[发明专利]一种离线恶意程序及行为监测方法、装置、介质及设备

说明书

本发明属于网络安全技术领域，具体而言涉及一种离线恶意程序及行为监测方法、装置、介质及设备。通过修改主引导扇区的内容，插入检测程序，在系统启动之前对计算机进行全盘扫描，并且通过在系统内核安装内核监控模块，系统启动之后加载内核以自动监控运行程序可能的恶意行为。实现了在操作系统启动前后对恶意程序的检测管控，保证了检测程序在所有程序之前运行，避免被绕过，提高了信息系统的安全性。

技术领域

本发明属于网络安全技术领域，具体而言涉及一种离线恶意程序及行为监测方法、装置、介质及设备。

背景技术

终端设备是计算机信息系统的重要组成部分，是信息系统中进行数据处理的设备，在计算机系统中，计算机终端数量多、分布广，终端使用者的技术水平参差不齐，使得计算机终端容易成为网络攻击的目标，针对计算机终端的安全攻击事件时有发生。通常计算机终端还会被攻击者作为跳板，发起对特定服务器或者特定网络的攻击。

从计算机诞生以来，计算机终端无时无刻不遭受计算机病毒和恶意代码的攻击。在一些与互联网隔离的政府、军队等专用的信息系统，计算机终端的安全问题也不容忽视，一方面光盘和U盘信息交互检查不严格造成病毒感染和传播，另一方面计算机终端使用控制不严格导致数据有泄露风险。

所以，计算机终端信息系统对于恶意程序的有效检测显得尤为重要，本发明的目的在于提高计算机信息系统的安全性能。

发明内容

基于上述现有技术存在的不足，本发明提供一种离线恶意程序及行为监测方法，以提高计算机系统对于恶意程序监测的安全性能，包括以下步骤：

S10、读取主引导扇区，进入检测程序；

S20、所述检测程序扫描硬盘，并根据恶意程序信息匹配识别出恶意程序，对所述恶意程序进行隔离；

S30、执行所述主引导扇区中位于所述检测程序之后的主引导程序，以进入系统；

S40、所述系统加载内核，所述内核包括内核监控模块，所述内核监控模块对所述系统中的行为进行监控，识别并管控其中的恶意行为。

在一些实施例中，所述检测程序为预先被写入所述主引导扇区的主引导程序之前；

所述内核监控模块为预先被安装到所述内核；

还包括预先被安装部署的综合安全管理服务器，所述综合安全管理服务器与所述系统通信连接，所述综合安全管理服务器向所述系统下发管控策略信息。

在一些实施例中，步骤S20中所述检测程序包括

接收所述管控策略信息，所述管控策略信息包括恶意程序信息；

对所述硬盘进行扫描并通过所述恶意程序信息进行匹配识别；

将与所述恶意程序信息相匹配的程序隔离。

在一些实施例中，所述管控策略信息还包括外接设备管控策略；

所述检测程序还包括

对所述系统的外接设备进行扫描；

根据所述外接设备管控策略禁止目标外接设备的加载；

保存扫描日志，在进入所述系统后通过所述系统将所述扫描日志上传至所述综合安全管理服务器。

在一些实施例中，步骤S40所述内核监控模块包括

接收所述管控策略信息，所述管控策略信息包括行为黑名单；

捕获行为消息并获取其控制权；

根据所述行为黑名单和所述行为消息匹配判定所述行为是否为所述恶意行为，若是则禁止所述恶意行为的执行；