CN108287990B - 文件异常操作处理方法、电子设备及计算机可读存储介质 - Google Patents
文件异常操作处理方法、电子设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN108287990B CN108287990B CN201711437528.5A CN201711437528A CN108287990B CN 108287990 B CN108287990 B CN 108287990B CN 201711437528 A CN201711437528 A CN 201711437528A CN 108287990 B CN108287990 B CN 108287990B
- Authority
- CN
- China
- Prior art keywords
- file
- network data
- data packet
- abnormal operation
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Abstract
本发明公开了一种文件异常操作处理方法,该方法包括:接收从其他网络设备发送的网络数据包;判断所述网络数据包是否对文件进行操作;当所述网络数据包是对文件进行操作时,判断运行所述网络数据包的过程中是否发现对所述文件的异常操作;当发现异常操作时,将所述文件复制到内存中;在所述内存中对所述复制的文件执行所述网络数据包对应的操作;记录所述网络数据包运行过程中的所有操作行为;判断所述网络数据包运行过程中是否存在更多异常操作。本发明实施例还公开了一种电子设备和计算机可读存储介质。由此,能够在得到所述网络数据包对文件的完整操作行为的同时,又保证异常操作行为不会影响真实文件。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种文件异常操作处理方法、电子设备及计算机可读存储介质。
背景技术
随着互联网技术的飞速发展,网络安全问题显得越来越重要,有人利用网络故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,危害网络运行安全。例如,黑客可能对电子设备中的文件进行异常操作,电子设备在执行对文件的操作过程中需要进行异常操作行为检测。但是,由于所述异常操作行为检测需要在对所述文件执行操作的过程中才能检测出来,很可能该异常操作行为已经修改了所述文件。另外,如果在检测到某个异常操作行为后停止执行对所述文件的操作,则无法发现后续是否还有更多异常操作行为。
发明内容
本发明的主要目的在于提出一种文件异常操作处理方法及对应的电子设备,旨在解决如何在得到网络数据包对文件的完整操作行为的同时,又保证异常操作行为不会影响真实文件的问题。
为实现上述目的,本发明提供的一种文件异常操作处理方法,该方法包括步骤:
接收从其他网络设备发送的网络数据包;
判断所述网络数据包是否对文件进行操作;
当所述网络数据包是对文件进行操作时,判断运行所述网络数据包的过程中是否发现对所述文件的异常操作;
当发现异常操作时,将所述文件复制到内存中;
在所述内存中对所述复制的文件执行所述网络数据包对应的操作;
记录所述网络数据包运行过程中的所有操作行为;及
判断所述网络数据包运行过程中是否存在更多异常操作。
可选地,该方法还包括步骤:
当所述网络数据包是对文件进行操作时,判断所述文件是否为敏感文件;
当所述文件为敏感文件时,将所述文件复制到内存中;
在所述内存中对所述复制的文件执行所述网络数据包对应的操作;
判断运行所述网络数据包的过程中是否发现对所述复制的文件的异常操作。
可选地,该方法还包括步骤:
当发现异常操作时,直接丢弃所述复制的文件;
当未发现异常操作时,将完成所述网络数据包的运行过程后得到的修改后的所述复制的文件同步到硬盘中。
可选地,该方法还包括步骤:
释放所述内存中的所述复制的文件。
可选地,所述判断运行所述网络数据包的过程中是否发现对所述文件的异常操作的步骤包括:
当判断出所述网络数据包是对所述文件进行操作时,运行所述网络数据包,执行对所述文件的对应操作,判断所述网络数据包运行过程中是否存在所述异常操作。
可选地,所述异常操作包括:修改注册表、删除文件、获取用户账号及密码、获取用户权限、修改系统权限、修改系统文件。
此外,为实现上述目的,本发明还提出一种电子设备,所述电子设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的文件异常操作处理程序,所述文件异常操作处理程序被所述处理器执行时实现如下步骤:
接收从其他网络设备发送的网络数据包;
判断所述网络数据包是否对文件进行操作;
当所述网络数据包是对文件进行操作时,判断运行所述网络数据包的过程中是否发现对所述文件的异常操作;
当发现异常操作时,将所述文件复制到内存中;
