CN107729753A - 一种计算机未知病毒的防御方法及*** - Google Patents
一种计算机未知病毒的防御方法及*** Download PDFInfo
- Publication number
- CN107729753A CN107729753A CN201710865758.5A CN201710865758A CN107729753A CN 107729753 A CN107729753 A CN 107729753A CN 201710865758 A CN201710865758 A CN 201710865758A CN 107729753 A CN107729753 A CN 107729753A
- Authority
- CN
- China
- Prior art keywords
- application program
- application
- operation behavior
- library
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明涉及计算机安全技术领域,提供一种计算机未知病毒的防御方法及***,方法包括:对计算机操作***内部运行的应用程序的操作行为进行动态监控;当监测到应用程序的操作行为时,生成应用程序分析比对指令;对执行操作行为的应用程序进行智能分析,判断执行操作行为的应用程序是否为预先生成的应用程序库中的一种;当执行操作行为的应用程序为预先生成的应用程序库中的一种时,确定执行操作行为的应用程序为白名单程序,控制应用程序继续运行;当执行操作行为的应用程序未在预先生成的应用程序库中时,判定执行操作行为的应用程序为恶意程序,控制停止应用程序的运行,实现白名单的智能部署,以及对未知病毒的有效拦截,提升了计算机的品质。
Description
技术领域
本发明属于计算机安全技术领域,尤其涉及一种计算机未知病毒的防御方法及***。
背景技术
目前,在计算机安全技术领域,白名单技术是指将不同的应用程序放置到规定的结构体中,结构体中的应用程序是可信的,而结构体之外的都是不可信的,没有执行等权限的,这样在根源上杜绝了病毒的而已攻击,很多攻击进行无法执行。
但是,一个计算机***中有成千上万的应用程序,并且都是需要执行的,如果必要的程序得不到不执行,操作***本身就无法正常运行,所以白名单中部署哪些应用程序就成了难题,目前对于白名单的部署一般通过人工手动配置,而人工手动配置主要基于常规经验和现实场景进行配置,这种部署配置方式是不科学的,没有依据的,配置部署白名单后,操作***存在依旧无法正常运行的问题。
发明内容
本发明的目的在于提供一种计算机未知病毒的防御方法,旨在解决现有技术中通过人工手动配置部署白名单后,操作***存在依旧无法正常运行的问题。
本发明是这样实现的,一种计算机未知病毒的防御方法,所述方法包括下述步骤:
对计算机操作***内部运行的应用程序的操作行为进行动态监控,所述应用程序的行为包括应用程序的安装、更新、卸载和文件的读、写以及执行操作;
当监测到应用程序的操作行为时,生成应用程序分析比对指令;
根据生成的所述应用程序分析比对指令,对执行所述操作行为的应用程序进行智能分析,判断执行所述操作行为的应用程序是否为预先生成的应用程序库中的一种;
当判定执行所述操作行为的应用程序为预先生成的应用程序库中的一种时,确定执行所述操作行为的应用程序为白名单程序,控制所述应用程序继续运行;
当判定执行所述操作行为的应用程序未在预先生成的应用程序库中时,判定执行所述操作行为的应用程序为恶意程序,控制停止所述应用程序的运行。
作为一种改进的方案,所述方法还包括下述步骤:
预先生成应用程序库,所述应用程序库内保存有操作***所有必要的应用程序和一般用户日常使用的应用程序。
作为一种改进的方案,所述方法还包括下述步骤:
对所述应用程序库进行更新,更新所述应用程序库的方式包括手动更新和自动更新。
作为一种改进的方案,所述对所述应用程序库进行更新的步骤具体包括下述步骤:
获取所述操作***下应用程序的更新信息;
获取最新行业白名单的配置信息;
根据所述操作***下应用程序的更新信息和获取到的最新行业白名单的配置信息,控制所述应用程序库执行智能学习动作,对所述应用程序库进行更新。
作为一种改进的方案,所述操作***包括windows***和linux***。
本发明的另一目的在于提供一种计算机未知病毒的防御***,所述***包括:
动态监控模块,用于对计算机操作***内部运行的应用程序的操作行为进行动态监控,所述应用程序的行为包括应用程序的安装、更新、卸载和文件的读、写以及执行操作;
分析比对指令生成模块,用于当监测到应用程序的操作行为时,生成应用程序分析比对指令;
智能分析判断模块,用于根据生成的所述应用程序分析比对指令,对执行所述操作行为的应用程序进行智能分析,判断执行所述操作行为的应用程序是否为预先生成的应用程序库中的一种;
第一判定模块,用于当判定执行所述操作行为的应用程序为预先生成的应用程序库中的一种时,确定执行所述操作行为的应用程序为白名单程序,控制所述应用程序继续运行;
第二判定模块,用于当判定执行所述操作行为的应用程序未在预先生成的应用程序库中时,判定执行所述操作行为的应用程序为恶意程序,控制停止所述应用程序的运行。
作为一种改进的方案,所述***还包括:
应用程序库生成模块,用于预先生成应用程序库,所述应用程序库内保存有操作***所有必要的应用程序和一般用户日常使用的应用程序。
作为一种改进的方案,所述***还包括:
更新模块,用于对所述应用程序库进行更新,更新所述应用程序库的方式包括手动更新和自动更新。
作为一种改进的方案,所述更新模块具体包括:
更新信息获取模块,用于获取所述操作***下应用程序的更新信息;
白名单配置信息获取模块,用于获取最新行业白名单的配置信息;
更新动作执行模块,用于根据所述操作***下应用程序的更新信息和获取到的最新行业白名单的配置信息,控制所述应用程序库执行智能学习动作,对所述应用程序库进行更新。
作为一种改进的方案,所述操作***包括windows***和linux***。
在本发明实施例中,对计算机操作***内部运行的应用程序的操作行为进行动态监控;当监测到应用程序的操作行为时,生成应用程序分析比对指令;根据生成的应用程序分析比对指令,对执行操作行为的应用程序进行智能分析,判断执行所述操作行为的应用程序是否为预先生成的应用程序库中的一种;当判定执行操作行为的应用程序为预先生成的应用程序库中的一种时,确定执行操作行为的应用程序为白名单程序,控制应用程序继续运行;当判定执行操作行为的应用程序未在预先生成的应用程序库中时,判定执行操作行为的应用程序为恶意程序,控制停止应用程序的运行,实现白名单的智能部署,以及对未知病毒的有效拦截,提升了计算机的品质。
附图说明
图1是本发明提供的计算机未知病毒的防御方法的实现流程图;
图2是本发明提供的计算机未知病毒的防御***的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1示出了本发明提供的计算机未知病毒的防御方法的实现流程图,其具体包括下述步骤:
在步骤S101中,对计算机操作***内部运行的应用程序的操作行为进行动态监控,所述应用程序的行为包括应用程序的安装、更新、卸载和文件的读、写以及执行操作。
在步骤S102中,当监测到应用程序的操作行为时,生成应用程序分析比对指令。
在该步骤中,上述步骤S101监控到应用程序的操作行为时,要产生相应的指令以触发进行下一步的智能分析步骤,因此,此处生成应用程序分析比对指令。
在步骤S103中,根据生成的所述应用程序分析比对指令,对执行所述操作行为的应用程序进行智能分析,判断执行所述操作行为的应用程序是否为预先生成的应用程序库中的一种。
在步骤S104中,当判定执行所述操作行为的应用程序为预先生成的应用程序库中的一种时,确定执行所述操作行为的应用程序为白名单程序,控制所述应用程序继续运行。
在步骤S105中,当判定执行所述操作行为的应用程序未在预先生成的应用程序库中时,判定执行所述操作行为的应用程序为恶意程序,控制停止所述应用程序的运行。
在该实施例中,预先生成应用程序库,所述应用程序库内保存有操作***所有必要的应用程序和一般用户日常使用的应用程序;
window系列、linux系列操作***的安装镜像中的所有应用程序进行信息采集,将所有信息进行求并集,放在该应用程序库中,保证了放开执行这些应用程序不会影响操作***运行,另外可以追踪到所有出售的产品的用户加入的白名单程序,将主流的采集回来进行优化使用,这样就可以形成一个初始化模板,在实时监测到***应用程序变化的时候也可以通过在清单库中进行匹配和比对,根据返回结果觉得是否设置为白名单或者黑名单。
而且,该应用程序库内部设计结构采用程序信息的sha1、sha1256、MD5等信息,并且可以通过操作***和版本号进行查询,涵盖了200多个操作***版本300多万条的应用程序数据。
其中,根据操作***的不断升级和产品功能的丰富,对所述应用程序库进行更新,更新所述应用程序库的方式包括手动更新和自动更新;
该对所述应用程序库进行更新的步骤具体包括下述步骤:
(1)获取所述操作***下应用程序的更新信息;
(2)获取最新行业白名单的配置信息;
(3)根据所述操作***下应用程序的更新信息和获取到的最新行业白名单的配置信息,控制所述应用程序库执行智能学习动作,对所述应用程序库进行更新。
在本发明实施例中,动态监测***程序变化技术,在windows和linux下都可以实时的监控程序的行为,无论是安装、更新、卸载的应用程序都可以通过编码的形式实现操作***的程序监控。
图2示出了本发明提供的计算机未知病毒的防御***的结构框图,为了便于说明,图中仅给出了与本发明实施例相关的部分。
动态监控模块11,用于对计算机操作***内部运行的应用程序的操作行为进行动态监控,所述应用程序的行为包括应用程序的安装、更新、卸载和文件的读、写以及执行操作;
分析比对指令生成模块12,用于当监测到应用程序的操作行为时,生成应用程序分析比对指令;
智能分析判断模块13,用于根据生成的所述应用程序分析比对指令,对执行所述操作行为的应用程序进行智能分析,判断执行所述操作行为的应用程序是否为预先生成的应用程序库中的一种;
第一判定模块14,用于当判定执行所述操作行为的应用程序为预先生成的应用程序库中的一种时,确定执行所述操作行为的应用程序为白名单程序,控制所述应用程序继续运行;
第二判定模块15,用于当判定执行所述操作行为的应用程序未在预先生成的应用程序库中时,判定执行所述操作行为的应用程序为恶意程序,控制停止所述应用程序的运行。
其中,应用程序库生成模块16,用于预先生成应用程序库,所述应用程序库内保存有操作***所有必要的应用程序和一般用户日常使用的应用程序。
更新模块17,用于对所述应用程序库进行更新,更新所述应用程序库的方式包括手动更新和自动更新。
在该实施例中,更新模块17具体包括:
更新信息获取模块18,用于获取所述操作***下应用程序的更新信息;
白名单配置信息获取模块19,用于获取最新行业白名单的配置信息;
更新动作执行模块20,用于根据所述操作***下应用程序的更新信息和获取到的最新行业白名单的配置信息,控制所述应用程序库执行智能学习动作,对所述应用程序库进行更新。
其中,上述各个模块的功能如上述方法实施例所记载,在此不再赘述。
在本发明实施例中,对计算机操作***内部运行的应用程序的操作行为进行动态监控;当监测到应用程序的操作行为时,生成应用程序分析比对指令;根据生成的应用程序分析比对指令,对执行操作行为的应用程序进行智能分析,判断执行所述操作行为的应用程序是否为预先生成的应用程序库中的一种;当判定执行操作行为的应用程序为预先生成的应用程序库中的一种时,确定执行操作行为的应用程序为白名单程序,控制应用程序继续运行;当判定执行操作行为的应用程序未在预先生成的应用程序库中时,判定执行操作行为的应用程序为恶意程序,控制停止应用程序的运行,实现白名单的智能部署,以及对未知病毒的有效拦截,提升了计算机的品质。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种计算机未知病毒的防御方法,其特征在于,所述方法包括下述步骤:
对计算机操作***内部运行的应用程序的操作行为进行动态监控,所述应用程序的行为包括应用程序的安装、更新、卸载和文件的读、写以及执行操作;
当监测到应用程序的操作行为时,生成应用程序分析比对指令;
根据生成的所述应用程序分析比对指令,对执行所述操作行为的应用程序进行智能分析,判断执行所述操作行为的应用程序是否为预先生成的应用程序库中的一种;
当判定执行所述操作行为的应用程序为预先生成的应用程序库中的一种时,确定执行所述操作行为的应用程序为白名单程序,控制所述应用程序继续运行;
当判定执行所述操作行为的应用程序未在预先生成的应用程序库中时,判定执行所述操作行为的应用程序为恶意程序,控制停止所述应用程序的运行。
2.根据权利要求1所述的计算机未知病毒的防御方法,其特征在于,所述方法还包括下述步骤:
预先生成应用程序库,所述应用程序库内保存有操作***所有必要的应用程序和一般用户日常使用的应用程序。
3.根据权利要求2所述的计算机未知病毒的防御方法,其特征在于,所述方法还包括下述步骤:
对所述应用程序库进行更新,更新所述应用程序库的方式包括手动更新和自动更新。
4.根据权利要求3所述的计算机未知病毒的防御方法,其特征在于,所述对所述应用程序库进行更新的步骤具体包括下述步骤:
获取所述操作***下应用程序的更新信息;
获取最新行业白名单的配置信息;
根据所述操作***下应用程序的更新信息和获取到的最新行业白名单的配置信息,控制所述应用程序库执行智能学习动作,对所述应用程序库进行更新。
5.根据权利要求4所述的计算机未知病毒的防御方法,其特征在于,所述操作***包括windows***和linux***。
6.一种计算机未知病毒的防御***,其特征在于,所述***包括:
动态监控模块,用于对计算机操作***内部运行的应用程序的操作行为进行动态监控,所述应用程序的行为包括应用程序的安装、更新、卸载和文件的读、写以及执行操作;
分析比对指令生成模块,用于当监测到应用程序的操作行为时,生成应用程序分析比对指令;
智能分析判断模块,用于根据生成的所述应用程序分析比对指令,对执行所述操作行为的应用程序进行智能分析,判断执行所述操作行为的应用程序是否为预先生成的应用程序库中的一种;
第一判定模块,用于当判定执行所述操作行为的应用程序为预先生成的应用程序库中的一种时,确定执行所述操作行为的应用程序为白名单程序,控制所述应用程序继续运行;
第二判定模块,用于当判定执行所述操作行为的应用程序未在预先生成的应用程序库中时,判定执行所述操作行为的应用程序为恶意程序,控制停止所述应用程序的运行。
7.根据权利要求6所述的计算机未知病毒的防御***,其特征在于,所述***还包括:
应用程序库生成模块,用于预先生成应用程序库,所述应用程序库内保存有操作***所有必要的应用程序和一般用户日常使用的应用程序。
8.根据权利要求7所述的计算机未知病毒的防御***,其特征在于,所述***还包括:
更新模块,用于对所述应用程序库进行更新,更新所述应用程序库的方式包括手动更新和自动更新。
9.根据权利要求8所述的计算机未知病毒的防御***,其特征在于,所述更新模块具体包括:
更新信息获取模块,用于获取所述操作***下应用程序的更新信息;
白名单配置信息获取模块,用于获取最新行业白名单的配置信息;
更新动作执行模块,用于根据所述操作***下应用程序的更新信息和获取到的最新行业白名单的配置信息,控制所述应用程序库执行智能学习动作,对所述应用程序库进行更新。
10.根据权利要求9所述的计算机未知病毒的防御***,其特征在于,所述操作***包括windows***和linux***。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710865758.5A CN107729753A (zh) | 2017-09-22 | 2017-09-22 | 一种计算机未知病毒的防御方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710865758.5A CN107729753A (zh) | 2017-09-22 | 2017-09-22 | 一种计算机未知病毒的防御方法及*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107729753A true CN107729753A (zh) | 2018-02-23 |
Family
ID=61206753
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710865758.5A Pending CN107729753A (zh) | 2017-09-22 | 2017-09-22 | 一种计算机未知病毒的防御方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107729753A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109241734A (zh) * | 2018-08-10 | 2019-01-18 | 航天信息股份有限公司 | 一种防护软件运行效率优化方法及*** |
CN110020530A (zh) * | 2018-12-24 | 2019-07-16 | ***股份有限公司 | 用于确定应用程序在运行时的安全性的方法及其装置 |
CN110110503A (zh) * | 2019-04-28 | 2019-08-09 | 北京奇安信科技有限公司 | 一种针对软件的管控特定行为的方法及装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101924761A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种依据白名单进行恶意程序检测的方法 |
CN101923617A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云的样本数据库动态维护方法 |
CN103475671A (zh) * | 2010-08-18 | 2013-12-25 | 北京奇虎科技有限公司 | 恶意程序检测方法 |
CN103501294A (zh) * | 2010-08-18 | 2014-01-08 | 北京奇虎科技有限公司 | 判断程序是否恶意的方法 |
CN103607381A (zh) * | 2010-08-18 | 2014-02-26 | 北京奇虎科技有限公司 | 白名单生成及恶意程序检测方法、客户端和服务器 |
CN103617395A (zh) * | 2013-12-06 | 2014-03-05 | 北京奇虎科技有限公司 | 一种基于云安全拦截广告程序的方法、装置和*** |
CN105095741A (zh) * | 2014-05-13 | 2015-11-25 | 北京奇虎测腾科技有限公司 | 一种应用程序的行为监测方法和*** |
-
2017
- 2017-09-22 CN CN201710865758.5A patent/CN107729753A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101924761A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种依据白名单进行恶意程序检测的方法 |
CN101923617A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云的样本数据库动态维护方法 |
CN103475671A (zh) * | 2010-08-18 | 2013-12-25 | 北京奇虎科技有限公司 | 恶意程序检测方法 |
CN103501294A (zh) * | 2010-08-18 | 2014-01-08 | 北京奇虎科技有限公司 | 判断程序是否恶意的方法 |
CN103607381A (zh) * | 2010-08-18 | 2014-02-26 | 北京奇虎科技有限公司 | 白名单生成及恶意程序检测方法、客户端和服务器 |
CN103617395A (zh) * | 2013-12-06 | 2014-03-05 | 北京奇虎科技有限公司 | 一种基于云安全拦截广告程序的方法、装置和*** |
CN105095741A (zh) * | 2014-05-13 | 2015-11-25 | 北京奇虎测腾科技有限公司 | 一种应用程序的行为监测方法和*** |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109241734A (zh) * | 2018-08-10 | 2019-01-18 | 航天信息股份有限公司 | 一种防护软件运行效率优化方法及*** |
CN110020530A (zh) * | 2018-12-24 | 2019-07-16 | ***股份有限公司 | 用于确定应用程序在运行时的安全性的方法及其装置 |
CN110020530B (zh) * | 2018-12-24 | 2023-07-04 | ***股份有限公司 | 用于确定应用程序在运行时的安全性的方法及其装置 |
CN110110503A (zh) * | 2019-04-28 | 2019-08-09 | 北京奇安信科技有限公司 | 一种针对软件的管控特定行为的方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108108622B (zh) | 基于深度卷积网络和控制流图的漏洞检测*** | |
KR102528796B1 (ko) | '적대적 사례'에 대한 견고성 향상 방법 및 그 장치 | |
US10311356B2 (en) | Unsupervised behavior learning system and method for predicting performance anomalies in distributed computing infrastructures | |
CN107729753A (zh) | 一种计算机未知病毒的防御方法及*** | |
US11397633B2 (en) | Unifying semi-supervised approach for machine condition monitoring and fault diagnosis | |
CN111768008A (zh) | 联邦学习方法、装置、设备和存储介质 | |
KR102195750B1 (ko) | 사물 인터넷 환경에서의 에지 디바이스들 상의 소프트웨어 애플리케이션들의 프로비저닝 | |
CN107830767B (zh) | 基于远程控制的无人机反制方法及介质 | |
Pozdniakov et al. | Smart security audit: Reinforcement learning with a deep neural network approximator | |
CN111626327A (zh) | 飞机重着陆预测方法、装置、计算机设备及存储介质 | |
CN114840022A (zh) | 一种基于mas的多无人***监督控制方法 | |
CN113703741A (zh) | 神经网络编译器配置方法、装置、计算机设备和存储介质 | |
JP7342948B2 (ja) | 行動学習システム、行動学習方法及びプログラム | |
CN114944939A (zh) | 网络攻击态势预测模型构建方法、装置、设备及存储介质 | |
KR102085415B1 (ko) | 가중치 선택 신경망을 이용한 Wi-Fi 망의 침입 탐지 방법 및 장치 | |
CN105991973A (zh) | 用于用反馈自动调试智能视频***的***和方法 | |
CN110826695B (zh) | 数据处理方法、装置和计算机可读存储介质 | |
US20230185271A1 (en) | Automatic control loop decision variation | |
CN110286966B (zh) | 嵌入式***中多个子***的对接方法及装置 | |
Smith et al. | Improving model cross-applicability for operator workload estimation | |
KR101893290B1 (ko) | 딥 러닝 기반 교육용 비디오 학습 및 평가 시스템 | |
CN115906927A (zh) | 基于人工智能的数据访问分析方法、***及云平台 | |
US11330458B2 (en) | Systems and methods for detecting an unauthorized airborne device | |
CN114584360A (zh) | 基于大数据挖掘的互联网漏洞优化方法及深度学习云*** | |
CN115098864A (zh) | 一种图像识别模型的评测方法、装置、介质及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180223 |