一种安全防护系统.pdf

摘要
申请专利号：	CN201310086620.7	申请日：	2013.03.18
公开号：	CN103150511A	公开日：	2013.06.12
当前法律状态：	授权	有效性：	有权
法律详情：	专利权人的姓名或者名称、地址的变更IPC(主分类):G06F 21/56变更事项:专利权人变更前:珠海市君天电子科技有限公司变更后:珠海市君天电子科技有限公司变更事项:地址变更前:519070 广东省珠海市唐家湾镇港湾大道科技一路10号主楼六层601F变更后:519070 广东省珠海市唐家湾镇港湾大道科技一路10号主楼六层601F变更事项:共同专利权人变更前:北京金山安全软件有限公司贝壳网际（北京）安全技术有限公司北京金山网络科技有限公司变更后:北京金山安全软件有限公司北京猎豹移动科技有限公司北京猎豹网络科技有限公司\|\|\|专利权人的姓名或者名称、地址的变更IPC(主分类):G06F 21/56变更事项:专利权人变更前:珠海市君天电子科技有限公司变更后:珠海市君天电子科技有限公司变更事项:地址变更前:519015 广东省珠海市吉大景山路莲山巷8号变更后:519070 广东省珠海市唐家湾镇港湾大道科技一路10号主楼六层601F变更事项:共同专利权人变更前:北京金山安全软件有限公司贝壳网际（北京）安全技术有限公司北京金山网络科技有限公司变更后:北京金山安全软件有限公司贝壳网际（北京）安全技术有限公司北京金山网络科技有限公司\|\|\|授权\|\|\|实质审查的生效IPC(主分类):G06F 21/56申请日:20130318\|\|\|公开
IPC分类号：	G06F21/56(2013.01)I	主分类号：	G06F21/56
申请人：	珠海市君天电子科技有限公司; 北京金山安全软件有限公司; 贝壳网际（北京）安全技术有限公司; 北京金山网络科技有限公司
发明人：	陈章群; 陈春晓; 赵闽; 陈勇
地址：	519015 广东省珠海市吉大景山路莲山巷8号
优先权：
专利代理机构：	广州新诺专利商标事务所有限公司 44100	代理人：	张奇洲;华辉
PDF下载：	PDF下载

内容摘要

本发明属于网络安全技术领域，具体公开了一种安全防护系统，包括防篡改模块，用于识别木马文件，阻止未知进程和木马进程修改当前进程、网页页面、文件或篡改系统；蜜罐模块，用于检测病毒作者，以及快速捕获其利用安全防护软件检测的可疑文件；启发模块，用于根据被检测文件的位置、内容和来源信息判断所述被检测文件是否为木马文件。本发明有效地解决了一般安全防护系统无法快速全面发现木马程序并阻止木马程序修改当前进程、网页页面、文件或篡改系统，大大增强了用户系统的安全性。

权利要求书

权利要求书一种安全防护系统，包括安装于用户计算机的系统客户端、与所述系统客户端交互通讯的系统服务器，其特征在于，包括：
防篡改模块，用于阻止未知进程和木马进程修改当前进程、网页页面、文件或篡改系统；
蜜罐模块，用于根据安装在计算机中的安全防护软件的信息，确定所述计算机是否为病毒制作者的计算机，判断计算机中利用安全防护软件检测的文件是否为木马文件；
启发模块，用于根据被检测的文件的位置、内容和来源信息判断所述被检测的文件是否为木马文件。
根据权利要求1所述的安全防护系统，其特征在于，所述蜜罐模块包括：
设于系统客户端的木马作者过滤库，用于存储预存的木马作者的木马作者行为规则，所述木马作者行为规则包括安全防护软件的数量、安全防护软件的扫描操作频率和特征码定位器；
设于系统客户端的检测单元，用于检测安全防护软件的数量、安全防护软件的扫描操作频率和计算机中是否包含特征码定位器；
设于系统客户端的第一判断单元，用于判断检测单元的检测结果是否与木马作者过滤库中的木马作者行为规则匹配，若检测结果与木马作者行为规则过滤库中任一木马作者行为规则匹配，则系统服务器检测所述利用安全防护软件扫描的文件；
设于系统服务器的木马规则过滤库，用于存储常见的木马行为规则；
设于系统服务器的第二判断单元，判断系统客户端利用安全防护软件扫描的文件是否为木马文件，并将判断结果发送至提取单元；
设于系统客户端的提取单元，用于提取所述木马文件信息至防篡改模块。
根据权利要求2所述的安全防护系统，其特征在于：所述木马作者行为规则包括计算机内安装两个以上安全防护软件、24小时内安全防护软件扫描操作两次以上、以及存在特征码定位器。
根据权利要求1所述的全防护系统，其特征在于：所述防篡改模块包括，
设于系统服务器的黑名单数据库，用于存储预设的木马进程；
设于系统服务器的白名单数据库，用于存储预设的安全进程；
设于系统服务器的第一特征查询单元，用于判断被检测文件的进程是否是黑名单数据库中的木马进程，若是，判断被检测文件为木马文件；若否，发送检测信号至第二特征查询单元；
设于系统服务器的第二特征查询单元，用于判断被检测文件的进程是否是白名单数据库中的安全进程，若是，判断被检测文件为安全文件；若否，则被检测文件为未知文件；
设于系统客户端的防篡改单元，用于阻止未知进程以及木马进程修改当前进程、网页页面、文件或篡改系统。
根据权利要求4所述的安全防护系统，其特征在于：所述防篡改模块还包括支付网站数据库，用于存储支付网站网址；
支付模式判断单元，用于判断当前系统是否进入具有支付页面的支付模式，若支付页面的网页地址为支付网站数据库中的支付网站网址，则支付模式判断单元判断当前系统进入支付模式，发送当前系统进入支付模式的信号至防篡改单元，启动防篡改单元。
根据权利要求5所述的安全防护系统，其特征在于：
所述第一特征查询单元或第二特征查询单元判断的被检测的文件包括在进入支付模式前已有文件，以及进入支付模式后新增的文件。
根据权利要求1所述的安全防护系统，其特征在于：
所述启发模块包括位置单元、代码单元、来源单元、黑网址数据库和加权单元；
所述位置单元确定被检测文件的关联位置，所述关联位置指被检测文件位于系统目录或存在系统启动项，若被检测文件位于系统目录或存在系统启动项，则所述被检测文件获得一加权值；
所述黑网址数据库用于存储预存的恶意网址；
所述代码单元用于判断文件是否存在恶意代码，若存在则获得一加权值；
所述来源单元用于检测文件的来源，若文件来自黑网址数据库中的恶意网址，则所述文件获得一加权值；
所述加权单元计算所述文件获得的加权值总和，判断加权值总和是否超过加权值阈值，若超过，判断所述文件为木马文件，将所述木马文件的信息发送至防篡改模块。

