專利名稱:基于統(tǒng)一可擴(kuò)展固定接口的惡意代碼防范方法
技術(shù)領(lǐng)域:
本發(fā)明涉及的是一種互聯(lián)網(wǎng)信息安全技術(shù)領(lǐng)域的方法���,具體是一種基于統(tǒng)一可 擴(kuò)展固定接口(UEFI)的惡意代碼防范方法。
背景技術(shù):
隨著網(wǎng)絡(luò)應(yīng)用和電子商務(wù)的不斷發(fā)展�,計(jì)算機(jī)系統(tǒng)的安全問題日益突出?�,F(xiàn)有 的計(jì)算機(jī)系統(tǒng)及其安全防護(hù)手段顯然不能滿足應(yīng)用對(duì)安全的需求�����,人們開始從計(jì)算機(jī)體 系結(jié)構(gòu)上探尋全面徹底的安全解決方案��。TCG (Trusted Computing Group,可信計(jì)算組織) 擬定的可信平臺(tái)規(guī)范就是其中一個(gè)很好的思路���,已經(jīng)得到大多數(shù)安全研究人員的認(rèn)同����。 UEFI是Intel提出的全新計(jì)算機(jī)固件接口標(biāo)準(zhǔn)�����,它正逐步取代傳統(tǒng)的BIOS。UEFI提供 了一個(gè)高效的嵌入式應(yīng)用平臺(tái)��,可根據(jù)需要開發(fā)出各種各樣特殊的應(yīng)用。惡意代碼(含傳統(tǒng)計(jì)算機(jī)病毒)防范是信息安全領(lǐng)域的難點(diǎn)之一�����。在當(dāng)前���,僅依 賴運(yùn)行在操作系統(tǒng)上的殺毒軟件來防范惡意代碼是遠(yuǎn)遠(yuǎn)不夠的����,典型的問題包括有些 惡意代碼會(huì)先于安全軟件加載到系統(tǒng)�,優(yōu)先控制系統(tǒng)����;有些惡意代碼寄生在核心服務(wù)中�����, 安全軟件不能對(duì)其進(jìn)行有效清除?��,F(xiàn)有惡意代碼防范軟件不能較好地處理上述情況。經(jīng)對(duì)現(xiàn)有技術(shù)文獻(xiàn)的檢索發(fā)現(xiàn)�����,中國專利文獻(xiàn)號(hào)CN101436247A,
公開日
2009-5-20,記載了一種“基于UEFI的生物身份識(shí)別方法及系統(tǒng)”����,該技術(shù)包括預(yù)存 用戶的生物特征識(shí)別碼;調(diào)用圖形庫用戶身份認(rèn)證界面�����;顯示用戶登錄圖形界面,提示 用戶輸入生物身份識(shí)別數(shù)據(jù)信息����;采集用戶的生物身份識(shí)別數(shù)據(jù)信息��;提取特征值�,獲 得生物特征識(shí)別碼�;調(diào)用生物特征識(shí)別碼與預(yù)存的生物特征識(shí)別碼相比對(duì)���;判斷是否相 匹配�����;如果相匹配���,則用戶認(rèn)證成功。以及中國專利文獻(xiàn)號(hào)CN101587451A�,
公開日2009_11_25����,記載了一種“基于 EFI固件的數(shù)據(jù)備份與恢復(fù)方法利”��,該技術(shù)通過EFI_BLOCK_IO_PROTOCOL(塊輸入
輸出接口 )對(duì)硬盤扇區(qū)進(jìn)行讀/寫操作����,通過EFI_FILE_PROTOCOL(文件接口 )對(duì)文件 進(jìn)行讀/寫操作。在接收到數(shù)據(jù)備份指令時(shí)���,將源分區(qū)中的引導(dǎo)扇區(qū)數(shù)據(jù)和所有文件備 份入映像文件���;在接收到系統(tǒng)恢復(fù)指令時(shí),將映像文件中的引導(dǎo)扇區(qū)和文件數(shù)據(jù)信息寫 入目標(biāo)分區(qū),上述技術(shù)進(jìn)行了身份認(rèn)證以及數(shù)據(jù)備份與恢復(fù)工作����,沒有涉及惡意代碼的 防范內(nèi)容。中國專利文獻(xiàn)號(hào)CN101482907A,
公開日2009_07_15��,記載了一種“基于專家
系統(tǒng)的主機(jī)惡意代碼行為檢測(cè)系統(tǒng)”�,該技術(shù)主要包括行為捕獲模塊、輸出規(guī)格化處理 模塊����、推理機(jī)和行為知識(shí)庫內(nèi)容���,應(yīng)用該系統(tǒng)能夠檢測(cè)具有特定行為的特征碼已知或未 知的惡意代碼,該技術(shù)是目前惡意代碼防范的典型代表系統(tǒng)����,這類系統(tǒng)都在操作系統(tǒng)環(huán) 境進(jìn)行惡意代碼的檢測(cè)和清除工作,但是�,卻存在無法應(yīng)付內(nèi)核級(jí)惡意代碼的局面��。
發(fā)明內(nèi)容
本發(fā)明針對(duì)現(xiàn)有技術(shù)存在的上述不足,提供一種基于統(tǒng)一可擴(kuò)展固定接口的惡意代碼防范方法�,利用UEFI的優(yōu)點(diǎn)�����,先于操作系統(tǒng)的加載進(jìn)行相關(guān)操作,在UEFI環(huán)境 中進(jìn)行惡意代碼檢測(cè)和清除��,能夠有效對(duì)付當(dāng)前流行的內(nèi)核級(jí)惡意代碼。
本發(fā)明是通過以下技術(shù)方案實(shí)現(xiàn)的���,本發(fā)明包括以下步驟
第一步��,采用UEFI提供的編程接口���,實(shí)現(xiàn)網(wǎng)絡(luò)連接模塊,維護(hù)遠(yuǎn)程服務(wù)器上的 數(shù)據(jù)。遠(yuǎn)程服務(wù)器上存放兩類數(shù)據(jù)一類是惡意代碼特征庫���,該庫服務(wù)于基于特征碼的 惡意代碼檢查;另一類是用于數(shù)據(jù)恢復(fù)的程序備份��。
所述的惡意代碼特征碼����,具體為,可以唯一標(biāo)示惡意代碼的二進(jìn)制代碼串���,如 果一個(gè)對(duì)象含有該串�,則說明該對(duì)象被惡意代碼感染���;反之,則沒被感染����。
所述的恢復(fù)用程序備份�����,具體為��,操作系統(tǒng)的核心程序具有穩(wěn)定性且數(shù)量有 限����,事先把這些核心程序備份到遠(yuǎn)程服務(wù)器�。如果該程序被破壞����,可以從遠(yuǎn)程數(shù)據(jù)庫下 載更新�����,以實(shí)現(xiàn)恢復(fù)。
第二步�,本地存儲(chǔ)管理。采用UEFI提供的編程接口�����,在本地硬盤創(chuàng)建一個(gè)存儲(chǔ) 空間���,存儲(chǔ)完整性檢查信息和數(shù)據(jù)清理配置信息。其中完整性檢查信息是核心文件的摘 要集合��;程序根據(jù)數(shù)據(jù)清理配置信息清除系統(tǒng)的垃圾信息、頑固數(shù)據(jù)�����。
所述的存儲(chǔ)空間�,具體為,該空間有UEFI創(chuàng)建于本地硬盤��,是操作系統(tǒng)所不能 訪問的空間�。
所述的完整性檢查是指首先對(duì)所述操作系統(tǒng)的核心程序進(jìn)行MD5摘要�,并把 摘要信息進(jìn)行詳細(xì)的記錄���,判斷當(dāng)計(jì)算得到的摘要與存儲(chǔ)的摘要不同時(shí)���,該核心程序遭 到篡改。
所述的垃圾信息���,具體為��,操作系統(tǒng)的暫存數(shù)據(jù)、緩存文件�。
所述的頑固數(shù)據(jù)���,具體為�����,在操作系統(tǒng)環(huán)境下無法刪除的數(shù)據(jù)�����。這些數(shù)據(jù)可以 在UEFI環(huán)境下刪除�。
第三步�����,惡意代碼防范模塊。惡意代碼防范的具體工作都在本模塊完成,其主 要包括操作系統(tǒng)的核心文件的完整性檢查及恢復(fù)�����;各種數(shù)據(jù)清理�����;特洛伊木馬程序的檢 查及清除;操作系統(tǒng)惡意啟動(dòng)項(xiàng)的檢查及處理�����;基于特征碼的惡意代碼檢查及處理幾項(xiàng) 工作��。
所述的核心文件是指Windows操作系統(tǒng)中�,System目錄下的所有文件及 System32目錄下的部分文件��。
所述的數(shù)據(jù)清理���,具體為�����,清理系統(tǒng)里的垃圾數(shù)據(jù)�、頑固數(shù)據(jù)。
所述的特洛伊木馬程序的檢查及清除是指根據(jù)木馬程序的靜態(tài)特征在注冊(cè) 表�、啟動(dòng)文件處查找木馬的自啟動(dòng)項(xiàng)并進(jìn)行清除。
所述的操作系統(tǒng)惡意啟動(dòng)項(xiàng)的檢查及處理是指在注冊(cè)表的特定位置���、win.ini 系統(tǒng)文件特定位置檢查是否有異常的啟動(dòng)項(xiàng)�,當(dāng)存在有異常的啟動(dòng)項(xiàng)時(shí)則自動(dòng)清除或提 示用戶�����。
所述的基于特征碼的惡意代碼檢查及處理是指采用特征碼掃描技術(shù)識(shí)別操作 系統(tǒng)文件是否含有惡意代碼并進(jìn)行清除�、隔離或恢復(fù)��。
與現(xiàn)有惡意代碼防范技術(shù)相比���,本發(fā)明的防范過程在操作系統(tǒng)加載前進(jìn)行,具 有如下有益效果依賴于操作系統(tǒng)的惡意代碼尚未運(yùn)行���,即不能對(duì)該防范程序形成威 脅�,也完全做到了先發(fā)制人的目的��,因此�����,可以實(shí)現(xiàn)真正的惡意代碼防范�����。
用戶給計(jì)算機(jī)加電����,計(jì)算機(jī)進(jìn)入U(xiǎn)EFI環(huán)境��;第二�,UEEI進(jìn)行驗(yàn)證���,以確保自 身的完整性�����;第三步是本發(fā)明的核心內(nèi)容,即基于UEFI的惡意代碼防范�。經(jīng)過第三步 處理操作系統(tǒng)的安全驗(yàn)證�����、修復(fù)及惡意代碼清除工作都已完成��,可以確保安全地進(jìn)入操 作系統(tǒng)啟動(dòng)階段。第四�,開始操作系統(tǒng)的加載工作,既開始正常地啟動(dòng)操作系統(tǒng)���。第 五�����,操作系統(tǒng)啟動(dòng)成功��,進(jìn)入正常的系統(tǒng)使用階段。如果去掉第三步�����,剩下的幾個(gè)步驟 是典型的UEFI啟動(dòng)過程。本發(fā)明的創(chuàng)新之處在于���,把惡意代碼防范模塊集成在UEFI環(huán) 境中���,并在操作系統(tǒng)加載前完成惡意代碼防范的核心工作����。
圖1是本發(fā)明流程示意圖。圖2是實(shí)施例部署示意圖�。
具體實(shí)施例方式下面對(duì)本發(fā)明的實(shí)施例作詳細(xì)說明�����,本實(shí)施例在以本發(fā)明技術(shù)方案為前提下進(jìn) 行實(shí)施����,給出了詳細(xì)的實(shí)施方式和具體的操作過程�����,但本發(fā)明的保護(hù)范圍不限于下述的 實(shí)施例���。實(shí)施例如圖1和圖2所示�,本實(shí)施例包括以下步驟第一步�,遠(yuǎn)程數(shù)據(jù)訪問�。采用UEFI提供的網(wǎng)絡(luò)編程接口��,實(shí)現(xiàn)網(wǎng)絡(luò)連接模塊�����, 維護(hù)遠(yuǎn)程服務(wù)器上的數(shù)據(jù)�。遠(yuǎn)程服務(wù)器上存放兩類數(shù)據(jù)一類是惡意代碼特征庫,該庫 服務(wù)于基于特征碼的惡意代碼檢查���;另一類是用于數(shù)據(jù)恢復(fù)的程序備份。所述的UEFI網(wǎng)絡(luò)編程接口��,具體為,UEFI提供豐富的網(wǎng)絡(luò)協(xié)議編程接口���。本 發(fā)明在UEFI環(huán)境下實(shí)現(xiàn)網(wǎng)絡(luò)連接客戶端��,通過Socket連接方式和遠(yuǎn)程服務(wù)器建立連接��, 并維護(hù)遠(yuǎn)程服務(wù)器上的數(shù)據(jù)���。所述的惡意代碼特征庫����,具體為����,由惡意代碼特征碼形成的庫文件。為了節(jié)省 本地存儲(chǔ)空間�����,該文件存放在遠(yuǎn)程服務(wù)器上�����。當(dāng)防范程序需要使用該數(shù)據(jù)時(shí),從遠(yuǎn)程服 務(wù)器下載�����。惡意代碼特征庫的組織方式如表1所示����。表 權(quán)利要求
1.一種基于統(tǒng)一可擴(kuò)展固定接口的惡意代碼防范方法�,其特征在于�����,包括以下步驟第一步����,采用UEFI提供的編程接口實(shí)現(xiàn)網(wǎng)絡(luò)連接模塊���,維護(hù)遠(yuǎn)程服務(wù)器上的基于特 征碼的惡意代碼檢查的惡意代碼特征庫以及用于數(shù)據(jù)恢復(fù)的程序備份;第二步����,采用UEFI提供的編程接口在本地硬盤創(chuàng)建一個(gè)存儲(chǔ)空間���,存儲(chǔ)作為完整性 檢查信息的核心文件的摘要集合和清理系統(tǒng)的垃圾信息及頑固數(shù)據(jù)的配置信息;第三步���,執(zhí)行包含操作系統(tǒng)的核心文件的完整性檢查及恢復(fù)�、垃圾信息及頑固數(shù)據(jù) 清理、特洛伊木馬程序的檢查及清除���、操作系統(tǒng)惡意啟動(dòng)項(xiàng)的檢查及處理以及基于特征 碼的惡意代碼檢查及處理的惡意代碼防范�����。
2.根據(jù)權(quán)利要求1所述的基于統(tǒng)一可擴(kuò)展固定接口的惡意代碼防范方法�����,其特征是, 第三步中所述的完整性檢查是指首先對(duì)所述操作系統(tǒng)的核心程序進(jìn)行MD5摘要��,并把 摘要信息進(jìn)行詳細(xì)的記錄�����,判斷當(dāng)計(jì)算得到的摘要與存儲(chǔ)的摘要不同時(shí)��,該核心程序遭 到篡改�����。
3.根據(jù)權(quán)利要求1所述的基于統(tǒng)一可擴(kuò)展固定接口的惡意代碼防范方法���,其特征 是��,第二步中所述的核心文件是指Windows操作系統(tǒng)中�����,System目錄下的所有文件及 System32目錄下的部分文件���。
4.根據(jù)權(quán)利要求1所述的基于統(tǒng)一可擴(kuò)展固定接口的惡意代碼防范方法���,其特征是�, 所述的特洛伊木馬程序的檢查及清除是指根據(jù)木馬程序的靜態(tài)特征在注冊(cè)表�����、啟動(dòng)文 件處查找木馬的自啟動(dòng)項(xiàng)并進(jìn)行清除。
5.根據(jù)權(quán)利要求1所述的基于統(tǒng)一可擴(kuò)展固定接口的惡意代碼防范方法�,其特征是�����, 所述的操作系統(tǒng)惡意啟動(dòng)項(xiàng)的檢查及處理是指在注冊(cè)表的特定位置���、win.ini系統(tǒng)文件 特定位置檢查是否有異常的啟動(dòng)項(xiàng)�,當(dāng)存在有異常的啟動(dòng)項(xiàng)時(shí)則自動(dòng)清除或提示用戶。
6.根據(jù)權(quán)利要求1所述的基于統(tǒng)一可擴(kuò)展固定接口的惡意代碼防范方法���,其特征是�����, 所述的基于特征碼的惡意代碼檢查及處理是指采用特征碼掃描技術(shù)識(shí)別操作系統(tǒng)文件 是否含有惡意代碼并進(jìn)行清除����、隔離或恢復(fù)。
全文摘要
一種互聯(lián)網(wǎng)信息安全技術(shù)領(lǐng)域的基于統(tǒng)一可擴(kuò)展固定接口(UEFI)的惡意代碼防范方法�����,通過采用UEFI提供的編程接口實(shí)現(xiàn)網(wǎng)絡(luò)連接模塊��,維護(hù)遠(yuǎn)程服務(wù)器上的基于特征碼的惡意代碼檢查的惡意代碼特征庫以及用于數(shù)據(jù)恢復(fù)的程序備份;然后在本地硬盤創(chuàng)建一個(gè)存儲(chǔ)空間��,存儲(chǔ)作為完整性檢查信息的核心文件的摘要集合和清理系統(tǒng)的垃圾信息及頑固數(shù)據(jù)的配置信息��;最后執(zhí)行惡意代碼防范。本發(fā)明利用UEFI的優(yōu)點(diǎn)�,先于操作系統(tǒng)的加載進(jìn)行相關(guān)操作��,在UEFI環(huán)境中進(jìn)行惡意代碼檢測(cè)和清除�����,能夠有效對(duì)付當(dāng)前流行的內(nèi)核級(jí)惡意代碼���。
文檔編號(hào)G06F21/00GK102024114SQ201110008478
公開日2011年4月20日 申請(qǐng)日期2011年1月14日 優(yōu)先權(quán)日2011年1月14日
發(fā)明者劉功申, 胡佩華 申請(qǐng)人:上海交通大學(xué)