技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域，特別是涉及一種識(shí)別網(wǎng)絡(luò)行為是否異常的方法、裝置及系統(tǒng)。

背景技術(shù)

隨著當(dāng)前互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展與上網(wǎng)成本的普遍降低，互聯(lián)網(wǎng)已經(jīng)成為了大多數(shù)普通民眾日常生活中不可或缺的一個(gè)重要組成部分。但是一些天才的程序員為了表現(xiàn)自己和證明自己的能力或者其他方面（如政治，軍事，宗教，民族，專(zhuān)利等）的需求，往往會(huì)編寫(xiě)出一些影響電腦正常運(yùn)行的病毒程序，從而使得客戶(hù)并不能實(shí)現(xiàn)自己上網(wǎng)的目的，甚至?xí)沟谜麄€(gè)系統(tǒng)出現(xiàn)癱瘓。因而，網(wǎng)絡(luò)安全就成為了現(xiàn)今關(guān)注的焦點(diǎn)。

現(xiàn)有技術(shù)中，云安全成為了目前各安全廠(chǎng)商解決個(gè)人計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的首選方案。云安全是通過(guò)網(wǎng)狀的大量客戶(hù)端對(duì)網(wǎng)絡(luò)中軟件行為的異常監(jiān)測(cè)，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，推送到服務(wù)端進(jìn)行自動(dòng)分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶(hù)端。也就是說(shuō)安全規(guī)則全部由安全廠(chǎng)商來(lái)在服務(wù)器中來(lái)處理完成。這樣做雖然會(huì)減輕用戶(hù)端的配置難度和運(yùn)行負(fù)擔(dān)，但是云安全這一新生事物在帶來(lái)的諸多便捷與實(shí)惠的同時(shí)，也存在以下缺陷：

云安全查殺是采用傳統(tǒng)的查殺方式，因此對(duì)于沒(méi)保存在數(shù)據(jù)庫(kù)中的網(wǎng)絡(luò)行為只能是一律作為正常網(wǎng)絡(luò)行為放行，而這些放行的網(wǎng)絡(luò)行為中，很有可能是新出現(xiàn)或新變種的病毒，但由于數(shù)據(jù)庫(kù)的更新都需要一定的時(shí)間，所以云安全查殺不能及時(shí)將這些不安全網(wǎng)絡(luò)行為攔截，進(jìn)而會(huì)對(duì)系統(tǒng)造成威脅。也就是說(shuō)，采用傳統(tǒng)的云安全查殺方式，對(duì)于新出現(xiàn)或新變種的病毒不能及時(shí)進(jìn)行查殺。

發(fā)明內(nèi)容

本發(fā)明提供了一種識(shí)別程序的網(wǎng)絡(luò)行為是否異常的方法、裝置及系統(tǒng)，在一定程度上解決了對(duì)于新出現(xiàn)或新變種的病毒不能及時(shí)進(jìn)行查殺的問(wèn)題。

本發(fā)明提供了如下方案：

一種識(shí)別程序的網(wǎng)絡(luò)行為是否異常的方法，包括：在程序訪(fǎng)問(wèn)網(wǎng)絡(luò)的過(guò)程中，監(jiān)控所述程序的當(dāng)前網(wǎng)絡(luò)行為；告知服務(wù)器所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序；查找所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序的已知正常網(wǎng)絡(luò)行為；將所述程序的當(dāng)前網(wǎng)絡(luò)行為與所述程序的已知正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比；根據(jù)所述對(duì)比結(jié)果，識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為是否異常。

可選的，還包括：服務(wù)器接收客戶(hù)端發(fā)送的所述程序的屬性信息，根據(jù)所述程序的屬性信息確定所述程序是否屬于特定類(lèi)別；如果屬于特定類(lèi)別，則指示客戶(hù)端告知所述程序的當(dāng)前網(wǎng)絡(luò)行為所屬的程序。

可選的，還包括：所述特定類(lèi)別具體包括：當(dāng)前一定時(shí)間段內(nèi)容易受到病毒攻擊的程序類(lèi)別和/或容易被病毒利用的程序類(lèi)別。

可選的，還包括：所述告知服務(wù)器所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序包括：向服務(wù)器發(fā)送所述當(dāng)前網(wǎng)絡(luò)行為的信息以及所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)。

可選的，還包括：所述向服務(wù)器發(fā)送所述當(dāng)前網(wǎng)絡(luò)行為的信息以及所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序的標(biāo)識(shí)包括：為所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息添加網(wǎng)絡(luò)防御標(biāo)簽，所述網(wǎng)絡(luò)防御標(biāo)簽包括所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序的標(biāo)識(shí)；向服務(wù)器發(fā)送帶有所述網(wǎng)絡(luò)防御標(biāo)簽的當(dāng)前網(wǎng)絡(luò)行為的信息。

可選的，還包括：所述查找所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的已知正常網(wǎng)絡(luò)行為包括：根據(jù)所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)，查找所述程序的已知正常網(wǎng)絡(luò)行為。

可選的，還包括：所述根據(jù)所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)，查找所述程序的已知正常網(wǎng)絡(luò)行為包括：預(yù)先收集多種程序的正常網(wǎng)絡(luò)行為，并建立程序的標(biāo)識(shí)及其正常網(wǎng)絡(luò)行為之間的對(duì)應(yīng)關(guān)系；根據(jù)所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)，查找該程序的標(biāo)識(shí)對(duì)應(yīng)的正常網(wǎng)絡(luò)行為，將所述查找到的正常網(wǎng)絡(luò)行為作為所述程序的已知正常網(wǎng)絡(luò)行為。

可選的，還包括：所述監(jiān)控所述程序的當(dāng)前網(wǎng)絡(luò)行為包括：通過(guò)在客戶(hù)端注冊(cè)協(xié)議驅(qū)動(dòng)，截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息；或者，通過(guò)創(chuàng)建與操作系統(tǒng)相似的過(guò)濾驅(qū)動(dòng)，截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息；或者，利用操作系統(tǒng)提供的應(yīng)用程序編程接口函數(shù)截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息；或者，接管程序調(diào)用網(wǎng)絡(luò)編程接口函數(shù)的請(qǐng)求，截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息；或者，利用注冊(cè)防火墻回調(diào)，截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息。

可選的，還包括：所述根據(jù)所述對(duì)比結(jié)果，識(shí)別所述程序的網(wǎng)絡(luò)行為是否異常包括：如果對(duì)比結(jié)果不一致，識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為為異常網(wǎng)絡(luò)行為；如果對(duì)比結(jié)果一致，識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為為正常網(wǎng)絡(luò)行為。

可選的，還包括：如果識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為為異常網(wǎng)絡(luò)行為，還包括：暫停或攔截所述程序的當(dāng)前異常網(wǎng)絡(luò)行為；或者，暫?；驍r截所述程序的全部網(wǎng)絡(luò)行為；或者，暫?；驍r截所述程序的全部網(wǎng)絡(luò)行為和全部本地行為。