CN111898124B - 进程访问控制方法和装置、存储介质及电子设备 - Google Patents

进程访问控制方法和装置、存储介质及电子设备 Download PDF

Info

Publication number
CN111898124B
CN111898124B CN202010779353.1A CN202010779353A CN111898124B CN 111898124 B CN111898124 B CN 111898124B CN 202010779353 A CN202010779353 A CN 202010779353A CN 111898124 B CN111898124 B CN 111898124B
Authority
CN
China
Prior art keywords
target
access request
verification
access
asynchronous
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010779353.1A
Other languages
English (en)
Other versions
CN111898124A (zh
Inventor
马立伟
李志豪
王月强
张刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202010779353.1A priority Critical patent/CN111898124B/zh
Publication of CN111898124A publication Critical patent/CN111898124A/zh
Application granted granted Critical
Publication of CN111898124B publication Critical patent/CN111898124B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种进程访问控制方法和装置、存储介质及电子设备。其中,该方法包括:获取目标进程触发的进程访问请求;对进程访问请求进行本地校验和异步校验;在目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从进程访问请求中获取到的数字签名通过本地签名校验和异步签名校验的情况下,在进程访问请求的访问行为处于并未偏移目标访问路径的状态下,允许目标进程执行访问行为。本发明解决了相关技术提供的进程访问控制方法存在控制安全性较低的技术问题。

Description

进程访问控制方法和装置、存储介质及电子设备
技术领域
本发明涉及计算机领域,具体而言,涉及一种进程访问控制方法和装置、存储介质及电子设备。
背景技术
终端进程网络控制,通常是一种有效发现和阻止恶意程序远控上线(访问外网)和攻击内网资源的有效手段。目前,传统的终端网络控制一般采取如下方案:
1)、默认放通系统进程;
2)、非系统进程每次通信均弹窗让用户来执行允许或阻止操作。
但如果采用注入恶意代码、利用白加黑等方式,将很容易逃避上述相关技术提供给的进程网络控制方案,使得很多恶意网络访问情形难以被全部发现和拦截,同时还会触发大量的用户弹窗,影响用户体验。也就是说,相关技术提供的进程访问控制方法存在控制安全性较低的问题。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种进程访问控制方法和装置、存储介质及电子设备,以至少解决相关技术提供的进程访问控制方法存在控制安全性较低的技术问题。
根据本发明实施例的一个方面,提供了一种进程访问控制方法,包括:获取目标进程触发的进程访问请求;对上述进程访问请求进行本地校验和异步校验;在上述目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从上述进程访问请求中获取到的数字签名通过本地签名校验和异步签名校验的情况下,在上述进程访问请求的访问行为处于并未偏移目标访问路径的状态下,允许上述目标进程执行上述访问行为。
根据本发明实施例的另一个方面,提供了一种进程访问控制方法,包括:获取目标终端中目标进程触发的进程访问请求;在上述目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从上述进程访问请求中获取到的数字签名通过本地签名校验的情况下,对上述进程访问请求进行异步校验;在上述数字签名通过异步签名校验的情况下,在上述进程访问请求的访问行为并未偏移目标访问路径的状态下,允许上述目标进程执行上述访问行为。
根据本发明实施例的又一方面,还提供了一种进程访问控制装置,包括:获取单元,用于获取目标进程触发的进程访问请求;校验单元,用于对上述进程访问请求进行本地校验和异步校验;控制单元,用于在上述目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从上述进程访问请求中获取到的数字签名通过本地签名校验和异步签名校验的情况下,在上述进程访问请求的访问行为处于并未偏移目标访问路径的状态下,允许上述目标进程执行上述访问行为。
根据本发明实施例的又一方面,还提供了一种进程访问控制装置,包括:获取单元,用于获取目标终端中目标进程触发的进程访问请求;校验单元,用于在上述目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从上述进程访问请求中获取到的数字签名通过本地签名校验的情况下,对上述进程访问请求进行异步校验;控制单元,用于在上述数字签名通过异步签名校验的情况下,在上述进程访问请求的访问行为并未偏移目标访问路径的状态下,允许上述目标进程执行上述访问行为。
根据本发明实施例的又一方面,还提供了一种计算机可读的存储介质,该计算机可读的存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述进程访问控制方法。
根据本发明实施例的又一方面,还提供了一种电子设备,包括存储器和处理器,上述存储器中存储有计算机程序,上述处理器被设置为通过所述计算机程序执行上述的进程访问控制方法。
在本发明实施例中,在获取到目标进程触发的进程访问请求之后,对上述进程访问请求进行本地校验和异步校验,结合二者的校验结果,将实现对进程访问请求的有效过滤,在确定目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从进程访问请求中获取到的数字签名通过本地签名校验和异步签名校验的情况下,在进程访问请求的访问行为处于并未偏移目标访问路径的状态下,允许目标进程执行访问行为。也就是说,通过结合本地校验和异步校验,来对进程访问请求进行有效筛选,在满足以下情形的情况下,才允许目标进程执行访问行为:确定目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从进程访问请求中获取到的数字签名通过本地签名校验和异步签名校验,进程访问请求的访问行为处于并未偏移目标访问路径的状态。从而实现通过安全可靠的校验手段的组合,来提高进程访问控制的安全性,进而避免漏报所导致的进程访问控制安全性低的问题。此外,通过上述校验手段的组合,还可以避免使用过多的弹窗来由用户确认是否允许当前进程的访问行为,从而还简化了进程访问的安全确认操作。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选的进程访问方法的硬件环境的示意图;
图2是根据本发明实施例的一种可选的进程访问方法的流程图;
图3是根据本发明实施例的一种可选的进程访问方法所应用的系统的架构示意图;
图4是根据本发明实施例的一种可选的进程访问方法的示意图;
图5是根据本发明实施例的另一种可选的进程访问方法的示意图;
图6是根据本发明实施例的又一种可选的进程访问方法的示意图;
图7是根据本发明实施例的另一种可选的进程访问方法的流程图;
图8是根据本发明实施例的一种可选的进程访问装置的结构示意图;
图9是根据本发明实施例的一种可选的进程访问装置的结构示意图;
图10是根据本发明实施例的一种可选的电子设备的结构示意图;
图11是根据本发明实施例的另一种可选的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本申请实施例提供的视频处理方法涉及以下技术术语:
文件签名:即数字签名(Digital Signature,又称公钥数字签名)是一种功能类似写在纸上的普通签名、但是使用了公钥加密领域的技术,以用于鉴别数字信息的方法。一套数字签名通常会定义两种互补的运算,一个用于签名,另一个用于验证。
根据本发明实施例的一个方面,提供了一种进程访问控制方法,可选地,作为一种可选的实施方式,上述进程访问控制方法可以但不限于应用于如图1所示的硬件环境中的进程访问控制系统中,其中,该进程访问控制系统可以包括但不限于终端设备102、网络104、服务器106。这里终端设备102中包括人机交互屏幕1022,处理器1024及存储器1026。人机交互屏幕1022用于显示目标进程的进程信息,及相应的确认弹窗。上述处理器1024用于对进程访问请求进行本地校验,存储器1026用于存储本地校验所需的白名单或校验条件。
此外,服务器106中包括数据库1062及处理引擎1064,数据库1062中用于存储异步校验所需的白名单或校验条件。处理引擎1064用于对进程访问请求进行异步校验。
具体过程如以下步骤:如步骤S102-S104,终端设备102获取目标进程触发的进程访问请求,并对该进程访问请求进行本地校验。此外,如步骤S106,终端设备102通过网络104,将上述进程访问请求发送服务器106,以使服务器106执行步骤S108,对上述进程访问请求执行异步校验,得到异步校验结果。然后服务器106将把上述异步校验结果通过网络104发送给终端设备102,如步骤S110。终端设备102在确定目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从进程访问请求中获取到的数字签名通过本地签名校验和异步签名校验的情况下,在进程访问请求的访问行为处于并未偏移目标访问路径的状态下,允许目标进程执行访问行为。
需要说明的是,在本实施例中,在获取到目标进程触发的进程访问请求之后,对上述进程访问请求进行本地校验和异步校验,结合二者的校验结果,将实现对进程访问请求的有效过滤,在确定目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从进程访问请求中获取到的数字签名通过本地签名校验和异步签名校验的情况下,在进程访问请求的访问行为处于并未偏移目标访问路径的状态下,允许目标进程执行访问行为。也就是说,通过结合本地校验和异步校验,来对进程访问请求进行有效筛选,在满足以下情形的情况下,才允许目标进程执行访问行为:确定目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从进程访问请求中获取到的数字签名通过本地签名校验和异步签名校验,进程访问请求的访问行为处于并未偏移目标访问路径的状态。从而实现通过安全可靠的校验手段的组合,来提高进程访问控制的安全性,进而避免漏报所导致的进程访问控制安全性低的问题。此外,通过上述校验手段的组合,还可以避免使用过多的弹窗来由用户确认是否允许当前进程的访问行为,从而还简化了进程访问的安全确认操作。
可选地,在本实施例中,上述终端设备可以包括但不限于以下至少之一:手机(如Android手机、iOS手机等)、笔记本电脑、平板电脑、掌上电脑、MID(Mobile InternetDevices,移动互联网设备)、PAD、台式电脑、智能电视等。上述网络可以包括但不限于:有线网络,无线网络,其中,该有线网络包括:局域网、城域网和广域网,该无线网络包括:蓝牙、WIFI及其他实现无线通信的网络。上述服务器可以是单一服务器,也可以是由多个服务器组成的服务器集群,或者是云服务器。上述仅是一种示例,本实施例中对此不作任何限定。
可选地,作为一种可选的实施方式,如图2所示,上述进程访问控制方法包括:
S202,获取目标进程触发的进程访问请求;
S204,对进程访问请求进行本地校验和异步校验;
S206,在目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从进程访问请求中获取到的数字签名通过本地签名校验和异步签名校验的情况下,在进程访问请求的访问行为处于并未偏移目标访问路径的状态下,允许目标进程执行访问行为。
可选地,在本实施例中,上述进程访问控制方法可以但不限于应用于对目标终端(如图1所示终端设备102)触发的进程访问过程中,通过结合本地校验和异步校验的结果,来确定是否允许当前进程执行对应的访问行为。可选地,在本实施例中,上述本地校验可以但不限于为目标终端中的处理系统对当前触发的目标进程进行同步安全校验,这里本地校验的内容可以包括但不限于:对进程访问请求中的数字签名进行本地签名校验、对目标进程对应的目标文件的文件标识和存储路径进行目标黑文件路径库比对校验。此外,在本实施例中,上述异步校验可以但不限于为服务器(如图1所示服务器106)中的处理系统对当前触发的目标进程进行异步安全校验,这里异步校验的内容可以包括但不限于:对进程访问请求中的数字签名进行异步签名校验、对进程访问请求的访问行为校验以确定是否偏移目标访问路径、利用参考黑哈希数据库来对进程访问请求对应的哈希值进行校验。上述为示例,本实施例中对校验的方式在此不作限定。
例如,将上述进程访问控制方法应用于如图3所示的进程访问控制系统中,其中,该系统包括:前端配置系统302、终端处理系统304及后端服务器处理系统306。
这里,前端配置系统302,其中包括:自定义目标黑文件路径库配置3022:用于配置不被授权的数字签名清单;可信签名配置3024:用于配置可信的签名清单,符合签名的进程为可信进程;可信根证书配置3026:配置可信的根证书清单,为证书冒用提供判断依据。
上述终端处理系统304中包括:签名校验系统3042、网络管控系统3044及信息采集系统3046,其中,签名校验系统3042:用于对数字签名进行本地签名校验,以确定其合法性,包括可信签名厂商、本地验签;网络管控系统3044:用于对控制对目标进程的访问行为进行授权、拦截、显示弹窗以使用户确认等操作;信息采集系统3046:用于采集当前触发的进程访问请求中的数字签名、证书链、哈希值(简称hash)、目标进程对应的目标文件的存储路径、进程访问请求所要访问的目的地址等信息。
上述后端服务器处理系统306包括:后端签名分析系统3062、后端网络行为分析系统3064及后端哈希安全判定系统3066。其中,后端签名分析系统3062:用于检测证书以验证证书链的合法性,保证数字签名未被伪造;后端网络行为分析系统3064:用于通过计算生成目标终端当前的访问路径;还用于计算目标终端当前的访问路径是否偏离目标访问路径;后端哈希安全判定系统3066包括目标黑文件路径库3066-1、目标黑哈希库3066-2和哈希检测接口3066-3,其中,目标黑文件路径库3066-1:用于记录目标终端的恶意文件名和详细路径;目标黑哈希库3066-2:用于存储全部恶意hash;哈希检测接口3066-3,用于提供hash检测能力。
结合图3所示系统的框架来说明具体的访问控制过程可以如下:
通过前端配置系统302,来完成自定义目标黑文件路径库配置、可信签名配置等过程,为目标终端中的签名校验系统3042进行本地校验提供校验基础。通过可信根证书配置来为后台服务器中的后端签名分析系统3062进行异步校验提供校验基础。
此外,在终端处理系统304中进行本地同步安全检测。如通过签名校验系统3042来对目标进程进行可信签名校验,并通过网络管控系统3044来向目标黑文件路径库发起请求,以对目标进程对应的文件标识(如文件名)和存储路径与目标黑文件路径库中已经配置的文件标识和存储路径进行比对,在目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,且进程访问请求中获取到的数字签名通过上述本地的可信签名校验的情况下,确定目标进程的进程访问请求通过本地校验。这里还将通过信息采集系统3046来采集进程访问请求中的以下至少一种访问属性信息:数字签名、进程访问请求对应的证书链、进程访问请求对应的哈希值、进程访问请求对应的验证值、目标文件的文件标识和存储路径、进程访问请求的目的地址。以便于将上述访问属性信息发送给后端服务器,为异步安全检测提供数据。需要说明的是,在定期更新目标黑哈希库中的hash值之后,将把该hash值对应的文件路径更新到目标黑文件路径库中。此外,在哈希检测接口定期获取到参考黑哈希值之后,也将利用获取到hash值对应更新上述目标黑哈希库。上述为示例,本实施例中对此不作任何限定。
进一步,后端服务器处理系统306通过签名安全检测、网络行为偏移分析、hash合法性判定三方面,来实现对进程访问请求的异步校验。其中,通过后端签名分析系统3062来对上述进程访问请求中携带的数字签名和根证书进行校验,以实现异步签名校验,保证签名未被伪造。后端网络行为分析系统3064通过访问属性信息将计算出目标终端当前的访问路径(下文也可称作当前进程基线,用于指示进程访问请求实际访问的地址所在域名对应的访问清单),还将通过与目标地址所指示的目标访问路径(用于指示进程访问请求的目标地址所在域名对应的访问清单)进行比对,以确定是否出现行为偏移。进一步,在后端哈希安全判定系统3066中,包括各个终端的恶意文件名和详细路径构成的目标黑文件路径库,还包括各个终端的恶意hash构成的目标黑哈希库。此外还配置有多个哈希检测接口,用于提供hash检测能力,辅助目标终端在异步校验时实现异步检测调用。
通过本申请提供的实施例,通过结合本地校验和异步校验,来对进程访问请求进行有效筛选,在满足以下情形的情况下,才允许目标进程执行访问行为:确定目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从进程访问请求中获取到的数字签名通过本地签名校验和异步签名校验,进程访问请求的访问行为处于并未偏移目标访问路径的状态。从而实现通过安全可靠的校验手段的组合,来提高进程访问控制的安全性,进而避免漏报所导致的进程访问控制安全性低的问题。此外,通过上述校验手段的组合,还可以避免使用过多的弹窗来由用户确认是否允许当前进程的访问行为,从而还简化了进程访问的安全确认操作。
作为一种可选的方案,对进程访问请求进行本地校验包括:
S1,解析进程访问请求;
S2,在从进程访问请求中获取到数字签名的情况下,利用签名白名单对数字签名进行本地签名校验;
S3,在签名白名单中查找到数字签名的情况下,确定数字签名通过本地签名校验。
可选地,在本实施例中,在解析进程访问请求之后,还包括:
1)在从进程访问请求中并未获取到数字签名的情况下,显示第一确认弹窗,其中,在第一目标时间段内收到对第一确认弹窗执行的第一确认操作的情况下,拒绝进程访问请求;或者
2)在从进程访问请求中获取到数字签名,但数字签名并未通过本地签名校验的情况下,显示第二确认弹窗,其中,在第二目标时间段内收到对第二确认弹窗执行的第二确认操作的情况下,允许目标进程执行访问行为。
需要说明的是,在本实施例中,在目标进程所在目标终端中,将快速实现对所触发的进程访问请求的本地同步校验。从而实现根据本地校验结果来及时确定是否需要触发向用户展示的确认弹窗,从而实现对所展示的确认弹窗实现一定比例的过滤筛选。
具体的,在获取到目标进程触发的进程访问请求之后,可以包括但不限于以下一种情形:
(1)从进程访问请求中获取到数字签名,且在可信签名构成的签名白名单中查找到上述数字签名的情况下,确定该进程访问请求合法,向网络管控系统发送授权指令,以允许目标进程执行访问行为。
(2)从进程访问请求中获取到数字签名,但未在可信签名构成的签名白名单中查找到上述数字签名的情况下,即上述获取到的数字签名并非可信签名的情况下,则向网络管控系统发送弹窗确认指令,以在目标终端中显示确认弹窗,其中,该确认弹窗用于确认是否允许使用当前的数字签名继续执行访问行为,因而在目标时间段内收到确认操作的情况下,将允许目标进程继续执行访问行为。
例如,如图4所示,显示弹窗A,提示“是否允许继续访问”,在获取到对按键“是”的点击操作的情况下,则确定用户允许使用当前的数字签名继续执行访问行为,否则在获取到对按键“否”的点击操作的情况下,拒绝上述进程访问请求。
(4)从进程访问请求中并未获取到数字签名的情况下,则向网络管控系统发送弹窗确认指令,以在目标终端中显示确认弹窗,其中,该确认弹窗用于确认是否拒绝当前无签名的进程访问请求,因而确认弹窗在目标时间段内收到确认操作的情况下,将拒绝上述进程访问请求,并阻断拦截对应的访问行为。
例如,如图5所示,显示弹窗B,显示“是否阻断当前访问行为”。在获取到对按键“是”的点击操作的情况下,则拒绝上述进程访问请求,并阻断拦截对应的访问行为,否则在获取到对按键“否”的点击操作的情况下,确定用户允许使用当前的数字签名继续执行访问行为。
需要说明的是,上述弹窗的显示位置为示例,除了上述情况还可以包括:侧栏位置显示的侧栏弹窗、上边界位置显示的横幅弹窗等。这里并不限于图中所示。
通过本申请提供的实施例,通过对进行访问请求中的数字签名进行本地签名校验,以便于及时确定出是否需要在目标终端中显示确认弹窗,从而实现对确认弹窗的数量过滤限制,避免过多弹窗显示对用户造成的显示干扰。
作为一种可选的方案,在获取目标进程触发的进程访问请求之后,还包括:
S1,发送黑名单获取请求;
S2,响应黑名单获取请求,获取目标黑文件路径库;
S3,在目标黑文件路径库中查找目标文件的文件标识和存储路径;
S4,在查找到目标文件的文件标识和存储路径的情况下,拒绝进程访问请求;
S5,在并未查找到目标文件的文件标识和存储路径的情况下,确定对进程访问请求进行本地校验和异步校验。
可选地,在本实施例中,在本地校验的过程还可以包括利用目标黑文件路径库对目标进程对应的目标文件进行校验比对,以通过文件标识的简单比对来辅助目标终端快速完成本地校验,从而提高本地校验的准确率。
具体的,目标终端在获取到目标进程触发的进程访问请求后,同步向目标黑文件路径库发送查找请求,以确定目标进程对应的目标文件的文件标识和存储路径是否位于上述目标黑文件路径库中。若位于目标黑文件路径库,则拒绝上述进程访问请求,并阻断拦截对应的访问行为。若并未位于目标黑文件路径库,则可实现上述本地签名校验过程。
需要说明的是,上述目标黑文件路径库中记录有各个终端的恶意文件名和详细路径,这里的恶意文件名和详细路径是其他终端在当前触发的进程访问请求之前通过异步校验所得到的。
通过本申请提供的实施例,通过先在目标黑文件路径库中查找目标文件的文件标识和存储路径,以实现对进程访问请求的预校验,根据预校验的结果过滤掉部分不合法的进程访问请求,从而实现减少目标终端本地所要处理的本地校验的数量,达到提高本地校验效率的目的。
作为一种可选的方案,在获取目标进程触发的进程访问请求之前,还包括:
S1,配置目标黑文件路径库、签名白名单及证书白名单,其中,签名白名单中包括已授权访问的进程的数字签名,证书白名单中包括已授权签发机构签发的证书。
具体结合以下示例进行说明:假设在前端配置过程中,自定义签名黑名单,这里终端处理系统将阻止使用黑签名的进程执行的访问行为。例如,假设签名为如下内容:
NetSarang Computer,Inc.,序列号:7ab036d2cb27e97cef1e1fbf
此外,配置签名白名单(即可信签名),这里使用可信签名内的白签名的进程即为可信进程,这里终端处理系统将允许其直接执行访问行为,如可信签名配置为:
M Corporation;
A Inc;
Tt Company Limited。
再者,配置证书白名单(即可信根证书),通过配置可信的根证书签发机构清单,这里清单范围内的根证书是可信的根证书,用于后续签名伪造检测,如可信根证书为:
A Root CA;
M Root Certificate Authority。
通过本申请提供的实施例,配置目标黑文件路径库、签名白名单及证书白名单,来辅助目标终端快速完成本地校验,以提高本地校验的效率,还将保证本地校验的准确性。
作为一种可选的方案,在获取目标进程触发的进程访问请求之后,还包括:
S1,采集与进程访问请求对应的访问属性信息,其中,访问属性信息包括以下至少之一:数字签名、进程访问请求对应的证书链、进程访问请求对应的哈希值、进程访问请求对应的验证值、目标文件的文件标识和存储路径、进程访问请求的目的地址;
S2,将访问属性信息发送给服务器,以使服务器对进程访问请求进行异步校验;
S3,获取服务器返回的异步校验结果。
需要说明的是,在本实施例中,可以但不限于结合后端服务器处理系统来完成上述异步校验。对于这里的目标终端来说,在通过终端处理系统中的信息采集系统采集到上述访问属性信息之后,可以按照以下方式分发给后端服务器处理系统中的各个分析系统:
将上述数字签名、证书链,发送给后端签名分析系统;将进程访问进程对应的哈希值(Hash),和目标进程对应的目标文件的文件标识和存储路径,发送给后端哈希安全判定系统,以便于其中存储的目标黑文件路径库和目标黑哈希库进行数据比对;将目标进程的目的地址,发送给后端网络行为基线分析系统。
通过本申请提供的实施例,通过将访问属性信息发送给服务器,以使服务器对进程访问请求进行异步校验,从而确保对进程访问请求进行校验的有效性,进而保证进程访问控制的安全性。
作为一种可选的方案,获取服务器返回的异步校验结果包括:
S1,获取服务器对数字签名进行异步签名校验得到的异步签名校验结果,其中,异步签名校验结果用于指示数字签名是否通过异步签名校验;
S2,获取服务器对访问行为进行行为偏移分析得到的偏移结果,其中,偏移结果用于指示访问行为是否偏移目标访问路径;
其中,异步校验结果包括异步签名校验结果和偏移结果。
可选地,在本实施例中,上述异步校验可以包括但不限于:1)对数字签名进行异步签名校验得到的异步签名校验结果;2)对访问行为进行行为偏移分析得到的偏移结果;3)通过多个哈希检测接口调用参考黑哈希数据库;利用参考黑哈希数据库对进程访问请求对应的哈希值进行比对校验。需要说明的是,上述异步校验方式1)-2)将作用于当前进程访问请求对应的目标进程执行访问行为的过程,在尚未确定完成访问行为之前,上述异步校验的结果都将直接影响是否阻断拦截上述访问行为。而异步校验方式3)将作用于当前进程访问请求之后的下一个进程访问请求,以对下一次访问行为产生干预影响。
通过本申请提供的实施例,通过结合本地校验和异步校验,来保证对进程访问请求的安全校验,避免漏报导致的安全性较低的问题。
作为一种可选的方案,在将访问属性信息发送给服务器之后,还包括:
S1,服务器进行异步校验得到异步校验结果;
S2,在异步校验结果指示未达到校验条件的情况下,服务器将把访问属性信息及异步校验结果存储到目标数据库中,其中,在执行访问行为的过程中,目标进程所在目标终端将定期从目标数据库中获取对象数据,并在对象数据达到中断条件的情况下,中断执行访问行为。
作为一种可选的实施方式,S1,服务器进行异步校验得到异步校验结果包括:S11,在数字签名未达到签名认证条件,或证书链并未位于证书白名单的情况下,服务器确定异步校验结果为未达到校验条件;S2,服务器将把访问属性信息及异步校验结果存储到目标数据库中包括:S21,服务器将进程访问请求对应的验证值存储到目标黑哈希数据库中,并将目标文件的文件标识和存储路径存储到目标黑文件路径库中,其中,目标数据库包括目标黑哈希数据库和目标黑文件路径库。
具体结合以下示例进行说明:假设服务器接收目标终端上报的目标进程对应的目标文件的文件信息包括:md5、签名信息(M Corporation)和证书链信息(M Corporation->MCode Signing PCA->M Root Certificate Authority),可以如图6所示。具体的校验过程可以如下:
服务器通过检测签名信息(M Corporation)所关联的证书链依赖的根证书(MRoot Certificate Authority),来确定目标进程对应的目标文件对应的根证书是否位于可信的根证书范围内,如目标文件对应的根证书位于可信的根证书范围内,则表示当前异步签名校验结果达到校验条件,如目标文件对应的根证书并未位于可信的根证书范围内,则表示异步校验结果并未达到校验条件。
进一步,在未达到校验条件的情况下,将上述目标文件的md5发送给后端哈希安全判定系统的目标黑哈希库,并将目标文件的文件名和存储路径缓存到后端哈希安全判定系统的目标黑文件路径库,以便于目标终端后续触发新的进程访问请求后,可以快速执行本地同步校验。
此外,在更新上述目标黑哈希库之后,还可以由终端处理系统中的网络管控系统定期从目标黑哈希库获取对象数据(如对象hash),在上述目标进程触发的进程访问请求所请求执行的访问行为尚未完成的情况下,可以利用该进程访问请求的哈希值来与上述对象hash进行比对,在比对结果指示确定达到中断条件的情况下(如命中目标黑哈希库中的对象hash),则触发阻断并拦截上述访问行为。
作为一种可选的方案,S1,服务器进行异步校验得到异步校验结果包括:S11,服务器根据访问属性信息获取进程访问请求当前的访问路径;在确定当前的访问路径偏移目标访问路径的情况下,服务器确定异步校验结果为未达到校验条件;S2,服务器将把访问属性信息及异步校验结果存储到目标数据库中包括:S21,将目标文件的文件标识和存储路径存储到目标黑文件路径库中,其中,目标数据库包括目标黑文件路径库。
具体结合以下示例进行说明:假设服务器接收目标终端上报的访问属性信息后,确定出目标进程的目标访问路径(也可称作基线)如表1所示:
表1
Figure BDA0002619633030000171
需要说明的是,浏览器访问随机,其进程不适合产生基线(这里表述为不进入基线),对于访问单一的进程,适合产生基线(这里表述为进入基线)。进一步,根据访问属性信息获取进程访问请求当前的访问路径,并与上述目标访问路径进行比对,以确定是否产生行为偏移,比对结果如表2所述:
表2
进程名 目的地址 是否偏移
q.exe www.baidu.com
BD.exe www.baidu.com
Word.exe www.microsoft.com
具体的过程可以如下:假设如表2所示上述进程“q.exe”产生偏移,则将其对应的文件的文件信息(如文件名和存储路径等)发送给后端哈希安全判定系统的目标黑文件路径库,以便于目标终端后续触发新的进程访问请求后,可以快速执行本地同步校验。
此外,在更新上述目标黑文件路径库之后,还可以由终端处理系统中的网络管控系统定期从目标黑文件路径库获取对象数据(如对象文件路径,即对象文件名和对象存储路径),在上述目标进程触发的进程访问请求所请求执行的访问行为尚未完成的情况下,可以利用该进程访问请求对应的目标文件的文件名和存储路径来分别与上述对象文件名和对象存储路径进行比对,在比对结果指示确定达到中断条件的情况下(如命中目标黑文件路径库中的对象文件名和对象存储路径),则触发阻断并拦截上述访问行为。
通过本申请提供的实施例,通过服务器来辅助目标终端实现异步校验,得到异步校验结果。这里的异步校验结果不仅可以作用于后续的进程访问请求,还可以对当前未完成的进程访问请求产生影响,以及时阻断不合法的进程访问行为,从而保证进程访问的安全性。
作为一种可选的方案,在将访问属性信息发送给服务器之后,还包括:
S1,服务器通过多个哈希检测接口调用参考黑哈希数据库;
S2,在参考黑哈希数据库中查找到进程访问请求对应的哈希值的情况下,服务器将进程访问请求对应的验证值存储到目标黑哈希数据库中,并将目标文件的文件标识和存储路径存储到目标黑文件路径库中,其中,目标数据库包括目标黑哈希数据库和目标黑文件路径库。
具体的过程可以如下:在从目标终端发送的访问属性信息中获取到md5、进程名等信息后,通过多个哈希检测接口来调用其他应用进程关联的多个黑哈希库构成的参考黑哈希数据库,如virustotal.com。
在确定当前的进程访问请求的哈希值与参考黑哈希数据库中参考哈希一致的情况下,则表示当前的进程访问请求的哈希值是不合法的。并将当前的进程访问请求的哈希值和md5,发送给后端哈希安全判定系统的目标黑哈希库,并将目标文件的文件名和存储路径缓存到后端哈希安全判定系统的目标黑文件路径库,以便于目标终端后续触发新的进程访问请求后,可以快速执行本地同步校验。
需要说明的是,在参考黑哈希数据库中查找到进程访问请求对应的哈希值的情况下,也就是说,在目标黑哈希库中并未查找到进程访问请求对应的哈希值,为了完善本地校验过程,可以将这里的进程访问请求对应的哈希值补充完善到目标黑哈希库中,以便于后续进程访问控制过程中。
通过本申请提供的实施例,通过服务器实现异步校验,来确保对进程访问控制校验的安全性,避免漏报导致的访问控制安全性较低的问题。
根据本发明实施例的另一个方面,还提供了一种上述进程访问控制方法。如图7所示,该方法包括:
S702,获取目标终端中目标进程触发的进程访问请求;
S704,在目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从进程访问请求中获取到的数字签名通过本地签名校验的情况下,对进程访问请求进行异步校验;
S706,在数字签名通过异步签名校验的情况下,在进程访问请求的访问行为并未偏移目标访问路径的状态下,允许目标进程执行访问行为。
可选地,在本实施例中,上述进程访问控制方法可以但不限于应用于服务器(如图1所示服务器106)中,以辅助目标终端(如图1所示终端设备102)进行进程访问安全控制。如通过结合本地校验和异步校验的结果,来确定是否允许当前进程执行对应的访问行为。可选地,在本实施例中,上述本地校验可以但不限于为目标终端中的处理系统对当前触发的目标进程进行同步安全校验,这里本地校验的内容可以包括但不限于:对进程访问请求中的数字签名进行本地签名校验、对目标进程对应的目标文件的文件标识和存储路径进行目标黑文件路径库比对校验。此外,在本实施例中,上述异步校验可以但不限于为服务器(如图1所示服务器106)中的处理系统对当前触发的目标进程进行异步安全校验,这里异步校验的内容可以包括但不限于:对进程访问请求中的数字签名进行异步签名校验、对进程访问请求的访问行为校验以确定是否偏移目标访问路径、利用参考黑哈希数据库来对进程访问请求对应的哈希值进行校验。上述为示例,本实施例中对校验的方式在此不作限定。
具体的实施例,可以参考上述方法实施例,本实施例不再赘述。
作为一种可选的方案,对进程访问请求进行异步校验包括:
S1,获取目标终端发送的与进程访问请求对应的访问属性信息,其中,访问属性信息包括以下至少之一:数字签名、进程访问请求对应的证书链、进程访问请求对应的哈希值、进程访问请求对应的验证值、目标文件的文件标识和存储路径、进程访问请求的目的地址;
S2,根据访问属性信息对进程访问请求进行异步校验,得到异步校验结果。
具体的实施例,可以参考上述方法实施例,本实施例不再赘述。
作为一种可选的方案,在根据访问属性信息对进程访问请求进行异步校验,得到异步校验结果之后,还包括:
1)在异步校验结果指示达到校验条件的情况下,通知目标终端数字签名通过异步签名校验,进程访问请求的访问行为并未偏移目标访问路径,以允许目标进程执行访问行为;
2)在异步校验结果指示未达到校验条件的情况下,将访问属性信息及异步校验结果存储到目标数据库中,其中,在执行访问行为的过程中,目标进程所在目标终端将定期从目标数据库中获取对象数据,并在对象数据达到中断条件的情况下,中断执行访问行为。
具体的实施例,可以参考上述方法实施例,本实施例不再赘述。
作为一种可选的方案,根据访问属性信息对进程访问请求进行异步校验,得到异步校验结果包括:在数字签名未达到签名认证条件,或证书链并未位于证书白名单的情况下,确定异步校验结果为未达到校验条件;将访问属性信息及异步校验结果存储到目标数据库中包括:将进程访问请求对应的验证值存储到目标黑哈希数据库中,并将目标文件的文件标识和存储路径存储到目标黑文件路径库中,其中,目标数据库包括目标黑哈希数据库和目标黑文件路径库。
具体的实施例,可以参考上述方法实施例,本实施例不再赘述。
作为一种可选的方案,根据访问属性信息对进程访问请求进行异步校验,得到异步校验结果包括:根据访问属性信息获取进程访问请求当前的访问路径;在确定当前的访问路径偏移目标访问路径的情况下,确定异步校验结果为未达到校验条件;将访问属性信息及异步校验结果存储到目标数据库中包括:将目标文件的文件标识和存储路径存储到目标黑文件路径库中,其中,目标数据库包括目标黑文件路径库。
具体的实施例,可以参考上述方法实施例,本实施例不再赘述。
作为一种可选的方案,在根据访问属性信息对进程访问请求进行异步校验,得到异步校验结果时,还包括:
S1,通过多个哈希检测接口调用参考黑哈希数据库;
S2,在参考黑哈希数据库中查找到进程访问请求对应的哈希值的情况下,将进程访问请求对应的验证值存储到目标黑哈希数据库中,并将目标文件的文件标识和存储路径存储到目标黑文件路径库中,其中,目标数据库包括目标黑哈希数据库和目标黑文件路径库。
具体的实施例,可以参考上述方法实施例,本实施例不再赘述。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
根据本发明实施例的另一个方面,还提供了一种用于实施上述进程访问控制方法的进程访问控制装置。应用于终端,如图8所示,该装置包括:
1)获取单元802,用于获取目标进程触发的进程访问请求;
2)校验单元804,用于对进程访问请求进行本地校验和异步校验;
3)控制单元806,用于在目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从进程访问请求中获取到的数字签名通过本地签名校验和异步签名校验的情况下,在进程访问请求的访问行为处于并未偏移目标访问路径的状态下,允许目标进程执行访问行为。
具体的装置实施例,可以参考上述方法实施例,本实施例不再赘述。
根据本发明实施例的另一个方面,还提供了一种用于实施上述进程访问控制方法的进程访问控制装置。应用于服务器,如图9所示,该装置包括:
1)获取单元902,用于获取目标终端中目标进程触发的进程访问请求;
2)校验单元904,用于在目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从进程访问请求中获取到的数字签名通过本地签名校验的情况下,对进程访问请求进行异步校验;
3)控制单元906,用于在数字签名通过异步签名校验的情况下,在进程访问请求的访问行为并未偏移目标访问路径的状态下,允许目标进程执行访问行为。
具体的装置实施例,可以参考上述方法实施例,本实施例不再赘述。
根据本发明实施例的又一个方面,还提供了一种用于实施上述进程访问控制方法的电子设备,该电子设备可以是图1所示的终端设备102。如图10所示,该电子设备包括存储器1002和处理器1004,该存储器1002中存储有计算机程序,该处理器1004被设置为通过计算机程序执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述电子设备可以位于计算机网络的多个网络设备中的至少一个网络设备。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,获取目标进程触发的进程访问请求;
S2,对进程访问请求进行本地校验和异步校验;
S3,在目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从进程访问请求中获取到的数字签名通过本地签名校验和异步签名校验的情况下,在进程访问请求的访问行为处于并未偏移目标访问路径的状态下,允许目标进程执行访问行为。
可选地,本领域普通技术人员可以理解,图10所示的结构仅为示意,电子设备也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile Internet Devices,MID)、PAD等终端设备。图10其并不对上述电子设备的结构造成限定。例如,电子设备还可包括比图10中所示更多或者更少的组件(如网络接口等),或者具有与图10所示不同的配置。
其中,存储器1002可用于存储软件程序以及模块,如本发明实施例中的进程访问控制方法和装置对应的程序指令/模块,处理器1004通过运行存储在存储器1002内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的进程访问控制方法。存储器1002可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器1002可进一步包括相对于处理器1004远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。其中,存储器1002具体可以但不限于用于存储进程访问请求及校验结果等信息。作为一种示例,如图10所示,上述存储器1002中可以但不限于包括上述进程访问控制装置中的获取单元802、校验单元804及控制单元806。此外,还可以包括但不限于上述进程访问控制装置中的其他模块单元,本示例中不再赘述。
可选地,上述的传输装置1006用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置1006包括一个网络适配器(Network Interface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置1006为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
此外,上述电子设备还包括:显示器1008,用于显示上述进程访问对应的信息;和连接总线1010,用于连接上述电子设备中的各个模块部件。
在其他实施例中,上述终端设备或者服务器可以是一个分布式系统中的一个节点,其中,该分布式系统可以为区块链系统,该区块链系统可以是由该多个节点通过网络通信的形式连接形成的分布式系统。其中,节点之间可以组成点对点(P2P,Peer To Peer)网络,任意形式的计算设备,比如服务器、终端等电子设备都可以通过加入该点对点网络而成为该区块链系统中的一个节点。
根据本发明实施例的又一个方面,还提供了一种用于实施上述进程访问控制方法的电子设备,该电子设备可以是图1所示的服务器106。如图11所示,该电子设备包括存储器1102和处理器1104,该存储器1102中存储有计算机程序,该处理器1104被设置为通过计算机程序执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述电子设备可以位于计算机网络的多个网络设备中的至少一个网络设备。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,获取目标进程触发的进程访问请求;
S2,对进程访问请求进行本地校验和异步校验;
S3,在目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从进程访问请求中获取到的数字签名通过本地签名校验和异步签名校验的情况下,在进程访问请求的访问行为处于并未偏移目标访问路径的状态下,允许目标进程执行访问行为。
可选地,本领域普通技术人员可以理解,图11所示的结构仅为示意,电子设备也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile Internet Devices,MID)、PAD等终端设备。图11其并不对上述电子设备的结构造成限定。例如,电子设备还可包括比图11中所示更多或者更少的组件(如网络接口等),或者具有与图11所示不同的配置。
其中,存储器1102可用于存储软件程序以及模块,如本发明实施例中的进程访问控制方法和装置对应的程序指令/模块,处理器1104通过运行存储在存储器1102内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的进程访问控制方法。存储器1102可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器1102可进一步包括相对于处理器1104远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。其中,存储器1102具体可以但不限于用于存储进程访问请求及校验结果等信息。作为一种示例,如图11所示,上述存储器1102中可以但不限于包括上述进程访问控制装置中的获取单元902、校验单元904及控制单元906。此外,还可以包括但不限于上述进程访问控制装置中的其他模块单元,本示例中不再赘述。
可选地,上述的传输装置1106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置1106包括一个网络适配器(Network Interface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置1106为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
此外,上述电子设备还包括:显示器1108,用于显示上述进程访问对应的信息;和连接总线1110,用于连接上述电子设备中的各个模块部件。
在其他实施例中,上述终端设备或者服务器可以是一个分布式系统中的一个节点,其中,该分布式系统可以为区块链系统,该区块链系统可以是由该多个节点通过网络通信的形式连接形成的分布式系统。其中,节点之间可以组成点对点(P2P,Peer To Peer)网络,任意形式的计算设备,比如服务器、终端等电子设备都可以通过加入该点对点网络而成为该区块链系统中的一个节点。
根据本发明的实施例的又一方面,还提供了一种计算机可读的存储介质,该计算机可读的存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述计算机可读的存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,获取目标进程触发的进程访问请求;
S2,对进程访问请求进行本地校验和异步校验;
S3,在目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从进程访问请求中获取到的数字签名通过本地签名校验和异步签名校验的情况下,在进程访问请求的访问行为处于并未偏移目标访问路径的状态下,允许目标进程执行访问行为。
可选地,在本实施例中,上述计算机可读的存储介质还可以被设置为存储用于执行以下步骤的计算机程序:
S1,获取目标终端中目标进程触发的进程访问请求;
S2,在目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从进程访问请求中获取到的数字签名通过本地签名校验的情况下,对进程访问请求进行异步校验;
S3,在数字签名通过异步签名校验的情况下,在进程访问请求的访问行为并未偏移目标访问路径的状态下,允许目标进程执行访问行为。
可选地,在本实施例中,本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(Random Access Memory,RAM)、磁盘或光盘等。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (15)

1.一种进程访问控制方法,其特征在于,包括:
获取目标进程触发的进程访问请求;
对所述进程访问请求进行本地校验和异步校验;
在所述目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从所述进程访问请求中获取到的数字签名通过本地签名校验和异步签名校验的情况下,在所述进程访问请求的访问行为处于并未偏移目标访问路径的状态下,允许所述目标进程执行所述访问行为。
2.根据权利要求1所述的方法,其特征在于,所述对所述进程访问请求进行本地校验包括:
解析所述进程访问请求;
在从所述进程访问请求中获取到所述数字签名的情况下,利用签名白名单对所述数字签名进行本地签名校验;
在所述签名白名单中查找到所述数字签名的情况下,确定所述数字签名通过本地签名校验。
3.根据权利要求2所述的方法,其特征在于,在所述解析所述进程访问请求之后,还包括:
在从所述进程访问请求中并未获取到所述数字签名的情况下,显示第一确认弹窗,其中,在第一目标时间段内收到对所述第一确认弹窗执行的第一确认操作的情况下,拒绝所述进程访问请求;或者
在从所述进程访问请求中获取到所述数字签名,但所述数字签名并未通过本地签名校验的情况下,显示第二确认弹窗,其中,在第二目标时间段内收到对所述第二确认弹窗执行的第二确认操作的情况下,允许所述目标进程执行所述访问行为。
4.根据权利要求1所述的方法,其特征在于,在所述获取目标进程触发的进程访问请求之后,还包括:
发送黑名单获取请求;
响应所述黑名单获取请求,获取所述目标黑文件路径库;
在所述目标黑文件路径库中查找所述目标文件的文件标识和存储路径;
在查找到所述目标文件的文件标识和存储路径的情况下,拒绝所述进程访问请求;
在并未查找到所述目标文件的文件标识和存储路径的情况下,确定对所述进程访问请求进行本地校验和异步校验。
5.根据权利要求1所述的方法,其特征在于,在获取目标进程触发的进程访问请求之后,还包括:
采集与所述进程访问请求对应的访问属性信息,其中,所述访问属性信息包括所述数字签名,还包括以下至少之一:所述进程访问请求对应的证书链、所述进程访问请求对应的哈希值、所述进程访问请求对应的验证值、所述目标文件的文件标识和存储路径、所述进程访问请求的目的地址;
将所述访问属性信息发送给服务器,以使所述服务器对所述进程访问请求进行异步校验;
获取所述服务器返回的异步校验结果。
6.根据权利要求5所述的方法,其特征在于,所述获取所述服务器返回的异步校验结果包括:
获取所述服务器对所述数字签名进行异步签名校验得到的异步签名校验结果,其中,所述异步签名校验结果用于指示所述数字签名是否通过异步签名校验;
获取所述服务器对所述访问行为进行行为偏移分析得到的偏移结果,其中,所述偏移结果用于指示所述访问行为是否偏移所述目标访问路径;
其中,所述异步校验结果包括所述异步签名校验结果和所述偏移结果。
7.根据权利要求5所述的方法,其特征在于,在所述将所述访问属性信息发送给服务器之后,还包括:
所述服务器进行异步校验得到所述异步校验结果;
在所述异步校验结果指示未达到校验条件的情况下,所述服务器将把所述访问属性信息及所述异步校验结果存储到目标数据库中,其中,在执行所述访问行为的过程中,所述目标进程所在目标终端将定期从所述目标数据库中获取对象数据,并在所述对象数据达到中断条件的情况下,中断执行所述访问行为。
8.一种进程访问控制方法,其特征在于,包括:
获取目标终端中目标进程触发的进程访问请求;
在所述目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从所述进程访问请求中获取到的数字签名通过本地签名校验的情况下,对所述进程访问请求进行异步校验;
在所述数字签名通过异步签名校验的情况下,在所述进程访问请求的访问行为并未偏移目标访问路径的状态下,允许所述目标进程执行所述访问行为。
9.根据权利要求8所述的方法,其特征在于,所述对所述进程访问请求进行异步校验包括:
获取所述目标终端发送的与所述进程访问请求对应的访问属性信息,其中,所述访问属性信息包括所述数字签名,还包括以下至少之一:所述进程访问请求对应的证书链、所述进程访问请求对应的哈希值、所述进程访问请求对应的验证值、所述目标文件的文件标识和存储路径、所述进程访问请求的目的地址;
根据所述访问属性信息对所述进程访问请求进行异步校验,得到异步校验结果;
在所述异步校验结果指示达到校验条件的情况下,通知所述目标终端所述数字签名通过异步签名校验,所述进程访问请求的访问行为并未偏移目标访问路径,以允许所述目标进程执行所述访问行为;
在所述异步校验结果指示未达到所述校验条件的情况下,将所述访问属性信息及所述异步校验结果存储到目标数据库中,其中,在执行所述访问行为的过程中,所述目标进程所在目标终端将定期从所述目标数据库中获取对象数据,并在所述对象数据达到中断条件的情况下,中断执行所述访问行为。
10.根据权利要求9所述的方法,其特征在于,
所述根据所述访问属性信息对所述进程访问请求进行异步校验,得到异步校验结果包括:在所述数字签名未达到签名认证条件,或所述证书链并未位于证书白名单的情况下,确定所述异步校验结果为未达到所述校验条件;
所述将所述访问属性信息及所述异步校验结果存储到目标数据库中包括:将所述进程访问请求对应的验证值存储到目标黑哈希数据库中,并将所述目标文件的文件标识和存储路径存储到目标黑文件路径库中,其中,所述目标数据库包括所述目标黑哈希数据库和所述目标黑文件路径库;或者
所述根据所述访问属性信息对所述进程访问请求进行异步校验,得到异步校验结果包括:根据所述访问属性信息获取所述进程访问请求当前的访问路径;在确定所述当前的访问路径偏移所述目标访问路径的情况下,确定所述异步校验结果为未达到所述校验条件;
所述将所述访问属性信息及所述异步校验结果存储到目标数据库中包括:将所述目标文件的文件标识和存储路径存储到目标黑文件路径库中,其中,所述目标数据库包括所述目标黑文件路径库。
11.根据权利要求9所述的方法,其特征在于,在所述根据所述访问属性信息对所述进程访问请求进行异步校验,得到异步校验结果时,还包括:
通过多个哈希检测接口调用参考黑哈希数据库;
在所述参考黑哈希数据库中查找到所述进程访问请求对应的哈希值的情况下,将所述进程访问请求对应的验证值存储到目标黑哈希数据库中,并将所述目标文件的文件标识和存储路径存储到目标黑文件路径库中,其中,所述目标数据库包括所述目标黑哈希数据库和所述目标黑文件路径库。
12.一种进程访问控制装置,其特征在于,包括:
获取单元,用于获取目标进程触发的进程访问请求;
校验单元,用于对所述进程访问请求进行本地校验和异步校验;
控制单元,用于在所述目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从所述进程访问请求中获取到的数字签名通过本地签名校验和异步签名校验的情况下,在所述进程访问请求的访问行为处于并未偏移目标访问路径的状态下,允许所述目标进程执行所述访问行为。
13.一种进程访问控制装置,其特征在于,包括:
获取单元,用于获取目标终端中目标进程触发的进程访问请求;
校验单元,用于在所述目标进程对应的目标文件的文件标识和存储路径并未位于目标黑文件路径库中,从所述进程访问请求中获取到的数字签名通过本地签名校验的情况下,对所述进程访问请求进行异步校验;
控制单元,用于在所述数字签名通过异步签名校验的情况下,在所述进程访问请求的访问行为并未偏移目标访问路径的状态下,允许所述目标进程执行所述访问行为。
14.一种计算机可读的存储介质,所述计算机可读的存储介质包括存储的程序,其中,所述程序运行时执行所述权利要求1至7任一项中所述的方法,或所述权利要求8至11任一项中所述的方法。
15.一种电子设备,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为通过所述计算机程序执行所述权利要求1至7任一项中所述的方法,或所述权利要求8至11任一项中所述的方法。
CN202010779353.1A 2020-08-05 2020-08-05 进程访问控制方法和装置、存储介质及电子设备 Active CN111898124B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010779353.1A CN111898124B (zh) 2020-08-05 2020-08-05 进程访问控制方法和装置、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010779353.1A CN111898124B (zh) 2020-08-05 2020-08-05 进程访问控制方法和装置、存储介质及电子设备

Publications (2)

Publication Number Publication Date
CN111898124A CN111898124A (zh) 2020-11-06
CN111898124B true CN111898124B (zh) 2021-07-09

Family

ID=73247196

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010779353.1A Active CN111898124B (zh) 2020-08-05 2020-08-05 进程访问控制方法和装置、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN111898124B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114745145B (zh) * 2021-01-07 2023-04-18 腾讯科技(深圳)有限公司 业务数据访问方法、装置和设备及计算机存储介质
CN113486060B (zh) * 2021-06-25 2023-06-16 青岛海尔科技有限公司 数据访问处理方法和装置、存储介质及电子设备
CN114697368B (zh) * 2022-02-25 2023-12-19 青岛海尔科技有限公司 设备控制文件的确定方法及装置、存储介质、电子装置
CN114610511B (zh) * 2022-03-07 2024-08-09 北京百度网讯科技有限公司 一种输入校验方法、装置、电子设备及存储介质
CN115906184B (zh) * 2023-01-09 2023-06-16 闪捷信息科技有限公司 一种控制进程访问文件的方法、装置、介质及电子设备

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9330027B2 (en) * 2013-03-15 2016-05-03 Intel Corporation Register access white listing
CN107766744A (zh) * 2017-11-11 2018-03-06 创元网络技术股份有限公司 基于强制访问控制的目标文件保护方法
CN108038372A (zh) * 2017-12-08 2018-05-15 郑州云海信息技术有限公司 一种数据库访问管理方法和装置
CN109587151A (zh) * 2018-12-13 2019-04-05 泰康保险集团股份有限公司 访问控制方法、装置、设备及计算机可读存储介质
CN111177761B (zh) * 2019-12-30 2022-06-10 北京浪潮数据技术有限公司 一种基于敏感标记的文件访问控制方法、装置以及设备

Also Published As

Publication number Publication date
CN111898124A (zh) 2020-11-06

Similar Documents

Publication Publication Date Title
CN111898124B (zh) 进程访问控制方法和装置、存储介质及电子设备
US11044264B2 (en) Graph-based detection of lateral movement
US9848016B2 (en) Identifying malicious devices within a computer network
US9455988B2 (en) System and method for verifying status of an authentication device
US8732472B2 (en) System and method for verification of digital certificates
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
US8869272B2 (en) System, method, and computer program product for preventing a modification to a domain name system setting
US10142308B1 (en) User authentication
KR101653805B1 (ko) 네트워크를 통한 접속 단말의 식별장치 및 방법
CN108259514B (zh) 漏洞检测方法、装置、计算机设备和存储介质
CN106656455B (zh) 一种网站访问方法及装置
CN110855709A (zh) 安全接入网关的准入控制方法、装置、设备和介质
CN107864112B (zh) 登录安全验证方法和装置
CN114745145B (zh) 业务数据访问方法、装置和设备及计算机存储介质
CN107046516B (zh) 一种识别移动终端身份的风控控制方法及装置
CN111147625B (zh) 获取本机外网ip地址的方法、装置及存储介质
CN104937602B (zh) 一种隐私保护的方法及电子设备
EP2710507B1 (en) Supervised data transfer
JP6890559B2 (ja) アクセス分析システム及びアクセス分析方法
CN116996238A (zh) 一种网络异常访问的处理方法以及相关装置
CN111385293B (zh) 一种网络风险检测方法和装置
CN116567083A (zh) 业务数据处理方法、装置、设备及介质
US11675920B2 (en) Call location based access control of query to database
CN107124390B (zh) 计算设备的安全防御、实现方法、装置及系统
CN117955739B (zh) 一种接口安全的识别方法、装置、计算设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant