CN109800580B - 系统进程的权限控制方法及装置、存储介质、计算机设备 - Google Patents
系统进程的权限控制方法及装置、存储介质、计算机设备 Download PDFInfo
- Publication number
- CN109800580B CN109800580B CN201811640535.XA CN201811640535A CN109800580B CN 109800580 B CN109800580 B CN 109800580B CN 201811640535 A CN201811640535 A CN 201811640535A CN 109800580 B CN109800580 B CN 109800580B
- Authority
- CN
- China
- Prior art keywords
- system service
- execution
- service request
- system process
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000026676 system process Effects 0.000 title claims abstract description 290
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000004590 computer program Methods 0.000 claims description 10
- 230000006399 behavior Effects 0.000 abstract description 45
- 241000700605 Viruses Species 0.000 description 8
- 238000012544 monitoring process Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本申请公开了系统进程的权限控制方法及装置、存储介质、计算机设备,该方法包括:获取系统服务请求;根据获取到的系统服务请求确定执行系统服务的执行主体;根据所述执行主体确定调用系统服务的系统进程的执行权限;根据所确定的调用系统服务的系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求。本申请基于执行系统服务的执行主体赋予系统进程的执行权限,能够有效控制系统服务请求中需要被执行的合法行为被允许,以及控制系统服务请求中需要被执行的非法行为被拦截,从而防止系统进程被利用或者其自身做出一些危害系统的行为,有效提高了系统进程的安全性。
Description
技术领域
本申请涉及系统安全技术领域,尤其是涉及到系统进程的权限控制方法及装置、存储介质、计算机设备。
背景技术
随着互联网技术的发展,网络安全显得尤为重要,但在现有的防护体系中,系统进程Svchost是没有权限限制的。因此,当系统进程Svchost被利用或者其自身做出一些危害系统的行为时,是无法防御的,例如,病毒、木马等恶意程序能够利用系统进程Svchost的特性来迷惑用户,使系统进程Svchost成为病毒、木马的傀儡进程,进行病毒、木马下载操作,从而盗取用户信息,甚至是达到感染、破坏系统的目的。
可见,当系统进程Svchost没有权限限制时,无法有效避免病毒、木马等恶意程序利用系统进程Svchost的特性感染、破坏系统,以及当系统进程Svchost自身做出不合理行为时,导致系统进程的安全性降低。
发明内容
有鉴于此,本申请提供了系统进程的权限控制方法及装置、存储介质、计算机设备,当系统进程Svchost没有权限限制时,有效避免病毒、木马利用系统进程Svchost的特性感染、破坏系统,以及当系统进程Svchost自身做出不合理行为时,有效提高系统进程Svchost的安全性。
根据本申请的一个方面,提供了一种系统进程的权限控制方法,包括:
获取系统服务请求;
根据获取到的系统服务请求确定执行系统服务的执行主体;
根据所述执行主体确定调用系统服务的系统进程的执行权限;
根据所确定的调用系统服务的系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求。
根据本申请的另一方面,提供了一种系统进程的权限控制装置,包括:
系统服务请求获取单元,用于获取系统服务请求;
执行主体确定单元,用于根据获取到的系统服务请求确定执行系统服务的执行主体;
执行权限确定单元,用于根据所述执行主体确定调用系统服务的系统进程的执行权限;
系统服务请求确定单元,用于根据所确定的调用系统服务的系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述系统进程的权限控制方法。
依据本申请再一个方面,提供了一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述系统进程的权限控制方法。
借由上述技术方案,本申请提供的一种系统进程的权限控制方法及装置、存储介质、计算机设备,根据获取到的系统服务请求确定执行系统服务的执行主体,根据执行主体确定调用系统服务的系统进程的执行权限,并根据所确定的调用系统服务的系统进程的执行权限,确定是否允许系统进程执行该系统服务请求,从而基于执行系统服务的执行主体赋予系统进程的执行权限,防止系统进程被利用或者其自身做出一些危害系统的行为,有效提高了系统进程的安全性。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种系统进程的权限控制方法的流程示意图;
