[发明专利]一种安全防护系统

说明书

技术领域

本发明属于信息安全技术领域，具体涉及一种安全防护系统。

背景技术

计算机病毒指计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。其具有破坏性，复制性和传染性。计算机病毒中包括木马病毒等病毒程序。木马程序实际是一种网络欺骗行为，指不法分子利用各种手段，把用户本想支付的页面隐蔽地修改为木马制作者指向的账号，从而达到欺骗的目的。木马程序多数利用系统的漏洞，通过internet达到控制服务端的目的。一些木马程序伪装成正常程序，引诱用户执行，从而达到某些目的。这些木马程序在未运行前由于其不具有危险性，一般难以检测。但是当木马程序被一些特定的动作触发时，其会针对性地对一些控制端、服务端进行控制，轻则篡改文件、窃取信息，重则破坏系统。

目前，由于病毒程序多数提前潜伏在用户端，而且不运行，多数防御软件都无法检测出来。而且往往需要在病毒程序运行时手动查杀，达不到主动防御的目的。病毒程序一旦达到触发条件，立刻运行，并且在短时间内快速完成其恶意行为。这就要求防御软件要在短时间内对病毒程序进行有效检测并对关键的位置进行监测，在发现病毒时进行有效防御，防止病毒对系统进程、文件、当前进程进行修改。目前还没有具有短时间内快速全面发现并处理病毒程序的安全防护系统。

发明内容

本发明的目的，就是克服现有技术的不足，提供一种具有快速检测病毒程序，并对计算机系统中关键位置进行防护，防止病毒程序修改当前进程、网页页面或文件的安全防护系统。

为了达到上述目的，采用如下技术方案：

一种安全防护系统，包括安装于用户计算机的系统客户端、与所述系统客户端交互通讯的系统服务器，包括：防篡改模块，用于阻止未知进程和木马进程修改当前进程、网页页面、文件或篡改系统；蜜罐模块，用于根据安装在计算机中的安全防护软件的信息，确定所述计算机是否为病毒制作者的计算机，判断计算机中利用安全防护软件检测的文件是否为木马文件；启发模块，用于根据被检测文件的位置、内容和来源信息判断所述被检测文件是否为木马文件。

进一步地，所述蜜罐模块包括设于系统客户端的木马作者过滤库，用于存储预存的木马作者的木马作者行为规则，所述木马作者行为规则包括安全防护软件的数量、安全防护软件的扫描操作频率和特征码定位器；设于系统客户端的检测单元，用于检测安全防护软件的数量、安全防护软件的扫描操作频率、以及计算机中是否包含特征码定位器；设于系统客户端的第一判断单元，用于判断检测单元的检测结果是否与木马作者过滤库中的木马作者行为规则匹配，若检测结果与木马作者行为规则过滤库中任一木马作者行为规则匹配，则则系统服务器检测所述利用安全防护软件扫描的文件；设于系统服务器的木马规则过滤库，用于存储常见的木马行为规则；设于系统服务器的第二判断单元，判断系统客户端利用安全防护软件扫描的文件是否为木马文件，并将判断结果发送至提取单元；设于系统客户端的提取单元，用于提取所述木马文件信息至防篡改模块。

进一步地，所述木马作者行为规则包括计算机内安装两个以上安全防护软件、24小时内安全防护软件扫描操作两次以上、以及存在特征码定位器。

进一步地，所述防篡改模块包括，设于系统服务器的黑名单数据库，用于存储预设的木马进程；设于系统服务器的白名单数据库，用于存储预设的安全进程；设于系统服务器的第一特征查询单元，用于判断被检测文件的进程是否是黑名单数据库中的木马进程，若是，判断被检测文件为木马文件；若否，发送检测信号至第二特征查询单元；设于系统服务器的第二特征查询单元，用于判断被检测文件的进程是否是白名单数据库中的安全进程，若是，判断被检测文件为安全文件；若否，则被检测文件为未知文件；设于系统客户端的防篡改单元，用于阻止未知进程以及木马进程修改当前进程、网页页面、文件或篡改系统。

进一步地，所述防篡改模块还包括支付网站数据库，用于存储支付网站网址；支付模式判断单元，用于判断当前系统是否进入具有支付页面的支付模式，若支付页面的网页地址为支付网站数据库中的支付网站网址，则支付模式判断单元判断当前系统进入支付模式，发送当前系统进入支付模式的信号至防篡改单元，启动防篡改单元。

进一步地，所述第一特征查询单元或第二特征查询单元判断的被检测的文件包括在进入支付模式前已有文件，以及进入支付模式后新增的文件。