CN109831420A - 内核进程权限的确定方法及装置 - Google Patents
内核进程权限的确定方法及装置 Download PDFInfo
- Publication number
- CN109831420A CN109831420A CN201811640613.6A CN201811640613A CN109831420A CN 109831420 A CN109831420 A CN 109831420A CN 201811640613 A CN201811640613 A CN 201811640613A CN 109831420 A CN109831420 A CN 109831420A
- Authority
- CN
- China
- Prior art keywords
- kernel process
- behavior
- permission
- belonging
- kernel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本申请公开了一种内核进程权限的确定方法、装置、计算机设备及计算机存储介质,涉及计算机安全技术领域,可以降低计算机系统存在的安全风险,提高系统内核的安全性。所述方法包括:获取属于内核进程权限执行的行为信息;汇总所述属于内核进程权限执行的行为信息,生成属于内核进程权限执行的行为白名单;监控通过内核进程加载预设操作行为时,判断所述预设操作行为是否处于所述行为白名单中;如果否,则判定所述预设操作行为不具有内核进程权限,并拦截启动所述预设操作行为。
Description
技术领域
本发明涉及计算机安全技术领域,尤其是涉及内核进程权限的确定方法、装置、计算机设备及计算机存储介质。
背景技术
内核进程权限是Windows操作系统页面内存管理进程,拥有最高级别的优先权,是系统启动过程中必须启动的进程。Windows内核除了接受来自应用程序的系统服务调用,它自己也有一些线程用于实现各种功能,而这些线程就依附在内核进程中,可以说内核进程是Windows内核的一个运行实例,权限很大。
在登陆之前所有程序都是在内核进程权限下执行的,该内核进程权限是为了防止系统被恶意破坏和用户乱使用而设定的仅由机器管理的用户,从开机到桌面加载完成都是由它在操作,可以说,内核进程是Windows个人系统的最高统治者。
然而,由于内核进程权限具有用户最高权限,而攻击者往往利用系统漏洞进行提权,将权限升级至内核进程权限,从而作为服务用户登录系统,以控制整个操作系统,使得计算机系统存在重大安全隐患,降低了系统内核的安全性。
发明内容
有鉴于此,本发明提供了一种内核进程权限的确定方法、装置、计算机设备及计算机存储介质,主要目的在于降低计算机系统存在的安全风险,提高系统内核的安全性。
依据本发明一个方面,提供了一种内核进程权限的确定方法,该方法包括:
获取属于内核进程权限执行的行为信息;
汇总所述属于内核进程权限执行的行为信息,生成属于内核进程权限执行的行为白名单;
监控通过内核进程加载预设操作行为时,判断所述预设操作行为是否处于所述行为白名单中;
如果否,则判定所述预设操作行为不具有内核进程权限,并拦截启动所述预设操作行为。
进一步地,所述获取属于内核进程权限执行的行为信息包括:
通过任务管理器查看内核进程对应的属性信息,并根据所述内核进程对应的属性信息确定内核进程所属的权限信息;
根据所述内核进程所属的权限信息,获取属于内核进程权限的行为信息。
进一步地,所述通过任务管理器查看内核进程对应的属性信息,并根据所述内核进程对应的属性信息确定内核进程所属的权限信息包括:
遍历所述任务管理器中各个内核进程对应的属性信息,从所述属性信息中提取各个内核进程对应的权限标识;
根据所述各个内核进程对应的权限标识,确定各个内核进程所属的权限信息;
所述根据所述内核进程所属的权限信息,获取属于内核进程权限的行为信息包括:
从所述各个内核进程所属的权限信息中查找权限标识为内核进程权限标识的内核进程;
获取所述权限标识为内核进程权限标识的行为信息,得到属于内核进程权限的行为信息。
进一步地,在所述汇总所述属于内核进程权限执行的行为信息,生成属于内核进程权限执行的行为白名单之前,所述方法还包括:
识别所述属于内核进程权限执行的行为信息中的权限误报信息,所述权限误报信息为执行进程过程中出现行为权限归属错误的信息;
根据所述行为权限误报信息将权限归属错误的行为信息从所述属于内核进程权限执行的行为信息中删除。
进一步地,所述行为白名单中记录有属于内核进程权限执行操作行为的行为标识符,所述监控通过内核进程加载预设操作行为时,判断所述预设操作行为是否处于所述行为白名单中包括:
利用钩子函数监控通过内核进程权限加载预设操作行为的行为信息;
当监控到通过内核进程权限加载预设操作行为的行为信息时,从所述通过内核进程权限加载的预设操作行为中提取行为标识符;
判断所述行为白名单中是否记录有所述预设操作行为的行为标识符。
进一步地,在所述判断所述行为白名单中是否记录有所述预设操作行为的行为标识符之后,所述方法还包括:
如果是,则判定所述预设操作行为具有内核进程权限,并执行启动所述预设操作行为。
依据本发明另一个方面,提供了一种内核进程权限的确定装置,所述装置包括:
获取单元,用于获取属于内核进程权限执行的行为信息;
生成单元,用于汇总所述属于内核进程权限执行的行为信息,生成属于内核进程权限执行的行为白名单;
判断单元,用于监控通过内核进程加载预设操作行为时,判断所述预设操作行为是否处于所述行为白名单中;
确定单元,用于如果所述预设操作行为未处于所述行为白名单中,则判定所述预设操作行为不具有内核进程权限,并拦截启动所述预设操作行为。
进一步地,所述获取单元包括:
确定模块,用于通过任务管理器查看内核进程对应的属性信息,并根据所述内核进程对应的属性信息确定内核进程所属的权限信息;
获取模块,用于根据所述内核进程所属的权限信息,获取属于内核进程权限的行为信息。
进一步地,所述确定模块,具体用于遍历所述任务管理器中各个内核进程对应的属性信息,从所述属性信息中提取各个内核进程对应的权限标识;
所述确定模块,具体还用于根据所述各个内核进程对应的权限标识,确定各个内核进程所属的权限信息;
所述获取模块,具体用于从所述各个内核进程所属的权限信息中查找权限标识为内核进程权限标识的进程;
所述获取模块,具体还用于获取所述权限标识为内核进程权限标识的行为信息,得到属于内核进程权限的行为信息。
进一步地,所述装置还包括:
识别单元,用于在所述汇总所述属于内核进程权限执行的行为信息,生成属于内核进程权限执行的行为白名单之前,识别所述属于内核进程权限执行的行为信息中的权限误报信息,所述权限误报信息为执行进程过程中出现行为权限归属错误的信息;
删除单元,用于根据所述行为权限误报信息将权限归属错误的行为信息从所述属于内核进程权限执行的行为信息中删除。
进一步地,所述行为白名单中记录有属于内核进程权限执行操作行为的行为标识符,所述判断单元包括:
监控模块,用于利用钩子函数监控通过内核进程权限加载预设操作行为的行为信息;
拦截模块,用于当监控到通过内核进程权限加载预设操作行为的行为信息时,从所述通过内核进程权限加载的预设操作行为中提取行为标识符;
判断模块,用于判断所述行为白名单中是否记录有所述预设操作行为的行为标识符。
进一步地,所述确定单元,还用于如果所述行为白名单中记录有所述预设操作行为的行为标识符,则判定所述预设操作行为具有内核进程权限,并执行启动所述预设操作行为。
