[发明专利]主动防御方法及装置

说明书

本申请为申请日2012年9月29日，申请号CN201210376903.0，发明名称为“主动防御方法及装置”的母案的分案申请。

技术领域

本发明涉及计算机安全技术领域，特别是涉及主动防御方法及装置。

背景技术

恶意程序是一个概括性的术语，指任何故意创建用来执行未经授权并通常是有害行为的软件程序。计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒(batch,windows shell,java等)、木马、犯罪软件、间谍软件和广告软件等等，都是一些可以称之为恶意程序的例子。

传统的恶意程序防杀主要依赖于特征库模式。特征库是由厂商收集到的恶意程序样本的特征码组成，而特征码则是分析工程师从恶意程序中找到和正当软件的不同之处，截取一段类似于“搜索关键词”的程序代码。当查杀过程中，引擎会读取文件并与特征库中的所有特征码“关键词”进行匹配，如果发现文件程序代码被命中，就可以判定该文件程序为恶意程序。

特征库匹配是查杀已知恶意程序很有效的一项技术。但是现今全球恶意程序数量呈几何级增长，基于这种爆发式的增速，特征库的生成与更新往往是滞后的，很多时候杀毒软件无法防杀层出不穷的未知恶意程序。

HIPS(Host-based Intrusion Prevention System，基于主机的入侵防御系统)是一种通过拦截系统内的常见危险动作，不以特征码作为判断恶意程序的依据，而是从最原始的定义出发，直接将程序的行为作为判断恶意程序的依据，其中衍生出在本地使用特征库、在本地设置行为阈值以及在本地启发式杀毒的方式来判别、拦截恶意程序的行为，从而一定程度上达到保护用户电脑的目的。借助自己对软件及系统的了解，人为的或者软件内置的一些触发条件制止一些不正常的动作，以达到系统安全的一个软件系统，这种触发条件一般称为HIPS规则。

然而，在现有技术中使用HIPS规则进行主动防御时，经常出现误报的现象。因此，迫切需要本领域技术人员解决的技术问题就在于，如何在使用HIPS规则进行主动防御时，降低误报的概率。

发明内容

本发明提供了主动防御方法及装置，能够降低误判的概率。

本发明提供了如下方案：

本发明实施例提供一种主动防御方法，包括：

对预置接口产生的远程过程调用协议RPC调用进行跟踪；

当用户权限的进程通过预置接口发起调用系统服务进程的请求时，拦截所述请求，从所述请求中提取源文件的路径，并建立所述源文件的路径与被调用的系统服务进程之间的关联；

如果有操作行为触发基于主机的入侵防御系统HIPS规则、并根据进程链追溯到发起所述操作行为的进程是被调用的系统服务进程，则将所述源文件的路径确定为所述操作行为的来源；

根据所述源文件的危险等级，执行主机入侵防御处理。

可选地，所述源文件包括MSI安装包文件，所述对预置接口的RPC调用进行跟踪包括：

对接口IMSIServer::DoInstallRemote的RPC调用进行跟踪，以便获取所述MSI安装包文件在系统中的保存路径。

可选地，所述源文件包括MSI安装包文件中的动态链接库DLL文件，所述对预置接口的RPC调用进行跟踪包括：

对接口CMsiCustomAction::PrepareDLLCustomAction的RPC调用进行跟踪，以便获取所述MSI安装包文件中的DLL文件的DLL路径。

可选地，所述根据所述源文件的危险等级，执行主机入侵防御处理包括：

确定源文件的危险等级；

根据所述源文件的危险等级，对所述操作行为执行拦截。

可选地，所述根据所述源文件的危险等级，执行主机入侵防御处理包括：

根据所述源文件的危险等级，向用户进行风险提示，并将所述源文件的信息提示给用户。

本发明实施例提供一种主动防御装置，包括：

跟踪单元，用于对预置接口产生的远程过程调用协议RPC调用进行跟踪；

拦截单元，用于当当用户权限的进程通过预置接口发起调用系统服务进程的请求时，拦截所述请求，从所述请求中提取源文件的路径，并建立所述源文件的路径与被调用的系统服务进程之间的关联；

来源确定单元，用于如果有操作行为触发基于主机的入侵防御系统HIPS规则、并根据进程链追溯到所述被调用的系统服务进程，则将所述源文件的路径确定为所述操作行为的来源；