[发明专利]一种文件病毒免疫的方法和装置

说明书

技术领域

本发明涉及计算机安全技术领域，具体涉及一种文件病毒免疫方法和装置。

背景技术

随着计算机技术的发展，各类应用程序已渗入到生产、生活的各个领域，为用户带来了极大的便利，提高了生产效率。应用程序的执行依赖于各类计算机文件，例如，文本文件、可执行文件、动态链接库文件等。这些文件记录数据结果，或者用于存储程序信息。文件可能被病毒或恶意程序感染，影响应用程序的执行，或者其中存储的个人数据被非法读取、修改，使用户的利益受到威胁。

现阶段防止病毒或恶意程序主要依赖于传统的特征库模式，基于特征库对运行程序进行实时扫描。特征库是由厂商收集到的恶意程序样本的特征码组成，查杀过程中，引擎会读取文件并与特征库中的所有特征码进行匹配，如果发现由程序代码被命中，就可以判定该文件程序被病毒或恶意程序感染。特征库匹配是查杀已知恶意程序的一项有效技术，但随着恶意程序数量呈几何增长，特征库的生成与更新具有滞后性。此外，扫描的实时运行也会消耗大量的系统资源。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种文件病毒免疫方法和装置。

根据本发明的一个方面，提供了一种文件病毒免疫方法，包括：在病毒检测引擎的检测通知任务发出后，通过监控技术，截获与文件有关的操作行为请求；根据操作行为请求，进行行为识别，得到操作行为的信息，操作行为的信息包括行为发起进程以及行为对应的动作和/或行为对应的对象；根据操作行为的信息，判断操作行为是否为由病毒导致的异常行为；若该操作行为是由病毒导致的异常行为，则向用户发出提示信息或拦截该操作行为。

根据本发明的另一方面，提供了一种文件病毒免疫装置，包括：监控模块，适于接收病毒检测引擎的检测通知，通过监控技术截获与文件有关的操作行为请求；识别模块，适于根据操作行为请求，进行行为识别，得到操作行为的信息，所述操作行为的信息包括行为发起进程以及行为对应的动作和/或行为对应的对象；判断模块，适于根据操作行为的信息，判断操作行为是否为由病毒导致的异常行为；处理模块，适于在判断模块判断出操作行为是由病毒导致的异常行为的情况下，通过病毒检测引擎的提示界面向用户发出提示信息或拦截所述操作行为。

根据本发明的文件病毒免疫方法和装置，病毒检测引擎的检测通知任务发出后，在监控到对文件的操作行为请求时，得到该行为的发起进程、行为对应动作及行为对象等操作行为的信息，综合上述操作行为的信息，判断出对特定文件的操作行为是否为病毒导致的异常行为，然后，拦截异常行为或通过病毒检测引擎的提示界面向用户提供提示信息。根据该方案，对待免疫的文件的监控不依赖与现有的特征库，具有实时性，并且对病毒行为的判断结合了文件信息、发起进程、动作特点，有效提高了判断的准确性。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了根据本发明一个实施例的文件病毒免疫方法的流程图；

图2示出了根据本发明另一个实施例的文件病毒免疫方法的流程图；

图3示出了根据本发明另一个实施例的文件病毒免疫方法的流程图；

图4示出了根据本发明另一个实施例的文件病毒免疫方法的流程图；

图5示出了根据本发明另一个实施例的文件病毒免疫装置的结构框图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

本发明实施例可以应用于计算机系统/服务器，其可与众多其它通用或专用计算系统环境或配置一起操作。适于与计算机系统/服务器一起使用的众所周知的计算系统、环境和/或配置的例子包括但不限于：个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统、大型计算机系统和包括上述任何系统的分布式云计算技术环境，等等。