[发明专利]一种监控与清除广义未知病毒的方法

说明书

技术领域

本发明涉及一种监控与清除广义未知病毒的方法。与现有的反计算机病毒技术相比，本发明不但能够监控与清除已知病毒，还能够高度特异性监控与清除广义上的未知病毒。

背景技术

在当今信息技术高速发展的形势下，虽然出现了众多的反计算机病毒产品，它们在防治已知计算机病毒的方面确实起了一定的作用，但它们并不能有效对抗未知病毒，未知病毒已经成为信息安全的重要威胁。

现有的反计算机病毒监控技术主要包括特征码对比监控检测技术与HIPS主动防御技术。

(1)特征码对比监控检测技术：通过监测一个文件中是否存在病毒库里面的某一个病毒特征串而判断其是否一种病毒。该技术的不足主要表现为滞后性与病毒库依赖性。滞后性：由于病毒库中的记录是新病毒被人为捕获发现后添加进去的，新病毒出现后到被捕获发现之前需要一段时间，在该段时间内，对于所有用户而言均属于未知病毒，用户的计算机处于非防御状态。病毒库依赖性：对病毒的防御主要取决于新病毒被人为捕获的速度，数量以及用户升级病毒库的频率。只要用户没有及时地升级特征码病毒库，用户的计算机就处于非防御状态。对于特征码病毒库没有记录的未知病毒，用户的计算机也处于非防御状态。

(2)HIPS主动防御技术：HIPS(Host Intrusion Prevent System)即主机入侵防御系统。是一种监控文件的运行与创建，注册表的修改，并向用户报告请求处理的技术。但它没有智能判断能力，对计算机病毒没有特异性，系统的所有改动都有反应，只能靠用户的反病毒知识与经验去判断是否是病毒。

专利发明200510007682.X虽然已经给出了通过程序行为分析判断是否是一个病毒的方法，在一定程度上防御了未知病毒，但是病毒行为是相对的，少数的正常程序也会发生，单方向的分析判断难以避免一定的误报率。而且为了降低误报率，必须缩窄病毒行为的临界条件，从而导致能够识别的未知病毒的范围与数量会下降。

发明内容

本发明能够有效解决上述问题，不仅能够对抗已知病毒，而且弥补了现有反病毒技术在反未知病毒方面的技术缺陷，能够高度特异性监控与清除广义上的未知病毒，捍卫了计算机与用户的信息安全。

本发明涉及一种监控与清除广义未知病毒的方法，其特征在于：

通过大量计算机病毒的分析研究，归纳出由若干行为因子组成的基本病毒行为，确定出每个行为因子与每个基本病毒行为的特异性，构造出一个特异性可调节性病毒行为数据库，该数据库主要用于判断一个程序是否属于病毒；同时根据发生了“伪病毒行为”的正常程序构造出可调节性正常程序伪病毒行为数据库，该数据库主要用于判断一个程序是否属于正常程序。并且对上述方法监测出的病毒进行病毒分类与处理。本发明通过双方向数据库的判断，做到了高度特异性识别未知病毒，减少了行为分析的误报率，通过病毒行为特异性的可调节性，保持了识别范围上的广义性，增加了能够识别的未知病毒的数量与范围。

在本发明中，广义上的未知病毒包括一切传统意义上的病毒，木马，蠕虫，间谍程序，恶意程序，流氓程序，以及行为异常的正常程序。

在本发明中，计算机病毒行为是指大部分计算机病毒共有的，正常程序极少发生的若干个非线性指令序列及其参数的集合。伪病毒行为是指正常程序在没有受到病毒感染的情况下触发的病毒行为集合中的行为。伪病毒行为仅针对于正常程序而言。行为因子是指一个关键的指令及其参数的组合。

在本发明中，临界调定点分为内部调定点与外部调定点，内部调定点是各行为因子对其构成的一个行为的特异性的调定点，外部调定点是一个行为在整个行为数据库中的特异性的调定点。内部调定点与外部调定点可自定义或动态调节。

本发明涉及一种监控与清除广义未知病毒的方法，其特征在于，上述过程包括：

1.可调节性病毒行为数据库的构造：

可调节性病毒行为数据库的构造的步骤包括：

1.1基本病毒行为集合的确定。

在本发明中，基本病毒行为包括：

1)一个程序模块释放出一些执行体，其中至少有一个执行体冒充系统文件。

2)一个程序模块释放出一些执行体，其中至少有一个执行体具有隐蔽性质。

3)一个程序模块释放出一些执行体，其中至少将其中一个执行体写进注册表关键启动项(正常程序几乎不会写进这些位置)。

4)一个程序模块释放出一些执行体，其中至少将其中一个执行体写进注册表常规启动项。

5)一个程序模块在后台开始激活时对系统程序进行远程线程插入。

6)一个程序模块尝试多次对其它程序进行远程线程插入。