专利名称:黑客攻击处理的执行阻断方法
技术领域:
本发明涉及一种安全处理阻断黑客攻击处理的执行的方法,更具体而言,涉及如下方法在计算机上执行的安全处理将黑客诊断基准及黑客阻断基准二元化,诊断包含有游戏黑客的黑客攻击程序,阻断该黑客攻击程序的执行。
背景技术:
随着超高速互联网的普及化,在线游戏人数急速增加,且也开发出了许多在线游戏,然而,对于游戏安全的认识及观念依然很弱。计算机中的非法程序被称为黑客或黑客攻击程序,游戏中的黑客或黑客攻击程序被称为游戏黑客,但该游戏黑客是指用来操作特定游戏处理的文件或存储器的程序。游戏黑客对游戏的存储器进行操作来变更能力值或体力等特定数据,或者,在搏击游戏的情况下,增加打击速度或打击次数,或提供宏功能,从而使玩家能够轻易地在游戏中获胜。因此,玩家希望在进行在线游戏时安装游戏黑客。然而,在在线游戏中使用游戏黑客可能造成破坏使用者之间的平衡及对游戏服务器的超载等问题。换言之,在在线游戏中, 一些使用者通过非正常方法来在游戏中获益时,就失去了与其它使用者间的平衡,严重时, 会破坏掉在线游戏整体的平衡,导致游戏服务器出现超载。由此,游戏提供者要求玩家同时安装游戏和安全程序,使得只要驱动游戏处理就会驱动安全处理,当中断安全处理的执行时,也同时阻断游戏处理的执行。换言之,当在线玩家进行游戏时,同时执行安全处理和游戏处理,该安全处理阻断游戏黑客。在本发明的说明中,包括「游戏黑客」在内的「程序」或「文件」指为了启动计算机而依序生成的指令集,「处理」指在计算机中处于执行中的程序。换言之,游戏程序作为游戏处理而在玩家的计算机上执行,安全程序作为安全处理而在玩家的计算机上执行,安全处理阻断在计算机中执行的以游戏黑客为首的各种黑客攻击处理的执行。安全处理不应阻断玩家进行游戏过程中执行的所有处理。换言之,为了进行游戏, 系统处理、游戏处理及安全处理必须执行,此外,要允许非黑客攻击处理的处理的执行。在本发明的说明中,系统处理、游戏处理及安全处理统被称为必需处理,非必需处理的处理被命名为一般处理,一般处理中的如游戏黑客那样应被阻断的非法处理被命名为黑客攻击处理,一般处理中的作为非黑客攻击处理而应被允许执行的处理被称为非黑客攻击处理。安全处理允许计算机中正在执行的处理中必需处理的执行,对于一般处理,诊断是否为黑客攻击处理还是非黑客攻击处理,诊断的结果,如果判断为黑客攻击处理,则阻断其执行,如果判断为非黑客攻击处理,则允许其执行。一般而言,虽然大多数玩家希望使用游戏黑客,但不可能都具备直接开发游戏黑客的能力。因此,出现了开发游戏黑客而向玩家兜售获利的游戏黑客开发者。游戏黑客开发者开发出不被安全处理阻断的新游戏黑客来卖给玩家,当玩家使用新游戏黑客时,安全公司分析该新游戏黑客并更新安全程序,使得安全处理阻断该新游戏黑客。图1为示出游戏黑客开发者、玩家及安全公司之间游戏黑客更新及安全程序更新过程的图。游戏黑客开发者开发出不被安全处理阻断的新游戏黑客,上载到发布服务器 (Sll)。之后,该新游戏黑客被下载至多个玩家计算机来使用(S12)。安全公司收集玩家所使用的新游戏黑客的样本(S13),进行分析(S14),更新用于阻断相应游戏黑客的安全程序 (S15)。之后,将更新后的安全程序发布至玩家计算机,从而使得玩家计算机中所更新的安全程序阻断新游戏黑客(S16)。这样,游戏黑客被安全程序阻断时,游戏黑客开发者分析相应安全处理阻断新游戏黑客的基准,找出躲避该阻断基准的方法(S17)。之后,通过找出的方法,回到开发新游戏黑客上载至发布服务器的步骤S11。对在线游戏而言,安全公司要持续与多个游戏黑客开发者进行上述游戏黑客更新及安全程序更新的战争。通常,对于安全处理而言,用于诊断是否为游戏黑客的诊断基准和用于阻断游戏黑客的阻断基准相同。换言之,安全处理对计算机上执行中的一般处理诊断是否为游戏黑客,在被诊断为游戏黑客时,就会阻断相应黑客攻击处理的执行。在玩家计算机使用新游戏黑客的初期,安全处理不将其诊断为游戏黑客而误诊为非黑客攻击处理,允许相应黑客攻击处理的执行。只有在安全公司分析该新版本的游戏黑客模式并更新安全处理时,才诊断为游戏黑客来进行阻断。由此,在玩家计算机使用新游戏黑客的初期,安全处理无法将其识别为游戏黑客, 因此安全公司耗费了大量的精力和时间来收集及分析新版本游戏黑客的样本。与此相反, 游戏黑客开发者从简单的方法开始入手来更新游戏黑客,并且测试所更新的游戏黑客能否躲避安全处理,将躲避安全处理的游戏黑客提供给玩家,作为新版本。此时,游戏黑客即使是以相同模式码作成的程序,且即使仅仅是重新编辑,也仍成为新版本的新游戏黑客。每当新版本的游戏黑客这样被开发而出现在市面上时,安全公司需要耗费大量精力和时间来收集相应游戏黑客样本,并设定用于诊断游戏黑客与否的模式。从安全公司的观点来看,减少收集用于诊断游戏黑客的模式所耗费的时间是十分重要的。
发明内容
本发明就是为了解决上述现有技术中的问题提出的,其目的是提供一种黑客攻击处理的执行阻断方法,将安全处理的黑客诊断基准及黑客阻断基准二元化,从而使游戏黑客开发者可轻易躲避安全处理的黑客阻断基准,无法轻易识别黑客诊断基准,以使能轻易诊断新游戏黑客。为了达成上述目的,本发明的黑客攻击处理的执行阻断方法,其特征在于包括第一步骤,安全处理从计算机中正在执行的处理中,选择检查对象处理;第二步骤,上述安全处理提取检查对象处理的模式,将该模式与黑客诊断基准进行比较;第三步骤,在上述第二步骤中的比较结果为上述检查对象处理的模式包含于上述黑客诊断基准中时,上述安全处理将上述检查对象处理判断为黑客攻击处理;第四步骤,上述安全处理计算上述黑客攻击处理的固有杂凑值,将该固有杂凑值与黑客阻断基准进行比较;以及第五步骤,在上述第四步骤中的比较结果为上述黑客攻击处理的固有杂凑值包含于上述黑客阻断基准中时,上述安全处理阻断上述黑客攻击处理的执行,在上述黑客攻击处理的固有杂凑值未包含于上述
5黑客阻断基准中时,上述安全处理不阻断上述黑客攻击处理的执行。另外,本发明的另一黑客攻击处理的执行阻断方法,其特征在于包括第一步骤, 安全处理从计算机中正在执行的处理中,选择要检查对象处理;第二步骤,上述安全处理计算检查对象处理的固有杂凑值,将该固有杂凑值与黑客阻断基准进行比较;第三步骤,在上述第二步骤中的比较结果为上述检查对象处理的固有杂凑值包含于上述黑客阻断基准中时,上述安全处理阻断上述检查对象处理的执行;第四步骤,在上述第二步骤中的比较结果为上述检查对象处理的固有杂凑值未包含于上述黑客阻断基准中时,上述安全处理允许上述检查对象处理的执行,提取上述检查对象处理的模式,将该模式与黑客诊断基准进行比较;以及第五步骤,在上述第四步骤中的比较结果为上述检查对象处理的模式包含于上述黑客诊断基准中时,上述安全处理将上述检查对象处理的固有杂凑值传送至安全服务器。另外,本发明又另一黑客攻击处理的执行阻断方法,其特征在包括第一步骤,安全处理从计算机中正在执行的处理中,选择检查对象处理;第二步骤,上述安全处理计算检查对象处理的固有杂凑值,将该固有杂凑值与黑客阻断基准进行比较;第三步骤,在上述第二步骤中的比较结果为上述检查对象处理的固有杂凑值包含于上述黑客阻断基准中时,上述安全处理阻断上述检查对象处理的执行;第四步骤,在上述第二步骤中的比较结果为上述检查对象处理的固有杂凑值未包含于上述黑客阻断基准中时,上述安全处理允许上述检查对象处理的执行,提取上述检查对象处理的模式,将该模式与黑客诊断基准进行比较;以及第五步骤,在上述第四步骤中的比较结果为上述检查对象处理的模式包含于上述黑客诊断基准中时,上述安全处理在经过临界时间之后,阻断上述检查对象处理的执行。发明效果如上所述,本发明使游戏黑客开发者轻易地躲避安全处理的黑客阻断基准,使得能够引发在不修正游戏黑客的模式的情况下完成新游戏黑客,因此具有如下效果安全公司轻易地诊断新游戏黑客是否为黑客,并且能够缩短诊断所需的精力及时间。
图1为示出游戏黑客开发者、玩家及安全公司之间游戏黑客更新及安全程序更新的图。图2为示出应用本发明的黑客攻击处理的执行阻断系统的图。图3为示出本发明之一具体实施例的黑客攻击处理的执行阻断方法的动作流程图。
具体实施例方式以下参照附图详述根据本发明之一具体实施例的黑客攻击处理的执行阻断方法。图2为示出应用本发明的黑客攻击处理的执行阻断系统的图。依照玩家的意图,游戏黑客从游戏黑客发布服务器21被下载至玩家计算机22。当然,安全程序连同游戏程序一起被下载并安装至玩家计算机22。该安全程序通过安全服务器23来周期地或间歇地得到更新。当玩家执行游戏程序时,安全程序就自动地执行,玩家计算机22所执行的安全处理对于玩家计算机所执行的一般处理应用黑客诊断基准来判断是否为黑客攻击处理还是非黑客攻击处理,应用黑客阻断基准来判断是否为阻断对象处理还是非阻断对象处理。优选地,在本发明中,黑客诊断基准基于游戏黑客的模式,黑客阻断基准基于游戏黑客的固有 (hash value)。即使玩家计算机中正在执行的一般处理被判断为黑客攻击处理,在非阻断对象处理时,安全处理不阻断相应黑客攻击处理。取而代之的是,识别为新黑客攻击处理,计算该新黑客攻击处理的游戏黑客的固有杂凑值,传送至安全服务器,并等待到相应新黑客攻击处理的固有杂凑值包含于黑客阻断基准中。在使用相同的固有杂凑值的游戏黑客的玩家数超过临界值时,安全服务器根据安全政策将相应固有杂凑值加入至黑客阻断基准中,来更新安全程序,下载至玩家计算机。或者,第一次接收到相应固有杂凑值后超过临界时间时,安全服务器根据安全政策对黑客阻断基准加入相应固有杂凑值,来更新安全程序,下载至玩家计算机。即使黑客阻断基准没有被安全服务器所更新,安全处理也仍识别相应新黑客攻击处理,在过了临界时间之后将相应新黑客攻击处理的固有杂凑值加入至黑客阻断基准中,然后阻断相应黑客攻击处理的执行。当然,即使由安全处理诊断了游戏黑客,在一定时间内,也不阻断相应游戏黑客, 因此从表面来看,似乎与现有方法没有不同之处。然而,根据本发明,游戏黑客开发者利用非常简单的方法(例如重新编译游戏黑客的方法)也可以躲避安全处理的黑客阻断基准。 在那样的情况下,重新编译的该新游戏黑客(该新游戏黑客的模式与现存游戏黑客的模式相同)会再次发布至玩家,安全处理在不收集游戏黑客样本的情况下也可根据模式立即诊断相应游戏黑客。