[發(fā)明專利]一種可疑操作的識別處理方法、裝置和系統(tǒng)有效
| 申請?zhí)枺?/td> | 201210316980.7 | 申請日: | 2012-08-30 |
| 公開(公告)號: | CN102902919A | 公開(公告)日: | 2013-01-30 |
| 發(fā)明(設(shè)計)人: | 余和;范紀(jì)鍠;鄭文彬 | 申請(專利權(quán))人: | 北京奇虎科技有限公司;奇智軟件(北京)有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 北京潤澤恒知識產(chǎn)權(quán)代理有限公司 11319 | 代理人: | 趙娟 |
| 地址: | 100088 北京市西城區(qū)新*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 可疑 操作 識別 處理 方法 裝置 系統(tǒng) | ||
技術(shù)領(lǐng)域
本發(fā)明涉及文件處理技術(shù)領(lǐng)域,具體涉及一種可疑操作的識別處理方法,一種可疑操作的識別處理裝置,以及,一種可疑操作的識別處理系統(tǒng)。
背景技術(shù)
惡意程序是一個概括性的術(shù)語,指任何故意創(chuàng)建用來執(zhí)行未經(jīng)授權(quán)并通常是有害行為的軟件程序。計算機病毒、后門程序、鍵盤記錄器、密碼盜取者、Word和Excel宏病毒、引導(dǎo)區(qū)病毒、腳本病毒(batch,windows?shell,java等)、木馬、犯罪軟件、間諜軟件和廣告軟件等等,都可以稱之為惡意程序。惡意程序通常通過在用戶設(shè)備上運行程序操作,如修改注冊表,訪問網(wǎng)絡(luò)等來達到破壞用戶設(shè)備安全性的目的。
傳統(tǒng)的惡意程序防殺主要依賴于特征庫模式。特征庫是由安全軟件廠商收集到的惡意程序樣本的特征碼組成,而特征碼則是分析工程師從惡意程序中找到和正當(dāng)軟件的不同之處,截取一段類似于“搜索關(guān)鍵詞”的程序代碼。當(dāng)查殺過程中,查殺引擎會讀取文件并與特征庫中的所有特征碼“關(guān)鍵詞”進行匹配,如果發(fā)現(xiàn)文件程序代碼被命中,就可以判定該文件程序為惡意程序。
特征庫匹配是查殺已知惡意程序很有效的一項技術(shù)。但是現(xiàn)今全球惡意程序數(shù)量呈幾何級增長,基于這種爆發(fā)式的增速,特征庫的生成與更新往往是滯后的,很多時候安全軟件無法防殺層出不窮的未知惡意程序。
因此,本領(lǐng)域技術(shù)人員迫切需要解決的技術(shù)問題是:如何前瞻性地阻止惡意程序的攻擊,提高用戶設(shè)備使用的安全性和穩(wěn)定性。
發(fā)明內(nèi)容
鑒于上述問題,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的一種可疑操作的識別處理方法,相應(yīng)的一種可疑操作的識別處理裝置,和相應(yīng)的一種可疑操作的識別處理系統(tǒng)。
依據(jù)本發(fā)明的一個方面,提供了一種可疑操作的識別處理方法,包括:
攔截用戶設(shè)備上的程序操作;
獲取運行所述程序操作的進程鏈,并提取所述進程鏈的特征信息,所述進程鏈的特征信息至少包括:所述進程鏈上所有進程的內(nèi)部名稱;
采用所述進程鏈的特征信息與預(yù)置的危險白名單進程序列表進行匹配,其中,所述危險白名單程序列表中至少包括:預(yù)先收集的可疑進程的內(nèi)部名稱;所述匹配包括,判斷在所述危險白名單程序列表中是否存在所述進程鏈上某個進程的內(nèi)部名稱,若是,則判定為危險白名單進程;
當(dāng)存在危險白名單進程時,阻止用戶設(shè)備上所述程序操作的執(zhí)行。
可選地,所述的方法,還包括:
當(dāng)不存在危險白名單進程時,允許用戶設(shè)備上所述程序操作的執(zhí)行。
可選地,所述進程鏈的特征信息還包括:所述進程鏈上進程的命令行;所述危險白名單進程序列表中還包括命令行判斷規(guī)則,所述匹配還包括:
采用所述命令行判斷規(guī)則判斷所述進程鏈上的進程的命令行是否合法;
若否,則判定為危險白名單進程。
可選地,所述預(yù)先收集的可疑進程的內(nèi)部名稱包括:
Windows操作系統(tǒng)的命令行程序的名稱CMD或Cmd.exe;和/或,
用于注冊Windows操作系統(tǒng)的動態(tài)鏈接庫和ActiveX控件程序的名稱regsvr32.exe;和/或,
用于在內(nèi)存中運行DLL文件程序的名稱rundll32.exe;和/或,
服務(wù)管理程序的名稱sc.exe;和/或,
Windows注冊表編輯器程序的名稱Rgedit.exe;和/或,
Windows操作系統(tǒng)腳本相關(guān)支持程序的名稱wscript.exe;和/或,
用于編輯注冊表的程序的名稱reg.exe;和/或,
用于使16位的進程能夠運行在32位的系統(tǒng)環(huán)境下的程序的名稱ntvdm.exe;
用于通過WinMgmt.exe程序處理WMI操作的程序的名稱wmiprvse.exe。
可選地,所述進程鏈的特征信息還包括:所述進程鏈上進程的命令行;所述匹配還包括:
判斷所述進程鏈上的進程的內(nèi)部名稱和命令行是否滿足預(yù)置合法規(guī)則或預(yù)置非法規(guī)則;
若滿足預(yù)置合法規(guī)則,則判定為非危險白名單進程;
若滿足預(yù)置非法規(guī)則,則判定為危險白名單進程。
根據(jù)本發(fā)明的另一方面,提供了一種可疑操作的識別處理裝置,包括:
攔截模塊,用于攔截用戶設(shè)備上的程序操作;
進程鏈獲取模塊,用于獲取運行所述程序操作的進程鏈;
特征提取模塊,用于提取所述進程鏈的特征信息,所述進程鏈的特征信息至少包括:所述進程鏈上所有進程的內(nèi)部名稱;
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京奇虎科技有限公司;奇智軟件(北京)有限公司,未經(jīng)北京奇虎科技有限公司;奇智軟件(北京)有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201210316980.7/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
