安全保護系統及方法
2023-05-24 13:48:26 2
安全保護系統及方法
【專利摘要】本發明公開了一種安全保護系統,包括:漏洞識別裝置,用於收集補丁文件信息並識別出與所述補丁文件信息對應的修復對象的漏洞,以及用於根據所述漏洞生成漏洞防護信息;漏洞防護裝置,用於根據所述漏洞防護信息對與所述補丁文件信息對應的修復對象的漏洞進行防護。本發明還公開了一種安全保護方法。本發明能主動、及時地為用戶的計算機提供給有效的保護,防止計算機中的病毒被非法利用。
【專利說明】安全保護系統及方法
【【技術領域】】
[0001]本發明涉及安全軟體領域,特別涉及一種安全保護系統及方法。
【【背景技術】】
[0002]計算機上一般都安裝有安全軟體,對計算機中的漏洞進行檢測、修復是一個安全軟體必備的功能之一,目的是為了防止計算機上的漏洞被非法利用,在第一時間探知惡意軟體利用計算機的漏洞來對計算機進行入侵的行為,防範於未然,從而保護計算機的安全。
[0003]目前,現有的安全軟體針對漏洞的檢測、修復和攔截的技術方案如下:
[0004]在軟體開發商發布了關於具有漏洞的軟體的補丁文件後,安全軟體根據該補丁文件查找要修復的漏洞,然後對查找到的漏洞進行修復。
[0005]在上述技術方案中,通過打補丁來修復漏洞是一個耗時並且比較消耗計算機資源的過程,一般來講,安全軟體不能自動幫用戶打補丁,而只能依靠用戶主動觸發修復漏洞的動作,而安全意識不強的用戶有可能不會修復計算機中的漏洞,這會導致安裝於計算機中的安全軟體無法為計算機提供保護。此外,由於必須要等到用戶觸發了修復漏洞的動作之後,安全軟體商才能針對該漏洞特徵幫助用戶進行漏洞修復,因此,對漏洞的防禦相對漏洞的檢測具有一定的被動性和滯後性,不利於主動和及時地防止漏洞被非法利用。
[0006]此外,傳統的安全軟體不清楚漏洞細節,因此只能向用戶推送補丁文件包,不能給用戶實施實時漏洞防護, 因此上述修復軟體漏洞的技術方案靈活性比較低,安全軟體的主動性不強,不能有效地防止漏洞被非法利用。
[0007]故,有必要提出一種新的技術方案,以解決上述技術問題。
【
【發明內容】
】
[0008]本發明的一個目的在於提供一種安全保護系統,其能主動、及時地為用戶的計算機提供給有效的保護,防止計算機中的病毒被非法利用。
[0009]為解決上述問題,本發明提供了一種安全保護系統,包括:漏洞識別裝置,用於收集補丁文件信息並識別出與所述補丁文件信息對應的修復對象的漏洞,以及用於根據所述漏洞生成漏洞防護信息;漏洞防護裝置,用於根據所述漏洞防護信息對與所述補丁文件信息對應的修復對象的漏洞進行防護。
[0010]本發明的另一個目的在於提供一種安全保護方法,其能主動、及時地為用戶的計算機提供給有效的保護,防止計算機中的病毒被非法利用。
[0011]為解決上述問題,本發明提供了一種安全保護方法,所述方法包括以下步驟:收集補丁文件信息並識別出與所述補丁文件信息對應的修復對象的漏洞,以及根據所述漏洞生成漏洞防護信息;根據所述漏洞防護信息對與所述補丁文件信息對應的修復對象的漏洞進行防護。
[0012]相對現有技術,由於通過對補丁文件進行彙編級別的對比,因此本發明能夠清楚地獲知漏洞細節,同時,由於有針對性的對漏洞注入觸發信息,從而對觸發該漏洞的行為進行監控比對觸發漏洞的行為進行攔截,因此本發明能夠主動、及時地為用戶的計算機提供給有效的保護,防止計算機中的病毒被非法利用。
[0013]為讓本發明的上述內容能更明顯易懂,下文特舉優選實施例,並配合所附圖式,作詳細說明如下:
【【專利附圖】
【附圖說明】】
[0014]圖1為本發明的安全保護系統的框圖;
[0015]圖2為圖1中漏洞識別裝置的框圖;
[0016]圖3為圖2中檢查模塊的框圖;
[0017]圖4為圖1中漏洞防護裝置的框圖;
[0018]圖5為圖4中防護模塊的框圖;
[0019]圖6和圖7為本發明的安全保護方法的流程圖。
【【具體實施方式】】
[0020]以下各實施例的說明是參考附加的圖式,用以例示本發明可用以實施的特定實施例。
[0021]為了防止用戶的計算機的漏洞被非法利用,更好地保護用戶的計算機,因此本發明的總體技術方案為:收集補丁文件信息,根據該補丁文件信息識別漏洞,並生成漏洞防護信息,根據該漏洞防護信息查找漏洞,在漏洞處注入觸發信息以監控漏洞是否被觸發,在漏洞被觸發時對觸發漏洞的行為進行攔截。這樣,能夠主動、及時地為用戶的計算機提供給有效的保護,防止計算機中的病毒被非法利用。
`[0022]本發明的詳細技術方案為:
[0023]參考圖1、圖2、圖3、圖4和圖5,其中,圖1為本發明的安全保護系統的框圖,圖2為圖1中漏洞識別裝置101的框圖,圖3為圖2中檢查模塊1012的框圖,圖4為圖1中漏洞防護裝置102的框圖,圖5為圖4中防護模塊1022的框圖。
[0024]本發明的安全保護系統10包括漏洞識別裝置101和漏洞防護裝置102。漏洞識別裝置101和漏洞防護裝置102電性連接或者通過網絡通信。其中,漏洞識別裝置101用於收集補丁文件信息並識別出與該補丁文件信息對應的修復對象的漏洞,以及用於根據該漏洞生成漏洞防護信息,具體地,漏洞識別裝置101用於動態地搜尋軟體開發商是否發布補丁文件信息,並用於在搜尋到補丁文件信息時收集該補丁文件信息和與該補丁文件信息對應的修復對應的源文件信息,以及用於分析該補丁文件信息和與其對應的修復對象的源文件信息,以及用於識別出其中與該補丁文件信息對應的漏洞並生成漏洞防護信息。漏洞防護裝置102用於根據該漏洞防護信息對與補丁文件信息對應的修復對象的漏洞進行防護,具體地,漏洞防護裝置102用於在接收到漏洞識別裝置101發送的漏洞防護信息後根據該漏洞防護信息在修復對象中查找(掃描)與其對應的漏洞,以及用於在查找到該漏洞後向該漏洞注入觸發信息並對該觸發信息進行監控,以及用於在監控到該觸發信息被觸發時對觸發該漏洞的行為進行攔截。
[0025]其中,漏洞識別裝置101包括收集模塊1011和檢查模塊1012,收集模塊1011和檢查模塊1012電性連接。收集模塊1011用於收集補丁文件信息,以及用於收集與該補丁文件信息對應的修復對象的源文件信息,具體地,收集模塊1011用於動態地搜尋軟體開發商是否發布補丁文件信息,並用於在搜尋到該補丁文件信息時收集(獲取)該補丁文件信息,此外,收集模塊1011還用於根據所收集的補丁文件信息收集(獲取)與其對應的修復對象的源文件信息。這樣,有利於在第一時間獲知軟體開發商發布了哪些補丁文件,為及時地識別出與其對應的漏洞並對該漏洞進行防護提供了技術性保障。檢查模塊1012用於根據補丁文件信息和源文件信息檢查漏洞並生成漏洞防護信息,具體地,檢查模塊1012用於分析該補丁文件信息和源文件信息並識別出與該補丁文件對應的漏洞,並用於生成相應的漏洞防護信息。
[0026]進一步地,為了識別出與補丁文件信息對應的漏洞,檢查模塊1012包括對比模塊10122和分析模塊10124。其中,對比模塊10122和分析模塊10124電性連接。對比模塊10122用於將補丁文件信息和源文件信息進行對比並找出補丁文件信息和源文件信息的不同點。分析模塊10124用於根據不同點分析補丁文件信息的修復對象的漏洞並生成與漏洞對應的漏洞防護信息。
[0027]進一步地,為了更加精確地識別出與補丁文件信息對應的漏洞,檢查模塊1012還包括彙編模塊10121和反編譯模塊10123。其中,彙編模塊10121與收集模塊1011和對比模塊10122電性連接,反編譯模塊10123和對比模塊10122以及分析模塊10124電性連接。彙編模塊10121用於對補丁文件信息進行彙編並生成第一彙編結果,以及用於對源文件信息進行彙編並生成第二彙編結果,具體地,彙編模塊10121用於將補丁文件信息轉換成彙編語言,得出第一彙編結果,彙編模塊10121還用於將與其對應的源文件信息轉換成彙編語言,得出第二彙編結果,將補丁文件信息和與其對應的源文件信息轉換成彙編語言有利於對比模塊精確識別與該補丁文件信息對應的漏洞。對比模塊10122還用於對第一彙編結果和第二彙編結果進行對比並找出第一彙編結果和第二彙編結果的差異部分,對比模塊10122的上述針對第一彙編結果和第二彙編結果的對比是彙編級別的對比,在對比操作的過程中,對比模塊10122提取出兩者中完全相同的函數、完全不同的函數和有差異的函數,對於其中有差異的函數,對比模塊10122還用於判斷該有差異的函數是否有誤報,若是,則剔除誤報,上述第一彙編結果和第二彙編結果的差異部分包括兩者中完全不同的函數和有差異的函數。反編譯模塊10123用於對差異部分進行反編譯並生成反編譯結果,具體地,反編譯模塊用於將該差異部分反編譯為高級語言,以為分析模塊分析相應的漏洞提供根據。分析模塊10124還用於根據反編譯結果分析補丁文件信息的修復對象的漏洞並生成與漏洞對應的漏洞防護信息,具體地,分析模塊10124用於根據安全策略分析該反編譯結果,從而找出補丁文件信息對應的修復對象的漏洞,在找出該漏洞後,分析模塊10124還用於生成與其對應的漏洞防護信息,該漏洞防護信息是根據安全策略來生成的,例如,該漏洞防護信息包括漏洞所處的位置,漏洞可能被非法利用的動作,等等,該漏洞防護信息可以表現為漏洞庫的形式或者其它二進位代碼的形式。
[0028]漏洞防護裝置102包括查找模塊1021和防護模塊1022,查找模塊1021與防護模塊1022電性連接。查找模塊1021用於根據漏洞防護信息查找漏洞,具體地,查找模塊1021用於根據該漏洞防護信息在用戶的計算機上查找與該漏洞防護信息對應的漏洞。防護模塊1022用於根據漏洞防護信息對漏洞進行防護。
[0029]為了實現對漏洞進行防護,防護模塊1022包括注入模塊10221、監控模塊10222和攔截模塊10224。注入模塊10221電性連接查找模塊1021和監控模塊10222,監控模塊10222還與攔截模塊10224電性連接。注入模塊10221用於根據漏洞防護信息生成觸發信息並向該漏洞注入觸發信息,具體地,注入模塊向該漏洞注入觸發信息的方式可以為:對與該漏洞相關的文件進行加密,任何訪問該文件的行為都必須攜帶正確的密鑰,在此例子中,加密信息充當觸發信息,對該文件的非正常解密行為為觸發該漏洞的行為;在與該漏洞相關的文件所在的目錄下添加連結文件,使得該連結文件連結該與漏洞相關的文件,並且設置連結文件和與該漏洞相關的文件的訪問優先級,使得該連結文件的訪問優先級高於該與漏洞相關的文件的訪問優先級,在此例子中,連結文件充當觸發信息,對該連結文件的訪問行為為觸發該漏洞的行為。監控模塊10222用於根據觸發信息監控是否出現觸發漏洞的行為並生成監控結果,具體地,監控模塊與該觸發信息是否發出觸發信號,從而對根據該觸發信息所發出的觸發信號對觸發漏洞的行為進行監控。攔截模塊10224用於在監控結果為出現觸發漏洞的行為時對觸發漏洞的行為進行攔截。
[0030]防護模塊1022還包括提示模塊10223。監控模塊10222還與提示模塊10223電性連接。提示模塊10223用於在監控結果為出現觸發漏洞的行為時向用戶發出提示信息。
[0031]圖6和圖7為本發明的安全保護方法的流程圖。
[0032]在步驟601至步驟606,漏洞識別裝置101收集補丁文件信息並識別出與該補丁文件信息對應的修復對象的漏洞,以及根據該漏洞生成漏洞防護信息,具體地,漏洞識別裝置101動態地搜尋軟體開發商是否發布補丁文件信息,並在搜尋到補丁文件信息時收集該補丁文件信息和與該補丁文件信息對應的修復對應的源文件信息,以及分析該補丁文件信息和與其對應的修復對象的源文件信息,以及識別出其中與該補丁文件信息對應的漏洞並生成漏洞防護信息。
[0033]在步驟601,收集模塊1011收集補丁文件信息,以及收集與該補丁文件信息對應的修復對象的源文件信息,具體地,收集模塊1011動態地搜尋軟體開發商是否發布補丁文件信息,並在搜尋到該補丁文件信息時收集(獲取)該補丁文件信息,此外,收集模塊1011還根據所收集的補丁文件信息收集(獲取)與其對應的修復對象的源文件信息。這樣,有利於在第一時間獲知軟體開發商發布了哪些補丁文件,為及時地識別出與其對應的漏洞並對該漏洞進行防護提供了技術性保障。
[0034]在步驟602至步驟606,檢查模塊1012根據補丁文件信息和源文件信息檢查漏洞並生成漏洞防護信息,具體地,檢查模塊1012分析該補丁文件信息和源文件信息並識別出與該補丁文件對應的漏洞,並生成相應的漏洞防護信息。
[0035]在步驟602,彙編模塊10121對補丁文件信息進行彙編並生成第一彙編結果,具體地,彙編模塊10121將補丁文件信息轉換成彙編語言,得出第一彙編結果,
[0036]在步驟603,彙編模塊10121對源文件信息進行彙編並生成第二彙編結果,具體地,彙編模塊10121將與其對應的源文件信息轉換成彙編語言,得出第二彙編結果。
[0037]在上述步驟602和步驟603中,將補丁文件信息和與其對應的源文件信息轉換成彙編語言有利於對比模塊精確識別與該補丁文件信息對應的漏洞。
[0038]在步驟604,對比模塊10122對第一彙編結果和第二彙編結果進行對比並找出第一彙編結果和第二彙編結果的差異部分,對比模塊10122的上述針對第一彙編結果和第二彙編結果的對比是彙編級別的對比,在對比操作的過程中,對比模塊10122提取出兩者中完全相同的函數、完全不同的函數和有差異的函數,對於其中有差異的函數,對比模塊10122判斷該有差異的函數是否有誤報,若是,則剔除誤報,上述第一彙編結果和第二彙編結果的差異部分包括兩者中完全不同的函數和有差異的函數。
[0039]在步驟605,反編譯模塊10123對差異部分進行反編譯並生成反編譯結果,具體地,反編譯模塊將該差異部分反編譯為高級語言,以為分析模塊分析相應的漏洞提供根據。
[0040]在步驟606,分析模塊10124根據反編譯結果分析補丁文件信息的修復對象的漏洞並生成與漏洞對應的漏洞防護信息,具體地,分析模塊10124根據安全策略分析該反編譯結果,從而找出補丁文件信息對應的修復對象的漏洞,在找出該漏洞後,分析模塊10124生成與其對應的漏洞防護信息,該漏洞防護信息是根據安全策略來生成的,例如,該漏洞防護信息包括漏洞所處的位置,漏洞可能被非法利用的動作,等等,該漏洞防護信息可以表現為漏洞庫的形式或者其它二進位代碼的形式。
[0041]在步驟607至步驟611,漏洞防護裝置102根據該漏洞防護信息對與補丁文件信息對應的修復對象的漏洞進行防護,具體地,漏洞防護裝置102在接收到漏洞識別裝置101發送的漏洞防護信息後根據該漏洞防護信息在修復對象中查找(掃描)與其對應的漏洞,以及在查找到該漏洞後向該漏洞注入觸發信息並對該觸發信息進行監控,以及在監控到該觸發信息被觸發時對觸發該漏洞的行為進行攔截。
[0042]在步驟607,查找模塊1021根據漏洞防護信息查找漏洞,具體地,查找模塊1021根據該漏洞防護信息在用戶的計算機上查找與該漏洞防護信息對應的漏洞。
[0043]在步驟608至 步驟611,防護模塊1022根據漏洞防護信息對漏洞進行防護。
[0044]具體地,在步驟608,注入模塊10221根據漏洞防護信息生成觸發信息並向該漏洞注入觸發信息,具體地,注入模塊向該漏洞注入觸發信息的方式可以為:對與該漏洞相關的文件進行加密,任何訪問該文件的行為都必須攜帶正確的密鑰,在此例子中,加密信息充當觸發信息,對該文件的非正常解密行為為觸發該漏洞的行為;在與該漏洞相關的文件所在的目錄下添加連結文件,使得該連結文件連結該與漏洞相關的文件,並且設置連結文件和與該漏洞相關的文件的訪問優先級,使得該連結文件的訪問優先級高於該與漏洞相關的文件的訪問優先級,在此例子中,連結文件充當觸發信息,對該連結文件的訪問行為為觸發該漏洞的行為。
[0045]在步驟609,監控模塊10222根據觸發信息監控是否出現觸發漏洞的行為並生成監控結果,具體地,監控模塊與該觸發信息是否發出觸發信號,從而對根據該觸發信息所發出的觸發信號對觸發漏洞的行為進行監控。
[0046]在步驟610,攔截模塊10224在監控結果為出現觸發漏洞的行為時對觸發漏洞的行為進行攔截。
[0047]在步驟611,提示模塊10223在監控結果為出現觸發漏洞的行為時向用戶發出提
不?目息。
[0048]在本發明中,由於通過對補丁文件進行彙編級別的對比,因此本發明能夠清楚地獲知漏洞細節,同時,由於有針對性的對漏洞注入觸發信息,從而對觸發該漏洞的行為進行監控比對觸發漏洞的行為進行攔截,因此本發明能夠主動、及時地為用戶的計算機提供給有效的保護,防止計算機中的病毒被非法利用。
[0049]綜上所述,雖然本發明已以優選實施例揭露如上,但上述優選實施例並非用以限制本發明,本領域的普通技術人員,在不脫離本發明的精神和範圍內,均可作各種更動與潤飾,因此本發明的保護範圍以權利要求界定的範圍為準。
【權利要求】
1.一種安全保護系統,其特徵在於,包括: 漏洞識別裝置,用於收集補丁文件信息並識別出與所述補丁文件信息對應的修復對象的漏洞,以及用於根據所述漏洞生成漏洞防護信息; 漏洞防護裝置,用於根據所述漏洞防護信息對與所述補丁文件信息對應的修復對象的漏洞進行防護。
2.根據權利要求1所述的安全保護系統,其特徵在於, 所述漏洞識別裝置包括: 收集模塊,用於收集所述補丁文件信息,以及用於收集所述補丁文件信息的修復對象的源文件信息; 檢查模塊,用於根據所述補丁文件信息和所述源文件信息檢查所述漏洞並生成所述漏洞防護信息。
3.根據權利要求2所述的安全保護系統,其特徵在於, 所述檢查模塊包括: 對比模塊,用於將所述補丁文件信息和所述源文件信息進行對比並找出所述補丁文件信息和所述源文件信息的不同點; 分析模塊,用於根據所述不同點分析所述補丁文件信息的修復對象的漏洞並生成與所述漏洞對應的所述漏洞防護信息。
4.根據權利要求3所述的安全保護系統,其特徵在於, 所述檢查模塊還包括: 彙編模塊,用於對所述補丁文件信息進行彙編並生成第一彙編結果,以及用於對所述源文件信息進行彙編並生成第二彙編結果; 所述對比模塊還用於對所述第一彙編結果和所述第二彙編結果進行對比並找出所述第一彙編結果和所述第二彙編結果的差異部分; 所述檢查模塊還包括: 反編譯模塊,用於對所述差異部分進行反編譯並生成反編譯結果; 所述分析模塊還用於根據所述反編譯結果分析所述補丁文件信息的修復對象的漏洞並生成與所述漏洞對應的所述漏洞防護信息。
5.根據權利要求2所述的安全保護系統,其特徵在於, 所述漏洞防護裝置包括: 查找模塊,用於根據所述漏洞防護信息查找所述漏洞; 防護模塊,用於根據所述漏洞防護信息對所述漏洞進行防護。
6.根據權利要求5所述的安全保護系統,其特徵在於, 所述防護模塊包括: 注入模塊,用於根據所述漏洞防護信息向所述漏洞注入觸發信息; 監控模塊,用於根據所述觸發信息監控是否出現觸發所述漏洞的行為並生成監控結果; 攔截模塊,用於在所述監控結果為出現觸發所述漏洞的行為時對觸發所述漏洞的行為進行攔截。
7.根據權利要求6所述的安全保護系統,其特徵在於,所述防護模塊還包括: 提示模塊,用於在所述監控結果為出現觸發所述漏洞的行為時向用戶發出提示信息。
8.一種安全保護方法,其特徵在於,所述方法包括以下步驟: 收集補丁文件信息並識別出與所述補丁文件信息對應的修復對象的漏洞,以及根據所述漏洞生成漏洞防護信息; 根據所述漏洞防護信息對與所述補丁文件信息對應的修復對象的漏洞進行防護。
9.根據權利要求8所述的安全保護方法,其特徵在於,所述方法還包括以下步驟: 收集所述補丁文件信息,以及收集所述補丁文件信息的修復對象的源文件信息; 根據所述補丁文件信息和所述源文件信息檢查所述漏洞並生成所述漏洞防護信息。
10.根據權利要求9所述的安全保護方法,其特徵在於,所述方法還包括以下步驟: 將所述補丁文件信息和所述源文件信息進行對比並找出所述補丁文件信息和所述源文件信息的不同點; 根據所述不同點分析所述補丁文件信息的修復對象的漏洞並生成與所述漏洞對應的所述漏洞防護信息。
11.根據權利要求10所述的安全保護方法,其特徵在於,所述方法還包括以下步驟: 對所述補丁文件信息進行彙編並生成第一彙編結果,以及對所述源文件信息進行彙編並生成第二彙編結果; 對所述第一彙編結果和所述第二彙編結果進行對比並找出所述第一彙編結果和所述第二彙編結果的差異部分; 對所述差異部分進行反編譯並生成反編譯結果; 根據所述反編譯結果分析所述補丁文件信息的修復對象的漏洞並生成與所述漏洞對應的所述漏洞防護信息。
12.根據權利要求9所述的安全保護方法,其特徵在於,所述方法還包括以下步驟: 根據所述漏洞防護信息查找所述漏洞; 根據所述漏洞防護信息對所述漏洞進行防護。
13.根據權利要求12所述的安全保護方法,其特徵在於,所述方法還包括以下步驟: 根據所述漏洞防護信息向所述漏洞注入觸發信息; 根據所述觸發信息監控是否出現觸發所述漏洞的行為並生成監控結果; 在所述監控結果為出現觸發所述漏洞的行為時對觸發所述漏洞的行為進行攔截。
14.根據權利要求13所述的安全保護方法,其特徵在於,所述方法還包括以下步驟: 在所述監控結果為出現觸發所述漏洞的行為時向用戶發出提示信息。
【文檔編號】G06F21/57GK103699844SQ201210367530
【公開日】2014年4月2日 申請日期:2012年9月28日 優先權日:2012年9月28日
【發明者】童磊 申請人:騰訊科技(深圳)有限公司