[发明专利]一种监控与清除广义未知病毒的方法

权利要求书

1.一种监控与清除广义未知病毒的方法，其特征在于：

通过大量计算机病毒的分析研究，归纳出由若干行为因子组成的基本病毒行为，确定出每个行为因子与每个基本病毒行为的特异性，构造出一个特异性可调节性病毒行为数据库，该数据库主要用于判断一个程序是否属于病毒；同时根据发生了“伪病毒行为”的正常程序构造出可调节性正常程序伪病毒行为数据库，该数据库主要用于判断一个程序是否属于正常程序。并且对上述方法监测出的病毒进行病毒分类与处理；

在本发明中，广义上的未知病毒包括一切传统意义上的病毒，木马，蠕虫，间谍程序，恶意程序，流氓程序，以及行为异常的正常程序；

在本发明中，计算机病毒行为是指大部分计算机病毒共有的，正常程序极少发生的若干个非线性指令序列及其参数的集合；伪病毒行为是指正常程序在没有受到病毒感染的情况下触发的病毒行为集合中的行为，伪病毒行为仅针对于正常程序而言；行为因子是指一个关键的指令及其参数的组合；

在本发明中，临界调定点分为内部调定点与外部调定点，内部调定点是各行为因子对其构成的一个行为的特异性的调定点，外部调定点是一个行为在整个行为数据库中的特异性的调定点；内部调定点与外部调定点可自定义或动态调节。

2.按照权利要求1所述，监控与清除广义未知病毒的方法，其特征在于：

特异性可调节性病毒行为数据库包括指令结构，参数组合，文件特征结构，发生环境结构，调定点参数结构，病毒行为序号；文件特征结构包括文件属性，PF文件入口，文件大小；指令结构包括指令集合，指令顺序，各行为因子特异性值，指令执行次数域值；调定点参数结构包括外部调定点极限值，内部调定点极限值，该病毒行为特异性值；发生环境结构为保留值；

可调节性正常程序伪病毒行为数据库包括文件特征结构，特征码结构，伪病毒行为序号，发生环境结构；文件特征结构包括文件属性，PE文件入口，文件大小；特征码结构包括第一采样偏移位置，第一采样特征码，第二采样偏移位置，第二采样特征码；发生环境结构包括发生P1前的第一条指令，发生P1前的第二条指令，发生P1前的第三条指令，远程线程计数。

3.按照权利要求1所述，监控与清除广义未知病毒的方法，其特征在于，其过程步骤为：

(1)可调节性病毒行为数据库的构造：

1)基本病毒行为集合的确定；

2)通过一个行为因子在较大病毒样本数中出现的频率确定其对某个病毒行为的特异性，内部调定点用于控制一个病毒行为的内部特异性，设定一个内部调定点极限值；

3)通过一个病毒行为在较大病毒样本数中出现的频率确定该病毒行为在病毒行为集合中的特异性，外部调定点用于控制整个病毒行为集合的特异性，设定一个外部调定点极限值；

4)将一个抽象的病毒行为转化为相应的数据库记录，一条记录包括序列指令，参数组合，文件特征，发生环境，调定点参数，病毒行为序号；

(2)可调节性正常程序伪病毒行为数据库的构造：

1)根据每个病毒行为的内部调定点极限值对大样本的正常程序进行病毒行为数据库的行为测试，将发生伪病毒行为的正常程序进行记录；

2)建立数据库记录，一条记录包括发生伪病毒行为的正常程序的特征码与偏移位置组合，文件特征，发生环境，伪病毒行为序号；

(3)一个程序的监控过程：记录一个程序的关键API指令及其参数，根据可调节性病毒行为数据库与可调节性正常程序伪病毒行为数据库判定其是否病毒或者是否正常的程序受到了病毒的修改或控制；

(4)发现一个病毒的分类：根据病毒行为指令临时记录数据库查询该程序在发生病毒行为的行为因子，对各行为因子所属病毒类别的各个权值求总和，最大者即为所属类别；如果有两个或者以上的类别的总权值相同，同时属于多个类别；

(5)发现一个病毒的处理：

1)尝试终止其进程：对于一般的病毒，直接在操作系统内核态终止其进程，如果该进程是系统进程模块或者是被病毒修改或控制的正常程序则阻止病毒行为指令的执行；

2)智能处理与用户交互：在输出到用户态与用户交互之前通过智能模块的处理计算出最佳操作，用户只需要确定即可完成处理，当然用户也可以选择其它处理方式；