[发明专利]防御未知病毒程序的方法

说明书

技术领域

本发明涉及一种防御未知病毒程序的方法，特别是涉及一种针对未知病毒程序防御的方法。

背景技术

随着计算机应用技术的发展，病毒也加速的发展，原有的特征码技术已经无法单独应对现在流行的计算机病毒。近两年采用依据程序行为判断一个程序是否是病毒的技术也被广泛的应用。这种技术的原理就是先探测被监控程序的行为，然后依据这个程序的行为和预先设置的程序有害行为数据库中存储的比较，从而判断被监控的程序是否为病毒。

例如申请号为200510007682.X的中国发明专利公开了一种基于程序行为分析的计算机防护方法。该方法是指：设置一个程序行为知识库和一个攻击识别规则库，所述程序行为知识库存放有已知程序的正常行为数据，例如操作系统内的某一个正常的程序或者某一个第三方的应用程序的正常行为数据；所述攻击识别规则库存放有病毒的攻击行为数据；在具体的应用中对于已知的程序，先监控该已知程序的行为，然后将该已知程序的行为和上述的程序行为知识库进行比较，判断该已知程序是否受到了非法攻击。在具体应用中对于未知的程序，监控该未知程序的行为，将该行为与上述攻击识别规则库进行比较，判定是否为有害程序。该方法监控程序的方法仅仅是采用勾挂程序系统API调用的行为来监控一个程序是否为病毒程序或者受到病毒感染，因此程序行为数据的比较仅限于系统API调用，由于许多的正常的应用程序也难免涉及到上述攻击识别规则库里存放的API调用数据，例如，如果将采用中断写磁盘某个特定区域的操作作为病毒行为，则一个采用这种操作的正常程序也会被视为病毒。因此，仅仅依靠将待检测程序的行为数据与某种规则数据库或者某种危害行为数据库进行判断待检测程序是否为病毒程序，这样容易把正常程序也误判断成为病毒程序。

从另一个角度来说，申请号为200510007682.X的中国发明专利所涉及到的攻击识别规则库，依照此发明专利的说明书记载，其中存储的都是病毒程序的攻击破坏性行为，都是直接对系统具有攻击性的危害的行为。可是在现实中，有许多程序的指令或者这些程序的指令集合虽然不具有直接的攻击性行为，但是仍然给系统带来危害性。例如：程序的一段死循环指令。还有一些程序虽然本身没有攻击性指令行为，但是通过调用其他的指令组合达到了直接的攻击效果，例如：某一个程序调用已知的或者未知的系统漏洞或者系统后门进行有针对性的操作，就会产生直接的攻击效果。程序的调用，即是很常见的也是很正常的技术手段，而正常的程序很难免要使用程序的调用，如果将程序的调用行为存储到所述攻击识别规则库中，将造成大面积的正常程序误判断成为病毒程序。如果将程序的调用行为不存储到所述攻击识别规则库中，可能会造成对病毒程序的漏判断。

现实中，有人提出可以采用病毒行为感染实验的方法诊断一个待检测程序是否为病毒程序。该方法首先运行待检测程序，再运行一些确切知道不带毒的正常程序，然后观察这些正常程序的长度和校验和是否发生变化，如果发现不带毒的正常程序出现程序增长、缩短，或者校验和发生变化，就可判断处该待检测程序为病毒程序。

现实中，还有人提出对于加密、变形等采用了加壳技术的病毒体先对其进行解密，还原病毒体到原始状态，即病毒体采用了加壳技术以前的状态，这样的做法会增大对病毒识别的难度，并且增加了许多对病毒体解密失败的事件，另外额外的增加了系统的负担。

发明内容

鉴于上述问题，本发明要解决的技术问题是提供一种减少误判断和漏判断的防御未知病毒程序的方法。

为了解决上述的问题，本发明的目的是通过以下技术方案实现的：

一种防御未知病毒程序的方法，包括：

获取待检测程序的运行特征数据；根据获得的所述待检测程序的运行特征数据或运行特征数据集合，结合预置的病毒程序的病毒运行特征数据或病毒运行特征数据集合，判断所述待检测程序是否为病毒程序。

进一步，所述方法还可以包括：

获取待检测程序的行为数据或行为数据集合；根据获得的所述待检测程序的行为数据或行为数据集合，结合预置的病毒程序的行为数据或者行为数据集合，判断所述待检测程序是否为病毒程序。

所述方法还可以包括：

建立程序行为经验库，用于存储病毒程序的行为数据或者行为数据的集合，以及存储病毒程序从行为数据到结果数据的过程表达式，所述过程表达式包括行为数据和结果数据以及从行为到结果的对应关系数据；以及，将获得的所述待检测程序的行为数据或行为数据集合与所述程序行为经验库中的行为数据进行比较，获得所述过程表达式，通过所述过程表达式判断所述待检测程序是否为病毒程序。