[发明专利]一种主动防御的方法、装置及系统

说明书

技术领域

本发明涉及信息安全领域，特别是主动防御的方法、装置及系统。

背景技术

随着网络技术的发展，计算机病毒的产生和传播越来越快，传统的杀毒思路比较被动，不能很有效地对付病毒，因为它都是病毒先出现，研发人员才开始做后期的工作，最终提取特征码放入病毒库，用户再通过升级将最新的病毒清除掉。所以不能在第一时间完成对最新病毒的防护。

而主动防御技术正好能解决这个问题，主动防御技术能分析捕获到的程序行为，并根据预先设定的规则，判定是否应该允许或禁止该程序行为。

现有技术中的主动防御技术方案如下：

驱动捕获到程序行为后，将程序行为发送给行为分析引擎，行为分析引擎依据规则库和策略库来对程序行为进行分析，根据分析结果向驱动发出允许或禁止的引擎指令，然后驱动依据引擎指令允许或禁止程序行为，或者行为分析引擎将根据分析结果向用户界面发出告警问讯消息，行为分析引擎根据用户的允许或禁止的抉择消息来向驱动发出允许或禁止的引擎指令。

在实现本发明的过程中，发明人发现上述技术方案至少存在如下缺陷：实际上，有相当多的程序行为不需要进行行为分析引擎进行的高复杂度的处理就可以得出是否是需要加以防范的程序行为的结论，驱动仍把它所捕获的所有程序行为全都发给行为分析引擎来处理，而不论这些程序行为是不是有一部分其实是很容易就能辨别出是安全的正常程序行为，如文件行为和注册表行为。此外，驱动必须在得到行为分析引擎的引擎指令后才能进行下一步的动作，因而，在得到引擎指令之前一直处于等待状态，极大地影响了用户的使用体验。在整个驱动发送程序行为给行为分析引擎、行为分析引擎进行分析、驱动接收行为分析引擎的引擎指令的过程中，层间切换资源占用太多。

发明内容

本发明实施例提供了一种主动防御的方法、装置及系统，使用本发明实施例提供的技术方案，能够减少驱动与行为分析引擎的层间切换。

本发明实施例的目的是通过以下技术方案实现的：

本发明实施例提供了一种主动防御的方法，包括：

捕获程序行为；

对所述程序行为进行初步分析；

如果初步分析结果表明所述程序行为是需要进行深度分析的程序行为，发送所述程序行为的信息；

接收针对所述程序行为的引擎指令；

如果引擎指令是允许的引擎指令，允许所述程序行为，如果引擎指令是禁止的引擎指令，禁止所述程序行为。

本发明实施例还提供了另一种主动防御的方法，包括：

接收程序行为的信息；

对所述程序行为的信息进行深度分析；

如果深度分析结果是允许，发送针对所述程序行为的允许的引擎指令；如果深度分析结果是禁止，发送针对所述程序行为的禁止的引擎指令。

本发明实施例还提供了一种驱动装置，包括：

捕获单元、初步分析单元、信息发送单元、接收指令单元、执行单元；

捕获单元用于捕获程序行为；

初步分析单元用于对被捕获的程序行为进行初步分析；

信息发送单元用于当初步分析结果为需要进行深度分析的程序行为时，发送所述程序行为的信息；

接收指令单元用于接收针对程序行为的引擎指令；

执行单元用于当接收指令单元接收的引擎指令是允许的引擎指令时，允许所述程序行为，当接收指令单元接收的引擎指令是禁止的引擎指令时，禁止所述程序行为。

本发明实施例还提供了一种行为分析引擎装置，包括：

信息接收单元、深度分析单元、指令发送单元；

信息接收单元用于接收程序行为的信息；

深度分析单元用于依据加载的规则库对程序行为的信息进行深度分析，得到深度分析结果；

指令发送单元用于根据深度分析结果发出针对程序行为的允许/禁止的引擎指令。

本发明的实施例还提供了一种主动防御的系统，包括：

驱动、行为分析引擎、规则库；

驱动用于捕获程序行为，对程序行为进行初步分析，报告经过初步分析的程序行为的信息，接收针对程序行为的允许/禁止的引擎指令，根据允许的引擎指令，允许程序行为，根据禁止的引擎指令，禁止程序行为；

行为分析引擎用于接收报告的程序行为的信息，依据加载的规则库对所述程序行为的信息进行深度分析，针对程序行为发出允许/禁止的引擎指令；

规则库用于记录引擎进行深度分析所需的依据。