CN115906184A - 一种控制进程访问文件的方法、装置、介质及电子设备 - Google Patents
一种控制进程访问文件的方法、装置、介质及电子设备 Download PDFInfo
- Publication number
- CN115906184A CN115906184A CN202310029123.7A CN202310029123A CN115906184A CN 115906184 A CN115906184 A CN 115906184A CN 202310029123 A CN202310029123 A CN 202310029123A CN 115906184 A CN115906184 A CN 115906184A
- Authority
- CN
- China
- Prior art keywords
- characteristic value
- file
- client
- preset
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例提供一种控制进程访问文件的方法、装置、介质及电子设备,该控制进程访问文件的方法包括:接收来自于管理平台的进程白名单以及预设特征值集合;若根据进程白名单确认访问所述客户端上文件的第一进程属于未知进程,则解析与所述第一进程对应的访问请求得到所述文件的特征值;若确认所述预设特征值集合中存在与所述特征值匹配的目标预设特征值,则拦截所述访问请求。本申请的一些实施例通过驱动捕获文件访问动作,匹配文件特征值,可以解决用户不清楚文件存放在何处,不知道文件后缀名有哪些需要保护。
Description
技术领域
本申请涉及安全领域,具体而言本申请实施例涉及一种控制进程访问文件的方法、装置、介质及电子设备。
背景技术
相关技术通过驱动或者应用层hook捕获文件访问操作即捕获访问客户端上的文件访问操作,为了确定是否需要拦截访问请求可采用路径匹配算法或者文件名后缀匹配算法。
基于路径匹配的算法即判断要访问的客户端上的文件是否存储在需要保护的路径上,如果是则禁止访问该文件。这种方法的缺陷至少包括,由管理员配置的保护路径,其他用户可能不知道被保护的路径有哪些,有可能将文件可保存在其他不受保护的路径,造成这些文件被病毒访问引起安全隐患。
基于文件名后缀匹配算法即判断要访问的客户端上的文件具有特定的后缀,如果是,则说明这类文件属于需要受到保护的文件,保证客户端上被访问文件的安全性。这类技术方案的缺陷至少包括:如果修改了文件的后缀就无法保护对应的文件。也就是说,如果文件的后缀发生修改,则保护会失效。
结合上述内容可知相关技术提供的保护客户端文件的方法存在诸多技术缺陷,并不能保证这些文件的安全性。
发明内容
本申请实施例的目的在于提供一种控制进程访问文件的方法、装置、介质及电子设备,本申请的一些实施例通过驱动捕获文件访问动作,匹配文件特征值,可以解决用户不清楚文件存放在何处,不知道文件后缀名有哪些需要保护。本申请实施例提供的结合特征值的保护方法,高效保护用户数据,支持对确定路径下的文件保护,也支持对不确定路径和不确定后缀的文件保护。
第一方面,本申请实施例提供一种控制进程访问文件的方法,应用在客户端,所述方法包括:接收来自于管理平台的进程白名单以及预设特征值集合;若根据进程白名单确认访问所述客户端上文件的第一进程属于未知进程,则解析与所述第一进程对应的访问请求得到所述文件的特征值;若确认所述预设特征值集合中存在与所述特征值匹配的目标预设特征值,则拦截所述访问请求。
本申请的一些实施例通过白名单和文件的特征值共同确定是否允许对客户端文件的访问请求,可以最大程度的拦截病毒对客户端重要文件的访问提升这些文件的安全性。
在一些实施例中,所述预设特征值集合包括第一类预设特征值和第二类预设特征值,其中,所述第一类预设特征值属于第一类文件的特征值,所述第一类文件为多个客户端的通用文件,所述第二类预设特征值是通过目标类客户端中的任意一个客户端向所述管理平台提供的且所述第二类预设特征值是属于第二类文件的特征值,所述第二类文件属于所述目标类客户端的专用文件。
本申请的一些实施例通过在管理平台运算通用文件的特征值,并接收由不同类客户端自身计算的其专用文件的特征值,可以丰富管理平台的特征值的数量,进而提升技术方案的通用性使得各类客户端均可以根据管理平台提供的特征值进行各自的文件访问控制。
在一些实施例中,所述通用文件包括:office系列文件或者多种数据库文件,所述专用文件包括:工业生产部门的图纸类文件或者财务部门的财务报表类文件。
本申请的一些实施例示例性提供通用文件和专用文件的具体类型。
在一些实施例中,所述第二类预设特征值是由所述目标类客户端中的任意一个客户端通过特征值获取算法得到的,所述特征值获取算法通过对比多个第一类专用文件得到一个预设特征值。
本申请的一些实施例通过使用某一类专用文件的一个客户端运行的特征值获取算法来计算这类专用文件的特征值,可以使得使用这类专用文件的其他客户端可以直接从管理平台下载这些特征值并进行相应的安全访问控制,提整个系统的安全控制效率。
在一些实施例中,所述接收来自于管理平台的进程白名单以及预设特征值集合包括:接收由所述管理平台提供的所述第一类预设特征值和所述第二类预设特征值,得到所述预设特征值集合;将所述预设特征值集合存储在特征值库中;所述确认所述预设特征值集合中存在与所述特征值匹配的目标预设特征值,包括:若所述特征值与所述特征值库中的一个预设特征值匹配,则确认所述特征值库中存在与所述特征值匹配的所述目标预设特征值。
本申请的一些实施例通过获取与所述文件对应的特征值进而提升对这类文件的安全访问控制。
在一些实施例中,在所述根据进程白名单确认访问所述客户端上文件的第一进程属于未知进程之前,所述方法还包括:从所述管理平台下载所述进程白名单。
本申请的一些实施例还提供一种从管理平台获取白名单并依据该白名单进行访问控制的客户端可识别出可以放行的进程,并识别出需要根据特征值进行安全控制的未知进程,提升安全控制的准确性。
在一些实施例中,在所述拦截所述访问请求之后,所述方法还包括:向所述管理平台上报所述第一进程,其中,所述管理平台在确认所述第一进程为非安全进程则将拦截所述第一进程访问任意客户端。
本申请的一些实施例通过管理平台对客户端识别的需要拦截的进程进行再次进行安全性确认,若确认该进程属于风险进程时则直接拦截通过该进程对任意客户端的访问,可以避免这些客户端进行特征值匹配等安全策略计算,提升访问控制的处理速度。
在一些实施例中,在所述拦截所述访问请求之后,所述方法还包括:向所述管理平台上报所述第一进程,其中,所述管理平台若确认所述第一进程属于安全进程则将所述第一进程添加至所述进程白名单中。
本申请的一些实施例通过管理平台对由客户端上报的不安全访问进程进行再次安全性确认,若确认该进程属于安全进程时则将该进程更新至已有的白名单中,提升后续其他客户端进行安全访问控制的效率。
在一些实施例中,在所述拦截所述访问请求之后,所述方法还包括:向所述管理平台上报所述第一进程;将所述第一进程设置为黑名单的项。
本申请的一些实施例在向管理平台上报不安全进程后,该客户端可以将该进程添加至黑名单,提升该客户端后续对这类进程的安全性访问控制的处理速度。
在一些实施例中,所述客户端还被配置为根据环境是否安全切换工作模式,其中,所述工作模式包括管控模式和放行模式。
本申请的一些实施例可以将客户端设置为管控模式和放行模式,若用户确认客户端处于安全环境中则可以控制该客户端开启放行模型,处于放行模式下,对电脑上已经运行的进程不再进行安全性监控而仅需要对在该客户端上安装新的软件或者将运行新的进程时对于这些新进程进行安全性监控,保证高效率的同时保护客户端文件不被新增的病毒访问;若确认客户端处于风险环境中则可以控制该客户端开启管控模式,处在管控模式时对客户端上已存在的进程和新安装的进程都需要安全性监控。
在一些实施例中,在所述根据进程白名单确认访问所述客户端上文件的第一进程属于未知进程之前,所述方法还包括:确认所述客户端处于风险中,开启所述管控模式。
本申请的一些实施例在执行访问控制之前需要首先根据客户端所处的环境来开启管控模式。
第二方面,本申请的一些实施例提供一种控制进程访问文件的方法,应用在管理平台,所述方法包括:向客户端提供预设特征值集合和进程白名单,以使所述客户端根据所述预设特征值集合和所述进程白名单拦截病毒对所述客户端上文件的访问请求,其中,所述预设特征值集合包括第一类预设特征值和第二类预设特征值,所述第一类预设特征值属于第一类文件的特征值,所述第一类文件为通用文件,所述第二类预设特征值是通过目标类客户端中的任意一个客户端向所述管理平台提供的且所述第二类预设特征值是属于第二类文件的特征值,所述第二类文件属于所述目标类客户端的专用文件,其中,所述客户端被配置为:接收来自于所述管理平台的所述进程白名单以及所述预设特征值集合;若根据所述进程白名单确认访问所述客户端上文件的第一进程属于未知进程,则解析与所述第一进程对应的访问请求得到所述文件的特征值;若确认所述预设特征值集合中存在与所述特征值匹配的目标预设特征值,则拦截所述访问请求。
在一些实施例中,在所述向客户端提供预设特征值集合和进程白名单之前,所述方法还包括:提取所述通用文件的共同部分得到所述第一类预设特征值;向第二客户端提供特征值获取算法,以使所述第二客户端可根据所述特征值获取算法从多个第一类专用文件中提取共同部分作为一个第二类预设特征值;接收由所述第二客户端通过交互界面输入的所述第二类预设特征值。
在一些实施例中,在所述向客户端提供预设特征值和进程白名单之后,所述方法还包括:接收来自于所述客户端发送的第一进程,其中,所述第一进程是被所述客户端判定为需要拦截的进程;判定所述第一进程是否属于拦截的进程,若不属于则将所述第一进程更新至所述进程白名单中,若属于则拦截所述第一进程对第三客户端的访问操作。
第三方面,本申请的一些实施例提供一种控制进程访问文件的装置,所述装置包括:下载模块,被配置为接收来自于管理平台的进程白名单以及预设特征值集合;特征值解析模块,被配置为若根据进程白名单确认访问所述客户端上文件的第一进程属于未知进程,则解析与所述第一进程对应的访问请求得到所述文件的特征值;拦截模块,被配置为若确认所述预设特征值集合中存在与所述特征值匹配的目标预设特征值,则拦截所述访问请求。
第四方面,本申请的一些实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如第一方面或第二方面中任意实施例所述的方法。
第五方面,本申请的一些实施例提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现如第一方面或第二方面任意实施例所述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的拦截病毒访问的系统之一;
图2为本申请实施例提供的拦截病毒访问的系统之二;
图3为本申请实施例提供的控制进程访问文件的方法流程图之一;
图4为本申请实施例提供的控制进程访问文件的方法流程图之二;
图5为本申请实施例提供的控制进程访问文件的方法流程图之三;
图6为本申请实施例提供的拦截病毒的装置的组成框图;
图7为本申请实施例提供的电子设备组成示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
至少为了解决背景技术部分提及的技术问题,本申请的一些实施例通过驱动捕获客户端上的文件访问动作,匹配被访问文件的特征值,可以解决采用相关技术的路径匹配策略时由于文件存放位置未知或者后缀匹配算法中文件后缀被修改而造成的安全防护漏洞。本申请的实施例为了解决这些问题,采用基于白名单和特征值匹配的安全控制策略,高效保护用户数据,支持对确定路径下的文件保护,也支持对不确定路径和不确定后缀的文件保护。
请参看图1,图1为本申请一些实施例提供的拦截病毒访问的系统,该系统包括服务器100以及多个客户端,例如,图1的第一客户端101以及第二客户端102。
客户端是需要进行安全访问控制的终端设备,这些客户端可以为PC机或者笔记本电脑等终端设备,本申请实施例不限定终端设备的具体类型。客户端根据从服务器100接收的特征值和白名单依据策略中心的安策略进行访问控制。
如图2所示,以第一客户端101为例示例性阐述在各个客户端上设置的功能模块。第一客户端101示例性包括:特征值库121、策略中心123、白名单122以及访问请求及访问进程捕获模块124,其中,特征值库用于存储来自于管理平台的预设特征值集合,策略中心123采用安全策略判定是否放行捕获的访问请求或者进程且该中心还用于获取被访问文件的特征值,访问请求及访问进程捕获模块124通过实时监控截获访问第一客户端的访问请求,白名单122是从服务器100下载的进程白名单,例如,策略中心123根据白名单122,被访问文件的特征值以及特征值库121中的预设特征值集合这些信息对要访问第一客户端的请求进行访问控制。
例如,本申请的一些实施例的客户端采用minifilter驱动框架可以监控windows系统上文件的访问动作,客户端计算与某一类专用文件对应的第二类预设特征值时会从多个该类的专用文件内容中找出重复的部分挑选合适部分作为特征值,然后该用户将提取的第二类预设特征值上传到管理平台,需要说明的是,本申请实施例的管理平台会将专用文件对应的第二类预设特征值下发给其他不同的客户端,这些客户端上也可以运行或者加载这类专用文件。
服务器100被配置为运行管理平台,该管理平台可用于生成进程白名单,或者向各种有安全访问控制需求的客户端提供进程白名单和预设特征值集合,这些预设特征值集合包括与通用文件对应的第一类预设特征值以及与各类专用文件对应的第二类预设特征值。例如,专用文件包括工业生产部门的图纸类文件或者财务部门的财务报表类文件等,通用文件包括office系列文件或者多种数据库文件(例如,oracle、sqlserver类文件)等。
图2所示服务器100示例性包括:白名单生成模块111、特征值获取模块112以及上报进程处理模块113,其中,白名单生成模块111用于生成安全进程的名单,特征值获取模块112针对通用文件直接计算第一类预设特征值而针对专用文件该模块会接收由相应客户端通过交互平台向该模块输入的第二类预设特征值,且第二类预设特征值是由相应客户端根据特征值获取算法对比多个同类专用文件得到的;上报进程处理模块113用于接收来自于各客户端上报的风险进程并对这些进程再次进行安全性认证,若最终认为属于安全进程则将该进程发送给白名单生成模块111,若最终认为属于不安全进程则将拦截所有通过该进程对各个客户端的访问操作,这样可以避免相关客户端再次通过策略中心的策略进行访问控制造成的处理速度缓慢且造成的计算资源浪费的技术问题。
用户在图2服务器上布置的管理平台上选择不同的预设特征值,下发给不同部门,本申请的实施例通过有选择的将部分预设特征值提供给某些客户端可以提升这些客户端安全访问控制的处理速度。例如,本申请一些实施例的管理平台向工业生产部门的客户端下发保护图纸类文件(作为专用文件的一个示例)的第二类预设特征值,向财务部门的客户端下发保护财务报表(作为专用文件的一个示例)的第二类预设特征值。在本申请的一些实施例中,接收了这些预设特征值的客户端会将预设特征值集合保存在该客户端的特征值库中,用于对比受保护的文件。
针对Office/pdf类等通用文件都有专门的文件头代表着此类文件类型,这些常用的类型被内置到系统中由管理平台提供第一类预设特征值的列表,可供用户快速选择,选择完成后,即可下发将客户端选中的第一类预设特征值发送给对应的客户端。
需要说明的是,图2仅用于示例性展示客户端和服务器上设置的部分功能模块,本申请的一些实施例中的客户端和服务器也可以包括其他的功能模块。
下面结合图3示例性阐述由客户端执行的控制进程访问文件的方法。
如图3所示,本申请实施例提供一种控制进程访问文件的方法,应用在客户端,该方法包括:S100,接收来自于管理平台的进程白名单以及预设特征值集合;S101,若根据进程白名单确认访问所述客户端上文件的第一进程属于未知进程,则解析与所述第一进程对应的访问请求得到所述文件的特征值;S102,若确认所述预设特征值集合中存在与所述特征值匹配的目标预设特征值,则拦截所述访问请求。
需要说明的是,在本申请的一些实施例中,所述预设特征值集合是由所述客户端从管理平台下载得到的,所述预设特征值集合包括第一类预设特征值和第二类预设特征值,其中,所述第一类预设特征值属于第一类文件的特征值,所述第一类文件为多个客户端的通用文件(例如,所述通用文件包括:office系列文件或者多种数据库文件),所述第二类预设特征值是通过目标类客户端中的任意一个客户端向所述管理平台提供的且所述第二类预设特征值是属于第二类文件的特征值,所述第二类文件属于所述目标类客户端的专用文件(例如,所述专用文件包括:工业生产部门的图纸类文件(属于一类专用文件)或者财务部门的财务报表类文件(属于另一类专用文件),例如,专用文件的类型包括:电路设计类文件或者三维动画渲染文件等)。例如,专用文件可以根据文件格式或者用途划分为不同的类。本申请的一些实施例通过在管理平台运算通用文件的特征值,并接收由不同类客户端自身计算的其专用文件的特征值,可以丰富管理平台的特征值的数量,进而提升技术方案的通用性使得各类客户端均可以根据管理平台提供的特征值进行各自的文件访问控制。
例如,在本申请的一些实施例中,所述第二类预设特征值是由所述目标类客户端中的任意一个客户端通过特征值获取算法得到的,所述特征值获取算法通过对比多个第一类专用文件得到一个预设特征值。本申请的一些实施例通过使用某一类专用文件的一个客户端运行的特征值获取算法来计算这类专用文件的特征值,可以使得使用这类专用文件的其他客户端可以直接从管理平台下载这些特征值并进行相应的安全访问控制,提整个系统的安全控制效率。
可以理解的是,本申请的一些实施例通过进程白名单和文件的特征值共同确定是否允许对客户端文件的访问请求,可以最大程度的拦截病毒对客户端重要文件的访问提升这些文件的安全性。
为了在客户端运行策略中心的安全访问控制策略需要首先从管理平台获取预设特征值和白名单。
例如,在本申请一些实施例中,S100示例性包括:接收由所述管理平台提供的所述第一类预设特征值和所述第二类预设特征值,得到所述预设特征值集合;将所述预设特征值集合存储在所述特征值库中;所述确认所述预设特征值集合中存在与所述特征值匹配的目标预设特征值,包括:若所述特征值与所述特征值库中的一个预设特征值匹配,则确认存在与所述特征值匹配的所述目标预设特征值。本申请的一些实施例通过获取与所述文件对应的特征值进而提升对这类文件的安全访问控制。
下面示例性阐述第一类预设特征值和第二类预设特征值的计算方式。
第一类预设特征值(包括office系列文件的特征值,oracle、sqlserver等多种数据库的特征值)需要管理平台预先对各类通用文件进行提取后得到,根据文件头中的固定值来确定。第一类预设特征值会采取简短准确为标准,以达到匹配时速度够快。
第二类预设特征值即除通用文件之外的专用文件的特征值,客户端可通过提供的获取特征值的算法软件,对比多个专用文件的共同点,提取文件特征值,主动将计算得到的第二类预设特征值填写在管理平台上。这是由于部分公司使用的软件市场上不常见因此利用这些软件生成的文件并没有被内置到管理平台上,因此通过用户依据客户端设置第二类预设特征值,通过此种方法,将不常用的第二类预设特征值填写上管理平台上,针对第二类预设特征值提取时,可设置偏移量(特征值所在文件距离文件最开始的位置),通过设置的偏移量能有效提升匹配速度,直接定位第二类预设特征值的位置。
例如,在本申请的一些实施例中,在S100示例性包括:从所述管理平台下载所述进程白名单。本申请的一些实施例还提供一种从管理平台获取白名单并依据该白名单进行访问控制的客户端可识别出可以放行的进程,并识别出需要根据特征值进行安全控制的未知进程,提升安全控制的准确性。
为了提升整个拦截病毒访问的系统的访问控制处理的速度,本申请的一些实施例还通过管理平台收集各种被终端判定为具有风险的进程并对这些进程进行差异化处理。
例如,在本申请的一些实施例中,在S102所述拦截所述访问请求之后,所述方法还包括:向所述管理平台上报所述第一进程,其中,所述管理平台在确认所述第一进程为非安全进程则将拦截所述第一进程访问任意客户端。本申请的一些实施例通过管理平台对客户端识别的需要拦截的进程进行再次进行安全性确认,若确认该进程属于风险进程时则直接拦截通过该进程对任意客户端的访问,可以避免这些客户端进行特征值匹配等安全策略计算,提升访问控制的处理速度。
例如,在本申请的一些实施例中,在S102所述拦截所述访问请求之后,所述方法还包括:向所述管理平台上报所述第一进程,其中,所述管理平台若确认所述第一进程属于安全进程则将所述第一进程添加至所述进程白名单中。本申请的一些实施例通过管理平台对由客户端上报的不安全访问进程进行再次安全性确认,若确认该进程属于安全进程时则将该进程更新至已有的白名单中,提升后续其他客户端进行安全访问控制的效率。
需要说明的是,在本申请的一些实施例还可以通过在客户端设置黑名单的方式来提升该客户端对访问请求进行控制的处理速度,例如,在本申请的一些实施例中,在所述拦截所述访问请求之后,所述方法还包括:向所述管理平台上报所述第一进程;将所述第一进程设置为黑名单的项。本申请的一些实施例在向管理平台上报不安全进程后,该客户端可以将该进程添加至黑名单,提升该客户端后续对这类进程的安全性访问控制的处理速度。
为了提升技术方案的通用性,本申请的一些实施例可以在客户端设置两种工作模式,若确定该客户端工作在安全环境中则关闭访问控制对应的管控模式而开启放行模式,当开启放行模式后仅对新增加的进程运行图2的策略中心的访问控制策略;若确定该客户端工作在不安全环境中则关闭放行控制而开启管控模式,当开启管控模式后客户端会对新增加的进程和正在运行的进程均运行图2的策略中心的访问控制策略,具体可以参考图3所示的控制进程访问文件的方法。
可以理解的是,在本申请的一些实施例中,所述客户端还被配置为根据环境是否安全切换工作模式,其中,所述工作模式包括管控模式和放行模式。也就是说,本申请的一些实施例可以将客户端设置为管控模式和放行模式,若用户确认客户端处于安全环境中则可以控制该客户端开启放行模型,客户端处于放行模式时对该电脑上出现的新增进程需要安全性验证;若确认客户端处于风险环境中则可以控制该客户端开启管控模式,处在管控模式时客户端会对该客户端上的新增进程和运行中的进程均进行安全性认证。例如,在本申请的一些实施例中,在所述根据进程白名单确认访问所述客户端上文件的第一进程属于未知进程之前,所述方法还包括:确认所述客户端处于风险中,开启所述管控模式。本申请的一些实施例在执行访问控制之前需要首先根据客户端所处的环境来开启管控模式。
下面结合图4示例性阐述由客户端的策略中心执行的访问控制策略。
S201,获取访问客户端的文件的第一进程。
S202,判断第一进程否属于进程白名单中的进程,若是则执行S230,若否执行S204;
S203,放行访问行为,即允许访问请求对客户端的文件进行访问,继续执行S209。
S204,解析访问请求得到被访问文件的特征值。
S205,判断特征值与特征值库中的预定特征值集合中的某个预设特征值是否相同,若是则执行S207,若否执行S206。
S206,放行访问行为,并继续执行S209。
S207,拦截访问请求。
S208,上报非法记录。
S209,结束。
本申请的一些实施例提供一种控制进程访问文件的方法,应用在管理平台,所述方法包括:向客户端提供预设特征值集合和进程白名单,以使所述该客户端可根据所述预设特征值集合和所述进程白名单拦截病毒对该客户端上文件的访问请求,其中,所述预设特征值集合包括第一类预设特征值和第二类预设特征值,所述第一类预设特征值属于第一类文件的特征值,所述第一类文件为通用文件(即大多数客户端上的文件,例如,word文件或者数据库文件等),所述第二类预设特征值是通过目标类客户端中的任意一个客户端向所述管理平台提供的且所述第二类预设特征值是属于第二类文件的特征值,所述第二类文件属于所述目标类客户端的专用文件。需要说明的是,该客户端被配置为:接收来自于所述管理平台的所述进程白名单以及所述预设特征值集合;若根据所述进程白名单确认访问所述客户端上文件的第一进程属于未知进程,则解析与所述第一进程对应的访问请求得到所述文件的特征值;若确认所述预设特征值集合中存在与所述特征值匹配的目标预设特征值,则拦截所述访问请求。
在本申请的一些实施例中,在所述向可执行图3的方法的客户端提供预设特征值集合和进程白名单之前,所述方法还包括:提取通用文件的共同部分得到所述第一类预设特征值;向第二客户端提供特征值获取算法,以使所述第二客户端可根据所述特征值获取算法从多个第一类专用文件中提取共同部分作为一个第二类预设特征值;接收由所述第二客户端通过交互界面输入的所述第二类预设特征值,其中,所述第二客户端和所述第一客户端均设置有所述第一类专用文件。
在本申请的一些实施例中,在所述向可执行图3的方法的客户端提供预设特征值集合和进程白名单之后,所述方法还包括:接收来自于所述客户端发送的第一进程,其中,所述第一进程是被所述客户端判定为需要拦截的进程;判定所述第一进程是否属于拦截的进程,若不属于则将所述第一进程更新至所述进程白名单中,若属于则拦截所述第一进程对第三客户端的访问操作。
下面结合图5示例性阐述由管理平台执行的控制进程访问文件的方法。
S301,提取通用文件的共同部分得到第一类预设特征值。
S302,向第二客户端提供特征值获取算法(或称为获取特征值的算法),其中,第二客户端为任意一个需要进行访问控制的客户端。
S303,接收由所述第二客户端通过交互界面输入的第二类预设特征值。
可以理解的是,上述S302和S303也可以在S301之前执行。
S304,向第一客户端提供预设特征值集合和进程白名单,其中,进程白名单也是由管理平台收集的,第一客户端与第二客户端可能具有相同类的专有文件,且第一客户端具有访问控制的需求。
S305,接收来自于第一客户端发送的第一进程。
S306,判定第一进程是否属于拦截的进程,若是则执行S308,若否则执行S307。
S307,将第一进程更新至进程白名单。
S308,拦截所述第一进程对其他客户端的访问操作,可以理解的是,该第三客户端也可以为第一客户端。
下面结合客户端和管理平台阐述本申请一些实施例的拦截病毒的方法。
第一步,安装防勒索的客户端后,客户端会将此电脑上的进程信息上报给管理平台。
第二步,管理平台收集到电脑上的进程信息,可直接设置黑名单(疑似病毒进程)。
第三步,用户可以在管理平台上配置进程黑名单(根据进程名设置黑名单)。
第四步,黑名单下发到客户端,此类进程全部不允许启动。
第五步,管理平台根据客户端上传的进程来配置白名单。
第六步,管理平台上配置进程白名单。
例如,Oracle数据库进程oracle.exe,此类软件都会自动上传到管理平台,可以直接选择,不用手动填写。用户根据安装软件位置,可以快速配置的软件白名单,系统自带进程不需要用户配置,将自动加入白名单。
第七步,选择内置特征值(作为第一类预设特征值的示例)或者有用户填写新特征值(作为第二类预设特征值的示例)。例如,选择内置oracle数据库数据多种特征值。
第八步,客户端从管理平台下载白名单和预设特征值。
第九步,客户端捕获到进程访问文件动作。
第十步,判断是否为系统正常访问或者白名单访问,若是则放行。
第十一步,若确定进程属于未知进程访问文件,则解析访问文件的特征值。
第十二步,将解析得到的文件的特征值与特征值库中的预设特征值(包括第一类预设特征值和第二类预设特征值)数据进行对比,不存在则放行。
第十三步,存在则拦截访问请求。
第十四步,客户端向管理平台上报非法访问记录。
第十五步,根据已经捕获的访问记录,当此进程再次访问保护的文档,则直接拦截,不需要在获取特征值,提升性能。
第十六步,客户端将识别到的非法记录上(即不安全进程)传到管理平台后,用户确认非病毒,可以通过管理平台将进程再转换为进程白名单中的项,重新下发给客户端,客户端下次访问直接放行。
第十七步,客户端将识别到的非法记录上传到管理平台后,用户也可将此进程设置为黑名单,客户端将直接拦截此进程启动,来保护电脑数据。
需要说明的是,本申请的一些实施例中用户还可以切换客户端的保护模式,这些模式包括如下的A模式和B模式,期中,A模式为普通模式(即放行模式):用户确认电脑(即客户端)处于安全环境中,电脑上不存在病毒,安装客户端时,将电脑上已有进程自动变为白名单,用户此后再安装的其他软件都是被监控进程。此模式默认白名单较多,能大大提升拦截性能,使用电脑资源较少;B模式为强管控模式(即管控模式):此模式时,严格按照用户配置的白名单来放行,其他进程都是被监控进程,此模式适合电脑已经处于风险中,不清楚电脑是否被感染病毒。
请参考图6,图6示出了本申请实施例提供一种控制进程访问文件的装置,应理解,该装置与上述图3方法实施例对应,能够执行上述方法实施例涉及的各个步骤,该装置的具体功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。装置包括至少一个能以软件或固件的形式存储于存储器中或固化在装置的操作系统中的软件功能模块,该控制进程访问文件的装置,包括:下载模块600、特征值解析模块601以及拦截模块602。
下载模块,被配置为接收来自于管理平台的进程白名单以及预设特征值集合。
特征值解析模块,被配置为若根据进程白名单确认访问所述客户端上文件的第一进程属于未知进程,则解析与所述第一进程对应的访问请求得到所述文件的特征值。
拦截模块,被配置为若确认所述预设特征值集合中存在与所述特征值匹配的目标预设特征值,则拦截所述访问请求。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
本申请的一些实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如上述控制进程访问文件的方法包括的任意实施例所述的方法。
如图7所示,本申请的一些实施例提供一种电子设备700,该电子设备700包括存储器710、处理器720以及存储在所述存储器710上并可在所述处理器720上运行的计算机程序,其中,所述处理器720通过总线730从存储器710上读取程序并执行所述程序时可实现如上述控制进程访问文件的方法包括的任意实施例所述的方法。
处理器520可以处理数字信号,可以包括各种计算结构。例如复杂指令集计算机结构、结构精简指令集计算机结构或者一种实行多种指令集组合的结构。在一些示例中,处理器520可以是微处理器。
存储器510可以用于存储由处理器520执行的指令或指令执行过程中相关的数据。这些指令和/或数据可以包括代码,用于实现本申请实施例描述的一个或多个模块的一些功能或者全部功能。本公开实施例的处理器520可以用于执行存储器510中的指令以实现图3或者图5中所示的方法。存储器510包括动态随机存取存储器、静态随机存取存储器、闪存、光存储器或其它本领域技术人员所熟知的存储器。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种控制进程访问文件的方法,应用在客户端,其特征在于,所述方法包括:
接收来自于管理平台的进程白名单以及预设特征值集合;
若根据所述进程白名单确认访问所述客户端上文件的第一进程属于未知进程,则解析与所述第一进程对应的访问请求得到所述文件的特征值;
若确认所述预设特征值集合中存在与所述特征值匹配的目标预设特征值,则拦截所述访问请求。
2.如权利要求1所述的方法,其特征在于,所述预设特征值集合包括第一类预设特征值和第二类预设特征值,其中,所述第一类预设特征值属于第一类文件的特征值,所述第一类文件为多个客户端的通用文件,所述第二类预设特征值是通过目标类客户端中的任意一个客户端向所述管理平台提供的且所述第二类预设特征值是属于第二类文件的特征值,所述第二类文件属于所述目标类客户端的专用文件。
3.如权利要求2所述的方法,其特征在于,所述接收来自于管理平台的进程白名单以及预设特征值集合,包括:
接收由所述管理平台提供的所述第一类预设特征值和所述第二类预设特征值,得到所述预设特征值集合;
将所述预设特征值集合存储在特征值库中;
所述确认所述预设特征值集合中存在与所述特征值匹配的目标预设特征值,包括:
若所述特征值与所述特征值库中的一个预设特征值匹配,则确认所述特征值库中存在与所述特征值匹配的所述目标预设特征值。
4.如权利要求3所述的方法,其特征在于,在所述拦截所述访问请求之后,所述方法还包括:
向所述管理平台上报所述第一进程,其中,所述管理平台若确认所述第一进程为非安全进程则将拦截所述第一进程访问任意客户端,所述管理平台若确认所述第一进程属于安全进程则将所述第一进程添加至所述进程白名单中。
5.一种控制进程访问文件的方法,应用在管理平台,其特征在于,所述方法包括:
向客户端提供预设特征值集合和进程白名单,以使所述客户端根据所述预设特征值集合和所述进程白名单拦截病毒对所述客户端上文件的访问请求,其中,所述预设特征值集合包括第一类预设特征值和第二类预设特征值,所述第一类预设特征值属于第一类文件的特征值,所述第一类文件为通用文件,所述第二类预设特征值是通过目标类客户端中的任意一个客户端向所述管理平台提供的且所述第二类预设特征值是属于第二类文件的特征值,所述第二类文件属于所述目标类客户端的专用文件;
其中,所述客户端被配置为:
接收来自于所述管理平台的所述进程白名单以及所述预设特征值集合;若根据所述进程白名单确认访问所述客户端上文件的第一进程属于未知进程,则解析与所述第一进程对应的访问请求得到所述文件的特征值;若确认所述预设特征值集合中存在与所述特征值匹配的目标预设特征值,则拦截所述访问请求。
6.如权利要求5所述的方法,其特征在于,在所述向客户端提供预设特征值集合和进程白名单之前,所述方法还包括:
提取所述通用文件的共同部分得到所述第一类预设特征值;
向第二客户端提供特征值获取算法,以使所述第二客户端可根据所述特征值获取算法从多个第一类专用文件中提取共同部分作为一个第二类预设特征值;
接收由所述第二客户端通过交互界面输入的所述第二类预设特征值。
7.如权利要求6所述的方法,其特征在于,在所述向客户端提供预设特征值集合和进程白名单之后,所述方法还包括:
接收来自于所述客户端发送的第一进程,其中,所述第一进程是被所述客户端判定为需要拦截的进程;
判定所述第一进程是否属于拦截的进程,若不属于则将所述第一进程更新至所述进程白名单中,若属于则拦截所述第一进程对第三客户端的访问操作。
8.一种控制进程访问文件的装置,其特征在于,所述装置包括:
下载模块,被配置为接收来自于管理平台的进程白名单以及预设特征值集合;
特征值解析模块,被配置为若根据所述进程白名单确认访问客户端上文件的第一进程属于未知进程,则解析与所述第一进程对应的访问请求得到所述文件的特征值;
拦截模块,被配置为若确认所述预设特征值集合中存在与所述特征值匹配的目标预设特征值,则拦截所述访问请求。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时可实现如权利要求1-7中任意一项权利要求所述的方法。
10.一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时可实现如权利要求1-7中任意一项权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310029123.7A CN115906184B (zh) | 2023-01-09 | 2023-01-09 | 一种控制进程访问文件的方法、装置、介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310029123.7A CN115906184B (zh) | 2023-01-09 | 2023-01-09 | 一种控制进程访问文件的方法、装置、介质及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115906184A true CN115906184A (zh) | 2023-04-04 |
| CN115906184B CN115906184B (zh) | 2023-06-16 |
Family
ID=86479055
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310029123.7A Active CN115906184B (zh) | 2023-01-09 | 2023-01-09 | 一种控制进程访问文件的方法、装置、介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115906184B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117035795A (zh) * | 2023-10-08 | 2023-11-10 | 中国建设银行股份有限公司 | 交易风险数据的识别处理方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413142A (zh) * | 2011-11-30 | 2012-04-11 | 华中科技大学 | 基于云平台的主动防御方法 |
| CN106534101A (zh) * | 2016-11-01 | 2017-03-22 | 广东浪潮大数据研究有限公司 | 一种文件防护方法、安全系统客户端及文件防护系统 |
| CN108985095A (zh) * | 2018-07-05 | 2018-12-11 | 深圳市网心科技有限公司 | 一种非公开文件访问方法、系统及电子设备和存储介质 |
| US20180357416A1 (en) * | 2017-06-08 | 2018-12-13 | Cisco Technology, Inc. | File-type whitelisting |
| US20200110893A1 (en) * | 2018-10-08 | 2020-04-09 | Microsoft Technology Licensing, Llc | Controlling installation of unauthorized drivers on a computer system |
| CN111898124A (zh) * | 2020-08-05 | 2020-11-06 | 腾讯科技(深圳)有限公司 | 进程访问控制方法和装置、存储介质及电子设备 |
| CN114564720A (zh) * | 2022-02-18 | 2022-05-31 | 北京圣博润高新技术股份有限公司 | 程序文件审核方法、装置、电子设备及存储介质 |
-
2023
- 2023-01-09 CN CN202310029123.7A patent/CN115906184B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413142A (zh) * | 2011-11-30 | 2012-04-11 | 华中科技大学 | 基于云平台的主动防御方法 |
| CN106534101A (zh) * | 2016-11-01 | 2017-03-22 | 广东浪潮大数据研究有限公司 | 一种文件防护方法、安全系统客户端及文件防护系统 |
| US20180357416A1 (en) * | 2017-06-08 | 2018-12-13 | Cisco Technology, Inc. | File-type whitelisting |
| CN108985095A (zh) * | 2018-07-05 | 2018-12-11 | 深圳市网心科技有限公司 | 一种非公开文件访问方法、系统及电子设备和存储介质 |
| US20200110893A1 (en) * | 2018-10-08 | 2020-04-09 | Microsoft Technology Licensing, Llc | Controlling installation of unauthorized drivers on a computer system |
| CN111898124A (zh) * | 2020-08-05 | 2020-11-06 | 腾讯科技(深圳)有限公司 | 进程访问控制方法和装置、存储介质及电子设备 |
| CN114564720A (zh) * | 2022-02-18 | 2022-05-31 | 北京圣博润高新技术股份有限公司 | 程序文件审核方法、装置、电子设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 何鸿君;罗莉;曹四化;宁京宣;李朋;董黎明;: "基于用户意愿的文件访问控制策略", 国防科技大学学报 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117035795A (zh) * | 2023-10-08 | 2023-11-10 | 中国建设银行股份有限公司 | 交易风险数据的识别处理方法及装置 |
| CN117035795B (zh) * | 2023-10-08 | 2023-12-29 | 中国建设银行股份有限公司 | 交易风险数据的识别处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115906184B (zh) | 2023-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8863284B1 (en) | System and method for determining a security status of potentially malicious files | |
| EP2860657B1 (en) | Determining a security status of potentially malicious files | |
| US8479296B2 (en) | System and method for detecting unknown malware | |
| EP2947595A1 (en) | Attack analysis system, coordination device, attack analysis coordination method, and program | |
| US20170149830A1 (en) | Apparatus and method for automatically generating detection rule | |
| RU2617654C2 (ru) | Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя | |
| CN109271780A (zh) | 机器学习恶意软件检测模型的方法、系统和计算机可读介质 | |
| EP2998901B1 (en) | Unauthorized-access detection system and unauthorized-access detection method | |
| Jethva et al. | Multilayer ransomware detection using grouped registry key operations, file entropy and file signature monitoring | |
| KR101851233B1 (ko) | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 | |
| EP3474174B1 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| CN113497786B (zh) | 一种取证溯源方法、装置以及存储介质 | |
| CN105760787A (zh) | 用于检测随机存取存储器中的恶意代码的系统及方法 | |
| CN110688653A (zh) | 客户端的安全防护方法及装置、终端设备 | |
| CN115906184B (zh) | 一种控制进程访问文件的方法、装置、介质及电子设备 | |
| JP2023550974A (ja) | イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム | |
| CN115904605A (zh) | 软件防御方法以及相关设备 | |
| CN114780922A (zh) | 一种勒索软件识别方法、装置、电子设备及存储介质 | |
| CN111090857B (zh) | 防御恶意软件攻击文件的方法、计算机系统以及记录介质 | |
| CN103430153B (zh) | 用于计算机安全的接种器和抗体 | |
| JP7000271B2 (ja) | 車両不正アクセス対策装置、及び車両不正アクセス対策方法 | |
| CN115086081B (zh) | 一种蜜罐防逃逸方法及系统 | |
| RU2708355C1 (ru) | Способ обнаружения вредоносных файлов, противодействующих анализу в изолированной среде | |
| CN114866532A (zh) | 端点文件安全检查结果信息上传方法、装置、设备及介质 | |
| US11763004B1 (en) | System and method for bootkit detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |