CN102262716B - 一种实时防护方法和装置 - Google Patents

一种实时防护方法和装置 Download PDF

Info

Publication number
CN102262716B
CN102262716B CN201010186435.1A CN201010186435A CN102262716B CN 102262716 B CN102262716 B CN 102262716B CN 201010186435 A CN201010186435 A CN 201010186435A CN 102262716 B CN102262716 B CN 102262716B
Authority
CN
China
Prior art keywords
rule
event
application layer
layer
layer rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201010186435.1A
Other languages
English (en)
Other versions
CN102262716A (zh
Inventor
孟齐源
王宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Tencent Computer Systems Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201010186435.1A priority Critical patent/CN102262716B/zh
Publication of CN102262716A publication Critical patent/CN102262716A/zh
Application granted granted Critical
Publication of CN102262716B publication Critical patent/CN102262716B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明提出了一种实时防护方法和装置,属于计算机技术领域。本发明实施例设置驱动层规则与应用层规则的对应关系,所述每一驱动层规则对应一个或一个以上应用层规则;当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;如果否则步骤结束;判断是否有与该驱动层规则对应的应用层规则;如果否则步骤结束;根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。本发明实施例能够在预定事件发生时,采用二级检测方式对事件进行过滤。减少提交给用户选择次数,提高用户的体验感。

Description

一种实时防护方法和装置
技术领域
本发明涉及计算机技术领域,特别涉及一种实时防护方法和装置。
背景技术
在各种实时防护软件中,都采用基于策略文件的方式定义软件的监控规则。实现方式是:底层驱动根据策略中的驱动层规则,捕获各类符合驱动层规则中定义的条件的事件,然后上交到应用层,并提交由用户决定是否允许该操作执行。
目前的各类实时防护软件都有自己的策略定义格式和规则检测。策略包括预设置的一套规则链,规则链中的规则包括:注册表路径、文件路径、进程名、TIPS类型等。当驱动层截获到发生了文件修改、注册表修改、操作进程等系统事件时,在驱动中根据策略定义的规则链进行判断,该事件是否符合规则链中的规则。如果与预设置的规则匹配,则提交到应用层。应用层将事件通过类似于TIPS窗口的方式提交到用户桌面,由用户选择是否通过。
例如,当用户安装QQ软件时,需要对注册表进行多处修改。其中,会涉及到对系统的启动项的修改。现有的实时防护软件的驱动层检测到注册表修改时,判断对启动项修改是否与策略中的规则链中的规则匹配。如果不匹配,也就是说规则链中不对注册表修改中的启动项修改这一操作进行监控,则允许该操作执行。如果匹配,则需要将该修改提交到应用层;应用层将该修改通过TIPS窗口的形式提交给用户,由用户判断是否允许QQ软件修改注册表的启动项。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
现有的这种实时防护策略设计方式的缺陷在于:捕获的系统事件几乎全部交由用户选择如何处理。这种方式对于不熟悉计算机系统知识的用户来说,很难做出正确的选择,导致系统存在安全隐患。
发明内容
为了解决现有技术中各种实时防护软件只对驱动层进行检测,并在发生与预设置的规则匹配的事件时交由应用层显示并由用户选择,导致的用户体验感差及存在安全隐患的问题,本发明实施例提出了一种实时防护方法和装置。所述技术方案如下:
本发明实施例提出了一种实时防护方法,包括:
设置驱动层规则与应用层规则的对应关系,所述驱动层规则中的至少一个驱动层规则对应一个或一个以上应用层规则,所述应用层规则包括文件签名过滤规则、程序访问控制过滤规则、程序MD5过滤规则、用户自定义过滤规则、用户询问过滤规则、可疑文件扫描过滤规则、用户历史选择过滤规则和用户询问过滤规则中的至少一种,当一条驱动层规则对应多条应用层规则时,将多条应用层规则根据优先级设置为一个应用层规则链;
当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;如果否则步骤结束;
判断是否有与该驱动层规则对应的应用层规则;如果否则步骤结束;
根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。
作为上述技术方案的优选,所述每一应用层规则至少包括以下一个或一个以上字段:
规则名称字段,用于记录所述应用层规则的名称;
动作ID字段,用于记录所述应用层规则对应的过滤函数;
关联驱动监控规则ID字段,用于记录与所述应用层规则对应的驱动层规则;
附加参数字段,用于记录所述应用层规则的参数。
作为上述技术方案的优选,所述通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层包括:
调用所述应用层规则对应的过滤函数,并将所述应用层规则对应的附加参数字段发送给过滤函数;接收所述过滤函数的返回值,如果该返回值是通过或禁止,则将该结果发送到驱动层,步骤结束;如果过滤函数的返回值是继续过滤,则进入下一条应用层规则。
作为上述技术方案的优选,所述方法还包括:
驱动层根据事件类型生成事件上下文消息,所述事件上下文消息中包括以下的一个或几个参数:执行进程ID、执行进程可执行程序路径、事件操作类型、操作对象;
驱动层将所述事件上下文消息发送到应用层;
应用层根据所述事件上下文消息,构建事件参数。
本发明实施例还提出了一种实时防护装置,包括:
对应关系设置模块,用于设置驱动层规则与应用层规则的对应关系,述所述驱动层规则中的至少一个驱动层规则对应一个或一个以上应用层规则,所述应用层规则包括文件签名过滤规则、程序访问控制过滤规则、程序MD5过滤规则、用户自定义过滤规则、用户询问过滤规则、可疑文件扫描过滤规则、用户历史选择过滤规则和用户询问过滤规则中的至少一种,当一条驱动层规则对应多条应用层规则时,将多条应用层规则根据优先级设置为一个应用层规则链;
事件监控模块,用于监控事件,当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;并判断是否有与该驱动层规则对应的应用层规则;
