CN110516443B - 一种基于离线智能学习的应用程序管控方法及系统 - Google Patents
一种基于离线智能学习的应用程序管控方法及系统 Download PDFInfo
- Publication number
- CN110516443B CN110516443B CN201910656764.9A CN201910656764A CN110516443B CN 110516443 B CN110516443 B CN 110516443B CN 201910656764 A CN201910656764 A CN 201910656764A CN 110516443 B CN110516443 B CN 110516443B
- Authority
- CN
- China
- Prior art keywords
- file
- mode
- intercepted
- directory
- offline
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000007123 defense Effects 0.000 claims abstract description 49
- 238000012544 monitoring process Methods 0.000 claims abstract description 17
- 238000012545 processing Methods 0.000 claims description 20
- 230000006870 function Effects 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 9
- 238000012423 maintenance Methods 0.000 abstract description 7
- 238000007726 management method Methods 0.000 description 9
- 230000008859 change Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于离线智能学习的应用程序管控方法及系统,该方法包括:监控应用程序的信任等级名单的在线状态,信任等级名单包括:白名单、黑名单和灰名单;在白名单离线时,将应用程序的防御模式切换为离线智能学习模式;在离线智能学习模式下,允许非黑名单中的应用程序运行,禁止黑名单中的应用程序运行。本发明公开的基于离线智能学习的应用程序管控方法及系统,可以适用于白名单程序在业务升级时未启用场景,可以在升级后开启白名单程序时一键设置为离线智能学习模式,保证安全的同时,最大程度上降低了对客户正常业务的影响,降低维护成本。
Description
技术领域
本文涉及操作安全领域,尤指一种基于离线智能学习的应用程序管控方法及系统。
背景技术
随着攻击手段日新月异,传统的黑名单防御软件只能识别已知的恶意软件和攻击,无法抵御病毒、蠕虫和入侵等种种威胁构成的混合型威胁。因此,基于白名单的安全软件日益盛行,其原理为只允许信任的白名单程序运行。
然而,在白名单安全软件离线(未运行或设置为停止模式)时进行业务升级情况下,升级后开启白名单安全软件会拦截未知程序的运行,影响客户业务正常运行,安全运维成本较高。
发明内容
第一方面,本申请提供了一种基于离线智能学习的应用程序管控方法,包括:
监控应用程序的信任等级名单的在线状态,所述信任等级名单包括:白名单、黑名单和灰名单,所述白名单包括已知的受信任应用程序,所述黑名单包括已知的恶意的应用程序;所述灰名单包括所有信任等级待定的未知应用程序;
在所述白名单离线时,将所述应用程序的防御模式切换为离线智能学习模式;
在所述离线智能学习模式下,允许非黑名单中的应用程序运行,禁止黑名单中的应用程序运行。
第二方面,本申请提供了一种基于离线智能学习的应用程序管控系统,包括:
监控模块,用于监控应用程序的信任等级名单的在线状态,所述信任等级名单包括:白名单、黑名单和灰名单,所述白名单包括已知的受信任应用程序,所述黑名单包括已知的恶意的应用程序;所述灰名单包括所有信任等级待定的未知应用程序;
切换模块,用于在所述白名单离线时,将所述应用程序的防御模式切换为离线智能学习模式;
运行模块,用于在所述离线智能学习模式下,允许非黑名单中的应用程序运行,禁止黑名单中的应用程序运行。
本申请提供的基于离线智能学习的应用程序管控方法及系统,可以适用于白名单程序在业务升级时未启用场景,可以在升级后开启白名单程序时一键设置为离线智能学习模式,无需人工干预,在保证安全的同时(黑名单程序不允许运行),最大程度上降低了对客户正常业务的影响,降低维护成本。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的其他优点可通过在说明书以及附图中所描述的方案来实现和获得。
附图说明
附图用来提供对本申请技术方案的理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本申请的技术方案,并不构成对本申请技术方案的限制。
图1为本发明实施例提供的基于离线智能学习的应用程序管控方法的流程图;
图2为本发明实施例提供的离线智能学习模式下的流程图;
图3为本发明实施例提供的一种基于离线智能学习的应用程序管控系统的结构图。
具体实施方式
本申请描述了多个实施例,但是该描述是示例性的,而不是限制性的,并且对于本领域的普通技术人员来说显而易见的是,在本申请所描述的实施例包含的范围内可以有更多的实施例和实现方案。尽管在附图中示出了许多可能的特征组合,并在具体实施方式中进行了讨论,但是所公开的特征的许多其它组合方式也是可能的。除非特意加以限制的情况以外,任何实施例的任何特征或元件可以与任何其它实施例中的任何其他特征或元件结合使用,或可以替代任何其它实施例中的任何其他特征或元件。
本申请包括并设想了与本领域普通技术人员已知的特征和元件的组合。本申请已经公开的实施例、特征和元件也可以与任何常规特征或元件组合,以形成由权利要求限定的独特的发明方案。任何实施例的任何特征或元件也可以与来自其它发明方案的特征或元件组合,以形成另一个由权利要求限定的独特的发明方案。因此,应当理解,在本申请中示出和/或讨论的任何特征可以单独地或以任何适当的组合来实现。因此,除了根据所附权利要求及其等同替换所做的限制以外,实施例不受其它限制。此外,可以在所附权利要求的保护范围内进行各种修改和改变。
此外,在描述具有代表性的实施例时,说明书可能已经将方法和/或过程呈现为特定的步骤序列。然而,在该方法或过程不依赖于本文所述步骤的特定顺序的程度上,该方法或过程不应限于所述的特定顺序的步骤。如本领域普通技术人员将理解的,其它的步骤顺序也是可能的。因此,说明书中阐述的步骤的特定顺序不应被解释为对权利要求的限制。此外,针对该方法和/或过程的权利要求不应限于按照所写顺序执行它们的步骤,本领域技术人员可以容易地理解,这些顺序可以变化,并且仍然保持在本申请实施例的精神和范围内。
图1为本发明实施例提供的基于离线智能学习的应用程序管控方法的流程图,如图1所示,本发明实施例提供的基于离线智能学习的应用程序管控方法,可以包括:
S101:监控应用程序的信任等级名单的在线状态。
其中,信任等级名单包括:白名单、黑名单和灰名单,白名单包括已知的受信任应用程序,黑名单包括已知的恶意的应用程序;灰名单包括所有信任等级待定的未知应用程序。
本实施例的执行主体可以是代理程序的内核底层驱动模块,应用程序(可以简称为程序)是指可执行的二进制文件。通过代理程序的内核底层驱动模块对可执行的二进制文件的操作和/或信任等级名单中可执行的二进制文件进行实时监控。
本实施例中,可以预先为采集的应用程序根据实际情况自定义信任等级,信任等级可以分为白名单、黑名单和灰名单。具体的,首先通过安装在主机上的代理程序采集所有应用程序的文件指纹,形成预设基准信息。第一次采集时,默认信任等级为灰名单,以文件Hash值作为唯一标识,和威胁情报库的白名单库进行程序信任级别判定,即已知的信任的操作系统、中间件和数据库程序会自动识别为白名单程序,已知的恶意程序会自动识别为黑名单程序,其他未匹配会自动识别为的灰名单程序。
其中,基于应用程序的文件指纹标定应用程序的信任等级与现有技术相同,本实施例在此不进行限定和赘述。
S102:在白名单离线时,将应用程序的防御模式切换为离线智能学习模式。
其中,白名单离线(也可以称为白名单程序离线)是指白名单中的一个或多个已知的受信任应用程序未运行或处于停止模式。
本实施例中,在白名单离线时进行业务升级情况下,可以将程序管控的防御模式设置为离线智能学习模式。
其中,本实施例监测白名单离线或在线的方法与现有检测方法相同,本实施例在此不进行限定和赘述。
S103:在离线智能学习模式下,允许非黑名单中的应用程序运行,禁止黑名单中的应用程序运行。
本实施例中,在离线智能学习模式下,只禁止黑名单程序,保证了主机的安全,同时对于非黑名单程序(比如白名单程序和灰名单层序)均自动放行,最大程度上降低了对正常业务的影响,降低维护成本。本实施例中,黑名单程序仍不允许运行,以免主机受已知恶意软件攻击,在保证不影响业务的情况下,一定程度上保证主机安全性。
