CN111400706A - 一种病毒防御方法、装置、设备及存储介质 - Google Patents
一种病毒防御方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111400706A CN111400706A CN202010162722.2A CN202010162722A CN111400706A CN 111400706 A CN111400706 A CN 111400706A CN 202010162722 A CN202010162722 A CN 202010162722A CN 111400706 A CN111400706 A CN 111400706A
- Authority
- CN
- China
- Prior art keywords
- operation process
- target operation
- judgment result
- white
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 434
- 230000007123 defense Effects 0.000 title claims abstract description 151
- 241000700605 Viruses Species 0.000 title claims abstract description 45
- 230000008569 process Effects 0.000 claims abstract description 400
- 230000009471 action Effects 0.000 claims abstract description 91
- 238000004590 computer program Methods 0.000 claims description 10
- 238000012790 confirmation Methods 0.000 claims description 10
- 230000003612 virological effect Effects 0.000 claims 1
- 238000007726 management method Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000003993 interaction Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 2
- 201000010099 disease Diseases 0.000 description 2
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004883 computer application Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Apparatus Associated With Microorganisms And Enzymes (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种病毒防御方法,该方法包括:在监测到存在针对目标目录的目标操作进程时,确定目标操作进程的上下文中是否包含判定结果标记;如果包含,则根据判定结果标记,确定对目标操作进程的防御动作;如果不包含,则基于目标操作进程的进程信息和白名单,判定目标操作进程为白进程还是非白进程;根据判定结果,确定对目标操作进程的防御动作;执行防御动作。应用本申请实施例所提供的技术方案,通过目标操作进程的上下文中包含的判定结果标记、进程信息、白名单等,可以直接准确确定出对目标操作进程的防御动作并执行,有效进行病毒防御,提高目标目录中文件的安全性。本申请还公开了一种病毒防御装置、设备及存储介质,具有相应技术效果。
Description
技术领域
本申请涉及计算机应用技术领域,特别是涉及一种病毒防御方法、装置、设备及存储介质。
背景技术
随着计算机技术的快速发展,计算机网络在各行业的应用越来越广泛,计算机病毒逐渐增多。如勒索病毒,这是一种新型病毒,主要以邮件、程序木马、网页挂马等形式进行传播。勒索病毒通常利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解,如果被感染,将会给用户带来较大损失。
如何有效进行病毒防御,是目前本领域技术人员急需解决的技术问题。
发明内容
本申请的目的是提供一种病毒防御方法、装置、设备及存储介质,以对病毒进行有效防御,提高目标目录中的文件的安全性。
为解决上述技术问题,本申请提供如下技术方案:
一种病毒防御方法,包括:
在监测到存在针对目标目录的目标操作进程时,确定所述目标操作进程的上下文中是否包含判定结果标记;
如果所述目标操作进程的上下文中包含所述判定结果标记,则根据所述判定结果标记,确定对所述目标操作进程的防御动作;
如果所述目标操作进程的上下文中不包含所述判定结果标记,则基于所述目标操作进程的进程信息和白名单,判定所述目标操作进程为白进程还是非白进程,获得判定结果;
根据所述判定结果,确定对所述目标操作进程的防御动作;
执行确定的对所述目标操作进程的防御动作。
在本申请的一种具体实施方式中,在所述获得判定结果之后,还包括:
根据所述判定结果,在所述目标操作进程的上下文中为所述目标操作进程添加所述判定结果标记,所述判定结果标记为白进程标记或者非白进程标记。
在本申请的一种具体实施方式中,所述基于所述目标操作进程的进程信息和白名单,判定所述目标操作进程为白进程还是非白进程,获得判定结果,包括:
根据所述目标操作进程的进程信息,在白名单中查找是否存在所述目标操作进程;
如果存在,则判定所述目标操作进程为白进程;
如果不存在,则判定所述目标操作进程为非白进程。
在本申请的一种具体实施方式中,通过以下步骤生成所述白名单:
采集设定时间段内针对所述目标目录的历史操作进程的进程信息;
获得基于所述历史操作进程的进程信息,对所述历史操作进程的可信程度确认结果;
根据所述可信程度确认结果生成所述白名单。
在本申请的一种具体实施方式中,在所述确定所述目标操作进程的上下文中是否包含判定结果标记之前,还包括:
判断所述目标目录是否为预定的保护目录;
如果是,则执行所述确定所述目标进程的上下文中是否包含判定结果标记的步骤;
如果否,则放行所述目标操作进程。
在本申请的一种具体实施方式中,所述根据所述判定结果标记,确定对所述目标操作进程的防御动作,包括:
如果所述判定结果标记为白进程标记,则确定对所述目标操作进程的防御动作为放行;
如果所述判定结果标记为非白进程标记,则确定对所述目标操作进程的防御动作为拦截。
一种病毒防御装置,所述装置包括:
判定结果标记确定模块,用于在监测到存在针对目标目录的目标操作进程时,确定所述目标操作进程的上下文中是否包含判定结果标记;
防御动作确定模块,用于如果所述目标操作进程的上下文中包含所述判定结果标记,则根据所述判定结果标记,确定对所述目标操作进程的防御动作;
判定结果获得模块,用于如果所述目标操作进程的上下文中不包含所述判定结果标记,则基于所述目标操作进程的进程信息和白名单,判定所述目标操作进程为白进程还是非白进程,获得判定结果;
所述防御动作确定模块,还用于根据所述判定结果,确定对所述目标操作进程的防御动作;
防御动作执行模块,用于执行确定的对所述目标操作进程的防御动作。
在本申请的一种具体实施方式中,还包括在所述获得判定结果之后,还包括:
判定结果标记添加模块,用于根据所述判定结果,在所述目标操作进程的上下文中为所述目标操作进程添加所述判定结果标记,所述判定结果标记为白进程标记或者非白进程标记。
一种病毒防御设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任一项所述病毒防御方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述病毒防御方法的步骤。
应用本申请实施例所提供的技术方案,在监测到存在针对目标目录的目标操作进程时,确定目标操作进程的上下文中是否包含判定结果标记,如果包含,则可以根据该判定结果标记,确定对目标操作进程的防御动作,如果不包含,则可以基于目标操作进程的进程信息和白名单,判定目标操作进程为白进程还是非白进程,并根据判定结果确定对目标操作进程的防御动作,进而执行该防御动作,通过目标操作进程的上下文中包含的判定结果标记、进程信息、白名单等,可以直接准确确定出对目标操作进程的防御动作,通过执行该防御动作可以有效进行病毒防御,提高目标目录中文件的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中病毒防御方法的一种实施流程图;
图2为本申请实施例中对于防御动作的执行结果的一种示意图;
图3为本申请实施例中病毒防御过程的一种实施流程图;
图4为本申请实施例中一种病毒防御装置的结构示意图;
图5为本申请实施例中一种病毒防御设备的结构示意图。
具体实施方式
本申请的核心是提供一种病毒防御方法。在监测到存在针对目标目录的目标操作进程时,可以确定目标操作进程的上下文中是否包含判定结果标记,如果包含,则可以根据该判定结果标记,确定对目标操作进程的防御动作,如果不包含,则可以基于目标操作进程的进程信息和白名单,判定目标操作进程为白进程还是非白进程,并根据判定结果确定对目标操作进程的防御动作,进而执行该防御动作。通过目标操作进程的上下文中包含的判定结果标记、进程信息、白名单等,可以准确确定目标操作进程为白进程还是非白进程,从而可以准确确定出对目标操作进程的防御动作,通过执行该防御动作可以有效进行病毒防御,提高目标目录中文件的安全性。
本申请所提供的技术方案可以应用于终端防御系统,终端防御系统的驱动层可以对目标操作进程的上下文中是否包含判定结果标记进行确定,在目标操作进程的上下文中包含判定结果标记的情况下,在终端防御系统的驱动层就可以根据判定结果标记,确定对目标操作进程的防御动作,不需要与终端防御系统的应用层交互,避免驱动层与应用层的频繁交互影响病毒防御性能。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图1所示,为本申请实施例所提供的一种病毒防御方法的实施流程图,该方法可以包括以下步骤:
S110:在监测到存在针对目标目录的目标操作进程时,确定目标操作进程的上下文中是否包含判定结果标记。
在本申请实施例中,目标目录可以为预先设定的具有特定保护需求的目录,如保护目录。
终端防御系统的驱动层可以在Windows内核提供的回调函数,如SavAmPreCreate和SavPreSetInfo中设置。终端防御系统可以对当前针对目标目录的操作进程进行监测,在监测到存在针对目标目录的目标操作进程时,可以获得目标操作进程的进程信息。进程信息可以包括进程名称、进程行为等信息。通过回调函数可以确定当前存在的目标操作进程的行为,如通过SavAmPreCreate可以确定目标操作进程对文件进行的读、写、删除、设置属性等直接操作,通过SavPreSetInfo可以确定目标操作进程对文件进行的替换、覆盖等链接操作。
在监测到存在针对目标目录的目标操作进程时,进一步可以确定目标操作进程的上下文中是否包含判定结果标记。通过判定结果标记可以确定目标操作进程为白进程还是非白进程。
S120:如果目标操作进程的上下文中包含判定结果标记,则根据判定结果标记,确定对目标操作进程的防御动作。
在本申请实施例中,终端防御系统在监测到存在针对目标目录的目标操作进程时,如果确定目标操作进程的上下文中包含判定结果标记,则进一步可以根据该判定结果标记,确定对目标操作进程的防御动作。
判定结果标记可以为白进程标记或者非白进程标记。如果判定结果标记为白进程标记,则可以确定目标操作进程为白进程,进而可以确定对目标操作进程的防御动作为放行;如果判定结果标记为非白进程标记,则可以确定目标操作进程为非白进程,进而可以确定对目标操作进程的防御动作为拦截。
放行或者拦截均为防御动作的一种类型。
在目标操作进程的上下文中包含有判定结果标记的情况下,终端防御系统可以直接根据判定结果标记,确定对目标操作进程的防御动作。这些操作可以在终端防御系统的驱动层执行,这样不需要驱动层与终端防御系统的应用层交互,可以避免驱动层与应用层的频繁交互影响病害防御性能。
S130:如果目标操作进程的上下文中不包含判定结果标记,则基于目标操作进程的进程信息和白名单,判定目标操作进程为白进程还是非白进程,获得判定结果;
S140:根据判定结果,确定对目标操作进程的防御动作。
为便于描述,将上述两个步骤结合起来进行说明。
在本申请实施例中,终端防御系统在监测到存在针对目标目录的目标操作进程时,如果确定目标操作进程的上下文中不包含判定结果标记,则表明当前对于目标操作进程的可信程度无法确认。在这种情况下,可以基于目标操作进程的进程信息和白名单,判定目标操作进程为白进程还是非白进程,获得判定结果。具体的,终端防御系统的驱动层可以通过异步消息方式通知应用层对目标操作进程进行判定,即将目标操作进程的进程信息上报给终端防御系统的应用层,通过应用层进行判定,得到判定结果。
终端防御系统可以预先获得白名单,白名单中记录的进程即为白进程,白名单中未记录的进程可以认为是非白进程。根据目标操作进程的进程信息,可以在白名单中查找是否存在目标操作进程,如果存在,则可以判定目标操作进程为白进程,如果不存在,则可以判定目标操作进程为非白进程,从而获得相应的判定结果。
终端防御系统获得判定结果后,可以根据判定结果,确定对目标操作进程的防御动作。具体的,如果判定结果为:目标操作进程为白进程,则可以确定对目标操作进程的防御动作为放行;如果判定结果为:目标操作进程为非白进程,则可以确定对目标操作进程的防御动作为拦截。
S150:执行确定的对目标操作进程的防御动作。
在确定目标操作进程的上下文中包含有判定结果标记的情况下,根据判定结果标记,确定对目标操作进程的防御动作,进而可以执行该防御动作。
在确定目标操作进程的上下文中不包含判定结果标记的情况下,对目标操作进程为白进程还是非白进程进行判定,根据判定结果,确定对目标操作进程的防御动作,进而可以执行该防御动作。
如果防御动作为放行,则可以放行目标操作进程,以使得目标操作进程可以对目标目录中的文件进行访问和操作。如果防御动作为拦截,则可以拦截目标操作进程,以阻止目标操作进程对目标目录中的文件的IO(Input/Output,输入/输出)操作,以有效防御病毒对目标目录中文件的侵害。
在执行确定的对目标操作进程的防御动作后,可以输出执行结果,方便管理员及时了解相关信息。如图2所示,可以输出显示不可信进程的进程名、操作类型、操作目录文件、处理结果、阻止时间等信息。
应用本申请实施例所提供的方法,在监测到存在针对目标目录的目标操作进程时,确定目标操作进程的上下文中是否包含判定结果标记,如果包含,则可以根据该判定结果标记,确定对目标操作进程的防御动作,如果不包含,则可以基于目标操作进程的进程信息和白名单,判定目标操作进程为白进程还是非白进程,并根据判定结果确定对目标操作进程的防御动作,进而执行该防御动作。通过目标操作进程的上下文中包含的判定结果标记、进程信息、白名单等,可以准确确定目标操作进程为白进程还是非白进程,从而可以准确确定出对目标操作进程的防御动作,通过执行该防御动作可以有效进行病毒防御,提高目标目录中文件的安全性。
在本申请实施例中,在目标操作进程的上下文中包含有判定结果标记的情况下,终端防御系统的驱动层可以直接根据判定结果标记,确定对目标操作进程的防御动作,不需要与终端防御系统的应用层交互,可以避免驱动层与应用层的频繁交互影响病害防御性能。在目标操作进程的上下文中不包含判定结果标记的情况下,终端防御系统的驱动层可以将目标操作进程的进程信息上报给终端防御系统的应用层,通过应用层对目标操作进程为白进程或非白进程进行判定,基于判定结果,确定对目标操作进程的防御动作。可以准确确定对目标操作进程的防御动作。
在本申请的一个实施例中,在获得判定结果之后,还可以根据判定结果,在目标操作进程的上下文中为目标操作进程添加判定结果标记,该判定结果标记为白进程标记或者非白进程标记。
终端防御系统在确定目标操作进程的上下文中不包含判定结果标记的情况下,可以进一步判定目标操作进程为白进程还是非白进程,获得判定结果,根据该判定结果,可以在目标操作进程的上下文中为目标操作进程添加判定结果标记。
具体的,如果判定结果为:目标操作进程为白进程,则可以在目标操作进程的上下文中为目标操作进程添加的判定结果标记为白进程标记;如果判定结果为:目标操作进程为非白进程,则可以在目标操作进程的上下文中为目标操作进程添加的判定结果标记为非白进程标记。
在目标操作进程的上下文中为目标操作进程添加判定结果标记,这样当再次监测到目标操作进程对目标目录进行访问或者操作时,可以根据目标操作进程的上下文中包含的判定结果标记,直接确定对目标操作进程的防御动作,进而执行该防御动作,实现快速判断和处理,不需要再进行其他判定,可以提升防御性能,提高处理效率。
在本申请的一个实施例中,在确定目标操作进程的上下文中是否包含判定结果标记之前,还可以先判断目标目录是否为预定的保护目录,如果是,则执行确定目标进程的上下文中是否包含判定结果标记的步骤,如果否,则放行目标操作进程。如果目标目录为预定的保护目录,则只要有针对对目标目录的操作进程,都需要进行相应的判定,执行本申请实施例中步骤S110至步骤S150的操作,如果目标目录非保护目录,则对于针对目标目录的操作进程可以不做控制,可以直接放行。
在本申请的一个实施例中,可以通过以下步骤生成白名单:
步骤一:采集设定时间段内针对目标目录的历史操作进程的进程信息;
步骤二:获得基于历史操作进程的进程信息对历史操作进程的可信程度确认结果;
步骤三:根据可信程度确认结果生成白名单。
为便于描述,将上述三个步骤结合起来进行说明。
在本申请实施例中,通过监测,可以采集设定时间段内针对目标目录的历史操作进程的进程信息。设定时间段可以根据实际情况进行设定和调整,如设定为一周或者一个月等。具体的,可以在达到设定的白名单生成触发条件,如达到设定时间间隔,或者接收到触发指令时,开始采集设定时间段内针对目标目录的历史操作进程的进程信息。
采集得到针对目标目录的历史操作进程的进程信息之后,可以将历史操作进程的进程信息输出显示出来。管理员可以查看这些历史操作进程的进程信息,并基于此对每个历史操作进程的可信程度进行确认。获得基于历史操作进程的进程信息,对历史操作进程的可信程度确认结果后,可以根据可信程度确认结果生成白名单。具体的,可以将可信程度高于设定阈值的历史操作进程加入到白名单中。这样在后续可以基于白名单对操作进程进行判定。
当然,采集得到针对目标目录的历史操作进程的进程信息之后,还可以基于历史操作进程的进程特征和预先获得的白进程特征进行比对,得到对于每个历史操作进程的可信程度确认结果。进而根据可信程度确认结果生成白名单。
在实际应用中,对于白名单的生成可以由终端防御系统的应用层进行,还可以由管理平台进行。
对于设定时间段内针对目标目录的历史操作进程的进程信息的采集,根据可信程度确认结果生成白名单的过程也可称为进程学习过程。在学习结束后,在终端防御系统中应用该白名单,使其生效。在间隔一段时间后,可以重新学习,已确认为白名单中的操作进程保持不变,可以加入新的操作进程。
为便于理解,以图3所示病毒防御过程为例,对本申请实施例再次进行说明。
在本申请实施例中,终端防御系统的驱动层在确定目标操作进程的上下文中包含判定结果标记时,可以直接根据判定结果标记,确定对目标操作进程的防御动作,并执行该防御动作,在确定目标操作进程的上下文中不包含判定结果标记时,可以通过驱动管理插件将目标操作进程的进程信息上报给终端防御系统的应用层,应用层基于白名单对目标操作进程进行判定,并通过驱动管理插件将判定结果返回给驱动层,驱动层根据判定结果确定对目标操作进程的防御动作,并执行该防御动作,同时,驱动层可以在目标操作进程的上下文中添加判定结果标记,当目标操作进程再次访问目标目录时无需再次通过应用层判定,提升防御性能。如果防御动作为拦截,则驱动层可以通过驱动管理插件、应用层、通信管理单元将执行结果上报给管理平台,管理平台可以通过UI界面等输出展示执行结果。当然,也可以只将拦截结果上报给管理平台。另外,管理平台可以生成白名单,下发给终端防御系统的应用层,应用层对白名单进行数据持久化保存。
相应于上面的方法实施例,本申请实施例还提供了一种病毒防御装置,下文描述的病毒防御装置与上文描述的病毒防御方法可相互对应参照。
参见图4所示,该装置可以包括以下模块:
判定结果标记确定模块410,用于在监测到存在针对目标目录的目标操作进程时,确定目标操作进程的上下文中是否包含判定结果标记;
防御动作确定模块420,用于如果目标操作进程的上下文中包含判定结果标记,则根据判定结果标记,确定对目标操作进程的防御动作;
判定结果获得模块430,用于如果目标操作进程的上下文中不包含判定结果标记,则基于目标操作进程的进程信息和白名单,判定目标操作进程为白进程还是非白进程,获得判定结果;
防御动作确定模块420,还用于根据判定结果,确定对目标操作进程的防御动作;
防御动作执行模块450,用于执行确定的对目标操作进程的防御动作。
应用本申请实施例所提供的装置,在监测到存在针对目标目录的目标操作进程时,确定目标操作进程的上下文中是否包含判定结果标记,如果包含,则可以根据该判定结果标记,确定对目标操作进程的防御动作,如果不包含,则可以基于目标操作进程的进程信息和白名单,判定目标操作进程为白进程还是非白进程,并根据判定结果确定对目标操作进程的防御动作,进而执行该防御动作。通过目标操作进程的上下文中包含的判定结果标记、进程信息、白名单等,可以准确确定目标操作进程为白进程还是非白进程,从而可以准确确定出对目标操作进程的防御动作,通过执行该防御动作可以有效进行病毒防御,提高目标目录中文件的安全性。
在本申请的一种具体实施方式中,还包括:
判定结果标记添加模块,用于在获得判定结果之后,根据判定结果,在目标操作进程的上下文中为目标操作进程添加判定结果标记,判定结果标记为白进程标记或者非白进程标记。
在本申请的一种具体实施方式中,判定结果获得模块430,用于:
根据目标操作进程的进程信息,在白名单中查找是否存在目标操作进程;如果存在,则判定目标操作进程为白进程;如果不存在,则判定目标操作进程为非白进程。
在本申请的一种具体实施方式中,还包括白名单生成模块,用于通过以下步骤生成白名单:
采集设定时间段内针对目标目录的历史操作进程的进程信息;
获得基于历史操作进程的进程信息,对历史操作进程的可信程度确认结果;
根据可信程度确认结果生成白名单。
在本申请的一种具体实施方式中,还包括目标判断模块,用于:
在确定目标操作进程的上下文中是否包含判定结果标记之前,判断目标目录是否为预定的保护目录;如果是,则触发判定结果标记确定模块410执行确定目标进程的上下文中是否包含判定结果标记的步骤;如果否,则放行目标操作进程。
在本申请的一种具体实施方式中,防御动作确定模块420,用于:
如果判定结果标记为白进程标记,则确定对目标操作进程的防御动作为放行;
如果判定结果标记为非白进程标记,则确定对目标操作进程的防御动作为拦截。
相应于上面的方法实施例,本申请实施例还提供了一种病毒防御设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现上述病毒防御方法的步骤。
如图5所示,为病毒防御设备的组成结构示意图,病毒防御设备可以包括:处理器10、存储器11、通信接口12和通信总线13。处理器10、存储器11、通信接口12均通过通信总线13完成相互间的通信。
在本申请实施例中,处理器10可以为中央处理器(Central Processing Unit,CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件等。
处理器10可以调用存储器11中存储的程序,具体的,处理器10可以执行病毒防御方法的实施例中的操作。
存储器11中用于存放一个或者一个以上程序,程序可以包括程序代码,程序代码包括计算机操作指令,在本申请实施例中,存储器11中至少存储有用于实现以下功能的程序:
在监测到存在针对目标目录的目标操作进程时,确定目标操作进程的上下文中是否包含判定结果标记;
如果目标操作进程的上下文中包含判定结果标记,则根据判定结果标记,确定对目标操作进程的防御动作;
如果目标操作进程的上下文中不包含判定结果标记,则基于目标操作进程的进程信息和白名单,判定目标操作进程为白进程还是非白进程,获得判定结果;
根据判定结果,确定对目标操作进程的防御动作;
执行确定的对目标操作进程的防御动作。
在一种可能的实现方式中,存储器11可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及至少一个功能(比如监测功能、判定功能)所需的应用程序等;存储数据区可存储使用过程中所创建的数据,如白名单数据、防御动作数据等。
此外,存储器11可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
通信接口13可以为通信模块的接口,用于与其他设备或者系统连接。
当然,需要说明的是,图5所示的结构并不构成对本申请实施例中病毒防御设备的限定,在实际应用中病毒防御设备可以包括比图5所示的更多或更少的部件,或者组合某些部件。
相应于上面的方法实施例,本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述病毒防御方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
Claims (10)
1.一种病毒防御方法,其特征在于,包括:
在监测到存在针对目标目录的目标操作进程时,确定所述目标操作进程的上下文中是否包含判定结果标记;
如果所述目标操作进程的上下文中包含所述判定结果标记,则根据所述判定结果标记,确定对所述目标操作进程的防御动作;
如果所述目标操作进程的上下文中不包含所述判定结果标记,则基于所述目标操作进程的进程信息和白名单,判定所述目标操作进程为白进程还是非白进程,获得判定结果;
根据所述判定结果,确定对所述目标操作进程的防御动作;
执行确定的对所述目标操作进程的防御动作。
2.根据权利要求1所述的方法,其特征在于,在所述获得判定结果之后,还包括:
根据所述判定结果,在所述目标操作进程的上下文中为所述目标操作进程添加所述判定结果标记,所述判定结果标记为白进程标记或者非白进程标记。
3.根据权利要求1所述的方法,其特征在于,所述基于所述目标操作进程的进程信息和白名单,判定所述目标操作进程为白进程还是非白进程,获得判定结果,包括:
根据所述目标操作进程的进程信息,在白名单中查找是否存在所述目标操作进程;
如果存在,则判定所述目标操作进程为白进程;
如果不存在,则判定所述目标操作进程为非白进程。
4.根据权利要求1所述的方法,其特征在于,通过以下步骤生成所述白名单:
采集设定时间段内针对所述目标目录的历史操作进程的进程信息;
获得基于所述历史操作进程的进程信息,对所述历史操作进程的可信程度确认结果;
根据所述可信程度确认结果生成所述白名单。
5.根据权利要求1所述的方法,其特征在于,在所述确定所述目标操作进程的上下文中是否包含判定结果标记之前,还包括:
判断所述目标目录是否为预定的保护目录;
如果是,则执行所述确定所述目标进程的上下文中是否包含判定结果标记的步骤;
如果否,则放行所述目标操作进程。
6.根据权利要求1至5之中任一项所述的方法,其特征在于,所述根据所述判定结果标记,确定对所述目标操作进程的防御动作,包括:
如果所述判定结果标记为白进程标记,则确定对所述目标操作进程的防御动作为放行;
如果所述判定结果标记为非白进程标记,则确定对所述目标操作进程的防御动作为拦截。
7.一种病毒防御装置,其特征在于,所述装置包括:
判定结果标记确定模块,用于在监测到存在针对目标目录的目标操作进程时,确定所述目标操作进程的上下文中是否包含判定结果标记;
防御动作确定模块,用于如果所述目标操作进程的上下文中包含所述判定结果标记,则根据所述判定结果标记,确定对所述目标操作进程的防御动作;
判定结果获得模块,用于如果所述目标操作进程的上下文中不包含所述判定结果标记,则基于所述目标操作进程的进程信息和白名单,判定所述目标操作进程为白进程还是非白进程,获得判定结果;
所述防御动作确定模块,还用于根据所述判定结果,确定对所述目标操作进程的防御动作;
防御动作执行模块,用于执行确定的对所述目标操作进程的防御动作。
8.根据权利要求7所述的装置,其特征在于,还包括在所述获得判定结果之后,还包括:
判定结果标记添加模块,用于根据所述判定结果,在所述目标操作进程的上下文中为所述目标操作进程添加所述判定结果标记,所述判定结果标记为白进程标记或者非白进程标记。
9.一种病毒防御设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述病毒防御方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述病毒防御方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010162722.2A CN111400706B (zh) | 2020-03-10 | 2020-03-10 | 一种病毒防御方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010162722.2A CN111400706B (zh) | 2020-03-10 | 2020-03-10 | 一种病毒防御方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111400706A true CN111400706A (zh) | 2020-07-10 |
| CN111400706B CN111400706B (zh) | 2024-05-28 |
Family
ID=71428706
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010162722.2A Active CN111400706B (zh) | 2020-03-10 | 2020-03-10 | 一种病毒防御方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111400706B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112364284A (zh) * | 2020-11-23 | 2021-02-12 | 北京八分量信息科技有限公司 | 基于上下文进行异常侦测的方法、装置及相关产品 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20100105161A (ko) * | 2009-03-20 | 2010-09-29 | 티에스온넷(주) | 확장된 보안 레이블을 이용하는 프로세스 및 파일 추적 시스템 및 프로세스 및 파일 추적 방법 |
| CN106599676A (zh) * | 2016-12-22 | 2017-04-26 | 北京元心科技有限公司 | 可信进程识别方法及装置 |
| US20170351510A1 (en) * | 2016-06-07 | 2017-12-07 | Beijing Pico Technology Co., Ltd. | Method for recognizing application type |
| CN107563192A (zh) * | 2017-08-10 | 2018-01-09 | 北京神州绿盟信息安全科技股份有限公司 | 一种勒索软件的防护方法、装置、电子设备及存储介质 |
| CN108038379A (zh) * | 2017-12-29 | 2018-05-15 | 北京长御科技有限公司 | 一种防勒索软件攻击的方法和系统 |
| US10193918B1 (en) * | 2018-03-28 | 2019-01-29 | Malwarebytes Inc. | Behavior-based ransomware detection using decoy files |
| US20190332766A1 (en) * | 2017-01-11 | 2019-10-31 | Mordechai GURI | Early runtime detection and prevention of ransomware |
| US10503904B1 (en) * | 2017-06-29 | 2019-12-10 | Fireeye, Inc. | Ransomware detection and mitigation |
-
2020
- 2020-03-10 CN CN202010162722.2A patent/CN111400706B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20100105161A (ko) * | 2009-03-20 | 2010-09-29 | 티에스온넷(주) | 확장된 보안 레이블을 이용하는 프로세스 및 파일 추적 시스템 및 프로세스 및 파일 추적 방법 |
| US20170351510A1 (en) * | 2016-06-07 | 2017-12-07 | Beijing Pico Technology Co., Ltd. | Method for recognizing application type |
| CN106599676A (zh) * | 2016-12-22 | 2017-04-26 | 北京元心科技有限公司 | 可信进程识别方法及装置 |
| US20190332766A1 (en) * | 2017-01-11 | 2019-10-31 | Mordechai GURI | Early runtime detection and prevention of ransomware |
| US10503904B1 (en) * | 2017-06-29 | 2019-12-10 | Fireeye, Inc. | Ransomware detection and mitigation |
| CN107563192A (zh) * | 2017-08-10 | 2018-01-09 | 北京神州绿盟信息安全科技股份有限公司 | 一种勒索软件的防护方法、装置、电子设备及存储介质 |
| CN108038379A (zh) * | 2017-12-29 | 2018-05-15 | 北京长御科技有限公司 | 一种防勒索软件攻击的方法和系统 |
| US10193918B1 (en) * | 2018-03-28 | 2019-01-29 | Malwarebytes Inc. | Behavior-based ransomware detection using decoy files |
Non-Patent Citations (1)
| Title |
|---|
| 黄珍生: "《操作系统原理教程》", vol. 2016, 知识产权出版社, pages: 50 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112364284A (zh) * | 2020-11-23 | 2021-02-12 | 北京八分量信息科技有限公司 | 基于上下文进行异常侦测的方法、装置及相关产品 |
| CN112364284B (zh) * | 2020-11-23 | 2024-01-30 | 北京八分量信息科技有限公司 | 基于上下文进行异常侦测的方法、装置及相关产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111400706B (zh) | 2024-05-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9734337B1 (en) | Behavior-based ransomware detection | |
| US10893068B1 (en) | Ransomware file modification prevention technique | |
| EP3225009B1 (en) | Systems and methods for malicious code detection | |
| US10922411B2 (en) | Intelligent event collection for cloud-based malware detection | |
| US10970396B2 (en) | Intelligent event collection for rolling back an endpoint state in response to malware | |
| RU2477520C1 (ru) | Система и способ динамической адаптации функционала антивирусного приложения на основе конфигурации устройства | |
| US8863284B1 (en) | System and method for determining a security status of potentially malicious files | |
| US20050132184A1 (en) | Apparatus, methods and computer programs for controlling performance of operations within a data processing system or network | |
| EP3270319B1 (en) | Method and apparatus for generating dynamic security module | |
| CN115147956B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| US20230007032A1 (en) | Blockchain-based host security monitoring method and apparatus, medium and electronic device | |
| CN105516081A (zh) | 一种服务器下发安全策略的方法、系统及消息队列中间件 | |
| US20190182272A1 (en) | Probing and Responding to Computer Network Security Breaches | |
| KR20060133728A (ko) | 악성 코드 차단 방법 및 장치 및 그 시스템 | |
| EP3190767B1 (en) | Technique for detecting malicious electronic messages | |
| CN112784268A (zh) | 一种主机行为数据的分析方法、装置、设备及存储介质 | |
| CN110022319B (zh) | 攻击数据的安全隔离方法、装置、计算机设备及存储设备 | |
| CN111400706A (zh) | 一种病毒防御方法、装置、设备及存储介质 | |
| KR101657180B1 (ko) | 프로세스 접근 제어 시스템 및 방법 | |
| CN112187807B (zh) | 一种分支网络网关监控方法、装置及存储介质 | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| CN115022077B (zh) | 网络威胁防护方法、系统及计算机可读存储介质 | |
| CN111092886B (zh) | 一种终端防御方法、系统、设备及计算机可读存储介质 | |
| CN113596060A (zh) | 一种网络安全应急响应方法及系统 | |
| CN106844002B (zh) | 一种基于虚拟化技术的云平台客户机系统可用性提升方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |