[发明专利]一种恶意软件的行为阻断装置及方法

说明书

技术领域

本发明涉及服务器散热技术领域，特别涉及一种恶意软件的行为阻断装置及方法。

背景技术

近年来，随着信息化的飞速发展，网络逐渐成为人们交流的主要途径。然而网络在传播一些先进工具与技术的时候，恶意软件也开始出现。目前已知的恶意软件有病毒、蠕虫、特洛伊木马以及各种恶意的Java Apple[和ActiveX控件等。恶意软件的流行会给人们带来了诸多的烦恼和困惑，它给用户的电脑造成速率和内存以及空间上的影响；并且通过非法访问文件系统，篡改重要文件，破坏系统的完整性，造成私密信息的泄露。对整个网络以及信息安全带来很大危害。

传统的恶意软件防御技术主要有特征码匹配的扫描技术和启发式经验规则两种。

（1）基于恶意代码特征匹配的扫描技术主要通过对下载到主机的恶意软件进行扫描，并与已知恶意代码特征库进行匹配以检测是否具有恶意行为。这种技术能够高效地检测已知的恶意代码，但随着网络的发展，恶意代码通过网络进行传播的速度大大加快，经常在安全专家分析出其恶意代码特征之前就已经造成严重的破坏，在恶意代码的传播与相应预防措施的发布之间形成一个“脆弱性窗口”，基于代码特征的扫描技术对此无能为力。

（2）启发式经验规则通过仔细检查程序的总体结构、各条指令以及文件中包含的数据，然后根据程序具有的明显的意图对程序具有恶意行为的可能性给出一个判断，由于这种方法检测的是一般的可疑逻辑而不是特定的程序特征，因此可以用来检测未知的恶意代码。但由于仿真程度的限制，扫描程序不能了解程序完整的执行情况，而目前又有许多方法可以将恶意代码的逻辑故意弄乱以迷惑扫描程序，因此这种方法也不能较好地解决恶意代码问题。

目前传统的基于代码特征检测的方法己经不能阻止越来越多的未知恶意软件的攻击。基于此，本发明设计了一种恶意软件的行为阻断装置及方法。从而可以提高恶意软件的检测效率，避免出现漏判和误判，有效阻断恶意行为。

发明内容

本发明为了弥补现有技术的缺陷，提供了一种简单高效的恶意软件的行为阻断装置及方法。

本发明是通过如下技术方案实现的：

一种恶意软件的行为阻断装置，其特征在于：由客户代理端，数据库和控制台三部分组成，所述客户代理端位于操作系统内核处，通过网络连接到Web服务器，并分别连接数据库和控制台；所述控制台与数据库相连接。

所述客户代理端用于实现实时监听恶意软件的行为，实施安全策略，并产生安全报告发送到控制台；所述数据库包括主机认可的数字签名列表数据库，恶意网站黑名单数据库，已知恶意软件数据库和安全策略数据库；所述控制台用于设定安全策略，接收客户代理端送来的安全报告，并根据安全报告调整安全策略，根据新出现的恶意软件随时对安全策略数据库进行升级。

本发明恶意软件的行为阻断方法，其特征在于：当软件到达主机后，客户代理端在操作系统处实时监听软件发出的系统调用命令，并与预先定义的安全策略进行对比；如果软件的行为违反了安全策略，则终止执行软件发出的系统调用命令，并报告用户，同时记录攻击行为；如果软件的行为与安全策略相符，则软件发出的系统调用命令可以正常执行。

所述恶意软件的行为阻断方法，包括以下步骤：

（1）首先检查软件是否携带数字签名及密钥证书，如果软件携带主机认可的数字签名及证书，则用其公钥对数字签名解密，获得其身份信息，根据其身份信息决定是否执行该软件；

（2）如果软件没有携带主机认可的数字签名，则检查恶意网站黑名单数据库中是否包括该软件的URL地址，如果该软件的URL地址在恶意URL黑名单中，则拒绝其执行；

（3）如果软件的URL地址没有在恶意URL黑名单中，则通过扫描引擎把软件与已知恶意软件数据库进行特征匹配，若匹配成功则认定软件为恶意软件拒绝其执行；

（4）如果匹配没有成功，则把软件载入一个沙盒中执行，同时实时监听软件发出的系统调用命令，与预先定义的安全策略进行比较；

（5）如果软件的行为与安全策略相违背，则终止执行软件发出的系统调用命令，并向用户报告；如果软件的行为与安全策略相符，则顺利执行软件发出的系统调用命令。

本发明的有益效果：该恶意软件的行为阻断装置及方法，直接监视软件的具体行为，而不仅仅依靠其代码特征或数字签名来判断是否具有恶意行为，能够有效地抵御未知恶意软件，有效地提高了恶意软件的检测效率，避免了出现漏判和误判，具有良好的应用前景。

附图说明

附图1为本发明恶意软件的行为阻断装置示意图。