CN109726548B - 应用程序行为的处理方法、服务器、系统及存储介质 - Google Patents
应用程序行为的处理方法、服务器、系统及存储介质 Download PDFInfo
- Publication number
- CN109726548B CN109726548B CN201811641273.9A CN201811641273A CN109726548B CN 109726548 B CN109726548 B CN 109726548B CN 201811641273 A CN201811641273 A CN 201811641273A CN 109726548 B CN109726548 B CN 109726548B
- Authority
- CN
- China
- Prior art keywords
- behavior
- application program
- application
- record
- legal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 15
- 238000012545 processing Methods 0.000 claims abstract description 141
- 238000000034 method Methods 0.000 claims abstract description 82
- 238000004590 computer program Methods 0.000 claims description 9
- 238000004458 analytical method Methods 0.000 claims description 8
- 230000006399 behavior Effects 0.000 abstract description 579
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000002265 prevention Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
Images
Landscapes
- Stored Programmes (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种应用程序行为的处理方法、服务器、系统及存储介质,该方法包括:接收来自客户端的应用程序行为记录;若应用程序行为记录对应的应用程序行为是首次出现行为,则根据应用程序行为记录,确定应用程序的行为类型;根据应用程序的行为类型,生成与应用程序行为记录对应的应用程序行为处理指令;将应用程序行为处理指令发送至客户端,以使客户端执行应用程序行为处理指令。本申请依据首次出现的应用程序行为对应的行为类型,生成处理指令,解决了应用程序行为首次出现时由于缺乏处理依据导致处理方式过于宽松或过于严格的问题,有助于提高客户端的安全性和实用性。
Description
技术领域
本申请涉及信息安全技术领域,尤其是涉及到一种应用程序行为的处理方法、服务器、系统及存储介质。
背景技术
随着计算机技术的快速发展,各种功能的应用程序大量出现,满足人们在工作和生活中的多样化需求,但是与此同时计算机设备上的恶意软件层出不穷。
在现有的计算机防护体系中,通常依靠应用程序白名单或黑名单来对应用程序的相关行为进行限制,如果判断一个应用程序在白名单中,则执行该程序的相关操作,或者如果判断一个应用程序在黑名单中,则终止相关操作。但是对于一个不存在于白名单和黑名单中的新的应用程序,若利用白名单进行防护,则会造成防护过于严格的问题,若利用黑名单进行防护,则会造成防护过于宽松的问题。如何提升应用程序的防护效果,成为了亟待解决的问题。
发明内容
有鉴于此,本申请提供了一种应用程序行为的处理方法及装置、存储介质、计算机设备,解决了应用程序行为首次出现时由于缺乏处理依据导致处理方式过于宽松或过于严格的问题,有助于提高客户端的安全性和实用性。
根据本申请的一个方面,提供了一种应用程序行为的处理方法,用于服务器,包括:
接收来自客户端的应用程序行为记录;
若所述应用程序行为记录对应的应用程序行为是首次出现行为,则根据所述应用程序行为记录,确定所述应用程序的行为类型;
根据所述应用程序的行为类型,生成与所述应用程序行为记录对应的应用程序行为处理指令;
将所述应用程序行为处理指令发送至所述客户端,以使所述客户端执行所述应用程序行为处理指令。
根据本申请的另一方面,提供了一种服务器,包括:
行为记录接收模块,用于接收来自客户端的应用程序行为记录;
行为类型确定模块,用于若所述应用程序行为记录对应的应用程序行为是首次出现行为,则根据所述应用程序行为记录,确定所述应用程序的行为类型;
处理指令生成模块,用于根据所述应用程序的行为类型,生成与所述应用程序行为记录对应的应用程序行为处理指令;
处理指令发送模块,用于将所述应用程序行为处理指令发送至所述客户端,以使所述客户端执行所述应用程序行为处理指令。
依据本申请又一个方面,提供了一种应用程序行为的处理系统,包括:上述的服务器以及所述客户端;所述客户端用于当监控到应用程序的行为时,将所述应用程序的行为对应的应用程序行为记录发送至服务器中,以使所述服务器生成与所述应用程序行为记录对应的应用程序行为处理指令;接收并执行来自所述服务器的所述应用程序行为处理指令。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述应用程序行为的处理方法。
依据本申请再一个方面,提供了一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述应用程序行为的处理方法。