图2示出了本申请实施例提供的另一种系统进程的权限控制方法的流程示意图;
图3示出了本申请实施例提供的一种系统进程的权限控制装置的结构示意图;
图4示出了本申请实施例提供的另一种系统进程的权限控制装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本实施例中提供了一种系统进程的权限控制方法,如图1所示,该方法包括:
步骤101,获取系统服务请求。
为了保证系统进程能够进行安全性操作,而不被病毒、木马等利用,成为傀儡进程,对系统进程进行实时监测,当系统进程接收到系统服务请求,需要执行某一任务时,利用HOOK技术对相应的系统API进行挂钩,或利用功能过滤驱动对所要执行的任务进行过滤,实时获取所述系统服务请求,以实现对所要执行的任务的实时监测。具体为,当系统进程需要执行某一任务时,利用HOOK技术进入HOOK处理流程,以实现在HOOK处理代码中对所要执行的任务的正当性进行实时监测。
其中,操作系统用于提供各类的功能过滤驱动,例如,文件过滤驱动、网络过滤驱动等。系统进程为计算机系统进程Svchost,系统服务请求包括请求系统进程执行的系统服务的标识信息和系统服务的使用权限,在系统注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Svchost中能够查询到所有的系统服务,系统服务的类型包括REG_MULTI_SZ。
步骤102,根据获取到的系统服务请求确定执行系统服务的执行主体。
系统进程根据系统服务请求中请求系统进程执行的系统服务的标识信息从系统注册表中获取对应的系统服务,并根据获取到的系统服务生成系统服务执行指令,以便系统进程根据系统服务执行指令执行系统服务。
基于对系统进程的实时监测,当系统进程根据获取到的系统服务生成系统服务执行指令时,实时截取系统服务执行指令,从而根据获取到的系统服务执行指令确定执行系统服务的执行主体。
步骤103,根据所述执行主体确定调用系统服务的系统进程的执行权限。
根据所确定的执行系统服务的执行主体,确定将要执行系统服务的执行主体的执行权限,并将执行主体的执行权限赋予给系统进程,以使系统进程获取该执行主体的执行权限,该执行权限可以为启动某应用程序、对系统进行优化等,此处不对执行权限进行具体的限定。
步骤104,根据所确定的调用系统服务的系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求。
在上述实施例中,获取所述系统服务请求中请求系统进程执行的系统服务的使用权限,对请求系统进程执行的使用权限和根据执行主体确定的系统进程的执行权限进行比较,确定请求系统进程执行的使用权限是否为根据执行主体确定的系统进程的执行权限,从而确定是否允许系统进程执行系统服务请求,即确定是否允许系统进程根据系统服务执行指令调用系统注册表中的系统服务,以实现对系统服务的载入。
通过应用本实施例的技术方案,当对请求系统进程执行的使用权限是否为根据执行主体确定的执行权限进行判断时,若根据请求系统进程执行的使用权限是根据执行主体确定的系统进程的执行权限,则允许系统进程执行系统服务请求;若根据请求系统进程执行的使用权限不是根据执行主体确定的系统进程的执行权限,则拒绝系统进程执行系统服务请求,并生成相应的提示信息。从而有效避免病毒、木马等恶意程序利用系统进程的特性感染、破坏系统,以及当系统进程自身做出不合理行为时,导致系统进程的安全性降低。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,提供了另一种系统进程的权限控制方法,如图2所示,该方法包括:
步骤201,获取系统服务请求。
步骤202,判断所述系统服务请求中的使用权限是否属于预设的最小行为权限集;若所述系统服务请求中的使用权限属于预设的最小行为权限集,则允许调用系统服务的系统进程执行所述系统服务请求;若所述系统服务请求中的使用权限不属于预设的最小行为权限集,则根据所述系统服务请求确定执行系统服务的执行主体。
基于系统进程及应用程序预设最小行为权限集,其中,行为包括读写文件、访问网络、执行程序、更改系统配置等,权限是指上述行为是否被允许执行,即若存在相应权限则允许执行,反之则不允许执行。最小行为权限具体为,下载类程序基于其本身的下载需要,赋予其连接互联网的行为权限作为其最小行为权限,而访问内网、写操作系统文件等其它行为权限则不属于其最小行为权限,而对不属于最小行为权限的行为可以认定为敏感行为。
步骤203,拦截系统进程根据所述系统服务请求生成的与系统服务请求对应的系统服务执行指令。
在Windows系统下,基于对系统进程的实时监测,从监测到系统进程接收到系统服务请求时起,实时获取系统进程根据所述系统服务请求生成的所有信息,当所获取到的信息为与系统服务请求对应的系统服务执行指令时,拦截系统服务执行指令。
在上述实施例中,当该系统服务请求为恶意程序发起的系统服务请求时,拦截该系统服务执行指令能够有效避免系统进程根据该系统服务请求进行病毒、木马下载操作,造成盗取用户信息,甚至是感染、破坏系统,从而有效提高了系统进程的安全性。
步骤204,根据所述系统服务执行指令确定执行系统服务的执行主体。
在上述实施例中,具体地,根据所述系统服务执行指令确定执行系统服务的执行主体的步骤如下:
步骤2041,根据所述系统服务执行指令,获取所述系统服务执行指令中系统服务的调用信息。
系统进程在根据系统服务请求从系统注册表中获取到对应的系统服务后,根据获取到的系统服务生成系统服务执行指令,该系统服务执行指令包括与系统服务对应的系统服务调用信息。因此,当对截取到的系统服务执行指令进行解析时,直接获取系统服务执行指令中的系统服务调用信息。
需要说明的是,系统注册表中预存有系统服务标识信息与系统服务调用信息的对应关系,以便系统进程能够根据系统服务请求中系统服务的标识信息从系统注册表中获取对应的系统服务调用信息,从而根据该系统服务的调用信息执行该系统服务。
步骤2042,根据所述调用信息确定执行系统服务的执行主体。
系统服务调用信息包括执行系统服务的参数信息,根据该参数信息确定执行系统服务的执行主体,例如,参数信息为svchost.exe–DcomLaunch,通过对该参数信息进行解析,确定执行该系统服务的执行主体为DcomLaunch。
需要说明的是,若系统服务调用信息中不包括执行系统服务的参数信息,或者执行系统服务的参数信息中不包括执行系统服务的执行主体,则该系统服务请求可能是由恶意程序发起的,该系统服务请求是不安全的,直接拒绝系统进程执行该系统服务请求,并生成相应的提示信息。
步骤205,根据所述执行主体确定执行主体的执行权限。
根据所确定的执行系统服务的执行主体的标识信息,利用运营中心的数据库中预置的执行主体标识信息与执行主体执行权限信息的对应关系,获取执行主体执行权限信息,并根据执行主体执行权限信息确定执行该系统服务的执行主体的执行权限。在上述实施例中,当执行主体包括多个系统进程时,还可以根据所确定的执行系统服务的执行主体的标识信息,确定该执行主体所包括的多个系统进程,利用运营中心的数据库中预置的执行主体中每个系统进程与执行权限信息的对应关系,获取对应系统进程的多个执行权限信息,并根据所获取的执行权限信息确定执行该系统服务的执行主体的执行权限。对应地,若拦截到的与系统服务请求对应的系统服务执行指令中包含执行主体的系统进程,则根据该系统进程确定执行该系统服务的执行主体的执行权限。其中,该执行主体的系统进程标识信息可以存储在系统服务调用信息中。
步骤206,根据执行主体的执行权限确定调用系统服务的系统进程的执行权限。
将根据执行主体执行权限信息确定的执行系统服务的执行主体的执行权限赋予系统进程,以使调用系统服务的系统进程的执行权限与执行系统服务的执行主体的执行权限一致,从而防止当系统服务请求中的系统服务的使用权限与调用系统服务的系统进程的执行权限不一致时,系统进程根据系统服务请求中的系统服务的使用权限执行系统服务,导致恶意程序利用系统进程的特性感染、破坏系统,以及当系统进程自身原因做出不合理行为时,导致系统进程的安全性降低。步骤207,获取所述系统服务请求中的使用权限。
需要说明的是,在获取到系统服务请求中的使用权限后,再次获取调用系统服务的系统进程的执行权限,并判断所获取到的系统进程的执行权限是否为调用信息所确定的执行系统服务的执行主体的执行权限,若所获取到的系统进程的执行权限不是调用信息所确定的执行系统服务的执行主体的执行权限,则系统进程可能被恶意程序破坏,直接拒绝系统进程执行该系统服务请求,并生成相应的提示信息。
若系统服务调用信息中不包括执行系统服务的参数信息,或者执行系统服务的参数信息中不包括执行系统服务的执行主体,则该系统服务请求可能是由恶意程序发起的,该系统服务请求是不安全的,直接拒绝系统进程执行该系统服务请求,并生成相应的提示信息。
步骤208,根据所述使用权限和所述系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求。
在上述实施例中,具体地,根据所述使用权限和所述系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求的步骤如下:
步骤2081,若所述使用权限与所述系统进程的执行权限一致,则允许所述系统进程执行所述系统服务请求。
在上述实施例中,通过比较系统服务请求中的使用权限和系统进程的执行权限,判断系统服务请求中的使用权限和系统进程的执行权限是否一致,若系统服务请求中的使用权限与系统进程的执行权限一致,则允许系统进程执行系统服务请求。
其中,执行权限包括行为权限和合法性任务流程,合法性任务流程用于判断执行系统服务请求的流程是否合法,相应地,使用权限包括系统服务请求中的使用行为和任务流程,若系统服务请求中的使用行为和任务流程与赋予系统进程的行为权限和合法性任务流程均一致,则允许系统进程执行系统服务请求。在上述实施例中,系统服务请求中的使用权限和系统进程的执行权限可以为多个,当多个使用权限分别与系统进程的多个执行权限中任一执行权限一致时,则允许系统进程执行系统服务请求。
步骤2082,若所述使用权限与所述系统进程的执行权限不一致,则拒绝系统进程执行所述系统服务请求,并生成相应的提示信息。
在上述实施例中,若系统服务请求中的使用权限与系统进程的执行权限不一致,则拒绝系统进程执行系统服务请求,并生成相应的提示信息发送给系统服务请求的发送方。具体地,若系统服务请求中的使用行为和任务流程与赋予系统进程的行为权限和合法性任务流程中的至少一个不一致,则拒绝系统进程执行系统服务请求,并发送报警提示信息。。
在上述实施例中,系统进程的执行权限可以为多个,将使用权限分别与系统进程的多个执行权限比较,若使用权限与系统进程的多个执行权限中任一执行权限均不一致,则确定系统服务请求中的使用权限与系统进程的执行权限不一致,拒绝系统进程执行系统服务请求,并生成相应的提示信息发送给系统服务请求的发送方。步骤209,若允许所述系统进程执行所述系统服务请求,则在所述系统进程执行完所述系统服务请求后,删除所述系统进程的执行权限。
当系统服务请求中的使用权限和系统进程的执行权限一致时,释放该系统服务请求,以使系统进程继续根据系统服务执行指令执行该系统服务请求,同时基于对系统进程的实时监测,继续对系统进程根据系统服务执行指令执行该系统服务请求的行为进行监测,当监测到系统进程执行完该系统服务请求后,删除系统进程的执行权限。
步骤210,若拒绝所述系统进程执行所述系统服务请求,则直接删除所述系统进程的执行权限。
当系统服务请求中的使用权限和系统进程的执行权限不一致时,不释放该系统服务请求,以避免系统进程继续根据系统服务执行指令执行该系统服务请求,同时删除系统进程的执行权限,以便当接收到新的系统服务请求时,系统进程根据在前的执行权限处理新的系统服务请求,导致系统进程出现错误的操作行为。从而在对系统进程进行安全防护的同时,避免增加新的安全问题。
通过应用本实施例的技术方案,根据获取到的系统服务请求确定执行系统服务的执行主体,根据执行主体确定系统进程的执行权限,并根据所确定的系统进程的执行权限,以便对现有没有权限设置的系统进程实现权限限制,同时,根据所确定的系统进程的执行权限,进一步确定是否允许系统进程执行系统服务请求,能够有效控制系统服务请求中需要被执行的合法行为被允许,以及控制系统服务请求中需要被执行的非法行为被拦截,从而防止系统进程被利用或者其自身做出一些危害系统的行为,有效提高了系统进程的安全性。
进一步的,作为图1方法的具体实现,本申请实施例提供了一种系统进程的权限控制装置,如图3所示,该装置包括:系统服务请求获取模块31、执行主体确定模块32、执行权限确定模块33、系统服务请求确定模块34。
系统服务请求获取模块31,用于获取系统服务请求;
执行主体确定模块32,用于根据获取到的系统服务请求确定执行系统服务的执行主体;
执行权限确定模块33,用于根据所述执行主体确定调用系统服务的系统进程的执行权限;
系统服务请求确定模块34,用于根据所确定的调用系统服务的系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求。
在具体的应用场景中,如图4所示,还包括:判断模块35。
判断模块,用于判断所述系统服务请求中的使用权限是否属于预设的最小行为权限集;
若所述系统服务请求中的使用权限属于预设的最小行为权限集,则允许调用系统服务的系统进程执行所述系统服务请求;以及,
若所述系统服务请求中的使用权限不属于预设的最小行为权限集,则根据所述系统服务请求确定执行系统服务的执行主体。
在具体的应用场景中,如图4所示,所述系统进程为Svchost,执行主体确定模块32,具体包括:拦截单元321和确定单元322。
拦截单元321,用于拦截系统进程根据所述系统服务请求生成的与系统服务请求对应的系统服务执行指令;
确定单元322,用于根据所述系统服务执行指令确定执行系统服务的执行主体。
在具体的应用场景中,确定单元312,具体包括:
根据所述系统服务执行指令,获取所述系统服务执行指令中系统服务的调用信息;
根据所述调用信息确定执行系统服务的执行主体。
在具体的应用场景中,如图4所示,执行权限确定模块33,具体包括:第一确定单元331和第二确定单元332。
第一确定单元331,用于根据所述执行主体确定执行主体的执行权限;
第二确定单元332,用于根据执行主体的执行权限确定调用系统服务的系统进程的执行权限。
在具体的应用场景中,如图4所示,系统服务请求确定模块34,具体包括:获取单元341和执行确定单元342。
获取单元341,用于获取所述系统服务请求中的使用权限;
执行确定单元342,用于根据所述使用权限和所述系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求。
在具体的应用场景中,执行确定单元342,具体包括:
若所述使用权限与所述系统进程的执行权限一致,则允许所述系统进程执行所述系统服务请求;
若所述使用权限与所述系统进程的执行权限不一致,则拒绝系统进程执行所述系统服务请求,并生成相应的提示信息。
在具体的应用场景中,如图4所示,还包括:第一删除模块36和第二删除模块37。
第一删除模块36,用于若允许所述系统进程执行所述系统服务请求,则在所述系统进程执行完所述系统服务请求后,删除所述系统进程的执行权限;
第二删除模块37,用于若拒绝所述系统进程执行所述系统服务请求,则直接删除所述系统进程的执行权限。
需要说明的是,本申请实施例提供的一种系统进程的权限控制装置所涉及各功能单元的其他相应描述,可以参考图1和图2中的对应描述,在此不再赘述。
基于上述如图1和图2所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1和图2所示的系统进程的权限控制方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1、图2所示的方法,以及图3、图4所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种计算机设备,具体可以为个人计算机、服务器、网络设备等,该计算机设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1和图2所示的系统进程的权限控制方法。
可选地,该计算机设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种计算机设备结构并不构成对该计算机设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现当获取到系统服务请求时,根据获取到的系统服务请求确定执行系统服务的执行主体,根据执行主体确定调用系统服务的系统进程的执行权限,并根据所确定的调用系统服务的系统进程的执行权限,确定是否允许系统进程执行该系统服务请求,从而基于执行系统服务的执行主体赋予系统进程的执行权限,防止系统进程被利用或者其自身做出一些危害系统的行为,有效提高了系统进程的安全性。
本发明实施例提供了以下技术方案:
A1、一种系统进程的权限控制方法,其特征在于,包括:
获取系统服务请求;
根据获取到的系统服务请求确定执行系统服务的执行主体;
根据所述执行主体确定调用系统服务的系统进程的执行权限;
根据所确定的调用系统服务的系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求。
A2、根据权利要求A1所述的方法,其特征在于,所述获取系统服务请求之后,具体还包括:
判断所述系统服务请求中的使用权限是否属于预设的最小行为权限集;
若所述系统服务请求中的使用权限属于预设的最小行为权限集,则允许调用系统服务的系统进程执行所述系统服务请求;
若所述系统服务请求中的使用权限不属于预设的最小行为权限集,则根据所述系统服务请求确定执行系统服务的执行主体。
A3、根据权利要求A1所述的方法,其特征在于,所述系统进程为Svchost,根据获取到的系统服务请求确定执行系统服务的执行主体,具体包括:
拦截系统进程根据所述系统服务请求生成的与系统服务请求对应的系统服务执行指令;
根据所述系统服务执行指令确定执行系统服务的执行主体。
A4、根据权利要求A3所述的方法,其特征在于,根据所述系统服务执行指令确定执行系统服务的执行主体,具体包括:
根据所述系统服务执行指令,获取所述系统服务执行指令中系统服务的调用信息;
根据所述调用信息确定执行系统服务的执行主体。
A5、根据权利要求A3所述的方法,其特征在于,根据所述执行主体确定调用系统服务的系统进程的执行权限,具体包括:
根据所述执行主体确定执行主体的执行权限;
根据执行主体的执行权限确定调用系统服务的系统进程的执行权限。
A6、根据权利要求A5所述的方法,其特征在于,根据所确定的调用系统服务的系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求,具体包括:
获取所述系统服务请求中的使用权限;
根据所述使用权限和所述系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求。
A7、根据权利要求A6所述的方法,其特征在于,根据所述使用权限和所述系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求,具体包括:
若所述使用权限与所述系统进程的执行权限一致,则允许所述系统进程执行所述系统服务请求;
若所述使用权限与所述系统进程的执行权限不一致,则拒绝系统进程执行所述系统服务请求,并生成相应的提示信息。
A8、根据权利要求A1至A7中任一项所述的方法,其特征在于,根据所确定的调用系统服务的系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求之后,具体还包括:
若允许所述系统进程执行所述系统服务请求,则在所述系统进程执行完所述系统服务请求后,删除所述系统进程的执行权限;
若拒绝所述系统进程执行所述系统服务请求,则直接删除所述系统进程的执行权限。
B9、一种系统进程的权限控制装置,其特征在于,包括:
系统服务请求获取模块,用于获取系统服务请求;
执行主体确定模块,用于根据获取到的系统服务请求确定执行系统服务的执行主体;
执行权限确定模块,用于根据所述执行主体确定调用系统服务的系统进程的执行权限;
系统服务请求确定模块,用于根据所确定的调用系统服务的系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求。
B10、根据权利要求B9所述的装置,其特征在于,所述获取系统服务请求之后,具体还包括:
判断模块,用于判断所述系统服务请求中的使用权限是否属于预设的最小行为权限集;
若所述系统服务请求中的使用权限属于预设的最小行为权限集,则允许调用系统服务的系统进程执行所述系统服务请求;以及,
若所述系统服务请求中的使用权限不属于预设的最小行为权限集,则根据所述系统服务请求确定执行系统服务的执行主体。
B11、根据权利要求B9所述的装置,其特征在于,所述系统进程为Svchost,所述执行主体确定模块,具体包括:
拦截单元,用于拦截系统进程根据所述系统服务请求生成的与系统服务请求对应的系统服务执行指令;
确定单元,用于根据所述系统服务执行指令确定执行系统服务的执行主体。
B12、根据权利要求B11所述的装置,其特征在于,所述确定单元,具体包括:
根据所述系统服务执行指令,获取所述系统服务执行指令中系统服务的调用信息;
根据所述调用信息确定执行系统服务的执行主体。
B13、根据权利要求B11所述的装置,其特征在于,所述执行权限确定模块,具体包括:
第一确定单元,用于根据所述执行主体确定执行主体的执行权限;
第二确定单元,用于根据执行主体的执行权限确定调用系统服务的系统进程的执行权限。
B14、根据权利要求B13所述的装置,其特征在于,所述系统服务请求确定模块,具体包括:
获取单元,用于获取所述系统服务请求中的使用权限;
执行确定单元,用于根据所述使用权限和所述系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求。
B15、根据权利要求B14所述的装置,其特征在于,所述执行确定单元,具体包括:
若所述使用权限与所述系统进程的执行权限一致,则允许所述系统进程执行所述系统服务请求;
若所述使用权限与所述系统进程的执行权限不一致,则拒绝系统进程执行所述系统服务请求,并生成相应的提示信息。
B16、根据权利要求B9至B15中任一项所述的装置,其特征在于,系统服务请求确定单元之后,还包括:
第一删除单元,用于若允许所述系统进程执行所述系统服务请求,则在所述系统进程执行完所述系统服务请求后,删除所述系统进程的执行权限;
第二删除单元,用于若拒绝所述系统进程执行所述系统服务请求,则直接删除所述系统进程的执行权限。
C17、一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求A1至A8中任一项所述的系统进程的权限控制方法。
D18、一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求A1至A8中任一项所述的系统进程的权限控制方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (18)
1.一种系统进程的权限控制方法,其特征在于,包括:
获取系统服务请求;
根据获取到的系统服务请求确定执行系统服务的执行主体;
根据所述执行主体确定调用系统服务的系统进程的执行权限;
通过对所述系统服务请求中请求系统进程执行的系统服务的使用权限和所确定的调用系统服务的系统进程的执行权限进行比较,确定是否允许所述系统进程执行所述系统服务请求。
2.根据权利要求1所述的方法,其特征在于,所述获取系统服务请求之后,具体还包括:
判断所述系统服务请求中的使用权限是否属于预设的最小行为权限集;
若所述系统服务请求中的使用权限属于预设的最小行为权限集,则允许调用系统服务的系统进程执行所述系统服务请求;
若所述系统服务请求中的使用权限不属于预设的最小行为权限集,则根据所述系统服务请求确定执行系统服务的执行主体。
3.根据权利要求1所述的方法,其特征在于,所述系统进程为Svchost,根据获取到的系统服务请求确定执行系统服务的执行主体,具体包括:
拦截系统进程根据所述系统服务请求生成的与系统服务请求对应的系统服务执行指令;
根据所述系统服务执行指令确定执行系统服务的执行主体。
4.根据权利要求3所述的方法,其特征在于,根据所述系统服务执行指令确定执行系统服务的执行主体,具体包括:
根据所述系统服务执行指令,获取所述系统服务执行指令中系统服务的调用信息;
根据所述调用信息确定执行系统服务的执行主体。
5.根据权利要求3所述的方法,其特征在于,根据所述执行主体确定调用系统服务的系统进程的执行权限,具体包括:
根据所述执行主体确定执行主体的执行权限;
根据执行主体的执行权限确定调用系统服务的系统进程的执行权限。
6.根据权利要求5所述的方法,其特征在于,根据所确定的调用系统服务的系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求,具体包括:
获取所述系统服务请求中的使用权限;
根据所述使用权限和所述系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求。
7.根据权利要求6所述的方法,其特征在于,根据所述使用权限和所述系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求,具体包括:
若所述使用权限与所述系统进程的执行权限一致,则允许所述系统进程执行所述系统服务请求;
若所述使用权限与所述系统进程的执行权限不一致,则拒绝系统进程执行所述系统服务请求,并生成相应的提示信息。
8.根据权利要求1至7中任一项所述的方法,其特征在于,根据所确定的调用系统服务的系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求之后,具体还包括:
若允许所述系统进程执行所述系统服务请求,则在所述系统进程执行完所述系统服务请求后,删除所述系统进程的执行权限;
若拒绝所述系统进程执行所述系统服务请求,则直接删除所述系统进程的执行权限。
9.一种系统进程的权限控制装置,其特征在于,包括:
系统服务请求获取模块,用于获取系统服务请求;
执行主体确定模块,用于根据获取到的系统服务请求确定执行系统服务的执行主体;
执行权限确定模块,用于根据所述执行主体确定调用系统服务的系统进程的执行权限;
系统服务请求确定模块,用于通过对所述系统服务请求中请求系统进程执行的系统服务的使用权限和所确定的调用系统服务的系统进程的执行权限进行比较,确定是否允许所述系统进程执行所述系统服务请求。
10.根据权利要求9所述的装置,其特征在于,所述获取系统服务请求之后,具体还包括:
判断模块,用于判断所述系统服务请求中的使用权限是否属于预设的最小行为权限集;
若所述系统服务请求中的使用权限属于预设的最小行为权限集,则允许调用系统服务的系统进程执行所述系统服务请求;以及,
若所述系统服务请求中的使用权限不属于预设的最小行为权限集,则根据所述系统服务请求确定执行系统服务的执行主体。
11.根据权利要求9所述的装置,其特征在于,所述系统进程为Svchost,所述执行主体确定模块,具体包括:
拦截单元,用于拦截系统进程根据所述系统服务请求生成的与系统服务请求对应的系统服务执行指令;
确定单元,用于根据所述系统服务执行指令确定执行系统服务的执行主体。
12.根据权利要求11所述的装置,其特征在于,所述确定单元,具体包括:
根据所述系统服务执行指令,获取所述系统服务执行指令中系统服务的调用信息;
根据所述调用信息确定执行系统服务的执行主体。
13.根据权利要求11所述的装置,其特征在于,所述执行权限确定模块,具体包括:
第一确定单元,用于根据所述执行主体确定执行主体的执行权限;
第二确定单元,用于根据执行主体的执行权限确定调用系统服务的系统进程的执行权限。
14.根据权利要求13所述的装置,其特征在于,所述系统服务请求确定模块,具体包括:
获取单元,用于获取所述系统服务请求中的使用权限;
执行确定单元,用于根据所述使用权限和所述系统进程的执行权限,确定是否允许所述系统进程执行所述系统服务请求。
15.根据权利要求14所述的装置,其特征在于,所述执行确定单元,具体包括:
若所述使用权限与所述系统进程的执行权限一致,则允许所述系统进程执行所述系统服务请求;
若所述使用权限与所述系统进程的执行权限不一致,则拒绝系统进程执行所述系统服务请求,并生成相应的提示信息。
16.根据权利要求9至15中任一项所述的装置,其特征在于,系统服务请求确定单元之后,还包括:
第一删除单元,用于若允许所述系统进程执行所述系统服务请求,则在所述系统进程执行完所述系统服务请求后,删除所述系统进程的执行权限;
第二删除单元,用于若拒绝所述系统进程执行所述系统服务请求,则直接删除所述系统进程的执行权限。
17.一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至8中任一项所述的系统进程的权限控制方法。
18.一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至8中任一项所述的系统进程的权限控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811640535.XA CN109800580B (zh) | 2018-12-29 | 2018-12-29 | 系统进程的权限控制方法及装置、存储介质、计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811640535.XA CN109800580B (zh) | 2018-12-29 | 2018-12-29 | 系统进程的权限控制方法及装置、存储介质、计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109800580A CN109800580A (zh) | 2019-05-24 |
| CN109800580B true CN109800580B (zh) | 2021-07-20 |
Family
ID=66558201
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811640535.XA Active CN109800580B (zh) | 2018-12-29 | 2018-12-29 | 系统进程的权限控制方法及装置、存储介质、计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109800580B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114285607B (zh) * | 2021-12-08 | 2023-09-22 | 北京安天网络安全技术有限公司 | 云环境下的联网认证方法、系统、计算机设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102857519A (zh) * | 2012-09-29 | 2013-01-02 | 北京奇虎科技有限公司 | 主动防御系统 |
| UA103517U (ru) * | 2015-05-08 | 2015-12-25 | Віктор Якович Жарков | Датчик влажности почвы на базе аналога лямбда-диода |
| CN105391729A (zh) * | 2015-11-30 | 2016-03-09 | 中国航天科工集团第二研究院七〇六所 | 基于模糊测试的web漏洞自动挖掘方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8321327B1 (en) * | 2009-05-06 | 2012-11-27 | ICAP North America, Inc. | Mapping an over the counter trade into a clearing house |
| CN103246849A (zh) * | 2013-05-30 | 2013-08-14 | 浪潮集团有限公司 | 一种Windows下基于增强型ROST的安全运行方法 |
| CN104461725B (zh) * | 2014-12-30 | 2018-05-08 | 小米科技有限责任公司 | 控制应用进程启动的方法及装置 |
-
2018
- 2018-12-29 CN CN201811640535.XA patent/CN109800580B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102857519A (zh) * | 2012-09-29 | 2013-01-02 | 北京奇虎科技有限公司 | 主动防御系统 |
| UA103517U (ru) * | 2015-05-08 | 2015-12-25 | Віктор Якович Жарков | Датчик влажности почвы на базе аналога лямбда-диода |
| CN105391729A (zh) * | 2015-11-30 | 2016-03-09 | 中国航天科工集团第二研究院七〇六所 | 基于模糊测试的web漏洞自动挖掘方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109800580A (zh) | 2019-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109766699B (zh) | 操作行为的拦截方法及装置、存储介质、电子装置 | |
| US10599841B2 (en) | System and method for reverse command shell detection | |
| CN109831420B (zh) | 内核进程权限的确定方法及装置 | |
| US10691792B2 (en) | System and method for process hollowing detection | |
| KR102301721B1 (ko) | 다수의 네트워크 종점들을 보호하기 위한 듀얼 메모리 인트로스펙션 | |
| Xing et al. | Upgrading your android, elevating my malware: Privilege escalation through mobile os updating | |
| JP6317434B2 (ja) | 評判インジケータを使用してマルウェアスキャニングを容易にするためのシステムおよび方法 | |
| Fedler et al. | On the effectiveness of malware protection on android | |
| KR101700552B1 (ko) | 보안 운영 체제 환경으로의 콘텍스트 기반 전환 | |
| US7665139B1 (en) | Method and apparatus to detect and prevent malicious changes to tokens | |
| CN106778243B (zh) | 基于虚拟机的内核漏洞检测文件保护方法及装置 | |
| KR20130135952A (ko) | 동작 중인 어플리케이션 프로그램을 실행 시 처리처리하기 위한 방법 및 장치 | |
| KR101266037B1 (ko) | 휴대단말에서 악성행위 처리 방법 및 장치 | |
| KR20140074252A (ko) | 디바이스 상의 보안되지 않은 앱들의 보안 실행 | |
| CN106778244B (zh) | 基于虚拟机的内核漏洞检测进程保护方法及装置 | |
| US20160055344A1 (en) | Data loss prevention during app execution using e-mail enforcement on a mobile device | |
| CN109815700B (zh) | 应用程序的处理方法及装置、存储介质、计算机设备 | |
| CN106778242B (zh) | 基于虚拟机的内核漏洞检测方法及装置 | |
| CN110365637B (zh) | 网银登录检测方法、装置、电子设备及存储介质 | |
| CN115859274B (zh) | 一种监控Windows进程清空系统事件日志行为的方法及系统 | |
| JP2016189201A (ja) | コンピュータセキュリティのためのイノキュレータ及び抗体 | |
| CN109800580B (zh) | 系统进程的权限控制方法及装置、存储介质、计算机设备 | |
| CN109802955B (zh) | 权限控制方法及装置、存储介质、计算机设备 | |
| US11277436B1 (en) | Identifying and mitigating harm from malicious network connections by a container | |
| CN111783082A (zh) | 进程的追溯方法、装置、终端和计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Patentee after: Qianxin Safety Technology (Zhuhai) Co.,Ltd. Patentee after: QAX Technology Group Inc. Address before: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Patentee before: 360 ENTERPRISE SECURITY TECHNOLOGY (ZHUHAI) Co.,Ltd. Patentee before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |