CN109784051B - 信息安全防护方法、装置及设备 - Google Patents
信息安全防护方法、装置及设备 Download PDFInfo
- Publication number
- CN109784051B CN109784051B CN201811640509.7A CN201811640509A CN109784051B CN 109784051 B CN109784051 B CN 109784051B CN 201811640509 A CN201811640509 A CN 201811640509A CN 109784051 B CN109784051 B CN 109784051B
- Authority
- CN
- China
- Prior art keywords
- software
- file
- identified
- chain
- creation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本申请公开了一种信息安全防护方法、装置及设备,涉及信息安全技术领域,可通过文件创建关系链上的创建关系定位软件的恶意性。其中方法包括:实时监测待识别软件需要对目标文件执行的操作事件;查询所述目标文件所在终端本地的文件创建关系链,其中,所述文件创建关系链中包含至少一个链状结构,在同一链状结构中上一级节点对应所述终端本地的文件创建下一级节点对应所述终端本地的文件;若所述文件创建关联链中不存在与所述待识别软件对应的文件,则确定所述待识别软件为可疑软件。本申请适用于信息安全防护。
Description
技术领域
本申请涉及信息安全技术领域,尤其是涉及到一种信息安全防护方法、装置及设备。
背景技术
随着信息技术的飞速发展,信息安全越来越受到重视。信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、个人信息的泄露等。攻击者可通过注入的恶意软件进行信息盗用或篡改等,对用户的个人隐私或财产安全等造成一定的威胁。
目前,对于恶意软件的检测手段,可通过查询软件的权限来判别。如果该软件不具备当前操作的权限,那么该软件即可被确定为是会影响安全性的可疑软件。然而,这种方式很容易被攻击者绕过,如可通过对软件重命名的方式,使得软件具备当前操作的权限等,进而影响了可疑软件的检测精确性,从而影响了用户的信息安全。
发明内容
有鉴于此,本申请提供了一种信息安全防护方法、装置及设备,主要目的在于解决目前现有的可疑软件的检测手段很容易被攻击者绕过,进而会影响可疑软件的检测精确性的问题。
根据本申请的一个方面,提供了一种信息安全防护方法,该方法包括:
实时监测待识别软件需要对终端本地的目标文件执行的操作事件;
查询所述目标文件所在的文件创建关系链,其中,所述文件创建关系链中包含至少一个链状结构,在同一链状结构中上一级节点对应所述终端本地的文件创建下一级节点对应所述终端本地的文件;
若所述文件创建关联链中不存在与所述待识别软件对应的文件,则确定所述待识别软件为可疑软件。
可选的,在所述查询所述目标文件所在的文件创建关系链之前,所述方法还包括:
获取所述操作事件对应任务调用的栈特征信息;
依据所述栈特征信息,确定所述操作事件是否为用户主动操作;
所述查询所述目标文件所在的文件创建关系链,具体包括:
若所述操作事件不是用户主动操作,则查询所述目标文件所在的文件创建关系链。
可选的,若所述文件创建关联链中存在与所述待识别软件对应的文件,则所述方法还包括:
参照所述待识别软件对应的文件和所述目标文件二者处于所述文件创建关系链中的节点位置,检测所述待识别软件对应的文件调用所述目标文件是否符合预设调用规则;
若不符合所述预设调用规则,则确定所述待识别软件为可疑软件。
可选的,在所述查询所述目标文件所在的文件创建关系链之前,所述方法还包括:
记录所述终端本地的各个文件之间的创建关系;
基于所述创建关系,生成所述文件创建关系链;
当检测出存在所述文件创建关系链的更新信息时,根据所述更新信息对所述文件创建关系链中的文件创建关系进行更新;
所述查询所述目标文件所在的文件创建关系链,具体包括:
查询所述目标文件所在的最新的文件创建关系链。
可选的,所述若所述文件创建关联链中不存在与所述待识别软件对应的文件,则确定所述待识别软件为可疑软件,具体包括:
若所述文件创建关联链中不存在与所述待识别软件对应的文件、且所述待识别软件对应的文件不是系统必要进程的文件,则确定所述待识别软件为可疑软件。
可选的,在所述确定所述待识别软件为可疑软件之后,所述方法还包括:
查询所述待识别软件的进程所在的进程创建关系链;
利用所述进程创建关系链中所述终端本地的各个进程之间的创建关系,分析所述待识别软件的关联可疑软件。
可选的,在所述确定所述待识别软件为可疑软件之后,所述方法还包括:
将所述可疑软件的相关信息上传至服务端,并在所述服务端根据所述相关信息确定所述可疑软件存在恶意性时,根据所述服务端发送的指令对所述操作事件进行拦截;
输出提示所述待识别软件为可疑软件的告警信息;
当接收到隔离所述待识别软件的指令时,对所述待识别软件进行隔离处理。
根据本申请的另一方面,提供了一种信息安全防护装置,该装置包括:
监测单元,用于实时监测待识别软件需要对终端本地的目标文件执行的操作事件;
查询单元,用于查询所述目标文件所在的文件创建关系链,其中,所述文件创建关系链中包含至少一个链状结构,在同一链状结构中上一级节点对应所述终端本地的文件创建下一级节点对应所述终端本地的文件;
确定单元,用于若所述文件创建关联链中不存在与所述待识别软件对应的文件,则确定所述待识别软件为可疑软件。
可选的,所述装置还包括:获取单元;
所述获取单元,用于获取所述操作事件对应任务调用的栈特征信息;
所述确定单元,还用于依据所述栈特征信息,确定所述操作事件是否为用户主动操作;
所述查询单元,具体用于若所述操作事件不是用户主动操作,则查询所述目标文件所在的文件创建关系链。
可选的,所述确定单元,还用于参照所述待识别软件对应的文件和所述目标文件二者处于所述文件创建关系链中的节点位置,检测所述待识别软件对应的文件调用所述目标文件是否符合预设调用规则;
若不符合所述预设调用规则,则确定所述待识别软件为可疑软件。
可选的,所述装置还包括:记录单元、生成单元和更新单元;
所述记录单元,用于记录所述终端本地的各个文件之间的创建关系;
所述生成单元,用于基于所述创建关系,生成所述文件创建关系链;
所述更新单元,用于当检测出存在所述文件创建关系链的更新信息时,根据所述更新信息对所述文件创建关系链中的文件创建关系进行更新;
所述查询单元,具体用于查询所述目标文件所在的最新的文件创建关系链。
可选的,所述确定单元,具体用于若所述文件创建关联链中不存在与所述待识别软件对应的文件、且所述待识别软件对应的文件不是系统必要进程的文件,则确定所述待识别软件为可疑软件。
可选的,所述查询单元,还用于查询所述待识别软件的进程所在的进程创建关系链;
所述确定单元,还用于利用所述进程创建关系链中所述终端本地的各个进程之间的创建关系,分析所述待识别软件的关联可疑软件。
可选的,所述装置还包括:
处理单元,用于在所述确定所述待识别软件为可疑软件之后,将所述可疑软件的相关信息上传至服务端,并在所述服务端根据所述相关信息确定所述可疑软件存在恶意性时,根据所述服务端发送的指令对所述操作事件进行拦截;及
输出提示所述待识别软件为可疑软件的告警信息;
当接收到隔离所述待识别软件的指令时,对所述待识别软件进行隔离处理。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述信息安全防护方法。
依据本申请再一个方面,提供了一种信息安全防护的实体设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述信息安全防护方法。
借由上述技术方案,本申请提供的一种信息安全防护方法、装置及设备,与目前现有的可疑软件的检测手段相比,本申请可实时监测待识别软件需要对终端本地目标文件执行的操作事件,然后利用目标文件所在的文件创建关系链对该待识别软件的安全性进行识别,由于该文件创建关系链中包含与目标文件相关联文件之间的创建关系,因此如果该文件创建关系链中不存在该待识别软件对应的文件,那么该待识别软件属于跨链操作其他链的文件,即目标文件与该待识别软件之间不存在关联性,所以该待识别软件的这种操作事件属于非法操作,该待识别软件极可能是影响安全性的可疑软件。通过这种判别方式,由于在文件创建或者修改的时候,文件创建关系链也会相应记录修复,因此不存在现有技术中存在的容易被攻击者绕过的问题,使得软件安全性检测更加有效,进而更加精确的定位可疑软件,并且可减少误报的情况,从而保证用户的信息安全。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种信息安全防护方法的流程示意图;
图2示出了本申请实施例提供的另一种信息安全防护方法的流程示意图;
图3示出了本申请实施例提供的一种文件创建关系链的实例示意图;
图4示出了本申请实施例提供的一种信息安全防护装置的结构示意图;
图5示出了本申请实施例提供的另一种信息安全防护装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
针对目前现有的可疑软件检测手段很容易被攻击者绕过,进而会影响可疑软件的检测精确性的问题,本实施例提供了一种信息安全防护方法,如图1所示,该方法包括:
101、实时监测待识别软件需要对终端本地的目标文件执行的操作事件。
其中,待识别软件可为系统当前运行的各个软件,或者由用户设置的需要监测是否安全的软件等,具体可根据实际需求而定。目标文件为系统当前存在的各个文件,特别是记录数据的文件。操作事件可包括读取或写入目标文件中的数据,以及对目标文件重命名、删除等事件。
对于本实施例的执行主体可以为信息安全防护的装置或设备,用于及时识别软件的安全性,可以配置在客户端侧或者服务器侧,具体根据实际业务需求而定。
102、查询目标文件所在的文件创建关系链。
其中,文件创建关系链中包含至少一个链状结构,在同一链状结构中上一级节点对应终端本地的文件创建下一级节点对应终端本地的文件。查询到的该文件创建关系链中包含与目标文件相关联文件之间的创建关系。
例如,安装包文件A在安装后创建了程序文件B和数据库文件C,程序文件B在被执行后又创建了另一文件D,系统后台可记录这些创建关系。如果数据库文件C为本实施例中的目标文件,那么根据系统后台记录的这些创建关系,可确定该目标文件所在的文件创建关系链包含A->B->D、A->C两条分支链,具体如图2所示。
103、若查询到的文件创建关联链中不存在与待识别软件对应的文件,则确定待识别软件为可疑软件。
对于本实施例,后台可记录待识别软件所包含的各个文件,这些文件是安装并运行该待识别软件得到的。例如,基于图2的实例,待识别软件a利用程序文件E对数据库文件C进行了读取数据操作,且该操作非用户主动做的,那么可利用上述方式查询得到的该文件C所在的文件创建关联链,对该软件a进行安全识别。具体可判断该文件创建关联链中是否存在程序文件E,经判断,A->B->D、A->C两条分支链不存在程序文件E,说明软件a属于跨链操作其他链的文件,即数据库文件C与该软件a之间不存在任何关联性,程序文件E在被动情况下正常不应该读取数据库文件C中的数据,所以软件a的这种操作事件属于非法操作,该软件a极可能是影响安全性的可疑软件,后续可输出相应的告警信息(输出形式可包括文字、图片、音频、视频、灯光、振动等)。以警示用户软件a存在安全威胁。
通过应用上述这种基于文件创建关系链的安全防护技术,与目前现有的可疑软件的检测手段相比,通过这种判别方式,由于在文件创建或者修改的时候,文件创建关系链也会相应记录修复,因此不存在现有技术中存在的容易被攻击者绕过的问题,使得软件安全性检测更加有效,进而更加精确的定位可疑软件,并且可减少误报的情况,从而保证用户的信息安全。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例方法的实施过程,提供了另一种信息安全防护方法,如图3所示,该方法包括:
201、实时监测待识别软件需要对终端本地的目标文件执行的操作事件。
对于本实施例,通过这种实时监测的方式,可及时发现可疑软件,以便阻止其攻击行为,保护用户的信息安全。
202、获取监测到的操作事件对应任务调用的栈特征信息。
其中,任务调用的栈特征信息中可包含执行上述监测到的操作事件而在内存中的调用特征,具体可包含任务调用执行该操作事件时的各个功能接口函数以及这些功能接口函数之间的调用顺序。
203、依据获取到的栈特征信息,确定待识别软件需要对目标文件执行的操作事件是否为用户主动操作。
在本实施例中,可事先统计符合用户主动操作时上述这些功能接口函数之间的正常调用顺序,然后再判断待识别软件需要对目标文件执行的操作事件是否是用户主动操作时,可判断此时的这些功能接口函数之间的调用顺序是否与该正常调用顺序匹配,如果匹配,那么就可确定是用户主动操作的行为,此时可不执行本实施例的方法来对待识别软件安全进行识别,进而避免出现误报的情况;如果这些功能接口函数之间的调用顺序与该正常调用顺序不匹配,那么就可确定是非用户主动操作的行为,后续可利用本实施例中的方法实现待识别软件的安全识别,进而识别出其是否为可疑软件。具体可继续执行以下步骤所示过程。
204、若待识别软件需要对目标文件执行的操作事件不是用户主动操作,则查询目标文件所在的文件创建关系链。
在确定非用户主动操作后,可利用目标文件所在的文件创建关系链,判断待识别软件的该操作事件是否属于正常的行为。
为了得到更加全面准确的文件创建关系链,作为一种可选方式,在查询目标文件所在的文件创建关系链之前,本实施例方法还可包括:记录终端本地的各个文件之间的创建关系;然后基于该创建关系,生成各个文件创建关系链,这其中就包括目标文件所在的文件创建关系链;进一步的,为了满足文件创建关系链的自动更新需求,当检测出存在文件创建关系链的更新信息时,根据该更新信息对文件创建关系链中的文件创建关系进行更新;相应的,查询目标文件所在的文件创建关系链的步骤具体可包括:查询目标文件所在的最新的文件创建关系链。
在本可选方式中,可基于终端本地后台记录的各个文件之间的创建关系生成各个文件创建关系链。文件链操作包括添加文件链、删除文件链、修改文件链、查询文件链几种操作,所有事件都会通过这几种方法记录文件链关系,可疑软件进行操作时,可以通过查询文件链来精确定位到该可疑软件的源头,即使在可疑软件文件的形成过程中有重命名的情况,该关系也会记录在文件链中,帮助精确检测该软件的恶意性。因此不存在现有技术中存在的容易被攻击者绕过的问题,使得软件安全性检测更加有效。另外,本可选方式可实时利用最新的文件创建关系链对待识别软件进行安全识别,从而可保证安全识别的准确性。
205、检测查询到的文件创建关联链中是否存在与待识别软件对应的文件。
在用户非主动操作的情况下,如果待识别软件通过某程序文件对目标文件执行了操作事件(如读取、写入、修改、删除等),那么通过检测目标文件所在的文件创建关联链中是否存在与待识别软件对应的文件,可判定这个操作事件是否合法,即是否属于无风险的正常操作,下面分两种情况(步骤206a和206b)进行说明具体实施过程。
206a、若目标文件所在的文件创建关联链中不存在与待识别软件对应的文件,则确定待识别软件为可疑软件。
在正常情况下,待识别软件只能对其文件所在的文件创建关系链中的文件进行操作,如果待识别软件跨链操作其他链的文件,那么待识别软件的这种操作事件属于非法操作,该待识别软件极可能是可疑软件。
因为有时系统必要进程的文件会存在跨链操作其他链中文件的情况,因此为了更精准的判别待识别软件是否可疑软件,作为一种可选方式,本实施例还可检测待识别软件对应的文件是否为系统必要进程的文件,相应的,步骤206a具体可包括:若文件创建关联链中不存在与待识别软件对应的文件、且待识别软件对应的文件不是系统必要进程的文件,则确定待识别软件为可疑软件。通过这种方式排除了干扰因素,可更加准确的判别出待识别软件的安全性。
在确定待识别软件为可疑软件之后,为了及时确保用户的信息安全,以及及时提醒用户存在可疑软件,作为一种可选方式,还包括:将可疑软件的相关信息上传至服务端,并在服务端根据该相关信息确定可疑软件存在恶意性时,对该可疑软件需要对目标文件执行的操作事件进行拦截,除此之外,为了避免网络延迟影响,还可由客户端侧确定该可疑软件是否存在恶意性,并在确定存在恶意性时直接通过客户端对该操作事件进行拦截;并且还可输出提示待识别软件为可疑软件的告警信息;后续用户可根据告警提示内容,选择是否隔离该软件,在装置侧,当接收到隔离待识别软件的指令时,对待识别软件进行隔离处理,以尽最大可能的保证用户信息安全。
在具体的应用场景中,已经确定为可疑软件的待识别软件可能原本并非是可疑软件,是由其他软件进程对该软件进行恶意代码注入(如病毒、木马等)使得该软件变成了可疑软件,因此需要追溯那些感染该软件的软件进程,作为一种可选方式,在确定待识别软件为可疑软件之后,可查询待识别软件的进程所在的进程创建关系链,其中,该进程创建关系链与本实施例中的文件创建关系链的结构相似,包含至少一个链状结构,在同一链状结构中上一级节点对应终端本地的进程创建下一级节点对应终端本地的进程,即包含了终端本地的各个进程之间的创建关系。然后利用查询到的进程创建关系链中终端本地的各个进程之间的创建关系,分析待识别软件的关联可疑软件,即危险源头软件。
在本可选方式中,利用可疑软件的进程所在的进程创建关系链,可查询得到这个可疑软件是由哪个进程创建的,找到这个进程后可追溯到相应的危险源头软件,进而可及时对这个危险源头软件进行安全处理,避免它再感染其它软件,以保证用户的信息安全。
除了上述危险溯源定位的方式以外,还可利用可疑软件的文件所在的文件创建关系链分析定位危险源头,查找相应的原因。进而通过对文件创建关系链溯源定位可疑软件的历史创建关系,通过查看链上其他文件的可能性定位可疑软件对应文件的恶意性。
与步骤206a并列的步骤206b、若目标文件所在的文件创建关联链中存在与待识别软件对应的文件,则参照待识别软件对应的文件和目标文件二者处于文件创建关系链中的节点位置,检测待识别软件对应的文件调用目标文件是否符合预设调用规则。
对于本实施例,在正常情况下,如果目标文件所在的文件创建关联链中存在与待识别软件对应的文件,则可初步判定这个操作事件是合法的,而在实际过程当中也会存在一些虽然在同一文件创建关系链中但是不存在之间操作的文件,如属于并列关系的文件,它们可被同一链的某一文件操作,但是它们之间正常是不会存在操作事件的。所以作为一种扩展性方式,在判定目标文件所在的文件创建关联链中存在与待识别软件对应的文件后,可参照待识别软件对应的文件与目标文件二者分别处于文件创建关系链中的节点位置,检测待识别软件对应的文件调用目标文件是否符合预设调用规则,进而进一步确定待识别软件是否为可疑软件。通过这种方式可更加精确的确定软件的安全性。其中,预设调用规则可预先统计得到,例如,如图2所示,程序文件B和文件D访问数据库文件C属于正常的调用行为,进而配置相应的预设调用规则,如果存在程序文件B访问安装包文件A的情况时,由于已经解压安装完毕,所以属于异常行为,此情况不符合预设调用规则。
207b、若待识别软件对应的文件调用目标文件不符合预设调用规则,则确定待识别软件为可疑软件。
例如,参照待识别软件对应的文件与目标文件二者分别处于文件创建关系链中的节点位置,如果二者为同一链路、且待识别软件对应的文件的节点层级小于目标文件的节点层级,则在检测出待识别软件对应的文件调用目标文件不符合预设调用规则时,确定待识别软件为可疑软件。
本方案可应用于信息安全,文件创建关系链是一项重要的事件主体信息资源,据此可以作为多种可疑软件的判断依据。现有的技术基于软件权限或者创建者检测,并未涉及到链的概念,且不能溯源,对于可疑软件的多级创建则束手无策,现有技术存在多种绕过方法,重命名及多级创建都可以绕过现有检测技术,而本方案中基于文件链检测技术则不会存在上述问题,在文件创建或者修改的时候,文件链也会得到修复,使文件检测更加有效,从而更加精确的定位可疑软件,并且可以减少误报。
进一步的,作为图1和图3所示方法的具体实现,本实施例提供了一种信息安全防护装置,如图4所示,该装置包括:监测单元31、查询单元32、确定单元33。
监测单元31,可用于实时监测待识别软件需要对终端本地的目标文件执行的操作事件;
查询单元32,可用于查询目标文件所在的文件创建关系链,其中,文件创建关系链中包含至少一个链状结构,在同一链状结构中上一级节点对应终端本地的文件创建下一级节点对应终端本地的文件;
确定单元33,可用于若文件创建关联链中不存在与待识别软件对应的文件,则确定待识别软件为可疑软件。
在具体的应用场景中,如图5所示,本装置还可包括:获取单元34;
获取单元34,可用于获取操作事件对应任务调用的栈特征信息;
确定单元33,还可用于依据栈特征信息,确定操作事件是否为用户主动操作;
查询单元32,具体可用于若操作事件不是用户主动操作,则查询目标文件所在的文件创建关系链。
在具体的应用场景中,确定单元33,还可用于参照所述待识别软件对应的文件和所述目标文件二者处于所述文件创建关系链中的节点位置,检测所述待识别软件对应的文件调用所述目标文件是否符合预设调用规则;若不符合所述预设调用规则,则确定所述待识别软件为可疑软件。
在具体的应用场景中,如图5所示,本装置还可包括:记录单元35、生成单元36和更新单元37;
记录单元35,可用于记录终端本地的各个文件之间的创建关系;
生成单元36,可用于基于创建关系,生成文件创建关系链;
更新单元37,可用于当检测出存在文件创建关系链的更新信息时,根据更新信息对文件创建关系链中的文件创建关系进行更新;
查询单元32,具体可用于查询目标文件所在的最新的文件创建关系链。
在具体的应用场景中,确定单元33,具体可用于若文件创建关联链中不存在与待识别软件对应的文件、且待识别软件对应的文件不是系统必要进程的文件,则确定待识别软件为可疑软件。
在具体的应用场景中,查询单元32,还可用于查询待识别软件的进程所在的进程创建关系链;
确定单元33,还可用于利用进程创建关系链中终端本地的各个进程之间的创建关系,分析待识别软件的关联可疑软件。
在具体的应用场景中,如图5所示,本装置还可包括:处理单元38;
处理单元38,可用于在确定待识别软件为可疑软件之后,对将所述可疑软件的相关信息上传至服务端,并在所述服务端根据所述相关信息确定所述可疑软件存在恶意性时,根据所述服务端发送的指令对所述操作事件进行拦截;及输出提示待识别软件为可疑软件的告警信息;当接收到隔离待识别软件的指令时,对待识别软件进行隔离处理。
需要说明的是,本实施例提供的一种信息安全防护装置所涉及各功能单元的其它相应描述,可以参考图1至图3中的对应描述,在此不再赘述。
基于上述如图1和图3所示方法,相应的,本实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1和图3所示的信息安全防护方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该待识别软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1和图3所示的方法,以及图4、图5所示的虚拟装置实施例,为了实现上述目的,本实施例还提供了一种信息安全防护的实体设备,具体可以为个人计算机,智能手机、平板电脑、智能手表,服务器,或者其它网络设备等,该实体设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1和图3所示的信息安全防护方法。
可选的,该实体设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种信息安全防护的实体设备结构并不构成对该实体设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理上述信息安全防护的实体设备硬件和待识别软件资源的程序,支持信息处理程序以及其它待识别软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与信息处理实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现。通过应用本申请的技术方案,由于文件创建关系链是一项重要的事件主体信息资源,据此可以作为多种可疑软件的判断依据。与现有技术相比,本方案中基于文件链检测技术则不会存在现有技术中的问题,在文件创建或者修改的时候,文件链也会得到修复,使文件检测更加有效,从而更加精确的定位可疑软件,并且可以减少误报。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (14)
1.一种信息安全防护方法,其特征在于,包括:
实时监测待识别软件需要对终端本地的目标文件执行的操作事件;
查询所述目标文件所在的文件创建关系链,其中,所述文件创建关系链中包含至少一个链状结构,在同一链状结构中上一级节点对应所述终端本地的文件创建下一级节点对应所述终端本地的文件;
若所述文件创建关联链中不存在与所述待识别软件对应的文件,则确定所述待识别软件为可疑软件;
若所述文件创建关联链中存在与所述待识别软件对应的文件,则参照所述待识别软件对应的文件和所述目标文件二者处于所述文件创建关系链中的节点层级位置,检测所述待识别软件对应的文件调用所述目标文件是否符合预设调用规则,其中所述预设调用规则是指在所述文件创建关系链中所述待识别软件对应的文件的节点层级位置,大于在所述文件创建关系链中所述目标文件的节点层级位置;
若不符合所述预设调用规则,则确定所述待识别软件为可疑软件。
2.根据权利要求1所述的方法,其特征在于,在所述查询所述目标文件所在的文件创建关系链之前,所述方法还包括:
获取所述操作事件对应任务调用的栈特征信息;
依据所述栈特征信息,确定所述操作事件是否为用户主动操作;
所述查询所述目标文件所在的文件创建关系链,具体包括:
若所述操作事件不是用户主动操作,则查询所述目标文件所在的文件创建关系链。
3.根据权利要求1所述的方法,其特征在于,在所述查询所述目标文件所在的文件创建关系链之前,所述方法还包括:
记录所述终端本地的各个文件之间的创建关系;
基于所述创建关系,生成所述文件创建关系链;
当检测出存在所述文件创建关系链的更新信息时,根据所述更新信息对所述文件创建关系链中的文件创建关系进行更新;
所述查询所述目标文件所在的文件创建关系链,具体包括:
查询所述目标文件所在的最新的文件创建关系链。
4.根据权利要求1所述的方法,其特征在于,所述若所述文件创建关联链中不存在与所述待识别软件对应的文件,则确定所述待识别软件为可疑软件,具体包括:
若所述文件创建关联链中不存在与所述待识别软件对应的文件、且所述待识别软件对应的文件不是系统必要进程的文件,则确定所述待识别软件为可疑软件。
5.根据权利要求1所述的方法,其特征在于,在所述确定所述待识别软件为可疑软件之后,所述方法还包括:
查询所述待识别软件的进程所在的进程创建关系链;
利用所述进程创建关系链中所述终端本地的各个进程之间的创建关系,分析所述待识别软件的关联可疑软件。
6.根据权利要求1所述的方法,其特征在于,在所述确定所述待识别软件为可疑软件之后,所述方法还包括:
将所述可疑软件的相关信息上传至服务端,并在所述服务端根据所述相关信息确定所述可疑软件存在恶意性时,根据所述服务端发送的指令对所述操作事件进行拦截;
输出提示所述待识别软件为可疑软件的告警信息;
当接收到隔离所述待识别软件的指令时,对所述待识别软件进行隔离处理。
7.一种信息安全防护装置,其特征在于,包括:
监测单元,用于实时监测待识别软件需要对终端本地的目标文件执行的操作事件;
查询单元,用于查询所述目标文件所在的文件创建关系链,其中,所述文件创建关系链中包含至少一个链状结构,在同一链状结构中上一级节点对应所述终端本地的文件创建下一级节点对应所述终端本地的文件;
确定单元,用于若所述文件创建关联链中不存在与所述待识别软件对应的文件,则确定所述待识别软件为可疑软件;
所述确定单元,还用于若所述文件创建关联链中存在与所述待识别软件对应的文件,则参照所述待识别软件对应的文件和所述目标文件二者处于所述文件创建关系链中的节点层级位置,检测所述待识别软件对应的文件调用所述目标文件是否符合预设调用规则,其中所述预设调用规则是指在所述文件创建关系链中所述待识别软件对应的文件的节点层级位置,大于在所述文件创建关系链中所述目标文件的节点层级位置;若不符合所述预设调用规则,则确定所述待识别软件为可疑软件。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:获取单元;
所述获取单元,用于获取所述操作事件对应任务调用的栈特征信息;
所述确定单元,还用于依据所述栈特征信息,确定所述操作事件是否为用户主动操作;
所述查询单元,具体用于若所述操作事件不是用户主动操作,则查询所述目标文件所在的文件创建关系链。
9.根据权利要求7所述的装置,其特征在于,所述装置还包括:记录单元、生成单元和更新单元;
所述记录单元,用于记录所述终端本地的各个文件之间的创建关系;
所述生成单元,用于基于所述创建关系,生成所述文件创建关系链;
所述更新单元,用于当检测出存在所述文件创建关系链的更新信息时,根据所述更新信息对所述文件创建关系链中的文件创建关系进行更新;
所述查询单元,具体用于查询所述目标文件所在的最新的文件创建关系链。
10.根据权利要求7所述的装置,其特征在于,
所述确定单元,具体用于若所述文件创建关联链中不存在与所述待识别软件对应的文件、且所述待识别软件对应的文件不是系统必要进程的文件,则确定所述待识别软件为可疑软件。
11.根据权利要求7所述的装置,其特征在于,
所述查询单元,还用于查询所述待识别软件的进程所在的进程创建关系链;
所述确定单元,还用于利用所述进程创建关系链中所述终端本地的各个进程之间的创建关系,分析所述待识别软件的关联可疑软件。
12.根据权利要求7所述的装置,其特征在于,所述装置还包括:
处理单元,用于在所述确定所述待识别软件为可疑软件之后,将所述可疑软件的相关信息上传至服务端,并在所述服务端根据所述相关信息确定所述可疑软件存在恶意性时,根据所述服务端发送的指令对所述操作事件进行拦截;
输出提示所述待识别软件为可疑软件的告警信息;
当接收到隔离所述待识别软件的指令时,对所述待识别软件进行隔离处理。
13.一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至6中任一项所述的信息安全防护方法。
14.一种信息安全防护设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至6中任一项所述的信息安全防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811640509.7A CN109784051B (zh) | 2018-12-29 | 2018-12-29 | 信息安全防护方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811640509.7A CN109784051B (zh) | 2018-12-29 | 2018-12-29 | 信息安全防护方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109784051A CN109784051A (zh) | 2019-05-21 |
| CN109784051B true CN109784051B (zh) | 2021-01-15 |
Family
ID=66499205
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811640509.7A Active CN109784051B (zh) | 2018-12-29 | 2018-12-29 | 信息安全防护方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109784051B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110519261B (zh) * | 2019-08-23 | 2021-11-19 | 东莞盟大集团有限公司 | 一种跨链操作的风险评估方法 |
| CN111090835B (zh) * | 2019-12-06 | 2022-04-19 | 支付宝(杭州)信息技术有限公司 | 一种文件衍生图的构建方法及装置 |
| CN111310128A (zh) * | 2020-01-19 | 2020-06-19 | 苏州浪潮智能科技有限公司 | 一种进程管控的方法、装置及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932329A (zh) * | 2012-09-26 | 2013-02-13 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
| CN104811453A (zh) * | 2012-09-29 | 2015-07-29 | 北京奇虎科技有限公司 | 主动防御方法及装置 |
| US9098706B1 (en) * | 2006-07-31 | 2015-08-04 | Symantec Corporation | Installer trust chain validation |
| CN108932427A (zh) * | 2018-05-18 | 2018-12-04 | 华中科技大学 | 一种Android应用多开环境中限制访问的控制方法及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350052B (zh) * | 2007-10-15 | 2010-11-03 | 北京瑞星信息技术有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| CN107292169B (zh) * | 2016-03-31 | 2021-04-16 | 阿里巴巴集团控股有限公司 | 恶意软件的威胁溯源方法及装置 |
| CN107315952A (zh) * | 2016-04-26 | 2017-11-03 | 华为技术有限公司 | 用于确定应用程序可疑行为的方法和装置 |
-
2018
- 2018-12-29 CN CN201811640509.7A patent/CN109784051B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9098706B1 (en) * | 2006-07-31 | 2015-08-04 | Symantec Corporation | Installer trust chain validation |
| CN102932329A (zh) * | 2012-09-26 | 2013-02-13 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
| CN104811453A (zh) * | 2012-09-29 | 2015-07-29 | 北京奇虎科技有限公司 | 主动防御方法及装置 |
| CN108932427A (zh) * | 2018-05-18 | 2018-12-04 | 华中科技大学 | 一种Android应用多开环境中限制访问的控制方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109784051A (zh) | 2019-05-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109831420B (zh) | 内核进程权限的确定方法及装置 | |
| Xing et al. | Upgrading your android, elevating my malware: Privilege escalation through mobile os updating | |
| CN111931166B (zh) | 基于代码注入和行为分析的应用程序防攻击方法和系统 | |
| US20140053267A1 (en) | Method for identifying malicious executables | |
| US9183392B2 (en) | Anti-malware tool for mobile apparatus | |
| CN109784051B (zh) | 信息安全防护方法、装置及设备 | |
| CN108763951B (zh) | 一种数据的保护方法及装置 | |
| US11777961B2 (en) | Asset remediation trend map generation and utilization for threat mitigation | |
| CN110647744A (zh) | 使用特定于对象的文件系统视图识别和提取关键危害取证指标 | |
| KR20120084184A (ko) | 화이트 리스트 기반 스마트폰 악성 코드 차단 방법 및 그 기록매체 | |
| CN113632432B (zh) | 一种攻击行为的判定方法、装置及计算机存储介质 | |
| CN109783316B (zh) | 系统安全日志篡改行为的识别方法及装置、存储介质、计算机设备 | |
| US10339307B2 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
| CN109815695A (zh) | 进程安全的检测方法、装置及设备 | |
| CN115221524A (zh) | 业务数据保护方法、装置、设备及存储介质 | |
| CN110941825B (zh) | 一种应用监控方法及装置 | |
| KR102156340B1 (ko) | 웹 페이지 공격 차단 방법 및 장치 | |
| KR101614809B1 (ko) | 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법 | |
| WO2020007249A1 (zh) | 一种操作系统安全主动防御方法及操作系统 | |
| CN105791221B (zh) | 规则下发方法及装置 | |
| CN116204876A (zh) | 异常检测方法、设备以及存储介质 | |
| CN113518055B (zh) | 数据安全防护的处理方法及装置、存储介质、终端 | |
| US11611570B2 (en) | Attack signature generation | |
| Teufl et al. | Android-On-device detection of SMS catchers and sniffers | |
| CN109784037B (zh) | 文档文件的安全防护方法及装置、存储介质、计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Patentee after: Qianxin Safety Technology (Zhuhai) Co.,Ltd. Patentee after: Qianxin Technology Group Co., Ltd Address before: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Patentee before: 360 ENTERPRISE SECURITY TECHNOLOGY (ZHUHAI) Co.,Ltd. Patentee before: Beijing Qianxin Technology Co., Ltd |
|
| CP01 | Change in the name or title of a patent holder |