CN115688092A - 终端弱管控方法、装置、电子设备及存储介质 - Google Patents
终端弱管控方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115688092A CN115688092A CN202211430213.9A CN202211430213A CN115688092A CN 115688092 A CN115688092 A CN 115688092A CN 202211430213 A CN202211430213 A CN 202211430213A CN 115688092 A CN115688092 A CN 115688092A
- Authority
- CN
- China
- Prior art keywords
- starting
- unknown
- behavior
- namespace
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种终端弱管控方法、装置、电子设备及存储介质,其中方法包括:响应于监控到程序启动行为,确定所述程序启动行为中的启动进程是否为已知的可信进程;当确定该启动进程不为已知的可信进程时,确定该启动进程为未知进程,篡改该启动进程对应的程序运行指令,以使该启动进程在指定命名空间中启动并运行;所述指定命名空间用于隔离该启动进程所在宿主机中的可访问资源;对所述指定命名空间中运行的未知进程进行行为监测,并根据监测结果对所述指定命名空间中运行的未知进程进行管控。本方案,能够在弱管控状态下实现对未知进程的有效管控。
Description
技术领域
本发明实施例涉及安全技术领域,特别涉及一种终端弱管控方法、装置、电子设备及存储介质。
背景技术
可信管控技术是终端强管控采用的主要手段,通过直接阻止未知进程的运行来防止威胁的发生。但是强管控存在诸多弊端,比如,系统性能损耗大、稳定性较差、用户使用不便利等问题。因此,需要提供一种弱管控方法,以实现对未知进程的有效管控。
发明内容
本发明实施例提供了一种终端弱管控方法、装置、电子设备及存储介质,能够在弱管控状态下实现对未知进程的有效管控。
第一方面,本发明实施例提供了一种终端弱管控方法,包括:
响应于监控到程序启动行为,确定所述程序启动行为中的启动进程是否为已知的可信进程;
当确定该启动进程不为已知的可信进程时,确定该启动进程为未知进程,篡改该启动进程对应的程序运行指令,以使该启动进程在指定命名空间中启动并运行;所述指定命名空间用于隔离该启动进程所在宿主机中的可访问资源;
对所述指定命名空间中运行的未知进程进行行为监测,并根据监测结果对所述指定命名空间中运行的未知进程进行管控。
一种可能的实现方式中,所述确定所述程序启动行为中的启动进程是否为已知的可信进程,包括:
将所述程序启动行为中的启动进程与可信白名单中的可信进程进行匹配;
若存在与该启动进程匹配的可信进程,则确定该启动进程为已知的可信进程,否则,确定该启动进程不为已知的可信进程。
一种可能的实现方式中,所述指定命名空间的数量为一个或多个,一个指定命名空间中运行一个未知进程;
在所述篡改该启动进程对应的程序运行指令之前,还包括:获取该启动进程运行的默认命名空间的第一寄存器参数,以及确定分配给该启动进程的指定命名空间的第二寄存器参数;
所述篡改该启动进程对应的程序运行指令,包括:将ESI寄存器中的所述第一寄存器参数更改为所述第二寄存器参数。
一种可能的实现方式中,所述对所述指定命名空间中运行的未知进程进行行为监测,包括:
基于该未知进程的进程信息,确定该未知进程的进程启动链,对所述进程启动链上的各进程均进行行为监测。
一种可能的实现方式中,对进程进行所述行为监测的内容包括:资源占用、文件操作、网络请求和系统配置更改中的至少一种行为。
一种可能的实现方式中,所述根据监测结果对所述指定命名空间中运行的未知进程进行管控,包括:
当该未知进程的运行时长未达到预设时长,但监测到该未知进程存在异常行为时,确定该未知进程为不可信进程,根据预设的异常行为分析规则和所述监测结果中的异常行为,对该未知进程进行异常评估,并按照异常评估结果相对应的管控方式对该未知进程进行管控;
所述管控方式包括:不采取管控操作、管控进程网络访问行为、管控文件操作行为、管控进程启动行为、挂起进程操作和结束进程中的至少一种。
一种可能的实现方式中,还包括:当该未知进程的运行时长达到预设时长,且对该未知进程未监测到异常行为时,确定该未知进程为可信进程,将该未知进程更新至可信白名单。
第二方面,本发明实施例还提供了一种终端弱管控装置,包括:
确定单元,用于响应于监控到程序启动行为,确定所述程序启动行为中的启动进程是否为已知的可信进程;
指令篡改单元,用于当确定该启动进程不为已知的可信进程时,确定该启动进程为未知进程,篡改该启动进程对应的程序运行指令,以使该启动进程在指定命名空间中启动并运行;所述指定命名空间用于隔离该启动进程所在宿主机中的可访问资源;
监测管控单元,用于对所述指定命名空间中运行的未知进程进行行为监测,并根据监测结果对所述指定命名空间中运行的未知进程进行管控。
第三方面,本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
本发明实施例提供了一种终端弱管控方法、装置、电子设备及存储介质,当启动进程为未知进程时,通过篡改启动进程对应的程序运行指令,使得该启动进程在指定命名空间中启动,由于指定命名空间用于隔离该启动进程所在宿主机中的可访问资源,因此,未知进程运行在指定命名空间中,不会对宿主机造成环境污染;另外,进一步对指定命名空间中运行的未知进程进行行为监测,进而根据监测结果对指定命名空间中运行的未知进程进行管控。可见,本方案,能够在弱管控状态下实现对未知进程的有效管控。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种终端弱管控方法流程图;
图2是本发明一实施例提供的一种电子设备的硬件架构图;
图3是本发明一实施例提供的一种终端弱管控装置结构图;
图4是本发明一实施例提供的另一种终端弱管控装置结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如前所述,强管控方式是直接将未知进程关闭,防止未知进程在运行过程中对终端设备带来的威胁。但是强管控方式存在诸多问题,如果能够在弱管控状态下实现对未知进程的有效管控,则可以解决强管控方式存在的问题。
基于此,本发明的发明构思在于:对于未知进程不会直接关闭,而是利用命名空间(namespace)将未知进程进行隔离运行,使得未知进程与宿主机资源隔离,防止宿主机环境污染,并进一步对隔离运行的未知进程进行持续监控,以进一步判定未知进程是否安全。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种终端弱管控方法,该方法包括:
步骤100,响应于监控到程序启动行为,确定所述程序启动行为中的启动进程是否为已知的可信进程;
步骤102,当确定该启动进程不为已知的可信进程时,确定该启动进程为未知进程,篡改该启动进程对应的程序运行指令,以使该启动进程在指定命名空间中启动并运行;所述指定命名空间用于隔离该启动进程所在宿主机中的可访问资源;
步骤104,对所述指定命名空间中运行的未知进程进行行为监测,并根据监测结果对所述指定命名空间中运行的未知进程进行管控。
本发明实施例中,当启动进程为未知进程时,通过篡改启动进程对应的程序运行指令,使得该启动进程在指定命名空间中启动,由于指定命名空间用于隔离该启动进程所在宿主机中的可访问资源,因此,未知进程运行在指定命名空间中,不会对宿主机造成环境污染;另外,进一步对指定命名空间中运行的未知进程进行行为监测,进而根据监测结果对指定命名空间中运行的未知进程进行管控。可见,本方案,能够在弱管控状态下实现对未知进程的有效管控。
下面描述图1所示的各个步骤的执行方式。
首先,针对步骤100,响应于监控到程序启动行为,确定所述程序启动行为中的启动进程是否为已知的可信进程。
本发明实施例中,需要对每一个启动进程均进行监控,以保证能够在进程启动时进行安全介入。
一个实现方式中,可以采用LSM(Linux Security Modules)技术、kretprobe框架等来监控程序启动行为。其中,LSM安全模块是Linux内核的一个轻量级通用访问控制框架。它使得各种不同的安全访问控制模型能够以Linux可加载内核模块的形式实现出来,用户可以根据其需求选择适合的安全模块加载到Linux内核中,从而大大提高了Linux安全访问控制机制的灵活性和易用性。因此,优选地,本实施例中采用LSM技术监控程序启动行为。
本发明一个实施例中,当需要确定启动进程是否为已知的可信进程时,可以包括:将所述程序启动行为中的启动进程与可信白名单中的可信进程进行匹配;若存在与该启动进程匹配的可信进程,则确定该启动进程为已知的可信进程,否则,确定该启动进程不为已知的可信进程。
其中,可信白名单是预先生成的。具体地,可信白名单的生成方式可以包括:针对操作系统进程进行采集和检测,将检测正常的进程添加至可信白名单中。
当监控到启动进程之后,利用可信白名单进行匹配,若可信白名单中存在该启动进程,则该启动进程为已知的可信进程,若可行白名单中不存在该启动进程,则该启动进程不为已知的可信进程。其中,当启动进程为可信进程时,则直接放行该进程,允许使用系统资源。
然后,针对步骤102,当确定该启动进程不为已知的可信进程时,确定该启动进程为未知进程,篡改该启动进程对应的程序运行指令,以使该启动进程在指定命名空间中启动并运行;所述指定命名空间用于隔离该启动进程所在宿主机中的可访问资源。
命名空间(namespace)是许多编程语言使用的一种代码组织的形式,通过命名空间来分类,区别不同的代码功能,避免不同的代码片段(通常由不同的人协同工作或调用已有的代码片段)同时使用时由于不同代码间变量名相同而造成冲突。其中,命名空间为一个虚拟空间,其内部的虚拟资源与宿主机的可访问资源相隔离。
当启动进程不为已知的可信进程时,则确定该启动进程为未知进程,未知进程运行在宿主机中有可能会对宿主机造成环境污染,因此,可以预先创建命名空间,使得命名空间与启动进程所在宿主机中的可访问资源隔离,并将启动进程置于指定命名空间中启动以及运行,从而可以防止不可信进程对宿主机的环境污染。
本发明实施例中,指定命名空间的数量可以是一个或多个,而在监控到未知进程时,将未知进程置于一个指定命名空间中启动,且一个指定命名空间中只运行一个未知进程。也就是说,每监控到一个未知进程,则在剩余的未运行未知进程的命名空间中选择一个命名空间,将该监控到的未知进程置于选择的该命名空间中启动。当命名空间中的未知进程暂停之后,则该命名空间可以继续作为未运行未知进程的命名空间供选择。
本发明一个实施例中,为了更改未知进程的命名空间,在篡改对应的程序运行指令之前可以包括:获取该启动进程运行的默认命名空间的第一寄存器参数,以及确定分配给该启动进程的指定命名空间的第二寄存器参数。其中,该启动进程运行的默认命名空间为宿主机,该分配给该启动进程的指定命名空间为未运行未知进程的命名空间中选择的一个命名空间。
那么,该篡改该启动进程对应的程序运行指令可以包括:将ESI寄存器中的所述第一寄存器参数更改为所述第二寄存器参数。其中,ESI寄存器是计算机中CPU段寄存器的一种,通常在内存操作指令中作为“源地址指针”使用,其可以被装入任意数值。通过将ESI寄存器中的第一寄存器参数更改为第二寄存器参数,从而实现运行指令的更改,使得该启动进程在该第二寄存器参数对应的指定命名空间中启动。
最后,针对步骤104,对所述指定命名空间中运行的未知进程进行行为监测,并根据监测结果对所述指定命名空间中运行的未知进程进行管控。
本发明实施例中,虽然弱管控方式不像强管控方式那样将未知进程直接暂停,而是在指定命名空间中启动和运行,但是依然需要对指定命名空间中运行的未知进程进行行为监测,以进一步采用相应的管控方式进行管控。
本步骤中,可以基于该未知进程的进程信息,仅对该未知进程进行行为监测。进一步地,由于终端设备中的进程启动可能涉及进程启动链,也就是父进程启动子进程,子进程又启动另一个子进程等,且可能存在父进程不具有异常行为,而其启动的子进程具有异常行为。因此,本发明一个实施例中,本步骤对所述指定命名空间中运行的未知进程进行行为监测可以包括:基于该未知进程的进程信息,确定该未知进程的进程启动链,对所述进程启动链上的各进程均进行行为监测。通过确定该未知进程的进程启动链,进而对该进程启动链上的各个进程均进行行为监测,从而能够实现对未知进程的完整性监测,降低由于进程启动链上该未知进程之外的父进程和/或子进程的异常行为对终端设备带来的影响。
其中,进程信息可以包括:进程名称、路径、父进程信息、进程用户名和进程实体是否存在中的至少一个。
本发明实施例中,为保证对进程进行行为监测的大面积覆盖,提高对进程的准确管控,该行为监测的内容可以包括:资源占用、文件操作、网络请求和系统配置更改中的至少一种行为。
进一步地,可以预先对行为监测内容进行行为标识,比如,哪些行为属于异常行为,哪些行为属于正常行为。举例来说,若进程为无文件实体进程、名称篡改进程、系统伪装进程、隐藏进程、越权进程,则表明该进程在执行异常行为。
为了进一步提高对未知进程的有效管控,本发明一个实施例中,可以对监测到的异常行为进行关联分析,具体地,该根据监测结果对所述指定命名空间中运行的未知进程进行管控可以包括:当该未知进程的运行时长未达到预设时长,但监测到该未知进程存在异常行为时,确定该未知进程为不可信进程,根据预设的异常行为分析规则和所述监测结果中的异常行为,对该未知进程进行异常评估,并按照异常评估结果相对应的管控方式对该未知进程进行管控。
其中,该管控方式可以包括:不采取管控操作、管控进程网络访问行为、管控文件操作行为、管控进程启动行为、挂起进程操作和结束进程中的至少一种。
具体地,在对该未知进程进行异常评估时,可以采用加权评分方式进行,基于加权评分值与异常评估结果的对应关系来确定该未知进程的异常评估结果。比如,该异常评估结果为:正常、一般异常和严重异常。
针对正常评估结果,执行的管控方式可以为:不采用管控操作;
针对一般异常评估结果,执行的管控方式可以为:管控进程网络访问行为、管控文件操作行为、管控进程启动行为和挂起进程操作中的至少一种;且可以继续进行监测和分析,直至无异常行为为止;
针对严重异常评估结果,执行的管控方式可以为:结束进程。进一步可以将该进程加入进程黑名单,且对其父进程、子进程进行异常加权,直接终止可能产生的威胁。
本发明一个实施例中,还可以包括:当该未知进程的运行时长达到预设时长,且对该未知进程均未监测到异常行为时,确定该未知进程为可信进程,将该未知进程更新至所述可信白名单。比如,该预设时长为7*24小时。若无任何异常行为,表明该进程为安全进程,通过将其更新至可信白名单,该进程在下一次启动时,无需进行命名空间隔离,直接使用系统资源运行。
本实施例中,通过使用命名空间隔离和进程行为监测相结合的方式,可以减少用户交互,提供使用上的便利,无需同步阻塞,资源占用也更低,可以实现未知进程的管控需求,同时具有更好的稳定性和兼容性。
如图2、图3所示,本发明实施例提供了一种终端弱管控装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图2所示,为本发明实施例提供的一种终端弱管控装置所在电子设备的一种硬件架构图,除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的电子设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图3所示,作为一个逻辑意义上的装置,是通过其所在电子设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施例提供的一种终端弱管控装置,包括:
确定单元301,用于响应于监控到程序启动行为,确定所述程序启动行为中的启动进程是否为已知的可信进程;
指令篡改单元302,用于当确定该启动进程不为已知的可信进程时,确定该启动进程为未知进程,篡改该启动进程对应的程序运行指令,以使该启动进程在指定命名空间中启动并运行;所述指定命名空间用于隔离该启动进程所在宿主机中的可访问资源;
监测管控单元303,用于对所述指定命名空间中运行的未知进程进行行为监测,并根据监测结果对所述指定命名空间中运行的未知进程进行管控。
在本发明一个实施例中,所述确定单元具体用于将所述程序启动行为中的启动进程与可信白名单中的可信进程进行匹配;若存在与该启动进程匹配的可信进程,则确定该启动进程为已知的可信进程,否则,确定该启动进程不为已知的可信进程。
在本发明一个实施例中,所述指定命名空间的数量为一个或多个,一个指定命名空间中运行一个未知进程;
该指令篡改单元302在所述篡改对应程序运行指令之前,还用于获取该启动进程运行的默认命名空间的第一寄存器参数,以及确定分配给该启动进程的指定命名空间的第二寄存器参数;
该指令篡改单元302在篡改对应程序运行指令时,具体用于将ESI寄存器中的所述第一寄存器参数更改为所述第二寄存器参数。
在本发明一个实施例中,该监测管控单元303在对所述指定命名空间中运行的未知进程进行行为监测时,具体用于:基于该未知进程的进程信息,确定该未知进程的进程启动链,对所述进程启动链上的各进程均进行行为监测。
在本发明一个实施例中,对进程进行所述行为监测的内容包括:资源占用、文件操作、网络请求和系统配置更改中的至少一种行为。
在本发明一个实施例中,该监测管控单元303在根据监测结果对所述指定命名空间中运行的未知进程进行管控时,具体用于:当该未知进程的运行时长未达到预设时长,但监测到该未知进程存在异常行为时,确定该未知进程为不可信进程,根据预设的异常行为分析规则和所述监测结果中的异常行为,对该未知进程进行异常评估,并按照异常评估结果相对应的管控方式对该未知进程进行管控;
所述管控方式包括:不采取管控操作、管控进程网络访问行为、管控文件操作行为、管控进程启动行为、挂起进程操作和结束进程中的至少一种。
在本发明一个实施例中,请参考图4,该终端弱管控装置还可以包括:
更新单元304,用于当该未知进程的运行时长达到预设时长,且对该未知进程均未监测到异常行为时,确定该未知进程为可信进程,将该未知进程更新至所述可信白名单。
可以理解的是,本发明实施例示意的结构并不构成对一种终端弱管控装置的具体限定。在本发明的另一些实施例中,一种终端弱管控装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种终端弱管控方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种终端弱管控方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种终端弱管控方法,其特征在于,包括:
响应于监控到程序启动行为,确定所述程序启动行为中的启动进程是否为已知的可信进程;
当确定该启动进程不为已知的可信进程时,确定该启动进程为未知进程,篡改该启动进程对应的程序运行指令,以使该启动进程在指定命名空间中启动并运行;所述指定命名空间用于隔离该启动进程所在宿主机中的可访问资源;
对所述指定命名空间中运行的未知进程进行行为监测,并根据监测结果对所述指定命名空间中运行的未知进程进行管控。
2.根据权利要求1所述的方法,其特征在于,所述确定所述程序启动行为中的启动进程是否为已知的可信进程,包括:
将所述程序启动行为中的启动进程与可信白名单中的可信进程进行匹配;
若存在与该启动进程匹配的可信进程,则确定该启动进程为已知的可信进程,否则,确定该启动进程不为已知的可信进程。
3.根据权利要求1所述的方法,其特征在于,所述指定命名空间的数量为一个或多个,一个指定命名空间中运行一个未知进程;
在所述篡改该启动进程对应的程序运行指令之前,还包括:获取该启动进程运行的默认命名空间的第一寄存器参数,以及确定分配给该启动进程的指定命名空间的第二寄存器参数;
所述篡改该启动进程对应的程序运行指令,包括:将ESI寄存器中的所述第一寄存器参数更改为所述第二寄存器参数。
4.根据权利要求1所述的方法,其特征在于,所述对所述指定命名空间中运行的未知进程进行行为监测,包括:
基于该未知进程的进程信息,确定该未知进程的进程启动链,对所述进程启动链上的各进程均进行行为监测。
5.根据权利要求4所述的方法,其特征在于,对进程进行所述行为监测的内容包括:资源占用、文件操作、网络请求和系统配置更改中的至少一种行为。
6.根据权利要求1所述的方法,其特征在于,所述根据监测结果对所述指定命名空间中运行的未知进程进行管控,包括:
当该未知进程的运行时长未达到预设时长,但监测到该未知进程存在异常行为时,确定该未知进程为不可信进程,根据预设的异常行为分析规则和所述监测结果中的异常行为,对该未知进程进行异常评估,并按照异常评估结果相对应的管控方式对该未知进程进行管控;
所述管控方式包括:不采取管控操作、管控进程网络访问行为、管控文件操作行为、管控进程启动行为、挂起进程操作和结束进程中的至少一种。
7.根据权利要求6所述的方法,其特征在于,还包括:当该未知进程的运行时长达到预设时长,且对该未知进程未监测到异常行为时,确定该未知进程为可信进程,将该未知进程更新至可信白名单。
8.一种终端弱管控装置,其特征在于,包括:
确定单元,用于响应于监控到程序启动行为,确定所述程序启动行为中的启动进程是否为已知的可信进程;
指令篡改单元,用于当确定该启动进程不为已知的可信进程时,确定该启动进程为未知进程,篡改该启动进程对应的程序运行指令,以使该启动进程在指定命名空间中启动并运行;所述指定命名空间用于隔离该启动进程所在宿主机中的可访问资源;
监测管控单元,用于对所述指定命名空间中运行的未知进程进行行为监测,并根据监测结果对所述指定命名空间中运行的未知进程进行管控。
9.一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211430213.9A CN115688092A (zh) | 2022-11-15 | 2022-11-15 | 终端弱管控方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211430213.9A CN115688092A (zh) | 2022-11-15 | 2022-11-15 | 终端弱管控方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115688092A true CN115688092A (zh) | 2023-02-03 |
Family
ID=85052282
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211430213.9A Pending CN115688092A (zh) | 2022-11-15 | 2022-11-15 | 终端弱管控方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115688092A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116451269A (zh) * | 2023-03-29 | 2023-07-18 | 北京华路时代信息技术股份有限公司 | 数据保护方法、装置、电子设备和可读存储介质 |
-
2022
- 2022-11-15 CN CN202211430213.9A patent/CN115688092A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116451269A (zh) * | 2023-03-29 | 2023-07-18 | 北京华路时代信息技术股份有限公司 | 数据保护方法、装置、电子设备和可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102347562B1 (ko) | 보안 제어 방법 및 컴퓨터 시스템 | |
| JP7316726B2 (ja) | ソフトウェア・コンポーネントに関連するセキュリティ・リスクを検出する方法、システム、およびプログラム | |
| EP2704004B1 (en) | Computing device having a dll injection function, and dll injection method | |
| KR101533901B1 (ko) | 네트워킹된 복구 시스템 | |
| KR101806090B1 (ko) | 멀웨어 검출을 위한 애플리케이션들의 제네릭 언패킹 | |
| JP6791134B2 (ja) | 分析システム、分析方法、分析装置及び、コンピュータ・プログラム | |
| US10726124B2 (en) | Computer device and method of identifying whether container behavior thereof is abnormal | |
| CN105678160B (zh) | 用于提供对引导驱动程序的原始例程的访问的系统和方法 | |
| JP2009238153A (ja) | マルウェア対処システム、方法及びプログラム | |
| CN105335197A (zh) | 终端中应用程序的启动控制方法和装置 | |
| CN113826072B (zh) | 系统管理模式中的代码更新 | |
| CN115688092A (zh) | 终端弱管控方法、装置、电子设备及存储介质 | |
| US20140298002A1 (en) | Method and device for identifying a disk boot sector virus, and storage medium | |
| KR20120078017A (ko) | 클라우드 컴퓨팅 기반 악성코드 분석 지원 시스템과 이를 사용하는 분석가 단말 | |
| CN117891682A (zh) | Linux系统隐藏进程的方法、装置、电子设备及存储介质 | |
| CN115659340B (zh) | 一种仿冒小程序识别方法、装置、存储介质及电子设备 | |
| CN116775061A (zh) | 微服务应用的部署方法、装置、设备及存储介质 | |
| US7752030B2 (en) | Virtualization as emulation support | |
| CN115617668A (zh) | 一种兼容性测试方法、装置及设备 | |
| JP2010176660A (ja) | 仮想ハードディスクへのファイル属性情報の安全な管理の拡張 | |
| CN106971112B (zh) | 文件读写方法及装置 | |
| JP7476140B2 (ja) | 情報処理装置、情報処理方法、およびプログラム | |
| US11768680B2 (en) | Iterative method and device for detecting an approximate zone occupied by the computer code of an operating system core in a memory | |
| JP7501782B2 (ja) | 活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラム | |
| CN107368395B (zh) | 自动化测试的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |