CN116451269A - 数据保护方法、装置、电子设备和可读存储介质 - Google Patents

数据保护方法、装置、电子设备和可读存储介质 Download PDF

Info

Publication number
CN116451269A
CN116451269A CN202310324048.7A CN202310324048A CN116451269A CN 116451269 A CN116451269 A CN 116451269A CN 202310324048 A CN202310324048 A CN 202310324048A CN 116451269 A CN116451269 A CN 116451269A
Authority
CN
China
Prior art keywords
target
target process
starting
analysis
white list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310324048.7A
Other languages
English (en)
Other versions
CN116451269B (zh
Inventor
杨文波
张龙杰
刘善德
孙昆轮
吴涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Hualu Times Information Technology Co ltd
Original Assignee
Beijing Hualu Times Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Hualu Times Information Technology Co ltd filed Critical Beijing Hualu Times Information Technology Co ltd
Priority to CN202310324048.7A priority Critical patent/CN116451269B/zh
Publication of CN116451269A publication Critical patent/CN116451269A/zh
Application granted granted Critical
Publication of CN116451269B publication Critical patent/CN116451269B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本申请涉及数据保护领域,尤其是涉及一种数据保护方法、装置、电子设备和可读存储介质,方法包括:当检测到创建了目标进程时,获取目标进程对应的进程标识;利用目标进程对应的进程标识,判断目标进程是否为白名单中的进程,其中,白名单中包括多个预设的安全进程的进程标识;若否,则对目标进程进行启动权限分析,得到分析结果;当分析结果为目标进程具有启动权限时,启动目标进程,并根据目标进程对应的进程标识更新白名单;利用目标进程,对目标进程对应的目标文件中的数据执行相应操作。本申请具有高效保障数据安全的效果。

Description

数据保护方法、装置、电子设备和可读存储介质
技术领域
本申请涉及数据保护的技术领域,尤其是涉及一种数据保护方法、装置、电子设备和可读存储介质。
背景技术
目前,对于数据安全的保护方法多为当发现有新出现的进程在运行时,通过监测新出现的进程是否对系统中的数据产生威胁,当产生威胁后停止进程的运行,以实现保障系统中的数据安全,其中,产生的威胁可能包括盗取数据、损坏数据和删改数据。但是在新出现的进程运行过程中可能对系统中的数据产生威胁。故,数据安全的相关保护方法存在监测新出现的进程不及时,从而导致无法高效保障数据安全的问题。
因此,如何提供一种解决上述技术问题的方案是本领域技术人员目前需要解决的问题。
发明内容
为了高效保障数据安全,本申请提供一种数据保护方法、装置、电子设备和可读存储介质。
第一方面,本申请提供一种数据保护方法,采用如下的技术方案:
一种数据保护方法,包括:
当检测到创建了目标进程时,获取目标进程对应的进程标识,其中,所述目标进程为新创建的进程;
利用目标进程对应的进程标识,判断所述目标进程是否为白名单中的进程,其中,白名单中包括多个预设的安全进程的进程标识;
若否,则对所述目标进程进行启动权限分析,得到分析结果;
当所述分析结果为所述目标进程具有启动权限时,启动所述目标进程,并根据所述目标进程对应的进程标识更新所述白名单;
利用所述目标进程,对所述目标进程对应的目标文件中的数据执行相应操作。
通过采用上述技术方案,基于数据保护思想,选择在目标进程启动前,而不是在目标进程运行过程中,判断目标进程是否会对系统中的数据产生威胁,其中,威胁可以包括盗取数据、损坏数据和删改数据;具体的,先通过引入基于白名单的数据保护方法,初步判断目标进程是否为安全进程,提升系统内数据的安全性;之后,通过敏感操作类型对目标进程进行启动权限分析,对非安全进程的目标进程的安全性进行第二次判断,进一步的,提升了系统对于进程安全性判断的精确度;综上,本方案通过提升系统内数据保护的安全性,和进程安全性判断的精确度,以实现高效保障系统的数据安全。
本申请在一较佳示例中可以进一步配置为:
对所述目标进程进行启动权限分析,得到分析结果,包括:
获取所述目标进程的待操作类型,其中,待操作类型表征所述目标进程对所述目标文件的执行方式;
获取所述目标进程对应的目标文件的敏感操作类型,其中,敏感操作类型表征目标文件所不被允许的若干执行方式;
根据待操作类型和所述敏感操作类型进行启动权限分析,得到分析结果;
其中,当所述敏感操作类型包括待操作类型时,分析结果为所述目标进程不具有启动权限;否则,分析结果为所述目标进程具有启动权限。
通过采用上述技术方案,先获取目标进程的待操作类型,和目标进程对应的目标文件的敏感操作类型;再根据待操作类型和敏感操作类型进行启动权限分析,得到分析结果,以确定目标进程是否具有启动权限。
本申请在一较佳示例中可以进一步配置为:
所述数据保护方法,还包括:
在目标进程运行过程中,实时获取所述目标进程产生的若干操作类型,并根据所述若干操作类型以及各自对应的产生时间生成操作顺序;
获取所述目标文件的预设敏感执行顺序集;
判断所述操作顺序是否能与所述预设敏感执行顺序集中的任一敏感执行顺序匹配成功;
若是,则确定所述目标进程为危险进程,并停止运行所述目标进程;
若否,则继续运行所述目标进程。
本申请在一较佳示例中可以进一步配置为:
在若是,则确定所述目标进程为危险进程,并停止运行所述目标进程之后,还包括:
将所述目标进程放入备用运行系统,其中,备用运行系统以沙盒形式呈现,且,不包括运行系统的中的关键文件。
通过采用上述技术方案,通过将目标进程放入备用运行系统中启动,以避免部分危险进程在被拦截后发送被拦截的反馈信息给发布者,或,避免危险进程对系统中的关键文件进行操作,来提升数据安全。
本申请在一较佳示例中可以进一步配置为:
在获取目标进程对应的进程标识之前,还包括:
获取常见安全进程的进程标识和自定义进程标识,其中,自定义进程标识与预设安全进程唯一对应;
根据常见安全进程的进程标识和自定义进程标识,得到白名单。
通过采用上述技术方案,利用常见安全进程的进程标识和自定义进程标识共同组成白名单,使构建的白名单更加人性化。
本申请在一较佳示例中可以进一步配置为:
若否,则对所述目标进程进行启动权限分析,得到分析结果,包括:若否,则获取目标进程的进程类型,并判断进程类型是否是用户进程,其中,进程类型至少包括用户进程;
若进程类型为用户进程,则获取用户身份,其中,用户身份为执行目标进程的用户的身份信息;
根据用户身份,获取所述用户身份对应的启动权限分析次数,其中,启动权限分析次数为当前用户进行启动权限分析的累计次数;
获取启动权限分析次数阈值,并判断启动权限分析次数是否超过启动权限分析次数阈值;若超过,则确定所述目标进程不具有启动权限;
若未超过,则对所述目标进程进行启动权限分析,得到分析结果。
通过采用上述技术方案,当目标进程为用户进程时,可以通过增设目标进程对应用户的启动权限分析次数与启动权限分析次数阈值,来进一步的保障系统中数据不被恶意获取、损毁或删改,可以提升系统中数据的安全性。
本申请在一较佳示例中可以进一步配置为:
数据保护方法,还包括:
若所述目标进程为白名单中的进程,则获取目标进程对应的若干级父进程各自对应的命令行信息;根据每一命令行信息判断每一父进程文件是否为恶意进程;
若存在任一级父进程为恶意进程,则停止启动所述目标进程;
若所有级父进程均不为恶意进程,则启动所述目标进程。
通过采用上述技术方案,利用命令行信息,通过判断目标进程的若干级别父进程中是否存在恶意进程,来尽可能的减小执行目标进程对恶意进程带来的协助作用,进一步的避免了恶意进程被完整执行的可能性。
第二方面,本申请提供一种数据保护装置,采用如下的技术方案:
一种数据保护装置,包括:
进程标识获取模块,用于当检测到创建了目标进程时,获取目标进程和目标进程对应的进程标识;
白名单识别模块,用于利用目标进程对应的进程标识,判断所述目标进程是否为白名单中的进程;当不是白名单中的进程时,触发启动权限分析模块;
启动权限分析模块,用于对所述目标进程进行启动权限分析,得到分析结果;当所述分析结果为所述目标进程具有启动权限时,触发启动更新模块;
启动更新模块,用于启动所述目标进程,并根据所述目标进程对应的进程标识更新所述白名单;
目标文件操作模块,用于利用所述目标进程,对所述目标进程对应的目标文件中的数据执行相应操作。
第三方面,本申请提供一种电子设备,采用如下的技术方案:
至少一个处理器;
存储器;
至少一个应用程序,其中至少一个应用程序被存储在存储器中并被配置为由至少一个处理器执行,所述至少一个应用程序配置用于:执行上述任一数据保护方法。
第四方面,本申请提供一种计算机可读存储介质,采用如下的技术方案:
一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令所述计算机执行上所述任一数据保护方法。
综上所述,本申请包括以下至少一种有益技术效果:
1.本方案基于数据保护思想,选择在目标进程启动前,而不是在目标进程运行过程中,判断目标进程是否会对系统中的数据产生威胁,其中,威胁可以包括盗取数据、损坏数据和删改数据;具体的,先通过引入基于白名单的数据保护方法,初步判断目标进程是否为安全进程,提升系统内数据的安全性;之后,通过对敏感操作类型对目标进程进行启动权限分析,对非安全进程的目标进程的安全性进行第二次判断,进一步的,提升了系统对于进程安全性判断的精确度;综上,本方案通过提升系统内数据保护的安全性,和进程安全性判断的精确度,以实现高效保障系统的数据安全;
2.本方案先获取目标进程的待操作类型,和目标进程对应的目标文件的敏感操作类型;再根据待操作类型和敏感操作类型进行启动权限分析,得到分析结果,以确定目标进程是否具有启动权限。
附图说明
图1为本申请实施例提供的一种数据保护方法的流程示意图。
图2为本申请实施例提供的一种数据保护方法的结构示意图。
图3为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
以下结合附图对本申请作进一步详细说明。
本具体实施例仅仅是对本申请的解释,其并不是对本申请的限制,本领域技术人员在阅读完本说明书后可以根据需要对本实施例做出没有创造性贡献的修改,但只要在本申请的权利要求范围内都受到专利法的保护。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,如无特殊说明,一般表示前后关联对象是一种“或”的关系。
下面结合说明书附图对本申请实施例作进一步详细描述。
本申请实施例提供了一种数据保护方法,由电子设备执行,该电子设备可以为服务器也可以为终端设备,其中,该服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云计算服务的云服务器。终端设备可以是智能手机、平板电脑、笔记本电脑、台式计算机等,但并不局限于此,该终端设备以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请实施例在此不做限制,如图1所示,该方法包括步骤S101、步骤S102、步骤S103、步骤S104以及步骤S105,其中:
步骤S101:当检测到创建了目标进程时,获取目标进程对应的进程标识。
其中,目标进程是新创建的进程,每个目标进程对应有相应的标识,能够唯一表征进程。
对于本申请实施例,电子设备中设置有检测模块,用于实时检测是否有新进程的创建,一旦检测到新进程的创建,则获取该新进程的进程标识,即获取目标进程的进程标识。
值得注意的是,电子设备中预先存储有若干进程的进程标识,在创建进程时,会自动根据若干进程的进程标识去确定新创建进程的进程标识,如果新创建的进程在若干进程中,则能够确定对应的进程标识,如果新创建的进程不在若干进程中,则可以对该进程随机设置唯一的进程标识,或者设置所有未在若干进程中的新建进程的进程标识为一固定标识,该固定标识表征未知进程。
在检测到创建了目标进程时,启动且挂起不执行目标进程,然后获取该目标进程的进程信息,进程信息中包括进程的类别和进程标识。
步骤S102:利用目标进程对应的进程标识,判断目标进程是否为白名单中的进程。
具体的,白名单中可以包括多个预设的安全进程的进程标识。
在本申请实施例中,利用白名单,识别新出现是否为安全进程,而并非通过直接识别目标进程是否为黑名单中的若干预设的危险进程之一,来防止危险进程的执行;避免了非危险进程的目标进程,在被确定为非危险进程后,可以直接获取目标文件,进而为系统带来危险。
对于本申请实施例,为保证系统的安全性,在检测到目标进程创建后,将其挂起,并根据进程标识和白名单识别进程身份,来初步检测目标进程是否安全。
进而,在一种可实现的方式中,将目标进程的进程标识与白名单中的进程标识进行逐一比对,若比对成功则确定与白名单中的进程匹配成功,若比对不成功,则继续比对下一进程标识,直至比对成功,或者比对完白名单中的所有进程标识。
在另一种可实现的方式中,由于进程可以分为系统进程和用户进程,进而可以将进程标识以非负整数形式呈现,具体的,进程标识的首位可以设为0或1,其中,进程标识首位为0可以为系统进程的进程标识,进程标识首位为1可以为用户进程的进程标识;当识别进程标识首位为0时,得到目标进程为系统进程的结果,确定目标进程是白名单中的进程,其中,系统进程均为白名单进程;当识别进程标识首位为1时,得到目标进程为用户进程的结果,根据目标进程为用户进程的结果,将目标进程的进程标识,同白名单中的进程标识比对,若比对成功,则确定目标进程为白名单中的进程,若比对不成功,则继续比对下一进程标识,直至比对成功,或者比对完白名单中的所有进程标识。
可以理解的是,若是白名单中的进程,则确定具有启动权限,启动目标进程,此时访问目标文件时,目标文件中的数据是安全的。
步骤S103:若否,则对目标进程进行启动权限分析,得到分析结果。
具体的,若目标进程不是白名单中预设的安全进程,则可以至少通过以下两种方式中的一种进行启动权限分析。
在一种可实现方式中,通过判断目标文件的敏感操作类型是否包括目标进程的待操作类型,来判断是否给予目标进程启动权限,其中,敏感操作类型可以包括若干执行方式,例如,目标进程的目标文件的待操作类型包括读取或发送数据,目标进程的敏感操作类型包括删除数据,此时,目标进程的目标文件的可操作类型与其待操作类型不同,获得分析结果为目标进程不具有启动权限。
进一步的,在判断目标文件的敏感操作类型是否包括目标进程的待操作类型,来判断是否给予目标进程启动权限之前,还可以包括:判断目标进程的待操作类型是否属于系统敏感操作类型,其中,系统敏感操作类型表征系统不允许操作类型,系统敏感操作类型可以结合用户实际需求设置;若属于,则拦截目标进程,若不属于,则判断目标文件的敏感操作类型是否包括目标进程的待操作类型。本方案中,只有待操作类型不属于系统敏感操作类型也不属于目标文件的敏感操作类型时,目标进程才能够运行。可以理解的是,对于当前系统,预设的敏感操作类型可以是当前系统中全部文件的基础性敏感权限;因此,判断目标文件的待操作类型中是否属于预设的敏感权限的判断速度,比直接判断目标文件的待操作类型中是否包括目标文件的敏感操作类型要快;故,可以通过先判定待操作类型中是否包括预设的敏感权限,再判断是否包括敏感操作类型,以提升对于目标进程进行启动权限分析的分析效率。
对于本申请实施例,若目标进程不是白名单中预设的安全进程,则目标进程的进程身份不一定为危险进程,故,为保证在系统避免危险进程入侵的同时,将可能为安全进程的未知进程拦截,可以对目标进程进行启动权限分析,以确定目标进程是否具有启动权限。
步骤S104:当分析结果为目标进程具有启动权限时,启动目标进程,并根据目标进程对应的进程标识更新白名单。
具体的,在一种可能存在的情况中,当分析结果为目标进程具有启动权限时,已被系统认定为安全进程;故,为避免当前进程再次作为目标进程出现时,由于白名单中不存在当前进程对应的进程标识,导致当前进程需要再次经过启动权限分析,其中,当前进程为已被系统认定为安全进程的进程;为节省识别再次出现的目标进程的进程身份的时间,可以将已被系统认定为安全进程的目标进程和目标进程的进程标识,存放在白名单中,作为预设的安全进程与预设的安全进程对应的进程标识。
在另一种可能存在的情况中,当分析结果为目标进程不具有启动权限时,拦截目标进程,以实现数据保护。
步骤S105:利用目标进程,对目标进程对应的目标文件中的数据执行相应操作。
在本申请实施例中,利用获取到的目标进程对应的进程标识,判断目标进程是否为白名单中的进程;若目标进程不是白名单中的进程,则对目标进程进行启动权限分析,得到分析结果,以判断目标进程是否可以启动;当分析结果为目标进程具有启动权限时,启动目标进程;为提升白名单识别安全进程的效率,可以根据目标进程对应的进程标识更新白名单;最后利用目标进程,对目标文件中的数据执行相应操作,实现以白名单为基础的数据保护。
可见,本申请实施例基于数据保护思想,选择在目标进程启动前,而不是在目标进程运行过程中,判断目标进程是否会对系统中的数据产生威胁,其中,威胁可以包括盗取数据、损坏数据和删改数据;具体的,先通过引入基于白名单的数据保护方法,初步判断目标进程是否为安全进程,提升系统内数据的安全性;之后,通过对敏感操作类型对目标进程进行启动权限分析,对非安全进程的目标进程的安全性进行第二次判断,进一步的,提升了系统对于进程安全性判断的精确度;综上,本申请通过提升系统内数据保护的安全性,和进程安全性判断的精确度,以实现高效保障系统的数据安全。
在本申请的另一实施例中,为保证系统中数据的安全,可以在目标进程启动之前,通过判断目标进程的待操作类型的安全性,以确定目标进程是否能获得启动权限。在本申请实施例中,步骤S103,具体可以包括步骤S1031(图中未示出)、步骤S1032(图中未示出)以及步骤S1033(图中未示出),其中:
步骤S1031:获取目标进程的待操作类型。
其中,目标进程为针对目标文件的进程,其中,待操作类型表征目标进程对目标文件的执行方式,执行方式可以包括读取、写入、发送、转发、存储、删除数据;当然,执行方式还可以是其他的,本申请实施例不再进行限定。
对于本申请实施例,在监测到目标进程建立时,电子设备也会获得进程名称、进程标识、路径和操作类型。
步骤S1032:获取目标进程对应的目标文件的敏感操作类型。
具体的,获取目标进程目标文件的文件名称;在电子设备的数据库中,根据目标文件的文件名称,获取目标文件的敏感操作类型,其中,系统的数据库中至少包括系统中全部文件各自对应的敏感操作类型,敏感操作类型包括读取、写入、发送、转发、存储、删除数据中的若干项;当进程对其对应的目标文件执行敏感操作类型中任一执行方式时,可能使目标文件中的数据被损坏或删改,例如,目标文件的文件类型至少可以包括可读文件、可读写文件或可执行文件,其中,对于可读文件来说,写入、发送、转发、存储和删除数据,均为改可读文件的敏感操作类型。
步骤S1033:根据待操作类型和敏感操作类型进行启动权限分析,得到分析结果。
在一种可实现方式中,基于目标文件的敏感操作类型和待操作类型,对目标进程进行启动权限分析,可以包括:当目标进程不存在子进程时,比较待操作类型中的执行方式中是否属于敏感操作类型;若待操作类型中属于敏感操作类型中的任一预设执行方式,则确定得到的分析结果为目标进程不具有启动权限;若待操作类型中不包括敏感操作类型,则确定得到的分析结果为目标进程具有启动权限。
在本申请实施例中,先获取目标进程的待操作类型,和目标进程对应的目标文件的敏感操作类型;再根据待操作类型和敏感操作类型进行启动权限分析,得到分析结果,以确定目标进程是否具有启动权限。
进一步的,除在进程启动前判断目标进程的安全性,可以在目标进程运行的过程中判断目标进程的安全性,在本申请实施例的另一种可能实现的方式中,数据保护方法还可以包括步骤SA1-SA4(附图未示出),其中:
SA1:在目标进程运行过程中,实时获取目标进程产生的操作类型,并根据操作类型以及各自对应的产生时间生成操作顺序。
具体的,在目标进程运行过程中,定期检测目标进程产生的操作类型。
在一种可能的方式中,按照预设扫描周期和预设扫描周期对应的预设扫描次数进行目标进程的操作类型的检测;例如,预设扫描周期为3s,预设扫描周期对应的预设扫描次数为5次,则电子设备以三秒为周期进行一次检测,检测次数为五次。在目标进程运行过程中,基于预设扫描周期和预设扫描次数,实时获取目标进程产生的操作类型,随时间变化,可以得到操作类型中各执行方式的执行的时间节点;根据操作类型中各执行方式的执行的时间节点,生成待操作类型对应的操作顺序。
SA2:获取目标文件的预设敏感执行顺序集。
对于目标文件的预设敏感执行顺序集和待操作类型对应的操作顺序的获取顺序,本申请实施例不再具体限定。
其中,预设敏感执行顺序集可以包括若干以敏感执行顺序排列的执行方式;目标文件的预设敏感执行顺序集的设置,可以根据实际需求设置。
SA3:判断操作顺序是否能与预设敏感执行顺序集中的任一敏感执行顺序匹配成功。
具体的,将操作顺序与预设敏感执行顺序集匹配;若存在任一敏感执行顺序与操作顺序匹配成功,则确定目标进程为危险进程;若匹配失败,则确定目标进程为安全进程。
例如,预设敏感执行顺序集中的全部执行方式包括A、B、C和D,预设敏感执行顺序集中的一个敏感执行顺序为“A-B-C-D-A”,当操作顺序为“A-B-C-D”或“B-C-D-A”或“C-D-A-B”或“D-A-B-C”时,匹配成功,当操作顺序为“B-A-C-D”时,匹配失败。
SA4:若匹配成功,则确定目标进程为危险进程,并停止运行目标进程。
若匹配失败,则继续运行目标进程。
可以理解的是,本申请实施例中,在目标进程运行前,判断进程身份是否为危险进程,然后在目标进程启动后,进一步的判断目标进程的进程身份是否为危险进程,以提升对目标文件中数据的安全性。
在本身请实施例中,通过在目标进程运行过程中实时获取目标进程的待操作类型,并基于实时获取的操作顺序和预设敏感执行顺序集,判断目标进程的执行顺序和目标文件的预设敏感执行顺序集中的任意敏感执行顺序是否匹配成功,以确定目标进程是否为危险进程。
进一步的,在本申请实施例的一种可能实现的方式中,在若是,则确定目标进程为危险进程,并停止运行目标进程之后,具体还可以包括:
将目标进程放入备用运行系统,其中,备用运行系统以沙盒形式呈现,且,不包括运行系统的中的关键文件。
其中,备用运行系统为能够拦截危险进程向备用运行系统外发送的反馈信息的运行系统,且,除不能访问系统的敏感文件外,与当前运行系统完全相同的一种运行系统。敏感文件为当危险进程对敏感文件操作后会损坏或危害系统数据安全的文件。
一般的,运行系统均允许进程访问系统、对输入设备进行读取和网络访问等,但为保证危险进程,无法通过访问系统或对输入设备进行读取或网络访问等,损坏或危害系统数据安全,故,可以将备用运行系统以沙盒形式呈现。
具体的,当确定目标进程为危险进程后,可以将目标进程放入备用运行系统中;然后在备用运行系统中,获取备用运行系统的预设敏感执行顺序集;判断目标进程的待操作类型及其操作顺序和备用运行系统的预设敏感执行顺序集中的任意敏感执行顺序是否匹配成功;若匹配成功,则确定目标进程的危险程度为高危险程度,停止运行目标进程;若匹配失败,则确定目标进程的危险程度为低危险程度,并给予目标进程在备用运行系统中的启动权限。
可以理解的是,当确定目标进程为危险进程时,目标进程的危险程度可能包括危险程度高或危险程度低,且,部分危险进程可能在被拦截后或在无法获取目标文件时,会发送被拦截的反馈信息给发布者,以提醒发布者继续攻击系统;为避免危险进程在被拦截后成功发送反馈信息,故,可以将危险进程放入备用运行系统中,将拦截反馈信息,同时,为避免危险进程对系统中的关键文件进行操作,因此在构建备用运行系统时,备用运行系统不包括运行系统的关键的文件。
在本申请实施例中,通过将目标进程放入备用运行系统中启动,以避免部分危险进程在被拦截后发送被拦截的反馈信息给发布者,或,避免危险进程对系统中的关键文件进行操作,来提升数据安全。
在本申请实施例的一种可能实现的方式中,在步骤S101之前,具体还可以包括步骤S1011(图中未示出)以及步骤S1012(图中未示出),其中:
步骤S1011:获取常见安全进程的进程标识和自定义进程标识,其中,自定义进程标识自定义进程标识与预设安全进程唯一对应。
常见的安全进程可以为多个系统中均常见的安全进程,和,当前系统中多次出现的安全进程;自定义的安全进程可以包括在获取管理员同意后加入白名单的进程。
步骤S1012:根据常见安全进程的进程标识和自定义进程标识,得到白名单。
在本申请实施例中,利用常见安全进程的进程标识和自定义进程标识共同组成白名单,使构建的白名单更加人性化。
在本申请实施例的一种可能实现的方式中,步骤S103在执行若否,则对目标进程进行启动权限分析,得到分析结果时,可以包括步骤S131a(图中未示出)、步骤S132a(图中未示出)、步骤S133a(图中未示出)、步骤S134a(图中未示出)、步骤S135a(图中未示出)以及步骤S136a(图中未示出),其中:
步骤S131a:若否,则获取目标进程的进程类型,并判断进程类型是否是用户进程。
其中,进程类型至少包括用户进程和系统进程,且,默认系统进程为白名单中的进程。
故,为判断目标进程是否为安全的进程时,可以先通过进程标识判断目标进程的进程类型,来初步确定目标进程是否安全,其中,根据进程标识判断进程类型的具体过程,可参考具体实施方式中步骤S102的具体限定。
步骤S132a:若进程类型为用户进程,则获取用户身份。
其中,用户身份为执行目标进程的用户的身份信息。
具体的,可以通过目标进程中携带的用户的IP地址获取用户身份,通过用户ID,获取用户身份,或通过用户的数字证书获取用户身份,等等,只要能获取执行目标进程的用户的用户身份即可。
步骤S133a:根据用户身份,获取用户身份对应的启动权限分析次数。
其中,启动权限分析次数为当前用户进行启动权限分析的累计次数。
当系统多次对同一或不同非白名单进程,进行启动权限分析时,可能存在系统中数据被恶意获取、损毁和/或删改的情况;且,当系统进程默认为安全的进程时,可以选择检测用户进程,来进一步的确保系统中的数据安全。而,系统多次对同一或不同非白名单进程,进行启动权限分析,可能为同一用户对应的,多次对同一或不同非白名单进程进行启动权限分析,或,不同用户对应的总数为多次的,对同一或不同非白名单进程进行启动权限分析;当同一用户对应多次对同一或不同非白名单进程进行启动权限分析,出现时,可能存在当前用户恶意获取、损毁和/或删改系统中数据的情况。故,需要获取用户身份对应的启动权限分析次数。
步骤S134a:获取启动权限分析次数阈值,并判断启动权限分析次数是否超过启动权限分析次数阈值。
启动权限分析次数阈值可根据实际需求设置。
步骤S135a:若超过,则确定目标进程不具有启动权限。
可以理解的是,当启动权限分析次数超过启动权限分析次数阈值时,目标进程对系统中数据存在威胁,故,不再进行具体的启动权限分析,直接不赋予目标进程以启动权限。
步骤S136a:若未超过,则对目标进程进行启动权限分析,得到分析结果。
当确定目标进程对应的用户不存在恶意获取、损毁和/或删改系统中数据的情况后,进一步的,可以对目标进程进行启动权限分析,其中,对目标进程进行启动权限分析的具体过程,可以参照步骤S1031a至步骤S1033a的具体内容。
在本申请实施例中,当目标进程为用户进程时,可以通过增设目标进程对应用户的启动权限分析次数与启动权限分析次数阈值,来进一步的保障系统中数据不被恶意获取、损毁或删改,可以提升系统中数据的安全性。
在本申请实施例的另一种可能实现的方式中,步骤S103在执行若否,则对目标进程进行启动权限分析,得到分析结果时,还可以包括步骤S131b(图中未示出)、步骤S132b(图中未示出)以及步骤S133b(图中未示出),其中:
步骤S131b:若否,则获取目标进程对应的用户的数量、目标进程执行的总频次和目标进程使用的总时长。
可以理解的是,目标进程可以为多个当同一目标进程面对多个用户启动,或高频次的重复启动,或长时间运行,均可能对目标文件甚至系统中的数据产生威胁,故,需要获取上述目标进程对应的用户的数量、目标进程执行的总频次和目标进程使用的总时长。
步骤S132b:若数量大于预设数量阈值,或执行总频次达到预设频次阈值,或总时长达到预设时长阈值,则确定目标进程不具有启动权限。
其中,预设数量阈值、预设频次阈值和预设时长阈值,均可以根据进程威胁数据安全相关的参考数据设置,或根据实际需求自定义设置。
步骤S133b:若未超过,则对目标进程进行启动权限分析,得到分析结果。
当数量或执行总频次达或总时长均未达到对应的阈值时,可以认为目标进程可能威胁系统数据安全,或通过高频次重复启动以执行具有危险性的相关执行方式以威胁系统数据安全,或通过长时间监测/获取系统数据以威胁系统安全的可能性大幅降低。
可见,在本申请实施例中,采取基于目标进程对应的用户身份是否重复尝试执行非白名单进程,或基于目标进程重复启动/长时间运行/高频次运行的相关数量是否超过阈值范围,在根据白名单确定目标进程安全性的基础上,进一步的提升了系统中数据的安全性。
进一步的,在本申请实施例的一种可能实现的方式中,数据保护方法,还可以包括:
若目标进程为白名单中的进程,则获取目标进程对应的若干级父进程各自对应的命令行信息;根据每一命令行信息判断每一父进程文件是否为恶意进程;其中,根据进程间的关系,建立目标进程对应的进程树,基于进程树可以确定目标进程对应的各级父进程和若干子进程。为避免若干级别的父进程中存在恶意进程,本申请实施例可以利用目标进程对应的若干级父进程各自对应的命令行信息来进行恶意进程的相关判定。具体的,可以通过判断命令行信息中是否包括恶意命令,来确定任一级别父进程是否为恶意进程,其中,恶意命令包括但是不限定于:关机、修改系统文件等。
若存在任一级父进程为恶意进程,则停止启动目标进程。
若所有级父进程均不为恶意进程,则启动目标进程。
当存在任一级父进程为恶意进程时,执行目标文件可能会帮助该恶意进程威胁系统中数据的安全,故,需要判断所有级别父进程是否为恶意进程,在保证执行目标进程时目标进程不会协助恶意进程损毁或删改系统数据时,才能执行目标进程。
在本申请实施例中,利用命令行信息,通过判断目标进程的若干级别父进程中是否存在恶意进程,来尽可能的减小执行目标进程对恶意进程带来的协助作用,进一步的避免了恶意进程被完整执行的可能性。
上述实施例从方法流程的角度介绍一种数据保护方法,下述实施例从虚拟模块或者虚拟单元的角度介绍了一种数据保护装置,具体详见下述实施例。
本申请实施例提供一种数据保护装置,如图2所示,该数据保护装置具体可以包括:
进程标识获取模块201,用于当检测到创建了目标进程时,获取目标进程对应的进程标识;
白名单识别模块202,用于利用目标进程对应的进程标识,判断目标进程是否为白名单中的进程;当不是白名单中的进程时,触发启动权限分析模块;
启动权限分析模块203,用于对目标进程进行启动权限分析,得到分析结果;当分析结果为目标进程具有启动权限时,触发启动更新模块;
启动更新模块204,用于启动目标进程,并根据目标进程对应的进程标识更新白名单;
目标文件操作模块205,用于利用目标进程,对目标进程对应的目标文件中的数据执行相应操作。
对于本申请实施例,基于数据保护思想,选择在目标进程启动前,而不是在目标进程运行过程中,判断目标进程是否会对系统中的数据产生威胁,其中,威胁可以包括盗取数据、损坏数据和删改数据;具体的,先通过引入基于白名单的数据保护方法,初步判断目标进程是否为安全进程,提升系统内数据的安全性;之后,通过对敏感操作类型对目标进程进行启动权限分析,对非安全进程的目标进程的安全性进行第二次判断,进一步的,提升了系统对于进程安全性判断的精确度;综上,本申请通过提升系统内数据保护的安全性,和进程安全性判断的精确度,以实现高效保障系统的数据安全。
本申请实施例的一种可能的实现方式,启动权限分析模块203,在执行对目标进程进行启动权限分析,得到分析结果时,具体用于:
获取目标进程的待操作类型;
获取目标进程对应的目标文件的敏感操作类型;
根据待操作类型和敏感操作类型进行启动权限分析,得到分析结果。
其中,当敏感操作类型包括待操作类型时,分析结果为目标进程不具有启动权限;否则,分析结果为目标进程具有启动权限。
本申请实施例的一种可能的实现方式,还包括:
操作顺序判断模块,用于:
在目标进程运行过程中,实时获取目标进程产生的若干操作类型,并根据若干操作类型以及各自对应的产生时间生成操作顺序;
获取目标文件的预设敏感执行顺序集;
判断操作顺序是否能与预设敏感执行顺序集中的任一敏感执行顺序匹配成功;
若是,则确定目标进程为危险进程,并停止运行目标进程;
若否,则继续运行目标进程。
本申请实施例的一种可能的实现方式,操作顺序判断模块,还用于:
将目标进程放入备用运行系统。
本申请实施例的一种可能的实现方式,数据保护装置,还包括:
白名单获取模块,用于:
获取常见安全进程的进程标识和自定义进程标识;
根据常见安全进程的进程标识和自定义进程标识,得到白名单。
本申请实施例的一种可能的实现方式,启动权限分析模块203,在执行若否,则对目标进程进行启动权限分析,得到分析结果时,用于:
若否,则获取目标进程的进程类型,并判断进程类型是否是用户进程;
若进程类型为用户进程,则获取用户身份;
根据用户身份,获取用户身份对应的启动权限分析次数;
获取启动权限分析次数阈值,并判断启动权限分析次数是否超过启动权限分析次数阈值;若超过,则确定目标进程不具有启动权限;
若未超过,则对目标进程进行启动权限分析,得到分析结果。
本申请实施例的一种可能的实现方式,数据保护装置,还包括;
恶意进程识别模块,用于:
若目标进程为白名单中的进程,则获取目标进程对应的若干级父进程各自对应的命令行信息,根据每一命令行信息判断每一父进程文件是否为恶意进程;
若存在任一级父进程为恶意进程,则停止启动目标进程;
若所有级父进程均不为恶意进程,则启动目标进程。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的一种装置20的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例中提供了一种电子设备,如图3所示,图3所示的电子设备包括:处理器301和存储器303。其中,处理器301和存储器303相连,如通过总线302相连。可选地,电子设备还可以包括收发器304。需要说明的是,实际应用中收发器304不限于一个,该电子设备的结构并不构成对本申请实施例的限定。
处理器301可以是CPU(Central Processing Unit,中央处理器),通用处理器,DSP(Digital Signal Processor,数据信号处理器),ASIC(Application SpecificIntegrated Circuit,专用集成电路),FPGA(Field Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器301也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线302可包括一通路,在上述组件之间传送信息。总线302可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(ExtendedIndustry Standard Architecture,扩展工业标准结构)总线等。总线302可以分为地址总线、数据总线、控制总线等。为便于表示,图3中仅用一条粗线表示,但并不表示仅有一根总线或一型的总线。
存储器303可以是ROM(Read Only Memory,只读存储器)或可存储静态信息和指令的其他类型的静态存储设备,RAM(Random Access Memory,随机存取存储器)或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM(Electrically ErasableProgrammable Read Only Memory,电可擦可编程只读存储器)、CD-ROM(Compact DiscRead Only Memory,只读光盘)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
存储器303用于存储执行本申请方案的应用程序代码,并由处理器301来控制执行。处理器301用于执行存储器303中存储的应用程序代码,以实现前述方法实施例所示的内容。
其中,电子设备包括但不限于:移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。还可以为服务器等。图3示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,当其在计算机上运行时,使得计算机可以执行前述方法实施例中相应内容。与相关技术相比,本申请实施例基于数据保护思想,选择在目标进程启动前,而不是在目标进程运行过程中,判断目标进程是否会对系统中的数据产生威胁,其中,威胁可以包括盗取数据、损坏数据和删改数据;具体的,先通过引入基于白名单的数据保护方法,初步判断目标进程是否为安全进程,提升系统内数据的安全性;之后,通过对敏感操作类型对目标进程进行启动权限分析,对非安全进程的目标进程的安全性进行第二次判断,进一步的,提升了系统对于进程安全性判断的精确度;综上,本申请通过提升系统内数据保护的安全性,和提升进程安全性判断的精确度,以实现高效保障系统的数据安全。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
以上仅是本申请的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (10)

1.一种数据保护方法,其特征在于,包括:
当检测到创建了目标进程时,获取目标进程对应的进程标识,其中,所述目标进程为新创建的进程;
利用目标进程对应的进程标识,判断所述目标进程是否为白名单中的进程,其中,白名单中包括多个预设的安全进程的进程标识;
若否,则对所述目标进程进行启动权限分析,得到分析结果;
当所述分析结果为所述目标进程具有启动权限时,启动所述目标进程,并根据所述目标进程对应的进程标识更新所述白名单;
利用所述目标进程,对所述目标进程对应的目标文件中的数据执行相应操作。
2.根据权利要求1所述的数据保护方法,其特征在于,对所述目标进程进行启动权限分析,得到分析结果,包括:
