CN109766699A - 操作行为的拦截方法及装置、存储介质、电子装置 - Google Patents
操作行为的拦截方法及装置、存储介质、电子装置 Download PDFInfo
- Publication number
- CN109766699A CN109766699A CN201811645703.4A CN201811645703A CN109766699A CN 109766699 A CN109766699 A CN 109766699A CN 201811645703 A CN201811645703 A CN 201811645703A CN 109766699 A CN109766699 A CN 109766699A
- Authority
- CN
- China
- Prior art keywords
- behavioral agent
- program
- operating right
- operation behavior
- sequence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 113
- 238000003860 storage Methods 0.000 title claims abstract description 20
- 230000003542 behavioural effect Effects 0.000 claims abstract description 120
- 230000006399 behavior Effects 0.000 claims abstract description 109
- 230000015654 memory Effects 0.000 claims abstract description 98
- 238000012544 monitoring process Methods 0.000 claims abstract description 26
- 230000000977 initiatory effect Effects 0.000 claims abstract description 11
- 230000008569 process Effects 0.000 claims description 60
- 238000009826 distribution Methods 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 15
- 230000000903 blocking effect Effects 0.000 claims description 9
- 230000008859 change Effects 0.000 claims description 9
- 238000009434 installation Methods 0.000 claims description 4
- 238000000151 deposition Methods 0.000 claims 1
- 238000005516 engineering process Methods 0.000 abstract description 14
- 239000003795 chemical substances by application Substances 0.000 description 90
- 238000001514 detection method Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 6
- 241000700605 Viruses Species 0.000 description 5
- 230000003068 static effect Effects 0.000 description 5
- 108010001267 Protein Subunits Proteins 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 239000003999 initiator Substances 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000007639 printing Methods 0.000 description 2
- 241000287828 Gallus gallus Species 0.000 description 1
- 241000625014 Vir Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 231100001261 hazardous Toxicity 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种操作行为的拦截方法及装置、存储介质、电子装置,其中,该方法包括:根据职责范围为行为主体分配操作权限,其中,所述行为主体包括以下至少之一:程序、设备、用户;根据内存序列监测所述行为主体是否被恶意控制,并在所述操作权限内发起操作行为;在监测到所述行为主体在被恶意控制状态下在所述操作权限内发起所述操作行为时,拦截所述操作行为。通过本发明,防止或减少系统被恶意控制的风险和造成的损失,解决了相关技术中设备安全性弱的技术问题。
Description
技术领域
本发明涉及信息网络安全领域,具体而言,涉及一种操作行为的拦截方法及装置、存储介质、电子装置。
背景技术
相关技术中的安全防护方式,都是通过黑白名单或行为特征来拦截恶意操作。安全公司收集整理程序白名单,将确认为正常的程序特征建成白名单库,白名单中的程序被认为是可信的程序。同时收集各正规公司的有效数字签名,建立数字签名库,对具备正规公司签名的程序按可信程序处理。比如:操作系统本身的服务及程序因为具备微软公司的签名而天然被安全公司信任。
在白名单中的、或具有正规公司签名的可信程序,其“所有的行为”都将拥有不被安全软件拦截监控的权力,拥有最高权限。
相关技术在检测恶意操作时,检测的主体之一是静态文件。比如:当在一台装有安全系统的电脑中执行一个程序时,安全系统会检测被执行的程序文件,是否是合法的。如果是,则放行;否,则拦截。检测的主体之二是风险行为,包括:执行程序、创建打开及读写文件、加载驱动或动态库、上传下载等等。如果程序的行为并不具备危险性,则会被放过;如果程序的行为属于风险行为,则检测行为发生的主体,是否是合法的。实质上,第二种检测主体一旦匹配,又会回到上面所说的“静态文件”第一检测主体的检测流程。
检测的方法之一是:黑特征匹配。即,事前将恶意程序的特征提取,并存放在库中,再拿被检测程序的特征与库中的恶意特征作匹配,匹配成功则被认为是恶意程序,将被查杀;反之,则放行。检测的方法之二是:白特征匹配。即,事前将被保护机器中允许被执行的程序提取特征入库,再拿被检测的程序特征与库中的程序特征作匹配,匹配成功的被认为是正常程序,放行;匹配不成功的,将被拦截。
相关技术中的安全检测主体及检测方法存在以下缺陷:黑特征匹配需要事前曾经有收集到这种恶意程序的特征,才有可能入库,并提供检测依据。因此,对未知的、尚未收集到的恶意程序;或者本身就是可信的程序,只是被恶意利用时,都没有效果。此种检测是基于静态文件的,当一个可信程序被恶意控制后,变化的只是内存中的动态数据,对被控制的可信程序的静态文件,不会产生任何的改变与影响,也就不会被当前的安全技术手段所检测到。所以,无论是黑匹配还是白匹配,一旦可信的程序被控制作恶,都是当前安全技术无法解决的问题。
针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
发明内容
本发明实施例提供了一种操作行为的拦截方法及装置、存储介质、电子装置。
根据本发明的一个实施例,提供了一种操作行为的拦截方法,包括:根据职责范围为行为主体分配操作权限,其中,所述行为主体包括以下至少之一:程序、设备、用户;根据内存序列监测所述行为主体是否被恶意控制,并在所述操作权限内发起操作行为;在监测到所述行为主体在被恶意控制状态下在所述操作权限内发起所述操作行为时,拦截所述操作行为。
可选的,根据职责范围为行为主体分配操作权限包括:设置行为主体的第一操作权限,其中,所述第一操作权限是保证目标设备正常工作的基本权限;根据所述行为主体的职责范围为所述行为主体分配第二操作权限。
可选的,在所述行为主体为程序时,设置行为主体的第一操作权限包括:设置所述行为主体的以下第一操作权限:不允许自动运行,只能由用户手动运行;只允许操作自身创建的或与自身一起由同一安装包直接或间接创建的文件;对系统文件仅有只读的权限;不允许读写非系统的文件;不允许访问内外网络及网内节点;不允许对其它进程进行操作;不允许绕过系统直接读写磁盘;不允许下载或执行其他程序;不允许加载驱动。
可选的,根据所述行为主体的职责范围为所述行为主体分配第二操作权限包括:在所述行为主体为程序时,确定所述程序所属的程序类型,为所述程序分配与所述程序类型对应的第二操作权限;在所述行为主体为设备时,确定所述设备所属的使用部门,为所述设备分配与所述使用部门对应的第二操作权限;在所述行为主体为用户时,确定用户的用户级别或身份类型,为所述用户分配与所述用户级别或身份类型对应的第二操作权限。
可选的,根据内存序列监测所述行为主体是否被恶意控制,并在所述操作权限内发起操作行为,包括:确定所述行为主体在所述操作权限内发起操作行为;获取所述操作行为生成的内存序列;判断所述内存序列与预设标准流程是否匹配;在所述内存序列与预设标准序列不匹配时,确定所述行为主体被恶意控制,在所述内存序列与预设标准序列匹配时,确定所述行为主体未被控制。
可选的,判断所述内存序列与预设标准流程是否匹配包括:在所述内存序列中解析所述操作行为的当前执行者,判断所述当前执行与所述预设标准流程中的预设执行者是否相同;或,在所述内存序列中解析所述操作行为的任务流程,判断所述任务流程与所述预设标准流程的流程顺序是否相同。
可选的,根据内存序列监测所述行为主体是否被恶意控制包括:在系统执行以下监控任务时:创建进程、加载可执行映像、申请可执行内存、更改内存权限为可执行、监听端口、下载文件、新建文件、读写或更改受保护文件的数据或信息,采用HOOK的方式根据内存序列监测所述行为主体是否被恶意控制。
可选的,在根据内存序列监测所述行为主体是否被恶意控制,并在所述操作权限内发起操作行为之前,所述方法还包括:判断所述操作行为是否逾越所述操作权限;在所述操作行为逾越所述操作权限时,拦截所述操作行为;在所述操作行为未逾越所述操作权限时,确定根据内存序列监测所述行为主体是否被恶意控制,并发起操作行为。
根据本发明的另一个实施例,提供了一种操作行为的拦截装置,包括:分配模块,用于根据职责范围为行为主体分配操作权限,其中,所述行为主体包括以下至少之一:程序、设备、用户;监测模块,用于根据内存序列监测所述行为主体是否被恶意控制,并在所述操作权限内发起操作行为;拦截模块,用于在监测到所述行为主体在被恶意控制状态下在所述操作权限内发起所述操作行为时,拦截所述操作行为。
可选的,所述分配模块包括:设置单元,用于设置行为主体的第一操作权限,其中,所述第一操作权限是保证目标设备正常工作的基本权限;分配单元,用于根据所述行为主体的职责范围为所述行为主体分配第二操作权限。
可选的,所述监测模块包括:第一确定单元,用于确定所述行为主体在所述操作权限内发起操作行为;获取单元,用于获取所述操作行为生成的内存序列;判断单元,用于判断所述内存序列与预设标准流程是否匹配;第二确定单元,用于在所述内存序列与预设标准序列不匹配时,确定所述行为主体被恶意控制,在所述内存序列与预设标准序列匹配时,确定所述行为主体未被控制。
可选的,所述判断单元还包括:第一判断子单元,用于在所述内存序列中解析所述操作行为的当前执行者,判断所述当前执行与所述预设标准流程中的预设执行者是否相同;或,第二判断子单元,用于在所述内存序列中解析所述操作行为的任务流程,判断所述任务流程与所述预设标准流程的流程顺序是否相同。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,首先通过职责范围为行为主体分配操作权限,可以通过操作权限来拦截逾越权限的操作行为,利用设备或程序的后门与漏洞作恶、内部人员作恶,都将因为对其权限的控制而得到有效遏制,并且根据内存序列监测行为主体是否被恶意控制,防止利用行为主体的操作权限来作恶,可以拦截利用行为主体的恶意攻击,防止或减少系统被恶意控制的风险和造成的损失,解决了相关技术中设备安全性弱的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种操作行为的拦截终端的硬件结构框图;
图2是根据本发明实施例的一种操作行为的拦截方法的流程图;
图3是本发明实施例分配行为主体的权限的示意图;
图4是本发明实施例的构架图;
图5是本发明实施例通过操作权限进行管控的示意图;
图6是本发明实施例中正常的主机管理操作流程图;
图7是本发明实施例中漏洞攻击时的流程图;
图8是本发明实施例采用HOOK的方式监测行为主体是否被恶意控制的流程图;
图9是根据本发明实施例的操作行为的拦截装置的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端、服务器或者类似的运算装置中执行。以运行在终端上为例,图1是本发明实施例的一种操作行为的拦截终端的硬件结构框图。如图1所示,终端10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限定。例如,终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的一种操作行为的拦截方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种操作行为的拦截方法,图2是根据本发明实施例的一种操作行为的拦截方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,根据职责范围为行为主体分配操作权限,其中,行为主体包括以下至少之一:程序、设备、用户;
本实施例的设备可以是电脑,笔记本,打印机,摄像头,U盘等可以接入网络或者是可以执行任务的电子设备,程序是可在设备上运行的软件或进程,用户即操作设备的用户,由于程序、设备、用户等都可以主动发起操作行为以执行任务,因此均可称之为行为主体。
步骤S204,根据内存序列监测行为主体是否被恶意控制,并在操作权限内发起操作行为;
行为主体在发起操作行为时,可以是主动发起的,也可以是被动发起,在被动发起时,可能是被其他设备或程序调用,也有可能是被恶意绑架或控制。
步骤S206,在监测到行为主体在被恶意控制状态下在操作权限内发起操作行为时,拦截操作行为。
通过上述步骤,首先通过职责范围为行为主体分配操作权限,可以通过操作权限来拦截逾越权限的操作行为,利用设备或程序的后门与漏洞作恶、内部人员作恶,都将因为对其权限的控制而得到有效遏制,并且根据内存序列监测行为主体是否被恶意控制,防止利用行为主体的操作权限来作恶,可以拦截利用行为主体的恶意攻击,防止或减少系统被恶意控制的风险和造成的损失,解决了相关技术中设备安全性弱的技术问题。
在本实施例中,根据职责范围为行为主体分配操作权限包括:
S11,设置行为主体的第一操作权限,其中,第一操作权限是保证目标设备正常工作的基本权限;
S12,根据行为主体的职责范围为行为主体分配第二操作权限。
在行为主体为程序时,设置行为主体的第一操作权限包括:设置行为主体的以下第一操作权限:不允许自动运行,只能由用户手动运行;只允许操作自身创建的或与自身一起由同一安装包直接或间接创建的文件;对系统文件仅有只读的权限;不允许读写非系统的文件;不允许访问内外网络及网内节点;不允许对其它进程进行操作;不允许绕过系统直接读写磁盘;不允许下载或执行其他程序;不允许加载驱动。
根据行为主体的职责范围为行为主体分配第二操作权限包括:在行为主体为程序时,确定程序所属的程序类型,为程序分配与程序类型对应的第二操作权限;在行为主体为设备时,确定设备所属的使用部门,为设备分配与使用部门对应的第二操作权限;在行为主体为用户时,确定用户的用户级别或身份类型,为用户分配与用户级别或身份类型对应的第二操作权限。本实施例中的用户可以根据用户级别或身份类型区分,如使用所在的职能部分进行区分身份类型,或者是根据使用人群的员工级别进行区别。如在确定公司的办公设备时,每个职能部门在单位中行使不同角色(如财务部分使用设备分配财务相关的操作权限,业务部门使用设备分配业务相关的操作权限,IT部门使用设备分配IT相关的操作权限等),在部门下面还包括下属机构时,如部门还包括小组或者团队时,可以进一步根据所在的下属机构进行区别。级别可以分为管理层,基层,管理层的访问权限可以设置的更大(如,部门经理的设备还包括访问部门下属员工的私人文件夹或桌面)。
本实施例通过对“用户、设备、程序”进行细致的“行为分权”管理,没有任何程序、设备或用户可以拥有全部权限,只能拥有其职责范围所对应的有限权限。也就是说,在实施例中,并不存在完全意义上的可信程序、设备或人员,每个程序、设备与人员都将进行权限检测,包括操作系统本身的程序与服务。下面分别对程序,设备,用户的权限分配进行说明:
对程序分配行为权限:
对运行在计算机上的程序进行分权(分配权限),比如:winword.exe,是微软Office套件中的word文档操作程序,此程序的功能是在用户的主动使用下,对特定的word文档进行编辑。
根据winword.exe的职责范围,首先,它是被动程序,即:用户主动打开,它才可以被动执行,并不可以自动在后台运行(被感染后的行为)、也不可以自动读写用户打开文档之外的文档(勒索者病毒的行为)。
其次,它是文档编辑类程序,并不可以去写可执行程序(感染可执行程序)、也不可以下载并执行另一个程序(漏洞攻击)。
现实中,Office程序的漏洞利用攻击非常多见,比如:乌克兰电网被攻击事件,就是黑客利用了Office程序中的漏洞,邮件附件中的Office文档在被打开后生成了一个病毒程序并执行起来,而这明显是远远超越了其原本应该拥有的权限,在行为分权模式下,这类问题将不会发生。
对设备分配行为权限:
一个网络系统中,会有多种设备存在,如,有服务器、有终端、有打印机、摄像头、传感器等等。
本实施例将对不同的设备分配其不同的行为权限,而同类设备因为不同的人在用、或在行使不同的职能,也会被赋予不同的行为权限。
震网病毒攻击伊朗核设施时,从终端机进入后,利用“RPC远程执行漏洞(MS08-067)”,实现了网内传播。当前现状就是如此,在大多数情况下,一旦一个点被突破,全网就此沦陷。
本实施例通过设备分权,则可以很好的解决此问题,即使突破了一点,也将被控制在单点之内,无法形成传播效果。
一般的终端PC设备,通常都不应该给予访问其它终端的权限;而有打印需求的终端,则只应该具备单向访问打印机的权限;网络管理员的终端,才有访问主机的权限,对其它终端设备,则具备有限的访问权限,权限可以根据需要再度的细分。比如:为保护隐私,设定为其不可以访问其它终端的数据类文档等。
而像打印机、摄像头等终端,则只具备被动连接权限,不具备主动访问其它任何网络资源的权限,利用硬件漏洞,让大量摄像头发起DDos攻击的美国西海岸大面积断网事件,在本发明下是不可能发生的。
对用户分配行为权限:
不同的用户应该具备不同的权限,而本实施例所说的用户权限是“行为权限”,与计算机系统中的用户权限并不相同。
首先,不应该有可以做所有操作的超级权限、超级用户的存在,即使是系统管理员,同样要受到权限限制。
系统管理员可以有远程连接主机并更改系统配置的权限,但其所有的操作仅限于对系统本身的操作,并都将被日志记录系统记录下来。
系统管理员并不具备清除安全日志的权限、不具备直接操作数据库、读写敏感数据的权限,当然,也一定不具备关停安全软件的权限(确有必要关停安全软件时需要申请)。
所有对数据的操作必须通过人机接口,由具备相应数据权限的部门中的人员操作,而他们对数据的操作权限分配,则由相应专业软件来实现。比如:财务人员可通过财务管理软件操作财务数据、销售人员可通过客户关系管理软件来操作客户数据。
在分权的管控下,即使中了木马或主机已经被控制,关键数据仍然不会损毁、泄露,甚至对内外勾结的作案,也可以有效防治。
现有技术中的网络攻击,都会伴随着超越正常权限的行为发生,而在本实施例的权限管理之下,所有的越权行为,都将被记录下来,并实时发送给安全运营人员,而越权行为的发生,则给了安全运营人员发现攻击的最佳机会。
现有的安全技术,检测的主体是程序本身,而对可信程序不做拦截的处理机制,导致了对利用可信程序作恶的攻击无能为力。而本实施例采取了更深层次的、更精细化的对内存中的动态数据“指令执行序列”进行检测,可以清晰的识别出可信程序是否处于不可信的状态中,从而从根本上解决了可信程序被控制作恶或可信程序本身出于某种利益驱使或政治目的而作恶的问题。
当前安全体系下的权限管理方式,直接导致了内部人员、内部设备、可信程序都拥有了超出自身职责范围的过高的权限,一旦这些本来可信的组件出现意外,如:被人控制、被人收买、账户丢失、口令被猜到、存在漏洞或后门、系统本身作恶、第三方可信程序作恶等等,就将导致崩溃式的后果发生,风险变得无限大且不可控。
本实施例中,则对当前所有可信的组件,进行精细的权限划分与管理,让任何设备、人员、程序都不再具备超出其职责范围的权限,不再有任何会导致失控的拥有过高权限的人、设备或程序存在。
这样,即使任一组件出现问题,也不会造成过大的危害,而风险也将被控制在最小程度。
图3是本发明实施例分配行为主体的权限的示意图,对各个行为主体(程序、用户、设备)分配对应的权限。
针对不同的网络,可以在不同的阶段对行为主体进行权限分配和设置。在企业级网络中,可在部署阶段,对行为主体进行收集、整理、设权、分权。同时,安全公司可以在公共白名单库的构建运营时,对公共程序做设权与分权操作。而在面向公众的个人安全业务中,可以在构建运营中心白名单库时,对白名单中的程序进行设权与分权。对于个人安全用户与设备,则可以做单一的严格权限设定,杜绝成为肉鸡或攻击发起者的可能。
本实施例的操作权限包括多种。其中,系统类权限,包括:程序自动运行、更改系统配置、访问其它进程、直接操作磁盘等等。文件类权限,包括:读系统文件、写系统文件、读非系统文件、写非系统文件、在系统目录创建文件、在自己目录创建文件、在临时目录创建文件、在其它应用目录创建文件等等。网络类权限,包括:访问内网同级终端、访问内网设备、访问内网主机的Web服务、远程连接主机、访问内网主机的其它端口、访问外网Web服务、访问外网的邮件服务、访问外网的文件服务、访问外网的其它端口等等。
权限分配时,针对不同的行为主体,分配操作权限也不同。用户与设备,在一个网络中数量是有限的,同时,环境的不同用户与设备的权限分配也不同,可以在部署阶段做针对性处理,也相对比较好处理。但运行其上的程序却是非常多且处于动态增加中,如何对程序进行设权与分权,则是最具挑战性的工作。针对程序,首先,有一个基本权限分配,这是全部的程序都具备的基本权限,绝大多数程序被限制在这个基本权限下时都可以正常工作,而这一组基本权限分配就可以解决大部分程序分权问题。其次,再根据不同的程序种类,赋予其更多的对应权限。最后,权限分配是赋予“某一类”程序某一组权限,并不是针对单个程序作操作,单个特殊程序的设权,可以在部署阶段,作为处理误报的手段,而不是常规手段。其中,基本权限包括:不可以自动运行,只能由用户手动执行;只可以全权操作自己创建的或与自己一起由同一安装包直接或间接创建的文件;对系统自身的文件仅有只读的权限;不可以读写非系统的文件;不允许访问内外网络及网内节点;不允许对其它进程进行操作;不允许绕过系统直接读写磁盘;不可以下载或执行另一个程序;不可以加载驱动;及其它更多的权限设定。分类权限,按程序、设备、人员的职责的不同,赋予以其特定的分类权限,比如:下载类程序要有连网权限、社交类程序要有监听端口的权限等。
图4是本发明实施例的构架图,网络构架包括:客户端、运营中心、服务端、F&C运维(运维中心),其中,
客户端:装在企业网用户的各个终端设备上;
运营中心:一个企业搭建一个运营中心,负责处理终端报上来的越权信息;
服务端:搭建在IDC机房或运营中心;
F&C运维:通常是由安全公司承担,实体在安全公司,通过互联网对各运营中心提供技术与情报的支持;
数据层,则保存各个行为主体的权限信息。
图5是本发明实施例通过操作权限进行管控的示意图,应用在上述网络构架。
在权限控制之后,系统的安全性将会大幅提高,但其中却仍然存在一个可被绕过的漏洞,即:如果攻击者控制了有权限的程序,去完成攻击行为。比如:winword.exe作为word文档的编辑器,显然是要拥有读写word文档的权限的,如果攻击者控制了winword.exe去窃取密级的word文档。本实施例的另一方面,通过内存指令执行序列检测是否被恶意控制。在某些场景下,可以通过区分某一操作行为是用户主动发起的,还是由程序自动进行的,进而确定是否被恶意控制。
在本实施例中,根据内存序列监测行为主体是否被恶意控制,并在操作权限内发起操作行为,包括:
S21,确定行为主体在操作权限内发起操作行为;
S22,获取操作行为生成的内存序列;
S23,判断内存序列与预设标准流程是否匹配;
S24,在内存序列与预设标准序列不匹配时,确定行为主体被恶意控制,在内存序列与预设标准序列匹配时,确定行为主体未被恶意控制。
可选的,判断内存序列与预设标准流程是否匹配包括:在内存序列中解析操作行为的当前执行者,判断当前执行与预设标准流程中的预设执行者是否相同;或,在内存序列中解析操作行为的任务流程,判断任务流程与预设标准流程的流程顺序是否相同。还包括调用接口,调用方向,调用对象等,判断与预设标准流程的是否相同。
由于系统中正常的操作行为对应的任务活动都有着清楚的流程规范,有着明确的任务发起方、参与方,有着清楚合理的调用流程。而这些,都是恶意攻击活动不具备的,或者与标准的预设标准流程不匹配。因此,本实施例通过“非白即黑”的判定,当发现某一操作行为的发起方、参与方、调用流程、指令执行序列中的任意一项或多项与正常的预设标准流程不同,不具备正当性时,则判定这是恶意的非正常任务启动,被恶意控制,系统处于被攻击状态。
在一个网络系统中,包括Windows\Linux等,都会有很多程序,但程序与程序之间,有着明确的分工,哪个负责什么任务都是固定的,同版本系统程序执行任务时的调用流程,也是固定不变的,而即使是不同版本的系统,其调用流程也是大同小异。而漏洞攻击则不然,攻击代码的首次执行一定是在存在漏洞的程序中执行的,而其调用流程,也一定是与系统调用流程不同的。本实施例使用这个原理,也有了发现漏洞攻击并实施防护的可能,重要的是这种方法对“未知漏洞”的利用攻击同样有效,而在此之前对未知漏洞的攻击利用并没有有效的发现方法及防护手段。
下面通过案例来说明正常任务启动与被攻击后启动的任务之间的区别。
案例一:
现实工作中,提供各种服务的主机,通常都部署在某地的中心IDC机房,而对主机的管理,一般都是技术人员通过远程操作来实现。
下面以在“正常主机管理”与“非法漏洞攻击”中都是最常见的任务“远程启动Shell程序cmd.exe”为例,来解释本发明的技术原理。
图6是本发明实施例中正常的主机管理操作流程图,在正常的主机管理操作时,通过系统提供的远程管理工具启动Shell时的流程。
下面是利用调试器获取的实际操作环境中任务执行时的调用栈,即在实际执行任务时,指令在内存中执行的序列:
当前进程:tlntsvr.exe
调用栈:
nt!NtCreateUserProcess
nt!KiSystemServiceCopyEnd
ntdll!ZwCreateUserProcess
kernel32!CreateProcessInternalW
kernel32!CreateProcessW
tlntsvr!CTelnetService::CreateSessionProcess
tlntsvr!CTelnetService::CreateClient
tlntsvr!CTelnetService::ListenerThread
tlntsvr!TelnetServiceThread
tlntsvr!CServiceModule::Run
tlntsvr!CServiceModule::_ServiceMain
sechost!ScSvcctrlThreadA
kernel32!BaseThreadInitThunk
ntdll!RtlUserThreadStart
启动的进程:
"C:\Windows\System32\tlntsess.exe"
当前进程:tlntsess.exe
调用栈:
kernel32!CreateProcessAsUserW
ADVAPI32!CreateProcessAsUserWStub
tlntsess!CShell::StartProcess
tlntsess!CShell::StartUserSession
tlntsess!CIoHandler::ProcessDataFromSocket
tlntsess!CIoHandler::OnDataFromSocket
tlntsess!CSession::WaitForIo
tlntsess!main
tlntsess!LsaFreeMemory
kernel32!BaseThreadInitThunk
ntdll!RtlUserThreadStart
启动的进程:
"C:\Windows\system32\cmd.exe"。
以上是在正常执行主机管理任务时的任务执行流程,及内存中的指令执行序列。
图7是本发明实施例中漏洞攻击时的流程图。图7是通过ms17-010漏洞(这个漏洞也是勒索者病毒Wannacry实际使用的漏洞,攻击方式、方法、流程、内存指令序列等来自于实际捕获的病毒样本),远程攻击主机并实现启动Shell的流程图:
下面是利用调试器获取的实际攻击环境中任务执行时的调用栈:
当前进程:spoolsv.exe
调用栈:
nt!NtCreateUserProcess
nt!KiSystemServiceCopyEnd
ntdll!ZwCreateUserProcess
kernel32!CreateProcessInternalW
kernel32!CreateProcessInternalA
kernel32!CreateProcessA
0x40028e
0x278fc50
启动的进程:
"C:\Windows\System32\cmd.exe"。
从“正常任务执行”与“攻击任务执行”的流程与调用栈对比可以发现,两者有着明显的不同,分别是:
任务的执行者不同:
同样是最终把cmd.exe启动了起来。但正常任务执行是由“系统专用的远程管理服务程序:tlntsvr.exe、tlntsess.exe”共同完成了任务的执行,其任务执行者是合理的、正当的。而漏洞攻击时任务执行者则是“打印机管理服务程序:spoolsv.exe”完成了任务的执行,这个任务执行者是不合法的、非正当的,之所以说是不合法的,是因为系统中每个服务或程序都有自己的工作分工。
spoolsv.exe是Print Spooler的进程,管理所有本地和网络打印队列及控制所有打印工作,spoolsv.exe没有任何启动Shell的理由,甚至spoolsv.exe就不应该具备启动任何程序的能力,在其导入表中,也根本就没有启动一个程序的相关API,一旦它启动了一个程序,那一定是非法的。
举例说明:
以公司的“仓库保安”应该如何保护仓库为例来说明执行者的正当性问题。
公司的“库管员”掌管着库房的钥匙,每次出库,也都应该是库管员打开库门,并把货物出库。
某天,小偷偷走了库管员的钥匙,然后准备打开库门搬空货物。
但“仓库保安”毫不犹豫的拦下了小偷。
为什么有钥匙仍然要被拦下?只是因为任务的执行者不对。
打开库门的任务就应该是库管员来做,其它人即使有钥匙,也要被拦下并严格检查。
同样的道理,远程启动Shell,只应该由对应的服务程序tlntsvr.exe、tlntsess.exe来完成,任何其它服务来启动都是危险行为将被拦下。
任务的执行流程不同:
从调用栈可以发现,正常的任务执行流程很完整、很清晰,每次调用都来自服务本身或系统API调用,从调用栈的各层指令执行序列中,可以清晰的看到每个服或程序中的各个关键环节、关键任务的启动与进行的脉络。
以下是对调用栈中每层调用的说明,从中可以看出当任务正常执行时,其指令执行序列是脉络清晰的。
为了方便观看,我来按指令的执行顺序来介绍,而不是按内存中调用栈的原有顺序(反序)介绍,且忽略了过度环节,只介绍其中的关键节点:
tlntsvr!CServiceModule::_ServiceMain→tlntsvr.exe服务本身启动
tlntsvr!CTelnetService::ListenerThread→创建监听线程等待连接
tlntsvr!CTelnetService::CreateSessionProcess→连接成功后创建tlntsess.exe进程
tlntsess!main→tlntsess.exe进程启动
tlntsess!CSession::WaitForIo→等待接收用户的任务指令
tlntsess!CShell::StartProcess→接到启动Shell指令后启动Shell
而漏洞攻击的调用栈,与正常调用相比,则有着极大的反差。只看到了来自异常内存地址(0x278fc50、0x40028e)对cmd.exe的启动(kernel32!CreateProcessA+0x66),除此外,没有任何调用流程,有着极其明显的溢出攻击特征。
举例说明:
一个与某国总统长相完全一样的人,来到另一国,自称是总统并要求获得特权待遇,行得通吗?行不通,因为一国总统访问另一国,有着严格的规范性的流程,绝不会因为你长的与总统一样甚至你就是总统本人,就可以得到总统的待遇。外交部门磋商、确认时间、确认议题、确认行程与随行人员、确认降落机场、确认接待人员等等,每个环节与流程都环环想扣,不可能跳过前面的所有环节,总统突然就出现在大门口要求进入。
系统任务也同样如此,任何任务都有特定的发起者、执行者及相对固定的、规范的调用流程及指令执行顺序,不可能前面的都不经过,突然就来到了最后一环。
案例二:
攻击者利用winword.exe的漏洞控制word程序来窍取密级的word文档。
从行为主体来看,是winword.exe程序要读取word文档,winword.exe有合法的微软公司的数字签名,且未被篡改;而winword.exe作为word文档的编辑器,又天然具备读写word文档的权限。
这种情况下,当前的安全技术是无法进行有效防护的,而本发明的第一技术点,也无法进行有效防护。
但当脱离静态文件级别的检测,进入到动态内存级别的检测时,就会发现,看起来完全相似的行为,在内存指令执行序列上,却完全不同。
下面这个是当用户正常操作打开一个word文档时,内存中的指令执行序列:
KERNELBASE!CreateFileW+0x1d1
kernel32!CreateFileW+0x4a
mso!Ordinal1362+0x615
mso!Ordinal1394+0x43f
wwlib!DllGetLCID+0x94ec4
wwlib!DllGetLCID+0xa1de6
wwlib!DllGetLCID+0x94522
wwlib!Osf::OSFCreateOfficeExtensionsDialogUser+0xfb02f
wwlib!DllGetLCID+0x326892
wwlib!DllGetLCID+0x17706f
wwlib!DllGetClassObject+0x2e77
wwlib!FMain+0x253
kernel32!BaseThreadInitThunk+0x12
ntdll!RtlInitializeExceptionChain+0x63
ntdll!RtlInitializeExceptionChain+0x36
而下面这个则是恶意程序控制winword.exe再打开一个word文档时,内存中的指令执行序列
Stack:
KERNELBASE!CreateFileW+0x35e
kernel32!CreateFileW+0x4a
ntdll!RtlQueryEnvironmentVariable+0x245
ntdll!LdrResSearchResource+0xa0d
ntdll!wcspbrk+0x415
ntdll!RtlUlonglongByteSwap+0x68f
KERNELBASE!LoadLibraryExW+0x233
KERNELBASE!LoadLibraryExA+0x26
kernel32!LoadLibraryA+0x31
kernel32!BaseThreadInitThunk+0x12
ntdll!RtlInitializeExceptionChain+0x63
ntdll!RtlInitializeExceptionChain+0x36
以清楚的看到,在内存中,两者有着明显的区别。经过了大量的验证,虽然控制一个程序的方法有很多种,但每一种都会形成自己独特的内存指令执行序列,没有任何一种是与正常的调用完全一样的。
只要提前采集到一些关键的正常操作时的内存指令执行序列的信息,再在有同一行为发生时进行匹配比较,就可以轻易发现目标主体是否被控制。
同时,也可以借此技术区分此行为是不是用户主动操作产生,因为用户主动操作也有着独一无二的内存指令执行序列。
在整体上,本实施例通过创建各系统正常服务的“权限与任务”行为规则特征白库,可以明确:“x系统+x版本+x服务”正常可以执行的任务、不可以执行的任务,同时采集并记录可执行任务的正常调用栈的关键节点,以做正当性匹配检查。
在部署时,对所运行于系统中的第三方程序,同样创建“服务权限与任务”行为规则特征白库,明确:“x程序+x版本”正常可以执行的任务、不可以执行的任务,同时采集并记录可执行任务的正常调用栈的关键节点,以做正当性匹配检查。
可选的,根据内存序列监测行为主体是否被恶意控制包括:在系统执行以下监控任务时:创建进程、加载可执行映像、申请可执行内存、更改内存权限为可执行、监听端口、下载文件、新建文件、读写或更改受保护文件的数据或信息,采用HOOK的方式根据内存序列监测行为主体是否被恶意控制。HOOK也叫挂钩,是计算机安全领域常用的一种安全监控技术方法,可以对一些关键的系统API(Application Programming Interface,应用程序编程接口)进行挂钩,当系统执行某一任务时,就会进入到HOOK处理流程中,可以在HOOK处理代码中对任务的正当性进行检测。比如:HOOK了系统API NtCreateFile,那么系统中所有的文件打开、创建操作,都将被截获,可以在HOOK代码中对文件打开创建操作的合法性进行验证,可以允许操作继续执行下去,也可以中断操作的执行。
本实施例通过内核驱动及R3层DLL,采用HOOK的方式,对系统敏感任务进行挂钩监控,比如:创建进程、加载可执行映像(R0&R3)、申请可执行内存、更改内存权限为可执行、监听端口、下载文件、新建文件、读写或更改受保护文件的数据或信息等等(可根据需要增加或减少监控点)。
在本实施例中,在根据内存序列监测行为主体是否被恶意控制,并在操作权限内发起操作行为之前,方法还包括:判断操作行为是否逾越操作权限;在操作行为逾越操作权限时,拦截操作行为;在操作行为未逾越操作权限时,确定根据内存序列监测行为主体是否被恶意控制,并发起操作行为。
当监控到任务执行时,对当前任务做白特征库匹配,首先判断此任务是否属于“当前正在执行任务的程序或服务”无权限执行的任务,即判断是否逾越操作权限,如果是则停止执行,并记录在案。如果此任务在“执行程序或服务”的可执行任务清单中,未逾越操作权限,则继续调用内存序列,判断任务调用栈,其关键节点是否与特征库中的正常调用栈相同,是否正当、合理、清晰,当发现调用流程异常时,则停止任务执行,并记录在案。图8是本发明实施例采用HOOK的方式监测行为主体是否被恶意控制的流程图。
由于任何攻击都是有目的的,而黑客要想实现自己的目的,就一定要有自己的后门程序进入,并获得执行权,或利用系统原有程序来实现自己的目的,所有需求都在攻击代码中实现,是完全不现实的。因此,在攻击过程中,一些行为(任务)就必然会发生一个或多个,如:文件下载(传输)、文件创建、加载执行、端口监听、反向连接等。区别之处在于,黑客会用各种冷门的方法来实现这些任务,但任务的实现方法,一定是可穷举的,并且数量很有限。
任务实现方法的多少,决定了HOOK的监控点的多少,目前已知的方法,绝不会超过20种,而新利用方法的出现频率是远远低于新漏洞发现的频率的,近几年并没有任何新的漏洞攻击方法出现,但去年一年就新增了几万的漏洞。所以,本实施例的方案,与漏洞的数量无关、与漏洞的位置无关、与漏洞是否已知无关,只与攻击技术相关。
可选地,上述步骤的执行主体可以为客户端或服务器等,客户端可以是移动终端,PC等,服务器可以是防火墙服务器,安全服务器等,但不限于此。在应用在服务器端时。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例的方法。
实施例2
在本实施例中还提供了一种操作行为的拦截装置,可以是终端或服务器,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图9是根据本发明实施例的操作行为的拦截装置的结构框图,可以应用在客户端或服务器中,如图9所示,该装置包括:分配模块90,监测模块92,拦截模块94,其中,
分配模块90,用于根据职责范围为行为主体分配操作权限,其中,行为主体包括以下至少之一:程序、设备、用户;
监测模块92,用于根据内存序列监测行为主体是否被恶意控制,并在操作权限内发起操作行为;
拦截模块94,用于在监测到行为主体在被恶意控制状态下在操作权限内发起操作行为时,拦截操作行为。
可选的,分配模块包括:设置单元,用于设置行为主体的第一操作权限,其中,第一操作权限是保证目标设备正常工作的基本权限;分配单元,用于根据行为主体的职责范围为行为主体分配第二操作权限。
可选的,监测模块包括:第一确定单元,用于确定行为主体在操作权限内发起操作行为;获取单元,用于获取操作行为生成的内存序列;判断单元,用于判断内存序列与预设标准流程是否匹配;第二确定单元,用于在内存序列与预设标准序列不匹配时,确定行为主体被恶意控制,在内存序列与预设标准序列匹配时,确定行为主体未被控制。
可选的,判断单元还包括:第一判断子单元,用于在内存序列中解析操作行为的当前执行者,判断当前执行与预设标准流程中的预设执行者是否相同;或,第二判断子单元,用于在内存序列中解析操作行为的任务流程,判断任务流程与预设标准流程的流程顺序是否相同。
需要说明的是,终端和服务器仅是方案在执行主体上的差异,上述识别终端中的各个示例和可选方案同样适应在服务器中,并产生相同的技术效果。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例3
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,根据职责范围为行为主体分配操作权限,其中,所述行为主体包括以下至少之一:程序、设备、用户;
S2,根据内存序列监测所述行为主体是否被恶意控制,并在所述操作权限内发起操作行为;
S3,在监测到所述行为主体在被恶意控制状态下在所述操作权限内发起所述操作行为时,拦截所述操作行为。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,根据职责范围为行为主体分配操作权限,其中,所述行为主体包括以下至少之一:程序、设备、用户;
S2,根据内存序列监测所述行为主体是否被恶意控制,并在所述操作权限内发起操作行为;
S3,在监测到所述行为主体在被恶意控制状态下在所述操作权限内发起所述操作行为时,拦截所述操作行为。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种操作行为的拦截方法,其特征在于,包括:
根据职责范围为行为主体分配操作权限,其中,所述行为主体包括以下至少之一:程序、设备、用户;
根据内存序列监测所述行为主体是否被恶意控制,并在所述操作权限内发起操作行为;
在监测到所述行为主体在被恶意控制状态下在所述操作权限内发起所述操作行为时,拦截所述操作行为。
2.根据权利要求1所述的方法,其特征在于,根据职责范围为行为主体分配操作权限包括:
设置行为主体的第一操作权限,其中,所述第一操作权限是保证目标设备正常工作的基本权限;
根据所述行为主体的职责范围为所述行为主体分配第二操作权限。
3.根据权利要求2述的方法,其特征在于,在所述行为主体为程序时,设置行为主体的第一操作权限包括:
设置所述行为主体的以下第一操作权限:不允许自动运行,只能由用户手动运行;只允许操作自身创建的或与自身一起由同一安装包直接或间接创建的文件;对系统文件仅有只读的权限;不允许读写非系统的文件;不允许访问内外网络及网内节点;不允许对其它进程进行操作;不允许绕过系统直接读写磁盘;不允许下载或执行其他程序;不允许加载驱动。
4.根据权利要求2述的方法,其特征在于,根据所述行为主体的职责范围为所述行为主体分配第二操作权限包括:
在所述行为主体为程序时,确定所述程序所属的程序类型,为所述程序分配与所述程序类型对应的第二操作权限;
在所述行为主体为设备时,确定所述设备所属的使用部门,为所述设备分配与所述使用部门对应的第二操作权限;
在所述行为主体为用户时,确定用户的用户级别或身份类型,为所述用户分配与所述用户级别或身份类型对应的第二操作权限。
5.根据权利要求1述的方法,其特征在于,根据内存序列监测所述行为主体是否被恶意控制,并在所述操作权限内发起操作行为,包括:
确定所述行为主体在所述操作权限内发起操作行为;
获取所述操作行为生成的内存序列;
判断所述内存序列与预设标准流程是否匹配;
在所述内存序列与预设标准序列不匹配时,确定所述行为主体被恶意控制,在所述内存序列与预设标准序列匹配时,确定所述行为主体未被恶意控制。
6.根据权利要求5述的方法,其特征在于,判断所述内存序列与预设标准流程是否匹配包括:
在所述内存序列中解析所述操作行为的当前执行者,判断所述当前执行与所述预设标准流程中的预设执行者是否相同;或,
在所述内存序列中解析所述操作行为的任务流程,判断所述任务流程与所述预设标准流程的流程顺序是否相同。
7.根据权利要求1述的方法,其特征在于,根据内存序列监测所述行为主体是否被恶意控制包括:
在系统执行以下监控任务时:创建进程、加载可执行映像、申请可执行内存、更改内存权限为可执行、监听端口、下载文件、新建文件、读写或更改受保护文件的数据或信息,采用HOOK的方式根据内存序列监测所述行为主体是否被恶意控制。
8.一种操作行为的拦截装置,其特征在于,包括:
分配模块,用于根据职责范围为行为主体分配操作权限,其中,所述行为主体包括以下至少之一:程序、设备、用户;
监测模块,用于根据内存序列监测所述行为主体是否被恶意控制,并在所述操作权限内发起操作行为;
拦截模块,用于在监测到所述行为主体在被恶意控制状态下在所述操作权限内发起所述操作行为时,拦截所述操作行为。
9.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至7任一项中所述的方法。
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至7任一项中所述的方法。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2018104203696 | 2018-05-04 | ||
| CN201810420369.6A CN108683652A (zh) | 2018-05-04 | 2018-05-04 | 一种基于行为权限的处理网络攻击行为的方法及装置 |
| CN201810668277X | 2018-06-26 | ||
| CN201810668277.XA CN108846287A (zh) | 2018-06-26 | 2018-06-26 | 一种检测漏洞攻击的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109766699A true CN109766699A (zh) | 2019-05-17 |
| CN109766699B CN109766699B (zh) | 2022-02-15 |
Family
ID=66259682
Family Applications (11)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811640165.XA Active CN109766696B (zh) | 2018-05-04 | 2018-12-29 | 软件权限的设置方法及装置、存储介质、电子装置 |
| CN201811641292.1A Active CN110443041B (zh) | 2018-05-04 | 2018-12-29 | 设备权限的管理方法及装置、系统、存储介质、电子装置 |
| CN201811645506.2A Pending CN109711170A (zh) | 2018-05-04 | 2018-12-29 | 防护pdf的异常操作行为的方法及装置 |
| CN201811640174.9A Pending CN109871689A (zh) | 2018-05-04 | 2018-12-29 | 操作行为的拦截方法及装置、存储介质、电子装置 |
| CN201811641170.2A Active CN109829310B (zh) | 2018-05-04 | 2018-12-29 | 相似攻击的防御方法及装置、系统、存储介质、电子装置 |
| CN201811640656.4A Active CN109829308B (zh) | 2018-05-04 | 2018-12-29 | 控制策略的管理方法及装置、存储介质、电子装置 |
| CN201811645563.0A Active CN109711171B (zh) | 2018-05-04 | 2018-12-29 | 软件漏洞的定位方法及装置、系统、存储介质、电子装置 |
| CN201811645250.5A Pending CN109711169A (zh) | 2018-05-04 | 2018-12-29 | 系统文件的防护方法及装置、系统、存储介质、电子装置 |
| CN201811640220.5A Pending CN109871690A (zh) | 2018-05-04 | 2018-12-29 | 设备权限的管理方法及装置、存储介质、电子装置 |
| CN201811645720.8A Pending CN109766700A (zh) | 2018-05-04 | 2018-12-29 | 访问文件的控制方法及装置、存储介质、电子装置 |
| CN201811645703.4A Active CN109766699B (zh) | 2018-05-04 | 2018-12-29 | 操作行为的拦截方法及装置、存储介质、电子装置 |
Family Applications Before (10)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811640165.XA Active CN109766696B (zh) | 2018-05-04 | 2018-12-29 | 软件权限的设置方法及装置、存储介质、电子装置 |
| CN201811641292.1A Active CN110443041B (zh) | 2018-05-04 | 2018-12-29 | 设备权限的管理方法及装置、系统、存储介质、电子装置 |
| CN201811645506.2A Pending CN109711170A (zh) | 2018-05-04 | 2018-12-29 | 防护pdf的异常操作行为的方法及装置 |
| CN201811640174.9A Pending CN109871689A (zh) | 2018-05-04 | 2018-12-29 | 操作行为的拦截方法及装置、存储介质、电子装置 |
| CN201811641170.2A Active CN109829310B (zh) | 2018-05-04 | 2018-12-29 | 相似攻击的防御方法及装置、系统、存储介质、电子装置 |
| CN201811640656.4A Active CN109829308B (zh) | 2018-05-04 | 2018-12-29 | 控制策略的管理方法及装置、存储介质、电子装置 |
| CN201811645563.0A Active CN109711171B (zh) | 2018-05-04 | 2018-12-29 | 软件漏洞的定位方法及装置、系统、存储介质、电子装置 |
| CN201811645250.5A Pending CN109711169A (zh) | 2018-05-04 | 2018-12-29 | 系统文件的防护方法及装置、系统、存储介质、电子装置 |
| CN201811640220.5A Pending CN109871690A (zh) | 2018-05-04 | 2018-12-29 | 设备权限的管理方法及装置、存储介质、电子装置 |
| CN201811645720.8A Pending CN109766700A (zh) | 2018-05-04 | 2018-12-29 | 访问文件的控制方法及装置、存储介质、电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (11) | CN109766696B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022032950A1 (zh) * | 2020-08-10 | 2022-02-17 | 华为技术有限公司 | 一种恶意软件的防御方法、防御装置以及防御系统 |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110347655A (zh) * | 2019-06-12 | 2019-10-18 | 江苏富山软件科技有限公司 | 一种分布式文件系统访问框架 |
| CN112395537B (zh) * | 2019-08-15 | 2024-10-15 | 奇安信安全技术(珠海)有限公司 | 网站防篡改的方法及装置、存储介质、电子装置 |
| CN110532764B (zh) * | 2019-08-19 | 2022-03-11 | 维沃移动通信有限公司 | 一种权限处理的方法、移动终端及可读存储介质 |
| CN110968872A (zh) * | 2019-11-20 | 2020-04-07 | 北京国舜科技股份有限公司 | 文件漏洞的检测处理方法、装置、电子设备及存储介质 |
| CN110908822B (zh) * | 2019-11-26 | 2022-02-22 | 珠海格力电器股份有限公司 | 智能硬件防误碰方法、装置、存储介质及电子设备 |
| CN111049855B (zh) * | 2019-12-25 | 2022-02-01 | 北京天融信网络安全技术有限公司 | 一种基于标签的策略配置方法及装置 |
| CN111143225B (zh) * | 2019-12-26 | 2024-05-14 | 深圳市元征科技股份有限公司 | 一种汽车诊断软件的漏洞处理方法和相关产品 |
| CN113515389B (zh) * | 2020-04-09 | 2024-03-01 | 奇安信安全技术(珠海)有限公司 | 中间接口的调用方法及装置、系统、存储介质、电子装置 |
| CN111881467B (zh) * | 2020-06-12 | 2022-10-28 | 海光信息技术股份有限公司 | 利用安全处理器保护文件的方法、装置、cpu和计算机设备 |
| CN112149159A (zh) * | 2020-08-26 | 2020-12-29 | 网神信息技术(北京)股份有限公司 | 终端的权限设置方法、装置、电子设备及存储介质 |
| CN112311851B (zh) * | 2020-09-25 | 2022-04-01 | 新华三大数据技术有限公司 | 一种网络策略配置方法及装置 |
| CN112769806B (zh) * | 2020-12-31 | 2023-06-23 | 北京明朝万达科技股份有限公司 | 终端设备上的操作行为管控方法、装置及电子设备 |
| CN112765663B (zh) * | 2021-01-25 | 2024-04-26 | 北京北信源信息安全技术有限公司 | 文件访问控制方法、装置、设备、服务器及存储介质 |
| CN113032830A (zh) * | 2021-03-26 | 2021-06-25 | 北京有竹居网络技术有限公司 | 电子设备控制方法、装置和电子设备 |
| CN113051550A (zh) * | 2021-03-30 | 2021-06-29 | 深信服科技股份有限公司 | 一种终端设备及其防护方法、装置和可读存储介质 |
| CN113395288B (zh) * | 2021-06-24 | 2022-06-24 | 浙江德迅网络安全技术有限公司 | 基于sdwan主动防御ddos系统 |
| CN113625968B (zh) * | 2021-08-12 | 2024-03-01 | 网易(杭州)网络有限公司 | 文件权限的管理方法、装置、计算机设备及存储介质 |
| CN114338139B (zh) * | 2021-12-27 | 2023-03-24 | 北京安博通科技股份有限公司 | 一种上网行为管理支持终端类型控制的方法 |
| CN115062588A (zh) * | 2022-05-11 | 2022-09-16 | 华为技术有限公司 | 转换文件格式的方法和电子设备 |
| CN115967548B (zh) * | 2022-12-04 | 2024-04-09 | 深圳市众志天成科技有限公司 | 一种基于大数据信息安全的安全防护指标优化方法及人工智能系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103559446A (zh) * | 2013-11-13 | 2014-02-05 | 厦门市美亚柏科信息股份有限公司 | 一种基于安卓系统的设备的动态病毒检测方法和装置 |
| CN105224868A (zh) * | 2014-06-03 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 系统漏洞攻击的检测方法及装置 |
| CN106055986A (zh) * | 2016-05-06 | 2016-10-26 | 北京优炫软件股份有限公司 | 用于进行权限控制的方法和装置 |
| CN106169047A (zh) * | 2016-07-11 | 2016-11-30 | 北京金山安全软件有限公司 | 一种监控摄像头打开的方法、装置及电子设备 |
| CN106650438A (zh) * | 2015-11-04 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种恶意程序检测的方法及装置 |
| CN107016283A (zh) * | 2017-02-15 | 2017-08-04 | 中国科学院信息工程研究所 | 基于完整性验证的Android权限提升攻击安全防御方法和装置 |
Family Cites Families (72)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100489728C (zh) * | 2004-12-02 | 2009-05-20 | 联想(北京)有限公司 | 一种建立计算机中可信任运行环境的方法 |
| US9307397B2 (en) * | 2005-04-29 | 2016-04-05 | Jasper Technologies, Inc. | Method for enabling a wireless device with customer-specific services |
| CN100465983C (zh) * | 2006-09-15 | 2009-03-04 | 毛德操 | 在操作系统中根据用户行为历史来控制文件访问的方法 |
| US7954158B2 (en) * | 2006-12-19 | 2011-05-31 | International Business Machines Corporation | Characterizing computer attackers |
| CN101217396B (zh) * | 2007-12-29 | 2010-08-11 | 华中科技大学 | 一种基于信任模型的Ad hoc网络入侵检测方法及系统 |
| US20100005514A1 (en) * | 2008-07-01 | 2010-01-07 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method, system and server for file rights control |
| CN101667230B (zh) * | 2008-09-02 | 2013-10-23 | 北京瑞星信息技术有限公司 | 一种监控脚本执行的方法和装置 |
| CN101697212A (zh) * | 2009-10-15 | 2010-04-21 | 金蝶软件(中国)有限公司 | 一种erp系统及其用户权限控制方法和装置 |
| CN101827096B (zh) * | 2010-04-09 | 2012-09-05 | 潘燕辉 | 一种基于云计算的多用户协同安全防护系统和方法 |
| CN101834875B (zh) * | 2010-05-27 | 2012-08-22 | 华为技术有限公司 | 防御DDoS攻击的方法、装置和系统 |
| US20120297461A1 (en) * | 2010-12-02 | 2012-11-22 | Stephen Pineau | System and method for reducing cyber crime in industrial control systems |
| US20120159567A1 (en) * | 2010-12-21 | 2012-06-21 | Enterproid Hk Ltd | Contextual role awareness |
| CN102622536B (zh) * | 2011-01-26 | 2014-09-03 | 中国科学院软件研究所 | 一种恶意代码捕获方法 |
| US9275345B1 (en) * | 2011-02-11 | 2016-03-01 | Allure Security Technology, Inc. | System level user behavior biometrics using feature extraction and modeling |
| US8886925B2 (en) * | 2011-10-11 | 2014-11-11 | Citrix Systems, Inc. | Protecting enterprise data through policy-based encryption of message attachments |
| US20140032733A1 (en) * | 2011-10-11 | 2014-01-30 | Citrix Systems, Inc. | Policy-Based Application Management |
| CN102567675B (zh) * | 2012-02-15 | 2015-09-30 | 合一网络技术(北京)有限公司 | 一种业务系统下的用户权限管理方法和系统 |
| CN103313343B (zh) * | 2012-03-13 | 2018-12-18 | 百度在线网络技术(北京)有限公司 | 一种用于实现用户访问控制的方法和设备 |
| US9170800B2 (en) * | 2012-10-16 | 2015-10-27 | Citrix Systems, Inc. | Application wrapping for application management framework |
| CN103020529B (zh) * | 2012-10-31 | 2015-12-09 | 中国航天科工集团第二研究院七○六所 | 一种基于场景模型的软件漏洞分析方法 |
| CN103839003B (zh) * | 2012-11-22 | 2018-01-30 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| CN103020512B (zh) * | 2012-11-26 | 2015-03-04 | 清华大学 | 一种系统的安全控制流的实现方法及其控制系统 |
| CN103294950B (zh) * | 2012-11-29 | 2016-07-06 | 北京安天电子设备有限公司 | 一种基于反向追踪的高威窃密恶意代码检测方法及系统 |
| CN102945356B (zh) * | 2012-12-12 | 2015-11-18 | 上海交通大学 | 云环境下搜索引擎的访问控制方法及系统 |
| US9245128B2 (en) * | 2013-03-06 | 2016-01-26 | Microsoft Technology Licensing, Llc | Limiting enterprise applications and settings on devices |
| CN103198253B (zh) * | 2013-03-29 | 2016-03-30 | 北京奇虎科技有限公司 | 运行文件的方法及系统 |
| CN103440460A (zh) * | 2013-09-09 | 2013-12-11 | 中国农业银行股份有限公司 | 一种应用系统变更验证方法及验证系统 |
| CN103440140A (zh) * | 2013-09-11 | 2013-12-11 | 昆山富泰科电脑有限公司 | 智能设备应用分类及使用权限设定的系统 |
| CN103617379B (zh) * | 2013-11-29 | 2016-08-17 | 乐视云计算有限公司 | 一种多媒体文件播放方法及播放器 |
| IL229907A (en) * | 2013-12-10 | 2015-02-26 | David Almer | Mobile device with enhanced security |
| CN103646215A (zh) * | 2013-12-23 | 2014-03-19 | 北京奇虎科技有限公司 | 一种应用程序的安装控制方法、相关系统及装置 |
| US20160292433A1 (en) * | 2013-12-30 | 2016-10-06 | Huawei Device Co., Ltd | Permission management method and apparatus |
| US9519758B2 (en) * | 2014-02-04 | 2016-12-13 | Pegasus Media Security, Llc | System and process for monitoring malicious access of protected content |
| CN104239801B (zh) * | 2014-09-28 | 2017-10-24 | 北京奇虎科技有限公司 | 0day漏洞的识别方法以及装置 |
| CN104239764B (zh) * | 2014-10-15 | 2017-07-07 | 北京奇虎科技有限公司 | 终端设备及其系统功能的管控方法和装置 |
| CN104318160B (zh) * | 2014-10-29 | 2017-12-26 | 北京奇虎科技有限公司 | 查杀恶意程序的方法和装置 |
| CN104361285B (zh) * | 2014-11-20 | 2017-12-12 | 工业和信息化部电信研究院 | 移动设备应用程序的安全检测方法及装置 |
| CN104462985A (zh) * | 2014-11-28 | 2015-03-25 | 北京奇虎科技有限公司 | bat漏洞的检测方法以及装置 |
| CN104468563A (zh) * | 2014-12-03 | 2015-03-25 | 北京奇虎科技有限公司 | 网站漏洞防护方法、装置及系统 |
| CN104573515A (zh) * | 2014-12-19 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置和系统 |
| CN104506630B (zh) * | 2014-12-25 | 2019-04-16 | 深圳市华宝电子科技有限公司 | 基于用户角色的权限数据生成方法、服务器及系统 |
| CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及系统 |
| CN104680084B (zh) * | 2015-03-20 | 2017-12-12 | 北京瑞星信息技术股份有限公司 | 计算机中保护用户隐私的方法和系统 |
| CN106295344A (zh) * | 2015-05-15 | 2017-01-04 | 中兴通讯股份有限公司 | 一种保障终端安全的方法和装置 |
| CN106295328B (zh) * | 2015-05-20 | 2019-06-18 | 阿里巴巴集团控股有限公司 | 文件检测方法、装置及系统 |
| CN104899511B (zh) * | 2015-05-21 | 2018-01-19 | 成都中科慧创科技有限公司 | 一种基于程序行为算法的主动防御方法 |
| CN106529230A (zh) * | 2015-09-11 | 2017-03-22 | 上海中和软件有限公司 | 基于角色的权限控制机制 |
| US9740877B2 (en) * | 2015-09-22 | 2017-08-22 | Google Inc. | Systems and methods for data loss prevention while preserving privacy |
| CN105323384A (zh) * | 2015-11-25 | 2016-02-10 | 上海斐讯数据通信技术有限公司 | 一种多场景模式切换的方法及移动终端 |
| US10958435B2 (en) * | 2015-12-21 | 2021-03-23 | Electro Industries/ Gauge Tech | Providing security in an intelligent electronic device |
| CN107103245B (zh) * | 2016-02-23 | 2022-08-02 | 中兴通讯股份有限公司 | 文件的权限管理方法及装置 |
| CN107229860A (zh) * | 2016-03-24 | 2017-10-03 | 中国电子科技集团公司电子科学研究院 | 在集中环境中安全管理桌面应用的方法及系统 |
| CN107451159A (zh) * | 2016-05-31 | 2017-12-08 | 中国移动通信集团广东有限公司 | 一种数据库访问方法和装置 |
| CN107508783A (zh) * | 2016-06-14 | 2017-12-22 | 阿里巴巴集团控股有限公司 | 一种数据的处理方法和装置 |
| CN106228067A (zh) * | 2016-07-15 | 2016-12-14 | 江苏博智软件科技有限公司 | 恶意代码动态检测方法及装置 |
| CN107872433A (zh) * | 2016-09-27 | 2018-04-03 | 腾讯科技(深圳)有限公司 | 一种身份验证方法及其设备 |
| CN106384051A (zh) * | 2016-09-29 | 2017-02-08 | 汉兴德创(武汉)科技有限公司 | 一种基于云计算的多用户协同安全防护系统 |
| CN106529290B (zh) * | 2016-10-11 | 2020-02-18 | 北京金山安全软件有限公司 | 一种恶意软件防护方法、装置以及电子设备 |
| CN106548048A (zh) * | 2016-10-28 | 2017-03-29 | 北京优炫软件股份有限公司 | 一种用于进程控制的方法、装置与系统 |
| CN108062479A (zh) * | 2016-11-08 | 2018-05-22 | 杭州施强教育科技有限公司 | 一种企业管理系统用户权限配置方法 |
| CN106874761A (zh) * | 2016-12-30 | 2017-06-20 | 北京邮电大学 | 一种安卓系统恶意应用检测方法及系统 |
| CN106775903B (zh) * | 2017-02-24 | 2021-02-09 | 北京小米移动软件有限公司 | 安全策略文件更新方法及装置 |
| CN107066889A (zh) * | 2017-04-25 | 2017-08-18 | 北京洋浦伟业科技发展有限公司 | 一种基于地理位置信息的数据访问控制方法与系统 |
| CN107169359A (zh) * | 2017-06-06 | 2017-09-15 | 北京奇虎科技有限公司 | 利用触发文件实现的文档防护方法及装置、电子设备 |
| CN107391977B (zh) * | 2017-07-04 | 2020-11-24 | 创新先进技术有限公司 | 权限的控制、自动切换方法、装置及设备 |
| CN107480551B (zh) * | 2017-07-06 | 2020-11-20 | 网易(杭州)网络有限公司 | 一种文件管理方法及装置 |
| CN107392016A (zh) * | 2017-07-07 | 2017-11-24 | 四川大学 | 一种基于代理的Web数据库攻击行为检测系统 |
| CN107508801B (zh) * | 2017-08-04 | 2020-09-08 | 安徽智圣通信技术股份有限公司 | 一种文件防篡改的方法及装置 |
| CN107657169B (zh) * | 2017-10-10 | 2020-02-21 | 泰康保险集团股份有限公司 | 权限管理方法、装置、介质和电子设备 |
| CN107832590A (zh) * | 2017-11-06 | 2018-03-23 | 珠海市魅族科技有限公司 | 终端控制方法及装置、终端及计算机可读存储介质 |
| CN107896210A (zh) * | 2017-11-14 | 2018-04-10 | 北京知道创宇信息技术有限公司 | 安全防护方法、装置、服务器及存储介质 |
| CN109063436A (zh) * | 2018-07-30 | 2018-12-21 | 中国石油化工股份有限公司 | 支持多应用的企业级权限管控和应用方法 |
-
2018
- 2018-12-29 CN CN201811640165.XA patent/CN109766696B/zh active Active
- 2018-12-29 CN CN201811641292.1A patent/CN110443041B/zh active Active
- 2018-12-29 CN CN201811645506.2A patent/CN109711170A/zh active Pending
- 2018-12-29 CN CN201811640174.9A patent/CN109871689A/zh active Pending
- 2018-12-29 CN CN201811641170.2A patent/CN109829310B/zh active Active
- 2018-12-29 CN CN201811640656.4A patent/CN109829308B/zh active Active
- 2018-12-29 CN CN201811645563.0A patent/CN109711171B/zh active Active
- 2018-12-29 CN CN201811645250.5A patent/CN109711169A/zh active Pending
- 2018-12-29 CN CN201811640220.5A patent/CN109871690A/zh active Pending
- 2018-12-29 CN CN201811645720.8A patent/CN109766700A/zh active Pending
- 2018-12-29 CN CN201811645703.4A patent/CN109766699B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103559446A (zh) * | 2013-11-13 | 2014-02-05 | 厦门市美亚柏科信息股份有限公司 | 一种基于安卓系统的设备的动态病毒检测方法和装置 |
| CN105224868A (zh) * | 2014-06-03 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 系统漏洞攻击的检测方法及装置 |
| CN106650438A (zh) * | 2015-11-04 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种恶意程序检测的方法及装置 |
| CN106055986A (zh) * | 2016-05-06 | 2016-10-26 | 北京优炫软件股份有限公司 | 用于进行权限控制的方法和装置 |
| CN106169047A (zh) * | 2016-07-11 | 2016-11-30 | 北京金山安全软件有限公司 | 一种监控摄像头打开的方法、装置及电子设备 |
| CN107016283A (zh) * | 2017-02-15 | 2017-08-04 | 中国科学院信息工程研究所 | 基于完整性验证的Android权限提升攻击安全防御方法和装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022032950A1 (zh) * | 2020-08-10 | 2022-02-17 | 华为技术有限公司 | 一种恶意软件的防御方法、防御装置以及防御系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109766696A (zh) | 2019-05-17 |
| CN109711171A (zh) | 2019-05-03 |
| CN109829310B (zh) | 2021-04-27 |
| CN109829308A (zh) | 2019-05-31 |
| CN109829310A (zh) | 2019-05-31 |
| CN109711169A (zh) | 2019-05-03 |
| CN109711170A (zh) | 2019-05-03 |
| CN109766696B (zh) | 2021-01-15 |
| CN109871690A (zh) | 2019-06-11 |
| CN109766699B (zh) | 2022-02-15 |
| CN109766700A (zh) | 2019-05-17 |
| CN110443041B (zh) | 2022-09-30 |
| CN109871689A (zh) | 2019-06-11 |
| CN109829308B (zh) | 2022-02-15 |
| CN110443041A (zh) | 2019-11-12 |
| CN109711171B (zh) | 2021-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109766699A (zh) | 操作行为的拦截方法及装置、存储介质、电子装置 | |
| US11720678B2 (en) | Systems and methods for ransomware detection and mitigation | |
| US11469976B2 (en) | System and method for cloud-based control-plane event monitor | |
| US10534906B1 (en) | Detection efficacy of virtual machine-based analysis with application specific events | |
| Tien et al. | KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches | |
| CN106557701B (zh) | 基于虚拟机的内核漏洞检测方法及装置 | |
| CN108369625A (zh) | 用于保护多个网络端点的双重存储器内省 | |
| US11012449B2 (en) | Methods and cloud-based systems for detecting malwares by servers | |
| CN108683652A (zh) | 一种基于行为权限的处理网络攻击行为的方法及装置 | |
| CN106537406A (zh) | 一种网络安全系统及其方法 | |
| DE112018004465T5 (de) | Systeme und Verfahren zum Überwachen eines Köders für den Schutz von Benutzern vor Sicherheitsbedrohungen | |
| Bollinger et al. | Crafting the InfoSec playbook: security monitoring and incident response master plan | |
| Ouda et al. | The impact of cloud computing on network security and the risk for organization behaviors | |
| CN113901450A (zh) | 一种工业主机终端安全防护系统 | |
| CN104361281A (zh) | 一种安卓平台钓鱼攻击的解决方法 | |
| Alsmadi | Cyber threat analysis | |
| Bolívar et al. | Modeling cloud computing security scenarios through attack trees | |
| US10089261B2 (en) | Discriminating dynamic connection of disconnectable peripherals | |
| Shaul et al. | Practical Oracle Security: Your Unauthorized Guide to Relational Database Security | |
| Yadav et al. | A comprehensive survey of IoT-based cloud computing cyber security | |
| EP4235470B1 (en) | Method and network component for protecting networked infrastructures | |
| KR102720497B1 (ko) | 랜섬웨어 검출 및 완화를 위한 시스템 및 방법 | |
| Stutz et al. | Cyber Threat Detection and Mitigation Using Artificial Intelligence–A Cyber‐physical Perspective | |
| Amedzro St-Hilaire et al. | The Nature of the Attacks and the Characteristics of a Cyber-Attitude | |
| Avkurova et al. | Structural and Analytical Models for Early APT-Attacks Detection in Critical Infrastructure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Applicant after: Qianxin Safety Technology (Zhuhai) Co.,Ltd. Applicant after: QAX Technology Group Inc. Address before: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Applicant before: 360 ENTERPRISE SECURITY TECHNOLOGY (ZHUHAI) Co.,Ltd. Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |