專利名稱:建立根據(jù)計算系統(tǒng)操作請求關(guān)聯(lián)關(guān)系判斷計算機操作請求安全性的計算機信息安全防護(hù)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種計算機系統(tǒng)安全的防護(hù)方法��,更具體地說涉及一種建立根據(jù)計算 系統(tǒng)操作請求關(guān)聯(lián)關(guān)系判斷計算機操作請求安全性的計算機信息安全防護(hù)方法�����。
背景技術(shù):
由于計算機應(yīng)用技術(shù)和網(wǎng)絡(luò)通信技術(shù)的普及���,由計算機應(yīng)用和網(wǎng)絡(luò)通信構(gòu)成的信 息平臺已經(jīng)成為人們工作�����、學(xué)習(xí)�、購物等日常生活基礎(chǔ)條件之一�����,人們在充分享受信息平臺 帶來的系統(tǒng)化便利的同時,可能也沒有人能幸免受到惡意代碼的侵害����。目前常見的保護(hù)人們?nèi)粘J褂玫男畔踩脚_的系統(tǒng)主要有“黑名單”類如殺病 毒類軟件、防火墻類軟件���,“白名單”類如防水墻類軟件和主動防御類軟件����,以及非常見的 有“可信”操作系統(tǒng)��、“安全”操作系統(tǒng)以及“庇護(hù)類”安全系統(tǒng)���。上述的安全系統(tǒng)中�,“黑名單”類系統(tǒng)應(yīng)用相對廣泛���,而“白名單”類系統(tǒng)��、“可信系 統(tǒng)”以及“操作系統(tǒng)加固”類系統(tǒng)因其應(yīng)用技術(shù)要求高而使其應(yīng)用范圍相對較小�����?�!昂诿麊巍毕到y(tǒng)具體通過“查殺”來實現(xiàn)安全保障�,實現(xiàn)方法查系統(tǒng)問題、定位惡意 代碼側(cè)面�、分析惡意代碼特征碼����、清除惡意代碼等四個步驟?���!安闅ⅰ毕到y(tǒng)必須具有以下的技 術(shù)保障①必須及時發(fā)現(xiàn)計算系統(tǒng)存在的問題;②必須能準(zhǔn)確定位問題的產(chǎn)生原因����;③必 須準(zhǔn)確分析惡意代碼的特征;④必須完整清除惡意代碼�。但是實際上發(fā)現(xiàn)計算機所有存在 的問題就十分困難,更無法保障其它步驟的準(zhǔn)確性和完整性���。因此���,“查殺”系統(tǒng)是一種事后 的補救措施,其并不保證操作系統(tǒng)的安全性,更不具備防范未知惡意代碼的能力�����?����!鞍酌麊巍鳖愊到y(tǒng)是確定哪些程序允許運行�,哪些程序不允許運行,“白名單”系統(tǒng) 的突出問題是因為無法保障允許執(zhí)行程序在代碼執(zhí)行過程中加載和調(diào)用的正確性�。也無法 保證程序之間的關(guān)聯(lián)加載和調(diào)用正確性。因此“白名單”系統(tǒng)在實際應(yīng)用中難以推廣����。“可信系統(tǒng)”和“庇護(hù)”類系統(tǒng)一般具有較強的抗惡意代碼能力����,從理論上說且具有 抗未知惡意代碼能力,但是“可信系統(tǒng)”和“庇護(hù)”類系統(tǒng)對應(yīng)用者的要求極高���,使用者不但 要熟悉操作系統(tǒng)��,而且要對應(yīng)用系統(tǒng)十分熟悉��,且能夠?qū)Σ僮飨到y(tǒng)和應(yīng)用系統(tǒng)進(jìn)行相應(yīng)的 安全定義���,并且需要使用者具有系統(tǒng)執(zhí)行的跟蹤和分析能力����。因?qū)?yīng)用者具有極高技術(shù)要 求�,因此此類系統(tǒng)只應(yīng)用在高端應(yīng)用領(lǐng)域。
發(fā)明內(nèi)容
本發(fā)明的目的是針對現(xiàn)有信息安全理論和信息安全技術(shù)不足而提供一種建立根 據(jù)計算系統(tǒng)操作請求關(guān)聯(lián)關(guān)系判斷計算機操作請求安全性的計算機信息安全防護(hù)方法�����。本發(fā)明的目的是通過以下措施來實現(xiàn)一種建立根據(jù)計算系統(tǒng)操作請求關(guān)聯(lián)關(guān)系 判斷計算機操作請求安全性的計算機信息安全防護(hù)方法���,其特征在于,包含以下步驟步驟一����,在計算運行狀態(tài)下,對計算機操作系統(tǒng)內(nèi)核或硬件抽象層產(chǎn)生的操作請 求進(jìn)行攔截���;
步驟二�,依據(jù)攔截到的操作請求的屬性����,在現(xiàn)有的關(guān)聯(lián)結(jié)構(gòu)已知某節(jié)點下創(chuàng)建虛 擬節(jié)點�,建立關(guān)聯(lián)關(guān)系���,構(gòu)成一個虛擬關(guān)聯(lián)結(jié)構(gòu)�����;步驟三����,在虛擬關(guān)聯(lián)結(jié)構(gòu)中回溯虛擬節(jié)點的根節(jié)點�,取得當(dāng)前操作請求在虛擬關(guān) 聯(lián)結(jié)構(gòu)中的關(guān)聯(lián)規(guī)則;步驟四��,依據(jù)回溯取得的關(guān)聯(lián)規(guī)則����,與已定義的危險操作規(guī)則匹配,確定是否存在