本发明实施例提供的基于离线智能学习的应用程序管控方法,可以适用于白名单程序在业务升级时未启用场景,可以在升级后开启白名单程序时一键设置为离线智能学习模式,无需人工干预,在保证安全的同时(黑名单程序不允许运行),最大程度上降低了对客户正常业务的影响,降低维护成本。
进一步地,在上述实施例中,允许非黑名单中的应用程序运行,禁止黑名单中的应用程序运行之后,本发明实施例提供的基于离线智能学习的应用程序管控方法还可以包括:
分批量获取离线智能学习模式下拦截的安全日志;统计安全日志中拦截文件所在目录文件的出现频率;根据目录文件出现频率进行目录和/或文件的扫描,对扫描到的拦截文件进行处理。
本实施例中,在对非黑名单程序均自动放行后,对已拦截的安全日志分批量进行统计分析,根据目录文件出现频率分别进行目录和文件的扫描,以对安全日志中的拦截文件进行处理。
本实施例中,分批量获取离线智能学习模式下拦截的安全日志时,每次获取预设数量的安全日志,对预设数量的安全日志进行处理,以便于对启动后已拦截的程序进行自动化处理,以免影响业务运行。且分批量处理安全日志,即每次处理预设数量的安全日志,避免因安全日志量过大导致性能问题,控制对主机资源的开销。
其中,预设数量可以根据实际情况或本领域技术人员的经验而定,比如预设数量可以是100条。可选的,获取离线时间以来标记为未处理的100条安全日志,每次处理100条安全。
其中,当未授权的程序(黑名单程序)进行违规操作,将会记录安全日志,记录日志字段主要可以包括:时间、主机名称、IP地址、操作系统、程序路径、违规操作类型和拦截状态(拦截成功、未拦截)。
本实施例中,对预设数量的安全日志进行处理时,主要对扫描到的拦截文件的信任等级进行标定,以删除、编辑或添加拦截文件。可选的,对扫描到的拦截文件进行处理,包括:采集扫描到的拦截文件的文件指纹,将文件指纹与预设基准信息比对;根据比对结果对扫描到的拦截文件的信任等级进行标定;根据标定结果删除、编辑或添加拦截文件的文件指纹。
本实施例中,当内核底层驱动模块拦截文件的操作,通过文件路径找到文件并计算指纹。将文件指纹与预设基准信息比对可以包括:将文件指纹与预设基准信息进行匹配,如匹配成功,则设置相应的信任级别;如未匹配成功,则设置为“未知”。
本实施例中,可以先通过安装在主机上的代理程序采集所有应用程序的文件指纹,形成预设基准信息。第一次采集时,默认信任等级为灰名单,以文件Hash值作为唯一标识,和威胁情报库的白名单库进行程序信任级别判定,即已知的信任的操作系统、中间件和数据库程序会自动识别为白名单程序,已知的恶意程序会自动识别为黑名单程序,其他未匹配会自动识别为的灰名单程序。其中,基于应用程序的文件指纹的采集以及文件指纹比对标定应用程序的信任等级与现有技术相同,本实施例在此不进行限定和赘述。
本实施例中,删除、编辑或添加拦截文件可以包括删除、编辑或添加拦截文件的文件指纹。比如,在拦截文件的信任等级标定为受信任应用程序时,将拦截文件的文件指纹添加到白名单,且若该拦截文件之前存储在灰名单时,在灰名单中删除该拦截文件的文件指纹。
本发明实施例提供的基于离线智能学习的应用程序管控方法,离线智能学习模式程序的处理方法,对已拦截的安全日志分批量进行处理,对启动后已拦截的引用程序进行自动化处理,且避免同时处理大量日志导致的资源消耗,最大程度上保证业务的正常运行。
进一步地,在上述实施例中,根据目录文件出现频率进行目录和/或文件的扫描可以包括以下两种实现方式:
第一种实现方式:在拦截文件所在目录的出现次数大于或等于预设数值时,对出现次数大于或等于预设数值的目录重新进行增量文件扫描。
其中,预设数值可以根据实际情况或本领域技术人员的经验而定,比如预设数值可以是5次。
本实施例中,进行扫描时,对于出现次数比较高的目录,代表改动比较大,本实施例对出现次数比较高的目录进行增量文件扫描(也可以称为增量程序扫描),可以提高处理效率。
第二种实现方式:在拦截文件所在目录的出现次数小于预设数值时,对出现次数小于预设数值的目录重新进行单个文件扫描。
本实施例中,进行扫描时,对于出现次数比较低的目录,代表改动比较小,本实施例对出现次数比较低的目录进行单个文件扫描,确保扫描精度。
本发明实施例提供的基于离线智能学习的应用程序管控方法,对安全日志中的拦截文件,根据拦截文件所在目录的出现频率分别进行目录和/或文件的扫描,提高处理效率。
图2为本发明实施例提供的离线智能学习模式下的流程图,如图2所示,本发明实施例提供的基于离线智能学习的应用程序管控方法,可以包括:
S201:除黑名单以外的应用程序自动放行。
本实施例中,在离线智能学习模式下,通过代理程序的内核底层驱动模块对可执行二进制文件的操作(执行、编辑或重命名)进行实时监控,对于非黑名单程序均自动放行。
S202:获取离线时间以来标记为未处理的100条安全日志。
本实施例中,获取离线时间以来标记为未处理的100条安全日志,以便于对启动后已拦截的程序进行自动化处理,以免影响业务运行。每次处理100条安全日志,避免因安全日志量过大导致性能问题,控制对主机资源的开销。
S203:统计分析上述安全日志中拦截文件的所在目录。
S204:判断是否拦截文件所在目录出现次数大于或等于5次。若是,则执行S205;否则,执行S206。
S205:对上述目录重新进行增量文件扫描;执行S207。
S206:对单个文件进行重新扫描。
S207:根据扫描结果新增、编辑或删除文件指纹。
本实施例中,在S203~S207中,对获取的安全日志中拦截文件的所在目录进行统计分析,当拦截文件所在目录出现次数大于或等于5次时,对这些目录重新进行增量文件扫描;当拦截文件所在目录出现次数小于5次时,只对单个文件进行扫描。根据扫描结果对已采集的文件指纹进行更新(新增、编辑或删除)。
S208:将已处理的安全日志标记为已处理。
可选的,本实施例对扫描到的拦截文件进行处理还可以包括:在根据扫描结果新增、编辑或删除文件指纹之后,将已处理的安全日志标记为已处理。
S209:判断是否设置自动切换防御功能。若是,则执行S210;否则,执行S202。
本实施例中,在设置离线智能学习模式时,可以同时设置是否具有自动切换防御功能。其中,自动切换防御功能是指可以将在多个防御模式下进行自动切换。
可选的,对扫描到的拦截文件进行处理之后,本发明实施例提供的基于离线智能学习的应用程序管控方法还可以包括:
判断是否设置有自动切换防御模式功能;在设置有自动切换防御模式功能时,进行应用程序防御模式的切换,将应用程序的防御方式从离线智能学习模式切换至预设防御模式。
本实施例中,如果设置为自动切换,则当离线智能学习模式运行一段时间(默认为3天)后,自动切换为其他防御模式(默认为正常模式);如果未设置自动切换,则根据需要进行手动设置。
其中,预设防御模式可以是正常模式,正常模式下只允许白名单的应用程序运行。
本实施例提供自动切换其他防御模式的设置,可以提高易用性,降低维护成本。
S210:判断离线智能学习模式的执行时间是否达到预设时间。若是,则执行S211;否则,执行S202。
本实施例中,在设置离线智能学习模式时,可以同时设置离线智能学习模式的离线时间。其中,可以通过代理程序自动获取上一次代理程序的离线时间,也可以根据实际情况进行离线时间的调整。
本实施例中,在设置有自动切换防御模式功能之后,进行应用程序防御模式的切换之前,本发明实施例提供的基于离线智能学习的应用程序管控方法还可以包括:
监测离线智能学习模式的执行时间;在执行时间到达预设时间时,进行应用程序防御模式的切换。
本实施例中,在启动自动切换防御功能后,判断离线智能学习模式的执行时间是否达到预设时间,预设时间可以是预先设置的离线时间。如果达到,则自动切换为设置的预设防御模式;如果未达到,则继续S202。
S211:自动切换为设置的预设防御模式。
本发明实施例提供的基于离线智能学习的应用程序管控方法,通过代理程序的内核底层驱动模块对可执行二进制文件的操作进行实时监控,对于非黑名单程序均自动放行,同时对已产生的安全日志分批量进行统计分析,根据目录文件出现频率分别进行目录和文件的增量扫描,提高处理效率。本发明在保证安全性的同时,不影响业务正常运行。还可以设置离线智能学习模式处理一段时间后自动切换至其他防御模式,整个过程无需人工干预,不但可以有效降低安全运维成本,还可以提高白名单安全产品的易用性。
图3为本发明实施例提供的一种基于离线智能学习的应用程序管控系统的结构图,如图3所示,本发明实施例提供的一种基于离线智能学习的应用程序管控系统,可以包括:监控模块31、切换模块32和运行模块33。
监控模块31,用于监控应用程序的信任等级名单的在线状态,所述信任等级名单包括:白名单、黑名单和灰名单,所述白名单包括已知的受信任应用程序,所述黑名单包括已知的恶意的应用程序;所述灰名单包括所有信任等级待定的未知应用程序;
切换模块32,用于在所述白名单离线时,将所述应用程序的防御模式切换为离线智能学习模式;
运行模块33,用于在所述离线智能学习模式下,允许非黑名单中的应用程序运行,禁止黑名单中的应用程序运行。
本发明实施例提供的基于离线智能学习的应用程序管控系统用于执行图1所示方法实施例的技术方案,其实现原理和实现效果类似,此处不再赘述。
进一步地,在上述实施例中,本发明实施例提供的基于离线智能学习的应用程序管控系统,还可以包括:
获取模块,用于分批量获取所述离线智能学习模式下拦截的安全日志;
统计模块,用于统计所述安全日志中拦截文件所在目录的出现频率;
扫描模块,用于根据拦截文件所在目录的出现频率进行目录和/或文件的扫描;
处理模块,用于对扫描到的拦截文件进行处理。
进一步地,在上述实施例中,所述扫描模块根据拦截文件所在目录的出现频率进行目录和/或文件的扫描,包括:
在拦截文件所在目录的出现次数大于或等于预设数值时,对出现次数大于或等于预设数值的目录进行增量文件扫描;在拦截文件所在目录的出现次数小于预设数值时,对出现次数小于预设数值的目录进行单个文件扫描。
进一步地,在上述实施例中,所述处理模块对扫描到的拦截文件进行处理,包括:
采集扫描到的拦截文件的文件指纹,将所述文件指纹与预设基准信息比对;根据比对结果对扫描到的拦截文件的信任等级进行标定;根据标定结果删除、编辑或添加拦截文件的文件指纹。
进一步地,在上述实施例中,本发明实施例提供的基于离线智能学习的应用程序管控系统,还可以包括:
判断模块,用于判断是否设置有自动切换防御模式功能;
监测模块,用于监测所述离线智能学习模式的执行时间;
所述切换模块,还用于在设置有自动切换防御模式功能时,和/或,在所述执行时间到达预设时间时,进行应用程序防御模式的切换,将应用程序的防御方式从所述离线智能学习模式切换至预设防御模式。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
Claims (6)
1.一种基于离线智能学习的应用程序管控方法,其特征在于,包括:
监控应用程序的信任等级名单的在线状态,所述信任等级名单包括:白名单、黑名单和灰名单,所述白名单包括已知的受信任应用程序,所述黑名单包括已知的恶意的应用程序;所述灰名单包括所有信任等级待定的未知应用程序;
在所述白名单离线时,将所述应用程序的防御模式切换为离线智能学习模式,白名单离线是指白名单中的一个或多个已知的受信任应用程序未运行或处于停止模式;
在所述离线智能学习模式下,允许非黑名单中的应用程序运行,禁止黑名单中的应用程序运行;
所述允许非黑名单中的应用程序运行,禁止黑名单中的应用程序运行之后,所述方法还包括:
分批量获取所述离线智能学习模式下拦截的安全日志;
统计所述安全日志中拦截文件所在目录的出现频率;
根据拦截文件所在目录的出现频率进行目录和/或文件的扫描,对扫描到的拦截文件进行处理;
所述对扫描到的拦截文件进行处理之后,所述方法还包括:
判断是否设置有自动切换防御模式功能;
在设置有自动切换防御模式功能时,进行应用程序防御模式的切换,将应用程序的防御方式从所述离线智能学习模式切换至预设防御模式;
其中,预设防御模式包括正常模式,正常模式下只允许白名单的应用程序运行。
2.根据权利要求1所述的方法,其特征在于,所述根据拦截文件所在目录的出现频率进行目录和/或文件的扫描,包括:
在拦截文件所在目录的出现次数大于或等于预设数值时,对出现次数大于或等于预设数值的目录进行增量文件扫描;
在拦截文件所在目录的出现次数小于预设数值时,对出现次数小于预设数值的目录进行单个文件扫描。
3.根据权利要求1所述的方法,其特征在于,对扫描到的拦截文件进行处理,包括:
采集扫描到的拦截文件的文件指纹,将所述文件指纹与预设基准信息比对;
根据比对结果对扫描到的拦截文件的信任等级进行标定;
根据标定结果删除、编辑或添加拦截文件的文件指纹。
4.根据权利要求1所述的方法,其特征在于,在设置有自动切换防御模式功能之后,进行应用程序防御模式的切换之前,所述方法还包括:
监测所述离线智能学习模式的执行时间;
在所述执行时间到达预设时间时,进行应用程序防御模式的切换。
5.一种基于离线智能学习的应用程序管控系统,其特征在于,包括:
监控模块,用于监控应用程序的信任等级名单的在线状态,所述信任等级名单包括:白名单、黑名单和灰名单,所述白名单包括已知的受信任应用程序,所述黑名单包括已知的恶意的应用程序;所述灰名单包括所有信任等级待定的未知应用程序;
切换模块,用于在所述白名单离线时,将所述应用程序的防御模式切换为离线智能学习模式,白名单离线是指白名单中的一个或多个已知的受信任应用程序未运行或处于停止模式;
运行模块,用于在所述离线智能学习模式下,允许非黑名单中的应用程序运行,禁止黑名单中的应用程序运行;
所述系统还包括:
获取模块,用于分批量获取所述离线智能学习模式下拦截的安全日志;
统计模块,用于统计所述安全日志中拦截文件所在目录的出现频率;
扫描模块,用于根据拦截文件所在目录的出现频率进行目录和/或文件的扫描;
处理模块,用于对扫描到的拦截文件进行处理;
所述系统还包括:
判断模块,用于判断是否设置有自动切换防御模式功能;
监测模块,用于监测所述离线智能学习模式的执行时间;
所述切换模块,还用于在设置有自动切换防御模式功能时,和/或,在所述执行时间到达预设时间时,进行应用程序防御模式的切换,将应用程序的防御方式从所述离线智能学习模式切换至预设防御模式;
其中,预设防御模式包括正常模式,正常模式下只允许白名单的应用程序运行。
6.根据权利要求5所述的系统,其特征在于,所述扫描模块根据拦截文件所在目录的出现频率进行目录和/或文件的扫描,包括:
在拦截文件所在目录的出现次数大于或等于预设数值时,对出现次数大于或等于预设数值的目录进行增量文件扫描;在拦截文件所在目录的出现次数小于预设数值时,对出现次数小于预设数值的目录进行单个文件扫描;
所述处理模块对扫描到的拦截文件进行处理,包括:
采集扫描到的拦截文件的文件指纹,将所述文件指纹与预设基准信息比对;根据比对结果对扫描到的拦截文件的信任等级进行标定;根据标定结果删除、编辑或添加拦截文件的文件指纹。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910656764.9A CN110516443B (zh) | 2019-07-19 | 2019-07-19 | 一种基于离线智能学习的应用程序管控方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910656764.9A CN110516443B (zh) | 2019-07-19 | 2019-07-19 | 一种基于离线智能学习的应用程序管控方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110516443A CN110516443A (zh) | 2019-11-29 |
| CN110516443B true CN110516443B (zh) | 2021-11-26 |
Family
ID=68622933
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910656764.9A Active CN110516443B (zh) | 2019-07-19 | 2019-07-19 | 一种基于离线智能学习的应用程序管控方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110516443B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111368293B (zh) * | 2020-03-05 | 2022-11-22 | 深信服科技股份有限公司 | 进程管理方法、装置、系统与计算机可读存储介质 |
| CN112099869A (zh) * | 2020-08-26 | 2020-12-18 | 深圳传音控股股份有限公司 | 控制应用运行的方法、电子设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107491697A (zh) * | 2017-09-29 | 2017-12-19 | 南京宏海科技有限公司 | 基于动态白名单的服务器安全维护方法 |
| CN109145532A (zh) * | 2018-08-20 | 2019-01-04 | 北京广成同泰科技有限公司 | 一种支持软件在线升级的程序白名单管理方法及系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8302164B2 (en) * | 2004-07-22 | 2012-10-30 | Facebook, Inc. | Authorization and authentication based on an individual's social network |
| CN105138901B (zh) * | 2015-08-03 | 2018-03-13 | 浪潮电子信息产业股份有限公司 | 一种基于白名单的云主机主动防御实现方法 |
| CN106529282A (zh) * | 2016-11-10 | 2017-03-22 | 广东电网有限责任公司电力科学研究院 | 一种基于信任链的白名单执行系统及执行方法 |
| CN109460638A (zh) * | 2018-11-22 | 2019-03-12 | 郑州云海信息技术有限公司 | 一种用于管控可执行程序的方法和装置 |
-
2019
- 2019-07-19 CN CN201910656764.9A patent/CN110516443B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107491697A (zh) * | 2017-09-29 | 2017-12-19 | 南京宏海科技有限公司 | 基于动态白名单的服务器安全维护方法 |
| CN109145532A (zh) * | 2018-08-20 | 2019-01-04 | 北京广成同泰科技有限公司 | 一种支持软件在线升级的程序白名单管理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110516443A (zh) | 2019-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10621356B2 (en) | System and method of controlling file access of applications based on vulnerabilities of applications | |
| US10699011B2 (en) | Efficient white listing of user-modifiable files | |
| US7360249B1 (en) | Refining behavioral detections for early blocking of malicious code | |
| US7877806B2 (en) | Real time malicious software detection | |
| US20180089430A1 (en) | Computer security profiling | |
| US7533413B2 (en) | Method and system for processing events | |
| US20050154738A1 (en) | System and method for protecting files on a computer from access by unauthorized applications | |
| US10216934B2 (en) | Inferential exploit attempt detection | |
| US20080201722A1 (en) | Method and System For Unsafe Content Tracking | |
| CN110516443B (zh) | 一种基于离线智能学习的应用程序管控方法及系统 | |
| US11477232B2 (en) | Method and system for antivirus scanning of backup data at a centralized storage | |
| US11256802B1 (en) | Application behavioral fingerprints | |
| CN105335197A (zh) | 终端中应用程序的启动控制方法和装置 | |
| US20100313268A1 (en) | Method for protecting a computer against malicious software | |
| US11314859B1 (en) | Cyber-security system and method for detecting escalation of privileges within an access token | |
| CN113722703A (zh) | 白名单自适应程序管理方法、系统、终端及存储介质 | |
| CN110348180B (zh) | 一种应用程序启动控制方法和装置 | |
| US8640242B2 (en) | Preventing and detecting print-provider startup malware | |
| US20080127352A1 (en) | System and method for protecting a registry of a computer | |
| US20230026664A1 (en) | Access filter for bios variables | |
| CN112149126A (zh) | 确定文件的信任级别的系统和方法 | |
| CN113836542B (zh) | 可信白名单匹配方法、系统和装置 | |
| CN115080966B (zh) | 动态白名单驱动方法及系统 | |
| CN115828246B (zh) | 一种离线恶意程序及行为监测方法、装置、介质及设备 | |
| CN117034264A (zh) | 一种基于文件监控的勒索病毒防护方法、系统和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |