專利名稱:一種識(shí)別程序的網(wǎng)絡(luò)行為是否異常的方法����、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域���,特別是涉及ー種識(shí)別網(wǎng)絡(luò)行為是否異常的方法���、裝置及系統(tǒng)����。
背景技術(shù):
隨著當(dāng)前互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展與上網(wǎng)成本的普遍降低���,互聯(lián)網(wǎng)已經(jīng)成為了大多數(shù)普通民眾日常生活中不可或缺的ー個(gè)重要組成部分��。但是ー些天才的程序員為了表現(xiàn)自己和證明自己的能力或者其他方面(如政治�,軍事���, 宗教���,民族,專利等)的需求�����,往往會(huì)編寫出ー些影響電腦正常運(yùn)行的病毒程序��,從而使得客戶并不能實(shí)現(xiàn)自己上網(wǎng)的目的���,甚至?xí)沟谜麄€(gè)系統(tǒng)出現(xiàn)癱瘓。因而��,網(wǎng)絡(luò)安全就成為了現(xiàn)今關(guān)注的焦點(diǎn)。現(xiàn)有技術(shù)中�,云安全成為了目前各安全廠商解決個(gè)人計(jì)算機(jī)網(wǎng)絡(luò)安全問題的首選方案。云安全是通過網(wǎng)狀的大量客戶端對(duì)網(wǎng)絡(luò)中軟件行為的異常監(jiān)測(cè)�����,獲取互聯(lián)網(wǎng)中木馬��、惡意程序的最新信息���,推送到服務(wù)端進(jìn)行自動(dòng)分析和處理���,再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。也就是說安全規(guī)則全部由安全廠商來在服務(wù)器中來處理完成�。這樣做雖然會(huì)減輕用戶端的配置難度和運(yùn)行負(fù)擔(dān),但是云安全這ー新生事物在帶來的諸多便捷與實(shí)惠的同時(shí)���,也存在以下缺陷云安全查殺是采用傳統(tǒng)的查殺方式�����,因此對(duì)于沒保存在數(shù)據(jù)庫(kù)中的網(wǎng)絡(luò)行為只能是一律作為正常網(wǎng)絡(luò)行為放行�,而這些放行的網(wǎng)絡(luò)行為中,很有可能是新出現(xiàn)或新變種的病毒�����,但由于數(shù)據(jù)庫(kù)的更新都需要一定的時(shí)間��,所以云安全查殺不能及時(shí)將這些不安全網(wǎng)絡(luò)行為攔截�,進(jìn)而會(huì)對(duì)系統(tǒng)造成威脅。也就是說��,采用傳統(tǒng)的云安全查殺方式���,對(duì)于新出現(xiàn)或新變種的病毒不能及時(shí)進(jìn)行查殺�。
發(fā)明內(nèi)容
本發(fā)明提供了一種識(shí)別程序的網(wǎng)絡(luò)行為是否異常的方法�、裝置及系統(tǒng),在一定程度上解決了對(duì)于新出現(xiàn)或新變種的病毒不能及時(shí)進(jìn)行查殺的問題���。本發(fā)明提供了如下方案一種識(shí)別程序的網(wǎng)絡(luò)行為是否異常的方法�,包括在程序訪問網(wǎng)絡(luò)的過程中���,監(jiān)控所述程序的當(dāng)前網(wǎng)絡(luò)行為��;告知服務(wù)器所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序�;查找所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序的已知正常網(wǎng)絡(luò)行為;將所述程序的當(dāng)前網(wǎng)絡(luò)行為與所述程序的已知正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比���;根據(jù)所述對(duì)比結(jié)果,識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為是否異常���?����?蛇x的�,還包括服務(wù)器接收客戶端發(fā)送的所述程序的屬性信息���,根據(jù)所述程序的屬性信息確定所述程序是否屬于特定類別����;如果屬于特定類別����,則指示客戶端告知所述程序的當(dāng)前網(wǎng)絡(luò)行為所屬的程序??蛇x的,還包括所述特定類別具體包括當(dāng)前一定時(shí)間段內(nèi)容易受到病毒攻擊的程序類別和/或容易被病毒利用的程序類別�。可選的,還包括所述告知服務(wù)器所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序包括向服務(wù)器發(fā)送所述當(dāng)前網(wǎng)絡(luò)行為的信息以及所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)���?�?蛇x的����,還包括所述向服務(wù)器發(fā)送所述當(dāng)前網(wǎng)絡(luò)行為的信息以及所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序的標(biāo)識(shí)包括為所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息添加網(wǎng)絡(luò)防御標(biāo)簽��,所述網(wǎng)絡(luò)防御標(biāo)簽包括所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序的標(biāo)識(shí)��;向服務(wù)器發(fā)送帶有所述網(wǎng)絡(luò)防御標(biāo)簽的當(dāng)前網(wǎng)絡(luò)行為的信息��??蛇x的,還包括所述查找所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的已知正常網(wǎng)絡(luò)行為包括根據(jù)所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)����,查找所述程序的已知正常網(wǎng)絡(luò)行為?��?蛇x的�,還包括所述根據(jù)所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)�����,查找所述程序的已知正常網(wǎng)絡(luò)行為包括預(yù)先收集多種程序的正常網(wǎng)絡(luò)行為,并建立程序的標(biāo)識(shí)及其正常網(wǎng)絡(luò)行為之間的對(duì)應(yīng)關(guān)系�;根據(jù)所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí),查找該程序的標(biāo)識(shí)對(duì)應(yīng)的正常網(wǎng)絡(luò)行為����,將所述查找到的正常網(wǎng)絡(luò)行為作為所述程序的已知正常網(wǎng)絡(luò)行為�����。
可選的�,還包括所述監(jiān)控所述程序的當(dāng)前網(wǎng)絡(luò)行為包括通過在客戶端注冊(cè)協(xié)議驅(qū)動(dòng),截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息�����;或者����,通過創(chuàng)建與操作系統(tǒng)相似的過濾驅(qū)動(dòng),截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息��;或者�,利用操作系統(tǒng)提供的應(yīng)用程序編程接ロ函數(shù)截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息����;或者����,接管程序調(diào)用網(wǎng)絡(luò)編程接ロ函數(shù)的請(qǐng)求,截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息�����;或者��,利用注冊(cè)防火墻回調(diào)����,截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息?�?蛇x的���,還包括所述根據(jù)所述對(duì)比結(jié)果���,識(shí)別所述程序的網(wǎng)絡(luò)行為是否異常包括如果對(duì)比結(jié)果不一致,識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為為異常網(wǎng)絡(luò)行為����;如果對(duì)比結(jié)果一致�,識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為為正常網(wǎng)絡(luò)行為�����??蛇x的,還包括如果識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為為異常網(wǎng)絡(luò)行為����,還包括暫?����;驍r截所述程序的當(dāng)前異常網(wǎng)絡(luò)行為����;或者,暫?����;驍r截所述程序的全部網(wǎng)絡(luò)行為�;或者����,暫?����;驍r截所述程序的全部網(wǎng)絡(luò)行為和全部本地行為�。可選的�,還包括檢測(cè)到所述程序的異常網(wǎng)絡(luò)行為是非惡意的網(wǎng)絡(luò)行為,暫?;驍r截所述程序的異常網(wǎng)絡(luò)行為;或者�,檢測(cè)到所述程序的異常網(wǎng)絡(luò)行為是惡意的網(wǎng)絡(luò)行為,但不確定所述程序是否為惡意程序�,暫停或攔截所述程序的全部網(wǎng)絡(luò)行為����;或者,檢測(cè)到所述程序的異常網(wǎng)絡(luò)行為是惡意的網(wǎng)絡(luò)行為�����,并且所述程序?yàn)閻阂獬绦?,暫?��;驍r截所述程序的全部網(wǎng)絡(luò)行為和全部本地行為。一種識(shí)別網(wǎng)絡(luò)行為是否異常的裝置�,包括監(jiān)控單元,用于在程序訪問網(wǎng)絡(luò)的過程中��,監(jiān)控所述程序的當(dāng)前網(wǎng)絡(luò)行為�;告知単元,用于告知服務(wù)器所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序�����;查找單元�����,用于查找所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序的已知正常網(wǎng)絡(luò)行為���;對(duì)比單元,用于將所述程序的當(dāng)前網(wǎng)絡(luò)行為與所述程序的已知正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比��;識(shí)別單元����,用于根據(jù)所述對(duì)比結(jié)果��,識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為是否異常���。可選的��,還包括類別確定單元�,用于接收客戶端發(fā)送的所述程序的屬性信息,并根據(jù)根據(jù)所述程序的屬性信息確定所述程序是否屬于特定類別�����;指示単元�,用于在所述類別確定單元確定所述程序?qū)儆谔囟悇e的情況下,指示客戶端告知所述程序的當(dāng)前網(wǎng)絡(luò)行為所屬的程序�。可選的�,所述特定類別具體包括當(dāng)前一定時(shí)間段內(nèi)容易受到病毒攻擊的程序類別和/或容易被病毒利用的程序類別。
可選的��,所述告知単元包括發(fā)送子単元���,用于向服務(wù)器發(fā)送所述當(dāng)前網(wǎng)絡(luò)行為的信息以及所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)�����?���?蛇x的,所述發(fā)送子単元���,具體用于為所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息添加網(wǎng)絡(luò)防御標(biāo)簽���,所述網(wǎng)絡(luò)防御標(biāo)簽包括所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序的標(biāo)識(shí);向服務(wù)器發(fā)送帶有所述網(wǎng)絡(luò)防御標(biāo)簽的當(dāng)前網(wǎng)絡(luò)行為的信息�。可選的�,所述查找単元包括正常網(wǎng)絡(luò)行為查找子単元,用于根據(jù)所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)����,查找所述程序的已知正常網(wǎng)絡(luò)行為?�?蛇x的�,所述正常網(wǎng)絡(luò)行為查找子単元�����,具體用于預(yù)先收集多種程序的正常網(wǎng)絡(luò)行為,并建立程序的標(biāo)識(shí)及其正常網(wǎng)絡(luò)行為之間的對(duì)應(yīng)關(guān)系��;根據(jù)所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)���,查找該程序的標(biāo)識(shí)對(duì)應(yīng)的正常網(wǎng)絡(luò)行為����,將所述查找到的正常網(wǎng)絡(luò)行為作為所述程序的已知正常網(wǎng)絡(luò)行為��?��?蛇x的�,所述監(jiān)控単元具體包括第一截獲子単元�,用于通過在客戶端注冊(cè)協(xié)議驅(qū) 動(dòng),截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息�;或者,第二截獲子単元�����,用于通過創(chuàng)建與操作系統(tǒng)相似的過濾驅(qū)動(dòng)��,截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息;或者��,第三截獲子単元����,用于利用操作系統(tǒng)提供的應(yīng)用程序編程接ロ函數(shù)截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息;或者�����,第四截獲子単元�����,用于接管程序調(diào)用網(wǎng)絡(luò)編程接ロ函數(shù)的請(qǐng)求�,截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息;或者����,第五截獲子単元,用于利用注冊(cè)防火墻回調(diào)�,截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息?���?蛇x的,所述識(shí)別単元包括第一識(shí)別子単元���,用于如果對(duì)比結(jié)果不一致�,識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為為異常網(wǎng)絡(luò)行為�����;第二識(shí)別子単元�����,用于如果對(duì)比結(jié)果一致�,識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為為正常網(wǎng)絡(luò)行為?��?蛇x的���,還包括第一異常處理單元,用于暫?;驍r截所述程序的當(dāng)前異常網(wǎng)絡(luò)行為;或者�����,第二異常處理單元,用于暫?���;驍r截所述程序的全部網(wǎng)絡(luò)行為;或者���,第三異常處理單元��,用于暫?����;驍r截所述程序的全部網(wǎng)絡(luò)行為和全部本地行為�����?����?蛇x的�����,所述第一異常處理單元�,具體用于檢測(cè)到所述程序的異常網(wǎng)絡(luò)行為是非惡意的網(wǎng)絡(luò)行為,暫?���;驍r截所述程序的異常網(wǎng)絡(luò)行為�����;或者�,所述第二異常處理單元,具體用于檢測(cè)到所述程序的異常網(wǎng)絡(luò)行為是惡意的網(wǎng)絡(luò)行為�,但不確定所述程序是否為惡意程序,暫?�;驍r截所述程序的全部網(wǎng)絡(luò)行為�;或者,第三異常處理單元��,具體用于檢測(cè)到所述程序的異常網(wǎng)絡(luò)行為是惡意的網(wǎng)絡(luò)行為�����,并且所述程序?yàn)閻阂獬绦?����,暫停或攔截所述程序的全部網(wǎng)絡(luò)行為和全部本地行為�。ー種識(shí)別網(wǎng)絡(luò)行為是否異常的系統(tǒng),包括客戶端�����,用于在程序訪問網(wǎng)絡(luò)的過程中����,監(jiān)控所述程序的當(dāng)前網(wǎng)絡(luò)行為;告知服務(wù)器所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序��;服務(wù)器�,用于查找所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序的已知正常網(wǎng)絡(luò)行為;將所述程序的當(dāng)前網(wǎng)絡(luò)行為與所述程序的正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比����;識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為是否異常。根據(jù)本發(fā)明提供的具體實(shí)施例�,本發(fā)明公開了以下技術(shù)效果在程序訪問網(wǎng)絡(luò)的過程中,監(jiān)控程序的當(dāng)前網(wǎng)絡(luò)行為��,告知服務(wù)器所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序�����,也就是說,本發(fā)明實(shí)施例���,通過告知服務(wù)器當(dāng)前的網(wǎng)絡(luò)行為是屬于哪個(gè)程序的�,進(jìn)而可以查找到與該程序?qū)?yīng)的已知正常網(wǎng)絡(luò)行為����。將監(jiān)控到的程序的當(dāng)前網(wǎng)絡(luò)行為與查找到的該程序的正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比�����,進(jìn)而根據(jù)對(duì)比的結(jié)果�,識(shí)別出當(dāng)前程序的網(wǎng)絡(luò)行為是否異常。由此可見����,由于得知了當(dāng)前的網(wǎng)絡(luò)行為是屬于哪個(gè)程序的,所以只要將該程序當(dāng)前的網(wǎng)絡(luò)行為與該程序的正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比就可以將該程序的異常網(wǎng)絡(luò)行為都識(shí)別出來�,因此,即便是針對(duì)程序的新病毒或變種病毒(以前不知道的病毒)���,由于其與正常網(wǎng)絡(luò)行為肯定是不同的�����,所以也能通過本發(fā)明實(shí)施例及時(shí)識(shí)別出來�,進(jìn)而在一定程度上解決了對(duì)新出現(xiàn)或新變種的病毒不能及時(shí)查殺的問題。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見地�����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例���,對(duì)于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動(dòng)的前提下���,還可以根據(jù)這些附圖獲得其他的附圖。圖I是本發(fā)明提供的一種識(shí)別程序的網(wǎng)絡(luò)行為是否異常的方法實(shí)施例流程圖����;
圖2是本發(fā)明提供的一種識(shí)別程序的網(wǎng)絡(luò)行為是否異常的方法具體實(shí)施方式
流程圖;圖3是本發(fā)明提供的一種識(shí)別程序的網(wǎng)絡(luò)行為是否異常的裝置實(shí)施例示意圖;圖4是本發(fā)明提供的一種識(shí)別程序的網(wǎng)絡(luò)行為是否異常的系統(tǒng)實(shí)施例示意圖���。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述���,顯然����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�,而不是全部的實(shí)施例�。基于本發(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員所獲得的所有其他實(shí)施例�����,都屬于本發(fā)明保護(hù)的范圍�����。本發(fā)明人經(jīng)過大量的研究和分析發(fā)現(xiàn),現(xiàn)有技術(shù)的安全防御系統(tǒng)通常包含本地防御或網(wǎng)絡(luò)防御兩種獨(dú)立的方式���,但客戶端和服務(wù)器的互動(dòng)比較少����,也即本地側(cè)和網(wǎng)絡(luò)側(cè)的互動(dòng)比較少��。例如��,如果ー個(gè)程序的本地行為沒有惡意���,則客戶端不會(huì)進(jìn)行攔截����,此時(shí)�,客戶端也不會(huì)提供給網(wǎng)絡(luò)一側(cè)任何信息。因此服務(wù)器只能根據(jù)現(xiàn)有數(shù)據(jù)庫(kù)的數(shù)據(jù)來進(jìn)行判斷�,比如,當(dāng)前程序的網(wǎng)絡(luò)行為是要訪問某個(gè)URL��,服務(wù)器根據(jù)數(shù)據(jù)庫(kù)記錄能夠查找到該URL是合法的����,那么就放行�����;或者根據(jù)數(shù)據(jù)庫(kù)能夠查找到該URL是不合法的�,那么就攔截��;對(duì)于既不能判斷是合法的�,也不能判斷是不合法的,就只能將其放行�。但是,在實(shí)踐中很多鏈接并不能被及時(shí)收集到數(shù)據(jù)庫(kù)�����,而且病毒更新很頻繁��,新病毒層出不窮����,因此很多惡意URL很有可能還未被及時(shí)收集到服務(wù)器的數(shù)據(jù)庫(kù)中���,進(jìn)而對(duì)于這些惡意鏈接����,服務(wù)器也只能將其放行。這樣���,就帶來了以下問題對(duì)于新出現(xiàn)的或變種的病毒仍然采用所說的傳統(tǒng)查殺方式���,就會(huì)由于病毒庫(kù)更新不及時(shí)而不能得到及時(shí)查殺,甚至病毒作者只要變換IP地址或域名等信息就可以逃脫查殺�����,進(jìn)而威脅整個(gè)系統(tǒng)�。本發(fā)明實(shí)施例對(duì)程序的當(dāng)前網(wǎng)絡(luò)行為進(jìn)行監(jiān)控,并告知當(dāng)前網(wǎng)絡(luò)行為所屬的程序具體是哪個(gè)程序�����,進(jìn)而根據(jù)之前收集到的信息����,可以查找到該程序的正常網(wǎng)絡(luò)行為,將該程序的當(dāng)前網(wǎng)絡(luò)行為與查找到的該程序的正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比���,根據(jù)對(duì)比結(jié)果識(shí)別出該程序的當(dāng)前網(wǎng)絡(luò)行為是否異常�����。因此�,即便是針對(duì)程序的新病毒或變種病毒(以前不知道的病毒),由于其與正常網(wǎng)絡(luò)行為肯定是不同的���,所以也能通過本發(fā)明實(shí)施例的技術(shù)方案及時(shí)識(shí)別出來���,進(jìn)而在一定程度上可以避免對(duì)于新出現(xiàn)或新變種的病毒不能及時(shí)進(jìn)行查殺的問題,提高了查殺率��。參見圖1�,其為本發(fā)明提供的一種識(shí)別網(wǎng)絡(luò)行為是否異常的方法實(shí)施例流程圖,本發(fā)明實(shí)施例的具體實(shí)施方式
如下SlOl :在程序訪問網(wǎng)絡(luò)的過程中��,監(jiān)控所述程序的當(dāng)前網(wǎng)絡(luò)行為����;需要說明的是,程序是ー個(gè)普通的文件���,是ー個(gè)機(jī)器代碼指令和數(shù)據(jù)的集合,是ー個(gè)靜態(tài)的概念����。進(jìn)程是程序在計(jì)算機(jī)上的一次執(zhí)行過程���,是ー個(gè)動(dòng)態(tài)的概念。同一個(gè)程序可以同時(shí)運(yùn)行于若干個(gè)數(shù)據(jù)集合上��,也就是說同一程序可以對(duì)應(yīng)多個(gè)進(jìn)程�����。網(wǎng)絡(luò)行為是由運(yùn)行中的程序(也即進(jìn)程)所發(fā)起的�。程序的當(dāng)前網(wǎng)絡(luò)行為,也即是由屬于該程序的進(jìn)程所發(fā)起的網(wǎng)絡(luò)行為�。
為了便于理解此步驟,首先簡(jiǎn)單介紹ー下網(wǎng)絡(luò)行為�。網(wǎng)絡(luò)行為可以理解為需要通過網(wǎng)絡(luò)進(jìn)行的各種行為,種類繁多�,例如包括HTTP (hypertext transport protocol,超文本傳送協(xié)議)訪問(常見的有下載文件或上傳信息),SMTP (Simple Mail TransferProtocol,簡(jiǎn)單郵件傳輸協(xié)議)請(qǐng)求(收發(fā)電子郵件),DNS (Domain Name System,域名系統(tǒng))請(qǐng)求(解析域名對(duì)應(yīng)的IP地址等信息)等等�。其次,再介紹ー下應(yīng)用程序訪問網(wǎng)絡(luò)的流程通常ー個(gè)程序如果需要連接網(wǎng)絡(luò)���,需要通過操作系統(tǒng)(如Windows)提供的API (Application Program Interface,應(yīng)用程序接ロ)接ロ發(fā)送連接網(wǎng)絡(luò)的請(qǐng)求��,操作系統(tǒng)接收到應(yīng)用程序的這種網(wǎng)絡(luò)請(qǐng)求后���,會(huì)接收應(yīng)用程序要發(fā)送的數(shù)據(jù)��,并對(duì)接收到的數(shù)據(jù)進(jìn)行封裝����,之后將封裝的數(shù)據(jù)發(fā)送給物理設(shè)備(如網(wǎng)卡等)��,最后由硬件設(shè)備將數(shù)據(jù)傳出���?;谝陨蠎?yīng)用程序訪問網(wǎng)絡(luò)的流程��,在該流程的任何ー環(huán)節(jié)對(duì)網(wǎng)絡(luò)行為的信息進(jìn)行截獲都可以實(shí)現(xiàn)監(jiān)控程序的當(dāng)前網(wǎng)絡(luò)行為的目的����。具體監(jiān)控的實(shí)施方式可以但不限于以下幾種方式通過在客戶端注冊(cè)協(xié)議驅(qū)動(dòng)、創(chuàng)建與操作系統(tǒng)相似的過濾驅(qū)動(dòng)��、利用操作系統(tǒng)提供的應(yīng)用程序編程接ロ函數(shù)(hook函數(shù))截獲當(dāng)前網(wǎng)絡(luò)行為的信息�、接管程序調(diào)用網(wǎng)絡(luò)編程接ロ函數(shù)(Winsock)的請(qǐng)求或者是利用注冊(cè)防火墻回調(diào)等方式,截獲程序的當(dāng)前網(wǎng)絡(luò)行為的信息�。下面進(jìn)行具體的說明在應(yīng)用程序訪問網(wǎng)絡(luò)的過程中,操作系統(tǒng)在處理相關(guān)數(shù)據(jù)的時(shí)候,會(huì)使用ー些協(xié)議驅(qū)動(dòng)和過濾驅(qū)動(dòng)來獲取網(wǎng)絡(luò)行為的數(shù)據(jù)�,所以可以注冊(cè)協(xié)議驅(qū)動(dòng)或創(chuàng)建與操作系統(tǒng)使用的過濾驅(qū)動(dòng)相似的過濾驅(qū)動(dòng)�����,進(jìn)而獲取到網(wǎng)絡(luò)行為的數(shù)據(jù)���。
具體實(shí)施方式
可以是向NDIS (Network Driver Interface Specif ication,網(wǎng)絡(luò)驅(qū)動(dòng)程序接 ロ規(guī)范)注冊(cè)·協(xié)議驅(qū)動(dòng)�����,也可以在 Afd. sys (Ancillary Function Driver for winsock, winsock 的輔助功能驅(qū)動(dòng))驅(qū)動(dòng)設(shè)備棧����、Tdi. sys (Transport Dispatch Interface,傳輸分配接ロ )驅(qū)動(dòng)設(shè)備?�;騎cpip. sys (Transmission Control Protocol/Internet Protocol,傳輸控制/網(wǎng)絡(luò)通訊協(xié)議)驅(qū)動(dòng)設(shè)備棧上増加與操作系統(tǒng)相似的過濾驅(qū)動(dòng)�。另外監(jiān)控還可以通過以下方式來實(shí)現(xiàn)利用hook函數(shù)將網(wǎng)絡(luò)行為的數(shù)據(jù)截獲。
具體實(shí)施方式
可以是用Hook函數(shù)截獲Windows SSDTCSystem Services Descriptor Table,系統(tǒng)服務(wù)描述符表)中內(nèi)核提供的與設(shè)備通信接ロ NtDeviceloControl函數(shù)�����,獲取所有應(yīng)用程序與設(shè)備通信的數(shù)據(jù)����,過濾其中對(duì)Afd. sys發(fā)送的請(qǐng)求����;還可以是利用Hook函數(shù)截獲Tcpip. sys驅(qū)動(dòng)提供的服務(wù)函數(shù)或者NDIS. sys導(dǎo)出的接ロ等�����,通過上述方式來監(jiān)控程序的網(wǎng)絡(luò)行為��。當(dāng)然���,也可以通過以下方式來對(duì)程序的網(wǎng)絡(luò)行為進(jìn)行監(jiān)控根據(jù)Windows的LSP(Layered Service Provider,分層服務(wù)提供商),可以將LSP機(jī)制進(jìn)行擴(kuò)展,使用自己的DLL文件接管所有應(yīng)用程序調(diào)用Winsock的請(qǐng)求后�,再轉(zhuǎn)發(fā)到Windows自身的mswsock. dll中去���,或者也可以是向Windows系統(tǒng)IP設(shè)備驅(qū)動(dòng)發(fā)送I0CTL_IP_SET_FIREWALL_H00K注冊(cè)防火墻回調(diào)等等���。在實(shí)踐中,監(jiān)控程序的網(wǎng)絡(luò)行為數(shù)據(jù)時(shí)��,可以根據(jù)實(shí)際情況選擇以上不同的方式��,當(dāng)然監(jiān)控網(wǎng)絡(luò)行為數(shù)據(jù)也不限于以上所列舉的方式����。
S102 :告知服務(wù)器所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序���;在傳統(tǒng)的查殺方式中,服務(wù)器并不知道當(dāng)前網(wǎng)絡(luò)行為是由哪個(gè)程序發(fā)起的�。而本發(fā)明實(shí)施例告知了服務(wù)器當(dāng)前的網(wǎng)絡(luò)行為具體屬于哪個(gè)程序��,因此�,對(duì)于當(dāng)前的網(wǎng)絡(luò)行為服務(wù)器可以得知其是由哪個(gè)程序發(fā)起的,進(jìn)而可以對(duì)當(dāng)前網(wǎng)絡(luò)行為進(jìn)行后續(xù)處理���,也即本發(fā)明實(shí)施例中的將當(dāng)前網(wǎng)絡(luò)行為與正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比���,并識(shí)別其是否異常。具體告知服務(wù)器當(dāng)前網(wǎng)絡(luò)行為所屬的程序的方式可以是客戶端向服務(wù)器發(fā)送當(dāng)前網(wǎng)絡(luò)行為的信息以及當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)��。在實(shí)施過程中����,發(fā)送的方式可以有多種,本發(fā)明實(shí)施例提供的方式可以是�����,為程序的當(dāng)前網(wǎng)絡(luò)行為的信息添加網(wǎng)絡(luò)防御標(biāo)簽,該網(wǎng)絡(luò)防御標(biāo)簽包括當(dāng)前網(wǎng)絡(luò)行為所屬的程序的標(biāo)識(shí)����,之后向服務(wù)器發(fā)送帶有網(wǎng)絡(luò)防御標(biāo)簽的當(dāng)前網(wǎng)絡(luò)行為的信息。需要說明的是����,網(wǎng)絡(luò)防御標(biāo)簽是為屬于當(dāng)前程序的進(jìn)程所附加的,只要是屬于同一程序的進(jìn)程所附加的網(wǎng)絡(luò)防御標(biāo)簽是一祥的�����,也就是說為同一程序的網(wǎng)絡(luò)行為的信息所添加的網(wǎng)絡(luò)防御標(biāo)簽是一祥的����。當(dāng)進(jìn)程發(fā)起網(wǎng)絡(luò)行為的時(shí)候,就可以將當(dāng)前的網(wǎng)絡(luò)行為的數(shù)據(jù)信息和添加的網(wǎng)絡(luò)防御標(biāo)簽一同發(fā)送給服務(wù)器��。該網(wǎng)絡(luò)防御標(biāo)簽一方面包括了當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)�����,程序的標(biāo)識(shí)用來確定當(dāng)前程序的身份�,也即用來告知服務(wù)器當(dāng)前網(wǎng)絡(luò)行為是由哪個(gè)程序發(fā)起的;另一方面����,該網(wǎng)絡(luò)防御標(biāo)簽也用來告知服務(wù)器凡是添加有該標(biāo)簽的網(wǎng)絡(luò)行為是需要經(jīng)過特殊處理的�����,也就說需要通過本發(fā)明實(shí)施例的方式來識(shí)別其是否為異常的網(wǎng)絡(luò)行為����。在接收到帶有網(wǎng)絡(luò)防御標(biāo)簽的當(dāng)前網(wǎng)絡(luò)行為的信息后��,服務(wù)器對(duì)獲得的數(shù)據(jù)信息進(jìn)行解析�,進(jìn)而可以獲知程序的當(dāng)前網(wǎng)絡(luò)行為以及其所屬程序的標(biāo)識(shí)����。因此服務(wù)器根據(jù)當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)就可以知道當(dāng)前網(wǎng)絡(luò)行為是哪個(gè)程序所發(fā)出的。具體實(shí)施的過程中���,可以根據(jù)標(biāo)識(shí)的具體內(nèi)容區(qū)分出不同程序的當(dāng)前網(wǎng)絡(luò)行為����。例如標(biāo)識(shí)的內(nèi)容可以是“gamer’�、“jiShit0ngXUnl”或者“ jishitongxun2”等,而“gameI”表示當(dāng)前的程序?yàn)橛螒騃, “ jishitongxunl”表示當(dāng)前的程序?yàn)榧磿r(shí)通訊l�����,“jishit0ngXUn2”表示當(dāng)前的程序?yàn)榧磿r(shí)通訊2,進(jìn)而服務(wù)器可以區(qū)分出當(dāng)前的網(wǎng)絡(luò)行為哪些是游戲I程序發(fā)出的��、哪些是即時(shí)通訊I程序發(fā)出的�����,以及哪些是即時(shí)通訊2程序發(fā)出的等等��。在具體實(shí)施過程中����,根據(jù)實(shí)際需要可以選擇將所有當(dāng)前網(wǎng)絡(luò)行為所屬的程序標(biāo)識(shí)都予以告知,也可以選擇只將部分當(dāng)前網(wǎng)絡(luò)行為所屬的程序標(biāo)識(shí)予以告知���。具體如何選擇��,則可以有多種選擇依據(jù)�。比如根據(jù)病毒的流行趨勢(shì)�,來選擇某些容易受病毒攻擊的程序來進(jìn)行上述處理,進(jìn)而可以對(duì)這些程序進(jìn)行有針對(duì)性的查殺���。具體而言��,根據(jù)病毒的流行趨勢(shì)���,判定哪些程序是容易受到病毒攻擊的程序或容易被病毒利用的程序�,對(duì)這些易受病毒攻擊的程序或容易被病毒利用的程序進(jìn)行分類��。將這些類別的程序作為特定類別的程序��,如果確定當(dāng)前程序是某ー特定類別程序���,則告知服務(wù)器當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)�。例如���,經(jīng)過一段時(shí)間的分析,發(fā)現(xiàn)現(xiàn)階段針對(duì)即時(shí)通訊軟件的病毒不斷增多���,因此即時(shí)通訊I或即時(shí)通訊2等即時(shí)通訊類軟件程序可能就是目前易受病毒攻擊的程序��。根據(jù)實(shí)際情況�����,可以對(duì)這些程序進(jìn)行細(xì)致或粗略的劃分����。如果劃分的比較細(xì)致,那么每個(gè)程序自身就可以是ー類�,例如即時(shí)通訊I、即時(shí)通訊2��、瀏覽器I����、瀏覽器2�、等等,都可以作為劃分的類別�。而如果劃分比較粗略的話,那么可以將程序劃分為游戲類����、即時(shí)通訊類、瀏覽器類等等�,比如,游戲I就屬于游戲類�,即時(shí)通訊I、即時(shí)通訊2就屬于即時(shí)通訊類�����,瀏覽器I、瀏覽器2就屬于瀏覽器類等等���,之后根據(jù)這些預(yù)先分好的類別來確定哪些當(dāng)前網(wǎng)絡(luò)行為所屬的程序信息需要告知�,具體方式如下 當(dāng)本地計(jì)算機(jī)(即客戶端)啟動(dòng)ー個(gè)程序后����,首先會(huì)將該程序的數(shù)字簽名、文件名��、文件路徑�����、原始名等多方面的屬性信息發(fā)送給服務(wù)器�����,服務(wù)器接收客戶端發(fā)送的該程序的屬性信息��,然后提取這些屬性信息的特征�����,經(jīng)過分析這些屬性信息的特征來確定該程序是否屬于上述預(yù)先劃分的特定類別的程序�,如果是,則發(fā)送指令給客戶端�,指示客戶端將監(jiān)控到的該程序的當(dāng)前網(wǎng)絡(luò)行為的信息以及當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)告知給服務(wù)器。例如���,計(jì)算機(jī)在本地啟動(dòng)了即時(shí)通訊I程序�,并將其數(shù)字簽名��、文件名等信息發(fā)送給服務(wù)器�,服務(wù)器對(duì)這些信息的特征進(jìn)行分析后,確定該程序?qū)儆谔囟悇e(也即前述根據(jù)病毒的流行趨勢(shì)劃分的程序類別)中的即時(shí)通訊I程序�����,那么發(fā)送指令給客戶端����,指示客戶端將即時(shí)通訊I程序的當(dāng)前網(wǎng)絡(luò)行為的信息以及當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)(如“jishitongxunl”)發(fā)送給服務(wù)器,進(jìn)而服務(wù)器就可以得知當(dāng)前的網(wǎng)絡(luò)行為是由即時(shí)通訊I程序發(fā)起的�,即告知服務(wù)器當(dāng)前網(wǎng)絡(luò)行為所屬的程序。同樣�����,如果本地計(jì)算機(jī)啟動(dòng)了即時(shí)通訊2程序,利用同樣的方法服務(wù)器可以得知當(dāng)前的網(wǎng)絡(luò)行為是由MSN程序發(fā)起的�����。當(dāng)然如果預(yù)先劃分的類別比較粗略的話����,例如,劃分為游戲類����、即時(shí)通訊類和瀏覽器等幾大類,經(jīng)過分析確定本地啟動(dòng)的即時(shí)通訊I程序是屬于預(yù)置類別中的即時(shí)通訊類���,那么服務(wù)器會(huì)發(fā)送指令給客戶端����,指示客戶端告知當(dāng)前網(wǎng)絡(luò)行為所屬的程序�,進(jìn)而客戶端根據(jù)指令將即時(shí)通訊I程序的當(dāng)前網(wǎng)絡(luò)行為的信息以及當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)(如“jishitongxunl”)發(fā)送給服務(wù)器。在選擇將哪些當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)需要告知時(shí)�,除了上述方式,還可以是以下方式在預(yù)先劃分的類別里再選擇幾種當(dāng)前最容易受病毒攻擊的類別或容易被病毒利用的類別���,作為特定類別,如果經(jīng)過分析程序是屬于這幾種特定類別里的某ー種���,那么指示客戶端告知當(dāng)前網(wǎng)絡(luò)行為所屬的該程序的標(biāo)識(shí)�����。例如�,現(xiàn)有的預(yù)置分類有10種類別,而其中的游戲類��、瀏覽器類及即時(shí)通訊類是最容易受攻擊的���,那么將這三中類別的程序作為特定類別�,當(dāng)確定當(dāng)前程序?qū)儆谟螒蝾?����、瀏覽器類或即時(shí)通訊類中的某ー類時(shí)����,指示客戶端告知當(dāng)前網(wǎng)絡(luò)行為所屬的程序的標(biāo)識(shí),如果經(jīng)過分析發(fā)現(xiàn)當(dāng)前的程序雖然屬于預(yù)先分類里的類別���,但是并不屬于上述三類特定類別里的任何ー類�,那么就不發(fā)送指令,進(jìn)而客戶端也不會(huì)告知當(dāng)前網(wǎng)絡(luò)行為所屬的程序的標(biāo)識(shí)��。此時(shí)只要對(duì)當(dāng)前的程序進(jìn)行傳統(tǒng)的查殺即可�。如,本地啟動(dòng)了即時(shí)通訊I程序�,經(jīng)過分析,發(fā)現(xiàn)即時(shí)通訊I是屬于預(yù)先分好的類別里的程序�����,同時(shí)是屬于特定類別的即時(shí)通訊類�,那么就指示客戶端告知當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)(如jishitongxunl”)。而如果客戶端啟動(dòng)了 game I程序����,game I是屬于預(yù)先分類里的類別,但是其并不屬于上述三類特定類別中的任何ー類�����,那么就不必指示客戶端告知當(dāng)前網(wǎng)絡(luò)行為所屬的程序的標(biāo)識(shí)�����。當(dāng)然�,哪些當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)需要告知�,選擇的依據(jù)還有其它很多種��,本發(fā)明不做限制���。而對(duì)于另外ー些不屬于特定類別的程序(通過檢測(cè)其數(shù)字簽名、文件名��、文件路徑等信息���,判斷出該程序不具有特定類別的程序所具有的特征����,也即��,這些程序不能被歸到特定類別里)����,可以不采用本發(fā)明實(shí)施例的方式進(jìn)行處理,而對(duì)其采用傳統(tǒng)方式進(jìn)行查殺�,具體方式為針對(duì)當(dāng)前程序的本地行為,在客戶端檢測(cè)其是否是已知的惡意文件�,是否釋放出了其他文件,是否修改了敏感位置注冊(cè)表值�����,是否修改了重要系統(tǒng)文件等等,也即判斷其行為是否為惡意���,如果是惡意行為���,則在客戶端將其攔截。針對(duì)當(dāng)前程序的網(wǎng)絡(luò)行為����,主要通過程序所訪問的網(wǎng)頁(yè)的標(biāo)識(shí)信息如URL (Uniform Resource Locator,統(tǒng)ー資源定位符)地址、域名���,host (主機(jī)),端ロ或IP (Internet Protocol,網(wǎng)絡(luò)協(xié)議)地址等信息,判斷其是否存在危險(xiǎn)���。當(dāng)前,除了上述傳統(tǒng)查殺方式外�����,對(duì)于這些不屬于特定類別(即認(rèn)為不需要通過程 序的已知正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比來判斷當(dāng)前網(wǎng)絡(luò)行為是否異常)的程序�����,還可以采用其他的各種已知查殺方式,甚至不需要也可以不查殺�,本發(fā)明對(duì)此并沒有限制。S103 :查找所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序的已知正常網(wǎng)絡(luò)行為���;在本發(fā)明實(shí)施例中�,查找當(dāng)前網(wǎng)絡(luò)行為所屬的程序的已知正常網(wǎng)絡(luò)行為可以采用以下方式預(yù)先收集多種程序的正常網(wǎng)絡(luò)行為�,并建立程序的標(biāo)識(shí)及其正常網(wǎng)絡(luò)行為之間的對(duì)應(yīng)關(guān)系����;根據(jù)當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí),查找該程序的標(biāo)識(shí)對(duì)應(yīng)的正常網(wǎng)絡(luò)行為�����,將查找到的正常網(wǎng)絡(luò)行為作為所述程序的已知正常網(wǎng)絡(luò)行為���。程序的正常網(wǎng)絡(luò)行為可以通過各種方式予以收集���。tヒ如,可以監(jiān)控已有程序的網(wǎng)絡(luò)行為���,通過大量的分析總結(jié)歸納出某些程序的正常網(wǎng)絡(luò)行為是什么�;也可以通過服務(wù)商或者網(wǎng)站所屬公司獲知某些程序的正常網(wǎng)絡(luò)行為等等;還可以人工收集ー些程序的網(wǎng)絡(luò)行為數(shù)據(jù)得到這些程序的正常網(wǎng)絡(luò)行為�,等等,本發(fā)明對(duì)預(yù)先收集程序的已知正常網(wǎng)絡(luò)行為的方式并沒有限制���。例如一種常見的收集方式是����,一個(gè)程序正常的網(wǎng)絡(luò)行為并不多��,比如訪問某一公司的官方網(wǎng)站或固定IP地址��。由于IP和域名在某個(gè)公司購(gòu)買并使用后���,一般情況下�,公司都會(huì)對(duì)其IP和域名進(jìn)行維護(hù)和管理��。那么程序連接該公司的官方地址或其相關(guān)的地址(比如程序中存在的圖片�、廣告或合作公司的域名或IP地址)的時(shí)候,出于對(duì)正常程序開發(fā)公司的信任��,也同時(shí)可以信任這些地址���。這些地址可以通過在測(cè)試正常程序吋���,同時(shí)運(yùn)行Wireshark等專業(yè)網(wǎng)絡(luò)監(jiān)控工具來獲取到��。獲取到這些地址后��,服務(wù)器就可以將程序訪問這些可信任地址的網(wǎng)絡(luò)行為作為正常網(wǎng)絡(luò)行為而保存��。由于在S102步驟中�����,已經(jīng)將當(dāng)前網(wǎng)絡(luò)行為所屬的程序是哪個(gè)程序,通過程序標(biāo)識(shí)告知了服務(wù)器�����,而該標(biāo)識(shí)與程序的正常網(wǎng)絡(luò)行為是對(duì)應(yīng)的����,因此通過該標(biāo)識(shí)可以查找到當(dāng)前程序所對(duì)應(yīng)的正常網(wǎng)絡(luò)行為。例如�,服務(wù)器通過告知的程序標(biāo)識(shí)得知當(dāng)前的網(wǎng)絡(luò)行為是由即時(shí)通訊I程序發(fā)起的,那么相應(yīng)的就可以從預(yù)知的所有正常網(wǎng)絡(luò)行為中查找到即時(shí)通訊I程序所對(duì)應(yīng)的正常網(wǎng)絡(luò)行為��。當(dāng)然����,在具體實(shí)施的過程中��,可以預(yù)先收集能獲知的所有程序?qū)?yīng)的正常網(wǎng)絡(luò)行為�,也可以根據(jù)當(dāng)前的實(shí)際情況只收集當(dāng)前比較容易受到病毒攻擊的一些程序?qū)?yīng)的的正常網(wǎng)絡(luò)行為�。例如,當(dāng)前一段時(shí)間��,即時(shí)通訊I����、即時(shí)通訊2等程序比較容易受病毒攻擊,那么就預(yù)先收集即時(shí)通訊I�、即時(shí)通訊2等程序所對(duì)應(yīng)的所有正常網(wǎng)絡(luò)行為。也就是說����,只有ー些容易受病毒攻擊的程序所對(duì)應(yīng)的正常網(wǎng)絡(luò)行為會(huì)被收集而對(duì)于那些不易受病毒攻擊的程序則采用傳統(tǒng)方式查殺,不必預(yù)先收集其正常網(wǎng)絡(luò)行為�����,這樣也減少了對(duì)系統(tǒng)資源的過多占用����。S104:將所述程序的當(dāng)前網(wǎng)絡(luò)行為與所述程序的已知正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比�。由于在步驟SlOl中已經(jīng)監(jiān)控到了程序的當(dāng)前網(wǎng)絡(luò)行為����,在步驟S103中又通過該程序的標(biāo)識(shí)查找到了該程序?qū)?yīng)的所有正常網(wǎng)絡(luò)行為,因此可以將監(jiān)控到的該程序的當(dāng)前網(wǎng)絡(luò)行為與查找到的該程序?qū)?yīng)的正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比����。前文已經(jīng)說明,服務(wù)器可能只是預(yù)知容易受病毒攻擊的某些類程序的正常網(wǎng)絡(luò)行為�,而且類別在預(yù)先劃分時(shí)可能比較細(xì)致,也可能比較粗略�。因此,服務(wù)器預(yù)存的正常網(wǎng)絡(luò) 行為也可能會(huì)根據(jù)分類的細(xì)致與粗略而不同�。如果分類比較細(xì)致,每ー個(gè)程序可能就會(huì)劃分為ー類����,例如���,即時(shí)通訊I被劃分為単獨(dú)的ー類���,此時(shí)服務(wù)器預(yù)知的正常網(wǎng)絡(luò)行為也會(huì)比較具體(如為即時(shí)通訊I程序的正常網(wǎng)絡(luò)行為)。如果客戶端啟動(dòng)了即時(shí)通訊I程序,服務(wù)器通過分析其數(shù)字簽名���、文件名等信息���,確定該程序?yàn)樯鲜鎏囟悇e里的程序,那么此時(shí)就可以指示客戶端告知即時(shí)通訊I程序的當(dāng)前網(wǎng)絡(luò)行為的信息以及即時(shí)通訊I程序的的標(biāo)識(shí)屬于哪個(gè)程序���,進(jìn)而���,客戶端將當(dāng)前即時(shí)通訊I程序的網(wǎng)絡(luò)行為的數(shù)據(jù)以及即時(shí)通訊I程序的標(biāo)識(shí)(如“即時(shí)通訊I”)一并發(fā)送給服務(wù)器,服務(wù)器根據(jù)該標(biāo)識(shí)就知道上傳的當(dāng)前網(wǎng)絡(luò)行為是屬于即時(shí)通訊I程序的(即即時(shí)通訊I程序發(fā)起的)�����,于是就可以查找到預(yù)知的即時(shí)通訊I程序?qū)?yīng)的正常網(wǎng)絡(luò)行為����,并將即時(shí)通訊I程序的當(dāng)前網(wǎng)絡(luò)行為與預(yù)知的即時(shí)通訊I程序?qū)?yīng)的正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比。而如果類別劃分比較粗略��,可能只是籠統(tǒng)的劃分為游戲類���、或即時(shí)通訊類�、瀏覽器等幾大類等,這時(shí)����,同樣通過上述的分析判斷出即時(shí)通訊I程序是對(duì)應(yīng)于即時(shí)通訊類,那么就可以利用同樣的方法將即時(shí)通訊I程序的當(dāng)前網(wǎng)絡(luò)行為與預(yù)知的即時(shí)通訊類的正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比����。當(dāng)然,也可以是選擇預(yù)先分好的類別里的其中最容易受攻擊的幾類作為特定類另IJ����。例如在預(yù)先分好的多種類別里當(dāng)前只有游戲類、即時(shí)通訊類����、瀏覽器類是最容易受攻擊的三個(gè)特定類別,那么經(jīng)過判斷只有當(dāng)前程序?qū)儆谶@三類中的任何ー類時(shí)�����,才將程序的當(dāng)前網(wǎng)絡(luò)行為與預(yù)知的正常網(wǎng)絡(luò)行為做對(duì)比��,而屬于這三類之外的其它類別時(shí)����,則無需進(jìn)行對(duì)比。S105 :根據(jù)所述對(duì)比結(jié)果��,識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為是否異常��。根據(jù)上述的對(duì)比結(jié)果�����,最終識(shí)別出網(wǎng)絡(luò)行為是否異常���。