[发明专利]一种主动防御的方法、装置及系统

权利要求书

1、一种主动防御的方法，其特征在于，包括：

捕获程序行为；

对所述程序行为进行初步分析；

如果初步分析结果表明所述程序行为是需要进行深度分析的程序行为，发送所述程序行为的信息；

接收针对所述程序行为的引擎指令；

如果引擎指令是允许的引擎指令，允许所述程序行为，如果引擎指令是禁止的引擎指令，禁止所述程序行为。

2、根据权利要求1所述的主动防御的方法，其特征在于，对所述程序行为进行初步分析的步骤包括：

提取所述程序行为的信息；

将提取的信息和规则库中已有的信息进行比较，得到初步分析结果。

3、根据权利要求1或2所述的主动防御的方法，其特征在于，所述程序行为是文件行为、和/或注册表行为、和/或进程线程行为。

4、根据权利要求1所述的主动防御的方法，其特征在于：

在发送所述程序行为的信息之后，如果在正常时间范围内未接收到针对所述程序行为的引擎指令，允许所述程序行为。

5、根据权利要求1所述的主动防御的方法，其特征在于：如果初步分析结果表明所述程序行为是不需要进行深度分析的程序行为，允许所述程序行为。

6、一种主动防御的方法，其特征在于，包括：

接收程序行为的信息；

对所述程序行为的信息进行深度分析；

如果深度分析结果是允许，发送针对所述程序行为的允许的引擎指令；如果深度分析结果是禁止，发送针对所述程序行为的禁止的引擎指令。

7、根据权利要求6所述的主动防御的方法，其特征在于，对所述程序行为的信息进行深度分析的步骤包括：

从加载的规则库相对应的规则中获取对所述程序行为的操作信息，将其作为深度分析结果。

8、根据权利要求6所述的主动防御的方法，其特征在于，在对程序行为的信息进行深度分析后，若得到的深度分析结果是问询，该方法进一步包括：

发出告警问询消息；

接收到响应所述告警问询消息的抉择消息；

如果抉择消息是允许，发送针对所述程序行为的允许的引擎指令；如果抉择消息是禁止，发送针对所述程序行为的禁止的引擎指令。

9、一种驱动装置，其特征在于，包括：

捕获单元、初步分析单元、信息发送单元、接收指令单元、执行单元；

捕获单元用于捕获程序行为；

初步分析单元用于对被捕获的程序行为进行初步分析；

信息发送单元用于当初步分析结果为需要进行深度分析的程序行为时，发送所述程序行为的信息；

接收指令单元用于接收针对程序行为的引擎指令；

执行单元用于当接收指令单元接收的引擎指令是允许的引擎指令时，允许所述程序行为，当接收指令单元接收的引擎指令是禁止的引擎指令时，禁止所述程序行为。

10、根据权利要求9所述的驱动装置，其特征在于，所述执行单元还用于当所述接收指令单元在正常时间范围内未接收到针对程序行为的引擎指令时，允许程序行为。

11、根据权利要求9所述的驱动装置，其特征在于，在初步分析单元的初步分析结果表明所述程序行为是不需要进行深度分析的程序行为时，执行单元还用于允许所述程序行为。

12、一种行为分析引擎装置，其特征在于，包括：

信息接收单元、深度分析单元、指令发送单元；

信息接收单元用于接收程序行为的信息；

深度分析单元用于依据加载的规则库对程序行为的信息进行深度分析，得到深度分析结果；

指令发送单元用于根据深度分析结果发出针对程序行为的允许/禁止的引擎指令。

13、根据权利要求12所述的行为分析引擎装置，其特征在于，还包括：

告警问讯消息发送单元、抉择消息接收单元；

告警问讯消息发送单元用于当深度分析单元的深度分析结果是问询时，发送针对程序行为的告警问讯消息；

抉择消息接收单元用于接收响应所述告警问讯消息的允许/禁止的抉择消息；

所述指令发送单元还用于若抉择消息是允许时，发送针对所述程序行为的允许的引擎指令；若抉择消息是禁止时，发送针对所述程序行为的禁止的引擎指令。