[发明专利]一种监控与清除广义未知病毒的方法

摘要

本发明涉及一种监控与清除广义未知病毒的方法，即通过大量计算机病毒的分析研究，归纳出由若干行为因子组成的基本病毒行为，确定出每个行为因子与每个基本病毒行为的特异性，构造出一个特异性可调节性病毒行为数据库，该数据库用于判断一个程序是否属于病毒；同时根据发生了伪病毒行为的正常程序构造出可调节性正常程序伪病毒行为数据库，该数据库用于判断一个程序是否属于正常程序。并且对上述方法监测出的病毒进行病毒分类与处理。本发明能够提高识别未知病毒的特异性，减少行为分析的误报率，保证病毒行为特异性的可调节性，增加能够识别未知病毒的数量与范围。与现有计算机病毒监控技术相比，有明显优势。

主权项

1.一种监控与清除广义未知病毒的方法，其特征在于：通过大量计算机病毒的分析研究，归纳出由若干行为因子组成的基本病毒行为，确定出每个行为因子与每个基本病毒行为的特异性，构造出一个特异性可调节性病毒行为数据库，该数据库主要用于判断一个程序是否属于病毒；同时根据发生了“伪病毒行为”的正常程序构造出可调节性正常程序伪病毒行为数据库，该数据库主要用于判断一个程序是否属于正常程序。并且对上述方法监测出的病毒进行病毒分类与处理；在本发明中，广义上的未知病毒包括一切传统意义上的病毒，木马，蠕虫，间谍程序，恶意程序，流氓程序，以及行为异常的正常程序；在本发明中，计算机病毒行为是指大部分计算机病毒共有的，正常程序极少发生的若干个非线性指令序列及其参数的集合；伪病毒行为是指正常程序在没有受到病毒感染的情况下触发的病毒行为集合中的行为，伪病毒行为仅针对于正常程序而言；行为因子是指一个关键的指令及其参数的组合；在本发明中，临界调定点分为内部调定点与外部调定点，内部调定点是各行为因子对其构成的一个行为的特异性的调定点，外部调定点是一个行为在整个行为数据库中的特异性的调定点；内部调定点与外部调定点可自定义或动态调节。