CN109871691A - 基于权限的进程管理方法、系统、设备及可读存储介质 - Google Patents
基于权限的进程管理方法、系统、设备及可读存储介质 Download PDFInfo
- Publication number
- CN109871691A CN109871691A CN201811640231.3A CN201811640231A CN109871691A CN 109871691 A CN109871691 A CN 109871691A CN 201811640231 A CN201811640231 A CN 201811640231A CN 109871691 A CN109871691 A CN 109871691A
- Authority
- CN
- China
- Prior art keywords
- behavior
- main body
- sensitive
- rules
- goal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 98
- 230000008569 process Effects 0.000 title claims abstract description 75
- 238000007726 management method Methods 0.000 title claims abstract description 25
- 230000009471 action Effects 0.000 claims abstract description 32
- 230000006399 behavior Effects 0.000 claims description 411
- 230000003542 behavioural effect Effects 0.000 claims description 43
- 238000012544 monitoring process Methods 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 10
- 230000033001 locomotion Effects 0.000 claims description 8
- 230000015654 memory Effects 0.000 claims description 8
- 230000035945 sensitivity Effects 0.000 claims description 3
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 2
- 230000006378 damage Effects 0.000 abstract description 8
- 230000009545 invasion Effects 0.000 abstract description 7
- 238000010586 diagram Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Retry When Errors Occur (AREA)
- Stored Programmes (AREA)
- Debugging And Monitoring (AREA)
- Telephonic Communication Services (AREA)
- Alarm Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于权限的进程管理方法、系统、设备及可读存储介质,涉及互联网技术领域,可以保证对每一个敏感的行为进行判断,不会发生由于未设置权限集而导致无法识别的情况,避免攻击者入侵对操作系统造成重大的破坏,安全性较好。所述方法包括:当检测到敏感行为发生时,将敏感行为与基本行为权限集进行比对;如果基本行为权限集中不包括敏感行为,则确定请求执行敏感行为的目标行为主体,获取目标行为主体的目标权限规则;如果目标权限规则不包括敏感行为,则获取目标行为主体的目标流程规则,对敏感行为进行监控,获取敏感动作请求执行的待识别相关文件;如果目标流程规则中包括待识别相关文件,则允许敏感行为执行待识别相关文件。
Description
技术领域
本发明涉及互联网技术领域,特别是涉及一种基于权限的进程管理方法、系统、设备及可读存储介质。
背景技术
随着互联网技术的飞速发展以及终端的日益普及,越来越多的用户选择使用终端执行日常生活中的各项活动,例如社交、通讯、拍照、游戏、购物等。用户在终端中进行各项活动时,通常是基于终端中应用的进程实现的,为了保证进程的正常运行,终端中搭载了操作系统,进程是操作系统中最基本的执行单元。在进程的正常运行中,为了防止进程被攻击者攻击,导致进程的瘫痪,给用户带来不便,终端会通过拦截进程的动作或者限制进程的权限对进程进行管理,从而防御对进程的攻击。
相关技术中,在对进程进行管理时,每个进程的动作以及权限均是固定的,如果检测到某一进程执行的动作或者权限超出了其自身规定的动作和权限,则禁止该进程当前执行的动作或者权限。
在实现本发明的过程中,发明人发现相关技术至少存在以下问题:
操作系统中绝大多数进程都处于没有设置权限的状态,攻击者可以利用没有设置权限的进程在操作系统中进行上传、下载或注入其他进程等,导致对操作系统造成重大破坏,安全性较差。
发明内容
有鉴于此,本发明提供了一种基于权限的进程管理方法、系统、设备及可读存储介质,主要目的在于解决目前可能使操作系统造成重大破坏,安全性较差的问题。
依据本发明第一方面,提供了一种基于权限的进程管理方法,该方法包括:
当检测到敏感行为发生时将所述敏感行为与基本行为权限集进行比对所述基本行为权限集规定了系统中允许执行的至少一个行为动作;
如果所述基本行为权限集中不包括所述敏感行为,则确定请求执行所述敏感行为的目标行为主体,获取所述目标行为主体的目标权限规则,所述目标权限规则规定了允许所述目标行为主体执行的至少一个行为动作;
如果所述目标权限规则不包括所述敏感行为,则获取目标行为主体的目标流程规则,对所述敏感行为进行监控,获取所述敏感动作请求执行的待识别相关文件,所述目标流程规则包括允许所述目标行为主体执行的至少一个相关文件;
如果所述目标流程规则中包括所述待识别相关文件,则允许所述敏感行为执行所述待识别相关文件。
在另一个实施例中,所述当检测到敏感行为发生时,将所述敏感行为与基本行为权限集进行比对之前,所述方法还包括:
当检测到所述目标行为主体运行时,对所述目标行为主体的系统行为进行监控,生成所述目标行为主体的多个行为动作;
对所述多个行为动作进行整理,生成所述目标行为主体的目标权限规则,将所述目标权限规则与所述目标行为主体的主体标识对应存储。
在另一个实施例中,所述当检测到所述目标行为主体运行时,对所述目标行为主体的系统行为进行监控,生成所述目标行为主体的多个行为动作,包括:
当检测到所述目标行为主体运行时,对所述目标行为主体的系统行为进行监控,获取所述目标行为主体的候选行为动作,所述候选行为动作为所述目标行为主体在监控过程中执行过的全部行为动作;
分别确定候选行为动作的操作类型,按照所述操作类型对候选行为动作进行分类,得到多个行为动作。
在另一个实施例中,所述服务器对所述多个行为动作进行整理,生成所述目标行为主体的目标权限规则,将所述目标权限规则与所述目标行为主体的主体标识对应存储,包括:
获取预设规则模板,按照所述预设规则模板,对所述多个行为动作进行整理,生成所述目标行为主体的权限规则;
提取所述目标行为主体的主体标识,将所述目标权限规则与所述主体标识对应存储。
在另一个实施例中,所述方法还包括:
如果所述基本行为权限集中包括所述敏感行为,则允许所述敏感行为执行;或,
如果所述目标权限规则包括所述敏感行为,则允许所述敏感行为执行;或,
如果所述目标流程规则中不包括所述待识别相关文件,则禁止所述敏感行为执行所述待识别相关文件。
依据本发明第二方面,提供了一种基于权限的进程管理系统,包括客户端和服务器,其中,
所述客户端包括:
比对模块,用于当检测到敏感行为发生时,将所述敏感行为与基本行为权限集进行比对,所述基本行为权限集规定了系统中允许执行的至少一个行为动作;
所述服务器包括:
获取模块,用于如果所述基本行为权限集中不包括所述敏感行为,则确定请求执行所述敏感行为的目标行为主体,获取所述目标行为主体的目标权限规则,所述目标权限规则规定了允许所述目标行为主体执行的至少一个行为动作;
第一监控模块,用于如果所述目标权限规则不包括所述敏感行为,则获取目标行为主体的目标流程规则,对所述敏感行为进行监控,获取所述敏感动作请求执行的待识别相关文件,所述目标流程规则包括允许所述目标行为主体执行的至少一个相关文件;
执行模块,用于如果所述目标流程规则中包括所述待识别相关文件,则允许所述敏感行为执行所述待识别相关文件。
在另一个实施例中,所述客户端还包括:
第二监控模块,用于当检测到所述目标行为主体运行时,对所述目标行为主体的系统行为进行监控,生成所述目标行为主体的多个行为动作,将所述多个行为动作上传至所述服务器;
所述服务器还包括:
整理模块,用于所述服务器对所述多个行为动作进行整理,生成所述目标行为主体的目标权限规则,将所述目标权限规则与所述目标行为主体的主体标识对应存储。
在另一个实施例中,所述第二监控模块,包括:
获取子模块,用于当检测到所述目标行为主体运行时,对所述目标行为主体的系统行为进行监控,获取所述目标行为主体的候选行为动作,所述候选行为动作为所述目标行为主体在监控过程中执行过的全部行为动作;
分类子模块,用于分别确定候选行为动作的操作类型,按照所述操作类型对候选行为动作进行分类,得到多个行为动作。
在另一个实施例中,所述整理模块,包括:
整理子模块,用于获取预设规则模板,按照所述预设规则模板,对所述多个行为动作进行整理,生成所述目标行为主体的权限规则;
存储子模块,用于提取所述目标行为主体的主体标识,将所述目标权限规则与所述主体标识对应存储。
在另一个实施例中,所述执行模块,还用于如果所述基本行为权限集中包括所述敏感行为,则允许所述敏感行为执行;或,如果所述目标权限规则包括所述敏感行为,则允许所述敏感行为执行;或,
所述服务器还包括:
禁止模块,如果所述目标流程规则中不包括所述待识别相关文件,则禁止所述敏感行为执行所述待识别相关文件。
依据本发明第三方面,提供了一种设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述方法的步骤。
依据本发明第四方面,提供了一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的方法的步骤。
借由上述技术方案,本发明提供的一种基于权限的进程管理方法、装置、设备及可读存储介质,与目前每个进程的动作以及权限均是固定的方式相比,本发明当检测到敏感行为发生时,将敏感行为与基本行为权限集进行比对,如果基本行为权限集中不包括敏感行为,则确定请求执行敏感行为的目标行为主体,获取目标行为主体的目标权限规则,如果目标权限规则不包括敏感行为,则获取目标行为主体的目标流程规则,对敏感行为进行监控,获取敏感动作请求执行的待识别相关文件,如果目标流程规则中包括待识别相关文件,则允许敏感行为执行待识别相关文件,保证对每一个敏感的行为进行判断,不会发生由于未设置权限集而导致无法对敏感行为进行识别的情况,避免攻击者入侵对操作系统造成重大的破坏,安全性较好。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种基于权限的进程管理方法流程示意图;
图2A示出了本发明实施例提供的一种基于权限的进程管理方法流程示意图;
图2B示出了本发明实施例提供的一种基于权限的进程管理方法流程示意图;
图3A示出了本发明实施例提供的一种基于权限的进程管理系统的结构示意图;
图3B示出了本发明实施例提供的一种基于权限的进程管理系统的结构示意图;
图3C示出了本发明实施例提供的一种基于权限的进程管理系统的结构示意图;
图3D示出了本发明实施例提供的一种基于权限的进程管理系统的结构示意图;
图3E示出了本发明实施例提供的一种基于权限的进程管理系统的结构示意图;
图4示出了本发明实施例提供的一种基于权限的进程管理的装置结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种基于权限的进程管理方法,可以根据进程运行过程中实际执行的行为动作,为每一个进程设置与其自身相关的不同的权限规则,达到了避免由于进程的权限过大而攻击者入侵对操作系统造成重大的破坏,安全性较好的目的,如图1所示,该方法包括:
101、当检测到敏感行为发生时,将敏感行为与基本行为权限集进行比对,基本行为权限集规定了系统中允许执行的至少一个行为动作。
在本发明实施例中,为了使后续可以根据权限规则进行行为的限制,当检测到敏感行为发生时,便需要将敏感行为与基本行为权限集进行比对,以便确定该敏感行为是否可以执行。
102、如果基本行为权限集中不包括敏感行为,则确定请求执行敏感行为的目标行为主体,获取目标行为主体的目标权限规则,目标权限规则规定了允许目标行为主体执行的至少一个行为动作。
在本发明实施例中,考虑到有时候有些行为主体的敏感行为是正常行为,但是并没有被收录在基本行为权限集中,因此,确定请求执行敏感行为的目标行为主体,获取目标行为主体的目标权限规则,以便在后续基于目标权限规则集对该敏感行为进行识别。
103、如果目标权限规则不包括敏感行为,则获取目标行为主体的目标流程规则,对敏感行为进行监控,获取敏感动作请求执行的待识别相关文件,目标流程规则包括允许目标行为主体执行的至少一个相关文件。
在本发明实施例中,考虑到可能目标权限规则没有收录这一敏感行为,且每一个行为动作的执行均会涉及到相关文件,是具有目的性的,有些是行为动作可以操作的,有些是行为动作不可以操作的,例如,进程A可以请求读写数据目录下的数据库文件,但是进程A不许请求创建端口文件,因此,对敏感行为进行监控,获取敏感行为在目标行为主体中请求执行的待识别相关文件,将敏感行为与待识别相关文件上传至服务器,使得服务器根据待识别相关文件确定是否允许敏感行为执行待识别相关文件。
104、如果目标流程规则中包括待识别相关文件,则允许敏感行为执行待识别相关文件。
在本发明实施例中,如果目标流程规则中包括待识别相关文件,则表示该待识别相关文件是允许敏感行为执行的,因此,允许敏感行为执行待识别相关文件。
本发明实施例提供的方法,当检测到敏感行为发生时,将敏感行为与基本行为权限集进行比对,如果基本行为权限集中不包括敏感行为,则确定请求执行敏感行为的目标行为主体,获取目标行为主体的目标权限规则,如果目标权限规则不包括敏感行为,则获取目标行为主体的目标流程规则,对敏感行为进行监控,获取敏感动作请求执行的待识别相关文件,如果目标流程规则中包括待识别相关文件,则允许敏感行为执行待识别相关文件,保证对每一个敏感的行为进行判断,不会发生由于未设置权限集而导致无法对敏感行为进行识别的情况,避免攻击者入侵对操作系统造成重大的破坏,安全性较好。
本发明实施例提供了一种基于权限的进程管理方法,可以根据进程运行过程中实际执行的行为动作,为每一个进程设置与其自身相关的不同的权限规则,达到了避免由于进程的权限过大而攻击者入侵对操作系统造成重大的破坏,安全性较好的目的,如图2A所示,该方法包括:
201、当检测到目标行为主体运行时,对目标行为主体的系统行为进行监控,生成目标行为主体的多个行为动作。
在本发明实施例中,以行为主体为进程进行说明。发明人认识到,如果在管理行为主体时为每一个行为主体设置固定的较小权限,则行为主体在后续的运行中很可能会由于权限不足而导致不能正常运行;如果在管理行为主体时为每一个行为主体设置固定的较大权限,则行为主体在后续的运行中很可能用不上这么大的权限,且很有可能被攻击者利用权限,导致操作系统被攻击。为了使给行为主体分配的权限不仅可以满足行为主体日常运行的需要,还可以避免被攻击者利用,本发明根据行为主体在实际运行中的行为动作为行为主体分配权限,从而保证每个行为主体的权限都是最适合行为主体本身的权限。
为了确定行为主体在日常运行的过程中实际执行了哪些行为动作,当检测到待管理行为主体运行时,需要识别行为主体的行为动作,从而为行为主体确定多个候选行为动作。具体地,在对行为主体的行为动作进行识别时,可以设置识别周期,通过操作系统的系统内核HOOK(钩子程序)技术对行为主体在整个识别周期的运行过程进行监控,并记录下行为主体在识别周期的运行过程中全部的行为动作,将全部的行为动作均作为候选行为动作。
需要说明的是,由于有些行为动作的实质是相同的,使得不仅这些行为动作的执行过程是相同的,执行过程中所依赖的文件也是相同的,例如,下载文件A行为和下载文件B行为均为下载行为,仅是下载的文件不同,而执行下载行为所依赖的文件是固定的,因此,在获取到待管理行为主体在运行过程中的全部行为动作后,将获取到的全部行为动作作为候选行为动作,并按照操作类型对获取到的全部候选行为动作进行归类划分,将实质相同的候选行为动作划分为同一种行为动作,并将该类候选行为动作作为一种行为动作,从而减轻后续对候选行为动作统计的压力。例如,可以将全部的候选行为动作划分为文件下载行为、注册表生成行为、网络连接行为以及驱动运行行为,并将上述的几类行为动作均作为行为动作。本发明实施例对行为动作的个数不进行具体限定。
202、获取预设规则模板,按照预设规则模板,对多个行为动作进行整理,生成目标行为主体的权限规则,提取目标行为主体的主体标识,将目标权限规则与主体标识对应存储。
在本发明实施例中,在确定了多个行为动作后,为了使后续可以确定待管理进程执行的行为动作所做的操作是否符合规则的要求,可以为多个行为动作生成行为规则,使得后续可以基于为每一个行为动作生成的行为规则构成该待管理进程的权限规则,以便基于该权限规则对待管理进程的行为动作进行约束,避免攻击者利用待管理进程可以执行的行为动作执行一些违法操作。具体地,考虑到不同时期生成的权限规则很可能格式有很多种,导致管理权限规则具有困难,因此,可以统一生成相同格式的权限规则,从而便于对生成的权限规则进行管理。服务器中可以设置预设规则模板,在生成权限规则时,可以首先获取预设规则模板,按照预设规则模板,对多个行为动作进行整理,从而生成待管理进程的权限规则。随后,提取目标行为主体的主体标识,将权限规则与主体标识对应存储,从而完成为目标行为主体设置权限规则。
203、监控目标行为主体在运行过程中请求执行的至少一个相关文件,将至少一个相关文件作为目标流程规则,将目标流程规则与主体标识对应存储。
在本发明实施例中,由于目标行为主体在运行过程中的每个行为动作的执行均是具有目的性的,也即会涉及到相关的文件,例如,行为主体A在执行行为动作时,通常是为了启动自身目录下的文件,如果行为主体A在执行行为动作时请求了其他的不明文件,则很有可能是攻击者在对操作系统进行攻击,因此,确定目标行为主体在运行时的相关文件,将这些相关文件作为该目标行为主体的目标流程规则,以便在基于该目标流程规则对无法识别的敏感行为进行识别。
其中,在确定相关文件时,可以对目标行为主体的运行过程进行统计,将目标行为主体在运行过程中涉及的全部且能够保证安全的文件均作为相关文件。
在得到了目标行为主体在执行过程中可以操作的相关文件后,便可以将这些相关文件作为该目标行为主体的目标流程规则。
通过上述的过程,便可以为每一个行为主体设置一个与其对应的权限规则以及流程规则,这样,在后续行为主体运行的过程中,便可以基于行为主体对应的权限规则以及流程规则对行为主体的行为动作进行限制,从而避免行为主体执行不允许执行的行为。具体地,当检测到行为主体请求执行并对行为主体请求执行的行为动作进行检测时,参见下述图2B,该方法包括:
204、当检测到敏感行为发生时,将敏感行为与基本行为权限集进行比对,如果基本行为权限集中包括敏感行为,则执行下述步骤205;如果基本行为权限集中不包括敏感行为,则执行下述步骤206。
在本发明实施例中,考虑到有一些行为主体尚未设置与其对应的行为规则以及流程规则,使得无法对其产生的敏感行为进行识别,因此,可以设置一个适用于系统中全部执行主体的基本行为权限集,并基于该基本行为权限集规定系统中全部的行为主体允许执行的至少一个行为动作,使得可以先根据该基本行为权限集进行初步的识别,并根据得到的结果进行进一步的识别。
这样,当检测到敏感行为发生时,将敏感行为与基本行为权限集进行比对,如果基本行为权限集中包括敏感行为,则表示该敏感行为是合法的,可以正常执行,也即执行下述步骤205;如果基本行为权限集中不包括敏感行为,则表示该敏感行为没有被包括在该基本行为权限集中,需要继续采用其他方式对该敏感行为进行识别,也即执行下述步骤206。
205、如果基本行为权限集中包括敏感行为,则允许敏感行为执行。
如果基本行为权限集中包括敏感行为,则表示该敏感行为是合法的,可以正常执行,因此允许敏感行为执行。
206、如果基本行为权限集中不包括敏感行为,则确定请求执行敏感行为的目标行为主体,获取目标行为主体的目标权限规则,如果目标权限规则包括敏感行为,则执行下述步骤207;如果目标权限规则不包括敏感行为,则执行下述步骤208。
在本发明实施例中,如果基本行为权限集中不包括敏感行为,则表示该敏感行为没有被包括在该基本行为权限集中,需要继续采用其他方式对该敏感行为进行识别。首先需要确定是哪一个行为主体请求执行该敏感行为;随后,由于每一个行为主体均存在与其对应的权限规则,且权限规则是根据行为主体的实际行为动作生成的,因此,获取该目标行为主体对应的目标权限规则,以便后续根据目标权限规则确定该敏感行为是否可以执行。
其中,由于操作系统在存储权限规则时采用了行为主体的主体标识对每一个权限规则进行标记,因此,在确定目标权限规则时,可以提取目标行为主体的主体标识,通过查找主体标识对应的权限规则来确定目标权限规则。
如果目标权限规则包括敏感行为,则表示该敏感行为是合法的,可以正常执行,也即执行下述步骤207;如果目标权限规则不包括敏感行为,则表示该敏感行为没有被包括在该目标权限规则中,需要继续采用其他方式对该敏感行为进行识别,也即执行下述步骤208。
207、如果目标权限规则包括敏感行为,则允许敏感行为执行。
在本发明实施例中,如果目标权限规则包括敏感行为,则表示该敏感行为是合法的,可以正常执行,因此允许敏感行为执行。
208、如果目标权限规则不包括敏感行为,则获取目标行为主体的目标流程规则,对敏感行为进行监控,获取敏感动作请求执行的待识别相关文件,如果目标流程规则中包括待识别相关文件,则执行下述步骤209;如果目标流程规则中不包括待识别相关文件,则执行下述步骤210。
在本发明实施例中,由于敏感行为在请求执行的时候会指定一个想要执行的文件,从而满足敏感行为的执行目的,因此,可以确定该敏感行为在目标行为主体中请求执行的待识别相关文件。而该行为主体对应的目标流程规则中指定了该行为主体可以执行的相关文件,因此,可以通过查询目标流程规则中的相关文件中是否包括该待识别相关文件,来确定该敏感行为是否可以执行该待识别相关文件,也即判断该待识别相关文件是否符合目标流程规则的要求。
具体地,在目标流程规则包括的至少一个目标相关文件中查询是否存在待识别相关文件。这样,当至少一个目标相关文件中存在待识别相关文件时,可以确定该待识别相关文件是可以执行的,也即确定待识别相关文件符合目标流程规则的要求,这样,便可以允许该待识别行为主体执行该待识别相关文件,执行下述步骤209。当至少一个目标相关文件中不存在待识别相关文件时,可以该待识别相关文件并不在可以执行的范围内,也即确定待识别相关文件不符合目标权限规则的要求,这样,便需要禁止该待识别行为主体执行该待识别相关文件,执行下述步骤210。
209、如果目标流程规则中包括待识别相关文件,则允许敏感行为执行待识别相关文件。
在本发明实施例中,如果目标流程规则中包括待识别相关文件,则表示目标行为主体请求执行敏感行为是允许的,因此,允许敏感行为执行该待识别相关文件,并继续识别该目标行为主体的其他行为操作以及识别其他行为主体的行为操作。
210、如果目标流程规则中不包括待识别相关文件,则禁止敏感行为执行待识别相关文件。
在本发明实施例中,如果目标流程规则中不包括待识别相关文件,表示目标行为主体请求执行的敏感行为已经超出了可执行范围,该敏感行为是不允许执行的,因此,禁止该敏感行为执行该待识别相关文件,并继续识别该目标行为主体的其他行为操作以及识别其他行为主体的行为操作。
本发明实施例提供的方法,当检测到敏感行为发生时,将敏感行为与基本行为权限集进行比对,如果基本行为权限集中不包括敏感行为,则确定请求执行敏感行为的目标行为主体,获取目标行为主体的目标权限规则,如果目标权限规则不包括敏感行为,则获取目标行为主体的目标流程规则,对敏感行为进行监控,获取敏感动作请求执行的待识别相关文件,如果目标流程规则中包括待识别相关文件,则允许敏感行为执行待识别相关文件,保证对每一个敏感的行为进行判断,不会发生由于未设置权限集而导致无法对敏感行为进行识别的情况,避免攻击者入侵对操作系统造成重大的破坏,安全性较好。
进一步地,作为图1所述方法的具体实现,本发明实施例提供了一种基于权限的进程管理装置,如图3A所示,客户端包括:比对模块301;服务器包括获取模块302,第一监控模块303和执行模块304。
客户端包括:
该比对模块301,用于当检测到敏感行为发生时,将敏感行为与基本行为权限集进行比对,基本行为权限集规定了系统中允许执行的至少一个行为动作;
服务器包括:
该获取模块302,用于如果基本行为权限集中不包括敏感行为,则确定请求执行敏感行为的目标行为主体,获取目标行为主体的目标权限规则,目标权限规则规定了允许目标行为主体执行的至少一个行为动作;
该第一监控模块303,用于如果目标权限规则不包括敏感行为,则获取目标行为主体的目标流程规则,对敏感行为进行监控,获取敏感动作请求执行的待识别相关文件,目标流程规则包括允许目标行为主体执行的至少一个相关文件;
该执行模块304,用于如果目标流程规则中包括待识别相关文件,则允许敏感行为执行待识别相关文件。
在具体的应用场景中,如图3B所示,该客户端还包括第二监控模块305;服务器还包括整理模块306。
客户端还包括:
该第二监控模块305,用于当检测到目标行为主体运行时,对目标行为主体的系统行为进行监控,生成目标行为主体的多个行为动作,将多个行为动作上传至服务器;
服务器还包括:
该整理模块306,用于服务器对多个行为动作进行整理,生成目标行为主体的目标权限规则,将目标权限规则与目标行为主体的主体标识对应存储。
在具体的应用场景中,如图3C所示,该第二监控模块305,包括获取子模块3051和分类子模块3052。
该获取子模块3051,用于当检测到目标行为主体运行时,对目标行为主体的系统行为进行监控,获取目标行为主体的候选行为动作,候选行为动作为目标行为主体在监控过程中执行过的全部行为动作;
该分类子模块3052,用于分别确定候选行为动作的操作类型,按照操作类型对候选行为动作进行分类,得到多个行为动作。
在具体的应用场景中,如图3D所示,该整理模块306,包括整理子模块3061和存储子模块3062。
该确定子模块3061,用于获取预设规则模板,按照预设规则模板,对多个行为动作进行整理,生成目标行为主体的权限规则;
该整理子模块3062,用于提取目标行为主体的主体标识,将目标权限规则与主体标识对应存储。
在具体的应用场景中,如图3E所示,该装置还包括:禁止模块307。
该执行模块304,还用于如果基本行为权限集中包括敏感行为,则允许敏感行为执行;或,如果目标权限规则包括敏感行为,则允许敏感行为执行;或,
服务器还包括:
该禁止模块307,如果目标流程规则中不包括待识别相关文件,则禁止敏感行为执行待识别相关文件。
本发明实施例提供的装置,当检测到敏感行为发生时,将敏感行为与基本行为权限集进行比对,如果基本行为权限集中不包括敏感行为,则确定请求执行敏感行为的目标行为主体,获取目标行为主体的目标权限规则,如果目标权限规则不包括敏感行为,则获取目标行为主体的目标流程规则,对敏感行为进行监控,获取敏感动作请求执行的待识别相关文件,如果目标流程规则中包括待识别相关文件,则允许敏感行为执行待识别相关文件,保证对每一个敏感的行为进行判断,不会发生由于未设置权限集而导致无法对敏感行为进行识别的情况,避免攻击者入侵对操作系统造成重大的破坏,安全性较好。
需要说明的是,本发明实施例提供的一种基于权限的进程管理装置所涉及各功能单元的其他相应描述,可以参考图1和图2A至图2B中的对应描述,在此不再赘述。
在示例性实施例中,参见图4,还提供了一种设备,该设备400包括通信总线、处理器、存储器和通信接口,还可以包括、输入输出接口和显示设备,其中,各个功能单元之间可以通过总线完成相互间的通信。该存储器存储有计算机程序,处理器,用于执行存储器上所存放的程序,执行上述实施例中的基于权限的进程管理方法。
一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现所述的基于权限的进程管理方法的步骤。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。
以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (10)
1.一种基于权限的进程管理方法,其特征在于,包括:
当检测到敏感行为发生时,将所述敏感行为与基本行为权限集进行比对,所述基本行为权限集规定了系统中允许执行的至少一个行为动作;
如果所述基本行为权限集中不包括所述敏感行为,则确定请求执行所述敏感行为的目标行为主体,获取所述目标行为主体的目标权限规则,所述目标权限规则规定了允许所述目标行为主体执行的至少一个行为动作;
如果所述目标权限规则不包括所述敏感行为,则获取目标行为主体的目标流程规则,对所述敏感行为进行监控,获取所述敏感动作请求执行的待识别相关文件,所述目标流程规则包括允许所述目标行为主体执行的至少一个相关文件;
如果所述目标流程规则中包括所述待识别相关文件,则允许所述敏感行为执行所述待识别相关文件。
2.根据权利要求1所述的方法,其特征在于,所述当检测到敏感行为发生时,将所述敏感行为与基本行为权限集进行比对之前,所述方法还包括:
当检测到所述目标行为主体运行时,对所述目标行为主体的系统行为进行监控,生成所述目标行为主体的多个行为动作;
对所述多个行为动作进行整理,生成所述目标行为主体的目标权限规则,将所述目标权限规则与所述目标行为主体的主体标识对应存储;
监控所述目标行为主体在运行过程中请求执行的所述至少一个相关文件,将所述至少一个相关文件作为所述目标流程规则,将所述目标流程规则与所述主体标识对应存储。
3.根据权利要求2所述的方法,其特征在于,所述当检测到所述目标行为主体运行时,对所述目标行为主体的系统行为进行监控,生成所述目标行为主体的多个行为动作,包括:
当检测到所述目标行为主体运行时,对所述目标行为主体的系统行为进行监控,获取所述目标行为主体的候选行为动作,所述候选行为动作为所述目标行为主体在监控过程中执行过的全部行为动作;
分别确定候选行为动作的操作类型,按照所述操作类型对候选行为动作进行分类,得到多个行为动作。
4.根据权利要求2所述的方法,其特征在于,所述服务器对所述多个行为动作进行整理,生成所述目标行为主体的目标权限规则,将所述目标权限规则与所述目标行为主体的主体标识对应存储,包括:
获取预设规则模板,按照所述预设规则模板,对所述多个行为动作进行整理,生成所述目标行为主体的权限规则;
提取所述目标行为主体的主体标识,将所述目标权限规则与所述主体标识对应存储。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述基本行为权限集中包括所述敏感行为,则允许所述敏感行为执行;或,
如果所述目标权限规则包括所述敏感行为,则允许所述敏感行为执行;或,
如果所述目标流程规则中不包括所述待识别相关文件,则禁止所述敏感行为执行所述待识别相关文件。
6.一种基于权限的进程管理系统,其特征在于,包括客户端和服务器,其中,
所述客户端包括:
比对模块,用于当检测到敏感行为发生时,将所述敏感行为与基本行为权限集进行比对,所述基本行为权限集规定了系统中允许执行的至少一个行为动作;
所述服务器包括:
获取模块,用于如果所述基本行为权限集中不包括所述敏感行为,则确定请求执行所述敏感行为的目标行为主体,获取所述目标行为主体的目标权限规则,所述目标权限规则规定了允许所述目标行为主体执行的至少一个行为动作;
第一监控模块,用于如果所述目标权限规则不包括所述敏感行为,则获取目标行为主体的目标流程规则,对所述敏感行为进行监控,获取所述敏感动作请求执行的待识别相关文件,所述目标流程规则包括允许所述目标行为主体执行的至少一个相关文件;
执行模块,用于如果所述目标流程规则中包括所述待识别相关文件,则允许所述敏感行为执行所述待识别相关文件。
7.根据权利要求6所述的系统,其特征在于,
所述客户端还包括:
第二监控模块,用于当检测到所述目标行为主体运行时,对所述目标行为主体的系统行为进行监控,生成所述目标行为主体的多个行为动作,将所述多个行为动作上传至所述服务器;
所述服务器还包括:
整理模块,用于所述服务器对所述多个行为动作进行整理,生成所述目标行为主体的目标权限规则,将所述目标权限规则与所述目标行为主体的主体标识对应存储。
8.根据权利要求7所述的系统,其特征在于,所述第二监控模块,包括:
获取子模块,用于当检测到所述目标行为主体运行时,对所述目标行为主体的系统行为进行监控,获取所述目标行为主体的候选行为动作,所述候选行为动作为所述目标行为主体在监控过程中执行过的全部行为动作;
分类子模块,用于分别确定候选行为动作的操作类型,按照所述操作类型对候选行为动作进行分类,得到多个行为动作。
9.一种设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5中任一项所述方法的步骤。
10.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5中任一项所述的方法的步骤。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810668277.XA CN108846287A (zh) | 2018-06-26 | 2018-06-26 | 一种检测漏洞攻击的方法及装置 |
| CN201810668277X | 2018-06-26 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109871691A true CN109871691A (zh) | 2019-06-11 |
| CN109871691B CN109871691B (zh) | 2021-07-20 |
Family
ID=64202031
Family Applications (10)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810668277.XA Pending CN108846287A (zh) | 2018-05-04 | 2018-06-26 | 一种检测漏洞攻击的方法及装置 |
| CN201811640471.3A Active CN109753806B (zh) | 2018-06-26 | 2018-12-29 | 服务器防护方法及装置 |
| CN201811640526.0A Pending CN109726560A (zh) | 2018-06-26 | 2018-12-29 | 终端设备系统防护方法及装置 |
| CN201811640643.7A Pending CN109829307A (zh) | 2018-06-26 | 2018-12-29 | 进程行为识别方法及装置 |
| CN201811640231.3A Active CN109871691B (zh) | 2018-06-26 | 2018-12-29 | 基于权限的进程管理方法、系统、设备及可读存储介质 |
| CN201811640753.3A Pending CN109829309A (zh) | 2018-06-26 | 2018-12-29 | 终端设备系统防护方法及装置 |
| CN201811645578.7A Pending CN109711172A (zh) | 2018-06-26 | 2018-12-29 | 数据防护方法及装置 |
| CN201811640481.7A Active CN109711168B (zh) | 2018-06-26 | 2018-12-29 | 基于行为的服务识别方法、装置、设备及可读存储介质 |
| CN201811645681.1A Pending CN109766698A (zh) | 2018-06-26 | 2018-12-29 | 数据防护方法及装置 |
| CN201811646131.1A Active CN109766701B (zh) | 2018-06-26 | 2018-12-29 | 针对异常进程结束操作的处理方法、装置、及电子装置 |
Family Applications Before (4)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810668277.XA Pending CN108846287A (zh) | 2018-05-04 | 2018-06-26 | 一种检测漏洞攻击的方法及装置 |
| CN201811640471.3A Active CN109753806B (zh) | 2018-06-26 | 2018-12-29 | 服务器防护方法及装置 |
| CN201811640526.0A Pending CN109726560A (zh) | 2018-06-26 | 2018-12-29 | 终端设备系统防护方法及装置 |
| CN201811640643.7A Pending CN109829307A (zh) | 2018-06-26 | 2018-12-29 | 进程行为识别方法及装置 |
Family Applications After (5)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811640753.3A Pending CN109829309A (zh) | 2018-06-26 | 2018-12-29 | 终端设备系统防护方法及装置 |
| CN201811645578.7A Pending CN109711172A (zh) | 2018-06-26 | 2018-12-29 | 数据防护方法及装置 |
| CN201811640481.7A Active CN109711168B (zh) | 2018-06-26 | 2018-12-29 | 基于行为的服务识别方法、装置、设备及可读存储介质 |
| CN201811645681.1A Pending CN109766698A (zh) | 2018-06-26 | 2018-12-29 | 数据防护方法及装置 |
| CN201811646131.1A Active CN109766701B (zh) | 2018-06-26 | 2018-12-29 | 针对异常进程结束操作的处理方法、装置、及电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (10) | CN108846287A (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109711166B (zh) * | 2018-12-17 | 2020-12-11 | 北京知道创宇信息技术股份有限公司 | 漏洞检测方法及装置 |
| CN109800576B (zh) * | 2018-12-29 | 2021-07-23 | 360企业安全技术(珠海)有限公司 | 未知程序异常请求的监控方法、装置、及电子装置 |
| CN109558730B (zh) * | 2018-12-29 | 2020-10-16 | 360企业安全技术(珠海)有限公司 | 一种浏览器的安全防护方法及装置 |
| CN112398784B (zh) * | 2019-08-15 | 2023-01-06 | 奇安信安全技术(珠海)有限公司 | 防御漏洞攻击的方法及装置、存储介质、计算机设备 |
| CN112395617A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 防护docker逃逸漏洞的方法、装置、存储介质及计算机设备 |
| CN112395604B (zh) * | 2019-08-15 | 2022-09-30 | 奇安信安全技术(珠海)有限公司 | 系统监控登录防护方法、客户端、服务端、及存储介质 |
| CN112395585B (zh) * | 2019-08-15 | 2023-01-06 | 奇安信安全技术(珠海)有限公司 | 数据库服务登录方法、装置、设备及可读存储介质 |
| CN112398789A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 远程登录的控制方法及装置、系统、存储介质、电子装置 |
| CN112398787B (zh) * | 2019-08-15 | 2022-09-30 | 奇安信安全技术(珠海)有限公司 | 邮箱登录验证的方法、装置、计算机设备及存储介质 |
| CN110610086B (zh) * | 2019-08-30 | 2021-06-18 | 北京卓识网安技术股份有限公司 | 非法代码识别方法、系统、装置及存储介质 |
| WO2021046811A1 (zh) * | 2019-09-12 | 2021-03-18 | 奇安信安全技术(珠海)有限公司 | 一种攻击行为的判定方法、装置及计算机存储介质 |
| CN110505247B (zh) * | 2019-09-27 | 2022-05-17 | 百度在线网络技术(北京)有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
| CN111209559B (zh) * | 2019-12-23 | 2022-02-15 | 东软集团股份有限公司 | 应用程序的权限处理方法、装置、存储介质和电子设备 |
| CN111046377B (zh) * | 2019-12-25 | 2023-11-14 | 五八同城信息技术有限公司 | 加载动态链接库的方法、装置、电子设备及存储介质 |
| CN111382076B (zh) * | 2020-03-10 | 2023-04-25 | 抖音视界有限公司 | 应用程序的测试方法、装置、电子设备及计算机存储介质 |
| CN113626296A (zh) * | 2020-05-09 | 2021-11-09 | 深圳云天励飞技术有限公司 | 一种系统稳定性的检测方法、装置和终端 |
| CN111884884B (zh) * | 2020-07-31 | 2022-05-31 | 北京明朝万达科技股份有限公司 | 监控文件传输的方法、系统及装置 |
| CN111859405A (zh) * | 2020-07-31 | 2020-10-30 | 深信服科技股份有限公司 | 一种威胁免疫框架、方法、设备及可读存储介质 |
| CN112069505B (zh) * | 2020-09-15 | 2021-11-23 | 北京微步在线科技有限公司 | 一种审计信息处理方法及电子设备 |
| US20220083644A1 (en) * | 2020-09-16 | 2022-03-17 | Cisco Technology, Inc. | Security policies for software call stacks |
| CN112910868A (zh) * | 2021-01-21 | 2021-06-04 | 平安信托有限责任公司 | 企业网络安全管理方法、装置、计算机设备及存储介质 |
| CN113392416B (zh) * | 2021-06-28 | 2024-03-22 | 北京恒安嘉新安全技术有限公司 | 获取应用程序加解密数据的方法、装置、设备及存储介质 |
| CN113742726A (zh) * | 2021-08-27 | 2021-12-03 | 恒安嘉新(北京)科技股份公司 | 程序识别模型训练和程序识别方法、装置、设备及介质 |
| CN113779561B (zh) * | 2021-09-09 | 2024-03-01 | 安天科技集团股份有限公司 | 内核漏洞处理方法、装置、存储介质及电子设备 |
| CN115051905A (zh) * | 2022-07-19 | 2022-09-13 | 广东泓胜科技股份有限公司 | 一种端口安全监控分析方法、装置及相关设备 |
| CN116707929A (zh) * | 2023-06-16 | 2023-09-05 | 广州市玄武无线科技股份有限公司 | 基于调用栈信息获取的手机拍照造假检测方法和装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101059829A (zh) * | 2007-05-16 | 2007-10-24 | 珠海金山软件股份有限公司 | 一种自动分析进程风险等级的装置和方法 |
| CN102750475A (zh) * | 2012-06-07 | 2012-10-24 | 中国电子科技集团公司第三十研究所 | 基于虚拟机内外视图交叉比对恶意代码行为检测方法及系统 |
| CN103136472A (zh) * | 2011-11-29 | 2013-06-05 | 腾讯科技(深圳)有限公司 | 一种防应用程序窃取隐私的方法及移动设备 |
| US20150067845A1 (en) * | 2013-08-27 | 2015-03-05 | International Business Machines Corporation | Detecting Anomalous User Behavior Using Generative Models of User Actions |
| CN104484599A (zh) * | 2014-12-16 | 2015-04-01 | 北京奇虎科技有限公司 | 一种基于应用程序的行为处理方法和装置 |
| US20170076099A1 (en) * | 2014-02-21 | 2017-03-16 | Beijing Qihoo Technology Company Limited | An access method and apparatus for an application program based on an intelligent terminal device |
| WO2017166037A1 (zh) * | 2016-03-29 | 2017-10-05 | 深圳投之家金融信息服务有限公司 | 一种数据篡改的检测装置及方法 |
Family Cites Families (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7093239B1 (en) * | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
| US7546587B2 (en) * | 2004-03-01 | 2009-06-09 | Microsoft Corporation | Run-time call stack verification |
| US7891000B1 (en) * | 2005-08-05 | 2011-02-15 | Cisco Technology, Inc. | Methods and apparatus for monitoring and reporting network activity of applications on a group of host computers |
| KR100843701B1 (ko) * | 2006-11-07 | 2008-07-04 | 소프트캠프(주) | 콜 스택에 기록된 정보를 이용한 에이피아이 확인방법 |
| US8117424B2 (en) * | 2007-09-21 | 2012-02-14 | Siemens Industry, Inc. | Systems, devices, and/or methods for managing programmable logic controller processing |
| CN101373501B (zh) * | 2008-05-12 | 2010-06-02 | 公安部第三研究所 | 针对计算机病毒的动态行为捕获方法 |
| CN101286995B (zh) * | 2008-05-23 | 2010-12-08 | 北京锐安科技有限公司 | 一种远程控制方法和远程控制系统 |
| US9110801B2 (en) * | 2009-02-10 | 2015-08-18 | International Business Machines Corporation | Resource integrity during partial backout of application updates |
| CN101753377B (zh) * | 2009-12-29 | 2011-11-09 | 吉林大学 | 一种p2p_botnet实时检测方法及系统 |
| CN102546624A (zh) * | 2011-12-26 | 2012-07-04 | 西北工业大学 | 一种网络多路入侵检测防御方法及系统 |
| CN103368904B (zh) * | 2012-03-27 | 2016-12-28 | 百度在线网络技术(北京)有限公司 | 移动终端、可疑行为检测及判定系统和方法 |
| CN104246693B (zh) * | 2012-04-20 | 2018-09-04 | 恩智浦美国有限公司 | 用于保护调用栈中的数据的信息处理装置和方法 |
| CN103778375B (zh) * | 2012-10-24 | 2017-11-17 | 腾讯科技(深圳)有限公司 | 防止用户设备加载非法的动态链接库文件的装置和方法 |
| US8990944B1 (en) * | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
| CN103631712B (zh) * | 2013-10-23 | 2016-03-02 | 北京信息控制研究所 | 一种基于内存管理的模式化软件关键行为跟踪方法 |
| US9519758B2 (en) * | 2014-02-04 | 2016-12-13 | Pegasus Media Security, Llc | System and process for monitoring malicious access of protected content |
| US9652328B2 (en) * | 2014-05-12 | 2017-05-16 | International Business Machines Corporation | Restoring an application from a system dump file |
| CN105335654B (zh) * | 2014-06-27 | 2018-12-14 | 北京金山安全软件有限公司 | 一种Android恶意程序检测和处理方法、装置及设备 |
| CN104268471B (zh) * | 2014-09-10 | 2017-04-26 | 珠海市君天电子科技有限公司 | 一种检测面向返程的编程攻击的方法及装置 |
| US9721112B2 (en) * | 2014-09-29 | 2017-08-01 | Airwatch Llc | Passive compliance violation notifications |
| EP3225009B1 (en) * | 2014-11-25 | 2024-01-03 | Fortinet, Inc. | Systems and methods for malicious code detection |
| WO2017023773A1 (en) * | 2015-07-31 | 2017-02-09 | Digital Guardian, Inc. | Systems and methods of protecting data from injected malware |
| CN105224862B (zh) * | 2015-09-25 | 2018-03-27 | 北京北信源软件股份有限公司 | 一种office剪切板的拦截方法及装置 |
| CN105279432B (zh) * | 2015-10-12 | 2018-11-23 | 北京金山安全软件有限公司 | 一种软件监控处理方法以及装置 |
| CN105678168A (zh) * | 2015-12-29 | 2016-06-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于栈异常的shellcode检测方法及装置 |
| CN107330320B (zh) * | 2016-04-29 | 2020-06-05 | 腾讯科技(深圳)有限公司 | 应用进程监控的方法和装置 |
| US9807104B1 (en) * | 2016-04-29 | 2017-10-31 | STEALTHbits Technologies, Inc. | Systems and methods for detecting and blocking malicious network activity |
| CN105956462B (zh) * | 2016-06-29 | 2019-05-10 | 珠海豹趣科技有限公司 | 一种阻止恶意加载驱动的方法、装置及电子设备 |
| CN106203092B (zh) * | 2016-06-30 | 2019-12-10 | 珠海豹趣科技有限公司 | 一种拦截恶意程序关机的方法、装置及电子设备 |
| CN106201811B (zh) * | 2016-07-06 | 2019-03-26 | 青岛海信宽带多媒体技术有限公司 | 应用程序的故障恢复方法和终端 |
| CN106411588B (zh) * | 2016-09-29 | 2019-10-25 | 锐捷网络股份有限公司 | 一种网络设备管理方法、主设备及管理服务器 |
| CN107959595B (zh) * | 2016-10-14 | 2020-10-27 | 腾讯科技(深圳)有限公司 | 一种异常检测的方法、装置及系统 |
| CN108171056A (zh) * | 2016-12-08 | 2018-06-15 | 武汉安天信息技术有限责任公司 | 一种自动化判定样本恶意性的检测方法和装置 |
| CN106708734B (zh) * | 2016-12-13 | 2020-01-10 | 腾讯科技(深圳)有限公司 | 软件异常检测方法及装置 |
| CN108280346B (zh) * | 2017-01-05 | 2022-05-31 | 腾讯科技(深圳)有限公司 | 一种应用防护监控方法、装置以及系统 |
| CN106991324B (zh) * | 2017-03-30 | 2020-02-14 | 兴华永恒(北京)科技有限责任公司 | 一种基于内存保护类型监控的恶意代码跟踪识别方法 |
| CN107358071A (zh) * | 2017-06-07 | 2017-11-17 | 武汉斗鱼网络科技有限公司 | 防止Flash应用程序中函数非法调用的方法及装置 |
| CN107704356B (zh) * | 2017-06-12 | 2019-06-28 | 平安科技(深圳)有限公司 | 异常堆栈信息获取方法、装置及计算机可读存储介质 |
| CN107483274A (zh) * | 2017-09-25 | 2017-12-15 | 北京全域医疗技术有限公司 | 服务项目运行状态监控方法及装置 |
| CN108052431A (zh) * | 2017-12-08 | 2018-05-18 | 北京奇虎科技有限公司 | 终端程序异常关闭信息处理方法、装置、终端 |
-
2018
- 2018-06-26 CN CN201810668277.XA patent/CN108846287A/zh active Pending
- 2018-12-29 CN CN201811640471.3A patent/CN109753806B/zh active Active
- 2018-12-29 CN CN201811640526.0A patent/CN109726560A/zh active Pending
- 2018-12-29 CN CN201811640643.7A patent/CN109829307A/zh active Pending
- 2018-12-29 CN CN201811640231.3A patent/CN109871691B/zh active Active
- 2018-12-29 CN CN201811640753.3A patent/CN109829309A/zh active Pending
- 2018-12-29 CN CN201811645578.7A patent/CN109711172A/zh active Pending
- 2018-12-29 CN CN201811640481.7A patent/CN109711168B/zh active Active
- 2018-12-29 CN CN201811645681.1A patent/CN109766698A/zh active Pending
- 2018-12-29 CN CN201811646131.1A patent/CN109766701B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101059829A (zh) * | 2007-05-16 | 2007-10-24 | 珠海金山软件股份有限公司 | 一种自动分析进程风险等级的装置和方法 |
| CN103136472A (zh) * | 2011-11-29 | 2013-06-05 | 腾讯科技(深圳)有限公司 | 一种防应用程序窃取隐私的方法及移动设备 |
| CN102750475A (zh) * | 2012-06-07 | 2012-10-24 | 中国电子科技集团公司第三十研究所 | 基于虚拟机内外视图交叉比对恶意代码行为检测方法及系统 |
| US20150067845A1 (en) * | 2013-08-27 | 2015-03-05 | International Business Machines Corporation | Detecting Anomalous User Behavior Using Generative Models of User Actions |
| US20170076099A1 (en) * | 2014-02-21 | 2017-03-16 | Beijing Qihoo Technology Company Limited | An access method and apparatus for an application program based on an intelligent terminal device |
| CN104484599A (zh) * | 2014-12-16 | 2015-04-01 | 北京奇虎科技有限公司 | 一种基于应用程序的行为处理方法和装置 |
| WO2017166037A1 (zh) * | 2016-03-29 | 2017-10-05 | 深圳投之家金融信息服务有限公司 | 一种数据篡改的检测装置及方法 |
Non-Patent Citations (3)
| Title |
|---|
| KATHIROLI RAJA: "《Enhanced Negative Selection Algorithm for Malicious Node Detection in MANET》", 《2017 NINTH INTERNATIONAL CONFERENCE ON ADVANCED COMPUTING (ICOAC)》 * |
| 刘鸿: "《云计算中基于属性访问控制和权限撤销方法的研究》", 《万方数据》 * |
| 杨天长: "《Android应用软件敏感数据北大泄露脆弱性分析》", 《万方数据》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109753806B (zh) | 2024-01-19 |
| CN109766701B (zh) | 2021-04-27 |
| CN109766698A (zh) | 2019-05-17 |
| CN109871691B (zh) | 2021-07-20 |
| CN109753806A (zh) | 2019-05-14 |
| CN109711172A (zh) | 2019-05-03 |
| CN109711168A (zh) | 2019-05-03 |
| CN109711168B (zh) | 2021-01-15 |
| CN109829309A (zh) | 2019-05-31 |
| CN109829307A (zh) | 2019-05-31 |
| CN108846287A (zh) | 2018-11-20 |
| CN109766701A (zh) | 2019-05-17 |
| CN109726560A (zh) | 2019-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109871691A (zh) | 基于权限的进程管理方法、系统、设备及可读存储介质 | |
| US11605087B2 (en) | Method and apparatus for identifying identity information | |
| CN109873804A (zh) | 基于行为的服务识别方法、装置、设备及可读存储介质 | |
| US10097360B2 (en) | Automated test to tell computers and humans apart | |
| CN104885092B (zh) | 用于操作系统的安全系统和方法 | |
| CN103679031B (zh) | 一种文件病毒免疫的方法和装置 | |
| CN109271780A (zh) | 机器学习恶意软件检测模型的方法、系统和计算机可读介质 | |
| CN109376078B (zh) | 移动应用的测试方法、终端设备及介质 | |
| JP6726706B2 (ja) | コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法 | |
| EP3533199B1 (en) | Detection of fraudulent account usage in distributed computing systems | |
| CN106687971A (zh) | 用来减少软件的攻击面的自动代码锁定 | |
| CN106326738A (zh) | 计算机安全体系架构及相关的计算方法 | |
| CN105283852A (zh) | 模糊跟踪数据 | |
| CN109726601A (zh) | 违规行为的识别方法及装置、存储介质、计算机设备 | |
| Srivastava et al. | CamForensics: Understanding visual privacy leaks in the wild | |
| CN114138590A (zh) | Kubernetes集群的运维处理方法、装置及电子设备 | |
| CN110100423A (zh) | 用于机器的应用许可列表的生成 | |
| Guerra-Manzanares et al. | Leveraging the first line of defense: A study on the evolution and usage of android security permissions for enhanced android malware detection | |
| Krieter | Can I record your screen? Mobile screen recordings as a long-term data source for user studies | |
| Linthicum | The evolution of cloud service governance | |
| González-Landero et al. | ABS‐DDoS: an agent‐based simulator about strategies of both DDoS attacks and their defenses, to achieve efficient data forwarding in sensor networks and IoT devices | |
| US20230094066A1 (en) | Computer-implemented systems and methods for application identification and authentication | |
| US20230101198A1 (en) | Computer-implemented systems and methods for application identification and authentication | |
| CN108256320B (zh) | 微分域动态检测方法及装置、设备和存储介质 | |
| CN109583907A (zh) | 一种电子发票的查验方法、装置、介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Patentee after: Qianxin Safety Technology (Zhuhai) Co.,Ltd. Patentee after: Qianxin Technology Group Co., Ltd Address before: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Patentee before: 360 ENTERPRISE SECURITY TECHNOLOGY (ZHUHAI) Co.,Ltd. Patentee before: Beijing Qianxin Technology Co., Ltd |
|
| CP01 | Change in the name or title of a patent holder |