发明名称 |
一种恶意代码检测及防御的方法 |
摘要 |
一种恶意代码检测及防御的方法,与其它恶意代码检测及防御方法不同的是使用了基于P2P的无中心网络,构建了一个恶意代码检测及防御系统。对于未知的程序,并不阻止它的运行,而在后续的运行过程中会监控它。通过处理对程序的监控所得到的大量数据得到一些策略。这些策略类似于条件反射,告诉防御部分怎么处理某个程序。响应部分告诉防御部分针对某个程序应该做什么,主要内容包括终止恶意进程、终止网络连接、恢复被破坏的注册表项、恢复被破坏的文件、阻止内核模块加载、修改,恢复服务,恢复被篡改的内核信息。本发明具有的有益效果包括自主更新、快速反应、用户透明、程序透明、无后遗症。 |
申请公布号 |
CN103428212A |
申请公布日期 |
2013.12.04 |
申请号 |
CN201310343342.9 |
申请日期 |
2013.08.08 |
申请人 |
电子科技大学 |
发明人 |
陈厅;张小松;陈瑞东;牛伟纳;王东;廖军;张凡;张蕾 |
分类号 |
H04L29/06(2006.01)I;H04L29/08(2006.01)I;G06F21/56(2013.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
成都华典专利事务所(普通合伙) 51223 |
代理人 |
徐丰;杨保刚 |
主权项 |
一种恶意代码检测及防御的方法,其特征在于包括以下步骤:步骤1、检测,对于未知的程序,并不阻止它的运行,而在后续的运行过程中会监控它,并且和网络中的其它客户端交流关于这个未知程序的各种信息,一旦发现某个程序的恶意行为,就通告网络中的其它客户端;步骤2、响应,响应部分是处理数据的阶段,检测部分获取的大量数据在响应部分通过处理得到防御策略,步骤3、防御,处理恶意代码以及其带来的影响,响应部分告诉防御部分针对某个程序进行动作,主要内容包括以下几点:1.终止恶意进程;2.终止网络连接;3.恢复被破坏的注册表项;4.恢复被破坏的文件;5.阻止内核模块加载、修改,恢复服务,恢复被篡改的内核信息。 |
地址 |
611731 四川省成都市高新区(西区)西源大道2006号 |