专利名称:一种实现操作系统平台安全的方法及装置的制作方法
技术领域:
本发明涉及一种实现操作系统平台安全的方法及装置,属于系统平台安全技术领 域。
背景技术:
操作系统是硬件与其他应用软件之间的桥梁,它所提供的主要安全服务有内存 保护、文件保护、普通实体保护(对实体的一般存取控制)、存取鉴别(用户身份鉴别)等。 然而操作系统本身的这些安全措施是相当薄弱的,应对现在变化对端的病毒、木马、恶意程 序方面有些无能为力,所以在平台安全保护方面平台提供商需要从多个方面提供一个安全 稳定的系统平台。传统的平台保护方法基本上是对系统稳定性方面考虑忽略了在系统平台之上的 应用层以及系统本身底层方面。现有的平台保护的技术主要体现在杀毒软件,在平台上安 装杀毒软件后可以对已知的病毒、木马、恶意程序进行阻挡,但平台保护的前提是必须要在 杀毒软件的病毒库中存储病毒、木马以及恶意程序,对于新出现的病毒、木马以及恶意程序 则无法界定的,这样的平台保护方法无法提供一个安全可靠的操作系统平台。因此,在现有的操作系统平台安全技术中,存在需要实时对杀毒软件的病毒库更 新,若不进行更新则无法识别新出现的病毒、木马以及恶意程序的问题。
发明内容
本发明提出了一种实现操作系统平台安全的方法及装置,以解决在现有的操作系 统平台安全技术中,存在需要实时对杀毒软件的病毒库更新,若不进行更新则无法识别新 出现的病毒、木马以及恶意程序的问题。一种实现操作系统平台安全的方法,包括检测所有应用程序的行为特征;检测应用程序加载到系统平台的级别状况;检测应用程序对系统文件的非法操作状况,允许对系统文件合法操作的应用程序 执行。一种实现操作系统平台安全的装置,包括行为特征检测模块,用于检测所有应用程序的行为特征;应用程序级别检测模块,用于检测应用程序加载到系统平台的级别状况;系统平台防篡改模块,用于检测应用程序对系统文件的非法操作状况,允许对系 统文件合法操作的应用程序执行。本发明根据应用程序的资源状况检测对系统文件是否为非法操作,实现了在没有 对病毒库进行更新的情况下依然能够识别新出现的病毒、木马以及恶意程序,保证了操作 系统的安全。
图1是本发明的具体实施方式
提供的一种实现操作系统平台安全的方法的流程 示意图;图2是本发明的具体实施方式
提供的一种实现操作系统平台安全的装置的结构 示意图。
具体实施例方式本发明的具体实施方式
提供了一种实现操作系统平台安全的方法,如图1所示, 具体可以包括步骤11,检测所有应用程序的行为特征。具体地,首先对操作系统中各种应用程序(例如任务管理器、浏览器、媒体播放 器、下载工具等)的行为特征进行判断,相应的行为特征包括对系统资源的申请与占用(每 个程序都有固定的占用CPU与内存资源的范围,若超过范围则认为资源占用过多,例如分 别持续占用CPU与内存资源大于90%)、行为输出(输出可执行的.exe文件)是否正常等 特征信息。检测完毕后,将得到的应用程序的行为特征与特征库中记载的每个应用程序为 合法的标准进行比较,若某个应用程序的行为特征与特征库中记载的行为特征不符合,则 认为该应用程序非法运行。步骤12,检测应用程序加载到系统平台的级别状况。具体地,对通过行为特征检测的应用程序还可以进行应用级别的检测,相应的级 别可以分为系统级与用户级,例如任务管理器、浏览器等应用程序属于系统级,媒体播放 器、下载工具等应用程序属于用户级。检测完毕后,将得到的应用程序的行为特征与特征库 中记载的每个应用程序的应用级别进行比较,若某个应用程序的应用级别与特征库中记载 的应用级别不符合,则认为该应用程序非法运行。步骤13,检测应用程序对系统文件的非法操作状况,允许对系统文件合法操作的 应用程序执行。具体地,对通过应用级别检测的应用程序还可以进行非法操作状况检测,相应的 非法操作可以包括对系统原始文件、注册表文件、系统配置文件等的恶意篡改、删除等操 作。若某个应用程序发生了对操作系统的非法操作,则认为该应用程序非法运行。对与通 过步骤11至13的应用程序,认为该应用程序是合法操作的,允许执行,若在任何一个步骤 中检测到应用程序非法运行,则会终止该应用程序。本具体实施方式
通过对系统平台的扩展实现了对所有应用程序的检测与监控,以 实现对平台保护的措施;相对于其他杀毒软件相比,打破了现在已有的“病毒库_杀毒”的 模式,可以对未知的应用程序进行行为识别、分级,还可以对行为特征库进行自定义等来完 成对系统平台的保护。本发明的具体实施方式
还提供了一种实现操作系统平台安全的装置,如图2所 示,具体可以包括行为特征检测模块21、应用程序级别检测模块22和系统平台防篡改模块 23,行为特征检测模块21用于检测所有应用程序的行为特征;应用程序级别检测模块22用 于检测应用程序加载到系统平台的级别状况;系统平台防篡改模块23用于检测应用程序 对系统文件的非法操作状况,允许对系统文件合法操作的应用程序执行。
进一步地,相应的行为特征检测模块还可以包括行为特征判断单元,用于判断应 用程序进行资源申请、占用及行为输出是否正常,若某个应用程序的行为特征与特征库中 记载的行为特征不符合,则认为该应用程序非法运行;相应的应用程序级别检测模块还可 以包括应用程序级别判断单元,用于判断应用程序加载到系统平的级别是否正确,若某个 应用程序的已有的应用级别不符合,则认为该应用程序非法运行;相应的系统平台防篡改 模块还可以包括防篡改判断单元,用于判断应用程序是否对系统文件进行非法操作,若是 则终止该应用程序,若否则允许对系统文件合法操作的应用程序执行。上述装置中包含的各模块的处理功能的具体实施方式
在之前的方法实施方式中 已经描述,在此不再重复描述。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此, 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换, 都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范 围为准。
权利要求
一种实现操作系统平台安全的方法,其特征在于,包括检测所有应用程序的行为特征;检测应用程序加载到系统平台的级别状况;检测应用程序对系统文件的非法操作状况,允许对系统文件合法操作的应用程序执行。
2.根据权利要求1所述的方法,其特征在于,所述检测所有应用程序的行为特征包括 判断应用程序进行资源申请、占用及行为输出是否正常,若某个应用程序的行为特征与特征库中记载的行为特征不符合,则认为该应用程序非法运行。
3.根据权利要求1所述的方法,其特征在于,所述检测应用程序加载到系统平台的级 别状况包括判断应用程序加载到系统平的级别是否正确,若某个应用程序的已有的应用级别不符 合,则认为该应用程序非法运行。
4.根据权利要求1至3任意一项所述的方法,其特征在于,所述检测应用程序对系统文 件的非法操作状况,允许对系统文件合法操作的应用程序执行包括判断应用程序是否对系统文件进行非法操作,若是则终止所述应用程序,若否则允许 对系统文件合法操作的应用程序执行。
5.一种实现操作系统平台安全的装置,其特征在于,包括 行为特征检测模块,用于检测所有应用程序的行为特征;应用程序级别检测模块,用于检测应用程序加载到系统平台的级别状况; 系统平台防篡改模块,用于检测应用程序对系统文件的非法操作状况,允许对系统文 件合法操作的应用程序执行。
6.根据权利要求5所述的装置,其特征在于,所述行为特征检测模块包括行为特征判断单元,用于判断应用程序进行资源申请、占用及行为输出是否正常,若某 个应用程序的行为特征与特征库中记载的行为特征不符合,则认为该应用程序非法运行。
7.根据权利要求5所述的装置,其特征在于,所述应用程序级别检测模块包括应用程序级别判断单元,用于判断应用程序加载到系统平的级别是否正确,若某个应 用程序的已有的应用级别不符合,则认为该应用程序非法运行。
8.根据权利要求5至7任意一项所述的装置,其特征在于,所述系统平台防篡改模块包括防篡改判断单元,用于判断应用程序是否对系统文件进行非法操作,若是则终止所述 应用程序,若否则允许对系统文件合法操作的应用程序执行。
全文摘要
一种实现操作系统平台安全的方法及装置,属于系统平台安全技术领域,以解决在现有的操作系统平台安全技术中,存在需要实时对杀毒软件的病毒库更新,若不进行更新则无法识别新出现的病毒、木马以及恶意程序的问题。本发明包括检测所有应用程序的行为特征;检测应用程序加载到系统平台的级别状况;检测应用程序对系统文件的非法操作状况,允许对系统文件合法操作的应用程序执行。本发明根据应用程序的资源状况检测对系统文件是否为非法操作,实现了在没有对病毒库进行更新的情况下依然能够识别新出现的病毒、木马以及恶意程序,保证了操作系统的安全。
文档编号G06F21/00GK101866407SQ20101021042
公开日2010年10月20日 申请日期2010年6月18日 优先权日2010年6月18日
发明者区嘉亮, 杨国庆 申请人:北京九合创胜网络科技有限公司