发明名称 |
一种区分有害程序行为的方法 |
摘要 |
本发明涉及了一种区分有害程序行为的方法,其特征在于,使用了基于状态动作集的病毒攻击识别库,包括如下步骤:1.1)对未知程序的动作行为进行监控并记录;1.2)将该程序被记录的动作行为作为一个整体,与所述病毒攻击识别规则库进行比较;1.3)根据比较结果区分有害程序行为;是,则向用户报警或阻止该程序继续运行;否,则程序继续运行并返回步骤1.1)。运用本发明的方法,不依赖病毒代码特征,而是对未知程序动作行为进行分析,判断是否为有害程序行为,因此,该方法具有高效、准确的优点,并且能对新生的攻击程序提前做出警报。 |
申请公布号 |
CN100557545C |
申请公布日期 |
2009.11.04 |
申请号 |
CN200410103148.4 |
申请日期 |
2004.12.31 |
申请人 |
福建东方微点信息安全有限责任公司 |
发明人 |
刘旭 |
分类号 |
G06F1/00(2006.01)I |
主分类号 |
G06F1/00(2006.01)I |
代理机构 |
北京同立钧成知识产权代理有限公司 |
代理人 |
刘 芳 |
主权项 |
1、一种区分有害程序行为的方法,其特征在于:该方法是基于病毒攻击识别规则库,所述病毒攻击识别规则库记录了多种病毒、木马及有害程序的攻击行为特征,每一记录对应一类病毒,每一类病毒对应一个动作集,该动作集包括一系列动作及其之间特定的关联关系,并且所述区分有害程序行为的方法包括如下步骤,1.1)对未知程序的动作行为进行监控并记录;1.2)将该未知程序被记录的动作行为作为一个整体,与所述病毒攻击识别规则库进行比较;1.3)根据比较结果区分有害程序行为;是,则向用户报警或阻止该未知程序继续运行;否,则程序继续运行并返回步骤1.1);所述被记录的动作行为包括:动作类型、动作发生时间和调用者;所述监控并记录的动作行为包括,监控动作,指该动作可能影响计算机安全、需要对其进行实时监控;危险动作,该动作首先是一个监控动作,在程序运行中,该动作可能威胁计算机安全;此外所述动作行为还包括,非监控动作,不影响计算机安全无需进行监控的动作。 |
地址 |
350002福建省福州市鼓楼区工业路548号创业中心五层 |