CN111158937B - 基于内核驱动的软件核心文件内生防护方法及装置 - Google Patents
基于内核驱动的软件核心文件内生防护方法及装置 Download PDFInfo
- Publication number
- CN111158937B CN111158937B CN201911419046.6A CN201911419046A CN111158937B CN 111158937 B CN111158937 B CN 111158937B CN 201911419046 A CN201911419046 A CN 201911419046A CN 111158937 B CN111158937 B CN 111158937B
- Authority
- CN
- China
- Prior art keywords
- event
- kernel
- file
- matched
- level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 183
- 230000008569 process Effects 0.000 claims abstract description 143
- 230000009471 action Effects 0.000 claims abstract description 82
- 238000012545 processing Methods 0.000 claims abstract description 66
- 230000006399 behavior Effects 0.000 claims description 23
- 230000000903 blocking effect Effects 0.000 claims description 23
- 230000006870 function Effects 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 11
- 238000012217 deletion Methods 0.000 description 10
- 230000037430 deletion Effects 0.000 description 10
- 230000001066 destructive effect Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000001514 detection method Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 210000000987 immune system Anatomy 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/545—Interprogram communication where tasks reside in different layers, e.g. user- and kernel-space
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供一种基于内核驱动的软件核心文件内生防护方法及装置,所述方法包括:基于内核驱动捕获内核中发生的与文件和进程相关的事件;根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理。本发明实施例由于基于内核驱动捕获内核中发生的与文件和进程相关的事件,并根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理,因此,本发明实施例实现了在内核对文件和进程的保护,较应用层来说,内核对恶意、误删、误杀等破坏行为发现的最早,可以第一时间实现控制,拦截和阻断;同时,由于在内核里,程序执行的权限较高,这样可以阻断一些在应用层由于权限问题失败的违规行为。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种基于内核驱动的软件核心文件内生防护方法及装置。
背景技术
对于软件或系统来说,一些核心文件或进程如果被恶意软件删除或篡改,会导致软件功能失效,甚至系统瘫痪,从而对用户产生重大影响和危害。
为解决该问题,需要采取一定的措施对软件中的核心文件和进程进行保护。目前在对软件的核心文件和进程进行保护时,主要在应用层实现对其保护,然而由于应用层的权限有限,因此,部分针对核心文件或进程的破坏行为在应用层无法发现,从而导致不能很好地实现对软件中核心文件和进程的保护。
发明内容
针对现有技术中的问题,本发明实施例提供一种基于内核驱动的软件核心文件内生防护方法及装置。
具体地,本发明实施例提供了以下技术方案:
第一方面,本发明实施例提供了一种基于内核驱动的软件核心文件内生防护方法,包括:
基于内核驱动捕获内核中发生的与文件和进程相关的事件;
根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理。
进一步地,所述基于内核驱动捕获内核中发生的与文件和进程相关的事件,具体包括:
基于系统SYSCALL调用表中的函数行为捕获内核中发生的与文件和进程相关的事件。
进一步地,所述根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理,具体包括:
根据与所述事件对应的事件动作确定所述事件动作是否与预设需要进行安全防护的事件动作匹配,若是,则根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理。
进一步地,所述根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理,具体包括:
根据与所述事件对应的事件对象确定所述事件对象是否与预设需要进行安全防护的文件或进程匹配,若是,则根据匹配的文件或进程确定相应的安全防护处理。
进一步地,所述根据与所述事件对应的事件对象确定所述事件对象是否与预设需要进行安全防护的文件或进程匹配,具体包括:
根据所述事件获取所述事件的操作参数;
根据所述操作参数判断所述操作参数是否与预设需要进行安全防护的文件或进程的名称或标识匹配。
进一步地,所述根据匹配的文件或进程确定相应的安全防护处理,具体包括:
根据匹配的文件或进程对应的重要等级,进行相应级别的安全防护处理。
进一步地,所述根据匹配的文件或进程对应的重要等级,进行相应级别的安全防护处理,具体包括:
若匹配的文件或进程对应的重要等级为第一等级,则进行阻断和告警处理;
若匹配的文件或进程对应的重要等级为第二等级,则进行阻断处理;
若匹配的文件或进程对应的重要等级为第三等级,则进行告警处理;
其中,第一等级的重要性>第二等级的重要性>第三等级的重要性。
第二方面,本发明实施例提供了一种基于内核驱动的软件核心文件内生防护装置,包括:
捕获模块,用于基于内核驱动捕获内核中发生的与文件和进程相关的事件;
防护模块,用于根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述基于内核驱动的软件核心文件内生防护方法的步骤。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述基于内核驱动的软件核心文件内生防护方法的步骤。
由上面技术方案可知,本发明实施例提供的基于内核驱动的软件核心文件内生防护方法及装置,由于基于内核驱动捕获内核中发生的与文件和进程相关的事件,并根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理,因此,本发明实施例实现了在内核对文件和进程的保护,较应用层来说,内核对恶意、误删、误杀等破坏行为发现的最早,可以第一时间实现控制,拦截和阻断;同时,由于在内核里,程序执行的权限较高,这样可以阻断一些在应用层由于权限问题失败的违规行为。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的基于内核驱动的软件核心文件内生防护方法的流程图;
图2为本发明一实施例提供的针对文件或进程的威胁行为示意图;
图3为本发明一实施例提供的基于内核驱动的软件核心文件内生防护方法的实现过程示意图;
图4为本发明一实施例提供的基于内核驱动的软件核心文件内生防护装置的结构示意图;
图5为本发明一实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
正如背景技术部分所述,在应用层对文件和进程进行保护时存在一些问题。例如,针对软件中的核心文件或进程的破坏行为在应用层有可能无法被发现(由于应用层的权限问题),进而导致不能很好地实现对软件中核心文件和进程进行保护的目的。此外,在应用层对文件和进程进行保护时还存在其他问题。例如,当在应用层发现破坏行为时,实际上,此时破坏行为已经对系统造成了较大影响,即便此时进行拦截阻断等操作,也很难消除该破坏行为对系统已经造成的损失。为解决该问题,本发明实施例提供了一种基于内核驱动的软件核心文件内生防护方法,本发明实施例是从内核中实现对文件和进程的保护,较应用层来说,对恶意、误删、误杀等破坏行为发现的最早,可以第一时间实现控制、拦截和阻断;同时,由于在内核里,程序执行的权限较高,这样可以阻断一些在应用层由于权限问题访问失败的违规行为。在本发明实施例中,内生防护是指面对不断变化的网络威胁,网络安全进化到了内生安全时代,需要依靠聚合,从信息化系统内不断生长出自适应、自主和自成长的安全能力,内生防护能够极大降低网络攻击风险,从而真正保证业务安全。当前,网络安全的内涵和外延在不断扩大,网络环境经历了从互联网到网络空间的演化,互联网时代的安全目标主要是防止数据被破坏、被泄漏和网络瘫痪,网络空间安全时代的安全目标,是包含设施、数据、用户、操作在内整个网络空间的系统安全。伴随着网络环境从I到C的演化(从Internet到Cyberspace),网络安全行业面对的客户正在经历从to C到to B的变化,网络安全观也正在经历从外到内的进化,采用内生防护的手段,可以面对不断变化的网络威胁,自适应性地进行由内至外的安全防护。自适应的内生安全,很像一个强壮的免疫系统,既能做到“明察秋毫、防微杜渐”的告警功能,又能拥有“一方有难、八方支援”和“不惜一切代价,消灭入侵之敌”的防御功能。当信息化系统具备了自适应的内生安全能力后,针对一般性网络攻击能自我发现、自我修复、自我平衡;针对大型网络攻击能自动预测、自动告警和应急响应;应对极端网络灾难时能保证关键业务不中断。内生防护具有较强的安全防护能力,内生防护能够极大降低网络攻击风险,从而真正保证业务安全。下面将通过具体实施例对本发明提供的基于内核驱动的软件核心文件内生防护方法及装置进行详细说明。
图1示出了本发明实施例提供的基于内核驱动的软件核心文件内生防护方法的流程图。如图1所示,本发明实施例提供的基于内核驱动的软件核心文件内生防护方法包括如下步骤:
步骤101:基于内核驱动捕获内核中发生的与文件和进程相关的事件。
在本步骤中,内核中发生的与文件和进程相关的事件,如图2所示,可以包括对文件和进程进行的写、移动、删除、杀死、截断等威胁行为函数事件,也可以包含对文件和进程进行的正常行为函数事件。
在本步骤中,在基于内核驱动捕获内核中发生的与文件和进程相关的事件时,可以基于系统SYSCALL调用表中的函数行为捕获内核中发生的与文件和进程相关的事件。
在本步骤中,需要说明的是,在实际处理过程中,系统内核获取系统调用表地址,对写,移动,删除,杀死,截断等威胁行为函数进行关注,并Hook,当威胁文件或的进程进行这些威胁动作时,进行拦截,并取得操作对象参数,然后对操作参数的文件进行匹配,判断是否为需要进行防护的文件和进程,如果所操作的文件不是需要进行防护的文件和进程,就给予放行,如果所操作的文件是需要进行防护的文件和进程,这时候就对该行为给予告警或者阻断。
步骤102:根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理。
在本步骤中,与事件对应的事件动作可以包括写、移动、删除、杀死、截断等威胁行为动作,也可以包括正常行为动作。
在本步骤中,与事件对应的事件对象可以包括:预先确定的需要进行安全防护的文件、预先确定的需要进行安全防护的进程、预先确定的需要进行安全防护的文件和进程。
在本步骤中,可以先根据与所述事件对应的事件动作确定所述事件动作是否与预设需要进行安全防护的事件动作匹配,若是,则根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理,这里,所述预设需要进行安全防护的事件动作可以包括:写、移动、重命名、删除、杀死和截断中的一种或多种。也即是说,当根据与所述事件对应的事件动作确定相应事件为具有威胁动作的事件时才根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理,否则,不进行安全防护处理。例如,假设根据与所述事件对应的事件动作(例如为正常的访问或读取)确定相应事件为不具有威胁动作的正常事件,则不进行安全防护处理。
在本步骤中,需要说明的是,当根据与所述事件对应的事件动作(删除动作)确定相应事件为具有威胁动作的事件(删除事件)时,需要根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理,这里,根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理,可以指:根据与所述事件对应的事件对象确定所述事件对象是否与预设需要进行安全防护的文件和/或进程匹配,若是,则根据匹配的文件和/或进程确定相应的安全防护处理,否则,不进行安全防护处理。举例来说,若根据事件动作(例如为删除动作)确定相应事件为具有威胁动作的删除事件时,若此时该删除事件对应的事件对象并不是预设需要进行安全防护的文件和/或进程,则此时无需进行安全防护处理。若此时该事件对应的事件对象,经匹配确认后,正是预设需要进行安全防护的文件和/或进程,则需要根据所述事件对象确定相应的安全防护处理。例如,在根据所述事件对象确定相应的安全防护处理时,可以根据匹配的文件或进程对应的重要等级,进行相应级别的安全防护处理:若匹配的文件或进程对应的重要等级为第一等级,则进行阻断和告警处理;若匹配的文件或进程对应的重要等级为第二等级,则进行阻断处理;若匹配的文件或进程对应的重要等级为第三等级,则进行告警处理;其中,第一等级的重要性>第二等级的重要性>第三等级的重要性。
在本步骤中,需要说明的是,在根据与所述事件对应的事件对象确定所述事件对象是否与预设需要进行安全防护的文件或进程匹配时,可以采用如下处理方式:根据所述事件获取所述事件的操作参数;根据所述操作参数判断所述操作参数是否与预设需要进行安全防护的文件或进程的名称或标识匹配。由于事件的操作参数中一般包含有该事件的处理对象参数,如该事件待处理的文件或进程的名称等参数,因而可以通过判断所述操作参数是否与预设需要进行安全防护的文件或进程的名称或标识匹配的方式确定相应的事件对象是否与预设需要进行安全防护的文件或进程匹配。
下面结合图3对本实施例提供的基于内核驱动的软件核心文件内生防护方法进行详细说明。如图3所示,具体包括如下处理过程:
S1、系统内核获取系统调用表地址;
S2、对写,移动,删除,杀死,截断等威胁行为函数进行关注,并Hook;
S3、当威胁进程进行这些威胁动作时,进行拦截,并取得操作对象参数;
S4、对操作参数的文件进行匹配,判断是否为需要进行防护的文件和进程;
S5、如果所操作的文件不是需要进行防护的文件和进程,就给予放行;
S6、如果所操作的文件时需要进行防护的文件和进程,这时候就对该行为给予告警或者阻断。
通过以上步骤可以完成国产系统上文件和进程的防护。
由此可见,本实施例是从内核中实现的文件和进程保护,较应用层,对恶意和误删,误杀等破坏行为发现的最早,可以第一时间实现控制,拦截和阻断;同时,由于在内核里,程序执行的权限较高,这样可以阻断一些在应用层由于权限问题失败的违规行为;本实施例主要采用对系统SYSCALL调用表中的函数行为进行HOOK分析实现,其中核心HOOK打开、关闭、重命名、删除、截断等行为,并对其中的参数进行分析比较,对于有危害的行为进行阻断。
由上面技术方案可知,本发明实施例提供的基于内核驱动的软件核心文件内生防护方法,由于基于内核驱动捕获内核中发生的与文件和进程相关的事件,并根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理,因此,本发明实施例实现了在内核对文件和进程的保护,较应用层来说,内核对恶意、误删、误杀等破坏行为发现的最早,可以第一时间实现控制,拦截和阻断;同时,由于在内核里,程序执行的权限较高,这样可以阻断一些在应用层由于权限问题失败的违规行为。
进一步地,基于上述实施例的内容,在本实施例中,所述基于内核驱动捕获内核中发生的与文件和进程相关的事件,具体包括:
基于系统SYSCALL调用表中的函数行为捕获内核中发生的与文件和进程相关的事件。
在本实施例中,基于系统SYSCALL调用表中的函数行为,能够较为简单方便地获取内核中发生的与文件和进程相关的事件。例如,系统内核获取系统调用表地址,对写,移动,删除,杀死,截断等威胁行为函数进行关注,并Hook,从而捕获内核中发生的与文件和进程相关的事件。
进一步地,基于上述实施例的内容,在本实施例中,所述根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理,具体包括:
根据与所述事件对应的事件动作确定所述事件动作是否与预设需要进行安全防护的事件动作匹配,若是,则根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理。
在本实施例中,可以先根据与所述事件对应的事件动作确定所述事件动作是否与预设需要进行安全防护的事件动作匹配,若是,则根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理,这里,所述预设需要进行安全防护的事件动作可以包括:写、移动、重命名、删除、杀死和截断中的一种或多种。也即是说,当根据与所述事件对应的事件动作确定相应事件为具有威胁动作的事件时才根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理,否则,不进行安全防护处理。例如,假设根据与所述事件对应的事件动作(例如为正常的访问或读取)确定相应事件为不具有威胁动作的正常事件,则不进行安全防护处理。
进一步地,基于上述实施例的内容,在本实施例中,所述根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理,具体包括:
根据与所述事件对应的事件对象确定所述事件对象是否与预设需要进行安全防护的文件或进程匹配,若是,则根据匹配的文件或进程确定相应的安全防护处理。
在本实施例中,需要说明的是,当根据与所述事件对应的事件动作(删除动作)确定相应事件为具有威胁动作的事件(删除事件)时,需要根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理,这里,根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理,可以指:根据与所述事件对应的事件对象确定所述事件对象是否与预设需要进行安全防护的文件和/或进程匹配,若是,则根据匹配的文件和/或进程确定相应的安全防护处理,否则,不进行安全防护处理。举例来说,若根据事件动作(例如为删除动作)确定相应事件为具有威胁动作的删除事件时,若此时该删除事件对应的事件对象并不是预设需要进行安全防护的文件和/或进程,而是其他不需要进行安全防护的文件或进程或其他内容,则此时无需进行安全防护处理。若此时该事件对应的事件对象,经匹配确认后,正是预设需要进行安全防护的文件和/或进程,则需要根据所述事件对象确定相应的安全防护处理。通过该处理方式,不但能够保证需要进行安全防护的文件或进程得到必要的安全防护,同时又能够避免对不需要进行安全防护的文件或进程或其他内容的不必要干扰。
进一步地,基于上述实施例的内容,在本实施例中,所述根据与所述事件对应的事件对象确定所述事件对象是否与预设需要进行安全防护的文件或进程匹配,具体包括:
根据所述事件获取所述事件的操作参数;
根据所述操作参数判断所述操作参数是否与预设需要进行安全防护的文件或进程的名称或标识匹配。
在本实施例中,由于事件的操作参数中一般包含有该事件的处理对象参数,如该事件待处理的文件或进程的名称等,因而可以通过判断所述操作参数是否与预设需要进行安全防护的文件或进程的名称或标识匹配的方式确定相应的事件对象是否与预设需要进行安全防护的文件或进程匹配。
进一步地,基于上述实施例的内容,在本实施例中,所述根据匹配的文件或进程确定相应的安全防护处理,具体包括:
根据匹配的文件或进程对应的重要等级,进行相应级别的安全防护处理。
在本实施例中,根据文件或进程的重要等级确定对应的安全防护处理等级,从而保证了不同重要等级的文件或进程,能够得到不同程度的安全防护。
进一步地,基于上述实施例的内容,在本实施例中,所述根据匹配的文件或进程对应的重要等级,进行相应级别的安全防护处理,具体包括:
若匹配的文件或进程对应的重要等级为第一等级,则进行阻断和告警处理;
若匹配的文件或进程对应的重要等级为第二等级,则进行阻断处理;
若匹配的文件或进程对应的重要等级为第三等级,则进行告警处理;
其中,第一等级的重要性>第二等级的重要性>第三等级的重要性。
在本实施例中,根据文件或进程的重要等级确定对应的安全防护处理等级,从而保证了不同重要等级的文件或进程,能够得到不同程度的安全防护。例如,对于重要等级较高的文件或进程,不但要进行阻断,还要进行告警,以在阻断危害的同时,提醒相关人员及时查找发生危害的原因等。又如,对重要等级较低的文件或进程,只需进行告警即可,无需进行阻断,以免因阻断操作破坏其他相关进程的运行或其他相关程序的运行,此时只需进行告警,提示相关人员了解该威胁事件并在适当的时候采取相应的措施即可。
以在阻断危害的同时,提醒相关人员及时查找发生危害的原因等。
图4示出了本发明实施例提供的基于内核驱动的软件核心文件内生防护装置的结构示意图。如图4所示,本发明实施例提供的基于内核驱动的软件核心文件内生防护装置包括:捕获模块21和防护模块22,其中:
捕获模块21,用于基于内核驱动捕获内核中发生的与文件和进程相关的事件;
防护模块22,用于根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理。
进一步地,基于上述实施例的内容,在本实施例中,所述捕获模块21,具体用于:
基于系统SYSCALL调用表中的函数行为捕获内核中发生的与文件和进程相关的事件。
进一步地,基于上述实施例的内容,在本实施例中,所述防护模块22,具体用于:
根据与所述事件对应的事件动作确定所述事件动作是否与预设需要进行安全防护的事件动作匹配,若是,则根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理。
进一步地,基于上述实施例的内容,在本实施例中,所述预设需要进行安全防护的事件动作包括:写、移动、重命名、删除、杀死和截断中的一种或多种。
进一步地,基于上述实施例的内容,在本实施例中,所述防护模块22在根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理时,具体用于:
根据与所述事件对应的事件对象确定所述事件对象是否与预设需要进行安全防护的文件或进程匹配,若是,则根据匹配的文件或进程确定相应的安全防护处理。
进一步地,基于上述实施例的内容,在本实施例中,所述防护模块22在根据与所述事件对应的事件对象确定所述事件对象是否与预设需要进行安全防护的文件或进程匹配时,具体用于:
根据所述事件获取所述事件的操作参数;
根据所述操作参数判断所述操作参数是否与预设需要进行安全防护的文件或进程的名称或标识匹配。
进一步地,基于上述实施例的内容,在本实施例中,所述防护模块22在根据匹配的文件或进程确定相应的安全防护处理时,具体用于:
根据匹配的文件或进程对应的重要等级,进行相应级别的安全防护处理。
进一步地,基于上述实施例的内容,在本实施例中,所述防护模块22在根据匹配的文件或进程对应的重要等级,进行相应级别的安全防护处理时,具体包括:
若匹配的文件或进程对应的重要等级为第一等级,则进行阻断和告警处理;
若匹配的文件或进程对应的重要等级为第二等级,则进行阻断处理;
若匹配的文件或进程对应的重要等级为第三等级,则进行告警处理;
其中,第一等级的重要性>第二等级的重要性>第三等级的重要性。
由于本发明实施例提供的基于内核驱动的软件核心文件内生防护装置,可以用于执行上述实施例所述的基于内核驱动的软件核心文件内生防护方法,其工作原理和有益效果类似,故此处不再详述,具体内容可参见上述实施例的介绍。
基于相同的发明构思,本发明又一实施例提供了一种电子设备,参见图5,所述电子设备具体包括如下内容:处理器501、存储器502、通信接口503和通信总线504;
其中,所述处理器501、存储器502、通信接口503通过所述通信总线504完成相互间的通信;
所述处理器501用于调用所述存储器502中的计算机程序,所述处理器执行所述计算机程序时实现上述基于内核驱动的软件核心文件内生防护方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述过程:基于内核驱动捕获内核中发生的与文件和进程相关的事件;根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理。
可以理解的是,所述计算机程序可以执行的细化功能和扩展功能可参照上面实施例的描述。
基于相同的发明构思,本发明又一实施例提供了一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述基于内核驱动的软件核心文件内生防护方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述过程:基于内核驱动捕获内核中发生的与文件和进程相关的事件;根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理。
可以理解的是,所述计算机程序可以执行的细化功能和扩展功能可参照上面实施例的描述。
此外,上述的存储器中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的基于内核驱动的软件核心文件内生防护方法。
此外,在本发明中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
此外,在本发明中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (6)
1.一种基于内核驱动的软件核心文件内生防护方法,其特征在于,包括:
基于内核驱动捕获内核中发生的与文件和进程相关的事件;
在所述事件对应的事件动作与预设需要进行安全防护的事件动作匹配的情况下,确定所述事件对应的事件对象是否与预设需要进行安全防护的文件或进程匹配;所述预设需要进行安全防护的事件动作为具有威胁动作的事件,所述预设需要进行安全防护的事件动作包括:写、移动、重命名、删除、杀死和截断中的至少一种;
在确定所述事件对应的事件对象与所述预设需要进行安全防护的文件或进程匹配的情况下,确定匹配的文件或进程对应的重要等级;
若匹配的文件或进程对应的重要等级为第一等级,则进行阻断和告警处理;
若匹配的文件或进程对应的重要等级为第二等级,则进行阻断处理;
若匹配的文件或进程对应的重要等级为第三等级,则进行告警处理;
其中,第一等级的重要性>第二等级的重要性>第三等级的重要性;
所述确定所述事件对应的事件对象是否与预设需要进行安全防护的文件或进程匹配包括:
根据所述事件获取所述事件的操作参数;
根据所述操作参数判断所述操作参数是否与预设需要进行安全防护的文件或进程的名称或标识匹配。
2.根据权利要求1所述的基于内核驱动的软件核心文件内生防护方法,其特征在于,所述基于内核驱动捕获内核中发生的与文件和进程相关的事件,具体包括:
基于系统SYSCALL调用表中的函数行为捕获内核中发生的与文件和进程相关的事件。
3.根据权利要求1所述的基于内核驱动的软件核心文件内生防护方法,其特征在于,所述根据匹配的文件或进程对应的重要等级,进行相应级别的安全防护处理之前,还包括:
根据与所述事件对应的事件动作确定所述事件动作是否与预设需要进行安全防护的事件动作匹配。
4.一种基于内核驱动的软件核心文件内生防护装置,其特征在于,包括:
捕获模块,用于基于内核驱动捕获内核中发生的与文件和进程相关的事件;
防护模块,用于在所述事件对应的事件动作与预设需要进行安全防护的事件动作匹配的情况下,确定所述事件对应的事件对象是否与预设需要进行安全防护的文件或进程匹配;所述预设需要进行安全防护的事件动作为具有威胁动作的事件,所述预设需要进行安全防护的事件动作包括:写、移动、重命名、删除、杀死和截断中的至少一种;
在确定所述事件对应的事件对象与所述预设需要进行安全防护的文件或进程匹配的情况下,确定匹配的文件或进程对应的重要等级;
若匹配的文件或进程对应的重要等级为第一等级,则进行阻断和告警处理;
若匹配的文件或进程对应的重要等级为第二等级,则进行阻断处理;
若匹配的文件或进程对应的重要等级为第三等级,则进行告警处理;
其中,第一等级的重要性>第二等级的重要性>第三等级的重要性;
所述确定所述事件对应的事件对象是否与预设需要进行安全防护的文件或进程匹配包括:
根据所述事件获取所述事件的操作参数;
根据所述操作参数判断所述操作参数是否与预设需要进行安全防护的文件或进程的名称或标识匹配。
5.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至3任一项所述基于内核驱动的软件核心文件内生防护方法的步骤。
6.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至3任一项所述基于内核驱动的软件核心文件内生防护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911419046.6A CN111158937B (zh) | 2019-12-31 | 2019-12-31 | 基于内核驱动的软件核心文件内生防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911419046.6A CN111158937B (zh) | 2019-12-31 | 2019-12-31 | 基于内核驱动的软件核心文件内生防护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111158937A CN111158937A (zh) | 2020-05-15 |
| CN111158937B true CN111158937B (zh) | 2024-06-04 |
Family
ID=70560497
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911419046.6A Active CN111158937B (zh) | 2019-12-31 | 2019-12-31 | 基于内核驱动的软件核心文件内生防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111158937B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113342554B (zh) * | 2021-08-02 | 2022-01-04 | 阿里云计算有限公司 | Io多路复用方法、介质、设备和操作系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102902909A (zh) * | 2012-10-10 | 2013-01-30 | 北京奇虎科技有限公司 | 一种防止文件被篡改的系统和方法 |
| CN102932329A (zh) * | 2012-09-26 | 2013-02-13 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
| CN102930205A (zh) * | 2012-10-10 | 2013-02-13 | 北京奇虎科技有限公司 | 一种监测单元及方法 |
| CN103679015A (zh) * | 2012-09-04 | 2014-03-26 | 江苏中科慧创信息安全技术有限公司 | 一种保护内核系统的攻击控制方法 |
| CN105930739A (zh) * | 2016-04-14 | 2016-09-07 | 北京金山安全软件有限公司 | 一种防止文件被删除的方法及终端 |
| CN107426173A (zh) * | 2017-06-06 | 2017-12-01 | 北京奇虎科技有限公司 | 文件防护方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009151888A2 (en) * | 2008-05-19 | 2009-12-17 | Authentium, Inc. | Secure virtualization system software |
| US9942246B2 (en) * | 2013-09-02 | 2018-04-10 | Shine Security Ltd. | Preemptive event handling |
-
2019
- 2019-12-31 CN CN201911419046.6A patent/CN111158937B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103679015A (zh) * | 2012-09-04 | 2014-03-26 | 江苏中科慧创信息安全技术有限公司 | 一种保护内核系统的攻击控制方法 |
| CN102932329A (zh) * | 2012-09-26 | 2013-02-13 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
| CN102902909A (zh) * | 2012-10-10 | 2013-01-30 | 北京奇虎科技有限公司 | 一种防止文件被篡改的系统和方法 |
| CN102930205A (zh) * | 2012-10-10 | 2013-02-13 | 北京奇虎科技有限公司 | 一种监测单元及方法 |
| CN105930739A (zh) * | 2016-04-14 | 2016-09-07 | 北京金山安全软件有限公司 | 一种防止文件被删除的方法及终端 |
| CN107426173A (zh) * | 2017-06-06 | 2017-12-01 | 北京奇虎科技有限公司 | 文件防护方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 基于云规则的驱动级主动防御系统;胡焕增;李志洁;郑海旭;;微计算机信息;20110515(第05期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111158937A (zh) | 2020-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11941110B2 (en) | Process privilege escalation protection in a computing environment | |
| US11227053B2 (en) | Malware management using I/O correlation coefficients | |
| CN102081722B (zh) | 一种保护指定应用程序的方法及装置 | |
| US8272059B2 (en) | System and method for identification and blocking of malicious code for web browser script engines | |
| US20180146009A1 (en) | Computer network security system for protecting against malicious software | |
| JP7537661B2 (ja) | 高度なランサムウェア検出 | |
| JP2009505295A (ja) | 情報保護方法およびシステム | |
| CN109784055B (zh) | 一种快速检测和防范恶意软件的方法和系统 | |
| KR101031786B1 (ko) | 의심스러운 행위의 수준별 분류 및 격리 실행을 통한 악성 코드 사전 대응 장치, 방법 및 그 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 | |
| CN111090857B (zh) | 防御恶意软件攻击文件的方法、计算机系统以及记录介质 | |
| CN102984134B (zh) | 安全防御系统 | |
| KR100745640B1 (ko) | 커널 메모리를 보호하는 방법 및 그 장치 | |
| KR100745639B1 (ko) | 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치 | |
| JP7123488B2 (ja) | ファイル・アクセス監視方法、プログラム、および、システム | |
| CN105844161B (zh) | 安全防御方法、装置与系统 | |
| US20060015939A1 (en) | Method and system to protect a file system from viral infections | |
| CN111158937B (zh) | 基于内核驱动的软件核心文件内生防护方法及装置 | |
| KR100666562B1 (ko) | 커널 드라이버 및 프로세스 보호 방법 | |
| US9075991B1 (en) | Looting detection and remediation | |
| US20240333764A1 (en) | Ransomware detection via monitoring open file or process | |
| US20240330460A1 (en) | Ransomware detection via monitoring open file or process | |
| CN116910768B (zh) | 一种防御攻击方法、系统、装置及介质 | |
| US20240330461A1 (en) | Ransomware detection via detecting system calls pattern in encryption phase | |
| US20230229792A1 (en) | Runtime risk assessment to protect storage systems from data loss | |
| KR102309695B1 (ko) | 호스트 침입 탐지를 위한 파일 기반 제어방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Country or region after: China Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Country or region before: China Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |