[发明专利]一种基于云平台的程序行为分析的主动防御方法

说明书

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种基于云平台的程序行为分析的主动防御方法。

背景技术

随着网络与信息技术的发展，网络正深刻地改变着人类的生活与工作方式。各种网络交叉互联，在给人们生活与工作带来极大方便的同时，信息安全问题也逐渐凸显，当前，随着计算机技术的发展，木马黑客技术、恶意攻击技术日新月异，其特点表现为趋利性、隐蔽性、针对性、抗杀性。黑色产业链的形成，恶意代码数量呈几何级数增长，而且恶意代码制造技术门槛降低、免杀技术日新月异、企事业面临的安全威胁正在飞速增长，黑客攻击工具、蠕虫病毒、木马后门、间谍软件、恶意脚本、ARP病毒等恶意代码爆发式增长、海量恶意代码带来的海量攻击持续不断的或周期性的困扰着用户，给企事业的信息系统造成严重的破坏，故病毒防御技术也在不断的发展，传统的病毒防御技术是从病毒体中提取病毒特征值并构成病毒特征库的方法来识别恶意代码，尽管这种方法的执行效率很高，但是存在相当大的局限性，这种技术对于新病毒的反应迟钝，特征代码库的更新则依赖于软件供应商搜集最新病毒信息并分析提取特征码，这样导致反病毒技术总是滞后于病毒的产生；且由于恶意代码快速发展，安全威胁已不是仅局限于病毒，而是包含各类已知和未知的病毒、蠕虫、木马、间谍软件、恶意插件、Rootkit和零日攻击等恶意代码，传统病毒防御技术难以检测此类攻击。

发明内容

针对现有技术的上述缺陷和问题，本发明提供了一种基于云平台的程序行为分析的主动防御方法，能够智能提高主机系统的安全风险静态防御能力，能有效提升终端主机安全防御能力，降低终端主机对病毒、木马、后门程序、流氓软件等恶意代码的感染概率，防御主机系统面临安全威胁。

为了达到上述目的，本发明提供如下技术方案：一种基于云平台的程序行为分析的主动防御方法，系统包括云端和云客户端，其中，云端由恶意代码行为分析模块、程序行为监测模块、恶意代码处理模块构成；云客户端包括程序行为监测模块、恶意代码行为辨识模块、恶意代码处理模块构成，云客户端对运行的程序行为或动作进行监控，并捕获行为，用实时运行在云客户端的恶意代码行为辨识模块的行为辨识算法程序对所监控程序的行为进行分析判断，如能准确判断该程序为恶意程序，则处理掉该程序；如不能准确判断时，则把监控捕获到的该程序的行为或动作传送到云端的恶意代码行为分析模块，恶意代码行为分析模块归纳、提取并定义为新的恶意程序行为，加入到云端恶意代码行为分析模块中的恶意程序行为辨识处理算法程序中，云端根据行为辨识算法程序的更新或变动情况，实时更新云客户端的恶意代码行为辨识模块的行为辨识算法程序，云客户端根据恶意代码行为辨识模块中新的行为辨识算法程序决定是否对该程序行为进行拦截、终止执行该程序或清理该程序，最终将处理的结果反馈到云端。

所述一种基于云平台的程序行为分析的主动防御方法，包括步骤如下：

步骤101：在云客户端计算机，运行或启动任一程序，如*.exe，*.dll等目标程序；

步骤102：在云客户端“程序行为监测模块”的作用下，对运行的程序行为或动作进行监控；

步骤103：捕获监测到的行为；

步骤104：根据云客户端的行为辨识算法程序判定捕获到的行为；

步骤105：判定该程序是否为恶意代码；

步骤106：如果判断结果为是恶意代码，则云客户端的恶意代码处理模块会马上处理并清除恶意代码；

步骤107：如果不能准确判断，把监控捕获到的该程序的行为或动作传送到云端的恶意代码行为分析模块；

步骤108：云端的恶意代码行为分析模块归纳、提取并定义最新的恶意程序行为；

步骤109：实时更新云端恶意代码行为分析模块中的恶意程序行为辨识处理算法程序；

步骤110：云端分发新的行为辨识算法程序到云客户端，云客户端的恶意代码行为处理模块根据云客户端的恶意代码行为辨识模块的新的行为辨识算法程序决定是否对该程序行为进行拦截、终止执行该程序或清理该程序。

优选的技术方案，在步骤108：云端的恶意代码行为分析模块归纳、提取并定义最新的恶意程序行为时，云端加载足够多的各类恶意代码、正常软件，对新定义的最新的恶意程序行为生成进行验证。

优选的技术方案，在步骤104：云客户端的行为辨识算法程序判定捕获到的行为，需要通过正向算法辨识是否是恶意代码，为了增加判断的准确性，减少误判率，同时对程序进行反向算法辨识，确定其是否是正常程序。

优选的技术方案，云端同云客户端通过数据加密的方式通信。