[发明专利]一种安全防护系统

权利要求书

1.一种安全防护系统，包括安装于用户计算机的系统客户端、与所述系统客户端交互通讯的系统服务器，其特征在于，包括：

防篡改模块，用于阻止未知进程和木马进程修改当前进程、网页页面、文件或篡改系统；

蜜罐模块，用于根据安装在计算机中的安全防护软件的信息，确定所述计算机是否为病毒制作者的计算机，判断计算机中利用安全防护软件检测的文件是否为木马文件；

启发模块，用于根据被检测的文件的位置、内容和来源信息判断所述被检测的文件是否为木马文件。

2.根据权利要求1所述的安全防护系统，其特征在于，所述蜜罐模块包括：

设于系统客户端的木马作者过滤库，用于存储预存的木马作者的木马作者行为规则，所述木马作者行为规则包括安全防护软件的数量、安全防护软件的扫描操作频率和特征码定位器；

设于系统客户端的检测单元，用于检测安全防护软件的数量、安全防护软件的扫描操作频率和计算机中是否包含特征码定位器；

设于系统客户端的第一判断单元，用于判断检测单元的检测结果是否与木马作者过滤库中的木马作者行为规则匹配，若检测结果与木马作者行为规则过滤库中任一木马作者行为规则匹配，则系统服务器检测所述利用安全防护软件扫描的文件；

设于系统服务器的木马规则过滤库，用于存储常见的木马行为规则；

设于系统服务器的第二判断单元，判断系统客户端利用安全防护软件扫描的文件是否为木马文件，并将判断结果发送至提取单元；

设于系统客户端的提取单元，用于提取所述木马文件信息至防篡改模块。

3.根据权利要求2所述的安全防护系统，其特征在于：所述木马作者行为规则包括计算机内安装两个以上安全防护软件、24小时内安全防护软件扫描操作两次以上、以及存在特征码定位器。

4.根据权利要求1所述的全防护系统，其特征在于：所述防篡改模块包括，

设于系统服务器的黑名单数据库，用于存储预设的木马进程；

设于系统服务器的白名单数据库，用于存储预设的安全进程；

设于系统服务器的第一特征查询单元，用于判断被检测文件的进程是否是黑名单数据库中的木马进程，若是，判断被检测文件为木马文件；若否，发送检测信号至第二特征查询单元；

设于系统服务器的第二特征查询单元，用于判断被检测文件的进程是否是白名单数据库中的安全进程，若是，判断被检测文件为安全文件；若否，则被检测文件为未知文件；

设于系统客户端的防篡改单元，用于阻止未知进程以及木马进程修改当前进程、网页页面、文件或篡改系统。

5.根据权利要求4所述的安全防护系统，其特征在于：所述防篡改模块还包括支付网站数据库，用于存储支付网站网址；

支付模式判断单元，用于判断当前系统是否进入具有支付页面的支付模式，若支付页面的网页地址为支付网站数据库中的支付网站网址，则支付模式判断单元判断当前系统进入支付模式，发送当前系统进入支付模式的信号至防篡改单元，启动防篡改单元。

6.根据权利要求5所述的安全防护系统，其特征在于：

所述第一特征查询单元或第二特征查询单元判断的被检测的文件包括在进入支付模式前已有文件，以及进入支付模式后新增的文件。

7.根据权利要求1所述的安全防护系统，其特征在于：

所述启发模块包括位置单元、代码单元、来源单元、黑网址数据库和加权单元；

所述位置单元确定被检测文件的关联位置，所述关联位置指被检测文件位于系统目录或存在系统启动项，若被检测文件位于系统目录或存在系统启动项，则所述被检测文件获得一加权值；

所述黑网址数据库用于存储预存的恶意网址；

所述代码单元用于判断文件是否存在恶意代码，若存在则获得一加权值；

所述来源单元用于检测文件的来源，若文件来自黑网址数据库中的恶意网址，则所述文件获得一加权值；

所述加权单元计算所述文件获得的加权值总和，判断加权值总和是否超过加权值阈值，若超过，判断所述文件为木马文件，将所述木马文件的信息发送至防篡改模块。