建立根据计算系统操作请求关联关系判断计算机操作请求安全性的计算机信息安全防护方法

摘要

本发明涉及一种建立根据计算系统操作请求关联关系判断计算机操作请求安全性的计算机信息安全防护方法。包含以下步骤：在计算运行状态下，对计算机操作系统内核或硬件抽象层产生的操作请求进行拦截；依据拦截到的操作请求的属性，在现有的关联结构已知某节点下创建虚拟节点，建立关联关系，构成一个虚拟关联结构；在虚拟关联结构中回溯虚拟节点的根节点，取得当前操作请求在虚拟关联结构中的关联规则；依据回溯取得的关联规则，与已定义的危险操作规则匹配，确定是否存在危害；依据与危险操作规则匹配结果决定当前操作是否允许执行，并更新关联结构。本发明克服了其它系统需要针对性分析恶意代码的特征和不同的操作系统以及不同应用系统的特征，具有事前防御未知恶意代码能力。

说明书

技术领域：

本发明涉及一种计算机系统安全的防护方法，更具体地说涉及一种建立根据计算系统操作请求关联关系判断计算机操作请求安全性的计算机信息安全防护方法。

背景技术：

由于计算机应用技术和网络通信技术的普及，由计算机应用和网络通信构成的信息平台已经成为人们工作、学习、购物等日常生活基础条件之一，人们在充分享受信息平台带来的系统化便利的同时，可能也没有人能幸免受到恶意代码的侵害。

目前常见的保护人们日常使用的信息安全平台的系统主要有“黑名单”类如：杀病毒类软件、防火墙类软件，“白名单”类如：防水墙类软件和主动防御类软件，以及非常见的有“可信”操作系统、“安全”操作系统以及“庇护类”安全系统。

上述的安全系统中，“黑名单”类系统应用相对广泛，而“白名单”类系统、“可信系统”以及“操作系统加固”类系统因其应用技术要求高而使其应用范围相对较小。

“黑名单”系统具体通过“查杀”来实现安全保障，实现方法：查系统问题、定位恶意代码侧面、分析恶意代码特征码、清除恶意代码等四个步骤。“查杀”系统必须具有以下的技术保障：①必须及时发现计算系统存在的问题；②必须能准确定位问题的产生原因；③必须准确分析恶意代码的特征；④必须完整清除恶意代码。但是实际上发现计算机所有存在的问题就十分困难，更无法保障其它步骤的准确性和完整性。因此，“查杀”系统是一种事后的补救措施，其并不保证操作系统的安全性，更不具备防范未知恶意代码的能力。

“白名单”类系统是确定哪些程序允许运行，哪些程序不允许运行，“白名单”系统的突出问题是因为无法保障允许执行程序在代码执行过程中加载和调用的正确性。也无法保证程序之间的关联加载和调用正确性。因此“白名单”系统在实际应用中难以推广。

“可信系统”和“庇护”类系统一般具有较强的抗恶意代码能力，从理论上说且具有抗未知恶意代码能力，但是“可信系统”和“庇护”类系统对应用者的要求极高，使用者不但要熟悉操作系统，而且要对应用系统十分熟悉，且能够对操作系统和应用系统进行相应的安全定义，并且需要使用者具有系统执行的跟踪和分析能力。因对应用者具有极高技术要求，因此此类系统只应用在高端应用领域。

发明内容：

本发明的目的是针对现有信息安全理论和信息安全技术不足而提供一种建立根据计算系统操作请求关联关系判断计算机操作请求安全性的计算机信息安全防护方法。

本发明的目的是通过以下措施来实现：一种建立根据计算系统操作请求关联关系判断计算机操作请求安全性的计算机信息安全防护方法，其特征在于，包含以下步骤：

步骤一，在计算运行状态下，对计算机操作系统内核或硬件抽象层产生的操作请求进行拦截；

步骤二，依据拦截到的操作请求的属性，在现有的关联结构已知某节点下创建虚拟节点，建立关联关系，构成一个虚拟关联结构；

步骤三，在虚拟关联结构中回溯虚拟节点的根节点，取得当前操作请求在虚拟关联结构中的关联规则；

步骤四，依据回溯取得的关联规则，与已定义的危险操作规则匹配，确定是否存在危害；

步骤五，依据与危险操作规则匹配结果决定当前操作是否允许执行，并更新关联结构。

所述步骤一拦截为利用操作系统内部的文件过滤、设备过滤、网络包过滤的过滤功能进行拦截。

所述步骤一拦截操作请求是指拦截计算机内部的文件操作请求、配置操作请求、内存操作请求、磁盘操作请求、网络操作请求。

所述步骤二的操作请求的属性为操作者请求发起者、被请求操作对象以及请求操作类型。

所述步骤二现有的关联结构定义为仅由操作系统内核、组件、服务发起的操作请求以及由直接用户发起的应用系统操作请求为根节点，由上述根节点发起的操作请求为子节点、子节点发起的请求为孙子节点的一种系统操作请求追溯结构。

