[发明专利]计算机信息安全的方法

权利要求书

1.计算机信息安全的方法，其特征是，它至少包括如下步骤：

1)对系统进行日志记录；

2)判断程序行为是否涉及到被保护文件，若是被保护文件，则根据保护规则禁止运行或限制运行，若不是被保护文件则检测是否有试图修改系统安全的敏感文件；

3)没有试图修改系统安全的敏感文件，继续运行第2)条；

4)如果有试图修改系统安全的敏感文件，启动自动备份原始文件，进行第5)条的操作，如果没有试图修改系统安全的敏感文件，重新返回第2)条；

5)允许修改系统安全的敏感文件；

6)通过第1)条建立的运行日志记录分析识别恶意程序；

7)是非法程序，删除非法程序，进行第8)条的操作，不是非法程序重新返回第2)条；

8)根据该非法程序的运行轨迹进行恢复被该恶意程序修改的文件和注册表的内容等，使系统恢复到该恶意程序(及其相关恶意程序)运行前的状态，从而维护系统的正常运行；

9)返回第2)条。

2.根据权利要求1所述的计算机信息安全的方法，其特征是：所述的被保护文件是指根据用户事先的指定的文件，指定的文件只能在指定的时间段内被指定的程序以指定的权限和指定的用户身份以及指定的密码访问；从而确保用户指定的文件不会被非法访问。

3.根据权利要求1所述的计算机信息安全的方法，其特征是：所述的对系统进行日志记录至少包括进程日志、网络活动日志、注册表变更日志(Unix/Linux下无)、文件变更和生成日志等。

4.根据权利要求1所述的计算机信息安全的方法，其特征是：所述的通过运行日志记录分析识别恶意程序包括：

1)定时触发分析和敏感事件触发分析；所述的敏感事件是指对系统安全可能造成危害的修改注册表，修改启动项入口，启动shell，增加或删除文件事件；

2)分析算法是基于时间顺序分析和进程序列分析，用于实现对各种危害的识别和危害过程的完整描述，作为后继恢复的基础。

5.根据权利要求1所述的计算机信息安全的方法，其特征是：所述的自动备份原始文件方式是把待修改的文件或注册表内容进行适当变形后保存，同时记下引起备份的进程，时间，原始文件路径和时间等，并进行备份大小控制，防止过度备份引起硬盘的紧张，乃至系统的崩溃。

6.根据权利要求1所述的计算机信息安全的方法，其特征是：所述的文件恢复包括覆盖原始文件或注册表，使系统还原为原始状态。