在所述内存中对所述复制的文件执行所述网络数据包对应的操作;
记录所述网络数据包运行过程中的所有操作行为;及
判断所述网络数据包运行过程中是否存在更多异常操作。
可选地,所述文件异常操作处理程序被所述处理器执行时还实现步骤:
当所述网络数据包是对文件进行操作时,判断所述文件是否为敏感文件;
当所述文件为敏感文件时,将所述文件复制到内存中;
在所述内存中对所述复制的文件执行所述网络数据包对应的操作;
判断运行所述网络数据包的过程中是否发现对所述复制的文件的异常操作;
当发现异常操作时,直接丢弃所述复制的文件;
当未发现异常操作时,将完成所述网络数据包的运行过程后得到的修改后的所述复制的文件同步到硬盘中。
可选地,所述文件异常操作处理程序被所述处理器执行时还实现步骤:
释放所述内存中的所述复制的文件。
进一步地,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有文件异常操作处理程序,所述文件异常操作处理程序被处理器执行时实现如上述的文件异常操作处理方法的步骤。
本发明提出的文件异常操作处理方法、电子设备及计算机可读存储介质,能够通过将网络数据包对应的文件复制到内存中进行操作,从而在得到网络数据包对文件的完整操作行为的同时,保证异常操作行为不会影响真实文件。
附图说明
图1为本发明第一实施例提出的一种文件异常操作处理方法的流程图;
图2为本发明第二实施例提出的一种文件异常操作处理方法的流程图;
图3为本发明第三实施例提出的一种文件异常操作处理方法的流程图;
图4为本发明第四实施例提出的一种文件异常操作处理方法的流程图;
图5为本发明第五实施例提出的一种电子设备的模块示意图;
图6为本发明第六实施例提出的一种文件异常操作处理系统的模块示意图;
图7为本发明第七实施例提出的一种文件异常操作处理系统的模块示意图;
图8为本发明第八实施例提出的一种文件异常操作处理系统的模块示意图;
图9为本发明第九实施例提出的一种文件异常操作处理系统的模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
本发明提出的一种文件异常操作处理方法,应用于电子设备中,用于通过将网络数据包对应的文件复制到内存中进行操作,从而在得到网络数据包对文件的完整操作行为的同时,保证异常操作行为不会影响真实文件。所述电子设备为网络平台中的电子设备,例如服务器、计算机等,用于接收其他网络设备发送的网络数据包,并对所述网络数据包进行网络异常操作行为的检测和相应处理。
实施例一
如图1所示,本发明第一实施例提出一种文件异常操作处理方法,该方法包括以下步骤:
S100,接收从其他网络设备发送的网络数据包。
具体地,在进行网络数据通信过程中,网络服务器、路由器等网络设备会发送网络数据包至所述电子设备,以在所述电子设备上实现相关操作。当所述电子设备接收到所述网络数据包时,需要对所述网络数据包进行异常操作行为检测,从而判断所述网络数据包是否存在安全攻击。
S102,判断所述网络数据包是否对文件进行操作。
具体地,所述网络数据包有可能是针对所述电子设备中的文件进行操作,也可能是访问所述电子设备中的其他内容。所述电子设备首先需要判断所述网络数据包是否对所述电子设备中的文件进行操作,以针对文件操作的情况进行后续的特殊处理。
S104,当所述网络数据包是对文件进行操作时,判断运行所述网络数据包的过程中是否发现对所述文件的异常操作。
具体地,当所述电子设备判断出所述网络数据包是对所述电子设备中的文件进行操作时,运行所述网络数据包,执行对所述文件的对应操作,判断所述网络数据包运行过程中是否存在异常操作。其中,所述异常操作包括:修改注册表、删除文件、获取用户账号及密码、获取用户权限、修改系统权限、修改系统文件等。
S106,当发现异常操作时,将所述文件复制到内存中。
具体地,当运行所述网络数据包的过程中发现异常操作时,为了保证安全,不能继续根据所述网络数据包对所述文件执行后续操作。但是,所述电子设备需要获取所述网络数据包运行过程中的所有操作行为,判断是否存在更多的异常操作,以便为以后的异常操作行为检测提供更多依据。因此,所述电子设备可以将所述文件(硬盘中的真实文件)复制到内存中,从而既可以继续执行所述网络数据包对应的操作,又可以避免影响硬盘中的真实文件。
S108,在所述内存中对所述复制的文件执行所述网络数据包对应的操作。
具体地,所述电子设备根据所述网络数据包,对所述内存中的所述复制的文件执行对应的操作(不修改硬盘中的真实文件),即完成所述网络数据包的运行过程,得到所述网络数据包对所述复制的文件的所有操作行为。该运行过程中不会对硬盘中的真实文件造成影响。
S110,记录所述网络数据包运行过程中的所有操作行为。
具体地,在对所述内存中的所述复制的文件运行所述网络数据包时,所述电子设备记录运行过程中所述网络数据包对所述复制的文件的所有操作行为。
S112,判断所述网络数据包运行过程中是否存在更多异常操作。
具体地,根据所记录的所述所有操作行为,可以判断出所述网络数据包运行过程中是否存在更多异常操作,从而能够更加准确地得到所述网络数据包中存在的更多异常操作,且所述更多异常操作不会影响真实的文件。
实施例二
如图2所示,本发明第二实施例提出一种文件异常操作处理方法。在第二实施例中,所述文件异常操作处理方法的步骤S200-S212与第一实施例的步骤S100-S112相类似,区别在于该方法还包括步骤S214。
S200,接收从其他网络设备发送的网络数据包。
具体地,在进行网络数据通信过程中,网络服务器、路由器等网络设备会发送网络数据包至所述电子设备,以在所述电子设备上实现相关操作。当所述电子设备接收到所述网络数据包时,需要对所述网络数据包进行异常操作行为检测,从而判断所述网络数据包是否存在安全攻击。
S202,判断所述网络数据包是否对文件进行操作。
具体地,所述网络数据包有可能是针对所述电子设备中的文件进行操作,也可能是访问所述电子设备中的其他内容。所述电子设备首先需要判断所述网络数据包是否对所述电子设备中的文件进行操作,以针对文件操作的情况进行后续的特殊处理。
S204,当所述网络数据包是对文件进行操作时,判断运行所述网络数据包的过程中是否发现对所述文件的异常操作。
具体地,当所述电子设备判断出所述网络数据包是对所述电子设备中的文件进行操作时,运行所述网络数据包,执行对所述文件的对应操作,判断所述网络数据包运行过程中是否存在异常操作。其中,所述异常操作包括:修改注册表、删除文件、获取用户账号及密码、获取用户权限、修改系统权限、修改系统文件等。
S206,当发现异常操作时,将所述文件复制到内存中。
具体地,当运行所述网络数据包的过程中发现异常操作时,为了保证安全,不能继续根据所述网络数据包对所述文件执行后续操作。但是,所述电子设备需要获取所述网络数据包运行过程中的所有操作行为,判断是否存在更多的异常操作,以便为以后的异常操作行为检测提供更多依据。因此,所述电子设备可以将所述文件(硬盘中的真实文件)复制到内存中,从而既可以继续执行所述网络数据包对应的操作,又可以避免影响硬盘中的真实文件。
S208,在所述内存中对所述复制的文件执行所述网络数据包对应的操作。
具体地,所述电子设备根据所述网络数据包,对所述内存中的所述复制的文件执行对应的操作(不修改硬盘中的真实文件),即完成所述网络数据包的运行过程,得到所述网络数据包对所述复制的文件的所有操作行为。该运行过程中不会对硬盘中的真实文件造成影响。
S210,记录所述网络数据包运行过程中的所有操作行为。
具体地,在对所述内存中的所述复制的文件运行所述网络数据包时,所述电子设备记录运行过程中所述网络数据包对所述复制的文件的所有操作行为。
S212,判断所述网络数据包运行过程中是否存在更多异常操作。
具体地,根据所记录的所述所有操作行为,可以判断出所述网络数据包运行过程中是否存在更多异常操作,从而能够更加准确地得到所述网络数据包中存在的更多异常操作,且所述更多异常操作不会影响真实的文件。
S214,释放所述内存中的所述复制的文件。
具体地,当完成所述网络数据包的运行过程之后,已经得到所述网络数据包对所述复制的文件的所有操作行为,所述复制的文件不需要再占据内存空间,可以从所述内存中释放所述复制的文件,以节省空间资源。
实施例三
如图3所示,本发明第三实施例提出一种文件异常操作处理方法,该方法包括以下步骤:
S300,接收从其他网络设备发送的网络数据包。
具体地,在进行网络数据通信过程中,网络服务器、路由器等网络设备会发送网络数据包至所述电子设备,以在所述电子设备上实现相关操作。当所述电子设备接收到所述网络数据包时,需要对所述网络数据包进行异常操作行为检测,从而判断所述网络数据包是否存在安全攻击。
S302,判断所述网络数据包是否对文件进行操作。
具体地,所述网络数据包有可能是针对所述电子设备中的文件进行操作,也可能是访问所述电子设备中的其他内容。所述电子设备首先需要判断所述网络数据包是否对所述电子设备中的文件进行操作,以针对文件操作的情况进行后续的特殊处理。
S304,当所述网络数据包是对文件进行操作时,判断所述文件是否为敏感文件。
具体地,根据预先设置的规则(即哪些类型的文件属于所述敏感文件)和所述文件的类型,可以判断出所述文件是否为敏感文件(例如系统文件)。
S306,当所述文件为敏感文件时,将所述文件复制到内存中。
具体地,若所述文件为敏感文件,则所需要的安全级别较高,为了更好地保证所述文件的安全,避免异常操作的影响,可以直接将所述文件(硬盘中的真实文件)复制到内存中,然后对所述内存中的所述复制的文件执行所述网络数据包对应的操作,而不对硬盘中的真实文件进行操作。
S308,在所述内存中对所述复制的文件执行所述网络数据包对应的操作。
具体地,所述电子设备根据所述网络数据包,对所述内存中的所述复制的文件执行对应的操作(不修改硬盘中的真实文件),即完成所述网络数据包的运行过程,得到所述网络数据包对所述复制的文件的所有操作行为。该运行过程中不会对硬盘中的真实文件造成影响。
S310,判断运行所述网络数据包的过程中是否发现对所述复制的文件的异常操作。当发现异常操作时,执行步骤S312。当未发现异常操作时,执行步骤S314。
具体地,针对所述内存中的所述复制的文件,运行所述网络数据包,执行对所述复制的文件的对应操作,判断所述网络数据包运行过程中是否存在异常操作。其中,所述异常操作包括:修改注册表、删除文件、获取用户账号及密码、获取用户权限、修改系统权限、修改系统文件等。
S312,直接丢弃所述复制的文件。
具体地,当运行所述网络数据包的过程中发现异常操作时,表示所述网络数据包存在安全攻击,不能对硬盘中的真实文件执行所述网络数据包对应的操作,此时直接将已执行所述异常操作的所述复制的文件丢弃,不用更新至硬盘中的真实文件中,从而避免了所述异常操作对所述真实文件造成影响。
S314,将完成所述网络数据包的运行过程后得到的修改后的所述复制的文件同步到硬盘中。
具体地,当运行所述网络数据包的过程中未发现异常操作时,表示所述网络数据包不存在安全攻击,可以对硬盘中的真实文件执行所述网络数据包对应的操作,此时由于所述复制的文件已执行完所述网络数据包对应的操作,可以直接将得到的修改后的所述复制的文件同步到硬盘中,即将所述硬盘中的真实文件更新为修改后的所述复制的文件。
实施例四
如图4所示,本发明第四实施例提出一种文件异常操作处理方法。在第四实施例中,所述文件异常操作处理方法的步骤S400-S414与第三实施例的步骤S300-S314相类似,区别在于该方法还包括步骤S416。
该方法包括以下步骤:
S400,接收从其他网络设备发送的网络数据包。
具体地,在进行网络数据通信过程中,网络服务器、路由器等网络设备会发送网络数据包至所述电子设备,以在所述电子设备上实现相关操作。当所述电子设备接收到所述网络数据包时,需要对所述网络数据包进行异常操作行为检测,从而判断所述网络数据包是否存在安全攻击。
S402,判断所述网络数据包是否对文件进行操作。
具体地,所述网络数据包有可能是针对所述电子设备中的文件进行操作,也可能是访问所述电子设备中的其他内容。所述电子设备首先需要判断所述网络数据包是否对所述电子设备中的文件进行操作,以针对文件操作的情况进行后续的特殊处理。
S404,当所述网络数据包是对文件进行操作时,判断所述文件是否为敏感文件。
具体地,根据预先设置的规则(即哪些类型的文件属于所述敏感文件)和所述文件的类型,可以判断出所述文件是否为敏感文件(例如系统文件)。
S406,当所述文件为敏感文件时,将所述文件复制到内存中。
具体地,若所述文件为敏感文件,则所需要的安全级别较高,为了更好地保证所述文件的安全,避免异常操作的影响,可以直接将所述文件(硬盘中的真实文件)复制到内存中,然后对所述内存中的所述复制的文件执行所述网络数据包对应的操作,而不对硬盘中的真实文件进行操作。
S408,在所述内存中对所述复制的文件执行所述网络数据包对应的操作。
具体地,所述电子设备根据所述网络数据包,对所述内存中的所述复制的文件执行对应的操作(不修改硬盘中的真实文件),即完成所述网络数据包的运行过程,得到所述网络数据包对所述复制的文件的所有操作行为。该运行过程中不会对硬盘中的真实文件造成影响。
S410,判断运行所述网络数据包的过程中是否发现对所述复制的文件的异常操作。当发现异常操作时,执行步骤S412。当未发现异常操作时,执行步骤S414-S416。
具体地,针对所述内存中的所述复制的文件,运行所述网络数据包,执行对所述复制的文件的对应操作,判断所述网络数据包运行过程中是否存在异常操作。其中,所述异常操作包括:修改注册表、删除文件、获取用户账号及密码、获取用户权限、修改系统权限、修改系统文件等。
S412,直接丢弃所述复制的文件。
具体地,当运行所述网络数据包的过程中发现异常操作时,表示所述网络数据包存在安全攻击,不能对硬盘中的真实文件执行所述网络数据包对应的操作,此时直接将已执行所述异常操作的所述复制的文件丢弃,不用更新至硬盘中的真实文件中,从而避免了所述异常操作对所述真实文件造成影响。
S414,将完成所述网络数据包的运行过程后得到的修改后的所述复制的文件同步到硬盘中。
具体地,当运行所述网络数据包的过程中未发现异常操作时,表示所述网络数据包不存在安全攻击,可以对硬盘中的真实文件执行所述网络数据包对应的操作,此时由于所述复制的文件已执行完所述网络数据包对应的操作,可以直接将得到的修改后的所述复制的文件同步到硬盘中,即将所述硬盘中的真实文件更新为修改后的所述复制的文件。
S416,释放所述内存中的所述复制的文件。
具体地,当将修改后的所述复制的文件同步到硬盘中后,所述复制的文件不需要再占据内存空间,可以从所述内存中释放所述复制的文件,以节省空间资源。
本发明进一步提供一种电子设备,所述电子设备包括存储器、处理器和文件异常操作处理系统,用于通过将网络数据包对应的文件复制到内存中进行操作,从而在得到网络数据包对文件的完整操作行为的同时,保证异常操作行为不会影响真实文件。
实施例五
如图5所示,本发明第五实施例提出一种电子设备2。所述电子设备2包括存储器20、处理器22和文件异常操作处理系统28。
其中,所述存储器20至少包括一种类型的可读存储介质,用于存储安装于所述电子设备2的操作系统和各类应用软件,例如文件异常操作处理系统28的程序代码等。此外,所述存储器20还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器22在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器22通常用于控制所述电子设备2的总体操作。本实施例中,所述处理器22用于运行所述存储器20中存储的程序代码或者处理数据,例如运行所述文件异常操作处理系统28等。
实施例六
如图6所示,本发明第六实施例提出一种文件异常操作处理系统28。在本实施例中,所述文件异常操作处理系统28包括:
接收模块800,用于接收从其他网络设备发送的网络数据包。
具体地,在进行网络数据通信过程中,网络服务器、路由器等网络设备会发送网络数据包至所述电子设备2,以在所述电子设备2上实现相关操作。当所述接收模块800接收到所述网络数据包时,需要对所述网络数据包进行异常操作行为检测,从而判断所述网络数据包是否存在安全攻击。
判断模块802,用于判断所述网络数据包是否对文件进行操作。
具体地,所述网络数据包有可能是针对所述电子设备2中的文件进行操作,也可能是访问所述电子设备2中的其他内容。所述判断模块802首先需要判断所述网络数据包是否对所述电子设备2中的文件进行操作,以针对文件操作的情况进行后续的特殊处理。
所述判断模块802,还用于当所述网络数据包是对文件进行操作时,判断运行所述网络数据包的过程中是否发现对所述文件的异常操作。
具体地,当所述判断模块802判断出所述网络数据包是对所述电子设备2中的文件进行操作时,运行所述网络数据包,执行对所述文件的对应操作,判断所述网络数据包运行过程中是否存在异常操作。其中,所述异常操作包括:修改注册表、删除文件、获取用户账号及密码、获取用户权限、修改系统权限、修改系统文件等。
复制模块804,用于当发现异常操作时,将所述文件复制到内存中。
具体地,当运行所述网络数据包的过程中发现异常操作时,为了保证安全,不能继续根据所述网络数据包对所述文件执行后续操作。但是,所述电子设备2需要获取所述网络数据包运行过程中的所有操作行为,判断是否存在更多的异常操作,以便为以后的异常操作行为检测提供更多依据。因此,所述复制模块804可以将所述文件(硬盘中的真实文件)复制到内存中,从而既可以继续执行所述网络数据包对应的操作,又可以避免影响硬盘中的真实文件。
执行模块806,用于在所述内存中对所述复制的文件执行所述网络数据包对应的操作。
具体地,所述执行模块806根据所述网络数据包,对所述内存中的所述复制的文件执行对应的操作(不修改硬盘中的真实文件),即完成所述网络数据包的运行过程,得到所述网络数据包对所述复制的文件的所有操作行为。该运行过程中不会对硬盘中的真实文件造成影响。
记录模块808,用于记录所述网络数据包运行过程中的所有操作行为。
具体地,在对所述内存中的所述复制的文件运行所述网络数据包时,所述记录模块808记录运行过程中所述网络数据包对所述复制的文件的所有操作行为。
所述判断模块802,还用于判断所述网络数据包运行过程中是否存在更多异常操作。
具体地,根据所记录的所述所有操作行为,可以判断出所述网络数据包运行过程中是否存在更多异常操作,从而能够更加准确地得到所述网络数据包中存在的更多异常操作,且所述更多异常操作不会影响真实的文件。
实施例七
如图7所示,本发明第七实施例提出一种文件异常操作处理系统28。在本实施例中,所述文件异常操作处理系统28除了包括第六实施例中的所述接收模块800、判断模块802、复制模块804、执行模块806、记录模块808之外,还包括释放模块810。
所述释放模块810,用于释放所述内存中的所述复制的文件。
具体地,当完成所述网络数据包的运行过程之后,已经得到所述网络数据包对所述复制的文件的所有操作行为,所述复制的文件不需要再占据内存空间,所述释放模块810可以从所述内存中释放所述复制的文件,以节省空间资源。
实施例八
如图8所示,本发明第八实施例提出一种文件异常操作处理系统28。在本实施例中,所述文件异常操作处理系统28包括:
接收模块800,用于接收从其他网络设备发送的网络数据包。
具体地,在进行网络数据通信过程中,网络服务器、路由器等网络设备会发送网络数据包至所述电子设备2,以在所述电子设备2上实现相关操作。当所述接收模块800接收到所述网络数据包时,需要对所述网络数据包进行异常操作行为检测,从而判断所述网络数据包是否存在安全攻击。
判断模块802,用于判断所述网络数据包是否对文件进行操作。
具体地,所述网络数据包有可能是针对所述电子设备2中的文件进行操作,也可能是访问所述电子设备2中的其他内容。所述判断模块802首先需要判断所述网络数据包是否对所述电子设备2中的文件进行操作,以针对文件操作的情况进行后续的特殊处理。
所述判断模块802,还用于当所述网络数据包是对文件进行操作时,判断所述文件是否为敏感文件。
具体地,根据预先设置的规则(即哪些类型的文件属于所述敏感文件)和所述文件的类型,可以判断出所述文件是否为敏感文件(例如系统文件)。
复制模块804,用于当所述文件为敏感文件时,将所述文件复制到内存中。
具体地,若所述文件为敏感文件,则所需要的安全级别较高,为了更好地保证所述文件的安全,避免异常操作的影响,复制模块804可以直接将所述文件(硬盘中的真实文件)复制到内存中,然后对所述内存中的所述复制的文件执行所述网络数据包对应的操作,而不对硬盘中的真实文件进行操作。
执行模块806,用于在所述内存中对所述复制的文件执行所述网络数据包对应的操作。
具体地,所述执行模块804根据所述网络数据包,对所述内存中的所述复制的文件执行对应的操作(不修改硬盘中的真实文件),即完成所述网络数据包的运行过程,得到所述网络数据包对所述复制的文件的所有操作行为。该运行过程中不会对硬盘中的真实文件造成影响。
所述判断模块802,还用于判断运行所述网络数据包的过程中是否发现对所述复制的文件的异常操作。
具体地,针对所述内存中的所述复制的文件,运行所述网络数据包,执行对所述复制的文件的对应操作,判断所述网络数据包运行过程中是否存在异常操作。其中,所述异常操作包括:修改注册表、删除文件、获取用户账号及密码、获取用户权限、修改系统权限、修改系统文件等。
丢弃模块812,直接丢弃所述复制的文件。
具体地,当运行所述网络数据包的过程中发现异常操作时,表示所述网络数据包存在安全攻击,不能对硬盘中的真实文件执行所述网络数据包对应的操作,此时所述丢弃模块812直接将已执行所述异常操作的所述复制的文件丢弃,不用更新至硬盘中的真实文件中,从而避免了所述异常操作对所述真实文件造成影响。
同步模块814,将完成所述网络数据包的运行过程后得到的修改后的所述复制的文件同步到硬盘中。
具体地,当运行所述网络数据包的过程中未发现异常操作时,表示所述网络数据包不存在安全攻击,可以对硬盘中的真实文件执行所述网络数据包对应的操作,此时由于所述复制的文件已执行完所述网络数据包对应的操作,可以直接将得到的修改后的所述复制的文件同步到硬盘中,即将所述硬盘中的真实文件更新为修改后的所述复制的文件。
实施例九
如图9所示,本发明第九实施例提出一种文件异常操作处理系统28。在本实施例中,所述文件异常操作处理系统28除了包括第八实施例中的所述接收模块800、判断模块802、复制模块804、执行模块806、丢弃模块812、同步模块814之外,还包括释放模块810。其中:
所述释放模块810,用于释放所述内存中的所述复制的文件。
具体地,当将修改后的所述复制的文件同步到硬盘中后,所述复制的文件不需要再占据内存空间,可以从所述内存中释放所述复制的文件,以节省空间资源。
实施例十
本发明还提供了另一种实施方式,即提供一种计算机可读存储介质,所述计算机可读存储介质存储有文件异常操作处理程序,所述文件异常操作处理程序可被至少一个处理器执行,以使所述至少一个处理器执行如上述的文件异常操作处理方法的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,电子设备,空调器,或者电子设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (7)
1.一种文件异常操作处理方法,其特征在于,该方法包括步骤:
接收从其他网络设备发送的网络数据包;
判断所述网络数据包是否对文件进行操作;
当所述网络数据包是对文件进行操作时,判断运行所述网络数据包的过程中是否发现对所述文件的异常操作;
当发现异常操作时,将所述文件复制到内存中;
在所述内存中对所述复制的文件执行所述网络数据包对应的操作;
记录所述网络数据包运行过程中的所有操作行为;及
判断所述网络数据包运行过程中是否存在更多异常操作;
其中,该方法还包括步骤:
当所述网络数据包是对文件进行操作时,判断所述文件是否为敏感文件;
当所述文件为敏感文件时,将所述文件复制到内存中;
在所述内存中对所述复制的文件执行所述网络数据包对应的操作;
判断运行所述网络数据包的过程中是否发现对所述复制的文件的异常操作;
当发现异常操作时,直接丢弃所述复制的文件;
当未发现异常操作时,将完成所述网络数据包的运行过程后得到的修改后的所述复制的文件同步到硬盘中。
2.根据权利要求1所述的文件异常操作处理方法,其特征在于,该方法还包括步骤:
释放所述内存中的所述复制的文件。
3.根据权利要求1所述的文件异常操作处理方法,其特征在于,所述判断运行所述网络数据包的过程中是否发现对所述文件的异常操作的步骤包括:
当判断出所述网络数据包是对所述文件进行操作时,运行所述网络数据包,执行对所述文件的对应操作,判断所述网络数据包运行过程中是否存在所述异常操作。
4.根据权利要求1所述的文件异常操作处理方法,其特征在于,所述异常操作包括:修改注册表、删除文件、获取用户账号及密码、获取用户权限、修改系统权限、修改系统文件。
5.一种电子设备,其特征在于,所述电子设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的文件异常操作处理程序,所述文件异常操作处理程序被所述处理器执行时实现如下步骤:
接收从其他网络设备发送的网络数据包;
判断所述网络数据包是否对文件进行操作;
当所述网络数据包是对文件进行操作时,判断运行所述网络数据包的过程中是否发现对所述文件的异常操作;
当发现异常操作时,将所述文件复制到内存中;
在所述内存中对所述复制的文件执行所述网络数据包对应的操作;
记录所述网络数据包运行过程中的所有操作行为;及
判断所述网络数据包运行过程中是否存在更多异常操作;
其中,所述文件异常操作处理程序被所述处理器执行时还实现步骤:
当所述网络数据包是对文件进行操作时,判断所述文件是否为敏感文件;
当所述文件为敏感文件时,将所述文件复制到内存中;
在所述内存中对所述复制的文件执行所述网络数据包对应的操作;
判断运行所述网络数据包的过程中是否发现对所述复制的文件的异常操作;
当发现异常操作时,直接丢弃所述复制的文件;
当未发现异常操作时,将完成所述网络数据包的运行过程后得到的修改后的所述复制的文件同步到硬盘中。
6.根据权利要求5所述的电子设备,其特征在于,所述文件异常操作处理程序被所述处理器执行时还实现步骤:
释放所述内存中的所述复制的文件。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有文件异常操作处理程序,所述文件异常操作处理程序被处理器执行时实现如权利要求1至4中任一项所述的文件异常操作处理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711437528.5A CN108287990B (zh) | 2017-12-26 | 2017-12-26 | 文件异常操作处理方法、电子设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711437528.5A CN108287990B (zh) | 2017-12-26 | 2017-12-26 | 文件异常操作处理方法、电子设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108287990A CN108287990A (zh) | 2018-07-17 |
| CN108287990B true CN108287990B (zh) | 2021-08-24 |
Family
ID=62832487
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711437528.5A Active CN108287990B (zh) | 2017-12-26 | 2017-12-26 | 文件异常操作处理方法、电子设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108287990B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103984910A (zh) * | 2014-05-14 | 2014-08-13 | 清华大学深圳研究生院 | 一种系统分区隐藏方法 |
| CN104506495A (zh) * | 2014-12-11 | 2015-04-08 | 国家电网公司 | 一种智能化网络apt攻击威胁分析方法 |
| CN105744200A (zh) * | 2016-02-22 | 2016-07-06 | 深圳英飞拓科技股份有限公司 | 视频监控录像的存储方法及装置 |
| CN105930239A (zh) * | 2016-04-20 | 2016-09-07 | 浪潮电子信息产业股份有限公司 | 一种计算机pxe测试方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090205055A1 (en) * | 2008-02-07 | 2009-08-13 | Savov Andrey I | System and method for electronic license distribution for pre-installed software |
-
2017
- 2017-12-26 CN CN201711437528.5A patent/CN108287990B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103984910A (zh) * | 2014-05-14 | 2014-08-13 | 清华大学深圳研究生院 | 一种系统分区隐藏方法 |
| CN104506495A (zh) * | 2014-12-11 | 2015-04-08 | 国家电网公司 | 一种智能化网络apt攻击威胁分析方法 |
| CN105744200A (zh) * | 2016-02-22 | 2016-07-06 | 深圳英飞拓科技股份有限公司 | 视频监控录像的存储方法及装置 |
| CN105930239A (zh) * | 2016-04-20 | 2016-09-07 | 浪潮电子信息产业股份有限公司 | 一种计算机pxe测试方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108287990A (zh) | 2018-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2551820C2 (ru) | Способ и устройство для проверки файловой системы на наличие вирусов | |
| EP2696282B1 (en) | System and method for updating authorized software | |
| RU2568295C2 (ru) | Система и способ временной защиты операционной системы программно-аппаратных устройств от приложений, содержащих уязвимости | |
| US9767280B2 (en) | Information processing apparatus, method of controlling the same, information processing system, and information processing method | |
| CN110826067B (zh) | 一种病毒检测方法、装置、电子设备及存储介质 | |
| EP2790122A2 (en) | System and method for correcting antivirus records to minimize false malware detections | |
| JP2009543163A (ja) | ソフトウェア脆弱性悪用防止シールド | |
| EP3270318B1 (en) | Dynamic security module terminal device and method for operating same | |
| CN105814861B (zh) | 用于传输数据的设备和方法 | |
| CN115221524B (zh) | 业务数据保护方法、装置、设备及存储介质 | |
| CN105791250B (zh) | 应用程序检测方法及装置 | |
| CN110941825B (zh) | 一种应用监控方法及装置 | |
| JP5322288B2 (ja) | 通信処理装置、通信処理方法、及びプログラム | |
| CN108287990B (zh) | 文件异常操作处理方法、电子设备及计算机可读存储介质 | |
| CN110348180B (zh) | 一种应用程序启动控制方法和装置 | |
| WO2020233044A1 (zh) | 一种插件校验方法、设备、服务器及计算机可读存储介质 | |
| KR101320680B1 (ko) | 소프트웨어의 무결성 검사 장치 및 방법 | |
| CN111783087A (zh) | 可执行文件恶意执行的检测方法及装置、终端、存储介质 | |
| CN108647516B (zh) | 一种防御漏洞非法提权方法及装置 | |
| JP2006127422A (ja) | 端末制御装置及び端末制御方法 | |
| CN105791221B (zh) | 规则下发方法及装置 | |
| CN111027063A (zh) | 防止终端感染蠕虫的方法、装置、电子设备及存储介质 | |
| WO2020000741A1 (zh) | 一种rookit检测方法、装置及服务器 | |
| WO2018049977A1 (zh) | 保障系统安全的方法及装置 | |
| CN113312623B (zh) | 访问控制中的进程检测方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |