CN103679035A - 安全性检测方法与装置 - Google Patents
安全性检测方法与装置 Download PDFInfo
- Publication number
- CN103679035A CN103679035A CN201210358322.4A CN201210358322A CN103679035A CN 103679035 A CN103679035 A CN 103679035A CN 201210358322 A CN201210358322 A CN 201210358322A CN 103679035 A CN103679035 A CN 103679035A
- Authority
- CN
- China
- Prior art keywords
- sensitive operation
- initiating
- initiation module
- security
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Abstract
本发明公开了一种安全性检测方法与装置,属于计算机安全技术领域。所述方法包括:确定发起敏感操作的进程中的发起模块;采集所述发起模块的身份信息;根据采集的信息和预设的数据库对发起所述敏感操作的安全性进行检测。本发明实施例的安全性检测方案,通过与现有技术相比,检测粒度较细,能够有效地提高计算机系统的安全性与稳定性。且本发明实施例的技术方案,通过具体根据发起模块的身份信息和预设的数据库对发起敏感操作的安全性进行检测,还能够有效地防止黑属性的发起模块劫持白属性的进程发起敏感操作不能够被检测到,从而能够有效地提高安全性检测效率,保证了计算机系统的安全性与稳定性。
Description
技术领域
本发明涉及计算机安全技术领域,特别涉及一种安全性检测方法与装置。
背景技术
随着科技的发展,计算机的实时防护技术是保证计算机安全运行的必要保障。
现有的实时防护技术中,通过对如驱动加载,修改系统注册表关键项或者注入等之类的系统的敏感操作进行监控,当捕获到系统的敏感操作时,采集该敏感操作的发起进程以及该发起进程的相关信息。例如敏感操作的发起进程exe的相关信息可以包括该发起进程的md5、数字签名和文件厂商信息中的至少一个。然后根据该发起进程的相关信息对发起进程进行安全性检测,以确定是否放行该敏感操作。其中根据该发起进程的相关信息对发起进程进行安全性检测,也可以理解为根据该发起进程的相关信息判断发起进程的黑白属性,当发起进程为白属性时,该发起进程为安全的,此时对应的可以放行该敏感操作。当发起进程为黑属性时,该发起进程是危险的(即不安全的),此时对应的可以禁止放行该敏感操作。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:上述的现有实时防护技术,仅对敏感操作的发起进程进行安全性验证,而实际应用中,一个发起进程可以包含有多个模块,当该发起进程为安全(即白属性)进程,而该发起进程中的多个模块中包括有危险(即黑属性)的模块,且该危险模块通过注入,dll劫持进入到属于安全的该发起进程并发起敏感操作,根据现有的上述实时防护技术,由于该发起进程为安全的,直接放行该敏感操作,而实际的发起者是黑属性的模块劫持该发起进程发起的,从而严重影响了系统的安全性与稳定性。因此现有的实时防护技术中的安全性检测粒度过粗,造成计算机系统的安全性与稳定性较差。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种安全性检测方法与装置。所述技术方案如下:
一方面,提供了一种安全性检测方法,所述方法包括:
确定发起敏感操作的进程中的发起模块;
采集所述发起模块的身份信息;
根据采集的信息和预设的数据库对发起所述敏感操作的安全性进行检测。
可选地,如上所述的安全性检测方法中,所述根据采集的信息和预设的数据库对发起所述敏感操作的安全性进行检测之后,还包括:
根据安全性检测的结果,确定是否放行所述敏感操作。
可选地,如上所述的安全性检测方法中,所述确定发起敏感操作的进程中的发起模块,包括:
通过栈回溯的定位方法确定发起所述敏感操作的进程中的所述发起模块;
或者通过线程起始地址查询的定位方法确定发起所述敏感操作的进程中的所述发起模块。
可选地,如上所述的安全性检测方法中,所述根据采集的信息和预设的数据库对发起所述敏感操作的安全性进行检测之前,还包括:
采集所述敏感操作的参数信息。
可选地,如上所述的安全性检测方法中,所述根据采集的信息对发起所述敏感操作的安全性进行检测,包括:
根据所述发起模块的身份信息、所述敏感操作的参数信息和所述预设的数据库对发起所述敏感操作的安全性进行检测。
可选地,如上所述的安全性检测方法中,根据所述发起模块的身份信息、所述敏感操作的参数信息和所述预设的数据库对发起所述敏感操作的安全性进行检测,包括:
根据所述发起模块的身份信息和所述预设的数据库检测所述发起模块的黑白属性;
根据所述敏感操作的参数信息和所述预设的数据库检测所述敏感操作的黑白属性;
根据所述发起模块的黑白属性和所述敏感操作的黑白属性对发起所述敏感操作的安全性进行检测。
可选地,如上所述的安全性检测方法中,根据所述发起模块的黑白属性和所述敏感操作的黑白属性对发起所述敏感操作的安全性进行检测,包括:
当所述发起模块和所述敏感操作均为白属性时,确定发起所述敏感操作是安全的;
否则当所述发起模块和/或所述敏感操作为黑属性时,确定发起所述敏感操作是危险的。
可选地,如上所述的安全性检测方法中,所述发起模块的身份信息包括数字签名信息、文件厂商信息和文件描述信息中的至少一个。
另一方面,提供了一种安全性检测装置,所述装置包括:
确定单元,用于确定发起敏感操作的进程中的发起模块;
采集单元,用于采集所述发起模块的身份信息;
检测单元,用于根据采集的信息和预设的数据库对发起所述敏感操作的安全性进行检测。
可选地,如上所述的安全性检测装置中,所述装置还包括:
确定单元,用于根据所述检测单元安全性检测的结果,确定是否放行所述敏感操作。
可选地,如上所述的安全性检测装置中,所述确定单元,具体用于通过栈回溯的定位方法确定发起所述敏感操作的进程中的所述发起模块;或者具体用于通过线程起始地址查询的定位方法确定发起所述敏感操作的进程中的所述发起模块。
可选地,如上所述的安全性检测装置中,所述采集单元,还用于在所述检测单元根据采集的信息和预设的数据库对发起所述敏感操作的安全性进行检测之前,采集所述敏感操作的参数信息。
可选地,如上所述的安全性检测装置中,所述检测单元,具体用于根据所述发起模块的身份信息、所述敏感操作的参数信息和所述预设的数据库对发起所述敏感操作的安全性进行检测。
可选地,如上所述的安全性检测装置中,所述检测单元包括:
第一检测子单元,用于根据所述发起模块的身份信息和所述预设的数据库检测所述发起模块的黑白属性;
第二检测子单元,用于根据所述敏感操作的参数信息和所述预设的数据库检测所述敏感操作的黑白属性;
第三检测子单元,用于根据所述发起模块的黑白属性和所述敏感操作的黑白属性对发起所述敏感操作的安全性进行检测。
可选地,如上所述的安全性检测装置中,所述第三检测子单元,具体用于当所述发起模块和所述敏感操作均为白属性时,确定发起所述敏感操作是安全的;否则当所述发起模块和/或所述敏感操作为黑属性时,确定发起所述敏感操作是危险的。
可选地,如上所述的安全性检测装置中,所述发起模块的身份信息包括数字签名信息、文件厂商信息和文件描述信息中的至少一个。
本发明实施例的安全性检测方法与装置,通过确定发起敏感操作的进程中的发起模块;采集所述发起模块的身份信息;根据采集的信息和预设的数据库对发起所述敏感操作的安全性进行检测。本发明实施例中安全性检测方案中,能够具体根据发起模块的身份信息和预设的数据库对发起敏感操作的安全性进行检测,与现有技术相比,检测粒度较细,能够有效地提高计算机系统的安全性与稳定性。且本发明实施例的技术方案,通过具体根据发起模块的身份信息和预设的数据库对发起敏感操作的安全性进行检测,还能够有效地防止黑属性的发起模块劫持白属性的进程发起敏感操作不能够被检测到,从而能够有效地提高安全性检测效率,保证了计算机系统的安全性与稳定性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的安全性检测方法的流程图。
图2为本发明实施例二提供的安全性检测方法的流程图。
图3为本发明实施例三提供的安全性检测方法的流程图。
图4为本发明实施例四提供的安全性检测装置的结构示意图。
图5为本发明实施例五提供的安全性检测装置的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
图1为本发明实施例一提供的安全性检测方法的流程图。如图1所示,本实施例的安全性检测方法,具体可以包括如下步骤:
100、确定发起敏感操作的进程中的发起模块;
101、采集发起模块的身份信息;
102、根据采集的信息和预设的数据库对发起敏感操作的安全性进行检测。
例如本实施例的敏感操作可以为驱动加载、修改系统注册表关键项或者注入等。本实施例的技术方案与现有技术相比,具体可以确定到进程中的发起该敏感操作的发起模块。然后采集发起模块的身份信息,例如发起模块的身份信息具体可以包括数字签名信息、文件厂商信息和文件描述信息中的至少一个。最后可以根据采集的信息对“发起敏感操作”这个发起过程进行检测。本实施例中的发起模块即为进程中发起该敏感操作的模块。
具体地,本实施例中的预设的数据库不做限定,可以为黑属性的数据库,即包括危险的发起模块身份信息的数据库;也可以为白属性的数据库,即包括安全的发起模块的身份信息的数据库。或者该预设的数据库既包括黑属性的数据库也包括白属性的数据库。
当预设的数据库仅包括黑属性的数据库时,具体可以检测黑属性的数据库中是否包括有采集的信息,当包括的时候,可以认为发起该敏感操作是不安全的,即危险的;否则当不包括的时候,可以认为发起该敏感操作是安全的。
当预设的数据库仅包括白属性的数据库时,具体可以检测白属性的数据库中是否包括有采集的信息,当包括的时候,可以认为发起该敏感操作是安全的;否则当不包括的时候,可以认为发起敏该感操作是不安全的,即危险的。
当预设的数据库即包括白属性的数据库又包括黑属性数据库时,具体可以分别采用白属性的数据库和黑属性数据库对采集的信息进行检测,当白属性的数据库包括有采集的信息时,可以认为发起该敏感操作是安全的;否则当黑属性的数据库中包括有采集的信息时,可以认为发起敏该感操作是不安全的,即危险的。当黑属性的数据库和白属性的数据库中都未包括采集的信息时,暂时可以认为发起该敏感操作是危险的,并且可以进一步向计算机发出提示,以供计算机的用户做进一步的判断处理。
本实施例的安全性检测方法的执行主体为安全性检测装置,例如该安全性检测装置可以设置在计算机的实时安全防护设备中。
本实施例的安全性检测方法,通过确定发起敏感操作的进程中的发起模块;采集发起模块的身份信息;根据采集的信息和预设的数据库对发起敏感操作的安全性进行检测。本实施例中安全性检测方案中,能够具体根据发起模块的身份信息对发起敏感操作的安全性进行检测,与现有技术相比,检测粒度较细,能够有效地提高计算机系统的安全性与稳定性。且本实施例的技术方案,通过具体根据发起模块的身份信息和预设的数据库对发起敏感操作的安全性进行检测,还能够有效地防止黑属性的发起模块劫持白属性的进程发起敏感操作不能够被检测到,从而能够有效地提高安全性检测效率,保证了计算机系统的安全性与稳定性。
可选地,在上述图1所示实施例的步骤102“根据采集的信息和预设的数据库对发起敏感操作的安全性进行检测”之后,还可以包括:根据安全性检测的结果,确定是否放行敏感操作。
例如当根据安全性检测的结果,确定该发起敏感操作的发起过程是安全的,可以放弃该敏感操作。当根据安全性检测的结果,确定该发起该敏感操作的发起过程是危险的,此时可以拒绝该敏感操作运行;此时安全性检测装置还可以进一步地向计算机发出提示“发起敏感操作是危险的”,该提示可以显示在计算机屏幕上,以告知用户该敏感操作已被禁止。
或者在步骤102之后,安全性检测装置还可以根据安全性检测的结果,向计算机发出相应的提示,以由计算机操作用户根据相应的提示确定是否要放行该敏感操作。
即当根据安全性检测的结果,确定该发起敏感操作的发起过程是安全的,向计算机发送提示“发起敏感操作是安全的”,该提示可以显示在计算机屏幕上,以向用户呈现。用户通过键盘或者鼠标确定是否放行该敏感操作。当根据安全性检测的结果,确定该发起该敏感操作的发起过程是危险的,此时计算机发送提示“发起敏感操作是危险的”,该提示也可以显示在计算机屏幕上,以向用户呈现。用户通过键盘或者鼠标确定是否放行该敏感操作。该实施例的方式中,安全性检测装置在进行安全性检测之后,不自行确定是否放行敏感操作,仅向计算机发出提示,以由计算机用户根据相应的提示确定是否放行敏感操作。
可选地,上述图1所示实施例的步骤100“确定发起敏感操作的进程中的发起模块”具体可以包括如下两种确定方式:第一种、通过栈回溯的定位方法确定发起敏感操作的进程中的发起模块;第二种通过线程起始地址查询的定位方法确定发起敏感操作的进程中的发起模块。
进一步可选地,上述图1所示实施例的步骤102“根据采集的信息和预设的数据库对发起敏感操作的安全性进行检测”之前,具体还可以包括:采集敏感操作的参数信息。
(1)例如敏感操作的参数信息具体可以包括该敏感操作的基本参数信息,例如当敏感操作为驱动加载的时候,敏感操作的参数信息可以包括驱动的驱动名称路径等。当敏感操作为修改系统注册表关键项时,敏感操作的参数信息可以包括注册表键,注册表项,以及修改的新值和旧值等。当敏感操作为注入时,敏感操作的参数信息可以包括注入的进程名称或者进程标识等等。
具体地,该“采集敏感操作的参数信息”的步骤与上述实施例的步骤100和步骤101可以没有先后顺序关系。实际应用中,在上述图1所示实施例的步骤100“确定发起敏感操作的进程中的发起模块”之前,具体还可以包括:监控并捕获敏感操作。而本实施例中的“采集敏感操作的参数信息”应该在“监控并捕获敏感操作”之后进行。
进一步可选地,上述图1所示实施例的步骤102“根据采集的信息和预设的数据库对发起敏感操作的安全性进行检测”,具体可以包括:根据发起模块的身份信息、敏感操作的参数信息和预设的数据库对发起敏感操作的安全性进行检测。
进一步可选地“根据发起模块的身份信息、敏感操作的参数信息和预设的数据库对发起敏感操作的安全性进行检测”,具体可以包括如下步骤:
(1)根据发起模块的身份信息和预设的数据库检测发起模块的黑白属性;
(2)根据敏感操作的参数信息和预设的数据库检测敏感操作的黑白属性;
(3)根据发起模块的黑白属性和敏感操作的黑白属性对发起敏感操作的安全性进行检测。
同理,本实施例的技术方案中,预设的也可以为黑属性的数据库;也可以为白属性的数据库,即包括安全的发起模块的身份信息的数据库。或者该预设的数据库既可以包括黑属性的数据库也可以包括白属性的数据库。
当预设的数据库仅包括黑属性的数据库时,步骤(1)具体可以检测黑属性的数据库中是否包括有发起模块的身份信息,当包括的时候,可以认为发起模块是不安全的,即发起模块为黑属性;否则当不包括的时候,可以认为该发起模块为白属性,即发起模块是安全的。当预设的数据库仅包括白属性的数据库时,步骤(1)具体可以检测白属性的数据库中是否包括有发起模块的身份信息,当包括的时候,可以认为发起模块是安全的,即发起模块为白属性;否则当不包括的时候,可以认为该发起模块为黑属性,即发起模块是危险的。当预设的数据库即包括白属性的数据库又包括黑属性数据库时,步骤(1)具体可以分别检测白属性的数据库和黑属性数据库中是否包括有发起模块的身份信息,当黑属性的数据库中包括有发起模块的身份信息,可以认为发起模块是不安全的,即发起模块为黑属性;当白属性的数据库中包括有发起模块的身份信息,可以认为发起模块是安全的,即发起模块为白属性;当白属性的数据库和黑属性数据库中均未包括有发起模块的身份信息,暂时可以认为该发起模块是不安全的,即发起模块为黑属性。或者进一步地可以向计算机发出提示,以告知用户预设的数据库中未检测到该发起模块的身份信息,暂时认为该发起模块是不安全的。
同理采用上述类似的方式可以实现步骤(2)中根据敏感操作的参数信息和预设的数据库检测敏感操作的黑白属性,在此不再赘述。
具体地,步骤(3)中“根据发起模块的黑白属性和敏感操作的黑白属性对发起敏感操作的安全性进行检测”,具体可以包括:当发起模块和敏感操作均为白属性时,确定发起敏感操作是安全的;否则当发起模块和/或敏感操作为黑属性时,确定发起敏感操作是危险的。
上述所有可选技术方案可以采用可结合的方式任意结合组成本发明的可选实施例,在此不再一一赘述。
上述实施例的安全性检测方案,能够具体根据发起模块的身份信息和预设的数据库对发起敏感操作的安全性进行检测,与现有技术相比,检测粒度较细,能够有效地提高计算机系统的安全性与稳定性。且本实施例的技术方案,通过具体根据发起模块的身份信息和预设的数据库对发起敏感操作的安全性进行检测,还能够有效地防止黑属性的发起模块劫持白属性的进程发起敏感操作不能够被检测到,从而能够有效地提高安全性检测效率,保证了计算机系统的安全性与稳定性。
根据上述实施例的技术方案的记载,下述实施例二和实施例三分别介绍本发明的两种可选实施例,但是实施例二和实施例三的技术方案仅用于提供本发明的两种可选实现方式,并不对本发明所保护的内容作任何限定。
实施例二
图2为本发明实施例二提供的安全性检测方法的流程图。如图2所示,本实施例的安全性检测方法,具体可以包括如下步骤:
200、安全性检测装置监控并捕获敏感操作;
201、安全性检测装置通过栈回溯的定位方法确定发起敏感操作的进程中的发起模块;
202、安全性检测装置采集发起模块的身份信息;
203、安全性检测装置判断预设的黑属性的数据库中是否包括有发起模块的身份信息,当包括的时候,执行步骤204;否则当未包括的时候,执行步骤205;
本实施例中以预设数据库为黑属性数据库为例描述本发明的技术方案。
204、安全性检测装置确定该发起模为黑属性,确定发起敏感操作是危险的;执行206;
205、安全性检测装置确定该发起模块为白属性,确定发起敏感操作是安全的;执行207;
206、安全性检测装置禁止放行该敏感操作,执行208;
207、安全性检测装置放行该敏感操作;结束。
208、安全性检测装置向计算机发送“该敏感操作危险”的提示消息,以告知计算机禁止放行该敏感操作的原因。
本实施例的安全性检测方法,能够具体根据发起模块的身份信息和预设的数据库对发起敏感操作的安全性进行检测,与现有技术相比,检测粒度较细,能够有效地提高计算机系统的安全性与稳定性。且本实施例的技术方案,通过具体根据发起模块的身份信息和预设的数据库对发起敏感操作的安全性进行检测,还能够有效地防止黑属性的发起模块劫持白属性的进程发起敏感操作不能够被检测到,从而能够有效地提高安全性检测效率,保证了计算机系统的安全性与稳定性。
实施例三
图3为本发明实施例三提供的安全性检测方法的流程图。如图3所示,本实施例的安全性检测方法,具体可以包括如下步骤:
300、安全性检测装置监控并捕获敏感操作;
301、安全性检测装置采集敏感操作的参数信息;
302、安全性检测装置通过线程起始地址查询的定位方法确定发起敏感操作的进程中的发起模块;
303、安全性检测装置采集发起模块的身份信息;
304、安全性检测装置判断预设的白属性的数据库中是否同时包括有发起模块的身份信息和敏感操作的参数信息,当预设的白属性的数据库中是同时包括有发起模块的身份信息和敏感操作的参数信息的时候,执行步骤305;否则预设的白属性的数据库中未同时包括发起模块的身份信息和敏感操作的参数信息的时候,执行步骤306;
本实施例中以预设数据库为白属性数据库为例描述本发明的技术方案。
305、安全性检测装置向计算机发出“发起敏感操作安全“;执行307;
306、安全性检测装置向计算机发出“发起敏感操作危险“;执行308;
307、计算机根据提示放行该敏感操作;结束。
308、计算机根据提示禁止放行该敏感操作。
本实施例的安全性检测方法,能够具体根据发起模块的身份信息、敏感操作的参数信息和预设的数据库对发起敏感操作的安全性进行检测,与现有技术相比,检测粒度较细,能够有效地提高计算机系统的安全性与稳定性。且本实施例的技术方案,通过具体根据发起模块的身份信息、敏感操作的参数信息和预设的数据库对发起敏感操作的安全性进行检测,还能够有效地防止黑属性的发起模块劫持白属性的进程发起敏感操作不能够被检测到,从而能够有效地提高安全性检测效率,保证了计算机系统的安全性与稳定性。
实施例四
图4为本发明实施例四提供的安全性检测装置的结构示意图。如图4所示,本实施例的安全性检测装置,具体可以包括:确定单元10、采集单元11和检测单元12。
其中确定单元10用于确定发起敏感操作的进程中的发起模块;采集单元11与确定单元10连接,采集单元11用于采集确定单元10确定的发起模块的身份信息;检测单元12与采集单元11连接,检测单元12用于根据采集单元11采集的信息和预设的数据库对发起敏感操作的安全性进行检测。
本实施例的安全性检测装置,通过采用上述单元实现安全性检测的实现机制与上述相关方法实施例的实现机制相同,详细可以参考上述相关方法实施例的记载,在此不再赘述。
本实施例的安全性检测装置,通过采用上述单元通过确定发起敏感操作的进程中的发起模块;采集发起模块的身份信息;根据采集的信息和预设的数据库对发起敏感操作的安全性进行检测。本实施例中安全性检测方案中,能够具体根据发起模块的身份信息和预设的数据库对发起敏感操作的安全性进行检测,与现有技术相比,检测粒度较细,能够有效地提高计算机系统的安全性与稳定性。且本实施例的技术方案,通过具体根据发起模块的身份信息和预设的数据库对发起敏感操作的安全性进行检测,还能够有效地防止黑属性的发起模块劫持白属性的进程发起敏感操作不能够被检测到,从而能够有效地提高安全性检测效率,保证了计算机系统的安全性与稳定性。
实施例五
图5为本发明实施例五提供的安全性检测装置的结构示意图。如图5所示,本实施例的安全性检测装置在上述图4所示实施例的基础上,进一步还可以包括如下技术方案。
如图5所示,本实施例的安全性检测装置中还可以包括确定单元13。该确定单元13与检测单元12连接。确定单元13用于根据检测单元12安全性检测的结果,确定是否放行敏感操作。
可选地,本实施例的安全性检测装置中,确定单元10具体用于通过栈回溯的定位方法确定发起敏感操作的进程中的发起模块;或者具体用于通过线程起始地址查询的定位方法确定发起敏感操作的进程中的发起模块。
可选地,本实施例的安全性检测装置中,采集单元11还用于在检测单元12根据采集的信息和预设的数据库对发起敏感操作的安全性进行检测之前,采集敏感操作的参数信息。
可选地,本实施例的安全性检测装置中,检测单元12具体用于根据发起单元的身份信息、敏感操作的参数信息和预设的数据库对发起敏感操作的安全性进行检测。
可选地,本实施例的安全性检测装置中,检测单元12具体可以包括:第一检测子单元121、第二检测子单元122和第三检测子单元123。
例如,第一检测子单元121具体可以与采集单元11连接,第一检测子单元121用于根据采集单元11采集的发起模块的身份信息和预设的数据库检测发起模块的黑白属性;第二检测子单元122具体也可以与采集单元11连接,第二检测子单元122用于根据采集单元11采集的敏感操作的参数信息和预设的数据库检测敏感操作的黑白属性;第三检测子单元123分别与第一检子测单元121和第二检测子单元122连接,第三检测子单元123用于根据第一检测子单元121检测得到的发起模块的黑白属性和第二检测子单元122检测得到的敏感操作的黑白属性对发起敏感操作的安全性进行检测。
例如进一步可选地,本实施例的安全性检测装置中,第三检测子单元123具体用于当第一检测子单元121检测得到的发起模块和第二检测子单元122检测得到的敏感操作均为白属性时,确定发起敏感操作是安全的;否则当第一检测子单元121检测得到的发起模块和/或第二检测子单元122检测得到的敏感操作为黑属性时,确定发起敏感操作是危险的。此时对应的确定单元13与第三检测子单元123连接,用于根据第三检测子单元123的安全性检测的结果,确定是否放行敏感操作。
需要说明的是,本实施例的安全性检测装置中,发起模块的身份信息包括数字签名信息、文件厂商信息和文件描述信息中的至少一个。
本实施例的安全性检测装置,通过采用上述单元实现安全性检测的实现机制与上述相关方法实施例的实现机制相同,详细可以参考上述相关方法实施例的记载,在此不再赘述。
本实施例的安全性检测装置,通过采用上述单元能够具体根据发起模块的身份信息、敏感操作的参数信息和预设的数据库对发起敏感操作的安全性进行检测,与现有技术相比,检测粒度较细,能够有效地提高计算机系统的安全性与稳定性。且本实施例的技术方案,通过具体根据发起模块的身份信息、敏感操作的参数信息和预设的数据库对发起敏感操作的安全性进行检测,还能够有效地防止黑属性的发起模块劫持白属性的进程发起敏感操作不能够被检测到,从而能够有效地提高安全性检测效率,保证了计算机系统的安全性与稳定性。
需要说明的是,上述本发明实施例的安全性检测装置具体可以应用在实时防护服务器端,用于对计算机客户端的安全性进行检测。具体地,本发明实施例中的安全性检测装置具体可以采用软件或者硬件方式实现上述本发明实施例的所有功能,详细可以参考上述实施例的记载,在此不再赘述。
需要说明的是:上述实施例提供的安全性检测装置在安全性检测时,仅以上述各功能单元的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元完成,即将装置的内部结构划分成不同的功能单元,以完成以上描述的全部或者部分功能。另外,上述实施例提供的安全性检测装置与安全性检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种安全性检测方法,其特征在于,所述方法包括:
确定发起敏感操作的进程中的发起模块;
采集所述发起模块的身份信息;
根据采集的信息和预设的数据库对发起所述敏感操作的安全性进行检测。
2.根据权利要求1所述的方法,其特征在于,所述根据采集的信息和预设的数据库对发起所述敏感操作的安全性进行检测之后,所述方法还包括:
根据安全性检测的结果,确定是否放行所述敏感操作。
3.根据权利要求1所述的方法,其特征在于,所述确定发起敏感操作的进程中的发起模块,包括:
通过栈回溯的定位方法确定发起所述敏感操作的进程中的所述发起模块;
或者通过线程起始地址查询的定位方法确定发起所述敏感操作的进程中的所述发起模块。
4.根据权利要求1所述的方法,其特征在于,所述根据采集的信息和预设的数据库对发起所述敏感操作的安全性进行检测之前,所述方法还包括:
采集所述敏感操作的参数信息。
5.根据权利要求4所述的方法,其特征在于,所述根据采集的信息和预设的数据库对发起所述敏感操作的安全性进行检测,包括:
根据所述发起模块的身份信息、所述敏感操作的参数信息和所述预设的数据库对发起所述敏感操作的安全性进行检测。
6.根据权利要求4所述的方法,其特征在于,根据所述发起模块的身份信息、所述敏感操作的参数信息和所述预设的数据库对发起所述敏感操作的安全性进行检测,包括:
根据所述发起模块的身份信息和所述预设的数据库检测所述发起模块的黑白属性;
根据所述敏感操作的参数信息和所述预设的数据库检测所述敏感操作的黑白属性;
根据所述发起模块的黑白属性和所述敏感操作的黑白属性对发起所述敏感操作的安全性进行检测。
7.根据权利要求6所述的方法,其特征在于,根据所述发起模块的黑白属性和所述敏感操作的黑白属性对发起所述敏感操作的安全性进行检测,包括:
当所述发起模块和所述敏感操作均为白属性时,确定发起所述敏感操作是安全的;
否则当所述发起模块和/或所述敏感操作为黑属性时,确定发起所述敏感操作是危险的。
8.根据权利要求1-7任一所述的方法,其特征在于,所述发起模块的身份信息包括数字签名信息、文件厂商信息和文件描述信息中的至少一个。
9.一种安全性检测装置,其特征在于,所述装置包括:
确定单元,用于确定发起敏感操作的进程中的发起模块;
采集单元,用于采集所述发起模块的身份信息;
检测单元,用于根据采集的信息和预设的数据库对发起所述敏感操作的安全性进行检测。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
确定单元,用于根据所述检测单元安全性检测的结果,确定是否放行所述敏感操作。
11.根据权利要求9所述的装置,其特征在于,所述确定单元,具体用于通过栈回溯的定位方法确定发起所述敏感操作的进程中的所述发起模块;或者具体用于通过线程起始地址查询的定位方法确定发起所述敏感操作的进程中的所述发起模块。
12.根据权利要求9所述的装置,其特征在于,所述采集单元,还用于在所述检测单元根据采集的信息和预设的数据库对发起所述敏感操作的安全性进行检测之前,采集所述敏感操作的参数信息。
13.根据权利要求12所述的装置,其特征在于,所述检测单元,具体用于根据所述发起模块的身份信息、所述敏感操作的参数信息和所述预设的数据库对发起所述敏感操作的安全性进行检测。
14.根据权利要求12所述的装置,其特征在于,所述检测单元包括:
第一检测子单元,用于根据所述发起模块的身份信息和所述预设的数据库检测所述发起模块的黑白属性;
第二检测子单元,用于根据所述敏感操作的参数信息和所述预设的数据库检测所述敏感操作的黑白属性;
第三检测子单元,用于根据所述发起模块的黑白属性和所述敏感操作的黑白属性对发起所述敏感操作的安全性进行检测。
15.根据权利要求14所述的装置,其特征在于,所述第三检测子单元,具体用于当所述发起模块和所述敏感操作均为白属性时,确定发起所述敏感操作是安全的;否则当所述发起模块和/或所述敏感操作为黑属性时,确定发起所述敏感操作是危险的。
16.根据权利要求9-15任一所述的装置,其特征在于,所述发起模块的身份信息包括数字签名信息、文件厂商信息和文件描述信息中的至少一个。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210358322.4A CN103679035B (zh) | 2012-09-24 | 2012-09-24 | 安全性检测方法与装置 |
BR112014016534-3A BR112014016534B1 (pt) | 2012-09-24 | 2013-09-23 | Método implantado por processador para detecção de segurança; dispositivo para detecção de segurança; meio de armazenamento legível por computador não transitório; e sistema implantado por computador para detecção de segurança |
PCT/CN2013/084022 WO2014044223A1 (en) | 2012-09-24 | 2013-09-23 | Systems and methods for security detection |
SG11201402925WA SG11201402925WA (en) | 2012-09-24 | 2013-09-23 | Systems and methods for security detection |
US14/104,332 US20140101770A1 (en) | 2012-09-24 | 2013-12-12 | Systems and Methods for Security Detection |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210358322.4A CN103679035B (zh) | 2012-09-24 | 2012-09-24 | 安全性检测方法与装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103679035A true CN103679035A (zh) | 2014-03-26 |
CN103679035B CN103679035B (zh) | 2016-12-28 |
Family
ID=50316545
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210358322.4A Active CN103679035B (zh) | 2012-09-24 | 2012-09-24 | 安全性检测方法与装置 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20140101770A1 (zh) |
CN (1) | CN103679035B (zh) |
BR (1) | BR112014016534B1 (zh) |
SG (1) | SG11201402925WA (zh) |
WO (1) | WO2014044223A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108985095A (zh) * | 2018-07-05 | 2018-12-11 | 深圳市网心科技有限公司 | 一种非公开文件访问方法、系统及电子设备和存储介质 |
CN109033820A (zh) * | 2018-06-29 | 2018-12-18 | 北京奇虎科技有限公司 | 用户凭据保护方法、装置与设备 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105471807B (zh) * | 2014-05-28 | 2019-05-24 | 腾讯科技(深圳)有限公司 | 基于条码信息的网络访问安全性检测方法及系统 |
CN104376266B (zh) * | 2014-11-21 | 2017-09-15 | 工业和信息化部电信研究院 | 应用软件安全级别的确定方法及装置 |
CN105184162B (zh) * | 2015-08-18 | 2019-01-04 | 安一恒通(北京)科技有限公司 | 程序监控方法和装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102063588A (zh) * | 2010-12-15 | 2011-05-18 | 北京北信源软件股份有限公司 | 一种计算机终端网络安全防护的控制方法和系统 |
CN102222194A (zh) * | 2011-07-14 | 2011-10-19 | 哈尔滨工业大学 | Linux主机计算环境安全保护的模块及方法 |
CN102646173A (zh) * | 2012-02-29 | 2012-08-22 | 成都新云软件有限公司 | 基于黑白名单的安全防护控制方法及系统 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7340777B1 (en) * | 2003-03-31 | 2008-03-04 | Symantec Corporation | In memory heuristic system and method for detecting viruses |
US7480919B2 (en) * | 2003-06-24 | 2009-01-20 | Microsoft Corporation | Safe exceptions |
JP4732874B2 (ja) * | 2005-11-28 | 2011-07-27 | 株式会社エヌ・ティ・ティ・ドコモ | ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 |
KR20080092432A (ko) * | 2006-01-17 | 2008-10-15 | 카이다로 (이스라엘) 리미티드 | 복수 계산환경의 심리스 통합 |
GB2448149B (en) * | 2007-04-03 | 2011-05-18 | Advanced Risc Mach Ltd | Protected function calling |
CN101373501B (zh) * | 2008-05-12 | 2010-06-02 | 公安部第三研究所 | 针对计算机病毒的动态行为捕获方法 |
US7930744B2 (en) * | 2008-07-02 | 2011-04-19 | Check Point Software Technologies Ltd. | Methods for hooking applications to monitor and prevent execution of security-sensitive operations |
US8302210B2 (en) * | 2009-08-24 | 2012-10-30 | Apple Inc. | System and method for call path enforcement |
CN102004882A (zh) * | 2010-11-26 | 2011-04-06 | 北京安天电子设备有限公司 | 远程线程注入型木马的检测和处理的方法和装置 |
US9038176B2 (en) * | 2011-03-31 | 2015-05-19 | Mcafee, Inc. | System and method for below-operating system trapping and securing loading of code into memory |
CN102902919B (zh) * | 2012-08-30 | 2015-11-25 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
US9721120B2 (en) * | 2013-05-14 | 2017-08-01 | Apple Inc. | Preventing unauthorized calls to a protected function |
-
2012
- 2012-09-24 CN CN201210358322.4A patent/CN103679035B/zh active Active
-
2013
- 2013-09-23 BR BR112014016534-3A patent/BR112014016534B1/pt active IP Right Grant
- 2013-09-23 WO PCT/CN2013/084022 patent/WO2014044223A1/en active Application Filing
- 2013-09-23 SG SG11201402925WA patent/SG11201402925WA/en unknown
- 2013-12-12 US US14/104,332 patent/US20140101770A1/en not_active Abandoned
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102063588A (zh) * | 2010-12-15 | 2011-05-18 | 北京北信源软件股份有限公司 | 一种计算机终端网络安全防护的控制方法和系统 |
CN102222194A (zh) * | 2011-07-14 | 2011-10-19 | 哈尔滨工业大学 | Linux主机计算环境安全保护的模块及方法 |
CN102646173A (zh) * | 2012-02-29 | 2012-08-22 | 成都新云软件有限公司 | 基于黑白名单的安全防护控制方法及系统 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109033820A (zh) * | 2018-06-29 | 2018-12-18 | 北京奇虎科技有限公司 | 用户凭据保护方法、装置与设备 |
CN108985095A (zh) * | 2018-07-05 | 2018-12-11 | 深圳市网心科技有限公司 | 一种非公开文件访问方法、系统及电子设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
BR112014016534A8 (pt) | 2017-07-04 |
SG11201402925WA (en) | 2014-07-30 |
WO2014044223A1 (en) | 2014-03-27 |
BR112014016534B1 (pt) | 2020-12-15 |
BR112014016534A2 (pt) | 2017-06-13 |
US20140101770A1 (en) | 2014-04-10 |
CN103679035B (zh) | 2016-12-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102663288B (zh) | 病毒查杀方法及装置 | |
CN103679035A (zh) | 安全性检测方法与装置 | |
US8484732B1 (en) | Protecting computers against virtual machine exploits | |
CN109558726B (zh) | 一种基于动态分析的控制流劫持攻击检测方法与系统 | |
US20140053267A1 (en) | Method for identifying malicious executables | |
CN106156628B (zh) | 一种用户行为分析方法及装置 | |
CN105408911A (zh) | 硬件和软件执行概况分析 | |
CN101826139A (zh) | 一种非可执行文件挂马检测方法及其装置 | |
US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
CN101604361A (zh) | 一种恶意软件的检测方法及装置 | |
CN104361076A (zh) | 浏览器的异常处理方法和装置 | |
CN101013461A (zh) | 基于程序行为分析的计算机防护方法 | |
CN102043915A (zh) | 一种非可执行文件中包含恶意代码的检测方法及其装置 | |
CN102004882A (zh) | 远程线程注入型木马的检测和处理的方法和装置 | |
KR20110088042A (ko) | 악성 코드 자동 판별 장치 및 방법 | |
CN111191243A (zh) | 一种漏洞检测方法、装置和存储介质 | |
CN100489730C (zh) | 实时检查进程完整性的方法与系统 | |
KR101405831B1 (ko) | 악성실행코드의 숙주 파일 탐지 시스템 및 방법 | |
JP5326063B1 (ja) | デバッグイベントを用いた悪意のあるシェルコードの検知装置及び方法 | |
CN113946825B (zh) | 一种内存马处理方法及系统 | |
EP3127036A1 (en) | Systems and methods for identifying a source of a suspect event | |
CN101599113A (zh) | 驱动型恶意软件防御方法和装置 | |
CN110472381B (zh) | 基于安卓系统的root权限隐藏方法、系统及存储介质 | |
KR101097590B1 (ko) | 동적 링크 라이브러리 인젝션 방어 방법 | |
KR101626967B1 (ko) | 해킹 방지를 위한 어플리케이션의 동작 방법 및 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230712 Address after: 518057 Tencent Building, No. 1 High-tech Zone, Nanshan District, Shenzhen City, Guangdong Province, 35 floors Patentee after: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd. Patentee after: TENCENT CLOUD COMPUTING (BEIJING) Co.,Ltd. Address before: 2 East 403 room, SEG science and technology garden, Futian District, Guangdong, Shenzhen 518000, China Patentee before: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd. |