技術(shù)領(lǐng)域

本發(fā)明涉及計算機安全技術(shù)領(lǐng)域，特別是涉及主動防御方法及裝置。

背景技術(shù)

惡意程序是一個概括性的術(shù)語，指任何故意創(chuàng)建用來執(zhí)行未經(jīng)授權(quán)并通常是有害行為的軟件程序。計算機病毒、后門程序、鍵盤記錄器、密碼盜取者、Word和Excel宏病毒、引導(dǎo)區(qū)病毒、腳本病毒（batch,windows?shell,java等）、木馬、犯罪軟件、間諜軟件和廣告軟件等等，都是一些可以稱之為惡意程序的例子。

傳統(tǒng)的惡意程序防殺主要依賴于特征庫模式。特征庫是由廠商收集到的惡意程序樣本的特征碼組成，而特征碼則是分析工程師從惡意程序中找到和正當(dāng)軟件的不同之處，截取一段類似于“搜索關(guān)鍵詞”的程序代碼。當(dāng)查殺過程中，引擎會讀取文件并與特征庫中的所有特征碼“關(guān)鍵詞”進行匹配，如果發(fā)現(xiàn)文件程序代碼被命中，就可以判定該文件程序為惡意程序。

特征庫匹配是查殺已知惡意程序很有效的一項技術(shù)。但是現(xiàn)今全球惡意程序數(shù)量呈幾何級增長，基于這種爆發(fā)式的增速，特征庫的生成與更新往往是滯后的，很多時候殺毒軟件無法防殺層出不窮的未知惡意程序。

HIPS（Host-based?Intrusion?Prevention?System，基于主機的入侵防御系統(tǒng)）是一種通過攔截系統(tǒng)內(nèi)的常見危險動作，不以特征碼作為判斷惡意程序的依據(jù)，而是從最原始的定義出發(fā)，直接將程序的行為作為判斷惡意程序的依據(jù)，其中衍生出在本地使用特征庫、在本地設(shè)置行為閾值以及在本地啟發(fā)式殺毒的方式來判別、攔截惡意程序的行為，從而一定程度上達到保護用戶電腦的目的。借助自己對軟件及系統(tǒng)的了解，人為的或者軟件內(nèi)置的一些觸發(fā)條件制止一些不正常的動作，以達到系統(tǒng)安全的一個軟件系統(tǒng)，這種觸發(fā)條件一般稱為HIPS規(guī)則。

然而，在現(xiàn)有技術(shù)中使用HIPS規(guī)則進行主動防御時，經(jīng)常出現(xiàn)誤報的現(xiàn)象。因此，迫切需要本領(lǐng)域技術(shù)人員解決的技術(shù)問題就在于，如何在使用HIPS規(guī)則進行主動防御時，降低誤報的概率。

發(fā)明內(nèi)容

本發(fā)明提供了主動防御方法及裝置，能夠降低誤判的概率。

本發(fā)明提供了如下方案：

本發(fā)明實施例提供一種主動防御方法，包括：

對預(yù)置接口產(chǎn)生的遠程過程調(diào)用協(xié)議RPC調(diào)用進行跟蹤；

當(dāng)用戶權(quán)限的進程通過預(yù)置接口發(fā)起調(diào)用系統(tǒng)服務(wù)進程的請求時，攔截所述請求，從所述請求中提取源文件的路徑，并建立所述源文件的路徑與被調(diào)用的系統(tǒng)服務(wù)進程之間的關(guān)聯(lián)；

如果有操作行為觸發(fā)基于主機的入侵防御系統(tǒng)HIPS規(guī)則、并根據(jù)進程鏈追溯到發(fā)起所述操作行為的進程是被調(diào)用的系統(tǒng)服務(wù)進程，則將所述源文件的路徑確定為所述操作行為的來源；

根據(jù)所述源文件的危險等級，執(zhí)行主機入侵防御處理。

可選地，所述源文件包括MSI安裝包文件，所述對預(yù)置接口的RPC調(diào)用進行跟蹤包括：

對接口IMSIServer::DoInstallRemote的RPC調(diào)用進行跟蹤，以便獲取所述MSI安裝包文件在系統(tǒng)中的保存路徑。

可選地，所述源文件包括MSI安裝包文件中的動態(tài)鏈接庫DLL文件，所述對預(yù)置接口的RPC調(diào)用進行跟蹤包括：

對接口CMsiCustomAction::PrepareDLLCustomAction的RPC調(diào)用進行跟蹤，以便獲取所述MSI安裝包文件中的DLL文件的DLL路徑。

可選地，所述根據(jù)所述源文件的危險等級，執(zhí)行主機入侵防御處理包括：

確定源文件的危險等級；

根據(jù)所述源文件的危險等級，對所述操作行為執(zhí)行攔截。

可選地，所述根據(jù)所述源文件的危險等級，執(zhí)行主機入侵防御處理包括：

根據(jù)所述源文件的危險等級，向用戶進行風(fēng)險提示，并將所述源文件的信息提示給用戶。

本發(fā)明實施例提供一種主動防御裝置，包括：

跟蹤單元，用于對預(yù)置接口產(chǎn)生的遠程過程調(diào)用協(xié)議RPC調(diào)用進行跟蹤；

攔截單元，用于當(dāng)當(dāng)用戶權(quán)限的進程通過預(yù)置接口發(fā)起調(diào)用系統(tǒng)服務(wù)進程的請求時，攔截所述請求，從所述請求中提取源文件的路徑，并建立所述源文件的路徑與被調(diào)用的系統(tǒng)服務(wù)進程之間的關(guān)聯(lián)；

來源確定單元，用于如果有操作行為觸發(fā)基于主機的入侵防御系統(tǒng)HIPS規(guī)則、并根據(jù)進程鏈追溯到所述被調(diào)用的系統(tǒng)服務(wù)進程，則將所述源文件的路徑確定為所述操作行為的來源；

處理單元，用于根據(jù)所述源文件的危險等級，執(zhí)行主機入侵防御處理。

可選地，所述源文件包括MSI安裝包文件，所述跟蹤單元包括：