所述步骤二的某节点是指在关联结构中与所拦截到的任意一个操作请求其属性中的操作请求发起者相匹配的节点。

所述步骤二的关联关系为指拦截到任意一个请求时，首先假设请求成立，根据拦截到的操作请求属性，在当前操作请求的发起者节点下虚拟一个子节点，当对一个已经存在的节点调用时，则建立一个虚拟子关联，使所有操作请求发起者与被请求的操作对象进行关联，得到虚拟关联节点。

所述步骤二虚拟关联结构为根据拦截到的当前操作请求属性中的请求发起者信息，在请求发起者节点下创建虚拟的子节点，该虚拟关联节点与现有的关联结构共同构成虚拟关联结构。

所述步骤三的根节点为通过已经建立的虚拟关联结构，从虚拟节点开始，回溯当前节点与上一级节点的关联关系，最终回溯至虚拟节点的最初发起者节点。

所述步骤三关联规则为当前操作请求的请求发起者、请求操作对象、请求操作类型、根节点类型、虚拟关联类型信息。

所述步骤四的已定义的危险操作规则含：文件危险操作请求规则、内存危险操作请求规则、磁盘危险操作请求规则、配置危险操作请求规则、网络危险操作请求规则。

所述步骤四匹配将当前操作请求虚拟节点回溯得到的关联操作规则与已定义的危险操作规则进行匹配，判断当前操作请求的操作规则是否落入危险操作规则范围中。

所述步骤五更新关联结构为：当匹配成功，当前操作请求不允许运行，并将计算机操作请求关联结构中虚拟的当前节点删除，保持原有的关联结构；当匹配不成功，则允许运行，并将计算机操作请求关联结构中当前操作请求虚拟节点改变为有效节点，更新为新关联结构。

与现有技术相比，由于采用了本发明提出的一种建立根据计算系统操作请求关联关系判断计算机操作请求安全性的计算机信息安全防护方法，改变了目前分析恶意代码特征或分析操作系统和应用系统特征的思路。本发明基于系统的任何操作首先都是系统内部的一个请求，而请求之间都存在着关联关系，本发明在建立关联关系的基础上，分析系统操作请求的特征，建立了请求之间关系的非法操作请求规则，通过分析操作请求的关联关系以确定请求的安全性。本发明克服了其它系统需要针对性分析恶意代码的特征和不同的操作系统以及不同应用系统的特征，不需要应用者具有相关的技术水平，且本发明具有事前防御能力，并具有防御未知恶意代码能力，也就是说已知和未知恶意代码的操作请求在本发明中都被分析和阻止，能较好地弥补其它安全理论体系和安全产品的不足。

具体实施方式：

术语定义：

操作请求：指计算机应用过程中对某一设备，如硬件、软件代码的进行加载、执行、变动的操作的请求；

应用请求：是指基于操作系统建立操作环境的需要或应用程序代码运行的需要而发起的请求；

操作请求关联结构：当计算运行时，计算机系统是由一个个操作请求产生的操作构建其运行状态，操作请求关联结构是指建立由操作请求为节点的反应当前时刻计算运行状态的逻辑结构；

危险操作请求规则：是指操作请求关联结构，违反了某种操作请求之间的关联关系操作请求即被定义为危险操作请求规则；

下面详细说明本发明的方法：其包含以下步骤：

步骤一，在计算机运行状态下，对计算机操作系统内核或硬件抽象层产生的操作请求进行拦截。所述拦截为利用操作系统内部的文件过滤、设备过滤、网络包过滤的过滤功能进行拦截。通常在计算机启动过程中，计算机进行加电自检、加载微内核、加载内核、加载操作系统部件、加载应用至此完成操作系统加载；在应用环境加载后，用户将根据需要进行相应的操作。在以上计算机操作系统加载和用户进行应用操作过程中，分别进行了硬件操作、配置操作、文件操作、内存操作以及网络通信检测操作。以上的每一个操作在执行前，都会在操作系统内核和硬件抽象层中产生一系列的操作请求，由这些操作请求请求操作相应的设备，相应的设备根据每个操作请求分配资源执行相应的步骤。在计算机操作系统如Windows、Linux、Unix中，提供了相应的文件过滤、设备过滤、网络包过滤等过滤功能，能实现对操作系统内核和硬件抽象层发起的文件操作请求、配置操作请求、内存操作请求、磁盘操作请求、网络操作请求进行拦截。所述拦截操作请求是指拦截计算机内部的文件操作请求、配置操作请求、内存操作请求、磁盘操作请求、网络操作请求。文件操作请求是主要是指对文件及文件内容的读、写、加载、修改属性、执行的操作请求；配置操作请求是指对系统配置的变量或运行参数进行读取、改写的操作请求；内存操作请求主要是指对内存的读、写、执行操作请求；磁盘操作请求主要是指对存储设备进行的非文件模式的存、取操作请求；网络操作请求主要是指通过网络发起的对本地文件、设备、内存等操作请求。

步骤二，依据拦截到的操作请求的属性，在现有的关联结构已知某节点下创建虚拟节点，建立关联关系，构成一个虚拟关联结构。所述的操作请求的属性为操作者请求发起者、被请求操作对象以及请求操作类型。所述现有的关联结构定义为仅由操作系统内核、组件、服务发起的操作请求以及由直接用户发起的应用系统操作请求为根节点，由上述根节点发起的操作请求为子节点、子节点发起的请求为孙子节点的一种系统操作请求追溯结构。所述步骤二的某节点是指在关联结构中与所拦截到的任意一个操作请求其属性中的操作请求发起者相匹配的节点。所述步骤二的创建虚拟节点是指拦截到任意一个请求时，首先假设请求成立，根据拦截到的操作请求属性，在当前操作请求的发起者节点下虚拟一个子节点，当对一个已经存在的节点调用时，则建立一个虚拟子关联，使所有操作请求发起者与被请求的操作对象进行关联，得到虚拟关联节点。所述步骤二的关联关系是指在操作请求关联结构中，以当前节点为基准，从当前节点开始，回溯当前节点与上一级节点的关联，直到回溯到当前节点的根节点所取得的当前节点与上级各节点的关联属性。所述步骤二虚拟关联结构为根据拦截到的当前操作请求属性中的请求发起者信息，在请求发起者节点下创建虚拟的子节点，该虚拟关联节点与现有的关联结构共同构成虚拟关联结构。因该节点还不是一个有效节点，即该节点不能反应当前计算机的操作状态，因此这种带有虚拟节点的结构称为虚拟关联结构。通过建立虚拟的关联结构，是为了建立当前的操作请求与已知的操作请求之间的内在联系。

步骤三，在虚拟关联结构中回溯虚拟节点的根节点，取得当前操作请求在虚拟关联结构中的关联规则。所述步骤三的根节点为通过已经建立的虚拟关联结构，从虚拟节点开始，回溯当前节点与上一级节点的关联关系，最终回溯至虚拟节点的最初发起者。所述步骤三关联规则为当前操作请求的请求发起者、请求操作对象、请求操作类型、根节点类型、虚拟关联类型信息。在虚拟的关联结构中回溯虚拟节点与各相关节点的关联关系就是为了准确地定位当前的操作请求是如何引发和产生的，在产生当前操作的各个步骤都存在什么的关联特征，直到追溯到当前操作的根节点，也就是当前操作请求是由操作系统应用层的何种应用请求引发，至此，当前节点与各节点的关联特征就组成了当前操作请求的关联规则。由上可知，操作请求的关联规则的取得，是在反应计算机动态运行状态的关联结构中获取，因此是一个动态过程，克服了其它安全系统依赖的静态的代码分析和系统功能分析存在的不足。

步骤四，依据回溯取得的关联规则，与已定义的危险操作规则匹配，确定是否存在危害。所述步骤四的已定义的危险操作规则含：文件危险操作请求规则、内存危险操作请求规则、磁盘危险操作请求规则、配置危险操作请求规则、网络危险操作请求规则。所述文件危险操作请求规则是指对计算机系内的文件及文件内容发起的读、写、加载、修改属性、执行的操作请求过程中，存在具有安全威胁的关联规则定义，例如由普通非安装类应用程序发起的可执行程序的写和属性修改；解释器类程序通过解释脚本程序进行非可解释类程序的读、写操作。所述内存危险操作请求规则主要是指发起的对内存的读、写、执行操作请求过程中含有安全威胁操作规则定义；例如操作非同一内存地址空间的请求，向某一内存空间注入代码等危险操作。配置危险操作请求规则是指对系统配置的变量或运行参数发起的读取、改写过程中具有安全威胁的操作规则，例如由应用程序对配置文件进行修正、应用程序进行配置参数的修改。网络危险操作请求规则指通过网络发起的对本地文件、设备、内存等操作请求中具有安全威胁的操作规则，例如请求进行内存地址操作、请求加载新的线程等危险操作。磁盘操作请求规则主要是指从网络发起的对存储设备进行的非文件模式的存、取操作请求中具有威胁的操作规则，例如请求非文件系统操作模式操作磁盘，请求指定存储块操作等危险操作。当前计算机系统安全威胁从攻击方向上来说，可以分为外部入侵和内部控制，这些攻击的完成主要是依赖系统漏洞对系统功能非法调用、植入恶意代码。事实上，分析系统漏洞和找出所有的未代码是不可能的。本步骤定义这些规则是为了避免进行恶意代码分析和进行系统功能定义，所有的危害实现，都是要利用已有的计算机系统环境，改变操作请求的某些关联，加入攻击者需要的请求，面这些请求的加入都是利用操作系统的内核和硬件设备层实现。传统和代码分析、行为分析几乎难以阻止大量的危害发生。因为最初的安全威胁就是因为操作请求发生了关联规则的改变，本发明通过对操作请求关联进行规则定义，使安全威胁难以形成，同时也具有了危害预防能力和防范未知恶意代码能力。所述匹配将当前操作请求虚拟节点回溯得到的关联操作规则与已定义的危险操作规则进行匹配，判断当前操作请求的操作规则是否落入危险操作规则范围中。当取得当前操作请求的操作关联规则后，与已定义的相应的如文件、内存、配置、存储设备、网络危险操作请求规则匹配，以确定当前的操作请求是否具有危险性。

步骤五，依据与危险操作规则匹配结果决定当前操作是否允许执行，并更新关联结构。所述步骤五更关联结构为操作请求规则匹配成功：阻止当前操作请求执行，并将计算机操作请求关联结构中虚拟的当前节点删除，保持原有的关联结构；当操作请求规则匹配不成功：则允许当前操作执行，并将计算机操作请求虚拟关联结构中当前操作请求的虚拟节点改变更为有效节点，形成新的关联结构。本步骤根据匹配结果，对当前的操作请求进行放行和阻止处理，完成了对操作请求的有效拦截，同时更新计算机操作请求的关联结构，使计算机操作请求关联结构始终能准确反应计算机的当前运行状态，为后续虚拟节点提供结构。

下面例举实施例进一步说明：

例1：假设某Office文档带有恶意脚代码，该脚本代码可感染可执行程序，阻止逻辑如下：

当操作系统的内核拦截到一个对可执行文件内容的写操作请求时，根据操作请求属性中的请求发起者属性项可知，该请求是由VBA脚本引擎所发出，为了找到当前操作请求的关联关系，在已知的计算机操作请求的关联结构的VBA脚本引擎节点下创建当前操作的虚拟节点，并回溯当前操作的关联关系，回溯最终结果发现是打开某个Office文档这个请求引发了当前的操作请求，取当前的操作规则，Office是普通应用程序、由用户触发请求、Office请求VBA脚引擎是正常调用，当前操作对是PE文件，操作类型是写操作，匹配到是：普通非安装类应用程序进行可执行文件内容的写操作规则；结果是危险动作：阻止此操作请求，删除计算机操作请求结构中的虚拟节点。

例2.：假设系统允许黑客程序运行，黑客通过硬地址直接调用某个系统的操作

当拦截到一个对内存的操作请求空间硬地址操作请求，根据操作请求属性，构建虚拟节点，确定为操作系统内核发起请求，回溯其关联关系，发现内核的内存硬地址操作被应用程序调用；将当前内存操作请求的请求关联规则与已经定义的内存危险操作请求关联规则进行匹配，匹配成功：1.未进行内存请求调用的操作是危险操作；2.远程对内存进行硬地址操作危险；结果：危险操作请求。阻止内存操作，删除计算机操作请求结构中的虚拟节点。