应用层过滤模块,用于根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。
作为上述技术方案的优选,所述每一应用层规则至少包括以下一个或一个以上字段:
规则名称字段,用于记录所述应用层规则的名称;
动作ID字段,用于记录所述应用层规则对应的过滤函数;
关联驱动监控规则ID字段,用于记录与所述应用层规则对应的驱动层规则;
附加参数字段,用于记录所述应用层规则的参数。
作为上述技术方案的优选,所述应用层过滤模块包括:
过滤函数调用单元,用于调用所述应用层规则对应的过滤函数,并将所述应用层规则对应的附加参数字段发送给过滤函数;
返回值接收单元,用于接收所述过滤函数的返回值,如果该返回值是通过或禁止,则将该结果发送到驱动层,如果过滤函数的返回值是继续过滤,则进入下一条应用层规则继续进行过滤。
作为上述技术方案的优选,所述装置还包括:
消息生成模块,设置于驱动层,用于根据事件类型生成事件上下文消息,所述事件上下文消息中包括以下的一个或几个参数:执行进程ID、执行进程可执行程序路径、事件操作类型、操作对象;
消息发送模块,设置于驱动层,用于将所述事件上下文消息发送到应用层;
参数重构模块,设置于应用层,用于根据所述事件上下文消息,构建事件参数。
本发明实施例提供的技术方案的有益效果是:本发明实施例提出了一种实时防护方法和装置,能够在预定事件发生时,采用二级检测方式对事件进行过滤。本发明实施例可以通过预设置的应用层规则进行过滤,可以由安全专家为用户提供更好的安全决策支持,并生成统一的应用层规则发送给每一个用户,这样可以避免所有的监控到的事件都提交给用户做选择。以减少提交给用户选择次数,提高用户的体验感。同时,这样不会影响到原有的策略格式定义,对原有的实时防护系统不产生影响,并具备更好的可扩展性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中使用的附图作一简单地介绍,显而易见地,下面所列附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明第一实施例的流程示意图;
图2为本发明第二实施例的流程示意图;
图3为本发明第三实施例的结构示意图;
图4为本发明第四实施例的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例1
步骤101、设置驱动层规则与应用层规则的对应关系,所述驱动层规则中的至少一个驱动层规则对应一个或一个以上应用层规则;
步骤102、当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;如果否则步骤结束;
步骤103、判断是否有与该驱动层规则对应的应用层规则;如果否则步骤结束;
步骤104、根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。
本发明实施例提出了一种实时防护方法,能够在预定事件发生时,采用二级检测方式对事件进行过滤。本发明实施例可以通过预设置的应用层规则进行过滤,可以由安全专家为用户提供更好的安全决策支持,并生成统一的应用层规则发送给每一个用户,这样可以避免所有的监控到的事件都提交给用户做选择。以减少提交给用户选择次数,提高用户的体验感。同时,这样不会影响到原有的策略格式定义,对原有的实时防护系统不产生影响,并具备更好的可扩展性。
实施例2
本发明第二实施例提出了一种实时防护方法,其流程如图2所示,包括:
步骤201:设置驱动层规则与应用层规则的对应关系,所述驱动层规则中的至少一个驱动层规则对应一个或一个以上应用层规则。
现有技术中,驱动层规则是与驱动层监控事件相对应的。现有的驱动层监控事件可以分为四个类型:注册表防护(RP)事件、文件防护(FP)事件、程序防护(AP)事件、网络防护(NP)事件。而这每一事件类型又可以分别对应一个或多个驱动层规则。而当对应多条驱动层规则时,可以将多条驱动层规则设置为一个驱动层规则链。
每一驱动层规则可以通过“谁(WHO),对什么(WHAT),做了什么(HOW),怎么处理(ACTION)”这四个字段的方式描述需要监控的监控点。在策略配置中可以将多个规则根据监控资源的类型进行分组,如对系统启动项的修改就会对应到多个RP的监控规则。监控规则中的“WHO”描述事件的发起者条件,一般来说是事件的执行进程的路径判断条件;“WHAT”描述事件的被操作对象条件,如文件防护中的保护的文件路径、注册表防护中的注册表路径和项名称;“HOW”描述事件的操作类型,如写注册表、写文件、打开进程、监听端口等;“ACTION”表示符合本规则的事件默认采取的操作是通过或者禁止。
同样的,应用层规则也可以有多种,例如:文件签名过滤规则、程序访问控制过滤规则、程序MD5过滤规则、用户自定义过滤规则、用户询问过滤规则、可疑文件扫描过滤规则、用户历史选择过滤规则、用户询问过滤规则。当然,还可以包括其他规则,本发明实施例并不以此为限。
在本发明实施例中,一条驱动层规则可以对应上述的一条或多条应用层规则。当对应多条应用层规则时,可以将多条应用层规则根据优先级设置为一个应用层规则链,以降低进行规则匹配时所需的时间。
其中,每一应用层规则可以包括:规则名称、动作ID、关联的驱动监控规则ID、附加参数等字段。其中“动作ID”表明了该过滤规则将要被执行何种过滤操作,可以预设一动作ID与过滤函数的对应关系表。在该应用层规则被执行时,会根据动作ID检索到过滤函数,然后执行该过滤函数。过滤函数返回的处理结果包括允许、禁止和过滤;如果返回允许和禁止,那么应用过滤规则链的检查将结束,并将结果返回驱动。如果返回过滤,则沿着应用过滤规则链继续过滤;“关联驱动监控规则ID”可以设定一个或者多个驱动监控项规则ID,将此过滤规则按照策略的优先级加入到关联到的驱动规则链的适当位置。“附加参数”是预先定义了在执行过滤函数时需要传入的参数,例如文件签名过滤规则中配置的文件签名白名单或者黑名单配置信息等。
步骤202:当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;如果否则步骤结束;如果是则跳转到步骤203。
其中,预设置的防护监控事件可以为注册表防护事件、文件防护事件、程序防护事件、网络防护事件。如果发生其中的一个事件时,则与预设置的一条或多条驱动层规则进行匹配。
对于驱动层的规则,可以为根据类型进行分类的多个规则链。例如:分为注册表防护、文件防护、程序防护、网络防护四种类型,每一类型都具有多个驱动层规则形成的一个规则链。在发生事件时,根据该规则链,依次与每一条驱动层规则逐一进行过滤,以判断是否有相应的驱动层规则。如果有相应的驱动层规则,如果有则跳转到步骤203。如果没有,则步骤结束。这是由于如果没有相应的驱动层规则时,非本发明方法所关注的部分,可以现有技术中的方法,即:当没有相应的驱动层规则时,可以默认放行该事件。
例如:当用户安装QQ软件时,需要对注册表进行多处修改。其中,一些对注册表的非关键条目的修改并不设置驱动层规则,例如安装路径等。对于这些事件在发生时,检测到并没有与其对应的驱动层规则,则对其直接通过。其中,一些对注册表的关键条目的修改,防护软件都会设置驱动层规则,例如系统启动项的修改等。对于这些关键条目的修改,则需要跳转到步骤203以判断是否有与其对应的应用层规则。
步骤203:判断是否有与该驱动层规则对应的应用层规则;如果没有,则步骤结束;如果有,则跳转到步骤204。
在步骤203中,如果匹配的驱动层规则没有对应的应用层规则,则可以采用现有技术中的方法对该时间进行处理,即:可以根据该驱动层规则的怎么处理(ACTION)字段,对该事件进行处理。而如果有对应的应用层规则,则跳转到步骤204。如果没有,则步骤结束。这是由于如果与驱动层规则对应的应用层规则时,则非本发明方法所关注;可以现有技术中的方法,即:当没有对应的应用层规则时,可以采用驱动层规则的“ACTION”字段标识使该事件通过或者禁止。
步骤204:根据事件的类型(注册表防护事件、文件防护事件、程序防护事件、网络防护事件),生成事件上下文消息。其中事件上下文消息中包括以下的一个或几个参数:执行进程ID、执行进程可执行程序路径、事件操作类型、操作对象。
同样以步骤202中的安装QQ软件为例,其所对应的进程ID可以通过读取系统获得;其执行程序路径一般为D:\Program Files\Tencent\QQ\QQ.EXE;事件操作类型为注册表防护;操作对象为注册表启动项修改。
步骤205:应用层在接收到该事件上下文消息后进行解析后,根据获取的事件参数,与步骤201中该驱动层规则对应的应用层规则或应用层规则链进行过滤。
其中,如果仅有一条应用层规则时,则只需进行过滤一次即可。如果为应用层规则链,则其中包括文件签名过滤规则、程序访问控制过滤规则、程序MD5过滤规则、用户自定义过滤规则、用户询问过滤规则、可疑文件扫描过滤规则、用户历史选择过滤规则、用户询问过滤规则中的两个或两个以上的应用层规则。
本发明实施例中可以预先对其设置优先级(例如,根据前述的关联的驱动监控规则ID,对每一规则设置优先级)并排序,形成应用层规则链。在进行过滤时,根据应用层规则链逐一进行过滤。这样可以节省过滤时间。
对一条应用层规则进行过滤的方法可以为:将附加参数发送到与该规则的动作ID对应的过滤函数。过滤函数可以根据需要进行预设置,在此并不对过滤函数进行限定。如果过滤函数的返回值是通过或禁止,则将该结果发送到驱动层,步骤结束。如果过滤函数的返回值是继续过滤,则进入下一条应用层规则;如果没有下一条应用层规则时,则也将该结果发送到驱动层,由驱动层的“ACTION”字段标识使该事件通过或者禁止。
在应用层规则链的最后一项过滤规则,可以设置为用户询问过滤规则。这样,在预设置的规则都无法确定通过或禁止时,交由用户选择。
以一个具有文件签名过滤规则、程序访问控制过滤规则、程序MD5过滤规则、用户自定义过滤规则、用户询问过滤规则、可疑文件扫描过滤规则、用户历史选择过滤规则、用户询问过滤规则形成的应用层规则链为例。当检测到QQ软件更改了注册表后,首先根据上述的应用层规则链中的优先级最高的规则进行过滤。如果优先级最高的规则为文件签名过滤规则,则调用该规则对应的过滤函数,并将该规则的附加参数(可以为文件签名黑名单、文件签名白名单)发送到过滤函数。过滤函数根据附加参数中的黑名单和白名单对QQ软件的文件签名进行匹配,如果位于黑名单中,则返回值为禁止;如果位于白名单中,则返回值为通过;如果黑名单和白名单中都不包括,则返回继续过滤。当返回值为继续过滤时,则采用下一条应用层规则再次进行过滤,直至返回值为通过或过滤,或达到最后一条规则。一般来说,最后一条规则可以设定为用户询问过滤规则,由用户选择通过或过滤。
步骤206:在步骤205根据应用层规则进行过滤后,则将最后的处理结果发送到驱动层。驱动层将该处理结果保存为驱动层规则的ACTION字段。
本发明实施例可以将事件进行分类,并对驱动层规则设置一条或多条对应的应用层规则,以降低过滤时的时间开销和系统开销。同时,还可以设置由多个应用层规则组成的应用层规则链,以通过多种方式对事件进行过滤,提高规则设置的灵活性。其中每一个应用层规则可以设置多个字段,其中包括附加参数字段,并通过动作ID字段与过滤函数对应,这样可以降低更新时数据传输量。例如,在服务器远程更新规则时,只需更新附件参数中的黑名单和白名单,则可以只对附件参数字段进行更改即可。如果更新时只需对过滤的方式进行更改,则可以只更新过滤函数。同时,本发明实施例提出了参数发送的方式,可以将事件参数由驱动层发送到应用层,以使应用层可以对事件进行过滤。
实施例3
本发明第三实施例提出了一种实时防护装置,其结构如图3所示,包括:
对应关系设置模块1,用于设置驱动层规则与应用层规则的对应关系,所述驱动层规则中的至少一个驱动层规则对应一个或一个以上应用层规则;
事件监控模块2,用于监控事件,当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;并判断是否有与该驱动层规则对应的应用层规则;
应用层过滤模块3,用于根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。
本发明实施例提出了一种实时防护装置,能够在预定事件发生时,采用二级检测方式对事件进行过滤。本发明实施例可以通过预设置的应用层规则进行过滤,可以由安全专家为用户提供更好的安全决策支持,并生成统一的应用层规则发送给每一个用户,这样可以避免所有的监控到的事件都提交给用户做选择。以减少提交给用户选择次数,提高用户的体验感。同时,这样不会影响到原有的策略格式定义,对原有的实时防护系统不产生影响,并具备更好的可扩展性。
实施例4
本发明第四实施例提出了一种实时防护装置,其结构如图4所示,包括:驱动层和应用层,还包括设置于驱动层的对应关系设置模块1、事件监控模块2、消息生成模块4,以及设置于应用层的参数重构模块6、应用层过滤模块3;还包括可以设置与驱动层内,或是驱动层与应用层之间的消息发送模块5。
对应关系设置模块1,用于设置驱动层规则与应用层规则的对应关系,所述驱动层规则中的至少一个驱动层规则对应一个或一个以上应用层规则。
现有技术中,驱动层规则是与驱动层监控事件相对应的。现有的驱动层监控事件可以分为四个类型:注册表防护(RP)事件、文件防护(FP)事件、程序防护(AP)事件、网络防护(NP)事件。而这每一事件类型又可以分别对应一个或多个驱动层规则。而当对应多条驱动层规则时,可以将多条驱动层规则设置为一个驱动层规则链。
每一驱动层规则可以通过“谁(WHO),对什么(WHAT),做了什么(HOW),怎么处理(ACTION)”这四个字段的方式描述需要监控的监控点。在策略配置中可以将多个规则根据监控资源的类型进行分组,如对系统启动项的修改就会对应到多个RP的监控规则。监控规则中的“WHO”描述事件的发起者条件,一般来说是事件的执行进程的路径判断条件;“WHAT”描述事件的被操作对象条件,如文件防护中的保护的文件路径、注册表防护中的注册表路径和项名称;“HOW”描述事件的操作类型,如写注册表、写文件、打开进程、监听端口等;“ACTION”表示符合本规则的事件默认采取的操作是通过或者禁止。
同样的,应用层规则也可以有多种,例如:文件签名过滤规则、程序访问控制过滤规则、程序MD5过滤规则、用户自定义过滤规则、用户询问过滤规则、可疑文件扫描过滤规则、用户历史选择过滤规则、用户询问过滤规则。当然,还可以包括其他规则,本发明实施例并不以此为限。
在本发明实施例中,一条驱动层规则可以对应上述的一条或多条应用层规则。当对应多条应用层规则时,可以将多条应用层规则根据优先级设置为一个应用层规则链,以降低进行规则匹配时所需的时间。
其中,每一应用层规则可以包括:规则名称、动作ID、关联的驱动监控规则ID、附加参数等字段。其中“动作ID”表明了该过滤规则将要被执行何种过滤操作,可以预设一动作ID与过滤函数的对应关系表。在该应用层规则被执行时,会根据动作ID检索到过滤函数,然后执行该过滤函数。过滤函数返回的处理结果包括允许、禁止和过滤;如果返回允许和禁止,那么应用过滤规则链的检查将结束,并将结果返回驱动。如果返回过滤,则沿着应用过滤规则链继续过滤;“关联驱动监控规则ID”可以设定一个或者多个驱动监控项规则ID,将此过滤规则按照策略的优先级加入到关联到的驱动规则链的适当位置。“附加参数”是预先定义了在执行过滤函数时需要传入的参数,例如文件签名过滤规则中配置的文件签名白名单或者黑名单配置信息等。
事件监控模块2,用于监控事件,当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;并判断是否有与该驱动层规则对应的应用层规则。
其中,预设置的防护监控事件可以为注册表防护事件、文件防护事件、程序防护事件、网络防护事件。如果发生其中的一个事件时,则与预设置的一条或多条驱动层规则进行匹配。
消息生成模块4,设置于驱动层,用于根据事件类型生成事件上下文消息,所述事件上下文消息中包括以下的一个或几个参数:执行进程ID、执行进程可执行程序路径、事件操作类型、操作对象;
消息发送模块5,设置于驱动层,用于将所述消息生成模块4生成的事件上下文消息发送到应用层;
参数重构模块6,设置于应用层,用于根据接收到的所述消息发送模块5的所述事件上下文消息,构建事件参数。
应用层过滤模块3,用于根据获取的参数重构模块6的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。
其中,应用层过滤模块3可以包括:
过滤函数调用单元31,用于调用所述应用层规则对应的过滤函数,并将所述应用层规则对应的附加参数字段发送给过滤函数;
返回值接收单元32,用于接收所述过滤函数的返回值,如果该返回值是通过或禁止,则将该结果发送到驱动层,如果过滤函数的返回值是继续过滤,则进入下一条应用层规则继续进行过滤。
本实施例提供的装置,具体可以通过计算机或其他电子设备实现,与前述的第一、第二实施例中的方法属于同一构思,其具体实现过程详见第一、第二实施例中的方法,这里不再赘述。
本发明实施例可以将事件进行分类,并对驱动层规则设置一条或多条对应的应用层规则,以降低过滤时的时间开销和系统开销。同时,还可以设置由多个应用层规则组成的应用层规则链,以通过多种方式对事件进行过滤,提高规则设置的灵活性。其中每一个应用层规则可以设置多个字段,其中包括附加参数字段,并通过动作ID字段与过滤函数对应,这样可以降低更新时数据传输量。例如,在服务器远程更新规则时,只需更新附件参数中的黑名单和白名单,则可以只对附件参数字段进行更改即可。如果更新时只需对过滤的方式进行更改,则可以只更新过滤函数。同时,本发明实施例提出了参数发送的方式,可以将事件参数由驱动层发送到应用层,以使应用层可以对事件进行过滤。
本发明实施例所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种实时防护方法,其特征在于,包括:
设置驱动层规则与应用层规则的对应关系,所述驱动层规则中的至少一条驱动层规则对应一个或一个以上应用层规则,所述应用层规则包括文件签名过滤规则、程序访问控制过滤规则、程序MD5过滤规则、用户自定义过滤规则、用户询问过滤规则、可疑文件扫描过滤规则、用户历史选择过滤规则和用户询问过滤规则中的至少一种,当一条驱动层规则对应多条应用层规则时,将多条应用层规则根据优先级设置为一个应用层规则链;
当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;如果否则步骤结束;
判断是否有与该驱动层规则对应的应用层规则;如果否则步骤结束;
根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。
2.根据权利要求1所述的实时防护方法,其特征在于,所述每一应用层规则至少包括以下一个或一个以上字段:
规则名称字段,用于记录所述应用层规则的名称;
动作ID字段,用于记录所述应用层规则对应的过滤函数;
关联驱动监控规则ID字段,用于记录与所述应用层规则对应的驱动层规则;
附加参数字段,用于记录所述应用层规则的参数。
3.根据权利要求2所述的实时防护方法,其特征在于,所述通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层包括:
调用所述应用层规则对应的过滤函数,并将所述应用层规则对应的附加参数字段发送给过滤函数;接收所述过滤函数的返回值,如果该返回值是通过或禁止,则将该结果发送到驱动层,步骤结束;如果过滤函数的返回值是继续过滤,则进入下一条应用层规则。
4.根据权利要求1-3任一项所述的实时防护方法,其特征在于,所述方法还包括:
驱动层根据事件类型生成事件上下文消息,所述事件上下文消息中包括以下的一个或几个参数:执行进程ID、执行进程可执行程序路径、事件操作类型、操作对象;
驱动层将所述事件上下文消息发送到应用层;
应用层根据所述事件上下文消息,构建事件参数。
5.一种实时防护装置,其特征在于,包括:
对应关系设置模块,用于设置驱动层规则与应用层规则的对应关系,述所述驱动层规则中的至少一条驱动层规则对应一个或一个以上应用层规则,所述应用层规则包括文件签名过滤规则、程序访问控制过滤规则、程序MD5过滤规则、用户自定义过滤规则、用户询问过滤规则、可疑文件扫描过滤规则、用户历史选择过滤规则和用户询问过滤规则中的至少一种,当一条驱动层规则对应多条应用层规则时,将多条应用层规则根据优先级设置为一个应用层规则链;
事件监控模块,用于监控事件,当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;并判断是否有与该驱动层规则对应的应用层规则;
应用层过滤模块,用于根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。
6.根据权利要求5所述的实时防护装置,其特征在于,所述每一应用层规则至少包括以下一个或一个以上字段:
规则名称字段,用于记录所述应用层规则的名称;
动作ID字段,用于记录所述应用层规则对应的过滤函数;
关联驱动监控规则ID字段,用于记录与所述应用层规则对应的驱动层规则;
附加参数字段,用于记录所述应用层规则的参数。
7.根据权利要求6所述的实时防护装置,其特征在于,所述应用层过滤模块包括:
过滤函数调用单元,用于调用所述应用层规则对应的过滤函数,并将所述应用层规则对应的附加参数字段发送给过滤函数;
返回值接收单元,用于接收所述过滤函数的返回值,如果该返回值是通过或禁止,则将该结果发送到驱动层,如果过滤函数的返回值是继续过滤,则进入下一条应用层规则继续进行过滤。
8.根据权利要求5-7任一项所述的实时防护装置,其特征在于,所述装置还包括:
消息生成模块,设置于驱动层,用于根据事件类型生成事件上下文消息,所述事件上下文消息中包括以下的一个或几个参数:执行进程ID、执行进程可执行程序路径、事件操作类型、操作对象;
消息发送模块,设置于驱动层,用于将所述事件上下文消息发送到应用层;
参数重构模块,设置于应用层,用于根据所述事件上下文消息,构建事件参数。
CN201010186435.1A 2010-05-25 2010-05-25 一种实时防护方法和装置 Active CN102262716B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201010186435.1A CN102262716B (zh) 2010-05-25 2010-05-25 一种实时防护方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010186435.1A CN102262716B (zh) 2010-05-25 2010-05-25 一种实时防护方法和装置

Publications (2)

Publication Number Publication Date
CN102262716A CN102262716A (zh) 2011-11-30
CN102262716B true CN102262716B (zh) 2014-03-05

Family

ID=45009337

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010186435.1A Active CN102262716B (zh) 2010-05-25 2010-05-25 一种实时防护方法和装置

Country Status (1)

Country Link
CN (1) CN102262716B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102750463A (zh) * 2011-12-16 2012-10-24 北京安天电子设备有限公司 一种提高重复扫描文件速度的系统及方法
CN102890641B (zh) * 2012-08-30 2015-02-11 北京奇虎科技有限公司 一种进程行为控制的方法和装置
CN103150518B (zh) * 2013-03-22 2016-02-17 腾讯科技(深圳)有限公司 一种文件实时防护的方法和装置
CN104063661A (zh) * 2014-06-09 2014-09-24 来安县新元机电设备设计有限公司 一种计算机软件安全防护方法
US9565204B2 (en) 2014-07-18 2017-02-07 Empow Cyber Security Ltd. Cyber-security system and methods thereof
CN106407751B (zh) * 2016-08-31 2018-11-27 北京深思数盾科技股份有限公司 对可执行文件进行保护的方法和装置
CN110807575A (zh) * 2019-10-10 2020-02-18 北京健康之家科技有限公司 消息发送方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7096495B1 (en) * 2000-03-31 2006-08-22 Intel Corporation Network session management
CN100547546C (zh) * 2003-08-25 2009-10-07 联想(北京)有限公司 一种软硬件智能识别和保护方法
CN100568812C (zh) * 2004-08-12 2009-12-09 海信集团有限公司 注册表保护方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7096495B1 (en) * 2000-03-31 2006-08-22 Intel Corporation Network session management
CN100547546C (zh) * 2003-08-25 2009-10-07 联想(北京)有限公司 一种软硬件智能识别和保护方法
CN100568812C (zh) * 2004-08-12 2009-12-09 海信集团有限公司 注册表保护方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
刘璐等.基于NDIS中间层驱动的高速网络设备监测技术.《计算机应用研究》.2008,第25卷(第10期),第3123页.
基于NDIS中间层驱动的高速网络设备监测技术;刘璐等;《计算机应用研究》;20081030;第25卷(第10期);第3123页 *

Also Published As

Publication number Publication date
CN102262716A (zh) 2011-11-30

Similar Documents

Publication Publication Date Title
CN102262716B (zh) 一种实时防护方法和装置
EP3035637B1 (en) Policy-based network security
CN102981835B (zh) 安卓应用程序永久获取Root权限的方法
CN102045390B (zh) 计算机专用软件更新的自动配置
EP2551786B1 (en) Efficient securing of data on mobile devices
Scoccia et al. An investigation into Android run-time permissions from the end users' perspective
US20130007883A1 (en) Portable Security Device and Methods for Detection and Treatment of Malware
US8782782B1 (en) Computer system with risk-based assessment and protection against harmful user activity
US20030191730A1 (en) Unobtrusive rule-based computer usage enhancement system
CN100492300C (zh) 在微处理器实现的设备上执行进程的系统和方法
CN102105861A (zh) 应用程序改变的状态分离
KR101113820B1 (ko) 응용프로그램의 파일 입출력 보안방법과 보안시스템
KR20060079854A (ko) 보안 위험을 평가하는 메카니즘
CN102263773B (zh) 实时防护的方法和装置
JP2005259126A (ja) コードのメータリングされた実行
WO2012173626A1 (en) System and method for policy generation
CN110188574B (zh) 一种Docker容器的网页防篡改系统及其方法
CN105224862A (zh) 一种office剪切板的拦截方法及装置
CN104572197A (zh) 一种启动项的处理方法和装置
CN104252594A (zh) 病毒检测方法和装置
CN110472381B (zh) 基于安卓系统的root权限隐藏方法、系统及存储介质
CA3187583A1 (en) Providing triggers based on one-to-many or many-to-one relationships in a system of record
Dantas et al. Automating safety and security co-design through semantically rich architecture patterns
US8966618B2 (en) License management system, and computer-readable recording medium storing license management program
CN102200907A (zh) 一种门户应用程序的个性化配置方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20151230

Address after: The South Road in Guangdong province Shenzhen city Fiyta building 518057 floor 5-10 Nanshan District high tech Zone

Patentee after: Shenzhen Tencent Computer System Co., Ltd.

Address before: 518000 Guangdong city of Shenzhen province Futian District SEG Science Park 2 East Room 403

Patentee before: Tencent Technology (Shenzhen) Co., Ltd.