CN110287697A - 行为识别、数据处理方法及装置 - Google Patents

行为识别、数据处理方法及装置 Download PDF

Info

Publication number
CN110287697A
CN110287697A CN201810225782.7A CN201810225782A CN110287697A CN 110287697 A CN110287697 A CN 110287697A CN 201810225782 A CN201810225782 A CN 201810225782A CN 110287697 A CN110287697 A CN 110287697A
Authority
CN
China
Prior art keywords
data
data processing
behavior
manipulation behavior
manipulation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810225782.7A
Other languages
English (en)
Inventor
付颖芳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201810225782.7A priority Critical patent/CN110287697A/zh
Priority to TW107140742A priority patent/TW201939337A/zh
Priority to US16/357,126 priority patent/US20190286816A1/en
Priority to PCT/US2019/022816 priority patent/WO2019182999A1/en
Publication of CN110287697A publication Critical patent/CN110287697A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/0604Improving or facilitating administration, e.g. storage management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0655Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
    • G06F3/0659Command handling arrangements, e.g. command buffers, queues, command scheduling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Human Computer Interaction (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例提供了一种行为识别、数据处理方法及装置。所述行为识别方法包括:检测数据操作行为,获取数据处理单元针对所述数据操作行为的数据处理特征,根据所述数据处理特征识别所述数据操作行为。本申请能够根据数据处理特征,对相应的数据操作行为进行识别,有利于根据识别结果对电子设备中的各种数据操作进行行为监管,阻止或杜绝可能存在风险的数据操作行为,防患于未然,有效减少电子设备中数据丢失或电子设备损坏的可能,提高了数据和电子设备的安全性和可靠性。

Description

行为识别、数据处理方法及装置
技术领域
本申请涉及计算机技术领域,特别是涉及一种行为识别、数据处理方法及装置。
背景技术
随着计算机技术的发展,各种电子设备的应用也越来越广泛,相应的,电子设备的安全问题也越来越受到重视。电子设备可能会被植入木马(比如勒索软件)或病毒等恶意程序,从而导致数据丢失或设备损坏等问题。
现有技术中,可以对电子设备中的数据进行备份,当确定该电子设备被植入恶意程序时,即在确定该电子设备中的数据不再安全时,可以通过该备份对该电子设备中的数据进行恢复,从而降低可能给用户或电子设备带来的是损失。但由于对数据进行备份通常需要耗费大量的时间和存储空间,容易受到电子设备中数据的多少以及存储空间的大小限制,同时也仅能够将数据恢复时备份时的状态,局限性较高,难以有效解决数据丢失或设备损坏等问题,安全性和可靠性较差。
发明内容
鉴于上述问题,提出了本申请以便提供一种克服上述问题或者至少部分地解决上述问题的行为识别、数据处理方法及装置。
根据本申请的一个方面,提供了一种行为识别方法,包括:
检测数据操作行为;
获取数据处理单元针对所述数据操作行为的数据处理特征;
根据所述数据处理特征识别所述数据操作行为。
可选的,所述获取数据处理单元针对所述数据操作行为的数据处理特征包括:
获取所述数据处理单元的处理属性信息;
确定数据处理前后处理属性信息的变化数据,作为所述数据操作行为的数据处理特征。
可选的,所述处理属性信息包括数据属性信息、处理单元之间的交互状态信息、单元运行状态信息、单元属性信息中至少一种。
可选的,所述数据处理特征包括处理单元的数据变化信息、交互变化信息、运行状态变化信息、单元属性变化信息中至少一种。
可选的,所述获取数据处理单元针对所述数据操作行为的数据处理特征包括:
确定数据处理过程中涉及的至少一个数据处理单元;
监控所述至少一个数据处理单元的数据处理特征。
可选的,所述数据处理单元包括外存、内存、缓存或处理器。
可选的,所述根据所述数据处理特征识别所述数据操作行为包括:
确定所述数据操作行为符合攻击行为对应的行为类型。
可选的,所述确定所述数据操作行为符合攻击行为对应的行为类型包括:
确定所述数据操作行为包括写数据操作。
可选的,所述根据所述数据处理特征识别所述数据操作行为包括:
根据所述数据处理特征满足数据加密操作对应的数据处理特征,确定所述数据操作行为包括数据加密操作。
可选的,所述根据所述数据处理特征识别所述数据操作行为包括:
根据所述数据处理特征满足特征操作行为对应的目标数据处理特征,确定所述数据操作行为包括特征操作行为。
可选的,所述方法还包括:
通过统计分析、机器学习、行为模式分析中至少一种方式获取所述目标数据处理特征。
可选的,所述特征操作行为为攻击行为,所述方法还包括:
若确定所述数据操作行为包括所述特征操作行为,则阻断所述数据操作行为的执行。
可选的,在所述阻断所述数据操作行为的执行之前,所述方法还包括:
提示所述特征操作行为,并接收确认所述特征操作行为包括攻击行为的反馈信息。
可选的,所述获取数据处理单元针对所述数据操作行为的数据处理特征包括:
通过操作系统内核的监控单元获取所述数据处理特征,所述监控单元具有针对所述数据处理单元的监控权限。
可选的,所述检测数据操作行为包括:
检测外部设备的数据操作行为。
可选的,在所述检测数据操作行为之前,所述方法还包括:
接收所述外部设备的用户注册请求,并根据当前设备和所述外部设备各自的公钥、证书完成所述外部设备的用户注册流程。
可选的,所述当前设备的公钥和私钥保存在内置的可信芯片中。
可选的,所述方法还包括:
从平台认证机构获取所述外部设备和当前设备各自的公钥、证书,以用于完成所述外部设备的用户注册流程。
根据本申请的另一方面,提供了一种数据处理方法,包括:
检测数据操作行为,并确定所述数据操作行为包括写操作;
确定所述写操作为数据加密操作;
根据预设规则,阻断所述数据加密操作的执行。
可选的,所述确定所述写操作为数据加密操作包括:
获取数据处理单元针对所述写操作的数据处理特征;
根据所述数据处理特征识别所述写操作为数据加密操作。
可选的,所述根据预设规则,阻断所述数据加密操作的执行包括:
提示所述数据加密操作,并在接收到确认所述数据加密操作包括攻击行为的反馈信息后,阻断所述数据加密操作的执行。
根据本申请的另一方面,提供了一种行为识别装置,包括:
数据操作行为检测模块,用于检测数据操作行为;
数据处理特征获取模块,用于获取数据处理单元针对所述数据操作行为的数据处理特征;
数据操作行为识别模块,用于根据所述数据处理特征识别所述数据操作行为。
根据本申请的另一方面,提供了一种数据处理装置,包括:
数据操作行为检测模块,用于检测数据操作行为,并确定所述数据操作行为包括写操作;
数据加密操作确定模块,用于确定所述写操作为数据加密操作;
阻断模块,用于根据预设规则,阻断所述数据加密操作的执行。
根据本申请的另一方面,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如前述的一个或多个的方法。
根据本申请的另一方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如前述的一个或多个的方法。
在本申请实施例中,能够检测数据操作行为,并获取数据单元针对数据操作行为的数据处理特征,由于该数据处理特征能够说明根据该数据操作行为进行数据处理时,数据处理单元的处理过程或处理结果所呈现的特点,因此能够根据数据处理特征,对相应的数据操作行为进行识别,有利于根据识别结果对电子设备中的各种数据操作进行行为监管,阻止或杜绝可能存在风险的数据操作行为,防患于未然,有效减少电子设备中数据丢失或电子设备损坏的可能,提高了数据和电子设备的安全性和可靠性。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其它的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本申请一个实施例一的一种行为识别方法流程图;
图2示出了根据本申请一个实施例二的一种行为识别方法流程图;
图3示出了根据本申请一个实施例二的一种电子设备的系统架构框图;
图4示出了根据本申请一个实施例二的另一种电子设备的系统架构框图;
图5示出了根据本申请一个实施例三的一种行为识别方法流程图;
图6示出了根据本申请一个实施例四的一种数据处理方法流程图;
图7示出了根据本申请一个实施例的一种数据处理方法流程图;
图8示出了根据本申请一个实施例五的一种行为识别装置的结构框图;
图9示出了根据本申请一个实施例六的一种数据处理装置的结构框图;
图10示出了根据本申请一个实施例的一种示例性系统的结构框图。
具体实施方式
下面将参照附图更详细地描述本申请示例性实施例。虽然附图中显示了本申请示例性实施例,然而应当理解,可以以各种形式实现本申请而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本申请,并且能够将本申请的范围完整的传达给本领域的技术人员。
为了便于本领域技术人员深入理解本申请实施例,以下将首先介绍本申请实施例中所涉及的专业术语的定义。
数据操作行为对电子设备或外部设备对该电子设备中的数据进行操作的行为,可以包括读操作或写操作。
其中,外部设备为电子设备之外的其它设备。
数据处理单元为与处理数据相关的单元,可以包括CPU(Central ProcessingUnit,中央处理器)和存储器。
存储器可以包括缓存(cache)、内存和外存等存储器。其中,缓存,又称高速缓存,可以设置在CPU中,为CPU和内存之间进行数据交换提供高速的数据缓冲区域,可以包括一级缓存、二级缓存和三级缓存;内存可以包括RAM(Random-Access Memory,随机存取存储器)和ROM(Read-Only Memory,只读存储器);外存可以包括硬盘、磁盘、闪存等存储器。当然,在实际应用中,该存储器还可以包括其它类型的存储器,比如显示卡中的显存。
另外,在实际应用中,数据处理单元还可以包括其它与数据处理有关的单元。
数据处理特征为数据处理单元在根据数据操作行为进行数据处理的过程或结果所呈现的特征,比如,CPU频率、CPU占用率、存储器中存储空间的占用率。存储器的读写速度等等,当然,在实际应用中,数据处理特征还可以包括其它的特征。
电子设备可以包括手机、智能手表、VR(Virtual Reality,虚拟现实)设备、平板电脑、电子书阅读器、MP3(Moving Picture Experts Group Audio Layer III,动态影像专家压缩标准音频层面3,)播放器、MP4(Moving Picture Experts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机、车载电脑、台式计算机、机顶盒、智能电视机、可穿戴设备等等。其中,电子设备中可以包括硬件、操作系统和用户应用程序,操作系统能够直接控制硬件运行,并向用户应用程序提供操作系统内核接口,用户程序通过该操作系统内核接口向操作系统发送操作指令,以基于该操作指令,指示操作控制硬件运行,实现相应的数据操作行为,对电子设备中的数据进行处理。该电子设备能够与远程服务器进行交互,获取客户端、插件、行为识别或数据处理方法服务,且包括下图8-10中的任一装置、具有图3或4的系统架构,实施图1-2和5-7中任一对应的方法,从而对电子设备中的行为进行识别或对数据进行处理。
客户端可以包括至少一个用户应用程序。该客户端能够运行在电子设备中,从而实现本申请实施例提供的行为识别或数据处理方法。
插件可以包括在运行于电子设备的用户应用程序中,从而实现本申请实施例提供的行为识别或数据处理方法。
本申请实施例可以应用于对针对电子设备进行数据操作的行为进行识别的场景。现有技术中通过对电子设备中的数据进行备份,从而减少木马或病毒等恶意程序可能带来的数据丢失或设备损坏的问题,但该方式容易受到所需备份的数据量多少和电子设备的存储空间大小的限制,同时也仅能将数据恢复至备份时的状态,局限性较大,难以有效确保数据或电子设备的安全性和可靠性,因此,本申请实施例提供了一种行为识别方法。由于当在电子设备中植入恶意程序时,可能会对电子设备中的数据进行操作,比如写入数据或对数据进行修改,而上述数据操作的过程需要通过CPU和存储器等数据处理单元进行处理,且进行不同的数据操作行为时对处理单元的资源占用情况也会不同,比如额外写入恶意程序可能使CPU占用率升高、写入存储器的数据变大等等,从而呈现出不同的数据处理特征,所以可以检测数据操作行为,获取数据处理单元针对该数据操作行为的数据处理特征,进而根据与该数据操作行为对应的数据处理特征,对该数据操作行为进行识别,有利于根据识别结果对电子设备中的各种数据操作行为进行监管,包括确定该数据操作行为是否可能会危害数据或电子设备的安全性或可靠性,并阻断可能有风险的数据操作行为等,便于防患于未然,有效减少电子设备中数据丢失或电子设备损坏的可能,提高了数据和电子设备的安全性和可靠性。当然,实际应用中,还可以基于其它目的,按照上述的行为识别方法,来识别具有特定作用的数据操作行为,比如仅识别出可能具有风险的数据操作行为。
本申请实施例可以实现为客户端或插件,电子设备可以从远程服务器获取并安装该客户端或插件,从而通过该客户端或插件来实施本申请实施例所提供的行为识别或数据处理方法。当然,本申请实施例也可以以软件的形式部署在远程服务器上,电子设备可以通过访问该远程服务器从而获取行为识别或数据处理服务。
实施例一
参照图1,示出了根据本申请一个实施例的一种行为识别方法流程图,具体步骤包括:
步骤101,检测数据操作行为。
由于电子设备能够通过数据操作行为对该电子设备中的数据进行处理,比如写入或修改数据等,其中可能会包括正常运行时的数据处理,也可能会包括由木马等恶意程序引起的存在风险的数据处理,因此,为了便于后续对数据操作行为进行识别,从而有利于根据识别结果对电子设备中的各种数据操作进行行为监管,阻止或杜绝可能存在风险的数据操作行为,防患于未然,有效减少电子设备中数据丢失或电子设备损坏的可能,提高了数据和电子设备的安全性和可靠性,可以检测数据操作行为。
可以对操作系统内核接口接收到的来自用户应用程序的操作指令进行监控,从而检测得到用户应用程序的数据操作行为。
步骤102,获取数据处理单元针对所述数据操作行为的数据处理特征。
由于不同数据操作行为所需要处理的数据可能不同,且针对不同数据也可能会采用不同的处理方式,对数据处理单元的资源占用情况也会不同,从而会呈现出不同的数据处理特征,因此,为了便于后续通过数据处理特征来识别数据操作行为,事先提高数据和电子设备的安全性和可靠性的目的,可以获取数据处理单元针对数据操作行为的数据处理特征。
可以进行数据操作行为的过程中,对CPU和存储器等数据处理单元中至少一个进行监控,将监控得到的信息作为数据处理特征。
其中,可以通过电子设备中能够获取CPU地址和/或存储器中的存储地址,即具有对CPU和/或存储器的访问权限,的硬件设备或软件模块,来对数据单元进行监控。比如,可以在电子设备的操作系统内核层设置操作监控模块,该监控模块具有对CPU和/或存储器的访问权限。另外,在实际应用中,用于监控获取数据处理特征的硬件设备或软件模块,还可以用于前述步骤101中检测数据操作行为。
步骤103,根据所述数据处理特征识别所述数据操作行为。
由于不同的数据操作行为可能会对应于不同的数据处理特征,所以可以根据数据处理特征,对数据操作行为进行识别。
可以事先获取至少一种已识别的数据操作行以及对应的数据处理特征作为样本,然后将前述中获取得到的数据处理特征作为待识别数据处理特征,将该待识别数据处理特征与样本中的数据处理特征进行对比,若样本中存在与待识别数据处理特征一致的数据处理特征(或该待识别数据处理特征处于该数据处理特征的范围内),则可以将与该数据处理特征对应的数据操作行为的识别结果,作为有该待识别数据处理特征对应的数据操作行为的识别结果。
例如,检测到数据操作行为1,且获取到针对数据操作行为1的数据处理特征包括CPU占用率90%、内存占用率80%。事先存储的样本中包括样本1:数据操作行为2,数据处理特征包括CPU占用率90%、内存占用率80%,识别结果为危险;样本2:数据操作行为3,数据处理特征包括CPU占用率10%、内存占用率60%,识别结果为安全。由于数据操作行为1对应的数据处理特征与样本1中的数据处理特征相同,则可以确定样本1中的对数据操作行为2的识别结果,即为数据操作行为1的识别结果,所以数据操作行为1的识别结果为危险。
当然,在实际应用中,还可以通过其它方式来根据数据处理特征识别数据操作行为,比如通过分类器或机器学习来识别,或者,将获取到的数据处理特征以及对应的数据操作行为展示给用户,由用户根据该数据处理特征,对该数据操作行为进行识别。
在对数据操作行为进行识别之后,为了根据识别结果对电子设备中的各种数据操作行为进行监管,防患于未然,有效减少电子设备中数据丢失或电子设备损坏的可能,进一步提高数据和电子设备的安全性和可靠性,可以基于识别结果进行进一步的处理,比如,将识别结果展示给用户,并接收用户基于所展示的识别提交的处理指令;或者,按照预设的处理策略,根据该识别结果对对应的数据操作行为进行管控;或者,将识别后的数据操作行为进行分类存储,以便于后续进行分析或者其它操作。
处理指令用于对数据操作行为进行处理,可以由用户通过执行点击操作或触摸操作等预设操作触发。
处理策略为对数据操作行为进行处理的策略,可以由电子设备事先确定,比如接收用户提交得到。
在本申请实施例中,能够检测数据操作行为,并获取数据单元针对数据操作行为的数据处理特征,由于该数据处理特征能够说明根据该数据操作行为进行数据处理时,数据处理单元的处理过程或处理结果所呈现的特点,因此能够根据数据处理特征,对相应的数据操作行为进行识别,有利于根据识别结果对电子设备中的各种数据操作进行行为监管,阻止或杜绝可能存在风险的数据操作行为,防患于未然,有效减少电子设备中数据丢失或电子设备损坏的可能,提高了数据和电子设备的安全性和可靠性。
实施例二
参照图2,示出了根据本申请一个实施例的一种行为识别方法流程图,具体步骤包括:
步骤201,对外部设备进行用户注册。
为了便于基于外部设备的操作指令,对当前的电子设备中的数据进行处理,可以先在该电子设备中对该外部设备进行用户注册。
其中,可以通过如下步骤对外部设备进行用户注册:
子步骤2011,电子设备和外部设备分别从业务服务器集群中的PCA(PlatformCertification Authority,平台认证机构)获取各自的公钥、私钥和平台身份证书。
其中,PCA向设备提供该设备的私钥、公钥和平台身份证书,以及向该设备提供所请求设备的公钥和平台身份证书,从而使设备之间完成认证。
例如,外部设备为C,当前的电子设备为S,则C可以从PCA获取得到公钥AIKpk_C、私钥AIKpriv_C、平台身份证书Cert_AIKC,S可以从PCA获取得到公钥AIKpk_S、私钥AIKpriv_S、平台身份证书Cert_AIKS。当然PCA也存储有该PCA的平台身份公钥AIKpk_PCA和平台身份私钥AIKpriv_PCA
在本申请实施例中,可选的,为了便于后续电子设备对外部设备的安全性进行验证,以及对私钥等敏感信息进行安全保护,对于电子设备,所述当前设备的公钥和私钥保存在内置的可信芯片中。
电子设备的系统架构如图3所示,包括可信芯片TPCM(TrustedPlatformControlModule),可信平台控制模块)或TPM(Trusted PlatformModule,可信平台模块)且还包括系统服务、用户应用程序、操作系统内核接口层、数据操作监控部件、文件系统驱动、卷驱动、磁盘驱动、总线驱动。
系统服务为执行指定系统功能的程序、例程或进程,以对用户应用程度等进行支持。
操作系统内核接口层,用于提供用户应用程序以及系统服务与操作系统内核之间的接口。
数据操作监控部件为获取数据处理请求,获取数据处理特征、数据操作行为检测、并对数据操作行为进行识别的部件。
文件系统驱动为与文件处理相关的程序,包括创建、修改、存储和删除文等。
卷驱动为操作系统中向文件系统提供对存储空间的操作接口的程序。
磁盘驱动为对磁盘进行驱动的程序。
总线驱动为对总线进行驱动的程序。
当然,在实际应用中,电子设备还可以将片平台身份证书存储至可信芯片中。
另外,在本申请的另一可选实施例中,电子设备的系统架构如图4所示,由图4可知,该电子设备中不包括可信芯片,此时,电子设备可以将获取到的公钥和私钥存储至其他位置。
子步骤2012,电子设备接收所述外部设备的用户注册请求。
外部设备可以向电子设备发送用户注册请求,从而成为合法用户。
用户注册请求为请求在电子设备中注册成为合法用户的请求。该用户注册请求中可以携带该外部设备的公钥和平台身份证书,当然,在实际应用中,该用户注册请求中还可以携带其它可能与进行用户注册有关的信息。
子步骤2013,电子设备从平台认证机构获取所述外部设备和当前设备各自的公钥、证书,以用于完成所述外部设备的用户注册流程。
为了使电子设备与外部设备之间进行相互验证,提高注册的安全性和可靠性,电子设备可以从平台认证机构当前设备与外部设备各自的公钥和证书。
子步骤2014,电子设备根据当前设备和所述外部设备各自的公钥、证书完成所述外部设备的用户注册流程。
为了使电子设备与外部设备之间进行相互验证,提高注册的安全性和可靠性,电子设备可以根据当前设备与外部设备各自的公钥和平台身份证书(可简称为证书),对该外部设备进行注册,注册成功之后,外部设备即为能够对该电子设备中的数据进行操作的合法设备。
电子设备可以将从PCA中获取外部设备的公钥和平台身份证书,与该外部设备提供的公钥和平台身份证书进行比较,若一致则验证通过,否则验证不通过。相应的,外部设备也可以按照相同的方式对该电子设备进行验证。当互相验证通过时,电子设备可以为该外部设备进行注册,并将该外部设备的公钥和平台身份证书进行存储。
步骤202,检测数据操作行为。
其中,检测数据操作行为的方式,可以参见前述中的相关描述,此处不再一一赘述。
在本申请实施例中,可选的,为了减少外部设备可能在电子设备写入恶意程序,或者进行其它可能会危害到该电子设备的安全性的数据操作行为的可能,提高数据和电子设备的安全性和可靠性,可以检测外部设备的数据操作行为。
由前述可知,外部设备可以在电子设备中进行注册,因此可以根据数据操作行为所对应的用户标识,对操作行为进行过滤,从而检测得到外部设备的数据操作行为。
其中,用户标识用于标识一个用户(即指一个外部设备),该用户标识可以由外部设备提供,或者由电子设备为该外部设备注册成功时为该外部设备分配得到。
另外,在本申请的另一可选实施例中,也可以根据数据操作行为所对应的用户标识,针对至少一个特定的外部设备进行数据操作行为检测,进而通过后续方式,对该至少一个特定的外部设备的数据操作行为进行识别,以达到对数据操作行为进行更加精准地检测和识别的目的。
当然,在实际应用中,还可以按照其它策略对数据操作行为进行检测,比如检测所有的数据操作行为,或者检测来自电子设备内部的数据操作行为。
步骤203,获取数据处理单元针对所述数据操作行为的数据处理特征。
其中,获取数据单元针对数据操作行为的数据处理特征的方式,可以参见前述中的相关描述,此处不再一一赘述。
在本申请实施例中,为了尽可能多的获取得到由该数据操作行为所产生的数据处理特征,以便于后续准确地对数据操作行为进行识别,即提高识别数据操作行为的准确性,可以确定数据处理过程中涉及的至少一个数据处理单元,监控所述至少一个数据处理单元的数据处理特征。
可以通过接收用户的指定的数据处理单元,从而将确定的数据处理单元确定为该至少一个数据处理单元;或者,可以对数据处理过程中的数据进行检测或追踪,从而确定该数据处理过程中所涉及的至少一个数据处理单元。当然,在实际应用中,也可以通过其它方式来确定数据处理过程中所涉及的至少一个数据处理单元。
在本申请实施例中,可选的,由于数据可以存储在外存中,并在处理时可能会暂时存储在内存和缓存中,处理器可以从内存或缓存中获取该数据进行处理,因此,为了尽可能多的获取得到由该数据操作行为所产生的数据处理特征,增加数据处理特征来源的多样性,以便于后续根据一个多个数据处理单元的数据处理特征,灵活准确地对数据操作行为进行识别,提高获取数据处理特征的可靠性以及识别数据操作行为的准确性,所述数据处理单元包括外存、内存、缓存或处理器。
其中,处理器可以包括前述中的CPU。
在本申请实施例中,可选的,为了确保能够访问处理器和存储器,获取处理器中的地址或者存储器中地址,从而提高获取得到数据处理特征的可靠性,进而提高后续对数据操作行为进行识别的可靠性,可以通过操作系统内核的监控单元获取所述数据处理特征,所述监控单元具有针对所述数据处理单元的监控权限。
可以事先通过硬件或软件的形式,在该电子设备中部署监控单元,比如,该监控单元可以包括前述中设置在操作系统内核中的数据操作监控部件。
在本申请实施例中,可选的,由于对数据的处理过程需要经过数据处理单元来对数据进行处理,处理前后该数据可能会发生变化,且该数据处理单元可能会针对一个以上的数据操作行为进行数据处理,因此为了准确地得到针对某一个数据操作行为的数据处理特征,可以获取所述数据处理单元的处理属性信息,确定数据处理前后处理属性信息的变化数据,作为所述数据操作行为的数据处理特征。
处理属性信息为说明数据处理单元和/或所处理的数据的所具有的属性的信息。
可以将分别获取数据处理前后的处理属性信息,将获取到的处理属性信息进行比较,从而得到处理属性信息的变化数据,该变化数据即能够用于说明处理前后数据发生的改变,或者说明处理数据所占用的资源。
另外,在本申请的另一可选实施例中,也可以直接将获取到的数据处理单元的处理属性信息,作为数据操作行为的数据处理特征。
在本申请实施例中,可选的,为了提高获取到处理属性信息的准确性,进而提高获取到数据处理特征的准确性,所述处理属性信息包括数据属性信息、处理单元之间的交互状态信息、单元运行状态信息、单元属性信息中至少一种。相应的,所述数据处理特征包括处理单元的数据变化信息、交互变化信息、运行状态变化信息、单元属性变化信息中至少一种。
数据属性信息为说明被处理的数据的所具有属性的信息。比如,该数据属性信息可以包括数据名称、后缀名(即数据格式)、数据大小、信息熵(为数据中排出冗余数据之后的平均数量)和存储位置中的至少一个,相应的,数据变化信息可以包括名称是否变化(其中,是表示为1,否表示为0)、后缀名是否变化、大小变化量和存储位置是否变化中的至少一个,从而说明数据操作行为对该数据处理所导致的改变,当然,在实际应用中,数据属性信息还可以包括其它能够说明被处理的数据所具有属性的信息。
例如,数据A的数据名称为A,后缀名为TXT、数据大小为20KB(千字节)、信息熵为60比特存储位置为D盘,根据数据操作行为3对数据A进行数据处理,处理之后数据A的数据名称为AS,后缀名为INI,数据大小为25KB、信息熵为125比特存储位置为C盘,则其名称变化1、后缀名变化1、大小变化量5KB、信息熵变化量为65比特和存储位置变化1,均可以作为数据操作行为3所对应的数据处理特征。
处理单元之间的交互状态信息为说明任意两个处理单元之间进行交互的状态信息。比如,以CPU和内存为例,交互状态信息可以包括交换数据的速率、CPU向内存写入数据的速率和CPU从内存读取数据的速率中的至少一个,相应的,交互变化信息可以包括交换数据的速率变化量、CPU向内存写入数据的速率变化量和CPU从内存读取数据的速率变化量。或者,该CPU与存储器之间的交互状态信息还可以包括从内存中获取数据的次数和/或位置。
单元运行状态信息为说明数据处理单元运行的状态的信息,针对不同的数据处理单元,可能具有不同的单元运行状态信息。比如,以CPU为例,其单元运行状态信息可以包括CPU占用率、CPU频率、当前包括的进程数、当前包括的线程数和当前包括的句柄数中的至少一个,相应的,运行状态变化信息可以包括CPU占用率变化量、CPU频率变化量、当前包括的进程数变化量、当前包括的线程数变化量和当前包括的句柄数变化量中的至少一个;以硬盘为例,其单元运行状态信息可以包括传输速率、写入速率和读取速率中的至少一个,相应的,运行状态变化信息可以包括传输速率变化量、写入速率变化量和读取速率变化量中的至少一个。
例如,数据单元在针对数据操作行为3进行数据处理之前,CPU占用率为40%、CPU频率为1.61GHz(吉赫)、进程数146、线程数1551、句柄数83436,当开始针对数据操作行为3进行数据处理之后,CPU占用率为70%、CPU频率为2.61GHz、进程数148、线程数1651、句柄数85436,则CPU占用率变化量30%、CPU频率变化量1GHz、当前包括的进程数变化量2、当前包括的线程数变化量100和当前包括的句柄数变化量2000,即可能为针对数据操作行为3进行数据处理所占用的资源,从而能够作为数据操作行为3所对应的数据处理特征。
单元属性信息为说明数据处理单元所具有属性的信息,且针对不同的数据处理单元,可能具有不同的单元属性信息。与单元运行状态信息相比,单元属性变化信息可以是静态的或者变化缓慢的。比如,以硬盘为例,单元属性信息可以包括存储空间占用量(或剩余量)、存储空间占用率和存储空间中的文件系统格式中的至少一个。以缓存为例,单元属性信息可以包括一级缓存占用量(或剩余量)、二级缓存占用量(或剩余量)和三级缓存占用量(或剩余量)中的至少一个。以内存为例,单元属性信息可以包括内存占用量(或剩余量)和内存占用率中的至少一个。
例如,数据单元在针对数据操作行为3进行数据处理之前,内存占用率为40%,当开始针对数据操作行为3进行数据处理之后,内存占用率为60%、则内存占用率变化量20%即可能为针对数据操作行为3进行数据处理所占用的资源,从而能够作为数据操作行为3所对应的数据处理特征。
另外,在实际应用中,上述数据处理特征或处理属性信息还可以用于在电子设备运行中,对电子设备的运行状态进行判断,以便于及时发现电子设备可能出现的异常,并对该电子设备进行维护。
比如,可以根据CPU的单元属性信息、单元运行状态信息、CPU与内存等其它数据处理单元之间的交互状态信息、以及上述信息的变化,确定CPU启动和运行业务中的安全、以及所运行的业务的安全。
步骤204,根据所述数据处理特征识别所述数据操作行为。
其中,根据数据处理特征对数据操作行为进行识别的方式,可以参见前述中的相关描述,此处不再一一赘述。
由前述可知,数据处理特征可以包括至少一项参数,因此,在根据数据处理特征识别数据操作行为时,可以根据数据处理特征中包括的至少一项参数,对数据操行为进行识别,比如随机选择一项参数对数据操行为进行识别,或者选择多于一项的参数共同对数据操行为进行识别。
在本申请实施例中,可选的,为了能够对某种特定的数据操作行为进行识别,比如恶意的文件加密行为或者窃取数据等可能会危害到数据和电子设备安全的数据操作行为,从而有针对性的针对该数据操作行为进行监管或采取相应的处理措施,以进一步确保数据和电子设备的安全子性和可靠性、提高数据处理的效率或者其它目的,可以根据所述数据处理特征满足特征操作行为对应的目标数据处理特征,确定所述数据操作行为包括特征操作行为。
特征操作行为可以为事先确定的特定的数据操作行为。
例如,该特征操作行为为数据加密操作。
目标数据处理特征为与特征操作行为对应的数据处理特征。
电子设备可以事先确定特征操作行为,获取与该特征操作行为对应的数据处理特征作为目标数据处理特征,从而能够将监控得到的数据处理特征与该目标数据处理特征进行比较,若一致则确定该数据处理特征对应的数据操作行为包括该特征操作行为,若不一致则确定该数据处理特征对应的数据操作行为不包括该特征操作行为。
在本申请实施例中,可选的,为了提高获取得到目标数据处理特征的准确性,进而提高对数据操作行为进行识别的准确性,可以通过统计分析、机器学习、行为模式分析中至少一种方式获取所述目标数据处理特征。
若通过统计分析的方式获取目标数据处理特征,可以获取多个数据操作行为以及对应的数据处理特征,通过人工统计分析或者聚类处理等方式,将多个数据操作行为进行分类,在分类结果中确定特征操作行为,进而将该特征操作行为对应的数据处理特征确定为目标数据处理特征。
若通过机器学习的方式获取目标数据特征,可以通过机器学习模型对特征操作行为对应的数据处理特征进行处理,从而得到目标数据处理特征。
行为模式为数据处理单元在针对数据操作行为进行数据处理时的方式方法,比如该行为模式可以包括数据处理中的处理流程、数据处理单元之间的交互过程等。通过行为模式分析获取目标数据处理特征,可以对针对该特征操作行为的数据处理中的处理流程、数据处理单元之间的交互过程等进行分析,将分析得到的结果作为目标数据处理特征。
由前述可知,数据处理特征可能会包括一项以上的参数,可以在数据处理特征与目标数据处理特征所包括的各项参数完全相同、或者包括在该目标数据处理特征的各项参数范围内,确定该数据处理特征与该目标数据处理特征一致,否则,确定该数据处理特征与该目标数据处理特征不一致。当然,在实际应用中,为了提高判断数据操作行为与目标数据操纵行为是否一致的准确性,进而提高对数据操作行为进行识别的准确性,也可以将数据处理特征与目标数据处理特征包括的各项参数分别进行比较,若一致则该向参数的比较结果记为1,否则记为0,根据各项参数的权重,对各项参数比较结果进行累加,得到累加结果即为针对该数据处理特征的比较结果,若累加结果大于预设阈值,则确定该数据处理特征与该目标数据处理特征一致,否则,确定该数据处理特征与该目标数据处理特征不一致。
预设阈值可以通过事先确定,比如接收提交的数值得到。
例如,目标数据处理特征包括信息熵变化量为50-80比特,数据操作行为3对应的数据处理特征包括信息熵变化量为65比特,处于目标数据处理特征所包括的信息熵变化量的范围内,则确定数据操作行为3为特征操作行为。或者,目标数目包括信息熵变化量为50-80比特,CPU占用率变化量为25%-100%,内存占用率变化量为30%-100%,数据操作行为3对应的数据处理特征包括信息熵变化量65比特,CPU占用率变化量为30%,内存占用率变化量为20,将数据操作行为3对应的数据处理特征对目标数据处理特征进行比较可知,数据操作行为3对应的数据处理特征中,仅有内存占用率变化量一项不在目标数据处理特征的范围内,小于数据处理特征的项数3的一半,所以确定数据操作行为3为特征操作行为。
步骤205,提示所述特征操作行为,并接收确认所述特征操作行为包括攻击行为的反馈信息。
由于攻击行为可能会危害电子设备或其中数据的安全性和可靠性,可能需要采取相应的管控措施,因此,为了便于提高对特征操作行为进行识别的准确性,以便于后续对该特征操作行为进行处理,可以将该特征操作行为提示给用户,基进而有用户对该特征操作行为进行确认。
可以通过图像、声音和震动等至少一种方式,将该特征操作行为进行提示,并基于该提示,接收用户的反馈信息。
例如,可以通过弹窗的方式提示该特征操作行为,该弹窗中包括用于说明该特征操作行为的文字信息,还包括确定按钮和否定按钮,以基于该确定按钮或否定按钮接收用户的反馈消息。若基于确定按钮接收用户的点击操作,则确定接收到的反馈消息为确认特征操作行为包括攻击行为;若基于否定按钮接收到用户的点击操作,则确定接收到的反馈消息为否为特征操作行为包括攻击行为。
另外,在本申请的另一优选实施例中,为了减少与用户之间的交互,提高针对数据操作行为采取措施的效率,及时减少电子设备或数据可能受到的损失,也可以不对用户进行提示,而是直接执行下述步骤206,也即是,步骤205为可选的步骤。
步骤206,若确定所述数据操作行为包括所述特征操作行为,则阻断所述数据操作行为的执行。
当特征操作行为为攻击行为,且识别确定数据操作行为包括该特征操作行为,则该数据操作行为可能会危害到电子设备或其中数据的安全性和可靠性,因此,为了尽可能减少该数据操作行为可能给电子设备或数据带来的危害,确保电子设备和数据安全性和可靠性,可以阻断该数据操作行为的执行。
其中,可以停止针对该数据操作行为进行数据处理所对应的进程或线程,或者,阻止该数据操作行为写入数据,从而阻止该数据操作行为的执行。
在本申请实施例中,首先,能够检测数据操作行为,并获取数据单元针对数据操作行为的数据处理特征,由于该数据处理特征能够说明根据该数据操作行为进行数据处理时,数据处理单元的处理过程或处理结果所呈现的特点,因此能够根据数据处理特征,对相应的数据操作行为进行识别,有利于根据识别结果对电子设备中的各种数据操作进行行为监管,阻止或杜绝可能存在风险的数据操作行为,防患于未然,有效减少电子设备中数据丢失或电子设备损坏的可能,提高了数据和电子设备的安全性和可靠性。
其次,能够通过具对数据处理单元具有监控权限的监控单元对数据处理单元进行监控,提高了获取得到数据处理特征的可靠性,进而提高了对数据操作行为进行识别的可靠性。
另外,数据处理单元可以包括处理器和存储器,存储器可以包括外存、内存和缓存,从而能够从一个或以上的数据处理单元获取到数据处理特征,增加了数据处理特征来源的多样性,便于灵活地根据一个或多个数据处理单元的数据处理特征对数据操作行为进行识别,提高了获取数据处理特征的可靠性以及对数据操作行为识别的准确性。
另外,能够将获取到的数据数据处理特征,与特征操作行为对应的目标数据处理特征进行比较,从而能够对包括特征操作行为的数据操作行为进行识别,确保了可以有针对性地对特定的数据操作行为进行监管或采取相应的处理措施,进一步确保了电子设备和数据的安全性和可靠性。
另外,对于可能包括攻击行为的数据操作行为,可以阻止该数据操作行为的执行,从而能够尽可能地减少该数据操作行为可能给电子设备或数据带来的危害,进一步确保了电子设备和数据的安全性和可靠性。
实施例三
参照图5,示出了根据本申请一个实施例的一种行为识别方法流程图,具体步骤包括:
步骤501,检测数据操作行为。
其中,检测数据操作的方式可以参见前述中的相关描述,此处不再一一赘述。
步骤502,获取数据处理单元针对所述数据操作行为的数据处理特征。
其中,获取数据处理单元针对数据操作行为的数据处理特征的方式,可以参见前述中的相关描述,此处不再一一赘述。
步骤503,确定所述数据操作行为符合攻击行为对应的行为类型。
为了能够及时对可能对电子设备或其中数据造成危害的操作行为采取相应的处理措施,确保电子设备和数据的安全性和可靠性,可以确定数据操作行为是否符合攻击行为的行为类型。
可以将符合攻击行为的行为类型的数据操作行为作为特征操作行为,将该数据操作行为对应的数据处理特征作为目标数据处理特征,并按照前述方式识别所述数据操作行为是否包括该特征操作行为,如果是则确定该数据操作行为符合攻击行为对应的行为类型,否则确定该数据操作行为不符合攻击行为对应的行为类型。
其中,识别数据操作行为是否包括特征操作行为的方式,可以参见前述中的相关描述,此处不再一一赘述。
在本申请实施例中,可选的,由于对电子设备进行攻击,可能会在该电子设备中写入数据吧,比如植入木马等,因此为了提高对数据操作行为进行识别的准确性,可以确定所述数据操作行为包括写数据操作。
可以对数据操作行为所包括的计算机指令或代码进行分析,确定计算指令或代码中是否与写数据相关的指令或代码,若有则确定该数据操作行为包括写数据操作,否则确定该数据操作不包括写数据操作。
在本申请实施例中,可选的,由于非法用户对电子设备中的数据进行加密,可能会导致该电子设备的合法用户难以获取到该数据,从而导致数据丢失,进而给用户带来损失,因此,为了确保电子设备和数据的安全性和可靠性,可以根据所述数据处理特征满足数据加密操作对应的数据处理特征,确定所述数据操作行为包括数据加密操作。
可以将数据加密操作确定为特征操作行为,将数据加密操作对应的数据处理特征作为目标数据处理特征,并按照前述方式识别所述数据操作行为是否包括该数据加密操作。
当然,在实际应用中,由于识别写操作的会比识别是否包括某种特定的数据操作简单,因此,为了节省对读操作的识别,降低对数据操作行为进行识别的复杂度,提高识别效率,可以先识别数据操作行为是否为写操作,在确定该数据操作行为写操作后,再识别该数据操作行为是否包括数据加密操作。
步骤504,提示所述数据操作行为,并接收确认所述特征操作行为包括攻击行为的反馈信息。
由于攻击行为可能会危害电子设备或其中数据的安全性和可靠性,可能需要采取相应的管控措施,因此,为了便于提高对特征操作行为进行识别的准确性,以便于后续对该特征操作行为进行处理,可以将该数据操作行为提示给用户,基进而有用户对该特征操作行为进行确认。
其中,提示数据操作行为的方式,可以与前述中提示特征操作行为相同,此处不再一一赘述。
另外,在本申请的另一优选实施例中,为了减少与用户之间的交互,提高针对数据操作行为采取措施的效率,及时减少电子设备或数据可能受到的损失,也可以不对用户进行提示,而是直接执行下述步骤505,也即是,步骤504为可选的步骤。
步骤505,阻断所述数据操作行为的执行。
当数据操作行为为攻击行为,即可能会危害到电子设备或其中数据的安全性和可靠性,因此,为了确保电子设备和数据安全性和可靠性,可以阻断该数据操作行为的执行。
其中,阻止数据操作行为执行的方式,可以参见前述中的相关描述,此处不再一一赘述。
在本申请实施例中,首先,能够检测数据操作行为,并获取数据单元针对数据操作行为的数据处理特征,由于该数据处理特征能够说明根据该数据操作行为进行数据处理时,数据处理单元的处理过程或处理结果所呈现的特点,因此能够根据数据处理特征,对相应的数据操作行为进行识别,有利于根据识别结果对电子设备中的各种数据操作进行行为监管,阻止或杜绝可能存在风险的数据操作行为,防患于未然,有效减少电子设备中数据丢失或电子设备损坏的可能,提高了数据和电子设备的安全性和可靠性。
其次,能够识别数据操作行为是否包括数据加密操作,便于后续及时对非法的数据加密操作进行阻止,有效减少非法的数据加密可能导致的数据丢失等问题,确保了电子设备和数据的安全性和可靠性。
另外,能够初步识别该数据操作行为写操作后,再进一步识别该数据操作行为是否包括数据加密操作,减少了对读操作的识别,降低了对数据操作行为进行识别的复杂度,提高识别效率。
实施例四
参照图6,示出了根据本申请一个实施例的一种数据处理方法流程图,具体步骤包括:
步骤601,检测数据操作行为,并确定所述数据操作行为包括写操作。
由于电子设备能够通过数据操作行为对该电子设备中的数据进行处理,比如写入或修改数据等,其中可能会包括对电子设备中写入恶意程序或者其它数据的数据操作行为,从而可能导致数据丢失或电子设备损坏,给用户带来损失,因此,为了便于后续对数据操作行为进行识别,从而及时可能危害电子设备或数据安全的数据操作行为进行阻止,有效减少电子设备中数据丢失或电子设备损坏的可能,提高了数据和电子设备的安全性和可靠性,可以检测数据操作行并确定该数据操作包括写操作。
其中,检测数据操作行为以及确定数据操作行为包括写操作的方式,可以参见前述中的相关描述,此处不再一一赘述。
步骤602,确定所述写操作为数据加密操作。
由于当数据操作行为为写操作时,则可能会包括植入木马等恶意程序,特别是当写操作为数据加密操作时,可能会对数据进行恶意的加密(比如勒索软件进行的加密),可能会导致数据丢失或给用户带来损失,因此,为了确保电子设备和数据的安全性和可靠性,确保用户利益,可以识别写操作是否为数据加密操作。
在本申请实施例中,可选的,由于不同的数据操作行为可以具有相应的数据处理特征,因此为了通过数据处理特征来对相应的数据操作行为进行识别,提高识别的准确性和可靠性,可以获取数据处理单元针对所述写操作的数据处理特征,根据所述数据处理特征识别所述写操作为数据加密操作。
其中,获取数据处理单元针对写操作的数据处理特征的方式,可以与获取数据处理单元针对数据操作行为的数据处理特征的方式相同;根据数据处理特征,识别作为写操作的数据操作行为是否为数据加密操作的方式,可以参见前述中的相关描述,此处不再一一赘述。
当然,在实际应用中,可以通过其它方式来确定写操作是否为数据加密操作,比如,将该写操作提示给用户,并在接收到确认该写操作为数据加密操作的反馈信息后,确定该写操作为数据加密操作。
其中,提写操作的方式可以与前述中提示数据操作行为的相同,此处不再一一赘述。
步骤603,根据预设规则,阻断所述数据加密操作的执行
为了减少属于恶意加密的数据加密操作可能导致的数据丢失或电子设备损坏等问题,确保数据和电子设备的安全性和可靠性,确保用户利益,可以对数据加密操作进行阻断。
预设规则为阻断数据加密操作执行的规则,该预设规则可以通过事先确定得到,比如由电子设备接收用户或相关技术人员提交的规则得到,当然,实际应用中,也可以通过其它方式获取得到。
例如,预设规则可以包括直接对数据加密操作的执行进行阻断,
在本申请实施例中,可选的,由于数据加密操作也可能是合法用户进行的加密,因此,为了确保合法用户能够对数据进行正常加密,且阻止非法用户对数据进行恶意加密,提高对数据加密操作进行阻止的准确性,可以提示所述数据加密操作,并在接收到确认所述数据加密操作包括攻击行为的反馈信息后,阻断所述数据加密操作的执行。
其中,提示数据加密操作的方式可以与前述中提示数据操作行为的方式,阻断执行数据加密的方式可以与前述中阻断数据操作行为的方式相同,此处不再一一赘述。
在本申请实施例中,首先,能够检测数据操作行为并确定该数据操作是否包括写操作,并在确定写操作为数据加密操作时,能够根据预设规则,及时阻断该数据加密操作执行,有效减少了恶意加密可能导致的数据丢失或电子设备损坏的问题,提高了数据和电子设备的安全性和可靠性。
其次,对于包括写操作的数据操作行为,能够获取数据单元针对写操作的数据处理特征,由于该数据处理特征能够说明根据该数据操作行为进行数据处理时,数据处理单元的处理过程或处理结果所呈现的特点,因此能够根据数据处理特征,对该数据操作行为进行识别,提高了对数据加密操作进行识别的准确性。
另外,对于已识别确认的数据加密操作,可以将该数据加密操作提示给用户,并在接收到用户确认的反馈信息时,对该数据加密操作进行阻断,既能够保合法用户能够对数据进行正常加密,也能够及时阻止非法用户对数据进行恶意加密,提高了对数据加密操作进行阻止的准确性。
本领域的技术人员应可理解,上述实施例中的方法步骤并非每一个都必不可少,在具体状况下,可以省略其中的一个或多个步骤,只要能够实现对电子设备进行行为识别或数据处理的技术目的。本发明并不限定的实施例中步骤的数量及其顺序,本发明的保护范围当以权利要求书的限定为准。
为了便于本领域技术人员更好地理解本申请,以下通过一个具体的示例对本申请实施例的一种数据处理方法进行说明,具体包括如下步骤:
参见图7,提供了一种数据处理方法的流程图。该方法包括:
步骤701,截获文件操作请求;
其中,文件操作请求为进行文件操作的请求,文件操作行为即可包括前述中的数据操作行为。
步骤702,分析文件操作行为特征;
操作特征,即为文件操作所具有的行为特征,可以通过对文件操作行为包括的计算机指令或代码进行分析,从而确定文件操作行为特征。
步骤703,根据操作特征判断文件操作是否为写操作,若是则执行步骤705,否则执行步骤704;
步骤704,允许读操作;
若文件操作不为写操作,则该文件操作为读操作。读操作不会导致文件中的数据发生改变,所以可以允许该读操作。
步骤705;监控CPU运算特征、存储器数据变化特征以及CPU和存储器的交互特征中的至少一个;
在本申请实施例中,可选的,存储器包括缓存。
可以通过在电子设备中对CPU和存储器访问权限的硬件或软件,对上述特征进行监控,比如可以通过前述中的监控单元或设置在操作系统内核中的数据操作监控部件,对上述特征进行监控。
步骤706,根据监控的特征识别文件操作是否符合加密操作运算特征,若是则执行步骤708,否则执行步骤707;
由于加密操作可能为攻击行为,因此包括加密操作的文件操作与未包括加密操作的文件操作相比,可能会占用更多的资源,从而具有不同运算特征,比如占用更多个CPU、使CPU的频率更高、从内存等存储器中获取更多的数据、从存储器中不同存储位置而非指定的存储位置获取数据、与存储器有更多的交互等,因此,可以根据监控到的特征是否符合加密操作运算特征,来确定文件操作是否为加密操作,比如,当CPU与内存的交互特征符合某加密算法的计算特征、文件操作前后数据的信息熵变化量符合加密前后的信息熵变化量、CPU主频与占用符合包括加密操作时的CPU主频和占用,即可确定所监控的文件操作为加密操作。
步骤707,允许替换或删除原文件;
若当前的文件操作不为加密操作,则可以确定文件操作是安全的,可以允许该文件操作替换或删除原文件。
步骤708,提示用户确认是否为本人加密行为,若是则执行步骤710,否则执行步骤709;
若当前的文件操作为加密操作,则也可有可能该加密操作为合法用户对文件的加密,所以为了提高数据处理的可靠性,可以提示用户对该加密行为进行确认。
步骤709,阻止替换或删除原文件;
对于不是合法用户的加密,该加密操作是不可信的,可以阻止替换或删除原文件,以减少造成数据丢失或或者其它危害电子设备安全的问题的可能。
步骤710,允许替换或删除原文件。
对于可信的加密操作,可以允许替换或删除原文件。
实施例五
参照图8,示出了根据本申请一个实施例的一种行为识别装置的结构框图,该装置包括:
数据操作行为检测模块801,用于检测数据操作行为;
数据处理特征获取模块802,用于获取数据处理单元针对所述数据操作行为的数据处理特征;
数据操作行为识别模块803,用于根据所述数据处理特征识别所述数据操作行为。
可选的,所述数据处理特征获取模块包括:
处理属性信息获取子模块,用于获取所述数据处理单元的处理属性信息;
数据处理特征确定子模块,用于确定数据处理前后处理属性信息的变化数据,作为所述数据操作行为的数据处理特征。
可选的,所述处理属性信息包括数据属性信息、处理单元之间的交互状态信息、单元运行状态信息、单元属性信息中至少一种。
可选的,所述数据处理特征包括处理单元的数据变化信息、交互变化信息、运行状态变化信息、单元属性变化信息中至少一种。
可选的,所述数据处理特征获取模块包括:
数据处理单元确定子模块,用于确定数据处理过程中涉及的至少一个数据处理单元;
数据处理特征监控子模块,用于监控所述至少一个数据处理单元的数据处理特征。
可选的,所述数据处理单元包括外存、内存、缓存或处理器。
可选的,所述数据操作行为识别模块包括:
第一数据操作行为确定子模块,用于确定所述数据操作行为符合攻击行为对应的行为类型。
可选的,所述第一数据操作行为确定子模块还用于:
确定所述数据操作行为包括写数据操作。
可选的,所述数据操作行为识别模块包括:
第二数据操作行为确定子模块,用于根据所述数据处理特征满足数据加密操作对应的数据处理特征,确定所述数据操作行为包括数据加密操作。
可选的,所述数据操作行为识别模块包括:
第三数据操作行为确定子模块,用于根据所述数据处理特征满足特征操作行为对应的目标数据处理特征,确定所述数据操作行为包括特征操作行为。
可选的,所述装置还包括:
目标数据处理特征获取模块,用于通过统计分析、机器学习、行为模式分析中至少一种方式获取所述目标数据处理特征。
可选的,所述特征操作行为为攻击行为,所述装置还包括:
阻断模块,用于若确定所述数据操作行为包括所述特征操作行为,则阻断所述数据操作行为的执行。
可选的,所述方法还包括:
提示模块,用于提示所述特征操作行为,并接收确认所述特征操作行为包括攻击行为的反馈信息。
可选的,所述数据处理特征获取模块包括:
数据处理特征获取子模块,用于通过操作系统内核的监控单元获取所述数据处理特征,所述监控单元具有针对所述数据处理单元的监控权限。
可选的,所述数据操作行为检测模块包括:
数据操作行为检测子模块,用于检测外部设备的数据操作行为。
可选的,所述装置还包括:
用户注册请求接收模块,用于接收所述外部设备的用户注册请求,并根据当前设备和所述外部设备各自的公钥、证书完成所述外部设备的用户注册流程。
可选的,所述当前设备的公钥和私钥保存在内置的可信芯片中。
可选的,所述装置还包括:
证书获取模块,用于从平台认证机构获取所述外部设备和当前设备各自的公钥、证书,以用于完成所述外部设备的用户注册流程。
在本申请实施例中,能够检测数据操作行为,并获取数据单元针对数据操作行为的数据处理特征,由于该数据处理特征能够说明根据该数据操作行为进行数据处理时,数据处理单元的处理过程或处理结果所呈现的特点,因此能够根据数据处理特征,对相应的数据操作行为进行识别,有利于根据识别结果对电子设备中的各种数据操作进行行为监管,阻止或杜绝可能存在风险的数据操作行为,防患于未然,有效减少电子设备中数据丢失或电子设备损坏的可能,提高了数据和电子设备的安全性和可靠性。
实施例六
参照图9,示出了根据本申请一个实施例的一种数据处理装置的结构框图,该装置包括:
数据操作行为检测模块901,用于检测数据操作行为,并确定所述数据操作行为包括写操作;
数据加密操作确定模块902,用于确定所述写操作为数据加密操作;
阻断模块903,用于根据预设规则,阻断所述数据加密操作的执行。
可选的,所述数据加密操作确定模块包括:
数据处理特征获取子模块,用于获取数据处理单元针对所述写操作的数据处理特征;
数据加密操作识别子模块,用于根据所述数据处理特征识别所述写操作为数据加密操作。
可选的,所述阻断模块包括:
阻断子模块,用于提示所述数据加密操作,并在接收到确认所述数据加密操作包括攻击行为的反馈信息后,阻断所述数据加密操作的执行。
在本申请实施例中,能够检测数据操作行为并确定该数据操作是否包括写操作,并在确定写操作为数据加密操作时,能够根据预设规则,及时阻断该数据加密操作执行,有效减少了恶意加密可能导致的数据丢失或电子设备损坏的问题,提高了数据和电子设备的安全性和可靠性。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请实施例可被实现为使用任意适当的硬件,固件,软件,或及其任意组合进行想要的配置的系统。图10示意性地示出了可被用于实现本申请中所述的各个实施例的示例性系统(或装置)1000。
对于一个实施例,图10示出了示例性系统1000,该系统具有一个或多个处理器1002、被耦合到(一个或多个)处理器1002中的至少一个的系统控制模块(芯片组)1004、被耦合到系统控制模块1004的系统存储器1006、被耦合到系统控制模块1004的非易失性存储器(NVM)/存储设备1008、被耦合到系统控制模块1004的一个或多个输入/输出设备1010,以及被耦合到系统控制模块1006的网络接口1012。
处理器1002可包括一个或多个单核或多核处理器,处理器1002可包括通用处理器或专用处理器(例如图形处理器、应用处理器、基频处理器等)的任意组合。在一些实施例中,系统1000能够作为本申请实施例中所述的电子设备。
在一些实施例中,系统1000可包括具有指令的一个或多个计算机可读介质(例如,系统存储器1006或NVM/存储设备1008)以及与该一个或多个计算机可读介质相合并被配置为执行指令以实现模块从而执行本申请中所述的动作的一个或多个处理器1002。
对于一个实施例,系统控制模块1004可包括任意适当的接口控制器,以向(一个或多个)处理器1002中的至少一个和/或与系统控制模块1004通信的任意适当的设备或组件提供任意适当的接口。
系统控制模块1004可包括存储器控制器模块,以向系统存储器1006提供接口。存储器控制器模块可以是硬件模块、软件模块和/或固件模块。
系统存储器1006可被用于例如为系统1000加载和存储数据和/或指令。对于一个实施例,系统存储器1006可包括任意适当的易失性存储器,例如,适当的DRAM。在一些实施例中,系统存储器1006可包括双倍数据速率类型四同步动态随机存取存储器(DDR4SDRAM)。
对于一个实施例,系统控制模块1004可包括一个或多个输入/输出控制器,以向NVM/存储设备1008及(一个或多个)输入/输出设备1010提供接口。
例如,NVM/存储设备1008可被用于存储数据和/或指令。NVM/存储设备1008可包括任意适当的非易失性存储器(例如,闪存)和/或可包括任意适当的(一个或多个)非易失性存储设备(例如,一个或多个硬盘驱动器(HDD)、一个或多个光盘(CD)驱动器和/或一个或多个数字通用光盘(DVD)驱动器)。
NVM/存储设备1008可包括在物理上作为系统1000被安装在其上的设备的一部分的存储资源,或者其可被该设备访问而不必作为该设备的一部分。例如,NVM/存储设备1008可通过网络经由(一个或多个)输入/输出设备1010进行访问。
(一个或多个)输入/输出设备1010可为系统1000提供接口以与任意其他适当的设备通信,输入/输出设备1010可以包括通信组件、音频组件、传感器组件等。网络接口1012可为系统1000提供接口以通过一个或多个网络通信,系统1000可根据一个或多个无线网络标准和/或协议中的任意标准和/或协议来与无线网络的一个或多个组件进行无线通信,例如接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合进行无线通信。
对于一个实施例,(一个或多个)处理器1002中的至少一个可与系统控制模块1004的一个或多个控制器(例如,存储器控制器模块)的逻辑封装在一起。对于一个实施例,(一个或多个)处理器1002中的至少一个可与系统控制模块1004的一个或多个控制器的逻辑封装在一起以形成系统级封装(SiP)。对于一个实施例,(一个或多个)处理器1002中的至少一个可与系统控制模块1004的一个或多个控制器的逻辑集成在同一模具上。对于一个实施例,(一个或多个)处理器1002中的至少一个可与系统控制模块1004的一个或多个控制器的逻辑集成在同一模具上以形成片上系统(SoC)。
在各个实施例中,系统1000可以但不限于是:工作站、台式计算设备或移动计算设备(例如,膝上型计算设备、手持计算设备、平板电脑、上网本等)。在各个实施例中,系统1000可具有更多或更少的组件和/或不同的架构。例如,在一些实施例中,系统1000包括一个或多个摄像机、键盘、液晶显示器(LCD)屏幕(包括触屏显示器)、非易失性存储器端口、多个天线、图形芯片、专用集成电路(ASIC)和扬声器。
其中,如果显示器包括触摸面板,显示屏可以被实现为触屏显示器,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。
本申请实施例还提供了一种非易失性可读存储介质,该存储介质中存储有一个或多个模块(programs),该一个或多个模块被应用在终端设备时,可以使得该终端设备执行本申请实施例中各方法步骤的指令(instructions)。
在一个示例中提供了一种装置,包括:一个或多个处理器;和,其上存储的有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述装置执行如本申请实施例中电子设备执行的方法。
在一个示例中还提供了一个或多个机器可读介质,其上存储有指令,当由一个或多个处理器执行时,使得装置执行如本申请实施例中电子设备执行的方法。
本申请实施例公开了一种行为识别、数据处理方法及装置。
示例1、一种行为识别方法,包括:
检测数据操作行为;
获取数据处理单元针对所述数据操作行为的数据处理特征;
根据所述数据处理特征识别所述数据操作行为。
示例2可包括示例1所述的方法,所述获取数据处理单元针对所述数据操作行为的数据处理特征包括:
获取所述数据处理单元的处理属性信息;
确定数据处理前后处理属性信息的变化数据,作为所述数据操作行为的数据处理特征。
示例3可包括示例2所述的方法,所述处理属性信息包括数据属性信息、处理单元之间的交互状态信息、单元运行状态信息、单元属性信息中至少一种。
示例4可包括示例1所述的方法,所述数据处理特征包括处理单元的数据变化信息、交互变化信息、运行状态变化信息、单元属性变化信息中至少一种。
示例5可包括示例1所述的方法,所述获取数据处理单元针对所述数据操作行为的数据处理特征包括:
确定数据处理过程中涉及的至少一个数据处理单元;
监控所述至少一个数据处理单元的数据处理特征。
示例6可包括示例1所述的方法,所述数据处理单元包括外存、内存、缓存或处理器。
示例7可包括示例1所述的方法,所述根据所述数据处理特征识别所述数据操作行为包括:
确定所述数据操作行为符合攻击行为对应的行为类型。
示例8可包括示例7所述的方法,所述确定所述数据操作行为符合攻击行为对应的行为类型包括:
确定所述数据操作行为包括写数据操作。
示例9可包括示例8所述的方法,所述根据所述数据处理特征识别所述数据操作行为包括:
根据所述数据处理特征满足数据加密操作对应的数据处理特征,确定所述数据操作行为包括数据加密操作。
示例10可包括示例1所述的方法,所述根据所述数据处理特征识别所述数据操作行为包括:
根据所述数据处理特征满足特征操作行为对应的目标数据处理特征,确定所述数据操作行为包括特征操作行为。
示例11可包括示例10所述的方法,所述方法还包括:
通过统计分析、机器学习、行为模式分析中至少一种方式获取所述目标数据处理特征。
示例12可包括示例10所述的方法,所述特征操作行为为攻击行为,所述方法还包括:
若确定所述数据操作行为包括所述特征操作行为,则阻断所述数据操作行为的执行。
示例13可包括示例10所述的方法,在所述阻断所述数据操作行为的执行之前,所述方法还包括:
提示所述特征操作行为,并接收确认所述特征操作行为包括攻击行为的反馈信息。
示例14可包括示例1所述的方法,所述获取数据处理单元针对所述数据操作行为的数据处理特征包括:
通过操作系统内核的监控单元获取所述数据处理特征,所述监控单元具有针对所述数据处理单元的监控权限。
示例15可包括示例1所述的方法,所述检测数据操作行为包括:
检测外部设备的数据操作行为。
示例16可包括示例15所述的方法,在所述检测数据操作行为之前,所述方法还包括:
接收所述外部设备的用户注册请求,并根据当前设备和所述外部设备各自的公钥、证书完成所述外部设备的用户注册流程。
示例17可包括示例16所述的方法,所述当前设备的公钥和私钥保存在内置的可信芯片中。
示例18可包括示例15所述的方法,所述方法还包括:
从平台认证机构获取所述外部设备和当前设备各自的公钥、证书,以用于完成所述外部设备的用户注册流程。
示例19、一种数据处理方法,包括:
检测数据操作行为,并确定所述数据操作行为包括写操作;
确定所述写操作为数据加密操作;
根据预设规则,阻断所述数据加密操作的执行。
示例20可包括示例19所述的方法,所述确定所述写操作为数据加密操作包括:
获取数据处理单元针对所述写操作的数据处理特征;
根据所述数据处理特征识别所述写操作为数据加密操作。
示例21可包括示例19所述的方法,所述根据预设规则,阻断所述数据加密操作的执行包括:
提示所述数据加密操作,并在接收到确认所述数据加密操作包括攻击行为的反馈信息后,阻断所述数据加密操作的执行。
示例22、一种行为识别装置,包括:
数据操作行为检测模块,用于检测数据操作行为;
数据处理特征获取模块,用于获取数据处理单元针对所述数据操作行为的数据处理特征;
数据操作行为识别模块,用于根据所述数据处理特征识别所述数据操作行为。
示例23、一种数据处理装置,包括:
数据操作行为检测模块,用于检测数据操作行为,并确定所述数据操作行为包括写操作;
数据加密操作确定模块,用于确定所述写操作为数据加密操作;
阻断模块,用于根据预设规则,阻断所述数据加密操作的执行。
示例24、一种装置,包括:一个或多个处理器;和其上存储的有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述装置执行如示例1-示例21一个或多个的方法。
示例25、一个或多个机器可读介质,其上存储有指令,当由一个或多个处理器执行时,使得装置执行如示例1-示例21一个或多个的方法。
虽然某些实施例是以说明和描述为目的的,各种各样的替代、和/或、等效的实施方案、或计算来达到同样的目的实施例示出和描述的实现,不脱离本申请的实施范围。本申请旨在覆盖本文讨论的实施例的任何修改或变化。因此,显然本文描述的实施例仅由权利要求和它们的等同物来限定。

Claims (25)

1.一种行为识别方法,其特征在于,包括:
检测数据操作行为;
获取数据处理单元针对所述数据操作行为的数据处理特征;
根据所述数据处理特征识别所述数据操作行为。
2.根据权利要求1所述的方法,其特征在于,所述获取数据处理单元针对所述数据操作行为的数据处理特征包括:
获取所述数据处理单元的处理属性信息;
确定数据处理前后处理属性信息的变化数据,作为所述数据操作行为的数据处理特征。
3.根据权利要求2所述的方法,其特征在于,所述处理属性信息包括数据属性信息、处理单元之间的交互状态信息、单元运行状态信息、单元属性信息中至少一种。
4.根据权利要求1所述的方法,其特征在于,所述数据处理特征包括处理单元的数据变化信息、交互变化信息、运行状态变化信息、单元属性变化信息中至少一种。
5.根据权利要求1所述的方法,其特征在于,所述获取数据处理单元针对所述数据操作行为的数据处理特征包括:
确定数据处理过程中涉及的至少一个数据处理单元;
监控所述至少一个数据处理单元的数据处理特征。
6.根据权利要求1所述的方法,其特征在于,所述数据处理单元包括外存、内存、缓存或处理器。
7.根据权利要求1所述的方法,其特征在于,所述根据所述数据处理特征识别所述数据操作行为包括:
确定所述数据操作行为符合攻击行为对应的行为类型。
8.根据权利要求7所述的方法,其特征在于,所述确定所述数据操作行为符合攻击行为对应的行为类型包括:
确定所述数据操作行为包括写数据操作。
9.根据权利要求8所述的方法,其特征在于,所述根据所述数据处理特征识别所述数据操作行为包括:
根据所述数据处理特征满足数据加密操作对应的数据处理特征,确定所述数据操作行为包括数据加密操作。
10.根据权利要求1所述的方法,其特征在于,所述根据所述数据处理特征识别所述数据操作行为包括:
根据所述数据处理特征满足特征操作行为对应的目标数据处理特征,确定所述数据操作行为包括特征操作行为。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
通过统计分析、机器学习、行为模式分析中至少一种方式获取所述目标数据处理特征。
12.根据权利要求10所述的方法,其特征在于,所述特征操作行为为攻击行为,所述方法还包括:
若确定所述数据操作行为包括所述特征操作行为,则阻断所述数据操作行为的执行。
13.根据权利要求10所述的方法,其特征在于,在所述阻断所述数据操作行为的执行之前,所述方法还包括:
提示所述特征操作行为,并接收确认所述特征操作行为包括攻击行为的反馈信息。
14.根据权利要求1所述的方法,其特征在于,所述获取数据处理单元针对所述数据操作行为的数据处理特征包括:
通过操作系统内核的监控单元获取所述数据处理特征,所述监控单元具有针对所述数据处理单元的监控权限。
15.根据权利要求1所述的方法,其特征在于,所述检测数据操作行为包括:
检测外部设备的数据操作行为。
16.根据权利要求15所述的方法,其特征在于,在所述检测数据操作行为之前,所述方法还包括:
接收所述外部设备的用户注册请求,并根据当前设备和所述外部设备各自的公钥、证书完成所述外部设备的用户注册流程。
17.根据权利要求16所述的方法,其特征在于,所述当前设备的公钥和私钥保存在内置的可信芯片中。
18.根据权利要求15所述的方法,其特征在于,所述方法还包括:
从平台认证机构获取所述外部设备和当前设备各自的公钥、证书,以用于完成所述外部设备的用户注册流程。
19.一种数据处理方法,其特征在于,包括:
检测数据操作行为,并确定所述数据操作行为包括写操作;
确定所述写操作为数据加密操作;
根据预设规则,阻断所述数据加密操作的执行。
20.根据权利要求19所述的方法,其特征在于,所述确定所述写操作为数据加密操作包括:
获取数据处理单元针对所述写操作的数据处理特征;
根据所述数据处理特征识别所述写操作为数据加密操作。
21.根据权利要求19所述的方法,其特征在于,所述根据预设规则,阻断所述数据加密操作的执行包括:
提示所述数据加密操作,并在接收到确认所述数据加密操作包括攻击行为的反馈信息后,阻断所述数据加密操作的执行。
22.一种行为识别装置,其特征在于,包括:
数据操作行为检测模块,用于检测数据操作行为;
数据处理特征获取模块,用于获取数据处理单元针对所述数据操作行为的数据处理特征;
数据操作行为识别模块,用于根据所述数据处理特征识别所述数据操作行为。
23.一种数据处理装置,其特征在于,包括:
数据操作行为检测模块,用于检测数据操作行为,并确定所述数据操作行为包括写操作;
数据加密操作确定模块,用于确定所述写操作为数据加密操作;
阻断模块,用于根据预设规则,阻断所述数据加密操作的执行。
24.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-21所述的一个或多个的方法。
25.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-21所述的一个或多个的方法。
CN201810225782.7A 2018-03-19 2018-03-19 行为识别、数据处理方法及装置 Pending CN110287697A (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201810225782.7A CN110287697A (zh) 2018-03-19 2018-03-19 行为识别、数据处理方法及装置
TW107140742A TW201939337A (zh) 2018-03-19 2018-11-16 行為識別、數據處理方法及裝置
US16/357,126 US20190286816A1 (en) 2018-03-19 2019-03-18 Behavior recognition, data processing method and apparatus
PCT/US2019/022816 WO2019182999A1 (en) 2018-03-19 2019-03-18 Behavior recognition, data processing method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810225782.7A CN110287697A (zh) 2018-03-19 2018-03-19 行为识别、数据处理方法及装置

Publications (1)

Publication Number Publication Date
CN110287697A true CN110287697A (zh) 2019-09-27

Family

ID=67905703

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810225782.7A Pending CN110287697A (zh) 2018-03-19 2018-03-19 行为识别、数据处理方法及装置

Country Status (4)

Country Link
US (1) US20190286816A1 (zh)
CN (1) CN110287697A (zh)
TW (1) TW201939337A (zh)
WO (1) WO2019182999A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111324882A (zh) * 2020-01-21 2020-06-23 天津芯海创科技有限公司 一种处理器输出数据监测方法及装置

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6936960B2 (ja) * 2017-05-23 2021-09-22 日本電気株式会社 行動分析システム、行動分析方法及び記録媒体
CN112163571B (zh) * 2020-10-29 2024-03-05 腾讯科技(深圳)有限公司 电子设备使用者的属性识别方法、装置、设备及存储介质
US11763006B1 (en) * 2023-01-19 2023-09-19 Citibank, N.A. Comparative real-time end-to-end security vulnerabilities determination and visualization
US11748491B1 (en) 2023-01-19 2023-09-05 Citibank, N.A. Determining platform-specific end-to-end security vulnerabilities for a software application via a graphical user interface (GUI) systems and methods
US11874934B1 (en) 2023-01-19 2024-01-16 Citibank, N.A. Providing user-induced variable identification of end-to-end computing system security impact information systems and methods

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103150506A (zh) * 2013-02-17 2013-06-12 北京奇虎科技有限公司 一种恶意程序检测的方法和装置
US20140172741A1 (en) * 2011-03-24 2014-06-19 China Unionpay Co., Ltd Method and system for security information interaction based on internet
US20150058987A1 (en) * 2013-08-22 2015-02-26 F-Secure Corporation Detecting File Encrypting Malware
US20150161388A1 (en) * 2013-07-18 2015-06-11 Empire Technology Development Llc Memory attack detection
US20160180087A1 (en) * 2014-12-23 2016-06-23 Jonathan L. Edwards Systems and methods for malware detection and remediation
CN106295381A (zh) * 2015-05-19 2017-01-04 澜起科技(上海)有限公司 用于监控对内部存储器的数据访问的装置以及内部存储器
US20170091461A1 (en) * 2015-09-25 2017-03-30 Wistron Corporation Malicious code analysis method and system, data processing apparatus, and electronic apparatus
WO2017147236A1 (en) * 2016-02-23 2017-08-31 Carbon Black, Inc. Cybersecurity systems and techniques
CN107526668A (zh) * 2017-08-01 2017-12-29 广东欧珀移动通信有限公司 Cpu监控方法和装置、计算机设备、计算机可读存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8370902B2 (en) * 2010-01-29 2013-02-05 Microsoft Corporation Rescuing trusted nodes from filtering of untrusted network entities
US9881157B1 (en) * 2014-03-18 2018-01-30 Bitdefender IPR Management Ltd. Anti-malware systems and methods using hardware-assisted code injection
US11170104B1 (en) * 2015-08-21 2021-11-09 Amazon Technologies, Inc. Identifying attacks on file systems
CN110678864A (zh) * 2017-05-24 2020-01-10 西门子股份公司 危害和取证数据的plc指标的收集

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140172741A1 (en) * 2011-03-24 2014-06-19 China Unionpay Co., Ltd Method and system for security information interaction based on internet
CN103150506A (zh) * 2013-02-17 2013-06-12 北京奇虎科技有限公司 一种恶意程序检测的方法和装置
US20150161388A1 (en) * 2013-07-18 2015-06-11 Empire Technology Development Llc Memory attack detection
US20150058987A1 (en) * 2013-08-22 2015-02-26 F-Secure Corporation Detecting File Encrypting Malware
US20160180087A1 (en) * 2014-12-23 2016-06-23 Jonathan L. Edwards Systems and methods for malware detection and remediation
CN106295381A (zh) * 2015-05-19 2017-01-04 澜起科技(上海)有限公司 用于监控对内部存储器的数据访问的装置以及内部存储器
US20170091461A1 (en) * 2015-09-25 2017-03-30 Wistron Corporation Malicious code analysis method and system, data processing apparatus, and electronic apparatus
WO2017147236A1 (en) * 2016-02-23 2017-08-31 Carbon Black, Inc. Cybersecurity systems and techniques
CN107526668A (zh) * 2017-08-01 2017-12-29 广东欧珀移动通信有限公司 Cpu监控方法和装置、计算机设备、计算机可读存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111324882A (zh) * 2020-01-21 2020-06-23 天津芯海创科技有限公司 一种处理器输出数据监测方法及装置

Also Published As

Publication number Publication date
US20190286816A1 (en) 2019-09-19
WO2019182999A1 (en) 2019-09-26
TW201939337A (zh) 2019-10-01

Similar Documents

Publication Publication Date Title
CN110287697A (zh) 行为识别、数据处理方法及装置
CN111539813B (zh) 业务行为的回溯处理方法、装置、设备及系统
CN109787943B (zh) 一种抵御拒绝服务攻击的方法及设备
US10705894B2 (en) Electronic device for authenticating application and operating method thereof
US9576147B1 (en) Security policy application through data tagging
CN105493054B (zh) 使用双文件系统的快速数据保护
CN106063185B (zh) 用于安全地共享数据的方法和装置
CN107408192B (zh) 保护存储器
CN106133743B (zh) 用于优化预安装应用程序的扫描的系统和方法
US20190332765A1 (en) File processing method and system, and data processing method
US10432622B2 (en) Securing biometric data through template distribution
CN110268406B (zh) 密码安全性
US10397216B2 (en) Systems and methods for performing secure backup operations
US9038158B1 (en) Systems and methods for enforcing geolocation-based policies
AU2018391625B2 (en) Re-encrypting data on a hash chain
EP2828767A1 (en) System and method for crowdsourcing of mobile application reputations
US10382429B2 (en) Systems and methods for performing secure backup operations
WO2019184740A1 (zh) 数据加密、解密方法及装置
KR20150020221A (ko) 보호된 데이터 세트의 네트워크 기반 관리 기법
US9122869B1 (en) Systems and methods for detecting client types
US11777724B2 (en) Data fragmentation and reconstruction
US11379568B2 (en) Method and system for preventing unauthorized computer processing
EP4121881A1 (en) Systems and methods for protecting a folder from unauthorized file modification
CN107247900B (zh) 一种获取操作系统登录密码的方法及装置
CN109802955A (zh) 权限控制方法及装置、存储介质、计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination