| 发明名称 | 一种区分有害程序行为的方法 | ||
| 摘要 | 本发明涉及了一种区分有害程序行为的方法,其特征在于,使用了基于状态动作集的病毒攻击识别库,包括如下步骤:1.1)对未知程序的动作行为进行监控并记录;1.2)将该程序被记录的动作行为作为一个整体,与所述病毒攻击识别规则库进行比较;1.3)根据比较结果区分有害程序行为;是,则向用户报警或阻止该程序继续运行;否,则程序继续运行并返回步骤1.1)。运用本发明的方法,不依赖病毒代码特征,而是对未知程序动作行为进行分析,判断是否为有害程序行为,因此,该方法具有高效、准确的优点,并且能对新生的攻击程序提前做出警报。 | ||
| 申请公布号 | CN100557545C | 申请公布日期 | 2009.11.04 |
| 申请号 | CN200410103148.4 | 申请日期 | 2004.12.31 |
| 申请人 | 福建东方微点信息安全有限责任公司 | 发明人 | 刘旭 |
| 分类号 | G06F1/00(2006.01)I | 主分类号 | G06F1/00(2006.01)I |
| 代理机构 | 北京同立钧成知识产权代理有限公司 | 代理人 | 刘 芳 |
| 主权项 | 1、一种区分有害程序行为的方法,其特征在于:该方法是基于病毒攻击识别规则库,所述病毒攻击识别规则库记录了多种病毒、木马及有害程序的攻击行为特征,每一记录对应一类病毒,每一类病毒对应一个动作集,该动作集包括一系列动作及其之间特定的关联关系,并且所述区分有害程序行为的方法包括如下步骤,1.1)对未知程序的动作行为进行监控并记录;1.2)将该未知程序被记录的动作行为作为一个整体,与所述病毒攻击识别规则库进行比较;1.3)根据比较结果区分有害程序行为;是,则向用户报警或阻止该未知程序继续运行;否,则程序继续运行并返回步骤1.1);所述被记录的动作行为包括:动作类型、动作发生时间和调用者;所述监控并记录的动作行为包括,监控动作,指该动作可能影响计算机安全、需要对其进行实时监控;危险动作,该动作首先是一个监控动作,在程序运行中,该动作可能威胁计算机安全;此外所述动作行为还包括,非监控动作,不影响计算机安全无需进行监控的动作。 | ||
| 地址 | 350002福建省福州市鼓楼区工业路548号创业中心五层 | ||