[发明专利]基于可扩展模式的恶意代码查杀系统和方法

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于可扩展模式的恶意代码查杀系统和方法。

背景技术

随着恶意代码源码的大量公开，病毒自动生成机的日益“普及”，及恶意远程控制软件和一些黑客工具随处可见，从而使生产和使用恶意代码的入门及操作更加容易，技术门槛越来越低；再加上恶意代码地下经济运作日趋“成熟”，使恶意代码技术不再只是属于民间，而是更加趋向于“职业技术团队”方向发展；互联网上的非法恶意代码开发培训网站收费低廉更促使了恶意代码的泛滥。基于以上原因恶意代码的生产者与使用者越来越多，促使恶意代码的种类与技术不断的更新。例如U盘病毒，ARP病毒，各种盗号木马，网页木马，僵尸网络，漏洞攻击等。无论是个人用户，大型企业，还是政府部门都遭受了不同程度的经济损失。主要技术特点为智能化、人性化、隐蔽化、多样化、攻击反病毒软件、模块化等。恶意代码技术变革速度正在以几何级数的速度不断加快，使对其使用通用查杀、统一建模方式检测已有了快速的免杀措施。现有反病毒技术已存在了一定的查杀瓶颈。

通用恶意代码等查杀方式的规则添加是固定的；而现今恶意代码的更新技术发展迅速，层出不穷的新技术与新方法不断被使用以抵抗常规反病毒软件的通用检测技术，当这些软件想再加入新的检测方式时，便在扩充性上遇到了瓶颈；反病毒软件不可以频繁的更改其恶意代码的特征检测方法。如果频繁的更新相当于一次又一次的重新开发软件。而在基于可扩展模式的恶意代码查杀系统中此问题不复存在，其采用脚本组件形式进行查杀方法的定制实现，通过功能组件方式进行新功能的扩展开发实现，以引擎对象进行整体管理与调度执行，最终达到扩展模式与查杀功能的目的。

发明内容

本发明提供了一种基于可扩展模式的恶意代码查杀系统和方法，解决了目前在恶意代码通用查杀方法上的不足与滞后性。特别是在其可扩展性与灵活性上，使恶意代码的查杀技术可被定制，能够针对流行恶意代码的各种不同行为进行处置与查杀。

基于可扩展模式的恶意代码查杀系统的基本原理是一种用于面向恶意代码查杀技术的可扩展模式；包括实现各个扩展方法的相关功能组件，进行定制相应查杀方法的相关脚本组件， 以及实现综合管理、调度、执行的引擎对象。该可扩展模式还包括与功能组件相关联的应用程序的上下文实现，与脚本组件的应用程序相关联的上下文实现，以及组件与引擎对象之间的各种相互关系与协调管理调度等。

功能组件可应用不同的扩展方法，完成各种扩展功能。不同的扩展方法可由一个功能组件实现，也可由多个功能组件实现。在功能组件实现和随时增删组件时对其它组件及对象透明，只给出调用接口即可。脚本组件可应用不同的定制方法，完成具体的恶意代码查杀方法的实现与功能调用。不同的定制方法可由一个脚本组件实现，也可以由多个脚本组件实现。引擎对象包括组件管理器、组件执行器、优先级组件，以完成恶意代码查杀的整体管理、调度、执行的各个操作。其中组件管理器对众多组件进行统一的管理与调度操作。其中组件执行器对需要执行的组件进行相应方法执行。其中优先级组件对各组件进行有序的管理，以配合其它组件管理器进行组件的排序、级别的指派与分发。

本发明提供的一种基于可扩展模式的恶意代码查杀系统，包括：

功能组件，包括实现恶意代码处置策略所需的功能模块，并提供功能模块的导出接口；

脚本组件，包括实现恶意代码处置策略的处置脚本，并提供处置脚本的调用接口，所述处置脚本是通过功能组件的导出接口调用了功能模块的处置脚本；

引擎对象，管理和调度功能组件和脚本组件，执行脚本组件中的处置脚本，实现恶意代码处置策略，完成恶意代码查杀。

所述功能模块包括预先存在的功能模块和自行扩展开发的功能模块。

所述处置脚本包括预先存在的处置脚本和自行扩展开发的处置脚本。

所述系统包括一个或者多个功能组件。

所述系统包括一个或者多个脚本组件。

所述引擎对象具体包括：

组件管理器，用于管理和调度功能组件和脚本组件；

组件执行器，用于调用脚本组件的调用接口执行脚本组件；

优先级组件，用于对功能组件和脚本组件进行有序管理，确定功能组件和脚本组件的执行次序。

本发明还提供了一种基于可扩展模式的恶意代码查杀方法，适用于上文所述的系统，所述方法包括步骤：

分析恶意代码得到查杀恶意代码的处置策略，判断脚本组件中是否已经有所述处置策略对应的处置脚本；

如果已有处置脚本能够实现所述处置策略，则复用已有脚本组件中的处置脚本；