[发明专利]未知威胁主动防御方法和系统

权利要求书

1.一种未知威胁主动防御方法，其特征在于，应用于服务器，包括：

获取待识别文件和/或待识别流量；

对所述待识别文件和/或所述待识别流量进行行为分析，得到文件轨迹和/或流量轨迹；

基于所述文件轨迹和/或所述流量轨迹，对所述待识别文件和/或所述待识别流量进行威胁分析，得到所述待识别文件的恶意度和/或所述待识别流量的恶意度；

基于所述待识别文件的恶意度和/或所述待识别流量的恶意度，判断所述待识别文件和/或所述待识别流量是否为恶意文件和/恶意流量。

2.根据权利要求1所述的方法，其特征在于，对所述待识别文件进行行为分析，得到文件轨迹的步骤，包括：

在文件系统的操作函数上挂载第一钩子函数；其中，所述操作函数包括以下至少之一：文件的打开操作函数，创建操作函数，读取操作函数，写入操作函数，文件的关闭操作函数和更改文件属性操作函数；

利用所述第一钩子函数获取所述待识别文件的文件轨迹；所述文件轨迹包括：文件操作开始时间，文件操作结束时间，操作项，操作进程名称，操作用户名称，文件权限。

3.根据权利要求1所述的方法，其特征在于，对所述待识别流量进行行为分析，得到流量轨迹的步骤，包括：

在网络协议栈上挂载第二钩子函数；

利用所述第二钩子函数获取所述待识别流量的流量轨迹；所述流量轨迹包括：链接创建时间，链接关闭时间，所述待识别流量的目的IP，所述待识别流量的目的端口，进程信息，操作用户名称。

4.根据权利要求1所述的方法，其特征在于，基于所述文件轨迹，对所述待识别文件进行威胁分析，得到所述待识别文件的恶意度的步骤，包括：

基于所述文件轨迹，对所述待识别文件进行威胁分析，分别得到所述待识别文件所属用户对所述待识别文件的操作的第一威胁度，和所述待识别文件运行后的进程的第二威胁度；

对所述第一威胁度和所述第二威胁度进行求和操作，得到所述待识别文件的恶意度。

5.根据权利要求1所述的方法，其特征在于，基于所述流量轨迹，对所述待识别流量进行威胁分析，得到所述待识别流量的恶意度的步骤，包括：

基于所述流量轨迹，对所述待识别流量进行威胁分析，分别得到所述待识别流量所属用户对所述待识别流量的操作的第三威胁度，和所述待识别流量所属的进程的第四威胁度；

对所述第三威胁度和所述第四威胁度进行求和操作，得到所述待识别流量的恶意度。

6.一种未知威胁主动防御系统，其特征在于，应用于服务器，包括：终端模块，第一分析模块，第二分析模块和未知威胁处理模块，其中，

所述终端模块，用于获取待识别文件和/或待识别流量；

所述第一分析模块，用于对所述待识别文件和/或所述待识别流量进行行为分析，得到文件轨迹和/或流量轨迹；

所述第二分析模块，用于基于所述文件轨迹和/或所述流量轨迹，对所述待识别文件和/或待识别流量进行威胁分析，得到所述待识别文件的恶意度和/或所述待识别流量的恶意度；

所述未知威胁处理模块，用于基于所述待识别文件的恶意度和/或所述待识别流量的恶意度，判断所述待识别文件和/或所述待识别流量是否为恶意文件和/恶意流量。

7.根据权利要求6所述的系统，其特征在于，所述第一分析模块还包括文件分析单元，用于：

在文件系统的操作函数上挂载第一钩子函数；其中，所述操作函数包括以下至少之一：文件的打开操作函数，创建操作函数，读取操作函数，写入操作函数，文件的关闭操作函数和更改文件属性操作函数；

利用所述第一钩子函数获取所述待识别文件的文件轨迹；所述文件轨迹包括：文件操作开始时间，文件操作结束时间，操作项，操作进程名称，操作用户名称，文件权限。