CN101478407B - 在线安全登录的方法及装置 - Google Patents
在线安全登录的方法及装置 Download PDFInfo
- Publication number
- CN101478407B CN101478407B CN2008100559655A CN200810055965A CN101478407B CN 101478407 B CN101478407 B CN 101478407B CN 2008100559655 A CN2008100559655 A CN 2008100559655A CN 200810055965 A CN200810055965 A CN 200810055965A CN 101478407 B CN101478407 B CN 101478407B
- Authority
- CN
- China
- Prior art keywords
- thread
- register
- login
- relevant
- kernel state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
Abstract
本发明公开了一种在线安全登录的方法,包括以下步骤:确定至少一个进程与登录操作的相关性,将所述至少一个进程分成两类:与所述登录操作有关的进程和与所述登录操作无关的进程;在执行所述登录操作时,在所述与登录操作有关的进程的数量为一个或以上时,运行至少一个所述与登录操作有关的进程;在执行所述登录操作时,在所述与登录操作无关的进程的数量为一个或以上时,挂起至少一个所述与登录操作无关的进程。本发明方案进行的是实时性保护,且对操作系统监控比较少,易于保证稳定性,且由于操作系统的大部分进程被挂起,保护更为可靠。与上述方法相对应,本发明还提供一种在线安全登录的装置。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种在线安全登录的方法及装置。
背景技术
随着网络的发展,人们的生活和工作越来越离不开基于网络的各种服务,例如在线购物、在线银行、网络炒股、网络游戏、网络交友、互联网协议语音(Voice over IP,VOIP)及即时通讯(Instant Messenger,IM)通信等,如何保护这些服务的用户私人信息的安全是至关重要的,用户私人信息包括账户、密码以及在线注册信息(家庭电话、地址及身份证号码)等。
然而目前网络的安全面临严峻威胁,病毒、木马及蠕虫等恶意代码层出不穷,其中以木马的危害最大,木马具有很强的隐蔽性和强大的网络通讯功能。木马是一种运行在计算机中的程序,一个木马程序通常由两部分组成,客户端程序和服务端程序,服务端程序是运行在被控制计算机上的程序,通常做的很小而且很隐蔽,以病毒的形式存在,开机时可自动随计算机启动,没有专门的查杀软件或者不经过仔细分析很难查杀;而客户端程序是安装在控制方使用机器上的一个程序,通常做成图形界面,这样,在安装了客户端程序的机器上就可以操纵安装了服务器程序的机器(或者称中了木马病毒的机器),例如查看对方的屏幕、获取对方文件及窃取对方密码等,总之,凡是程序可以达到的功能,木马都可以做到,这就是所谓的远程控制,即用一台机器控制另外一台机器。
目前针对木马病毒有多种解决方案,每个解决方案都有优缺点,下面分别分析。
1、使用杀毒软件
杀毒软件是目前使用最广泛的防御木马的方法。杀毒软件公司通过收集各种木马病毒的样本,提取出特征码形成病毒库,杀毒软件通过病毒库在系统中查找木马病毒,并将其删除。
尽管杀毒软件的技术比较成熟,但是它以特征码扫描为主要手段,存在着非常大的缺陷。首先,病毒库的更新具有滞后性,一个木马从散布出去到杀毒软件公司截获,再到分析样本提取特征码,更新病毒库,都需要一定的时间,因此,杀毒软件对于新出现的木马很难及时查杀。其次,杀毒软件一般无法有效防止木马入侵,它是一种事后补救措施,即使杀毒软件能够发现系统中存在的木马并将其清除,但是可能木马已经窃取到用户的帐号和密码等信息,即使清除木马也无法弥补已经造成的损失。最后,目前木马已经有比较成熟的方法躲避杀毒软件的特征码扫描,如加壳、手工修改特征码、多态及变形等,使得目前各种主流杀毒软件对木马的查杀都不够理想。
2、使用主机入侵防御(Host Intrusion Prevent System,HIPS)系统
针对特征码扫描技术的缺陷,HIPS开始受到重视,它是对操作系统进行全面的监控,通过预设的规则对程序行为进行过滤,所有未经过授权的操作都会被拦截。监控的内容包括文件操作、进程操作和注册表操作等,尤其是一些病毒木马的典型行为,例如加载全局钩子、远线程注入、API HOOK及在注册表中添加自启动项等。
HIPS保护效果比较好,但缺陷也同样明显。一是使用复杂,应用HIPS的难点在于规则的设置,这需要用户对计算机系统有比较深入的了解,并对木马、病毒的特征比较熟悉,如果规则设置不合理,就可能使保护效果不理想,或者影响系统正常运行,这极大限制了其应用的范围。二是性能、稳定性和兼容性不理想,由于HIPS工作在系统内核态,而且监控大量API函数,造成资源占用较高,并且降低系统稳定性,并可能与其他软件冲突。
3、使用专用密码保护软件
这类软件的原理与HIPS类似,监控系统的一些关键API函数,将指定的进程保护起来,目前这类产品包括360保险箱及帐号保险柜等。
这类密码保护软件通常只针对部分特定软件,如网银及网游等,相对于HIPS,它的易用性和稳定性有较大优势,但是由于监控不全面,造成防御能力不够强,容易被绕过,例如360保险箱对内核中的若干函数作了Inline Hook,只要木马加载驱动进入内核态将Hook恢复就会使其保护失效。
4、使用数字证书
数字证书是目前网上银行常用的保护方案,用户向银行申请数字证书,在登录帐号时用户必须同时提交数字证书,数字证书可以作为文件保存在硬盘上,也可以保存在专用硬件上。
数字证书可以有效保证登录安全,但是由于申请和管理证书比较麻烦,成本较高,造成应用场合有限,难以大规模推广和应用。
发明内容
有鉴于此,本发明提供一种在线安全登录的方法及装置,以解决现有方案存在的滞后性及设置复杂等问题。
为此,本发明实施例采用如下技术方案:
一种在线安全登录的方法,包括:确定至少一个进程与登录操作的相关性,将所述至少一个进程分成两类:与所述登录操作有关的进程和与所述登录操作无关的进程;在执行所述登录操作时,在所述与登录操作有关的进程的数量为至少一个时,运行至少一个所述与登录操作有关的进程;在执行所述登录操作时,在所述与登录操作无关的进程的数量为至少一个时,挂起至少一个所述与登录操作无关的进程。
上述方法还包括:监控与登录有关的进程,确定所述进程是否开启远程线程,若是,将所述线程挂起。
上述方法还包括:对所述远程线程进一步分析,分析结果表明该线程危险时,才将所述线程挂起。
所述分析的具体方式是,判断所述线程是否在操作系统中注册,或者,检查文件签名,或者,判断所述线程是否有隐藏行为。
对进程分类的具体过程为:确定所有内核态驱动与登录有关,确定用户态进程与登录无关;或者,确定关键内核态驱动与登录有关,确定其余内核态驱动以及用户态进程与登录无关;或者,确定所有内核态进程与登录有关,确定用户态进程及内核态驱动与登录无关;或者,确定关键内核态进程与登录有关,确定其余用户态进程以及内核态驱动与登录无关。
上述方法还包括:在用户登录完毕后,恢复挂起的进程和线程。
一种在线安全登录的装置,包括:确定单元,用于确定至少一个进程与登录操作的相关性;分类单元,用于将所述至少一个进程分成两类:与所述登录操作有关的进程和与所述登录操作无关的进程;操作单元,用于在执行所述登录操作时,在所述与登录操作有关的进程的数量为至少一个时,运行至少一个所述与登录操作有关的进程;在执行所述登录操作时,在所述与登录操作无关的进程的数量为至少一个时,挂起至少一个所述与登录操作无关的进程。
上述装置还包括:白名单,用于保存与登录有关的进程;监控单元,用于对所述白名单进行监控,确定可疑线程;安全分析单元,用于对所述监控单元确定的可疑线程进行安全分析,确定是否为危险线程;黑名单,用于保存所述安全分析单元确定的危险线程;所述操作单元还用于将所述黑名单中的线程挂起。
一种在线安全登录的方法,包括:确定至少一个线程与登录操作的相关性,将所述至少一个线程分成两类:与所述登录操作有关的线程和与所述登录操作无关的线程;在执行所述登录操作时,在所述与登录操作有关的线程的数量为至少一个时,运行至少一个所述与登录操作有关的线程;在执行所述登录操作时,在所述与登录操作无关的线程的数量为至少一个时,挂起至少一个所述与登录操作无关的线程。
对线程分类的具体过程为:确定所有内核态线程与登录有关,确定用户态线程与登录无关;或者,确定关键内核态线程与登录有关,确定其余内核态线程以及用户态线程与登录无关;或者,确定关键内核态线程与登录有关,确定其余内核态线程、用户态线程以及内核态驱动与登录无关。
上述方法还包括:在用户登录完毕后,恢复挂起的线程。
一种在线安全登录的装置,包括:确定单元,用于确定至少一个线程与登录操作的相关性;分类单元,用于将所述至少一个线程分成两类:与所述登录操作有关的线程和与所述登录操作无关的线程;操作单元,用于在执行所述登录操作时,在所述与登录操作有关的线程的数量为至少一个时,运行至少一个所述与登录操作有关的线程;在执行所述登录操作时,在所述与登录操作无关的线程的数量为至少一个时,挂起至少一个所述与登录操作无关的线程。
对于上述技术方案的技术效果分析如下:
本发明方案可以很好地防御用户态木马,对于以用户态进程运行的木马,在被挂起时没有任何办法进行密码窃取等行为。对于内核态的木马,本方案也有较好的防御效果,这是因为目前基本没有纯粹使用驱动实现的木马,木马使用驱动主要是为了隐藏和保护用户态程序,或是键盘过滤驱动,一般都需要用户态进程的配合,一旦用户态进程被挂起,木马基本上不能完成窃取任务。
与杀毒软件相比,本发明方案进行的是实时性保护,不存在滞后性,可有效避免密码等关键信息的丢失。与HIPS相比,本方案不需要与用户进行大量的交互,使用简单,而且对操作系统监控比较少,易于保证稳定性。与专业密码保护软件相比,由于操作系统的大部分进程被挂起,保护更为可靠。与数字证书的方法相比,本方案可采用软件实现,通用性好,成本低,使用也更简便。
附图说明
图1为本发明方法实施例一流程图;
图2为本发明方法实施例二流程图;
图3为本发明装置实施例一示意图;
图4为本发明装置实施例二示意图;
图5为本发明监控和挂起线程方法流程图。
具体实施方式
本发明核心在于瞬间冻结,即在用户使用某些网络服务(例如登录网上银行)时,挂起大部分进程,仅保留运行必备的进程,从而为用户提供安全的网络服务运行环境。
参见图1,为本发明方法实施例一流程图,包括:
步骤101:对登录操作进行进程策略分析,判断各进程是否与登录有关;
步骤102:在用户登录时,将与登录无关的进程挂起,仅运行与登录有关的进程。
具体地,
确定至少一个进程与登录操作的相关性,将所述至少一个进程分成两类:与所述登录操作有关的进程和与所述登录操作无关的进程;
在执行所述登录操作时,在所述与登录操作有关的进程的数量为一个或以上时,运行至少一个所述与登录操作有关的进程;
在执行所述登录操作时,在所述与登录操作无关的进程的数量为一个或以上时,挂起至少一个所述与登录操作无关的进程。
其中,策略分析可以有多种方案,主要是分析与用户登录过程无关的进程,将其挂起,为网络服务提供安全的运行环境。
策略1、允许所有内核态进程运行,而将大部分用户态进程挂起
例如,允许运行的内核态进程包括system、local service、network service用户启动进程以及explorer.exe等由操作系统启动的进程;将用户态进程挂起。
这种策略可以保证系统稳定,不易出现系统死锁,一般也不会影响用户登录的操作。
策略2、只允许少量必须的关键内核态进程运行,其他所有进程都挂起
例如,允许运行的进程包括system、smss、csrss、winlogon及svchost等,而对其余的内核态进程以及用户态进程都挂起,从而较策略1增加了安全性。
策略3、在策略1和策略2基础上,不仅挂起用户态进程,而且将内核中运行的可疑驱动挂起和临时卸载
操作系统的很多驱动程序可以动态卸载,因此可以将这类驱动临时卸载和停止,如果驱动本身不支持动态卸载,则可以强制挂起。这种策略能够提供更好的安全性。
上述三种策略各有优缺点,可在实际操作中根据需求选取。
此方案可以很好地防御用户态木马,对于以用户态进程运行的木马,在被挂起时没有任何办法进行密码窃取等行为。对于内核态的木马,本方案也有较好的防御效果,这是因为目前基本没有纯粹使用驱动实现的木马,木马使用驱动主要是为了隐藏和保护用户态程序,或是键盘过滤驱动,一般都需要用户态进程的配合,一旦用户态进程被挂起,木马基本上不能完成窃取任务。
与杀毒软件相比,本方案进行的是实时性保护,不存在滞后性,可有效避免密码等关键信息的丢失。与HIPS相比,本方案不需要与用户进行大量的交互,使用简单,而且对操作系统监控比较少,易于保证稳定性。与专业密码保护软件相比,由于操作系统的大部分进程被挂起,保护更为可靠。与数字证书的方法相比,本方案可采用软件实现,通用性好,成本低,使用也更简便。
参见图2,为本发明方法实施例二流程图。与实施例一比较,实施例二增加了对运行的进程的进一步分析,确定是否存在可疑线程,对于可疑线程也执行挂起操作,从而阻断木马通过远程线程攻击本地机器,进一步保证用户登录安全。
实施例二包括以下步骤:
步骤201:对登录操作进行进程策略分析;
根据操作系统环境以及被保护进程的需求,确定哪些是不可挂起的关键进程。具体的进程策略可参见实施例一。
步骤202:对于不可挂起的关键进程生成白名单;
本方案中提到的“白名单”,它所记录的是“不能被冻结的进程”,例如:操作系统的几个关键服务程序。
步骤203:对白名单中的进程进行监控,具体地,监控白名单中的进程是否开启远程线程,若是,确定为可疑线程;
监控主要目的是为了防止木马采用远程线程注入的方式进入可信内核态进程。目前系统监控方法相对比较成熟,主要是对Windows系统中一些关键API函数进行挂钩,监视系统中的线程创建。一般而言,需要挂钩的API函数包括NtOpenThread、NtOpenProcess、NtCreatThread、NtCreatProcess、NtTerminate及NtTerminateProcess等。
以木马最常使用的CreatRemoteThread函数为例,此函数可以在其他进程空间中开启远程线程,由于一般的应用程序很少开启远程线程,因此,一旦操作系统监控到有程序调用此函数,就可以将其列为可疑线程,CreatRemoteThread函数是调用Windows Native API:NtCreatThread,因此,只需要监控NtCreatThread就可以发现系统中的远程线程。
步骤204:对监控记录下的可疑线程进行实时的安全分析,判断白名单进程中哪些线程是危险线程,生成黑名单;
只有系统监控还不足以去除危险线程,优选地,还需要对监控记录进行分析,因为系统监控是对API函数调用进行分析,而所有正常的应用程序都可能调用API函数,因此不对监控结果进行分析,可能会产生误报。
以消息钩子为例,木马经常会使用全局消息钩子注入进程,而正常的应用程序也经常利用此技术(例如金山词霸的屏蔽取词功能),因此,需要进行分析。
具体的分析方式可有多种,包括检查文件签名、判断是否在系统中注册、判断是否有隐藏自身行为等,通过多方面的分析,可以大大减少误报的概率。
检测隐藏行为的具体实例:
1.CreateToolhelp32Snapshot和Process32First查找系统中所有进程;
2.调用Native API ZwQuerySystemInformation查询所有系统进程;
3.比较两次查找的结果(例如:金山词霸)两次查找结果都应该有“金山词霸”,如果是木马则步骤1中是查不到其存在的。
步骤205:当用户开始登录时,将除白名单的进程以及黑名单中的线程都挂起;
对用户态进程和线程挂起实现比较容易,操作系统中一般都有进程和线程挂起函数,以Windows为例,采用ZwSuspendProcess和ZwSuspendThread,或者采用NtSuspendProcess和NtSuspendThread,可将大部分用户态的进程和线程挂起。
对于内核态线程,需要在内核态中将其挂起,例如,可以采用APC(Asynchronous Procedure Call)实现内核态线程的挂起。
步骤206:当用户登录结束后,恢复被挂起的进程和线程。
对用户态进程和线程挂起恢复的实现也比较容易,操作系统中一般都有进程和线程挂起恢复函数,以Windows为例,采用ZwResumeProcess和ZwResumeThread,或者采用NtResumeProcess和NtResumeThread,可将大部分挂起的用户态的进程和线程恢复。
相比于实施例一,实施例二可进一步保证用户登录时的安全,即,对于采用远程线程注入的木马,也很容易查找到注入的线程并将其挂起。
下面以某用户登录招行专业版网页为例对实施例二进行说明。
1、通过分析操作系统中所有进程,获取系统中不可挂起的关键进程的信息,将这些关键进程和被保护的招行专业版客户端进程一并添加至一个进程白名单;
2、操作系统启动后即对白名单中的进程进行监控,一旦发现有其他进程在这些进程中开启远程线程,就记录下这些远程线程信息,通过分析,找到其中哪些线程存在安全隐患,将其添加到一个线程黑名单;
3、当用户打开招行专业版客户端进行登录时,首先查询进程白名单,将白名单之外的全部进程都挂起,然后查询线程黑名单,将黑名单中的线程挂起,此时,用户会获得一个暂时安全的网络服务环境,进行帐号和密码输入等操作;
4、在用户登录完成后,可将所有被挂起的进程和线程恢复运行,以避免影响操作系统的其他操作。具体地,可采用ZwResumeProcess、ZwResumeThread、NtResumeProcess或NtResumeThread等挂起恢复函数实现。
需要说明的是,本发明方案可与现有的杀毒软件、HIPS以及专用密码保护软件等方案结合使用,可为用户提供更为安全的网络服务环境。
与上述方法实施例一相对应,本发明提供的装置实施例一的结构示意图参见图3。对于本发明装置,优选以软件形式实现,通用性好,成本低,便于移植,当然也可以采用软硬件结合的方式实现,或者以硬件实现。
由图3可知,实施例一装置仅包括确定单元300,用于确定至少一个进程与登录操作的相关性;分类单元301,用于将所述至少一个进程分成两类:与所述登录操作有关的进程和与所述登录操作无关的进程;操作单元302,用于在执行所述登录操作时,在所述与登录操作有关的进程的数量为一个或以上时,运行至少一个所述与登录操作有关的进程;在执行所述登录操作时,在所述与登录操作无关的进程的数量为一个或以上时,挂起至少一个所述与登录操作无关的进程。其中,对进程分类的具体策略包括多种,如方法实施例一所介绍的,包括:允许所有内核态进程运行,而将大部分用户态进程挂起的策略1、只允许少量必须的关键内核态进程运行,其他所有进程都挂起的策略2、以及在策略1和策略2基础上,不仅挂起用户态进程,而且将内核中运行的可疑驱动挂起和临时卸载的策略3,具体实现时,可根据操作系统的运行环境以及对网络服务安全性的要求高低,从上述策略中选取合适的策略。对于装置实施例一的具体实现细节,可参见方法实施例一,在此不再赘述。
参见图4,为装置实施例二结构示意图。在图3的基础上,实施例二装置还包括白名单401、监控单元402、安全分析单元403以及黑名单,而且,操作单元302的功能也有所丰富。
其中,
白名单401主要负责保存策略分析引擎301分析的与登录有关的进程;
监控单元402主要负责对白名单401中的进程进行监控,确定可疑线程;
安全分析单元403主要负责对监控单元402确定的可疑线程进行安全分析,确定是否为危险线程;
黑名单404主要负责保存安全分析单元403确定的危险线程;
所述操作单元302不但要将与登录无关的进程挂起,还将所述黑名单404中的线程挂起。
对于实施例二装置的一些实现细节可参见方法实施例二。
此外,由于进程和线程的关系,本发明实施例除了通过对进程进行策略分析实现外,还可以通过对线程进行策略分析来实现。本领域人员都了解,线程是进程中的实体,一个进程可以拥有多个线程,一个线程必须有一个父进程。由此,可直接对线程进行监控和挂起实现本发明实施例。
概括而言,一种在线安全登录的方法,包括以下步骤:
确定至少一个线程与登录操作的相关性,将所述至少一个线程分成两类:与所述登录操作有关的线程和与所述登录操作无关的线程;
在执行所述登录操作时,在所述与登录操作有关的线程的数量为一个或以上时,运行至少一个所述与登录操作有关的线程;
在执行所述登录操作时,在所述与登录操作无关的线程的数量为一个或以上时,挂起至少一个所述与登录操作无关的线程。
参见图5,为利用监控和挂起线程实现本发明方法实施例的流程图,包括:
步骤501:对登录操作进行线程策略分析;
步骤502,对线程进行分类:与所述登录操作有关的线程和与所述登录操作无关的线程;
步骤503:确定哪些线程是危险线程,生成黑名单;
步骤504:当用户开始登录时,将与登录无关的线程以及黑名单中的线程都挂起;
步骤505:当用户登录结束后,恢复被挂起的线程。
其中,在步骤501中,根据操作系统环境以及被保护线程的需求,确定哪些是不可挂起的关键线程。对线程分类的具体过程为:确定所有内核态线程与登录有关,确定用户态线程与登录无关;或者,确定关键内核态线程与登录有关,确定其余内核态线程以及用户态线程与登录无关;或者,确定所有内核态线程与登录有关,确定用户态线程及内核态驱动与登录无关;或者,确定关键内核态线程与登录有关,确定其余内核态线程、用户态线程以及内核态驱动与登录无关。具体的线程策略可参见实施例一。
与上述采用线程实现的本发明方法实施例相对应,本发明实施例提供一种在线安全登录的装置,包括:确定单元,用于确定至少一个线程与登录操作的相关性;分类单元,用于将所述至少一个线程分成两类:与所述登录操作有关的线程和与所述登录操作无关的线程;操作单元,用于在执行所述登录操作时,在所述与登录操作有关的线程的数量为一个或以上时,运行至少一个所述与登录操作有关的线程;在执行所述登录操作时,在所述与登录操作无关的线程的数量为一个或以上时,挂起至少一个所述与登录操作无关的线程。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (12)
1.一种在线安全登录的方法,其特征在于,包括:
确定至少一个进程与登录操作的相关性,将所述至少一个进程分成两类:与所述登录操作有关的进程和与所述登录操作无关的进程;
在执行所述登录操作时,在所述与登录操作有关的进程的数量为至少一个时,运行至少一个所述与登录操作有关的进程;
在执行所述登录操作时,在所述与登录操作无关的进程的数量为至少一个时,挂起至少一个所述与登录操作无关的进程。
2.根据权利要求1所述方法,其特征在于,还包括:
监控与登录有关的进程,确定所述进程是否开启远程线程,若是,将所述线程挂起。
3.根据权利要求2所述方法,其特征在于,还包括:
对所述远程线程进一步分析,分析结果表明该线程危险时,才将所述线程挂起。
4.根据权利要求3所述方法,其特征在于,所述分析的具体方式是,判断所述线程是否在操作系统中注册,或者,检查文件签名,或者,判断所述线程是否有隐藏行为。
5.根据权利要求1、2、3或4所述方法,其特征在于,对进程分类的具体过程为:
确定所有内核态进程与登录有关,确定用户态进程与登录无关;
或者,
确定关键内核态进程与登录有关,确定其余内核态进程以及用户态进程与登录无关;
或者,
确定所有内核态进程与登录有关,确定用户态进程及内核态驱动与登录无关;
或者,
确定关键内核态进程与登录有关,确定其余内核态进程以及用户态进程以及内核态驱动与登录无关。
6.根据权利要求1、2、3或4所述方法,其特征在于,还包括:在用户登录完毕后,恢复挂起的进程和线程。
7.一种在线安全登录的装置,其特征在于,包括:
确定单元,用于确定至少一个进程与登录操作的相关性;
分类单元,用于将所述至少一个进程分成两类:与所述登录操作有关的进程和与所述登录操作无关的进程;
操作单元,用于在执行所述登录操作时,在所述与登录操作有关的进程的数量为至少一个时,运行至少一个所述与登录操作有关的进程;在执行所述登录操作时,在所述与登录操作无关的进程的数量为至少一个时,挂起至少一个所述与登录操作无关的进程。
8.根据权利要求7所述装置,其特征在于,还包括:
白名单,用于保存与登录有关的进程;
监控单元,用于对所述白名单进行监控,确定可疑线程;
安全分析单元,用于对所述监控单元确定的可疑线程进行安全分析,确定是否为危险线程;
黑名单,用于保存所述安全分析单元确定的危险线程;
所述操作单元还用于将所述黑名单中的线程挂起。
9.一种在线安全登录的方法,其特征在于,包括:
确定至少一个线程与登录操作的相关性,将所述至少一个线程分成两类:与所述登录操作有关的线程和与所述登录操作无关的线程;
在执行所述登录操作时,在所述与登录操作有关的线程的数量为至少一个时,运行至少一个所述与登录操作有关的线程;
在执行所述登录操作时,在所述与登录操作无关的线程的数量为至少一个时,挂起至少一个所述与登录操作无关的线程。
10.根据权利要求9所述方法,其特征在于,对线程分类的具体过程为:
确定所有内核态线程与登录有关,确定用户态线程与登录无关;
或者,
确定关键内核态线程与登录有关,确定其余内核态线程以及用户态线程与登录无关;
或者,确定所有内核态线程与登录有关,确定用户态线程及内核态驱动与登录无关;
或者,
确定关键内核态线程与登录有关,确定其余内核态线程、用户态线程以及内核态驱动与登录无关。
11.根据权利要求9或10所述方法,其特征在于,还包括:在用户登录完毕后,恢复挂起的线程。
12.一种在线安全登录的装置,其特征在于,包括:
确定单元,用于确定至少一个线程与登录操作的相关性;
分类单元,用于将所述至少一个线程分成两类:与所述登录操作有关的线程和与所述登录操作无关的线程;
操作单元,用于在执行所述登录操作时,在所述与登录操作有关的线程的数量为至少一个时,运行至少一个所述与登录操作有关的线程;在执行所述登录操作时,在所述与登录操作无关的线程的数量为至少一个时,挂起至少一个所述与登录操作无关的线程。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100559655A CN101478407B (zh) | 2008-01-03 | 2008-01-03 | 在线安全登录的方法及装置 |
| US12/348,215 US8397292B2 (en) | 2008-01-03 | 2009-01-02 | Method and device for online secure logging-on |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100559655A CN101478407B (zh) | 2008-01-03 | 2008-01-03 | 在线安全登录的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101478407A CN101478407A (zh) | 2009-07-08 |
| CN101478407B true CN101478407B (zh) | 2011-05-25 |
Family
ID=40839041
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100559655A Active CN101478407B (zh) | 2008-01-03 | 2008-01-03 | 在线安全登录的方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8397292B2 (zh) |
| CN (1) | CN101478407B (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8732821B1 (en) * | 2010-03-15 | 2014-05-20 | Symantec Corporation | Method and apparatus for preventing accidential disclosure of confidential information via visual representation objects |
| CN102081720B (zh) * | 2010-11-18 | 2013-01-02 | 腾讯科技(深圳)有限公司 | 一种实时防护中检测进程创建的方法及系统 |
| CN102164138A (zh) * | 2011-04-18 | 2011-08-24 | 奇智软件(北京)有限公司 | 一种保证用户网络安全性的方法及客户端 |
| CN102857519B (zh) * | 2012-09-29 | 2015-01-07 | 北京奇虎科技有限公司 | 主动防御系统 |
| CN103034513B (zh) * | 2012-11-30 | 2016-05-25 | 北京奇虎科技有限公司 | 开机过程的处理方法和系统 |
| CN103118085A (zh) * | 2012-12-04 | 2013-05-22 | 上海师范大学 | 一种基于互联网的串口服务器系统 |
| CN103853610B (zh) * | 2012-12-07 | 2018-11-16 | 腾讯科技(深圳)有限公司 | 资源优化方法及装置 |
| US9075985B2 (en) * | 2013-05-31 | 2015-07-07 | Microsoft Technology Licensing, Llc | Restricted transmogrifying driver platform |
| CN103984899B (zh) * | 2014-06-09 | 2017-02-01 | 武汉大学 | 一种虚拟机在线高效批量杀毒系统及杀毒方法 |
| CN106203081A (zh) * | 2015-04-29 | 2016-12-07 | 北京壹人壹本信息科技有限公司 | 一种安全防护方法及装置 |
| CN105320888A (zh) * | 2015-11-24 | 2016-02-10 | 北京交控科技有限公司 | 一种病毒查杀方法以及装置 |
| US9961107B2 (en) * | 2016-02-19 | 2018-05-01 | Secureworks Corp. | System and method for detecting and monitoring persistent events |
| CN106022109A (zh) * | 2016-05-18 | 2016-10-12 | 北京金山安全软件有限公司 | 一种防止线程暂停的方法、装置及电子设备 |
| CN106127037A (zh) * | 2016-06-21 | 2016-11-16 | 依偎科技(南昌)有限公司 | 一种应用冻结处理的方法、装置以及终端 |
| CN106228062B (zh) * | 2016-07-12 | 2019-04-26 | 珠海豹趣科技有限公司 | 一种处理进程注册的方法、装置及电子设备 |
| CN106169049B (zh) * | 2016-07-12 | 2019-04-09 | 珠海豹趣科技有限公司 | 一种处理线程注册的方法、装置及电子设备 |
| CN107992747A (zh) * | 2016-10-27 | 2018-05-04 | 中国电信股份有限公司 | 加壳应用的恶意行为检测方法和系统 |
| CN110090445B (zh) * | 2019-05-10 | 2023-04-07 | 深圳市腾讯网域计算机网络有限公司 | 一种外挂检测方法、客户端及服务器 |
| CN116108440B (zh) * | 2023-04-12 | 2024-01-26 | 北京网藤科技有限公司 | 针对工控关键软件被注入的处理方法、装置、设备和介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050071677A1 (en) * | 2003-09-30 | 2005-03-31 | Rahul Khanna | Method to authenticate clients and hosts to provide secure network boot |
| CN1889434A (zh) * | 2006-07-21 | 2007-01-03 | 胡祥义 | 一种安全高效网络用户身份鉴别的方法 |
| CN101051904A (zh) * | 2007-05-17 | 2007-10-10 | 成都金山互动娱乐科技有限公司 | 一种保护网络应用程序使用账号密码进行登录的方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7797702B1 (en) * | 2005-02-22 | 2010-09-14 | Symantec Corporation | Preventing execution of remotely injected threads |
| US8234687B2 (en) * | 2006-05-29 | 2012-07-31 | Symbiotic Technologies Pty Ltd. | Communications security system |
| US7950022B1 (en) * | 2007-06-29 | 2011-05-24 | Emc Corporation | Techniques for use with device drivers in a common software environment |
-
2008
- 2008-01-03 CN CN2008100559655A patent/CN101478407B/zh active Active
-
2009
- 2009-01-02 US US12/348,215 patent/US8397292B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050071677A1 (en) * | 2003-09-30 | 2005-03-31 | Rahul Khanna | Method to authenticate clients and hosts to provide secure network boot |
| CN1889434A (zh) * | 2006-07-21 | 2007-01-03 | 胡祥义 | 一种安全高效网络用户身份鉴别的方法 |
| CN101051904A (zh) * | 2007-05-17 | 2007-10-10 | 成都金山互动娱乐科技有限公司 | 一种保护网络应用程序使用账号密码进行登录的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101478407A (zh) | 2009-07-08 |
| US20090177883A1 (en) | 2009-07-09 |
| US8397292B2 (en) | 2013-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101478407B (zh) | 在线安全登录的方法及装置 | |
| US10872151B1 (en) | System and method for triggering analysis of an object for malware in response to modification of that object | |
| CN101098226B (zh) | 一种病毒在线实时处理系统及其方法 | |
| CA2968201C (en) | Systems and methods for malicious code detection | |
| CN105991595B (zh) | 网络安全防护方法及装置 | |
| US7870612B2 (en) | Antivirus protection system and method for computers | |
| US10417420B2 (en) | Malware detection and classification based on memory semantic analysis | |
| US7673137B2 (en) | System and method for the managed security control of processes on a computer system | |
| CN100401224C (zh) | 计算机反病毒防护系统和方法 | |
| US7779473B1 (en) | Dynamic detection of computer worms | |
| US8904529B2 (en) | Automated deployment of protection agents to devices connected to a computer network | |
| US7665139B1 (en) | Method and apparatus to detect and prevent malicious changes to tokens | |
| US20090241190A1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
| KR100910761B1 (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
| CN105787370B (zh) | 一种基于蜜罐的恶意软件收集和分析方法 | |
| GB2519941A (en) | Method and apparatus for detecting irregularities on a device | |
| US20040111637A1 (en) | Method and system for responding to a computer intrusion | |
| WO2018099206A1 (zh) | 一种apt检测方法、系统及装置 | |
| CN106778244B (zh) | 基于虚拟机的内核漏洞检测进程保护方法及装置 | |
| CN106778242B (zh) | 基于虚拟机的内核漏洞检测方法及装置 | |
| CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
| US20160110544A1 (en) | Disabling and initiating nodes based on security issue | |
| US7941850B1 (en) | Malware removal system and method | |
| Fu et al. | Detecting software keyloggers with dendritic cell algorithm | |
| Almutairi et al. | Innovative signature based intrusion detection system: Parallel processing and minimized database |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |