安全保护系统及方法

文档序号：6489342阅读：269来源：国知局

安全保护系统及方法
【专利摘要】本发明公开了一种安全保护系统，包括：漏洞识别装置，用于收集补丁文件信息并识别出与所述补丁文件信息对应的修复对象的漏洞，以及用于根据所述漏洞生成漏洞防护信息；漏洞防护装置，用于根据所述漏洞防护信息对与所述补丁文件信息对应的修复对象的漏洞进行防护。本发明还公开了一种安全保护方法。本发明能主动、及时地为用户的计算机提供给有效的保护，防止计算机中的病毒被非法利用。
【专利说明】安全保护系统及方法
【【技术领域】】
[0001]本发明涉及安全软件领域，特别涉及一种安全保护系统及方法。
【【背景技术】】
[0002]计算机上一般都安装有安全软件，对计算机中的漏洞进行检测、修复是一个安全软件必备的功能之一，目的是为了防止计算机上的漏洞被非法利用，在第一时间探知恶意软件利用计算机的漏洞来对计算机进行入侵的行为，防范于未然，从而保护计算机的安全。
[0003]目前，现有的安全软件针对漏洞的检测、修复和拦截的技术方案如下:
[0004]在软件开发商发布了关于具有漏洞的软件的补丁文件后，安全软件根据该补丁文件查找要修复的漏洞，然后对查找到的漏洞进行修复。
[0005]在上述技术方案中，通过打补丁来修复漏洞是一个耗时并且比较消耗计算机资源的过程，一般来讲，安全软件不能自动帮用户打补丁，而只能依靠用户主动触发修复漏洞的动作，而安全意识不强的用户有可能不会修复计算机中的漏洞，这会导致安装于计算机中的安全软件无法为计算机提供保护。此外，由于必须要等到用户触发了修复漏洞的动作之后，安全软件商才能针对该漏洞特征帮助用户进行漏洞修复，因此，对漏洞的防御相对漏洞的检测具有一定的被动性和滞后性，不利于主动和及时地防止漏洞被非法利用。
[0006]此外，传统的安全软件不清楚漏洞细节，因此只能向用户推送补丁文件包，不能给用户实施实时漏洞防护，因此上述修复软件漏洞的技术方案灵活性比较低，安全软件的主动性不强，不能有效地防止漏洞被非法利用。
[0007]故，有必要提出一种新的技术方案，以解决上述技术问题。
【
【发明内容】
】
[0008]本发明的一个目的在于提供一种安全保护系统，其能主动、及时地为用户的计算机提供给有效的保护，防止计算机中的病毒被非法利用。
[0009]为解决上述问题，本发明提供了一种安全保护系统，包括:漏洞识别装置，用于收集补丁文件信息并识别出与所述补丁文件信息对应的修复对象的漏洞，以及用于根据所述漏洞生成漏洞防护信息；漏洞防护装置，用于根据所述漏洞防护信息对与所述补丁文件信息对应的修复对象的漏洞进行防护。
[0010]本发明的另一个目的在于提供一种安全保护方法，其能主动、及时地为用户的计算机提供给有效的保护，防止计算机中的病毒被非法利用。
[0011]为解决上述问题，本发明提供了一种安全保护方法，所述方法包括以下步骤:收集补丁文件信息并识别出与所述补丁文件信息对应的修复对象的漏洞，以及根据所述漏洞生成漏洞防护信息；根据所述漏洞防护信息对与所述补丁文件信息对应的修复对象的漏洞进行防护。
[0012]相对现有技术，由于通过对补丁文件进行汇编级别的对比，因此本发明能够清楚地获知漏洞细节，同时，由于有针对性的对漏洞注入触发信息，从而对触发该漏洞的行为进行监控比对触发漏洞的行为进行拦截，因此本发明能够主动、及时地为用户的计算机提供给有效的保护，防止计算机中的病毒被非法利用。
[0013]为让本发明的上述内容能更明显易懂，下文特举优选实施例，并配合所附图式，作详细说明如下:
【【专利附图】

【附图说明】】
[0014]图1为本发明的安全保护系统的框图；
[0015]图2为图1中漏洞识别装置的框图；
[0016]图3为图2中检查模块的框图；
[0017]图4为图1中漏洞防护装置的框图；
[0018]图5为图4中防护模块的框图；
[0019]图6和图7为本发明的安全保护方法的流程图。
【【具体实施方式】】
[0020]以下各实施例的说明是参考附加的图式，用以例示本发明可用以实施的特定实施例。
[0021]为了防止用户的计算机的漏洞被非法利用，更好地保护用户的计算机，因此本发明的总体技术方案为:收集补丁文件信息，根据该补丁文件信息识别漏洞，并生成漏洞防护信息，根据该漏洞防护信息查找漏洞，在漏洞处注入触发信息以监控漏洞是否被触发，在漏洞被触发时对触发漏洞的行为进行拦截。这样，能够主动、及时地为用户的计算机提供给有效的保护，防止计算机中的病毒被非法利用。
`[0022]本发明的详细技术方案为:
[0023]参考图1、图2、图3、图4和图5，其中，图1为本发明的安全保护系统的框图，图2为图1中漏洞识别装置101的框图，图3为图2中检查模块1012的框图，图4为图1中漏洞防护装置102的框图，图5为图4中防护模块1022的框图。
[0024]本发明的安全保护系统10包括漏洞识别装置101和漏洞防护装置102。漏洞识别装置101和漏洞防护装置102电性连接或者通过网络通信。其中，漏洞识别装置101用于收集补丁文件信息并识别出与该补丁文件信息对应的修复对象的漏洞，以及用于根据该漏洞生成漏洞防护信息，具体地，漏洞识别装置101用于动态地搜寻软件开发商是否发布补丁文件信息，并用于在搜寻到补丁文件信息时收集该补丁文件信息和与该补丁文件信息对应的修复对应的源文件信息，以及用于分析该补丁文件信息和与其对应的修复对象的源文件信息，以及用于识别出其中与该补丁文件信息对应的漏洞并生成漏洞防护信息。漏洞防护装置102用于根据该漏洞防护信息对与补丁文件信息对应的修复对象的漏洞进行防护，具体地，漏洞防护装置102用于在接收到漏洞识别装置101发送的漏洞防护信息后根据该漏洞防护信息在修复对象中查找(扫描)与其对应的漏洞，以及用于在查找到该漏洞后向该漏洞注入触发信息并对该触发信息进行监控，以及用于在监控到该触发信息被触发时对触发该漏洞的行为进行拦截。
[0025]其中，漏洞识别装置101包括收集模块1011和检查模块1012，收集模块1011和检查模块1012电性连接。收集模块1011用于收集补丁文件信息，以及用于收集与该补丁文件信息对应的修复对象的源文件信息，具体地，收集模块1011用于动态地搜寻软件开发商是否发布补丁文件信息，并用于在搜寻到该补丁文件信息时收集(获取)该补丁文件信息，此外，收集模块1011还用于根据所收集的补丁文件信息收集(获取)与其对应的修复对象的源文件信息。这样，有利于在第一时间获知软件开发商发布了哪些补丁文件，为及时地识别出与其对应的漏洞并对该漏洞进行防护提供了技术性保障。检查模块1012用于根据补丁文件信息和源文件信息检查漏洞并生成漏洞防护信息，具体地，检查模块1012用于分析该补丁文件信息和源文件信息并识别出与该补丁文件对应的漏洞，并用于生成相应的漏洞防护信息。
[0026]进一步地，为了识别出与补丁文件信息对应的漏洞，检查模块1012包括对比模块10122和分析模块10124。其中，对比模块10122和分析模块10124电性连接。对比模块10122用于将补丁文件信息和源文件信息进行对比并找出补丁文件信息和源文件信息的不同点。分析模块10124用于根据不同点分析补丁文件信息的修复对象的漏洞并生成与漏洞对应的漏洞防护信息。
[0027]进一步地，为了更加精确地识别出与补丁文件信息对应的漏洞，检查模块1012还包括汇编模块10121和反编译模块10123。其中，汇编模块10121与收集模块1011和对比模块10122电性连接，反编译模块10123和对比模块10122以及分析模块10124电性连接。汇编模块10121用于对补丁文件信息进行汇编并生成第一汇编结果，以及用于对源文件信息进行汇编并生成第二汇编结果，具体地，汇编模块10121用于将补丁文件信息转换成汇编语言，得出第一汇编结果，汇编模块10121还用于将与其对应的源文件信息转换成汇编语言，得出第二汇编结果，将补丁文件信息和与其对应的源文件信息转换成汇编语言有利于对比模块精确识别与该补丁文件信息对应的漏洞。对比模块10122还用于对第一汇编结果和第二汇编结果进行对比并找出第一汇编结果和第二汇编结果的差异部分，对比模块10122的上述针对第一汇编结果和第二汇编结果的对比是汇编级别的对比，在对比操作的过程中，对比模块10122提取出两者中完全相同的函数、完全不同的函数和有差异的函数，对于其中有差异的函数，对比模块10122还用于判断该有差异的函数是否有误报，若是，则剔除误报，上述第一汇编结果和第二汇编结果的差异部分包括两者中完全不同的函数和有差异的函数。反编译模块10123用于对差异部分进行反编译并生成反编译结果，具体地，反编译模块用于将该差异部分反编译为高级语言，以为分析模块分析相应的漏洞提供根据。分析模块10124还用于根据反编译结果分析补丁文件信息的修复对象的漏洞并生成与漏洞对应的漏洞防护信息，具体地，分析模块10124用于根据安全策略分析该反编译结果，从而找出补丁文件信息对应的修复对象的漏洞，在找出该漏洞后，分析模块10124还用于生成与其对应的漏洞防护信息，该漏洞防护信息是根据安全策略来生成的，例如，该漏洞防护信息包括漏洞所处的位置，漏洞可能被非法利用的动作，等等，该漏洞防护信息可以表现为漏洞库的形式或者其它二进制代码的形式。
[0028]漏洞防护装置102包括查找模块1021和防护模块1022，查找模块1021与防护模块1022电性连接。查找模块1021用于根据漏洞防护信息查找漏洞，具体地，查找模块1021用于根据该漏洞防护信息在用户的计算机上查找与该漏洞防护信息对应的漏洞。防护模块1022用于根据漏洞防护信息对漏洞进行防护。
[0029]为了实现对漏洞进行防护，防护模块1022包括注入模块10221、监控模块10222和拦截模块10224。注入模块10221电性连接查找模块1021和监控模块10222，监控模块10222还与拦截模块10224电性连接。注入模块10221用于根据漏洞防护信息生成触发信息并向该漏洞注入触发信息，具体地，注入模块向该漏洞注入触发信息的方式可以为:对与该漏洞相关的文件进行加密，任何访问该文件的行为都必须携带正确的密钥，在此例子中，加密信息充当触发信息，对该文件的非正常解密行为为触发该漏洞的行为；在与该漏洞相关的文件所在的目录下添加链接文件，使得该链接文件链接该与漏洞相关的文件，并且设置链接文件和与该漏洞相关的文件的访问优先级，使得该链接文件的访问优先级高于该与漏洞相关的文件的访问优先级，在此例子中，链接文件充当触发信息，对该链接文件的访问行为为触发该漏洞的行为。监控模块10222用于根据触发信息监控是否出现触发漏洞的行为并生成监控结果，具体地，监控模块与该触发信息是否发出触发信号，从而对根据该触发信息所发出的触发信号对触发漏洞的行为进行监控。拦截模块10224用于在监控结果为出现触发漏洞的行为时对触发漏洞的行为进行拦截。
[0030]防护模块1022还包括提示模块10223。监控模块10222还与提示模块10223电性连接。提示模块10223用于在监控结果为出现触发漏洞的行为时向用户发出提示信息。
[0031]图6和图7为本发明的安全保护方法的流程图。
[0032]在步骤601至步骤606，漏洞识别装置101收集补丁文件信息并识别出与该补丁文件信息对应的修复对象的漏洞，以及根据该漏洞生成漏洞防护信息，具体地，漏洞识别装置101动态地搜寻软件开发商是否发布补丁文件信息，并在搜寻到补丁文件信息时收集该补丁文件信息和与该补丁文件信息对应的修复对应的源文件信息，以及分析该补丁文件信息和与其对应的修复对象的源文件信息，以及识别出其中与该补丁文件信息对应的漏洞并生成漏洞防护信息。
[0033]在步骤601，收集模块1011收集补丁文件信息，以及收集与该补丁文件信息对应的修复对象的源文件信息，具体地，收集模块1011动态地搜寻软件开发商是否发布补丁文件信息，并在搜寻到该补丁文件信息时收集(获取)该补丁文件信息，此外，收集模块1011还根据所收集的补丁文件信息收集(获取)与其对应的修复对象的源文件信息。这样，有利于在第一时间获知软件开发商发布了哪些补丁文件，为及时地识别出与其对应的漏洞并对该漏洞进行防护提供了技术性保障。
[0034]在步骤602至步骤606，检查模块1012根据补丁文件信息和源文件信息检查漏洞并生成漏洞防护信息，具体地，检查模块1012分析该补丁文件信息和源文件信息并识别出与该补丁文件对应的漏洞，并生成相应的漏洞防护信息。
[0035]在步骤602，汇编模块10121对补丁文件信息进行汇编并生成第一汇编结果，具体地，汇编模块10121将补丁文件信息转换成汇编语言，得出第一汇编结果，
[0036]在步骤603，汇编模块10121对源文件信息进行汇编并生成第二汇编结果，具体地，汇编模块10121将与其对应的源文件信息转换成汇编语言，得出第二汇编结果。
[0037]在上述步骤602和步骤603中，将补丁文件信息和与其对应的源文件信息转换成汇编语言有利于对比模块精确识别与该补丁文件信息对应的漏洞。
[0038]在步骤604，对比模块10122对第一汇编结果和第二汇编结果进行对比并找出第一汇编结果和第二汇编结果的差异部分，对比模块10122的上述针对第一汇编结果和第二汇编结果的对比是汇编级别的对比，在对比操作的过程中，对比模块10122提取出两者中完全相同的函数、完全不同的函数和有差异的函数，对于其中有差异的函数，对比模块10122判断该有差异的函数是否有误报，若是，则剔除误报，上述第一汇编结果和第二汇编结果的差异部分包括两者中完全不同的函数和有差异的函数。
[0039]在步骤605，反编译模块10123对差异部分进行反编译并生成反编译结果，具体地，反编译模块将该差异部分反编译为高级语言，以为分析模块分析相应的漏洞提供根据。
[0040]在步骤606，分析模块10124根据反编译结果分析补丁文件信息的修复对象的漏洞并生成与漏洞对应的漏洞防护信息，具体地，分析模块10124根据安全策略分析该反编译结果，从而找出补丁文件信息对应的修复对象的漏洞，在找出该漏洞后，分析模块10124生成与其对应的漏洞防护信息，该漏洞防护信息是根据安全策略来生成的，例如，该漏洞防护信息包括漏洞所处的位置，漏洞可能被非法利用的动作，等等，该漏洞防护信息可以表现为漏洞库的形式或者其它二进制代码的形式。
[0041]在步骤607至步骤611，漏洞防护装置102根据该漏洞防护信息对与补丁文件信息对应的修复对象的漏洞进行防护，具体地，漏洞防护装置102在接收到漏洞识别装置101发送的漏洞防护信息后根据该漏洞防护信息在修复对象中查找(扫描)与其对应的漏洞，以及在查找到该漏洞后向该漏洞注入触发信息并对该触发信息进行监控，以及在监控到该触发信息被触发时对触发该漏洞的行为进行拦截。
[0042]在步骤607，查找模块1021根据漏洞防护信息查找漏洞，具体地，查找模块1021根据该漏洞防护信息在用户的计算机上查找与该漏洞防护信息对应的漏洞。
[0043]在步骤608至步骤611，防护模块1022根据漏洞防护信息对漏洞进行防护。
[0044]具体地，在步骤608，注入模块10221根据漏洞防护信息生成触发信息并向该漏洞注入触发信息，具体地，注入模块向该漏洞注入触发信息的方式可以为:对与该漏洞相关的文件进行加密，任何访问该文件的行为都必须携带正确的密钥，在此例子中，加密信息充当触发信息，对该文件的非正常解密行为为触发该漏洞的行为；在与该漏洞相关的文件所在的目录下添加链接文件，使得该链接文件链接该与漏洞相关的文件，并且设置链接文件和与该漏洞相关的文件的访问优先级，使得该链接文件的访问优先级高于该与漏洞相关的文件的访问优先级，在此例子中，链接文件充当触发信息，对该链接文件的访问行为为触发该漏洞的行为。
[0045]在步骤609，监控模块10222根据触发信息监控是否出现触发漏洞的行为并生成监控结果，具体地，监控模块与该触发信息是否发出触发信号，从而对根据该触发信息所发出的触发信号对触发漏洞的行为进行监控。
[0046]在步骤610，拦截模块10224在监控结果为出现触发漏洞的行为时对触发漏洞的行为进行拦截。
[0047]在步骤611，提示模块10223在监控结果为出现触发漏洞的行为时向用户发出提
不?目息。
[0048]在本发明中，由于通过对补丁文件进行汇编级别的对比，因此本发明能够清楚地获知漏洞细节，同时，由于有针对性的对漏洞注入触发信息，从而对触发该漏洞的行为进行监控比对触发漏洞的行为进行拦截，因此本发明能够主动、及时地为用户的计算机提供给有效的保护，防止计算机中的病毒被非法利用。
[0049]综上所述，虽然本发明已以优选实施例揭露如上，但上述优选实施例并非用以限制本发明，本领域的普通技术人员，在不脱离本发明的精神和范围内，均可作各种更动与润饰，因此本发明的保护范围以权利要求界定的范围为准。
【权利要求】
1.一种安全保护系统，其特征在于，包括: 漏洞识别装置，用于收集补丁文件信息并识别出与所述补丁文件信息对应的修复对象的漏洞，以及用于根据所述漏洞生成漏洞防护信息；漏洞防护装置，用于根据所述漏洞防护信息对与所述补丁文件信息对应的修复对象的漏洞进行防护。
2.根据权利要求1所述的安全保护系统，其特征在于，所述漏洞识别装置包括: 收集模块，用于收集所述补丁文件信息，以及用于收集所述补丁文件信息的修复对象的源文件信息；检查模块，用于根据所述补丁文件信息和所述源文件信息检查所述漏洞并生成所述漏洞防护信息。
3.根据权利要求2所述的安全保护系统，其特征在于，所述检查模块包括: 对比模块，用于将所述补丁文件信息和所述源文件信息进行对比并找出所述补丁文件信息和所述源文件信息的不同点；分析模块，用于根据所述不同点分析所述补丁文件信息的修复对象的漏洞并生成与所述漏洞对应的所述漏洞防护信息。
4.根据权利要求3所述的安全保护系统，其特征在于，所述检查模块还包括: 汇编模块，用于对所述补丁文件信息进行汇编并生成第一汇编结果，以及用于对所述源文件信息进行汇编并生成第二汇编结果；所述对比模块还用于对所述第一汇编结果和所述第二汇编结果进行对比并找出所述第一汇编结果和所述第二汇编结果的差异部分；所述检查模块还包括: 反编译模块，用于对所述差异部分进行反编译并生成反编译结果；所述分析模块还用于根据所述反编译结果分析所述补丁文件信息的修复对象的漏洞并生成与所述漏洞对应的所述漏洞防护信息。
5.根据权利要求2所述的安全保护系统，其特征在于，所述漏洞防护装置包括: 查找模块，用于根据所述漏洞防护信息查找所述漏洞；防护模块，用于根据所述漏洞防护信息对所述漏洞进行防护。
6.根据权利要求5所述的安全保护系统，其特征在于，所述防护模块包括: 注入模块，用于根据所述漏洞防护信息向所述漏洞注入触发信息；监控模块，用于根据所述触发信息监控是否出现触发所述漏洞的行为并生成监控结果; 拦截模块，用于在所述监控结果为出现触发所述漏洞的行为时对触发所述漏洞的行为进行拦截。
7.根据权利要求6所述的安全保护系统，其特征在于，所述防护模块还包括: 提示模块，用于在所述监控结果为出现触发所述漏洞的行为时向用户发出提示信息。
8.一种安全保护方法，其特征在于，所述方法包括以下步骤: 收集补丁文件信息并识别出与所述补丁文件信息对应的修复对象的漏洞，以及根据所述漏洞生成漏洞防护信息；根据所述漏洞防护信息对与所述补丁文件信息对应的修复对象的漏洞进行防护。
9.根据权利要求8所述的安全保护方法，其特征在于，所述方法还包括以下步骤: 收集所述补丁文件信息，以及收集所述补丁文件信息的修复对象的源文件信息；根据所述补丁文件信息和所述源文件信息检查所述漏洞并生成所述漏洞防护信息。
10.根据权利要求9所述的安全保护方法，其特征在于，所述方法还包括以下步骤: 将所述补丁文件信息和所述源文件信息进行对比并找出所述补丁文件信息和所述源文件信息的不同点；根据所述不同点分析所述补丁文件信息的修复对象的漏洞并生成与所述漏洞对应的所述漏洞防护信息。
11.根据权利要求10所述的安全保护方法，其特征在于，所述方法还包括以下步骤: 对所述补丁文件信息进行汇编并生成第一汇编结果，以及对所述源文件信息进行汇编并生成第二汇编结果；对所述第一汇编结果和所述第二汇编结果进行对比并找出所述第一汇编结果和所述第二汇编结果的差异部分；对所述差异部分进行反编译并生成反编译结果；根据所述反编译结果分析所述补丁文件信息的修复对象的漏洞并生成与所述漏洞对应的所述漏洞防护信息。
12.根据权利要求9所述的安全保护方法，其特征在于，所述方法还包括以下步骤: 根据所述漏洞防护信息查找所述漏洞；根据所述漏洞防护信息对所述漏洞进行防护。
13.根据权利要求12所述的安全保护方法，其特征在于，所述方法还包括以下步骤: 根据所述漏洞防护信息向所述漏洞注入触发信息；根据所述触发信息监控是否出现触发所述漏洞的行为并生成监控结果；在所述监控结果为出现触发所述漏洞的行为时对触发所述漏洞的行为进行拦截。
14.根据权利要求13所述的安全保护方法，其特征在于，所述方法还包括以下步骤: 在所述监控结果为出现触发所述漏洞的行为时向用户发出提示信息。
【文档编号】G06F21/57GK103699844SQ201210367530
【公开日】2014年4月2日申请日期:2012年9月28日优先权日:2012年9月28日
【发明者】童磊申请人:腾讯科技（深圳）有限公司

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：童磊;
技术所有人：腾讯科技（深圳）有限公司;
我是此专利的发明人

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、李老师：1.计算力学 2.无损检测
2、毕老师：机构动力学与控制
3、袁老师：1.计算机视觉 2.无线网络及物联网
4、王老师：1.计算机网络安全 2.计算机仿真技术
5、王老师：1.网络安全；物联网安全、大数据安全 2.安全态势感知、舆情分析和控制 3.区块链及应用
如您是高校老师，可以点此联系我们加入专家库。