CN109214182A - 在云平台下虚拟机运行中对勒索软件的处理方法 - Google Patents
在云平台下虚拟机运行中对勒索软件的处理方法 Download PDFInfo
- Publication number
- CN109214182A CN109214182A CN201710533961.2A CN201710533961A CN109214182A CN 109214182 A CN109214182 A CN 109214182A CN 201710533961 A CN201710533961 A CN 201710533961A CN 109214182 A CN109214182 A CN 109214182A
- Authority
- CN
- China
- Prior art keywords
- client
- progress information
- server
- white list
- matching result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Abstract
本申请公开了一种在云平台下虚拟机运行中对勒索软件的处理方法。其中,该方法包括:第一客户端获取运行在虚拟机中的待启动的进程,以及进程对应的第一进程信息;第一客户端将第一进程信息上传至云平台对应的服务器,并接收服务器返回的匹配结果,其中,匹配结果用于表征第一进程信息与预设白名单是否匹配;如果匹配结果为匹配失败,则第一客户端将第一进程信息发送给第二客户端,并获取第二客户端返回的授权信息;如果授权信息为禁止启动,则第一客户端禁止启动进程。本申请解决了现有的进程启动的处理方法是通过黑名单方式进行处理存在滞后,导致处理效率低的技术问题。
Description
技术领域
本申请涉及网络安全领域,具体而言,涉及一种在云平台下虚拟机运行中对勒索软件的处理方法。
背景技术
随着互联网技术的发展,网络已经成为人们生活和工作不可缺少的一部分。互联网用户通过计算机网络可以获取海量信息,并方便地与其他用户进行沟通和交流,实现信息资源的共享。然而,计算机网络技术的快速发展,使得网络环境变得越来越复杂,网络安全问题日益突出,勒索软件是近年数量增加最快的网络威胁之一。
勒索软件通常会将用户系统上文档、邮件、数据库、源代码、图片、压缩文件等多种文件进行某种形式的加密操作,使之不可用,或者通过修改系统配置文件、干扰用户正常使用系统的方法使系统的可用性降低,然后通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知,要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。
目前,为了防御勒索软件,可以通过黑名单的方式,将待启动的进程的程序与文件与黑名单中的程序或文件进行比对,如果比对成功,则确定是勒索软件的进程,禁止进程启动。但是,由于黑名单是提前收集到的已知的勒索软件的程序或文件,对于未知的勒索软件存在滞后问题,会出现漏杀的情况,未知的勒索软件一旦运行成功,即刻可对格式文件进行加密,如果受害用户没有提前备份数据,则无法恢复被加密的文件。
针对上述现有的进程启动的处理方法是通过黑名单方式进行处理存在滞后,导致处理效率低的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种在云平台下虚拟机运行中对勒索软件的处理方法,以至少解决现有的进程启动的处理方法是通过黑名单方式进行处理存在滞后,导致处理效率低的技术问题。
根据本申请实施例的一个方面,提供了一种在云平台下虚拟机运行中对勒索软件的处理方法,包括:第一客户端获取运行在虚拟机中的待启动的进程,以及进程对应的第一进程信息;第一客户端将第一进程信息上传至云平台对应的服务器,并接收服务器返回的匹配结果,其中,匹配结果用于表征第一进程信息与预设白名单是否匹配;如果匹配结果为匹配失败,则第一客户端将第一进程信息发送给第二客户端,并获取第二客户端返回的授权信息;如果授权信息为禁止启动,则第一客户端禁止启动进程。
根据本申请实施例的另一个方面,还提供了一种进程启动的处理系统,包括:第一客户端,用于获取待启动的进程,以及进程对应的第一进程信息;服务器,与第一客户端具有通信关系,用于根据预设白名单对进程信息进行匹配,得到匹配结果;第二客户端,与第一客户端具有通信关系,用于在匹配结果为匹配失败的情况下,接收所述第一客户端发送的所述第一进程信息,并生成授权信息;第一客户端还用于根据授权信息确定是否允许进程启动。
根据本申请实施例的另一方面,还提供了一种进程启动的处理方法,包括:第一客户端获取待启动的进程,以及进程对应的第一进程信息;第一客户端将第一进程信息上传至服务器,并接收服务器返回的匹配结果用于表征第一进程信息与预设白名单是否匹配;如果匹配结果为匹配失败,则第一客户端将第一进程信息发送给第二客户端,并获取第二客户端返回的授权信息;第一客户端根据授权信息确定是否允许进程启动。
根据本申请实施例的另一方面,还提供了一种进程启动的处理装置,包括:获取模块,用于获取待启动的进程,以及进程对应的第一进程信息;第一通信模块,用于将第一进程信息上传至服务器,并接收服务器返回的匹配结果用于表征第一进程信息与预设白名单是否匹配;第二通信模块,用于如果匹配结果为匹配失败,则将第一进程信息发送给第二客户端,并获取第二客户端返回的授权信息;控制模块,用于根据授权信息确定是否允许进程启动。
根据本申请实施例的另一方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行如下步骤:将第一进程信息上传至服务器,并接收服务器返回的匹配结果,如果匹配结果为匹配失败,则将第一进程信息发送给第二客户端,获取第二客户端返回的授权信息,并第一客户端根据授权信息确定是否允许进程启动,其中,匹配结果用于表征第一进程信息与预设白名单是否匹配。
根据本申请实施例的另一方面,还提供了一种处理器,包括:处理器用于运行程序,其中,程序运行时执行如下步骤:将第一进程信息上传至服务器,并接收服务器返回的匹配结果,如果匹配结果为匹配失败,则将第一进程信息发送给第二客户端,获取第二客户端返回的授权信息,并第一客户端根据授权信息确定是否允许进程启动,其中,匹配结果用于表征第一进程信息与预设白名单是否匹配。
根据本申请实施例的另一方面,还提供了一种进程启动的处理系统,包括:第一客户端,用于获取待启动的进程,以及进程对应的第一进程信息;第二客户端;处理器,处理器运行程序,其中,程序运行时对于从第一客户端得到的进程和第一进程信息执行如下处理步骤:将第一进程信息上传至服务器,并接收服务器返回的匹配结果,如果匹配结果为匹配失败,则将第一进程信息发送给第二客户端,获取第二客户端返回的授权信息,并第一客户端根据授权信息确定是否允许进程启动,其中,匹配结果用于表征第一进程信息与预设白名单是否匹配。
根据本申请实施例的另一方面,还提供了一种进程启动的处理系统,包括:第一客户端,用于获取待启动的进程,以及进程对应的第一进程信息;第二客户端;存储介质,用于存储程序,其中,程序在运行时对于从第一客户端得到的进程和第一进程信息执行如下处理步骤:将第一进程信息上传至服务器,并接收服务器返回的匹配结果,如果匹配结果为匹配失败,则将第一进程信息发送给第二客户端,获取第二客户端返回的授权信息,并第一客户端根据授权信息确定是否允许进程启动,其中,匹配结果用于表征第一进程信息与预设白名单是否匹配。
在本申请实施例中,第一客户端获取运行在虚拟机中的待启动的进程,以及进程对应的第一进程信息,将第一进程信息上传至云平台对应的服务器,并接收服务器返回的匹配结果,如果匹配结果为匹配失败,则将第一进程信息发送给第二客户端,并获取第二客户端返回的授权信息,根据授权信息确定是否允许进程启动,从而实现对进程是否能够启动进行处理的目的。容易注意到的是,由于云平台对应的服务器可以通过白名单对待启动的进程进行验证,在服务器验证失败的情况下,可以进一步由第二客户端对待启动的进程进行授权,通过白名单技术和双因素权限控制对进程是否允许启动进行验证,从而实现实时监控进程,并防止勒索软件启动,达到提高处理实时性和处理效果的技术效果,进一步,达到提升勒索软件的防御效果的技术效果。因此,本申请上述实施了提供的方案解决了现有的进程启动的处理方法是通过黑名单方式进行处理存在滞后,导致处理效率低的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种在云平台下虚拟机运行中对勒索软件的处理方法的流程图;
图2是根据本申请实施例的一种进程启动的处理系统的示意图;
图3是根据本申请实施例的一种可选的进程启动的处理系统的示意图;
图4是根据本申请实施例的一种用于实现进程启动的处理方法的计算机终端的硬件结构框图;
图5是根据本申请实施例的一种进程启动的处理方法的流程图;
图6是根据本申请实施例的一种可选的进程启动的处理方法的流程图;
图7是根据本申请实施例的一种进程启动的处理装置的示意图;以及
图8是根据本申请实施例的一种计算机终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
白名单:白名单的概念与“黑名单”相对应。例如:在电脑系统里,有很多软件都应用到了黑白名单规则,操作系统、防火墙、杀毒软件、邮件系统、应用软件等,凡是涉及到控制方面几乎都应用了黑白名单规则。黑名单启用后,被列入到黑名单的用户(或IP地址、IP包、邮件、病毒等)不能通过。如果设立了白名单,则在白名单中的用户(或IP地址、IP包、邮件等)会优先通过,不会被当成垃圾邮件拒收,安全性和快捷性都大大提高。将其含义扩展一步,那么凡有黑名单功能的应用,就会有白名单功能与其对应。
