建立根據計算系統操作請求關聯關係判斷計算機操作請求安全性的計算機信息安全防護方法

2023-12-08 06:17:16 1

專利名稱：建立根據計算系統操作請求關聯關係判斷計算機操作請求安全性的計算機信息安全防護方法
技術領域：
本發明涉及一種計算機系統安全的防護方法，更具體地說涉及一種建立根據計算 系統操作請求關聯關係判斷計算機操作請求安全性的計算機信息安全防護方法。
背景技術：
由於計算機應用技術和網絡通信技術的普及，由計算機應用和網絡通信構成的信 息平臺已經成為人們工作、學習、購物等日常生活基礎條件之一，人們在充分享受信息平臺 帶來的系統化便利的同時，可能也沒有人能倖免受到惡意代碼的侵害。目前常見的保護人們日常使用的信息安全平臺的系統主要有「黑名單」類如殺病 毒類軟體、防火牆類軟體，「白名單」類如防水牆類軟體和主動防禦類軟體，以及非常見的 有「可信」作業系統、「安全」作業系統以及「庇護類」安全系統。上述的安全系統中，「黑名單」類系統應用相對廣泛，而「白名單」類系統、「可信系 統」以及「作業系統加固」類系統因其應用技術要求高而使其應用範圍相對較小。「黑名單」系統具體通過「查殺」來實現安全保障，實現方法查系統問題、定位惡意 代碼側面、分析惡意代碼特徵碼、清除惡意代碼等四個步驟。「查殺」系統必須具有以下的技 術保障①必須及時發現計算系統存在的問題；②必須能準確定位問題的產生原因；③必 須準確分析惡意代碼的特徵；④必須完整清除惡意代碼。但是實際上發現計算機所有存在 的問題就十分困難，更無法保障其它步驟的準確性和完整性。因此，「查殺」系統是一種事後 的補救措施，其並不保證作業系統的安全性，更不具備防範未知惡意代碼的能力。「白名單」類系統是確定哪些程序允許運行，哪些程序不允許運行，「白名單」系統 的突出問題是因為無法保障允許執行程序在代碼執行過程中加載和調用的正確性。也無法 保證程序之間的關聯加載和調用正確性。因此「白名單」系統在實際應用中難以推廣。「可信系統」和「庇護」類系統一般具有較強的抗惡意代碼能力，從理論上說且具有 抗未知惡意代碼能力，但是「可信系統」和「庇護」類系統對應用者的要求極高，使用者不但 要熟悉作業系統，而且要對應用系統十分熟悉，且能夠對作業系統和應用系統進行相應的 安全定義，並且需要使用者具有系統執行的跟蹤和分析能力。因對應用者具有極高技術要 求，因此此類系統只應用在高端應用領域。

發明內容
本發明的目的是針對現有信息安全理論和信息安全技術不足而提供一種建立根 據計算系統操作請求關聯關係判斷計算機操作請求安全性的計算機信息安全防護方法。本發明的目的是通過以下措施來實現一種建立根據計算系統操作請求關聯關係 判斷計算機操作請求安全性的計算機信息安全防護方法，其特徵在於，包含以下步驟步驟一，在計算運行狀態下，對計算機作業系統內核或硬體抽象層產生的操作請 求進行攔截；
步驟二，依據攔截到的操作請求的屬性，在現有的關聯結構已知某節點下創建虛 擬節點，建立關聯關係，構成一個虛擬關聯結構；步驟三，在虛擬關聯結構中回溯虛擬節點的根節點，取得當前操作請求在虛擬關 聯結構中的關聯規則；步驟四，依據回溯取得的關聯規則，與已定義的危險操作規則匹配，確定是否存在