换言之,以安全公司的观点来看,可缩短收集并分析游戏黑客的模式所消耗的时间。当新版本的游戏黑客被发布时,需耗费12小时至24小时来收集并分析相应游戏黑客,多个玩家可在此期间使用新版本的游戏黑客。本发明目的并非完全防止玩家使用新版本的游戏黑客,而是引导游戏黑客开发者在没有修改游戏黑客的模式的情况下也发布新版本游戏黑客,从而缩短安全公司为诊断游戏黑客所耗费的精力和时间。图3为示出根据本发明之一具体实施例的安全处理的黑客攻击处理阻断方法的动作流程图。当安全处理被执行时,从计算机中执行的一般处理中选择一个作为检查对象处理 (S31),提取选择出的检查对象处理的模式(S32),判断检查对象处理的提取出的模式是否包含于黑客诊断基准中(S33)。当步骤S33的判定结果为检查对象处理的模式未包含于黑客诊断基准中时,将相应检查对象处理识别为非黑客攻击处理,允许相应非黑客攻击处理的执行(S34)。当步骤S33的判定结果为检查对象处理的模式包含于黑客诊断基准中时,将检查对象处理诊断为黑客攻击处理,且对于诊断出的所有黑客攻击处理,并非立即阻断其执行, 而是计算检查对象处理的固有杂凑值(S35),判断所计算的固有杂凑值是否包含于黑客阻断基准中(S36)。当步骤S36的判定结果为检查对象处理的固有杂凑值存在于黑客诊断基准中时, 将相应检查对象处理识别为阻断对象黑客攻击处理,对阻断对象黑客攻击处理的执行进行阻断(S37)。
当步骤S36的判定结果为检查对象处理的固有杂凑值不存在于黑客诊断基准中时,将相应检查对象处理识别为新黑客攻击处理(S38),将相应新黑客攻击处理的固有杂凑值传送至安全服务器(S39)。在此,新黑客攻击处理的固有杂凑值通过计算加载到存储器中的上述黑客攻击处理的全部或一部分特定部分的杂凑值来获得,或通过计算执行新黑客攻击处理的黑客文件的全部或一部分特定部分的杂凑值来获得。另外,在将该新黑客攻击处理的固有杂凑值传送至安全服务器时,优选为安全处理在加密后传送固有杂凑值。在此,黑客诊断基准存储黑客攻击处理的多个特征模式,当检查对象处理包含黑客诊断基准所存储的多个特征模式时,安全处理将其识别为黑客攻击处理,或者,当检查对象处理包含黑客诊断基准所存储的多个特征模式中的至少一部分时,安全处理将其识别为黑客攻击处理。对于所有执行处理,反复执行步骤S31至S39。当从玩家计算机的安全处理输入针对新黑客攻击处理的固有杂凑值时,安全服务器根据安全政策,以使用新黑客攻击处理玩家数或新黑客攻击处理初期检测后的经过时间,将新黑客攻击处理的固有杂凑值加入至黑客阻断基准中,由此更新安全程序。当黑客阻断基准中增加了新黑客攻击处理的固有杂凑值时,安全处理阻断相应新黑客攻击处理的执行。或者,当检测到新黑客攻击处理后经过了临界时间时,玩家计算机的安全处理将新黑客攻击处理的固有杂凑值加入到黑客阻断基准中,从而可阻断相应新黑客攻击处理的执行。另外,在图3中,检测出检查对象处理的模式,将其与黑客诊断基准进行比较,然后计算检查对象处理的固有杂凑值来与黑客阻断基准进行了比较,然而,本发明并不限于此,也可以计算检查对象处理的固有杂凑值来将其与黑客阻断基准进行比较,然后检测检查对象处理的模式来与黑客诊断基准进行比较。以上,参照附图来说明本发明的技术思想,但其只是本发明的最佳实施例的例示, 并非用于限定本发明。另外,只要是具备本领域的通常知识的人即可理解在不脱离本发明的技术思想的范畴的范围内可以进行多种变形及模仿。
权利要求
1.一种黑客攻击处理的执行阻断方法,其特征在于包括第一步骤,安全处理从计算机中正在执行的处理中,选择检查对象处理;第二步骤,上述安全处理提取检查对象处理的模式,将该模式与黑客诊断基准进行比较;第三步骤,在上述第二步骤中的比较结果为上述检查对象处理的模式包含于上述黑客诊断基准中时,上述安全处理将上述检查对象处理判断为黑客攻击处理;第四步骤,上述安全处理计算上述黑客攻击处理的固有杂凑值,将该固有杂凑值与黑客阻断基准进行比较;以及第五步骤,在上述第四步骤中的比较结果为上述黑客攻击处理的固有杂凑值包含于上述黑客阻断基准中时,上述安全处理阻断上述黑客攻击处理的执行,在上述黑客攻击处理的固有杂凑值未包含于上述黑客阻断基准中时,上述安全处理不阻断上述黑客攻击处理的执行。
2.根据权利要求1所述的黑客攻击处理的执行阻断方法,其特征在于,该执行阻断方法还包括第六步骤,在该第六步骤中,在上述第二步骤中的比较结果为上述检查对象处理的模式未包含于上述黑客诊断基准中时,上述安全处理将上述检查对象处理判断为非黑客攻击处理,允许上述检查对象处理的执行。
3.根据权利要求1所述的黑客攻击处理的执行阻断方法,其特征在于,在上述第四步骤中,计算加载到存储器中的上述黑客攻击处理的至少一部分杂凑值来设定为上述黑客攻击处理的固有杂凑值。
4.根据权利要求1所述的黑客攻击处理的执行阻断方法,其特征在于,在上述第四步骤中,计算执行了上述黑客攻击处理的文件的至少一部分杂凑值来设定为上述黑客攻击处理的固有杂凑值。
5.根据权利要求1所述的黑客攻击处理的执行阻断方法,其特征在于,在上述第五步骤中,在上述第四步骤中的比较结果为上述黑客攻击处理的固有杂凑值未包含于上述黑客阻断基准中时,上述安全处理将上述黑客攻击处理判断为新黑客攻击处理,将上述新黑客攻击处理的固有杂凑值传送至安全服务器。
6.根据权利要求5所述的黑客攻击处理的执行阻断方法,其特征在于,上述安全处理对上述新黑客攻击处理的固有杂凑值加密后传送至上述安全服务器。
7.根据权利要求5所述的黑客攻击处理的执行阻断方法,其特征在于,在上述新黑客攻击处理的固有杂凑值的传送次数为临界值以上时,上述安全服务器将上述新黑客攻击处理的固有杂凑值加入至上述黑客阻断基准中。
8.根据权利要求5所述的黑客攻击处理的执行阻断方法,其特征在于,在接收到上述新黑客攻击处理的固有杂凑值之后经过了临界时间时,上述安全服务器将上述新黑客攻击处理的固有杂凑值加入至上述黑客阻断基准中。
9.根据权利要求1所述的黑客攻击处理的执行阻断方法,其特征在于,在上述第五步骤中,在上述第四步骤中的比较结果为上述黑客攻击处理的固有杂凑值未包含于上述黑客阻断基准中时,上述安全处理将上述黑客攻击处理判断为新黑客攻击处理,在经过了临界时间后,阻断上述新黑客攻击处理的执行。
10.一种黑客攻击处理的执行阻断方法,其特征在于包括第一步骤,安全处理从计算机中正在执行的处理中,选择要检查对象处理;第二步骤,上述安全处理计算检查对象处理的固有杂凑值,将该固有杂凑值与黑客阻断基准进行比较;第三步骤,在上述第二步骤中的比较结果为上述检查对象处理的固有杂凑值包含于上述黑客阻断基准中时,上述安全处理阻断上述检查对象处理的执行;第四步骤,在上述第二步骤中的比较结果为上述检查对象处理的固有杂凑值未包含于上述黑客阻断基准中时,上述安全处理允许上述检查对象处理的执行,提取上述检查对象处理的模式,将该模式与黑客诊断基准进行比较;以及第五步骤,在上述第四步骤中的比较结果为上述检查对象处理的模式包含于上述黑客诊断基准中时,上述安全处理将上述检查对象处理的固有杂凑值传送至安全服务器。
11.根据权利要求10所述的黑客攻击处理的执行阻断方法,其特征在于,在上述新黑客攻击处理的固有杂凑值的传送次数为临界值以上时,上述安全服务器将上述新黑客攻击处理的固有杂凑值加入至上述黑客阻断基准中。
12.根据权利要求10所述的黑客攻击处理的执行阻断方法,其特征在于,在接收到上述新黑客攻击处理的固有杂凑值之后经过了临界时间时,上述安全服务器将上述新黑客攻击处理的固有杂凑值加入至上述黑客阻断基准中。
13.根据权利要求10所述的黑客攻击处理的执行阻断方法,其特征在于,上述安全处理对上述新黑客攻击处理的固有杂凑值加密后传送至上述安全服务器。
14.一种黑客攻击处理的执行阻断方法,其特征在包括第一步骤,安全处理从计算机中正在执行的处理中,选择检查对象处理;第二步骤,上述安全处理计算检查对象处理的固有杂凑值,将该固有杂凑值与黑客阻断基准进行比较;第三步骤,在上述第二步骤中的比较结果为上述检查对象处理的固有杂凑值包含于上述黑客阻断基准中时,上述安全处理阻断上述检查对象处理的执行;第四步骤,在上述第二步骤中的比较结果为上述检查对象处理的固有杂凑值未包含于上述黑客阻断基准中时,上述安全处理允许上述检查对象处理的执行,提取上述检查对象处理的模式,将该模式与黑客诊断基准进行比较;以及第五步骤,在上述第四步骤中的比较结果为上述检查对象处理的模式包含于上述黑客诊断基准中时,上述安全处理在经过临界时间之后,阻断上述检查对象处理的执行。
15.根据权利要求10至14中的任意一项所述的黑客攻击处理的执行阻断方法,其特征在于,在上述第二步骤中,计算加载到存储器中的上述检查对象处理的至少一部分杂凑值来设定为上述检查对象处理的固有杂凑值。
16.根据权利要求10至14中的任意一项所述的黑客攻击处理的执行阻断方法,其特征在于,在上述第二步骤中,计算执行了上述检查对象处理的文件的至少一部分杂凑值来设定为上述检查对象处理的固有杂凑值。
全文摘要
本发明涉及在计算机上执行的安全处理将黑客诊断基准及黑客阻断基准二元化,诊断包含有游戏黑客的黑客攻击程序,阻断该黑客攻击程序的执行阻断黑客程序执行的方法。本发明的黑客攻击处理的执行阻断方法,包括第一步骤,安全处理从计算机中正在执行的处理中,选择检查对象处理;第二步骤,上述安全处理提取检查对象处理的模式,将该模式与黑客诊断基准进行比较;第三步骤,在上述第二步骤中的比较结果为上述检查对象处理的模式包含于上述黑客诊断基准中时,上述安全处理将上述检查对象处理判断为黑客攻击处理;第四步骤,上述安全处理计算上述黑客攻击处理的固有杂凑值,将该固有杂凑值与黑客阻断基准进行比较;以及第五步骤,在上述第四步骤中的比较结果为上述黑客攻击处理的固有杂凑值包含于上述黑客阻断基准中时,上述安全处理阻断上述黑客攻击处理的执行,在上述黑客攻击处理的固有杂凑值未包含于上述黑客阻断基准中时,上述安全处理不阻断上述黑客攻击处理的执行。
文档编号G06F9/44GK102483783SQ201080038567
公开日2012年5月30日 申请日期2010年7月29日 优先权日2009年9月3日
发明者李在煌, 申东优, 金容奂 申请人:Inca网络有限公司