[发明专利]恶意程序检测装置以及恶意程序检测方法

说明书

技术领域

本发明是关于一种恶意程序检测装置以及恶意程序检测方法。更详细地说，本发明是关于一种用以检测一程序的恶意程序检测装置以及恶意程序检测方法。

背景技术

随着数字信息的应用层面日益广泛，信息安全防护的意识逐渐受到重视，带动信息安全防护技术的发展，目前信息安全防护的方式中，普遍利用防毒软件针对病毒程序进行检测。详细来说，为了避免数据遭到窃取或破坏，一般电脑中通常搭载具有病毒数据库的防毒软件。其中，病毒数据库用以记录目前已知的病毒程序特征码(signature)。如此一来，防毒软件将可利用特征码比较的方式，一一针对电脑内的文件进行检测。若比较结果发现有与特征码相同的文件，则可确认其为病毒程序。

然而，随着病毒程序的迅速发展，以及各种加壳变种病毒程序的衍生，防毒软件的病毒数据库更新病毒程序特征码的速度将不足以应付恶意程序的成长速度。具体而言，现有的防毒软件是利用特征码比较技术进行病毒程序的检测比较，只是特征码比较技术会受限于病毒数据库的完整性，若病毒数据库未更新一加壳变种的病毒程序的特征码，则防毒软件即无法检测出该加壳变种的病毒程序，此外，防毒软件使用特征码比较技术进行病毒程序的检测亦需要花费较长的时间。如此一来，将会降低病毒程序的检测率，造成信息安全防护的漏洞，而为了不断更新病毒数据库，亦必须负担高昂的成本。

综上所述，如何加速恶意行为的比较效率以及提高病毒程序的检测率，实为该领域的技术者亟需解决的课题。

发明内容

本发明的一目的在于提供一种恶意程序检测装置。该恶意程序检测装置用以检测一程序，该程序执行一第一处理程序，该恶意程序检测装置包含一储存单元以及一处理单元。该储存单元用以储存一恶意行为数据库，该恶意行为数据库记录一恶意程序的一恶意行为规范。该处理单元与该储存单元关联性连接，并用以根据该第一处理程序建立一第一行为规范；比较该第一行为规范与该恶意行为规范，并产生一比较结果；根据该比较结果更新一行为记录表；以及根据该行为记录表判断该程序为该恶意程序。

本发明的另一目的在于提供一种用于前述恶意程序检测装置的恶意程序检测方法。该恶意程序检测装置用以检测一程序，且包含一储存单元以及一处理单元，该储存单元用以储存一恶意行为数据库，该恶意行为数据库记录一恶意程序的一恶意行为规范，该处理单元与该储存单元关联性连接，该程序执行一第一处理程序，该恶意程序检测方法包含下列步骤：(a)令该处理单元根据该第一处理程序建立一第一行为规范；(b)令该处理单元比较该第一行为规范与该恶意行为规范，并产生一比较结果；(c)令该处理单元根据该比较结果更新一行为记录表；以及(d)令该处理单元根据该行为记录表判断该程序为该恶意程序。

本发明的又一目的在于提供一种电脑程序产品，内储一种用于一恶意程序检测装置的恶意程序检测方法的程序指令，该恶意程序检测装置用以检测一程序，且包含一储存单元以及一处理单元，该储存单元用以储存一恶意行为数据库，该恶意行为数据库记录一恶意程序的一恶意行为规范，该处理单元与该储存单元关联性连接，该程序执行一第一处理程序，该程序指令包含：一程序指令A，令该处理单元根据该第一处理程序建立一第一行为规范；一程序指令B，令该处理单元比较该第一行为规范与该恶意行为规范，并产生一比较结果；一程序指令C，令该处理单元根据该比较结果更新一行为记录表；以及一程序指令D，令该处理单元根据该行为记录表判断该程序为该恶意程序。

本发明的有益技术效果是：本发明的恶意程序检测装置储存一恶意行为数据库，该恶意行为数据库记录一恶意程序的一恶意行为规范。当一程序于本发明的恶意程序检测装置执行一第一处理程序时，恶意程序检测装置可根据该第一处理程序建立一第一行为规范，比较该第一行为规范与该恶意行为规范，并产生一比较结果；接着，根据该比较结果更新一行为记录表，并根据该行为记录表判断该程序为该恶意程序。藉此，本发明可克服现有防毒软件的更新速度无法跟上加壳变种恶意程序的增加速度的缺点，同时具有加速恶意行为的比较效率以及提高病毒程序的检测率的优点。

在参阅附图及随后描述的实施方式后，该技术领域具有通常知识者便可了解本发明的其它目的，以及本发明的技术手段及实施态样。

附图说明

图1是本发明第一实施例的示意图；

图2是本发明行为规范的示意图；

图3是本发明恶意行为数据库的示意图；

图4是本发明门槛数据库的示意图；

图5是本发明行为记录表的示意图；以及