[发明专利]基于三环体系的安全防护系统

说明书

技术领域

本发明属于计算机应用系统安全领域，尤其涉及一种基于三环体系的安全防护系统。

背景技术

目前，很多安全厂商在推出新产品时，总是强调该产品具有“主动防御”技术，可以防御未知病毒、未知威胁、ZeroDay攻击等。一般意义上的“主动防御”，就是全程监视进程的行为，一但发现“违规”行为，就通知用户，或者直接终止进程。它类似于警察判断潜在罪犯的技术，在成为一个罪犯之前，大多数的人都有一些异常行为，比如“性格孤僻，有暴力倾向，自私自利，对现实不满”等先兆，但是并不是说有这些先兆的人就都会发展为罪犯，或者罪犯都有这些先兆。因此一般意义上的“主动防御”并不能100％发现病毒或者攻击。

发明内容

本发明要解决的技术问题是提供一种基于三环体系的安全防护系统，能够有效地阻止病毒、木马或恶意脚本对系统所进行的有害行为。

为解决上述技术问题，本发明一种基于三环体系的安全防护系统，包括：

控制逻辑层，用于包括配置进程、数据的控制逻辑；

决策管理层，用于对控制逻辑层的控制逻辑进行管理，并对可疑行为进行决策；

功能引擎层，根据决策管理层的策略执行相应的操作。

在所述控制逻辑层中，所述配置进程、数据包括根据行为的三元素——行为的产生者、行为的接收者和资源数据分别对应配置如下策略模块：进程控制，进程保护和数据保护。

所述进程控制用于监控行为的产生者的所有可疑行为，防止对其他进程或系统进行不良操作，也防止对资源数据进行破坏或者恶意占用；所述进程保护用于对来自外部的可疑行为进行严格的控制；所述数据保护用于对一些敏感的、重要的数据进行保护。

所述进程保护中的外部可疑行为主要包含执行进程、全局钩子、创建远程线程、远程插入APC、读取远程进程地址空间、写入远程进程地址空间、挂起进程、挂起线程、结束远程进程、安装驱动、设置自启动、感染可执行文件(包括EXE/DLL/SYS)、释放可执行文件。

所述数据保护中一些敏感的、重要的数据包括系统文件、模块、注册表的关键资源数据，所述数据保护包括目录管理、模块管理、注册表管理。

所述控制逻辑层的具体控制逻辑过程为：行为产生者首先产生行为，若该行为存在目标进程，则需要经过进程保护策略的审核；若该行为需要操作资源数据，则需要经过数据保护策略的审核；最后该行为还需要经过进程控制策略的审核。当该行为通过进程保护、数据保护、进程控制三项策略审核之后，才被允许继续执行。若该行为无法通过这三项策略的审核，就意味着属于有害行为，那么该行为就会被禁止。

本发明的有益效果在于：本发明对主动防御的理论基础进行拓展，从而能有效地阻止病毒、木马或恶意脚本对系统所进行的有害行为。

附图说明

图1是本发明基于三环体系的安全防护系统中行为三元素的示意图；

图2是本发明基于三环体系的安全防护系统的执行逻辑图；

图3是本发明中控制逻辑层的执行逻辑示意图；

图4是本发明基于三环体系的安全防护系统的示意图；

图5是本发明实施例中模式1的示意图；

图6是本发明实施例中模式2的示意图；

图7是本发明实施例中模式3的示意图；

图8是本发明实施例中模式4的示意图。

具体实施方式

本发明提供一种基于三环体系的安全防护系统，属于应用与系统安全防御领域，对主动防御的理论基础进行拓展，从而有效地阻止病毒、木马或恶意脚本对系统所进行的有害行为。

无论是病毒、木马或是恶意脚本，在执行恶意行为时，在系统中是有迹可寻的。在基于三环体系的安全防护系统中根据“行为”这个词的含义，抽离出三个元素：

(1)行为的产生者：行为的起点，病毒、木马要作恶总会产生行为。

(2)行为的接收者：不管是主动接收还是被动接受，总归是承载了行为。

(3)资源数据：当执行某行为时总会涉及到一些数据资源。

对于Windows平台操作系统来说，能够独立区分行为产生者和接受者的概念只有一个“进程”，因为其拥有独立的内存地址控制，因而“三环体系”把进程作为行为的载体。

如图1所示：进程A是行为的产生者，进程B是行为的接收者。根据行为的三元素，基于三环体系的安全防护系统对三者进行严格的监控：

(1)进程控制：监控行为产生者的所有可疑行为，防止对其他进程或系统进行不良操作，也防止对资源数据进行破坏或者恶意占用。