一种基于行为跟踪的入侵防御方法与系统与流程

本发明涉及计算机操作系统安全技术领域，特别是一种基于行为跟踪的入侵防御方法与系统。

背景技术

随着云计算、大数据等新型技术的发展，对云主机和服务器的安全计算环境要求越来越高。安全的计算环境是云计算发展的基础，没有安全的计算环境就不能保证云端数据的安全性，没有安全的计算环境就不能保证云端业务的可持续性。

可执行文件是操作系统和业务系统正常运行的基础，它们在windows系统下是pe文件，是linux系统下是elf文件。二进制文件的每一次运行都会对系统及数据产生或好或坏的影响，正常软件中的可执行文件能够完成预设的软件功能，病毒、木马中的可执行文件能够破坏系统、盗取数据。

而现有技术中针对程序行为动态进行入侵判别的方法，大都存在防御有效性低，且不能进行动态持续识别，系统安全性低等缺陷，因此，急需一种基于行为跟踪的入侵防御方法。

技术实现要素：

本发明的目的是提供一种基于行为跟踪的入侵防御方法与系统，旨在解决现有技术中针对程序行为动态进行的入侵判别存在防御有效性低，系统安全性低等缺陷，实现增强系统的安全性，有力保障系统的健壮性。

为达到上述技术目的，本发明提供了一种基于行为跟踪的入侵防御方法，包括以下步骤：

s1、将获取到的可执行文件全路径和哈希值到系统正常程序库中进行比对，如果所述可执行文件属于系统正常程序，则结束操作；否则，进入下一步；

s2、将获取到的可执行文件全路径和哈希值到系统恶意程序库中进行比对，如果所述可执行文件属于系统恶意程序，则拦截所述可执行文件的操作行为；否则进入下一步；

s3、将获取到的可执行文件的操作行为和操作行为客体信息到系统恶意行为库中进行比对，如果属于系统恶意行为，则拦截所述可执行文件的操作行为；否则放行所述可执行文件的操作行为。

优选地，所述系统正常程序库包括不同版本操作系统的系统正常程序。

优选地，所述系统恶意程序库包括不同版本操作系统的恶意程序，所述恶意程序包括木马、病毒以及蠕虫。

优选地，所述系统恶意行为库包括不同操作系统的恶意程序的操作行为。

优选地，所述方法还包括：

当所述可执行文件属于系统恶意程序或者系统恶意行为时，向管理控制系统进行报警，所述管理控制系统下发指令对所述可执行文件进行操作处理。

优选地，所述操作处理包括持续监控、阻止后续所有操作或删除/隔离该可执行文件。

优选地，所述系统正常程序库、系统恶意程序库和系统恶意行为库的更新通过管理控制系统完成。

本发明还提供了一种基于行为跟踪的入侵防御系统，所述系统包括：

系统正常程序库，用于存放不同版本操作系统的系统正常程序；

系统恶意程序库，用于存放不同版本操作系统的恶意程序；

系统恶意行为库，用于存放不同操作系统的恶意程序的操作行为；

系统操作行为跟踪系统，用于监测操作系统上所有程序操作行为，且在当获知程序操作行为非法的情况下，阻止所述程序操作行为；

管理控制系统，用于接收系统操作行为跟踪系统上报的系统操作行为和报警信息，并下发指令干预程序的操作行为，以及更新所述系统正常程序库、系统恶意程序库以及系统恶意行为库。

优选地，所述恶意程序包括木马、病毒以及蠕虫。

发明内容中提供的效果仅仅是实施例的效果，而不是发明所有的全部效果，上述技术方案中的一个技术方案具有如下优点或有益效果：

与现有技术相比，本发明通过综合采用程序黑白名单机制和程序行为动态跟踪机制，结合系统正常程序库、系统恶意程序库、系统恶意行为库、系统操作行为跟踪系统和管理控制系统，可以有效的辨别系统上运行的每个程序是正常程序、恶意程序或未知程序。首先保证了系统正常程序不受影响，很好的解决了操作系统兼容性问题；其次可以及时阻止已知恶意程序对系统的破坏，有效的免疫已知病毒、木马、蠕虫等；再次对于未知程序的操作行为进行透明跟踪，依赖系统恶意行为库进行动态持续识别，当判断出未知程序包含系统恶意行为时及时报警，避免系统遭受后续破坏，可以极大的增强系统的安全性，有力的保障系统的健壮性。

附图说明

图1为本发明实施例中所提供的一种基于行为跟踪的入侵防御方法流程图；

图2为本发明实施例中所提供的一种基于行为跟踪的入侵防御系统结构框图。

具体实施方式

为了能清楚说明本方案的技术特点，下面通过具体实施方式，并结合其附图，对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开，下文中对特定例子的部件和设置进行描述。此外，本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意，在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。

下面结合附图对本发明实施例所提供的一种基于行为跟踪的入侵防御方法与系统进行详细说明。

如图1所示，本发明实施例公开了一种基于行为跟踪的入侵防御方法，包括以下步骤：

s1、将获取到的可执行文件全路径和哈希值到系统正常程序库中进行比对，如果所述可执行文件属于系统正常程序，则结束操作；否则，进入下一步；

s2、将获取到的可执行文件全路径和哈希值到系统恶意程序库中进行比对，如果所述可执行文件属于系统恶意程序，则拦截所述可执行文件的操作行为；否则进入下一步；

s3、将获取到的可执行文件的操作行为和操作行为客体信息到系统恶意行为库中进行比对，如果属于系统恶意行为，则拦截所述可执行文件的操作行为；否则放行所述可执行文件的操作行为。

将获取到的可执行文件全路径和哈希值到系统正常程序库中进行比对，用于确认该可执行文件是否属于系统正常程序，如果属于系统正常程序，则此可执行文件的操作行为不受限制。

如果该可执行文件不属于系统正常程序时，将获取到的可执行文件全路径和哈希值到系统恶意程序库中进行比对，用以确认该可执行文件是否属于系统恶意程序，如果属于系统恶意程序，则该可执行文件的操作行为将被拦截，并且立即向管理控制系统报警，管理控制系统将下发指令将此二进制文件进行删除或者隔离。

如果该可执行文件既不属于系统正常程序，也不属于系统恶意程序，这种可执行文件统称为未知程序，将获取到的本次操作行为和操作行为客体信息到系统恶意行为库中进行比对。如果本次操作行为属于系统恶意行为，则立即向管理控制系统报警，根据管理控制系统的指令进行即时处理，即管理控制系统根据未知程序的报警信息，下发指令对其持续监控、阻止后续所有操作或删除/隔离该可执行程序；如果不能判断本次操作行为属于系统恶意行为，则该可执行文件的操作行为被放行，对该可执行文件的后续操作行为进行持续跟踪。

本发明实施例通过综合采用程序黑白名单机制和程序行为动态跟踪机制，结合系统正常程序库、系统恶意程序库、系统恶意行为库、系统操作行为跟踪系统和管理控制系统，可以有效的辨别系统上运行的每个程序是正常程序、恶意程序或未知程序。首先保证了系统正常程序不受影响，很好的解决了操作系统兼容性问题；其次可以及时阻止已知恶意程序对系统的破坏，有效的免疫已知病毒、木马、蠕虫等；再次对于未知程序的操作行为进行透明跟踪，依赖系统恶意行为库进行动态持续识别，当判断出未知程序包含系统恶意行为时及时报警，避免系统遭受后续破坏，可以极大的增强系统的安全性，有力的保障系统的健壮性。

如图2所示，本发明实施例还公开了一种基于行为跟踪的入侵防御系统，包括：

系统正常程序库，用于存放不同版本操作系统的系统正常程序；

系统恶意程序库，用于存放不同版本操作系统的恶意程序；

系统恶意行为库，用于存放不同操作系统的恶意程序的操作行为；

系统操作行为跟踪系统，用于监测操作系统上所有程序操作行为，且在当获知程序操作行为非法的情况下，阻止所述程序操作行为；

管理控制系统，用于接收系统操作行为跟踪系统上报的系统操作行为和报警信息，并下发指令干预程序的操作行为，以及更新所述系统正常程序库、系统恶意程序库以及系统恶意行为库。

系统正常程序库，是安全研究人员长期研究各个版本的操作系统及其上的常见业务系统后建立的一份针对不同版本系统的系统正常程序集合。系统正常程序库每个操作系统小版本有一份，并且一直处于持续更新中，更新通过管理控制系统进行。

系统恶意程序库，是安全研究人员长期研究各类恶意程序，包括木马、病毒、蠕虫等，所建立的一份系统恶意程序集合。系统恶意程序库只区分操作系统类型，例如：windows、linux，每个类型的操作系统有一份，并且一直处于持续更新中，更新通过管理控制系统进行。

系统恶意行为库，是安全研究人员长期研究各类恶意程序，分解恶意程序的常见操作行为后形成的恶意程序行为的集合。恶意行为既可以是一个行为，例如：自我复制，也可以是一组行为，例如：先启动自身，然后网络下载另一个可执行程序，最后删除自身。系统恶意行为库只区分操作系统类型，例如：windows、linux，每个类型的操作系统有一份，并且一直处于持续更新中，更新通过管理控制系统进行。

系统操作行为跟踪系统，是基于行为跟踪的入侵防御方法的核心处理模块，它监测操作系统上的所有程序操作行为，包括：程序启动、创建文件、写入注册表、网络下载程序等。系统操作行为跟踪系统的所有拦截判断逻辑均在系统操作行为实际发生之前进行，判断逻辑依赖系统正常程序库、系统恶意程序库和系统恶意行为库。在获知该操作行为非法的情况下及时阻止该操作执行。

管理控制系统，是基于行为跟踪的入侵防御方法的用户接口模块。它负责安装、启动、停止、卸载整个系统，也负责接收系统操作行为跟踪系统上报的系统操作行为和报警，同时也可通过管理控制系统下发指令干预程序的行为、删除特定程序、隔离特定程序。管理控制系统设有一套默认的处理逻辑用于在无人值守的情况下运行，以便立即响应系统操作行为跟踪系统上报的报警。管理控制系统也负责系统正常程序库、系统恶意程序库和系统恶意行为库中数据的更新。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。