[发明专利]基于三环体系的安全防护系统

权利要求书

1.一种基于三环体系的安全防护系统，其特征在于，包括：

控制逻辑层，用于包括配置进程、数据的控制逻辑；

决策管理层，用于对控制逻辑层的控制逻辑进行管理，并对可疑行为进行决策；

功能引擎层，根据决策管理层的策略执行相应的操作。

2.如权利要求1所述的基于三环体系的安全防护系统，其特征在于，在所述控制逻辑层中，所述配置进程、数据包括根据行为的三元素——行为的产生者、行为的接收者和资源数据分别对应配置如下策略模块：进程控制，进程保护和数据保护。

3.如权利要求2所述的基于三环体系的安全防护系统，其特征在于，所述进程控制用于监控行为的产生者的所有可疑行为，防止对其他进程或系统进行不良操作，也防止对资源数据进行破坏或者恶意占用；所述进程保护用于对来自外部的可疑行为进行严格的控制；所述数据保护用于对一些敏感的、重要的数据进行保护。

4.如权利要求3所述的基于三环体系的安全防护系统，其特征在于，所述进程保护中的外部可疑行为主要包含执行进程、全局钩子、创建远程线程、远程插入APC、读取远程进程地址空间、写入远程进程地址空间、挂起进程、挂起线程、结束远程进程、安装驱动、设置自启动、感染可执行文件、释放可执行文件。

5.如权利要求3所述的基于三环体系的安全防护系统，其特征在于，所述数据保护中一些敏感的、重要的数据包括系统文件、模块、注册表的关键资源数据，所述数据保护包括目录管理、模块管理、注册表管理。

6.如权利要求2所述的基于三环体系的安全防护系统，其特征在于，所述控制逻辑层的具体控制逻辑过程为：行为产生者首先产生行为，若该行为存在目标进程，则需要经过进程保护策略的审核；若该行为需要操作资源数据，则需要经过数据保护策略的审核；最后该行为还需要经过进程控制策略的审核；当该行为通过进程保护、数据保护、进程控制三项策略审核之后，才被允许继续执行；若该行为无法通过这三项策略的审核，就意味着属于有害行为，那么该行为就会被禁止。