[发明专利]一种基于驱动级程序的APT预防方法及系统

说明书

技术领域

本发明涉及信息安全领域，特别涉及一种基于驱动级程序的APT 预防方法及系统。

背景技术

计算机与互联网经历几代变革的高速发展，催生出来各个多元化的分支，其中信息安全不仅涉及到了各个分支中，而且在移动通信、物联网、甚至工业控制领域等均有所涉足；目前已经成为一门独立的具有全新技术体系的成熟领域。在此领域中又分出了众多的子课题，而恶意代码防护技术是信息安全中的一个最重要的子课题之一。

在恶意代码防护技术中一个最重要的部分便是高级可持续性威胁(Advanced Persistent Threat)，简称APT。APT攻击是目前攻击类型中最高端的攻击模式，被公认为是一种地下产业链的核心行为。APT所应用的技术方法层出不穷，以专业的地下产业团队进行有针对性、有计划、有特定目的、有固定目标的小范围的针对性的定向攻击。APT的众多技术中的核心技术之一为应用未知恶意代码进行隐蔽攻击、潜伏隐藏、窃取数据、远程操控等。而这些未知恶意代码具有高级的防反病毒软件检测能力，且因为针对性的定向攻击，模仿正常软件行为、条件触发、再加上加壳加密等多种高端技术，让攻击更加有效，更加精准。

在目前恶意代码的检测方案、防护产品层出不穷，但大部分均为基于恶意代码本地特征库、恶意代码网络特征库、防火墙规则等的用户终端程序或产品、防火墙、IDS、IPS、SOC、UTM、NAC、网闸等；这些产品有一个共同的特点是基于已知规则检测，针对未知恶意代码的检测能力较弱，虽然也有些产品具有基于白名单的未知检测能力，但白名单的维护量太大，不可能面面俱到的收集所有的程序与软件，存在大量的漏报；而本发明解决了利用未知恶意代码进行APT攻击的防护问题，给出了切实可行的一种基于驱动程序的APT预防方法及系统。

发明内容

本发明提供了一种基于驱动级程序的APT预防方法及系统实现，解决了目前在未知恶意代码通用查杀与预防方法上的不足与滞后性；特别是在APT类恶意代码上具有良好的预防效果。

一种基于驱动级程序的APT预防方法，包括：

在系统启动前，HOOK拦截操作系统所有启动项；

判断所拦截的操作系统启动项是否为最小启动项；如果是，则加载所述操作系统启动项，否则拦截，并进行静态模式匹配；所述最小启动项为能够完成操作系统基本服务的启动项；通过该步骤操作，能够使系统按照最小启动项的设定，过滤和管理系统启动项；

判断所述静态模式匹配为普通用户模式或专业用户模式，如果为普通用户模式，则判断所述操作系统启动项是否在预设启动规则中，如果是，则加载所述操作系统启动项，否则拦截所述操作系统启动项； 预设启动规则为管理员在初次安装软件时进行设定的启动项，用户无法进行更改；

如果为专业用户模式，则判断所述操作系统启动项是否在手动配置启动规则中，如果是，则加载所述操作系统启动项，否则拦截所述操作系统启动项； 

根据加载的操作系统启动项，运行操作系统。

本发明方法在操作系统开启后，如果是普通用户模式，由于只加载存在于预设启动规则中的启动项，则每次启动后都是相同的操作系统环境；如果是专业用户模式，则每次启动后随手动配置启动规则中规则的添加和改变，操作系统环境会有相应变化。

进一步所述的方法中，在加载所述操作系统启动项之前，还包括：校验所述操作系统启动项。

进一步所述的方法中，所述预设启动规则，为由系统管理员预先设定的启动项列表；所述手动配置启动规则，为由用户在系统初装或运行过程中，手动添加的启动项列表。

进一步所述方法中，运行操作系统后，若系统当前为专业用户模式，则还包括：

若检测到操作系统中的进程进行写启动项操作，则进行HOOK拦截，并向用户发出警告；

根据用户指令进行相应操作。

进一步所述的方法中，所述用户指令包括：允许写入启动项，并将所述启动项添加到手动配置启动规则中；或上报所述写启动项行为信息。

本发明方法基于操作系统启动具有固定先后启动顺序的原理，本发明方法应用于操作系统启动前，相当于系统内核级程序，具有最高的执行权限，能够HOOK拦截系统中的所有启动项，并根据确定的最小启动项确认放行加载的系统启动项，能够做到精准定位；并且由于支持普通用户模式与专业用户模式，使静态模式匹配可定制，具有可扩展性与灵活性；能够针对未知的恶意代码在第一步启动处拦截，且不影响正常软件的启动与运行。

本发明还提供一种基于驱动级程序的APT预防系统，包括：