[发明专利]一种基于海量程序行为数据的终端防护系统及方法

说明书

技术领域

本发明涉及计算机信息技术安全领域，具体涉及一种基于海量程序行为数据的终端防护系统及方法。

背景技术

随着计算机的广泛应用，计算机病毒入侵造成的危害越来越大。众多信息安全类厂商研制出许多相应的防范产品。这些产品大致可以分为边界安全产品和终端安全产品。边界安全产品，如准入网关，通过对通讯端口、协议的管控来阻止入侵行为。终端安全产品，如杀毒软件，通过扫描监控范围内的文件，与病毒文件的代码特征比对，来清除有害文件。可见，边界安全产品和终端安全产品相辅相成。在病毒入侵的网络行为特征不明显而导致边界安全产品失效情况下，终端安全产品的作用就尤为重要。

“CN200510007682-基于程序行为分析的计算机防护”和“CN201210129761-一种API日志监控方法及装置”提出了两种病毒检测、保护终端的方法。其共同点都是对终端程序的动态特征，尤其是API调用，进行监控，来实现终端保护功能。这种方法的优点是病毒的行为特征相对于病毒的文件结构更为稳定，因此，程序动态特征分析较之病毒文件静态结构分析，能更有效地应对病毒发生变异的情况。然而，CN200510007682方法和CN201210129761方法也存在着不足之处。CN200510007682中的方法对包括已知系统服务在内的所有的程序都进行监控并且使用钩挂系统API (Application Programming Interface：应用程序编程接口)函数的方式，这样会造成一定的系统负载。在CN201210129761中，其判断程序是否安全的准则是，程序有没有调用过可信文件列表之外的模块。这样的判别准则过于简单，病毒完全可能通过调用一系列可信模块实现其攻击。

上述两种方法都是对终端系统进行实时保护，其好处是能以最快的速度对可疑程序行为作出响应，其弊端是为了实现实时响应，就难以对已采集的API调用进行充分地分析，因而需要更多的用户干预，来辅助处理可疑报警。

发明内容

本发明针对上述技术存在的不足，提出一种基于海量程序行为数据的终端防护系统及方法，是一种异常行为的事后检测方法，采用文件特征对比与程序的系统调用序列分析相结合的方式来识别程序异常行为，使得入侵者在其动作行为暴露出固有的特点之后依然能被发现。本发明扩大了可分析的终端程序API调用序列的规模，可分析长时间跨度的API调用序列。

本发明所述的一种基于海量程序行为数据的终端防护系统，包括：

文件特征提取模块，用于建立知名的合法程序名单和攻击程序名单，为这些程序建立文件特征库；

程序API调用采集模块，用于对应用程序的系统调用进行采集；

程序行为序列分析模块，负责从API调用日志文件中提取出各个程序的API调用序列；

判别模块，判断终端上启动的程序是否具有安全威胁。

所述的系统调用包括文件操作、系统信息操作、进程操作、内存操作、注册表操作、网络操作。

所述的系统调用采集是在终端程序启动时，终端防护系统即对其加载过程进行拦截，然后在内存映射文件中钩挂上述系统调用，从而完成对终端程序的系统调用采集。

所述的从API调用日志文件中提取各个程序的API调用序列是采用滑动窗口的方式，以线程为单位，从线程的第一个系统调用记录开始向后滑动，到线程的最后一个系统调用为止，根据滑动窗口的尺寸，生成API调用序列的片段。

所述的API调用序列的生成采用Map Reduce(映射约简)计算方法，以线程ID为键，以系统调用的时间为值，通过二次排序操作从API调用日志文件中提取各个程序的API调用序列。

本发明还提供一种基于海量程序行为数据的终端防护方法，包括下列步骤：

步骤a，文件特征提取模块，建立知名的合法程序名单和攻击程序名单，并对这些程序建立文件特征库；

步骤b，通过自动化工具，分析病毒的API调用序列，建立安全威胁行为库；

步骤c，程序API调用采集模块，对应用程序的系统调用进行采集，即在终端程序启动时，终端防护系统对其加载过程进行拦截，然后在内存映射文件中钩挂上述系统调用，从而完成对终端程序的系统调用采集；

步骤d，判别模块判断终端上启动的程序是否正常，即将启动程序与文件特征库对比，如果是文件特征库中的知名攻击程序，则终端上启动的程序不正常，直接发出安全威胁报警；