双因素认证:双因素动态密码身份认证系统是一种采用时间同步技术的双因素认证系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态密码卡与服务器分别根据同样的密钥,同样的随机参数(时间、事件)和同样的算法计算了认证的动态密码,从而确保密码的一致性,从而实现了用户的认证。因每次认证时的随机参数不同,所以每次产生的动态密码也不同。由于每次计算时参数的随机性保证了每次密码的不可预测性,从而在最基本的密码认证这一环节保证了系统的安全性。解决因口令欺诈而导致的重大损失,防止恶意入侵者或人为破坏,解决由口令泄密导致的入侵问题。
双因素移动平台动态授权确认:操作系统层面有预定义的ACL(访问控制列表,是Access Control List的缩写),底层驱动程序监控系统资源的分配、启用过程中把资源ID及相关属性实时报告给服务器;服务器通过加密协议,发送操作系统运维人员的手机或其他载体移动设备,运维人员进行二次ACL权限确认。
实施例1
根据本申请实施例,提供了一种在云平台下虚拟机运行中对勒索软件的处理方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本申请实施例的一种在云平台下虚拟机运行中对勒索软件的处理方法的流程图,如图1所示,该在云平台下虚拟机运行中对勒索软件的处理方法包括如下步骤:
步骤S102,第一客户端获取运行在虚拟机中的待启动的进程,以及进程对应的第一进程信息。
具体地,上述的第一客户端可以是需要进行勒索软件防御的客户端,例如可以是计算机终端,也可以是智能手机(包括:Android手机和IOS手机)、平板电脑、笔记本电脑、掌上电脑等移动终端,第一客户端上安装有虚拟机;上述的第一进程信息可以包括:进程对应的二进制文件的文件信息和属性信息,文件信息可以是二进制文件的名称、内容等信息,属性信息可以是二进制文件的存储位置、文件类型以及所运行操作系统的类型、版本号等信息,在本申请中对此不做具体限定。
在一种可选的方案中,在云平台环境下,第一客户端上安装的虚拟机上可以运行多个进程,每个进程对应不同的软件程序,为了对勒索软件进行防御,防止勒索软件运行对虚拟机上安装的格式文件造成损害,可以在每个进程启动时,对进程进行捕获,并冻结该进程,首先获取该进程的第一进程信息。
步骤S104,第一客户端将第一进程信息上传至云平台对应的服务器,并接收服务器返回的匹配结果,其中,匹配结果用于表征第一进程信息与预设白名单是否匹配。
具体地,上述的服务器可以是与第一客户端通过网络连接的云平台对应的云服务器,该云服务器用于通过白名单的方式对第一客户端上传的第一进程信息进行验证,判断捕获的进程是否为勒索软件的进程;上述的预设白名单可以包括云平台系统镜像自带的进程信息、系统补丁文件的进程信息和用户自定义的进程信息等可信进程的进程信息。
在一种可选的方案中,第一客户端可以实时监控虚拟机上待启动的进程,并将待启动的进程的第一进程信息上报至云平台对应的服务器,由服务器通过预设白名单对上报的第一进程信息进行验证,即将上报的第一进程信息与预设白名单中的进程信息进行匹配,如果匹配成功,则确定该进程为可信进程,并返回匹配成功的匹配结果;如果匹配失败,则确定该进程不是可信进程,有可能属于勒索软件的进程,并返回匹配失败的匹配结果。
步骤S106,如果匹配结果为匹配失败,则第一客户端将第一进程信息发送给第二客户端,并获取第二客户端返回的授权信息。
具体地,上述的第二客户端可以是用户或者服务器的运维人员的智能手机(包括:Android手机和IOS手机)、平板电脑、笔记本电脑、掌上电脑等移动终端。
在一种可选的方案中,第一客户端在接收到服务器返回的匹配结果之后,如果接收到的匹配结果为匹配成功,则确定该进程为可信进程,不是勒索软件的进程,可以对冻结的进程进行放行,允许该进程运行;如果接收到的匹配结果为匹配失败,则确定该进程可能是勒索软件的进程。为了进一步对是否为勒索软件的进程进行确定,可以将该进程的第一进程信息发送给第二客户端,由用户或服务器的运维人员对是否允许该进程运行进行授权,如果用户或服务器的运维人员允许该进程运行,则返回允许运行的授权信息;如果如用户或服务器的运维人员拒绝该进程运行,则返回拒绝运行的授权信息。
需要说明的是,上述实现方式依赖于用户或者运维人员明确哪些进程是允许运行的,除此之外的其他进程认为是拒绝运行的。
步骤S108,如果授权信息为禁止启动,则第一客户端禁止启动进程。
在一种可选的方案中,第一客户端在接收到第二客户端返回的授权信息之后,可以根据授权信息确定是否允许进程启动,如果授权信息是允许运行,则可以对冻结的进程进行放行,该进程可以正常启动;如果授权信息是拒绝运行,则可以将冻结的进程杀掉,该进程无法启动,并进一步可以隔离该进程对应的二进制文件。
根据本申请上述实施例,第一客户端获取运行在虚拟机中的待启动的进程,以及进程对应的第一进程信息,将第一进程信息上传至云平台对应的服务器,并接收服务器返回的匹配结果,如果匹配结果为匹配失败,则将第一进程信息发送给第二客户端,并获取第二客户端返回的授权信息,根据授权信息确定是否允许进程启动,从而实现对进程是否能够启动进行处理的目的。容易注意到的是,由于云平台对应的服务器可以通过白名单对待启动的进程进行验证,在服务器验证失败的情况下,可以进一步由第二客户端对待启动的进程进行授权,通过白名单技术和双因素权限控制对进程是否允许启动进行验证,从而实现实时监控进程,并防止勒索软件启动,达到提高处理实时性和处理效果的技术效果,进一步,达到提升勒索软件的防御效果的技术效果。因此,本申请上述实施了提供的方案解决了现有的进程启动的处理方法是通过黑名单方式进行处理存在滞后,导致处理效率低的技术问题。
可选地,在本申请上述实施例中,在步骤S104,第一客户端将第一进程信息上传至云平台对应的服务器之前,该方法还包括:
步骤S1042,服务器将第一进程信息与第一白名单,或者第一进程信息与第二白名单进行匹配,其中,第一白名单包括:初始设定的允许启动的一个或多个进程的进程信息,第二白名单包括:在服务器升级过程中新增的允许启动的一个或多个进程的信息。
具体地,上述的第一白名单可以是用户自定义的允许启动的进程的第一进程信息;上述的第二白名单可以是服务器系统升级过程中生成的系统补丁白名单,可以通过Spider实时同步系统补丁文件。
在一种可选的方案中,云服务器可以为云租户提供一键加白功能,用户启动该功能之后,可以自行选择自己的应用程序的进程作为可信进程,例如,游戏服务商可以对自己的游戏服务器程序的进程进行加白功能,即添加至第一白名单中。
步骤S1044,如果第一进程信息与第一白名单匹配成功,或者,第一进程信息与第二白名单匹配成功,则服务器确定匹配结果为匹配成功。
步骤S1046,如果第一进程信息与第一白名单匹配失败,且第一进程信息与第二白名单匹配失败,则服务器确定匹配结果为匹配失败。
在一种可选的方案中,服务器在接收到第一客户端上传的第一进程信息之后,可以将第一进程信息与第一白名单和第二白名单进行匹配,即将待启动的进程的第一进程信息与用户自定义白名单和系统补丁白名单进行匹配,如果待启动的进程的第一进程信息与用户自定义白名单或系统补丁白名单中任意一个匹配成功,即待启动的进程是用户自定义的可信进程,或者是系统补丁的可信进程,则确定待启动的进程不是勒索软件的进程,从而确定匹配成功,并将匹配成功的匹配结果反馈给第一客户端;如果待启动的进程的第一进程信息与用户自定义白名单和系统补丁白名单均匹配失败,即待启动的进程既不是用户自定义的可信进程,也不是系统补丁的可信进程,则确定待启动的进程可能是勒索软件的进程,从而确定匹配失败,并将匹配失败的匹配结果反馈给第一客户端。
可选地,在本申请上述实施例中,在步骤S1042,服务器将第一进程信息与第一白名单,或者第一进程信息与第二白名单进行匹配之前,该方法还包括:
步骤S108,服务器接收第三客户端上传的第二进程信息。
具体地,上述的第三客户端可以是服务器的用户的智能手机(包括:Android手机和IOS手机)、平板电脑、笔记本电脑、掌上电脑等移动终端。
步骤S110,服务器对第二进程信息进行安全认证,得到安全认证结果。
步骤S112,如果安全认证结果为通过安全认证,则服务器将第二进程信息加入第一白名单中。
在一种可选的方案中,当云服务器的云租户需要实现一键加白功能时,云租户可以通过第三客户端将需要加入白名单的第二进程信息发送给服务器,服务器在接收到第二进程信息之后,可以通过二进程文件安全认证方案,对云租户提交的第二进程信息进行多杀软扫描和云端沙箱鉴定,得到安全认证结果,如果第二进程信息通过安全认证,即得到的安全认证结果为通过安全认证,则服务器可以将第二进程信息加入到用户自定义白名单中,从而可以根据第一白名单对第一客户端上传的第一进程信息进行验证。
可选地,在本申请上述实施例中,在步骤S106,第一客户端将第一进程信息发送给第二客户端之后,该方法还包括:
步骤S114,第二客户端接收第一控件被触发后生成的第一控制信号,其中,第一控制信号用于允许进程启动。
步骤S116,第二客户端根据第一控制信号确定授权信息为允许启动进程。
在一种可选的方案中,第二客户端在接收到的第一客户端发送的第一进程信息之后,可以将第一进程信息显示在显示屏上,显示屏幕上显示有允许进程启动的允许按钮和拒绝进程启动的拒绝按钮,用户或运维人员确定允许该进程运行之后,可以按下允许按钮,第二客户端生成允许进程启动的第一控制信号,并根据第一控制信号,生成允许启动进程的授权信息。
可选地,在本申请上述实施例中,在步骤S106,第一客户端将第一进程信息发送给第二客户端之后,该方法还包括:
步骤S118,第二客户端接收第二控件被触发后生成的第二控制信号,其中,第二控制信号用于禁止进程启动。
步骤S120,第二客户端根据第二控制信号确定授权信息为禁止启动进程。
在一种可选的方案中,第二客户端在接收到的第一客户端发送的第一进程信息之后,可以将第一进程信息显示在显示屏上,显示屏幕上显示有允许进程启动的允许按钮和拒绝进程启动的拒绝按钮,用户或运维人员确定拒绝该进程运行之后,可以按下拒绝按钮,第二客户端生成拒绝进程启动的第一控制信号,并根据第一控制信号,生成拒绝启动进程的授权信息。
可选地,在本申请上述实施例中,步骤S102,第一客户端获取进程对应的第一进程信息,包括:
步骤S1022,第一客户端获取进程对应的文件信息和文件信息对应的属性信息。
具体地,上述的文件信息可以是进程对应的二进制文件的名称、内容等信息;上述的属性信息可以是进程对应的二进制文件的存储位置、文件类型以及所运行操作系统的类型、版本号等信息,在本申请中对此不做具体限定。
步骤S1024,第一客户端根据文件信息计算进程对应的文件的HASH值。
步骤S1026,第一客户端根据属性信息和HASH值,生成第一进程信息。
在一种可选的方案中,第一客户端在捕获到待启动的进程之后,可以冻结该进程,获取该进程对应的二进制文件信息以及相关的属性信息,并计算相应的文件HASH值,将文件HASH值和相关的属性信息进行打包,得到第一进程信息。
可选地,在本申请上述实施例中,在步骤S102,第一客户端获取进程对应的第一进程信息之后,该方法还包括:
步骤S122,第一客户端将HASH值与本地缓存的白名单中的HASH值进行匹配。
具体地,上述的本地缓存的白名单可以是从服务器获取到的镜像白名单。
步骤S124,如果HASH值与本地缓存的白名单中的HASH值匹配失败,则第一客户端将第一进程信息上传至服务器。
在一种可选的方案中,第一客户端在捕获到待启动的进程,并计算得到该进程对应的文件信息的文件HASH值之后,可以在本地系统缓存器Cache中比较该文件HASH值是否存在,如果存在,则确定该进程不是勒索软件的进程,可以直接对该进程进行放行,该进程可以正常启动;如果存在,则将第一进程信息上传服务器,由服务器通过第一白名单和第二白名单对第一进程信息进行判断。
需要说明的是,上述方法不仅仅可以应用于在云平台下虚拟机运行中对勒索软件进行处理,还可以应用于在云平台下虚拟机中对预设应用软件进行处理,例如,预设应用软件可以是包含用户隐私信息的应用程序,该应用程序是否能够启动需要进行验证,为了实现是实时监控进程,防止预设应用软件启动,用户可以通过云平台提供的加白功能,将不需要进行验证即可直接运行的应用软件的进程信息添加至预设白名单中。
具体地,上述在云平台下虚拟机中对应用程序进行处理的方法可以包括如下步骤:第一客户端获取运行在虚拟机中的待启动的进程,以及该进程对应的进程信息,第一客户端将获取到的进程信息上传至云平台对应的服务器,服务器将进程信息与预设白名单进行匹配,得到匹配结果,并将匹配结果返回至第一客户端,第一客户端获取到匹配结果之后,如果该匹配结果为匹配失败,则确定该待启动的进程不是用户允许启动的进程,可能是包含用户隐私信息的应用程序的进程,可以将该进程信息发送给第二客户端,由用户对该进程信息进行授权,得到授权信息,第二客户端将授权信息返回至第一客户端,如果授权信息为禁止启动,则确定该待启动的进程是包含用户隐私信息的应用程序的进程,第一客户端禁止虚拟机启动该进程。
通过上述方法,可以通过白名单技术和双因素权限控制对进程是否允许启动进行验证,从而实现实时监控进程,并防止预设软件启动,达到提高处理实时性和处理效果的技术效果。
实施例2
根据本申请实施例,还提供了一种进程启动的处理系统的实施例,如图2所示,该系统包括:
第一客户端202,用于获取待启动的进程,以及进程对应的第一进程信息。
具体地,上述的第一客户端可以是需要进行勒索软件防御的客户端,例如可以是计算机终端或者安装有虚拟机的计算机终端,也可以是智能手机(包括:Android手机和IOS手机)、平板电脑、笔记本电脑、掌上电脑等移动终端;上述的第一进程信息可以包括:进程对应的二进制文件的文件信息和属性信息,文件信息可以是二进制文件的名称、内容等信息,属性信息可以是二进制文件的存储位置、文件类型以及所运行操作系统的类型、版本号等信息,在本申请中对此不做具体限定。
在一种可选的方案中,第一客户端上可以运行多个进程,每个进程对应不同的软件程序,为了对勒索软件进行防御,防止勒索软件运行对客户端上安装的格式文件造成损害,可以在每个进程启动时,对进程进行捕获,并冻结该进程,首先获取该进程的第一进程信息。
服务器204,与第一客户端具有通信关系,用于根据预设白名单对第一进程信息进行匹配,得到匹配结果。
具体地,上述的服务器可以是与第一客户端通过网络连接的云服务器,该云服务器用于通过白名单的方式对第一客户端上传的第一进程信息进行验证,判断捕获的进程是否为勒索软件的进程;上述的预设白名单可以包括云服务器系统镜像自带的进程信息、系统补丁文件的进程信息和用户自定义的进程信息等可信进程的进程信息。
在一种可选的方案中,第一客户端可以实时监控进程,并将待启动的进程的第一进程信息上报至服务器,由服务器通过预设白名单对上报的第一进程信息进行验证,即将上报的第一进程信息与用户自定义白名单中的进程信息进行匹配,如果匹配成功,则确定该进程为可信进程,并返回匹配成功的匹配结果;如果匹配失败,则确定该进程不是可信进程,有可能属于勒索软件的进程,并返回匹配失败的匹配结果。
第二客户端206,与第一客户端具有通信关系,用于在匹配结果为匹配失败的情况下,接收第一客户端发送的第一进程信息,并生成授权信息。
具体地,上述的第二客户端可以是用户或者服务器的运维人员的智能手机(包括:Android手机和IOS手机)、平板电脑、笔记本电脑、掌上电脑等移动终端。
在一种可选的方案中,第一客户端在接收到服务器返回的匹配结果之后,如果接收到的匹配结果为匹配成功,则确定该进程为可信进程,不是勒索软件的进程,可以对冻结的进程进行放行,允许该进程运行;如果接收到的匹配结果为匹配失败,则确定该进程可能是勒索软件的进程。为了进一步对是否为勒索软件的进程进行确定,可以将该进程的第一进程信息发送给第二客户端,由用户或服务器的运维人员对是否允许该进程运行进行授权,如果用户或服务器的运维人员允许该进程运行,则返回允许运行的授权信息;如果如用户或服务器的运维人员拒绝该进程运行,则返回拒绝运行的授权信息。
需要说明的是,上述实现方式依赖于用户或者运维人员明确哪些进程是允许运行的,除此之外的其他进程认为是拒绝运行的。
第一客户端202还用于根据授权信息确定是否允许进程启动。
在一种可选的方案中,第一客户端在接收到第二客户端返回的授权信息之后,可以根据授权信息确定是否允许进程启动,如果授权信息是允许运行,则可以对冻结的进程进行放行,该进程可以正常启动;如果授权信息是拒绝运行,则可以将冻结的进程杀掉,该进程无法启动,并进一步可以隔离该进程对应的二进制文件。
根据本申请上述实施例,第一客户端获取待启动的进程,以及进程对应的第一进程信息,将第一进程信息上传至服务器,并接收服务器返回的匹配结果,如果匹配结果为匹配失败,则将第一进程信息发送给第二客户端,并获取第二客户端返回的授权信息,根据授权信息确定是否允许进程启动,从而实现对进程是否能够启动进行处理的目的。容易注意到的是,由于服务器可以通过白名单对待启动的进程进行验证,在服务器验证失败的情况下,可以进一步由第二客户端对待启动的进程进行授权,通过白名单技术和双因素权限控制对进程是否允许启动进行验证,从而实现实时监控进程,并防止勒索软件启动,达到提高处理实时性和处理效果的技术效果,进一步,达到提升勒索软件的防御效果的技术效果。因此,本申请上述实施了提供的方案解决了现有的进程启动的处理方法是通过黑名单方式进行处理存在滞后,导致处理效率低的技术问题。
可选地,在本申请上述实施例中,服务器204还用于将第一进程信息与第一白名单,或者第一进程信息与第二白名单进行匹配,如果第一进程信息与第一白名单匹配成功,或者,第一进程信息与第二白名单匹配成功,则服务器确定匹配结果为匹配成功,如果第一进程信息与第一白名单匹配失败,且第一进程信息与第二白名单匹配失败,则服务器确定匹配结果为匹配失败,其中,第一白名单包括:初始设定的允许启动的一个或多个进程的进程信息,第二白名单包括:在服务器升级过程中新增的允许启动的一个或多个进程的信息。
具体地,上述的第一白名单可以是用户自定义的允许启动的进程的第一进程信息;上述的第二白名单可以是服务器系统升级过程中生成的系统补丁白名单,可以通过Spider实时同步系统补丁文件。
在一种可选的方案中,云服务器可以为云租户提供一键加白功能,用户启动该功能之后,可以自行选择自己的应用程序的进程作为可信进程,例如,游戏服务商可以对自己的游戏服务器程序的进程进行加白功能,即添加至第一白名单中。服务器在接收到第一客户端上传的第一进程信息之后,可以将第一进程信息与第一白名单和第二白名单进行匹配,即将待启动的进程的第一进程信息与用户自定义白名单和系统补丁白名单进行匹配,如果待启动的进程的第一进程信息与用户自定义白名单或系统补丁白名单中任意一个匹配成功,即待启动的进程是用户自定义的可信进程,或者是系统补丁的可信进程,则确定待启动的进程不是勒索软件的进程,从而确定匹配成功,并将匹配成功的匹配结果反馈给第一客户端;如果待启动的进程的第一进程信息与用户自定义白名单和系统补丁白名单均匹配失败,即待启动的进程既不是用户自定义的可信进程,也不是系统补丁的可信进程,则确定待启动的进程可能是勒索软件的进程,从而确定匹配失败,并将匹配失败的匹配结果反馈给第一客户端。
可选地,在本申请上述实施例中,如图3所示,该系统还包括:
第三客户端302,与服务器204具有通信关系,用于上传第二进程信息。
服务器204还用于对第二进程信息进行安全认证,得到安全认证结果,如果安全认证结果为通过安全认证,则将第二进程信息加入第一白名单中。
具体地,上述的第三客户端可以是服务器的用户的智能手机(包括:Android手机和IOS手机)、平板电脑、笔记本电脑、掌上电脑等移动终端。
在一种可选的方案中,当云服务器的云租户需要实现一键加白功能时,云租户可以通过第三客户端将需要加入白名单的第二进程信息发送给服务器,服务器在接收到第二进程信息之后,可以通过二进程文件安全认证方案,对云租户提交的第二进程信息进行多杀软扫描和云端沙箱鉴定,得到安全认证结果,如果第二进程信息通过安全认证,即得到的安全认证结果为通过安全认证,则服务器可以将第二进程信息加入到用户自定义白名单中,从而可以根据第一白名单对第一客户端上传的第一进程信息进行验证。
可选地,在本申请上述实施例中,第二客户端206还用于接收第一控件被触发后生成的第一控制信号,第二客户端根据第一控制信号确定授权信息为允许启动进程,其中,第一控制信号用于允许进程启动。
在一种可选的方案中,第二客户端在接收到的第一客户端发送的第一进程信息之后,可以将第一进程信息显示在显示屏上,显示屏幕上显示有允许进程启动的允许按钮和拒绝进程启动的拒绝按钮,用户或运维人员确定允许该进程运行之后,可以按下允许按钮,第二客户端生成允许进程启动的第一控制信号,并根据第一控制信号,生成允许启动进程的授权信息。
可选地,在本申请上述实施例中,第二客户端206还用于接收第二控件被触发后生成的第二控制信号,根据第二控制信号确定授权信息为禁止启动进程,其中,第二控制信号用于禁止进程启动。
在一种可选的方案中,第二客户端在接收到的第一客户端发送的第一进程信息之后,可以将第一进程信息显示在显示屏上,显示屏幕上显示有允许进程启动的允许按钮和拒绝进程启动的拒绝按钮,用户或运维人员确定拒绝该进程运行之后,可以按下拒绝按钮,第二客户端生成拒绝进程启动的第一控制信号,并根据第一控制信号,生成拒绝启动进程的授权信息。
可选地,在本申请上述实施例中,第一客户端202还用于获取进程对应的文件信息和文件信息对应的属性信息,根据文件信息计算进程对应的文件的HASH值,并根据属性信息和HASH值,生成第一进程信息。
具体地,上述的文件信息可以是进程对应的二进制文件的名称、内容等信息;上述的属性信息可以是进程对应的二进制文件的存储位置、文件类型以及所运行操作系统的类型、版本号等信息,在本申请中对此不做具体限定。
在一种可选的方案中,第一客户端在捕获到待启动的进程之后,可以冻结该进程,获取该进程对应的二进制文件信息以及相关的属性信息,并计算相应的文件HASH值,将文件HASH值和相关的属性信息进行打包,得到第一进程信息。
可选地,在本申请上述实施例中,第一客户端202还用于将HASH值与本地缓存的白名单中的HASH值进行匹配,如果HASH值与本地缓存的白名单中的HASH值匹配失败,则将第一进程信息上传至服务器。
具体地,上述的本地缓存的白名单可以是从服务器获取到的镜像白名单。
在一种可选的方案中,第一客户端在捕获到待启动的进程,并计算得到该进程对应的文件信息的文件HASH值之后,可以在本地系统缓存器Cache中比较该文件HASH值是否存在,如果存在,则确定该进程不是勒索软件的进程,可以直接对该进程进行放行,该进程可以正常启动;如果存在,则将第一进程信息上传服务器,由服务器通过第一白名单和第二白名单对第一进程信息进行判断。
实施例3
根据本申请实施例,还提供了一种进程启动的处理方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请提供的查杀勒索软件的方法实施例可以应用于互联网领域的公有云(例如,百度云、腾讯云、阿里云等)、和一些比较大的网络站点(例如,商业公司、搜索引擎、或政府部门等的站点)中,以防御勒索软件。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图4示出了一种用于实现进程启动的处理方法的计算机终端的硬件结构框图。如图4所示,计算机终端40可以包括一个或多个(图中采用402a、402b,……,402n来示出)处理器402(处理器402可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器404、以及用于通信功能的传输装置406。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、电源和/或相机。本领域普通技术人员可以理解,图4所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端40还可包括比图4中所示更多或者更少的组件,或者具有与图4所示不同的配置。
应当注意到的是上述一个或多个处理器402和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端40中的其他元件中的任意一个内。如本申请实施例中所涉及到的处理器,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器404可用于存储应用软件的软件程序以及模块,如本申请实施例中的进程启动的处理方法对应的程序指令/数据存储装置,处理器402通过运行存储在存储器404内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的进程启动的处理方法。存储器404可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器404可进一步包括相对于处理器402远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端40。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置406用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端40的通信供应商提供的无线网络。在一个实例中,传输装置406包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置406可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端40的用户界面进行交互。
图4示出的硬件结构框图,不仅可以作为上述计算机终端40的示例性框图,还可以作为上述服务器的示例性框图,一种可选实施例中,图2以框图示出了使用上述图4所示的计算机终端40作为发送端一种实施例。如图2所示,计算机终端40(即图2中的客户端102)可以经由数据网络连接或电子连接到一个或多个服务器,例如云服务器。一种可选实施例中,上述计算机终端40可以是移动终端。数据网络连接可以是局域网连接、广域网连接、因特网连接,或其他类型的数据网络连接。计算机终端40(可以执行以连接到由一个服务器(例如安全服务器)或一组服务器执行的网络服务。网络服务器是基于网络的用户服务,诸如社交网络、云资源、电子邮件、在线支付或其他在线应用。
在上述运行环境下,本申请提供了如图5所示的进程启动的处理方法。图5是根据本申请实施例的一种进程启动的处理方法的流程图,如图5所示,该进程启动的处理方法包括如下步骤:
步骤S502,第一客户端获取待启动的进程,以及进程对应的第一进程信息。
具体地,上述的第一客户端可以是需要进行勒索软件防御的客户端,例如可以是计算机终端或者安装有虚拟机的计算机终端,也可以是智能手机(包括:Android手机和IOS手机)、平板电脑、笔记本电脑、掌上电脑等移动终端;上述的第一进程信息可以包括:进程对应的二进制文件的文件信息和属性信息,文件信息可以是二进制文件的名称、内容等信息,属性信息可以是二进制文件的存储位置、文件类型以及所运行操作系统的类型、版本号等信息,在本申请中对此不做具体限定。
在一种可选的方案中,第一客户端上可以运行多个进程,每个进程对应不同的软件程序,为了对勒索软件进行防御,防止勒索软件运行对客户端上安装的格式文件造成损害,可以在每个进程启动时,对进程进行捕获,并冻结该进程,首先获取该进程的第一进程信息。
步骤S504,第一客户端将第一进程信息上传至服务器,并接收服务器返回的匹配结果,其中,匹配结果用于表征第一进程信息与预设白名单是否匹配。
具体地,上述的服务器可以是与第一客户端通过网络连接的云服务器,该云服务器用于通过白名单的方式对第一客户端上传的第一进程信息进行验证,判断捕获的进程是否为勒索软件的进程;上述的预设白名单可以包括云服务器系统镜像自带的进程信息、系统补丁文件的进程信息和用户自定义的进程信息等可信进程的进程信息。
在一种可选的方案中,第一客户端可以实时监控进程,并将待启动的进程的第一进程信息上报至服务器,由服务器通过预设白名单对上报的第一进程信息进行验证,即将上报的第一进程信息与用户自定义白名单中的进程信息进行匹配,如果匹配成功,则确定该进程为可信进程,并返回匹配成功的匹配结果;如果匹配失败,则确定该进程不是可信进程,有可能属于勒索软件的进程,并返回匹配失败的匹配结果。
步骤S506,如果匹配结果为匹配失败,则第一客户端将第一进程信息发送给第二客户端,并获取第二客户端返回的授权信息。
具体地,上述的第二客户端可以是用户或者服务器的运维人员的智能手机(包括:Android手机和IOS手机)、平板电脑、笔记本电脑、掌上电脑等移动终端。
在一种可选的方案中,第一客户端在接收到服务器返回的匹配结果之后,如果接收到的匹配结果为匹配成功,则确定该进程为可信进程,不是勒索软件的进程,可以对冻结的进程进行放行,允许该进程运行;如果接收到的匹配结果为匹配失败,则确定该进程可能是勒索软件的进程。为了进一步对是否为勒索软件的进程进行确定,可以将该进程的第一进程信息发送给第二客户端,由用户或服务器的运维人员对是否允许该进程运行进行授权,如果用户或服务器的运维人员允许该进程运行,则返回允许运行的授权信息;如果如用户或服务器的运维人员拒绝该进程运行,则返回拒绝运行的授权信息。
需要说明的是,上述实现方式依赖于用户或者运维人员明确哪些进程是允许运行的,除此之外的其他进程认为是拒绝运行的。
步骤S508,第一客户端根据授权信息确定是否允许进程启动。
在一种可选的方案中,第一客户端在接收到第二客户端返回的授权信息之后,可以根据授权信息确定是否允许进程启动,如果授权信息是允许运行,则可以对冻结的进程进行放行,该进程可以正常启动;如果授权信息是拒绝运行,则可以将冻结的进程杀掉,该进程无法启动,并进一步可以隔离该进程对应的二进制文件。
根据本申请上述实施例,第一客户端获取待启动的进程,以及进程对应的第一进程信息,将第一进程信息上传至服务器,并接收服务器返回的第一进程信息的匹配结果,如果匹配结果为匹配失败,则将第一进程信息发送给第二客户端,并获取第二客户端返回的第一进程信息的授权信息,根据授权信息确定是否允许进程启动,从而实现对进程是否能够启动进行处理的目的。容易注意到的是,由于服务器可以通过白名单对待启动的进程进行验证,在服务器验证失败的情况下,可以进一步由第二客户端对待启动的进程进行授权,通过白名单技术和双因素权限控制对进程是否允许启动进行验证,从而实现实时监控进程,并防止勒索软件启动,达到提高处理实时性和处理效果的技术效果,进一步,达到提升勒索软件的防御效果的技术效果。因此,本申请上述实施了提供的方案解决了现有的进程启动的处理方法是通过黑名单方式进行处理存在滞后,导致处理效率低的技术问题。
图6是根据本申请实施例的一种可选的进程启动的处理方法的流程图,下面结合图6对本申请一种优选的实施例进行详细说明,如图6所示,该方法可以包括如下步骤:
步骤S61,启动进程。
可选地,第一客户端上进程启动时,驱动监控程序捕获,冻结该进程,获得进程对应的二进制文件信息,计算相应的文件HASH值,以及相关属性信息。
步骤S62,第一客户端判断本地缓存白名单是否匹配成功。
可选地,第一客户端在本地系统Cache中比较该文件HASH值是否存在,若存在,则进入步骤S67,否则,进入步骤S63。
步骤S63,第一客户端发送进程信息到服务器。
可选地,若文件Hash不在本地Cache中,则发送文件HASH值及相关属性信息(即上述的第一进程信息)到远程服务器。
步骤S64,服务器判断第一白名单和第二白名单是否匹配成功。
可选地,服务器将文件HASH值及相关属性信息匹配用户自定义以及系统补丁白名单,如果匹配成功,即命中白名单库,则进入步骤S67,否则,即未命中白名单库,进入步骤S65。
步骤S65,第一客户端发送进程信息到第二客户端。
可选地,如果匹配失败,即未命中白名单库,则发送该进程信息给运维人员注册的手机端,即上述的第二客户端。
步骤S66,第二客户端返回的授权信息是否为允许进程启动。
可选地,如果运维人员确认放行,即返回允许进程启动的授权信息,则进入步骤S67,否则进入步骤S68。
步骤S67,第一客户端对进程放行,进程正常启动。
可选地,如果运维人员确认放行,则对冻结的进程进行放行,该进程可以正常启动,并结束整个处理过程。
步骤S68,第一客户端拒绝进程启动。
可选地,如果运维人员确认放行,则拒绝冻结的进程启动,进一步可以杀掉该进程,并隔离该进程对应的二进制文件,然后结束整个处理过程。
通过上述步骤S61至步骤S68,为了防止勒索软件采用应用程技术绕过安全产品的监控,可以在进程启动时,对进程进行冻结,并通过白名单技术和双因素权限控制方式对进程进行判断,从而在勒索软件启动进行破坏之前,对勒索软件进行识别,达到在云平台环境下的勒索软件实时防御,防止勒索软件启动,提高处理实时性和处理效果。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
实施例4
根据本申请实施例,还提供了一种用于实施上述进程启动的处理方法的进程启动的处理装置,如图7所示,该装置700包括:获取模块702,第一通信模块704,第二通信模块706和控制模块708。
其中,获取模块702用于获取待启动的进程,以及进程对应的第一进程信息;第一通信模块704用于将第一进程信息上传至服务器,并接收服务器返回的匹配结果,匹配结果用于表征第一进程信息与预设白名单是否匹配;第二通信模块706用于如果匹配结果为匹配失败,则将第一进程信息发送给第二客户端,并获取第二客户端返回的授权信息;控制模块708用于根据授权信息确定是否允许进程启动。
具体地,上述的第一客户端可以是需要进行勒索软件防御的客户端,例如可以是计算机终端或者安装有虚拟机的计算机终端,也可以是智能手机(包括:Android手机和IOS手机)、平板电脑、笔记本电脑、掌上电脑等移动终端;上述的第一进程信息可以包括:进程对应的二进制文件的文件信息和属性信息,文件信息可以是二进制文件的名称、内容等信息,属性信息可以是二进制文件的存储位置、文件类型以及所运行操作系统的类型、版本号等信息,在本申请中对此不做具体限定;上述的服务器可以是与第一客户端通过网络连接的云服务器,该云服务器用于通过白名单的方式对第一客户端上传的第一进程信息进行验证,判断捕获的进程是否为勒索软件的进程;上述的预设白名单可以包括云服务器系统镜像自带的进程信息、系统补丁文件的进程信息和用户自定义的进程信息等可信进程的进程信息;上述的第二客户端可以是用户或者服务器的运维人员的智能手机(包括:Android手机和IOS手机)、平板电脑、笔记本电脑、掌上电脑等移动终端。
在一种可选的方案中,第一客户端上可以运行多个进程,每个进程对应不同的软件程序,为了对勒索软件进行防御,防止勒索软件运行对客户端上安装的格式文件造成损害,可以在每个进程启动时,对进程进行捕获,并冻结该进程,首先获取该进程的第一进程信息。第一客户端可以实时监控进程,并将待启动的进程的进程信息上报至服务器,由服务器通过第一白名单对上报的第一进程信息进行验证,即将上报的第一进程信息与预设白名单中的进程信息进行匹配,如果匹配成功,则确定该进程为可信进程,并返回匹配成功的匹配结果;如果匹配失败,则确定该进程不是可信进程,有可能属于勒索软件的进程,并返回匹配失败的匹配结果。第一客户端在接收到服务器返回的匹配结果之后,如果接收到的匹配结果为匹配成功,则确定该进程为可信进程,不是勒索软件的进程,可以对冻结的进程进行放行,允许该进程运行;如果接收到的匹配结果为匹配失败,则确定该进程可能是勒索软件的进程。为了进一步对是否为勒索软件的进程进行确定,可以将该进程的第一进程信息发送给第二客户端,由用户或服务器的运维人员对是否允许该进程运行进行授权,如果用户或服务器的运维人员允许该进程运行,则返回允许运行的授权信息;如果如用户或服务器的运维人员拒绝该进程运行,则返回拒绝运行的授权信息。第一客户端在接收到第二客户端返回的授权信息之后,可以根据授权信息确定是否允许进程启动,如果授权信息是允许运行,则可以对冻结的进程进行放行,该进程可以正常启动;如果授权信息是拒绝运行,则可以将冻结的进程杀掉,该进程无法启动,并进一步可以隔离该进程对应的二进制文件。
需要说明的是,上述实现方式依赖于用户或者运维人员明确哪些进程是允许运行的,除此之外的其他进程认为是拒绝运行的。
根据本申请上述实施例,第一客户端获取待启动的进程,以及进程对应的第一进程信息,将第一进程信息上传至服务器,并接收服务器返回的第一进程信息的匹配结果,如果匹配结果为匹配失败,则将第一进程信息发送给第二客户端,并获取第二客户端返回的第一进程信息的授权信息,根据授权信息确定是否允许进程启动,从而实现对进程是否能够启动进行处理的目的。容易注意到的是,由于服务器可以通过白名单对待启动的进程进行验证,在服务器验证失败的情况下,可以进一步由第二客户端对待启动的进程进行授权,通过白名单技术和双因素权限控制对进程是否允许启动进行验证,从而实现实时监控进程,并防止勒索软件启动,达到提高处理实时性和处理效果的技术效果,进一步,达到提升勒索软件的防御效果的技术效果。因此,本申请上述实施了提供的方案解决了现有的进程启动的处理方法是通过黑名单方式进行处理存在滞后,导致处理效率低的技术问题。
可选地,在本申请上述实施例中,该装置还包括:第一匹配模块,第一确定模块和第二确定模块。
其中,第一匹配模块用于将第一进程信息与第一白名单,或者第一进程信息与第二白名单进行匹配,其中,第一白名单包括:初始设定的允许启动的一个或多个进程的进程信息,第二白名单包括:在服务器升级过程中新增的允许启动的一个或多个进程的信息;第一确定模块用于如果第一进程信息与第一白名单匹配成功,或者,第一进程信息与第二白名单匹配成功,则服务器确定匹配结果为匹配成功;第二确定模块用于如果第一进程信息与第一白名单匹配失败,且第一进程信息与第二白名单匹配失败,则服务器确定匹配结果为匹配失败。
可选地,在本申请上述实施例中,该装置还包括:接收模块,验证模块和加入模块。
其中,接收模块用于接收第三客户端上传的第二进程信息;验证模块用于对第二进程信息进行安全认证,得到安全认证结果;加入模块用于如果安全认证结果为通过安全认证,则将第二进程信息加入第一白名单中。
可选地,在本申请上述实施例中,该装置还包括:第一生成模块和第三确定模块。
其中,第一生成模块用于接收第一控件被触发后生成的第一控制信号,其中,第一控制信号用于允许进程启动;第三确定模块用于根据第一控制信号确定授权信息为允许启动进程。
可选地,在本申请上述实施例中,该装置还包括:第二生成模块和第四确定模块。
其中,第二生成模块用于接收第二控件被触发后生成的第二控制信号,其中,第二控制信号用于禁止进程启动;第四确定模块用于根据第二控制信号确定授权信息为禁止启动进程。
可选地,在本申请上述实施例中,获取模块包括:获取子模块,计算子模块和生成子模块。
其中,获取子模块用于获取进程对应的文件信息和文件信息对应的属性信息;计算子模块用于根据文件信息计算进程对应的文件的HASH值;生成子模块用于根据属性信息和HASH值,生成第一进程信息。
可选地,在本申请上述实施例中,该装置还包括:第二匹配模块和上传模块。
其中,第二匹配模块用于将HASH值与本地缓存的白名单中的HASH值进行匹配;上传模块用于如果HASH值与本地缓存的白名单中的HASH值匹配失败,则将第一进程信息上传至服务器。
需要说明的是,本实施例中的优选实施方式可以参见实施例2和3中的相关描述,此处不再赘述。
实施例5
根据本申请实施例,还提供了一种进程启动的处理系统,该系统包括:第一客户端,用于获取待启动的进程,以及进程对应的第一进程信息;第二客户端;处理器,处理器运行程序,其中,程序运行时对于从第一客户端得到的进程和第一进程信息执行如下处理步骤:将第一进程信息上传至服务器,并接收服务器返回的的匹配结果,如果匹配结果为匹配失败,则将第一进程信息发送给第二客户端,获取第二客户端返回的授权信息,并根据授权信息确定是否允许进程启动,其中,匹配结果用于表征第一进程信息与预设白名单是否匹配。
根据本申请上述实施例,第一客户端获取待启动的进程,以及进程对应的第一进程信息,将第一进程信息上传至服务器,并接收服务器返回的第一进程信息的匹配结果,如果匹配结果为匹配失败,则将第一进程信息发送给第二客户端,并获取第二客户端返回的第一进程信息的授权信息,根据授权信息确定是否允许进程启动,从而实现对进程是否能够启动进行处理的目的。容易注意到的是,由于服务器可以通过白名单对待启动的进程进行验证,在服务器验证失败的情况下,可以进一步由第二客户端对待启动的进程进行授权,通过白名单技术和双因素权限控制对进程是否允许启动进行验证,从而实现实时监控进程,并防止勒索软件启动,达到提高处理实时性和处理效果的技术效果,进一步,达到提升勒索软件的防御效果的技术效果。因此,本申请上述实施了提供的方案解决了现有的进程启动的处理方法是通过黑名单方式进行处理存在滞后,导致处理效率低的技术问题。
实施例6
根据本申请实施例,还提供了一种进程启动的处理系统,该系统包括:第一客户端,用于获取待启动的进程,以及进程对应的第一进程信息;第二客户端;存储介质,用于存储程序,其中,程序在运行时对于从第一客户端得到的进程和第一进程信息执行如下处理步骤:将第一进程信息上传至服务器,并接收服务器返回的匹配结果,如果匹配结果为匹配失败,则将第一进程信息发送给第二客户端,获取第二客户端返回的授权信息,并根据授权信息确定是否允许进程启动,其中,匹配结果用于表征第一进程信息与预设白名单是否匹配。
根据本申请上述实施例,第一客户端获取待启动的进程,以及进程对应的第一进程信息,将第一进程信息上传至服务器,并接收服务器返回的第一进程信息的匹配结果,如果匹配结果为匹配失败,则将第一进程信息发送给第二客户端,并获取第二客户端返回的第一进程信息的授权信息,根据授权信息确定是否允许进程启动,从而实现对进程是否能够启动进行处理的目的。容易注意到的是,由于服务器可以通过白名单对待启动的进程进行验证,在服务器验证失败的情况下,可以进一步由第二客户端对待启动的进程进行授权,通过白名单技术和双因素权限控制对进程是否允许启动进行验证,从而实现实时监控进程,并防止勒索软件启动,达到提高处理实时性和处理效果的技术效果,进一步,达到提升勒索软件的防御效果的技术效果。因此,本申请上述实施了提供的方案解决了现有的进程启动的处理方法是通过黑名单方式进行处理存在滞后,导致处理效率低的技术问题。
实施例7
本申请的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行应用程序的漏洞检测方法中以下步骤的程序代码:第一客户端获取待启动的进程,以及进程对应的第一进程信息;第一客户端将第一进程信息上传至服务器,并接收服务器返回的匹配结果,其中,匹配结果用于表征第一进程信息与预设白名单是否匹配;如果匹配结果为匹配失败,则第一客户端将第一进程信息发送给第二客户端,并获取第二客户端返回的授权信息;第一客户端根据授权信息确定是否允许进程启动。
可选地,图8是根据本申请实施例的一种计算机终端的结构框图。如图8所示,该计算机终端800可以包括:一个或多个(图中仅示出一个)处理器802、存储器804。
其中,存储器可用于存储软件程序以及模块,如本申请实施例中的进程启动的处理方法和装置对应的程序指令/模块,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的进程启动的处理方法。存储器可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至终端800。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:第一客户端获取待启动的进程,以及进程对应的第一进程信息;第一客户端将第一进程信息上传至服务器,并接收服务器返回的匹配结果,其中,匹配结果用于表征第一进程信息与预设白名单是否匹配;如果匹配结果为匹配失败,则第一客户端将第一进程信息发送给第二客户端,并获取第二客户端返回的授权信息;第一客户端根据授权信息确定是否允许进程启动。
可选的,上述处理器还可以执行如下步骤的程序代码:服务器将第一进程信息与第一白名单,或者第一进程信息与第二白名单进行匹配,其中,第一白名单包括:初始设定的允许启动的一个或多个进程的进程信息,第二白名单包括:在服务器升级过程中新增的允许启动的一个或多个进程的信息;如果第一进程信息与第一白名单匹配成功,或者,第一进程信息与第二白名单匹配成功,则服务器确定匹配结果为匹配成功;如果第一进程信息与第一白名单匹配失败,且第一进程信息与第二白名单匹配失败,则服务器确定匹配结果为匹配失败。
可选的,上述处理器还可以执行如下步骤的程序代码:服务器接收第三客户端上传的第二进程信息;服务器对第二进程信息进行安全认证,得到安全认证结果;如果安全认证结果为通过安全认证,则服务器将第二进程信息加入第一白名单中。
可选的,上述处理器还可以执行如下步骤的程序代码:第二客户端接收第一控件被触发后生成的第一控制信号,其中,第一控制信号用于允许进程启动;第二客户端根据第一控制信号确定授权信息为允许启动进程。
可选的,上述处理器还可以执行如下步骤的程序代码:第二客户端接收第二控件被触发后生成的第二控制信号,其中,第二控制信号用于禁止进程启动;第二客户端根据第二控制信号确定授权信息为禁止启动进程。
可选的,上述处理器还可以执行如下步骤的程序代码:第一客户端获取进程对应的文件信息和文件信息对应的属性信息;第一客户端根据文件信息计算进程对应的文件的HASH值;第一客户端根据属性信息和HASH值,生成第一进程信息。
可选的,上述处理器还可以执行如下步骤的程序代码:第一客户端将HASH值与本地缓存的白名单中的HASH值进行匹配;如果HASH值与本地缓存的白名单中的HASH值匹配失败,则第一客户端将第一进程信息上传至服务器。
采用本申请实施例,第一客户端获取待启动的进程,以及进程对应的第一进程信息,将第一进程信息上传至服务器,并接收服务器返回的第一进程信息的匹配结果,如果匹配结果为匹配失败,则将第一进程信息发送给第二客户端,并获取第二客户端返回的第一进程信息的授权信息,根据授权信息确定是否允许进程启动,从而实现对进程是否能够启动进行处理的目的。容易注意到的是,由于服务器可以通过白名单对待启动的进程进行验证,在服务器验证失败的情况下,可以进一步由第二客户端对待启动的进程进行授权,通过白名单技术和双因素权限控制对进程是否允许启动进行验证,从而实现实时监控进程,并防止勒索软件启动,达到提高处理实时性和处理效果的技术效果,进一步,达到提升勒索软件的防御效果的技术效果。因此,本申请上述实施了提供的方案解决了现有的进程启动的处理方法是通过黑名单方式进行处理存在滞后,导致处理效率低的技术问题。
本领域普通技术人员可以理解,图8所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图8其并不对上述电子装置的结构造成限定。例如,计算机终端800还可包括比图8中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图8所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例8
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例3所提供的进程启动的处理方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:第一客户端获取待启动的进程,以及进程对应的第一进程信息;第一客户端将第一进程信息上传至服务器,并接收服务器返回的匹配结果,其中,匹配结果用于表征第一进程信息与预设白名单是否匹配;如果匹配结果为匹配失败,则第一客户端将第一进程信息发送给第二客户端,并获取第二客户端返回的授权信息;第一客户端根据授权信息确定是否允许进程启动。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:服务器将第一进程信息与第一白名单,或者第一进程信息与第二白名单进行匹配,其中,第一白名单包括:初始设定的允许启动的一个或多个进程的进程信息,第二白名单包括:在服务器升级过程中新增的允许启动的一个或多个进程的信息;如果第一进程信息与第一白名单匹配成功,或者,第一进程信息与第二白名单匹配成功,则服务器确定匹配结果为匹配成功;如果第一进程信息与第一白名单匹配失败,且第一进程信息与第二白名单匹配失败,则服务器确定匹配结果为匹配失败。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:服务器接收第三客户端上传的第二进程信息;服务器对第二进程信息进行安全认证,得到安全认证结果;如果安全认证结果为通过安全认证,则服务器将第二进程信息加入第一白名单中。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:第二客户端接收第一控件被触发后生成的第一控制信号,其中,第一控制信号用于允许进程启动;第二客户端根据第一控制信号确定授权信息为允许启动进程。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:第二客户端接收第二控件被触发后生成的第二控制信号,其中,第二控制信号用于禁止进程启动;第二客户端根据第二控制信号确定授权信息为禁止启动进程。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:第一客户端获取进程对应的文件信息和文件信息对应的属性信息;第一客户端根据文件信息计算进程对应的文件的HASH值;第一客户端根据属性信息和HASH值,生成第一进程信息。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:第一客户端将HASH值与本地缓存的白名单中的HASH值进行匹配;如果HASH值与本地缓存的白名单中的HASH值匹配失败,则第一客户端将第一进程信息上传至服务器。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (14)
1.一种在云平台下虚拟机运行中对勒索软件的处理方法,其特征在于,包括:
第一客户端获取运行在虚拟机中的待启动的进程,以及所述进程对应的第一进程信息;
所述第一客户端将所述第一进程信息上传至云平台对应的服务器,并接收所述服务器返回的匹配结果,其中,所述匹配结果用于表征所述第一进程信息与预设白名单是否匹配;
如果所述匹配结果为匹配失败,则所述第一客户端将所述第一进程信息发送给第二客户端,并获取所述第二客户端返回的授权信息;
如果所述授权信息为禁止启动,则所述第一客户端禁止启动所述进程。
2.根据权利要求1所述的方法,其特征在于,在所述第一客户端将所述第一进程信息上传至云平台对应的服务器之后,所述方法还包括:
所述服务器将所述第一进程信息与第一白名单,或者所述第一进程信息与第二白名单进行匹配,其中,所述第一白名单包括:初始设定的允许启动的一个或多个进程的进程信息,所述第二白名单包括:在所述服务器升级过程中新增的允许启动的一个或多个进程的信息;
如果所述第一进程信息与所述第一白名单匹配成功,或者,所述第一进程信息与所述第二白名单匹配成功,则所述服务器确定所述匹配结果为匹配成功;
如果所述第一进程信息与所述第一白名单匹配失败,且第一所述进程信息与所述第二白名单匹配失败,则所述服务器确定所述匹配结果为匹配失败。
3.根据权利要求2所述的方法,其特征在于,在所述服务器将所述第一进程信息与所述第一白名单,或者所述第一进程信息与第二白名单进行匹配之前,所述方法还包括:
所述服务器接收第三客户端上传的第二进程信息;
所述服务器对所述第二进程信息进行安全认证,得到安全认证结果;
如果所述安全认证结果为通过安全认证,则所述服务器将所述第二进程信息加入所述第一白名单中。
4.根据权利要求1所述的方法,其特征在于,在所述第一客户端将所述第一进程信息发送给第二客户端之后,所述方法还包括:
所述第二客户端接收第一控件被触发后生成的第一控制信号,其中,所述第一控制信号用于允许所述进程启动;
所述第二客户端根据所述第一控制信号,确定所述授权信息为允许启动所述进程。
5.根据权利要求1所述的方法,其特征在于,在所述第一客户端将所述第一进程信息发送给第二客户端之后,所述方法还包括:
所述第二客户端接收第二控件被触发后生成的第二控制信号,其中,所述第二控制信号用于禁止所述进程启动;
所述第二客户端根据所述第二控制信号,确定所述授权信息为禁止启动所述进程。
6.根据权利要求1至5中任意一项所述的方法,其特征在于,第一客户端获取所述进程对应的第一进程信息,包括:
所述第一客户端获取所述进程对应的文件信息和所述文件信息对应的属性信息;
所述第一客户端根据所述文件信息计算所述进程对应的文件的HASH值;
所述第一客户端根据所述属性信息和所述HASH值,生成所述第一进程信息。
7.根据权利要求6所述的方法,其特征在于,在第一客户端获取所述进程对应的第一进程信息之后,所述方法还包括:
所述第一客户端将所述HASH值与本地缓存的白名单中的HASH值进行匹配;
如果所述HASH值与所述本地缓存的白名单中的HASH值匹配失败,则所述第一客户端将所述第一进程信息上传至服务器;
如果所述HASH值与所述本地缓存的白名单中的HASH值匹配成功,则所述第一客户端允许所述进程运行。
8.一种进程启动的处理系统,其特征在于,包括:
第一客户端,用于获取待启动的进程,以及所述进程对应的第一进程信息;
服务器,与所述第一客户端具有通信关系,用于根据预设白名单对所述第一进程信息进行匹配,得到匹配结果;
第二客户端,与所述第一客户端具有通信关系,用于在所述匹配结果为匹配失败的情况下,接收所述第一客户端发送的所述第一进程信息,并生成授权信息;
所述第一客户端还用于根据所述授权信息确定是否允许所述进程启动。
9.一种进程启动的处理方法,其特征在于,包括:
第一客户端获取待启动的进程,以及所述进程对应的第一进程信息;
所述第一客户端将所述第一进程信息上传至服务器,并接收所述服务器返回的匹配结果,其中,所述匹配结果用于表征所述第一进程信息与预设白名单是否匹配;
如果所述匹配结果为匹配失败,则所述第一客户端将所述第一进程信息发送给第二客户端,并获取所述第二客户端返回的授权信息;
所述第一客户端根据所述授权信息确定是否允许所述进程启动。
10.一种进程启动的处理装置,其特征在于,包括:
获取模块,用于获取待启动的进程,以及所述进程对应的第一进程信息;
第一通信模块,用于将所述第一进程信息上传至服务器,并接收所述服务器返回的匹配结果用于表征所述第一进程信息与预设白名单是否匹配;
第二通信模块,用于如果所述匹配结果为匹配失败,则将所述第一进程信息发送给第二客户端,并获取所述第二客户端返回的授权信息;
控制模块,用于根据所述授权信息确定是否允许所述进程启动。
11.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行如下步骤:获取待启动的进程,以及所述进程对应的第一进程信息,将所述第一进程信息上传至服务器,并接收所述服务器返回的匹配结果,如果所述匹配结果为匹配失败,则将所述第一进程信息发送给第二客户端,获取所述第二客户端返回的授权信息,并根据所述授权信息确定是否允许所述进程启动,其中,所述匹配结果用于表征所述第一进程信息与预设白名单是否匹配。
12.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行如下步骤:获取待启动的进程,以及所述进程对应的第一进程信息,将所述第一进程信息上传至服务器,并接收所述服务器返回的匹配结果,如果所述匹配结果为匹配失败,则将所述第一进程信息发送给第二客户端,获取所述第二客户端返回的授权信息,并根据所述授权信息确定是否允许所述进程启动,其中,所述匹配结果用于表征所述第一进程信息与预设白名单是否匹配。
13.一种进程启动的处理系统,其特征在于,包括:
第一客户端,用于获取待启动的进程,以及所述进程对应的第一进程信息;
第二客户端;
处理器,所述处理器运行程序,其中,所述程序运行时对于从所述第一客户端得到的所述进程和所述第一进程信息执行如下处理步骤:将所述第一进程信息上传至服务器,并接收所述服务器返回的匹配结果,如果所述匹配结果为匹配失败,则将所述第一进程信息发送给第二客户端,获取所述第二客户端返回的授权信息,并根据所述授权信息确定是否允许所述进程启动,其中,所述匹配结果用于表征所述第一进程信息与预设白名单是否匹配。
14.一种进程启动的处理系统,其特征在于,包括:
第一客户端,用于获取待启动的进程,以及所述进程对应的第一进程信息;
第二客户端;
存储介质,用于存储程序,其中,所述程序在运行时对于从所述第一客户端得到的所述进程和所述第一进程信息执行如下处理步骤:将所述第一进程信息上传至服务器,并接收所述服务器返回的匹配结果,如果所述匹配结果为匹配失败,则将所述第一进程信息发送给第二客户端,获取所述第二客户端返回的授权信息,并所述第一客户端根据所述授权信息确定是否允许所述进程启动,其中,所述匹配结果用于表征所述第一进程信息与预设白名单是否匹配。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710533961.2A CN109214182B (zh) | 2017-07-03 | 2017-07-03 | 在云平台下虚拟机运行中对勒索软件的处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710533961.2A CN109214182B (zh) | 2017-07-03 | 2017-07-03 | 在云平台下虚拟机运行中对勒索软件的处理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109214182A true CN109214182A (zh) | 2019-01-15 |
CN109214182B CN109214182B (zh) | 2022-04-15 |
Family
ID=64992897
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710533961.2A Active CN109214182B (zh) | 2017-07-03 | 2017-07-03 | 在云平台下虚拟机运行中对勒索软件的处理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109214182B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113569242A (zh) * | 2021-07-28 | 2021-10-29 | 中国南方电网有限责任公司 | 违规软件识别方法 |
CN113836542A (zh) * | 2021-10-13 | 2021-12-24 | 南方电网数字电网研究院有限公司 | 可信白名单匹配方法、系统和装置 |
CN114070634A (zh) * | 2021-11-22 | 2022-02-18 | 安天科技集团股份有限公司 | 一种基于smtp协议的窃密行为检测方法、装置及电子设备 |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101924761A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种依据白名单进行恶意程序检测的方法 |
CN102147842A (zh) * | 2010-07-23 | 2011-08-10 | 卡巴斯基实验室封闭式股份公司 | 防御网络资源上的恶意软件 |
CN102281540A (zh) * | 2011-09-08 | 2011-12-14 | 广东华仝九方科技有限公司 | 手机恶意软件查杀方法及系统 |
CN102332071A (zh) * | 2011-09-30 | 2012-01-25 | 奇智软件(北京)有限公司 | 发现疑似恶意信息、追踪恶意文件的方法及装置 |
CN102469092A (zh) * | 2010-11-18 | 2012-05-23 | 卓望数码技术(深圳)有限公司 | 一种实现手机应用的安全保护机制的方法及系统 |
US20130086682A1 (en) * | 2008-10-21 | 2013-04-04 | Lookout, Inc., A California Corporation | System and method for preventing malware on a mobile communication device |
CN103618604A (zh) * | 2013-11-26 | 2014-03-05 | 中国联合网络通信集团有限公司 | 身份认证方法及系统 |
CN103685251A (zh) * | 2013-12-04 | 2014-03-26 | 电子科技大学 | 一种面向移动互联网的Android恶意软件检测平台 |
CN104135479A (zh) * | 2014-07-29 | 2014-11-05 | 腾讯科技(深圳)有限公司 | 云端实时防御方法及系统 |
CN105187450A (zh) * | 2015-10-08 | 2015-12-23 | 飞天诚信科技股份有限公司 | 一种基于认证设备进行认证的方法和设备 |
US20160127393A1 (en) * | 2004-04-01 | 2016-05-05 | Fireeye, Inc. | Electronic Message Analysis For Malware Detection |
CN106487815A (zh) * | 2016-12-21 | 2017-03-08 | 乾云众创(北京)信息科技研究院有限公司 | 一种基于白名单的容器运行安全验证处理方法及系统 |
CN106557695A (zh) * | 2015-09-25 | 2017-04-05 | 卓望数码技术(深圳)有限公司 | 一种恶意应用检测方法和系统 |
-
2017
- 2017-07-03 CN CN201710533961.2A patent/CN109214182B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160127393A1 (en) * | 2004-04-01 | 2016-05-05 | Fireeye, Inc. | Electronic Message Analysis For Malware Detection |
US20130086682A1 (en) * | 2008-10-21 | 2013-04-04 | Lookout, Inc., A California Corporation | System and method for preventing malware on a mobile communication device |
CN102147842A (zh) * | 2010-07-23 | 2011-08-10 | 卡巴斯基实验室封闭式股份公司 | 防御网络资源上的恶意软件 |
CN101924761A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种依据白名单进行恶意程序检测的方法 |
CN102469092A (zh) * | 2010-11-18 | 2012-05-23 | 卓望数码技术(深圳)有限公司 | 一种实现手机应用的安全保护机制的方法及系统 |
CN102281540A (zh) * | 2011-09-08 | 2011-12-14 | 广东华仝九方科技有限公司 | 手机恶意软件查杀方法及系统 |
CN102332071A (zh) * | 2011-09-30 | 2012-01-25 | 奇智软件(北京)有限公司 | 发现疑似恶意信息、追踪恶意文件的方法及装置 |
CN103618604A (zh) * | 2013-11-26 | 2014-03-05 | 中国联合网络通信集团有限公司 | 身份认证方法及系统 |
CN103685251A (zh) * | 2013-12-04 | 2014-03-26 | 电子科技大学 | 一种面向移动互联网的Android恶意软件检测平台 |
CN104135479A (zh) * | 2014-07-29 | 2014-11-05 | 腾讯科技(深圳)有限公司 | 云端实时防御方法及系统 |
CN106557695A (zh) * | 2015-09-25 | 2017-04-05 | 卓望数码技术(深圳)有限公司 | 一种恶意应用检测方法和系统 |
CN105187450A (zh) * | 2015-10-08 | 2015-12-23 | 飞天诚信科技股份有限公司 | 一种基于认证设备进行认证的方法和设备 |
CN106487815A (zh) * | 2016-12-21 | 2017-03-08 | 乾云众创(北京)信息科技研究院有限公司 | 一种基于白名单的容器运行安全验证处理方法及系统 |
Non-Patent Citations (2)
Title |
---|
F. SKOPIK等: "《Dealing with advanced persistent threats in smart grid ICT networks》", 《ISGT 2014》 * |
向林泓: "《主动防御技术的研究与实现》", 《万方数据》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113569242A (zh) * | 2021-07-28 | 2021-10-29 | 中国南方电网有限责任公司 | 违规软件识别方法 |
CN113836542A (zh) * | 2021-10-13 | 2021-12-24 | 南方电网数字电网研究院有限公司 | 可信白名单匹配方法、系统和装置 |
CN114070634A (zh) * | 2021-11-22 | 2022-02-18 | 安天科技集团股份有限公司 | 一种基于smtp协议的窃密行为检测方法、装置及电子设备 |
CN114070634B (zh) * | 2021-11-22 | 2024-02-27 | 安天科技集团股份有限公司 | 一种基于smtp协议的窃密行为检测方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN109214182B (zh) | 2022-04-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220166793A1 (en) | Systems and methods for polluting phishing campaign responses | |
CN112567707B (zh) | 用于生成和部署动态虚假用户账户的方法和系统 | |
CN110351228A (zh) | 远程登录方法、装置和系统 | |
US20170223034A1 (en) | Classifying an email as malicious | |
CN106341372A (zh) | 终端的认证处理、认证方法及装置、系统 | |
CN104735065B (zh) | 一种数据处理方法、电子设备及服务器 | |
CN106302332B (zh) | 用户数据的访问控制方法、装置及系统 | |
CN106295328A (zh) | 文件检测方法、装置及系统 | |
CN108234115A (zh) | 信息安全的验证方法、装置和系统 | |
CN112765684B (zh) | 区块链节点终端管理方法、装置、设备及存储介质 | |
CN101873331A (zh) | 一种安全认证方法和系统 | |
CN109617917A (zh) | 地址虚拟化Web应用安全防火墙方法、装置和系统 | |
CN109214182A (zh) | 在云平台下虚拟机运行中对勒索软件的处理方法 | |
CN108200037A (zh) | 一种利用安全设备执行安全操作的方法及系统 | |
CN105722072A (zh) | 一种业务授权方法、装置、系统及路由器 | |
CN108322366A (zh) | 接入网络的方法、装置和系统 | |
US10826901B2 (en) | Systems and method for cross-channel device binding | |
CN107341028A (zh) | 补丁的更新方法及装置、存储介质和处理器 | |
CN109740319A (zh) | 数字身份验证方法及服务器 | |
CN110969474A (zh) | 资源的获取处理方法、数据处理系统、存储介质和处理器 | |
Wozak et al. | End-to-end security in telemedical networks–a practical guideline | |
CN113812125B (zh) | 登录行为的校验方法及装置、系统、存储介质、电子装置 | |
US11387982B2 (en) | Method for authenticating a hash of a data packet from collected context data based on a hash distance generation step, first authentication device, second authentication device, and authentication system | |
CN109522708B (zh) | 对应用程序的运行环境进行安全管控方法及装置 | |
CN107689934A (zh) | 一种保障信息安全的方法、服务器及客户端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |