技術領域

本發明涉及一種監控與清除廣義未知病毒的方法。與現有的反計算機病毒技術相比，本發明不但能夠監控與清除已知病毒，還能夠高度特異性監控與清除廣義上的未知病毒。

背景技術

在當今信息技術高速發展的形勢下，雖然出現了眾多的反計算機病毒產品，它們在防治已知計算機病毒的方面確實起了一定的作用，但它們并不能有效對抗未知病毒，未知病毒已經成為信息安全的重要威脅。

現有的反計算機病毒監控技術主要包括特征碼對比監控檢測技術與HIPS主動防御技術。

(1)特征碼對比監控檢測技術：通過監測一個文件中是否存在病毒庫里面的某一個病毒特征串而判斷其是否一種病毒。該技術的不足主要表現為滯后性與病毒庫依賴性。滯后性：由于病毒庫中的記錄是新病毒被人為捕獲發現后添加進去的，新病毒出現后到被捕獲發現之前需要一段時間，在該段時間內，對于所有用戶而言均屬于未知病毒，用戶的計算機處于非防御狀態。病毒庫依賴性：對病毒的防御主要取決于新病毒被人為捕獲的速度，數量以及用戶升級病毒庫的頻率。只要用戶沒有及時地升級特征碼病毒庫，用戶的計算機就處于非防御狀態。對于特征碼病毒庫沒有記錄的未知病毒，用戶的計算機也處于非防御狀態。

(2)HIPS主動防御技術：HIPS(Host?Intrusion?Prevent?System)即主機入侵防御系統。是一種監控文件的運行與創建，注冊表的修改，并向用戶報告請求處理的技術。但它沒有智能判斷能力，對計算機病毒沒有特異性，系統的所有改動都有反應，只能靠用戶的反病毒知識與經驗去判斷是否是病毒。

專利發明200510007682.X雖然已經給出了通過程序行為分析判斷是否是一個病毒的方法，在一定程度上防御了未知病毒，但是病毒行為是相對的，少數的正常程序也會發生，單方向的分析判斷難以避免一定的誤報率。而且為了降低誤報率，必須縮窄病毒行為的臨界條件，從而導致能夠識別的未知病毒的范圍與數量會下降。

發明內容

本發明能夠有效解決上述問題，不僅能夠對抗已知病毒，而且彌補了現有反病毒技術在反未知病毒方面的技術缺陷，能夠高度特異性監控與清除廣義上的未知病毒，捍衛了計算機與用戶的信息安全。

本發明涉及一種監控與清除廣義未知病毒的方法，其特征在于：

通過大量計算機病毒的分析研究，歸納出由若干行為因子組成的基本病毒行為，確定出每個行為因子與每個基本病毒行為的特異性，構造出一個特異性可調節性病毒行為數據庫，該數據庫主要用于判斷一個程序是否屬于病毒；同時根據發生了“偽病毒行為”的正常程序構造出可調節性正常程序偽病毒行為數據庫，該數據庫主要用于判斷一個程序是否屬于正常程序。并且對上述方法監測出的病毒進行病毒分類與處理。本發明通過雙方向數據庫的判斷，做到了高度特異性識別未知病毒，減少了行為分析的誤報率，通過病毒行為特異性的可調節性，保持了識別范圍上的廣義性，增加了能夠識別的未知病毒的數量與范圍。

在本發明中，廣義上的未知病毒包括一切傳統意義上的病毒，木馬，蠕蟲，間諜程序，惡意程序，流氓程序，以及行為異常的正常程序。

在本發明中，計算機病毒行為是指大部分計算機病毒共有的，正常程序極少發生的若干個非線性指令序列及其參數的集合。偽病毒行為是指正常程序在沒有受到病毒感染的情況下觸發的病毒行為集合中的行為。偽病毒行為僅針對于正常程序而言。行為因子是指一個關鍵的指令及其參數的組合。

在本發明中，臨界調定點分為內部調定點與外部調定點，內部調定點是各行為因子對其構成的一個行為的特異性的調定點，外部調定點是一個行為在整個行為數據庫中的特異性的調定點。內部調定點與外部調定點可自定義或動態調節。

本發明涉及一種監控與清除廣義未知病毒的方法，其特征在于，上述過程包括：

1.可調節性病毒行為數據庫的構造：

可調節性病毒行為數據庫的構造的步驟包括：

1.1基本病毒行為集合的確定。

在本發明中，基本病毒行為包括：

1)一個程序模塊釋放出一些執行體，其中至少有一個執行體冒充系統文件。

2)一個程序模塊釋放出一些執行體，其中至少有一個執行體具有隱蔽性質。

3)一個程序模塊釋放出一些執行體，其中至少將其中一個執行體寫進注冊表關鍵啟動項(正常程序幾乎不會寫進這些位置)。

4)一個程序模塊釋放出一些執行體，其中至少將其中一個執行體寫進注冊表常規啟動項。

5)一個程序模塊在后臺開始激活時對系統程序進行遠程線程插入。

6)一個程序模塊嘗試多次對其它程序進行遠程線程插入。