CN113591075A - 终端安全管控方法、装置及存储介质 - Google Patents
终端安全管控方法、装置及存储介质 Download PDFInfo
- Publication number
- CN113591075A CN113591075A CN202110844747.5A CN202110844747A CN113591075A CN 113591075 A CN113591075 A CN 113591075A CN 202110844747 A CN202110844747 A CN 202110844747A CN 113591075 A CN113591075 A CN 113591075A
- Authority
- CN
- China
- Prior art keywords
- node
- started
- trust level
- target
- started node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 90
- 238000012544 monitoring process Methods 0.000 claims abstract description 34
- 230000006399 behavior Effects 0.000 claims description 212
- 238000007726 management method Methods 0.000 claims description 64
- 230000008569 process Effects 0.000 claims description 24
- 230000003068 static effect Effects 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 8
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000003542 behavioural effect Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000003247 decreasing effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000011112 process operation Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种终端安全管控方法、装置及存储介质,本发明实施例中,通过监测终端设备中发生的行为信息;基于监测到的行为信息,不断动态调整终端设备中各个已启动节点,以及各个已启动节点的信任等级,其中,节点为可执行程序模块;当监测到目标已启动节点对目标访问资源的访问时,基于目标已启动节点当前的信任等级以及目标访问资源当前的信任等级,对访问行为进行安全管控。由于是终端通过实时监测动态调整各个已启动节点,为APT攻击提供了更多的管控方法。
Description
技术领域
本发明实施例涉及终端安全技术领域,尤其涉及一种终端安全管控方法、装置及存储介质。
背景技术
目前,终端在日常使用中经常会遭到外部的威胁攻击,进而造成系统瘫痪或者数据文件丢失。威胁攻击中包括了针对终端的高级威胁攻击(Advanced Persistent Threat,APT),目前终端的防火墙或者杀毒软件无法有效的检测和阻止高级威胁攻击。
发明内容
本发明实施例提供的一种终端安全管控方法、装置及存储介质,提高了对高级威胁攻击的管控能力,能够及时阻止高级威胁攻击。
本发明的技术方案是这样实现的:
本发明实施例提供了一种终端安全管控方法,包括:
监测所述终端设备中发生的行为信息;
基于监测到的所述行为信息,不断动态调整所述终端设备中各个已启动节点,以及各个已启动节点的信任等级,其中,所述节点为可执行程序模块;
当监测到目标已启动节点对目标访问资源的访问时,基于所述目标已启动节点当前的信任等级以及所述目标访问资源当前的信任等级,对所述访问行为进行安全管控;其中,所述目标访问资源包括除所述目标已启动节点之外的其他已启动节点。
上述方案中,已启动节点的初始信任等级的确定方法包括:
获取所述已启动节点的至少一个等级确定参考信息:所述已启动节点的签名信息、所述已启动节点的信誉值、对所述已启动节点的静态扫描结果、用户自定义信息以及所述已启动节点所归属的父节点的信任等级;
基于所述至少一个等级确定参考信息,确定所述已启动节点的初始信任等级。
上述方案中,所述基于所述至少一个等级确定参考信息,确定所述已启动节点的初始信任等级,包括:
若所述已启动节点所归属的父节点的信任等级为第一信任等级,则确定所述已启动节点的初始信任等级与其父节点的信任等级一致,其中,所述第一信任等级为部分或全部非安全类型的信任等级;
若所述已启动节点所归属的父节点的信任等级为第二信任等级,则基于所述已启动节点的签名信息是否合法、所述已启动节点的信誉值、所述用户自定义信息以及所述静态扫描结果中的至少之一,确定所述已启动节点的初始信任等级,其中,所述第二信任等级区别于所述第一信任等级。
上述方案中,所述基于监测到的所述行为信息,不断动态调整所述终端设备中各个已启动节点,以及各个已启动节点的信任等级,包括:
对于任意一当前为安全类型信任等级的已启动节点,若该已启动节点的当前行为信息与该已启动节点的行为基线不匹配,则降低该已启动节点的信任等级。
上述方案中,还包括:
对于任意一当前为安全类型信任等级的已启动节点,若该已启动节点的当前行为信息与该已启动节点的行为基线匹配,则维持该已启动节点的信任等级保持不变,或者,提高该已启动节点的信任等级。
上述方案中,所述基于监测到的所述行为信息,不断动态调整所述终端设备中各个已启动节点,以及各个已启动节点的信任等级,包括:
对于任意一当前为非安全类型信任等级的已启动节点,若该已启动节点后续不存在非安全行为和/或若该已启动节点的行为信息重新与该已启动节点的行为基线匹配,则提升该已启动节点的信任等级。
上述方案中,所述基于监测到的所述行为信息,不断动态调整所述终端设备中各个已启动节点,以及各个已启动节点的信任等级,包括:
对于任意一已启动节点,若其历史的信任等级比当前信任等级高的安全类型信任等级,且其当前行为信息与该已启动节点的行为基线重新匹配,则提升该已启动节点的信任等级。
上述方案中,所述基于监测到的所述行为信息,不断动态调整所述终端设备中各个已启动节点,以及各个已启动节点的信任等级,包括:
基于监测到的当前行为信息,调整所述终端设备中各个已启动节点,以及各个已启动节点的信任等级;
基于本次调整后的各个已启动节点、各个已启动节点的信任等级,确定各个区域,其中,同一区域中包含的节点具有相同的信任等级,且同一区域中包含的各个节点之间的调用过程是连续不中断的;
返回执行所述基于监测到的当前行为信息,调整所述终端设备中各个已启动节点,以及各个已启动节点的信任等级的步骤以及后续步骤;
相应地,所述当监测到目标已启动节点对目标访问资源的访问时,基于所述目标已启动节点当前的信任等级以及所述目标访问资源当前的信任等级,对所述访问行为进行安全管控,包括:
当监测到目标已启动节点对其他已启动节点的访问时,基于所述目标已启动节点当前的信任等级、所述其他已启动节点当前的信任等级以及分别所属的区域,对所述访问行为进行安全管控。
上述方案中,还包括:
根据所述各个当前的已启动节点的当前信任等级、所述各个当前的已启动节点的归属关系以及当前的各个区域,显示当前的图谱信息;其中,所述图谱信息用于体现所述各个已启动节点的信任等级,所属区域以及所述各个已启动节点的归属关系,所述归属关系为所述多个参考节点之间的父子关系或者兄弟关系。
上述方案中,所述当监测到目标已启动节点对目标访问资源的访问时,基于所述目标已启动节点以及所述目标访问资源的信任等级,对所述访问行为进行安全管控包括:
当监测到所述目标已启动节点对比其信任等级高的目标访问资源进行访问时,在当前页面显示是否执行所述目标已启动节点对所述目标访问资源访问的提示信息;
记录目标对象根据所述提示信息反馈的指令,以便下次监测到与相同类型的访问行为时,无需再次提醒目标对象;
若所述目标对象反馈的指令为第一触控指令,则继续执行所述访问行为;所述第一触控指令表征允许执行所述访问行为;
若所述目标对象反馈的指令为第二触控指令,则停止执行所述访问行为;所述第二触控指令表征停止执行所述访问行为。
上述方案中,所述当监测到所述目标已启动节点对目标访问资源的访问满足或不满足预设条件时,在当前页面显示是否执行所述目标已启动节点对所述目标访问资源访问的提示信息,包括:
当监测到所述目标已启动节点对目标访问资源的访问满足或不满足预设条件,并且所述访问行为偏离所述目标已启动节点的行为基线时,在当前页面显示是否执行所述目标已启动节点对所述目标访问资源访问的提示信息。
本发明实施例还提供了一种终端安全管控装置,应用于终端设备,包括:
监测单元,用于监测所述终端设备中发生的行为信息;
动态调整单元,用于基于监测到的所述行为信息,不断动态调整所述终端设备中各个已启动节点,以及各个已启动节点的信任等级,其中,所述节点为可执行程序模块;
管控单元,用于当监测到目标已启动节点对目标访问资源的访问时,基于所述目标已启动节点当前的信任等级以及所述目标访问资源当前的信任等级,对所述访问行为进行安全管控;其中,所述目标访问资源包括除所述目标已启动节点之外的其他已启动节点。
本发明实施例还提供了一种终端设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法中的步骤。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法中的步骤。
本发明实施例中,通过监测终端设备中发生的行为信息;基于监测到的行为信息,不断更新终端设备中的各个已启动节点,以及对各个已启动节点的信任等级进行更新,其中,节点为可执行程序模块(比如进程、线程和/或(Dynamic Link Library,DLL)模块);当监测到目标已启动节点(可以为任意一个已启动节点)对目标访问资源(该目标访问资源包括其他已启动节点,还可以包括可以是注册表、目录、文件等)的访问时,基于目标已启动节点当前的信任等级以及目标访问资源当前的信任等级,对访问行为进行安全管控。其中,目标访问资源包括除目标已启动节点之外的其他已启动节点。由于实时监测终端中的行为信息,再基于各个已启动节点的行为信息动态调整确定了对应的信任等级,使威胁攻击在攻击终端时,通过将目标已启动节点当前的信任等级目标访问资源当前的信任等级进行对比,从而管控目标已启动节点的访问行为。本方案应用了“零信任”的理念,传统的零信任是应用在网络访问中,涉及到互联网通路方面的改造,而本方案将零信任的理念迁移到了终端设备,提供了另一种终端安全管控方法,为APT攻击提供了更多的管控方法,进一步保证终端安全。
附图说明
图1为本发明实施例提供的终端安全管控方法的一个可选的流程示意图;
图2为本发明实施例提供的终端安全管控方法的一个可选的流程示意图;
图3为本发明实施例提供的终端安全管控方法的一个可选的流程示意图;
图4为本发明实施例提供的终端安全管控方法的一个可选的流程示意图;
图5为本发明实施例提供的终端安全管控方法的一个可选的流程示意图;
图6为本发明实施例提供的终端安全管控方法的一个可选的流程示意图;
图7为本发明实施例提供的终端安全管控方法的一个可选的流程示意图;
图8为本发明实施例提供的终端安全管控方法的一个可选的流程示意图;
图9为本发明实施例提供的终端安全管控方法的一个可选的效果示意图;
图10为本发明实施例提供的终端安全管控方法的一个可选的效果示意图;
图11为本发明实施例提供的终端安全管控方法的一个可选的流程示意图;
图12为本发明实施例提供的终端安全管控方法的一个可选的流程示意图;
图13为本发明实施例提供的终端安全管控方法的一个可选的流程示意图;
图14为本发明实施例提供的终端安全管控装置的结构示意图;
图15为本发明实施例提供的终端设备的一种硬件实体示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和实施例对本发明的技术方案进一步详细阐述,所描述的实施例不应视为对本发明的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
如果发明文件中出现“第一/第二”的类似描述则增加以下的说明,在以下的描述中,所涉及的术语“第一\第二\第三”仅仅是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本发明实施例能够以除了在这里图示或描述的以外的顺序实施。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本发明实施例的目的,不是旨在限制本发明。
图1为本发明实施例提供的终端安全管控方法的一个可选的流程示意图,将结合图1示出的步骤进行说明。
S101、监测终端设备中发生的行为信息。
本发明实施例中,终端实时监测终端设备自身中发生的行为信息。
本发明实施例中,终端可以实时监测终端设备自身中各个已启动节点向另一节点发起访问的访问信息,以及各个已启动节点去访问目录和/或文件夹的访问信息,以及该终端设备内节点启动信息等。这些信息就是终端监测到的行为信息。其中,本申请所述的节点为可执行程序模块,可以为进程、线程和/或(Dynamic Link Library,DLL)模块。
具体地,本发明实施例中,终端可以开启后启动监控事件状态。监控事件状态用于实时监测终端执行的各个节点的行为信息。终端在该监控事件状态下实时监测终端设备自身的各个节点的行为信息。
本发明实施例中,终端实时监测各个已启动节点的行为信息可以包括:终端监测到的原始事件,示例性的如:进程操作事件、线程操作事件、DLL模块操作事件、文件操作事件、注册表操作事件、网络连接事件、事件检测(Event Tracing for Windows,ETW)采集事件、用户态应用程序编程接口(Application Programming Interface,API)调用事件。
本发明实施例中,终端实时监测的行为信息还可以包括:进程创建事件、线程创建事件和DLL模块创建事件。
S102、基于监测到的行为信息,不断动态调整终端设备中各个已启动节点,以及各个已启动节点的信任等级。
本发明实施例中,“已启动节点”为泛指,具体含义为:终端设备中存在的已被启动的节点,比如:1.exe或a.dll。
本发明实施例中,终端基于监测到的行为信息,不断动态调整终端设备中各个已启动节点以及各个已启动节点的信任等级。
本发明实施例中,终端可以基于监测到的行为信息,每间隔预设时长调整终端自身的各个已启动节点,以及每间隔预设时长调节各个已启动节点的信任等级。
其中,每间隔预设时长可以为:每间隔1分钟,或者每间隔1小时。当然,每两次间隔的时长可以相等,也可以不相等。在本实施例中不做限制。
本发明实施例中,终端基于监测到的各个已启动节点的行为信息。若各个已启动节点中的至少一个已启动节点的行为信息表征该行为危险,则终端可以直接关闭该至少一个已启动节点,本领域技术人员容易理解,若存在该关闭行为,则意味着已启动的节点也需进行更新。当然,如果终端不关闭该至少一个已启动节点时,终端将该至少一个已启动节点的信任等级降低。
其中,表征该行为危险的行为信息可以包括:低信任等级的已启动节点访问其他高信任等级的节点的行为信息。
本发明实施例中,终端可以在自身的数据库中建立各个已启动节点与各个已启动节点对应的信任等级之间的对应关系。终端可以实时动态的调整终端中存在的各个已被启动的节点,并且对各个已被启动的节点对应的信任等级进行调整。比如,在时刻t0,启动的节点为1.exe、2.exe,分别对应的信任等级为:可疑、可疑;在时刻t1,启动的节点为1.exe、3.exe、notepad.exe,分别对应的信任等级为:安全、危险、可疑。也即是在终端不断执行的过程中,2.exe被关闭(可能是终端设备由于系统问题而主动关闭,也可能是用户手动关闭),3.exe和notepad.exe被启动,1.exe的信任等级由可疑调整为安全。
本发明实施例中,终端基于监测到的行为信息,每间隔预设时长调整终端自身的各个已启动节点,以及每间隔预设时长在各个已启动节点对应的初始信任等级的基础上调节各个已启动节点的信任等级。
本发明实施例中,终端基于监测到的行为信息,每间隔预设时长调整终端自身的各个已启动节点,以及每间隔预设时长在各个已启动节点对应的前一次调整后的信任等级的基础上调节各个已启动节点的信任等级。
S103、当监测到目标已启动节点对目标访问资源的访问时,基于目标已启动节点当前的信任等级以及目标访问资源当前的信任等级,对访问行为进行安全管控。
本发明实施例中,终端监测到目标已启动节点对目标访问资源的访问时,基于目标已启动节点当前的信任等级以及目标访问资源当前的信任等级,对访问行为进行安全管控。上述目标访问资源包括其他已启动的节点,还可以包括其他资源,比如注册表、目录和/或文件等,本申请对此不作限定。在本申请实施例中,某个已启动节点对另一个已启动节点的访问,具体可以包括:访问另一已启动节点的内存地址空间、向另一已启动节点注入代码、调用另一已启动节点等。
本发明实施例中,终端监测到目标已启动节点对目标访问资源的访问时。终端调取目标已启动节点和目标访问资源的分别对应的信任等级。终端将目标已启动节点的信任等级和目标访问资源的信任等级进行比较。若目标已启动节点的信任等级低于目标访问资源的信任等级,则终端可以显示是否执行该访问行为的信息,供用户管控该访问行为,当然也可以直接拒绝,或者也可以在直接放通,具体可以根据实际场景而定。
本发明实施例中,目标已启动节点可以为各个已启动节点中的任意一个。目标访问资源可以为各个已启动节点中的任意一个,或者目标访问资源还可以为文件,注册表,网络端口中的任意一个。终端可以预先建立了各个访问资源与各个访问资源的信任等级之间的对应关系。终端将该对应关系存储在自身数据库中。目标访问资源为各个访问资源中的任意一个。
本发明实施例中,终端基于监测到的行为信息,不断动态调整终端设备中各个已启动节点,以及各个已启动节点的信任等级的同时,终端还可以在监测到目标已启动节点对目标访问资源的访问时,基于目标已启动节点当前的信任等级以及目标访问资源当前的信任等级,对访问行为进行安全管控。
本发明实施例中,通过监测终端设备中发生的行为信息;基于监测到的行为信息,不断动态调整终端设备中各个已启动节点,以及各个已启动节点的信任等级,其中,节点为可执行程序模块;当监测到目标已启动节点对目标访问资源的访问时,基于目标已启动节点当前的信任等级以及目标访问资源当前的信任等级,对访问行为进行安全管控。由于实时监测终端中的行为信息,再基于各个已启动节点的行为信息动态调整确定了对应的信任等级,使威胁攻击在攻击终端时,通过将目标已启动节点当前的信任等级目标访问资源当前的信任等级进行对比,从而管控目标已启动节点的访问行为。本方案应用了“零信任”的理念,传统的零信任是应用在网络访问中,涉及到互联网通路方面的改造,而本方案将零信任的理念迁移到了终端设备,提供了另一种终端安全管控方法,为APT攻击提供了更多的管控方法,进一步保证终端安全。
在本申请实施例中,步骤S102和S103可以穿插执行,比如,当监测到已启动节点1.exe去访问已启动节点notepad.exe时,可以基于本次访问行为,先调整1.exe和notepad.exe的信任等级,然后基于调整后的信任等级,确定对1.exe访问notepad.exe的安全管控方法。当然,二者也可以不穿插执行,比如,在监测到已启动节点1.exe去访问已启动节点notepad.exe时,可以基于历史确定的二者的信任等级,确定对1.exe访问notepad.exe的安全管控方法,此后,再1.exe和notepad.exe未被关闭时,再基于1.exe访问notepad.exe的该行为,调整二者的信任等级。
请本领域技术人员注意,本申请的核心思想在于对各个已被启动的节点的信任等级进行动态的调整,基于不断的动态调整的信任等级,对访问行为进行安全管控。具体某次访问行为发生时,是先进行信任等级调整,还是先进行行为安全管控,本申请不予限定。当然,本申请相关的其他实施细节,本申请也一律不予限定。
此外,本申请也可以对不是已启动节点的资源进行信任等级的更新,比如对目录、文件和/或注册表等等资源。这些也都在本申请的保护范围之内。也即是本申请虽然只是限定了对已启动节点的信任等级的更新,但并不排除还可以对其他资源进行信任等级的更新。
此外,当已启动节点包括进程、线程以及DLL模块时,由于进程往往包含了线程,线程也可能包含一些DLL模块,在这种情况下,可以对每个节点,即进程、线程以及DLL模块都设置一个信任等级(比如,进程1包含线程2和线程3,可以设置进程1的信任等级、线程2的信任等级以及线程3的信任等级),当然,对于此类包含关系的多个节点,可以仅设置部分节点的信任等级(比如,进程1包含线程2和线程3,可以仅仅设置进程1的信任等级,此时,默认线程2和线程3的信任等级和进程1一致,当然,也可以仅设置线程2和线程3的信任等级,不设置进程1的信任等级)。这些均在本申请的保护范围之内,本申请对此不做限定。
在一些实施例中,参见图2,图2为本发明实施例提供的终端安全管控方法的一个可选的流程示意图,通过图2的步骤,可以确定在执行步骤S102时,初始的信任等级如何确定,本领域技术人员应该理解,在图1的步骤S102中,在进行更新信任等级时,必定要先确定一个初始值,才能在后续基于初始值进行动态更新。将结合各步骤进行说明初始信任等级的确定方法。
S104、获取已启动节点的至少一个等级确定参考信息:已启动节点的签名信息、已启动节点的信誉值、对已启动节点的静态扫描结果、用户自定义信息以及已启动节点所归属的父节点的信任等级。
本发明实施例中,终端在预先构建已启动节点对应的信任等级时。终端可以在已启动节点启动之后,终端在各个已启动节点的资源数据中获取到各个已启动节点的至少一个等级确定参考信息。其中,至少一个等级确定参考信息包括:已启动节点的签名信息、已启动节点的信誉值、对已启动节点的静态扫描结果、用户自定义信息以及已启动节点所归属的父节点的信任等级。
其中,已启动节点的签名信息是已启动节点开启时形成的一个反应已启动节点的来源是否合法合规的信息。签名信息为合法信息表征已启动节点是经过相关职能部门经过审核后的合法节点。
本发明实施例中,终端可以通过算法依次对已开启节点的二进制信息进行加密计算,进而得到已开启节点的信誉值。
示例性的,终端可以通过哈希算法计算得到已开启节点的信誉值。信誉值可以为一个字符串。
其中,用户自定义信息可以为用户对应已启动节点预先设定的信任等级信息。所归属的父节点的信任等级可以为该已启动节点的父节点的信任等级。此外,在本申请实施例中,参考附图9简单阐明下本申请父节点的确定方式。如图9所示,1.exe通过远程线程注入到notepad.exe后启动了2.exe,则2.exe的父节点可认为是1.exe,也可认为是notepad.exe。当认为父节点是1.exe时,若当前的1.exe是可疑等级,当前的notepad是安全等级时,则2.exe被启动后,可认为与父节点1.exe一样,也是可疑等级,此时,notepad可保持为安全等级,当然也可以动态调整notepad为可疑等级(附图9对notepad调整为可疑等级)。
本发明实施例中,终端每开启一个节点,则终端会获取该节点的签名信息、信誉值、静态扫描结果、用户自定义信息以及所归属的父节点的信任等级。
S105、基于至少一个等级确定参考信息,确定已启动节点的初始信任等级。
本发明实施例中,终端基于已启动节点的至少一个等级确定参考信息,进行分析从而确定该已启动节点的初始信任等级。
本发明实施例中,终端可以首先检测该已启动节点的所归属父节点的信任等级是否为第一信任等级(该第一信任等级为非安全类型的信任等级,比如,当信任等级一共包括3种,分别为安全、可疑、威胁时,该第一信任等级可以是“可疑”,也可以是“威胁”,还可以是“可疑以及威胁”;再比如,当信任等级一共包括2种,分别为安全、威胁时,则第一信任等级为威胁)。若是则确定该已启动节点的信任等级为第一信任等级。若不是,则终端分析该已启动节点的签名信息、信誉值、静态扫描结果、用户自定义信息来确定该已启动节点的信任等级。
在一些实施例中,参见图3,图3为本发明实施例提供的终端安全管控方法的一个可选的流程示意图,图2示出的S105可以通过S106实现,将结合各步骤进行说明。
S106、若已启动节点所归属的父节点的信任等级为第一信任等级,则确定已启动节点的初始信任等级与其父节点的信任等级一致。
本发明实施例中,若终端检测到已启动节点所归属的父节点的信任等级为第一信任等级,则终端确定该已启动节点的初始信任等级与其父节点的信任等级一致。也就是终端确定该已启动节点的初始信任等级为第一信任等级。
本发明实施例中,信任等级可以包括:可疑等级、危险等级和安全等级。第一信任等级可以为可疑等级、危险等级中的任意一个。第一信任等级还可以同时包括“危险等级+可疑等级”。也即是在本申请实施例中,当非安全类型的信任等级有多个时,本申请所限定的第一信任等级可以是各个非安全类型的信任等级,也可以仅仅是部分的非安全类型信任等级,均在本申请的保护范围之内。
在一些实施例中,参见图4,图4为本发明实施例提供的终端安全管控方法的一个可选的流程示意图,图2示出的S105可以通过S107实现,将结合各步骤进行说明。
S107、若已启动节点所归属的父节点的信任等级为第二信任等级,则基于已启动节点的签名信息是否合法、已启动节点的信誉值、用户自定义信息以及静态扫描结果中的至少之一,确定已启动节点的初始信任等级。
本发明实施例中,若终端监测到已启动节点所归属的父节点的信任等级为第二信任等级,则终端基于已启动节点的签名信息是否合法、已启动节点的信誉值、用户子自定义信息以及静态扫描结果中的至少一个,确定已启动节点的初始信任等级。其中,第二信任等级区别于第一信任等级,也即是,如果信任等级包括安全+威胁+可疑,第一信任等级具体为可疑时,则该第二信任等级就是安全+威胁;如果信任等级包括安全+威胁+可疑,第一信任等级具体为可疑+威胁时,则该第二信任等级就是安全;如果信任等级包括安全+威胁+可疑,第一信任等级具体为威胁时,则该第二信任等级就是安全。也即是本申请所限定的第二信任等级,是除第一信任等级之外的其他信任等级。
本发明实施例中,若终端监测得到已启动节点的签名信息为合法信息和信誉的状态信息为预设值,则该已启动节点的信任等级为安全等级。若中间监测得到已启动节点的签名信息为合法信息,则该已启动节点为安全等级。若终端监测到已启动节点的信誉值的状态信息为预设值,则该已启动节点为安全等级。
本发明实施例中,若终端监测到已启动节点的签名信息不为合法信息,则该已启动节点为危险等级或者可疑等级。若终端监测到已启动节点的信誉值的状态信息不为预设值,则该已启动节点为危险等级或者可疑等级。
本发明实施例中,终端的数据库中存储有预设的信誉值对照库。信誉值对照库中存储有多个信誉值及其对应的状态信息。终端通过已启动节点的信誉值在信誉值对照库中查找出对应的状态信息。其中,状态信息的数值表征的是已启动节点的安全状态信息。
其中,预设值为表征对应的信誉值为可信任状态的预设数值。可以为任意数值。
本发明实施例中,终端静态扫描得到已启动节点的静态扫描结果,若该静态扫描结果表征该已启动节点安全,则该已启动节点为安全等级。若该静态扫描结果表征该已启动节点危险,则该已启动节点为危险等级。
本发明实施例中,终端在已启动节点的资源数据中获取该已启动节点的用户自定义信息,若该用户自定义信息表征已启动节点安全,则该已启动节点为安全等级。若该用户自定义信息表征已启动节点危险,则该已启动节点为危险等级。
总之,上面都是一些“如何根据签名信息、信誉值、用户自定义信息、静态扫描结果等至少之一,确定初始信任等级”,确定初始信任等级的一些方法,上面并非穷尽,本领域技术人员可以根据实际情况,采用合理的实施方式。
在一些实施例中,参见图5,图5为本发明实施例提供的终端安全管控方法的一个可选的流程示意图,图1示出的S102可以通过S108实现,将结合各步骤进行说明。
S108、对于任意一当前为安全类型信任等级的已启动节点,若该已启动节点的当前行为信息与该已启动节点的行为基线不匹配,则降低该已启动节点的信任等级。
本发明实施例中,若获取到的新的行为信息,判断出其所属的节点为安全类型的信任等级(当安全类型的信任等级有多种时,本申请并不排除还可以具体判断出具体是哪一种安全类型,比如是弱安全还是强安全),则若终端监测到该已启动节点的该新的行为信息与该已启动节点的访问基线不匹配,则降低该已启动节点的信任等级。也就是可以将该已启动节点的安全等级降低为可疑等级或者危险等级,其中,上述“行为基线”可以为根据该节点的历史行为确定,也可以为用户自定义确定。其中,本申请中,“安全类型的信任等级”为各个表征节点安全的信任等级,比如,若信任等级包括安全+可疑+威胁,则安全类型信任等级为“安全”;又比如,若信任等级包括强安全+弱安全+可疑+威胁,则安全类型信任等级为“强安全+弱安全”。
也即是,该步骤S108为:当接收到新的行为信息时,需要判断其所属的节点的信任等级是否是安全类型(可以具体判断是哪一种安全类型,比如是弱安全,还是强安全),当判断出为安全类型时,不管是哪一种安全类型(即不管是弱安全还是强安全),都会在“与该已启动节点的行为基线不匹配”时,降低该已启动节点的信任等级。
本发明实施例中,终端从该已启动节点的二进制内容中提取出的已启动节点的当前行为信息。若终端监测到该当前行为信息与该已启动节点的历史行为信息不匹配,则终端将该已启动节点的安全等级可以降低为可疑等级或者危险等级,具体降低的级数本申请不作限定,比如可以将“强安全降低为弱安全”,也可以将“强安全直接降低为威胁”,具体地,降低级数可以根据当前行为信息偏离基线的程度确定。
其中,行为基线可以根据历史行为信息确定。历史行为信息可以包括:已启动节点访问的进程信息、线程信息、文件信息等行为信息中的至少一个。行为基线也可以为用户设置。
此外,对于安全类型的节点,其调整方法还可以包括其他方式,比如可以人为预先设置一些非法行为,当某一安全类型的节点执行了预先设置的非法行为之后,进行等级调整。
在一些实施例中,参见图6,图6为本发明实施例提供的终端安全管控方法的一个可选的流程示意图,图1示出的S102还可以通过S109实现,将结合各步骤进行说明。
S109、对于任意一当前为非安全信任等级的已启动节点,若该已启动节点后续不存在非安全行为和/或若该已启动节点的行为信息重新与该已启动节点的行为基线匹配,则提升该已启动节点的信任等级。
本发明实施例中,若获取到的新的行为信息,判断出其所属的节点为非安全类型的信任等级(当非安全类型的信任等级有多种时,本申请并不排除还可以具体判断出具体是哪一种非安全类型,比如是威胁还是可疑),则若终端监测到已启动节点后续不存在非安全行为和/或若该已启动节点的行为信息重新与该已启动节点的行为基线匹配,则提升该已启动节点的信任等级。也就是将该已启动节点从危险等级提升到可疑或安全等级。或者将该已启动节点从可疑等级提升到安全等级。具体提升的级数本申请不作限定,比如可以将“可疑提升为强安全”,也可以将“危险直接提升为强安全”,具体地,提升级数可以根据当前行为信息与基线的匹配程度确定。
其中,非安全类型信任等级为各个表征节点不安全的信任等级,比如,若信任等级包括安全+可疑+威胁,则非安全类型信任等级为“可疑+威胁”。其中,危险等级还可疑划分为强危险等级和弱危险等级。
也即是,该步骤S109为:当接收到新的行为信息时,需要判断其所属的节点的信任等级是否是非安全类型(可以具体判断是哪一种非安全类型,比如是弱威胁,还是强威胁),当判断出为非安全类型时,不管是哪一种非安全类型(即不管是威胁还是可疑),都会在“后续不存在非安全行为和/或若该已启动节点的行为信息重新与该已启动节点的行为基线匹配”时,提高其信任等级。
本申请所述的“行为基线”可以由历史行为计算得到,也可以通过用户设置得到。
此外,在本申请实施例中,步骤S102可以同时包括图5中的步骤S108和图6中的S109,也即是,基于当前的安全类型的节点,采用步骤S108进行信任等级的更新,采用步骤S109,对当前为非安全类型的节点进行信任等级的更新,二者的逻辑关系为:
终端在获取到新的行为信息之后,确定该新的行为信息所属的节点的信任等级,若该节点当前的信任等级安全类型的信任等级,则通过步骤S108进行信任等级调整;若该节点当前的信任等级为非安全类型的信任等级,则通过步骤S109进行信任等级的调整。
在本申请实施例中,步骤S108和S109仅仅表达了匹配结果的一个分支,对于另一个分支而言,信任等级如何调整本申请不做限定。比如,对于步骤S108,若与行为基线匹配,则可以保持信任等级或提高信任等级;对于步骤S109,若后续存在不安全行为,则可以保持或降低信任等级,若后续与访问基线未匹配,则保持或降低信任等级。本领域技术人员应该理解,具体实现方式根据实际场景而定,本申请不予限定。
在一些实施例中,参见图7,图7为本发明实施例提供的终端安全管控方法的一个可选的流程示意图,图1示出的S102还可以通过S110实现,将结合各步骤进行说明。
S110、对于任意一已启动节点,若其历史的信任等级比当前信任等级高的安全类型信任等级,且其当前行为信息与该已启动节点的行为基线重新匹配,则提升该已启动节点的信任等级。
本发明实施例中,对于任意一启动节点,若终端检测到该启动节点的历史信任等级比当前信任等级高的安全类型信任等级,且其当前行为信息与该已启动节点的行为基线(可以根据历史行为计算得到,也可以根据用户设置确定)重新匹配,则提升该已启动节点的信任等级。
其中,历史信任等级可以为该启动节点当前时刻之前的信任等级,可以是当前信任等级的前一次,也可以不限定是什么时候的历史信任等级,具体可以根据实际场景而定,本申请不作限定。历史信任等级可以包括:安全等级、可疑等级和威胁等级中的至少一个。当前信任等级可以为:安全等级、可疑等级和威胁等级中的任意一个。
比如,本发明实施例中,终端检测到该已启动节点的当前信任等级为弱安全等级,而该已启动节点的历史信任等级包括:强安全等级、弱安全等级和可疑等级,则确定历史信任等级中包括比当前信任等级高的安全类型信任等级。且终端检测到该已启动节点的行为信息与该已启动节点的行为基线重新匹配,则提升该已启动节点的信任等级。
本发明实施例中,提升该已启动节点的信任等级可以包括:将该已启动节点从危险等级提升到可疑或安全等级。或者将该已启动节点从可疑等级提升到安全等级。具体提升的级数本申请不作限定,比如可以将“可疑提升为强安全”,也可以将“危险直接提升为强安全”,具体地,提升级数可以根据当前行为信息与行为基线的匹配程度确定。
在本申请实施例中,根据历史行为确定行为基线的算法为现有技术,此处可参考现有技术,本申请不予赘述。
在本申请实施例中,步骤S102不仅可以包括图5的S108和图6的S109,而且还可以包括图7中的S110,三者之间的逻辑关系可以为:
首先,终端在获取到新的行为信息之后,确定该新的行为信息所属的节点,若该节点当前的信任等级是从较高信任等级降低之后得到的时(比如,是从安全类型的信任等级降低得到的),将该获取的新的行为信息和该节点的行为基线进行匹配,若匹配成功,则提升给节点的信任等级;若匹配不成功,则可以维持或降低当前的信任等级。
然后,若获取的该新的行为信息所属的节点,其当前的信任等级不是从安全信任等级降低之后得到的,则可以基于其当前信任等级是安全还是非安全类型,分别采用步骤S108或者S109进行信任等级的调整。
本申请仅仅给出一些动态信任等级的具体调整方法,并没有非常仔细的阐明各个步骤,这些可以由本领域技术人员根据实际情况而定,本申请不对具体实现细节进行限定。
本发明实施例中,对于上述步骤S109而言,对于非安全类型的已启动节点,终端在该预设时间段内都未监测到已启动节点存在非安全行为,则终端将该已启动节点从危险等级提升到安全等级。或者将该已启动节点从可疑等级提升到安全等级。其中,预设时间可以为1小时或者1天,具体的预设时间的长短本申请不做限定。
其中,非安全行为包括:该已启动节点在预设时间内未向高信任等级的节点进行访问。比如该已启动节点的信任等级为弱安全,该已启动节点在预设时间内未向强安全等级的节点进行访问,则确定该已启动节点在预设时间内不存在非安全行为。或者,非安全行为还可以包括:该已启动节点在预设时间内的访问资源始终和用户设置的访问资源信息匹配。则确定该已启动节点在预设时间内不存在非安全行为。
此外,在本申请实施例中,在每次更新已启动节点以及信任等级之后,可以继续执行“区域更新”的操作,其中,同一区域包括:包含的节点具有相同的信任等级,且同一区域中包含的各个节点之间的调用过程是连续不中断的。如图9所示,若某个时刻包含的各个已启动节点以及信任等级如图9所示时,可以划分为3个区域,其中,区域1对应安全等级100,区域2对应可疑等级200,区域3对应危险等级300。
又比如,当某一时刻包含的各个节点以及信任等级如图10所示时,可疑划分为5个区域,相比于图9,notepad.exe单独构成了一区域4,2.exe单独构成一区域5,其中,区域4对应安全等级400,区域5构成可疑等级500。
划分区域可以在安全管控时,不单单依据节点的信任等级,还可以依据其所属区域是否相邻,所属区域的间隔远近进行安全管控,相比于仅仅依据信任等级考虑了更多的因素,安全管控更为细致。
在一些实施例中,参见图8,图8为本发明实施例提供的终端安全管控方法的一个可选的流程示意图,将结合各步骤进行说明。
S111、根据各个当前的已启动节点的当前信任等级、各个已启动节点的归属关系以及当前的各个区域,显示图谱信息。
本发明实施例中,终端根据各个已启动节点的信任等级以及各个已启动节点的归属关系以及区域,构建并显示图谱信息(具体形式可以参考图9以及图10)。其中,图谱信息用于体现各个已启动节点的信任等级,以及各个已启动节点的归属关系以及所属区域,归属关系为多个参考节点之间的父子关系或者兄弟关系。
本发明实施例中,图谱信息中可以为多个已启动节点的连接关系图。图谱信息中的多个已启动节点可以根据对应的信任等级配置对应的标识信息。示例性的,安全等级的已启动节点可以通过蓝色进行标注,危险等级的已启动节点可以通过红色进行标注。终端开启一个已启动节点之后,获取该已启动节点的至少一个等级确定参考信息,确定所述已启动节点的初始信任等级。终端将该已启动节点按照归属关系添加在图谱信息中,并按照该已启动节点的初始信任等级对应的标识信息对该已启动节点进行标识。同一区域可以用一个框线进行标识,如图9、10所示。
其中,信任等级可以分为:安全等级和危险等级。信任等级也可以分为:安全等级、可疑等级和危险等级,当然,也可以有其他,比如安全可以进一步包括强安全以及弱安全。示例性的,结合图9。其中,图谱信息中可以包括安全等级100、可疑等级200和危险等级300。
结合图9,终端通过内核驱动监控进程创建退出事件,线程创建退出事件,模块加载卸载事件,文件访问、创建、修改、删除事件,注册表访问、创建、修改、删除事件,网络操作等事件。终端根据上述原始事件来建立图谱信息。示例性的,终端的smss.exe进程启动了autochk.exe进程,则在节点信任图谱上新建一个节点,表示autochk.exe进程。终端可以对新启动的节点做签名、信誉值,静态扫描来确定该节点是安全等级、可疑等级还是危险等级。如果终端检测smss.exe进程信任等级和autochk.exe进程信任等级不一样,则代表了节点信任图谱产生了不同的信任等级区域。
本发明实施例中,结合图9,在某个时间点用户通过双击终端上的人机交互设备打开了1.exe进程。终端对1.exe的签名信息、信誉值,静态扫描进行监测之后,则终端确认从该1.exe节点为可疑等级。本发明实施例中,终端实时对图谱信息根据各个节点的操作进行动态变化。例如图9中1.exe通过远程线程注入到notepad.exe后启动了2.exe,则2.exe也属于1.exe所在的可疑等级。
在一些实施例中,参见图11,图11为本发明实施例提供的终端安全管控方法的一个可选的流程示意图,图1示出的S103还可以通过S112至S114实现,将结合各步骤进行说明。
S112、当监测到目标已启动节点对目标访问资源的访问满足或不满足预设条件时,在当前页面显示是否执行目标已启动节点对目标访问资源访问的提示信息。
在本申请实施例中,用户可以设置一些预设条件,终端可以在满足预设条件时,或不满足预设条件时,发出提示信息,具体根据应用场景而定。比如,如果大部分场景下,都需要用户去人工确定是否继续访问时,则用户可以设置一些预设条件以表征哪些不需要提示,如果小部分场景下,才需要用户去人工确定是否继续访问时,则用户可以设置一些预设条件以表征哪些情况需要提示。
示例性的,目标已启动节点的信任等级为可疑等级,目标访问资源的信任等级为安全等级,由于可疑等级低于安全等级,则终端可以在当前页面显示是否执行目标已启动节点对目标访问资源访问的提示信息。
示例性的,目标已启动节点的信任等级为可疑等级,目标访问节点的信任等级为安全等级,且二者所属的区域非相邻的区域,则终端可以在页面显示是否执行目标已启动节点对目标访问节点的访问提示信息。
S113、记录目标对象根据提示信息反馈的指令,以便下次监测到与相同类型的访问行为时,无需再次提醒目标对象。
本发明实施例中,终端记录目标对象根据上述提示信息反馈的指令。当终端再次检测到相同类型的访问行为时,直接根据用户之前的设置进行管控,无需再次提醒用户。
所谓“相同类型”可以是:后续访问中,访问主体的信任等级与本次访问主体的信任等级一致,且访问客体的信任等级与本次访问客体的信任等级一致;
此外,还可以为:后续访问中,访问主体的信任等级与本次访问主体的信任等级一致,且访问客体的信任等级与本次访问客体的信任等级一致,并且访问主体的类型相同(比如都是聊天类型的应用),并且还可以包括访问客体的类型相同(比如都是注册表)。
此外,还可以为:后续访问中,访问主体的信任等级与本次访问主体的信任等级一致,且访问客体的信任等级与本次访问客体的信任等级一致,并且访问主体所在区域与访问客体所在区域的区域远近关系和本次访问的区域远近关系相同(比如都为间隔1个区域,或者都为相邻)。
也即是,所谓“相同类型访问”具体可根据实际情况进行确定。
本发明实施例中,目标对象可以通过终端上的人机交互设备向终端输送该指令。
S114、若目标对象反馈的指令为第一触控指令,则继续执行访问行为;第一触控指令表征允许执行访问行为。
本发明实施例中,若终端检测得到目标反馈的指令为第一触控指令,则终端继续执行目标已启动节点访问目标访问资源的行为。该第一触控指令表征目标对象允许执行该访问行为。
示例性的,第一触控指令可以为目标对象通过终端上的人机交互设备针对第一按钮输送的单击或者双击操作。第一触控指令的形式在本实施例中不做限定。
在一些实施例中,参见图12,图12为本发明实施例提供的终端安全管控方法的一个可选的流程示意图,图11示出的S114还可以通过S115实现,将结合各步骤进行说明。
S115、若目标对象反馈的指令为第二触控指令,则停止执行访问行为;第二触控指令表征停止执行访问行为。
本发明实施例中,若终端检测得到目标反馈的指令为第二触控指令,则终端停止执行目标已启动节点访问目标访问资源的行为。该第二触控指令表征目标对象停止执行该访问行为。
本发明实施例中,第二触控指令的是目标对象区别于可第一触控指令的操作指令。示例性的,第二触控指令可以为目标对象通过终端上的人机交互设备针对第二按钮输送的单击或者双击操作。第二触控指令的形式在本实施例中不做限定。
在一些实施例中,参见图13,图13为本发明实施例提供的终端安全管控方法的一个可选的流程示意图,图1示出的S103还可以通过S116实现,将结合各步骤进行说明。
S116、当监测到所述目标已启动节点对目标访问资源的访问满足或不满足预设条件,并且访问行为偏离目标已启动节点的行为基线时,在当前页面显示是否执行目标已启动节点对目标访问资源访问的提示信息。
本发明实施例中,若终端监测到所述目标已启动节点对目标访问资源的访问满足或不满足预设条件,并且访问行为偏离目标已启动节点的行为基线时,在当前页面显示是否执行目标已启动节点对目标访问资源访问的提示信息。进而目标对象根据该提示信息可以进一步确定是否执行该访问行为。
本发明实施例中,若目标已启动节点的信任等级为可疑等级,目标访问资源的信任等级为安全等级。由于可疑等级低于安全等级。终端将该目标已启动节点的访问行为与行为基线比对,终端得到该目标已启动节点的访问行为与行为基线不匹配,则终端在当前页面显示是否执行目标已启动节点对目标访问资源访问的提示信息。进而目标对象根据该提示信息可以进一步确定是否执行该访问行为。该图13所示的方案,可以进一步减轻用户的参与程度,更便于运维。
在一些实施例中,参见图14,图14为本发明实施例提供的终端安全管控装置的结构示意图。
本发明实施例还提供了一种终端安全管控装置800,包括:监测单元803、动态调整单元804和管控单元805。
监测单元803,用于监测所述终端设备中发生的行为信息;
动态调整单元804,用于基于监测到的所述行为信息,不断动态调整所述终端设备中各个已启动节点,以及各个已启动节点的信任等级,其中,所述节点为可执行程序模块;
管控单元805,用于当监测到目标已启动节点对目标访问资源的访问时,基于所述目标已启动节点当前的信任等级以及所述目标访问资源当前的信任等级,对所述访问行为进行安全管控;其中,所述目标访问资源包括除所述目标已启动节点之外的其他已启动节点。
本发明实施例中,终端安全管控装置800还用于获取所述已启动节点的至少一个等级确定参考信息:所述已启动节点的签名信息、所述已启动节点的信誉值、对所述已启动节点的静态扫描结果、用户自定义信息以及所述已启动节点所归属的父节点的信任等级;基于所述至少一个等级确定参考信息,确定所述已启动节点的初始信任等级。
本发明实施例中,终端安全管控装置800还用于若所述已启动节点所归属的父节点的信任等级为第一信任等级,则确定所述已启动节点的初始信任等级与其父节点的信任等级一致,其中,所述第一信任等级为部分或全部非安全类型的信任等级;若所述已启动节点所归属的父节点的信任等级为第二信任等级,则基于所述已启动节点的签名信息是否合法、所述已启动节点的信誉值、所述用户自定义信息以及所述静态扫描结果中的至少之一,确定所述已启动节点的初始信任等级,其中,所述第二信任等级区别于所述第一信任等级。
本发明实施例中,终端安全管控装置800中的动态调整单元804还用于对于任意一当前为安全类型信任等级的已启动节点,若该已启动节点的当前行为信息与该已启动节点的行为基线不匹配,则降低该已启动节点的信任等级。
本发明实施例中,终端安全管控装置800中的动态调整单元804还用于对于任意一当前为安全类型信任等级的已启动节点,若该已启动节点的当前行为信息与该已启动节点的行为基线匹配,则维持该已启动节点的信任等级保持不变,或者,提高该已启动节点的信任等级。
本发明实施例中,终端安全管控装置800中的动态调整单元804还用于对于任意一当前为非安全类型信任等级的已启动节点,若该已启动节点后续不存在非安全行为和/或若该已启动节点的行为信息重新与该已启动节点的行为基线匹配,则提升该已启动节点的信任等级。
本发明实施例中,终端安全管控装置800中的动态调整单元804还用于对于任意一已启动节点,若其历史的信任等级比当前信任等级高的安全类型信任等级,且其当前行为信息与该已启动节点的行为基线重新匹配,则提升该已启动节点的信任等级。
本发明实施例中,终端安全管控装置800中的动态调整单元804还用于基于监测到的当前行为信息,调整所述终端设备中各个已启动节点,以及各个已启动节点的信任等级;基于本次调整后的各个已启动节点、各个已启动节点的信任等级,确定各个区域,其中,同一区域中包含的节点具有相同的信任等级,且同一区域中包含的各个节点之间的调用过程是连续不中断的;返回执行所述基于监测到的当前行为信息,调整所述终端设备中各个已启动节点,以及各个已启动节点的信任等级的步骤以及后续步骤。
本发明实施例中,终端安全管控装置800中的管控单元805还用于当监测到目标已启动节点对其他已启动节点的访问时,基于所述目标已启动节点当前的信任等级、所述其他已启动节点当前的信任等级以及分别所属的区域,对所述访问行为进行安全管控。
本发明实施例中,终端安全管控装置800中还用于根据所述各个已启动节点的信任等级以及所述各个已启动节点的归属关系,显示图谱信息;其中,所述图谱信息用于体现所述各个已启动节点的信任等级,以及所述各个已启动节点的归属关系,所述归属关系为所述多个参考节点之间的父子关系或者兄弟关系。
本发明实施例中,终端安全管控装置800中的管控单元805还用于当监测到所述目标已启动节点对目标访问资源的访问满足或不满足预设条件时,在当前页面显示是否执行所述目标已启动节点对所述目标访问资源访问的提示信息;记录目标对象根据所述提示信息反馈的指令,以便下次监测到与相同类型的访问行为时,无需再次提醒目标对象;若所述目标对象反馈的指令为第一触控指令,则继续执行所述访问行为;所述第一触控指令表征允许执行所述访问行为;若所述目标对象反馈的指令为第二触控指令,则停止执行所述访问行为;所述第二触控指令表征停止执行所述访问行为。
本发明实施例中,终端安全管控装置800中的管控单元805还用于当监测到所述目标已启动节点对目标访问资源的访问满足或不满足预设条件,并且所述访问行为偏离所述目标已启动节点的行为基线时,在当前页面显示是否执行所述目标已启动节点对所述目标访问资源访问的提示信息。
本发明实施例中,通过监测单元803监测终端设备中发生的行为信息;通过动态调整单元804基于监测到的行为信息,不断动态调整终端设备中各个已启动节点,以及各个已启动节点的信任等级,其中,节点为可执行程序模块;通过管控单元805当监测到目标已启动节点对目标访问资源的访问时,基于目标已启动节点当前的信任等级以及目标访问资源当前的信任等级,对访问行为进行安全管控。其中,目标访问资源包括除目标已启动节点之外的其他已启动节点。由于实时监测终端中的行为信息,再基于各个已启动节点的行为信息动态调整确定了对应的信任等级,使威胁攻击在攻击终端时,通过将目标已启动节点当前的信任等级目标访问资源当前的信任等级进行对比,从而管控目标已启动节点的访问行为。本方案应用了“零信任”的理念,传统的零信任是应用在网络访问中,涉及到互联网通路方面的改造,而本方案将零信任的理念迁移到了终端设备,提供了另一种终端安全管控方法,为APT攻击提供了更多的管控方法,进一步保证终端安全。
需要说明的是,本发明实施例中,如果以软件功能模块的形式实现上述的集群构建及订阅信息处理方法,并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端安全管控装置(可以是个人计算机等)执行本发明各个实施例方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read OnlyMemory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本发明实施例不限制于任何特定的硬件和软件结合。
对应地,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法中的步骤。
对应地,本发明实施例提供一种终端设备900,包括存储器902和处理器901,存储器902存储有可在处理器901上运行的计算机程序,处理器901执行程序时实现上述方法中的步骤。
这里需要指出的是:以上存储介质和装置实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本发明存储介质和装置实施例中未披露的技术细节,请参照本发明方法实施例的描述而理解。
需要说明的是,图15为本发明实施例提供的终端安全管控装置900的一种硬件实体示意图,如图15所示,该终端设备900的硬件实体包括:处理器901和存储器902,其中;
处理器901通常控制终端设备900的总体操作。
存储器902配置为存储由处理器901可执行的指令和应用,还可以缓存待处理器901以及终端安全管控装置900中各模块待处理或已经处理的数据(例如,图像数据、音频数据、语音通信数据和视频通信数据),可以通过闪存(FLASH)或随机访问存储器(RandomAccess Memory,RAM)实现。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储装置、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机、服务器、或者网络装置等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储装置、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (14)
1.一种终端安全管控方法,其特征在于,应用于终端设备,包括:
监测所述终端设备中发生的行为信息;
基于监测到的所述行为信息,不断动态调整所述终端设备中各个已启动节点,以及各个已启动节点的信任等级,其中,所述节点为可执行程序模块;
当监测到目标已启动节点对目标访问资源的访问时,基于所述目标已启动节点当前的信任等级以及所述目标访问资源当前的信任等级,对所述访问行为进行安全管控;其中,所述目标访问资源包括除所述目标已启动节点之外的其他已启动节点。
2.根据权利要求1所述的终端安全管控方法,其特征在于,已启动节点的初始信任等级的确定方法包括:
获取所述已启动节点的至少一个等级确定参考信息:所述已启动节点的签名信息、所述已启动节点的信誉值、对所述已启动节点的静态扫描结果、用户自定义信息以及所述已启动节点所归属的父节点的信任等级;
基于所述至少一个等级确定参考信息,确定所述已启动节点的初始信任等级。
3.根据权利要求2所述的终端安全管控方法,其特征在于,所述基于所述至少一个等级确定参考信息,确定所述已启动节点的初始信任等级,包括:
若所述已启动节点所归属的父节点的信任等级为第一信任等级,则确定所述已启动节点的初始信任等级与其父节点的信任等级一致,其中,所述第一信任等级为部分或全部非安全类型的信任等级;
若所述已启动节点所归属的父节点的信任等级为第二信任等级,则基于所述已启动节点的签名信息是否合法、所述已启动节点的信誉值、所述用户自定义信息以及所述静态扫描结果中的至少之一,确定所述已启动节点的初始信任等级,其中,所述第二信任等级区别于所述第一信任等级。
4.根据权利要求1所述的终端安全管控方法,其特征在于,所述基于监测到的所述行为信息,不断动态调整所述终端设备中各个已启动节点,以及各个已启动节点的信任等级,包括:
对于任意一当前为安全类型信任等级的已启动节点,若该已启动节点的当前行为信息与该已启动节点的行为基线不匹配,则降低该已启动节点的信任等级。
5.根据权利要求4所述的终端安全管控方法,其特征在于,还包括:
对于任意一当前为安全类型信任等级的已启动节点,若该已启动节点的当前行为信息与该已启动节点的行为基线匹配,则维持该已启动节点的信任等级保持不变,或者,提高该已启动节点的信任等级。
6.根据权利要求1所述的终端安全管控方法,其特征在于,所述基于监测到的所述行为信息,不断动态调整所述终端设备中各个已启动节点,以及各个已启动节点的信任等级,包括:
对于任意一当前为非安全类型信任等级的已启动节点,若该已启动节点后续不存在非安全行为和/或若该已启动节点的行为信息重新与该已启动节点的行为基线匹配,则提升该已启动节点的信任等级。
7.根据权利要求1所述的终端安全管控方法,其特征在于,所述基于监测到的所述行为信息,不断动态调整所述终端设备中各个已启动节点,以及各个已启动节点的信任等级,包括:
对于任意一已启动节点,若其历史的信任等级比当前信任等级高的安全类型信任等级,且其当前行为信息与该已启动节点的行为基线重新匹配,则提升该已启动节点的信任等级。
8.根据权利要求1所述的终端安全管控方法,其特征在于,所述基于监测到的所述行为信息,不断动态调整所述终端设备中各个已启动节点,以及各个已启动节点的信任等级,包括:
基于监测到的当前行为信息,调整所述终端设备中各个已启动节点,以及各个已启动节点的信任等级;
基于本次调整后的各个已启动节点、各个已启动节点的信任等级,确定各个区域,其中,同一区域中包含的节点具有相同的信任等级,且同一区域中包含的各个节点之间的调用过程是连续不中断的;
返回执行所述基于监测到的当前行为信息,调整所述终端设备中各个已启动节点,以及各个已启动节点的信任等级的步骤以及后续步骤;
相应地,所述当监测到目标已启动节点对目标访问资源的访问时,基于所述目标已启动节点当前的信任等级以及所述目标访问资源当前的信任等级,对所述访问行为进行安全管控,包括:
当监测到目标已启动节点对其他已启动节点的访问时,基于所述目标已启动节点当前的信任等级、所述其他已启动节点当前的信任等级以及分别所属的区域,对所述访问行为进行安全管控。
9.根据权利要求8所述的终端安全管控方法,其特征在于,还包括:
根据所述各个当前的已启动节点的当前信任等级、所述各个当前的已启动节点的归属关系以及当前的各个区域,显示当前的图谱信息;其中,所述图谱信息用于体现所述各个已启动节点的信任等级,所属区域以及所述各个已启动节点的归属关系,所述归属关系为所述多个参考节点之间的父子关系或者兄弟关系。
10.根据权利要求1至9中任一项所述的终端安全管控方法,其特征在于,所述当监测到目标已启动节点对目标访问资源的访问时,基于所述目标已启动节点以及所述目标访问资源的信任等级,对所述访问行为进行安全管控包括:
当监测到所述目标已启动节点对目标访问资源的访问满足或不满足预设条件时,在当前页面显示是否执行所述目标已启动节点对所述目标访问资源访问的提示信息;
记录目标对象根据所述提示信息反馈的指令,以便下次监测到与相同类型的访问行为时,无需再次提醒目标对象;
若所述目标对象反馈的指令为第一触控指令,则继续执行所述访问行为;所述第一触控指令表征允许执行所述访问行为;
若所述目标对象反馈的指令为第二触控指令,则停止执行所述访问行为;所述第二触控指令表征停止执行所述访问行为。
11.根据权利要求10所述的终端安全管控方法,其特征在于,所述当监测到所述目标已启动节点对目标访问资源的访问满足或不满足预设条件时,在当前页面显示是否执行所述目标已启动节点对所述目标访问资源访问的提示信息,包括:
当监测到所述目标已启动节点对目标访问资源的访问满足或不满足预设条件,并且所述访问行为偏离所述目标已启动节点的行为基线时,在当前页面显示是否执行所述目标已启动节点对所述目标访问资源访问的提示信息。
12.一种终端安全管控装置,其特征在于,应用于终端设备,包括:
监测单元,用于监测所述终端设备中发生的行为信息;
动态调整单元,用于基于监测到的所述行为信息,不断动态调整所述终端设备中各个已启动节点,以及各个已启动节点的信任等级,其中,所述节点为可执行程序模块;
管控单元,用于当监测到目标已启动节点对目标访问资源的访问时,基于所述目标已启动节点当前的信任等级以及所述目标访问资源当前的信任等级,对所述访问行为进行安全管控;其中,所述目标访问资源包括除所述目标已启动节点之外的其他已启动节点。
13.一种终端设备,其特征在于,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求1至11任一项所述方法中的步骤。
14.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至11任一项所述方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110844747.5A CN113591075B (zh) | 2021-07-26 | 2021-07-26 | 终端安全管控方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110844747.5A CN113591075B (zh) | 2021-07-26 | 2021-07-26 | 终端安全管控方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113591075A true CN113591075A (zh) | 2021-11-02 |
| CN113591075B CN113591075B (zh) | 2023-11-07 |
Family
ID=78250035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110844747.5A Active CN113591075B (zh) | 2021-07-26 | 2021-07-26 | 终端安全管控方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113591075B (zh) |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1355468A1 (en) * | 2002-04-19 | 2003-10-22 | BRITISH TELECOMMUNICATIONS public limited company | Method and apparatus for network security |
| US20080072329A1 (en) * | 2006-09-14 | 2008-03-20 | Interdigital Technology Corporation | Method and system for enhancing flow of behavior metrics and evaluation of security of a node |
| US20090024629A1 (en) * | 2007-07-17 | 2009-01-22 | Koji Miyauchi | Access control device and method thereof |
| CN101383695A (zh) * | 2007-09-05 | 2009-03-11 | 英特尔公司 | 基于团体的信任的方法和装置 |
| US20140189777A1 (en) * | 2012-12-28 | 2014-07-03 | Tarun Viswanathan | Policy-based secure containers for multiple enterprise applications |
| CN104144166A (zh) * | 2014-08-18 | 2014-11-12 | 中国人民解放军信息工程大学 | 面向可重构服务承载网的安全管控模型建立方法 |
| WO2014210322A1 (en) * | 2013-06-28 | 2014-12-31 | Qualcomm Incorporated | Trust heuristic model for reducing control load in iot resource access networks |
| US8931041B1 (en) * | 2011-07-29 | 2015-01-06 | Symantec Corporation | Method and system for visibility and control over access transactions between clouds using resource authorization messages |
| WO2015184891A1 (zh) * | 2014-11-20 | 2015-12-10 | 中兴通讯股份有限公司 | Android系统的安全管控方法、装置及其系统 |
| CN105743667A (zh) * | 2014-12-08 | 2016-07-06 | 中国移动通信集团公司 | 一种访问管控方法、装置及系统 |
| CN108021802A (zh) * | 2017-10-24 | 2018-05-11 | 努比亚技术有限公司 | 一种系统资源访问控制方法、终端及计算机可读存储介质 |
| US20180212970A1 (en) * | 2017-01-20 | 2018-07-26 | Verizon Patent And Licensing Inc. | Distributed authentication for internet-of-things resources |
| WO2019010863A1 (zh) * | 2017-07-13 | 2019-01-17 | 华为技术有限公司 | 控制可信应用访问的方法和终端 |
| WO2019192103A1 (zh) * | 2018-04-03 | 2019-10-10 | 平安科技(深圳)有限公司 | 并发访问控制方法、装置、终端设备及介质 |
| CN110506413A (zh) * | 2017-04-03 | 2019-11-26 | 哈曼国际工业有限公司 | 用于网络装置安全性和信任分数确定的系统和方法 |
| CN111131176A (zh) * | 2019-12-04 | 2020-05-08 | 北京北信源软件股份有限公司 | 资源访问控制方法、装置、设备及存储介质 |
| WO2021023173A1 (zh) * | 2019-08-06 | 2021-02-11 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置、系统、存储介质和计算机设备 |
| US20210092158A1 (en) * | 2019-09-20 | 2021-03-25 | Baidu Online Network Technology (Beijing) Co., Ltd. | Method, apparatus, device, terminal, and medium for defending against attacking behavior |
-
2021
- 2021-07-26 CN CN202110844747.5A patent/CN113591075B/zh active Active
Patent Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1355468A1 (en) * | 2002-04-19 | 2003-10-22 | BRITISH TELECOMMUNICATIONS public limited company | Method and apparatus for network security |
| US20080072329A1 (en) * | 2006-09-14 | 2008-03-20 | Interdigital Technology Corporation | Method and system for enhancing flow of behavior metrics and evaluation of security of a node |
| US20090024629A1 (en) * | 2007-07-17 | 2009-01-22 | Koji Miyauchi | Access control device and method thereof |
| CN101383695A (zh) * | 2007-09-05 | 2009-03-11 | 英特尔公司 | 基于团体的信任的方法和装置 |
| US8931041B1 (en) * | 2011-07-29 | 2015-01-06 | Symantec Corporation | Method and system for visibility and control over access transactions between clouds using resource authorization messages |
| US20140189777A1 (en) * | 2012-12-28 | 2014-07-03 | Tarun Viswanathan | Policy-based secure containers for multiple enterprise applications |
| WO2014210322A1 (en) * | 2013-06-28 | 2014-12-31 | Qualcomm Incorporated | Trust heuristic model for reducing control load in iot resource access networks |
| CN104144166A (zh) * | 2014-08-18 | 2014-11-12 | 中国人民解放军信息工程大学 | 面向可重构服务承载网的安全管控模型建立方法 |
| WO2015184891A1 (zh) * | 2014-11-20 | 2015-12-10 | 中兴通讯股份有限公司 | Android系统的安全管控方法、装置及其系统 |
| CN105743667A (zh) * | 2014-12-08 | 2016-07-06 | 中国移动通信集团公司 | 一种访问管控方法、装置及系统 |
| US20180212970A1 (en) * | 2017-01-20 | 2018-07-26 | Verizon Patent And Licensing Inc. | Distributed authentication for internet-of-things resources |
| CN110506413A (zh) * | 2017-04-03 | 2019-11-26 | 哈曼国际工业有限公司 | 用于网络装置安全性和信任分数确定的系统和方法 |
| WO2019010863A1 (zh) * | 2017-07-13 | 2019-01-17 | 华为技术有限公司 | 控制可信应用访问的方法和终端 |
| CN108021802A (zh) * | 2017-10-24 | 2018-05-11 | 努比亚技术有限公司 | 一种系统资源访问控制方法、终端及计算机可读存储介质 |
| WO2019192103A1 (zh) * | 2018-04-03 | 2019-10-10 | 平安科技(深圳)有限公司 | 并发访问控制方法、装置、终端设备及介质 |
| WO2021023173A1 (zh) * | 2019-08-06 | 2021-02-11 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置、系统、存储介质和计算机设备 |
| US20210092158A1 (en) * | 2019-09-20 | 2021-03-25 | Baidu Online Network Technology (Beijing) Co., Ltd. | Method, apparatus, device, terminal, and medium for defending against attacking behavior |
| CN111131176A (zh) * | 2019-12-04 | 2020-05-08 | 北京北信源软件股份有限公司 | 资源访问控制方法、装置、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 郑志彬: "信息网络安全威胁及技术发展趋势", 《电信科学》, vol. 25, no. 02 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113591075B (zh) | 2023-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11343280B2 (en) | System and method for identifying and controlling polymorphic malware | |
| US9596257B2 (en) | Detection and prevention of installation of malicious mobile applications | |
| US8955153B2 (en) | Privacy control in a social network | |
| US11182471B2 (en) | Isolating data for analysis to avoid malicious attacks | |
| US9197656B2 (en) | Computer program, method, and system for preventing execution of viruses and malware | |
| US20140380475A1 (en) | User centric fraud detection | |
| US10216934B2 (en) | Inferential exploit attempt detection | |
| US10963583B1 (en) | Automatic detection and protection against file system privilege escalation and manipulation vulnerabilities | |
| CN109565522B (zh) | 检测与远程存储的内容相关联的批量操作 | |
| CN103679031A (zh) | 一种文件病毒免疫的方法和装置 | |
| US11785044B2 (en) | System and method for detection of malicious interactions in a computer network | |
| CN109891422A (zh) | 用于优化计算机安全操作的动态信誉指示符 | |
| EP3469509A1 (en) | Macro-script execution control | |
| CN104462997A (zh) | 一种保护移动终端上工作数据的方法、装置和系统 | |
| US11507675B2 (en) | System, method, and apparatus for enhanced whitelisting | |
| TW201928750A (zh) | 比對伺服器、比對方法及電腦程式 | |
| WO2020019520A1 (zh) | 应用程序获取方法及装置 | |
| CN113591075B (zh) | 终端安全管控方法、装置及存储介质 | |
| CN110753060B (zh) | 一种进程操作控制方法、装置及电子设备和存储介质 | |
| US11886585B1 (en) | System and method for identifying and mitigating cyberattacks through malicious position-independent code execution | |
| US20220083650A1 (en) | System, Method, and Apparatus for Enhanced Whitelisting | |
| CN114861160A (zh) | 提升非管理员账户权限的方法及装置、设备、存储介质 | |
| CN116415240A (zh) | 一种勒索病毒检测方法以及相关系统 | |
| US20240202317A1 (en) | Malware Deterrence Using Computer Environment Indicators | |
| JP7255681B2 (ja) | 実行制御システム、実行制御方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |