進程文件中是否存在來自壓縮包的文件，如果存在，則該創建的進程具有危險性。其中，所述判斷所述各個進程的進程文件中是否存在來自壓縮包的文件具體包括對于所述各個進程鏈中每個進程進行判定，如果該進程的父進程為解壓縮應用，并且該解壓縮應用直接執行壓縮包中的可執行文件或者該解壓縮應用解壓縮的壓縮包中包含該進程的進程文件，則判定該進程的進程文件為來自壓縮包的文件。其中，所述根據與該創建的進程相關的進程文件判斷該創建的進程是否具有危險性具體包括判斷創建的進程的進程文件是否滿足預設的匹配條件，如果滿足，則創建的進程具有危險性。其中，所述檢測記錄的該進程的DLL文件是否安全，如果不安全，則阻止待保護的設備執行該進程具體包括使用本地安全引擎和/或云安全引擎對該進程的DLL文件進行檢測，如果DLL文件為病毒文件，則阻止待保護的設備執行該進程。其中，所述使用本地安全引擎和/或云安全引擎對該進程的DLL文件進行檢測后還包括如果該進程的可執行文件和DLL文件都為安全文件，則確定該進程安全。其中，所述使用本地安全引擎和/或云安全引擎對該進程的DLL文件進行檢測后還包括如果該進程的DLL文件的危險等級高于該進程的可執行文件的危險等級，則修改該進程的可執行文件的危險等級為所述DLL文件的危險等級，并呈現危險提示。其中，所述檢測記錄的該進程的DLL文件是否安全后還包括如果該進程的DLL文件為安全文件，則刪除該DLL文件的記錄，并在該DLL文件沒有發生變化的情況下，不進行攔截創建的進程加載該DLL文件的操作。其中，所述危險操作至少包括下列操作中的一種 寫入注冊表進行自動加載；修改注冊表；修改系統文件；修改指定的應用文件；執行進程間注入；結束進程；修改瀏覽器中網頁內容；以及記錄鍵盤操作。根據本專利技術的另一方面，本專利技術提供了一種主動防御惡意程序的裝置，該裝置包括危險判斷單元，適于在待保護的設備創建進程時，根據與該創建的進程相關的進程文件判斷該創建的進程是否具有危險性，如果判斷結果為進程具有危險性，則指示加載攔截單元進行攔截操作；加載攔截單元，適于在創建的進程具有危險性時，攔截創建的進程加載動態鏈接庫DLL文件的操作；指示記錄單元將該DLL文件記錄到內存的進程信息中；記錄單元，適于根據指示將DLL文件記錄到內存的進程信息中；安全檢測單元，適于在待保護的設備啟動進程后，當進程執行的操作為危險操作時，檢測記錄的該進程的DLL文件是否安全，如果檢測結果為進程的DLL文件不安全，則指示執行阻止單元進行阻止操作；執行阻止單元，適于對于DLL文件不安全的進程，阻止待保護的設備執行該進程。其中，所述危險判斷單元，具體適于查詢該創建的進程所在進程鏈中各個進程的進程文件的來源，根據所述各個進程的進程文件的來源判斷該創建的進程是否具有危險性；所述創建的進程所在進程鏈為進程樹中從該創建的進程到根進程的進程鏈。其中，所述危險判斷單元，具體適于判斷所述各個進程的進程文件中是否存在來自網絡下載的文件，如果存在，則該創建的進程具有危險性。其中，所述危險判斷單元，具體適于判斷所述各個進程的進程文件中是否存在來自壓縮包的文件，如果存在，則該創建的進程具有危險性。其中，所述危險判斷單元，具體適于對于所述進程鏈中每個進程進行判定，如果該進程的父進程為解壓縮應用，并且該解壓縮應用直接執行壓縮包中的可執行文件或者該解壓縮應用解壓縮的壓縮包中包含該進程的進程文件，則判定該進程的進程文件為來自壓縮包的文件。其中，所述危險判斷單元，具體適于判斷創建的進程的進程文件是否滿足預設的匹配條件，如果滿足，則創建的進程具有危險性。其中，所述安全檢測單元，具體適于使用本地安全引擎和/或云安全引擎對該進程的DLL文件進行檢測，如果DLL文件為病毒文件，則檢測出記錄的該進程的DLL文件不安全。其中，所述安全檢測單元，還適于如果該進程的可執行文件和DLL文件都為安全文件，則確定該進程安全。其中，所述安全檢測單元，還適于如果檢測出該進程的DLL文件的危險等級高于該進程的可執行文件的危險等級，則修改該進程的可執行本文檔來自技高網...

