[发明专利]基于行为的程序种类判断方法、装置和程序控制方法、装置

说明书

技术领域

本发明涉及一种程序种类判断方法和程序控制方法。

背景技术

在计算机管理中，例如在对程序的检测过程中，有时需要知道一个待检测的程序是否属于一个已知的种类，以便对该程序进行必要的处理。由于实际中有许多程序分类的方法，对应的也有很多方法判断一个待检测的程序的种类，例如，在静态情况下，可以通过待检测程序的扩展文件名来判断。如*.doc为文本程序，*.exe为可执行程序，*.pic为图片程序等等。或者，通过分析一个程序的结构，获得静态环境下该待检测程序的种类。

然而，在动态环境下，例如对于网络环境下以数据流方式存在的待检测程序，就不可能采用静态的方式获得该程序的种类信息，如果待检测程序是一个病毒程序，该程序就会由于不能被及时处理而造成对系统的危害。

为了获得各种环境下待检测程序的种类信息，通常采用结果判定的方法，该方法在截获待检测程序后，为该程序设置一个虚拟的操作环境，然后获得虚拟操作环境下的程序执行结果，最后根据结果判断待检测程序的种类。显然，这种方法需要耗费较多的时间，在动态的环境下实际并不可行。

作为一种改进，人们发明了基于行为的程序种类判断方法，然而由于对程序行为的理解不同，基于行为的程序控制方式的技术方案和效果也千差万别。一种典型的方法将基于某种系统的敏感或重要的系统功能调用，即系统函数的调用作为程序行为，并进一步作为监控待检测程序的控制点，预先根据这些控制点确定某种程序正常行为的控制点集合，然后在截获的待检测程序中查找是否存在已经确定的正常行为的控制点集合，如果存在，即可确定待检测程序的种类，从而及时对该程序进行必要的处理。

例如，一个基于利用LSM(Linux Security Modules，Linux安全模块)截获点进行程序行为控制的方法，首先利用LSM截获点描述某种程序正常行为并建立正常行为模式库，在截获待检测程序所具有的LSM控制点信息后，生成LSM截获点序列，然后将生成的序列与正常行为模式库中已有的截获点序列比较，如果存在匹配的截获点序列，则确定该待检测程序为某种种类的程序。

该方法中，LSM框架对系统需要保护的资源进行分析，确定哪些是需要保护的客体，进一步确定这些客体对应哪些数据结构，以及哪些系统函数对其进行了操作，在对所述客体进行访问的最终系统函数中，插入钩子(hook)函数截获访问，并通过另外一些钩子函数修改客体对应的数据结构，以满足安全机制的需要。其中，所述LSM截获点涉及系统函数或系统内核，与系统各种资源的访问有关，即，将系统中涉及资源访问的系统函数作为敏感或重要的系统函数，将调用这些系统函数的行为进一步作为程序行为控制点，即LSM控制点。因此，该方法用涉及系统资源访问的函数控制点作为判断待检测的程序行为是否正常的基础。这种方法有两个明显的缺陷，一是受系统的局限过大：由于不同的系统可能有不同的涉及资源操作的函数，该函数的数量、功能有较大差异，如果以一个特定系统的资源访问函数为基础判断待检测程序的行为会导致方法的通用性变差；二是对待检测程序的行为判断的准确性在满足通用性的前提下会有较大的下降：由于程序的不当行为可能涉及资源访问，也可能涉及其他方面，例如程序的强行捆绑，不当的写或移动操作等，单纯以资源访问等有限的函数作为程序行为控制点会产生较大的不当行为的遗漏，从而造成行为判断的准确性下降。

另一方面，如果以上述方法为基础实现对不同或特定种类程序的控制操作，也会产生相同的问题。

发明内容

本发明要解决的问题在于，提供一种通用性好、准确率高的基于行为的程序种类判断方法和装置，从而实现在多种系统平台下的准确判断待检测程序是否为某种确定种类的程序。

另外，本发明还提供一种基于行为的程序控制方法和装置，实现对不同种类程序的及时操作。

本发明实施例提供的基于行为的程序种类判断方法，包括：

截获待检测程序，顺序获取待检测程序中能够完成特定功能或结果的行为数据，形成行为数据序列；

将所述行为数据序列与预置的程序行为模式库中存储的行为数据序列进行比较，根据比较结果确定所述待检测程序的种类。

本发明实施例提供的基于行为的程序种类判断装置，包括存储有程序行为数据序列的程序行为模式库，还包括：

用于截获待检测程序的程序截获单元，和，顺序获取待检测程序中能够完成特定功能或结果的行为数据，形成行为数据序列的数据序列生成单元，以及，

比较单元，用于将所述行为数据序列与预置的程序行为模式库中存储的行为数据序列进行比较；