專利名稱:基于預定義健康運行環(huán)境的網(wǎng)絡計算機防病毒系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及一種以預定義的網(wǎng)絡計算機的健康運行環(huán)境為基礎的防病 毒機理及相應的應用系統(tǒng)����,特別是涉及以局域網(wǎng)的形式組成的辦公網(wǎng)絡的 防毒和防各類惡意軟件的應用環(huán)境����。本發(fā)明可以應用于網(wǎng)絡計算機系統(tǒng)�����。
技術背景首先對網(wǎng)絡計算機系統(tǒng)中有關"健康運行環(huán)境���、計算機病毒��、惡意軟 件"做以下介紹�。健康運行環(huán)境指網(wǎng)絡計算機系統(tǒng)在沒有受到任何病毒或惡意軟件破 壞的正常運行環(huán)境�����,其中包含各種可執(zhí)行的代碼����,及與運行代碼相關的系 統(tǒng)配置等。計算機病毒指編制或者在計算機程序中插入的破壞計算機功能或者 破壞數(shù)據(jù)���,影響計算機使用并且能夠自我復制的一組計算機指令或者程序 代碼。惡意軟件可以是計算機病毒的同義詞��。但它包含了后門、木馬和各 種流氓軟件等一切以影響計算機系統(tǒng)正常工作為目的的軟件��。計算機病毒的泛濫是影響網(wǎng)絡計算機發(fā)揮其應有作用的最主要原因之 一�。然而,到目前為止����,人們解決病毒問題的方式還是局限于發(fā)現(xiàn)和識別 己知的病毒特征或病毒機制,然后�����,進行有針對性地査殺或防范���。不難想 象�����,這種解決問題的方式永遠是滯后的���,因此不可能徹底解決病毒問題。 另外����,由于已經(jīng)可以識別的病毒越來越多�����,殺毒軟件需要掃描查殺的內(nèi)容 就越來越多�����,由此而耗費的系統(tǒng)資源也就越來越多��。近些年來���,由于病毒 及各種惡意軟件的泛濫,殺毒廠商有了快速的發(fā)展����,殺毒產(chǎn)品也有了多方 面的改進。主要的改進表現(xiàn)在如下的幾個方面-1. 對新病毒的反映速度明顯加快�����;2. 針對已識別的病毒常用機制��,建立了有針對性的主動防御機制���;3. 針對多種可能引入病毒的通道�����,例如����,網(wǎng)絡和移動存儲等�,進行全 面的病毒查殺和防范。上述這些殺毒產(chǎn)品的重要改進����,在很多條件下,對于殺毒的效果有一 定改善��,然而����,這些改進并沒有真正突破殺毒軟件的兩個主要的局限性, 一是仍然只能查殺或防范已知的病毒或已知的病毒常用機制�;二是占用的 系統(tǒng)資源仍然是越來越大。特別是啟動殺毒時����,CPU的占用率常常是100%, 其他應用都難以運行。對很多計算機使用者而言�,這種嚴重滯后,又占用 大量系統(tǒng)資源的殺毒辦法�����,已經(jīng)到了不能接受的程度�。為了改變這種防殺病毒的被動局面,應該認證和定義網(wǎng)絡計算機的健 康運行環(huán)境��,并對這種健康運行環(huán)境進行有效的保護���,從而可以有效地防 止任何已知或未知的病毒或惡意軟件侵害網(wǎng)絡計算機系統(tǒng)��。本發(fā)明所創(chuàng)造 的這種基于預定義的健康運行環(huán)境的防病毒系統(tǒng)��,徹底解決了上述殺毒軟 件的兩大局限性���,可以在占用很少系統(tǒng)資源的條件下,以預防的模式杜絕 計算機病毒和各類惡意軟件可能對網(wǎng)絡計算機造成的損害�。 發(fā)明內(nèi)容本發(fā)明的目的在于提供一種有效的防御機制,用以防止計算機受到各 類病毒軟件或其他惡意軟件的破壞�����,在進行這種有效保護的同時,不占用 明顯的系統(tǒng)資源�,也不給計算機使用者的正常使用帶來明顯的不便。而且����, 這種有效防御各類病毒和惡意軟件的機制必須能夠適應計算機用戶不斷更 新的應用環(huán)境。本發(fā)明的目的是通過以下技術方案實現(xiàn)的-基于預定義健康運行環(huán)境的網(wǎng)絡計算機防病毒系統(tǒng)����,本系統(tǒng)不是必須 要查殺己知的病毒或病毒機制而是通過定義和嚴格限定計算機應有的健康 運行環(huán)境解決計算機的病毒或惡意軟件���,所述健康運行環(huán)境由兩個部分組成一是健康軟件的集合�����;二是與代碼運行相關的系統(tǒng)機制的嚴格監(jiān)控和保護���,主要包括有A. 已知系統(tǒng)漏洞的及時修復;B. 注冊表啟動項的監(jiān)控���;C注冊新的驅動程序和服務程序�����;D. 系統(tǒng)文件修改的嚴格控制�;E. 限制未認證軟件的內(nèi)網(wǎng)通信。 如上所述的基于預定義健康運行環(huán)境的網(wǎng)絡計算機防病毒系統(tǒng)�����,其健康軟件集合的形成主要是通過收集和認證每一款軟件的正當合法出處����,凡 是能夠表明軟件作者,如自然人或單位的正當合法身份的軟件均可以被 認證為健康軟件��。如上所述的基于預定義健康運行環(huán)境的網(wǎng)絡計算機防病毒系統(tǒng)�,所述 預定義健康運行環(huán)境是由可收集到并通過認證的健康軟件集合及上述的與 代碼運行相關的系統(tǒng)機制的嚴格保護組成的。