借由上述技术方案,本申请提供的一种应用程序行为的处理方法、服务器、系统、存储介质、计算机设备,在接收到应用程序的行为记录后,首先分析应用程序的行为是否为首次出现的行为,若是首次出现行为,则根据行为记录确定应用程序行为的类型,然后通过与应用程序行为类型匹配的行为处理专家或智能审核系统生成应用程序行为的处理指令,最后将处理指令发送给客户端,从而使客户端执行该处理指令,实现应用程序的行为安全防控。本申请依据首次出现的应用程序行为对应的行为类型,生成处理指令,解决了应用程序行为首次出现时由于缺乏处理依据导致处理方式过于宽松或过于严格的问题,有助于提高客户端的安全性和实用性。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种应用程序行为的处理方法的流程示意图;
图2示出了本申请实施例提供的另一种应用程序行为的处理方法的流程示意图;
图3示出了本申请实施例提供的另一种应用程序行为的处理方法的流程示意图;
图4示出了本申请实施例提供的一种服务器的结构示意图;
图5示出了本申请实施例提供的另一种服务器的结构示意图;
图6示出了本申请实施例提供的一种应用程序行为的处理系统的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本实施例中提供了一种应用程序行为的处理方法,用于服务器,如图1所示,该方法包括:
步骤101,接收来自客户端的应用程序行为记录。
在本申请的实施例中,客户端会将监控到的应用程序的行为记录发送至服务器中,服务器接收这些行为记录,以便利用应用程序行为记录确定对应行为的处理方式。例如,接收某办公软件打开文档文件A的行为记录。
步骤102,若应用程序行为记录对应的应用程序行为是首次出现行为,则根据应用程序行为记录,确定应用程序的行为类型。
如果接收到的应用程序行为记录对应的应用程序行为是首次出现的行为,没有历史数据作为参考依据从而确定该行为的处理方案,则依据应用程序的行为记录,确定该行为对应的行为类型。例如,通过某办公软件打开文档文件A的行为记录,可以确定该行为是文件读写类型的行为。再例如,通过某应用程序启动摄像头的行为记录,可以确定该行为是I/O设备调用类型的行为。
步骤103,根据应用程序的行为类型,生成与应用程序行为记录对应的应用程序行为处理指令。
根据应用程序行为记录对应的行为类型,确定与该行为类型对应的应用程序行为分析专家,由专家对应用程序行为记录进行分析确定对该应用程序行为的处理指令,或者由与该行为类型对应的智能审核系统确定对应的处理指令,智能审核系统一般为具有大量的对该种类型行为处理领域的专门知识与经验的程序系统,它应用人工智能技术和计算机技术,根据该领域一个或多个专家提供的知识和经验,进行推理和判断,模拟人类专家的决策过程,生成应用程序行为对应的处理指令。该处理指令为客户端如何处理应用程序行为提供了依据。其中,由不同的专家或智能审核系统分别对与其匹配的行为类型的应用程序行为记录进行分析,能够提高处理指令生成的效率和准确率。利用上述方法确定首次出现的应用程序行为的处理方案,并且解决了由于缺乏处理依据,导致处理方案过于宽松或者过于严格的问题。
例如,对于某办公软件打开文档文件A的行为,将其对应的行为记录发送给文件读写类型的智能审核系统中,智能审核系统根据行为记录对该行为的合法性进行分析后,得出该行为的处理指令。
步骤104,将应用程序行为处理指令发送至客户端,以使客户端执行应用程序行为处理指令。
将应用程序行为处理指令发送到客户端中,从而客户端接收到应用程序行为处理指令后,可以依据该指令对应用程序的行为进行处理,防止客户端中的应用程序行为超出其合法权限,威胁客户端系统安全,提高了客户端的安全性。
例如,对于某办公软件打开文档文件A的行为,假设智能审核系统认定该办公软件具备打开该文档文件A的权限,认定该行为是合法的,则可以生成相应的行为合法的处理指令。
再例如,对于另一个办公软件调用摄像头的行为,假设智能审核系统认定该办公软件不具备调用摄像头的权限,认定该行为是违规的,则可以生成相应的违规行为的处理指令。
通过应用本实施例的技术方案,在接收到应用程序的行为记录后,首先分析应用程序的行为是否为首次出现的行为,若是首次出现行为,则根据行为记录确定应用程序行为的类型,进而生成应用程序行为的处理指令,最后将处理指令发送给客户端,从而使客户端执行该处理指令,实现应用程序的行为安全防控。本申请利用人工审核的方式或智能审核系统生成首次出现的应用程序行为的处理指令,解决了应用程序行为首次出现时由于缺乏处理依据导致处理方式过于宽松或过于严格的问题,有助于提高客户端的安全性和实用性。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,提供了另一种应用程序行为的处理方法,如图2所示,该方法包括:
步骤201,接收来自客户端的应用程序行为记录。
步骤202,若应用程序行为记录对应的应用程序行为是首次出现行为,则根据应用程序行为记录,确定应用程序的行为类型。
步骤203,根据应用程序的行为类型,生成与应用程序行为记录对应的应用程序行为处理指令。
步骤204,将应用程序行为处理指令发送至客户端,以使客户端执行应用程序行为处理指令。
上述步骤201至步骤204中,在接收到应用程序的行为记录后,分析应用程序的行为是否为首次出现的行为,若是首次出现行为,则根据行为记录确定应用程序行为的类型,并通过与应用程序行为类型匹配的行为处理专家或智能审核系统生成应用程序行为的处理指令,从而将处理指令发送给客户端,实现应用程序的行为安全防控。
步骤205,当应用程序行为处理指令为应用程序拦截指令时,根据应用程序行为记录,建立违规行为库。
若应用程序行为处理指令为拦截指令,说明该应用程序的行为是存在风险或者超出权限的违规行为,这时应将该行为记录下来,以便下次相同的应用程序行为再次出现时,可以直接根据历史记录生成行为处理指令对该行为进行拦截处理。因此,应根据应用程序拦截指令相应的应用程序行为记录,建立违规行为库,为以后再次出现相同行为时提供处理依据。
在具体的实施例中,步骤205可以包括:
步骤2051,根据应用程序行为记录,确定与应用程序行为记录对应的违规应用程序进程和/或违规应用程序行为堆栈特征;
步骤2052,根据违规应用程序进程和/或违规应用程序行为堆栈特征,建立违规行为库。
对于每个应用程序的行为都有其相应的运行特点,这些特点可以作为判断该行为是否为违规行为的依据,比如应用程序的行为会对应的调起进程,例如摄像头的打开行为对应的调起进程是某办公软件进程,办公软件一般来说可以对文档文件进行读写操作,但是可能会有恶意代码注入到文档文件中,当办公软件打开包含恶意代码的文件时,办公软件可能会受到恶意代码的恶意操控去打开摄像头。另外,要实现应用程序的行为需要一系列的系统调用,而行为堆栈就是系统的API(ApplicationProgramming Interface,应用程序编程接口)调用序列,应用程序的堆栈特征也可以作为判断某应用程序行为是否为违规行为的依据。
因此,可以利用违规应用程序进程和/或违规应用程序行为堆栈特征,建立违规行为库,为以后再次出现相同的应用程序行为时,提供处理依据。
步骤206,若应用程序行为记录对应的应用程序行为不是首次出现行为,则根据违规行为库,判断应用程序行为记录对应的行为是否为违规行为。
在具体的实施例中,步骤206具体可以包括:
步骤2061,获取应用程序行为记录对应的应用程序的进程和/或应用程序的行为堆栈特征;
步骤2062,根据违规行为库与应用程序的进程和/或应用程序的行为堆栈特征的关系,确定应用程序行为记录对应的行为是否为违规行为。
对应用程序行为记录进行解析,得到应用程序进程和/或应用程序的行为堆栈特征,从而利用违规行为库判断应用程序行为的合法性,具体分为三种情况,一是违规行为库中只包括违规应用程序进程,二是违规行为库中只包括违规应用程序行为堆栈特征,三是违规行为库中包括违规应用程序进程和违规应用程序行为堆栈特征。
具体来说,第一,若违规行为库中包括违规应用程序进程,步骤2062具体可以为:
获取应用程序行为记录对应的应用程序的进程;
若违规行为库中的违规应用程序进程包括应用程序的进程,则判定应用程序行为记录对应的行为是违规行为,否则,判定应用程序行为记录对应的行为不是违规行为。
第二,若违规行为库中包括违规应用程序行为堆栈特征,步骤2062具体可以为:
获取应用程序行为记录对应的应用程序的行为堆栈特征;
若违规行为库中的违规应用程序行为堆栈特征包括应用程序的行为堆栈特征,则判定应用程序行为记录对应的行为是违规行为,否则,判定应用程序行为记录对应的行为不是违规行为。
第三,若违规行为库中包括违规应用程序进程和违规应用程序行为堆栈特征,步骤2062具体可以为:
获取应用程序行为记录对应的应用程序的进程和应用程序的行为堆栈特征;
若违规行为库中的违规应用程序进程包括应用程序的进程和/或违规行为库中的违规应用程序行为堆栈特征包括应用程序的行为堆栈特征,则判定应用程序行为记录对应的行为是违规行为,否则,判定应用程序行为记录对应的行为不是违规行为。
步骤207,若行为是违规行为,则向客户端发送应用程序拦截指令;
步骤208,若行为不是违规行为,则向客户端发送应用程序放行指令。
在上述实施例中,当依据违规行为库判断应用程序行为是违规行为时,向客户端发送拦截指令,以使客户端对该行为进行拦截操作,避免违规行为造成信息安全风险,当依据违规行为库判断应用程序行为不是违规行为时,向客户端发送放行指令,以使客户端对该行为执行放行操作,保证客户端内应用程序能够安全的运行。
步骤209,当应用程序行为处理指令为应用程序放行指令时,根据应用程序行为记录,建立合法行为库。
在具体的实施例中,步骤209可以包括:
步骤2091,根据应用程序行为记录,确定与应用程序行为记录对应的合法应用程序进程和/或合法应用程序行为堆栈特征;
步骤2092,根据合法应用程序进程和/或合法应用程序行为堆栈特征,建立合法行为库。
若应用程序行为处理指令为放行指令,说明该应用程序的行为是安全、合理的合法行为,这时应将该行为记录下来,以便下次相同的应用程序行为再次出现时,可以直接根据历史记录生成行为处理指令对该行为进行放行处理。因此,应根据应用程序放行指令相应的应用程序行为记录,建立合法行为库,为以后再次出现相同行为时提供处理依据。合法行为库的具体建立规则与违规行为库的建立规则相似,是依据影响程序行为记录对应的合法应用程序进程和/或应用程序行为堆栈特征建立,在此不再赘述。
步骤210,若应用程序行为记录对应的应用程序行为不是首次出现行为,则根据合法行为库,判断应用程序行为记录对应的行为是否为合法行为。
在具体的实施例中,步骤210具体可以包括:
步骤2101,获取应用程序行为记录对应的应用程序的进程和/或应用程序的行为堆栈特征;
步骤2102,根据合法行为库与应用程序的进程和/或应用程序的行为堆栈特征的关系,确定应用程序行为记录对应的行为是否为合法行为。
对应用程序行为记录进行解析,得到应用程序进程和/或应用程序的行为堆栈特征,从而利用合法行为库判断应用程序行为的合法性,具体分为三种情况,一是合法行为库中只包括合法应用程序进程,二是合法行为库中只包括合法应用程序行为堆栈特征,三是合法行为库中包括合法应用程序进程和合法应用程序行为堆栈特征。具体的判断方式与步骤206中根据违规行为库,判断应用程序行为记录对应的行为是否为违规行为的方法相似,也是对应用程序行为记录进行解析,得到应用程序进程和/或应用程序行为堆栈特征,从而依据合法行为库进行判断,在此不再赘述。
步骤211,若行为是合法行为,则向客户端发送应用程序放行指令;
步骤212,若行为不是合法行为,则向客户端发送应用程序拦截指令。
在上述实施例中,当依据合法行为库判断应用程序行为是合法行为时,向客户端发送放行指令,以使客户端对该行为执行放行操作,保证客户端内应用程序能够安全的运行,当依据违规行为库判断应用程序行为不是违规行为时,向客户端发送拦截指令,以使客户端对该行为进行拦截操作,避免违规行为造成信息安全风险。
在本实施例中提供了一种应用程序行为的处理方法,用于客户端,如图3所示,该方法包括:
步骤301,当监控到应用程序的行为时,将应用程序的行为对应的应用程序行为记录发送至服务器中,以使服务器生成与应用程序行为记录对应的应用程序行为处理指令。
在本申请的实施例中,当监控到客户端中存在目标应用程序的行为后,在系统日志中获取与该应用程序的行为对应的行为记录,并将行为记录发送到服务器中,以使服务器通过对行为记录进行分析,从而生成对应的应用程序行为处理指令,以指导客户端对该行为如何处理,避免违规行为造成信息安全风险。
步骤302,接收并执行来自服务器的应用程序行为处理指令。
客户端接收应用程序行为处理指令,从而通过执行该处理指令,实现对客户端的应用程序行为的控制。
具体地,应用程序行为处理指令具体为应用程序拦截指令或应用程序放行指令;若应用程序行为处理指令为应用程序拦截指令,则拦截应用程序的行为;若应用程序行为处理指令为应用程序放行指令,则放行应用程序的行为。
进一步的,作为图1方法的具体实现,本申请实施例提供了一种服务器,如图4所示,该服务器包括:行为记录接收模块41、行为类型确定模块42、处理指令生成模块43、处理指令发送模块44。
行为记录接收模块41,用于接收来自客户端的应用程序行为记录;
行为类型确定模块42,用于若应用程序行为记录对应的应用程序行为是首次出现行为,则根据应用程序行为记录,确定应用程序的行为类型;
处理指令生成模块43,用于根据应用程序的行为类型,生成与应用程序行为记录对应的应用程序行为处理指令;
处理指令发送模块44,用于将应用程序行为处理指令发送至客户端,以使客户端执行应用程序行为处理指令。
在具体的应用场景中,如图5所示,应用程序行为处理指令具体为应用程序拦截指令或应用程序放行指令;上述服务器还包括:违规行为库建立模块45、违规行为判断模块46、第一拦截指令发送模块47、第一放行指令发送模块48。
违规行为库建立模块45,用于当应用程序行为处理指令为应用程序拦截指令时,根据应用程序行为记录,建立违规行为库。
违规行为判断模块46,用于若应用程序行为记录对应的应用程序行为不是首次出现行为,则根据违规行为库,判断应用程序行为记录对应的行为是否为违规行为;
第一拦截指令发送模块47,用于若行为是违规行为,则向客户端发送应用程序拦截指令;
第一放行指令发送模块48,用于若行为不是违规行为,则向客户端发送应用程序放行指令。
在具体的应用场景中,如图5所示,违规行为库建立模块45,具体包括:违规行为分析单元451、违规行为库建立单元452。
违规行为分析单元451,用于根据应用程序行为记录,确定与应用程序行为记录对应的违规应用程序进程和/或违规应用程序行为堆栈特征;
违规行为库建立单元452,用于根据违规应用程序进程和/或违规应用程序行为堆栈特征,建立违规行为库。
在具体的应用场景中,如图5所示,违规行为判断模块46,具体包括:第一行为特征获取单元461、违规行为判断单元462。
第一行为特征获取单元461,用于获取应用程序行为记录对应的应用程序的进程和/或应用程序的行为堆栈特征;
违规行为判断单元462,用于根据违规行为库与应用程序的进程和/或应用程序的行为堆栈特征的关系,确定应用程序行为记录对应的行为是否为违规行为。
在具体的应用场景中,如图5所示,上述服务器还包括:合法行为库建立模块49、合法行为判断模块410、第二放行指令发送模块411、第二拦截指令发送模块412。
合法行为库建立模块49,用于当应用程序行为处理指令为应用程序放行指令时,根据应用程序行为记录,建立合法行为库。
合法行为判断模块410,用于若应用程序行为记录对应的应用程序行为不是首次出现行为,则根据合法行为库,判断应用程序行为记录对应的行为是否为合法行为;
第二放行指令发送模块411,用于若行为是合法行为,则向客户端发送应用程序放行指令;
第二拦截指令发送模块412,用于若行为不是合法行为,则向客户端发送应用程序拦截指令。
在具体的应用场景中,如图5所示,合法行为库建立模块49,具体包括:合法行为分析单元491、合法行为库建立单元492。
合法行为分析单元491,用于根据应用程序行为记录,确定与应用程序行为记录对应的合法应用程序进程和/或合法应用程序行为堆栈特征;
合法行为库建立单元492,用于根据合法应用程序进程和/或合法应用程序行为堆栈特征,建立合法行为库。
在具体的应用场景中,如图5所示,合法行为判断模块410,具体包括:第二行为特征获取单元4101、合法行为判断单元4102。
第二行为特征获取单元4101,用于获取应用程序行为记录对应的应用程序的进程和/或应用程序的行为堆栈特征;
合法行为判断单元4102,用于根据合法行为库与应用程序的进程和/或应用程序的行为堆栈特征的关系,确定应用程序行为记录对应的行为是否为合法行为。
需要说明的是,本申请实施例提供的一种服务器所涉及各功能单元的其他相应描述,可以参考图1和图2中的对应描述,在此不再赘述。
进一步的,本申请实施例还提供一种应用程序行为的处理系统,如图6所示,该系统包括:如图4或图5所示的服务器以及客户端;客户端用于当监控到应用程序的行为时,将应用程序的行为对应的应用程序行为记录发送至服务器中,以使服务器生成与应用程序行为记录对应的应用程序行为处理指令;接收并执行来自服务器的应用程序行为处理指令。
本实施例提供的服务器、客户端以及应用程序行为的处理系统,由客户端对应用程序的行为进行监控并将相应的应用程序的行为记录发送至服务器中,从而服务器根据行为记录生成行为处理指令后,将处理指令反馈至客户端中,进而客户端执行该处理指令,避免违规行为造成信息安全风险。
基于上述如图1和图2所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1和图2所示的应用程序行为的处理方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1、图2所示的方法,以及图3、图4所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种计算机设备,具体可以为个人计算机、服务器、网络设备等,该计算机设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1和图2所示的应用程序行为的处理方法。
可选地,该计算机设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种计算机设备结构并不构成对该计算机设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现在接收到应用程序的行为记录后,首先分析应用程序的行为是否为首次出现的行为,若是首次出现行为,则根据行为记录确定应用程序行为的类型,然后通过与应用程序行为类型匹配的行为处理专家或智能审核系统生成应用程序行为的处理指令,最后将处理指令发送给客户端,从而使客户端执行该处理指令,实现应用程序的行为安全防控。本申请利用行为处理专家或智能审核系统生成首次出现的应用程序行为的处理指令,解决了应用程序行为首次出现时由于缺乏处理依据导致处理方式过于宽松或过于严格的问题,有助于提高客户端的安全性和实用性。
本发明实施例提供了以下技术方案:
1、一种应用程序行为的处理方法,用于服务器,包括:
接收来自客户端的应用程序行为记录;
若所述应用程序行为记录对应的应用程序行为是首次出现行为,则根据所述应用程序行为记录,确定所述应用程序的行为类型;
根据所述应用程序的行为类型,生成与所述应用程序行为记录对应的应用程序行为处理指令;
将所述应用程序行为处理指令发送至所述客户端,以使所述客户端执行所述应用程序行为处理指令。
2、根据1所述的方法,所述应用程序行为处理指令具体为应用程序拦截指令或应用程序放行指令;
当所述应用程序行为处理指令为所述应用程序拦截指令时,所述方法还包括:
根据所述应用程序行为记录,建立违规行为库。
3、根据2所述的方法,所述方法还包括:
若所述应用程序行为记录对应的应用程序行为不是所述首次出现行为,则根据所述违规行为库,判断所述应用程序行为记录对应的行为是否为违规行为;
若所述行为是所述违规行为,则向所述客户端发送所述应用程序拦截指令;
若所述行为不是所述违规行为,则向所述客户端发送所述应用程序放行指令。
4、根据2或3所述的方法,所述根据所述应用程序行为记录,建立违规行为库,具体包括:
根据所述应用程序行为记录,确定与所述应用程序行为记录对应的违规应用程序进程和/或违规应用程序行为堆栈特征;
根据所述违规应用程序进程和/或所述违规应用程序行为堆栈特征,建立所述违规行为库。
5、根据4所述的方法,所述根据所述违规行为库,判断所述应用程序行为记录对应的行为是否为违规行为,具体包括:
获取所述应用程序行为记录对应的所述应用程序的进程和/或所述应用程序的行为堆栈特征;
根据所述违规行为库与所述应用程序的进程和/或所述应用程序的行为堆栈特征的关系,确定所述应用程序行为记录对应的行为是否为所述违规行为。
6、根据1所述的方法,当所述应用程序行为处理指令为所述应用程序放行指令时,所述方法还包括:
根据所述应用程序行为记录,建立合法行为库。
7、根据6所述的方法,所述方法还包括:
若所述应用程序行为记录对应的应用程序行为不是所述首次出现行为,则根据所述合法行为库,判断所述应用程序行为记录对应的行为是否为合法行为;
若所述行为是所述合法行为,则向所述客户端发送所述应用程序放行指令;
若所述行为不是所述合法行为,则向所述客户端发送所述应用程序拦截指令。
8、根据6或7所述的方法,所述根据所述应用程序行为记录,建立合法行为库,具体包括:
根据所述应用程序行为记录,确定与所述应用程序行为记录对应的合法应用程序进程和/或合法应用程序行为堆栈特征;
根据所述合法应用程序进程和/或所述合法应用程序行为堆栈特征,建立所述合法行为库。
9、根据8所述的方法,所述根据所述合法行为库,判断所述应用程序行为记录对应的行为是否为合法行为,具体包括:
获取所述应用程序行为记录对应的所述应用程序的进程和/或所述应用程序的行为堆栈特征;
根据所述合法行为库与所述应用程序的进程和/或所述应用程序的行为堆栈特征的关系,确定所述应用程序行为记录对应的行为是否为所述合法行为。
10、一种服务器,包括:
行为记录接收模块,用于接收来自客户端的应用程序行为记录;
行为类型确定模块,用于若所述应用程序行为记录对应的应用程序行为是首次出现行为,则根据所述应用程序行为记录,确定所述应用程序的行为类型;
处理指令生成模块,用于根据所述应用程序的行为类型,生成与所述应用程序行为记录对应的应用程序行为处理指令;
处理指令发送模块,用于将所述应用程序行为处理指令发送至所述客户端,以使所述客户端执行所述应用程序行为处理指令。
11、根据10所述的服务器,所述应用程序行为处理指令具体为应用程序拦截指令或应用程序放行指令;
所述服务器还包括:
违规行为库建立模块,用于当所述应用程序行为处理指令为所述应用程序拦截指令时,根据所述应用程序行为记录,建立违规行为库。
12、根据11所述的服务器,所述服务器还包括:
违规行为判断模块,用于若所述应用程序行为记录对应的应用程序行为不是所述首次出现行为,则根据所述违规行为库,判断所述应用程序行为记录对应的行为是否为违规行为;
第一拦截指令发送模块,用于若所述行为是所述违规行为,则向所述客户端发送所述应用程序拦截指令;
第一放行指令发送模块,用于若所述行为不是所述违规行为,则向所述客户端发送所述应用程序放行指令。
13、根据11或12所述的服务器,所述违规行为库建立模块,具体包括:
违规行为分析单元,用于根据所述应用程序行为记录,确定与所述应用程序行为记录对应的违规应用程序进程和/或违规应用程序行为堆栈特征;
违规行为库建立单元,用于根据所述违规应用程序进程和/或所述违规应用程序行为堆栈特征,建立所述违规行为库。
14、根据13所述的服务器,所述违规行为判断模块,具体包括:
第一行为特征获取单元,用于获取所述应用程序行为记录对应的所述应用程序的进程和/或所述应用程序的行为堆栈特征;
违规行为判断单元,用于根据所述违规行为库与所述应用程序的进程和/或所述应用程序的行为堆栈特征的关系,确定所述应用程序行为记录对应的行为是否为所述违规行为。
15、根据10所述的服务器,所述服务器还包括:
合法行为库建立模块,用于当所述应用程序行为处理指令为所述应用程序放行指令时,根据所述应用程序行为记录,建立合法行为库。
16、根据15所述的服务器,所述服务器还包括:
合法行为判断模块,用于若所述应用程序行为记录对应的应用程序行为不是所述首次出现行为,则根据所述合法行为库,判断所述应用程序行为记录对应的行为是否为合法行为;
第二放行指令发送模块,用于若所述行为是所述合法行为,则向所述客户端发送所述应用程序放行指令;
第二拦截指令发送模块,用于若所述行为不是所述合法行为,则向所述客户端发送所述应用程序拦截指令。
17、根据15或16所述的服务器,所述合法行为库建立模块,具体包括:
合法行为分析单元,用于根据所述应用程序行为记录,确定与所述应用程序行为记录对应的合法应用程序进程和/或合法应用程序行为堆栈特征;
合法行为库建立单元,用于根据所述合法应用程序进程和/或所述合法应用程序行为堆栈特征,建立所述合法行为库。
18、根据17所述的服务器,所述合法行为判断模块,具体包括:
第二行为特征获取单元,用于获取所述应用程序行为记录对应的所述应用程序的进程和/或所述应用程序的行为堆栈特征;
合法行为判断单元,用于根据所述合法行为库与所述应用程序的进程和/或所述应用程序的行为堆栈特征的关系,确定所述应用程序行为记录对应的行为是否为所述合法行为。
19、一种应用程序行为的处理系统,包括:如10至18中任一项所述的服务器以及所述客户端;
所述客户端用于当监控到应用程序的行为时,将所述应用程序的行为对应的应用程序行为记录发送至服务器中,以使所述服务器生成与所述应用程序行为记录对应的应用程序行为处理指令;
接收并执行来自所述服务器的所述应用程序行为处理指令。
20、一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现1至9中任一项所述的应用程序行为的处理方法。
21、一种服务器,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现1至9中任一项所述的应用程序行为的处理方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (19)
1.一种应用程序行为的处理方法,用于服务器,其特征在于,包括:
接收来自客户端的应用程序行为记录;
若所述应用程序行为记录对应的应用程序行为是首次出现行为,则根据所述应用程序行为记录,确定所述应用程序的行为类型,其中,所述行为类型包括文件读写类型或I/O设备调用类型;利用与所述行为类型对应的专家系统,生成与所述应用程序行为记录对应的应用程序行为处理指令;将所述应用程序行为处理指令发送至所述客户端,以使所述客户端执行所述应用程序行为处理指令;当所述应用程序行为处理指令为所述应用程序拦截指令时,根据所述应用程序行为记录,确定与所述应用程序行为记录对应的违规应用程序进程和/或违规应用程序行为堆栈特征,并建立违规行为库,其中,所述违规行为库包括所述违规应用程序进程和/或所述违规应用程序行为堆栈特征;
若所述应用程序行为记录对应的应用程序行为不是所述首次出现行为,则根据违规行为库,判断所述应用程序行为记录对应的行为是否为违规行为。
2.根据权利要求1所述的方法,其特征在于,所述应用程序行为处理指令还包括应用程序放行指令。
3.根据权利要求2所述的方法,其特征在于,若所述应用程序行为记录对应的应用程序行为不是所述首次出现行为,则根据所述违规行为库,判断所述应用程序行为记录对应的行为是否为违规行为之后,所述方法还包括:
若所述行为是所述违规行为,则向所述客户端发送所述应用程序拦截指令;
若所述行为不是所述违规行为,则向所述客户端发送所述应用程序放行指令。
4.根据权利要求3所述的方法,其特征在于,所述根据所述违规行为库,判断所述应用程序行为记录对应的行为是否为违规行为,具体包括:
获取所述应用程序行为记录对应的所述应用程序的进程和/或所述应用程序的行为堆栈特征;
根据所述违规行为库与所述应用程序的进程和/或所述应用程序的行为堆栈特征的关系,确定所述应用程序行为记录对应的行为是否为所述违规行为。
5.根据权利要求1所述的方法,其特征在于,当所述应用程序行为处理指令为所述应用程序放行指令时,所述方法还包括:
根据所述应用程序行为记录,建立合法行为库。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
若所述应用程序行为记录对应的应用程序行为不是所述首次出现行为,则根据所述合法行为库,判断所述应用程序行为记录对应的行为是否为合法行为;
若所述行为是所述合法行为,则向所述客户端发送所述应用程序放行指令;
若所述行为不是所述合法行为,则向所述客户端发送所述应用程序拦截指令。
7.根据权利要求5或6所述的方法,其特征在于,所述根据所述应用程序行为记录,建立合法行为库,具体包括:
根据所述应用程序行为记录,确定与所述应用程序行为记录对应的合法应用程序进程和/或合法应用程序行为堆栈特征;
根据所述合法应用程序进程和/或所述合法应用程序行为堆栈特征,建立所述合法行为库。
8.根据权利要求7所述的方法,其特征在于,所述根据所述合法行为库,判断所述应用程序行为记录对应的行为是否为合法行为,具体包括:
获取所述应用程序行为记录对应的所述应用程序的进程和/或所述应用程序的行为堆栈特征;
根据所述合法行为库与所述应用程序的进程和/或所述应用程序的行为堆栈特征的关系,确定所述应用程序行为记录对应的行为是否为所述合法行为。
9.一种服务器,其特征在于,包括:
行为记录接收模块,用于接收来自客户端的应用程序行为记录;
行为类型确定模块,用于若所述应用程序行为记录对应的应用程序行为是首次出现行为,则根据所述应用程序行为记录,确定所述应用程序的行为类型,其中,所述行为类型包括文件读写类型或I/O设备调用类型;
处理指令生成模块,用于利用与所述行为类型对应的专家系统,生成与所述应用程序行为记录对应的应用程序行为处理指令;
处理指令发送模块,用于将所述应用程序行为处理指令发送至所述客户端,以使所述客户端执行所述应用程序行为处理指令;
违规行为库建立模块,用于当所述应用程序行为处理指令为所述应用程序拦截指令时,根据所述应用程序行为记录,确定与所述应用程序行为记录对应的违规应用程序进程和/或违规应用程序行为堆栈特征,并建立违规行为库,其中,所述违规行为库包括所述违规应用程序进程和/或所述违规应用程序行为堆栈特征;
违规行为判断模块,用于若所述应用程序行为记录对应的应用程序行为不是所述首次出现行为,则根据所述违规行为库,判断所述应用程序行为记录对应的行为是否为违规行为。
10.根据权利要求9所述的服务器,其特征在于,所述应用程序行为处理指令还包括应用程序放行指令。
11.根据权利要求10所述的服务器,其特征在于,所述服务器还包括:
第一拦截指令发送模块,用于若所述行为是所述违规行为,则向所述客户端发送所述应用程序拦截指令;
第一放行指令发送模块,用于若所述行为不是所述违规行为,则向所述客户端发送所述应用程序放行指令。
12.根据权利要求11所述的服务器,其特征在于,所述违规行为判断模块,具体包括:
第一行为特征获取单元,用于获取所述应用程序行为记录对应的所述应用程序的进程和/或所述应用程序的行为堆栈特征;
违规行为判断单元,用于根据所述违规行为库与所述应用程序的进程和/或所述应用程序的行为堆栈特征的关系,确定所述应用程序行为记录对应的行为是否为所述违规行为。
13.根据权利要求9所述的服务器,其特征在于,所述服务器还包括:
合法行为库建立模块,用于当所述应用程序行为处理指令为所述应用程序放行指令时,根据所述应用程序行为记录,建立合法行为库。
14.根据权利要求13所述的服务器,其特征在于,所述服务器还包括:
合法行为判断模块,用于若所述应用程序行为记录对应的应用程序行为不是所述首次出现行为,则根据所述合法行为库,判断所述应用程序行为记录对应的行为是否为合法行为;
第二放行指令发送模块,用于若所述行为是所述合法行为,则向所述客户端发送所述应用程序放行指令;
第二拦截指令发送模块,用于若所述行为不是所述合法行为,则向所述客户端发送所述应用程序拦截指令。
15.根据权利要求13或14所述的服务器,其特征在于,所述合法行为库建立模块,具体包括:
合法行为分析单元,用于根据所述应用程序行为记录,确定与所述应用程序行为记录对应的合法应用程序进程和/或合法应用程序行为堆栈特征;
合法行为库建立单元,用于根据所述合法应用程序进程和/或所述合法应用程序行为堆栈特征,建立所述合法行为库。
16.根据权利要求15所述的服务器,其特征在于,所述合法行为判断模块,具体包括:
第二行为特征获取单元,用于获取所述应用程序行为记录对应的所述应用程序的进程和/或所述应用程序的行为堆栈特征;
合法行为判断单元,用于根据所述合法行为库与所述应用程序的进程和/或所述应用程序的行为堆栈特征的关系,确定所述应用程序行为记录对应的行为是否为所述合法行为。
17.一种应用程序行为的处理系统,其特征在于,包括:如权利要求9至16中任一项所述的服务器以及所述客户端;
所述客户端用于当监控到应用程序的行为时,将所述应用程序的行为对应的应用程序行为记录发送至服务器中,以使所述服务器生成与所述应用程序行为记录对应的应用程序行为处理指令;
接收并执行来自所述服务器的所述应用程序行为处理指令。
18.一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至8中任一项所述的应用程序行为的处理方法。
19.一种服务器,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至8中任一项所述的应用程序行为的处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811641273.9A CN109726548B (zh) | 2018-12-29 | 2018-12-29 | 应用程序行为的处理方法、服务器、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811641273.9A CN109726548B (zh) | 2018-12-29 | 2018-12-29 | 应用程序行为的处理方法、服务器、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109726548A CN109726548A (zh) | 2019-05-07 |
| CN109726548B true CN109726548B (zh) | 2021-04-27 |
Family
ID=66298594
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811641273.9A Active CN109726548B (zh) | 2018-12-29 | 2018-12-29 | 应用程序行为的处理方法、服务器、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109726548B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114491506A (zh) * | 2020-11-13 | 2022-05-13 | 奇安信科技集团股份有限公司 | 行为控制方法、装置、电子设备及存储介质 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801031B (zh) * | 2004-12-31 | 2013-01-02 | 福建东方微点信息安全有限责任公司 | 运用程序行为知识库判断已知程序被攻击的方法 |
| US8925101B2 (en) * | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
| CN102231782A (zh) * | 2011-06-23 | 2011-11-02 | 三一重机有限公司 | 一按通系统及其故障会诊方法 |
| CN102693394B (zh) * | 2012-06-07 | 2015-04-22 | 北京奇虎科技有限公司 | 一种用于拦截应用程序对服务的调用的方法和装置 |
| CN102811218B (zh) * | 2012-07-24 | 2013-07-31 | 江苏省电子商务服务中心有限责任公司 | 数字证书精确化认证方法、装置及云认证服务系统 |
| CN103761472B (zh) * | 2014-02-21 | 2017-05-24 | 北京奇虎科技有限公司 | 基于智能终端设备的应用程序访问方法与装置 |
| KR20160098912A (ko) * | 2015-02-11 | 2016-08-19 | 한국전자통신연구원 | 어플리케이션 퍼미션 재조정 방법 및 이를 수행하는 사용자 단말 |
| CN106709337A (zh) * | 2015-11-18 | 2017-05-24 | 中兴通讯股份有限公司 | 一种恶意捆绑软件的处理方法和装置 |
| CN105488398B (zh) * | 2015-12-04 | 2018-06-15 | 北京航空航天大学 | Web应用程序行为提取方法和恶意行为检测方法 |
| US10847152B2 (en) * | 2017-03-28 | 2020-11-24 | Samsung Electronics Co., Ltd. | Method for operating speech recognition service, electronic device and system supporting the same |
-
2018
- 2018-12-29 CN CN201811641273.9A patent/CN109726548B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN109726548A (zh) | 2019-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109711168B (zh) | 基于行为的服务识别方法、装置、设备及可读存储介质 | |
| CN109873803A (zh) | 应用程序的权限控制方法及装置、存储介质、计算机设备 | |
| US20200184847A1 (en) | A system and method for on-premise cyber training | |
| CN112395597A (zh) | 网站应用漏洞攻击的检测方法及装置、存储介质 | |
| CN109600387B (zh) | 攻击事件的追溯方法及装置、存储介质、计算机设备 | |
| CN109815700A (zh) | 应用程序的处理方法及装置、存储介质、计算机设备 | |
| CN111818066A (zh) | 一种风险检测方法及装置 | |
| CN109413047B (zh) | 行为模拟的判定方法、系统、服务器及存储介质 | |
| CN108595953A (zh) | 对手机应用进行风险评估的方法 | |
| CN109783316B (zh) | 系统安全日志篡改行为的识别方法及装置、存储介质、计算机设备 | |
| CN112370793A (zh) | 用户账号的风险控制方法及装置 | |
| CN111259382A (zh) | 恶意行为识别方法、装置、系统和存储介质 | |
| CN113792341A (zh) | 应用程序的隐私合规自动化检测方法、装置、设备及介质 | |
| CN109815701A (zh) | 软件安全的检测方法、客户端、系统及存储介质 | |
| CN109726548B (zh) | 应用程序行为的处理方法、服务器、系统及存储介质 | |
| CN114448718A (zh) | 一种并行检测和修复的网络安全保障方法 | |
| CN111245800B (zh) | 网络安全测试方法和装置、存储介质、电子装置 | |
| CN109802955B (zh) | 权限控制方法及装置、存储介质、计算机设备 | |
| CN112580041A (zh) | 恶意程序检测方法及装置、存储介质、计算机设备 | |
| CN112398784B (zh) | 防御漏洞攻击的方法及装置、存储介质、计算机设备 | |
| CN109800580B (zh) | 系统进程的权限控制方法及装置、存储介质、计算机设备 | |
| US10599845B2 (en) | Malicious code deactivating apparatus and method of operating the same | |
| CN112395637A (zh) | 数据库防护方法及装置、存储介质、计算机设备 | |
| CN109784037B (zh) | 文档文件的安全防护方法及装置、存储介质、计算机设备 | |
| CN109327433A (zh) | 基于运行场景分析的威胁感知方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Patentee after: Qianxin Safety Technology (Zhuhai) Co.,Ltd. Patentee after: QAX Technology Group Inc. Address before: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Patentee before: 360 ENTERPRISE SECURITY TECHNOLOGY (ZHUHAI) Co.,Ltd. Patentee before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |