CN109711168A - 基于行为的服务识别方法、装置、设备及可读存储介质 - Google Patents
基于行为的服务识别方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN109711168A CN109711168A CN201811640481.7A CN201811640481A CN109711168A CN 109711168 A CN109711168 A CN 109711168A CN 201811640481 A CN201811640481 A CN 201811640481A CN 109711168 A CN109711168 A CN 109711168A
- Authority
- CN
- China
- Prior art keywords
- behavior
- main body
- goal
- sensitive
- authority set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 101
- 230000000977 initiatory effect Effects 0.000 claims abstract description 103
- 230000008569 process Effects 0.000 claims abstract description 66
- 230000003542 behavioural effect Effects 0.000 claims abstract description 42
- 230000006399 behavior Effects 0.000 claims description 513
- 239000003795 chemical substances by application Substances 0.000 claims description 41
- 238000004590 computer program Methods 0.000 claims description 10
- 230000015654 memory Effects 0.000 claims description 8
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 8
- 239000003999 initiator Substances 0.000 claims description 7
- 230000035945 sensitivity Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 4
- 230000000630 rising effect Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- UPLPHRJJTCUQAY-WIRWPRASSA-N 2,3-thioepoxy madol Chemical compound C([C@@H]1CC2)[C@@H]3S[C@@H]3C[C@]1(C)[C@@H]1[C@@H]2[C@@H]2CC[C@](C)(O)[C@@]2(C)CC1 UPLPHRJJTCUQAY-WIRWPRASSA-N 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
- Retry When Errors Occur (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Debugging And Monitoring (AREA)
- Stored Programmes (AREA)
- Computer And Data Communications (AREA)
- Alarm Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种基于行为的服务识别方法、装置、设备及可读存储介质,涉及互联网技术领域,可以在基于基本行为权限集、敏感行为的发起方式以及目标行为主体的目标行为权限集逐一对该敏感行为进行识别,防止攻击者利用行为主体对操作系统进行攻击,避免攻击者对操作系统造成重大破坏,操作系统的安全性较好。所述方法包括:当检测到敏感行为发生时,获取基本行为权限集;如果基本行为权限集中不包括敏感行为,则确定目标行为主体,对目标行为主体的行为流程进行追溯,确定敏感行为的发起方式;如果敏感行为的发起方式为主动发起,则获取目标行为权限集;如果目标行为权限集中包括敏感行为,则允许目标行为主体执行敏感行为。
Description
技术领域
本发明涉及互联网技术领域,特别是涉及一种基于行为的服务识别方法、装置、设备及可读存储介质。
背景技术
随着互联网技术的飞速发展以及终端的日益普及,越来越多的用户选择使用终端执行日常生活中的各项活动,例如社交、通讯、拍照、游戏、购物等。用户在终端中进行各项活动时,通常是基于终端中的服务实现的,为了保证服务的正常运行,终端中搭载了操作系统,服务是操作系统中不可或缺的部分。目前,终端接收用户下发的服务指令,并对该服务指令进行识别,判断该服务指令是否允许执行。
相关技术中,在对服务指令进行识别时,通常每个服务指令均存在与其对应的指令黑名单或者指令白名单,通过查询指令黑名单或者指令白名单是否包括当前请求执行的服务指令,来确定该服务指令是否允许执行。
在实现本发明的过程中,发明人发现相关技术至少存在以下问题:
如果指令黑名单或者指令白名单中没有包括当前请求执行的服务指令,则无法对该服务指令进行识别,该服务指令便会直接执行,攻击者很容易利用指令黑名单或者指令白名单之外的服务指令对操作系统进行攻击,进而对操作系统造成重大破坏,操作系统的安全性较差。
发明内容
有鉴于此,本发明提供了一种基于行为的服务识别方法、装置、设备及可读存储介质,主要目的在于解决目前攻击者很容易利用指令黑名单或者指令白名单之外的服务指令对操作系统进行攻击,进而对操作系统造成重大破坏,操作系统的安全性较差的问题。
依据本发明第一方面,提供了一种基于行为的服务识别方法,该方法包括:
当检测到敏感行为发生时,获取基本行为权限集,所述基本行为权限集包括允许系统中行为主体执行的至少一个行为动作;
如果所述基本行为权限集中不包括所述敏感行为,则确定请求执行所述敏感行为的目标行为主体,对所述目标行为主体的行为流程进行追溯,确定所述目标行为主体发起所述敏感行为的发起方式,所述发起方式至少为主动发起或被动发起中的任一个;
如果所述目标行为主体发起所述敏感行为的发起方式为主动发起,则获取所述目标行为主体的目标行为权限集;
如果所述目标行为权限集中包括所述敏感行为,则允许所述目标行为主体执行所述敏感行为。
在另一个实施例中,所述如果所述基本行为权限集中不包括所述敏感行为,则确定请求执行所述敏感行为的目标行为主体,对所述目标行为主体的行为流程进行追溯,确定所述目标行为主体发起所述敏感行为的发起方式,包括:
如果所述基本行为权限集中不包括所述敏感行为,则对所述敏感行为的来源进行追溯,确定发起所述敏感行为的所述目标行为主体;
获取进程调用链,基于所述进程调用链,确定所述目标行为主体的行为流程指示的目标对象,所述进程调用链包括所述目标行为主体被调用的过程,所述目标对象为控制所述目标行为主体下发所述进程执行请求的对象;
当所述目标对象为执行指令时,则确定所述目标行为主体发起所述敏感行为的发起方式为主动发起;
当所述目标对象为应用程序时,则确定所述目标行为主体发起所述敏感行为的发起方式为被动发起。
在另一个实施例中,所述如果所述目标行为主体发起所述敏感行为的发起方式为主动发起,则获取所述目标行为主体的目标行为权限集,包括:
如果所述目标行为主体发起所述敏感行为的发起方式为主动发起,则获取所述目标行为主体的主体标识;
确定所述主体标识指示的行为权限集作为所述目标行为权限集,并获取所述目标行为权限集。
在另一个实施例中,所述方法还包括:
如果所述基本行为权限集中包括所述敏感行为,则允许所述目标行为主体执行所述敏感行为。
在另一个实施例中,所述方法还包括:
如果所述目标行为主体发起所述敏感行为的发起方式为被动发起,则禁止所述目标行为主体执行所述敏感行为;或,
如果所述目标行为权限集中不包括所述敏感行为,则禁止所述目标行为主体执行所述敏感行为。
依据本发明第二方面,提供了一种基于行为的服务识别装置,该装置包括:
第一获取模块,用于当检测到敏感行为发生时,获取基本行为权限集,所述基本行为权限集包括允许系统中行为主体执行的至少一个行为动作;
确定模块,用于如果所述基本行为权限集中不包括所述敏感行为,则确定请求执行所述敏感行为的目标行为主体,对所述目标行为主体的行为流程进行追溯,确定所述目标行为主体发起所述敏感行为的发起方式,所述发起方式至少为主动发起或被动发起中的任一个;
第二获取模块,用于如果所述目标行为主体发起所述敏感行为的发起方式为主动发起,则获取所述目标行为主体的目标行为权限集;
执行模块,用于如果所述目标行为权限集中包括所述敏感行为,则允许所述目标行为主体执行所述敏感行为。
在另一个实施例中,所述确定模块,包括:
第一确定子模块,用于如果所述基本行为权限集中不包括所述敏感行为,则对所述敏感行为的来源进行追溯,确定发起所述敏感行为的所述目标行为主体;
获取子模块,用于获取进程调用链,基于所述进程调用链,确定所述目标行为主体的行为流程指示的目标对象,所述进程调用链包括所述目标行为主体被调用的过程,所述目标对象为控制所述目标行为主体下发所述进程执行请求的对象;
第二确定子模块,用于当所述目标对象为执行指令时,则确定所述目标行为主体发起所述敏感行为的发起方式为主动发起;
第三确定子模块,用于当所述目标对象为应用程序时,则确定所述目标行为主体发起所述敏感行为的发起方式为被动发起。
在另一个实施例中,所述第二获取模块,包括:
获取子模块,用于如果所述目标行为主体发起所述敏感行为的发起方式为主动发起,则获取所述目标行为主体的主体标识;
确定子模块,用于确定所述主体标识指示的行为权限集作为所述目标行为权限集,并获取所述目标行为权限集。
在另一个实施例中,所述执行模块,还用于如果所述基本行为权限集中包括所述敏感行为,则允许所述目标行为主体执行所述敏感行为。
在另一个实施例中,所述装置还包括:
禁止模块,用于如果所述目标行为主体发起所述敏感行为的发起方式为被动发起,则禁止所述目标行为主体执行所述敏感行为;或,如果所述目标行为权限集中不包括所述敏感行为,则禁止所述目标行为主体执行所述敏感行为。
依据本发明第三方面,提供了一种设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现第一方面所述方法的步骤。
依据本发明第四方面,提供了一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的方法的步骤。
借由上述技术方案,本发明提供的一种基于行为的服务识别方法、装置、设备及可读存储介质,与目前基于指令黑名单或者指令白名单进行服务进程识别的方式相比,本发明当检测到敏感行为发生时,基于基本行为权限集、敏感行为的发起方式以及执行敏感行为的行为主体的目标行为权限集逐一对该敏感行为进行识别,防止攻击者行为主体对操作系统进行攻击,避免攻击者对操作系统造成重大破坏,操作系统的安全性较好。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种基于行为的服务识别方法流程示意图;
图2示出了本发明实施例提供的一种基于行为的服务识别方法流程示意图;
图3A示出了本发明实施例提供的一种基于行为的服务识别装置的结构示意图;
图3B示出了本发明实施例提供的一种基于行为的服务识别装置的结构示意图;
图3C示出了本发明实施例提供的一种基于行为的服务识别装置的结构示意图;
图3D示出了本发明实施例提供的一种基于行为的服务识别装置的结构示意图;
图4示出了本发明实施例提供的一种设备的装置结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种基于行为的服务识别方法,可以在基于进程名单对目标行为主体无法识别时,通过对目标行为主体的行为流程进行追溯,确定目标行为主体的发起方式,来进一步对目标行为主体进行识别,达到防止攻击者利用进程名单之外的服务进程对操作系统进行攻击,避免攻击者对操作系统造成重大破坏,操作系统的安全性较好的目的,如图1所示,该方法包括:
101、当检测到敏感行为发生时,获取基本行为权限集,基本行为权限集包括允许系统中行为主体执行的至少一个行为动作。
在本发明实施例中,为了初步对敏感行为进行识别,可以设置基本行为权限集,并在检测到敏感行为发生时,获取该基本行为权限集,以便在后续基于该基本行为权限集对该敏感行为进行识别。
102、如果基本行为权限集中不包括敏感行为,则确定请求执行敏感行为的目标行为主体,对目标行为主体的行为流程进行追溯,确定目标行为主体发起敏感行为的发起方式,发起方式至少为主动发起或被动发起中的任一个。
在本发明实施例中,如果基本行为权限集中不包括敏感行为,则可能目前基本行为权限集中尚未收录该敏感行为,此时需要继续对敏感行为进行识别,因此,确定请求执行敏感行为的目标行为主体,对目标行为主体的行为流程进行追溯,确定目标行为主体发起敏感行为的发起方式,从而根据该敏感行为的发起方式来对该敏感行为进行识别。
103、如果目标行为主体发起敏感行为的发起方式为主动发起,则获取目标行为主体的目标行为权限集。
在本发明实施例中,如果目标行为主体发起敏感行为的发起方式为主动发起,则表示此时可能是用户操控行为主体执行的,无法确定该敏感行为是否违法,因此,获取该目标行为主体的目标行为权限集,并基于该目标行为权限集确定该行为主体是否可以执行该敏感行为。
104、如果目标行为权限集中包括敏感行为,则允许目标行为主体执行敏感行为。
在本发明实施例中,如果目标行为权限集中包括敏感行为,则表示该敏感行为是允许该目标行为主体执行的,因此,允许目标行为主体执行敏感行为。
本发明实施例提供的方法,可以当检测到敏感行为发生时,基于基本行为权限集、敏感行为的发起方式以及执行敏感行为的行为主体的目标行为权限集逐一对该敏感行为进行识别,防止攻击者利用行为主体对操作系统进行攻击,避免攻击者对操作系统造成重大破坏,操作系统的安全性较好。
本发明实施例提供了一种基于行为的服务识别方法,可以在基于进程名单对目标行为主体无法识别时,通过对目标行为主体的行为流程进行追溯,确定目标行为主体的发起方式,来进一步对目标行为主体进行识别,达到防止攻击者利用进程名单之外的服务进程对操作系统进行攻击,避免攻击者对操作系统造成重大破坏,操作系统的安全性较好的目的,如图2所示,该方法包括:
201、当检测到敏感行为发生时,获取基本行为权限集,基本行为权限集包括允许系统中行为主体执行的至少一个行为动作,如果基本行为权限集中包括敏感行为,则执行下述步骤202;如果基本行为权限集中不包括敏感行为,则执行下述步骤203。
发明人认识到,行为主体启动后执行的行为动作通常是固定的,也即该行为主体为用户提供服务时所依赖的行为动作是固定的,一个行为主体并不会在正常的运行中请求执行之前从未执行过的行为动作,因此,为了对行为主体的行为动作进行限制,避免行为主体执行不该执行的行为动作,实现对攻击者的恶意行为的识别,本发明实施例设置了基本行为权限集,并基于该基本行为权限集规定系统中的行为主体可执行的行为动作,进而对行为主体的运行进行约束。这样,当检测到敏感行为发生时,便可以获取该基本行为权限集,并通过确定该基本行为权限集中是否包括敏感行为来实现对敏感行为的识别。
具体地,如果基本行为权限集中包括敏感行为,则表示该敏感行为是合法的,是允许执行的,也即执行下述步骤202;如果基本行为权限集中不包括敏感行为,则表示该基本行为权限集中尚未收录该敏感行为,需要进一步地对该敏感行为进行识别,也即执行下述步骤203。
202、如果基本行为权限集中包括敏感行为,则允许目标行为主体执行敏感行为。
在本发明实施例中,如果基本行为权限集中包括敏感行为,则表示该敏感行为是合法的,是允许执行的,因此,允许目标行为主体执行敏感行为。
203、如果基本行为权限集中不包括敏感行为,则确定请求执行敏感行为的目标行为主体,对目标行为主体的行为流程进行追溯,确定目标行为主体发起敏感行为的发起方式,如果目标行为主体发起敏感行为的发起方式为被动发起,则执行下述步骤204;如果目标行为主体发起敏感行为的发起方式为主动发起,则执行下述步骤205。
在本发明实施例中,如果基本行为权限集中不包括敏感行为,则表示该基本行为权限集中尚未收录该敏感行为,需要进一步地对该敏感行为进行识别。为了使操作系统在检测到敏感行为时,可以确定当前请求执行敏感行为的行为主体是哪一个,可以对敏感行为的来源进行追溯,确定发起该敏感行为的行为主体作为目标行为主体。
由于通常来说一个目标行为主体主动发起行为的话,那么该目标行为主体一般是由人为操作发起的,例如,用户下发一个指令,并通过指令来请求执行目标行为主体;一个目标行为主体是被动发起的话,那么该目标行为主体一般可能是应用程序发起的,且由于攻击者是不具有下发指令的权限的,因此,很可能是攻击者利用操作系统中的漏洞,操纵目标行为主体被动发起的,这样,如果基于基本行为权限集无法对目标行为主体进行识别,则可以通过对目标行为主体的行为流程进行追溯,确定该目标行为主体发起敏感行为的发起方式,并基于发起方式来实现对目标行为主体的识别。
其中,发起方式可为主动发起或被动发起。主动发起也即用户通过下发指令发起的,这样,发起方式为主动发起的目标行为主体是允许执行的;被动发起也即应用程序自身请求执行的,很有可能是攻击者操纵应用程序实现的,这样,发起方式为被动发起的目标行为主体是禁止执行的。具体地,在确定目标行为主体的发起方式时,可以通过下述步骤一至步骤二实现。
步骤一、获取进程调用链,基于进程调用链,确定目标行为主体的行为流程指示的目标对象。
其中,进程调用链包括目标行为主体被调用的过程,目标对象为控制目标行为主体下发进程执行请求的对象。由于不同发起方式的服务进程的来源是不同的,因此,在确定目标行为主体的发起方式时,可以通过对目标行为主体的行为流程进行追溯,确定目标行为主体的行为流程指示的目标对象,从而确定目标行为主体执行的敏感行为来自于哪一个对象,并将这个对象作为目标对象,以便后续根据目标对象来确定目标行为主体的发起方式。
其中,由于发起方式可为主动发起和被动发起,因此,目标对象可以划分为执行指令和应用程序。具体地,如果目标对象为执行指令,则表示该目标行为主体是通过用户下发指令才请求执行的,因此,可将发起方式确定为主动发起;如果目标对象为应用程序,则表示该目标行为主体是应用程序自行请求执行的,因此,可将发起方式确定为被动发起。例如,设通过获取进程调用链,可以向上追溯到该目标行为主体的目标对象是explorer.exe(搜索)进程,且explorer.exe进程只能由用户操作才可以请求执行某一项任务,因此可以确认是人为主动发起的,也即该目标行为主体的发起方式为主动发起。
步骤二、当目标对象为执行指令时,则确定目标行为主体发起敏感行为的发起方式为主动发起。
当目标对象为执行指令时,确定目标行为主体是由用户下发执行指令才请求执行敏感行为的,因此,确定目标行为主体发起敏感行为的发起方式为主动发起。
步骤三、当目标对象为应用程序时,则确定目标行为主体发起敏感行为的发起方式为被动发起。
当目标对象为应用程序时,确定目标行为主体执行敏感行为是由应用程序请求执行的,因此,确定目标行为主体发起敏感行为的发起方式为被动发起。
通过执行上述步骤一至步骤二中所示的过程,便可以确定该目标行为主体执行敏感行为的发起方式,
如果该目标行为主体执行敏感行为的发起方式为被动发起,则表示该目标行为主体执行敏感行为是应用程序请求执行的,很可能是攻击者操纵应用程序发送的,该目标行为主体执行敏感行为是禁止执行的,也即执行下述步骤204。如果该目标行为主体执行敏感行为的发起方式为主动发起,则表示该目标行为主体执行敏感行为是由用户发起的,并不是攻击者操纵的,该目标行为主体执行敏感行为需要进一步地进行识别,也即执行下述步骤205。
204、如果目标行为主体发起敏感行为的发起方式为被动发起,则禁止目标行为主体执行敏感行为。
在本发明实施例中,如果目标行为主体的发起方式为被动发起,则表示该目标行为主体很可能是攻击者操纵应用程序发送的,该目标行为主体执行敏感行为是禁止执行的,因此,需要禁止该目标行为主体执行,并继续接收其他的进程执行请求。
205、如果目标行为主体发起敏感行为的发起方式为主动发起,则获取目标行为主体的目标行为权限集,如果目标行为权限集中包括敏感行为,则执行下述步骤206;如果目标行为权限集中不包括敏感行为,则执行下述步骤207。
在本发明实施例中,如果目标行为主体发起敏感行为的发起方式为主动发起,则表示该目标行为主体执行敏感行为是由用户发起的,并不是攻击者操纵的,该目标行为主体执行敏感行为需要进一步地进行识别。由于操作系统中每个行为主体都存在对应的行为权限集,因此,获取目标行为主体的目标行为权限集,并基于该目标行为权限集继续对该敏感行为进行识别。
其中,在为行为主体设置行为权限集时,可以启动目标行为主体,以便获取目标行为主体的至少一个服务行为,进而基于至少一个服务行为为目标程序生成权限集。其中,为了实现对目标行为主体的服务行为进行采集,可以基于采集行为程序采集。这样,当启动了目标行为主体后,便将行为采集程序也启动,使得该行为采集程序对目标行为主体启动后的全部服务行为进行监控并采集,行为采集程序具体可为Hook(钩子)程序。在实际应用的过程中,为了使采集到的服务行为的数量具有说服力,且不至于数量过多造成操作系统的负载过重,可以设置采集周期,仅采集目标行为主体在采集周期中执行的服务行为即可,并根据在采集周期中采集到的服务行为在后续为目标行为主体生成权限集。例如,采集周期可为7天,这样,采集目标服务周期在7天内的服务行为即可。当采集到目标行为主体的至少一个服务行为后,便可以将至少一个服务行为存储,从而生成权限集。其中,在生成权限集时,为了保证每个行为主体的权限集的格式是一致的,便于对权限集进行管理,可以设置预设模板,并按照预设模板对至少一个服务行为进行整理,从而生成包括至少一个服务行为,且格式满足预设模板要求的权限集。在生成了该目标行为主体的权限集中,由于操作系统中的每一个行为主体均存在对应的权限集,这样,便会存在大量的权限集。为了对权限集进行管理,避免行为主体与权限集之间的对应关系混淆,从而造成后续对服务行为的识别发生错误,在生成了权限集后,可提取目标行为主体的主体标识,并将主体标识与权限集对应存储,从而保证每一个行为主体与其对应的权限集之间的对应关系是清晰的。在实际应用的过程中,在生成了权限集后,还可以采用主体标识对权限集进行标记,从而实现将目标行为主体与权限集之间相互对应。
这样,在获取目标行为权限集时,首先,获取目标行为主体的主体标识;随后,确定主体标识指示的行为权限集作为目标行为权限集,并获取目标行为权限集。
如果目标行为权限集中包括敏感行为,则表示该敏感行为包括在该目标行为主体可执行的行为动作范围内,因此,允许目标行为主体执行敏感行为,也即执行下述步骤206;如果目标行为权限集中不包括敏感行为,则表示该敏感行为不包括在该目标行为主体可执行的行为动作范围内,因此,禁止目标行为主体执行敏感行为,也即执行下述步骤207。
206、如果目标行为权限集中包括敏感行为,则允许目标行为主体执行敏感行为。
在本发明实施例中,如果目标行为权限集中包括敏感行为,则表示该敏感行为包括在该目标行为主体可执行的行为动作范围内,因此,允许目标行为主体执行敏感行为。
207、如果目标行为权限集中不包括敏感行为,则禁止目标行为主体执行敏感行为。
在本发明实施例中,如果目标行为权限集中不包括敏感行为,则表示该敏感行为不包括在该目标行为主体可执行的行为动作范围内,因此,禁止目标行为主体执行敏感行为。
在实际应用的过程中,考虑到有些恶意行为被大量接收到,因此,还可以利用大数据技术收集并定义一些恶意行为,例如修改系统启动项行为,并在基于进程名单对待执行服务识别失败时,先基于收集到的恶意行为进行识别,如果基于收集到的恶意行为确定该目标行为主体的敏感行为为恶意行为,则直接进行该目标行为主体的敏感行为进行拦截;如果基于收集到的恶意行为无法确定该目标行为主体的敏感行为是否为恶意行为,则继续执行上述步骤201中所示的方式对目标行为主体的敏感行为进行识别。
本发明实施例提供的方法,当检测到敏感行为发生时,基于基本行为权限集、敏感行为的发起方式以及执行敏感行为的行为主体的目标行为权限集逐一对该敏感行为进行识别,防止攻击者利用行为主体对操作系统进行攻击,避免攻击者对操作系统造成重大破坏,操作系统的安全性较好。
进一步地,作为图1方法的具体实现,本发明实施例提供了一种基于行为的服务识别装置,如图3A所示,装置包括:第一获取模块301,确定模块302,第二获取模块303和执行模块304。
该第一获取模块301,用于当检测到敏感行为发生时,获取基本行为权限集,基本行为权限集包括允许系统中行为主体执行的至少一个行为动作;
该确定模块302,用于如果基本行为权限集中不包括敏感行为,则确定请求执行敏感行为的目标行为主体,对目标行为主体的行为流程进行追溯,确定目标行为主体发起敏感行为的发起方式,发起方式至少为主动发起或被动发起中的任一个;
该第二获取模块303,用于如果目标行为主体发起敏感行为的发起方式为主动发起,则获取目标行为主体的目标行为权限集;
该执行模块304,用于如果目标行为权限集中包括敏感行为,则允许目标行为主体执行敏感行为。
在具体的应用场景中,如图3B所示,确定模块302,具体包括:第一确定子模块3021,获取子模块3022,第二确定子模块3023和第三确定子模块3024。
该第一确定子模块3021,用于如果基本行为权限集中不包括敏感行为,则对敏感行为的来源进行追溯,确定发起敏感行为的目标行为主体;
该获取子模块3022,用于获取进程调用链,基于进程调用链,确定目标行为主体的行为流程指示的目标对象,进程调用链包括目标行为主体被调用的过程,目标对象为控制目标行为主体下发进程执行请求的对象;
该第二确定子模块3023,用于当目标对象为执行指令时,则确定目标行为主体发起敏感行为的发起方式为主动发起;
该第三确定子模块3024,用于当目标对象为应用程序时,则确定目标行为主体发起敏感行为的发起方式为被动发起。
在具体的应用场景中,如图3C所示,该第二获取模块303,包括:获取子模块3031和确定子模块3032。
该获取子模块3031,用于如果目标行为主体发起敏感行为的发起方式为主动发起,则获取目标行为主体的主体标识;
该确定子模块3032,用于确定主体标识指示的行为权限集作为目标行为权限集,并获取目标行为权限集。
在具体的应用场景中,该执行模块304,还用于如果基本行为权限集中包括敏感行为,则允许目标行为主体执行敏感行为。
在具体的应用场景中,如图3D所示,该装置还包括禁止模块305。
该禁止模块305,用于如果目标行为主体发起敏感行为的发起方式为被动发起,则禁止目标行为主体执行敏感行为;或,如果目标行为权限集中不包括敏感行为,则禁止目标行为主体执行敏感行为。
本发明实施例提供的装置,可以当检测到敏感行为发生时,基于基本行为权限集、敏感行为的发起方式以及执行敏感行为的行为主体的目标行为权限集逐一对该敏感行为进行识别,防止攻击者利用行为主体对操作系统进行攻击,避免攻击者对操作系统造成重大破坏,操作系统的安全性较好。
需要说明的是,本发明实施例提供的一种基于行为的服务识别装置所涉及各功能单元的其他相应描述,可以参考图1和图2中的对应描述,在此不再赘述。
在示例性实施例中,参见图4,还提供了一种设备,该设备400包括通信总线、处理器、存储器和通信接口,还可以包括、输入输出接口和显示设备,其中,各个功能单元之间可以通过总线完成相互间的通信。该存储器存储有计算机程序,处理器,用于执行存储器上所存放的程序,执行上述实施例中的基于行为的服务识别方法。
一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现所述的基于行为的服务识别方法的步骤。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。
以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (10)
1.一种基于行为的服务识别方法,其特征在于,包括:
当检测到敏感行为发生时,获取基本行为权限集,所述基本行为权限集包括允许系统中行为主体执行的至少一个行为动作;
如果所述基本行为权限集中不包括所述敏感行为,则确定请求执行所述敏感行为的目标行为主体,对所述目标行为主体的行为流程进行追溯,确定所述目标行为主体发起所述敏感行为的发起方式,所述发起方式至少为主动发起或被动发起中的任一个;
如果所述目标行为主体发起所述敏感行为的发起方式为主动发起,则获取所述目标行为主体的目标行为权限集;
如果所述目标行为权限集中包括所述敏感行为,则允许所述目标行为主体执行所述敏感行为。
2.根据权利要求1所述的方法,其特征在于,所述如果所述基本行为权限集中不包括所述敏感行为,则确定请求执行所述敏感行为的目标行为主体,对所述目标行为主体的行为流程进行追溯,确定所述目标行为主体发起所述敏感行为的发起方式,包括:
如果所述基本行为权限集中不包括所述敏感行为,则对所述敏感行为的来源进行追溯,确定发起所述敏感行为的所述目标行为主体;
获取进程调用链,基于所述进程调用链,确定所述目标行为主体的行为流程指示的目标对象,所述进程调用链包括所述目标行为主体被调用的过程,所述目标对象为控制所述目标行为主体下发所述进程执行请求的对象;
当所述目标对象为执行指令时,则确定所述目标行为主体发起所述敏感行为的发起方式为主动发起;
当所述目标对象为应用程序时,则确定所述目标行为主体发起所述敏感行为的发起方式为被动发起。
3.根据权利要求1所述的方法,其特征在于,所述如果所述目标行为主体发起所述敏感行为的发起方式为主动发起,则获取所述目标行为主体的目标行为权限集,包括:
如果所述目标行为主体发起所述敏感行为的发起方式为主动发起,则获取所述目标行为主体的主体标识;
确定所述主体标识指示的行为权限集作为所述目标行为权限集,并获取所述目标行为权限集。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述基本行为权限集中包括所述敏感行为,则允许所述目标行为主体执行所述敏感行为。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述目标行为主体发起所述敏感行为的发起方式为被动发起,则禁止所述目标行为主体执行所述敏感行为;或,
如果所述目标行为权限集中不包括所述敏感行为,则禁止所述目标行为主体执行所述敏感行为。
6.一种基于行为的服务识别装置,其特征在于,包括:
第一获取模块,用于当检测到敏感行为发生时,获取基本行为权限集,所述基本行为权限集包括允许系统中行为主体执行的至少一个行为动作;
确定模块,用于如果所述基本行为权限集中不包括所述敏感行为,则确定请求执行所述敏感行为的目标行为主体,对所述目标行为主体的行为流程进行追溯,确定所述目标行为主体发起所述敏感行为的发起方式,所述发起方式至少为主动发起或被动发起中的任一个;
第二获取模块,用于如果所述目标行为主体发起所述敏感行为的发起方式为主动发起,则获取所述目标行为主体的目标行为权限集;
执行模块,用于如果所述目标行为权限集中包括所述敏感行为,则允许所述目标行为主体执行所述敏感行为。
7.根据权利要求6所述的装置,其特征在于,所述确定模块,包括:
第一确定子模块,用于如果所述基本行为权限集中不包括所述敏感行为,则对所述敏感行为的来源进行追溯,确定发起所述敏感行为的所述目标行为主体;
获取子模块,用于获取进程调用链,基于所述进程调用链,确定所述目标行为主体的行为流程指示的目标对象,所述进程调用链包括所述目标行为主体被调用的过程,所述目标对象为控制所述目标行为主体下发所述进程执行请求的对象;
第二确定子模块,用于当所述目标对象为执行指令时,则确定所述目标行为主体发起所述敏感行为的发起方式为主动发起;
第三确定子模块,用于当所述目标对象为应用程序时,则确定所述目标行为主体发起所述敏感行为的发起方式为被动发起。
8.根据权利要求6所述的装置,其特征在于,所述第二获取模块,包括:
获取子模块,用于如果所述目标行为主体发起所述敏感行为的发起方式为主动发起,则获取所述目标行为主体的主体标识;
确定子模块,用于确定所述主体标识指示的行为权限集作为所述目标行为权限集,并获取所述目标行为权限集。
9.一种设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5中任一项所述方法的步骤。
10.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5中任一项所述的方法的步骤。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810668277X | 2018-06-26 | ||
| CN201810668277.XA CN108846287A (zh) | 2018-06-26 | 2018-06-26 | 一种检测漏洞攻击的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109711168A true CN109711168A (zh) | 2019-05-03 |
| CN109711168B CN109711168B (zh) | 2021-01-15 |
Family
ID=64202031
Family Applications (10)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810668277.XA Pending CN108846287A (zh) | 2018-05-04 | 2018-06-26 | 一种检测漏洞攻击的方法及装置 |
| CN201811640753.3A Pending CN109829309A (zh) | 2018-06-26 | 2018-12-29 | 终端设备系统防护方法及装置 |
| CN201811640643.7A Pending CN109829307A (zh) | 2018-06-26 | 2018-12-29 | 进程行为识别方法及装置 |
| CN201811645681.1A Pending CN109766698A (zh) | 2018-06-26 | 2018-12-29 | 数据防护方法及装置 |
| CN201811640231.3A Active CN109871691B (zh) | 2018-06-26 | 2018-12-29 | 基于权限的进程管理方法、系统、设备及可读存储介质 |
| CN201811640471.3A Active CN109753806B (zh) | 2018-06-26 | 2018-12-29 | 服务器防护方法及装置 |
| CN201811646131.1A Active CN109766701B (zh) | 2018-06-26 | 2018-12-29 | 针对异常进程结束操作的处理方法、装置、及电子装置 |
| CN201811640526.0A Pending CN109726560A (zh) | 2018-06-26 | 2018-12-29 | 终端设备系统防护方法及装置 |
| CN201811645578.7A Pending CN109711172A (zh) | 2018-06-26 | 2018-12-29 | 数据防护方法及装置 |
| CN201811640481.7A Active CN109711168B (zh) | 2018-06-26 | 2018-12-29 | 基于行为的服务识别方法、装置、设备及可读存储介质 |
Family Applications Before (9)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810668277.XA Pending CN108846287A (zh) | 2018-05-04 | 2018-06-26 | 一种检测漏洞攻击的方法及装置 |
| CN201811640753.3A Pending CN109829309A (zh) | 2018-06-26 | 2018-12-29 | 终端设备系统防护方法及装置 |
| CN201811640643.7A Pending CN109829307A (zh) | 2018-06-26 | 2018-12-29 | 进程行为识别方法及装置 |
| CN201811645681.1A Pending CN109766698A (zh) | 2018-06-26 | 2018-12-29 | 数据防护方法及装置 |
| CN201811640231.3A Active CN109871691B (zh) | 2018-06-26 | 2018-12-29 | 基于权限的进程管理方法、系统、设备及可读存储介质 |
| CN201811640471.3A Active CN109753806B (zh) | 2018-06-26 | 2018-12-29 | 服务器防护方法及装置 |
| CN201811646131.1A Active CN109766701B (zh) | 2018-06-26 | 2018-12-29 | 针对异常进程结束操作的处理方法、装置、及电子装置 |
| CN201811640526.0A Pending CN109726560A (zh) | 2018-06-26 | 2018-12-29 | 终端设备系统防护方法及装置 |
| CN201811645578.7A Pending CN109711172A (zh) | 2018-06-26 | 2018-12-29 | 数据防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (10) | CN108846287A (zh) |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109711166B (zh) * | 2018-12-17 | 2020-12-11 | 北京知道创宇信息技术股份有限公司 | 漏洞检测方法及装置 |
| CN109800576B (zh) * | 2018-12-29 | 2021-07-23 | 360企业安全技术(珠海)有限公司 | 未知程序异常请求的监控方法、装置、及电子装置 |
| CN109558730B (zh) * | 2018-12-29 | 2020-10-16 | 360企业安全技术(珠海)有限公司 | 一种浏览器的安全防护方法及装置 |
| CN112395604B (zh) * | 2019-08-15 | 2022-09-30 | 奇安信安全技术(珠海)有限公司 | 系统监控登录防护方法、客户端、服务端、及存储介质 |
| CN112398789A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 远程登录的控制方法及装置、系统、存储介质、电子装置 |
| CN112398784B (zh) * | 2019-08-15 | 2023-01-06 | 奇安信安全技术(珠海)有限公司 | 防御漏洞攻击的方法及装置、存储介质、计算机设备 |
| CN112395617A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 防护docker逃逸漏洞的方法、装置、存储介质及计算机设备 |
| CN112395585B (zh) * | 2019-08-15 | 2023-01-06 | 奇安信安全技术(珠海)有限公司 | 数据库服务登录方法、装置、设备及可读存储介质 |
| CN112398787B (zh) * | 2019-08-15 | 2022-09-30 | 奇安信安全技术(珠海)有限公司 | 邮箱登录验证的方法、装置、计算机设备及存储介质 |
| CN110610086B (zh) * | 2019-08-30 | 2021-06-18 | 北京卓识网安技术股份有限公司 | 非法代码识别方法、系统、装置及存储介质 |
| WO2021046811A1 (zh) * | 2019-09-12 | 2021-03-18 | 奇安信安全技术(珠海)有限公司 | 一种攻击行为的判定方法、装置及计算机存储介质 |
| CN110505247B (zh) * | 2019-09-27 | 2022-05-17 | 百度在线网络技术(北京)有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
| CN111209559B (zh) * | 2019-12-23 | 2022-02-15 | 东软集团股份有限公司 | 应用程序的权限处理方法、装置、存储介质和电子设备 |
| CN111046377B (zh) * | 2019-12-25 | 2023-11-14 | 五八同城信息技术有限公司 | 加载动态链接库的方法、装置、电子设备及存储介质 |
| CN111382076B (zh) * | 2020-03-10 | 2023-04-25 | 抖音视界有限公司 | 应用程序的测试方法、装置、电子设备及计算机存储介质 |
| CN113626296A (zh) * | 2020-05-09 | 2021-11-09 | 深圳云天励飞技术有限公司 | 一种系统稳定性的检测方法、装置和终端 |
| CN111884884B (zh) * | 2020-07-31 | 2022-05-31 | 北京明朝万达科技股份有限公司 | 监控文件传输的方法、系统及装置 |
| CN111859405A (zh) * | 2020-07-31 | 2020-10-30 | 深信服科技股份有限公司 | 一种威胁免疫框架、方法、设备及可读存储介质 |
| CN112069505B (zh) * | 2020-09-15 | 2021-11-23 | 北京微步在线科技有限公司 | 一种审计信息处理方法及电子设备 |
| US12039031B2 (en) * | 2020-09-16 | 2024-07-16 | Cisco Technology, Inc. | Security policies for software call stacks |
| CN112910868A (zh) * | 2021-01-21 | 2021-06-04 | 平安信托有限责任公司 | 企业网络安全管理方法、装置、计算机设备及存储介质 |
| CN113392416B (zh) * | 2021-06-28 | 2024-03-22 | 北京恒安嘉新安全技术有限公司 | 获取应用程序加解密数据的方法、装置、设备及存储介质 |
| CN113742726A (zh) * | 2021-08-27 | 2021-12-03 | 恒安嘉新(北京)科技股份公司 | 程序识别模型训练和程序识别方法、装置、设备及介质 |
| CN113779561B (zh) * | 2021-09-09 | 2024-03-01 | 安天科技集团股份有限公司 | 内核漏洞处理方法、装置、存储介质及电子设备 |
| CN115051905A (zh) * | 2022-07-19 | 2022-09-13 | 广东泓胜科技股份有限公司 | 一种端口安全监控分析方法、装置及相关设备 |
| CN116707929B (zh) * | 2023-06-16 | 2024-07-05 | 广州市玄武无线科技股份有限公司 | 基于调用栈信息获取的手机拍照造假检测方法、装置、终端设备和计算机可读存储介质 |
| CN118226795B (zh) * | 2024-05-23 | 2024-08-13 | 山东颐阳生物科技集团股份有限公司 | 一种酒类原料加工车间的产线安全监管系统及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103368904A (zh) * | 2012-03-27 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 移动终端、可疑行为检测及判定系统和方法 |
| CN105279432A (zh) * | 2015-10-12 | 2016-01-27 | 北京金山安全软件有限公司 | 一种软件监控处理方法以及装置 |
| US20160092685A1 (en) * | 2014-09-29 | 2016-03-31 | Airwatch Llc | Passive compliance violation notifications |
| CN108171056A (zh) * | 2016-12-08 | 2018-06-15 | 武汉安天信息技术有限责任公司 | 一种自动化判定样本恶意性的检测方法和装置 |
| CN108280346A (zh) * | 2017-01-05 | 2018-07-13 | 腾讯科技(深圳)有限公司 | 一种应用防护监控方法、装置以及系统 |
Family Cites Families (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7093239B1 (en) * | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
| US7546587B2 (en) * | 2004-03-01 | 2009-06-09 | Microsoft Corporation | Run-time call stack verification |
| US7891000B1 (en) * | 2005-08-05 | 2011-02-15 | Cisco Technology, Inc. | Methods and apparatus for monitoring and reporting network activity of applications on a group of host computers |
| KR100843701B1 (ko) * | 2006-11-07 | 2008-07-04 | 소프트캠프(주) | 콜 스택에 기록된 정보를 이용한 에이피아이 확인방법 |
| CN101059829A (zh) * | 2007-05-16 | 2007-10-24 | 珠海金山软件股份有限公司 | 一种自动分析进程风险等级的装置和方法 |
| US8117424B2 (en) * | 2007-09-21 | 2012-02-14 | Siemens Industry, Inc. | Systems, devices, and/or methods for managing programmable logic controller processing |
| CN101373501B (zh) * | 2008-05-12 | 2010-06-02 | 公安部第三研究所 | 针对计算机病毒的动态行为捕获方法 |
| CN101286995B (zh) * | 2008-05-23 | 2010-12-08 | 北京锐安科技有限公司 | 一种远程控制方法和远程控制系统 |
| US9110801B2 (en) * | 2009-02-10 | 2015-08-18 | International Business Machines Corporation | Resource integrity during partial backout of application updates |
| CN101753377B (zh) * | 2009-12-29 | 2011-11-09 | 吉林大学 | 一种p2p_botnet实时检测方法及系统 |
| CN103136472B (zh) * | 2011-11-29 | 2016-08-31 | 腾讯科技(深圳)有限公司 | 一种防应用程序窃取隐私的方法及移动设备 |
| CN102546624A (zh) * | 2011-12-26 | 2012-07-04 | 西北工业大学 | 一种网络多路入侵检测防御方法及系统 |
| EP2839369B2 (en) * | 2012-04-20 | 2020-10-14 | NXP USA, Inc. | Information processing device and method for protecting data in a call stack |
| CN102750475B (zh) * | 2012-06-07 | 2017-08-15 | 中国电子科技集团公司第三十研究所 | 基于虚拟机内外视图交叉比对恶意代码行为检测方法及系统 |
| CN103778375B (zh) * | 2012-10-24 | 2017-11-17 | 腾讯科技(深圳)有限公司 | 防止用户设备加载非法的动态链接库文件的装置和方法 |
| US8990944B1 (en) * | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
| US9558347B2 (en) * | 2013-08-27 | 2017-01-31 | Globalfoundries Inc. | Detecting anomalous user behavior using generative models of user actions |
| CN103631712B (zh) * | 2013-10-23 | 2016-03-02 | 北京信息控制研究所 | 一种基于内存管理的模式化软件关键行为跟踪方法 |
| US9519758B2 (en) * | 2014-02-04 | 2016-12-13 | Pegasus Media Security, Llc | System and process for monitoring malicious access of protected content |
| CN103761472B (zh) * | 2014-02-21 | 2017-05-24 | 北京奇虎科技有限公司 | 基于智能终端设备的应用程序访问方法与装置 |
| US9652328B2 (en) * | 2014-05-12 | 2017-05-16 | International Business Machines Corporation | Restoring an application from a system dump file |
| CN105335654B (zh) * | 2014-06-27 | 2018-12-14 | 北京金山安全软件有限公司 | 一种Android恶意程序检测和处理方法、装置及设备 |
| CN104268471B (zh) * | 2014-09-10 | 2017-04-26 | 珠海市君天电子科技有限公司 | 一种检测面向返程的编程攻击的方法及装置 |
| CA2968201C (en) * | 2014-11-25 | 2021-01-05 | enSilo Ltd. | Systems and methods for malicious code detection |
| CN104484599B (zh) * | 2014-12-16 | 2017-12-12 | 北京奇虎科技有限公司 | 一种基于应用程序的行为处理方法和装置 |
| US10614210B2 (en) * | 2015-07-31 | 2020-04-07 | Digital Guardian, Inc. | Systems and methods of protecting data from injected malware |
| CN105224862B (zh) * | 2015-09-25 | 2018-03-27 | 北京北信源软件股份有限公司 | 一种office剪切板的拦截方法及装置 |
| CN105678168A (zh) * | 2015-12-29 | 2016-06-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于栈异常的shellcode检测方法及装置 |
| WO2017166037A1 (zh) * | 2016-03-29 | 2017-10-05 | 深圳投之家金融信息服务有限公司 | 一种数据篡改的检测装置及方法 |
| CN107330320B (zh) * | 2016-04-29 | 2020-06-05 | 腾讯科技(深圳)有限公司 | 应用进程监控的方法和装置 |
| US9807104B1 (en) * | 2016-04-29 | 2017-10-31 | STEALTHbits Technologies, Inc. | Systems and methods for detecting and blocking malicious network activity |
| CN105956462B (zh) * | 2016-06-29 | 2019-05-10 | 珠海豹趣科技有限公司 | 一种阻止恶意加载驱动的方法、装置及电子设备 |
| CN106203092B (zh) * | 2016-06-30 | 2019-12-10 | 珠海豹趣科技有限公司 | 一种拦截恶意程序关机的方法、装置及电子设备 |
| CN106201811B (zh) * | 2016-07-06 | 2019-03-26 | 青岛海信宽带多媒体技术有限公司 | 应用程序的故障恢复方法和终端 |
| CN106411588B (zh) * | 2016-09-29 | 2019-10-25 | 锐捷网络股份有限公司 | 一种网络设备管理方法、主设备及管理服务器 |
| CN107959595B (zh) * | 2016-10-14 | 2020-10-27 | 腾讯科技(深圳)有限公司 | 一种异常检测的方法、装置及系统 |
| CN106708734B (zh) * | 2016-12-13 | 2020-01-10 | 腾讯科技(深圳)有限公司 | 软件异常检测方法及装置 |
| CN106991324B (zh) * | 2017-03-30 | 2020-02-14 | 兴华永恒(北京)科技有限责任公司 | 一种基于内存保护类型监控的恶意代码跟踪识别方法 |
| CN107358071A (zh) * | 2017-06-07 | 2017-11-17 | 武汉斗鱼网络科技有限公司 | 防止Flash应用程序中函数非法调用的方法及装置 |
| CN107704356B (zh) * | 2017-06-12 | 2019-06-28 | 平安科技(深圳)有限公司 | 异常堆栈信息获取方法、装置及计算机可读存储介质 |
| CN107483274A (zh) * | 2017-09-25 | 2017-12-15 | 北京全域医疗技术有限公司 | 服务项目运行状态监控方法及装置 |
| CN108052431A (zh) * | 2017-12-08 | 2018-05-18 | 北京奇虎科技有限公司 | 终端程序异常关闭信息处理方法、装置、终端 |
-
2018
- 2018-06-26 CN CN201810668277.XA patent/CN108846287A/zh active Pending
- 2018-12-29 CN CN201811640753.3A patent/CN109829309A/zh active Pending
- 2018-12-29 CN CN201811640643.7A patent/CN109829307A/zh active Pending
- 2018-12-29 CN CN201811645681.1A patent/CN109766698A/zh active Pending
- 2018-12-29 CN CN201811640231.3A patent/CN109871691B/zh active Active
- 2018-12-29 CN CN201811640471.3A patent/CN109753806B/zh active Active
- 2018-12-29 CN CN201811646131.1A patent/CN109766701B/zh active Active
- 2018-12-29 CN CN201811640526.0A patent/CN109726560A/zh active Pending
- 2018-12-29 CN CN201811645578.7A patent/CN109711172A/zh active Pending
- 2018-12-29 CN CN201811640481.7A patent/CN109711168B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103368904A (zh) * | 2012-03-27 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 移动终端、可疑行为检测及判定系统和方法 |
| US20160092685A1 (en) * | 2014-09-29 | 2016-03-31 | Airwatch Llc | Passive compliance violation notifications |
| CN105279432A (zh) * | 2015-10-12 | 2016-01-27 | 北京金山安全软件有限公司 | 一种软件监控处理方法以及装置 |
| CN108171056A (zh) * | 2016-12-08 | 2018-06-15 | 武汉安天信息技术有限责任公司 | 一种自动化判定样本恶意性的检测方法和装置 |
| CN108280346A (zh) * | 2017-01-05 | 2018-07-13 | 腾讯科技(深圳)有限公司 | 一种应用防护监控方法、装置以及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 杨天长等: "Android应用软件敏感数据被动泄漏脆弱性分析", 《HTTPS://WWW.DOCIN.COM/P-1750877465.HTML》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109829307A (zh) | 2019-05-31 |
| CN109753806A (zh) | 2019-05-14 |
| CN109711172A (zh) | 2019-05-03 |
| CN109871691A (zh) | 2019-06-11 |
| CN109766701A (zh) | 2019-05-17 |
| CN109711168B (zh) | 2021-01-15 |
| CN109766698A (zh) | 2019-05-17 |
| CN109829309A (zh) | 2019-05-31 |
| CN109753806B (zh) | 2024-01-19 |
| CN109726560A (zh) | 2019-05-07 |
| CN109766701B (zh) | 2021-04-27 |
| CN108846287A (zh) | 2018-11-20 |
| CN109871691B (zh) | 2021-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109711168A (zh) | 基于行为的服务识别方法、装置、设备及可读存储介质 | |
| CN109873804A (zh) | 基于行为的服务识别方法、装置、设备及可读存储介质 | |
| US11605087B2 (en) | Method and apparatus for identifying identity information | |
| CN109787943B (zh) | 一种抵御拒绝服务攻击的方法及设备 | |
| CN106133743B (zh) | 用于优化预安装应用程序的扫描的系统和方法 | |
| EP3029593A1 (en) | System and method of limiting the operation of trusted applications in the presence of suspicious programs | |
| WO2020019483A1 (zh) | 一种模拟器识别方法、识别设备及计算机可读介质 | |
| EP3471015A1 (en) | Face recognition method and related product | |
| GB2554399A (en) | Passive availability testing | |
| CN110445769B (zh) | 业务系统的访问方法及装置 | |
| WO2014055241A2 (en) | Secure identification of computing device and secure identification methods | |
| WO2019072133A1 (zh) | 人脸识别方法及相关产品 | |
| CN103036597A (zh) | 近距离设备间的资源分享方法和设备 | |
| WO2020019485A1 (zh) | 一种模拟器识别方法、识别设备及计算机可读介质 | |
| EP3252647B1 (en) | System and method of detecting malicious files on a virtual machine in a distributed network | |
| JP2017228277A (ja) | 不正リモート管理からのコンピュータを保護するためのシステム及び方法 | |
| CN109889487B (zh) | 外部设备接入终端的处理方法及装置 | |
| CN107533596B (zh) | 指纹识别方法及移动终端 | |
| JP6196740B2 (ja) | ダウンロードに利用可能なアプリケーションについてユーザに知らせるためのシステム及び方法 | |
| CN109600387A (zh) | 攻击事件的追溯方法及装置、存储介质、计算机设备 | |
| US11520938B2 (en) | Root level controls to enable privacy mode for device cameras | |
| CN110688319A (zh) | 应用保活能力测试方法及相关装置 | |
| CN110619022B (zh) | 基于区块链网络的节点检测方法、装置、设备及存储介质 | |
| US20160034717A1 (en) | Filtering Transferred Media Content | |
| CN115454576B (zh) | 一种虚拟机进程管理方法、系统及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Patentee after: Qianxin Safety Technology (Zhuhai) Co.,Ltd. Patentee after: QAX Technology Group Inc. Address before: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Patentee before: 360 ENTERPRISE SECURITY TECHNOLOGY (ZHUHAI) Co.,Ltd. Patentee before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |