CN109802955B - 权限控制方法及装置、存储介质、计算机设备 - Google Patents
权限控制方法及装置、存储介质、计算机设备 Download PDFInfo
- Publication number
- CN109802955B CN109802955B CN201811641197.1A CN201811641197A CN109802955B CN 109802955 B CN109802955 B CN 109802955B CN 201811641197 A CN201811641197 A CN 201811641197A CN 109802955 B CN109802955 B CN 109802955B
- Authority
- CN
- China
- Prior art keywords
- behavior
- program
- programs
- permission set
- running process
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 165
- 238000012795 verification Methods 0.000 claims abstract description 23
- 230000006399 behavior Effects 0.000 claims description 392
- 238000012544 monitoring process Methods 0.000 claims description 30
- 238000004364 calculation method Methods 0.000 claims description 25
- 230000006870 function Effects 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 9
- 238000004458 analytical method Methods 0.000 claims description 3
- 238000013475 authorization Methods 0.000 claims description 3
- 241000700605 Viruses Species 0.000 abstract description 8
- 230000007123 defense Effects 0.000 abstract description 5
- 230000002349 favourable effect Effects 0.000 abstract description 3
- 238000004891 communication Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000003213 activating effect Effects 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000026676 system process Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了权限控制方法及装置、存储介质、计算机设备,该方法包括:获取程序运行进程中的行为数据;根据所述行为数据,设定适用于所有程序的第一行为权限集;对所述第一行为权限集进行黑名单校验,得到适用于所有程序的最终行为权限集;根据所述最终行为权限集,确定对监测到的新的程序进程的权限控制结果。本申请能够根据程序运行进程得到适用于所有程序的最终行为权限集,进而对新的程序进程进行相应的权限限制,从而在程序进程被利用时,能够有效避免病毒、木马利用程序进程的特性感染、破坏系统,以及被黑客攻击时,有助于提高对程序进程的安全防御。
Description
技术领域
本申请涉及计算机安全技术领域,尤其是涉及到权限控制方法及装置、存储介质、计算机设备。
背景技术
随着互联网技术的发展,网络安全显得尤为重要,但在现有的防护体系中,程序进程是没有权限限制的。因此,当程序进程被利用或者被黑客攻击时,是无法防御的,例如,病毒、木马等恶意程序能够利用程序进程的特性来迷惑用户,使程序进程成为病毒、木马的傀儡进程,进行病毒、木马下载操作,从而盗取用户信息,甚至是达到感染、破坏系统的目的。
可见,当程序进程没有权限限制时,无法有效避免病毒、木马等恶意程序利用程序进程的特性感染、破坏系统,以及被黑客攻击时,导致程序进程的安全性降低。
发明内容
有鉴于此,本申请提供了权限控制方法及装置、存储介质、计算机设备,通过对程序进程设置权限限制,有效避免病毒、木马利用程序进程的特性感染、破坏系统,以及被黑客攻击时,有效提升对程序进程的安全防御。
根据本申请的一个方面,提供了一种权限控制方法,包括:
获取程序运行进程中的行为数据;
根据所述行为数据,设定适用于所有程序的第一行为权限集;
对所述第一行为权限集进行黑名单校验,得到适用于所有程序的最终行为权限集;
根据所述最终行为权限集,确定对监测到的新的程序进程的权限控制结果。
根据本申请的另一方面,提供了一种权限控制装置,包括:
获取模块,用于获取程序运行进程中的行为数据;
设定模块,用于根据所述行为数据,设定适用于所有程序的第一行为权限集;
校验模块,用于对所述第一行为权限集进行黑名单校验,得到适用于所有程序的最终行为权限集;
权限模块,用于根据所述最终行为权限集,确定对监测到的新的程序进程的权限控制结果。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述权限控制方法。
依据本申请再一个方面,提供了一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述权限控制方法。
借由上述技术方案,本申请提供的权限控制方法及装置、存储介质、计算机设备,获取程序运行进程中的行为数据,根据获取到的行为数据,设定适用于所有程序的第一行为权限集,对所设定的第一行为权限进行黑名单校验,得到适用于所有程序的最终行为权限集,最后根据所设定的最终行为权限集,确定对监测到的新的程序进程的权限控制结果。本申请能够根据程序运行进程得到适用于所有程序的最终行为权限集,进而对新的程序进程进行相应的权限限制,从而在程序进程被利用时,能够有效避免病毒、木马利用程序进程的特性感染、破坏系统,以及被黑客攻击时,有助于提高对程序进程的安全防御。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种权限控制方法的流程示意图;
图2示出了本申请实施例提供的另一种权限控制方法的流程示意图;
图3示出了本申请实施例提供的一种权限控制装置的结构示意图;
图4示出了本申请实施例提供的另一种权限控制装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本实施例中提供了一种权限控制方法,如图1所示,该方法包括:
步骤101,获取程序运行进程中的行为数据。
程序在运行期间,任务管理器中会显示该程序的运行进程,根据不同程序的运行进程获取大量运行进程中的行为数据,程序运行进程包括针对系统程序的系统进程和针对应用程序的应用进程。系统程序可以包括多个程序,每个程序对应一个系统进程,应用程序也可以包括多个程序,每个程序对应一个应用进程。
其中,行为数据用于表征程序行为,是指程序在运行期间的操作行为所产生的数据,例如,访问注册表、连接网络、写本地目录、操作(如,创建)读写文件等操作行为所产生的数据。
步骤102,根据所述行为数据,设定适用于所有程序的第一行为权限集。
对获取到的大量运行进程中的行为数据进行统计,得到每一类行为数据的数量占行为数据总数量的比例,按照比例的降序,从统计后的行为数据中筛选出超过一定比例阈值的多个行为数据类别,并作为适用于所有程序的第一行为权限集的设定基础。
在本申请的实施例中,可以根据实际应用场景的需求对具体的比例阈值进行限定,例如,比例阈值为90%,该比例阈值可以根据专业人员的经验来进行设定,为了保证该比例阈值的准确度,可以增加比例阈值校验过程,以便对所设定的比例阈值进行调整,从而提高整个行为权限集的设定过程的效率,因此,此处不对具体的比例阈值进行限定。
步骤103,对所述第一行为权限集进行黑名单校验,得到适用于所有程序的最终行为权限集。
对多个黑名单中恶意软件的程序进程进行对应所设定的第一行为权限集的权限限制,对得到权限限制结果进行统计,得到能够正常运行的恶意软件的程序进程的数量占恶意软件的程序进程总数量的比例,根据统计后的权限限制结果对第一行为权限集进行调整,得到适用于所有程序的最终行为权限集。
步骤104,根据所述最终行为权限集,确定对监测到的新的程序进程的权限控制结果。
利用得到的最终行为权限集对监测到的新的程序进程进行权限限制,具体为,对新的程序进程的运行状态进行监测,当新的程序进程启动时,拦截该新的程序进程,对所拦截到的新的程序进程进行解析,得到该新的程序进程的行为数据,根据该行为数据获取该新的程序进程的执行权限,并将获取到的该新的程序进程的执行权限与最终行为权限集中的行为权限进行比对,从而确定对监测到的新的程序进程的权限控制结果。
通过应用本实施例的技术方案,获取程序运行进程中的行为数据,根据获取到的行为数据,设定适用于所有程序的第一行为权限集,对所设定的第一行为权限进行黑名单校验,得到适用于所有程序的最终行为权限集,最后根据所设定的最终行为权限集,确定对被拦截的新的程序进程进行放行处理或者保持拦截状态,本申请能够根据程序运行进程得到适用于所有程序的最终行为权限集,进而对新的程序进程进行相应的权限限制,从而在程序进程被利用时,能够有效避免病毒、木马利用程序进程的特性感染、破坏系统,以及被黑客攻击时,提高程序进程的安全性。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,提供了另一种权限控制方法,如图2所示,该方法包括:
步骤201,对程序进程的运行状态进行监测。
以应用程序为例,对应用程序的运行状态进行监测,当监测到应用程序启动时,激活针对应用程序中应用进程的监测功能,继续对应用程序中的应用进程的运行状态进行监测,以实现当检测到应用进程启动后,针对启动后的应用进程的程序行为的监测。
步骤202,当监测到所述程序的运行进程生成行为数据时,拦截所生成的行为数据。
当检测到应用进程启动后,继续对运行中的应用进程进行监测,当监测到该应用进程产生程序行为时,激活针对该程序行为所产生的行为数据的拦截功能,从而获取大量的对应运行中的应用进程的行为数据,以便用于针对该大量的行为数据的统计分析,得到适用于所有程序的第一行为权限集。
步骤203,对所述行为数据进行解析,确定程序运行进程的行为类型和/或行为内容。
对获取到的来自不同应用进程的行为数据进行解析,确定对应不同行为数据的应用进程及其行为类型和/或行为内容,以便根据应用进程及其行为类型和/或行为内容对行为数据进行聚类运算,得到适用于所有程序的第一行为权限集。
例如,通过解析行为数据得到,应用进程A,行为类型为写文件,行为内容为在c:/temp目录下进行写操作;应用进程B,行为类型为写文件,行为内容为在c:/temp目录下进行写操作等,将相同行为类型和/或行为内容的应用进程进行归类统计,并将得到的归类统计结果作为确定适用于所有程序的第一行为权限集的前提。
步骤204,对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,得到适用于所有程序的第一行为权限集。
在上述实施例中,具体地,对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,得到适用于所有程序的第一行为权限集的步骤如下:
步骤2041,对所述程序行为运行进程的行为类型和/或行为内容进行概率分布计算,确定适用于所有程序的行为数据。
基于机器学习的概率分布算法,对得到的归类统计结果进行计算,得到每一种行为类型和/或行为内容的应用进程的数量占应用进程总数量的比例,按照比例的降序,确定占应用进程总数量一定比例值的多个应用进程,并得到与该多个应用进程对应的行为数据,所得到的行为数据即适用于所有程序的行为数据。
在本申请的实施例中,可以根据实际应用场景的需求对上述提及的比例值进行不同的限定,例如,设定比例值为90%,该比例值可以根据专业人员的经验来进行设定,为了保证该比例值的准确度,可以增加比例值校验过程,以便对所限定的比例值进行调整,从而提高整个行为权限集的设定过程的效率,因此,此处不对具体的比例值进行限定。
步骤2042,根据所确定的行为数据对应的程序及其功能,确定适用于所有程序的第一行为权限集。
对所确定的行为数据进行进一步解析,确定行为数据中包括的所属应用程序的应用程序标识,以及对应该行为数据的功能,即根据该应用程序标识确定该行为数据所对应的应用程序,根据对应该行为数据的功能确定对应所确定的应用程序的行为权限,从而按照一定的比例条件,根据所确定的应用程序及其行为权限确定适用于所有程序的第一行为权限集。
其中,比例条件的设定具体为,计算属于同一应用程序的行为数据的数量占行为数据总数量的比例,以及计算属于同一种行为权限的行为数据的数量占行为数据总数量的比例,按照比例的降序,确定占行为数据总数量第一比例的多个应用程序,以及确定占行为数据总数量第二比例的多个行为权限,并根据属于第一比例内的应用程序和/或第二比例内的行为权限确定适用于所有程序的第一行为权限集,第一比例和第二比例的比例值可以相同也可以不相同,通常第一比例的设定值大于第二比例的设定值。
在本申请的实施例中,可以根据实际应用场景的需求对上述具体的比例条件进行限定,例如,设定第一比例的比例值为90%,第二比例的比例值为80%,例如,确定占行为数据总数量90%的多个应用程序为多个社交软件、相机软件等,以及确定占行为数据总数量80%的多个行为权限为聊天功能、拍照功能等,得到满足上述比例条件的多个行为权限,并根据得到的多个行为权限构建适用于所有程序的第一行为权限集,从而保证经由该第一行为权限集的比对,所确定的多个应用程序都能够被运行,以及多个行为权限都能够被实现。
需要说明的是,上述比例条件中的比例值可以根据专业人员的经验来进行设定,为了保证比例值的准确度,可以增加比例值校验过程,以便对所限定的比例值进行调整,从而提高整个行为权限集的设定过程的效率,因此,此处不对具体的比例值进行限定。
在上述实施例中,具体地,作为步骤204的另一种实现方法,对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,得到适用于所有程序的第一行为权限集的步骤还可以通过如下方法实现,具体为:
步骤2043,对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,得到初始行为权限集。
基于机器学习的概率分布算法,对程序行为运行进程的行为类型和/或行为内容进行概率分布计算,得到适用于所有程序的行为数据,并根据所确定的行为数据对应的程序及其功能,按照一定的比例条件,确定适用于所有程序的初始行为权限集。
步骤2044,根据新的程序运行进程生成的行为数据对所述初始执行权限集进行调整,得到第一行为权限集。
利用得到的初始行为权限集对监测到的新的程序进程进行权限限制,以实现对初始行为权限集的校验。具体为,对新的程序进程的运行状态进行监测,当新的程序进程启动时,拦截该新的程序进程,对所拦截到的新的程序进程进行解析,得到该新的程序进程的行为数据,根据该行为数据获取该新的程序进程的执行权限,并将获取到的该新的程序进程的执行权限与最终行为权限集中的行为权限进行比对,确定对被拦截的新的程序进程进行放行处理或者保持拦截状态的权限控制结果,并根据所确定的权限控制结果对初始执行权限集进行调整,得到第一行为权限集。
在上述实施例中,根据所确定的权限控制结果对初始执行权限集进行调整,具体为,对多种应用程序所产生的运行进程对应的权限处理结果进行统计分析,若能够正常运行的应用程序的数量达到预设值,或者能够正常运行的应用程序的数量占应用程序总数量的比例达到预设值,则所确定的初始行为权限集的准确度以满足实际应用的需求,将所确定的初始行为权限集作为第一行为权限集;若能够正常运行的应用程序的数量未达到预设值,或者能够正常运行的应用程序的数量占应用程序总数量的比例未达到预设值,则对步骤2042中提及的所设定的比例条件中的第一比例和第二比例的比例值进行调整,例如,将第一比例和第二比例的比例值分别提升0.1%,以实现对初始化行为权限集的重新设定,并再次重复对初始化行为权限集的校验过程,直至利用重新设定的初始化行为权限集,使能够正常运行的应用程序的数量达到预设值,或者使能够正常运行的应用程序的数量占应用程序总数量的比例达到预设值后,确定重新设定的初始化行为权限集为适用于所有程序的第一行为权限集。
步骤205,对恶意程序进程的运行状态进行监测。
对恶意程序的运行状态进行监测,当监测到恶意程序启动时,激活针对恶意程序中进程的监测功能,继续对恶意程序中的进程的运行状态进行监测,以实现当检测到恶意程序进程启动后,对启动后的恶意程序进程的拦截。
步骤206,根据所述恶意程序运行进程生成的行为数据对所述第一行为权限集进行调整,得到适用于所有程序的最终行为权限集。
在上述实施例中,具体地,对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,得到适用于所有程序的第一行为权限集的步骤如下:
步骤2061,判断所述恶意程序运行进程生成的行为数据对应的执行权限是否属于所述第一行为权限集。
在本申请的实施例中,对所拦截到的恶意程序进程进行解析,得到该恶意程序进程的行为数据,根据该行为数据获取该恶意程序进程的执行权限,并将获取到的该恶意程序进程的执行权限分别与第一行为权限集中的行为权限进行比对,以判断恶意程序进程的执行权限与第一行为权限集中的行为权限是否一致。
步骤2062,根据判断结果对所述第一行为权限集进行调整,得到适用于所有程序的最终行为权限集。
在本申请的实施例中,根据判断结果对第一行为权限集进行调整,具体为,当恶意程序进程的执行权限属于第一行为权限集时,确定相同或相近恶意程序进程对应的恶意程序的数量,若恶意程序的数量占恶意程序总数量的比例超过一定阈值,则将第一行为权限集中对应该执行权限的行为权限从第一行为权限集中删除;若恶意程序进程的执行权限属于第一行为权限集,但所确定的相同或相近恶意程序进程对应的恶意程序的数量占恶意程序总数量的比例未超过一定阈值,以及恶意程序进程的执行权限不属于第一行为权限集,则将第一行为权限集中对应该执行权限的行为权限继续保留在所述第一行为权限集中,以实现对第一行为权限集的校验,从而得到适用于所有程序的最终行为权限集。
步骤207,根据所述最终行为权限集,确定对监测到的新的程序进程的权限控制结果。
在本申请的实施例中,对新的程序进程的运行状态进行监测,当检测到新的程序进程启动后,对启动后的新的程序进程进行拦截,利用得到的最终行为权限集,对所拦截到的新的程序进程进行解析,得到该新的程序进程的执行权限,将得到的该新的程序进程的执行权限与最终行为权限集中的行为权限进行比对,确定对监测到的新的程序进程的权限控制结果。
具体为,判断该新的程序进程的执行权限与最终行为权限集中的行为权限是否一致,若该新的程序进程的执行权限与最终行为权限集中的行为权限一致,则对被拦截的新的程序进程进行放行处理;若该新的程序进程的执行权限与最终行为权限集中的行为权限不一致,则对被拦截的新的程序进程保持拦截状态,实现对新的程序进程的权限控制,从而有效防止程序进程被利用或者被黑客攻击后对系统造成的进一步破坏,为系统提供安全防御做好基础。
通过应用本实施例的技术方案,获取程序运行进程中的行为数据,根据获取到的行为数据,设定适用于所有程序的第一行为权限集,对所设定的第一行为权限进行黑名单校验,得到适用于所有程序的最终行为权限集,最后根据所设定的最终行为权限集,确定对被拦截的新的程序进程进行放行处理或者保持拦截状态,本申请能够根据程序运行进程得到适用于所有程序的最终行为权限集,进而对新的程序进程进行相应的权限限制,从而在程序进程被利用时,能够有效避免病毒、木马利用程序进程的特性感染、破坏系统,以及被黑客攻击时,提高程序进程的安全性。
进一步的,作为图1方法的具体实现,本申请实施例提供了一种权限控制装置,如图3所示,该装置包括:获取模块31、设定模块32、校验模块33、权限模块34。
获取模块31,用于获取程序运行进程中的行为数据;
设定模块32,用于根据所述行为数据,设定适用于所有程序的第一行为权限集;
校验模块33,用于对所述第一行为权限集进行黑名单校验,得到适用于所有程序的最终行为权限集;
权限模块34,用于根据所述最终行为权限集,确定对监测到的新的程序进程的权限控制结果。
在具体的应用场景中,如图4所示,获取模块31,具体包括:第一监测单元311、拦截单元312。
第一监测单元311,具体用于对程序进程的运行状态进行监测。
拦截单元312,具体用于当监测到所述程序的运行进程生成行为数据时,拦截所生成的行为数据。
在具体的应用场景中,如图4所示,设定模块32,具体包括:解析单元321、计算单元322。
解析单元321,具体用于对所述行为数据进行解析,确定程序运行进程的行为类型和/或行为内容;
计算单元322,具体用于对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,得到适用于所有程序的第一行为权限集。
在具体的应用场景中,计算单元322,具体包括:
对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,确定适用于所有程序的行为数据;
根据所确定的行为数据对应的程序及其功能,确定适用于所有程序的第一行为权限集。
在具体的应用场景中,计算单元322,具体包括:
对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,得到初始行为权限集;
根据新的程序运行进程生成的行为数据对所述初始行为权限集进行调整,得到第一行为权限集。
在具体的应用场景中,如图4所示,校验模块33,具体包括:第二监测单元331、调整单元332。
第二监测单元331,具体用于对恶意程序进程的运行状态进行监测。
调整单元332,具体用于根据所述恶意程序运行进程生成的行为数据对所述第一行为权限集进行调整,得到适用于所有程序的最终行为权限集。
在具体的应用场景中,调整单元332,具体包括:
判断所述恶意程序运行进程生成的行为数据对应的执行权限是否属于所述第一行为权限集;
根据判断结果对所述第一行为权限集进行调整,得到适用于所有程序的最终行为权限集。
需要说明的是,本申请实施例提供的一种权限控制装置所涉及各功能单元的其他相应描述,可以参考图1和图2中的对应描述,在此不再赘述。
基于上述如图1和图2所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1和图2所示的权限控制方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1、图2所示的方法,以及图3、图4所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种计算机设备,具体可以为个人计算机、服务器、网络设备等,该计算机设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1和图2所示的权限控制方法。
可选地,该计算机设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种计算机设备结构并不构成对该计算机设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过获取程序运行进程中的行为数据,根据获取到的行为数据,设定适用于所有程序的第一行为权限集,对所设定的第一行为权限进行黑名单校验,得到适用于所有程序的最终行为权限集,最后根据所设定的最终行为权限集,确定对监测到的新的程序进程的权限控制结果。本申请能够根据程序运行进程得到适用于所有程序的最终行为权限集,进而对新的程序进程进行相应的权限限制,从而在程序进程被利用时,能够有效避免病毒、木马利用程序进程的特性感染、破坏系统,以及被黑客攻击时,有助于提高对程序进程的安全防御。
本发明实施例提供了以下技术方案:
A1、一种权限控制方法,其特征在于,包括:
获取程序运行进程中的行为数据;
根据所述行为数据,设定适用于所有程序的第一行为权限集;
对所述第一行为权限集进行黑名单校验,得到适用于所有程序的最终行为权限集;
根据所述最终行为权限集,确定对监测到的新的程序进程的权限控制结果。
A2、根据权利要求A1所述的方法,其特征在于,所述获取程序运行进程中的行为数据,具体包括:
对程序进程的运行状态进行监测;
当监测到所述程序的运行进程生成行为数据时,拦截所生成的行为数据。
A3、根据权利要求A1所述的方法,其特征在于,所述根据所述行为数据,设定适用于所有程序的第一行为权限集,具体包括:
对所述行为数据进行解析,确定程序运行进程的行为类型和/或行为内容;
对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,得到适用于所有程序的第一行为权限集。
A4、根据权利要求A3所述的方法,其特征在于,所述对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,得到适用于所有程序的第一行为权限集,具体包括:
对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,确定适用于所有程序的行为数据;
根据所确定的行为数据对应的程序及其功能,确定适用于所有程序的第一行为权限集。
A5、根据权利要求A3所述的方法,其特征在于,所述对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,得到适用于所有程序的第一行为权限集,具体包括:
对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,得到初始行为权限集;
根据新的程序运行进程生成的行为数据对所述初始行为权限集进行调整,得到第一行为权限集。
A6、根据权利要求A1所述的方法,其特征在于,所述对所述第一行为权限集进行黑名单校验,得到适用于所有程序的最终行为权限集,具体包括:
对恶意程序进程的运行状态进行监测;
根据所述恶意程序运行进程生成的行为数据对所述第一行为权限集进行调整,得到适用于所有程序的最终行为权限集。
A7、根据权利要求A6所述的方法,其特征在于,所述根据所述恶意程序运行进程生成的行为数据对所述第一行为权限集进行调整,得到适用于所有程序的最终行为权限集,具体包括:
判断所述恶意程序运行进程生成的行为数据对应的执行权限是否属于所述第一行为权限集;
根据判断结果对所述第一行为权限集进行调整,得到适用于所有程序的最终行为权限集。
B8、一种权限控制装置,其特征在于,包括:
获取模块,用于获取程序运行进程中的行为数据;
设定模块,用于根据所述行为数据,设定适用于所有程序的第一行为权限集;
校验模块,用于对所述第一行为权限集进行黑名单校验,得到适用于所有程序的最终行为权限集;
权限模块,用于根据所述最终行为权限集,确定对监测到的新的程序进程的权限控制结果。
B9、根据权利要求B8所述的装置,其特征在于,所述获取模块,具体包括:
第一监测单元,用于对程序进程的运行状态进行监测;
拦截单元,用于当监测到所述程序的运行进程生成行为数据时,拦截所生成的行为数据。
B10、根据权利要求B8所述的装置,其特征在于,所述设定模块,具体包括:
解析单元,用于对所述行为数据进行解析,确定程序运行进程的行为类型和/或行为内容;
计算单元,用于对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,得到适用于所有程序的第一行为权限集。
B11、根据权利要求B10所述的装置,其特征在于,所述计算单元,具体包括:
对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,确定适用于所有程序的行为数据;
根据所确定的行为数据对应的程序及其功能,确定适用于所有程序的第一行为权限集。
B12、根据权利要求B10所述的装置,其特征在于,所述计算单元,具体包括:
对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,得到初始行为权限集;
根据新的程序运行进程生成的行为数据对所述初始行为权限集进行调整,得到第一行为权限集。
B13、根据权利要求B8所述的装置,其特征在于,所述校验模块,具体包括:
第二监测单元,用于对恶意程序进程的运行状态进行监测;
调整单元,用于根据所述恶意程序运行进程生成的行为数据对所述第一行为权限集进行调整,得到适用于所有程序的最终行为权限集。
B14、根据权利要求B13所述的装置,其特征在于,所述调整单元,具体包括:
判断所述恶意程序运行进程生成的行为数据对应的执行权限是否属于所述第一行为权限集;
根据判断结果对所述第一行为权限集进行调整,得到适用于所有程序的最终行为权限集。
C15、一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求A1至A7中任一项所述的权限控制方法。
D16、一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求A1至A7中任一项所述的权限控制方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (14)
1.一种权限控制方法,其特征在于,包括:
获取程序运行进程中的行为数据,所述行为数据用于表征程序行为;
根据所述行为数据,设定适用于所有程序的第一行为权限集;
对所述第一行为权限集进行黑名单校验,得到适用于所有程序的最终行为权限集;
根据所述最终行为权限集,确定对监测到的新的程序进程的权限控制结果;
所述根据所述行为数据,设定适用于所有程序的第一行为权限集,具体包括:
对所述行为数据进行解析,确定程序运行进程的行为类型和/或行为内容;
对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,得到适用于所有程序的第一行为权限集。
2.根据权利要求1所述的方法,其特征在于,所述获取程序运行进程中的行为数据,具体包括:
对程序进程的运行状态进行监测;
当监测到所述程序的运行进程生成行为数据时,拦截所生成的行为数据。
3.根据权利要求1所述的方法,其特征在于,所述对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,得到适用于所有程序的第一行为权限集,具体包括:
对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,确定适用于所有程序的行为数据;
根据所确定的行为数据对应的程序及其功能,确定适用于所有程序的第一行为权限集。
4.根据权利要求1所述的方法,其特征在于,所述对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,得到适用于所有程序的第一行为权限集,具体包括:
对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,得到初始行为权限集;
根据新的程序运行进程生成的行为数据对所述初始行为权限集进行调整,得到第一行为权限集。
5.根据权利要求1所述的方法,其特征在于,所述对所述第一行为权限集进行黑名单校验,得到适用于所有程序的最终行为权限集,具体包括:
对恶意程序运行进程的运行状态进行监测;
根据所述恶意程序运行进程生成的行为数据对所述第一行为权限集进行调整,得到适用于所有程序的最终行为权限集。
6.根据权利要求5所述的方法,其特征在于,所述根据所述恶意程序运行进程生成的行为数据对所述第一行为权限集进行调整,得到适用于所有程序的最终行为权限集,具体包括:
判断所述恶意程序运行进程生成的行为数据对应的执行权限是否属于所述第一行为权限集;
根据判断结果对所述第一行为权限集进行调整,得到适用于所有程序的最终行为权限集。
7.一种权限控制装置,其特征在于,包括:
获取模块,用于获取程序运行进程中的行为数据,所述行为数据用于表征程序行为;
设定模块,用于根据所述行为数据,设定适用于所有程序的第一行为权限集;
校验模块,用于对所述第一行为权限集进行黑名单校验,得到适用于所有程序的最终行为权限集;
权限模块,用于根据所述最终行为权限集,确定对监测到的新的程序进程的权限控制结果;
所述设定模块,具体包括:
解析单元,用于对所述行为数据进行解析,确定程序运行进程的行为类型和/或行为内容;
计算单元,用于对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,得到适用于所有程序的第一行为权限集。
8.根据权利要求7所述的装置,其特征在于,所述获取模块,具体包括:
第一监测单元,用于对程序进程的运行状态进行监测;
拦截单元,用于当监测到所述程序的运行进程生成行为数据时,拦截所生成的行为数据。
9.根据权利要求7所述的装置,其特征在于,所述计算单元,具体包括:
对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,确定适用于所有程序的行为数据;
根据所确定的行为数据对应的程序及其功能,确定适用于所有程序的第一行为权限集。
10.根据权利要求7所述的装置,其特征在于,所述计算单元,具体包括:
对所述程序运行进程的行为类型和/或行为内容进行概率分布计算,得到初始行为权限集;
根据新的程序运行进程生成的行为数据对所述初始行为权限集进行调整,得到第一行为权限集。
11.根据权利要求7所述的装置,其特征在于,所述校验模块,具体包括:
第二监测单元,用于对恶意程序运行进程的运行状态进行监测;
调整单元,用于根据所述恶意程序运行进程生成的行为数据对所述第一行为权限集进行调整,得到适用于所有程序的最终行为权限集。
12.根据权利要求11所述的装置,其特征在于,所述调整单元,具体包括:
判断所述恶意程序运行进程生成的行为数据对应的执行权限是否属于所述第一行为权限集;
根据判断结果对所述第一行为权限集进行调整,得到适用于所有程序的最终行为权限集。
13.一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至6中任一项所述的权限控制方法。
14.一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至6中任一项所述的权限控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811641197.1A CN109802955B (zh) | 2018-12-29 | 2018-12-29 | 权限控制方法及装置、存储介质、计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811641197.1A CN109802955B (zh) | 2018-12-29 | 2018-12-29 | 权限控制方法及装置、存储介质、计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109802955A CN109802955A (zh) | 2019-05-24 |
| CN109802955B true CN109802955B (zh) | 2021-07-20 |
Family
ID=66558233
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811641197.1A Active CN109802955B (zh) | 2018-12-29 | 2018-12-29 | 权限控制方法及装置、存储介质、计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109802955B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111738467A (zh) * | 2020-08-25 | 2020-10-02 | 杭州海康威视数字技术股份有限公司 | 一种运行状态异常检测方法、装置及设备 |
| CN116302298A (zh) * | 2021-12-07 | 2023-06-23 | 中兴通讯股份有限公司 | 容器运行方法、装置、电子设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104461725A (zh) * | 2014-12-30 | 2015-03-25 | 小米科技有限责任公司 | 控制应用进程启动的方法及装置 |
| CN107506646A (zh) * | 2017-09-28 | 2017-12-22 | 努比亚技术有限公司 | 恶意应用的检测方法、装置及计算机可读存储介质 |
| CN108804912A (zh) * | 2018-06-15 | 2018-11-13 | 北京大学 | 一种基于权限集差异的应用程序越权检测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060294042A1 (en) * | 2005-06-23 | 2006-12-28 | Microsoft Corporation | Disparate data store services catalogued for unified access |
-
2018
- 2018-12-29 CN CN201811641197.1A patent/CN109802955B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104461725A (zh) * | 2014-12-30 | 2015-03-25 | 小米科技有限责任公司 | 控制应用进程启动的方法及装置 |
| CN107506646A (zh) * | 2017-09-28 | 2017-12-22 | 努比亚技术有限公司 | 恶意应用的检测方法、装置及计算机可读存储介质 |
| CN108804912A (zh) * | 2018-06-15 | 2018-11-13 | 北京大学 | 一种基于权限集差异的应用程序越权检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109802955A (zh) | 2019-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10951647B1 (en) | Behavioral scanning of mobile applications | |
| AU2019200445B2 (en) | Methods and apparatus for dealing with malware | |
| CN109831420B (zh) | 内核进程权限的确定方法及装置 | |
| US10509906B2 (en) | Automated code lockdown to reduce attack surface for software | |
| US20170286676A1 (en) | Method of malware detection and system thereof | |
| EP3029593B1 (en) | System and method of limiting the operation of trusted applications in the presence of suspicious programs | |
| US11438349B2 (en) | Systems and methods for protecting devices from malware | |
| KR101266037B1 (ko) | 휴대단말에서 악성행위 처리 방법 및 장치 | |
| US20140157415A1 (en) | Information security analysis using game theory and simulation | |
| CN109600387B (zh) | 攻击事件的追溯方法及装置、存储介质、计算机设备 | |
| Ham et al. | Detection of malicious android mobile applications based on aggregated system call events | |
| Ko et al. | Real time android ransomware detection by analyzed android applications | |
| CN109802955B (zh) | 权限控制方法及装置、存储介质、计算机设备 | |
| McIntosh et al. | Applying staged event-driven access control to combat ransomware | |
| CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
| US11379568B2 (en) | Method and system for preventing unauthorized computer processing | |
| CN109800580B (zh) | 系统进程的权限控制方法及装置、存储介质、计算机设备 | |
| Hein | Permission based malware protection model for android application | |
| Mohd Saudi et al. | iOS mobile malware analysis: a state-of-the-art | |
| CN112580025A (zh) | 基于虚拟机的报毒方法及装置、存储介质、计算机设备 | |
| CN109784037B (zh) | 文档文件的安全防护方法及装置、存储介质、计算机设备 | |
| Neuner | Bad things happen through USB | |
| CN114021134A (zh) | 基于关联程序追踪的程序处理方法及装置、存储介质 | |
| CN115292708A (zh) | 基于字节码的执行权限分析方法及装置 | |
| KR20210054254A (ko) | 랜섬웨어 감지 장치 및 이에 의한 랜섬웨어 감지 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Patentee after: Qianxin Safety Technology (Zhuhai) Co.,Ltd. Patentee after: QAX Technology Group Inc. Address before: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Patentee before: 360 ENTERPRISE SECURITY TECHNOLOGY (ZHUHAI) Co.,Ltd. Patentee before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |