一种病毒防御方法、装置以及云端浏览器与流程

本发明涉及信息安全，尤其涉及一种病毒防御方法、装置、云端浏览器以及相应的电子设备、存储介质。

背景技术：

1、病毒防御是保障系统安全的关键环节，病毒是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。这种病毒利用各种加密算法对重要文件进行加密，被感染者一般无法解密。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。相关技术中，通过监测系统内存中的可疑进程、非授权文件遍历检索、异常api接口调用以及对某些病毒模型或代码特征进行分析识别等方式防御病毒。但这些方法均是从传统网络安全的角度进行分析监测，均是基于病毒的外围运行特点进行防御，而病毒为了增强隐蔽性和迷惑性，通常会在传播和攻击过程中出现不同变种，比如：针对病毒程序的执行过程中的行为特征进行病毒分析和识别时，若病毒加入混淆代码、指令跳转或干扰步骤而造成代码特征变异，导致识别精度不足，难以准确判断并进行防御；或者，针对非授权文件检索来判断内存可疑进程的方法，会因为病毒调整文件查找和攻击的顺序而失效；再比如，对于病毒异常api调用分析的方法，需要对已遇到或已知的病毒进行统计分析，但其只对已知病毒有效，具有片面性和滞后性，如果未知病毒在api调用方式上做了改进，则不能识别，因此，基于病毒的外围运行特点进行防御的方式不能及时识别病毒，不能达到病毒防护的目的。

技术实现思路

1、本发明提供一种病毒防御方法、装置、密码设备、服务平台、系统及存储介质，用以解决一些基于加密算法的病毒是根据外围运行特点进行防御不能及时识别病毒进行防护的缺陷。

2、本发明提供一种病毒防御方法，包括：

3、获取操作指令流；

4、识别所述操作指令流，并将识别出的指令特征与对应已知加密算法的预设的指令集进行匹配，所述预设的指令集还设置有指令集标签；

5、若匹配成功，则根据所述指令集标签允许操作指令流执行；

6、若匹配不成功，则阻断所述操作指令流的执行以防御病毒。

7、可选的，该方法还包括：根据不同的已知加密算法，预设不同的匹配策略；

8、相应的，按照与已知加密算法对应的匹配策略将识别出的指令特征与已知加密算法对应的预设的指令集进行匹配。

9、可选的，将识别出的加密算法特征与预设的对应已知加密算法的指令集进行匹配，包括：

10、将识别出的指令特征与预设的对应已知加密算法的指令集进行匹配；

11、在所述指令特征与所述指令集中的特定指令匹配的情况下，获取所匹配的特定指令执行的循环轮数；

12、根据所述循环轮数确定是否匹配成功。

13、可选的，利用加密算法识别模型识别所述操作指令流，并将识别出的指令特征与预设的对应已知加密算法的指令集进行匹配，其中，所述加密算法识别模型基于已知加密算法执行时的指令特征训练得到。

14、可选的，所述加密算法识别模型还基于不同的系统架构进行训练，所述不同的系统架构在执行同一已知加密算法时操作指令以及操作指令的调度方式不同。

15、本发明还提供一种病毒防御装置，该装置包括：

16、获取模块，用于获取操作指令流；

17、识别模块，用于识别所述操作指令流；

18、匹配模块，用于将识别出的指令特征与对应已知加密算法的预设的指令集进行匹配，所述指令集设置有指令集标签；；

19、调用模块，在匹配成功的情况下，根据所述指令集标签允许操作指令流执行，在匹配不成功的情况下，阻断所述操作指令流的执行以防御病毒。

20、可选的，该装置还包括预设模块，所述预设模块根据不同的已知加密算法预先生成对应的指令集，并对应预设不同的匹配策略；

21、相应的，所述匹配模块，按照与已知加密算法对应的匹配策略将识别出的指令特征与已知加密算法对应的预设的指令集进行匹配。

22、可选的，所述匹配模块包括：

23、指令集匹配子模块，用于将识别出的指令特征与预设的对应已知加密算法的指令集进行匹配；

24、指令循环轮数获取子模块，用于在所述指令特征与所述指令集中的特定指令匹配的情况下，获取所匹配的特定指令执行的循环轮数；

25、循环轮数匹配子模块，根据所述循环轮数确定是否匹配成功。

26、可选的，所述识别模块、匹配模块利用加密算法识别模型实现，其中，所述加密算法识别模型基于加密算法执行时的指令特征训练得到。

27、可选的，所述加密算法识别模型还基于不同的系统架构进行训练，所述不同的系统架构在执行同一加密算法时操作指令或者/和操作指令的调度方式不同。

28、可选的，所述病毒防御装置设置在服务器端，所述服务器还包括专用密码设备，用于基于调用的加密算法对数据层进行加密处理，其中，所述专用密码设备包括专用密码卡。

29、可选的，所述病毒防御装置设置在服务器端，所述病毒防御装置包括加密指令生成模块，所述加密指令生成模块基于调用的加密算法生成加密指令，所述加密指令由用户端的专用密码设备执行，其中，所述专用密码设备包括专用fpga。

30、本发明还提供一种云端浏览器，所述云端浏览器在访问链接地址时，执行前面所述的病毒防御方法，所述云端浏览器根据操作指令流对应的加密算法对数据层进行加密、解密处理，与所述云端浏览器对应的本地浏览器对数据层不执行加密或者解密处理。

31、本发明还提供一种电子设备，该电子设备包括存储器、处理器及存储在所述存储器上并可由所述处理器上运行的计算机程序，所述计算机程序执行前面所述的病毒防御方法。

32、本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现前面所述的病毒防御方法。

33、本发明提供的一种病毒防御方法和装置，利用加密算法对于数据加密的方式细化到各种架构的操作系统和cpu操作指令有相应规律和特征，通过识别操作指令流中的指令特征与预设的加密算法的指令集的匹配情况，判断出非法的加密指令，能够有效识别出病毒，而且识别的精确性高，并且可以及时阻断病毒的攻击行为，从根本上提高了针对病毒的监测和防控能力。

技术特征：

1.一种病毒防御方法，其特征在于，包括：

2.根据权利要求1所述的病毒防御方法，其特征在于，该方法还包括：根据不同的已知加密算法，预设不同的匹配策略；

3.根据权利要求1所述的病毒防御方法，其特征在于，将识别出的加密算法特征与预设的对应已知加密算法的指令集进行匹配，包括：

4.根据权利要求1所述的病毒防御方法，其特征在于，利用加密算法识别模型识别所述操作指令流，并将识别出的指令特征与预设的对应已知加密算法的指令集进行匹配，其中，所述加密算法识别模型基于已知加密算法执行时的指令特征训练得到。

5.根据权利要求4所述的病毒防御方法，其特征在于，所述加密算法识别模型还基于不同的系统架构进行训练，所述不同的系统架构在执行同一已知加密算法时操作指令或者/和操作指令的调度方式不同。

6.一种病毒防御装置，其特征在于，该装置包括：

7.根据权利要求6所述的病毒防御装置，其特征在于，该装置还包括预设模块，所述预设模块根据不同的已知加密算法预先生成对应的指令集，并对应预设不同的匹配策略；

8.一种云端浏览器，其特征在于，所述云端浏览器访问链接地址时，执行权利要求1-5任一项所述的病毒防御方法，所述云端浏览器根据操作指令流对应的加密算法对数据层进行加密、解密处理，与所述云端浏览器对应的本地浏览器对数据层不执行加密或者解密处理。

9.一种电子设备，其特征在于，该电子设备包括存储器、处理器及存储在所述存储器上并可由所述处理器上运行的计算机程序，所述计算机程序执行权利要求1至5任一项所述的病毒防御方法。

10.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的病毒防御方法。

技术总结
本发明提供一种病毒防御方法、装置、密码设备、服务平台、系统及存储介质，该病毒防御方法包括：获取操作指令流；识别所述操作指令流，并将识别出的指令特征与对应已知加密算法的预设的指令集进行匹配，所述预设的指令集还设置有指令集标签；若匹配成功，则根据所述指令集标签允许操作指令流执行；若匹配不成功，则阻断所述操作指令流的执行以防御病毒。本发明通过预设已知加密算法的指令集，并利用所述指令集对实时操作指令流进行鉴别，从而对病毒的核心攻击行为进行特征分析，提高了病毒识别的精确性，并且，可以及时阻断病毒的攻击行为，从根本上提高病毒监测和防控的针对性和有效性。

技术研发人员：靳京,孙烁,蒋红宇
受保护的技术使用者：北京海泰方圆科技股份有限公司
技术研发日：
技术公布日：2024/1/12