[发明专利]一种病毒在线实时处理系统及其方法

说明书

技术领域

本发明涉及网络安全领域，特别是涉及Windows操作系统平台下一种针对偷盗用户账号密码病毒的在线实时处理系统及其方法。

背景技术

现有的病毒处理技术都是在用户端运行，病毒处理技术大致包括：固定或者浮动特征串、虚拟机技术及注册表监控技术。

固定或者浮动特征串病毒处理技术，是通过在文件的固定偏移位置或一个浮动范围内偏移的位置寻找一组固定的数据，以此作为病毒依据进行病毒判断。该处理技术的缺陷是，病毒采用加密压缩自身方式或者把源代码重新组合编译，就产生新的病毒文件，故该查毒方式不能发现新的病毒文件，从而也就不能有效杀灭新病毒。

采用固定或者浮动特征串病毒处理技术的杀毒软件较多，如目前市场上的瑞星杀毒软件、江民杀毒软件、金山杀毒软件、赛门铁克杀毒软件等软件。

虚拟机病毒处理技术，是通过模拟操作系统和CPU(Center ProcessingUnit，中央处理器)，在引擎控制下将程序文件加载运行，记录程序文件的行为，对有破坏行为的程序进行报毒。该处理技术的缺陷是，因模拟的操作系统和CPU并非真实的操作系统和CPU，病毒总能找到发现在虚拟环境中运行的方法，从而停止运行，造成虚拟机引擎无法发现程序的破坏行为。

例如，中国专利申请CN03811842.4公开了一种变形病毒计算机检测方法，该方法首先分析计算机病毒的执行，以开发该病毒的寄存器签名；寄存器签名指定了当使用一组给定的输入进行执行时，病毒所产生的一组输出；病毒检测系统(Virus Detection System，VDS)拥有寄存器签名的数据库；VDS检测可能包含计算机病毒的文件，并识别文件中的潜在入口点；VDS使用拥有初始状态的虚拟机来在每个入口点模拟相对少量的指令。当模拟每个潜在入口点时，VDS构建了一个寄存器表，用于跟踪虚拟寄存器的子集的状态。一旦VDS到达模拟断点，它将结合考虑寄存器签名来分析寄存器表，以确定文件是否包含病毒。该发明给出了变形病毒的有效处理方法，但该方法为了保证效率只能虚拟寄存器等部分环境，无法保证所虚拟的环境是真实的，这样，病毒完全可以发现是在虚拟的环境中运行，从而停止运行。特别的是，这种方法不涉及病毒程序对用户信息安全的行为分析，所以不能有效发现偷账号密码的病毒。

注册表监控病毒处理技术，是通过单一的注册表进行监控，以程序对关键注册表项的修改作为判定依据，因为绝大多数的木马病毒程序通过注册表启动项启动自身，故把木马病毒程序使用过的注册表启动项的名称作为特征。该处理技术的缺陷是，木马病毒程序很容易变换注册表项的名称，所以采用该处理技术并不能有效地处理木马病毒程序。

由于上述三种病毒处理技术在进行病毒在线实时处理方面存在一定的局限性，因此，亟待提出一种病毒处理技术来解决目前病毒的在线实时处理。

发明内容

本发明所要解决的技术问题在于提供一种病毒在线实时处理系统及其方法，用于有效杀灭偷盗用户账号密码病毒，以保障用户网络上的账号密码安全。

为了实现上述目的，本发明提供了一种病毒在线实时处理系统，包括用户终端和网站服务器，其特征在于，还包括：一设置于所述用户终端上的进程监控模块及一病毒分析服务器；

由所述进程监控模块通过一病毒可疑文件判定算法对运行于所述用户终端上的进程进行可疑文件判断，选择出可疑文件并通过网络上传至所述网站服务器；

由所述网站服务器对该可疑文件分配给所述病毒分析服务器进行病毒分析，并根据病毒分析结果对可疑文件进行病毒判断，当可疑文件为病毒时，向所述用户终端发出病毒警示消息并发送病毒清除方法。

所述的病毒在线实时处理系统，其中，所述进程进行可疑文件判断采用的依据包括：已知晓的病毒家族特征串和/或已知晓的病毒技巧特征。

所述的病毒在线实时处理系统，其中，所述病毒分析服务器以如下分析方式之一或组合方式对所述病毒进行分析：

应用程序接口跟踪器方式；或

反病毒软件陷阱方式；或

电子银行和游戏的登录陷阱方式；或

文件、注册表监控方式；或

网络环境方式。

所述的病毒在线实时处理系统，其中，所述网站服务器包括一个或多个网站服务器；所述病毒分析服务器包括一个或多个病毒分析服务器。

所述的病毒在线实时处理系统，其中，每个所述网站服务器连接有一个或多个病毒分析服务器。

为了实现上述目的，本发明还提供了一种病毒在线实时处理方法，其特征在于，包括：