CN109815701A - 软件安全的检测方法、客户端、系统及存储介质 - Google Patents
软件安全的检测方法、客户端、系统及存储介质 Download PDFInfo
- Publication number
- CN109815701A CN109815701A CN201811640560.8A CN201811640560A CN109815701A CN 109815701 A CN109815701 A CN 109815701A CN 201811640560 A CN201811640560 A CN 201811640560A CN 109815701 A CN109815701 A CN 109815701A
- Authority
- CN
- China
- Prior art keywords
- software
- detected
- call
- client
- sequence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种软件安全的检测方法、客户端、系统及存储介质,该方法包括:在监控到待检测软件的软件行为后,获取待检测软件的软件行为对应的行为记录;根据行为记录,提取待检测软件的调用入口函数以及与调用入口函数对应的系统调用序列;根据待检测软件的调用入口函数,从预设标准调用序列表中获取与待检测软件的调用入口函数匹配的标准调用序列;若系统调用序列与标准调用序列不一致,则终止待检测软件的软件行为。本申请能够防止软件被恶意操控,保护客户端中的信息不被恶意操作。
Description
技术领域
本申请涉及计算机技术领域,尤其是涉及到一种软件安全的检测方法、客户端、系统及存储介质。
背景技术
恶意软件是指在计算机系统上执行恶意任务的应用程序。企业的计算机设备若被安装恶意软件,恶意软件会进行窃取终端信息或发送欺诈信息等操作,严重影响企业的信息安全。防止恶意软件在计算机设备上进行恶意操作,是提高企业信息安全要解决的关键问题之一。
目前在恶意软件的检测中,是通过判断待检测软件的软件行为来判断待检测软件是否为恶意软件,如果待检测软件的软件行为超出其执行权限,则认为该软件为恶意软件,进而阻止该软件行为。
但是很多恶意软件是通过控制可信软件,利用可信软件的合理权限去作恶。例如恶意程序控制了通信软件进程,利用通信软件和远程主机进行通信,发送重要数据。对于这种情况,现有技术缺乏相关的防护手段,难以及时阻止恶意行为,对企业的信息安全造成了严重威胁。
发明内容
有鉴于此,本申请提供了一种软件安全的检测方法、客户端、系统及存储介质,通过对待检测软件的软件行为对应的系统调用序列进行分析,实现了对待检测软件的安全防护,有助于提高客户端的信息安全性。
根据本申请的一个方面,提供了一种软件安全的检测方法,用于客户端,包括:
在监控到待检测软件的软件行为后,获取所述待检测软件的所述软件行为对应的行为记录;
根据所述行为记录,提取所述待检测软件的调用入口函数以及与所述调用入口函数对应的系统调用序列;
根据所述待检测软件的调用入口函数,从预设标准调用序列表中获取与所述待检测软件的调用入口函数匹配的标准调用序列;
若所述系统调用序列与所述标准调用序列不一致,则终止所述待检测软件的软件行为。
根据本申请的另一方面,提供了一种软件安全的检测装置,包括:
行为记录监控单元,用于在监控到待检测软件的软件行为后,获取所述待检测软件的所述软件行为对应的行为记录;
系统调用序列提取单元,用于根据所述行为记录,提取所述待检测软件的调用入口函数以及与所述调用入口函数对应的系统调用序列;
标准调用序列获取单元,用于根据所述待检测软件的调用入口函数,从预设标准调用序列表中获取与所述待检测软件的调用入口函数匹配的标准调用序列;
软件行为终止单元,用于若所述系统调用序列与所述标准调用序列不一致,则终止所述待检测软件的软件行为。
依据本申请又一个方面,提供了一种软件安全的检测系统,包括上述的客户端以及内网服务器;
所述内网服务器用于接收来自所述客户端的用户的登录信息,并按照所述用户的登录信息查找所述用户对应的待检测软件列表后,向所述客户端反馈所述待检测软件列表以及预设标准调用序列表;以及
将接收到的来自所述客户端的所述待检测软件的调用入口函数以及与所述调用入口函数对应的正常调用序列记录在所述预设标准调用序列表中。
依据本申请再一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述软件安全的检测方法。
依据本申请再一个方面,提供了一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述软件安全的检测方法。
借由上述技术方案,本申请提供的一种软件安全的检测方法、客户端、系统及存储介质,当客户端监控到待检测软件的软件行为后,在系统监控日志中查询软件行为的行为记录,从而在行为记录中提取出该待检测软件的调用入口函数及其对应的系统调用函数,进而将系统调用函数与待检测软件的调用入口函数对应的标准调用函数进行比较,并在调用入口函数对应的实际的系统调用函数与标准调用函数不一致时,终止该待检测软件的软件行为。本申请能够防止软件被恶意操控,保护客户端中的信息不被恶意操作。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种软件安全的检测方法的流程示意图;
图2示出了本申请实施例提供的另一种软件安全的检测方法的流程示意图;
图3示出了本申请实施例提供的一种软件安全的检测装置的结构示意图;
图4示出了本申请实施例提供的另一种软件安全的检测装置的结构示意图;
图5示出了本申请实施例提供的一种软件安全的检测系统的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本实施例中提供了一种软件安全的检测方法,如图1所示,该方法包括:
步骤101,在监控到待检测软件的软件行为后,获取待检测软件的软件行为对应的行为记录。
在本申请的实施例中,操作系统实时对系统中软件的软件行为进行监控,具体地,可以采用函数调用监控工具对待评估的软件的程序进行跟踪监控,并形成记录有每次程序运行时留下的行为记录的监控日志,从而在监控到待检测软件的软件行为后,在监控日志中获取待检测软件的软件行为对应的行为记录。
另外,为了减少系统内存占用,提高系统运行效率,也可以设置监控周期,按周期在系统日志中查询待检测软件的软件行为,并获取对应的行为记录,在此不做限定。
步骤102,根据行为记录,提取待检测软件的调用入口函数以及与调用入口函数对应的系统调用序列。
若待检测软件产生软件行为,说明待检测软件正在被调用,但是待检测软件不一定是被用户正常调用,也存在被恶意应用程序操纵的可能,因此对软件的行为记录进行进一步的分析,具体地,对此次软件行为产生行为记录进行解析,得到此次软件行为对应的调用入口函数,以及与调用入口函数对应的系统调用序列。
需要说明的是,系统中的每个软件的每一项进程运行都需要按照一定的顺序调用一系列的系统函数,而通过系统调用序列则能够分析出进程对系统函数的调用顺序。例如,对于Word办公软件,请求通过Word办公软件打开某文档文件和请求通过Word办公软件修改某文档文件需要使用的入口函数是不同的,相应的,打开文档文件的调用入口函数和修改文档文件的调用入口函数对应的系统调用序列也不相同。
步骤103,根据待检测软件的调用入口函数,从预设标准调用序列表中获取与待检测软件的调用入口函数匹配的标准调用序列。
按照在系统监控日志中查找得到此次待检测软件的软件行为对应的调用入口函数,从预设标准调用序列表中,查询与该调用入口函数相匹配的标准调用序列。预设标准调用序列表中一般包含了全部的对调用入口函数进行正常调用时的函数调用序列,即标准调用序列。
步骤104,若系统调用序列与标准调用序列不一致,则终止待检测软件的软件行为。
通过对待检测软件的调用入口函数所对应的实际的系统调用序列及其对应的标准调用序列进行分析,可以判断出此次软件行为是否存在被恶意应用程序操控而产生的可能,若系统调用序列与标准调用序列不一致,说明此次软件行为可能是由恶意应用程序操控而产生的,因此,终止待检测软件的软件行为,避免上述的待检测软件因受到恶意应用程序的操控产生恶意行为,有助于避免客户端中的信息被恶意应用程序操控造成信息损失,提高了设备信息的安全性。
通过应用本实施例的技术方案,当监控到待检测软件的软件行为后,在系统监控日志中查询软件行为的行为记录,从而在行为记录中提取出该待检测软件的调用入口函数及其对应的系统调用函数,进而将系统调用函数与待检测软件的调用入口函数对应的标准调用函数进行比较,并在调用入口函数对应的实际的系统调用函数与标准调用函数不一致时,终止该待检测软件的软件行为。本申请能够防止操作系统中的软件受到恶意程序或恶意人员等的恶意操控,保护客户端中的信息不被恶意操作,避免企业信息被恶意利用造成损失。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,提供了另一种软件安全的检测方法,如图2所示,该方法包括:
步骤201,获取待检测软件的至少一次正常软件行为对应的正常行为记录;
步骤202,解析正常行为记录,将解析得到正常行为记录对应的待检测软件的调用入口函数以及与调用入口函数对应的正常调用序列发送至内网服务器中,以使内网服务器将正常行为记录对应的待检测软件的调用入口函数以及与调用入口函数对应的正常调用序列记录在预设标准调用序列表中。
在本申请的实施例中,为了分析客户端中的软件行为是否是被恶意操控产生的,应预先建立预设标准调用序列表,为分析软件行为是否是正常操作提供依据。其中,预设标准调用序列表是根据对待检测软件的多次正常软件行为进行分析得到的。
具体地,可以由管理员在客户端上对待检测软件进行操作,以使客户端响应管理员对待检测软件的操作实现相应功能,从而在一次操作完成后,从系统监控日志中针对该次软件行为,提取出与该次软件行为对应的调用入口函数和调用入口函数对应的系统调用序列,将多次操作所得结果发送至内网服务器经过专家系统分析确认后,将判定为正常行为的系统调用序列作为与待检测软件的调用入口函数对应的标准调用序列保存在预设标准调用序列表中,从而可以根据预设标准调用序列表对软件行为对应的实际的系统调用序列进行分析,为分析软件行为是否是正常操作提供依据。
步骤203,当用户登录客户端时,获取用户的登录信息。
为了保证客户端的信息安全,限制不同用户对在客户端上的操作,当用户登录该客户端时,获取用户的登录信息,登录信息可以为用户的员工编号等可以确定唯一用户身份的信息,以便利用用户的登录信息,获取该用户对应的软件使用权限信息。
其中,客户端可以为计算机设备,如笔记本电脑、台式电脑、平板电脑等。
步骤204,发送用户的登录信息至内网服务器,以使内网服务器接收到用户的登录信息后,向客户端反馈用户对应的待检测软件列表以及预设标准调用序列表。
步骤205,接收待检测软件列表以及预设标准调用序列表。
根据用户的登录信息生成权限获取请求后,将权限获取请求发送至内网服务器中,内网服务器中预先存储了不同用户对应的待检测软件列表以及预设标准调用序列表,其中待检测软件列表中存储了用户具备使用权限的待检测软件,预设标准调用序列表中存储了待检测软件的调用入口函数对应的标准调用序列。从而内网服务器在接收到权限获取请求时,能够根据权限获取请求中所包含的员工编号等登录信息确定该用户对应的待检测软件列表以及预设标准调用序列表,并反馈至客户端中,以便客户端在接收到来自内网服务器反馈的用户的待检测软件列表以及预设标准调用序列表后,可以根据待检测软件列表对用户在客户端上的软件使用进行限制和监控,以及通过预设标准调用序列表查询调用入口函数对应的标准调用序列。
例如,内网服务器中预先存储了员工编号为123的用户的待检测软件包括使用软件A、软件B和软件C。
步骤206,清空客户端的本地缓存,存储待检测软件列表以及预设标准调用序列表。
接收到内网服务器发送的待检测软件列表以及预设标准调用序列表后,将客户端中的本地缓存进行清空处理,从而清除该设备中的一些历史软件的运行记录,防止对客户端中的软件运行安全造成影响,再将该用户的待检测软件列表以及预设标准调用序列表存储在客户端中,从而便于控制用户在使用该客户端时对用户的操作权限。
步骤207,监控客户端中任一软件的软件行为,判断任一软件是否存在于待检测软件列表中。
为了实现对用户在客户端中的软件使用权限的控制,对客户端中的全部软件的软件行为进行监控,并在监测到设备中的软件行为后,监测该软件是否属于待检测软件列表中的待检测软件。
步骤208,若任一软件在待检测软件列表中,则将任一软件标记为待检测软件,并获取软件行为对应的行为记录。
如果产生软件行为的软件属于待检测软件列表中的待检测软件,说明用户具备对该软件的使用权限,当然,该软件行为不限于用户的操作产生,也有可能是设备中的恶意应用程序的恶意操作,因此应在系统监控日志中查询该软件行为对应的行为记录,以便根据行为记录分析该软件行为是否属于用户的正常操作,从而对软件行为进行相应处理。
另外,需要说明的是,如果监控到的软件行为对应的软件不属于用户具备操作权限的待检测软件列表中的软件,说明用户正在进行超出权限范围内的操作或者恶意应用程序可能正在进行超权限的恶意操作,则应直接终止此次软件行为,并提示用户已对超出权限范围的软件行为进行拦截。另外,还可以将被终止的软件行为上报至管理终端,由管理终端进行进一步的分析。
步骤209,根据行为记录,确定软件行为的调起进程。
步骤210,若调起进程不在预设主动调起进程列表中,则从行为记录中提取待检测软件的调用入口函数以及与调用入口函数对应的系统调用序列。
当获取到客户端中的行为记录后,应根据行为记录确定该行为记录对应的调起进程,即确定该软件行为由哪个进程操控的。如果软件行为对应的调起进程为预设主动调起进程,例如对于计算机设备中的某杀毒软件的卸载行为,如果用户通过点击开始菜单,找到卸载该杀毒软件的卸载程序来实现对该杀毒软件的卸载,或者通过开始菜单下的控制面板,在展示的控制面板界面找到“卸载或更改程序”来实现对该杀毒软件的卸载,说明此时的进程行为受用户控制,是用户的主动意愿,即调起进程为预设主动调起进程,这种调起进程为预设主动调起进程的情况,可以直接放行该软件行为。
而如果调起进程不属于预设主动调起进程,则说明该软件行为不是用户的主动操作,此时的软件行为可能是恶意应用程序在操作系统后台进行的不易被用户察觉的恶意操作,则应获取到待检测软件行为对应的行为记录,并根据该行为记录进行进一步的分析,从而确定对此次软件行为的处理方案,以免放行由恶意应用程序操控的软件行为,将客户端中的信息置于危险环境。在本实施例中,根据行为记录,提取待检测软件的调用入口函数以及与调用入口函数对应的系统调用序列,以便分析系统调用序列是否合理,从而确定软件行为是否是被恶意操控产生的。
步骤211,根据待检测软件的调用入口函数,从预设标准调用序列表中获取与待检测软件的调用入口函数匹配的标准调用序列。
在预设标准调用序列表中,查询与待检测软件的调用入口函数匹配的标准调用序列,以便根据目标应用程序的进程的实际的系统调用序列以及标准调用序列指定进程处理方案。具体地,如果系统调用序列与标准调用序列一致,可以放行此次软件行为,以满足用户对客户端的使用需求。
步骤212,若系统调用序列与标准调用序列不一致,则终止待检测软件的软件行为。
由于软件被恶意攻击后产生的系统调用序列通常会发生改变,因此如果实际的系统调用序列与预设标准调用序列表中的标准调用序列不一致,说明该待检测软件可能已经被恶意攻击,正在受恶意应用程序的控制,若允许此次软件行为运行会对设备的信息安全造成威胁,因此,应终止此次软件行为,以确保系统免受恶意程序的操控,防止系统信息的泄露威胁信息安全。
另外,在检测系统调用序列的基础上,还可以结合系统调用的入口地址和返回地址判断是否应终止此次软件行为。例如,若系统调用序列与标准调用序列不一致,系统调用的入口地址和返回地址与标准的入口地址和返回地址也不一致,说明软件行为可能是被恶意应用程序操控的并且可能正在向非法地址传输数据,那么直接终止软件行为;而若系统调用序列与标准调用序列不一致,但系统调用的入口地址和返回地址与标准的入口地址和返回地址一致,则进一步判断是否存在系统故障或其他人为误操作,而并非是恶意应用程序的攻击导致的系统调用序列与标准调用序列不同,以免影响用户的正常工作,从而实现对客户端信息更为精准的防护。
步骤213,输出待检测软件存在风险的提示信息。
同时在检测到系统调用序列与标准调用序列不一致时,输出风险提示信息,以提示用户当前产生软件行为的待检测软件存在被恶意应用程序操纵的风险,用户在接收到提示信息后,应尽快排查设备风险,避免信息损失。
另外,为了及时发现系统中的恶意应用程序,当检测到系统调用序列与标准调用序列不一致时,还可以:在系统日志中查询分层服务提供商LSP的注册表的更改情况;如果LSP注册表在预设时间内存在更改,则获取更改注册表的更改程序以及注册表更改后的动态链接库DLL文件;利用一个或多个预设的恶意应用程序检测库,检测更改程序和/或DLL文件是否为恶意程序;当检测到更改程序和/或DLL文件是恶意程序时,进行上报。以便用户或管理员对设备内的恶意应用程序及时进行处理,避免造成信息损失。
通过应用本实施例的技术方案,对客户端中的软件行为进行监控,使用户只能对具备权限的待检测软件进行操作,实现了用户的权限管理;当监控到设备内的待检测软件的软件行为时,查询软件行为对应的调用入口函数及其对应的系统调用序列,并通过在实际的系统调用序列与标准调用序列不一致时,终止软件行为,实现了对软件行为的安全防护,避免恶意应用程序或恶意人员通过操控合法软件泄露设备内的信息,实现了设备信息的安全防护。
进一步的,作为图1方法的具体实现,本申请实施例提供了一种客户端,如图3所示,该客户端包括:行为记录监控单元31、系统调用序列提取单元32、标准调用序列获取单元33、软件行为终止单元34。
行为记录监控单元31,用于在监控到待检测软件的软件行为后,获取待检测软件的软件行为对应的行为记录;
系统调用序列提取单元32,用于根据行为记录,提取待检测软件的调用入口函数以及与调用入口函数对应的系统调用序列;
标准调用序列获取单元33,用于根据待检测软件的调用入口函数,从预设标准调用序列表中获取与待检测软件的调用入口函数匹配的标准调用序列;
软件行为终止单元34,用于若系统调用序列与标准调用序列不一致,则终止待检测软件的软件行为。
在具体的应用场景中,如图4所示,系统调用序列提取单元32,具体包括:
调起进程确定单元321,用于根据行为记录,确定软件行为的调起进程;
系统调用序列提取子单元322,用于若调起进程不在预设主动调起进程列表中,则从行为记录中提取待检测软件的调用入口函数以及与调用入口函数对应的系统调用序列。
在具体的应用场景中,如图4所示,该客户端还包括:登录信息获取单元35、登录信息发送单元36、列表接收单元37。
登录信息获取单元35,用于获取待检测软件的软件行为对应的行为记录之前,当用户登录客户端时,获取用户的登录信息;
登录信息发送单元36,用于发送所述用户的登录信息至内网服务器,以使所述内网服务器接收到所述用户的登录信息后,向所述客户端反馈所述用户对应的待检测软件列表以及所述预设标准调用序列表;
列表接收单元37,用于接收所述待检测软件列表以及所述预设标准调用序列表。
在具体的应用场景中,如图4所示,行为记录监控单元31,具体包括:待检测软件判断单元311、行为记录获取单元312。
待检测软件判断单元311,用于监控客户端中任一软件的软件行为,判断任一软件是否存在于待检测软件列表中;
行为记录获取单元312,用于若任一软件在待检测软件列表中,则将任一软件标记为待检测软件,并获取软件行为对应的行为记录。
在具体的应用场景中,如图4所示,该客户端还包括:清空单元38、正常行为获取单元39、行为记录发送单元3010、风险提示单元3011。
清空单元38,用于根据登录信息,从内网服务器获取用户对应的待检测软件列表以及预设标准调用序列表之后,清空客户端的本地缓存,存储待检测软件列表以及预设标准调用序列表。
正常行为获取单元39,用于获取用户的登录信息之前,获取待检测软件的至少一次正常软件行为对应的正常行为记录。
行为记录发送单元3010,用于解析正常行为记录,将解析得到正常行为记录对应的待检测软件的调用入口函数以及与调用入口函数对应的正常调用序列发送至内网服务器中,以使内网服务器将正常行为记录对应的待检测软件的调用入口函数以及与调用入口函数对应的正常调用序列记录在预设标准调用序列表中。
风险提示单元3011,用于若系统调用序列与标准调用序列不一致,则输出待检测软件存在风险的提示信息。
进一步的,本申请实施例还提供一种软件安全的检测系统,如图5所示,该系统包括:如图3或图4所示的客户端以及内网服务器;内网服务器用于接收来自客户端的用户的登录信息,并按照用户的登录信息查找用户对应的待检测软件列表后,向客户端反馈待检测软件列表以及预设标准调用序列表;以及将接收到的来自客户端的待检测软件的调用入口函数以及与调用入口函数对应的正常调用序列记录在预设标准调用序列表中。
本实施例提供的客户端、内网服务器以及软件安全的检测系统,由客户端对待检测软件的正常软件行为进行解析,并向内网服务器中发送解析得到的待检测软件的调用入口函数以及与调用入口函数对应的正常调用序列,从而内网服务器将接收到的待检测软件的调用入口函数和对应的正常调用序列保存在预设标准调用序列表中;当客户端向内网服务器发送用户的登录信息时,内网服务器根据用户的登录信息查找对应的待检测软件列表后,向客户端反馈该待检测软件列表以及内网服务器中预先存储的预设标准调用序列表,从而使客户端可以利用待检测软件列表和预设标准调用序列表实现对软件行为的控制,保护客户端的安全。
需要说明的是,本申请实施例提供的一种软件安全的检测装置所涉及各功能单元的其他相应描述,可以参考图1和图2中的对应描述,在此不再赘述。
基于上述如图1和图2所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1和图2所示的软件安全的检测方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1、图2所示的方法,以及图3、图4所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种计算机设备,具体可以为个人计算机、服务器、网络设备等,该计算机设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1和图2所示的软件安全的检测方法。
可选地,该计算机设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种计算机设备结构并不构成对该计算机设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现在用户登录客户端时,根据用户的登录信息生成驱动权限获取请求,并根据驱动权限获取请求在驱动权限管理服务器中获取用户的驱动权限信息后,加载对应的驱动程序,以实现对用户提交的驱动程序调用请求的响应。本申请能够控制用户在客户端上对驱动程序的调用,避免用户通过随意调用驱动程序随意使用客户端上或外接的硬件设备,提高了客户端信息的安全性。
本发明实施例提供了以下技术方案:
A1、一种软件安全的检测方法,包括:
在监控到待检测软件的软件行为后,获取所述待检测软件的所述软件行为对应的行为记录;
根据所述行为记录,提取所述待检测软件的调用入口函数以及与所述调用入口函数对应的系统调用序列;
根据所述待检测软件的调用入口函数,从预设标准调用序列表中获取与所述待检测软件的调用入口函数匹配的标准调用序列;
若所述系统调用序列与所述标准调用序列不一致,则终止所述待检测软件的软件行为。
A2、根据A1所述的方法,所述根据所述行为记录,提取所述待检测软件的调用入口函数以及与所述调用入口函数对应的系统调用序列,具体包括:
根据所述行为记录,确定所述软件行为的调起进程;
若所述调起进程不在预设主动调起进程列表中,则从所述行为记录中提取所述待检测软件的调用入口函数以及与所述调用入口函数对应的系统调用序列。
A3、根据A1所述的方法,所述获取所述待检测软件的所述软件行为对应的行为记录之前,所述方法还包括:
当用户登录客户端时,获取所述用户的登录信息;
发送所述用户的登录信息至内网服务器,以使所述内网服务器接收到所述用户的登录信息后,向所述客户端反馈所述用户对应的待检测软件列表以及所述预设标准调用序列表;
接收所述待检测软件列表以及所述预设标准调用序列表。
A4、根据A3所述的方法,所述在监控到待检测软件的软件行为后,获取所述待检测软件的所述软件行为对应的行为记录,具体包括:
监控所述客户端中任一软件的软件行为,判断所述任一软件是否存在于所述待检测软件列表中;
若所述任一软件在所述待检测软件列表中,则将所述任一软件标记为待检测软件,并获取所述软件行为对应的行为记录。
A5、根据A3所述的方法,所述根据所述登录信息,从内网服务器获取所述用户对应的待检测软件列表以及所述预设标准调用序列表之后,所述方法还包括:
清空所述客户端的本地缓存,存储所述待检测软件列表以及所述预设标准调用序列表。
A6、根据A3所述的方法,所述获取所述用户的登录信息之前,所述方法还包括:
获取所述待检测软件的至少一次正常软件行为对应的正常行为记录;
解析所述正常行为记录,将解析得到所述正常行为记录对应的所述待检测软件的调用入口函数以及与所述调用入口函数对应的正常调用序列发送至所述内网服务器中,以使所述内网服务器将所述正常行为记录对应的所述待检测软件的调用入口函数以及与所述调用入口函数对应的正常调用序列记录在所述预设标准调用序列表中。
A7、根据A3至A6中任一项所述的方法,还包括:
若所述系统调用序列与所述标准调用序列不一致,则输出所述待检测软件存在风险的提示信息。
B8、一种客户端,包括:
行为记录监控单元,用于在监控到待检测软件的软件行为后,获取所述待检测软件的所述软件行为对应的行为记录;
系统调用序列提取单元,用于根据所述行为记录,提取所述待检测软件的调用入口函数以及与所述调用入口函数对应的系统调用序列;
标准调用序列获取单元,用于根据所述待检测软件的调用入口函数,从预设标准调用序列表中获取与所述待检测软件的调用入口函数匹配的标准调用序列;
软件行为终止单元,用于若所述系统调用序列与所述标准调用序列不一致,则终止所述待检测软件的软件行为。
B9、根据B7所述的客户端,所述系统调用序列提取单元,具体包括:
调起进程确定单元,用于根据所述行为记录,确定所述软件行为的调起进程;
系统调用序列提取子单元,用于若所述调起进程不在预设主动调起进程列表中,则从所述行为记录中提取所述待检测软件的调用入口函数以及与所述调用入口函数对应的系统调用序列。
B10、根据B8所述的客户端,还包括:
登录信息获取单元,用于获取所述待检测软件的所述软件行为对应的行为记录之前,当用户登录客户端时,获取所述用户的登录信息;
登录信息发送单元,用于发送所述用户的登录信息至内网服务器,以使所述内网服务器接收到所述用户的登录信息后,向所述客户端反馈所述用户对应的待检测软件列表以及所述预设标准调用序列表;
列表接收单元,用于接收所述待检测软件列表以及所述预设标准调用序列表。
B11、根据B10所述的客户端,所述行为记录监控单元,具体包括:
待检测软件判断单元,用于监控所述客户端中任一软件的软件行为,判断所述任一软件是否存在于所述待检测软件列表中;
行为记录获取单元,用于若所述任一软件在所述待检测软件列表中,则将所述任一软件标记为待检测软件,并获取所述软件行为对应的行为记录。
B12、根据B10所述的客户端,还包括:
清空单元,用于接收所述待检测软件列表以及所述预设标准调用序列表之后,清空所述客户端的本地缓存,存储所述待检测软件列表以及所述预设标准调用序列表。
B13、根据B10所述的客户端,还包括:
正常行为获取单元,用于获取所述用户的登录信息之前,获取所述待检测软件的至少一次正常软件行为对应的正常行为记录;
行为记录发送单元,用于解析所述正常行为记录,将解析得到所述正常行为记录对应的所述待检测软件的调用入口函数以及与所述调用入口函数对应的正常调用序列发送至所述内网服务器中,以使所述内网服务器将所述正常行为记录对应的所述待检测软件的调用入口函数以及与所述调用入口函数对应的正常调用序列记录在所述预设标准调用序列表中。
B14、根据B10至B13中任一项所述的客户端,还包括:
风险提示单元,用于若所述系统调用序列与所述标准调用序列不一致,则输出所述待检测软件存在风险的提示信息。
C13、一种软件安全的检测系统,包括:如B8至B14中任一项所述的客户端以及内网服务器;
所述内网服务器用于接收来自所述客户端的用户的登录信息,并按照所述用户的登录信息查找所述用户对应的待检测软件列表后,向所述客户端反馈所述待检测软件列表以及预设标准调用序列表;以及
将接收到的来自所述客户端的所述待检测软件的调用入口函数以及与所述调用入口函数对应的正常调用序列记录在所述预设标准调用序列表中。
D14、一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现A1至A7中任一项所述的软件安全的检测方法。
E14、一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现A1至A7中任一项所述的软件安全的检测方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (10)
1.一种软件安全的检测方法,用于客户端,其特征在于,包括:
在监控到待检测软件的软件行为后,获取所述待检测软件的所述软件行为对应的行为记录;
根据所述行为记录,提取所述待检测软件的调用入口函数以及与所述调用入口函数对应的系统调用序列;
根据所述待检测软件的调用入口函数,从预设标准调用序列表中获取与所述待检测软件的调用入口函数匹配的标准调用序列;
若所述系统调用序列与所述标准调用序列不一致,则终止所述待检测软件的软件行为。
2.根据权利要求1所述的方法,其特征在于,所述根据所述行为记录,提取所述待检测软件的调用入口函数以及与所述调用入口函数对应的系统调用序列,具体包括:
根据所述行为记录,确定所述软件行为的调起进程;
若所述调起进程不在预设主动调起进程列表中,则从所述行为记录中提取所述待检测软件的调用入口函数以及与所述调用入口函数对应的系统调用序列。
3.根据权利要求1所述的方法,其特征在于,所述获取所述待检测软件的所述软件行为对应的行为记录之前,所述方法还包括:
当用户登录客户端时,获取所述用户的登录信息;
发送所述用户的登录信息至内网服务器,以使所述内网服务器接收到所述用户的登录信息后,向所述客户端反馈所述用户对应的待检测软件列表以及所述预设标准调用序列表;
接收所述待检测软件列表以及所述预设标准调用序列表。
4.根据权利要求3所述的方法,其特征在于,所述在监控到待检测软件的软件行为后,获取所述待检测软件的所述软件行为对应的行为记录,具体包括:
监控所述客户端中任一软件的软件行为,判断所述任一软件是否存在于所述待检测软件列表中;
若所述任一软件在所述待检测软件列表中,则将所述任一软件标记为待检测软件,并获取所述软件行为对应的行为记录。
5.根据权利要求3所述的方法,其特征在于,所述接收所述待检测软件列表以及所述预设标准调用序列表之后,所述方法还包括:
清空所述客户端的本地缓存,存储所述待检测软件列表以及所述预设标准调用序列表。
6.根据权利要求3所述的方法,其特征在于,所述获取所述用户的登录信息之前,所述方法还包括:
获取所述待检测软件的至少一次正常软件行为对应的正常行为记录;
解析所述正常行为记录,将解析得到所述正常行为记录对应的所述待检测软件的调用入口函数以及与所述调用入口函数对应的正常调用序列发送至所述内网服务器中,以使所述内网服务器将所述正常行为记录对应的所述待检测软件的调用入口函数以及与所述调用入口函数对应的正常调用序列记录在所述预设标准调用序列表中。
7.根据权利要求3至6中任一项所述的方法,其特征在于,所述方法还包括:
若所述系统调用序列与所述标准调用序列不一致,则输出所述待检测软件存在风险的提示信息。
8.一种客户端,其特征在于,包括:
行为记录监控单元,用于在监控到待检测软件的软件行为后,获取所述待检测软件的所述软件行为对应的行为记录;
系统调用序列提取单元,用于根据所述行为记录,提取所述待检测软件的调用入口函数以及与所述调用入口函数对应的系统调用序列;
标准调用序列获取单元,用于根据所述待检测软件的调用入口函数,从预设标准调用序列表中获取与所述待检测软件的调用入口函数匹配的标准调用序列;
软件行为终止单元,用于若所述系统调用序列与所述标准调用序列不一致,则终止所述待检测软件的软件行为。
9.根据权利要求8所述的客户端,其特征在于,所述系统调用序列提取单元,具体包括:
调起进程确定单元,用于根据所述行为记录,确定所述软件行为的调起进程;
系统调用序列提取子单元,用于若所述调起进程不在预设主动调起进程列表中,则从所述行为记录中提取所述待检测软件的调用入口函数以及与所述调用入口函数对应的系统调用序列。
10.根据权利要求8所述的客户端,其特征在于,所述客户端还包括:
登录信息获取单元,用于获取所述待检测软件的所述软件行为对应的行为记录之前,当用户登录客户端时,获取所述用户的登录信息;
登录信息发送单元,用于发送所述用户的登录信息至内网服务器,以使所述内网服务器接收到所述用户的登录信息后,向所述客户端反馈所述用户对应的待检测软件列表以及所述预设标准调用序列表;
列表接收单元,用于接收所述待检测软件列表以及所述预设标准调用序列表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811640560.8A CN109815701B (zh) | 2018-12-29 | 2018-12-29 | 软件安全的检测方法、客户端、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811640560.8A CN109815701B (zh) | 2018-12-29 | 2018-12-29 | 软件安全的检测方法、客户端、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109815701A true CN109815701A (zh) | 2019-05-28 |
| CN109815701B CN109815701B (zh) | 2022-04-22 |
Family
ID=66603090
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811640560.8A Active CN109815701B (zh) | 2018-12-29 | 2018-12-29 | 软件安全的检测方法、客户端、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109815701B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112395602A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 静态安全特征数据库的处理方法、装置及系统 |
| CN112580047A (zh) * | 2020-12-23 | 2021-03-30 | 苏州三六零智能安全科技有限公司 | 工业恶意代码标记方法、设备、存储介质及装置 |
| CN112699369A (zh) * | 2021-01-12 | 2021-04-23 | 安芯网盾(北京)科技有限公司 | 一种通过栈回溯检测异常登录的方法及装置 |
| WO2022199292A1 (zh) * | 2021-03-26 | 2022-09-29 | 支付宝(杭州)信息技术有限公司 | 小程序恶意行为检测 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070250817A1 (en) * | 2006-04-20 | 2007-10-25 | Boney Matthew L | Backwards researching activity indicative of pestware |
| US20080016339A1 (en) * | 2006-06-29 | 2008-01-17 | Jayant Shukla | Application Sandbox to Detect, Remove, and Prevent Malware |
| CN102945347A (zh) * | 2012-09-29 | 2013-02-27 | 中兴通讯股份有限公司 | 一种检测Android恶意软件的方法、系统及设备 |
| CN103679031A (zh) * | 2013-12-12 | 2014-03-26 | 北京奇虎科技有限公司 | 一种文件病毒免疫的方法和装置 |
| CN103839005A (zh) * | 2013-11-22 | 2014-06-04 | 北京智谷睿拓技术服务有限公司 | 移动操作系统的恶意软件检测方法和恶意软件检测系统 |
| CN103839003A (zh) * | 2012-11-22 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| CN104035866A (zh) * | 2014-05-30 | 2014-09-10 | 中国电子科技集团公司第十五研究所 | 基于系统调用分析的软件行为评估方法和装置 |
| US9117078B1 (en) * | 2008-09-17 | 2015-08-25 | Trend Micro Inc. | Malware behavior analysis and policy creation |
| CN104915599A (zh) * | 2015-05-30 | 2015-09-16 | 广东欧珀移动通信有限公司 | 一种应用程序监控方法及终端 |
| CN105787302A (zh) * | 2016-02-23 | 2016-07-20 | 北京金山安全软件有限公司 | 一种应用程序的处理方法、装置及电子设备 |
| CN106529297A (zh) * | 2016-11-22 | 2017-03-22 | 北京奇虎科技有限公司 | 获取应用程序状态信息的方法及装置 |
-
2018
- 2018-12-29 CN CN201811640560.8A patent/CN109815701B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070250817A1 (en) * | 2006-04-20 | 2007-10-25 | Boney Matthew L | Backwards researching activity indicative of pestware |
| US20080016339A1 (en) * | 2006-06-29 | 2008-01-17 | Jayant Shukla | Application Sandbox to Detect, Remove, and Prevent Malware |
| US9117078B1 (en) * | 2008-09-17 | 2015-08-25 | Trend Micro Inc. | Malware behavior analysis and policy creation |
| CN102945347A (zh) * | 2012-09-29 | 2013-02-27 | 中兴通讯股份有限公司 | 一种检测Android恶意软件的方法、系统及设备 |
| CN103839003A (zh) * | 2012-11-22 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| CN103839005A (zh) * | 2013-11-22 | 2014-06-04 | 北京智谷睿拓技术服务有限公司 | 移动操作系统的恶意软件检测方法和恶意软件检测系统 |
| CN103679031A (zh) * | 2013-12-12 | 2014-03-26 | 北京奇虎科技有限公司 | 一种文件病毒免疫的方法和装置 |
| CN104035866A (zh) * | 2014-05-30 | 2014-09-10 | 中国电子科技集团公司第十五研究所 | 基于系统调用分析的软件行为评估方法和装置 |
| CN104915599A (zh) * | 2015-05-30 | 2015-09-16 | 广东欧珀移动通信有限公司 | 一种应用程序监控方法及终端 |
| CN105787302A (zh) * | 2016-02-23 | 2016-07-20 | 北京金山安全软件有限公司 | 一种应用程序的处理方法、装置及电子设备 |
| CN106529297A (zh) * | 2016-11-22 | 2017-03-22 | 北京奇虎科技有限公司 | 获取应用程序状态信息的方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112395602A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 静态安全特征数据库的处理方法、装置及系统 |
| CN112580047A (zh) * | 2020-12-23 | 2021-03-30 | 苏州三六零智能安全科技有限公司 | 工业恶意代码标记方法、设备、存储介质及装置 |
| CN112580047B (zh) * | 2020-12-23 | 2022-11-04 | 苏州三六零智能安全科技有限公司 | 工业恶意代码标记方法、设备、存储介质及装置 |
| CN112699369A (zh) * | 2021-01-12 | 2021-04-23 | 安芯网盾(北京)科技有限公司 | 一种通过栈回溯检测异常登录的方法及装置 |
| WO2022199292A1 (zh) * | 2021-03-26 | 2022-09-29 | 支付宝(杭州)信息技术有限公司 | 小程序恶意行为检测 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109815701B (zh) | 2022-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11469976B2 (en) | System and method for cloud-based control-plane event monitor | |
| US11244049B2 (en) | Use of an application controller to monitor and control software file and application environments | |
| US8607340B2 (en) | Host intrusion prevention system using software and user behavior analysis | |
| EP2839406B1 (en) | Detection and prevention of installation of malicious mobile applications | |
| CN109815701A (zh) | 软件安全的检测方法、客户端、系统及存储介质 | |
| EP2852913B1 (en) | Method and apparatus for determining malicious program | |
| US8141159B2 (en) | Method and system for protecting confidential information | |
| CN109155774B (zh) | 用于检测安全威胁的系统和方法 | |
| US7665139B1 (en) | Method and apparatus to detect and prevent malicious changes to tokens | |
| US20100251369A1 (en) | Method and system for preventing data leakage from a computer facilty | |
| US20110247074A1 (en) | Metadata-based access, security, and compliance control of software generated files | |
| US10095865B2 (en) | Detecting unauthorized remote administration using dependency rules | |
| US20140366136A1 (en) | Behavioral-based host intrusion prevention system | |
| US20110078497A1 (en) | Automated recovery from a security event | |
| CN109831420A (zh) | 内核进程权限的确定方法及装置 | |
| US20100251363A1 (en) | Modified file tracking on virtual machines | |
| GB2507360A (en) | Threat detection through the accumulated detection of threat characteristics | |
| CN101667232B (zh) | 基于可信计算的终端可信保障系统与方法 | |
| CN109815700B (zh) | 应用程序的处理方法及装置、存储介质、计算机设备 | |
| CN109726601A (zh) | 违规行为的识别方法及装置、存储介质、计算机设备 | |
| CN109783316A (zh) | 系统安全日志篡改行为的识别方法及装置、存储介质、计算机设备 | |
| US8978150B1 (en) | Data recovery service with automated identification and response to compromised user credentials | |
| US10521613B1 (en) | Adaptive standalone secure software | |
| US20200320190A1 (en) | Detecting directory reconnaissance in a directory service | |
| KR102541888B1 (ko) | 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Applicant after: Qianxin Safety Technology (Zhuhai) Co.,Ltd. Applicant after: Qianxin Technology Group Co., Ltd Address before: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Applicant before: 360 ENTERPRISE SECURITY TECHNOLOGY (ZHUHAI) Co.,Ltd. Applicant before: Beijing Qianxin Technology Co., Ltd |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |