[发明专利]一种恶意代码检测及防御的方法

说明书

技术领域

本发明是一种恶意代码检测及防御的方法，与其它恶意代码检测及防御方法不同的是本发明使用了基于P2P的无中心网络，构建了一个恶意代码检测及防御系统。

背景技术

传统意义上的恶意代码可以分为病毒、蠕虫、木马等，而随着依赖于计算机的电子商务等的兴起，病毒、蠕虫、木马等不再有明显的界限。多数的恶意代码是在利益的驱动下产生的，被制造用来盗取各种账号和钱物。一般的恶意代码检测按照代码是否执行可以分为静态检测和动态检测。静态检测包括校验和比较、特征串检查、启发式扫描、逻辑分析和网络嗅探等。动态检测包括完整性检测、系统调用跟踪、代码仿真、沙盒技术等。典型的安全软件都采用了其中几种类型的恶意代码检测技术，但是这些技术都存在不同程度的缺陷，为了应对不断产生的恶意代码，安全软件需要常常更新升级病毒库，而这些更新升级数据都需要有服务器来提供。

发明内容

本发明的目的是实现一种无中心节点的恶意代码检测及防御的方法。

为了实现上述目的本发明采用以下技术方案：

一种恶意代码检测及防御的方法，其特征在于包括以下步骤：

步骤1、检测，对于未知的程序，并不阻止它的运行，而在后续的运行过程中会监控它，并且和网络中的其它客户端交流关于这个未知程序的各种信息，一旦发现某个程序的恶意行为，就通告网络中的其它客户端；

步骤2、响应，响应部分是处理数据的阶段，检测部分获取的大量数据在响应部分通过处理得到防御策略，

步骤3、防御，处理恶意代码以及其带来的影响，响应部分告诉防御部分针对某个程序进行动作，主要内容包括以下几点:

1.终止恶意进程；

2.终止网络连接；

3.恢复被破坏的注册表项；

4.恢复被破坏的文件；

5.阻止内核模块加载、修改，恢复服务，恢复被篡改的内核信息。

上述技术方案中，检测部分获取的数分为两类：

一、程序执行的行为：包括对文件的访问，注册表的访问，网络的使用，

二、程序执行后操作系统或应用程序的异常：包括文件管理器、进程管理器系统组件以及安装的应用程序不能正常使用。

上述技术方案中，对程序执行的行为以及这些行为的影响中会导致异常发生的一系列行为和程序执行后操作系统或应用程序的异常，通知防御部分恢复这些行为对文件、注册表的修改，形成一个应对这一系列的策略，这些策略类似于条件反射，告诉防御部分处理某个程序，响应部分是由多个主机组成的分布式响应网络，这些主机通过网络互相连接，彼此之间共享获取到的数据。

本发明具有以下有益效果：

一、自主更新：不需要连接服务器来更新病毒数据库或者策略数据库，响应部分根据获取的数据能自主制定新的策略；

二、快速反应：一旦P2P网络中的一个客户端上发现恶意代码，能够迅速将此信息共享给其他客户端；

三、用户透明：对于用户来说，所有的操作都可以不需要用户的参与，响应部分可以自动处理；

四、程序透明：对于未知程序来说，客户端允许它执行，在没有认定它是恶意代码之前它可以一直执行；

五、无后遗症：发现恶意代码后能够恢复恶意代码所修改的文件、注册表等，删除恶意代码后不会对操作系统、应用程序有影响。

附图说明

图1为本发明中多个主机组成的P2P网络。

具体实施方式

本发明提供了系统包含检测、响应、防御三个部分。

（一）检测

检测是本发明中关键的一个部分，它就像是商场中的摄像头。检测是通过设置监视点来完成的，监视点设置在以下几个方面：

1.进程的创建、终止，远线程创建，内存读写，动态链接库的加载；

2.网络端口监听，数据收发，以及操作系统提供的HTTP等协议接口等；

3.注册表项的增加、删除、修改，以及注册表项对应的文件；

4.操作系统文件的删除、修改，系统目录下文件的创建、复制、移动、删除，应用程序的安装、复制、移动、删除；

5.内核模块的加载、修改等，服务的创建、启动、修改等，SPI、BHO、SSDT的修改等。

检测是数据收集的阶段，通过检测能收集到操作系统和应用程序相关的各种数据。

（二）响应