计算机信息安全的方法转让专利
申请号 : CN200710017313.8
文献号 : CN101231682B
文献日 : 2011-01-26
发明人 : 李贵林
申请人 : 李贵林
摘要 :
本发明涉及一种计算机信息安全的方法,包括步骤:1)对系统进行日志记录;2)判断程序行为是否涉及到被保护文件,若涉及被保护文件,则根据保护规则禁止程序行为或限制程序行为,若不涉及被保护文件则检测是否有试图修改影响系统安全的敏感文件;3)如果没有试图修改影响系统安全的敏感文件,继续运行第2)条;4)如果有试图修改影响系统安全的敏感文件,自动备份原始文件,进行第5)条的操作;5)允许修改影响系统安全的敏感文件;6)通过第1)条建立的运行日志记录分析识别恶意程序;7)如果存在恶意程序,删除恶意程序,进行第8)条的操作,不存在恶意程序重新返回第2)条;8)根据该恶意程序的运行轨迹进行恢复。
权利要求 :
1.计算机信息安全的方法,其特征是,它至少包括如下步骤:
1)对系统进行日志记录;
2)判断程序行为是否涉及到被保护文件,若涉及被保护文件,则根据保护规则禁止程序行为或限制程序行为,若不涉及被保护文件则检测是否有试图修改影响系统安全的敏感文件;
3)如果没有试图修改影响系统安全的敏感文件,继续运行第2)条;
4)如果有试图修改影响系统安全的敏感文件,自动备份原始文件,进行第5)条的操作;
5)允许修改影响系统安全的敏感文件;
6)通过第1)条建立的运行日志记录分析识别恶意程序;
7)如果存在恶意程序,删除恶意程序,进行第8)条的操作,不存在恶意程序重新返回第2)条;
8)根据该恶意程序的运行轨迹进行恢复被该恶意程序修改的所备份过的文件和注册表的内容,使系统恢复到该恶意程序及其相关恶意程序运行前的状态,从而维护系统的正常运行;
9)返回第2)条;
所述的通过运行日志记录分析识别恶意程序包括:
1)定时触发分析和敏感事件触发分析;所述的敏感事件是指对系统安全可能造成危害的修改注册表,修改启动项入口,启动shell,增加或删除文件事件;所述分析是基于时间顺序分析和进程序列分析,用于实现对各种危害的识别和危害过程的完整描述,作为后继恢复的基础。
2.根据权利要求1所述的计算机信息安全的方法,其特征是:所述的被保护文件是指根据用户事先的指定的文件,指定的文件只能在指定的时间段内被指定的程序以指定的权限和指定的用户身份以及指定的密码访问;从而确保用户指定的文件不会被非法访问。
3.根据权利要求1所述的计算机信息安全的方法,其特征是:所述的对系统进行日志记录至少包括进程日志、网络活动日志、注册表变更日志、文件变更和生成日志,其中注册表变更日志在Unix/Linux下没有。
4.根据权利要求1所述的计算机信息安全的方法,其特征是:所述的自动备份原始文件方式是把待修改的文件或注册表内容进行适当变形后保存,同时记下引起备份的进程,原始文件路径和时间,并进行备份大小控制,防止过度备份引起硬盘的紧张,乃至系统的崩溃。
5.根据权利要求1所述的计算机信息安全的方法,其特征是:所述的恢复包括覆盖原始文件或注册表,使系统还原为原始状态。
说明书 :
计算机信息安全的方法
技术领域
[0001] 本发明涉及一种信息安全技术,特别是计算机信息安全的方法。
背景技术
[0002] 现有的计算机安全产品门类繁多,但从设计方案上来说,大致分三类:杀毒软件、防火墙和安全漏洞评估及安全服务。杀毒软件主要防范和清除客户机器硬盘上的病毒、木马、蠕虫文件和被感染的系统设置,恢复原始无毒状态;防火墙主要通过设置网络数据包过滤规则,过滤和阻断网络上不符合预先设定的规则的数据包,在网络上实现了一个用户可配置的过滤开关。安全漏洞评估及安全服务是通过人工的经验和知识对某个安全对象(网络或者单机)进行安全评估,提出安全报告,打补丁等。这三种方式分别从不同的侧面对可能或业已对用户造成的安全危害进行检查,清除和防范,具有各自的作用和价值。但是,从用户的整体安全出发来考虑,它们都是比较片面的、短效的和事后的,不足以给用户营造一个放心的,稳定的安全环境。这是因为:
[0003] 其一、杀毒软件的设计出发点是认为,安全的威胁来自文件,故以文件为杀毒的对象。它的实际方案是对文件的病毒检查和“手术式”的杀毒。其局限有三点:一、杀毒软件是针对具体的病毒,它识别病毒的前提是先“认识”病毒,必须事前详细知道具体病毒样本,以便提取特征码和构造的杀毒方法。但对于未能识别的病毒,则是“大门敞开”,“听之任之”;二是它只是着眼于文件,着眼于具体的病毒,没有对当前的网络状态和系统状态历史进行历史的和全局的智能分析。这就使得病毒查杀总是滞后于病毒的出现,必须以用户受到病毒攻击为代价;三是杀毒软件的“性能”很大程度上取决于病毒样本收集的齐全和及时程度,以及用户升级的及时程度。实际上这是很难得到保证的,结果是杀毒软件的实际作用大打折扣。
[0004] 其二、防火墙的性能比较片面,主要是对网络包进行基于规则的过滤,以便阻断不合规则的网络传输,这固然可以防止某些“已知”的网络行为,但从整个用户的安全出发,显然是不够的,用户机器上实际上若有什么危害程序,它则鞭长莫及了。
[0005] 其三、安全漏洞评估及安全服务是一种“人工”行为,形同人体的“体检”,充其量算是一种“抽查式”的手法罢了,根本不能严密地防范实际安全危害。
[0006] 由于存在上述缺陷,近年来许多厂商宣称开发了“主动防御”系统(或称“行为分析”等,名称很多,但思想基本相同,以下统称为“主动防御”),他们在一定程度上,能够根据病毒或其它攻击代码的某些行为特征识别它们,并立即进行阻止,删除文件等操作。这种方式的安全产品看似完美无缺,其实同样存在不少问题。
[0007] 首先是识别的准确性问题。由于“主动防御”设计思想上仍然是通过在病毒运行初期就识别和处理,没有进行事后的恢复和清除,这就要求“主动防御”软件必须在病毒等恶意代码的运行不久就识别出来并处理,无法根据充分的证据来从容地判断,所以它必须仅仅就“蛛丝马迹”得出结论,这就不可避免地存在着较大程度的误报。
[0008] 其次是识别的完备性问题。同样由于“主动防御”设计思想上仍然是“御敌于国门之外”,它的“取证”来不及等到完整和充分,这也使得它的“分析”因缺足够的“证据”而有失完整,必然带来一定的漏报、处理不全面、删除不彻底等完整性问题。
[0009] 其次是识别效率问题。根据“主动防御御敌于国门之外”的设计思想,“漏网之鱼”不再处理,因此漏报是致命的。为尽量避免漏报,它就必须进行“密集分析”(反复进行频繁的“分析”),这显然无法避免的带来系统效率的开销。
[0010] 最后是用户的安全性问题。前面已经分析了,根据“主动防御御敌于国门之外”的设计思想,“漏网之鱼”会自由行动,这无疑带来用户的安全隐患。
[0011] 发明内容
[0012] 本发明的第一个目的是提供一种不需要事前详细知道具体病毒样本的计算机信息安全的方法。
[0013] 本发明的第二个目的是提供一种安全性好、识别效率以及准确性高的计算机信息安全的方法。
[0014] 本发明的第三个目的是提供一种确保用户指定的文件不会被非法访问的方法。 [0015] 本发明的技术方案是设计一种计算机信息安全的方法,其特征是,它至少包括如下步骤:
[0016] 1)对系统进行日志记录;
[0017] 2)判断程序行为是否涉及到被保护文件,若涉及被保护文件,则根据保护规则禁止程序行为或限制程序行为,若不涉及被保护文件则检测是否有试图修改影响系统安全的敏感文件;
[0018] 3)如果没有试图修改影响系统安全的敏感文件,继续运行第2)条; [0019] 4)如果有试图修改影响系统安全的敏感文件,自动备份原始文件,进行第5)条的操作;
[0020] 5)允许修改影响系统安全的敏感文件;
[0021] 6)通过第1)条建立的运行日志记录分析识别恶意程序;
[0022] 7)如果存在恶意程序,删除恶意程序,进行第8)条的操作,不存在恶意程序重新返回第2)条;
[0023] 8)根据该恶意程序的运行轨迹进行恢复被该恶意程序修改的所备份过的文件和注册表的内容等,使系统恢复到该恶意程序及其相关恶意程序运行前的状态,从而维护系统的正常运行;
[0024] 9)返回第2)条。
[0025] 所述的被保护文件是指根据用户事先的指定的文件,指定的文件只能在指定的时间段内被指定的程序以指定的权限和指定的用户身份以及指定的密码访问;从而确保用户指定的文件不会被非法访问。
[0026] 所述的对系统进行日志记录至少包括进程日志、网络活动日志、注册表变更日志Unix/Linux下无、文件变更和生成日志等。
[0027] 所述的通过运行日志记录分析识别恶意程序包括:
[0028] 1)定时触发分析和敏感事件触发分析;所述的敏感事件是指对系统安全可能造成 危害的修改注册表,修改启动项入口,启动shell,增加或删除文件事件;所述分析是基于时间顺序分析和进程序列分析,用于实现对各种危害的识别和危害过程的完整描述,作为后继恢复的基础。
[0029] 所述的自动备份原始文件方式是把待修改的文件或注册表内容进行适当变形后保存,同时记下引起备份的进程,原始文件路径和时间,并进行备份大小控制,防止过度备份引起硬盘的紧张,乃至系统的崩溃。
[0030] 所述的文件恢复包括覆盖原始文件或注册表,使系统还原为原始状态。 [0031] 本发明的优点是:本发明采用的是在完整的描述系统运行轨迹基础上的分析、恢复和清除策略,能够有效保障用户的安全。具体说来,就是:在保障用户的机密信息不泄密、无篡改的基础上,对病毒、木马等所有恶意代码的运行轨迹进行详细而完备的监控和记录,并根据这些记录进行智能分析,一旦分析发现病毒等程序,就根据它的运行轨迹进行恢复(即删除它所安装的文件,恢复它修改的注册表和文件,使系统恢复到病毒运行前的状态),从而保障用户的安全。因此本发明不需要事前详细知道具体病毒样本就能对计算机运行的非法程序进行分析和处理。其次,由于采用“事前自动备份、事后自动恢复”的方法,对非法程序进行详细全面地分析处理,使计算机安全性好、识别效率以及准确性高。 [0032] 本发明的优点可通过下面具体的流程图说明更深的了解:
附图说明
[0033] 图1是本发明实施例主流程;
[0034] 图2是文件规则处理流程;
[0035] 图3是分析的触发流程;
[0036] 图4是检测是否有修改敏感文件的行为流程;
[0037] 图5是文件限定设置流程;
[0038] 图6是日志系统流程图;
[0039] 图7是恢复系统流程图;
[0040] 图8是启动分析系统流程图;
[0041] 图9是敏感事件分析图;
[0042] 图10是分析系统逻辑流程图。
[0043] 具体实施方式
[0044] 本发明实施例主流程如图1所示,它至少包括如下步骤:步骤101,对系统进行日志记录;步骤102,检测是否有试图修改系统安全的敏感文件;如果没有继续执行步骤102;如果有,执行步骤103,启动自动备份原始文件;接着执行步骤104,允许修改系统安全的敏感文件;执行步骤105,通过步骤101建立的运行日志记录分析识别恶意程序;如果是,执行步骤106,删除非法程序;接着完成步骤107,根据该非法程序的运行轨迹进行恢复被该恶意程序修改的文件和注册表的内容等,使系统恢复到该恶意程序(及其相关恶意程序)运行前的状态,从而维护系统的正常运行;然后由步骤108重新返回步骤102,重新检测是否有试图修改系统安全的敏感文件。如果 不是,也重新返回步骤102,重新检测是否有试图修改系统安全的敏感文件。通过主流程不难发现,本发明采用的是在完整的描述系统运行轨迹基础上的分析、恢复和清除策略,有效保障用户的安全。具体说来,就是:在保障用户的机密信息不泄密、无篡改的基础上,对病毒、木马等所有恶意代码的运行轨迹进行详细而完备的监控和记录,并根据这些记录进行智能分析,一旦分析发现病毒等程序,就根据它的运行轨迹进行恢复(即删除它所安装的文件,恢复它修改的注册表和文件,使系统恢复到病毒运行前的状态),从而保障用户的安全。
[0045] 图2是文件规则处理流程的各步骤说明。它至少包括步骤200,打开文件;然后进入步骤201,判断步骤200打开的文件是否属于限定保护文件;如不是,转到208条,调用操作系统的打开文件函数;如果是:则进行步骤202,读取系统当前时间、用户身份、访问权限、访问者全路径、访问密码等;当步骤202执行完后,接着执行步骤203、步骤204,读取上述文件的访问规则,并从第一条开始判断;如果访问时间、权限、密码、访问者、均符合这条访问规则,转到步骤208,调用操作系统的打开文件函数;如果不符合:接着执行下面步骤205,是否有其它规则存在,如果有,执行步骤206,读取下一条文件规则;如果没有,转到步骤207,拒绝本次文件操作,返回至系统打开文件前的状态。
[0046] 如图3是分析的触发流程。步骤301内核监测到敏感事件发生时,步骤302纪录发生该事件的进程PID、发生时间等信息,步骤303通过对上层事件触发针对该进程进行一次分析,步骤304根据分析结论进行处理。
[0047] 如图4是检测是否有修改敏感文件行为的流程的各步骤说明。它包括步骤401,根据内核通知的PID启动分析程序,步骤402判断该文件是否自启动文件,如果不是,则进入步骤407,认为它不是危险进程,可放行;否则,则进入步骤403,判断其是否可见,若可见,则进入步骤407;否则进入步骤404,判断它是否具有网络动作,没有,则进入步骤407,放行,否则进入下一步判断;步骤405判断是否具有其他危险动作,是,进入步骤406判断其是危险文件产生的进程,进行恢复处理。否则进入步骤407继续监控。
[0048] 敏感事件是指对系统安全可能造成危害的事件,如修改注册表,修改启动项入口,启动shell,增加或删除文件等。
[0049] 分析算法是基于时间顺序分析和进程序列分析,目的在于实现对各种危害的识别和危害过程的完整描述,作为后继恢复的基础。
[0050] 对前述日志系统的智能分析(简称“分析系统”,下同),可识别和描述多种类别的计算机病毒、木马和黑客攻击等各种恶意代码的发生、传播和危害轨迹,危害内容和危害结果。分析系统的实现方式包括图8给出的定时触发和图9给出的敏感事件触发两种;两种触发的流程步骤是相同的。
[0051] 如图5所示给出了是文件限定设置流程,它包括步骤501,在输出设备(显示器)界面下用户通过界面方便地由输入设备(键盘或鼠标)选择自己需要限定的文件,限定选项包括指定访问进程,访问时间,访问权限,访问密码,访问用户的身份等。一 个文件可以全部选择也可分项选择。步骤第502条是加载内核驱动程序,将用户的限定需求加载到内核中。步骤第503是在内核中监控并拦截文件系统的打开文件操作。步骤第504进入文件规则处理流程。
[0052] 文件限定设置流程实际上是确定保护文件的操作。被保护文件只能在指定的时间段内被指定的程序以指定的权限和指定的用户身份以及指定的密码访问,从而确保用户指定的文件不会被非法访问。
[0053] 图6是日志记录的一个流程步骤,进入日志记录开始的步骤601后,依次进行步骤602的拦截内核文件操作、步骤603的拦截内核注册表操作、步骤604的拦截内核网络操作、步骤605的拦截内核进程启动操作,随后通过步骤606检测上述操作是否发生,没有重新操作步骤606检测上述操作是否发生,有进行步骤607,生成相关日志记录,再由步骤606进入步骤608将日志汇入到数据库。系统进程的运行日志系统实际上包括四大日志:1)进程启动日志;2)网络活动日志;3)注册表变更日志(Unix/Linux下无);4)文件变更和生成日志。从图6可以看出日志系统是一个反复循环的独立运行系统,它的任务是详细的记录系统的运行日志,并写入日志数据库中。
[0054] 图7是恢复系统具体流程步骤,包括一个开始步骤700;随后顺序完成以下步骤:步骤701,完成从日志库中查出非法程序的所有子程序;步骤702,清除非法进程;步骤703,备份非法程序,以便必要时恢复;步骤704,清除非法程序;步骤705,清除非法程序生成的文件;步骤706,从备份中查出非法程序修改过的文件原始备份;步骤707,恢复原始文件;
步骤708,恢复非法程序修改的注册表键值;步骤709,记入恢复事件日志;最后从步骤710退出。
步骤708,恢复非法程序修改的注册表键值;步骤709,记入恢复事件日志;最后从步骤710退出。
[0055] 当分析出危害发生时,不仅从源头上完整地清除危害代码,而且根据它的危害轨迹和危害内容,自动实现智能恢复,以便恢复到危害发生前的状态;具体实现方式就是将恢复的内容还原,覆盖原始文件或注册表,使系统还原为原始状态,恢复系统需要考虑和遵守合理的顺序;保证恢复的有序和顺利。
[0056] 针对危害可能造成的破坏,在破坏发生前,自动进行紧急备份,如改写文件、注册表和其他系统重要参数前的自动备份;以便保证在事后可以智能恢复;具体实现方式是:通过驱动挂接内核文件驱动和注册表驱动等,对修改可执行文件、修改注册表等进行修改前备份。备份方式是把待修改的文件或注册表内容进行适当变形后保存,同时记下引起备份的进程、时间、原始文件路径和时间等,并进行备份大小控制,防止过度备份引起硬盘的紧张,乃至系统的崩溃。
[0057] 下面分别说明图8的定时触发和图9给出的敏感事件触发。
[0058] 如图8所示,定时触发流程从步骤800开始,进入步骤801,进行设置定时器;然后执行步骤802,检测定时时间到否;没到,继续进行步骤802;到,执行步骤803,分析当前所有进程日志;再进入步骤804,检测是否有非法程序;如果没有,重新返回到步骤802;如有执行步骤805,进行恢复处理。
[0059] 图9是敏感事件触发流程,与图8相同,它从步骤900开始,进入步骤901,进行设置敏感事件;然后执行步骤902,检测敏感事件是否发生;没有发生,继续进行 步骤902;发生,执行步骤903,分析当前所有进程日志;再进入步骤904,检测是否有非法程序;如果没有,重新返回到步骤902;如有执行步骤905,进行恢复处理。
[0060] 通过建立的运行日志记录分析识别恶意程序的算法是:基于时间顺序分析和进程序列分析,图10给出进程分析的流程。首先进入该流程步骤A00,然后执行步骤A01,打开日志数据库;随后通过步骤A02,查询出所有进程日志,放入缓存中,接着执行步骤A03,先取出一个进程;通过步骤A04,判定此进程是否是自动启动;如果不是,重新执行步骤A03;如果是,通过步骤A05,判定进程是否有危险动作(危险动作包括修改注册表,修改启动项入口,启动shell,增加或删除文件等);如果没有,重新执行步骤A03;如果有,通过步骤A06将该进程进行恢复处理,包括杀死恶意进程(以及该进程家族),恢复被它们修改的文件和注册表等。
[0061] 由于计算机信息安全的方法,它至少包括如下步骤:
[0062] 1)对系统进行日志记录;2)判断程序行为是否涉及到被保护文件,若是被保护文件,则根据保护规则禁止运行或限制运行,若不是被保护文件则检测是否有试图修改系统安全的敏感文件;3)没有试图修改系统安全的敏感文件,继续运行第2)条; [0063] 4)如果有试图修改系统安全的敏感文件,启动自动备份原始文件,进行第5)条的操作,如果没有试图修改系统安全的敏感文件,重新返回第2)条;5)允许修改系统安全的敏感文件;6)通过第1)条建立的运行日志记录分析识别恶意程序;7)是非法程序,删除非法程序,进行第8)条的操作,不是非法程序重新返回第2)条;8)根据该非法程序的运行轨迹进行恢复被该恶意程序修改的文件和注册表的内容等,使系统恢复到该恶意程序(及其相关恶意程序)运行前的状态,从而维护系统的正常运行;9)返回第2)条。而且被保护文件是指根据用户事先的指定的文件,指定的文件只能在指定的时间段内被指定的程序以指定的权限和指定的用户身份以及指定的密码访问;从而确保用户指定的文件不会被非法访问。所述的对系统进行日志记录至少包括进程日志、网络活动日志、注册表变更日志(Unix/Linux下无)、文件变更和生成日志等。所述的通过运行日志记录分析识别恶意程序包括:1)定时触发分析和敏感事件触发分析;所述的敏感事件是指对系统安全可能造成危害的修改注册表,修改启动项入口,启动shell,增加或删除文件事件;2)分析算法是基于时间顺序分析和进程序列分析,用于实现对各种危害的识别和危害过程的完整描述,作为后继恢复的基础。所述的自动备份原始文件方式是把待修改的文件或注册表内容进行适当变形后保存,同时记下引起备份的进程,时间,原始文件路径和时间等,并进行备份大小控制,防止过度备份引起硬盘的紧张,乃至系统的崩溃。所述的文件恢复包括覆盖原始文件或注册表,使系统还原为原始状态。综上所述本发明是一种不需要事前详细知道具体病毒样本的计算机信息安全的方法。而且它具有安全性好、识别效率以及准确性高的特点,它能确保用户指定的文件不会被非法访问。