说明书

说明书一种安全防护系统
技术领域
本发明属于信息安全技术领域，具体涉及一种安全防护系统。
背景技术
计算机病毒指计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。其具有破坏性，复制性和传染性。计算机病毒中包括木马病毒等病毒程序。木马程序实际是一种网络欺骗行为，指不法分子利用各种手段，把用户本想支付的页面隐蔽地修改为木马制作者指向的账号，从而达到欺骗的目的。木马程序多数利用系统的漏洞，通过internet达到控制服务端的目的。一些木马程序伪装成正常程序，引诱用户执行，从而达到某些目的。这些木马程序在未运行前由于其不具有危险性，一般难以检测。但是当木马程序被一些特定的动作触发时，其会针对性地对一些控制端、服务端进行控制，轻则篡改文件、窃取信息，重则破坏系统。
目前，由于病毒程序多数提前潜伏在用户端，而且不运行，多数防御软件都无法检测出来。而且往往需要在病毒程序运行时手动查杀，达不到主动防御的目的。病毒程序一旦达到触发条件，立刻运行，并且在短时间内快速完成其恶意行为。这就要求防御软件要在短时间内对病毒程序进行有效检测并对关键的位置进行监测，在发现病毒时进行有效防御，防止病毒对系统进程、文件、当前进程进行修改。目前还没有具有短时间内快速全面发现并处理病毒程序的安全防护系统。
发明内容
本发明的目的，就是克服现有技术的不足，提供一种具有快速检测病毒程序，并对计算机系统中关键位置进行防护，防止病毒程序修改当前进程、网页页面或文件的安全防护系统。
为了达到上述目的，采用如下技术方案：
一种安全防护系统，包括安装于用户计算机的系统客户端、与所述系统客户端交互通讯的系统服务器，包括：防篡改模块，用于阻止未知进程和木马进程修改当前进程、网页页面、文件或篡改系统；蜜罐模块，用于根据安装在计算机中的安全防护软件的信息，确定所述计算机是否为病毒制作者的计算机，判断计算机中利用安全防护软件检测的文件是否为木马文件；启发模块，用于根据被检测文件的位置、内容和来源信息判断所述被检测文件是否为木马文件。
进一步地，所述蜜罐模块包括设于系统客户端的木马作者过滤库，用于存储预存的木马作者的木马作者行为规则，所述木马作者行为规则包括安全防护软件的数量、安全防护软件的扫描操作频率和特征码定位器；设于系统客户端的检测单元，用于检测安全防护软件的数量、安全防护软件的扫描操作频率、以及计算机中是否包含特征码定位器；设于系统客户端的第一判断单元，用于判断检测单元的检测结果是否与木马作者过滤库中的木马作者行为规则匹配，若检测结果与木马作者行为规则过滤库中任一木马作者行为规则匹配，则则系统服务器检测所述利用安全防护软件扫描的文件；设于系统服务器的木马规则过滤库，用于存储常见的木马行为规则；设于系统服务器的第二判断单元，判断系统客户端利用安全防护软件扫描的文件是否为木马文件，并将判断结果发送至提取单元；设于系统客户端的提取单元，用于提取所述木马文件信息至防篡改模块。
进一步地，所述木马作者行为规则包括计算机内安装两个以上安全防护软件、24小时内安全防护软件扫描操作两次以上、以及存在特征码定位器。
进一步地，所述防篡改模块包括，设于系统服务器的黑名单数据库，用于存储预设的木马进程；设于系统服务器的白名单数据库，用于存储预设的安全进程；设于系统服务器的第一特征查询单元，用于判断被检测文件的进程是否是黑名单数据库中的木马进程，若是，判断被检测文件为木马文件；若否，发送检测信号至第二特征查询单元；设于系统服务器的第二特征查询单元，用于判断被检测文件的进程是否是白名单数据库中的安全进程，若是，判断被检测文件为安全文件；若否，则被检测文件为未知文件；设于系统客户端的防篡改单元，用于阻止未知进程以及木马进程修改当前进程、网页页面、文件或篡改系统。
进一步地，所述防篡改模块还包括支付网站数据库，用于存储支付网站网址；支付模式判断单元，用于判断当前系统是否进入具有支付页面的支付模式，若支付页面的网页地址为支付网站数据库中的支付网站网址，则支付模式判断单元判断当前系统进入支付模式，发送当前系统进入支付模式的信号至防篡改单元，启动防篡改单元。
进一步地，所述第一特征查询单元或第二特征查询单元判断的被检测的文件包括在进入支付模式前已有文件，以及进入支付模式后新增的文件。
进一步地，所述启发模块包括位置单元、代码单元、来源单元、黑网址数据库和加权单元；所述位置单元确定被检测文件的关联位置，所述关联位置指被检测文件位于系统目录或存在系统启动项，若被检测文件位于系统目录或存在系统启动项，则所述被检测文件获得一加权值；所述黑网址数据库用于存储预存的恶意网址；所述代码单元用于判断文件是否存在恶意代码，若存在则获得一加权值；所述来源单元用于检测文件的来源，若文件来自黑网址数据库中的恶意网址，则所述文件获得一加权值；所述加权单元计算所述文件获得的加权值总和，判断加权值总和是否超过加权值阈值，若超过，判断所述文件为木马文件，将所述木马文件的信息发送至防篡改模块。
与现有技术相比，本发明的有益效果在于：
本发明的蜜罐模块和启发用于快速发现木马文件，防篡改模块禁止未知进程或木马进程修改当前进程、网页页面或文件，确保用户在网购过程的财产安全和系统安全。启发模块根据被检测文件的位置、内容、来源对被检测文件进行加权精确判断，有效地对系统关键位置进行防护；蜜罐模块能主动发现病毒主机，在病毒作者测试病毒程序时就能发现了病毒文件，并记录病毒文件，为提取发现病毒提供了快捷发现基础。防篡改模块、蜜罐模块和启发模块的结合大大增强浏览器的安全性能，同时能提高安全防护的反应速度、发现病毒的准确度、有效地保护系统安全。
附图说明
此附图说明所提供的图片用来辅助对本发明的进一步理解，构成本申请的一部分，并不构成对本发明的不当限定，在附图中：
图1是本发明第一实施例所述的安全防护系统的结构示意图。
图2是本发明的防篡改模块的具体结构框图。
图中：1—防篡改模块；11—黑名单数据库；12—第一特征查询单元；
13—白名单数据库；14—第二特征查询单元；15—防篡改单元；16—支付网站数据库；
17—支付模式判断单元；2—蜜罐模块；21—木马规则过滤库；22—检测单元；
23—第一判断单元；24—提取模块；25—木马规则过滤库；26—第二判断单元；
3—启发模块；31—位置单元；32—代码单元；33—来源单元；34—黑网址数据库；
35—加权单元。
具体实施方式
下面将结合附图以及具体实施方法来详细说明本发明，在本发明的示意性实施及说明用来解释本发明，但并不作为对本发明的限定。
本发明包括安装于用户计算机操作系统的系统客户端、与所述系统客户端交互通信的系统服务器两个主体部分。系统客户端与系统服务器之间定时或者根据实际需要通讯。
本实施例包括蜜罐模块2，防篡改模块1和启发模块3。
所述蜜罐模块2包括设于系统客户端的木马作者过滤库21，设于系统客户端的检测单元22，设于系统客户端的第一判断单元23、设于系统客户端的提取单元24、设于系统服务器的木马规则过滤库25和第二判断单元26。
所述木马作者过滤库21用于存储预存的木马作者的木马作者行为规则，所述木马作者行为规则包括安全防护软件的数量、安全防护软件的扫描操作频率和存在特征码定位器。优选地，安全防护软件的数量大于或等于2个，安全防护软件24小时内的扫描操作频率大于两次。所述木马规则过滤库25存储预设的常见的木马行为规则。木马规则过滤库25中的木马行为规则根据多年以来搜集的木马病毒的行为规则制定。比如：操作系统经常发布漏洞更新，这些漏洞会成为木马下手的切入点。木马进程会对这些漏洞进行扫描，如果发现漏洞并没有及时打补丁，木马就会利用这些漏洞盗取用户信息。因此，扫描、探测操作系统漏洞是一种木马行为的表现。还有一些使用用户较多的安全防护软件也会有漏洞，这些漏洞与操作系统的服务端有联系，木马进程会利用这些漏洞劫持操作系统，进而产生窃取用户的信息等行为。这些动作行为都是木马具有的行为规则，木马行为过滤库25中存储了大量这种木马行为规则。
所述检测单元22用于检测安全防护软件的数量、安全防护软件的扫描操作频率、以及计算机中是否包含特征码定位器。
所述第一判断单元23用于判断检测单元22的检测结果是否与木马作者过滤库中的木马作者行为规则匹配，若检测结果与木马作者行为规则过滤库中任一木马作者行为规则匹配，则第一判断单元23将所述被检测文件的信息上传至系统服务器，交给第二判断单元26进一步处理。具体地，检测单元22检测发现，安全防护软件的数量大于或等于两个，安全防护软件24小时内的扫描操作频率大于两次，或计算机中存在特征码定位器。检测单元22将检测结果发送至第一判断单元23，第一判断单元23判断所述计算机为病毒主机，同时第一判断单元23将所述被检测文件的信息上传至系统服务器。由于木马作者需要利用不同的安全防护软件对制作的木马病毒进行多次扫描，也需要特征码定位器对木马病毒进行修改以逃避安全防护软件的查杀。因此只要检测结果与木马作者行为规则过滤库中任一木马作者行为规则匹配，则第一判断单元23判断所述计算机为病毒主机。第一判断单元23将被检测的文件的路径、名称等信息上传至第二判断单元26。第二判断单元26根据被检测文件的行为规则与木马规则过滤库25中的规则比较，若木马规则过滤库25中包含有文件信息，则第二判断单元26判断所述被检测文件为木马文件。第二判断单元26把判断结果发送至提取单元24。提取单元24提取所述木马文件信息至防篡改模块1。所述木马文件信息指木马文件的路径、木马文件的名称、木马文件的大小、木马文件的类型等信息。防篡改模块1根据木马信息找到该木马文件进行进一步处理。
蜜罐模块2可以在木马作者利用安全防护软件测试木马文件的过程中快速发现木马文件，并对木马文件备份。防止木马作者通过多次查杀，调整木马文件达到躲避安全防护软件查杀的状态。蜜罐模块2在判断被检测文件为木马文件后，发送所述木马文件的信息至防篡改模块，防止木马文件修改浏览器的网页页面内容、也可以防止木马文件修改当前的系统进程、用户进程、系统和已存的文件。
所述防篡改模块1包括设于系统服务器的第一特征查询单元12、设于系统服务器的第二特征查询单元14、设于客户端的防篡改单元15、设于系统服务器的黑名单数据库11和设于系统服务器的白名单数据库13。防篡改模块1在用户进入网购模式后启动，阻止未知进程和木马进程修改浏览器网页的页面信息，防止未知进程或木马进程修改系统进程或文件导致支付页面的改变。所述黑名单数据库11用于存储预设的木马进程；白名单数据库13用于存储预设的安全进程。第一特征查询单元12用于判断被检测文件的进程是否是黑名单数据库中的木马进程，若是，判断被检测文件为木马文件；若否，发送检测信号至第二特征查询单元14。第二特征查询单元14接收检测信号，对被检测文件进行检测判断。第二特征查询单元14判断被检测文件的进程是否是白名单数据库中的安全进程，若是，判断被检测文件为安全文件；若否，判断被检测文件为未知文件。第二特征查询单元14发送判断结果至防篡改单元15，防篡改单元阻止未知进程以及木马进程修改浏览器的网页页面信息，允许安全进程对浏览器的网页页面信息进行修改。所述网页页面信息指支付网址链接，支付金额，收款方账号等信息。
进一步地，请参阅图2，所述防篡改模块1还包括支付网站数据库16和支付模块判断单元17。支付网站数据库16存储支付网站的网址。支付网站数据库16中存储了经过国家批准的支付网站的网址，这些网址需要商家主动提交至支付网站数据库，且经过人工判断，安全系数很高。例如网络支付平台支付宝，财付通，银行等支付系统。防篡改模块1定时更新支付网站数据库以适应支付平台更新及其支付网站的更新。支付模式判断单元17判断浏览器是否进入支付模式。若浏览器的网页地址为支付网站数据库中的支付网站的网址，则支付模式判断单元17判断浏览器进入支付模式，发送浏览器进入支付模式信号至防篡改单元15。在用户从浏览页面模式进入到支付模式时，防篡改模块1对操作系统进行安全检查，检测所有进程和文件，所述进程包括已有的和新增的进程，所述文件包括进入支付模式之前的文件和进入支付模式之后的新增的文件。防篡改模块1在检测被检测文件中，把所有进程先与黑名单数据库11匹配，判断进程是否为木马进程，若否再与白名单数据库12匹配，判断该进程是否是安全进程。若该进程不是木马进程也不是安全进程，则该进程为未知进程。举例，用户在浏览网页后，进入支付页面时，防篡改模块1通过第一特征查询单元12和第二特征查询单元14对整个电脑的进程进行特征查询。在进入支付模式到最终确认支付的过程中，木马有可能会通过邮件、qq文件，恶意网页等方式欺骗用户，修改支付的收款账号地址，支付的金额等网页信息。本来应该支付给正确的对象，由于进入支付模式后，用户接收了木马文件，或者点击网页连接启动了木马，这些都属于新增的文件或新增的进程。每一个文件需要运行必须依靠进程。因此，对已有的进程和新增的进程进行特征查询，可以确保支付过程中的信息安全。
如果防篡改模块1在特征查询的过程中，发现该进程包含在黑名单数据库11中，则通过弹出窗口或者文字、声音、颜色等形式提醒用户，告知用户发现木马，隔离并禁止该木马进程运行，同时防篡改模块1阻止其修改浏览器的网页页面信息，避免用户财产流失；修改当前的进程，窃取用户的信息，如密码、账号等。如果第一特征查询单元12判断该进程不在黑名单数据库中，则发送检测信号至第二特征查询单元14。第二特征查询单元14将所述进程与白名单数据库13中的安全进程比较，若该进程在白名单数据库13中，第二特征查询单元14判断该进程为安全进程，允许其修改浏览器的网页页面或系统进程或文件。若该进程不在白名单数据库13中，该进程为未知进程。第二特征查询单元14通过弹出窗口或者文字、声音、颜色等形式提醒用户，同时禁止该进程运行，阻止其修改浏览器的网页页面信息。防止未知进程或木马进程修改浏览器的网页页面信息主要是防止未知进程或木马进程把本应该支付给合法商家的钱转到其它非法的账户上，可以保证用户的信息和财产安全。
所述启发模块3包括位置单元31、代码单元32、来源单元33、黑网址数据库34和加权单元35。所述位置单元31确定被检测文件的关联位置。所述关联位置指被检测文件位于系统目录或存在系统启动项。由于系统目录或系统启动项对于系统的操作安全具有关键的影响作用，若被检测文件为非系统文件，且位于系统目录或存在系统启动项，则被检测文件为木马文件的可能性较大。若位置单元31发现被检测文件的存放目录在系统目录或存在系统启动项，则位置单元31赋予被检测文件一加权值。所述黑网址数据库11用于存储预存的恶意网址。所述恶意网址经过人工搜集或安全防护软件收集，可信度较高。来源单元33判断被检测文件的来源，若被检测文件来自于黑网址数据库11中的恶意网址，则来源单元33赋予被检测文件一加权值。所述代码单元32用于判断被检测文件是否存在恶意代码。代码单元32中包含恶意代码。但拥有这些恶意代码的不一定是病毒文件。因此，代码单元32发现被检测文件包含恶意代码，则赋予被检测文件一加权值。所述加权单元35计算所述被检测文件获得的加权值的总和，判断加权值的总和是否超过加权值阈值。所述加权值阈值为预设值，通过人工设定。若超过，判断所述被检测文件为木马文件，将所述木马文件的信息发送至防篡改模块1做进一步处理。
启发模块3通过多个加权单元，在系统客户端综合判断所述被检测文件是否为木马文件，判断结果更精确，速度更快。启发模块3对系统的文件和关键位置进行有效的监控和保护，防止未知进程或病毒文件潜伏在这些位置，及时地检测到病毒程序的潜伏位置和经常修改的位置，更加有效、快速地发现病毒的存在。
本发明的启发模块3根据被检测文件的位置、内容、来源对被检测文件进行加权判断，蜜罐模块2能在客户端主动发现病毒主机，在木马作者测试木马程序时就能发现了木马文件，并对木马文件进行记录。防篡改模块1能防止木马进程修改报考浏览器的网页页面信息，系统文件或当前的进程，保证用户的网购安全。三个模块均可以独立运作，并没有先后顺序。蜜罐模块2和启发模块3可以把检测到的结果发送至防篡改模块1。防篡改模块直接拦截蜜罐模块2和启发模块3检测到的木马文件或未知文件修改浏览器的网页页面、修改系统进程，修改文件等动作。防篡改模块1、蜜罐模块2和启发模块3的结合大大增强浏览器的安全性能，同时能提高安全防护的反应速度。
以上对本发明实施例所提供的技术方案进行了详细介绍，本文中应用了具体个例对本发明实施例的原理以及实施方式进行了阐述，以上实施例的说明只适用于帮助理解本发明实施例的原理；同时，对于本领域的一般技术人员，依据本发明实施例，在具体实施方式以及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

资源描述

《一种安全防护系统.pdf》由会员分享，可在线阅读，更多相关《一种安全防护系统.pdf（10页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 103150511 A (43)申请公布日 2013.06.12 CN 103150511 A *CN103150511A* (21)申请号 201310086620.7 (22)申请日 2013.03.18 G06F 21/56(2013.01) (71)申请人珠海市君天电子科技有限公司地址 519015 广东省珠海市吉大景山路莲山巷 8 号申请人北京金山安全软件有限公司贝壳网际（北京）安全技术有限公司北京金山网络科技有限公司 (72)发明人陈章群陈春晓赵闽陈勇 (74)专利代理机构广州新诺专利商标事务所有限公司 44100 代理人张。

2、奇洲华辉 (54) 发明名称一种安全防护系统 (57) 摘要本发明属于网络安全技术领域，具体公开了一种安全防护系统，包括防篡改模块，用于识别木马文件，阻止未知进程和木马进程修改当前进程、网页页面、文件或篡改系统；蜜罐模块，用于检测病毒作者，以及快速捕获其利用安全防护软件检测的可疑文件；启发模块，用于根据被检测文件的位置、内容和来源信息判断所述被检测文件是否为木马文件。本发明有效地解决了一般安全防护系统无法快速全面发现木马程序并阻止木马程序修改当前进程、网页页面、文件或篡改系统，大大增强了用户系统的安全性。 (51)Int.Cl. 权利要。

3、求书 2 页说明书 6 页附图 1 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书2页说明书6页附图1页 (10)申请公布号 CN 103150511 A CN 103150511 A *CN103150511A* 1/2 页 2 1. 一种安全防护系统，包括安装于用户计算机的系统客户端、与所述系统客户端交互通讯的系统服务器，其特征在于，包括：防篡改模块，用于阻止未知进程和木马进程修改当前进程、网页页面、文件或篡改系统；蜜罐模块，用于根据安装在计算机中的安全防护软件的信息，确定所述计算机是否为病毒制作者的计算机，判断计算机中。

4、利用安全防护软件检测的文件是否为木马文件；启发模块，用于根据被检测的文件的位置、内容和来源信息判断所述被检测的文件是否为木马文件。 2. 根据权利要求 1 所述的安全防护系统，其特征在于，所述蜜罐模块包括：设于系统客户端的木马作者过滤库，用于存储预存的木马作者的木马作者行为规则，所述木马作者行为规则包括安全防护软件的数量、安全防护软件的扫描操作频率和特征码定位器；设于系统客户端的检测单元，用于检测安全防护软件的数量、安全防护软件的扫描操作频率和计算机中是否包含特征码定位器；设于系统客户端的第一判断单元，用于判断检测单元的检测结果是否与木马作者过滤库中。

5、的木马作者行为规则匹配，若检测结果与木马作者行为规则过滤库中任一木马作者行为规则匹配，则系统服务器检测所述利用安全防护软件扫描的文件；设于系统服务器的木马规则过滤库，用于存储常见的木马行为规则；设于系统服务器的第二判断单元，判断系统客户端利用安全防护软件扫描的文件是否为木马文件，并将判断结果发送至提取单元；设于系统客户端的提取单元，用于提取所述木马文件信息至防篡改模块。 3. 根据权利要求 2 所述的安全防护系统，其特征在于：所述木马作者行为规则包括计算机内安装两个以上安全防护软件、 24 小时内安全防护软件扫描操作两次以上、以及存在特征码定位器。 4.。

6、根据权利要求 1 所述的全防护系统，其特征在于：所述防篡改模块包括，设于系统服务器的黑名单数据库，用于存储预设的木马进程；设于系统服务器的白名单数据库，用于存储预设的安全进程；设于系统服务器的第一特征查询单元，用于判断被检测文件的进程是否是黑名单数据库中的木马进程，若是，判断被检测文件为木马文件；若否，发送检测信号至第二特征查询单元；设于系统服务器的第二特征查询单元，用于判断被检测文件的进程是否是白名单数据库中的安全进程，若是，判断被检测文件为安全文件；若否，则被检测文件为未知文件；设于系统客户端的防篡改单元，用于阻止未知进程以及木。

7、马进程修改当前进程、网页页面、文件或篡改系统。 5. 根据权利要求 4 所述的安全防护系统，其特征在于：所述防篡改模块还包括支付网站数据库，用于存储支付网站网址；支付模式判断单元，用于判断当前系统是否进入具有支付页面的支付模式，若支付页面的网页地址为支付网站数据库中的支付网站网址，则支付模式判断单元判断当前系统进入支付模式，发送当前系统进入支付模式的信号至防篡改单元，启动防篡改单元。权利要求书 CN 103150511 A 2 2/2 页 3 6. 根据权利要求 5 所述的安全防护系统，其特征在于：所述第一特征查询单元或第二特征查询单元判断的被。

8、检测的文件包括在进入支付模式前已有文件，以及进入支付模式后新增的文件。 7. 根据权利要求 1 所述的安全防护系统，其特征在于：所述启发模块包括位置单元、代码单元、来源单元、黑网址数据库和加权单元；所述位置单元确定被检测文件的关联位置，所述关联位置指被检测文件位于系统目录或存在系统启动项，若被检测文件位于系统目录或存在系统启动项，则所述被检测文件获得一加权值；所述黑网址数据库用于存储预存的恶意网址；所述代码单元用于判断文件是否存在恶意代码，若存在则获得一加权值；所述来源单元用于检测文件的来源，若文件来自黑网址数据库中的恶意网址，则所述文件获得一。

9、加权值；所述加权单元计算所述文件获得的加权值总和，判断加权值总和是否超过加权值阈值，若超过，判断所述文件为木马文件，将所述木马文件的信息发送至防篡改模块。权利要求书 CN 103150511 A 3 1/6 页 4 一种安全防护系统技术领域 0001 本发明属于信息安全技术领域，具体涉及一种安全防护系统。背景技术 0002 计算机病毒指计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。其具有破坏性，复制性和传染性。计算机病毒中包括木马病毒等病毒程序。木马程序实际是一种网络欺骗行为，指不法分子利。

10、用各种手段，把用户本想支付的页面隐蔽地修改为木马制作者指向的账号，从而达到欺骗的目的。木马程序多数利用系统的漏洞，通过 internet 达到控制服务端的目的。一些木马程序伪装成正常程序，引诱用户执行，从而达到某些目的。这些木马程序在未运行前由于其不具有危险性，一般难以检测。但是当木马程序被一些特定的动作触发时，其会针对性地对一些控制端、服务端进行控制，轻则篡改文件、窃取信息，重则破坏系统。 0003 目前，由于病毒程序多数提前潜伏在用户端，而且不运行，多数防御软件都无法检测出来。而且往往需要在病毒程序运行时手动查杀，达不到主动防御的目的。病毒程序一。

11、旦达到触发条件，立刻运行，并且在短时间内快速完成其恶意行为。这就要求防御软件要在短时间内对病毒程序进行有效检测并对关键的位置进行监测，在发现病毒时进行有效防御，防止病毒对系统进程、文件、当前进程进行修改。目前还没有具有短时间内快速全面发现并处理病毒程序的安全防护系统。发明内容 0004 本发明的目的，就是克服现有技术的不足，提供一种具有快速检测病毒程序，并对计算机系统中关键位置进行防护，防止病毒程序修改当前进程、网页页面或文件的安全防护系统。 0005 为了达到上述目的，采用如下技术方案： 0006 一种安全防护系统，包括安装于用户计算机的系统客户端、。

12、与所述系统客户端交互通讯的系统服务器，包括：防篡改模块，用于阻止未知进程和木马进程修改当前进程、网页页面、文件或篡改系统；蜜罐模块，用于根据安装在计算机中的安全防护软件的信息，确定所述计算机是否为病毒制作者的计算机，判断计算机中利用安全防护软件检测的文件是否为木马文件；启发模块，用于根据被检测文件的位置、内容和来源信息判断所述被检测文件是否为木马文件。 0007 进一步地，所述蜜罐模块包括设于系统客户端的木马作者过滤库，用于存储预存的木马作者的木马作者行为规则，所述木马作者行为规则包括安全防护软件的数量、安全防护软件的扫描操作频率和特征码定。

13、位器；设于系统客户端的检测单元，用于检测安全防护软件的数量、安全防护软件的扫描操作频率、以及计算机中是否包含特征码定位器；设于系统客户端的第一判断单元，用于判断检测单元的检测结果是否与木马作者过滤库中的木马作者行为规则匹配，若检测结果与木马作者行为规则过滤库中任一木马作者行为规则匹说明书 CN 103150511 A 4 2/6 页 5 配，则则系统服务器检测所述利用安全防护软件扫描的文件；设于系统服务器的木马规则过滤库，用于存储常见的木马行为规则；设于系统服务器的第二判断单元，判断系统客户端利用安全防护软件扫描的文件是否为木马文件，并将判断结。

14、果发送至提取单元；设于系统客户端的提取单元，用于提取所述木马文件信息至防篡改模块。 0008 进一步地，所述木马作者行为规则包括计算机内安装两个以上安全防护软件、 24 小时内安全防护软件扫描操作两次以上、以及存在特征码定位器。 0009 进一步地，所述防篡改模块包括，设于系统服务器的黑名单数据库，用于存储预设的木马进程；设于系统服务器的白名单数据库，用于存储预设的安全进程；设于系统服务器的第一特征查询单元，用于判断被检测文件的进程是否是黑名单数据库中的木马进程，若是，判断被检测文件为木马文件；若否，发送检测信号至第二特征查询单元；设于系统服务。

15、器的第二特征查询单元，用于判断被检测文件的进程是否是白名单数据库中的安全进程，若是，判断被检测文件为安全文件；若否，则被检测文件为未知文件；设于系统客户端的防篡改单元，用于阻止未知进程以及木马进程修改当前进程、网页页面、文件或篡改系统。 0010 进一步地，所述防篡改模块还包括支付网站数据库，用于存储支付网站网址；支付模式判断单元，用于判断当前系统是否进入具有支付页面的支付模式，若支付页面的网页地址为支付网站数据库中的支付网站网址，则支付模式判断单元判断当前系统进入支付模式，发送当前系统进入支付模式的信号至防篡改单元，启动防篡改单元。 001。

16、1 进一步地，所述第一特征查询单元或第二特征查询单元判断的被检测的文件包括在进入支付模式前已有文件，以及进入支付模式后新增的文件。 0012 进一步地，所述启发模块包括位置单元、代码单元、来源单元、黑网址数据库和加权单元；所述位置单元确定被检测文件的关联位置，所述关联位置指被检测文件位于系统目录或存在系统启动项，若被检测文件位于系统目录或存在系统启动项，则所述被检测文件获得一加权值；所述黑网址数据库用于存储预存的恶意网址；所述代码单元用于判断文件是否存在恶意代码，若存在则获得一加权值；所述来源单元用于检测文件的来源，若文件来自黑网址数据库中的恶。

17、意网址，则所述文件获得一加权值；所述加权单元计算所述文件获得的加权值总和，判断加权值总和是否超过加权值阈值，若超过，判断所述文件为木马文件，将所述木马文件的信息发送至防篡改模块。 0013 与现有技术相比，本发明的有益效果在于： 0014 本发明的蜜罐模块和启发用于快速发现木马文件，防篡改模块禁止未知进程或木马进程修改当前进程、网页页面或文件，确保用户在网购过程的财产安全和系统安全。启发模块根据被检测文件的位置、内容、来源对被检测文件进行加权精确判断，有效地对系统关键位置进行防护；蜜罐模块能主动发现病毒主机，在病毒作者测试病毒程序时就能发现了病。

18、毒文件，并记录病毒文件，为提取发现病毒提供了快捷发现基础。防篡改模块、蜜罐模块和启发模块的结合大大增强浏览器的安全性能，同时能提高安全防护的反应速度、发现病毒的准确度、有效地保护系统安全。附图说明 0015 此附图说明所提供的图片用来辅助对本发明的进一步理解，构成本申请的一部说明书 CN 103150511 A 5 3/6 页 6 分，并不构成对本发明的不当限定，在附图中： 0016 图 1 是本发明第一实施例所述的安全防护系统的结构示意图。 0017 图 2 是本发明的防篡改模块的具体结构框图。 0018 图中： 1防篡改模块； 11黑名单数据库； 12。

19、第一特征查询单元； 0019 13白名单数据库； 14第二特征查询单元； 15防篡改单元； 16支付网站数据库； 0020 17支付模式判断单元； 2蜜罐模块； 21木马规则过滤库； 22检测单元； 0021 23第一判断单元； 24提取模块； 25木马规则过滤库； 26第二判断单元； 0022 3启发模块； 31位置单元； 32代码单元； 33来源单元； 34黑网址数据库； 0023 35加权单元。具体实施方式 0024 下面将结合附图以及具体实施方法来详细说明本发明，在本发明的示意性实施及说明用来解释本发明，但并不作为对本发明的限定。 002。

20、5 本发明包括安装于用户计算机操作系统的系统客户端、与所述系统客户端交互通信的系统服务器两个主体部分。系统客户端与系统服务器之间定时或者根据实际需要通讯。 0026 本实施例包括蜜罐模块 2，防篡改模块 1 和启发模块 3。 0027 所述蜜罐模块 2 包括设于系统客户端的木马作者过滤库 21，设于系统客户端的检测单元 22，设于系统客户端的第一判断单元 23、设于系统客户端的提取单元 24、设于系统服务器的木马规则过滤库 25 和第二判断单元 26。 0028 所述木马作者过滤库 21 用于存储预存的木马作者的木马作者行为规则，所述木马作者行为规则包括安全防护软件的数。

21、量、安全防护软件的扫描操作频率和存在特征码定位器。优选地，安全防护软件的数量大于或等于 2 个，安全防护软件 24 小时内的扫描操作频率大于两次。所述木马规则过滤库 25 存储预设的常见的木马行为规则。木马规则过滤库25中的木马行为规则根据多年以来搜集的木马病毒的行为规则制定。比如：操作系统经常发布漏洞更新，这些漏洞会成为木马下手的切入点。木马进程会对这些漏洞进行扫描，如果发现漏洞并没有及时打补丁，木马就会利用这些漏洞盗取用户信息。因此，扫描、探测操作系统漏洞是一种木马行为的表现。还有一些使用用户较多的安全防护软件也会有漏洞，这些漏洞与操作系统的服务端有联。

22、系，木马进程会利用这些漏洞劫持操作系统，进而产生窃取用户的信息等行为。这些动作行为都是木马具有的行为规则，木马行为过滤库 25 中存储了大量这种木马行为规则。 0029 所述检测单元 22 用于检测安全防护软件的数量、安全防护软件的扫描操作频率、以及计算机中是否包含特征码定位器。 0030 所述第一判断单元23用于判断检测单元22的检测结果是否与木马作者过滤库中的木马作者行为规则匹配，若检测结果与木马作者行为规则过滤库中任一木马作者行为规则匹配，则第一判断单元 23 将所述被检测文件的信息上传至系统服务器，交给第二判断单元 26 进一步处理。具体地，检测单元 22 。

23、检测发现，安全防护软件的数量大于或等于两个，说明书 CN 103150511 A 6 4/6 页 7 安全防护软件 24 小时内的扫描操作频率大于两次，或计算机中存在特征码定位器。检测单元22将检测结果发送至第一判断单元23，第一判断单元23判断所述计算机为病毒主机，同时第一判断单元 23 将所述被检测文件的信息上传至系统服务器。由于木马作者需要利用不同的安全防护软件对制作的木马病毒进行多次扫描，也需要特征码定位器对木马病毒进行修改以逃避安全防护软件的查杀。因此只要检测结果与木马作者行为规则过滤库中任一木马作者行为规则匹配，则第一判断单元23判断所述计算机为病毒主。

24、机。第一判断单元23 将被检测的文件的路径、名称等信息上传至第二判断单元26。第二判断单元26根据被检测文件的行为规则与木马规则过滤库 25 中的规则比较，若木马规则过滤库 25 中包含有文件信息，则第二判断单元 26 判断所述被检测文件为木马文件。第二判断单元 26 把判断结果发送至提取单元 24。提取单元 24 提取所述木马文件信息至防篡改模块 1。所述木马文件信息指木马文件的路径、木马文件的名称、木马文件的大小、木马文件的类型等信息。防篡改模块 1 根据木马信息找到该木马文件进行进一步处理。 0031 蜜罐模块 2 可以在木马作者利用安全防护软件测试木马文件的过。

25、程中快速发现木马文件，并对木马文件备份。防止木马作者通过多次查杀，调整木马文件达到躲避安全防护软件查杀的状态。蜜罐模块 2 在判断被检测文件为木马文件后，发送所述木马文件的信息至防篡改模块，防止木马文件修改浏览器的网页页面内容、也可以防止木马文件修改当前的系统进程、用户进程、系统和已存的文件。 0032 所述防篡改模块 1 包括设于系统服务器的第一特征查询单元 12、设于系统服务器的第二特征查询单元 14、设于客户端的防篡改单元 15、设于系统服务器的黑名单数据库 11 和设于系统服务器的白名单数据库 13。防篡改模块 1 在用户进入网购模式后启动，阻止未知。

26、进程和木马进程修改浏览器网页的页面信息，防止未知进程或木马进程修改系统进程或文件导致支付页面的改变。所述黑名单数据库11用于存储预设的木马进程；白名单数据库 13 用于存储预设的安全进程。第一特征查询单元 12 用于判断被检测文件的进程是否是黑名单数据库中的木马进程，若是，判断被检测文件为木马文件；若否，发送检测信号至第二特征查询单元 14。第二特征查询单元 14 接收检测信号，对被检测文件进行检测判断。第二特征查询单元 14 判断被检测文件的进程是否是白名单数据库中的安全进程，若是，判断被检测文件为安全文件；若否，判断被检测文件为未知文件。第二特征查询。

27、单元 14 发送判断结果至防篡改单元 15，防篡改单元阻止未知进程以及木马进程修改浏览器的网页页面信息，允许安全进程对浏览器的网页页面信息进行修改。所述网页页面信息指支付网址链接，支付金额，收款方账号等信息。 0033 进一步地，请参阅图2，所述防篡改模块1还包括支付网站数据库16和支付模块判断单元 17。支付网站数据库 16 存储支付网站的网址。支付网站数据库 16 中存储了经过国家批准的支付网站的网址，这些网址需要商家主动提交至支付网站数据库，且经过人工判断，安全系数很高。例如网络支付平台支付宝，财付通，银行等支付系统。防篡改模块 1 定时更新支付网站数。

28、据库以适应支付平台更新及其支付网站的更新。支付模式判断单元 17 判断浏览器是否进入支付模式。若浏览器的网页地址为支付网站数据库中的支付网站的网址，则支付模式判断单元 17 判断浏览器进入支付模式，发送浏览器进入支付模式信号至防篡改单元 15。在用户从浏览页面模式进入到支付模式时，防篡改模块 1 对操作系统进行安全检查，检测所有进程和文件，所述进程包括已有的和新增的进程，所述文件包括进入支付说明书 CN 103150511 A 7 5/6 页 8 模式之前的文件和进入支付模式之后的新增的文件。防篡改模块 1 在检测被检测文件中，把所有进程先与黑名单数据库 11 匹配。

29、，判断进程是否为木马进程，若否再与白名单数据库 12 匹配，判断该进程是否是安全进程。若该进程不是木马进程也不是安全进程，则该进程为未知进程。举例，用户在浏览网页后，进入支付页面时，防篡改模块 1 通过第一特征查询单元 12 和第二特征查询单元 14 对整个电脑的进程进行特征查询。在进入支付模式到最终确认支付的过程中，木马有可能会通过邮件、 qq 文件，恶意网页等方式欺骗用户，修改支付的收款账号地址，支付的金额等网页信息。本来应该支付给正确的对象，由于进入支付模式后，用户接收了木马文件，或者点击网页连接启动了木马，这些都属于新增的文件或新增的进程。每。

30、一个文件需要运行必须依靠进程。因此，对已有的进程和新增的进程进行特征查询，可以确保支付过程中的信息安全。 0034 如果防篡改模块 1 在特征查询的过程中，发现该进程包含在黑名单数据库 11 中，则通过弹出窗口或者文字、声音、颜色等形式提醒用户，告知用户发现木马，隔离并禁止该木马进程运行，同时防篡改模块 1 阻止其修改浏览器的网页页面信息，避免用户财产流失；修改当前的进程，窃取用户的信息，如密码、账号等。如果第一特征查询单元 12 判断该进程不在黑名单数据库中，则发送检测信号至第二特征查询单元 14。第二特征查询单元 14 将所述进程与白名单数据库13中。

31、的安全进程比较，若该进程在白名单数据库13中，第二特征查询单元 14 判断该进程为安全进程，允许其修改浏览器的网页页面或系统进程或文件。若该进程不在白名单数据库 13 中，该进程为未知进程。第二特征查询单元 14 通过弹出窗口或者文字、声音、颜色等形式提醒用户，同时禁止该进程运行，阻止其修改浏览器的网页页面信息。防止未知进程或木马进程修改浏览器的网页页面信息主要是防止未知进程或木马进程把本应该支付给合法商家的钱转到其它非法的账户上，可以保证用户的信息和财产安全。 0035 所述启发模块 3 包括位置单元 31、代码单元 32、来源单元 33、黑网址数据库。

32、34 和加权单元 35。所述位置单元 31 确定被检测文件的关联位置。所述关联位置指被检测文件位于系统目录或存在系统启动项。由于系统目录或系统启动项对于系统的操作安全具有关键的影响作用，若被检测文件为非系统文件，且位于系统目录或存在系统启动项，则被检测文件为木马文件的可能性较大。若位置单元 31 发现被检测文件的存放目录在系统目录或存在系统启动项，则位置单元 31 赋予被检测文件一加权值。所述黑网址数据库 11 用于存储预存的恶意网址。所述恶意网址经过人工搜集或安全防护软件收集，可信度较高。来源单元33判断被检测文件的来源，若被检测文件来自于黑网址数据库11中的恶意。

33、网址，则来源单元 33 赋予被检测文件一加权值。所述代码单元 32 用于判断被检测文件是否存在恶意代码。代码单元 32 中包含恶意代码。但拥有这些恶意代码的不一定是病毒文件。因此，代码单元 32 发现被检测文件包含恶意代码，则赋予被检测文件一加权值。所述加权单元 35 计算所述被检测文件获得的加权值的总和，判断加权值的总和是否超过加权值阈值。所述加权值阈值为预设值，通过人工设定。若超过，判断所述被检测文件为木马文件，将所述木马文件的信息发送至防篡改模块 1 做进一步处理。 0036 启发模块 3 通过多个加权单元，在系统客户端综合判断所述被检测文件是否为木马文件，。

34、判断结果更精确，速度更快。启发模块 3 对系统的文件和关键位置进行有效的监控和保护，防止未知进程或病毒文件潜伏在这些位置，及时地检测到病毒程序的潜伏位置和说明书 CN 103150511 A 8 6/6 页 9 经常修改的位置，更加有效、快速地发现病毒的存在。 0037 本发明的启发模块 3 根据被检测文件的位置、内容、来源对被检测文件进行加权判断，蜜罐模块 2 能在客户端主动发现病毒主机，在木马作者测试木马程序时就能发现了木马文件，并对木马文件进行记录。防篡改模块 1 能防止木马进程修改报考浏览器的网页页面信息，系统文件或当前的进程，保证用户的网购安全。。

35、三个模块均可以独立运作，并没有先后顺序。蜜罐模块 2 和启发模块 3 可以把检测到的结果发送至防篡改模块 1。防篡改模块直接拦截蜜罐模块2和启发模块3检测到的木马文件或未知文件修改浏览器的网页页面、修改系统进程，修改文件等动作。防篡改模块1、蜜罐模块2和启发模块3的结合大大增强浏览器的安全性能，同时能提高安全防护的反应速度。 0038 以上对本发明实施例所提供的技术方案进行了详细介绍，本文中应用了具体个例对本发明实施例的原理以及实施方式进行了阐述，以上实施例的说明只适用于帮助理解本发明实施例的原理；同时，对于本领域的一般技术人员，依据本发明实施例，在具体实施方式以及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。说明书 CN 103150511 A 9 1/1 页 10 图 1 图 2 说明书附图 CN 103150511 A 10 。

展开阅读全文