危害；步驟五，依據與危險操作規則匹配結果決定當前操作是否允許執行，並更新關聯 結構。所述步驟一攔截為利用作業系統內部的文件過濾、設備過濾、網絡包過濾的過濾 功能進行攔截。所述步驟一攔截操作請求是指攔截計算機內部的文件操作請求、配置操作請求、 內存操作請求、磁碟操作請求、網絡操作請求。所述步驟二的操作請求的屬性為操作者請求發起者、被請求操作對象以及請求操 作類型。所述步驟二現有的關聯結構定義為僅由作業系統內核、組件、服務發起的操作請 求以及由直接用戶發起的應用系統操作請求為根節點，由上述根節點發起的操作請求為子 節點、子節點發起的請求為孫子節點的一種系統操作請求追溯結構。所述步驟二的某節點是指在關聯結構中與所攔截到的任意一個操作請求其屬性 中的操作請求發起者相匹配的節點。所述步驟二的關聯關係為指攔截到任意一個請求時，首先假設請求成立，根據攔 截到的操作請求屬性，在當前操作請求的發起者節點下虛擬一個子節點，當對一個已經存 在的節點調用時，則建立一個虛擬子關聯，使所有操作請求發起者與被請求的操作對象進 行關聯，得到虛擬關聯節點。所述步驟二虛擬關聯結構為根據攔截到的當前操作請求屬性中的請求發起者信 息，在請求發起者節點下創建虛擬的子節點，該虛擬關聯節點與現有的關聯結構共同構成 虛擬關聯結構。所述步驟三的根節點為通過已經建立的虛擬關聯結構，從虛擬節點開始，回溯當 前節點與上一級節點的關聯關係，最終回溯至虛擬節點的最初發起者節點。所述步驟三關聯規則為當前操作請求的請求發起者、請求操作對象、請求操作類 型、根節點類型、虛擬關聯類型信息。所述步驟四的已定義的危險操作規則含文件危險操作請求規則、內存危險操作 請求規則、磁碟危險操作請求規則、配置危險操作請求規則、網絡危險操作請求規則。所述步驟四匹配將當前操作請求虛擬節點回溯得到的關聯操作規則與已定義的 危險操作規則進行匹配，判斷當前操作請求的操作規則是否落入危險操作規則範圍中。所述步驟五更新關聯結構為當匹配成功，當前操作請求不允許運行，並將計算機 操作請求關聯結構中虛擬的當前節點刪除，保持原有的關聯結構；當匹配不成功，則允許運 行，並將計算機操作請求關聯結構中當前操作請求虛擬節點改變為有效節點，更新為新關 聯結構。與現有技術相比，由於採用了本發明提出的一種建立根據計算系統操作請求關聯關係判斷計算機操作請求安全性的計算機信息安全防護方法，改變了目前分析惡意代碼特 徵或分析作業系統和應用系統特徵的思路。本發明基於系統的任何操作首先都是系統內部 的一個請求，而請求之間都存在著關聯關係，本發明在建立關聯關係的基礎上，分析系統操 作請求的特徵，建立了請求之間關係的非法操作請求規則，通過分析操作請求的關聯關係 以確定請求的安全性。本發明克服了其它系統需要針對性分析惡意代碼的特徵和不同的操 作系統以及不同應用系統的特徵，不需要應用者具有相關的技術水平，且本發明具有事前 防禦能力，並具有防禦未知惡意代碼能力，也就是說已知和未知惡意代碼的操作請求在本 發明中都被分析和阻止，能較好地彌補其它安全理論體系和安全產品的不足。
具體實施例方式術語定義操作請求指計算機應用過程中對某一設備，如硬體、軟體代碼的進行加載、執行、 變動的操作的請求；應用請求是指基於作業系統建立操作環境的需要或應用程式代碼運行的需要而 發起的請求；操作請求關聯結構當計算運行時，計算機系統是由一個個操作請求產生的操作 構建其運行狀態，操作請求關聯結構是指建立由操作請求為節點的反應當前時刻計算運行 狀態的邏輯結構；危險操作請求規則是指操作請求關聯結構，違反了某種操作請求之間的關聯關 系操作請求即被定義為危險操作請求規則；下面詳細說明本發明的方法其包含以下步驟步驟一，在計算機運行狀態下，對計算機作業系統內核或硬體抽象層產生的操作 請求進行攔截。所述攔截為利用作業系統內部的文件過濾、設備過濾、網絡包過濾的過濾功 能進行攔截。通常在計算機啟動過程中，計算機進行加電自檢、加載微內核、加載內核、加載 作業系統部件、加載應用至此完成作業系統加載；在應用環境加載後，用戶將根據需要進行 相應的操作。在以上計算機作業系統加載和用戶進行應用操作過程中，分別進行了硬體操 作、配置操作、文件操作、內存操作以及網絡通信檢測操作。以上的每一個操作在執行前， 都會在作業系統內核和硬體抽象層中產生一系列的操作請求，由這些操作請求請求操作相 應的設備，相應的設備根據每個操作請求分配資源執行相應的步驟。在計算機作業系統如 Windows, Linux、Unix中，提供了相應的文件過濾、設備過濾、網絡包過濾等過濾功能，能實 現對作業系統內核和硬體抽象層發起的文件操作請求、配置操作請求、內存操作請求、磁碟 操作請求、網絡操作請求進行攔截。所述攔截操作請求是指攔截計算機內部的文件操作請 求、配置操作請求、內存操作請求、磁碟操作請求、網絡操作請求。文件操作請求是主要是指 對文件及文件內容的讀、寫、加載、修改屬性、執行的操作請求；配置操作請求是指對系統配 置的變量或運行參數進行讀取、改寫的操作請求；內存操作請求主要是指對內存的讀、寫、 執行操作請求；磁碟操作請求主要是指對存儲設備進行的非文件模式的存、取操作請求； 網絡操作請求主要是指通過網絡發起的對本地文件、設備、內存等操作請求。步驟二，依據攔截到的操作請求的屬性，在現有的關聯結構已知某節點下創建虛 擬節點，建立關聯關係，構成一個虛擬關聯結構。所述的操作請求的屬性為操作者請求發起者、被請求操作對象以及請求操作類型。所述現有的關聯結構定義為僅由作業系統內核、 組件、服務發起的操作請求以及由直接用戶發起的應用系統操作請求為根節點，由上述根 節點發起的操作請求為子節點、子節點發起的請求為孫子節點的一種系統操作請求追溯結 構。所述步驟二的某節點是指在關聯結構中與所攔截到的任意一個操作請求其屬性中的操 作請求發起者相匹配的節點。所述步驟二的創建虛擬節點是指攔截到任意一個請求時，首 先假設請求成立，根據攔截到的操作請求屬性，在當前操作請求的發起者節點下虛擬一個 子節點，當對一個已經存在的節點調用時，則建立一個虛擬子關聯，使所有操作請求發起者 與被請求的操作對象進行關聯，得到虛擬關聯節點。所述步驟二的關聯關係是指在操作請 求關聯結構中，以當前節點為基準，從當前節點開始，回溯當前節點與上一級節點的關聯， 直到回溯到當前節點的根節點所取得的當前節點與上級各節點的關聯屬性。所述步驟二虛 擬關聯結構為根據攔截到的當前操作請求屬性中的請求發起者信息，在請求發起者節點下 創建虛擬的子節點，該虛擬關聯節點與現有的關聯結構共同構成虛擬關聯結構。因該節點 還不是一個有效節點，即該節點不能反應當前計算機的操作狀態，因此這種帶有虛擬節點 的結構稱為虛擬關聯結構。通過建立虛擬的關聯結構，是為了建立當前的操作請求與已知 的操作請求之間的內在聯繫。步驟三，在虛擬關聯結構中回溯虛擬節點的根節點，取得當前操作請求在虛擬關 聯結構中的關聯規則。所述步驟三的根節點為通過已經建立的虛擬關聯結構，從虛擬節點 開始，回溯當前節點與上一級節點的關聯關係，最終回溯至虛擬節點的最初發起者。所述步 驟三關聯規則為當前操作請求的請求發起者、請求操作對象、請求操作類型、根節點類型、 虛擬關聯類型信息。在虛擬的關聯結構中回溯虛擬節點與各相關節點的關聯關係就是為了 準確地定位當前的操作請求是如何引發和產生的，在產生當前操作的各個步驟都存在什麼 的關聯特徵，直到追溯到當前操作的根節點，也就是當前操作請求是由作業系統應用層的 何種應用請求引發，至此，當前節點與各節點的關聯特徵就組成了當前操作請求的關聯規 則。由上可知，操作請求的關聯規則的取得，是在反應計算機動態運行狀態的關聯結構中獲 取，因此是一個動態過程，克服了其它安全系統依賴的靜態的代碼分析和系統功能分析存 在的不足。步驟四，依據回溯取得的關聯規則，與已定義的危險操作規則匹配，確定是否存在 危害。所述步驟四的已定義的危險操作規則含文件危險操作請求規則、內存危險操作請 求規則、磁碟危險操作請求規則、配置危險操作請求規則、網絡危險操作請求規則。所述文 件危險操作請求規則是指對計算機系內的文件及文件內容發起的讀、寫、加載、修改屬性、 執行的操作請求過程中，存在具有安全威脅的關聯規則定義，例如由普通非安裝類應用程 序發起的可執行程序的寫和屬性修改；解釋器類程序通過解釋腳本程序進行非可解釋類程 序的讀、寫操作。所述內存危險操作請求規則主要是指發起的對內存的讀、寫、執行操作請 求過程中含有安全威脅操作規則定義；例如操作非同一內存地址空間的請求，向某一內存 空間注入代碼等危險操作。配置危險操作請求規則是指對系統配置的變量或運行參數發起 的讀取、改寫過程中具有安全威脅的操作規則，例如由應用程式對配置文件進行修正、應用 程序進行配置參數的修改。網絡危險操作請求規則指通過網絡發起的對本地文件、設備、內 存等操作請求中具有安全威脅的操作規則，例如請求進行內存地址操作、請求加載新的線 程等危險操作。磁碟操作請求規則主要是指從網絡發起的對存儲設備進行的非文件模式的存、取操作請求中具有威脅的操作規則，例如請求非文件系統操作模式操作磁碟，請求指定 存儲塊操作等危險操作。當前計算機系統安全威脅從攻擊方向上來說，可以分為外部入侵 和內部控制，這些攻擊的完成主要是依賴系統漏洞對系統功能非法調用、植入惡意代碼。事 實上，分析系統漏洞和找出所有的未代碼是不可能的。本步驟定義這些規則是為了避免進 行惡意代碼分析和進行系統功能定義，所有的危害實現，都是要利用已有的計算機系統環 境，改變操作請求的某些關聯，加入攻擊者需要的請求，面這些請求的加入都是利用操作系 統的內核和硬體設備層實現。傳統和代碼分析、行為分析幾乎難以阻止大量的危害發生。因 為最初的安全威脅就是因為操作請求發生了關聯規則的改變，本發明通過對操作請求關聯 進行規則定義，使安全威脅難以形成，同時也具有了危害預防能力和防範未知惡意代碼能 力。所述匹配將當前操作請求虛擬節點回溯得到的關聯操作規則與已定義的危險操作規則 進行匹配，判斷當前操作請求的操作規則是否落入危險操作規則範圍中。當取得當前操作 請求的操作關聯規則後，與已定義的相應的如文件、內存、配置、存儲設備、網絡危險操作請 求規則匹配，以確定當前的操作請求是否具有危險性。步驟五，依據與危險操作規則匹配結果決定當前操作是否允許執行，並更新關聯 結構。所述步驟五更關聯結構為操作請求規則匹配成功阻止當前操作請求執行，並將計算 機操作請求關聯結構中虛擬的當前節點刪除，保持原有的關聯結構；當操作請求規則匹配 不成功則允許當前操作執行，並將計算機操作請求虛擬關聯結構中當前操作請求的虛擬 節點改變更為有效節點，形成新的關聯結構。本步驟根據匹配結果，對當前的操作請求進行 放行和阻止處理，完成了對操作請求的有效攔截，同時更新計算機操作請求的關聯結構，使 計算機操作請求關聯結構始終能準確反應計算機的當前運行狀態，為後續虛擬節點提供結 構。下面例舉實施例進一步說明例1 假設某Office文檔帶有惡意腳代碼，該腳本代碼可感染可執行程序，阻止邏 輯如下當作業系統的內核攔截到一個對可執行文件內容的寫操作請求時，根據操作請求 屬性中的請求發起者屬性項可知，該請求是由VBA腳本引擎所發出，為了找到當前操作請 求的關聯關係，在已知的計算機操作請求的關聯結構的VBA腳本引擎節點下創建當前操作 的虛擬節點，並回溯當前操作的關聯關係，回溯最終結果發現是打開某個Office文檔這個 請求引發了當前的操作請求，取當前的操作規則，Office是普通應用程式、由用戶觸發請 求、Off ice請求VBA腳引擎是正常調用，當前操作對是PE文件，操作類型是寫操作，匹配到 是普通非安裝類應用程式進行可執行文件內容的寫操作規則；結果是危險動作阻止此 操作請求，刪除計算機操作請求結構中的虛擬節點。例2.假設系統允許黑客程序運行，黑客通過硬地址直接調用某個系統的操作當攔截到一個對內存的操作請求空間硬地址操作請求，根據操作請求屬性，構建 虛擬節點，確定為作業系統內核發起請求，回溯其關聯關係，發現內核的內存硬地址操作被 應用程式調用；將當前內存操作請求的請求關聯規則與已經定義的內存危險操作請求關聯 規則進行匹配，匹配成功1.未進行內存請求調用的操作是危險操作；2.遠程對內存進行 硬地址操作危險；結果危險操作請求。阻止內存操作，刪除計算機操作請求結構中的虛擬 節點。
8
權利要求
一種建立根據計算系統操作請求關聯關係判斷計算機操作請求安全性的計算機信息安全防護方法，其特徵是在於包括以下步驟步驟一，在計算運行狀態下，對作業系統內核或硬體抽象層產生的操作請求進行攔截；步驟二，依據攔截到的操作請求的屬性，在現有的關聯結構已知某節點下創建虛擬節點，建立關聯關係，形成一個虛擬關聯結構；步驟三，在虛擬關聯結構中回溯虛擬節點的根節點，取得當前操作請求在虛擬關聯結構中的關聯規則；步驟四，依據回溯取得的關聯規則，與已定義的危險操作規則匹配，確定是否存在危害；步驟五，依據與危險操作規則匹配結果決定當前操作是否允許執行，並更新關聯結構。
2.根據權利要求1所述的建立根據計算系統操作請求關聯關係判斷計算機操作請求 安全性的計算機信息安全防護方法，其特徵是所述步驟一攔截為利用作業系統內部的文件 過濾、設備過濾、網絡包過濾的過濾功能進行攔截。
3.根據權利要求1所述的建立根據計算系統操作請求關聯關係判斷計算機操作請求 安全性的計算機信息安全防護方法，其特徵是所述步驟一攔截操作請求是指攔截計算機內 部的文件操作請求、配置操作請求、內存操作請求、磁碟操作請求、網絡操作請求。
4.根據權利要求1所述的建立根據計算系統操作請求關聯關係判斷計算機操作請求 安全性的計算機信息安全防護方法，其特徵是所述步驟二的操作請求的屬性為操作者請求 發起者、被請求操作對象以及請求操作類型。
5.根據權利要求1所述的建立根據計算系統操作請求關聯關係判斷計算機操作請求 安全性的計算機信息安全防護方法，其特徵是所述步驟二現有的關聯結構定義為僅由操作 系統內核、組件、服務發起的操作請求以及由直接用戶發起的應用系統操作請求為根節點， 由上述根節點發起的操作請求為子節點、子節點發起的請求為孫子節點的一種系統操作請 求追溯結構。
6.根據權利要求1所述的建立根據計算系統操作請求關聯關係判斷計算機操作請求 安全性的計算機信息安全防護方法，其特徵是所述步驟二的某節點是指在關聯結構中與所 攔截到的任意一個操作請求其屬性中的操作請求發起者相匹配的節點。
7.根據權利要求1所述的建立根據計算系統操作請求關聯關係判斷計算機操作請求 安全性的計算機信息安全防護方法，其特徵是所述步驟二的關聯關係為指攔截到任意一個 請求時，首先假設請求成立，根據攔截到的操作請求屬性，在當前操作請求的發起者節點下 虛擬一個子節點，當對一個已經存在的節點調用時，則建立一個虛擬子關聯，使所有操作請 求發起者與被請求的操作對象進行關聯，得到虛擬關聯節點。
8.根據權利要求1所述的建立根據計算系統操作請求關聯關係判斷計算機操作請求 安全性的計算機信息安全防護方法，其特徵是所述步驟二虛擬關聯結構為根據攔截到的當 前操作請求屬性中的請求發起者信息，在請求發起者節點下創建虛擬的子節點，該虛擬關 聯節點與現有的關聯結構共同構成虛擬關聯結構。
9.根據權利要求1所述的建立根據計算系統操作請求關聯關係判斷計算機操作請求 安全性的計算機信息安全防護方法，其特徵是所述步驟三的根節點為通過已經建立的虛擬關聯結構，從虛擬節點開始，回溯當前節點與上一級節點的關聯關係，最終回溯至虛擬節點 的最初發起者節點。
10.根據權利要求1所述的建立根據計算系統操作請求關聯關係判斷計算機操作請求 安全性的計算機信息安全防護方法，其特徵是所述步驟三關聯規則為當前操作請求的請求 發起者、請求操作對象、請求操作類型、根節點類型、虛擬關聯類型信息。
11.根據權利要求1所述的建立根據計算系統操作請求關聯關係判斷計算機操作請求 安全性的計算機信息安全防護方法，其特徵是所述步驟四的已定義的危險操作規則含文 件危險操作請求規則、內存危險操作請求規則、磁碟危險操作請求規則、配置危險操作請求 規則、網絡危險操作請求規則。
12.根據權利要求1所述的建立根據計算系統操作請求關聯關係判斷計算機操作請求 安全性的計算機信息安全防護方法，其特徵是所述步驟四匹配將當前操作請求虛擬節點回 溯得到的關聯操作規則與已定義的危險操作規則進行匹配，判斷當前操作請求的操作規則 是否落入危險操作規則範圍中。
13.根據權利要求1所述的建立根據計算系統操作請求關聯關係判斷計算機操作請求 安全性的計算機信息安全防護方法，其特徵是所述步驟五更新關聯結構為當匹配成功，當 前請求不允許運行，並將計算機操作請求關聯結構中虛擬的當前節點刪除，保持原有的關 聯結構；當匹配不成功，則允許運行，並將計算機操作請求關聯結構中當前操作請求虛擬節 點改變為有效節點，更新為新關聯結構。
全文摘要
本發明涉及一種建立根據計算系統操作請求關聯關係判斷計算機操作請求安全性的計算機信息安全防護方法。包含以下步驟在計算運行狀態下，對計算機作業系統內核或硬體抽象層產生的操作請求進行攔截；依據攔截到的操作請求的屬性，在現有的關聯結構已知某節點下創建虛擬節點，建立關聯關係，構成一個虛擬關聯結構；在虛擬關聯結構中回溯虛擬節點的根節點，取得當前操作請求在虛擬關聯結構中的關聯規則；依據回溯取得的關聯規則，與已定義的危險操作規則匹配，確定是否存在危害；依據與危險操作規則匹配結果決定當前操作是否允許執行，並更新關聯結構。本發明克服了其它系統需要針對性分析惡意代碼的特徵和不同的作業系統以及不同應用系統的特徵，具有事前防禦未知惡意代碼能力。
文檔編號G06F21/02GK101872400SQ20091004994
公開日2010年10月27日 申請日期2009年4月24日 優先權日2009年4月24日
發明者曲立東, 汪家祥 申請人:汪家祥;曲立東