[发明专利]一种识别程序的网络行为是否异常的方法、装置及系统

说明书

技术领域

本发明涉及计算机技术领域，特别是涉及一种识别网络行为是否异常的方法、装置及系统。

背景技术

随着当前互联网技术的飞速发展与上网成本的普遍降低，互联网已经成为了大多数普通民众日常生活中不可或缺的一个重要组成部分。但是一些天才的程序员为了表现自己和证明自己的能力或者其他方面（如政治，军事，宗教，民族，专利等）的需求，往往会编写出一些影响电脑正常运行的病毒程序，从而使得客户并不能实现自己上网的目的，甚至会使得整个系统出现瘫痪。因而，网络安全就成为了现今关注的焦点。

现有技术中，云安全成为了目前各安全厂商解决个人计算机网络安全问题的首选方案。云安全是通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。也就是说安全规则全部由安全厂商来在服务器中来处理完成。这样做虽然会减轻用户端的配置难度和运行负担，但是云安全这一新生事物在带来的诸多便捷与实惠的同时，也存在以下缺陷：

云安全查杀是采用传统的查杀方式，因此对于没保存在数据库中的网络行为只能是一律作为正常网络行为放行，而这些放行的网络行为中，很有可能是新出现或新变种的病毒，但由于数据库的更新都需要一定的时间，所以云安全查杀不能及时将这些不安全网络行为拦截，进而会对系统造成威胁。也就是说，采用传统的云安全查杀方式，对于新出现或新变种的病毒不能及时进行查杀。

发明内容

本发明提供了一种识别程序的网络行为是否异常的方法、装置及系统，在一定程度上解决了对于新出现或新变种的病毒不能及时进行查杀的问题。

本发明提供了如下方案：

一种识别程序的网络行为是否异常的方法，包括：在程序访问网络的过程中，监控所述程序的当前网络行为；告知服务器所述当前网络行为所属的程序；查找所述当前网络行为所属的程序的已知正常网络行为；将所述程序的当前网络行为与所述程序的已知正常网络行为进行对比；根据所述对比结果，识别所述程序的当前网络行为是否异常。

可选的，还包括：服务器接收客户端发送的所述程序的属性信息，根据所述程序的属性信息确定所述程序是否属于特定类别；如果属于特定类别，则指示客户端告知所述程序的当前网络行为所属的程序。

可选的，还包括：所述特定类别具体包括：当前一定时间段内容易受到病毒攻击的程序类别和/或容易被病毒利用的程序类别。

可选的，还包括：所述告知服务器所述当前网络行为所属的程序包括：向服务器发送所述当前网络行为的信息以及所述当前网络行为所属程序的标识。

可选的，还包括：所述向服务器发送所述当前网络行为的信息以及所述当前网络行为所属的程序的标识包括：为所述程序的当前网络行为的信息添加网络防御标签，所述网络防御标签包括所述当前网络行为所属的程序的标识；向服务器发送带有所述网络防御标签的当前网络行为的信息。

可选的，还包括：所述查找所述当前网络行为所属程序的已知正常网络行为包括：根据所述当前网络行为所属程序的标识，查找所述程序的已知正常网络行为。

可选的，还包括：所述根据所述当前网络行为所属程序的标识，查找所述程序的已知正常网络行为包括：预先收集多种程序的正常网络行为，并建立程序的标识及其正常网络行为之间的对应关系；根据所述当前网络行为所属程序的标识，查找该程序的标识对应的正常网络行为，将所述查找到的正常网络行为作为所述程序的已知正常网络行为。

可选的，还包括：所述监控所述程序的当前网络行为包括：通过在客户端注册协议驱动，截获所述程序的当前网络行为的信息；或者，通过创建与操作系统相似的过滤驱动，截获所述程序的当前网络行为的信息；或者，利用操作系统提供的应用程序编程接口函数截获所述程序的当前网络行为的信息；或者，接管程序调用网络编程接口函数的请求，截获所述程序的当前网络行为的信息；或者，利用注册防火墙回调，截获所述程序的当前网络行为的信息。

可选的，还包括：所述根据所述对比结果，识别所述程序的网络行为是否异常包括：如果对比结果不一致，识别所述程序的当前网络行为为异常网络行为；如果对比结果一致，识别所述程序的当前网络行为为正常网络行为。

可选的，还包括：如果识别所述程序的当前网络行为为异常网络行为，还包括：暂停或拦截所述程序的当前异常网络行为；或者，暂停或拦截所述程序的全部网络行为；或者，暂停或拦截所述程序的全部网络行为和全部本地行为。