基于三环体系的安全防护系统的制作方法

文档序号:6483033阅读:243来源:国知局
专利名称:基于三环体系的安全防护系统的制作方法
技术领域
本发明属于计算机应用系统安全领域,尤其涉及一种基于三环体系的安全防护系 统。
背景技术
目前,很多安全厂商在推出新产品时,总是强调该产品具有“主动防御”技术,可以 防御未知病毒、未知威胁、ZeroDay攻击等。一般意义上的“主动防御”,就是全程监视进程 的行为,一但发现“违规”行为,就通知用户,或者直接终止进程。它类似于警察判断潜在罪 犯的技术,在成为一个罪犯之前,大多数的人都有一些异常行为,比如“性格孤僻,有暴力倾 向,自私自利,对现实不满”等先兆,但是并不是说有这些先兆的人就都会发展为罪犯,或者 罪犯都有这些先兆。因此一般意义上的“主动防御”并不能100%发现病毒或者攻击。

发明内容
本发明要解决的技术问题是提供一种基于三环体系的安全防护系统,能够有效地 阻止病毒、木马或恶意脚本对系统所进行的有害行为。为解决上述技术问题,本发明一种基于三环体系的安全防护系统,包括控制逻辑层,用于包括配置进程、数据的控制逻辑;决策管理层,用于对控制逻辑层的控制逻辑进行管理,并对可疑行为进行决策;功能引擎层,根据决策管理层的策略执行相应的操作。在所述控制逻辑层中,所述配置进程、数据包括根据行为的三元素——行为的产 生者、行为的接收者和资源数据分别对应配置如下策略模块进程控制,进程保护和数据保 护。所述进程控制用于监控行为的产生者的所有可疑行为,防止对其他进程或系统进 行不良操作,也防止对资源数据进行破坏或者恶意占用;所述进程保护用于对来自外部的 可疑行为进行严格的控制;所述数据保护用于对一些敏感的、重要的数据进行保护。所述进程保护中的外部可疑行为主要包含执行进程、全局钩子、创建远程线程、远 程插入APC、读取远程进程地址空间、写入远程进程地址空间、挂起进程、挂起线程、结束远 程进程、安装驱动、设置自启动、感染可执行文件(包括EXE/DLL/SYS)、释放可执行文件。所述数据保护中一些敏感的、重要的数据包括系统文件、模块、注册表的关键资源 数据,所述数据保护包括目录管理、模块管理、注册表管理。所述控制逻辑层的具体控制逻辑过程为行为产生者首先产生行为,若该行为存 在目标进程,则需要经过进程保护策略的审核;若该行为需要操作资源数据,则需要经过数 据保护策略的审核;最后该行为还需要经过进程控制策略的审核。当该行为通过进程保护、 数据保护、进程控制三项策略审核之后,才被允许继续执行。若该行为无法通过这三项策略 的审核,就意味着属于有害行为,那么该行为就会被禁止。本发明的有益效果在于本发明对主动防御的理论基础进行拓展,从而能有效地阻止病毒、木马或恶意脚本对系统所进行的有害行为。


图1是本发明基于三环体系的安全防护系统中行为三元素的示意图;图2是本发明基于三环体系的安全防护系统的执行逻辑图;
图3是本发明中控制逻辑层的执行逻辑示意图;图4是本发明基于三环体系的安全防护系统的示意图;图5是本发明实施例中模式1的示意图;图6是本发明实施例中模式2的示意图;图7是本发明实施例中模式3的示意图;图8是本发明实施例中模式4的示意图。
具体实施例方式本发明提供一种基于三环体系的安全防护系统,属于应用与系统安全防御领域, 对主动防御的理论基础进行拓展,从而有效地阻止病毒、木马或恶意脚本对系统所进行的 有害行为。无论是病毒、木马或是恶意脚本,在执行恶意行为时,在系统中是有迹可寻的。在 基于三环体系的安全防护系统中根据“行为”这个词的含义,抽离出三个元素(1)行为的产生者行为的起点,病毒、木马要作恶总会产生行为。(2)行为的接收者不管是主动接收还是被动接受,总归是承载了行为。(3)资源数据当执行某行为时总会涉及到一些数据资源。对于Windows平台操作系统来说,能够独立区分行为产生者和接受者的概念只有 一个“进程”,因为其拥有独立的内存地址控制,因而“三环体系”把进程作为行为的载体。如图1所示进程A是行为的产生者,进程B是行为的接收者。根据行为的三元 素,基于三环体系的安全防护系统对三者进行严格的监控(1)进程控制监控行为产生者的所有可疑行为,防止对其他进程或系统进行不 良操作,也防止对资源数据进行破坏或者恶意占用。(2)进程保护对于来自于外部的可疑行为进行严格的控制,例如防止模块注入、 远程读写、远程的异步过程调用等。(3)数据保护对于一些敏感的、重要的数据进行保护,例如系统文件、注册表等 关键的资源数据。一个完整有效的主动防御系统,必须要对以上三元素进行监控。在本发明基于三环体系的安全防护系统中,对于每个可疑行为需要监控行为产生 者、行为接收者、数据这三个元素,然后根据一系列的逻辑判断决定是否允许该行为的执 行。图2是本发明基于三环体系的安全防护系统的执行逻辑图。当应用程序产生行为时, 被HOOK引擎捕获,经过控制逻辑层及相关一系列的逻辑判断(经过控制逻辑层后提醒用 户,如是则直接通知用户,如否,则根据用户决策来决定允许或禁止本次行为,然后保存决 策至HOOK引擎或决策管理层;决策管理层对控制逻辑层进行控制逻辑,并对可疑行为进行 决策),最终HOOK引擎把决策结果返回给应用程序。
本发明基于三环体系的安全防护系统中的监控功能是通过在系统内核驱动层的 接口拦截技术实现的,因而在图2中就直接以HOOK引擎表示对行为和数据的监控。当HOOK引擎捕获到某行为时,需要对行为的产生者、接收者、数据三元素进行逻 辑控制。行为的决策逻辑如图3所示行为产生者(进程A)首先产生行为,若该行为存在 目标进程,则需要经过进程保护策略的审核;若该行为需要操作资源数据,则需要经过数据 保护策略的审核;最后该行为还需要经过进程控制策略的审核。当该行为通过进程保护、数 据保护、进程控制三项策略审核之后,才被允许继续执行。若该行为无法通过这三项策略的 审核,就意味着属于有害行为,那么该行为就会被禁止。这种决策逻辑的优势在于,既有进程分等级的权限限制,又使得每一个进程都不 可能取得所有权限。因为即便把进程权限设置为最高,还是受到“数据保护”策略的限制。 但并不是所有行为都包含这三个元素,例如感染文件,只涉及到数据即文件,因而也就没有 必要进行进程保护策略的审核。在设计“三环体系”时,可以采用三层架构,把复杂的控制逻辑从底层抽出来,最大 程度上确保底层的独立性。便于后期的维护与功能扩展。如图4所示,“三环体系”的三层 架构包括控制逻辑层(即应用层),用于配置进程、文件目录、注册表等控制逻辑;决策管理层(即内核层),用于对应用层的控制逻辑进行管理,并对可疑行为进行 决策;功能引擎层(即实现层)根据决策管理层的策略执行相应的操作。根据“三环体系”的三元素来看,只需要三个决策体便可实现整个系统。然而“数 据”包含很多方面,例如文件、模块、注册表等,还有一些如内存、磁盘等。这里的数据是指静 态的,本身不具备可执行性的。然而病毒在进行恶意行为时总会设计到一些数据,例如病毒 要删除所有文件,可以从两个方面进行保护,一是“行为产生者”角度禁止病毒执行“删除” 这个行为,二是从“数据”角度禁止病毒删除“文件”。为便于下文中详细介绍本发明,这里假定“数据”为三方面即注册表、文件、模块, 举如下实施例。因而从整体来看,就有了 5个决策体(1)进程控制对进程的行为进行控制。(2)进程保护屏蔽对受保护程序的恶意行为。(3)目录管理监控指定目录下文件操作,包括创建/删除/改写/执行/加载。(4)注册表管理监控注册表项操作。(5)模块管理监控模块的加载与执行。通过对13个可疑行为的分析,大致可分为4种行为决策模式。模式1 目录管理+进程控制(见图5)适用行为创建进程、修改可执行文件、释放可执行文件。
模式2 目录管理+模块管理+进程控制(见图6)适用行为全局钩子(Η00Κ,指利用API (应用程序编程接口 )来提前拦截并处理 windows消息的一种技术。如键盘钩子,许多木马都有键盘钩子,监视你的键盘操作)。模式3 进程保护+进程控制(见图7)适用行为创建远程线程、远程插入APC、读取远程进程地址空间、写入远程进程地址空间、挂起远程进程、挂起远程线程、结束远程进程。模式4:进程控制(见图8)
适用行为·.安装驱动、设置自启动。
权利要求
一种基于三环体系的安全防护系统,其特征在于,包括控制逻辑层,用于包括配置进程、数据的控制逻辑;决策管理层,用于对控制逻辑层的控制逻辑进行管理,并对可疑行为进行决策;功能引擎层,根据决策管理层的策略执行相应的操作。
2.如权利要求1所述的基于三环体系的安全防护系统,其特征在于,在所述控制逻辑 层中,所述配置进程、数据包括根据行为的三元素——行为的产生者、行为的接收者和资源 数据分别对应配置如下策略模块进程控制,进程保护和数据保护。
3.如权利要求2所述的基于三环体系的安全防护系统,其特征在于,所述进程控制用 于监控行为的产生者的所有可疑行为,防止对其他进程或系统进行不良操作,也防止对资 源数据进行破坏或者恶意占用;所述进程保护用于对来自外部的可疑行为进行严格的控 制;所述数据保护用于对一些敏感的、重要的数据进行保护。
4.如权利要求3所述的基于三环体系的安全防护系统,其特征在于,所述进程保护中 的外部可疑行为主要包含执行进程、全局钩子、创建远程线程、远程插入APC、读取远程进程 地址空间、写入远程进程地址空间、挂起进程、挂起线程、结束远程进程、安装驱动、设置自 启动、感染可执行文件、释放可执行文件。
5.如权利要求3所述的基于三环体系的安全防护系统,其特征在于,所述数据保护中 一些敏感的、重要的数据包括系统文件、模块、注册表的关键资源数据,所述数据保护包括 目录管理、模块管理、注册表管理。
6.如权利要求2所述的基于三环体系的安全防护系统,其特征在于,所述控制逻辑层 的具体控制逻辑过程为行为产生者首先产生行为,若该行为存在目标进程,则需要经过进 程保护策略的审核;若该行为需要操作资源数据,则需要经过数据保护策略的审核;最后 该行为还需要经过进程控制策略的审核;当该行为通过进程保护、数据保护、进程控制三项 策略审核之后,才被允许继续执行;若该行为无法通过这三项策略的审核,就意味着属于有 害行为,那么该行为就会被禁止。
全文摘要
本发明公开了一种基于三环体系的安全防护系统,包括控制逻辑层,用于包括配置进程、数据的控制逻辑;决策管理层,用于对控制逻辑层的控制逻辑进行管理,并对可疑行为进行决策;功能引擎层根据决策管理层的策略执行相应的操作。本发明能够有效地阻止病毒、木马或恶意脚本对系统所进行的有害行为。
文档编号G06F21/22GK101872391SQ20091005710
公开日2010年10月27日 申请日期2009年4月23日 优先权日2009年4月23日
发明者张静盛 申请人:盛大计算机(上海)有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1