【技術保護點】
一種主動防御惡意程序的方法，該方法包括：在待保護的設備創建進程時，根據與該創建的進程相關的進程文件判斷該創建的進程是否具有危險性，如果是，則攔截創建的進程加載該進程的動態鏈接庫DLL文件的操作，并將該DLL文件記錄到內存的進程信息中；在待保護的設備啟動進程后，當進程執行的操作為危險操作時，檢測記錄的該進程的DLL文件是否安全，如果不安全，則阻止待保護的設備執行該進程的操作。

【技術特征摘要】
1.一種主動防御惡意程序的方法，該方法包括: 在待保護的設備創建進程時，根據與該創建的進程相關的進程文件判斷該創建的進程是否具有危險性，如果是，則攔截創建的進程加載該進程的動態鏈接庫DLL文件的操作，并將該DLL文件記錄到內存的進程信息中； 在待保護的設備啟動進程后，當進程執行的操作為危險操作時，檢測記錄的該進程的DLL文件是否安全，如果不安全，則阻止待保護的設備執行該進程的操作。2.根據權利要求1所述的方法，其中， 所述根據與該創建的進程相關的進程文件判斷該創建的進程是否具有危險性具體包括: 查詢該創建的進程所在進程鏈中各個進程的進程文件的來源，根據所述各個進程的進程文件的來源判斷該創建的進程是否具有危險性； 所述創建的進程所在進程鏈為進程樹中從該創建的進程到根進程的進程鏈。3.根據權利要求2所述的方法，其中， 所述根據所述各個進程的進程文件的來源判斷該創建的進程是否具有危險性具體包括: 判斷所述各個進程的進程文件中是否存在來自網絡下載的文件，如果存在，則該創建的進程具有危險性。4.根據權利要求2所述的方法，其中， 所述根據所述各個進程的進程文件的來源判斷該創建的進程是否具有危險性具體包括: 判斷所述各個進程的進程文件中是否存在來自壓縮包的文件，如果存在，則該創建的進程具有危險性。5.根據權利要求4所述的方法，其中， 所述判斷所述各個進程的進程文件中是否存在來自壓縮包的文件具體包括: 對于所述各個進程鏈中每個進程進行判定，如果該進程的父進程為解壓縮應用，并且該解壓縮應用直接執行壓縮包中的可執行文件或者該解壓縮應用解壓縮的壓縮包中包含該進程的進程文件，則判定該進程的進程文件為來自壓縮包的文件。6.根據權利要求1所述的方法，其中， 所述根據與該創建的進程相關的進程文件判斷該創建的進程的操作是否具有危險性具體包括: 判斷創建的進程的進程文件是否滿足預設的匹配條件，如果滿足，則創建的進程具有危險性。7.根據權利要求1至6任一項所述的方法，其中， 所述檢測記錄的該進程的DLL文件是否安全，如果不安全，則阻止待保護的設備執行該進程的操作具體包括: 使用本地安全引擎和/或云安全引擎對該進程的DLL文件進行檢測，如果DLL文件為病毒文件，則阻止待保護的設備執行該進程。8.根據權利要求7所述的方法，其中， 所述使用本地安全引擎和/或云安全引擎對該進程的DLL文件進行檢測后還包括:如果該進程的可執行文件和DLL文件都為安全文件，則確定該進程安全。9.根據權利要求8所述的方法，其中， 所述使用本地安全引擎和/或云安全引擎對該進程的DLL文件進行檢測后還包括:如果該進程的DLL文件的危險等級高于該進程的可執行文件的危險等級，則修改該進程的可執行文件的危險等級為所述DLL文件的危險等級，并呈現危險提示。10.根據權利要求1至9任一項所述的方法，其中， 所述檢測記錄的該進程的DLL文件是否安全后還包括: 如果該進程的DLL文件為安全文件，則刪除該DLL文件的記錄，并在該DLL文件沒有發生變化的情況下，不進行攔截創建的進程加載該DLL文件的操作。11.根據權利要求1至10任一項所述的方法，其中， 所述危險操作至少包括下列操作中的一種: 寫入注冊表進行自動加載； 修改注冊表； 修改系統文件； 修改指定的應用文件； 執行進程間注入； 結束進程； 修改...

【專利技術屬性】
技術研發人員：張曉霖，董杰，
申請(專利權)人：北京奇虎科技有限公司，奇智軟件北京有限公司，
類型：發明
國別省市：