如果對(duì)比的結(jié)果不一致�����,那么認(rèn)為該程序的網(wǎng)絡(luò)行為為異常網(wǎng)絡(luò)行為���;如果對(duì)比結(jié)果一致,則認(rèn)為該程序的網(wǎng)絡(luò)行為為正常網(wǎng)絡(luò)行為��。對(duì)于識(shí)別出為異常的網(wǎng)絡(luò)行為�,在具體實(shí)現(xiàn)的過程中可以根據(jù)不同的情況進(jìn)行不同的處理。其中一種情況可以是��,通過現(xiàn)有的查殺病毒的方式對(duì)當(dāng)前的異常網(wǎng)絡(luò)行為進(jìn)行進(jìn)ー步判斷����,如果可以確定當(dāng)前網(wǎng)絡(luò)行為是非惡意的��,那么可以先暫停其網(wǎng)絡(luò)連接���,井向用戶發(fā)送提示信息,告知用戶該程序?yàn)楫惓?��,由用戶做出最終選擇���,如果用戶選擇攔截,那么該網(wǎng)絡(luò)行為將會(huì)被徹底阻止��。當(dāng)然����,為了系統(tǒng)的安全,并且在用戶預(yù)先的指示下(比如用戶在客戶端預(yù)先設(shè)定某ー類型的異常網(wǎng)絡(luò)行為可以直接攔截)���,則直接將某種類型的該異常網(wǎng)絡(luò)行為進(jìn)行攔截�����。例如本地啟動(dòng)ー個(gè)程序����,該程序的當(dāng)前網(wǎng)絡(luò)行為是從網(wǎng)絡(luò)資源中下載某一文件���,該網(wǎng)絡(luò)行為通過本發(fā)明實(shí)施例的方式已經(jīng)識(shí)別出是ー個(gè)異常網(wǎng)絡(luò)行為���。而且通過現(xiàn)有的病毒查殺方法判斷出了該下載的文件本身并不是病毒,也就是說����,當(dāng)前的異常網(wǎng)絡(luò)行為并非是惡意的。假設(shè)該文件表明自身只是ー個(gè)視頻播放軟件程序�,對(duì)于客戶來說,下載該文件的目的僅僅是想獲取ー個(gè)視頻播放器���,而且通過文件名等信息也相信該文件只是一個(gè)視頻播放軟件程序�����,但是當(dāng)用戶去運(yùn)行該軟件程序的時(shí)候���,發(fā)現(xiàn)該程序不僅僅安裝了視頻播放器,同時(shí)也安裝了一個(gè)瀏覽器��,和其它ー些用戶并不需要的軟件,也就是說在用戶不知情的情況下����,該程序文件欺騙用戶額外安裝了其它的軟件,而該文件里的其它用戶所不需要的軟件�,也只是程序的發(fā)明者為了達(dá)到推廣的目的而添加的,本身也并非是惡意的����。本發(fā)明實(shí)施例對(duì)這種非惡意的異常網(wǎng)絡(luò)行為所采用的方式是,只將當(dāng)前的異常網(wǎng)絡(luò)行為暫?����;驍r截����。當(dāng)然,當(dāng)前網(wǎng)絡(luò)行為并非是惡意的情況有很多中�����,上述只是通過舉例介紹其中的ー種����。對(duì)于識(shí)別出當(dāng)前網(wǎng)絡(luò)行為是異常網(wǎng)絡(luò)行為之后�����,本發(fā)明實(shí)施例還提供了另外ー種處理方式,具體為如果程序的當(dāng)前網(wǎng)絡(luò)行為是惡意的��,并且不確定程序是否為惡意程序��, 則暫?���;驍r截程序的全部網(wǎng)絡(luò)行為。也就是說����,識(shí)別出當(dāng)前網(wǎng)絡(luò)行為為異常,并且通過現(xiàn)有的查殺病毒的方式判斷出該異常網(wǎng)絡(luò)行為是惡意的����,例如,該異常網(wǎng)絡(luò)行為通過連接網(wǎng)絡(luò)之后會(huì)下載病毒程序�����,但是通過該異常網(wǎng)絡(luò)行為并不能確定發(fā)起該網(wǎng)絡(luò)行為的程序是否是惡意程序����,也就是說該異常網(wǎng)絡(luò)行為是相對(duì)獨(dú)立的�����,根據(jù)該異常網(wǎng)絡(luò)行為不能確定其本地行為是否是惡意�����,那么為了系統(tǒng)整體安全�,就將當(dāng)前惡意網(wǎng)絡(luò)行為所對(duì)應(yīng)程序的全部網(wǎng)絡(luò)行為都暫?��;驍r截���。在實(shí)際實(shí)施的過程中,用戶也可以通過手動(dòng)操作選擇只攔截當(dāng)前的惡意網(wǎng)絡(luò)行為���,而將程序其他的網(wǎng)絡(luò)行為放行���,當(dāng)然也可以選擇將程序的全部網(wǎng)絡(luò)行為都攔截,甚至有必要的話�����,也可以選擇攔截該程序的全部網(wǎng)絡(luò)行為和全部本地行為。當(dāng)然����,識(shí)別出當(dāng)前網(wǎng)絡(luò)行為是異常網(wǎng)絡(luò)行為之后,還可以通過以下方式進(jìn)行處理�,具體為如果所述程序的當(dāng)前網(wǎng)絡(luò)行為是惡意的,并且確定所述程序?yàn)閻阂獬绦?���,則暫?;驍r截所述程序的全部行為。也就是說��,識(shí)別出當(dāng)前網(wǎng)絡(luò)行為為異常�,并且通過現(xiàn)有的查殺病毒的方式判斷出該異常網(wǎng)絡(luò)行為是惡意的,同時(shí)���,根據(jù)該惡意網(wǎng)絡(luò)行為可以確定發(fā)起該惡意網(wǎng)絡(luò)行為的程序本身就為病毒程序�����,那么就將當(dāng)前惡意網(wǎng)絡(luò)行為所對(duì)應(yīng)程序的本地行為和網(wǎng)絡(luò)行為全部暫?;蛘邤r截。例如�,當(dāng)前的惡意網(wǎng)絡(luò)行為是與病毒服務(wù)器進(jìn)行連接,并且連接之后會(huì)上傳用戶的隱私信息給病毒服務(wù)器���,而如果要上傳用戶隱私數(shù)據(jù)�,程序的本地行為首先得獲取用戶的隱私數(shù)據(jù)����,之后網(wǎng)絡(luò)行為再將這些數(shù)據(jù)上傳,本地的這種獲取用戶隱私數(shù)據(jù)的行為本身就是ー種惡意行為�����,也就是說��,通過異常網(wǎng)絡(luò)行為可以判斷出發(fā)出該異常網(wǎng)絡(luò)行為的程序所執(zhí)行的本地行為也是惡意的���,所以可以判斷該程序本身就是惡意程序��,那么��,就將該程序的全部行為����,也即本地行為和網(wǎng)絡(luò)行為全部暫停或攔截����。在具體實(shí)施的過程中,到底采用上述哪種方式對(duì)異常網(wǎng)絡(luò)行為進(jìn)行處理����,要根據(jù)客戶端上傳的數(shù)據(jù)(當(dāng)前網(wǎng)絡(luò)行為數(shù)據(jù))在命中不同的攔截規(guī)則后,根據(jù)不同的規(guī)則����,進(jìn)行相應(yīng)的處理。需要說明的是���,本發(fā)明實(shí)施例可以通過以下方式實(shí)現(xiàn)在客戶端預(yù)設(shè)ー個(gè)模塊用來預(yù)存少量程序的已知正常網(wǎng)絡(luò)行為,當(dāng)客戶端的監(jiān)控模塊監(jiān)控到程序的當(dāng)前網(wǎng)絡(luò)行為時(shí)�,告知客戶端的正常網(wǎng)絡(luò)行為預(yù)存模塊該程序是什么程序,進(jìn)而可以在正常網(wǎng)絡(luò)行為預(yù)存模塊對(duì)應(yīng)查找到該程序的正常網(wǎng)絡(luò)行為�����,將該程序的當(dāng)前網(wǎng)絡(luò)行為與查找到的正常網(wǎng)絡(luò)行為在客戶端進(jìn)行對(duì)比��,最終根據(jù)對(duì)比結(jié)果����,識(shí)別該程序的當(dāng)前網(wǎng)絡(luò)行為是否異常�����。當(dāng)然本發(fā)明實(shí)施例也不限于上述的實(shí)現(xiàn)方式�,優(yōu)選的�,也可以是由客戶端監(jiān)控程序的當(dāng)前網(wǎng)絡(luò)行為,并告知服務(wù)器當(dāng)前網(wǎng)絡(luò)行為所屬的程序�,在服務(wù)器查找當(dāng)前網(wǎng)絡(luò)行為所屬的程序的已知正常網(wǎng)絡(luò)行為,并將程序的當(dāng)前網(wǎng)絡(luò)行為與該程序的正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比��,最后根據(jù)對(duì)比結(jié)果��,識(shí)別出該程序的當(dāng)前網(wǎng)絡(luò)行為是否異常���。也就是說��,以上優(yōu)選方案中�,程序的正常網(wǎng)絡(luò)行為都預(yù)存在服務(wù)器����,因?yàn)榻?jīng)過長(zhǎng)期的運(yùn)營(yíng)之后,搜集到的程序的正常網(wǎng)絡(luò)行為會(huì)非常多��,數(shù)據(jù)也越來越龐大,而大型服務(wù)器的存儲(chǔ)空間要遠(yuǎn)遠(yuǎn)大于客戶端����,因此,在服務(wù)器側(cè)可以盡可能多的預(yù)存程序的正常網(wǎng)絡(luò)行為�,進(jìn)而可以提高查殺的全面性。同時(shí)�,對(duì)于最新搜集到的正常網(wǎng)絡(luò)行為,服務(wù)器可以及時(shí)進(jìn)行更新���,對(duì)最新出現(xiàn)的異常網(wǎng)絡(luò)行為或者病毒在進(jìn)行對(duì)比之后可以及時(shí)進(jìn)行處理��。而如果將程序的正常網(wǎng)絡(luò)行為預(yù)存在客戶端�����,查找到程序的正常網(wǎng)絡(luò)行為之后,將程序的當(dāng)前網(wǎng)絡(luò)行為與該程序的正常網(wǎng)絡(luò)行為在客戶端進(jìn)行對(duì)比���,不僅由于大量硬盤空間的占用使得用戶機(jī)器速度慢�����,而且�����,對(duì)于更新的正常網(wǎng)絡(luò)行為�,還需要客戶端通過聯(lián)網(wǎng)升級(jí)的方式進(jìn)行更新,因此也就不能及時(shí)找出新出現(xiàn)的異常網(wǎng)絡(luò)行為或者病毒����,進(jìn)而也就不能對(duì)新出現(xiàn)的異常網(wǎng)絡(luò)行為或病毒進(jìn)行及時(shí)處理。 下面再通過一具體實(shí)施方式
來說明本發(fā)明實(shí)施例的具體實(shí)現(xiàn)方案�����,請(qǐng)參見圖2�����,其為本發(fā)明提供的一種識(shí)別網(wǎng)絡(luò)行為是否異常的方法具體實(shí)施方式
流程圖�。本地客戶端啟動(dòng)某ー程序(程序執(zhí)行),并將該程序的屬性信息發(fā)送給服務(wù)器����,其中屬性信息包括該程序的數(shù)字簽名、文件名�、文件路徑和/或原始名等信息,服務(wù)器對(duì)數(shù)字簽名���、文件名等屬性信息的特征進(jìn)行檢測(cè)��,經(jīng)過檢測(cè)后判斷該程序是否具有某類特定類別(如根據(jù)當(dāng)前病毒流行趨勢(shì)判定是當(dāng)前一定時(shí)間段內(nèi)容易受到病毒攻擊的程序類別和/或容易被病毒利用的程序類別)程序的特征��,即是否屬于特定類別��。如果經(jīng)過分析判斷出該程序不具有特定類別程序的特征�����,則對(duì)該程序進(jìn)行其他檢測(cè)(比如采用其它現(xiàn)有的方式查殺)����。如果具有某類特定類別程序的特征,則指示客戶端監(jiān)控當(dāng)前網(wǎng)絡(luò)行為�����,并給當(dāng)前網(wǎng)絡(luò)行為所對(duì)應(yīng)的進(jìn)程打上NDCAT(Network Defender Category����,網(wǎng)絡(luò)防御標(biāo)簽)標(biāo)簽�,之后將該標(biāo)簽(即該程序所屬類別對(duì)應(yīng)的NDCAT標(biāo)簽)及當(dāng)前網(wǎng)絡(luò)行為的信息一同發(fā)送給服務(wù)器。當(dāng)接收到帶有標(biāo)簽的網(wǎng)絡(luò)行為的數(shù)據(jù)時(shí)����,服務(wù)器便可知道當(dāng)前的網(wǎng)絡(luò)行為是需要進(jìn)行特殊處理的�����,也即需要通過本發(fā)明實(shí)施例的方式來識(shí)別其是否異常�����,同時(shí)服務(wù)器根據(jù)該標(biāo)簽內(nèi)包括的當(dāng)前程序的標(biāo)識(shí)也可以得知當(dāng)前的網(wǎng)絡(luò)行為是由哪個(gè)程序所發(fā)起的���。由于服務(wù)器預(yù)存有帶有NDCAT標(biāo)簽的進(jìn)程所屬程序的正常網(wǎng)絡(luò)行為,因此��,根據(jù)接收到的標(biāo)簽���,便可以查找到該標(biāo)簽所對(duì)應(yīng)程序的正常網(wǎng)絡(luò)行為���,并將監(jiān)控獲得的該程序的當(dāng)前網(wǎng)絡(luò)行為與查找到的該程序?qū)?yīng)的已知正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比,如果當(dāng)前網(wǎng)絡(luò)行為與預(yù)存的已知正常網(wǎng)絡(luò)行為不一致�,即認(rèn)為該網(wǎng)絡(luò)行為為異常網(wǎng)絡(luò)行為,可能存在危險(xiǎn)�,此時(shí)可以暫停該程序的網(wǎng)絡(luò)行為(比如暫停該程序的網(wǎng)絡(luò)連接),并以某種形式(如彈窗報(bào)警)提示給用戶,等待用戶處理�����,由用戶選擇是否將程序的部分或全部網(wǎng)絡(luò)行為攔截����;如果判斷與已知網(wǎng)絡(luò)行為一致,則繼續(xù)監(jiān)控其他網(wǎng)絡(luò)行為���。下面通過ー個(gè)具體應(yīng)用程序的例子說明ー下本發(fā)明實(shí)施例具體如何識(shí)別出程序的異常網(wǎng)絡(luò)行為�����。456游戲大廳是ー款廣受歡迎的在線游戲平臺(tái)軟件���,同時(shí)由于其虛擬貨幣與現(xiàn)實(shí)貨幣存在兌換關(guān)系,讓該游戲平臺(tái)也成為了許多病毒木馬作者下手的對(duì)象��。病毒木馬作者通常是首先搭建ー個(gè)與456游戲大廳官網(wǎng)非常相似的釣魚網(wǎng)站��,誘騙用戶下載其提供的虛假客戶端程序���。而這個(gè)虛假的客戶端程序中�����,病毒木馬作者只是修改了正?��?蛻舳顺绦蛑械囊粋€(gè)名為system, ini的配置文件,其余所有可執(zhí)行文件均為正常����。而當(dāng)游戲客戶端程序啟動(dòng)的時(shí)候,會(huì)讀取system, ini配置文件中的信息����,并按照對(duì)應(yīng)的網(wǎng)址(下載地址)去檢查并下載更新。此時(shí)�����,被修改過的system, ini就將升級(jí)程序按照對(duì)應(yīng)的下載地址指向了病毒木馬作者自己的服務(wù)器����。此種情況下,如果采用傳統(tǒng)的云安全查殺方式��,由于游戲客戶端程序在啟動(dòng)時(shí)�����,只是讀取system, ini配置文件中的信息,并按照對(duì)應(yīng)的網(wǎng)址去檢查并下載更新����,其本身ー開始并沒有惡意的本地行為,所以本地防御不會(huì)攔截����。而客戶端與服務(wù)器在傳統(tǒng)的查殺過程 中,互動(dòng)比較少��。因此��,客戶端也不會(huì)提供給服務(wù)器任何信息���,所以服務(wù)器只會(huì)檢測(cè)被修改過的system, ini所指向的網(wǎng)址��,由于服務(wù)器并不知道這個(gè)聯(lián)網(wǎng)下載的行為是由456游戲大廳發(fā)起的��,所以也肯定不能采用非白即黑的攔截方式���,只能采用傳統(tǒng)的非黑即白的攔截方式。即����,除非下載地址是已知的危險(xiǎn)地址���,才會(huì)攔截,否則便會(huì)一律放行��。而對(duì)于上述升級(jí)程序所指向的網(wǎng)址很可能由于病毒庫(kù)沒有及時(shí)更新��,而沒有對(duì)其進(jìn)行收集�����,這樣��,就會(huì)將上述指向病毒作者自己服務(wù)器的聯(lián)網(wǎng)下載行為放過����。下面具體介紹采用本發(fā)明實(shí)施例的方式如何識(shí)別出上述應(yīng)用環(huán)境中的異常網(wǎng)絡(luò)行為����。如果本地的客戶端啟動(dòng)了 456游戲大廳程序,客戶端將會(huì)監(jiān)控456游戲大廳程序當(dāng)前的網(wǎng)絡(luò)行為����,并將該程序的數(shù)字簽名����、文件名���、文件路徑等信息發(fā)送給服務(wù)器���,服務(wù)器通過綜合分析這些發(fā)送的信息,可以判斷出該程序?yàn)轭A(yù)置類別里的456游戲大廳程序���,進(jìn)而服務(wù)器則指示客戶端發(fā)送該程序的當(dāng)前網(wǎng)絡(luò)行為及其所屬程序的標(biāo)識(shí)(如“456game”)���。通過該標(biāo)識(shí)服務(wù)器可以確定當(dāng)前網(wǎng)絡(luò)行為是456游戲大廳所發(fā)起的,而服務(wù)器預(yù)存有456游戲大廳對(duì)應(yīng)的正常網(wǎng)絡(luò)行為���,所以可以根據(jù)該標(biāo)識(shí)對(duì)應(yīng)查找到預(yù)存的456游戲大廳所對(duì)應(yīng)的正常網(wǎng)絡(luò)行為���。將監(jiān)控到的456游戲大廳程序的當(dāng)前網(wǎng)絡(luò)行為與正常的網(wǎng)絡(luò)行為進(jìn)行對(duì)比,發(fā)現(xiàn)訪問病毒作者自己的服務(wù)器的網(wǎng)絡(luò)行為�����,并不在已知的正常網(wǎng)絡(luò)行為中����,也即識(shí)別出該網(wǎng)絡(luò)行為不屬于正常的網(wǎng)絡(luò)行為���。此時(shí)可暫停或攔截該網(wǎng)絡(luò)行為�,或者也可以根據(jù)實(shí)際需要暫停或攔截該程序的全部網(wǎng)絡(luò)行為��,當(dāng)然��,如果發(fā)現(xiàn)該程序的本地行為也是不安全的�,則可以暫?;驍r截該程序的全部行為。通過另外一個(gè)應(yīng)用程序的具體例子也可以看出本發(fā)明的效果����。暴風(fēng)影音是國(guó)內(nèi)知名的視頻播放器,用戶量很大�����,并且所有程序組件帶有北京暴風(fēng)科技股份有限公司的合法數(shù)字簽名����?��;趯?duì)數(shù)字簽名體系的信任,傳統(tǒng)安全軟件在識(shí)別帶有這種合法數(shù)字簽名的程序時(shí)��,是直接放行其全部行為的�����。而這一點(diǎn)也就給了ー些病毒可乘之機(jī)����。暴風(fēng)影音的程序組件中帶有暴風(fēng)影音升級(jí)程序“BaofengUpdate. exe”,在運(yùn)行升級(jí)時(shí)會(huì)自動(dòng)調(diào)用同目錄下的“Update, dll”進(jìn)行升級(jí)操作。利用這一點(diǎn)�,針對(duì)暴風(fēng)影音出現(xiàn)了大量的病毒木馬。這些木馬一般會(huì)釋放出兩個(gè)文件ー個(gè)帶有有效數(shù)字簽名的官方版“BaofengUpdate. exe”程序����,另一個(gè)是病毒作者自己編寫的“Update, dll”木馬。釋放這兩個(gè)文件之后�,“ BaofengUpdate. exe”,會(huì)自動(dòng)加載“Update, dll”,并執(zhí)行其中的惡意代碼一一下載病毒到本地運(yùn)行或上傳用戶的隱私信息。由于是被加載的�,所以真正的木馬程序“Update, dll”不會(huì)出現(xiàn)在進(jìn)程列表中,而進(jìn)程列表中出現(xiàn)的“BaofengUpdate. exe”又會(huì)因?yàn)閹в杏行У臄?shù)字簽名而被傳統(tǒng)安全軟件輕易地放過��。下面說明ー下針對(duì)以上例子��,采用本發(fā)明實(shí)施例的方式如何將病毒識(shí)別出來,進(jìn)而進(jìn)行查殺���。當(dāng)本地的客戶端啟動(dòng)了 BaofengUpdate. exe程序,客戶端將會(huì)監(jiān)控該程序的當(dāng)前網(wǎng)絡(luò)行為�,并將該程序的數(shù)字簽名�、文件名、文件路徑等信息發(fā)送給服務(wù)器����,服務(wù)器通過綜合分析這些發(fā)送的信息,可以判斷出該程序?yàn)椤癇aofengUpdate. exe”程序�����,此時(shí)��,服務(wù)器將指示客戶端發(fā)送當(dāng)前網(wǎng)絡(luò)行為的信息及其所屬程序的標(biāo)識(shí)(如“BaofengUpdate”)���。進(jìn)而,客戶端為該程序的當(dāng)前進(jìn)程打上標(biāo)簽(代表了該程序的標(biāo)識(shí)信息���,)并上傳至服務(wù)器����。然后,服務(wù)器根據(jù)該標(biāo)識(shí)查找到該程序的正常網(wǎng)絡(luò)行為���。一般情況下���,如果該升級(jí)程序是正常的,則只會(huì)訪問暴風(fēng)自己旗下域名的網(wǎng)站���。即�,只有發(fā)起的DNS請(qǐng)求的一級(jí)域名部分是baofeng. com的網(wǎng)絡(luò)行為是正常的網(wǎng)絡(luò)行為�����。據(jù)此�,便可以將監(jiān)控到的帶有“BaofengUpdate”標(biāo)識(shí)的程序的當(dāng)前網(wǎng)絡(luò)行為(即發(fā)起DNS請(qǐng)求)與“BaofengUpdate. exe”程序的正常的網(wǎng)絡(luò)行為進(jìn)行對(duì)比,只要DNS請(qǐng)求中的 一級(jí)域名部分不是“baofeng. com”�,也即,與正常的網(wǎng)絡(luò)行為不一致�,則認(rèn)為該請(qǐng)求的網(wǎng)絡(luò)行為為異常。通過上述的例子可以看到��,本發(fā)明實(shí)施例通過告知當(dāng)前網(wǎng)絡(luò)行為是哪個(gè)程序發(fā)起的����,進(jìn)而可以將程序的當(dāng)前網(wǎng)絡(luò)行為與程序已知的正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比����,最終將不屬于該程序正常網(wǎng)絡(luò)行為的所有異常網(wǎng)絡(luò)行為都識(shí)別出來�,從而對(duì)于新出現(xiàn)或新變種的病毒可以進(jìn)行及時(shí)查殺,提聞了查殺率����。與本發(fā)明實(shí)施例提供的一種識(shí)別網(wǎng)絡(luò)行為是否異常的方法相對(duì)應(yīng),本發(fā)明實(shí)施例還提供了一種識(shí)別網(wǎng)絡(luò)行為是否異常的系統(tǒng)���,參見圖3��,其為本發(fā)明提供的一種識(shí)別網(wǎng)絡(luò)行為是否異常的系統(tǒng)實(shí)施例示意圖����,該系統(tǒng)包括監(jiān)控單元301�����,用于在程序訪問網(wǎng)絡(luò)的過程中�����,監(jiān)控所述程序的當(dāng)前網(wǎng)絡(luò)行為�����;告知単元302����,用于告知服務(wù)器所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序;查找單元303�����,用于查找所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序的已知正常網(wǎng)絡(luò)行為�����;對(duì)比單元304���,用于將所述程序的當(dāng)前網(wǎng)絡(luò)行為與所述程序的已知正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比��;識(shí)別單元305����,用于根據(jù)所述對(duì)比結(jié)果��,識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為是否異常。當(dāng)然在具體實(shí)施過程中�,可以是對(duì)能搜集到正常網(wǎng)絡(luò)行為的所有程序都進(jìn)行本發(fā)明實(shí)施例所提供的方案的處理,也可以是有選擇性的針對(duì)某些容易受病毒攻擊的程序進(jìn)行處理��。也就是說可以根據(jù)病毒的流行趨勢(shì)����,確定幾類容易受病毒攻擊的特定程序來進(jìn)行處理,因此�,該系統(tǒng)還可以包括類別確定單元,用于接收客戶端發(fā)送的所述程序的屬性信息���,井根據(jù)所述程序的屬性信息確定所述程序是否屬于特定類別��;指示単元�����,用于在所述類別確定單元確定所述程序?qū)儆谔囟悇e的情況下��,則指示客戶端告知所述程序的當(dāng)前網(wǎng)絡(luò)行為所屬的程序�����。可選的,程序的屬性信息包括程序的數(shù)字簽名���、文件名�、文件路徑和/或原始名����。可選的�,特定類別具體是當(dāng)前一定時(shí)間段內(nèi)容易受到病毒攻擊的程序類別和/或容易被病毒利用的程序類別。其中�����,告知単元302可以包括發(fā)送子単元����,用于向服務(wù)器發(fā)送所述當(dāng)前網(wǎng)絡(luò)行為的信息以及所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)。具體的�����,發(fā)送子単元用于為程序的當(dāng)前網(wǎng)絡(luò)行為的信息添加網(wǎng)絡(luò)防御標(biāo)簽���,網(wǎng)絡(luò)防御標(biāo)簽包括當(dāng)前網(wǎng)絡(luò)行為所屬的程序的標(biāo)識(shí)���;向服務(wù)器發(fā)送帶有網(wǎng)絡(luò)防御標(biāo)簽的當(dāng)前網(wǎng)絡(luò)行為的信息�����。其中�����,查找單元303可以包括正常網(wǎng)絡(luò)行為查找子単元�,用于根據(jù)所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)����,查找所述程序的已知正常網(wǎng)絡(luò)行為。
在具體實(shí)施過程中�����,正常網(wǎng)絡(luò)行為查找子単元用于預(yù)先收集多種程序的正常網(wǎng)絡(luò)行為���,并建立程序的標(biāo)識(shí)及其正常網(wǎng)絡(luò)行為之間的對(duì)應(yīng)關(guān)系�����;根據(jù)所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)����,查找該程序的標(biāo)識(shí)對(duì)應(yīng)的正常網(wǎng)絡(luò)行為��,將所述查找到的正常網(wǎng)絡(luò)行為作為程序的已知正常網(wǎng)絡(luò)行為在實(shí)施的過程中�,監(jiān)控單元301可以通過截獲程序的當(dāng)前網(wǎng)絡(luò)行為的信息得到監(jiān)控的目的,具體可以包括第一截獲子単元�����,用于通過在客戶端注冊(cè)協(xié)議驅(qū)動(dòng)�,截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息;或者�,第二截獲子単元,用于通過創(chuàng)建與操作系統(tǒng)相似的過濾驅(qū)動(dòng)�����,截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息���;或者���,第三截獲子単元,用于利用操作系統(tǒng)提供的應(yīng)用程序編程接ロ函數(shù)截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息����;或者����,第四截獲子単元���,用于接管程序調(diào)用網(wǎng)絡(luò)編程接ロ函數(shù)的請(qǐng)求�����,截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息����;或者����,第五截獲子単元,用于利用注冊(cè)防火墻回調(diào)���,截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信
O其中�,識(shí)別單元305用于根據(jù)所述對(duì)比結(jié)果����,識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為是否異常�。實(shí)施過程中��,識(shí)別單元具體包括第一識(shí)別子単元�,用于如果對(duì)比結(jié)果不一致,識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為為異常網(wǎng)絡(luò)行為����;第二識(shí)別子単元�,用于如果對(duì)比結(jié)果一致,識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為為正常網(wǎng)絡(luò)行為��。根據(jù)最終的識(shí)別結(jié)果���,還可以根據(jù)不同情況針對(duì)異常網(wǎng)絡(luò)行為進(jìn)行不同的處理��,因此第一識(shí)別子単元還可以包括第一異常處理單元�,用于暫?��;驍r截所述程序的當(dāng)前異常網(wǎng)絡(luò)行為����;或者�,
第二異常處理單元��,用于暫?����;驍r截所述程序的全部網(wǎng)絡(luò)行為����;或者�����,第三異常處理單元���,用于暫?����;驍r截所述程序的全部行為�?��?蛇x的所述第一異常處理單元��,具體用于檢測(cè)到所述程序的異常網(wǎng)絡(luò)行為是非惡意的網(wǎng)絡(luò)行為���,暫?���;驍r截所述程序的異常網(wǎng)絡(luò)行為�;或者,所述第二異常處理單元����,具體用于檢測(cè)到所述程序的異常網(wǎng)絡(luò)行為是惡意的網(wǎng)絡(luò)行為���,但不確定所述程序是否為惡意程序����,暫?�;驍r截所述程序的全部網(wǎng)絡(luò)行為���; 或者���,第三異常處理單元,具體用于檢測(cè)到所述程序的異常網(wǎng)絡(luò)行為是惡意的網(wǎng)絡(luò)行為,并且所述程序?yàn)閻阂獬绦?�,暫?�;驍r截所述程序的全部網(wǎng)絡(luò)行為和全部本地行為����。上述的裝置實(shí)施例中,其中監(jiān)控單元301���、告知單元302��,可以是屬于本地模塊�,查找單元303�、對(duì)比單元304、識(shí)別單元305可以是屬于網(wǎng)絡(luò)模塊�。本發(fā)明實(shí)施例還提供了一種識(shí)別網(wǎng)絡(luò)行為是否異常的系統(tǒng),參見圖4�����,其為本發(fā)明提供的一種識(shí)別網(wǎng)絡(luò)行為是否異常的系統(tǒng)實(shí)施例示意圖��,該系統(tǒng)包括客戶端401和服務(wù)器402��,客戶端401用于在程序訪問網(wǎng)絡(luò)的過程中,監(jiān)控所述程序的當(dāng)前網(wǎng)絡(luò)行為���;告知服務(wù)器所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序�����;服務(wù)器401�,用于查找所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序的已知正常網(wǎng)絡(luò)行為��;將所述程序的當(dāng)前網(wǎng)絡(luò)行為與所述程序的正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比����;識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為是否異常。其中��,客戶端401具體包括監(jiān)控模塊4011�,用于在程序訪問網(wǎng)絡(luò)的過程中�����,監(jiān)控所述程序的當(dāng)前網(wǎng)絡(luò)行為��;告知模塊4012��,用于告知服務(wù)器當(dāng)前網(wǎng)絡(luò)行為所屬的程序;其中����,服務(wù)器402包括查找模塊4021,用于根據(jù)客戶端告知的當(dāng)前網(wǎng)絡(luò)行為所屬的程序�,來對(duì)應(yīng)查找預(yù)知的該程序的正常網(wǎng)絡(luò)行為;對(duì)比模塊4022�����,用于將該程序的當(dāng)前網(wǎng)絡(luò)行為與查找到的該程序的正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比�;識(shí)別模塊4023,用于最終識(shí)別出該程序的當(dāng)前網(wǎng)絡(luò)行為是否異常���。通過以上的實(shí)施方式的描述可知�����,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn)����?����;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來����,該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在存儲(chǔ)介質(zhì)中,如R0M/RAM����、磁碟、光盤等����,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù)器����,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法。本說明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述�,各個(gè)實(shí)施例之間相同相似的部分互相參見即可,每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處��。尤其���,對(duì)于裝置或系統(tǒng)實(shí)施例而言,由于其基本相似于方法實(shí)施例�����,所以描述得比較簡(jiǎn)單,相關(guān)之處參見方法實(shí)施例的部分說明即可�。以上所描述的裝置及系統(tǒng)實(shí)施例僅僅是示意性的,其中所述作為分離部件說明的単元可以是或者也可以不是物理上分開的����,作為單元顯示的部件可以是或者也可以不是物理単元�����,即可以位于ー個(gè)地方����,或者也可以分布到多個(gè)網(wǎng)絡(luò)単元上��??梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本實(shí)施例方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下����,即可以理解并實(shí)施。以上對(duì)本發(fā)明所提供的一種識(shí)別程序的網(wǎng)絡(luò)行為是否異常的方法�、裝置及系統(tǒng),進(jìn)行了詳細(xì)介紹����,本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述���,以上實(shí)施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想;同時(shí)���,對(duì)于本領(lǐng)域的一般技術(shù)人員���,依據(jù)本發(fā)明的思想,在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改變之處�����。綜上所 述��,本說明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制����。
權(quán)利要求
1.一種識(shí)別程序的網(wǎng)絡(luò)行為是否異常的方法,其特征在于�����,包括 在程序訪問網(wǎng)絡(luò)的過程中����,監(jiān)控所述程序的當(dāng)前網(wǎng)絡(luò)行為; 告知服務(wù)器所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序���; 查找所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序的已知正常網(wǎng)絡(luò)行為�; 將所述程序的當(dāng)前網(wǎng)絡(luò)行為與所述程序的已知正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比����; 根據(jù)所述對(duì)比結(jié)果,識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為是否異常�����。
2.根據(jù)權(quán)利要求I所述的方法���,其特征在于�����,還包括 服務(wù)器接收客戶端發(fā)送的所述程序的屬性信息�����,根據(jù)所述程序的屬性信息確定所述程序是否屬于特定類別�; 如果屬于特定類別,則指示客戶端告知所述程序的當(dāng)前網(wǎng)絡(luò)行為所屬的程序�。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于���,所述特定類別具體包括 當(dāng)前一定時(shí)間段內(nèi)容易受到病毒攻擊的程序類別和/或容易被病毒利用的程序類別����。
4.根據(jù)權(quán)利要求I所述的方法��,其特征在于�,所述告知服務(wù)器所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序包括 向服務(wù)器發(fā)送所述當(dāng)前網(wǎng)絡(luò)行為的信息以及所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)。
5.根據(jù)權(quán)利要求4所述的方法����,其特征在于,所述向服務(wù)器發(fā)送所述當(dāng)前網(wǎng)絡(luò)行為的信息以及所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序的標(biāo)識(shí)包括 為所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息添加網(wǎng)絡(luò)防御標(biāo)簽����,所述網(wǎng)絡(luò)防御標(biāo)簽包括所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序的標(biāo)識(shí); 向服務(wù)器發(fā)送帶有所述網(wǎng)絡(luò)防御標(biāo)簽的當(dāng)前網(wǎng)絡(luò)行為的信息�。
6.根據(jù)權(quán)利要求I至5中任一項(xiàng)所述的方法,其特征在于��,所述查找所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的已知正常網(wǎng)絡(luò)行為包括 根據(jù)所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí),查找所述程序的已知正常網(wǎng)絡(luò)行為�。
7.根據(jù)權(quán)利要求6所述的方法,其特征在干�����,所述根據(jù)所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)����,查找所述程序的已知正常網(wǎng)絡(luò)行為包括 預(yù)先收集多種程序的正常網(wǎng)絡(luò)行為����,并建立程序的標(biāo)識(shí)及其正常網(wǎng)絡(luò)行為之間的對(duì)應(yīng)關(guān)系; 根據(jù)所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí),查找該程序的標(biāo)識(shí)對(duì)應(yīng)的正常網(wǎng)絡(luò)行為���,將所述查找到的正常網(wǎng)絡(luò)行為作為所述程序的已知正常網(wǎng)絡(luò)行為�����。
8.根據(jù)權(quán)利要求I至5中任一項(xiàng)所述的方法�����,其特征在于�����,所述監(jiān)控所述程序的當(dāng)前網(wǎng)絡(luò)行為包括 通過在客戶端注冊(cè)協(xié)議驅(qū)動(dòng)����,截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息; 或者�����, 通過創(chuàng)建與操作系統(tǒng)相似的過濾驅(qū)動(dòng)����,截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息; 或者����, 利用操作系統(tǒng)提供的應(yīng)用程序編程接ロ函數(shù)截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息; 或者�����, 接管程序調(diào)用網(wǎng)絡(luò)編程接ロ函數(shù)的請(qǐng)求���,截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息�����; 或者��,利用注冊(cè)防火墻回調(diào)��,截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息�����。
9.根據(jù)權(quán)利要求I至5中任一項(xiàng)所述的方法���,其特征在于,所述根據(jù)所述對(duì)比結(jié)果����,識(shí)別所述程序的網(wǎng)絡(luò)行為是否異常包括 如果對(duì)比結(jié)果不一致,識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為為異常網(wǎng)絡(luò)行為��; 如果對(duì)比結(jié)果一致���,識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為為正常網(wǎng)絡(luò)行為��。
10.根據(jù)權(quán)利要求9所述的方法�,其特征在于,如果識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為為異常網(wǎng)絡(luò)行為�����,還包括 暫?��;驍r截所述程序的當(dāng)前異常網(wǎng)絡(luò)行為����; 或者��, 暫?���;驍r截所述程序的全部網(wǎng)絡(luò)行為; 或者����, 暫停或攔截所述程序的全部網(wǎng)絡(luò)行為和全部本地行為�。
11.根據(jù)權(quán)利要求10所述的方法,其特征在干 檢測(cè)到所述程序的異常網(wǎng)絡(luò)行為是非惡意的網(wǎng)絡(luò)行為�����,暫停或攔截所述程序的異常網(wǎng)絡(luò)行為����; 或者, 檢測(cè)到所述程序的異常網(wǎng)絡(luò)行為是惡意的網(wǎng)絡(luò)行為�,但不確定所述程序是否為惡意程序,暫?;驍r截所述程序的全部網(wǎng)絡(luò)行為; 或者��, 檢測(cè)到所述程序的異常網(wǎng)絡(luò)行為是惡意的網(wǎng)絡(luò)行為���,并且所述程序?yàn)閻阂獬绦颍瑫和�����;驍r截所述程序的全部網(wǎng)絡(luò)行為和全部本地行為�����。
12.—種識(shí)別網(wǎng)絡(luò)行為是否異常的裝置�����,其特征在于,包括 監(jiān)控單元���,用于在程序訪問網(wǎng)絡(luò)的過程中����,監(jiān)控所述程序的當(dāng)前網(wǎng)絡(luò)行為����; 告知単元,用于告知服務(wù)器所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序�; 查找單元,用于查找所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序的已知正常網(wǎng)絡(luò)行為�; 對(duì)比單元,用于將所述程序的當(dāng)前網(wǎng)絡(luò)行為與所述程序的已知正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比�����; 識(shí)別單元���,用于根據(jù)所述對(duì)比結(jié)果��,識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為是否異常���。
13.根據(jù)權(quán)利要求12所述的裝置���,其特征在于,還包括 類別確定單元���,用于接收客戶端發(fā)送的所述程序的屬性信息��,并根據(jù)根據(jù)所述程序的屬性信息確定所述程序是否屬于特定類別����; 指示単元�����,用于在所述類別確定單元確定所述程序?qū)儆谔囟悇e的情況下����,指示客戶端告知所述程序的當(dāng)前網(wǎng)絡(luò)行為所屬的程序����。
14.根據(jù)權(quán)利要求13所述的裝置,其特征在于�����,所述特定類別具體包括 當(dāng)前一定時(shí)間段內(nèi)容易受到病毒攻擊的程序類別和/或容易被病毒利用的程序類別。
15.根據(jù)權(quán)利要求12所述的裝置��,其特征在于��,所述告知単元包括 發(fā)送子単元���,用于向服務(wù)器發(fā)送所述當(dāng)前網(wǎng)絡(luò)行為的信息以及所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)����。
16.根據(jù)權(quán)利要求15所述的方法�����,其特征在于所述發(fā)送子単元��,具體用于為所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息添加網(wǎng)絡(luò)防御標(biāo)簽�����,所述網(wǎng)絡(luò)防御標(biāo)簽包括所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序的標(biāo)識(shí)�;向服務(wù)器發(fā)送帶有所述網(wǎng)絡(luò)防 御標(biāo)簽的當(dāng)前網(wǎng)絡(luò)行為的信息。
17.根據(jù)權(quán)利要求12至16中任一項(xiàng)所述的裝置�,其特征在于,所述查找単元包括 正常網(wǎng)絡(luò)行為查找子単元,用于根據(jù)所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)���,查找所述程序的已知正常網(wǎng)絡(luò)行為����。
18.根據(jù)權(quán)利要求17所述的裝置���,其特征在于 所述正常網(wǎng)絡(luò)行為查找子単元�,具體用于預(yù)先收集多種程序的正常網(wǎng)絡(luò)行為�����,并建立程序的標(biāo)識(shí)及其正常網(wǎng)絡(luò)行為之間的對(duì)應(yīng)關(guān)系���;根據(jù)所述當(dāng)前網(wǎng)絡(luò)行為所屬程序的標(biāo)識(shí)�,查找該程序的標(biāo)識(shí)對(duì)應(yīng)的正常網(wǎng)絡(luò)行為��,將所述查找到的正常網(wǎng)絡(luò)行為作為所述程序的已知正常網(wǎng)絡(luò)行為����。
19.根據(jù)權(quán)利要求12至16中任一項(xiàng)所述的裝置�����,其特征在干,所述監(jiān)控単元具體包括 第一截獲子単元�����,用于通過在客戶端注冊(cè)協(xié)議驅(qū)動(dòng)����,截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息; 或者����, 第二截獲子単元,用于通過創(chuàng)建與操作系統(tǒng)相似的過濾驅(qū)動(dòng)����,截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息; 或者�, 第三截獲子単元,用于利用操作系統(tǒng)提供的應(yīng)用程序編程接ロ函數(shù)截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息�����; 或者��, 第四截獲子単元,用于接管程序調(diào)用網(wǎng)絡(luò)編程接ロ函數(shù)的請(qǐng)求�,截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息; 或者��, 第五截獲子単元�����,用于利用注冊(cè)防火墻回調(diào)��,截獲所述程序的當(dāng)前網(wǎng)絡(luò)行為的信息�。
20.根據(jù)權(quán)利要求12至16中任一項(xiàng)所述的裝置,其特征在于�,所述識(shí)別単元包括 第一識(shí)別子単元,用于如果對(duì)比結(jié)果不一致�����,識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為為異常網(wǎng)絡(luò)行為�����; 第二識(shí)別子単元��,用于如果對(duì)比結(jié)果一致���,識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為為正常網(wǎng)絡(luò)行為����。
21.根據(jù)權(quán)利要求20所述的裝置����,其特征在于,還包括 第一異常處理單元�����,用于暫?��;驍r截所述程序的當(dāng)前異常網(wǎng)絡(luò)行為��; 或者�����, 第二異常處理單元��,用于暫?�;驍r截所述程序的全部網(wǎng)絡(luò)行為��; 或者�����, 第三異常處理單元��,用于暫?���;驍r截所述程序的全部網(wǎng)絡(luò)行為和全部本地行為。
22.根據(jù)權(quán)利要求21所述的裝置���,其特征在于 所述第一異常處理單元���,具體用于檢測(cè)到所述程序的異常網(wǎng)絡(luò)行為是非惡意的網(wǎng)絡(luò)行為,暫?���;驍r截所述程序的異常網(wǎng)絡(luò)行為; 或者��, 所述第二異常處理單元��,具體用于檢測(cè)到所述程序的異常網(wǎng)絡(luò)行為是惡意的網(wǎng)絡(luò)行為���,但不確定所述程序是否為惡意程序��,暫?�;驍r截所述程序的全部網(wǎng)絡(luò)行為���; 或者, 第三異常處理單元�����,具體用于檢測(cè)到所述程序的異常網(wǎng)絡(luò)行為是惡意的網(wǎng)絡(luò)行為���,并且所述程序?yàn)閻阂獬绦?,暫?����;驍r截所述程序的全部網(wǎng)絡(luò)行為和全部本地行為�。
23.ー種識(shí)別網(wǎng)絡(luò)行為是否異常的系統(tǒng),其特征在于��,包括 客戶端�����,用于在程序訪問網(wǎng)絡(luò)的過程中,監(jiān)控所述程序的當(dāng)前網(wǎng)絡(luò)行為�;告知服務(wù)器所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序; 服務(wù)器�����,用于查找所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序的已知正常網(wǎng)絡(luò)行為��;將所述程序的當(dāng)前網(wǎng)絡(luò)行為與所述程序的正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比��;識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為是否異常�。
全文摘要
本發(fā)明公開了一種識(shí)別程序的網(wǎng)絡(luò)行為是否異常的方法、裝置及系統(tǒng)�����,其中所述方法包括在程序訪問網(wǎng)絡(luò)的過程中�,監(jiān)控所述程序的當(dāng)前網(wǎng)絡(luò)行為;告知服務(wù)器所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序����;查找所述當(dāng)前網(wǎng)絡(luò)行為所屬的程序的已知正常網(wǎng)絡(luò)行為;將所述程序的當(dāng)前網(wǎng)絡(luò)行為與所述程序的已知正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比���;根據(jù)所述對(duì)比結(jié)果�,識(shí)別所述程序的當(dāng)前網(wǎng)絡(luò)行為是否異常。通過本發(fā)明����,可以避免對(duì)于新出現(xiàn)或新變種的病毒不能及時(shí)進(jìn)行查殺的問題。
文檔編號(hào)H04L29/06GK102694817SQ20121018969
公開日2012年9月26日 申請(qǐng)日期2012年6月8日 優(yōu)先權(quán)日2012年6月8日
發(fā)明者劉海粟, 張聰, 熊昱之 申請(qǐng)人:奇智軟件(北京)有限公司