[发明专利]建立根据计算系统操作请求关联关系判断计算机操作请求安全性的计算机信息安全防护方法

说明书

技术领域：

本发明涉及一种计算机系统安全的防护方法，更具体地说涉及一种建立根据计算系统操作请求关联关系判断计算机操作请求安全性的计算机信息安全防护方法。

背景技术：

由于计算机应用技术和网络通信技术的普及，由计算机应用和网络通信构成的信息平台已经成为人们工作、学习、购物等日常生活基础条件之一，人们在充分享受信息平台带来的系统化便利的同时，可能也没有人能幸免受到恶意代码的侵害。

目前常见的保护人们日常使用的信息安全平台的系统主要有“黑名单”类如：杀病毒类软件、防火墙类软件，“白名单”类如：防水墙类软件和主动防御类软件，以及非常见的有“可信”操作系统、“安全”操作系统以及“庇护类”安全系统。

上述的安全系统中，“黑名单”类系统应用相对广泛，而“白名单”类系统、“可信系统”以及“操作系统加固”类系统因其应用技术要求高而使其应用范围相对较小。

“黑名单”系统具体通过“查杀”来实现安全保障，实现方法：查系统问题、定位恶意代码侧面、分析恶意代码特征码、清除恶意代码等四个步骤。“查杀”系统必须具有以下的技术保障：①必须及时发现计算系统存在的问题；②必须能准确定位问题的产生原因；③必须准确分析恶意代码的特征；④必须完整清除恶意代码。但是实际上发现计算机所有存在的问题就十分困难，更无法保障其它步骤的准确性和完整性。因此，“查杀”系统是一种事后的补救措施，其并不保证操作系统的安全性，更不具备防范未知恶意代码的能力。

“白名单”类系统是确定哪些程序允许运行，哪些程序不允许运行，“白名单”系统的突出问题是因为无法保障允许执行程序在代码执行过程中加载和调用的正确性。也无法保证程序之间的关联加载和调用正确性。因此“白名单”系统在实际应用中难以推广。

“可信系统”和“庇护”类系统一般具有较强的抗恶意代码能力，从理论上说且具有抗未知恶意代码能力，但是“可信系统”和“庇护”类系统对应用者的要求极高，使用者不但要熟悉操作系统，而且要对应用系统十分熟悉，且能够对操作系统和应用系统进行相应的安全定义，并且需要使用者具有系统执行的跟踪和分析能力。因对应用者具有极高技术要求，因此此类系统只应用在高端应用领域。

发明内容：

本发明的目的是针对现有信息安全理论和信息安全技术不足而提供一种建立根据计算系统操作请求关联关系判断计算机操作请求安全性的计算机信息安全防护方法。

本发明的目的是通过以下措施来实现：一种建立根据计算系统操作请求关联关系判断计算机操作请求安全性的计算机信息安全防护方法，其特征在于，包含以下步骤：

步骤一，在计算运行状态下，对计算机操作系统内核或硬件抽象层产生的操作请求进行拦截；

步骤二，依据拦截到的操作请求的属性，在现有的关联结构已知某节点下创建虚拟节点，建立关联关系，构成一个虚拟关联结构；

步骤三，在虚拟关联结构中回溯虚拟节点的根节点，取得当前操作请求在虚拟关联结构中的关联规则；

步骤四，依据回溯取得的关联规则，与已定义的危险操作规则匹配，确定是否存在危害；

步骤五，依据与危险操作规则匹配结果决定当前操作是否允许执行，并更新关联结构。

所述步骤一拦截为利用操作系统内部的文件过滤、设备过滤、网络包过滤的过滤功能进行拦截。

所述步骤一拦截操作请求是指拦截计算机内部的文件操作请求、配置操作请求、内存操作请求、磁盘操作请求、网络操作请求。

所述步骤二的操作请求的属性为操作者请求发起者、被请求操作对象以及请求操作类型。

所述步骤二现有的关联结构定义为仅由操作系统内核、组件、服务发起的操作请求以及由直接用户发起的应用系统操作请求为根节点，由上述根节点发起的操作请求为子节点、子节点发起的请求为孙子节点的一种系统操作请求追溯结构。

所述步骤二的某节点是指在关联结构中与所拦截到的任意一个操作请求其属性中的操作请求发起者相匹配的节点。

所述步骤二的关联关系为指拦截到任意一个请求时，首先假设请求成立，根据拦截到的操作请求属性，在当前操作请求的发起者节点下虚拟一个子节点，当对一个已经存在的节点调用时，则建立一个虚拟子关联，使所有操作请求发起者与被请求的操作对象进行关联，得到虚拟关联节点。

所述步骤二虚拟关联结构为根据拦截到的当前操作请求属性中的请求发起者信息，在请求发起者节点下创建虚拟的子节点，该虚拟关联节点与现有的关联结构共同构成虚拟关联结构。

所述步骤三的根节点为通过已经建立的虚拟关联结构，从虚拟节点开始，回溯当前节点与上一级节点的关联关系，最终回溯至虚拟节点的最初发起者节点。