[发明专利]安全防御方法、装置与系统

说明书

技术领域

本发明涉及计算机技术领域，特别是涉及一种安全防御方法、装置与系统。

背景技术

主动防御是基于程序行为自主分析判断，以防御恶意程序的实时防护技术。恶意程序是一个概括性的术语，指任何故意创建用来执行未经授权并通常是有害行为的软件程序。计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒、木马、犯罪软件、间谍软件和广告软件等等，都可以称之为恶意程序。

主动防御在进行恶意程序防御时，不以文件特征值作为判断恶意程序的依据，而是从最原始的定义出发，直接将程序的行为作为判断恶意程序的依据。其中衍生出在本地使用特征库、在本地设置行为阈值、以及在本地启发式杀毒的方式来判别、拦截恶意程序的行为，从而一定程度上达到保护用户设备的目的。

以HIPS（Host-based Intrusion Prevention System，基于主机的入侵防御系统）为例，HIPS是一种能监控计算机中文件的运行和文件运行了其他的文件以及文件对注册表的修改，并发出报告请求允许运行或修改的主动防御软件。HIPS包括AD（Application Defend，应用程序防御体系）、RD（RegistryDefend，注册表防御体系）、和FD（File Defend，文件防御体系），通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并确定允许或禁止。其中，RD用于对常见的系统敏感注册表项进行监视，FD用于监视系统敏感目录的文件（如HOSTS）操作，如修改删除系统目录里的任何文件或创建新文件等，也可用来发现被驱动木马隐藏的文件本体。

然而，随着计算机应用得越来越广泛，未知程序和文件也越来越多，现有的HIPS在进行主动防御时，常常无法对注册表和/或文件的改动进行精确地防御，以致漏报或误报的情况时有发生。

发明内容

鉴于上述现有的安全防御方法无法对注册表和/或文件的改动进行精确地防御，以致漏报或误报的情况时有发生的问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的安全防御方法、装置与系统。

依据本发明的一个方面，提供了一种安全防御方法，包括：主动防御系统确定当前程序写入的注册表目标项不存在；获取目标项的数据，从中解析出当前程序待写入的目标路径；将目标路径加入文件防御规则，使用文件防御规则在当前程序生成文件时进行文件防御。

可选地，安全防御方法还包括：主动防御系统对开机启动程序进行扫描时，获取注册表中开机启动程序的注册表项，从中解析出开机启动程序的路径；将开机启动程序的路径加入文件防御规则，使用文件防御规则在系统开机启动时进行文件防御。

可选地，使用文件防御规则在当前程序生成文件时进行文件防御的步骤包括：主动防御系统在当前程序生成文件时，获取生成的文件的文件路径；判断生成的文件的文件路径与文件防御规则中的目标路径是否匹配；若匹配，则获取生成的文件的文件特征值，将生成的文件的文件特征值发送到服务器进行程序安全性判定；根据服务器的返回结果对当前程序进行文件防御处理。

可选地，使用文件防御规则在当前程序生成文件时进行文件防御的步骤包括：主动防御系统在当前程序生成文件时，获取生成的文件的文件路径；判断生成的文件的文件路径与文件防御规则中的目标路径是否匹配；若匹配，则获取生成的文件，判断生成的文件是否在目标白名单中；若生成的文件在目标白名单中，且生成的文件的来源在来源白名单中，则将生成的文件放行。

可选地，使用文件防御规则在当前程序生成文件时进行文件防御的步骤包括：主动防御系统在当前程序生成文件时，获取生成的文件的文件路径；判断生成的文件的文件路径与文件防御规则中的目标路径是否匹配；若匹配，则获取生成的文件，判断生成的文件是否符合预置的临界文件规则，其中，临界文件规则用于指示生成的文件为除白名单文件、黑名单文件和可疑文件之外的文件；若符合，则判断生成的文件的来源是否在来源白名单中；若是，则将生成的文件放行；若否，则进行报警提示。

可选地，安全防御方法还包括：主动防御系统确定当前程序写入的注册表目标项是否符合注册表防御规则；若是，则使用注册表防御规则进行注册表防御，若否，则执行主动防御系统确定当前程序写入的注册表目标项不存在的步骤。