專利名稱:計算機信息安全的方法
技術領域:
本發(fā)明涉及一種信息安全技術����,特別是計算機信息安全的方法。
技術背景現(xiàn)有的計算機安全產品門類繁多���,但從設計方案上來說����,大致分三類殺毒軟件、 防火墻和安全漏洞評估及安全服務���。殺毒軟件主要防范和清除客戶機器硬盤上的病 毒�、木馬���、蠕蟲文件和被感染的系統(tǒng)設置�,恢復原始無毒狀態(tài)����;防火墻主要通過設置 網(wǎng)絡數(shù)據(jù)包過濾規(guī)則,過濾和阻斷網(wǎng)絡上不符合預先設定的規(guī)則的數(shù)據(jù)包����,在網(wǎng)絡上 實現(xiàn)了一個用戶可配置的過濾開關。安全漏洞評估及安全服務是通過人工的經驗和知 識對某個安全對象(網(wǎng)絡或者單機)進行安全評估�,提出安全報告,打補丁等�����。這三 種方式分別從不同的側面對可能或業(yè)已對用戶造成的安全危害進行檢査,清除和防 范����,具有各自的作用和價值。但是�,從用戶的整體安全出發(fā)來考慮,它們都是比較片 面的��、短效的和事后的���,不足以給用戶營造一個放心的�,穩(wěn)定的安全環(huán)境��。這是因為其一�、殺毒軟件的設計出發(fā)點是認為,安全的威脅來自文件�����,故以文件為殺毒的 對象����。它的實際方案是對文件的病毒檢查和"手術式"的殺毒���。其局限有三點一����、 殺毒軟件是針對具體的病毒,它識別病毒的前提是先"認識"病毒��,必須事前詳細知 道具體病毒樣本��,以便提取特征碼和構造的殺毒方法����。但對于未能識別的病毒,則是 "大門敞開"���,"聽之任之"�����;二是它只是著眼于文件����,著眼于具體的病毒����,沒有對當 前的網(wǎng)絡狀態(tài)和系統(tǒng)狀態(tài)歷史進行歷史的和全局的智能分析��。這就使得病毒查殺總是 滯后于病毒的出現(xiàn)��,必須以用戶受到病毒攻擊為代價����;三是殺毒軟件的"性能"很大 程度上取決于病毒樣本收集的齊全和及時程度����,以及用戶升級的及時程度。實際上這 是很難得到保證的��,結果是殺毒軟件的實際作用大打折扣�����。其二�����、防火墻的性能比較片面����,主要是對網(wǎng)絡包進行基于規(guī)則的過濾�,以便阻斷 不合規(guī)則的網(wǎng)絡傳輸���,這固然可以防止某些"已知"的網(wǎng)絡行為,但從整個用戶的安 全出發(fā)��,顯然是不夠的�,用戶機器上實際上若有什么危害程序,它則鞭長莫及了��。其三���、安全漏洞評估及安全服務是一種"人工"行為����,形同人體的"體檢"���,充 其量算是一種"抽査式"的手法罷了�,根本不能嚴密地防范實際安全危害��。由于存在上述缺陷���,近年來許多廠商宣稱開發(fā)了 "主動防御"系統(tǒng)(或稱"行為 分析"等��,名稱很多���,但思想基本相同��,以下統(tǒng)稱為"主動防御")�,他們在一定程度 上���,能夠根據(jù)病毒或其它攻擊代碼的某些行為特征識別它們�,并立即進行阻止��,刪除 文件等操作�。這種方式的安全產品看似完美無缺,其實同樣存在不少問題�����。首先是識別的準確性問題�。由于"主動防御"設計思想上仍然是通過在病毒運行 初期就識別和處理,沒有進行事后的恢復和清除�����,這就要求"主動防御"軟件必須在 病毒等惡意代碼的運行不久就識別出來并處理����,無法根據(jù)充分的證據(jù)來從容地判斷�, 所以它必須僅僅就"蛛絲馬跡"得出結論����,這就不可避免地存在著較大程度的誤報���。其次是識別的完備性問題��。同樣由于"主動防御"設計思想上仍然是"御敵于國 門之外"�����,它的"取證"來不及等到完整和充分��,這也使得它的"分析"因缺足夠的 "證據(jù)"而有失完整�,必然帶來一定的漏報����、處理不全面、刪除不徹底等完整性問題���。其次是識別效率問題�����。根據(jù)"主動防御御敵于國門之外"的設計思想�����,"漏網(wǎng)之 魚"不再處理�,因此漏報是致命的。為盡量避免漏報�,它就必須進行"密集分析"(反 復進行頻繁的"分析"),這顯然無法避免的帶來系統(tǒng)效率的開銷���。最后是用戶的安全性問題�����。前面已經分析了����,根據(jù)"主動防御御敵于國門之外" 的設計思想����,"漏網(wǎng)之魚"會自由行動,這無疑帶來用戶的安全隱患��。 發(fā)明內容本發(fā)明的第一個目的是提供一種不需要事前詳細知道具體病毒樣本的計算機信 息安全的方法。本發(fā)明的第二個目的是提供一種安全性好��、識別效率以及準確性高的計算機信息 安全的方法����。本發(fā)明的第三個目的是提供一種確保用戶指定的文件不會被非法訪問的方法。 本發(fā)明的技術方案是設計一種計算機信息安全的方法����,其特征是它至少包括如 下步驟1) 對系統(tǒng)進行日志記錄�����;2) 判斷程序行為是否涉及到被保護文件��,若是被保護文件��,則根據(jù)保護規(guī)則禁止 運行或限制運行��,若不是被保護文件則檢測是否有試圖修改系統(tǒng)安全的敏感文件���;3) 沒有試圖修改系統(tǒng)安全的敏感文件���,繼續(xù)運行第2)條�;4) 如果有試圖修改系統(tǒng)安全的敏感文件����,啟動自動備份原始文件,進行第5)條 的操作���,如果沒有試圖修改系統(tǒng)安全的敏感文件�,重新返回第2)條�;5) 允許修改系統(tǒng)安全的敏感文件;6) 通過第l)條建立的運行日志記錄分析識別惡意程序����;7) 是惡意程序,刪除惡意程序����,進行第8)條的操作,不是惡意程序重新返回第 2)條����;8) 根據(jù)該惡意程序的運行軌跡進行恢復被該惡意程序修改的文件和注冊表的內 容等,使系統(tǒng)恢復到該惡意程序(及其相關惡意程序)運行前的狀態(tài)�����,從而維護系統(tǒng) 的正常運行;9) 返回第2)條�。所述的被保護文件是指用戶事先指定的文件,指定的文件只能在指定的時間段內 被指定的程序以指定的權限和指定的用戶身份以及指定的密碼訪問����,從而確保用戶指 定的文件不會被非法訪問。所述的對系統(tǒng)進行日志記錄至少包括進程日志�、網(wǎng)絡活動日志、注冊表變更日志 (Unix/Linux下無)��、文件變更和生成日志等����。所述的通過運行日志記錄分析識別惡意程序包括-1)定時觸發(fā)分析和敏感事件觸發(fā)分析�����;所述的敏感事件是指對系統(tǒng)安全可能造成危害的修改注冊表����,修改啟動項入口,啟動shell,增加或刪除文件事件�����。2)分析算法是基于時間順序分析和進程序列分析,用于實現(xiàn)對各種危害的識別和 危害過程的完整描述����,作為后繼恢復的基礎。所述的自動備份原始文件方式是把待修改的文件或注冊表內容進行適當變形后 保存�����,同時記下引起備份的進程����、時間、原始文件路徑和時間等��,并進行備份大小控 制���,防止過度備份引起硬盤的緊張���,乃至系統(tǒng)的崩潰。所述的文件恢復包括覆蓋原始文件或注冊表����,使系統(tǒng)還原為原始狀態(tài)。本發(fā)明的優(yōu)點是本發(fā)明采用的是在完整的描述系統(tǒng)運行軌跡基礎上的分析、恢 復和清除策略��,能夠有效保障用戶的安全�。具體說來,就是在保障用戶的機密信息 不泄密�����、無篡改的基礎上���,對病毒����、木馬等所有惡意代碼的運行軌跡進行詳細而完備 的監(jiān)控和記錄�,并根據(jù)這些記錄進行智能分析, 一旦分析發(fā)現(xiàn)病毒等程序����,就根據(jù)它 的運行軌跡進行恢復(即刪除它所安裝的文件�,恢復它修改的注冊表和文件,使系統(tǒng) 恢復到病毒運行前的狀態(tài))�����,從而保障用戶的安全����。因此本發(fā)明不需要事前詳細知道 具體病毒樣本就能對計算機運行的非法程序進行分析和處理��。其次���,由于采用"事前 自動備份、事后自動恢復"的方法���,對非法程序進行詳細全面地分析處理���,使計算機 安全性好、識別效率以及準確性高��。本發(fā)明的優(yōu)點可通過下面具體的流程圖說明更深的了解
圖1是本發(fā)明實施例主流程��;圖2是文件規(guī)則處理流程�;圖3是分析的觸發(fā)流程;圖4是檢測是否有修改敏感文件的行為流程���; 圖5是文件限定設置流程�; 圖6是日志系統(tǒng)流程圖�����; 圖7是恢復系統(tǒng)流程圖; 圖8是啟動分析系統(tǒng)流程圖�����; 圖9是敏感事件分析圖���; 圖10是分析系統(tǒng)邏輯流程圖��。
具體實施方式
本發(fā)明實施例主流程如圖l所示����,它至少包括如下步驟步驟IOI��,對系統(tǒng)進行 日志記錄�����;步驟102�,檢測是否有試圖修改系統(tǒng)安全的敏感文件;如果沒有繼續(xù)執(zhí)行 步驟102;如果有�,執(zhí)行步驟103�,啟動自動備份原始文件;接著執(zhí)行步驟104,允許 修改系統(tǒng)安全的敏感文件�����;執(zhí)行步驟105���,通過步驟101建立的運行日志記錄分析識 別惡意程序����;如果是�,執(zhí)行步驟106,刪除非法程序�����;接著完成步驟107�����,根據(jù)該非 法程序的運行軌跡進行恢復被該惡意程序修改的文件和注冊表的內容等�����,使系統(tǒng)恢復 到該惡意程序(及其相關惡意程序)運行前的狀態(tài)�����,從而維護系統(tǒng)的正常運行;然后 由步驟108重新返回步驟102���,重新檢測是否有試圖修改系統(tǒng)安全的敏感文件����。如果不是�����,也重新返回步驟102���,重新檢測是否有試圖修改系統(tǒng)安全的敏感文件�。通過主流程不難發(fā)現(xiàn)����,本發(fā)明采用的是在完整的描述系統(tǒng)運行軌跡基礎上的分析、恢復和清除策略�,有效保障用戶的安全。具體說來����,就是在保障用戶的機密信息不泄密����、無 篡改的基礎上����,對病毒�、木馬等所有惡意代碼的運行軌跡進行詳細而完備的監(jiān)控和記 錄,并根據(jù)這些記錄進行智能分析���, 一旦分析發(fā)現(xiàn)病毒等程序���,就根據(jù)它的運行軌跡 進行恢復(即刪除它所安裝的文件,恢復它修改的注冊表和文件��,使系統(tǒng)恢復到病毒 運行前的狀態(tài))���,從而保障用戶的安全�。圖2是文件規(guī)則處理流程的各步驟說明���。它至少包括步驟200���,打開文件�;然后 進入步驟201,判斷步驟200打開的文件是否屬于限定保護文件�;如不是,轉到208 條��,調用操作系統(tǒng)的打開文件函數(shù)��;如果是則進行步驟202��,讀取系統(tǒng)當前時間�����、 用戶身份�����、訪問權限�����、訪問者全路徑��、訪問密碼等����;當步驟202執(zhí)行完后�����,接著執(zhí)行 步驟203���、步驟204�,讀取上述文件的訪問規(guī)則,并從第一條開始判斷�����;如果訪問時 間���、權限��、密碼����、訪問者���、均符合這條訪問規(guī)則����,轉到步驟208,調用操作系統(tǒng)的打 開文件函數(shù)�����;如果不符合接著執(zhí)行下面步驟205���,是否有其它規(guī)則存在����,如果有���, 執(zhí)行步驟206���,讀取下一條文件規(guī)則;如果沒有�,轉到步驟207,拒絕本次文件操作�����, 返回至系統(tǒng)打開文件前的狀態(tài)��。如圖3是分析的觸發(fā)流程。步驟301內核監(jiān)測到敏感事件發(fā)生時����,步驟302紀錄 發(fā)生該事件的進程PID、發(fā)生時間等信息�,步驟303通過對上層事件觸發(fā)針對該進程 進行一次分析,步驟304根據(jù)分析結論進行處理�����。如圖4是檢測是否有修改敏感文件行為的流程的各步驟說明��。它包括步驟401��, 根據(jù)內核通知的PID啟動分析程序����,步驟402判斷該文件是否自啟動文件���,如果不是��, 則進入步驟407���,認為它不是危險進程,可放行;否則����,則進入步驟403,判斷其是 否可見����,若可見,則進入步驟407;否則進入步驟404�,判斷它是否具有網(wǎng)絡動作, 沒有�,則進入步驟407,放行�����,否則進入下一步判斷��;步驟405判斷是否具有其他危 險動作���,是���,進入步驟406判斷其是危險文件產生的進程,進行恢復處理�����。否則進入 步驟407繼續(xù)監(jiān)控。敏感事件是指對系統(tǒng)安全可能造成危害的事件����,如修改注冊表,修改啟動項入口���, 啟動shell��,增加或刪除文件等���。分析算法是基于時間順序分析和進程序列分析,目的在于實現(xiàn)對各種危害的識別 和危害過程的完整描述����,作為后繼恢復的基礎�����。對前述日志系統(tǒng)的智能分析(簡稱"分析系統(tǒng)"��,下同)�����,可識別和描述多種類別 的計算機病毒、木馬和黑客攻擊等各種惡意代碼的發(fā)生���、傳播和危害軌跡�,危害內容 和危害結果���。分析系統(tǒng)的實現(xiàn)方式包括圖8給出的定時觸發(fā)和圖9給出的敏感事件觸 發(fā)兩種���;兩種觸發(fā)的流程步驟是相同的。如圖5所示給出了是文件限定設置流程���,它包括步驟501����,在輸出設備(顯示器) 界面下用戶通過界面方便地由輸入設備(鍵盤或鼠標)選擇自己需要限定的文件�,限 定選項包括指定訪問進程,訪問時間��,訪問權限�,訪問密碼,訪問用戶的身份等��。一個文件可以全部選擇也可分項選擇。步驟第502條是加載內核驅動程序�,將用戶的限 定需求加載到內核中。步驟第503是在內核中監(jiān)控并攔截文件系統(tǒng)的打開文件操作�����。 步驟第504進入文件規(guī)則處理流程�。文件限定設置流程實際上是確定保護文件的操作。被保護文件只能在指定的時間 段內被指定的程序以指定的權限和指定的用戶身份以及指定的密碼訪問����,從而確保用 戶指定的文件不會被非法訪問。圖6是日志記錄的一個流程步驟�����,進入日志記錄開始的步驟601后����,依次進行步 驟602的攔截內核文件操作�����、步驟603的攔截內核注冊表操作����、步驟604的攔截內核 網(wǎng)絡操作�、步驟605的攔截內核進程啟動操作�,隨后通過步驟606檢測上述操作是否 發(fā)生,沒有重新操作步驟606檢測上述操作是否發(fā)生��,有進行步驟607��,生成相關曰 志記錄���,再由步驟606進入步驟608將日志匯入到數(shù)據(jù)庫����。系統(tǒng)迸程的運行日志系統(tǒng) 實際上包括四大日志l)進程啟動日志���;2)網(wǎng)絡活動日志�;3)注冊表變更日志 (Unix/Linux下無)���;4)文件變更和生成日志��。從圖6可以看出日志系統(tǒng)是一個反復 循環(huán)的獨立運行系統(tǒng)��,它的任務是詳細的記錄系統(tǒng)的運行日志���,并寫入日志數(shù)據(jù)庫中��。圖7是恢復系統(tǒng)具體流程步驟�,包括一個開始步驟700;隨后順序完成以下步驟-步驟701���,完成從日志庫中査出非法程序的所有子程序�����;步驟702�����,清除非法進程�; 步驟703�,備份非法程序,以便必要時恢復�;步驟704,清除非法程序;步驟705�,清 除非法程序生成的文件;步驟706����,從備份中査出非法程序修改過的文件原始備份; 步驟707����,恢復原始文件;步驟708����,恢復非法程序修改的注冊表鍵值;步驟709�����,記 入恢復事件日志�����;最后從步驟710退出���。當分析出危害發(fā)生時�,不僅從源頭上完整地清除危害代碼���,而且根據(jù)它的危害軌跡和危害內容���,自動實現(xiàn)智能恢復�,以便恢復到危害發(fā)生前的狀態(tài)��;具體實現(xiàn)方式就 是將恢復的內容還原�����,覆蓋原始文件或注冊表���,使系統(tǒng)還原為原始狀態(tài)����,恢復系統(tǒng)需 要考慮和遵守合理的順序��;保證恢復的有序和順利���。針對危害可能造成的破壞��,在破壞發(fā)生前����,自動進行緊急備份�����,如改寫文件、注 冊表和其他系統(tǒng)重要參數(shù)前的自動備份�����;以便保證在事后可以智能恢復���;具體實現(xiàn)方 式是通過驅動掛接內核文件驅動和注冊表驅動等,對修改可執(zhí)行文件�、修改注冊表 等進行修改前備份。備份方式是把待修改的文件或注冊表內容進行適當變形后保存����, 同時記下引起備份的進程、時間���、原始文件路徑和時間等�����,并進行備份大小控制��,防 止過度備份引起硬盤的緊張����,乃至系統(tǒng)的崩潰。下面分別說明圖8的定時觸發(fā)和圖9給出的敏感事件觸發(fā)���。如圖8所示��,定時觸發(fā)流程從步驟800開始���,進入步驟801,進行設置定時器�����; 然后執(zhí)行步驟802,檢測定時時間到否����;沒到,繼續(xù)進行步驟802;至ij���,執(zhí)行步驟803��, 分析當前所有進程日志�����;再進入步驟804,檢測是否有非法程序�;如果沒有,重新返 回到步驟802;如有執(zhí)行步驟805��,進行恢復處理�����。圖9是敏感事件觸發(fā)流程�����,與圖8相同��,它從步驟900開始�����,進入步驟901,進 行設置敏感事件���;然后執(zhí)行步驟902,檢測敏感事件是否發(fā)生�;沒有發(fā)生,繼續(xù)進行步驟902;發(fā)生��,執(zhí)行步驟903,分析當前所有進程日志����;再進入步驟904,檢測是否 有非法程序����;如果沒有,重新返回到步驟902;如有執(zhí)行步驟905�,進行恢復處理。通過建立的運行日志記錄分析識別惡意程序的算法是基于時間順序分析和進程序列分析���,圖IO給出進程分析的流程�。首先進入該流程步驟AOO��,然后執(zhí)行步驟AOl�����, 打開日志數(shù)據(jù)庫�����;隨后通過步驟A02����,査詢出所有進程日志���,放入緩存中,接著執(zhí)行 步驟A03�����,先取出一個進程����;通過步驟A04�����,判定此進程是否是自動啟動�;如果不是, 重新執(zhí)行步驟A03;如果是�,通過步驟A05,判定進程是否有危險動作(危險動作包 括修改注冊表�����,修改啟動項入口����,啟動shell,增加或刪除文件等)���;如果沒有,重新 執(zhí)行步驟A03;如果有����,通過步驟A06將該進程進行恢復處理,包括殺死惡意進程(以 及該進程家族)���,恢復被它們修改的文件和注冊表等����。由于計算機信息安全的方法���,它至少包括如下步驟l)對系統(tǒng)進行日志記錄�;2)判斷程序行為是否涉及到被保護文件����,若是被保護文 件,則根據(jù)保護規(guī)則禁止運行或限制運行�,若不是被保護文件則檢測是否有試圖修改 系統(tǒng)安全的敏感文件;3)沒有試圖修改系統(tǒng)安全的敏感文件��,繼續(xù)運行第2)條;4)如果有試圖修改系統(tǒng)安全的敏感文件��,啟動自動備份原始文件�,進行第5)條 的操作,如果沒有試圖修改系統(tǒng)安全的敏感文件��,重新返回第2)條�;5)允許修改系 統(tǒng)安全的敏感文件;6)通過第l)條建立的運行日志記錄分析識別惡意程序�;7)是非 法程序,刪除非法程序��,進行第8)條的操作��,不是非法程序重新返回第2)條��;8) 根據(jù)該非法程序的運行軌跡進行恢復被該惡意程序修改的文件和注冊表的內容等�,使 系統(tǒng)恢復到該惡意程序(及其相關惡意程序)運行前的狀態(tài)����,從而維護系統(tǒng)的正常運 行;9)返回第2)條�。而且被保護文件是指根據(jù)用戶事先的指定的文件,指定的文件 只能在指定的時間段內被指定的程序以指定的權限和指定的用戶身份以及指定的密 碼訪問����;從而確保用戶指定的文件不會被非法訪問�。所述的對系統(tǒng)進行日志記錄至少 包括進程日志����、網(wǎng)絡活動日志、注冊表變更日志(Unix/Linux下無)�、文件變更和生 成日志等。所述的通過運行日志記錄分析識別惡意程序包括l)定時觸發(fā)分析和敏感 事件觸發(fā)分析�����;所述的敏感事件是指對系統(tǒng)安全可能造成危害的修改注冊表����,修改啟 動項入口,啟動shell,增加或刪除文件事件�����;2)分析算法是基于時間順序分析和進 程序列分析���,用于實現(xiàn)對各種危害的識別和危害過程的完整描述��,作為后繼恢復的基 礎��。所述的自動備份原始文件方式是把待修改的文件或注冊表內容進行適當變形后保 存���,同時記下引起備份的進程���,時間,原始文件路徑和時間等��,并進行備份大小控制�����, 防止過度備份引起硬盤的緊張����,乃至系統(tǒng)的崩潰。所述的文件恢復包括覆蓋原始文件 或注冊表�,使系統(tǒng)還原為原始狀態(tài)。綜上所述本發(fā)明是一種不需要事前詳細知道具體 病毒樣本的計算機信息安全的方法�。而且它具有安全性好����、識別效率以及準確性高的 特點,它能確保用戶指定的文件不會被非法訪問�����。
權利要求
1. 計算機信息安全的方法,其特征是��,它至少包括如下步驟1)對系統(tǒng)進行日志記錄�����;2)判斷程序行為是否涉及到被保護文件����,若是被保護文件,則根據(jù)保護規(guī)則禁止運行或限制運行�����,若不是被保護文件則檢測是否有試圖修改系統(tǒng)安全的敏感文件�;3)沒有試圖修改系統(tǒng)安全的敏感文件,繼續(xù)運行第2)條�����;4)如果有試圖修改系統(tǒng)安全的敏感文件�����,啟動自動備份原始文件,進行第5)條的操作�,如果沒有試圖修改系統(tǒng)安全的敏感文件,重新返回第2)條��;5)允許修改系統(tǒng)安全的敏感文件��;6)通過第1)條建立的運行日志記錄分析識別惡意程序���;7)是非法程序��,刪除非法程序��,進行第8)條的操作�����,不是非法程序重新返回第2)條���;8)根據(jù)該非法程序的運行軌跡進行恢復被該惡意程序修改的文件和注冊表的內容等,使系統(tǒng)恢復到該惡意程序(及其相關惡意程序)運行前的狀態(tài)���,從而維護系統(tǒng)的正常運行���;9)返回第2)條。
2����、 根據(jù)權利要求1所述的計算機信息安全的方法,其特征是所述的被保護文 件是指根據(jù)用戶事先的指定的文件�,指定的文件只能在指定的時間段內被指定的程序 以指定的權限和指定的用戶身份以及指定的密碼訪問;從而確保用戶指定的文件不會 被非法訪問��。
3�����、 根據(jù)權利要求1所述的計算機信息安全的方法�,其特征是所述的對系統(tǒng)進 行日志記錄至少包括進程日志、網(wǎng)絡活動日志�����、注冊表變更日志(Unix/Linux下無)���、 文件變更和生成日志等�。
4����、 根據(jù)權利要求1所述的計算機信息安全的方法�����,其特征是所述的通過運行 日志記錄分析識別惡意程序包括1) 定時觸發(fā)分析和敏感事件觸發(fā)分析�����;所述的敏感事件是指對系統(tǒng)安全可能造成 危害的修改注冊表��,修改啟動項入口�����,啟動shell,增加或刪除文件事件����;2) 分析算法是基于時間順序分析和進程序列分析����,用于實現(xiàn)對各種危害的識別和 危害過程的完整描述,作為后繼恢復的基礎��。
5��、 根據(jù)權利要求1所述的計算機信息安全的方法,其特征是所述的自動備份 原始文件方式是把待修改的文件或注冊表內容進行適當變形后保存�,同時記下引起備 份的進程,時間���,原始文件路徑和時間等,并進行備份大小控制�����,防止過度備份引起 硬盤的緊張��,乃至系統(tǒng)的崩潰���。
6���、 根據(jù)權利要求1所述的計算機信息安全的方法,其特征是所述的文件恢復 包括覆蓋原始文件或注冊表�,使系統(tǒng)還原為原始狀態(tài)。
全文摘要
本發(fā)明涉及一種計算機信息安全的方法���,包括步驟1)對系統(tǒng)進行日志記錄�����;2)判斷程序行為是否涉及到被保護文件�,若是被保護文件,則根據(jù)保護規(guī)則禁止運行或限制運行�,若不是被保護文件則檢測是否有試圖修改系統(tǒng)安全的敏感文件;3)沒有試圖修改系統(tǒng)安全的敏感文件�����,繼續(xù)運行第2)條���;4)如果有試圖修改系統(tǒng)安全的敏感文件�,啟動自動備份原始文件�����,進行第5)條的操作���,如果沒有試圖修改系統(tǒng)安全的敏感文件����,重新返回第2)條���;5)允許修改系統(tǒng)安全的敏感文件6)通過第1)條建立的運行日志記錄分析識別惡意程序����;7)是非法程序,刪除非法程序�����,進行第8)條的操作���,不是非法程序重新返回第2)條;8)根據(jù)該非法程序的運行軌跡進行恢復�。
文檔編號G06F11/14GK101231682SQ20071001731
公開日2008年7月30日 申請日期2007年1月26日 優(yōu)先權日2007年1月26日
發(fā)明者李貴林 申請人:李貴林