依据本发明又一个方面,提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现内核进程权限的确定方法的步骤。
依据本发明再一个方面,提供了一种计算机存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现内核进程权限的确定方法的步骤。
借由上述技术方案,本发明提供一种内核进程权限的确定方法及装置,通过汇总属于内核进程权限执行的行为信息,生成属于内核进程权限执行的行为白名单,使得在行为白名单内的操作行为可以正常执行,不在行为白名单内的操作行为被拦截,从而提高系统的安全性。与现有技术中不存在白名单拦截机制的内核进程权限的确定方式相比,由于内核进程权限执行的操作行为比较固定,本发明实施例将属于内核进程权限执行的行为信息汇总至行为白名单,根据行为白名单来监控通过内核进程权限加载的预设操作行为是否属于行为白名单内的操作行为,对不属于内核进程权限的预设操作行为进行拦截,从而降低系统的安全风险,提高系统内核的安全性。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种内核进程权限的确定方法流程示意图;
图2示出了本发明实施例提供的另一种内核进程权限的确定方法流程示意图;
图3示出了本发明实施例提供的一种内核进程权限的确定装置结构示意图;
图4示出了本发明实施例提供的另一种内核进程权限的确定装置结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种内核进程权限的确定方法,可以降低计算机系统存在的安全风险的目的,如图1所示,该方法包括:
101、获取属于内核进程权限执行的行为信息。
不同的程序在运行时是以不同的权限进行的,例如,在执行写注册表、注册组件等高权限操作行为是以内核进程权限进行的,需要使用具有内核进程权限的账户登录,在执行设置账户图片、密码等操作时是以标准用户权限进行的,需要使用具有标准用户权限的账户登录,当然可以根据具体情况设置不同的分组权限,为分组内的账户设置不同的操作权限。
其中,内核进程权限是保证了系统服务的正常运行,赋予系统及系统服务的权限,该属于内核进程权限的账户是系统产生的,为了避免用户管理员权限的滥用,保护Windows的安全运行,一般的权限都是无法获取与内核进程权限等价的权限。
通常情况下,Windows下的服务程序都是以内核进程权限启动的,通过服务程序启动的程序自然也是内核进程权限的,而如果开发服务程序的时候没有考虑内核进程权限的情况,可能导致服务无程序无法运行于内核进程权限下。对于本发明实施例,属于内核进程权限的进程是可以是通过具有内核进程权限的系统服务创建的进程,当然还可以是系统运行时的必要进程,这里不进行限定,具体可以通过大数据和长期运营的方式收集内核进程权限信息,从而获取属于内核进程权限执行的行为信息。
102、汇总所述属于内核进程权限执行的行为信息,生成属于内核进程权限执行的行为白名单。
其中,属于内核进程权限执行的行为信息可以包括行为名称、行为路径以及行为标识符等信息,通过汇总属于内核进程权限执行的行为信息,将具有内核进程权限的行为信息加入行为白名单,该行为白名单相当于行为通行证,使得在行为白名单中的操作行为才可以使用内核进程权限的身份执行该操作行为,而不在行为白名单中的行为无法使用内核进程权限的身份执行该操作行为,从而实现对内核进程权限进行管理,提高系统的安全性。
对于本发明实施例,具体可以通过对属于内核进程权限执行的行为信息进行监听,生成属于内核进程权限执行的行为白名单。例如,监听内核进程139端口、445端口,监听到内核进程加载HTTP.sys驱动文件的文件名、散列值、产品名以及产品版本等信息,并记录内核进程加载HTTP.sys驱动文件的行为信息,从而形成属于内核进程权限执行的行为白名单。
103、监控通过内核进程加载预设操作行为时,判断所述预设操作行为是否处于所述行为白名单中。
由于Windows系统的安全机制是以自主访问控制为基础,不同权限身份启动的操作行为具有不同的内核进程权限,例如,lsass.exe是以内核进程权限身份启动的进程,具有最高管理权限,conime.exe是以普通管理员权限身份启动的进程,具有普通管理员权限。
对于本发明实施例,以内核进程权限身份启动的预设操作行为通常对应为系统程序或者Windows中的服务程序,具有最高管理权限,而系统攻击者往往利用漏洞提权,并以此来获得高权限运行恶意软件,使得系统存在极大的安全隐患。由于内核进程权限身份具有最高管理权限,为了避免攻击者获取到内核进程权限,这里通过监控通过内核进程加载预设操作行为时,对以内核进程加载的预设操作行为进行筛查,判断预设操作行为是否处于属于内核进程权限执行的行为白名单中,该行为白名单记录了经过确认的内核进程权限可以执行的操作行为,对于在行为白名单内的操作行为才可以使用内核进程权限身份执行程序,对于不在行为白名单内以系统身份启动的内核进程加载的预设行为操作可能是攻击者利用漏洞将权限提升至内核进程权限后,以内核进程权限执行的行为操作,应该对预设行为操作进行拦截。
104、如果否,则判定所述预设操作行为不具有内核进程权限,并拦截启动所述预设操作行为。
对于本发明实施例,如果预设操作行为不处于属于内核进程执行的行为白名单中,则说明预设操作行为的行为信息不具有内核进程权限,可能为攻击者利用漏洞提权,将权限提升至内核进程权限后,以内核进程权限身份执行的行为操作,例如,Jdbgmgr.exe加载的行为操作不在行为白名单中,监控到Jdbgmgr.exe通过内核进程权限加载行为操作,则对该行为操作进行拦截。
本发明提供一种内核进程权限的确定方法,通过汇总属于内核进程权限执行的行为信息,生成属于内核进程权限执行的行为白名单,使得在行为白名单内的操作行为可以正常执行,不在行为白名单内的操作行为被拦截,从而提高系统的安全性。与现有技术中不存在白名单拦截机制的内核进程权限的确定方式相比,由于内核进程权限执行的操作行为比较固定,本发明实施例将属于内核进程权限执行的行为信息汇总至行为白名单,根据行为白名单来监控通过内核进程权限加载的预设操作行为是否属于行为白名单内的操作行为,对不属于内核进程权限的预设操作行为进行拦截,从而降低系统的安全风险,提高系统内核的安全性。
本发明实施例提供了另一种内核进程权限的确定方法,可以降低计算机系统存在的安全风险的目的,如图2所示,所述方法包括:
201、通过任务管理器查看内核进程对应的属性信息,并根据所述内核进程对应的属性信息确定内核进程所属的权限信息。
对于本发明实施例,具体的可以通过遍历任务管理器中各个内核进程对应的属性信息,从属性信息中提取各个内核进程对应的权限标识,并根据各个内核进程对应的权限标识,确定各个内核进程所属的权限信息。
Windows的每个用户登录系统后,系统会产生一个访问令牌,该访问令牌相当于内核进程对应的权限标识,其中关联了当前用户的权限信息,用户登录后创建的每一个内核进程都含有用户的访问令牌,当内核进程视图执行某些特殊权限操作或是访问受保护的内核对象时,系统会检查访问令牌中的权限信息以决定是否授权操作。
通常情况下,任务管理器显示了计算机中所有运行的程序和进程的详细信息,由于内核进程在创建的时候便赋予内核进程所属的权限,并记录在任务管理器中,所以通过任务管理器可以查看内核进程对应的属性信息,例如,内核进程对应的文件名称、文件位置以及进程所属的权限信息等,进一步根据内核进程对应的属性信息确定内核进程所属的权限信息。
202、根据所述内核进程所属的权限信息,获取属于内核进程权限的行为信息。
由于内核进程所属的权限信息中记录有内核进程所属权限的行为,例如,spoolsv.exe进程是Windows打印任务控制程序,用以打印机就绪,属于该内核进程权限的行为是打印任务控制程序等涉及打印功能的操作行为,通过内核进程所属的权限信息,可以找到内核进程的功能,进一步获取属于内核进程权限的行为信息。
对于本发明实施例,具体可以通过从各个内核进程所属的权限信息中查找权限标识为内核进程权限标识的进程,从而获取权限标识为内核进程权限标识的行为信息,得到属于内核进程权限的行为信息。
203、识别所述属于内核进程权限执行的行为信息中的权限误报信息。
可以理解的是,为了保证属于内核进程权限的行为信息的准确性,在获取属于内核进程权限的行为信息之后,会识别属于内核进程权限执行的行为信息中的权限误报信息,该权限误报信息通常为执行进程过程中出现行为权限归属错误,通过识别属于内核进程权限执行的行为信息中的权限误报信息可以及时发现不属于内核进程权限执行的行为信息。
204、根据所述权限误报信息将行为权限归属错误的行为信息从所述属于内核进程权限执行的行为信息中删除。
对于本发明实施例,一旦发现权限误报信息,则说明该内核进程所属的权限存在错误信息,可能并非内核进程权限,需要对权限归属错误的行为信息进程处理,以免后续在形成白名单的时候将错误归属权限的行为信息加入白名单,进一步将权限归属错误的行为信息从属于内核进程权限执行的行为信息中删除。
205、汇总所述属于内核进程权限执行的行为信息,生成属于内核进程权限执行的行为白名单。
对于本发明实施例,汇总属于内核进程权限执行的行为信息,生成属于内核进程权限执行的行为白名单的具体实现过程可以参见步骤102,在此不进行赘述。
206、利用钩子函数监控通过内核进程权限加载预设操作行为的行为信息。
其中,钩子函数是Windows消息处理机制第一部分,通过设置钩子函数可以捕捉进程内或者其他进程发生的事件,对于本实施例,通过钩子函数可以监控到以内核进程权限加载的预设行为操作。
具体地,当创建一个钩子函数时,Windows会先在内存中创建一个数据结构,该数据结构包含了钩子函数的相关信息,通过相关信息来捕获执行以内核进程权限身份加载预设操作行为的消息。
需要说明的是,钩子函数没有系统的中断功能,并不能随心所欲的截获系统的底层功能,钩子函数只是Windows消息机制中设置的一个监控点,可以捕获内核进程发生的预设操作行为事件,一旦监控到预设操作行为的事件的发生后,可以通过调用其他处理函数来实现不同的处理功能。
207、当监控到通过内核进程权限加载预设操作行为的行为信息时,从所述通过内核进程权限加载的预设操作行为中提取行为标识符。
由于以内核进程权限身份执行的预设操作行为具有系统最高的权限,为了保证系统的安全性,需要对预设行为操作所属的权限信息进一步确认,所以通过从以内核进程权限身份加载的预设操作行为中提取行为标识符,来判定该预设行为操作是否为内核进程权限可以执行安全操作。
对于本发明实施例,由于每一个操作行为都有唯一的行为标识符,因为其唯一,所以系统可以通过行为标识符定位到进程的操作行为,具体可以通过解析进程拥有的子目录,该子目录中存储有进程执行行为操作的信息,进而从子目录中记录获取进程执行操作行为的行为标识符。
208、判断所述行为白名单中是否记录有所述预设操作行为的行为标识符。
由于行为白名单中记录有属于内核进程执行操作行为的行为标识符,且该行为标识符为标识内核进程执行操作行为的唯一标识,可以用来准确定位内核进程。
对于本发明实施例,由于预设操作行为可能并非是经过安全认证的进程,可能为不具有内核进程权限身份执行的进程,而是通过漏洞提升权利至内核进程权限后执行的行为操作,通过判断行为白名单中是否记录有预设操作行为的行为标识符,可以判断预设行为操作是否处于行为白名单中经过安全认证的行为操作中,从而提高系统运行过程中的安全性。
209a、如果否,则判定所述预设操作行为不具有内核进程权限,并执行拦截所述预设操作行为。
对于本发明实施例,如果行为白名单中未记录有预设操作行为的行为标识符,说明预设操作行为并未处于行为白名单中经过安全认证的操作行为中,则判定预设操作行为不具有内核进程权限,并执行拦截预设操作行为,从而针对不属于内核进程权限的行为操作进行限制和管理,提高系统运行的安全性。
与步骤209a对应的有步骤209b、如果是,则判定所述预设操作行为具有内核进程权限,并执行启动所述预设操作行为。
对于本发明实施例,如果行为白名单中记录有预设操作行为的行为标识符,说明预设操作行为处于行为白名单中经过安全认证的操作行为中,则判定预设操作行为具有内核进程权限,为安全进程,并执行启动预设操作行为。
本发明提供另一种内核进程权限的确定方法,通过汇总属于内核进程权限执行的行为信息,生成属于内核进程权限执行的行为白名单,使得在行为白名单内的操作行为可以正常执行,不在行为白名单内的操作行为被拦截,从而提高系统的安全性。与现有技术中不存在白名单拦截机制的内核进程权限的确定方式相比,由于内核进程权限执行的操作行为比较固定,本发明实施例将属于内核进程权限执行的行为信息汇总至行为白名单,根据行为白名单来监控通过内核进程权限加载的预设操作行为是否属于行为白名单内的操作行为,对不属于内核进程权限的预设操作行为进行拦截,从而降低系统的安全风险,提高系统内核的安全性。
进一步地,作为图1所述方法的具体实现,本发明实施例提供了一种内核进程权限的确定装置,如图3所示,所述装置包括:获取单元31、生成单元32、判断单元33、确定单元34。
获取单元31,可以用于获取属于内核进程权限执行的行为信息;
生成单元32,可以用于汇总所述属于内核进程权限执行的行为信息,生成属于内核进程权限执行的行为白名单;
判断单元33,可以用于监控通过内核进程加载预设操作行为时,判断所述预设操作行为是否处于所述行为白名单中;
确定单元34,可以用于如果所述预设操作行为未处于所述行为白名单中,则判定所述预设操作行为不具有内核进程权限,并拦截启动所述预设操作行为。
本发明提供一种内核进程权限的确定装置,通过汇总属于内核进程权限执行的行为信息,生成属于内核进程权限执行的行为白名单,使得在行为白名单内的操作行为可以正常执行,不在行为白名单内的操作行为被拦截,从而提高系统的安全性。与现有技术中不存在白名单拦截机制的内核进程权限的确定方式相比,由于内核进程权限执行的操作行为比较固定,本发明实施例将属于内核进程权限执行的行为信息汇总至行为白名单,根据行为白名单来监控通过内核进程权限加载的预设操作行为是否属于行为白名单内的操作行为,对不属于内核进程权限的预设操作行为进行拦截,从而降低系统的安全风险,提高系统内核的安全性。
作为图4中所示内核进程权限的确定装置的进一步说明,图4是根据本发明实施例另一种内核进程权限的确定装置的结构示意图,如图4所示,所述装置还包括:
识别单元35,可以用于在所述汇总所述属于内核进程权限执行的行为信息,生成属于内核进程权限执行的行为白名单之前,识别所述属于内核进程权限执行的行为信息中的权限误报信息,所述权限误报信息为执行进程过程中出现行为权限归属错误的信息;
删除单元36,可以用于根据所述行为权限误报信息将权限归属错误的行为信息从所述属于内核进程权限执行的行为信息中删除。
进一步地,所述确定单元34,还可以用于如果所述行为白名单中记录有所述预设操作行为的行为标识符,则判定所述预设操作行为具有内核进程权限,并执行启动所述预设操作行为。
进一步地,所述获取单元31包括:
确定模块311,可以用于通过任务管理器查看内核进程对应的属性信息,并根据所述内核进程对应的属性信息确定内核进程所属的权限信息;
获取模块312,可以用于根据所述内核进程所属的权限信息,获取属于内核进程权限的行为信息。
进一步地,所述确定模块311,具体可以用于遍历所述任务管理器中各个内核进程对应的属性信息,从所述属性信息中提取各个内核进程对应的权限标识;
所述确定模块311,具体还可以用于根据所述各个内核进程对应的权限标识,确定各个内核进程所属的权限信息;
所述获取模块312,具体可以用于从所述各个内核进程所属的权限信息中查找权限标识为内核进程权限标识的进程;
所述获取模块312,具体还可以用于获取所述权限标识为内核进程权限标识的行为信息,得到属于内核进程权限的行为信息。
进一步地,所述行为白名单中记录有属于内核进程权限执行操作行为的行为标识符,所述判断单元33包括:
监控模块331,可以用于利用钩子函数监控通过内核进程权限加载预设操作行为的行为信息;
拦截模块332,可以用于当监控到通过内核进程权限加载预设操作行为的行为信息时,从所述通过内核进程权限加载的预设操作行为中提取行为标识符;
判断模块333,可以用于判断所述行为白名单中是否记录有所述预设操作行为的行为标识符。
需要说明的是,本实施例提供的一种内核进程权限的确定装置所涉及各功能单元的其他相应描述,可以参考图1和图2中的对应描述,在此不再赘述。
基于上述如图1和图2所示方法,相应的,本实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1和图2所示的内核进程权限的确定方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1和图2所示的方法,以及图3和图4所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种计算机设备,具体可以为个人计算机、服务器、网络设备等,该实体设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1和图2所示的内核进程权限的确定方法。
可选地,该计算机设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的内核进程权限的确定的实体设备结构并不构成对该实体设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理上述计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现。通过应用本申请的技术方案,与目前现有技术相比,由于内核进程权限执行的进程比较固定,本发明实施例将属于内核进程权限执行的进程汇总至行为白名单,根据行为白名单来监控以内核进程权限执行的进程是否属于行为白名单内的进程,对不属于内核进程权限的进程的行为信息进行拦截,从而降低系统的安全风险,提高系统内核的安全性。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (10)
1.一种内核进程权限的确定方法,其特征在于,所述方法包括:
获取属于内核进程权限执行的行为信息;
汇总所述属于内核进程权限执行的行为信息,生成属于内核进程权限执行的行为白名单;
监控通过内核进程加载预设操作行为时,判断所述预设操作行为是否处于所述行为白名单中;
如果否,则判定所述预设操作行为不具有内核进程权限,并拦截启动所述预设操作行为。
2.根据权利要求1所述的方法,其特征在于,所述获取属于内核进程权限执行的行为信息包括:
通过任务管理器查看内核进程对应的属性信息,并根据所述内核进程对应的属性信息确定内核进程所属的权限信息;
根据所述内核进程所属的权限信息,获取属于内核进程权限的行为信息。
3.根据权利要求2所述的方法,其特征在于,所述通过任务管理器查看内核进程对应的属性信息,并根据所述内核进程对应的属性信息确定内核进程所属的权限信息包括:
遍历所述任务管理器中各个内核进程对应的属性信息,从所述属性信息中提取各个内核进程对应的权限标识;
根据所述各个内核进程对应的权限标识,确定各个内核进程所属的权限信息;
所述根据所述内核进程所属的权限信息,获取属于内核进程权限的行为信息包括:
从所述各个内核进程所属的权限信息中查找权限标识为内核进程权限标识的内核进程;
获取所述权限标识为内核进程权限标识的行为信息,得到属于内核进程权限的行为信息。
4.根据权利要求1所述的方法,其特征在于,在所述汇总所述属于内核进程权限执行的行为信息,生成属于内核进程权限执行的行为白名单之前,所述方法还包括:
识别所述属于内核进程权限执行的行为信息中的权限误报信息,所述权限误报信息为执行进程过程中出现行为权限归属错误的信息;
根据所述权限误报信息将行为权限归属错误的行为信息从所述属于内核进程权限执行的行为信息中删除。
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述行为白名单中记录有属于内核进程权限执行操作行为的行为标识符,所述监控通过内核进程加载预设操作行为时,判断所述预设操作行为是否处于所述行为白名单中包括:
利用钩子函数监控通过内核进程权限加载预设操作行为的行为信息;
当监控到通过内核进程权限加载预设操作行为的行为信息时,从所述通过内核进程权限加载的预设操作行为中提取行为标识符;
判断所述行为白名单中是否记录有所述预设操作行为的行为标识符。
6.根据权利要求5所述的方法,其特征在于,在所述判断所述行为白名单中是否记录有所述预设操作行为的行为标识符之后,所述方法还包括:
如果是,则判定所述预设操作行为具有内核进程权限,并执行启动所述预设操作行为。
7.一种内核进程权限的确定装置,其特征在于,所述装置包括:
获取单元,用于获取属于内核进程权限执行的行为信息;
生成单元,用于汇总所述属于内核进程权限执行的行为信息,生成属于内核进程权限执行的行为白名单;
判断单元,用于监控通过内核进程加载预设操作行为时,判断所述预设操作行为是否处于所述行为白名单中;
确定单元,用于如果所述预设操作行为未处于所述行为白名单中,则判定所述预设操作行为不具有内核进程权限,并拦截启动所述预设操作行为。
8.根据权利要求7所述的装置,其特征在于,所述获取单元包括:
确定模块,用于通过任务管理器查看内核进程对应的属性信息,并根据所述内核进程对应的属性信息确定内核进程所属的权限信息;
获取模块,用于根据所述内核进程所属的权限信息,获取属于内核进程权限的行为信息。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述方法的步骤。
10.一种计算机存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810420369.6A CN108683652A (zh) | 2018-05-04 | 2018-05-04 | 一种基于行为权限的处理网络攻击行为的方法及装置 |
| CN2018104203696 | 2018-05-04 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109831420A true CN109831420A (zh) | 2019-05-31 |
| CN109831420B CN109831420B (zh) | 2021-10-22 |
Family
ID=63802917
Family Applications (9)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810420369.6A Pending CN108683652A (zh) | 2018-05-04 | 2018-05-04 | 一种基于行为权限的处理网络攻击行为的方法及装置 |
| CN201811640216.9A Active CN109873803B (zh) | 2018-05-04 | 2018-12-29 | 应用程序的权限控制方法及装置、存储介质、计算机设备 |
| CN201811640217.3A Active CN109873804B (zh) | 2018-05-04 | 2018-12-29 | 基于行为的服务识别方法、装置、设备及可读存储介质 |
| CN201811646168.4A Pending CN109818937A (zh) | 2018-05-04 | 2018-12-29 | 针对安卓权限的控制方法、装置、及存储介质、电子装置 |
| CN201811640611.7A Active CN109831419B (zh) | 2018-05-04 | 2018-12-29 | shell程序权限的确定方法及装置 |
| CN201811640613.6A Active CN109831420B (zh) | 2018-05-04 | 2018-12-29 | 内核进程权限的确定方法及装置 |
| CN201811645260.9A Pending CN109818935A (zh) | 2018-05-04 | 2018-12-29 | 用户权限控制方法及装置、存储介质、计算机设备 |
| CN201811640483.6A Active CN109743315B (zh) | 2018-05-04 | 2018-12-29 | 针对网站的行为识别方法、装置、设备及可读存储介质 |
| CN201811645263.2A Active CN109714350B (zh) | 2018-05-04 | 2018-12-29 | 应用程序的权限控制方法及装置、存储介质、计算机设备 |
Family Applications Before (5)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810420369.6A Pending CN108683652A (zh) | 2018-05-04 | 2018-05-04 | 一种基于行为权限的处理网络攻击行为的方法及装置 |
| CN201811640216.9A Active CN109873803B (zh) | 2018-05-04 | 2018-12-29 | 应用程序的权限控制方法及装置、存储介质、计算机设备 |
| CN201811640217.3A Active CN109873804B (zh) | 2018-05-04 | 2018-12-29 | 基于行为的服务识别方法、装置、设备及可读存储介质 |
| CN201811646168.4A Pending CN109818937A (zh) | 2018-05-04 | 2018-12-29 | 针对安卓权限的控制方法、装置、及存储介质、电子装置 |
| CN201811640611.7A Active CN109831419B (zh) | 2018-05-04 | 2018-12-29 | shell程序权限的确定方法及装置 |
Family Applications After (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811645260.9A Pending CN109818935A (zh) | 2018-05-04 | 2018-12-29 | 用户权限控制方法及装置、存储介质、计算机设备 |
| CN201811640483.6A Active CN109743315B (zh) | 2018-05-04 | 2018-12-29 | 针对网站的行为识别方法、装置、设备及可读存储介质 |
| CN201811645263.2A Active CN109714350B (zh) | 2018-05-04 | 2018-12-29 | 应用程序的权限控制方法及装置、存储介质、计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (9) | CN108683652A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110990844A (zh) * | 2019-10-25 | 2020-04-10 | 浙江大华技术股份有限公司 | 基于内核的云数据保护方法、云服务器、系统 |
| CN111444118A (zh) * | 2020-03-23 | 2020-07-24 | 数网金融有限公司 | 一种进程保护方法、装置、终端设备及存储介质 |
| CN111783082A (zh) * | 2020-06-08 | 2020-10-16 | Oppo广东移动通信有限公司 | 进程的追溯方法、装置、终端和计算机可读存储介质 |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108683652A (zh) * | 2018-05-04 | 2018-10-19 | 北京奇安信科技有限公司 | 一种基于行为权限的处理网络攻击行为的方法及装置 |
| WO2020132877A1 (zh) * | 2018-12-25 | 2020-07-02 | 奇安信安全技术(珠海)有限公司 | 一种操作检测方法、系统及电子设备 |
| CN110781491B (zh) * | 2019-10-25 | 2022-02-18 | 苏州浪潮智能科技有限公司 | 一种进程访问文件的控制方法及装置 |
| CN110930234B (zh) * | 2019-11-18 | 2024-03-12 | 河南城建学院 | 一种具有远程访问功能的财务管理方法 |
| JP7424028B2 (ja) * | 2019-12-16 | 2024-01-30 | 株式会社デンソーウェーブ | ロボット操作端末 |
| CN111756808A (zh) * | 2020-05-28 | 2020-10-09 | 西安万像电子科技有限公司 | 数据处理方法及系统 |
| CN112003835B (zh) * | 2020-08-03 | 2022-10-14 | 奇安信科技集团股份有限公司 | 安全威胁的检测方法、装置、计算机设备和存储介质 |
| CN114237630A (zh) * | 2020-09-09 | 2022-03-25 | 中国电信股份有限公司 | 隐私权限检测方法和装置 |
| CN112689002B (zh) * | 2020-12-18 | 2023-06-20 | 北京易车互联信息技术有限公司 | app行为监控系统 |
| CN112738100B (zh) * | 2020-12-29 | 2023-09-01 | 北京天融信网络安全技术有限公司 | 数据访问的鉴权方法、装置、鉴权设备和鉴权系统 |
| CN113190836A (zh) * | 2021-03-29 | 2021-07-30 | 贵州电网有限责任公司 | 一种基于本地命令执行的web攻击行为检测方法及系统 |
| CN113505351A (zh) * | 2021-06-23 | 2021-10-15 | 湖南惠而特科技有限公司 | 一种基于身份认证的进程工业白名单访问方法及系统 |
| CN113672974A (zh) * | 2021-07-29 | 2021-11-19 | 北京奇艺世纪科技有限公司 | 权限管理方法、装置、设备及存储介质 |
| CN115118476B (zh) * | 2022-06-21 | 2023-02-28 | 拉扎斯网络科技(上海)有限公司 | 一种用户权限校验方法、装置、电子设备和可读存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101246536A (zh) * | 2008-03-06 | 2008-08-20 | 北京鼎信高科信息技术有限公司 | 基于进程监控对计算机文件进行加解密的方法 |
| CN102147845A (zh) * | 2011-04-18 | 2011-08-10 | 北京思创银联科技股份有限公司 | 进程监控方法 |
| CN102542182A (zh) * | 2010-12-15 | 2012-07-04 | 苏州凌霄科技有限公司 | 基于Windows平台的强制访问控制装置及控制方法 |
| CN102930205A (zh) * | 2012-10-10 | 2013-02-13 | 北京奇虎科技有限公司 | 一种监测单元及方法 |
| CN103778006A (zh) * | 2014-02-12 | 2014-05-07 | 成都卫士通信息安全技术有限公司 | 一种操作系统进程控制方法 |
| CN104008337A (zh) * | 2014-05-07 | 2014-08-27 | 广州华多网络科技有限公司 | 一种基于Linux系统的主动防御方法及装置 |
| CN106127031A (zh) * | 2016-06-23 | 2016-11-16 | 北京金山安全软件有限公司 | 一种保护进程的方法、装置及电子设备 |
| CN106650435A (zh) * | 2016-12-28 | 2017-05-10 | 郑州云海信息技术有限公司 | 一种保护系统安全的方法及装置 |
| CN108280349A (zh) * | 2018-01-10 | 2018-07-13 | 维沃移动通信有限公司 | 保护系统内核层的方法、移动终端及计算机可读存储介质 |
Family Cites Families (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1763710A (zh) * | 2004-10-22 | 2006-04-26 | 中国人民解放军国防科学技术大学 | 基于能力的特权最小化方法 |
| US8286243B2 (en) * | 2007-10-23 | 2012-10-09 | International Business Machines Corporation | Blocking intrusion attacks at an offending host |
| CN101504604A (zh) * | 2009-03-13 | 2009-08-12 | 张昊 | 一种权限管理验证应用方法 |
| CN101872397B (zh) * | 2010-06-08 | 2012-05-23 | 用友软件股份有限公司 | 权限角色继承方法 |
| CN101917448A (zh) * | 2010-08-27 | 2010-12-15 | 山东中创软件工程股份有限公司 | 基于.net的应用中实现rbac访问权限控制方法 |
| CN101997912A (zh) * | 2010-10-27 | 2011-03-30 | 苏州凌霄科技有限公司 | 基于Android平台的强制访问控制装置及控制方法 |
| US20130198466A1 (en) * | 2012-01-27 | 2013-08-01 | Hitachi, Ltd. | Computer system |
| CN102663318B (zh) * | 2012-03-22 | 2015-04-08 | 百度在线网络技术(北京)有限公司 | 一种浏览器进程权限的控制方法 |
| CN103516680A (zh) * | 2012-06-25 | 2014-01-15 | 上海博腾信息科技有限公司 | 一种办公系统的权限管理系统及其实现方法 |
| CN102915417A (zh) * | 2012-09-18 | 2013-02-06 | 鸿富锦精密工业(深圳)有限公司 | 应用程序监控系统及应用程序监控方法 |
| CN103812958B (zh) * | 2012-11-14 | 2019-05-07 | 中兴通讯股份有限公司 | 网络地址转换技术的处理方法、nat设备及bng设备 |
| CN102970299B (zh) * | 2012-11-27 | 2015-06-03 | 西安电子科技大学 | 文件安全保护系统及其方法 |
| CN103268451B (zh) * | 2013-06-08 | 2017-12-05 | 上海斐讯数据通信技术有限公司 | 一种基于移动终端的动态权限管理系统 |
| CN103617381B (zh) * | 2013-11-21 | 2018-03-16 | 北京奇安信科技有限公司 | 设备的权限配置方法和权限配置系统 |
| CN103679007B (zh) * | 2013-12-19 | 2017-01-04 | 深圳全智达通信股份有限公司 | 一种管理应用程序权限的方法、装置及移动设备 |
| US9614851B1 (en) * | 2014-02-27 | 2017-04-04 | Open Invention Network Llc | Security management application providing proxy for administrative privileges |
| CN103927476B (zh) * | 2014-05-07 | 2017-09-15 | 上海联彤网络通讯技术有限公司 | 实现应用程序权限管理的智能系统及方法 |
| CN104125219B (zh) * | 2014-07-07 | 2017-06-16 | 四川中电启明星信息技术有限公司 | 针对电力信息系统的身份集中授权管理方法 |
| US9916475B2 (en) * | 2014-08-11 | 2018-03-13 | North Carolina State University | Programmable interface for extending security of application-based operating system |
| US9026840B1 (en) * | 2014-09-09 | 2015-05-05 | Belkin International, Inc. | Coordinated and device-distributed detection of abnormal network device operation |
| CN105516055B (zh) * | 2014-09-23 | 2020-07-14 | 腾讯科技(深圳)有限公司 | 数据访问方法、访问设备、目标设备及管理服务器 |
| CN104268470B (zh) * | 2014-09-26 | 2018-02-13 | 酷派软件技术(深圳)有限公司 | 安全控制方法和安全控制装置 |
| CN104484594B (zh) * | 2014-11-06 | 2017-10-31 | 中国科学院信息工程研究所 | 一种基于权能机制的linux系统特权分配方法 |
| CN104503880A (zh) * | 2014-12-16 | 2015-04-08 | 新余兴邦信息产业有限公司 | 一种MySQL数据库监控选项脚本的实现方法及装置 |
| CN104484599B (zh) * | 2014-12-16 | 2017-12-12 | 北京奇虎科技有限公司 | 一种基于应用程序的行为处理方法和装置 |
| KR101619414B1 (ko) * | 2015-01-06 | 2016-05-10 | 한국인터넷진흥원 | 개인화된 초기 이용행위 패턴분석을 이용한 비정상 행위 탐지시스템 |
| CN104820791B (zh) * | 2015-05-19 | 2017-12-15 | 大唐网络有限公司 | 应用软件的权限控制方法和系统 |
| CN105049592B (zh) * | 2015-05-27 | 2020-02-14 | 中国科学院信息工程研究所 | 移动智能终端语音安全防护方法及系统 |
| CN106650438A (zh) * | 2015-11-04 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种恶意程序检测的方法及装置 |
| CN105491063A (zh) * | 2015-12-30 | 2016-04-13 | 深圳市深信服电子科技有限公司 | 防御网络入侵的方法及装置 |
| WO2017115356A1 (en) * | 2015-12-31 | 2017-07-06 | Cyber 2.0 (2015) Ltd. | Monitoring traffic in a computer network |
| CN106228059A (zh) * | 2016-07-22 | 2016-12-14 | 南京航空航天大学 | 基于三员管理和拓展的角色访问控制方法 |
| CN106603509B (zh) * | 2016-11-29 | 2020-07-07 | 中科曙光信息技术无锡有限公司 | 一种企业文档管理方法 |
| CN106778345B (zh) * | 2016-12-19 | 2019-10-15 | 网易(杭州)网络有限公司 | 基于操作权限的数据的处理方法和装置 |
| CN106650418A (zh) * | 2016-12-21 | 2017-05-10 | 天津大学 | 基于多策略的Android访问控制系统及方法 |
| CN107018140B (zh) * | 2017-04-24 | 2021-06-04 | 深信服科技股份有限公司 | 一种权限控制方法和系统 |
| CN113328861B (zh) * | 2017-08-23 | 2022-11-01 | 重庆京像微电子有限公司 | 权限的验证方法、装置和系统 |
| CN107506646B (zh) * | 2017-09-28 | 2021-08-10 | 努比亚技术有限公司 | 恶意应用的检测方法、装置及计算机可读存储介质 |
| CN107832590A (zh) * | 2017-11-06 | 2018-03-23 | 珠海市魅族科技有限公司 | 终端控制方法及装置、终端及计算机可读存储介质 |
| CN108683652A (zh) * | 2018-05-04 | 2018-10-19 | 北京奇安信科技有限公司 | 一种基于行为权限的处理网络攻击行为的方法及装置 |
-
2018
- 2018-05-04 CN CN201810420369.6A patent/CN108683652A/zh active Pending
- 2018-12-29 CN CN201811640216.9A patent/CN109873803B/zh active Active
- 2018-12-29 CN CN201811640217.3A patent/CN109873804B/zh active Active
- 2018-12-29 CN CN201811646168.4A patent/CN109818937A/zh active Pending
- 2018-12-29 CN CN201811640611.7A patent/CN109831419B/zh active Active
- 2018-12-29 CN CN201811640613.6A patent/CN109831420B/zh active Active
- 2018-12-29 CN CN201811645260.9A patent/CN109818935A/zh active Pending
- 2018-12-29 CN CN201811640483.6A patent/CN109743315B/zh active Active
- 2018-12-29 CN CN201811645263.2A patent/CN109714350B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101246536A (zh) * | 2008-03-06 | 2008-08-20 | 北京鼎信高科信息技术有限公司 | 基于进程监控对计算机文件进行加解密的方法 |
| CN102542182A (zh) * | 2010-12-15 | 2012-07-04 | 苏州凌霄科技有限公司 | 基于Windows平台的强制访问控制装置及控制方法 |
| CN102147845A (zh) * | 2011-04-18 | 2011-08-10 | 北京思创银联科技股份有限公司 | 进程监控方法 |
| CN102930205A (zh) * | 2012-10-10 | 2013-02-13 | 北京奇虎科技有限公司 | 一种监测单元及方法 |
| CN103778006A (zh) * | 2014-02-12 | 2014-05-07 | 成都卫士通信息安全技术有限公司 | 一种操作系统进程控制方法 |
| CN104008337A (zh) * | 2014-05-07 | 2014-08-27 | 广州华多网络科技有限公司 | 一种基于Linux系统的主动防御方法及装置 |
| CN106127031A (zh) * | 2016-06-23 | 2016-11-16 | 北京金山安全软件有限公司 | 一种保护进程的方法、装置及电子设备 |
| CN106650435A (zh) * | 2016-12-28 | 2017-05-10 | 郑州云海信息技术有限公司 | 一种保护系统安全的方法及装置 |
| CN108280349A (zh) * | 2018-01-10 | 2018-07-13 | 维沃移动通信有限公司 | 保护系统内核层的方法、移动终端及计算机可读存储介质 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110990844A (zh) * | 2019-10-25 | 2020-04-10 | 浙江大华技术股份有限公司 | 基于内核的云数据保护方法、云服务器、系统 |
| CN110990844B (zh) * | 2019-10-25 | 2022-04-08 | 浙江大华技术股份有限公司 | 基于内核的云数据保护方法、云服务器、系统 |
| CN111444118A (zh) * | 2020-03-23 | 2020-07-24 | 数网金融有限公司 | 一种进程保护方法、装置、终端设备及存储介质 |
| CN111444118B (zh) * | 2020-03-23 | 2022-04-05 | 数网金融有限公司 | 一种进程保护方法、装置、终端设备及存储介质 |
| CN111783082A (zh) * | 2020-06-08 | 2020-10-16 | Oppo广东移动通信有限公司 | 进程的追溯方法、装置、终端和计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109818937A (zh) | 2019-05-28 |
| CN108683652A (zh) | 2018-10-19 |
| CN109743315A (zh) | 2019-05-10 |
| CN109714350A (zh) | 2019-05-03 |
| CN109873804B (zh) | 2021-07-23 |
| CN109818935A (zh) | 2019-05-28 |
| CN109831419B (zh) | 2021-10-01 |
| CN109873803B (zh) | 2021-07-20 |
| CN109831419A (zh) | 2019-05-31 |
| CN109743315B (zh) | 2021-10-22 |
| CN109714350B (zh) | 2021-11-23 |
| CN109873803A (zh) | 2019-06-11 |
| CN109873804A (zh) | 2019-06-11 |
| CN109831420B (zh) | 2021-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109831420A (zh) | 内核进程权限的确定方法及装置 | |
| CN109871691B (zh) | 基于权限的进程管理方法、系统、设备及可读存储介质 | |
| KR20190090037A (ko) | 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법 | |
| CN111191226B (zh) | 利用提权漏洞的程序的确定方法、装置、设备及存储介质 | |
| CN107358096B (zh) | 文件病毒查杀方法及系统 | |
| CN109409087B (zh) | 防提权检测方法及设备 | |
| US20120159566A1 (en) | Access control framework | |
| US9516031B2 (en) | Assignment of security contexts to define access permissions for file system objects | |
| Bleikertz et al. | Secure cloud maintenance: protecting workloads against insider attacks | |
| CN107301082A (zh) | 一种实现操作系统完整性保护的方法和装置 | |
| CN109726601A (zh) | 违规行为的识别方法及装置、存储介质、计算机设备 | |
| US11726896B2 (en) | Application monitoring using workload metadata | |
| CN109783316A (zh) | 系统安全日志篡改行为的识别方法及装置、存储介质、计算机设备 | |
| CN109815701A (zh) | 软件安全的检测方法、客户端、系统及存储介质 | |
| CN109784051A (zh) | 信息安全防护方法、装置及设备 | |
| CN114175067A (zh) | 安全事故调查工作空间生成和调查控制 | |
| CN115396140A (zh) | 应用访问控制方法、装置、存储介质及计算机设备 | |
| CN110677483B (zh) | 信息处理系统和可信安全管理系统 | |
| US11321481B1 (en) | Method for determining to grant or deny a permission request based on empirical data aggregation | |
| CN115935328A (zh) | 资源访问控制方法、装置、设备及存储介质 | |
| CN115878336A (zh) | 锁操作中的信息处理方法、装置及计算设备 | |
| EP2869245A2 (en) | Service modeling and execution | |
| CN109800580A (zh) | 系统进程的权限控制方法及装置、存储介质、计算机设备 | |
| Dakic et al. | Linux Security in Physical, Virtual, and Cloud Environments | |
| US11748511B2 (en) | Protecting data based on context of data movement operation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Patentee after: Qianxin Safety Technology (Zhuhai) Co.,Ltd. Patentee after: Qianxin Technology Group Co., Ltd Address before: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Patentee before: 360 ENTERPRISE SECURITY TECHNOLOGY (ZHUHAI) Co.,Ltd. Patentee before: Beijing Qianxin Technology Co., Ltd |
|
| CP01 | Change in the name or title of a patent holder |