CN110879884A - 信息处理方法、装置、电子设备及存储介质 - Google Patents
信息处理方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110879884A CN110879884A CN201911112385.XA CN201911112385A CN110879884A CN 110879884 A CN110879884 A CN 110879884A CN 201911112385 A CN201911112385 A CN 201911112385A CN 110879884 A CN110879884 A CN 110879884A
- Authority
- CN
- China
- Prior art keywords
- application program
- operation information
- behavior operation
- abnormal
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Evolutionary Computation (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Virology (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种信息处理方法、装置、电子设备及存储介质其中,该信息处理方法可以包括:获取应用程序针对目标文件的行为操作信息;根据行为操作信息,确定应用程序是否为异常应用程序;在应用程序为异常应用程序的情况下,禁止应用程序访问目标文件。以解决在用户下载到这些加密型勒索软件且电子设备无法拦截的情况下,会使电子设备中的信息遭受到破坏,造成用户损失的问题。
Description
技术领域
本发明实施例涉及信息安全技术领域,尤其涉及一种信息处理方法、装置、电子设备及存储介质。
背景技术
随着科技技术的发展进步,通信技术得到了飞速发展和长足的进步,而随着通信技术的提高,电子设备的普及提高到了一个前所未有的高度,越来越多的电子设备已经成为人们生活中不可缺少的沟通工具。
然而,在电子设备普及的同时,电子设备的信息安全问题也随之而来。目前,许多加密型勒索软件可以通过更改电子设备中的PIN码,对用户的电子设备进行锁机,使用户无法登陆自己的电子设备;以及,通过混合加密对电子设备中的信息进行加密,导致用户无法查阅这些信息。如此,在用户不小心下载到这些加密型勒索软件且电子设备无法拦截的情况下,会使电子设备中的信息遭受到破坏,造成用户损失。
发明内容
本发明实施例提供一种信息处理方法、装置、电子设备及存储介质,以解决在用户下载到这些加密型勒索软件且电子设备无法拦截的情况下,会使电子设备中的信息遭受到破坏,造成用户损失的问题。
为了解决上述技术问题,本发明是这样实现的:
第一方面,本发明实施例提供了一种信息处理方法,该方法可以包括:
获取应用程序针对目标文件的行为操作信息;
根据行为操作信息,确定应用程序是否为异常应用程序;
在应用程序为异常应用程序的情况下,禁止应用程序访问目标文件。
第二方面,本发明实施例提供了一种信息处理装置,该装置可以包括:
获取模块,用于获取应用程序针对目标文件的行为操作信息;
处理模块,用于根据行为操作信息,确定应用程序是否为异常应用程序;
控制模块,用于在应用程序为异常应用程序的情况下,禁止应用程序访问目标文件。
第三方面,本发明实施例提供了一种电子设备,包括处理器、存储器及存储在存储器上并可在处理器上运行的计算机程序,计算机程序被处理器执行时实现如第一方面所示的信息处理方法。
第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,若计算机程序在计算机中执行,则令计算机执行如第一方面所示的信息处理方法。
本发明实施例中,根据行为操作信息能够准确判断应用程序是否为异常应用程序,在应用程序为异常应用程序时,阻止访问请求,并根据可信区域中的文件进行信息恢复。由此,可以抵御异常应用程序对电子设备中信息的攻击,避免了用户受到勒索软件的威胁,以保证用户的信息安全。
附图说明
从下面结合附图对本发明的具体实施方式的描述中可以更好地理解本发明其中,相同或相似的附图标记表示相同或相似的特征。
图1为本发明实施例提供的一种信息处理方法的应用场景示意图;
图2为本发明实施例提供的一种信息处理方法的流程图;
图3为本发明实施例提供的一种确定分类模型的结构示意图;
图4为本发明实施例提供的一种基于分类模型的信息处理方法的结构示意图;
图5为本发明实施例提供的一种基于权重值的信息处理方法的结构示意图;
图6为本发明实施例提供的一种信息处理装置的结构示意图;
图7为本发明实施例提供的一种电子设备的硬件结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,可以通过申请权限来判断当前应用程序是否为异常应用程序(例如:勒索软件)。但是,这种方法有两个方面的缺陷:一方面,勒索软件和其他普通的病毒与正常软件相比,在行为活动上极为相似,如果仅通过权限来判断应用程序是否为勒索软件是不准确的,容易产生误报;另一方面,勒索软件会不断的发展变化,入侵和勒索手段会变得越来越高级,该方法无法应对这种变化。
由此,针对相关技术出现的问题,本发明实施例提供一种信息处理方法、装置、电子设备及存储介质,以解决在用户下载到这些加密型勒索软件且电子设备无法拦截的情况下,会使电子设备中的信息遭受到破坏,造成用户损失的问题。
图1为本发明实施例提供的一种信息处理方法的应用场景示意图。
如图1所示,在用户通过电子设备下载任意应用程序时,可能会在用户无感知的情况下,下载了一些其他的应用程序;或者,是在不安全的网址下载的应用程序。
当安装或者运行这些应用程序时,该应用程序会发送访问电子设备中目标文件的访问请求,访问请求包括应用程序对待访问的目标文件的行为操作信息,这时,为了保证目标文件中的信息不遭受到破坏,系统内核需要判断该应用程序是否为异常应用程序。若为异常应用程序,则需要阻止该应用程序的访问请求;若为良性应用程序,则可以将目标文件的操作权限向该应用程序开放。
这里,可以通过在系统内核设置的行为操作监控装置进行判断。其中,行为操作监控装置接收应用程序的访问信息,分析其访问信息中的行为操作信息,根据行为操作信息,将目标文件备份到禁止应用程序访问的可信区域,且确定应用程序是否为异常应用程序;在应用程序为异常应用程序的情况下,阻止访问请求,以及根据可信区域中的目标文件对被异常应用程序篡改的信息进行恢复。
由此,根据应用程序的行为操作信息将目标文件备份到禁止应用程序访问的可信区域中,以保证应用程序不能对电子设备中的信息进行篡改;另外,根据应用程序具体的行为操作信息,能够准确判断应用程序是否为异常应用程序,这样,可以抵御异常应用程序对电子设备中信息的攻击,避免了用户受到勒索软件的威胁,以保证用户的信息安全。
基于上述应用场景,下面结合图2对本发明实施例提供的信息处理方法进行详细介绍。
图2为本发明实施例提供的一种信息处理方法的流程图。
如图2所示,该信息处理方法具体可以包括步骤210-步骤230,具体内容如下所示:
步骤210,获取应用程序针对目标文件的行为操作信息。
其中,在一种可能的实施例中,可以在电子设备的系统内核中设置行为操作监控装置,这样,行为操作监控装置可以通过获取到的针对目标文件的行为操作信息,确定所述应用程序是否为异常应用程序。
当然,在另一种可能的实施例中,行为操作监控装置也可以主动获取任意应用程序的行为操作信息。
本发明实施例的行为操作信息可以包括下述中的至少一项:
对目标文件的创建行为操作信息、写入行为操作信息、读取行为操作信息、删除行为操作信息。
步骤220,根据行为操作信息,确定应用程序是否为异常应用程序。
在本发明实施例中提供了两种方式确定应用程序是否为异常应用程序。
方式一:利用分类模型确定应用程序是否为异常应用程序。
其中,获取多个客户端中多个良性应用程序的行为操作信息;
将多个良性应用程序的行为操作信息作为正样本对预设模型进行训练,得到分类模型;
根据行为操作信息,利用分类模型确定应用程序是否为异常应用程序。
其中,将行为操作信息输入到分类模型中,得到分类结果即良性应用程序或者异常应用程序。
这里,除了根据接收到的数以千万级甚至亿级的用户客户端的多个良性应用程序的行为操作信息得到分类模型之外,本发明实施例还提供了下述至少一种方式确定分类模型,参照图3,具体如下:
第一种:服务端提供的应用管理平台中还有海量的良性应用程序,在这些应用程序上架之前都会对应用程序进行检测。在检测过程中可以收集这些应用程序的行为操作信息,这些行为操作信息也可以作为正样本对预设模型进行训练,得到分类模型,这样,可以增大分类模型判断的准确性。
第二种,可以不断收集最新勒索软件,利用这些勒索软件的行为操作信息作为负样本对预设模型进行训练,得到分类模型,并可以将训练好的分类模型实时更新下发至用户客户端,如果某个应用程序的行为违反了分类模型的同时,符合勒索软件行为,则判定当前app进程是勒索软件即异常应用程序,这样,可以增加检测准确性,减少误报。
由此,可以理解的是,本发明实施例中,可以通过下述中的至少一种信息对预设模型进行训练,得到分类模型:
正样本:多个客户端中多个良性应用程序的行为操作信息、服务端提供的应用管理平台中的多个良性应用程序的行为操作信息;
负样本:勒索软件的行为操作信息。
方式二:基于权重值确定应用程序是否为异常应用程序。
其中,对行为操作信息进行解析,得到行为操作类型;基于行为操作类型,获取与行为操作类型对应的反常行为;在反常行为一个的情况下,将一个反常行为的权重值确定为行为操作信息对应的权重值;在反常行为多个的情况下,对多个反常行为中每个反常行为对应的权重值进行加权计算,得到与行为操作信息对应的权重值。
接着,基于权重值确定应用程序是否为异常应用程序。
在行为操作信息对应的权重值大于或者等于预设权重阈值的情况下,确定应用程序为异常应用程序;反之,在行为操作信息对应的权重值小于预设权重阈值的情况下,确定应用程序为良性应用程序。
本发明实施例的反常行为包括下述中的至少一项:
(1)遍历电子设备的系统文件的行为;
(2)访问具有特定格式的文件的行为;
(3)将多种格式的文件转换为具有特定格式的文件的行为;
(4)覆盖原文件的行为;
(5)删除原文件的行为;
(6)对原文件写入高于预设熵值的信息的行为。
举例说明,在行为操作信息为删除行为操作信息时,得到删除行为操作信息的行为操作类型为删除;接着,获取与删除对应的反常行为(5)删除原文件的行为和/或(6)对原文件写入高于预设熵值的信息的行为;
在反常行为一个即(5)的情况下,将(5)的权重值20确定为行为操作信息对应的权重值;
在反常行为多个即(5)和(6)的情况下,根据(5)对应的权重值20和(6)对应的权重值10进行加权计算,得到与行为操作信息对应的权重值。
然后,将计算出的权重值与预设权重阈值进行比较,行为操作信息对应的权重值大于或者等于预设权重阈值的情况下,确定应用程序为异常应用程序。
另外,在一种可能的实施例中,可以在两种场景下执行该步骤:
场景1:在应用程序未访问目标文件时,可以根据行为操作信息,确定应用程序是否为异常应用程序。
场景2:在获取到行文操作信息时,将目标文件备份到禁止应用程序访问的可信区域,接着,确定应用程序是否为异常应用程序。这时,在将目标文件备份到禁止应用程序访问的可信区域时,应用程序并未访问行为操作信息。
步骤230,在应用程序为异常应用程序的情况下,禁止所述应用程序访问所述目标文件。
其中,针对步骤220中的两个场景,该步骤也有与之对应的步骤,具体如下所示:
与场景1对应,步骤230具体可以包括:在应用程序为异常应用程序的情况下,阻止应用程序访问目标文件,以便在访问之前拦截应用程序访问目标文件。
与场景2对应,步骤230具体可以包括:在应用程序为异常应用程序的情况下,中断应用程序访问目标文件,以及根据可信区域中的目标文件对被异常应用程序篡改的信息进行恢复。
这里,需要提示的是,本发明实施例中的禁止可以包括:阻止和中断。
由此,一方面,根据应用程序的行为操作信息将目标文件备份到禁止应用程序访问的可信区域中,以保证应用程序不能对电子设备中的信息进行篡改;另一方面,根据行为操作信息能够准确判断应用程序是否为异常应用程序,在应用程序为异常应用程序时,阻止访问请求,并根据可信区域中的文件进行信息恢复。综上,可以抵御异常应用程序对电子设备中信息的攻击,避免了用户受到勒索软件的威胁,以保证用户的信息安全。
为了便于理解本发明实施例提供的方法,基于上述内容,下面分别以通过分类模型以及权重值确定应用程序是否为异常应用程序为例,对本发明实施例提供的信息处理方法进行举例说明。
实施例1:
勒索软件的文件活动相比于良性应用程序,主要包括上述步骤220中涉及的反常行为(1)-(6)中的至少一项:
(1)遍历电子设备的系统文件的行为;
(2)访问具有特定格式的文件的行为;(例如:一般良性应用程序只访问特定后缀的文件,而勒索软件为了达到勒索目的会访问多种不同类型的文件,尽可能多的加密电子设备中的文件。)
(3)将多种格式的文件转换为具有特定格式的文件的行为;(例如:通过覆盖原文件创建新文件的方式,文件名可以是随机的。)
(4)覆盖原文件的行为;(例如:读取原文件的信息,生成加密后的数据写入文件。)
(5)删除原文件的行为;
(6)对原文件写入高于预设熵值的信息的行为;(例如:在加密和/或重新压缩的时候,会使原文件的熵值高与正常文件,由此,可以判断出当熵值高与正常文件时为反常行为)。
良性应用程序不可能同时触发上述所有的反常行为。因此,可以通过检测应用程序是违反良性应用程序的行为操作信息来判断应用程序是否是勒索软件。
这里,电子设备对应的服务端在检测勒索软件方面具有很大的优势:
首先,服务端具有操作系统的root权限,可以监控系统中所有应用程序的行为操作信息,并可以对所有的第三方应用程序的进程进行管理。其次,服务端可以为数千万甚至上亿的用户客户端提供服务。基于此,可以利用在用户客户端上各种良性应用程序的行为操作信息训练分类模型,将训练好的分类同步更新到各个用户客户端上,然后,用户客户端可以利用该分类模型对电子设备中的应用程序进行监控。
其次,为了实现当电子设备中的文件被勒索软件加密时进行恢复的功能,可以将任何应用程序对电子设备中目标文件进行写或者删除的操作之前,将目标文件拷贝至一个安全的、第三方应用程序没有权限访问的可信区域,当分类模型检测到某个应用程序违反了良性应用程序的行为特征时,可以立即阻止应用程序的访问,并且利用可信区域的目标文件对勒索软件所作的更改进行回滚,恢复文件信息。下面结合图4进行详细说明。
图4为本发明实施例提供的一种基于分类模型的信息处理方法的结构示意图。
如图4所示,该方法可以包括步骤410-步骤470,具体如下所示:
步骤410,获取多个客户端中多个良性应用程序的行为操作信息。
这里,多个良性应用程序的行为操作信息可以来源于两个方面:
第一方面,可以在电子设备的系统内核中设置行为操作监控装置,通过行为操作监控装置获取多个良性应用程序的行为操作信息,并上传至服务端。
第二方面,可以获取服务端提供的应用管理平台中的多个良性应用程序的行为操作信息。
这里,服务端提供的应用管理平台中海量的良性应用程序,在这些应用程序上架之前都会对应用程序进行检测。在检测过程中可以收集这些应用程序的行为操作信息,这些行为操作信息也可以作为正样本对预设模型进行训练,得到分类模型,这样,可以增大分类模型判断的准确性。
步骤420,根据多个良性应用程序的行为操作信息,得到分类模型。
其中,将获取到的多个良性应用程序的行为操作信息作为正样本对预设模型进行训练,得到分类模型。
由于,这些行为操作信息是从数以千万级的用户客户端在实际过程中获取到的多个良性应用程序的行为操作信息,因此,利用这些行为操作信息得到的分类模型具有很高的准确性。该分类模型可以对电子设备中运行的应用进程的行为操作信息进行分析,实时判断应用程序是否是勒索软件。分类模型不断通过用户客户端在实际过程中的多个良性应用程序的行为操作信息进行训练,每当更新时就将最新的分类模型同步至用户客户端中,实时更新,不断提高准确性。
这里,本发明实施例中得到分类模型的步骤可在与电子设备对应的服务端中处理,由此,可以将在服务端得到的分类模型同步到多个用户客户端,以便电子设备使用该分类模型判断应用程序是否异常。
步骤430,接收应用程序发送的访问请求,访问请求包括应用程序对待访问的目标文件的行为操作信息。
步骤440,根据行为操作信息,将目标文件备份到禁止应用程序访问的可信区域。
举例说明:在行为操作信息为删除时,将文件备份到一个只读区域;或者,在对目标文件进行删除操作时,记录目标文件被删除的位置及内容;或者,对目标文件内容进行覆盖时,记录目标文件原内容、新内容及修改位置,这些操作记录都保存在只读区域中,不允许任何APP访问。
这里,除了对于目标文件进行备份,还可以对目标文件进行加密,以禁止应用程序的访问。
这时,应用程序可以对目标文件进行访问。
步骤450,根据分类模型判断应用程序是否为异常应用程序。
其中,将对待访问的目标文件的行为操作信息输入到分类模型中,得到分类结果即良性应用程序或者异常应用程序。
步骤460,在应用程序为异常应用程序的情况下,禁止应用程序访问目标文件。
可选的,该步骤可以具体为:在应用程序为异常应用程序的情况下,中断访问请求,以及根据可信区域中的目标文件对被异常应用程序篡改的信息进行恢复。
这里,在一种可能的实施例中,在对被异常应用程序篡改的信息进行恢复的步骤之前,还可以检测目标文件是否被篡改。若被篡改则执行步骤460,若未被篡改则重复执行步骤430。
在一种可能的实施例中,方法还可以包括:步骤470,在应用程序为良性应用程序的情况下,允许良性应用程序访问目标文件,且将可信区域中的目标文件进行释放,以降低资源占用率。
综上,在本发明提供的实施例1中,首先,从数以千万级的用户客户端在实际过程中,根据获取到多个良性应用程序的行为操作信息得到分类模型,使其分类模型在判断是否为异常应用程序时准确度非常高。
其次,电子设备将多个良性应用程序的行为操作信息上传至服务端,在服务端中将这些行为操作信息进行集中处理,并用这些行为操作信息得到分类模型后,将分类模型同步至用户客户端中,无需占用用户电子设备的资源;同时,服务端不断收集多个良性应用程序的行为操作信息进行训练,更新分类模型后重新同步至用户客户端中,由此,可以提高模型的准确性,可以应对勒索软件的不断进化,防御未知类型的新勒索软件,即无论勒索软件如何采用更加高级的勒索手段,该分类模型都能以很高的准确性进行识别。
然后,对应用程序的行为操作信息进行实时分析判断,及早识别勒索软件,并对被篡改后的文件进行恢复,使得用户摆脱勒索软件的威胁。
实施例2:
可以在电子设备的系统内核中设置行为操作监控装置,以阻止应用程序对目标文件的操作,且对应用程序的行为操作信息进行解析。同时基于Android加密型勒索软件的行为操作信息设置权重值,如果权重值超过特定的阈值,那么认为该应用程序为勒索软件即异常应用程序。下面结合图5进行详细说明。
图5为本发明实施例提供的一种基于权重值的信息处理方法的结构示意图。如图5所示,该方法可以包括步骤510-步骤570,具体如下所示:
步骤510,接收应用程序发送的访问请求,访问请求包括应用程序对待访问的目标文件的行为操作信息。
步骤520,根据行为操作信息,将目标文件备份到禁止应用程序访问的可信区域。
举例说明:在行为操作信息为删除时,将文件备份到一个只读区域;或者,在对目标文件进行删除操作时,记录目标文件被删除的位置及内容;或者,对目标文件内容进行覆盖时,记录目标文件原内容、新内容及修改位置,这些操作记录都保存在只读区域中,不允许任何APP访问。
这里,除了对于目标文件进行备份,还可以对目标文件进行加密,以禁止应用程序的访问。
这时,应用程序可以对目标文件进行访问。
步骤530,根据行为操作信息,确定与行为操作信息对应的权重值。
其中,对行为操作信息进行解析,得到行为操作类型;
基于行为操作类型,获取与行为操作类型对应的反常行为;
在反常行为一个的情况下,将一个反常行为的权重值确定为行为操作信息对应的权重值;在反常行为多个的情况下,对多个反常行为中每个反常行为对应的权重值进行加权计算,得到与行为操作信息对应的权重值。
其中,涉及到的反常行为请参照实施例1中记述的(1)-(6)项,在此不再赘述。
举例说明,在行为操作信息为删除行为操作信息时,得到删除行为操作信息的行为操作类型为删除;接着,获取与删除对应的反常行为(5)删除原文件的行为和/或(6)对原文件写入高于预设熵值的信息的行为;
在反常行为一个即(5)的情况下,将(5)的权重值20确定为行为操作信息对应的权重值;
在反常行为多个即(5)和(6)的情况下,对(5)对应的权重值20和(6)对应的权重值10进行加权计算,得到与行为操作信息对应的权重值。
另外,除了根据当前行为操作信息,确定与行为操作信息对应的权重值之外,还可以结合历史行为操作信息(例如:同一个应用程序的行为操作信息多次满足反常行为,且电子设备中保存其历史行为操作信息)。这样,针对上述6个勒索软件反常行为,每个行为都赋予一个恶意值以及与恶意值对应的权重值,每当应用程序对目标文件进行访问时,结合当前行为操作信息及历史行为操作信息进行加权平均,得到加权之后的权重值,若加权之后的权重值大于或者等于预设权重阈值,则认为当前应用程序为勒索软件进程。
步骤540,基于权重值确定应用程序是否为异常应用程序。
在行为操作信息对应的权重值大于或者等于预设权重阈值的情况下,确定应用程序为异常应用程序。
在行为操作信息对应的权重值小于预设权重阈值的情况下,确定应用程序为良性应用程序,且执行步骤570。
步骤560,在应用程序为异常应用程序的情况下,中断访问请求,以及根据可信区域中的目标文件对被异常应用程序篡改的信息进行恢复。
这里,在一种可能的实施例中,在对被异常应用程序篡改的信息进行恢复的步骤之前,还可以检测目标文件是否被篡改。若被篡改则执行步骤560,若未被篡改则重复执行步骤510。
步骤570,在应用程序为良性应用程序的情况下,允许良性应用程序访问目标文件,且将可信区域中的目标文件进行释放,以降低资源占用率。
综上,在本发明提供的实施例2中,基于对应用程序的行为操作信息相关的权重值进行计算,实时对应用程序进行检测,及时发现应用程序是否为勒索软件,同时能够使得用户终端中的信息免遭勒索软件的破坏。
图6为本发明实施例提供的一种信息处理装置的结构示意图。
如图6所示,该信息处理装置60可以包括:
获取模块601,用于获取应用程序针对目标文件的行为操作信息;
处理模块602,用于根据行为操作信息,确定应用程序是否为异常应用程序;
控制模块603,用于在应用程序为异常应用程序的情况下,禁止应用程序访问目标文件。
其中,本发明实施例的处理模块602具体可以用于,根据行为操作信息,将目标文件备份到禁止应用程序访问的可信区域,并确定应用程序是否为异常应用程序。
基于此,控制模块603具体可以用于,在应用程序为异常应用程序的情况下,禁止应用程序访问目标文件,以及根据可信区域中的目标文件对被异常应用程序篡改的信息进行恢复。
这里,行为操作信息包括下述中的至少一项:对目标文件的创建行为操作信息、写入行为操作信息、读取行为操作信息、删除行为操作信息。
另外,本发明实施例的信息处理装置60该可以包括训练模块604,用于获取多个客户端中多个良性应用程序的行为操作信息;将多个良性应用程序的行为操作信息作为正样本对预设模型进行训练,得到分类模型。
基于此,处理模块602具体可以用于,根据行为操作信息,利用分类模型确定应用程序是否为异常应用程序。
其中,处理模块602具体可以用于,根据行为操作信息,确定与行为操作信息对应的权重值;基于权重值确定应用程序是否为异常应用程序。
进一步地,处理模块602具体可以用于,对行为操作信息进行解析,得到行为操作类型;基于行为操作类型,获取与行为操作类型对应的反常行为;在反常行为为一个的情况下,将一个反常行为的权重值确定为行为操作信息对应的权重值;在反常行为为多个的情况下,对多个反常行为中每个反常行为对应的权重值进行加权计算,得到与行为操作信息对应的权重值。
本发明实施例中的反常行为包括下述中的至少一项:
遍历电子设备的系统文件的行为、将多种格式的文件转换为具有特定格式的文件的行为、覆盖原文件的行为、删除原文件的行为、对原文件写入高于预设熵值的信息的行为。
另外,在一种可能的实施例中,处理模块602具体可以用于,根据行为操作信息,在系统内核中确定应用程序是否为异常应用程序。
由此,一方面,根据应用程序的行为操作信息将目标文件备份到禁止应用程序访问的可信区域中,以保证应用程序不能对电子设备中的信息进行篡改;另一方面,根据行为操作信息能够准确判断应用程序是否为异常应用程序,在应用程序为异常应用程序时,阻止访问请求,并根据可信区域中的文件进行信息恢复。综上,可以抵御异常应用程序对电子设备中信息的攻击,避免了用户受到勒索软件的威胁,以保证用户的信息安全。
图7为本发明实施例提供的一种电子设备的硬件结构示意图。
该电子设备700包括但不限于:射频单元701、网络模块702、音频输出单元703、输入单元704、传感器705、显示单元706、用户输入单元707、接口单元708、存储器709、处理器710、以及电源711等部件。本领域技术人员可以理解,图7中示出的电子设备结构并不构成对电子设备的限定,电子设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。在本发明实施例中,电子设备包括但不限于手机、平板电脑、笔记本电脑、掌上电脑、车载终端、可穿戴设备、以及计步器等。
本发明实施例中,射频单元701可用于收发信息或通话过程中,信号的接收和发送。通常,射频单元701包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。
电子设备通过网络模块702为用户提供了无线的宽带互联网访问,如帮助用户收发电子邮件、浏览网页和访问流式媒体等。
音频输出单元703可以将射频单元701或网络模块702接收的或者在存储器709中存储的音频资源转换成音频信号并且输出为声音。而且,音频输出单元703还可以提供与电子设备700执行的特定功能相关的音频输出(例如,呼叫信号接收声音、消息接收声音等等)。音频输出单元703包括扬声器、蜂鸣器以及受话器等。
输入单元704用于接收音频或视频信号。输入单元704可以包括图形处理器(Graphics Processing Unit,GPU)7041和麦克风7042,图形处理器7041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像资源进行处理。处理后的图像帧可以显示在显示单元707上。经图形处理器7041处理后的图像帧可以存储在存储器709(或其它存储介质)中或者经由射频单元701或网络模块702进行发送。麦克风7042可以接收声音,并且能够将这样的声音处理为音频资源。处理后的音频资源可以在电话通话模式的情况下转换为可经由射频单元701发送到移动通信基站的格式输出。
电子设备700还包括至少一种传感器705,比如光传感器、运动传感器以及其他传感器。具体地,光传感器包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板7061的亮度,接近传感器可在电子设备700移动到耳边时,关闭显示面板7061和/或背光。作为运动传感器的一种,加速计传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别电子设备姿态(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;传感器705还可以包括指纹传感器、压力传感器、虹膜传感器、分子传感器、陀螺仪、气压计、湿度计、温度计、红外线传感器等,在此不再赘述。
显示单元706用于显示由用户输入的信息或提供给用户的信息。显示单元706可包括显示面板7061,可以采用液晶显示器(Liquid Crystal Display,LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板7061。
用户输入单元707可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入。具体地,用户输入单元707包括触控面板7071以及其他输入设备7072。触控面板7071,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板7071上或在触控面板7071附近的操作)。触控面板7071可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器710,接收处理器710发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板7071。除了触控面板7071,用户输入单元707还可以包括其他输入设备7072。具体地,其他输入设备7072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆,在此不再赘述。
进一步的,触控面板7071可覆盖在显示面板7061上,当触控面板7071检测到在其上或附近的触摸操作后,传送给处理器710以确定触摸事件的类型,随后处理器710根据触摸事件的类型在显示面板7061上提供相应的视觉输出。虽然在图7中,触控面板7071与显示面板7061是作为两个独立的部件来实现电子设备的输入和输出功能,但是在某些实施例中,可以将触控面板7071与显示面板7061集成而实现电子设备的输入和输出功能,具体此处不做限定。
接口单元708为外部装置与电子设备700连接的接口。例如,外部装置可以包括有线或无线头戴式耳机端口、外部电源(或电池充电器)端口、有线或无线资源端口、存储卡端口、用于连接具有识别模块的装置的端口、音频输入/输出(I/O)端口、视频I/O端口、耳机端口等等。接口单元708可以用于接收来自外部装置的输入(例如,资源信息、电力等等)并且将接收到的输入传输到电子设备700内的一个或多个元件或者可以用于在电子设备700和外部装置之间传输资源。
存储器709可用于存储软件程序以及各种资源。存储器709可主要包括存储程序区和存储资源区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储资源区可存储根据手机的使用所创建的资源(比如音频资源、电话本等)等。此外,存储器709可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
处理器710是电子设备的控制中心,利用各种接口和线路连接整个电子设备的各个部分,通过运行或执行存储在存储器709内的软件程序和/或模块,以及调用存储在存储器709内的资源,执行电子设备的各种功能和处理资源,从而对电子设备进行整体监控。处理器710可包括一个或多个处理单元;优选的,处理器710可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器710中。
电子设备700还可以包括给各个部件供电的电源711(比如电池),优选的,电源711可以通过电源管理系统与处理器710逻辑连接,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
另外,电子设备700包括一些未示出的功能模块,在此不再赘述。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,当计算机程序在计算机中执行时,令计算机执行本发明实施例的信息处理的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台电子设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本发明的保护之内。
Claims (10)
1.一种信息处理方法,应用于电子设备,其特征在于,所述方法包括:
获取应用程序针对目标文件的行为操作信息;
根据所述行为操作信息,确定所述应用程序是否为异常应用程序;
在所述应用程序为异常应用程序的情况下,禁止所述应用程序访问所述目标文件。
2.根据权利要求1所述的方法,其特征在于,根据所述行为操作信息,确定所述应用程序是否为异常应用程序,包括:
根据所述行为操作信息,将所述目标文件备份到禁止所述应用程序访问的可信区域,并确定所述应用程序是否为异常应用程序。
3.根据权利要求2所述的方法,其特征在于,在所述应用程序为异常应用程序的情况下,禁止所述应用程序访问所述目标文件,包括:
在所述应用程序为异常应用程序的情况下,禁止所述应用程序访问所述目标文件,以及根据所述可信区域中的目标文件对被所述异常应用程序篡改的信息进行恢复。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取多个客户端中多个良性应用程序的行为操作信息;
将所述多个良性应用程序的行为操作信息作为正样本对预设模型进行训练,得到分类模型;
其中,所述确定所述应用程序是否为异常应用程序,包括:
根据所述行为操作信息,利用所述分类模型确定所述应用程序是否为异常应用程序。
5.根据权利要求1所述的方法,其特征在于,确定所述应用程序是否为异常应用程序,包括:
根据所述行为操作信息,确定与所述行为操作信息对应的权重值;
基于所述权重值确定所述应用程序是否为异常应用程序。
6.根据权利要求5所述的方法,其特征在于,根据所述行为操作信息,确定与所述行为操作信息对应的权重值,包括:
对所述行为操作信息进行解析,得到行为操作类型;
基于所述行为操作类型,获取与所述行为操作类型对应的反常行为;
在所述反常行为为一个的情况下,将一个反常行为的权重值确定为所述行为操作信息对应的权重值;
在所述反常行为为多个的情况下,对多个反常行为中每个反常行为对应的权重值进行加权计算,得到与所述行为操作信息对应的权重值。
7.根据权利要求5所述的方法,其特征在于,所述反常行为包括下述中的至少一项:
遍历电子设备的系统文件的行为、将多种格式的文件转换为具有特定格式的文件的行为、覆盖原文件的行为、删除原文件的行为、对原文件写入高于预设熵值的信息的行为。
8.根据权利要求1所述的方法,其特征在于,所述根据所述行为操作信息,确定所述应用程序是否为异常应用程序,包括:
根据所述行为操作信息,在系统内核中确定所述应用程序是否为异常应用程序。
9.根据权利要求1所述的方法,其特征在于,所述行为操作信息包括下述中的至少一项:
对所述目标文件的创建行为操作信息、写入行为操作信息、读取行为操作信息、删除行为操作信息。
10.一种信息处理装置,其特征在于,包括:
获取模块,用于获取应用程序针对目标文件的行为操作信息;
处理模块,用于根据所述行为操作信息,确定所述应用程序是否为异常应用程序;
控制模块,用于在所述应用程序为异常应用程序的情况下,禁止所述应用程序访问所述目标文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911112385.XA CN110879884A (zh) | 2019-11-14 | 2019-11-14 | 信息处理方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911112385.XA CN110879884A (zh) | 2019-11-14 | 2019-11-14 | 信息处理方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110879884A true CN110879884A (zh) | 2020-03-13 |
Family
ID=69730366
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911112385.XA Pending CN110879884A (zh) | 2019-11-14 | 2019-11-14 | 信息处理方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110879884A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103428212A (zh) * | 2013-08-08 | 2013-12-04 | 电子科技大学 | 一种恶意代码检测及防御的方法 |
| CN107045607A (zh) * | 2016-12-13 | 2017-08-15 | 全球能源互联网研究院 | 应用异常行为识别模型建立方法及装置、识别方法及装置 |
| CN107480527A (zh) * | 2017-08-03 | 2017-12-15 | 深圳市联软科技股份有限公司 | 勒索软件的防范方法及系统 |
| CN107563199A (zh) * | 2017-09-04 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种基于文件请求监控的勒索软件实时检测与防御方法 |
| CN108875400A (zh) * | 2017-12-27 | 2018-11-23 | 北京安天网络安全技术有限公司 | 一种病毒防护方法、装置、电子设备及存储介质 |
| CN109583209A (zh) * | 2018-12-13 | 2019-04-05 | 许昌学院 | 一种用于防御勒索病毒的计算机安全保护系统及方法 |
-
2019
- 2019-11-14 CN CN201911112385.XA patent/CN110879884A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103428212A (zh) * | 2013-08-08 | 2013-12-04 | 电子科技大学 | 一种恶意代码检测及防御的方法 |
| CN107045607A (zh) * | 2016-12-13 | 2017-08-15 | 全球能源互联网研究院 | 应用异常行为识别模型建立方法及装置、识别方法及装置 |
| CN107480527A (zh) * | 2017-08-03 | 2017-12-15 | 深圳市联软科技股份有限公司 | 勒索软件的防范方法及系统 |
| CN107563199A (zh) * | 2017-09-04 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种基于文件请求监控的勒索软件实时检测与防御方法 |
| CN108875400A (zh) * | 2017-12-27 | 2018-11-23 | 北京安天网络安全技术有限公司 | 一种病毒防护方法、装置、电子设备及存储介质 |
| CN109583209A (zh) * | 2018-12-13 | 2019-04-05 | 许昌学院 | 一种用于防御勒索病毒的计算机安全保护系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李永明: "《电脑迷增刊 windows秘技大放送》", 31 December 2003, 《电脑迷》杂志社 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110287694B (zh) | 应用程序管理方法、移动终端及存储介质 | |
| CN105493054B (zh) | 使用双文件系统的快速数据保护 | |
| CN109194818B (zh) | 一种信息处理方法及终端 | |
| CN107506646B (zh) | 恶意应用的检测方法、装置及计算机可读存储介质 | |
| CN107784089B (zh) | 一种多媒体数据的存储方法、处理方法及移动终端 | |
| US20220239692A1 (en) | Improving Mobile Device Security Using A Secure Execution Context | |
| WO2009051336A1 (en) | Apparatus and method for managing terminal users | |
| CN110035183B (zh) | 信息分享方法和终端 | |
| CN109325334B (zh) | 一种触控终端控制方法和触控终端 | |
| CN112100655A (zh) | 一种数据检测方法、装置、电子设备及可读存储介质 | |
| CN110990849A (zh) | 一种隐私数据的加密、解密方法及终端 | |
| CN111597540B (zh) | 应用程序的登录方法、电子设备及可读存储介质 | |
| CN112350974A (zh) | 物联网的安全监测方法、装置及电子设备 | |
| CN107358083B (zh) | 一种信息处理方法、终端及计算机可读存储介质 | |
| CN115618403A (zh) | 数据安全处理方法、装置、计算机设备及可读存储介质 | |
| CN109918944B (zh) | 一种信息保护方法、装置、移动终端及存储介质 | |
| CN109522741B (zh) | 一种应用程序权限提示方法及其终端设备 | |
| CN109639706B (zh) | 一种请求处理方法、服务器、客户端、系统、电子设备及计算机可读存储介质 | |
| CN107895108B (zh) | 一种操作管理方法和移动终端 | |
| CN108109188B (zh) | 一种图像处理方法及移动终端 | |
| CN111510557B (zh) | 内容处理方法及电子设备 | |
| CN106874795B (zh) | 一种移动终端的防拆机方法、装置及移动终端 | |
| CN109670105B (zh) | 搜索方法及移动终端 | |
| CN107491685B (zh) | 一种人脸识别方法和移动终端 | |
| CN110879884A (zh) | 信息处理方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200313 |