| 发明名称 | 一种安全防护系统 | ||
| 摘要 | 本发明属于网络安全技术领域,具体公开了一种安全防护系统,包括防篡改模块,用于识别木马文件,阻止未知进程和木马进程修改当前进程、网页页面、文件或篡改系统;蜜罐模块,用于检测病毒作者,以及快速捕获其利用安全防护软件检测的可疑文件;启发模块,用于根据被检测文件的位置、内容和来源信息判断所述被检测文件是否为木马文件。本发明有效地解决了一般安全防护系统无法快速全面发现木马程序并阻止木马程序修改当前进程、网页页面、文件或篡改系统,大大增强了用户系统的安全性。 | ||
| 申请公布号 | CN103150511B | 申请公布日期 | 2016.12.28 |
| 申请号 | CN201310086620.7 | 申请日期 | 2013.03.18 |
| 申请人 | 珠海市君天电子科技有限公司;北京金山安全软件有限公司;贝壳网际(北京)安全技术有限公司;北京金山网络科技有限公司 | 发明人 | 陈章群;陈春晓;赵闽;陈勇 |
| 分类号 | G06F21/56(2013.01)I | 主分类号 | G06F21/56(2013.01)I |
| 代理机构 | 广州新诺专利商标事务所有限公司 44100 | 代理人 | 张奇洲;华辉 |
| 主权项 | 一种安全防护系统,包括安装于用户计算机的系统客户端、与所述系统客户端交互通讯的系统服务器,其特征在于,包括:防篡改模块,用于阻止未知进程和木马进程修改当前进程、网页页面、文件或篡改系统;蜜罐模块,用于根据安装在计算机中的安全防护软件的信息,确定所述计算机是否为病毒制作者的计算机,判断计算机中利用安全防护软件检测的文件是否为木马文件;启发模块,用于根据被检测的文件的位置、内容和来源信息判断所述被检测的文件是否为木马文件;其中,所述蜜罐模块包括:设于系统客户端的木马作者过滤库,用于存储预存的木马作者的木马作者行为规则,所述木马作者行为规则包括安全防护软件的数量、安全防护软件的扫描操作频率和特征码定位器;设于系统客户端的检测单元,用于检测安全防护软件的数量、安全防护软件的扫描操作频率和计算机中是否包含特征码定位器;设于系统客户端的第一判断单元,用于判断检测单元的检测结果是否与木马作者过滤库中的木马作者行为规则匹配,若检测结果与木马作者过滤库中任一木马作者行为规则匹配,则系统服务器检测所述利用安全防护软件检测的文件;设于系统服务器的木马规则过滤库,用于存储常见的木马行为规则;设于系统服务器的第二判断单元,判断系统客户端利用安全防护软件检测的文件是否为木马文件,并将判断结果发送至提取单元;设于系统客户端的提取单元,用于提取所述木马文件信息至防篡改模块;所述启发模块包括位置单元、代码单元、来源单元、黑网址数据库和加权单元;所述位置单元确定被检测文件的关联位置,所述关联位置指被检测文件位于系统目录或存在系统启动项,若被检测文件位于系统目录或存在系统启动项,则所述被检测文件获得一加权值;所述黑网址数据库用于存储预存的恶意网址;所述代码单元用于判断被检测文件是否存在恶意代码,若存在则获得一加权值;所述来源单元用于检测被检测文件的来源,若被检测文件来自黑网址数据库中的恶意网址,则所述被检测文件获得一加权值;所述加权单元计算所述被检测文件获得的加权值总和,判断加权值总和是否超过加权值阈值,若超过,判断所述被检测文件为木马文件,将所述木马文件的信息发送至防篡改模块。 | ||
| 地址 | 519015 广东省珠海市吉大景山路莲山巷8号 | ||