技術領域

本發明涉及計算機技術領域，特別是涉及一種安全防御系統。

背景技術

主動防御是基于程序行為自主分析判斷，以防御惡意程序的實時防護技術。惡意程序是一個概括性的術語，指任何故意創建用來執行未經授權并通常是有害行為的軟件程序。計算機病毒、后門程序、鍵盤記錄器、密碼盜取者、Word和Excel宏病毒、引導區病毒、腳本病毒、木馬、犯罪軟件、間諜軟件和廣告軟件等等，都可以稱之為惡意程序。

主動防御在進行惡意程序防御時，不以文件特征值作為判斷惡意程序的依據，而是從最原始的定義出發，直接將程序的行為作為判斷惡意程序的依據。其中衍生出在本地使用特征庫、在本地設置行為閾值、以及在本地啟發式殺毒的方式來判別、攔截惡意程序的行為，從而一定程度上達到保護用戶設備的目的。

以HIPS（Host-based?Intrusion?Prevention?System，基于主機的入侵防御系統）為例，HIPS是一種能監控計算機中文件的運行和文件運行了其他的文件以及文件對注冊表的修改，并發出報告請求允許運行或修改的主動防御軟件。HIPS包括AD（Application?Defend，應用程序防御體系）、RD（Registry?Defend，注冊表防御體系）、和FD（File?Defend，文件防御體系），通過可定制的規則對本地的運行程序、注冊表的讀寫操作、以及文件讀寫操作進行判斷并確定允許或禁止。其中，RD用于對常見的系統敏感注冊表項進行監視，FD用于監視系統敏感目錄的文件（如HOSTS）操作，如修改刪除系統目錄里的任何文件或創建新文件等，也可用來發現被驅動木馬隱藏的文件本體。

然而，隨著計算機應用得越來越廣泛，未知程序和文件也越來越多，現有的HIPS在進行主動防御時，常常無法對注冊表和/或文件的改動進行精確地防御，以致漏報或誤報的情況時有發生。

發明內容

鑒于上述現有的安全防御方法無法對注冊表和/或文件的改動進行精確地防御，以致漏報或誤報的情況時有發生的問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的安全防御系統。

依據本發明，提供了一種安全防御系統，其包括：客戶端和云安全服務器，其中，所述客戶端包括：確定模塊，用于主動防御系統確定當前程序寫入的注冊表目標項不存在；解析模塊，用于獲取目標項的數據，從中解析出當前程序待寫入的目標路徑；文件防御模塊，用于將目標路徑加入文件防御規則，使用文件防御規則在當前程序生成文件時進行文件防御；云安全服務器，用于接收文件防御模塊發送的生成的文件，根據設定的規則對生成的文件進行安全性判定，并向客戶端返回判定結果。

可選地，解析模塊，還用于對開機啟動程序進行掃描時，獲取注冊表中開機啟動程序的注冊表項，從中解析出開機啟動程序的路徑；文件防御模塊，還用于將開機啟動程序的路徑加入文件防御規則，使用文件防御規則在系統開機啟動時進行文件防御。

可選地，文件防御模塊，用于將目標路徑加入文件防御規則，使主動防御系統在當前程序生成文件時，獲取生成的文件的文件路徑；判斷生成的文件的文件路徑與文件防御規則中的目標路徑是否匹配；若匹配，則獲取生成的文件的文件特征值，將生成的文件的文件特征值發送到服務器進行程序安全性判定；根據服務器的返回結果對當前程序進行文件防御處理。

可選地，文件防御模塊，用于將目標路徑加入文件防御規則，使主動防御系統在當前程序生成文件時，獲取生成的文件的文件路徑；判斷生成的文件的文件路徑與文件防御規則中的目標路徑是否匹配；若匹配，則獲取生成的文件，判斷生成的文件是否在目標白名單中；若生成的文件在目標白名單中，且生成的文件的來源在來源白名單中，則將生成的文件放行。

可選地，文件防御模塊，用于將目標路徑加入文件防御規則，使主動防御系統在當前程序生成文件時，獲取生成的文件的文件路徑；判斷生成的文件的文件路徑與文件防御規則中的目標路徑是否匹配；若匹配，則獲取生成的文件，判斷生成的文件是否符合預置的臨界文件規則，其中，臨界文件規則用于指示生成的文件為除白名單文件、黑名單文件和可疑文件之外的文件；若符合，則判斷生成的文件的來源是否在來源白名單中；若是，則將生成的文件放行；若否，則進行報警提示。

可選地，所述客戶端還包括：注冊表防御模塊，用于主動防御系統確定當前程序寫入的注冊表目標項是否符合注冊表防御規則；若是，則使用注冊表防御規則進行注冊表防御，若否，則進入確定模塊執行。