专利名称:通过进程和系统轨迹分析阻断计算机病毒方法
技术领域:
本发明涉及一种检测、分析和阻断计算机病毒的技术,特别是一种检测和分析未知计算机病毒的方法,以及采用这种发明的计算机系统。
背景技术:
传统的个人安全软件产品分两类杀毒软件和个人防火墙。杀毒软件主要防范和清除客户机器硬盘上的病毒、木马、蠕虫文件和被感染的系统设置,恢复原始无毒状态;个人防火墙主要通过设置IP包过滤规则,过滤和阻断网络上某些IP、端口的数据包,在IP层实现了一个用户可配置的过滤开关。
但是,这种传统的设计思路认为安全的威胁主要来自文件,故以文件为杀毒的对象,其局限有两点一是针对具体的病毒来查杀的,它识别病毒的前提是先“认识”病毒,具体方式是静态扫描和虚拟执行,二是它将病毒查杀和防火墙割裂开来,只是着眼于单一的具体病毒,没有对当前的网络状态和系统状态进行全局的分析和使用。这就使得病毒查杀总是滞后于病毒的出现,必须以用户受到病毒攻击为代价。
针对上述目前个人安全软件中存在的问题,本发明实现了一种针对进程变化轨迹分析病毒的安全技术,它通过对进程的行为监控、行为轨迹日志、系统轨迹日志和进程行为知识库的设立,实现了一种自动分析和阻断各种已知、未知病毒、蠕虫、木马攻击的功能,并可根据日志进行攻击分析和系统还原。
发明内容
本发明基于以下观点1.安全防范的对象是进程而不是文件;
2.计算机病毒(如木马、蠕虫)识别的技术是进行进程行为识别和进程轨迹分析而不是文件扫描和虚拟执行;3.计算机病毒(如木马、蠕虫)的清除技术是根据进程轨迹和系统轨迹进行智能恢复而不是对染毒文件的“手术”式修改;4.系统状态和网络状态统一考虑,不再割裂成两块。
基于上述观点,本发明的技术设计如下1.定义并监控进程的行为;进程的行为包括①外在行为(有无程序文件,有无界面);②网络行为(监听、收发邮件,收发数据);③系统行为(3环跳到0环,hook行为,修改boot和mainboot,修改PE文件,写文件,改写系统敏感位置)。
进程的行为监控包括;①进程的身份识别(“认出”改进程的身份和来历);②进程的启动、停止,网络动作,系统动作的监控;③进程的“轨迹”描述,以日志方式记录进程的活动轨迹,如何时启动,被谁加载,何时发送过邮件,何时开启过端口,何时写过文件,什么文件,何时启动过什么系统服务,内核模块等。
2.将程序的行为进行分析,判断是否存在“违规”行为。“违规行为”是一些预定义的“危险行为”规则,符合任意一条便是“违规”,根据危险程度的强弱决定是否立即报警或阻断。
当系统监测到受控行为(如发送邮件,写文件、加载服务等)发生时,跟踪发生该动作的进程,再进行进程身份识别,进程行为规则验证,根据规则决定进行阻断或报警,并记入日志。
3.根据进程轨迹和系统轨迹进行日志分析和还原,以便实现对非法进程的破坏分析和恢复。因为对系统的文件、注册表、服务、内核模块等数据的变化过程进行了记录(系统轨迹变化),所以可以根据这些记录进行分析和恢复。并可以进一步进行综合日志分析得出结论,演示客户机器的受害过程,进行修复和还原。
具体实现方式1.监控并记录进程的启动、停止,文件的增加删除,邮件的收发,系统服务的增加/减少、内核模块的增加和减少,系统配置信息的更新等事件,每一个事件计一条记录,包括事件的发生时间、发生事件的PID,这样描述一个完整的进程行为轨迹和系统变化轨迹,供后继分析和恢复还原。
2.监控若干危险行为,如3环跳到0环,启动网络服务、修改PE文件、修改系统的启动项等。当发生这些动作时,检查该动作的执行进程,通过分析该进程的行为决定是否阻断运行、报警、记入黑名单等。
3.在合理的时候(开机、关机、特定危险行为发生、客户设置的指定时间等)自动根据日志进行分析,并根据分析结果进行告警和还原。
产品共分为4个部分日志系统、预警系统、分析系统、还原系统。
1.日志系统包括日志“探针”的设置和日志数据库系统的实现日志探针的设置进程的启动、停止日志(进程何时启动、结束、PID、启动者(父进程)、启动方式(手动、自动);文件的变更历史(创建、改写、换名、删除、移动,设为共享);系统的服务变更日志(启动项、系统时间、系统服务的变更日志、boot和mainboot);邮件收发日志(本机所有的邮件收发,包括所有进程的邮件。应记录进程PID,邮件的收发地址、主题、内容和附件(可选));系统变更日志启动项、Shell变更历史(关联的变化记录,谁干的,启动的变化)可以在每次开关机时进行一次检查,比较原有配置(保留原有配置是为了恢复),不必设置“探针”以减轻系统的负担。
2.预警系统包括两个部分①对预警规则的定义包括违规动作的违规等级值设定以及违规行为的处理方式杀死进程、阻断执行、报警、记入黑名单。
②在系统的必要地方设置“探针”,以监控需要预警的违规动作。
探针的设置包括以下几个方面3环跳到0环在堆栈中执行代码写PE文件在文件日志中实现写注册表的敏感位置(如run,runonce,runservice,shell键)
发送邮件修改boot区和mainboot区shell敏感配置的变更3.分析系统在下列情况下进行分析异常行为发生时,开机、关机,重启机器时和客户自行设定的时间到达时。
首先分析有无异常行为发生,再根据导致异常行为发生的肇事者(pid),追查前一级的肇事者(pid),逐次递推,找出第一肇事者;再从第一肇事者开始,查找所有的肇事结果(生成的文件,修改的系统变量,环境变量等等),进而恢复(删除其生成物)。
4.还原系统包括三项文件还原对被修改的文件,删除其生成物;系统还原根据系统被改动的纪录,恢复系统原貌。删除其生成物;生成还原日志。
权利要求
1.一种计算机安全软件产品,它包括四个方面日志系统,负责完成记录进程的行为和结果,以及操作系统的变更;预警系统,预先设置的预警条件,监控进程特定的动作,当这些动作发生时,对该动作的执行者进行“行为验证”,并根据验证结果和预先设置进行预警、阻断、或者记入黑名单等操作;分析系统,根据日志进行综合分析,以便识别有无安全事故发生,追查特定动作的来源,为恢复操作系统提供恢复依据;还原系统,对业已造成的破坏进行智能恢复,主要是根据分析系统提供的分析结论(事故轨迹)进行有害文件的清除,系统设置的恢复,包括启动项的清理,服务项的清理,内核模块的加载。
2.如权利要求1所述的计算机安全软件产品,其中所述系统指包括WINDOWS95,WINDOWS98,WINDOWS ME的WINDOWS操作系统,以及包括WINDOWS NT,WINDOWS 2000,WINDOWSXP的WINDOWS NT操作系统。
3.如权利要求1所述的计算机安全软件产品,其中所述日志系统包括文件系统日志、系统配置的变化日志、进程日志、本机邮件发送日志、内核模块的变化日志、网络行为日志、Shell变更历史等。通过这些日志记录可以完整地反映病毒、木马、蠕虫的活动轨迹,为后继的预警、分析和还原做好准备。
4.如权利要求1所述的计算机安全软件产品,其中所述预警系统包括3环跳到0环;在堆栈中执行代码;写PE文件;写注册表的敏感位置(如run,runonce,runservice,shell键);向管理者发送预警邮件;修改boot区和mainboot区;WriteProcessMemory来向每个进程映射Kernel32.dll的地址写入病毒代码,实现病毒的驻留;拦截特定进程的api调用;网络层的动作;shell敏感配置的变更。
全文摘要
本发明设计了一种新的计算机安全软件产品。通过对进程的行为监控、行为轨迹日志设立和分析、系统轨迹日志设立和分析,实现了一种自动分析和阻断各种已知、未知病毒、蠕虫、木马攻击的功能,并可根据日志进行攻击分析和系统还原。它包括日志系统,负责完成记录进程的行为和结果;预警系统,监控特定的动作,对动作的执行者进行“行为验证”,并根据验证结果和预先设置进行预警、阻断、或者记入黑名单等操作;分析系统,根据日志进行综合分析,以便识别有无安全事故发生,为恢复系统提供恢复依据;还原系统,对业已造成的破坏进行智能恢复,主要是根据分析系统提供的分析结论(事故轨迹)进行有害文件的清除,系统设置的恢复。
文档编号G06F1/00GK1707383SQ20041001328
公开日2005年12月14日 申请日期2004年6月10日 优先权日2004年6月10日
发明者陈朝晖 申请人:陈朝晖