技術領域

本發明涉及計算機安全技術領域，具體涉及一種用于主動防御惡意程序的方法、設備及系統。

背景技術

隨著計算機技術在社會生活中各個領域的廣泛運用，惡意程序也如同其附屬品一樣接踵而來。由于這些惡意程序所具有的感染性、復制性及破壞性，其已成為困擾計算機使用的一個重大問題。

惡意程序是一個概括性的術語，指任何故意創建用來執行未經授權并通常是有害行為的軟件程序。計算機病毒、后門程序、鍵盤記錄器、密碼盜取者、Word和Excel宏病毒、引導區病毒、腳本病毒（batch,windows?shell,java等）、木馬、犯罪軟件、間諜軟件和廣告軟件等等，都是一些可以稱之為惡意程序的例子。以木馬為例，木馬能夠盜取網銀密碼、盜取網游裝備、泄露隱私照片等等。

可以看出，惡意程序對計算機設備以及用戶造成的危害是巨大的，因此如何對惡意程序進行查殺就顯得更為重要。傳統的查殺方式是特征庫匹配，但是隨著惡意程序爆發式的增長，又由于特征庫的生成與更新相對于病毒的產生通常滯后，導致傳統特征庫匹配的查殺方式越來愈力不從心。于是出現了主動防御技術，主動防御是基于程序行為自主分析判斷的實時防護技術，不以病毒的特征碼作為判斷病毒的依據，而是從最原始的病毒定義出發，直接將程序的行為作為判斷病毒的依據，解決了傳統安全軟件無法防御未知惡意軟件的弊端，從技術上實現了惡意程序的主動防御。

但是，由于主動防御相對傳統的特征庫匹配查殺，容易產生更多的誤報，因此針對所有程序行為進行主動防御的級別不能太高。而且如果針對所有程序的行為都進行高等級的主動防御，也會降低主動防御的效率。但是，如果進行的主動防御普遍級別都較低，又會讓一些惡意程序有機可趁，因此，現有主動防御的有效性較低。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的用于主動防御惡意程序的方法、設備和系統。

依據本發明的一個方面，提供了一種用于主動防御惡意程序的方法，包括：監控未知程序的進程創建操作，獲取被創建進程執行時的命令行參數；解析所述被創建進程執行的命令行參數，至少根據所述被創建進執行時的命令行參數判斷所述被創建進程是否為解壓縮進程；如果是，則通知驅動程序記錄該解壓縮進程生成的信息至第一數據庫，對該解壓縮進程生成的信息進行主動防御監控。

可選的，還包括：獲取被創建進程的進程路徑，所述至少根據被創建進程執行時的命令行參數判斷所述被創建進程是否為解壓縮進程的步驟包括：根據被創建進程的進程路徑以及進程執行時的命令行參數，判斷所述被創建進程是否為解壓縮進程。

可選的，所述根據被創建進程的進程路徑以及執行時的命令行參數，判斷所述被創建進程是否為解壓縮進程包括：根據所述被創建進程的進程路徑，判斷所述被創建進程的進程文件是否為壓縮或解壓縮軟件，如果是，進一步根據所述命令行參數判斷所述被創建進程是否為解壓縮進程。

可選的，還包括：當下載壓縮包時，在第二數據庫中添加所述壓縮包的信息記錄，所述壓縮包的信息記錄至少包括所述壓縮包的下載來源；如果判斷所述被創建進程是解壓縮進程，從所述第二數據庫中查詢所述解壓縮進程對應的壓縮包的下載來源，以及將所述壓縮包的下載來源與所述第一數據庫中記錄的該解壓縮進程生成的信息相關聯，獲得所述信息的下載來源。

可選的，所述壓縮包的信息記錄還包括所述壓縮包的存放路徑和/或壓縮包的特征標識；所述從第二數據庫中查詢所述解壓縮進程對應的壓縮包的下載來源包括：根據所述命令行參數獲得所述解壓縮進程對應的壓縮包的存放路徑，并根據所述壓縮包的存放路徑從所述第二數據庫中查詢所述解壓縮進程對應的壓縮包的下載來源；或，根據所述解壓縮進程對應的壓縮包的特征標識從所述第二數據庫中查詢所述解壓縮進程對應的壓縮包的下載來源。

可選的，所述解壓縮進程生成的信息包括可執行文件，所述對該解壓縮進程生成的信息進行主動防御監控包括：監控所述解壓縮進程生成的可執行文件的進程創建操作，如發現，則進一步監控在該可執行文件進程在運行過程中是否執行了可疑操作；如果是，則至少將所述解壓縮進程生成的可執行文件所關聯的下載來源發送到安全掃描器，供其進行檢測判斷；根據所述安全掃描器返回的結果，決定放行、攔截或提示。