如上所述的基于預定義健康運行環(huán)境的網(wǎng)絡計算機防病毒系統(tǒng)����,其每 一臺計算機應有的健康運行環(huán)境是由預定義健康運行環(huán)境和對本機現(xiàn)有軟 件的分析認證結果相結合而構成的,因此�,健康運行環(huán)境是可以共享的。如上所述的基于預定義健康運行環(huán)境的網(wǎng)絡計算機防病毒系統(tǒng)����,其不 在健康運行環(huán)境中的新軟件,可以通過過渡認證機制方便地運行��,伺時觸 發(fā)系統(tǒng)的認證機制;如果通過了認證�,則加入健康軟件集合并在必要的范 圍內(nèi)共享;如果由于含有病毒或惡意代碼而沒有通過認證�����,也不會因為在 過渡認證機制中的運行而對計算機或網(wǎng)絡系統(tǒng)產(chǎn)生可復制性的損害����。如上所述的基于預定義健康運行環(huán)境的網(wǎng)絡計算機防病毒系統(tǒng),該系 統(tǒng)面向單位用戶時包括有如下基本構件a.客戶端:在每臺被保護的計算機上采集相關信息并對該機實施本系統(tǒng)的保護機制��;該系統(tǒng)又進一步分解為本地應有健康運行環(huán)境數(shù)據(jù)庫����、.運 行環(huán)境管理器��、待認證軟件綠色通道���;b.服務器引擎該子系統(tǒng)主要是構成整個應用系統(tǒng)的網(wǎng)絡通信中樞�, 并實現(xiàn)必要的服務器機制�,其中的機制包括新軟件的認證和認證軟件的共,》:C.控制臺該子系統(tǒng)是管理人員實施管理策略,采集管理數(shù)據(jù)����,觀察防 毒管理效果的UI界面��;d.健康運行環(huán)境數(shù)據(jù)庫其中包含預定義健康運行環(huán)境數(shù)據(jù)庫���,本網(wǎng) 共享應有健康運行環(huán)境數(shù)據(jù)庫。如上所述的基于預定義健康運行環(huán)境的網(wǎng)絡計算機防病毒系統(tǒng)����,該系 統(tǒng)面向個人用戶時包括有如下基本構件a. 客戶端:在每臺被保護的計算機上采集相關信息并對該機實施本系統(tǒng) 的保護機制;該系統(tǒng)又進一步分解為:本地應有健康運行環(huán)境數(shù)據(jù)庫��、運 行環(huán)境管理器��、待認證軟件綠色通道���;b. 服務器引擎該子系統(tǒng)主要是構成整個應用系統(tǒng)的網(wǎng)絡通信中樞�����, 并實現(xiàn)必要的服務器機制�,其中的機制包括新軟件的認證和認證軟件的共 享��,及客戶端健康運行環(huán)境的升級���;C.控制臺該子系統(tǒng)是管理運維人員實施管理策略�,采集管理數(shù)據(jù),觀 察防毒管理效果的UI界面�;d.健康運行環(huán)境數(shù)據(jù)庫其中包含個人電腦共享的健康運行環(huán)境數(shù)據(jù)庫。本發(fā)明的優(yōu)點與效果是1. 解決傳統(tǒng)殺毒軟件嚴重滯后的問題�����,以預防的方式同時杜絕已知和 未知的病毒及各類惡意軟件�����。2. 在比較徹底地解決病毒及各類惡意軟件的同時�����,該系統(tǒng)本身僅占用 很少的系統(tǒng)資源�,因此��,對用戶網(wǎng)絡計算機的健康運行環(huán)境的正常使用不構成負擔�。3.本發(fā)明提供的"過渡認證機制"或綠色通道,可使用戶很方便地使 用新的軟件����,同時有效地防止病毒及惡意軟件侵害系統(tǒng)的健康運行環(huán)境���。 同時,隨著新的軟件得到認證�����,預定義健康運行環(huán)境將不斷得到更新和完 善����。
圖1是本發(fā)明實例,面向單位用戶防毒系統(tǒng)之建立健康運行環(huán)境過程 示意圖(個人用戶與之類似)���;圖2是本發(fā)明實例�,面向單位用戶防病毒系統(tǒng)之運行健康運行環(huán)境及 更新過程示意圖(個人用戶與之類似)���。
具體實施方式
下面參照附圖對本發(fā)明進行詳細說明����。一.對技術組成的說明為了不僅可以防御已知病毒同時還可以防御未知病毒�,本系統(tǒng)不是基 于病毒特征去防御或查殺特定的病毒。而是基于網(wǎng)絡計算機的現(xiàn)有和可以 預期的健康運行環(huán)境來定義應有的健康運行環(huán)境�,并對該健康運行環(huán)境進 行嚴格的保護,同時建立一套有效的機制更新應有健康運行環(huán)境���。應有健康運行環(huán)境的建立 "運行環(huán)境"包含兩部分內(nèi)容可執(zhí)行代碼的集合�、與運行代碼相關 的配置和機制。"健康運行環(huán)境"包含兩層含義經(jīng)過認證的可執(zhí)行代碼集合或健康 軟件集合����、與運行代碼相關的配置和機制得到了嚴格的保護。對于一個具體網(wǎng)絡計算機或局域網(wǎng)而言����,其應有健康軟件集合來自于 兩個方面預定義的通用健康軟件集合和現(xiàn)有本機或本網(wǎng)軟件的分析認證 結果。健康軟件的認證可以通過多種機制實現(xiàn)����,但其中最重要也是最有效 的機制就是確認軟件的合法正當出處。病毒和各種惡意軟件的最主要特征之一就是不敢表明其出處�����。鑒于"以公開的身份傳播病毒或各類惡意軟件 是不可能生存的"這樣一個無爭的事實���,我們可以放心的把所有表明正當 合法出處的軟件認證為健康軟件。事實上����,這已經(jīng)覆蓋了絕大多數(shù)的社會 常用軟件��。對于非通用的單位內(nèi)部軟件����,更可以以類似的機制在內(nèi)部進行 認證�����。此外���,少數(shù)出處不清但又確有使用價值的軟件����,經(jīng)仔細分析確認無 害于計算機系統(tǒng)和使用人����,也可通過認證加入健康軟件集合。事實上����,每 次實施這種"基于預定義健康環(huán)境的網(wǎng)絡計算機防病毒系統(tǒng)"都可能進一 步完善預定義的通用健康軟件集合。對與運行代碼相關的系統(tǒng)配置和機制進行嚴格保護也有兩方面的含義1. 安全補丁的及時準確升級���,以防病毒或惡意軟件利用已知安全漏洞 運行惡意代碼����;2. 對于在"過渡認證機制"中運行的未認證軟件進行嚴格監(jiān)控,防止 惡意代碼利用"過渡認證機制"修改與運行代碼相關的配置和機制��。應有健康運行環(huán)境的嚴格保護該健康環(huán)境外的代碼不能隨意運行�,這就有效地杜絕了絕大多數(shù)的惡 意代碼運行;如果使用者確實需要立即運行某些未經(jīng)認證的軟件��,則該系統(tǒng)可以為 使用者提供一個"過渡機制"或稱為"綠色通道"來運行其軟件��。但在此 過渡機制中運行的軟件將受到本防毒系統(tǒng)的嚴格監(jiān)控��。未知軟件的運行(即"過渡認證機制")對于由用戶啟動的程序�,如果不在健康軟件集合中,則提示通過綠色 通道來運行��,在運行過程中對其進行限制��。對于不是由用戶啟動的程序�, 如果不在健康軟件集合中,則系統(tǒng)會阻止該程序運行�。同時系統(tǒng)將把客戶 端通過綠色通道運行的程序信息發(fā)送到服務器,服務器會對這些程序進行 驗證��,驗證通過后�,將程序添加到健康軟件集合中,用戶可以正常使用�;未通過驗證的程序,用戶僅可以在綠色通道中運行����,不能危及計算機或網(wǎng) 絡的其他部分。應有健康運行環(huán)境的不斷更新-1. 健康運行環(huán)境中軟件自動升級對已經(jīng)存在于健康運行環(huán)境中軟件 進行升級操作時����,本系統(tǒng)會自動作出判斷并放行,在升級完成后�����,自動將 升級后的程序添加到應有健康軟件運行環(huán)境中����。2. 用戶釆用綠色通道運行的軟件對于用戶采用綠色通道運行的軟件,本系統(tǒng)自動將其發(fā)送到服務器�,服務器對這些程序進行驗證,驗證通過后���,將程序添加到健康軟件集合中���,并向各個終端共享此更新的健康運行環(huán)境�,保證資源及時更新和共享��。二 .實際應用舉例 l.面向單位用戶基于預定義健康運行環(huán)境的局域網(wǎng)計算機防病毒系統(tǒng)��。該系統(tǒng)是基于 本發(fā)明實現(xiàn)的應用系統(tǒng)����,其可以對局域網(wǎng)內(nèi)的計算機統(tǒng)一進行有效的防病 毒保護��。該系統(tǒng)主要由如下基本構件組成a. 客戶端:在每臺被保護的計算機上采集相關信息并對該機實施本系統(tǒng) 的保護機制���;該系統(tǒng)又進一步分解為①本地應有健康運行環(huán)境數(shù)據(jù)庫�����; ②運行環(huán)境管理器;③待認證軟件綠色通道。b. 服務器引擎該子系統(tǒng)主要是構成整個應用系統(tǒng)的網(wǎng)絡通信中樞, 并實現(xiàn)必要的服務器機制��,其中最重要的機制包括新軟件的認證和認證軟 件的共享�����。C.控制臺該子系統(tǒng)是管理人員實施管理策略,采集管理數(shù)據(jù)�����,觀察防 毒管理效果的UI界面����。d.健康運行環(huán)境數(shù)據(jù)庫其中包含預定義健康運行環(huán)境數(shù)據(jù)庫���,本網(wǎng) 共享應有健康運行環(huán)境數(shù)據(jù)庫����。該防病毒系統(tǒng)的工作機理本防病毒系統(tǒng)有三種工作階段或三種工作模式�����,它們分別為建立健 康運行環(huán)境���、運行健康運行環(huán)境和更新健康運行環(huán)境�����。下面就這三種工作 模式介紹本防毒系統(tǒng)的基本系統(tǒng)模塊是如何相互配合從而實現(xiàn)防毒目的的 工作機理���。建立健康運行環(huán)境在一個局域網(wǎng)中建立健康運行環(huán)境主要是對現(xiàn)有運行環(huán)境的收集和認 證并與預定義的通用健康運行環(huán)境相結合的過程����。預定義通用健康運行環(huán)境數(shù)據(jù)庫的建立這個通用健康運行環(huán)境數(shù)據(jù)庫應該包含所有健康軟件��,但對于防毒系 統(tǒng)的實際實現(xiàn)而言���,這個通用數(shù)據(jù)庫建立是一個不斷積累和完善的過程。 由于絕大多數(shù)計算機用戶僅僅使用一小部分最常用的軟件這樣一個事實��, 即使在預定義通用健康運行環(huán)境數(shù)據(jù)庫不是十分完整的情況下����,該防毒系 統(tǒng)也可以對絕大多數(shù)計算機用戶表現(xiàn)出很高價值的實用性和易用性。判別健康軟件的標準可以有很多種����,甚至可以帶有主觀愛好的色彩, 但是要建立一個實用性很強的通用健康運行環(huán)境數(shù)據(jù)庫�,就必須基于一個 普遍適用的客觀標準。本系統(tǒng)所使用的判定健康軟件的標準是基于這樣一 個不爭的事實絕大多數(shù)健康軟件的原作者(個人或單位)都愿意在其軟 件適用的范圍內(nèi)直接亮明其身份���,并讓其軟件的使用者了解該軟件的正當 出處及正規(guī)版本���;與此相反�,幾乎所有的惡意軟件��,包含各類病毒��、木馬和流氓軟件等等�,其原作者(個人或單位)都不敢亮明其身份,甚至是極 力隱藏其真實身份�����。(盡管在真實世界中可能會有一些個別的例外�����,但這不 改變上述情況對絕大多數(shù)軟件而言是不爭的事實)��。因此�,該防毒系統(tǒng)判別 一個軟件是否為健康軟件就是檢查該軟件是否有亮明其真實身份的原作 者、正當?shù)某鎏幖笆欠裾?guī)的版本��。在該數(shù)據(jù)庫中�����,包含每一個健康軟件的名稱、作者及出處的相關信息�,更關鍵的是代表該軟件正規(guī)版本的唯一性特征碼。在防毒系統(tǒng)的客戶端程 序初次在將被保護的計算機系統(tǒng)上安裝之后��,它首先要取得該計算機運行環(huán)境的完整信息101�,為此,客戶端程序要利用基于其線程優(yōu)先級分配到 的CPU運行時間對該計算機的本地存儲(通常是"硬盤")進行完整的掃 描102�����,并在掃描的過程中形成本機現(xiàn)有運行環(huán)境數(shù)據(jù)集合103�,該數(shù)據(jù)集 合中的主要內(nèi)容為包含可執(zhí)行代碼的各類文件名��、對應的特征碼及與運行 代碼相關的一些操作系統(tǒng)配置���。在建立了本機現(xiàn)有運行環(huán)境數(shù)據(jù)集合之后���,客戶端IOO將利用分配到 的CPU運行時間對現(xiàn)有運行環(huán)境進行第一輪的認證。第一輪認證的基本工 作就是把現(xiàn)有運行環(huán)境中的可執(zhí)行文件一一在預定義的通用健康運行環(huán)境 數(shù)據(jù)庫104中尋找對應的文件����,如果找到了則比較唯一性特征碼,如果特 征碼匹配����,則該可執(zhí)行文件通過了認證����,并加入了本地健康運行環(huán)境數(shù)據(jù) 庫105��,基于一個比較完整的預定義通用健康運行環(huán)境數(shù)據(jù)庫����,經(jīng)過第一 輪的認證,在現(xiàn)有運行環(huán)境數(shù)據(jù)集合中應該只剩下數(shù)量很少的未認證可執(zhí) 行文件106,或者全部通過了認證����,這些待認證的可執(zhí)行文件將觸發(fā)第二 輪的認證過程。第二輪認證其實是一個認證新的健康軟件和識別惡意軟件的過程�����,這 個過程往往是半自動的��,要有軟件認證工作人員的參與在這個過程中���, 防毒系統(tǒng)的客戶端100通過本機的網(wǎng)卡把需要進行第二輪認證的相關信息 108傳到防毒系統(tǒng)的服務器引擎107����。引擎首先啟動自動認證機制109,例 如���,同一個可執(zhí)行文件已由其他客戶端先行進行了第二輪認證���,則不再重 復認證,而且直接返回認證結果110�。此外,引擎還將自動執(zhí)行認證人員己 經(jīng)配置的認證規(guī)則lll���,例如���,自動執(zhí)行一些可信的檢測工具,以求鑒別惡 意軟件����。在這個子過程中���,優(yōu)質的殺毒軟件�����、防木馬和流氓軟件的工具可 以發(fā)揮一定的積極作用���,提高自動化程度�����。但是���,該防毒系統(tǒng)的主要防毒 依據(jù)還是一個完整的預定義健康運行環(huán)境數(shù)據(jù)庫。這個數(shù)據(jù)庫越完整��,在軟件認證過程中�,對其他工具的依賴性就越小。在完成了上述的自動鑒別 過程后���,若還有剩余的待認證軟件����,服務器引擎將通過本機的網(wǎng)卡或某種IPC機制��,把這些待認證軟件的相關信息傳至防毒系統(tǒng)的控制臺112�����。認證 人員在控制臺上對這些待認證的軟件進行最終的鑒別工作。在這個環(huán)節(jié)上�����, 認證人員要綜合多種信息以求做出正確的判斷���,但其中最主要的工作還是 設法找到每一個軟件的正當出處�����。事實上��,隨著預定義通用健康運行環(huán)境 數(shù)據(jù)庫的不斷完整�,在任何一個具體的局域網(wǎng)內(nèi)��,需要認證人員參與做最 終鑒別工作的情況會越來越少�����。而且在任何一個局域網(wǎng)內(nèi)���,認證人員參與 的認證結果將使得預定義通用健康運行環(huán)境數(shù)據(jù)庫更加完整。在第二輪過 程中����,如果發(fā)現(xiàn)一個未知的可執(zhí)行文件又無法找到正當?shù)某鎏?,則被列為 惡意軟件可疑項����。如果發(fā)現(xiàn)了一個已知的可執(zhí)行文件但唯一特征碼不符, 則可以斷定是感染了病毒的版本114�����。經(jīng)過兩輪的認證�����,建立起本機健康運行環(huán)境數(shù)據(jù)庫��,同時也凈化了系 統(tǒng)的運行環(huán)境����。在一個局域網(wǎng)中,在每一臺客戶機上的認證結果是可以在 網(wǎng)內(nèi)共享的���。如上所述����,這種建立本網(wǎng)健康運行環(huán)境的過程往往又會進一 步豐富預定義通用健康運行環(huán)境數(shù)據(jù)庫,因此�����,可以在所有該防毒系統(tǒng)的 用戶中共享�。運行健康運行環(huán)境所謂運行健康運行環(huán)境,就是在建立了本網(wǎng)的健康運行環(huán)境之后�,有 效的保護該健康運行環(huán)境的運轉,并防止該健康運行環(huán)境以外的任何惡意 軟件可能對計算機系統(tǒng)的正常使用產(chǎn)生的不良影響���。實現(xiàn)上述目的的最大 挑戰(zhàn)就是既要嚴格保護健康運行環(huán)境����,又要讓用戶使用的很方便��,不能在 易用性上付出明顯代價�。具體實現(xiàn)上主要有兩大環(huán)節(jié)第一個環(huán)節(jié)就是嚴格保護已定義的健康 運行環(huán)境。為此��,防毒系統(tǒng)的客戶端在本機的系統(tǒng)內(nèi)存中監(jiān)控每一個要啟 動運行的可執(zhí)行文件201���。如果確定是健康運行環(huán)境的成員則自動放行203;如果不是健康運行環(huán)境的成員則立即阻斷204����。第二個環(huán)節(jié)是在嚴格 管理的基礎上開放一條便利通道����,或稱"綠色通道",以便于用戶運行一些 尚未認證納入健康運行環(huán)境的新軟件205���。換言之�����,通過這個綠色通道用 戶可以運行任何想運行的軟件207����,但綠色通道將提供一些必要的保護����, 其中主要是對可執(zhí)行文件及系統(tǒng)配置的修改和局域網(wǎng)內(nèi)的網(wǎng)絡訪問進行必 要的限制。通過綠色通道運行新的軟件將觸發(fā)新的軟件認證過程208����。這個過程 是更新健康運行環(huán)境工作模式的一部分,并在下面給予介紹�����。 更新健康運行環(huán)境如上所述,該防毒系統(tǒng)的工作機理的主要依據(jù)是一個比較完整的健康 運行環(huán)境����。然而,無論是軟件集合本身還是計算機用戶對軟件應用的狀態(tài) 都是一個永無止境的增長和變化過程���,因此����,防毒系統(tǒng)所基于的健康運行 環(huán)境必須不斷更新�����。更新有兩大機制主動更新和被動更新��。下面分別給 予介紹�。主動更新該防毒系統(tǒng)的運維主體必須有專門的團隊和工作流程以保證進行盡可能廣泛的軟件收集和認證,從而不斷的主動更新豐富預定義通 用健康運行環(huán)境數(shù)據(jù)庫��,這種主動收集和更新健康運行環(huán)境的最低標準是 要有效地覆蓋絕大多數(shù)用戶較常用的健康軟件���。除了上述的面向所有用戶 的通用更新之外����,在每個局域網(wǎng)內(nèi),隨時都可能有必要加入一些新的健康 軟件�����,以適應單位的計算機應用�����。這是本網(wǎng)健康運行環(huán)境的主動更新�。被動更新:被動更新是指用戶需要運行未認證的軟件�,由此觸發(fā)的認 證機制210/212/214,并導致健康運行環(huán)境的更新211/213/215���。這種被動更 新多數(shù)是由客戶端的綠色通道觸發(fā)的����,個別情況也可能是在服務端直接引 入的���。被動更新一旦在某個局部發(fā)生應該盡快在盡可能大的范圍內(nèi)共享(當 然��,前提是有必要)��。2.面向個人用戶基于預定義健康運行環(huán)境的個人互聯(lián)網(wǎng)計算機防病毒系統(tǒng)��。該系統(tǒng)是 基于本發(fā)明實現(xiàn)的應用系統(tǒng)�����,其可以對個人互聯(lián)網(wǎng)計算機統(tǒng)一進行有效的 防病寧保護�。該系統(tǒng)主要由如下基本構件組成a. 客戶端:在每臺被保護的計算機上采集相關信息并對該機實施本系統(tǒng) 的保護機制;該系統(tǒng)又進一步分解為①本地應有健康運行環(huán)境數(shù)據(jù)庫�; ②運行環(huán)境管理器;③待認證軟件綠色通道�����。b. 服務器引擎該子系統(tǒng)主要是構成整個應用系統(tǒng)的網(wǎng)絡通信中樞�����, 并實現(xiàn)必要的服務器機制�,其中最重要的機制包括新軟件的認證和認證軟 件的共享,及客戶端健康運行環(huán)境的升級�����。C.控制臺該子系統(tǒng)是管理運維人員實施管理策略����,采集管理數(shù)據(jù)����,觀 察防毒管理效果的UI界面�。d.健康運行環(huán)境數(shù)據(jù)庫其中包含所有個人電腦共享的健康運行環(huán)境 數(shù)據(jù)庫。該防病毒系統(tǒng)的工作機理本防病毒系統(tǒng)有三種工作階段或三種工作模式���,它們分別為建立健康運行環(huán)境��、運行健康運行環(huán)境和更新健康運行環(huán)境。下面就這三種工作 模式介紹本防毒系統(tǒng)的基本系統(tǒng)模塊是如何相互配合從而實現(xiàn)防毒目的的 工作機理�。建立健康運行環(huán)境在一個個人電腦上建立健康運行環(huán)境主要是對現(xiàn)有運行環(huán)境的收集和 認證并與預定義的通用健康運行環(huán)境相結合的過程����。預定義通用健康運行環(huán)境數(shù)據(jù)庫的建立這個通用健康運行環(huán)境數(shù)據(jù)庫應該包含所有健康軟件����,但對于防毒系 統(tǒng)的實際實現(xiàn)而言��,這個通用數(shù)據(jù)庫建立是一個不斷積累和完善的過程�����。 由于絕大多數(shù)計算機用戶僅僅使用 一小部分最常用的軟件這樣一個事實���,即使在預定義通用健康運行環(huán)境數(shù)據(jù)庫不是十分完整的情況下����,該防毒系 統(tǒng)也可以對絕大多數(shù)計算機用戶表現(xiàn)出很高價值的實用性和易用性����。判別健康軟件的標準可以有很多種�,甚至可以帶有主觀愛好的色彩�, 但是要建立一個實用性很強的通用健康運行環(huán)境數(shù)據(jù)庫�,就必須基于一個 普遍適用的客觀標準���。本系統(tǒng)所使用的判定健康軟件的標準是基于這樣一 個不爭的事實絕大多數(shù)健康軟件的原作者(個人或單位)都愿意在其軟 件適用的范圍內(nèi)直接亮明其身份����,并讓其軟件的使用者了解該軟件的正當 出處及正規(guī)版本���;與此相反,幾乎所有的惡意軟件��,包含各類病毒、木馬 和流氓軟件等等����,其原作者(個人或單位)都不敢亮明其身份,甚至是極 力隱藏其真實身份�。(盡管在真實世界中可能會有一些個別的例外�,但這不 改變上述情況對絕大多數(shù)軟件而言是不爭的事實)��。因此,該防毒系統(tǒng)判別 一個軟件是否為健康軟件就是檢査該軟件是否有亮明其真實身份的原作 者��、正當?shù)某鎏幖笆欠裾?guī)的版本��。在該數(shù)據(jù)庫中,包含每一個健康軟件的名稱���、作者及出處的相關信息�, 更關鍵的是代表該軟件正規(guī)版本的唯一性特征碼�。在防毒系統(tǒng)的客戶端初 次在將被保護的計算機系統(tǒng)上安裝之后�����,它首先要取得該計算機運行環(huán)境 的完整信息,為此�,客戶端程序要利用基于其線程優(yōu)先級分配到的CPU運 行時間對該計算機的本地存儲(通常是"硬盤")進行完整的掃描����,并在掃 描的過程中形成本機現(xiàn)有運行環(huán)境數(shù)據(jù)集合�,該數(shù)據(jù)集合中的主要內(nèi)容為 包含可執(zhí)行代碼的各類文件名��、對應的特征碼及與運行代碼相關的一些操 作系統(tǒng)配置。在建立了本機現(xiàn)有運行環(huán)境數(shù)據(jù)集合之后�,客戶端將利用分配到的 CPU運行時間對現(xiàn)有運行環(huán)境進行第一輪的認證�����。第一輪認證的基本工作 就是把現(xiàn)有運行環(huán)境中的可執(zhí)行文件一一在預定義的通用健康運行環(huán)境數(shù) 據(jù)庫中尋找對應的文件�,如果找到了則比較唯一性特征碼����,如果特征碼匹 配,則該可執(zhí)行文件通過了認證���,并加入了本地健康運行環(huán)境數(shù)據(jù)庫,基于一個比較完整的預定義通用健康運行環(huán)境數(shù)據(jù)庫��,經(jīng)過第一輪的認證����, 在現(xiàn)有運行環(huán)境數(shù)據(jù)集合中應該只剩下數(shù)量很少的未認證可執(zhí)行文件�����,或 者全部通過了認證���,這些待認證的可執(zhí)行文件將觸發(fā)第二輪的認證過程。第二輪認證其實是一個認證新的健康軟件和識別惡意軟件的過程�����,這 個過程往往是半自動的�,要有軟件認證工作人員的參與在這個過程中, 防毒系統(tǒng)的客戶端通過本機的網(wǎng)卡把需要進行第二輪認證的相關信息傳到 防毒系統(tǒng)的服務器引擎����。引擎首先啟動自動認證機制,例如��,同一個可執(zhí) 行文件已由其他客戶端先行進行了第二輪認證�����,則不再重復認證���,而且直 接返回認證結果�����。此外��,引擎還將自動執(zhí)行認證人員已經(jīng)配置的認證規(guī)則�����, 例如���,自動執(zhí)行一些可信的檢測工具���,以求鑒別惡意軟件。在這個子過程 中�����,優(yōu)質的殺毒軟件����、防木馬和流氓軟件的工具可以發(fā)揮一定的積極作用, 提高自動化程度����。但是,該防毒系統(tǒng)的主要防毒依據(jù)還是一個完整的預定 義健康運行環(huán)境數(shù)據(jù)庫���。這個數(shù)據(jù)庫越完整���,在軟件認證過程中,對其他 工具的依賴性就越小�。在完成了上述的自動鑒別過程后,若還有剩余的待 認證軟件����,服務器引擎將通過本機的網(wǎng)卡或某種IPC機制,把這些待認證 軟件的相關信息傳至防毒系統(tǒng)的控制臺�����。認證人員在控制臺上對這些待認 證的軟件進行最終的鑒別工作���。在這個環(huán)節(jié)上�,認證人員要綜合多種信息 以求做出正確的判斷���,但其中最主要的工作還是設法找到每一個軟件的正 當出處���。事實上��,隨著預定義通用健康運行環(huán)境數(shù)據(jù)庫的不斷完整�,需要 做最終鑒別工作的情況會越來越少�����。而且在此過程中����,認證人員參與的認 證結果將使得預定義通用健康運行環(huán)境數(shù)據(jù)庫更加完整。在第二輪過程中�����, 如果發(fā)現(xiàn)一個未知的可執(zhí)行文件又無法找到正當?shù)某鎏?��,則被列為惡意軟 件可疑項��。如果發(fā)現(xiàn)了一個已知的可執(zhí)行文件但唯一特征碼不符����,則可以 斷定是感染了病毒的版本��。經(jīng)過兩輪的認證,建立起本機健康運行環(huán)境數(shù)據(jù)庫���,同時也凈化了系 統(tǒng)的運行環(huán)境。在個人互聯(lián)網(wǎng)中�����,在每一臺計算機上的認證結果是可以在網(wǎng)上共享的�����。如上所述�,這種建立健康運行環(huán)境的過程往往又會進一步豐 富預定義通用健康運行環(huán)境數(shù)據(jù)庫,因此���,可以在所有該防毒系統(tǒng)的用戶 中共享��。運行健康運行環(huán)境所謂運行健康運行環(huán)境����,就是在建立了本網(wǎng)的健康運行環(huán)境之后��,有 效的保護該健康運行環(huán)境的運轉����,并防止該健康運行環(huán)境以外的任何惡意 軟件可能對計算機系統(tǒng)的正常使用產(chǎn)生的不良影響��。實現(xiàn)上述目的的最大 挑戰(zhàn)就是既要嚴格保護健康運行環(huán)境�����,又要讓用戶使用的很方便����,不能在 易用性上付出明顯代價���。具體實現(xiàn)上主要有兩大環(huán)節(jié)第一個環(huán)節(jié)就是嚴格保護己定義的健康運行環(huán)境���。為此,防毒系統(tǒng)的客戶端在本機的系統(tǒng)內(nèi)存中監(jiān)控每一個要啟動運行的可執(zhí)行文件�����。如果確定是健康運行環(huán)境的成員則自動放行���;如果 不是健康運行環(huán)境的成員則立即阻斷����。第二個環(huán)節(jié)是在嚴格管理的基礎上 開放一條便利通道,或稱"綠色通道"�����,以便于用戶運行一些尚未認證納入健康運行環(huán)境的新軟件���。換言之,通^;這個綠色通道用戶可以運行任何想運行的軟件�,但綠色通道將提供一些必要的保護,其中主要是對可執(zhí)行文 件及系統(tǒng)配置的修改進行必要的限制���。通過綠色通道運行新的軟件將觸發(fā)新的軟件認證過程��。這個過程是更 新健康運行環(huán)境工作模式的一部分��,并在下面給予介紹�����。更新健康運行環(huán)境如上所述�,該防毒系統(tǒng)的工作機理的主要依據(jù)是一個比較完整的健康 運行環(huán)境���。然而����,無論是軟件集合本身還是計算機用戶對軟件應用的狀態(tài) 都是一個永無止境的增長和變化過程,因此��,防毒系統(tǒng)所基于的健康運行 環(huán)境必須不斷更新�����。更新有兩大機制主動更新和被動更新�����。下面分別給 予介紹�����。主動更新該防毒系統(tǒng)的運維主體必須有專門的團隊和工作流程以保證進行盡可能廣泛的軟件收集和認證�����,從而不斷的主動更新豐富預定義通 用健康運行環(huán)境數(shù)據(jù)庫�,這種主動收集和更新健康運行環(huán)境的最低標準是 要有效地覆蓋絕大多數(shù)用戶較常用的健康軟件。被動更新是指用戶需要運行未認證的軟件����,由此觸發(fā)的認證機制���, 并導致健康運行環(huán)境的更新。這種被動更新多數(shù)是由客戶端的綠色通道觸 發(fā)的��,個別情況也可能是在服務端直接引入的���。被動更新一旦在某個局部 發(fā)生應該盡快在盡可能大的范圍內(nèi)共享��。綜上所述��,基于預定義健康運行環(huán)境的防病毒系統(tǒng)是一個具有自學習 能力的不斷完善的系統(tǒng),它既可以有效地防止各類惡意軟件�,又可以方便 地讓用戶使用其想運行的軟件。另一個重要的特色是該防毒系統(tǒng)不需要像 殺毒軟件那樣占用大量的計算機資源進行掃描�,因此,用起來非?����?旖?��。
權利要求
1.基于預定義健康運行環(huán)境的網(wǎng)絡計算機防病毒系統(tǒng)�,本系統(tǒng)不是必須要查殺已知的病毒或病毒機制而是通過定義和嚴格限定計算機應有的健康運行環(huán)境解決計算機病毒或惡意軟件��,其特征在于,所述健康運行環(huán)境由兩個部分組成一是健康軟件的集合���;二是與代碼運行相關的系統(tǒng)機制的嚴格監(jiān)控和保護�����,主要包括有A.已知系統(tǒng)漏洞的及時修復�;B.注冊表啟動項的監(jiān)控�����;C.注冊新的驅動程序和服務程序����;D.系統(tǒng)文件修改的嚴格控制;E.限制未認證軟件的內(nèi)網(wǎng)通信����。
2. 根據(jù)權利要求1所述的基于預定義健康運行環(huán)境的網(wǎng)絡計算機防病 毒系統(tǒng),其特征在于�,健康軟件集合的形成主要是通過收集和認證每一款 軟件的正當合法出處,凡是能夠表明軟件作者���,如自然人或單位的正當 合法身份的軟件均可以被認證為健康軟件����。
3. 根據(jù)權利要求1所述的基于預定義健康運行環(huán)境的網(wǎng)絡計算機防病 毒系統(tǒng),其特征在于�����,所述預定義健康運行環(huán)境是由可收集到并通過認證 的健康軟件集合及上述的與代碼運行相關的系統(tǒng)機制的嚴格保護組成的��。
4. 根據(jù)權利要求1所述的基于預定義健康運行環(huán)境的網(wǎng)絡計算機防病 毒系統(tǒng)���,其特征在于���,每一臺計算機應有的健康運行環(huán)境是由預定義健康 運行環(huán)境和對本機現(xiàn)有軟件的分析認證結果相結合而構成的,因此�����,健康 運行環(huán)境是可以共享的�����。
5. 根據(jù)權利要求1所述的基于預定義健康運行環(huán)境的網(wǎng)絡計算機防病 毒系統(tǒng)�,其特征在于���,不在健康運行環(huán)境中的新軟件��,可以通過過渡認證 機制方便地運行����,同時觸發(fā)系統(tǒng)的認證機制;如果通過了認證����,則加入健康軟件集合并在必要的范圍內(nèi)共享;如果由于含有病毒或惡意代碼而沒有 通過認證���,也不會因為在過渡認證機制中的運行而對計算機或網(wǎng)絡系統(tǒng)產(chǎn) 生可復制性的損害����。
6. 根據(jù)權利要求1所述的基于預定義健康運行環(huán)境的網(wǎng)絡計算機防病 毒系統(tǒng)��,其特征在于�,該系統(tǒng)面向單位用戶時包括有如下基本構件a. 客戶端:在每臺被保護的計算機上采集相關信息并對該機實施本系統(tǒng) 的保護機制;該系統(tǒng)又進一步分解為本地應有健康運行環(huán)境數(shù)據(jù)庫��、運 行環(huán)境管理器���、待認證軟件綠色通道���;b. 服務器引擎該子系統(tǒng)主要是構成整個應用系統(tǒng)的網(wǎng)絡通信中樞�, 并實現(xiàn)必要的服務器機制����,其中的機制包括新軟件的認證和認證軟件的共C.控制臺該子系統(tǒng)是管理人員實施管理策略,采集管理數(shù)據(jù)�,觀察防 毒管理效果的UI界面;d.健康運行環(huán)境數(shù)據(jù)庫其中包含預定義健康運行環(huán)境數(shù)據(jù)庫�,本網(wǎng) 共享應有健康運行環(huán)境數(shù)據(jù)庫。
7. 根據(jù)權利要求1所述的基于預定義健康運行環(huán)境的網(wǎng)絡計算機防病 毒系統(tǒng)����,其特征在于,該系統(tǒng)面向個人用戶時包括有如下基本構件a. 客戶端:在每臺被保護的計算機上采集相關信息并對該機實施本系統(tǒng) 的保護機制���;該系統(tǒng)又進一步分解為本地應有健康運行環(huán)境數(shù)據(jù)庫�����、運 行環(huán)境管理器、待認證軟件綠色通道���;b. 服務器引擎該子系統(tǒng)主要是構成整個應用系統(tǒng)的網(wǎng)絡通信中樞�, 并實現(xiàn)必要的服務器機制,其中的機制包括新軟件的認證和認證軟件的共 享���,及客戶端健康運行環(huán)境的升級�����;C.控制臺該子系統(tǒng)是管理運維人員實施管理策略����,采集管理數(shù)據(jù)�,觀 察防毒管理效果的UI界面;d.健康運行環(huán)境數(shù)據(jù)庫其中包含個人電腦共享的健康運行環(huán)境數(shù)據(jù)庫�����。
全文摘要
本發(fā)明涉及一種以預定義的網(wǎng)絡計算機的健康運行環(huán)境為基礎的防病毒機理及相應的應用系統(tǒng),特別是涉及以局域網(wǎng)的形式組成的辦公網(wǎng)絡的防毒和防各類惡意軟件的應用環(huán)境����?;陬A定義健康運行環(huán)境的網(wǎng)絡計算機防病毒系統(tǒng),不是必須要查殺已知的病毒或病毒機制而是通過定義和嚴格限定計算機應有的健康運行環(huán)境解決計算機的病毒或惡意軟件���,健康運行環(huán)境由兩個部分組成一是健康軟件的集合�����;二是與代碼運行相關的系統(tǒng)機制的嚴格監(jiān)控和保護���。本發(fā)明可以應用于網(wǎng)絡計算機系統(tǒng)��。用以防止計算機受到各類病毒軟件或其他惡意軟件的破壞��。
文檔編號G06F21/00GK101276387SQ20081001140
公開日2008年10月1日 申請日期2008年5月15日 優(yōu)先權日2008年5月15日
發(fā)明者魁 金 申請人:魁 金