基于权限的进程管理方法、系统、设备及可读存储介质
技术领域
本发明涉及互联网技术领域,特别是涉及一种基于权限的进程管理方法、系统、设备及可读存储介质。
背景技术
随着互联网技术的飞速发展以及终端的日益普及,越来越多的用户选择使用终端执行日常生活中的各项活动,例如社交、通讯、拍照、游戏、购物等。用户在终端中进行各项活动时,通常是基于终端中应用的进程实现的,为了保证进程的正常运行,终端中搭载了操作系统,进程是操作系统中最基本的执行单元。在进程的正常运行中,为了防止进程被攻击者攻击,导致进程的瘫痪,给用户带来不便,终端会通过拦截进程的动作或者限制进程的权限对进程进行管理,从而防御对进程的攻击。
相关技术中,在对进程进行管理时,每个进程的动作以及权限均是固定的,如果检测到某一进程执行的动作或者权限超出了其自身规定的动作和权限,则禁止该进程当前执行的动作或者权限。
在实现本发明的过程中,发明人发现相关技术至少存在以下问题:
操作系统中绝大多数进程都处于没有设置权限的状态,攻击者可以利用没有设置权限的进程在操作系统中进行上传、下载或注入其他进程等,导致对操作系统造成重大破坏,安全性较差。
发明内容
有鉴于此,本发明提供了一种基于权限的进程管理方法、系统、设备及可读存储介质,主要目的在于解决目前可能使操作系统造成重大破坏,安全性较差的问题。
依据本发明第一方面,提供了一种基于权限的进程管理方法,该方法包括:
当检测到敏感行为发生时将所述敏感行为与基本行为权限集进行比对所述基本行为权限集规定了系统中允许执行的至少一个行为动作;
如果所述基本行为权限集中不包括所述敏感行为,则确定请求执行所述敏感行为的目标行为主体,获取所述目标行为主体的目标权限规则,所述目标权限规则规定了允许所述目标行为主体执行的至少一个行为动作;
如果所述目标权限规则不包括所述敏感行为,则获取目标行为主体的目标流程规则,对所述敏感行为进行监控,获取所述敏感动作请求执行的待识别相关文件,所述目标流程规则包括允许所述目标行为主体执行的至少一个相关文件;
如果所述目标流程规则中包括所述待识别相关文件,则允许所述敏感行为执行所述待识别相关文件。
在另一个实施例中,所述当检测到敏感行为发生时,将所述敏感行为与基本行为权限集进行比对之前,所述方法还包括:
当检测到所述目标行为主体运行时,对所述目标行为主体的系统行为进行监控,生成所述目标行为主体的多个行为动作;
对所述多个行为动作进行整理,生成所述目标行为主体的目标权限规则,将所述目标权限规则与所述目标行为主体的主体标识对应存储。
在另一个实施例中,所述当检测到所述目标行为主体运行时,对所述目标行为主体的系统行为进行监控,生成所述目标行为主体的多个行为动作,包括:
当检测到所述目标行为主体运行时,对所述目标行为主体的系统行为进行监控,获取所述目标行为主体的候选行为动作,所述候选行为动作为所述目标行为主体在监控过程中执行过的全部行为动作;
分别确定候选行为动作的操作类型,按照所述操作类型对候选行为动作进行分类,得到多个行为动作。
在另一个实施例中,所述服务器对所述多个行为动作进行整理,生成所述目标行为主体的目标权限规则,将所述目标权限规则与所述目标行为主体的主体标识对应存储,包括:
获取预设规则模板,按照所述预设规则模板,对所述多个行为动作进行整理,生成所述目标行为主体的权限规则;
提取所述目标行为主体的主体标识,将所述目标权限规则与所述主体标识对应存储。
在另一个实施例中,所述方法还包括:
如果所述基本行为权限集中包括所述敏感行为,则允许所述敏感行为执行;或,
如果所述目标权限规则包括所述敏感行为,则允许所述敏感行为执行;或,
如果所述目标流程规则中不包括所述待识别相关文件,则禁止所述敏感行为执行所述待识别相关文件。
依据本发明第二方面,提供了一种基于权限的进程管理系统,包括客户端和服务器,其中,
所述客户端包括:
比对模块,用于当检测到敏感行为发生时,将所述敏感行为与基本行为权限集进行比对,所述基本行为权限集规定了系统中允许执行的至少一个行为动作;
所述服务器包括:
获取模块,用于如果所述基本行为权限集中不包括所述敏感行为,则确定请求执行所述敏感行为的目标行为主体,获取所述目标行为主体的目标权限规则,所述目标权限规则规定了允许所述目标行为主体执行的至少一个行为动作;
第一监控模块,用于如果所述目标权限规则不包括所述敏感行为,则获取目标行为主体的目标流程规则,对所述敏感行为进行监控,获取所述敏感动作请求执行的待识别相关文件,所述目标流程规则包括允许所述目标行为主体执行的至少一个相关文件;
执行模块,用于如果所述目标流程规则中包括所述待识别相关文件,则允许所述敏感行为执行所述待识别相关文件。
在另一个实施例中,所述客户端还包括:
第二监控模块,用于当检测到所述目标行为主体运行时,对所述目标行为主体的系统行为进行监控,生成所述目标行为主体的多个行为动作,将所述多个行为动作上传至所述服务器;
所述服务器还包括:
整理模块,用于所述服务器对所述多个行为动作进行整理,生成所述目标行为主体的目标权限规则,将所述目标权限规则与所述目标行为主体的主体标识对应存储。
在另一个实施例中,所述第二监控模块,包括:
获取子模块,用于当检测到所述目标行为主体运行时,对所述目标行为主体的系统行为进行监控,获取所述目标行为主体的候选行为动作,所述候选行为动作为所述目标行为主体在监控过程中执行过的全部行为动作;
分类子模块,用于分别确定候选行为动作的操作类型,按照所述操作类型对候选行为动作进行分类,得到多个行为动作。
在另一个实施例中,所述整理模块,包括:
整理子模块,用于获取预设规则模板,按照所述预设规则模板,对所述多个行为动作进行整理,生成所述目标行为主体的权限规则;
存储子模块,用于提取所述目标行为主体的主体标识,将所述目标权限规则与所述主体标识对应存储。
在另一个实施例中,所述执行模块,还用于如果所述基本行为权限集中包括所述敏感行为,则允许所述敏感行为执行;或,如果所述目标权限规则包括所述敏感行为,则允许所述敏感行为执行;或,
所述服务器还包括:
禁止模块,如果所述目标流程规则中不包括所述待识别相关文件,则禁止所述敏感行为执行所述待识别相关文件。
依据本发明第三方面,提供了一种设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述方法的步骤。
依据本发明第四方面,提供了一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的方法的步骤。
借由上述技术方案,本发明提供的一种基于权限的进程管理方法、装置、设备及可读存储介质,与目前每个进程的动作以及权限均是固定的方式相比,本发明当检测到敏感行为发生时,将敏感行为与基本行为权限集进行比对,如果基本行为权限集中不包括敏感行为,则确定请求执行敏感行为的目标行为主体,获取目标行为主体的目标权限规则,如果目标权限规则不包括敏感行为,则获取目标行为主体的目标流程规则,对敏感行为进行监控,获取敏感动作请求执行的待识别相关文件,如果目标流程规则中包括待识别相关文件,则允许敏感行为执行待识别相关文件,保证对每一个敏感的行为进行判断,不会发生由于未设置权限集而导致无法对敏感行为进行识别的情况,避免攻击者入侵对操作系统造成重大的破坏,安全性较好。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种基于权限的进程管理方法流程示意图;
图2A示出了本发明实施例提供的一种基于权限的进程管理方法流程示意图;
图2B示出了本发明实施例提供的一种基于权限的进程管理方法流程示意图;
图3A示出了本发明实施例提供的一种基于权限的进程管理系统的结构示意图;
图3B示出了本发明实施例提供的一种基于权限的进程管理系统的结构示意图;
图3C示出了本发明实施例提供的一种基于权限的进程管理系统的结构示意图;
图3D示出了本发明实施例提供的一种基于权限的进程管理系统的结构示意图;
图3E示出了本发明实施例提供的一种基于权限的进程管理系统的结构示意图;
图4示出了本发明实施例提供的一种基于权限的进程管理的装置结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种基于权限的进程管理方法,可以根据进程运行过程中实际执行的行为动作,为每一个进程设置与其自身相关的不同的权限规则,达到了避免由于进程的权限过大而攻击者入侵对操作系统造成重大的破坏,安全性较好的目的,如图1所示,该方法包括:
101、当检测到敏感行为发生时,将敏感行为与基本行为权限集进行比对,基本行为权限集规定了系统中允许执行的至少一个行为动作。
在本发明实施例中,为了使后续可以根据权限规则进行行为的限制,当检测到敏感行为发生时,便需要将敏感行为与基本行为权限集进行比对,以便确定该敏感行为是否可以执行。
102、如果基本行为权限集中不包括敏感行为,则确定请求执行敏感行为的目标行为主体,获取目标行为主体的目标权限规则,目标权限规则规定了允许目标行为主体执行的至少一个行为动作。
在本发明实施例中,考虑到有时候有些行为主体的敏感行为是正常行为,但是并没有被收录在基本行为权限集中,因此,确定请求执行敏感行为的目标行为主体,获取目标行为主体的目标权限规则,以便在后续基于目标权限规则集对该敏感行为进行识别。
103、如果目标权限规则不包括敏感行为,则获取目标行为主体的目标流程规则,对敏感行为进行监控,获取敏感动作请求执行的待识别相关文件,目标流程规则包括允许目标行为主体执行的至少一个相关文件。
在本发明实施例中,考虑到可能目标权限规则没有收录这一敏感行为,且每一个行为动作的执行均会涉及到相关文件,是具有目的性的,有些是行为动作可以操作的,有些是行为动作不可以操作的,例如,进程A可以请求读写数据目录下的数据库文件,但是进程A不许请求创建端口文件,因此,对敏感行为进行监控,获取敏感行为在目标行为主体中请求执行的待识别相关文件,将敏感行为与待识别相关文件上传至服务器,使得服务器根据待识别相关文件确定是否允许敏感行为执行待识别相关文件。
104、如果目标流程规则中包括待识别相关文件,则允许敏感行为执行待识别相关文件。
在本发明实施例中,如果目标流程规则中包括待识别相关文件,则表示该待识别相关文件是允许敏感行为执行的,因此,允许敏感行为执行待识别相关文件。
本发明实施例提供的方法,当检测到敏感行为发生时,将敏感行为与基本行为权限集进行比对,如果基本行为权限集中不包括敏感行为,则确定请求执行敏感行为的目标行为主体,获取目标行为主体的目标权限规则,如果目标权限规则不包括敏感行为,则获取目标行为主体的目标流程规则,对敏感行为进行监控,获取敏感动作请求执行的待识别相关文件,如果目标流程规则中包括待识别相关文件,则允许敏感行为执行待识别相关文件,保证对每一个敏感的行为进行判断,不会发生由于未设置权限集而导致无法对敏感行为进行识别的情况,避免攻击者入侵对操作系统造成重大的破坏,安全性较好。
本发明实施例提供了一种基于权限的进程管理方法,可以根据进程运行过程中实际执行的行为动作,为每一个进程设置与其自身相关的不同的权限规则,达到了避免由于进程的权限过大而攻击者入侵对操作系统造成重大的破坏,安全性较好的目的,如图2A所示,该方法包括:
201、当检测到目标行为主体运行时,对目标行为主体的系统行为进行监控,生成目标行为主体的多个行为动作。
在本发明实施例中,以行为主体为进程进行说明。发明人认识到,如果在管理行为主体时为每一个行为主体设置固定的较小权限,则行为主体在后续的运行中很可能会由于权限不足而导致不能正常运行;如果在管理行为主体时为每一个行为主体设置固定的较大权限,则行为主体在后续的运行中很可能用不上这么大的权限,且很有可能被攻击者利用权限,导致操作系统被攻击。为了使给行为主体分配的权限不仅可以满足行为主体日常运行的需要,还可以避免被攻击者利用,本发明根据行为主体在实际运行中的行为动作为行为主体分配权限,从而保证每个行为主体的权限都是最适合行为主体本身的权限。
为了确定行为主体在日常运行的过程中实际执行了哪些行为动作,当检测到待管理行为主体运行时,需要识别行为主体的行为动作,从而为行为主体确定多个候选行为动作。具体地,在对行为主体的行为动作进行识别时,可以设置识别周期,通过操作系统的系统内核HOOK(钩子程序)技术对行为主体在整个识别周期的运行过程进行监控,并记录下行为主体在识别周期的运行过程中全部的行为动作,将全部的行为动作均作为候选行为动作。
需要说明的是,由于有些行为动作的实质是相同的,使得不仅这些行为动作的执行过程是相同的,执行过程中所依赖的文件也是相同的,例如,下载文件A行为和下载文件B行为均为下载行为,仅是下载的文件不同,而执行下载行为所依赖的文件是固定的,因此,在获取到待管理行为主体在运行过程中的全部行为动作后,将获取到的全部行为动作作为候选行为动作,并按照操作类型对获取到的全部候选行为动作进行归类划分,将实质相同的候选行为动作划分为同一种行为动作,并将该类候选行为动作作为一种行为动作,从而减轻后续对候选行为动作统计的压力。例如,可以将全部的候选行为动作划分为文件下载行为、注册表生成行为、网络连接行为以及驱动运行行为,并将上述的几类行为动作均作为行为动作。本发明实施例对行为动作的个数不进行具体限定。
202、获取预设规则模板,按照预设规则模板,对多个行为动作进行整理,生成目标行为主体的权限规则,提取目标行为主体的主体标识,将目标权限规则与主体标识对应存储。
在本发明实施例中,在确定了多个行为动作后,为了使后续可以确定待管理进程执行的行为动作所做的操作是否符合规则的要求,可以为多个行为动作生成行为规则,使得后续可以基于为每一个行为动作生成的行为规则构成该待管理进程的权限规则,以便基于该权限规则对待管理进程的行为动作进行约束,避免攻击者利用待管理进程可以执行的行为动作执行一些违法操作。具体地,考虑到不同时期生成的权限规则很可能格式有很多种,导致管理权限规则具有困难,因此,可以统一生成相同格式的权限规则,从而便于对生成的权限规则进行管理。服务器中可以设置预设规则模板,在生成权限规则时,可以首先获取预设规则模板,按照预设规则模板,对多个行为动作进行整理,从而生成待管理进程的权限规则。随后,提取目标行为主体的主体标识,将权限规则与主体标识对应存储,从而完成为目标行为主体设置权限规则。
203、监控目标行为主体在运行过程中请求执行的至少一个相关文件,将至少一个相关文件作为目标流程规则,将目标流程规则与主体标识对应存储。
在本发明实施例中,由于目标行为主体在运行过程中的每个行为动作的执行均是具有目的性的,也即会涉及到相关的文件,例如,行为主体A在执行行为动作时,通常是为了启动自身目录下的文件,如果行为主体A在执行行为动作时请求了其他的不明文件,则很有可能是攻击者在对操作系统进行攻击,因此,确定目标行为主体在运行时的相关文件,将这些相关文件作为该目标行为主体的目标流程规则,以便在基于该目标流程规则对无法识别的敏感行为进行识别。
其中,在确定相关文件时,可以对目标行为主体的运行过程进行统计,将目标行为主体在运行过程中涉及的全部且能够保证安全的文件均作为相关文件。
在得到了目标行为主体在执行过程中可以操作的相关文件后,便可以将这些相关文件作为该目标行为主体的目标流程规则。
通过上述的过程,便可以为每一个行为主体设置一个与其对应的权限规则以及流程规则,这样,在后续行为主体运行的过程中,便可以基于行为主体对应的权限规则以及流程规则对行为主体的行为动作进行限制,从而避免行为主体执行不允许执行的行为。具体地,当检测到行为主体请求执行并对行为主体请求执行的行为动作进行检测时,参见下述图2B,该方法包括:
204、当检测到敏感行为发生时,将敏感行为与基本行为权限集进行比对,如果基本行为权限集中包括敏感行为,则执行下述步骤205;如果基本行为权限集中不包括敏感行为,则执行下述步骤206。
在本发明实施例中,考虑到有一些行为主体尚未设置与其对应的行为规则以及流程规则,使得无法对其产生的敏感行为进行识别,因此,可以设置一个适用于系统中全部执行主体的基本行为权限集,并基于该基本行为权限集规定系统中全部的行为主体允许执行的至少一个行为动作,使得可以先根据该基本行为权限集进行初步的识别,并根据得到的结果进行进一步的识别。
这样,当检测到敏感行为发生时,将敏感行为与基本行为权限集进行比对,如果基本行为权限集中包括敏感行为,则表示该敏感行为是合法的,可以正常执行,也即执行下述步骤205;如果基本行为权限集中不包括敏感行为,则表示该敏感行为没有被包括在该基本行为权限集中,需要继续采用其他方式对该敏感行为进行识别,也即执行下述步骤206。
205、如果基本行为权限集中包括敏感行为,则允许敏感行为执行。
如果基本行为权限集中包括敏感行为,则表示该敏感行为是合法的,可以正常执行,因此允许敏感行为执行。
206、如果基本行为权限集中不包括敏感行为,则确定请求执行敏感行为的目标行为主体,获取目标行为主体的目标权限规则,如果目标权限规则包括敏感行为,则执行下述步骤207;如果目标权限规则不包括敏感行为,则执行下述步骤208。
在本发明实施例中,如果基本行为权限集中不包括敏感行为,则表示该敏感行为没有被包括在该基本行为权限集中,需要继续采用其他方式对该敏感行为进行识别。首先需要确定是哪一个行为主体请求执行该敏感行为;随后,由于每一个行为主体均存在与其对应的权限规则,且权限规则是根据行为主体的实际行为动作生成的,因此,获取该目标行为主体对应的目标权限规则,以便后续根据目标权限规则确定该敏感行为是否可以执行。
其中,由于操作系统在存储权限规则时采用了行为主体的主体标识对每一个权限规则进行标记,因此,在确定目标权限规则时,可以提取目标行为主体的主体标识,通过查找主体标识对应的权限规则来确定目标权限规则。
如果目标权限规则包括敏感行为,则表示该敏感行为是合法的,可以正常执行,也即执行下述步骤207;如果目标权限规则不包括敏感行为,则表示该敏感行为没有被包括在该目标权限规则中,需要继续采用其他方式对该敏感行为进行识别,也即执行下述步骤208。
207、如果目标权限规则包括敏感行为,则允许敏感行为执行。
在本发明实施例中,如果目标权限规则包括敏感行为,则表示该敏感行为是合法的,可以正常执行,因此允许敏感行为执行。
208、如果目标权限规则不包括敏感行为,则获取目标行为主体的目标流程规则,对敏感行为进行监控,获取敏感动作请求执行的待识别相关文件,如果目标流程规则中包括待识别相关文件,则执行下述步骤209;如果目标流程规则中不包括待识别相关文件,则执行下述步骤210。
在本发明实施例中,由于敏感行为在请求执行的时候会指定一个想要执行的文件,从而满足敏感行为的执行目的,因此,可以确定该敏感行为在目标行为主体中请求执行的待识别相关文件。而该行为主体对应的目标流程规则中指定了该行为主体可以执行的相关文件,因此,可以通过查询目标流程规则中的相关文件中是否包括该待识别相关文件,来确定该敏感行为是否可以执行该待识别相关文件,也即判断该待识别相关文件是否符合目标流程规则的要求。
具体地,在目标流程规则包括的至少一个目标相关文件中查询是否存在待识别相关文件。这样,当至少一个目标相关文件中存在待识别相关文件时,可以确定该待识别相关文件是可以执行的,也即确定待识别相关文件符合目标流程规则的要求,这样,便可以允许该待识别行为主体执行该待识别相关文件,执行下述步骤209。当至少一个目标相关文件中不存在待识别相关文件时,可以该待识别相关文件并不在可以执行的范围内,也即确定待识别相关文件不符合目标权限规则的要求,这样,便需要禁止该待识别行为主体执行该待识别相关文件,执行下述步骤210。
209、如果目标流程规则中包括待识别相关文件,则允许敏感行为执行待识别相关文件。
在本发明实施例中,如果目标流程规则中包括待识别相关文件,则表示目标行为主体请求执行敏感行为是允许的,因此,允许敏感行为执行该待识别相关文件,并继续识别该目标行为主体的其他行为操作以及识别其他行为主体的行为操作。
210、如果目标流程规则中不包括待识别相关文件,则禁止敏感行为执行待识别相关文件。
在本发明实施例中,如果目标流程规则中不包括待识别相关文件,表示目标行为主体请求执行的敏感行为已经超出了可执行范围,该敏感行为是不允许执行的,因此,禁止该敏感行为执行该待识别相关文件,并继续识别该目标行为主体的其他行为操作以及识别其他行为主体的行为操作。
本发明实施例提供的方法,当检测到敏感行为发生时,将敏感行为与基本行为权限集进行比对,如果基本行为权限集中不包括敏感行为,则确定请求执行敏感行为的目标行为主体,获取目标行为主体的目标权限规则,如果目标权限规则不包括敏感行为,则获取目标行为主体的目标流程规则,对敏感行为进行监控,获取敏感动作请求执行的待识别相关文件,如果目标流程规则中包括待识别相关文件,则允许敏感行为执行待识别相关文件,保证对每一个敏感的行为进行判断,不会发生由于未设置权限集而导致无法对敏感行为进行识别的情况,避免攻击者入侵对操作系统造成重大的破坏,安全性较好。
进一步地,作为图1所述方法的具体实现,本发明实施例提供了一种基于权限的进程管理装置,如图3A所示,客户端包括:比对模块301;服务器包括获取模块302,第一监控模块303和执行模块304。
客户端包括:
该比对模块301,用于当检测到敏感行为发生时,将敏感行为与基本行为权限集进行比对,基本行为权限集规定了系统中允许执行的至少一个行为动作;
服务器包括:
该获取模块302,用于如果基本行为权限集中不包括敏感行为,则确定请求执行敏感行为的目标行为主体,获取目标行为主体的目标权限规则,目标权限规则规定了允许目标行为主体执行的至少一个行为动作;
该第一监控模块303,用于如果目标权限规则不包括敏感行为,则获取目标行为主体的目标流程规则,对敏感行为进行监控,获取敏感动作请求执行的待识别相关文件,目标流程规则包括允许目标行为主体执行的至少一个相关文件;
该执行模块304,用于如果目标流程规则中包括待识别相关文件,则允许敏感行为执行待识别相关文件。
在具体的应用场景中,如图3B所示,该客户端还包括第二监控模块305;服务器还包括整理模块306。
客户端还包括:
该第二监控模块305,用于当检测到目标行为主体运行时,对目标行为主体的系统行为进行监控,生成目标行为主体的多个行为动作,将多个行为动作上传至服务器;
服务器还包括:
该整理模块306,用于服务器对多个行为动作进行整理,生成目标行为主体的目标权限规则,将目标权限规则与目标行为主体的主体标识对应存储。
在具体的应用场景中,如图3C所示,该第二监控模块305,包括获取子模块3051和分类子模块3052。
该获取子模块3051,用于当检测到目标行为主体运行时,对目标行为主体的系统行为进行监控,获取目标行为主体的候选行为动作,候选行为动作为目标行为主体在监控过程中执行过的全部行为动作;
该分类子模块3052,用于分别确定候选行为动作的操作类型,按照操作类型对候选行为动作进行分类,得到多个行为动作。
在具体的应用场景中,如图3D所示,该整理模块306,包括整理子模块3061和存储子模块3062。
该确定子模块3061,用于获取预设规则模板,按照预设规则模板,对多个行为动作进行整理,生成目标行为主体的权限规则;
该整理子模块3062,用于提取目标行为主体的主体标识,将目标权限规则与主体标识对应存储。
在具体的应用场景中,如图3E所示,该装置还包括:禁止模块307。
该执行模块304,还用于如果基本行为权限集中包括敏感行为,则允许敏感行为执行;或,如果目标权限规则包括敏感行为,则允许敏感行为执行;或,
服务器还包括:
该禁止模块307,如果目标流程规则中不包括待识别相关文件,则禁止敏感行为执行待识别相关文件。
本发明实施例提供的装置,当检测到敏感行为发生时,将敏感行为与基本行为权限集进行比对,如果基本行为权限集中不包括敏感行为,则确定请求执行敏感行为的目标行为主体,获取目标行为主体的目标权限规则,如果目标权限规则不包括敏感行为,则获取目标行为主体的目标流程规则,对敏感行为进行监控,获取敏感动作请求执行的待识别相关文件,如果目标流程规则中包括待识别相关文件,则允许敏感行为执行待识别相关文件,保证对每一个敏感的行为进行判断,不会发生由于未设置权限集而导致无法对敏感行为进行识别的情况,避免攻击者入侵对操作系统造成重大的破坏,安全性较好。
需要说明的是,本发明实施例提供的一种基于权限的进程管理装置所涉及各功能单元的其他相应描述,可以参考图1和图2A至图2B中的对应描述,在此不再赘述。
在示例性实施例中,参见图4,还提供了一种设备,该设备400包括通信总线、处理器、存储器和通信接口,还可以包括、输入输出接口和显示设备,其中,各个功能单元之间可以通过总线完成相互间的通信。该存储器存储有计算机程序,处理器,用于执行存储器上所存放的程序,执行上述实施例中的基于权限的进程管理方法。
一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现所述的基于权限的进程管理方法的步骤。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。
以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。