[发明专利]一种Windows下智能化主动防御系统及方法

摘要

本发明涉及一种Windows下智能化主动防御系统和方法。所述系统包括主动防御子系统和机器学习子系统。主动防御子系统利用内核Hook过滤驱动等方式，进行程序关键行为的监视和过滤；恶意程序清除功能依靠一些常见的Anti Rootkit手段，通过获取到最高的系统权限，对恶意程序进行有效的清除；机器学习子系统还包括机器学习引擎和沙盒，用于实现自我学习、恶意行为智能化判定的功能。本发明所述系统和方法能够智能化地自动识别恶意行为，无需过多人工判断，可以有效地减少人工操作，无论是对于专业的病毒分析人员还是普通用户，都减轻了使用的负担。并且在使用的过程中可以自动地提高准确率，实现了无需升级越用越准确的目标。

主权项

一种Windows下智能化主动防御系统，其特征在于包括主动防御子系统和机器学习子系统；主动防御子系统用于监测系统中程序的关键行为；机器学习子系统用于实现自我学习、恶意行为智能化判定的功能；主动防御子系统具有恶意程序监视和恶意程序清除功能；主动防御子系统利用内核Hook、过滤驱动方式，进行程序关键行为的监视和过滤；恶意程序清除功能依靠一些常见的Anti Rootkit手段，通过获取到最高的系统权限，对恶意程序进行有效的清除；机器学习子系统还包括机器学习引擎和沙盒Sandbox；其中，机器学习引擎，是机器学习子系统的核心，用于进行恶意行为的自我学习和智能化判定，通过主动防御系统生成的行为状态序列，交给机器学习引擎，进行以学习到的知识进行判定，并可以人工进行结果的检验和校正；Sandbox主要是创建一个虚拟化的执行环境，用于生成初始的调用状态序列以便于机器学习引擎进行训练；通过一些内核挂钩和过滤驱动，但不仅需要进行监视程序行为，为了保证对真实的系统不产生影响，还需要对一些程序的关键行为重定向到可控制的存储区，在程序结束后可进行清除；应用智能化主动防御系统进行防御的方法，包括以下步骤：步骤1，首先在服务器上部署整个机器学习引擎核心，并将服务器为中心与客户机和后台控制器连接；步骤2，在后台控制器上部署Sandbox模块，并建立黑名单与白名单列表库，并将已知的系统文件MD5值写入白名单，将常见的恶意程序的MD5值写入黑名单；步骤3，在Sandbox模块中运行1000个样本，将产生的结果报告传输到机器学习引擎核心服务器，作为初始输入；根据机器学习的结果与已知的样本性质进行对比，将不一致的强制写入黑白名单中，进行人工校准，保证训练的准确性；步骤4，完成初始化训练后，在每个客户机上部署主动防御系统，部署完毕即可随系统而启动；步骤5，在部署的客户机上由主动防御系统进行实时监控，对于当前内存中存在的所有可执行代码文件的MD5值上传至后台控制器中；对于白名单中存在的文件直接放过，对于黑名单中存在的文件直接进行清除；步骤6，将存在未知可执行文件的进程的状态序列报告上传至机器学习引擎服务器，由机器学习引擎进行智能判断；如果属于正常状态转至步骤7，存在异常行为转至步骤8；步骤7，将状态正常的信息反馈给主动防御系统，系统放过该进程所有行为，并将未知文件上传至后台控制器中的隔离区；步骤8，将异常的信息反馈给客户机，由主动防御系统定位发生异常行为的可执行文件，并将其MD5写入黑名单，然后再把所有未知的文件上传至后台控制器的隔离区；步骤9，定期由技术人员检查抽样隔离区中的文件，并与机器学习的结果作对比，并修正黑白名单，保证机器学习训练过程中的正确性，使其识别率愈来愈准确，越少需要人为干涉，只需少量的人力即可维护整个系统的正确性。