技術領域

本發明涉及計算機安全技術領域，具體涉及一種文件病毒免疫方法和裝置。

背景技術

隨著計算機技術的發展，各類應用程序已滲入到生產、生活的各個領域，為用戶帶來了極大的便利，提高了生產效率。應用程序的執行依賴于各類計算機文件，例如，文本文件、可執行文件、動態鏈接庫文件等。這些文件記錄數據結果，或者用于存儲程序信息。文件可能被病毒或惡意程序感染，影響應用程序的執行，或者其中存儲的個人數據被非法讀取、修改，使用戶的利益受到威脅。

現階段防止病毒或惡意程序主要依賴于傳統的特征庫模式，基于特征庫對運行程序進行實時掃描。特征庫是由廠商收集到的惡意程序樣本的特征碼組成，查殺過程中，引擎會讀取文件并與特征庫中的所有特征碼進行匹配，如果發現由程序代碼被命中，就可以判定該文件程序被病毒或惡意程序感染。特征庫匹配是查殺已知惡意程序的一項有效技術，但隨著惡意程序數量呈幾何增長，特征庫的生成與更新具有滯后性。此外，掃描的實時運行也會消耗大量的系統資源。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的一種文件病毒免疫方法和裝置。

根據本發明的一個方面，提供了一種文件病毒免疫方法，包括：在病毒檢測引擎的檢測通知任務發出后，通過監控技術，截獲與文件有關的操作行為請求；根據操作行為請求，進行行為識別，得到操作行為的信息，操作行為的信息包括行為發起進程以及行為對應的動作和/或行為對應的對象；根據操作行為的信息，判斷操作行為是否為由病毒導致的異常行為；若該操作行為是由病毒導致的異常行為，則向用戶發出提示信息或攔截該操作行為。

根據本發明的另一方面，提供了一種文件病毒免疫裝置，包括：監控模塊，適于接收病毒檢測引擎的檢測通知，通過監控技術截獲與文件有關的操作行為請求；識別模塊，適于根據操作行為請求，進行行為識別，得到操作行為的信息，所述操作行為的信息包括行為發起進程以及行為對應的動作和/或行為對應的對象；判斷模塊，適于根據操作行為的信息，判斷操作行為是否為由病毒導致的異常行為；處理模塊，適于在判斷模塊判斷出操作行為是由病毒導致的異常行為的情況下，通過病毒檢測引擎的提示界面向用戶發出提示信息或攔截所述操作行為。

根據本發明的文件病毒免疫方法和裝置，病毒檢測引擎的檢測通知任務發出后，在監控到對文件的操作行為請求時，得到該行為的發起進程、行為對應動作及行為對象等操作行為的信息，綜合上述操作行為的信息，判斷出對特定文件的操作行為是否為病毒導致的異常行為，然后，攔截異常行為或通過病毒檢測引擎的提示界面向用戶提供提示信息。根據該方案，對待免疫的文件的監控不依賴與現有的特征庫，具有實時性，并且對病毒行為的判斷結合了文件信息、發起進程、動作特點，有效提高了判斷的準確性。

上述說明僅是本發明技術方案的概述，為了能夠更清楚了解本發明的技術手段，而可依照說明書的內容予以實施，并且為了讓本發明的上述和其它目的、特征和優點能夠更明顯易懂，以下特舉本發明的具體實施方式。

附圖說明

通過閱讀下文優選實施方式的詳細描述，各種其他的優點和益處對于本領域普通技術人員將變得清楚明了。附圖僅用于示出優選實施方式的目的，而并不認為是對本發明的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中：

圖1示出了根據本發明一個實施例的文件病毒免疫方法的流程圖；

圖2示出了根據本發明另一個實施例的文件病毒免疫方法的流程圖；

圖3示出了根據本發明另一個實施例的文件病毒免疫方法的流程圖；

圖4示出了根據本發明另一個實施例的文件病毒免疫方法的流程圖；

圖5示出了根據本發明另一個實施例的文件病毒免疫裝置的結構框圖。

具體實施方式

下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例，然而應當理解，可以以各種形式實現本公開而不應被這里闡述的實施例所限制。相反，提供這些實施例是為了能夠更透徹地理解本公開，并且能夠將本公開的范圍完整的傳達給本領域的技術人員。

本發明實施例可以應用于計算機系統/服務器，其可與眾多其它通用或專用計算系統環境或配置一起操作。適于與計算機系統/服務器一起使用的眾所周知的計算系統、環境和/或配置的例子包括但不限于：個人計算機系統、服務器計算機系統、瘦客戶機、厚客戶機、手持或膝上設備、基于微處理器的系統、機頂盒、可編程消費電子產品、網絡個人電腦、小型計算機系統、大型計算機系統和包括上述任何系統的分布式云計算技術環境，等等。