危害���;步驟五��,依據(jù)與危險操作規(guī)則匹配結(jié)果決定當(dāng)前操作是否允許執(zhí)行����,并更新關(guān)聯(lián) 結(jié)構(gòu)。所述步驟一攔截為利用操作系統(tǒng)內(nèi)部的文件過濾���、設(shè)備過濾���、網(wǎng)絡(luò)包過濾的過濾 功能進(jìn)行攔截。所述步驟一攔截操作請求是指攔截計算機內(nèi)部的文件操作請求����、配置操作請求、 內(nèi)存操作請求���、磁盤操作請求、網(wǎng)絡(luò)操作請求�����。所述步驟二的操作請求的屬性為操作者請求發(fā)起者���、被請求操作對象以及請求操 作類型����。所述步驟二現(xiàn)有的關(guān)聯(lián)結(jié)構(gòu)定義為僅由操作系統(tǒng)內(nèi)核、組件�����、服務(wù)發(fā)起的操作請 求以及由直接用戶發(fā)起的應(yīng)用系統(tǒng)操作請求為根節(jié)點��,由上述根節(jié)點發(fā)起的操作請求為子 節(jié)點��、子節(jié)點發(fā)起的請求為孫子節(jié)點的一種系統(tǒng)操作請求追溯結(jié)構(gòu)�����。所述步驟二的某節(jié)點是指在關(guān)聯(lián)結(jié)構(gòu)中與所攔截到的任意一個操作請求其屬性 中的操作請求發(fā)起者相匹配的節(jié)點�。所述步驟二的關(guān)聯(lián)關(guān)系為指攔截到任意一個請求時,首先假設(shè)請求成立��,根據(jù)攔 截到的操作請求屬性�����,在當(dāng)前操作請求的發(fā)起者節(jié)點下虛擬一個子節(jié)點�����,當(dāng)對一個已經(jīng)存 在的節(jié)點調(diào)用時�����,則建立一個虛擬子關(guān)聯(lián),使所有操作請求發(fā)起者與被請求的操作對象進(jìn) 行關(guān)聯(lián)��,得到虛擬關(guān)聯(lián)節(jié)點����。所述步驟二虛擬關(guān)聯(lián)結(jié)構(gòu)為根據(jù)攔截到的當(dāng)前操作請求屬性中的請求發(fā)起者信 息,在請求發(fā)起者節(jié)點下創(chuàng)建虛擬的子節(jié)點���,該虛擬關(guān)聯(lián)節(jié)點與現(xiàn)有的關(guān)聯(lián)結(jié)構(gòu)共同構(gòu)成 虛擬關(guān)聯(lián)結(jié)構(gòu)�����。所述步驟三的根節(jié)點為通過已經(jīng)建立的虛擬關(guān)聯(lián)結(jié)構(gòu)�,從虛擬節(jié)點開始����,回溯當(dāng) 前節(jié)點與上一級節(jié)點的關(guān)聯(lián)關(guān)系����,最終回溯至虛擬節(jié)點的最初發(fā)起者節(jié)點。所述步驟三關(guān)聯(lián)規(guī)則為當(dāng)前操作請求的請求發(fā)起者��、請求操作對象、請求操作類 型�����、根節(jié)點類型�、虛擬關(guān)聯(lián)類型信息。所述步驟四的已定義的危險操作規(guī)則含文件危險操作請求規(guī)則��、內(nèi)存危險操作 請求規(guī)則�、磁盤危險操作請求規(guī)則、配置危險操作請求規(guī)則���、網(wǎng)絡(luò)危險操作請求規(guī)則���。所述步驟四匹配將當(dāng)前操作請求虛擬節(jié)點回溯得到的關(guān)聯(lián)操作規(guī)則與已定義的 危險操作規(guī)則進(jìn)行匹配,判斷當(dāng)前操作請求的操作規(guī)則是否落入危險操作規(guī)則范圍中����。所述步驟五更新關(guān)聯(lián)結(jié)構(gòu)為當(dāng)匹配成功,當(dāng)前操作請求不允許運行�����,并將計算機 操作請求關(guān)聯(lián)結(jié)構(gòu)中虛擬的當(dāng)前節(jié)點刪除,保持原有的關(guān)聯(lián)結(jié)構(gòu)��;當(dāng)匹配不成功���,則允許運 行����,并將計算機操作請求關(guān)聯(lián)結(jié)構(gòu)中當(dāng)前操作請求虛擬節(jié)點改變?yōu)橛行Ч?jié)點�����,更新為新關(guān) 聯(lián)結(jié)構(gòu)�����。與現(xiàn)有技術(shù)相比��,由于采用了本發(fā)明提出的一種建立根據(jù)計算系統(tǒng)操作請求關(guān)聯(lián)關(guān)系判斷計算機操作請求安全性的計算機信息安全防護(hù)方法��,改變了目前分析惡意代碼特 征或分析操作系統(tǒng)和應(yīng)用系統(tǒng)特征的思路�����。本發(fā)明基于系統(tǒng)的任何操作首先都是系統(tǒng)內(nèi)部 的一個請求��,而請求之間都存在著關(guān)聯(lián)關(guān)系�,本發(fā)明在建立關(guān)聯(lián)關(guān)系的基礎(chǔ)上,分析系統(tǒng)操 作請求的特征�,建立了請求之間關(guān)系的非法操作請求規(guī)則,通過分析操作請求的關(guān)聯(lián)關(guān)系 以確定請求的安全性�����。本發(fā)明克服了其它系統(tǒng)需要針對性分析惡意代碼的特征和不同的操 作系統(tǒng)以及不同應(yīng)用系統(tǒng)的特征�����,不需要應(yīng)用者具有相關(guān)的技術(shù)水平��,且本發(fā)明具有事前 防御能力���,并具有防御未知惡意代碼能力����,也就是說已知和未知惡意代碼的操作請求在本 發(fā)明中都被分析和阻止����,能較好地彌補其它安全理論體系和安全產(chǎn)品的不足。
具體實施例方式術(shù)語定義操作請求指計算機應(yīng)用過程中對某一設(shè)備��,如硬件、軟件代碼的進(jìn)行加載����、執(zhí)行、 變動的操作的請求���;應(yīng)用請求是指基于操作系統(tǒng)建立操作環(huán)境的需要或應(yīng)用程序代碼運行的需要而 發(fā)起的請求���;操作請求關(guān)聯(lián)結(jié)構(gòu)當(dāng)計算運行時,計算機系統(tǒng)是由一個個操作請求產(chǎn)生的操作 構(gòu)建其運行狀態(tài)���,操作請求關(guān)聯(lián)結(jié)構(gòu)是指建立由操作請求為節(jié)點的反應(yīng)當(dāng)前時刻計算運行 狀態(tài)的邏輯結(jié)構(gòu)�����;危險操作請求規(guī)則是指操作請求關(guān)聯(lián)結(jié)構(gòu)�,違反了某種操作請求之間的關(guān)聯(lián)關(guān) 系操作請求即被定義為危險操作請求規(guī)則��;下面詳細(xì)說明本發(fā)明的方法其包含以下步驟步驟一���,在計算機運行狀態(tài)下�,對計算機操作系統(tǒng)內(nèi)核或硬件抽象層產(chǎn)生的操作 請求進(jìn)行攔截���。所述攔截為利用操作系統(tǒng)內(nèi)部的文件過濾�����、設(shè)備過濾��、網(wǎng)絡(luò)包過濾的過濾功 能進(jìn)行攔截���。通常在計算機啟動過程中,計算機進(jìn)行加電自檢��、加載微內(nèi)核�、加載內(nèi)核、加載 操作系統(tǒng)部件�����、加載應(yīng)用至此完成操作系統(tǒng)加載�;在應(yīng)用環(huán)境加載后,用戶將根據(jù)需要進(jìn)行 相應(yīng)的操作���。在以上計算機操作系統(tǒng)加載和用戶進(jìn)行應(yīng)用操作過程中�,分別進(jìn)行了硬件操 作����、配置操作��、文件操作���、內(nèi)存操作以及網(wǎng)絡(luò)通信檢測操作。以上的每一個操作在執(zhí)行前�, 都會在操作系統(tǒng)內(nèi)核和硬件抽象層中產(chǎn)生一系列的操作請求,由這些操作請求請求操作相 應(yīng)的設(shè)備��,相應(yīng)的設(shè)備根據(jù)每個操作請求分配資源執(zhí)行相應(yīng)的步驟���。在計算機操作系統(tǒng)如 Windows, Linux�、Unix中����,提供了相應(yīng)的文件過濾、設(shè)備過濾�、網(wǎng)絡(luò)包過濾等過濾功能,能實 現(xiàn)對操作系統(tǒng)內(nèi)核和硬件抽象層發(fā)起的文件操作請求���、配置操作請求�����、內(nèi)存操作請求����、磁盤 操作請求、網(wǎng)絡(luò)操作請求進(jìn)行攔截�����。所述攔截操作請求是指攔截計算機內(nèi)部的文件操作請 求�、配置操作請求���、內(nèi)存操作請求�����、磁盤操作請求�、網(wǎng)絡(luò)操作請求�����。文件操作請求是主要是指 對文件及文件內(nèi)容的讀����、寫����、加載����、修改屬性、執(zhí)行的操作請求��;配置操作請求是指對系統(tǒng)配 置的變量或運行參數(shù)進(jìn)行讀取��、改寫的操作請求�;內(nèi)存操作請求主要是指對內(nèi)存的讀、寫����、 執(zhí)行操作請求;磁盤操作請求主要是指對存儲設(shè)備進(jìn)行的非文件模式的存��、取操作請求���; 網(wǎng)絡(luò)操作請求主要是指通過網(wǎng)絡(luò)發(fā)起的對本地文件����、設(shè)備�����、內(nèi)存等操作請求。步驟二�����,依據(jù)攔截到的操作請求的屬性����,在現(xiàn)有的關(guān)聯(lián)結(jié)構(gòu)已知某節(jié)點下創(chuàng)建虛 擬節(jié)點,建立關(guān)聯(lián)關(guān)系����,構(gòu)成一個虛擬關(guān)聯(lián)結(jié)構(gòu)�。所述的操作請求的屬性為操作者請求發(fā)起者、被請求操作對象以及請求操作類型����。所述現(xiàn)有的關(guān)聯(lián)結(jié)構(gòu)定義為僅由操作系統(tǒng)內(nèi)核、 組件��、服務(wù)發(fā)起的操作請求以及由直接用戶發(fā)起的應(yīng)用系統(tǒng)操作請求為根節(jié)點�,由上述根 節(jié)點發(fā)起的操作請求為子節(jié)點、子節(jié)點發(fā)起的請求為孫子節(jié)點的一種系統(tǒng)操作請求追溯結(jié) 構(gòu)�����。所述步驟二的某節(jié)點是指在關(guān)聯(lián)結(jié)構(gòu)中與所攔截到的任意一個操作請求其屬性中的操 作請求發(fā)起者相匹配的節(jié)點。所述步驟二的創(chuàng)建虛擬節(jié)點是指攔截到任意一個請求時�����,首 先假設(shè)請求成立����,根據(jù)攔截到的操作請求屬性,在當(dāng)前操作請求的發(fā)起者節(jié)點下虛擬一個 子節(jié)點�,當(dāng)對一個已經(jīng)存在的節(jié)點調(diào)用時,則建立一個虛擬子關(guān)聯(lián)�,使所有操作請求發(fā)起者 與被請求的操作對象進(jìn)行關(guān)聯(lián),得到虛擬關(guān)聯(lián)節(jié)點��。所述步驟二的關(guān)聯(lián)關(guān)系是指在操作請 求關(guān)聯(lián)結(jié)構(gòu)中��,以當(dāng)前節(jié)點為基準(zhǔn)����,從當(dāng)前節(jié)點開始,回溯當(dāng)前節(jié)點與上一級節(jié)點的關(guān)聯(lián)�, 直到回溯到當(dāng)前節(jié)點的根節(jié)點所取得的當(dāng)前節(jié)點與上級各節(jié)點的關(guān)聯(lián)屬性。所述步驟二虛 擬關(guān)聯(lián)結(jié)構(gòu)為根據(jù)攔截到的當(dāng)前操作請求屬性中的請求發(fā)起者信息,在請求發(fā)起者節(jié)點下 創(chuàng)建虛擬的子節(jié)點����,該虛擬關(guān)聯(lián)節(jié)點與現(xiàn)有的關(guān)聯(lián)結(jié)構(gòu)共同構(gòu)成虛擬關(guān)聯(lián)結(jié)構(gòu)。因該節(jié)點 還不是一個有效節(jié)點�,即該節(jié)點不能反應(yīng)當(dāng)前計算機的操作狀態(tài),因此這種帶有虛擬節(jié)點 的結(jié)構(gòu)稱為虛擬關(guān)聯(lián)結(jié)構(gòu)�����。通過建立虛擬的關(guān)聯(lián)結(jié)構(gòu)�,是為了建立當(dāng)前的操作請求與已知 的操作請求之間的內(nèi)在聯(lián)系。步驟三���,在虛擬關(guān)聯(lián)結(jié)構(gòu)中回溯虛擬節(jié)點的根節(jié)點�����,取得當(dāng)前操作請求在虛擬關(guān) 聯(lián)結(jié)構(gòu)中的關(guān)聯(lián)規(guī)則。所述步驟三的根節(jié)點為通過已經(jīng)建立的虛擬關(guān)聯(lián)結(jié)構(gòu)�����,從虛擬節(jié)點 開始�,回溯當(dāng)前節(jié)點與上一級節(jié)點的關(guān)聯(lián)關(guān)系,最終回溯至虛擬節(jié)點的最初發(fā)起者。所述步 驟三關(guān)聯(lián)規(guī)則為當(dāng)前操作請求的請求發(fā)起者�����、請求操作對象���、請求操作類型���、根節(jié)點類型、 虛擬關(guān)聯(lián)類型信息��。在虛擬的關(guān)聯(lián)結(jié)構(gòu)中回溯虛擬節(jié)點與各相關(guān)節(jié)點的關(guān)聯(lián)關(guān)系就是為了 準(zhǔn)確地定位當(dāng)前的操作請求是如何引發(fā)和產(chǎn)生的�,在產(chǎn)生當(dāng)前操作的各個步驟都存在什么 的關(guān)聯(lián)特征,直到追溯到當(dāng)前操作的根節(jié)點��,也就是當(dāng)前操作請求是由操作系統(tǒng)應(yīng)用層的 何種應(yīng)用請求引發(fā)�,至此,當(dāng)前節(jié)點與各節(jié)點的關(guān)聯(lián)特征就組成了當(dāng)前操作請求的關(guān)聯(lián)規(guī) 則�。由上可知,操作請求的關(guān)聯(lián)規(guī)則的取得�����,是在反應(yīng)計算機動態(tài)運行狀態(tài)的關(guān)聯(lián)結(jié)構(gòu)中獲 取���,因此是一個動態(tài)過程���,克服了其它安全系統(tǒng)依賴的靜態(tài)的代碼分析和系統(tǒng)功能分析存 在的不足��。步驟四����,依據(jù)回溯取得的關(guān)聯(lián)規(guī)則��,與已定義的危險操作規(guī)則匹配����,確定是否存在 危害。所述步驟四的已定義的危險操作規(guī)則含文件危險操作請求規(guī)則�、內(nèi)存危險操作請 求規(guī)則、磁盤危險操作請求規(guī)則�、配置危險操作請求規(guī)則、網(wǎng)絡(luò)危險操作請求規(guī)則��。所述文 件危險操作請求規(guī)則是指對計算機系內(nèi)的文件及文件內(nèi)容發(fā)起的讀���、寫、加載����、修改屬性����、 執(zhí)行的操作請求過程中��,存在具有安全威脅的關(guān)聯(lián)規(guī)則定義�,例如由普通非安裝類應(yīng)用程 序發(fā)起的可執(zhí)行程序的寫和屬性修改;解釋器類程序通過解釋腳本程序進(jìn)行非可解釋類程 序的讀���、寫操作���。所述內(nèi)存危險操作請求規(guī)則主要是指發(fā)起的對內(nèi)存的讀、寫��、執(zhí)行操作請 求過程中含有安全威脅操作規(guī)則定義����;例如操作非同一內(nèi)存地址空間的請求,向某一內(nèi)存 空間注入代碼等危險操作��。配置危險操作請求規(guī)則是指對系統(tǒng)配置的變量或運行參數(shù)發(fā)起 的讀取���、改寫過程中具有安全威脅的操作規(guī)則�����,例如由應(yīng)用程序?qū)ε渲梦募M(jìn)行修正����、應(yīng)用 程序進(jìn)行配置參數(shù)的修改。網(wǎng)絡(luò)危險操作請求規(guī)則指通過網(wǎng)絡(luò)發(fā)起的對本地文件�、設(shè)備、內(nèi) 存等操作請求中具有安全威脅的操作規(guī)則�����,例如請求進(jìn)行內(nèi)存地址操作����、請求加載新的線 程等危險操作。磁盤操作請求規(guī)則主要是指從網(wǎng)絡(luò)發(fā)起的對存儲設(shè)備進(jìn)行的非文件模式的存���、取操作請求中具有威脅的操作規(guī)則��,例如請求非文件系統(tǒng)操作模式操作磁盤�,請求指定 存儲塊操作等危險操作�。當(dāng)前計算機系統(tǒng)安全威脅從攻擊方向上來說,可以分為外部入侵 和內(nèi)部控制�����,這些攻擊的完成主要是依賴系統(tǒng)漏洞對系統(tǒng)功能非法調(diào)用��、植入惡意代碼���。事 實上����,分析系統(tǒng)漏洞和找出所有的未代碼是不可能的�。本步驟定義這些規(guī)則是為了避免進(jìn) 行惡意代碼分析和進(jìn)行系統(tǒng)功能定義,所有的危害實現(xiàn)�,都是要利用已有的計算機系統(tǒng)環(huán) 境,改變操作請求的某些關(guān)聯(lián)�,加入攻擊者需要的請求,面這些請求的加入都是利用操作系 統(tǒng)的內(nèi)核和硬件設(shè)備層實現(xiàn)����。傳統(tǒng)和代碼分析、行為分析幾乎難以阻止大量的危害發(fā)生��。因 為最初的安全威脅就是因為操作請求發(fā)生了關(guān)聯(lián)規(guī)則的改變��,本發(fā)明通過對操作請求關(guān)聯(lián) 進(jìn)行規(guī)則定義�,使安全威脅難以形成��,同時也具有了危害預(yù)防能力和防范未知惡意代碼能 力�����。所述匹配將當(dāng)前操作請求虛擬節(jié)點回溯得到的關(guān)聯(lián)操作規(guī)則與已定義的危險操作規(guī)則 進(jìn)行匹配�,判斷當(dāng)前操作請求的操作規(guī)則是否落入危險操作規(guī)則范圍中����。當(dāng)取得當(dāng)前操作 請求的操作關(guān)聯(lián)規(guī)則后,與已定義的相應(yīng)的如文件�����、內(nèi)存��、配置�����、存儲設(shè)備���、網(wǎng)絡(luò)危險操作請 求規(guī)則匹配�,以確定當(dāng)前的操作請求是否具有危險性。步驟五����,依據(jù)與危險操作規(guī)則匹配結(jié)果決定當(dāng)前操作是否允許執(zhí)行,并更新關(guān)聯(lián) 結(jié)構(gòu)����。所述步驟五更關(guān)聯(lián)結(jié)構(gòu)為操作請求規(guī)則匹配成功阻止當(dāng)前操作請求執(zhí)行�����,并將計算 機操作請求關(guān)聯(lián)結(jié)構(gòu)中虛擬的當(dāng)前節(jié)點刪除��,保持原有的關(guān)聯(lián)結(jié)構(gòu)��;當(dāng)操作請求規(guī)則匹配 不成功則允許當(dāng)前操作執(zhí)行�����,并將計算機操作請求虛擬關(guān)聯(lián)結(jié)構(gòu)中當(dāng)前操作請求的虛擬 節(jié)點改變更為有效節(jié)點�,形成新的關(guān)聯(lián)結(jié)構(gòu)。本步驟根據(jù)匹配結(jié)果�,對當(dāng)前的操作請求進(jìn)行 放行和阻止處理,完成了對操作請求的有效攔截�����,同時更新計算機操作請求的關(guān)聯(lián)結(jié)構(gòu),使 計算機操作請求關(guān)聯(lián)結(jié)構(gòu)始終能準(zhǔn)確反應(yīng)計算機的當(dāng)前運行狀態(tài)�����,為后續(xù)虛擬節(jié)點提供結(jié) 構(gòu)���。下面例舉實施例進(jìn)一步說明例1 假設(shè)某Office文檔帶有惡意腳代碼����,該腳本代碼可感染可執(zhí)行程序����,阻止邏 輯如下當(dāng)操作系統(tǒng)的內(nèi)核攔截到一個對可執(zhí)行文件內(nèi)容的寫操作請求時,根據(jù)操作請求 屬性中的請求發(fā)起者屬性項可知��,該請求是由VBA腳本引擎所發(fā)出�����,為了找到當(dāng)前操作請 求的關(guān)聯(lián)關(guān)系��,在已知的計算機操作請求的關(guān)聯(lián)結(jié)構(gòu)的VBA腳本引擎節(jié)點下創(chuàng)建當(dāng)前操作 的虛擬節(jié)點����,并回溯當(dāng)前操作的關(guān)聯(lián)關(guān)系�,回溯最終結(jié)果發(fā)現(xiàn)是打開某個Office文檔這個 請求引發(fā)了當(dāng)前的操作請求��,取當(dāng)前的操作規(guī)則���,Office是普通應(yīng)用程序����、由用戶觸發(fā)請 求�����、Off ice請求VBA腳引擎是正常調(diào)用��,當(dāng)前操作對是PE文件�����,操作類型是寫操作����,匹配到 是普通非安裝類應(yīng)用程序進(jìn)行可執(zhí)行文件內(nèi)容的寫操作規(guī)則��;結(jié)果是危險動作阻止此 操作請求,刪除計算機操作請求結(jié)構(gòu)中的虛擬節(jié)點����。例2.假設(shè)系統(tǒng)允許黑客程序運行,黑客通過硬地址直接調(diào)用某個系統(tǒng)的操作當(dāng)攔截到一個對內(nèi)存的操作請求空間硬地址操作請求�,根據(jù)操作請求屬性,構(gòu)建 虛擬節(jié)點�����,確定為操作系統(tǒng)內(nèi)核發(fā)起請求�,回溯其關(guān)聯(lián)關(guān)系,發(fā)現(xiàn)內(nèi)核的內(nèi)存硬地址操作被 應(yīng)用程序調(diào)用����;將當(dāng)前內(nèi)存操作請求的請求關(guān)聯(lián)規(guī)則與已經(jīng)定義的內(nèi)存危險操作請求關(guān)聯(lián) 規(guī)則進(jìn)行匹配,匹配成功1.未進(jìn)行內(nèi)存請求調(diào)用的操作是危險操作���;2.遠(yuǎn)程對內(nèi)存進(jìn)行 硬地址操作危險���;結(jié)果危險操作請求。阻止內(nèi)存操作�����,刪除計算機操作請求結(jié)構(gòu)中的虛擬 節(jié)點。
8
權(quán)利要求
一種建立根據(jù)計算系統(tǒng)操作請求關(guān)聯(lián)關(guān)系判斷計算機操作請求安全性的計算機信息安全防護(hù)方法��,其特征是在于包括以下步驟步驟一�����,在計算運行狀態(tài)下��,對操作系統(tǒng)內(nèi)核或硬件抽象層產(chǎn)生的操作請求進(jìn)行攔截�;步驟二,依據(jù)攔截到的操作請求的屬性�����,在現(xiàn)有的關(guān)聯(lián)結(jié)構(gòu)已知某節(jié)點下創(chuàng)建虛擬節(jié)點����,建立關(guān)聯(lián)關(guān)系�,形成一個虛擬關(guān)聯(lián)結(jié)構(gòu);步驟三����,在虛擬關(guān)聯(lián)結(jié)構(gòu)中回溯虛擬節(jié)點的根節(jié)點,取得當(dāng)前操作請求在虛擬關(guān)聯(lián)結(jié)構(gòu)中的關(guān)聯(lián)規(guī)則�;步驟四�,依據(jù)回溯取得的關(guān)聯(lián)規(guī)則���,與已定義的危險操作規(guī)則匹配��,確定是否存在危害�����;步驟五�,依據(jù)與危險操作規(guī)則匹配結(jié)果決定當(dāng)前操作是否允許執(zhí)行�,并更新關(guān)聯(lián)結(jié)構(gòu)。
2.根據(jù)權(quán)利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關(guān)聯(lián)關(guān)系判斷計算機操作請求 安全性的計算機信息安全防護(hù)方法����,其特征是所述步驟一攔截為利用操作系統(tǒng)內(nèi)部的文件 過濾、設(shè)備過濾���、網(wǎng)絡(luò)包過濾的過濾功能進(jìn)行攔截�。
3.根據(jù)權(quán)利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關(guān)聯(lián)關(guān)系判斷計算機操作請求 安全性的計算機信息安全防護(hù)方法��,其特征是所述步驟一攔截操作請求是指攔截計算機內(nèi) 部的文件操作請求����、配置操作請求�����、內(nèi)存操作請求���、磁盤操作請求、網(wǎng)絡(luò)操作請求��。
4.根據(jù)權(quán)利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關(guān)聯(lián)關(guān)系判斷計算機操作請求 安全性的計算機信息安全防護(hù)方法�����,其特征是所述步驟二的操作請求的屬性為操作者請求 發(fā)起者�����、被請求操作對象以及請求操作類型��。
5.根據(jù)權(quán)利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關(guān)聯(lián)關(guān)系判斷計算機操作請求 安全性的計算機信息安全防護(hù)方法�,其特征是所述步驟二現(xiàn)有的關(guān)聯(lián)結(jié)構(gòu)定義為僅由操作 系統(tǒng)內(nèi)核�����、組件�����、服務(wù)發(fā)起的操作請求以及由直接用戶發(fā)起的應(yīng)用系統(tǒng)操作請求為根節(jié)點, 由上述根節(jié)點發(fā)起的操作請求為子節(jié)點�、子節(jié)點發(fā)起的請求為孫子節(jié)點的一種系統(tǒng)操作請 求追溯結(jié)構(gòu)。
6.根據(jù)權(quán)利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關(guān)聯(lián)關(guān)系判斷計算機操作請求 安全性的計算機信息安全防護(hù)方法���,其特征是所述步驟二的某節(jié)點是指在關(guān)聯(lián)結(jié)構(gòu)中與所 攔截到的任意一個操作請求其屬性中的操作請求發(fā)起者相匹配的節(jié)點��。
7.根據(jù)權(quán)利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關(guān)聯(lián)關(guān)系判斷計算機操作請求 安全性的計算機信息安全防護(hù)方法����,其特征是所述步驟二的關(guān)聯(lián)關(guān)系為指攔截到任意一個 請求時�,首先假設(shè)請求成立,根據(jù)攔截到的操作請求屬性�����,在當(dāng)前操作請求的發(fā)起者節(jié)點下 虛擬一個子節(jié)點����,當(dāng)對一個已經(jīng)存在的節(jié)點調(diào)用時,則建立一個虛擬子關(guān)聯(lián)�,使所有操作請 求發(fā)起者與被請求的操作對象進(jìn)行關(guān)聯(lián),得到虛擬關(guān)聯(lián)節(jié)點��。
8.根據(jù)權(quán)利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關(guān)聯(lián)關(guān)系判斷計算機操作請求 安全性的計算機信息安全防護(hù)方法,其特征是所述步驟二虛擬關(guān)聯(lián)結(jié)構(gòu)為根據(jù)攔截到的當(dāng) 前操作請求屬性中的請求發(fā)起者信息��,在請求發(fā)起者節(jié)點下創(chuàng)建虛擬的子節(jié)點��,該虛擬關(guān) 聯(lián)節(jié)點與現(xiàn)有的關(guān)聯(lián)結(jié)構(gòu)共同構(gòu)成虛擬關(guān)聯(lián)結(jié)構(gòu)��。
9.根據(jù)權(quán)利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關(guān)聯(lián)關(guān)系判斷計算機操作請求 安全性的計算機信息安全防護(hù)方法����,其特征是所述步驟三的根節(jié)點為通過已經(jīng)建立的虛擬關(guān)聯(lián)結(jié)構(gòu),從虛擬節(jié)點開始���,回溯當(dāng)前節(jié)點與上一級節(jié)點的關(guān)聯(lián)關(guān)系����,最終回溯至虛擬節(jié)點 的最初發(fā)起者節(jié)點����。
10.根據(jù)權(quán)利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關(guān)聯(lián)關(guān)系判斷計算機操作請求 安全性的計算機信息安全防護(hù)方法,其特征是所述步驟三關(guān)聯(lián)規(guī)則為當(dāng)前操作請求的請求 發(fā)起者�����、請求操作對象�、請求操作類型、根節(jié)點類型����、虛擬關(guān)聯(lián)類型信息。
11.根據(jù)權(quán)利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關(guān)聯(lián)關(guān)系判斷計算機操作請求 安全性的計算機信息安全防護(hù)方法��,其特征是所述步驟四的已定義的危險操作規(guī)則含文 件危險操作請求規(guī)則��、內(nèi)存危險操作請求規(guī)則��、磁盤危險操作請求規(guī)則��、配置危險操作請求 規(guī)則�����、網(wǎng)絡(luò)危險操作請求規(guī)則���。
12.根據(jù)權(quán)利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關(guān)聯(lián)關(guān)系判斷計算機操作請求 安全性的計算機信息安全防護(hù)方法��,其特征是所述步驟四匹配將當(dāng)前操作請求虛擬節(jié)點回 溯得到的關(guān)聯(lián)操作規(guī)則與已定義的危險操作規(guī)則進(jìn)行匹配�����,判斷當(dāng)前操作請求的操作規(guī)則 是否落入危險操作規(guī)則范圍中��。
13.根據(jù)權(quán)利要求1所述的建立根據(jù)計算系統(tǒng)操作請求關(guān)聯(lián)關(guān)系判斷計算機操作請求 安全性的計算機信息安全防護(hù)方法�,其特征是所述步驟五更新關(guān)聯(lián)結(jié)構(gòu)為當(dāng)匹配成功,當(dāng) 前請求不允許運行�����,并將計算機操作請求關(guān)聯(lián)結(jié)構(gòu)中虛擬的當(dāng)前節(jié)點刪除��,保持原有的關(guān) 聯(lián)結(jié)構(gòu)����;當(dāng)匹配不成功,則允許運行�,并將計算機操作請求關(guān)聯(lián)結(jié)構(gòu)中當(dāng)前操作請求虛擬節(jié) 點改變?yōu)橛行Ч?jié)點,更新為新關(guān)聯(lián)結(jié)構(gòu)�。
全文摘要
本發(fā)明涉及一種建立根據(jù)計算系統(tǒng)操作請求關(guān)聯(lián)關(guān)系判斷計算機操作請求安全性的計算機信息安全防護(hù)方法。包含以下步驟在計算運行狀態(tài)下����,對計算機操作系統(tǒng)內(nèi)核或硬件抽象層產(chǎn)生的操作請求進(jìn)行攔截;依據(jù)攔截到的操作請求的屬性���,在現(xiàn)有的關(guān)聯(lián)結(jié)構(gòu)已知某節(jié)點下創(chuàng)建虛擬節(jié)點�,建立關(guān)聯(lián)關(guān)系,構(gòu)成一個虛擬關(guān)聯(lián)結(jié)構(gòu)�����;在虛擬關(guān)聯(lián)結(jié)構(gòu)中回溯虛擬節(jié)點的根節(jié)點����,取得當(dāng)前操作請求在虛擬關(guān)聯(lián)結(jié)構(gòu)中的關(guān)聯(lián)規(guī)則���;依據(jù)回溯取得的關(guān)聯(lián)規(guī)則����,與已定義的危險操作規(guī)則匹配�����,確定是否存在危害��;依據(jù)與危險操作規(guī)則匹配結(jié)果決定當(dāng)前操作是否允許執(zhí)行��,并更新關(guān)聯(lián)結(jié)構(gòu)���。本發(fā)明克服了其它系統(tǒng)需要針對性分析惡意代碼的特征和不同的操作系統(tǒng)以及不同應(yīng)用系統(tǒng)的特征���,具有事前防御未知惡意代碼能力���。
文檔編號G06F21/02GK101872400SQ20091004994
公開日2010年10月27日 申請日期2009年4月24日 優(yōu)先權(quán)日2009年4月24日
發(fā)明者曲立東, 汪家祥 申請人:汪家祥;曲立東