获取所述目标进程的待操作类型,其中,待操作类型表征所述目标进程对所述目标文件的执行方式;
获取所述目标进程对应的目标文件的敏感操作类型,其中,敏感操作类型表征目标文件所不被允许的若干执行方式;
根据待操作类型和所述敏感操作类型进行启动权限分析,得到分析结果;
其中,当所述敏感操作类型包括待操作类型时,分析结果为所述目标进程不具有启动权限;否则,分析结果为所述目标进程具有启动权限。
3.根据权利要求2所述的数据保护方法,其特征在于,还包括:
在目标进程运行过程中,实时获取所述目标进程产生的若干操作类型,并根据所述若干操作类型以及各自对应的产生时间生成操作顺序;
获取所述目标文件的预设敏感执行顺序集;
判断所述操作顺序是否能与所述预设敏感执行顺序集中的任一敏感执行顺序匹配成功;
若是,则确定所述目标进程为危险进程,并停止运行所述目标进程;
若否,则继续运行所述目标进程。
4.根据权利要求3所述的数据保护方法,其特征在于,在若是,则确定所述目标进程为危险进程,并停止运行所述目标进程之后,还包括:
将所述目标进程放入备用运行系统,其中,备用运行系统以沙盒形式呈现,且,不包括运行系统中的关键文件。
5.根据权利要求1所述的数据保护方法,其特征在于,在获取目标进程对应的进程标识之前,还包括:
获取常见安全进程的进程标识和自定义进程标识,其中,自定义进程标识与预设安全进程唯一对应;
根据常见安全进程的进程标识和自定义进程标识,得到白名单。
6.根据权利要求1至5任一项所述的数据保护方法,其特征在于,若否,则对所述目标进程进行启动权限分析,得到分析结果,包括:
若否,则获取目标进程的进程类型,并判断进程类型是否是用户进程,其中,进程类型至少包括用户进程;
若进程类型为用户进程,则获取用户身份,其中,用户身份为执行目标进程的用户的身份信息;
根据用户身份,获取所述用户身份对应的启动权限分析次数,其中,启动权限分析次数为当前用户进行启动权限分析的累计次数;
获取启动权限分析次数阈值,并判断启动权限分析次数是否超过启动权限分析次数阈值;若超过,则确定所述目标进程不具有启动权限;
若未超过,则对所述目标进程进行启动权限分析,得到分析结果。
7.根据权利要求1所述的数据保护方法,其特征在于,还包括:
若所述目标进程为白名单中的进程,则获取目标进程对应的若干级父进程各自对应的命令行信息,根据每一命令行信息判断每一父进程文件是否为恶意进程;
若存在任一级父进程为恶意进程,则停止启动所述目标进程;
若所有级父进程均不为恶意进程,则启动所述目标进程。
8.一种数据保护装置,其特征在于,包括:
进程标识获取模块,用于当检测到创建了目标进程时,获取目标进程对应的进程标识;
白名单识别模块,用于利用目标进程对应的进程标识,判断所述目标进程是否为白名单中的进程;当不是白名单中的进程时,触发启动权限分析模块;
启动权限分析模块,用于对所述目标进程进行启动权限分析,得到分析结果;当所述分析结果为所述目标进程具有启动权限时,触发启动更新模块;
启动更新模块,用于启动所述目标进程,并根据所述目标进程对应的进程标识更新所述白名单;
目标文件操作模块,用于利用所述目标进程,对所述目标进程对应的目标文件中的数据执行相应操作。
9.一种电子设备,其特征在于,包括:
至少一个处理器;
存储器;
至少一个应用程序,其中至少一个应用程序被存储在存储器中并被配置为由至少一个处理器执行,所述至少一个应用程序配置用于:执行权利要求1~7任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,当所述计算机程序在计算机中执行时,令所述计算机执行权利要求1~7任一项所述的方法。
CN202310324048.7A 2023-03-29 2023-03-29 数据保护方法、装置、电子设备和可读存储介质 Active CN116451269B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310324048.7A CN116451269B (zh) 2023-03-29 2023-03-29 数据保护方法、装置、电子设备和可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310324048.7A CN116451269B (zh) 2023-03-29 2023-03-29 数据保护方法、装置、电子设备和可读存储介质

Publications (2)

Publication Number Publication Date
CN116451269A true CN116451269A (zh) 2023-07-18
CN116451269B CN116451269B (zh) 2024-06-18

Family

ID=87131404

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310324048.7A Active CN116451269B (zh) 2023-03-29 2023-03-29 数据保护方法、装置、电子设备和可读存储介质

Country Status (1)

Country Link
CN (1) CN116451269B (zh)

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104484224A (zh) * 2014-12-18 2015-04-01 北京奇虎科技有限公司 一种服务器进程控制方法、装置及系统
CN105119903A (zh) * 2015-07-21 2015-12-02 北京奇虎科技有限公司 在局域网中处理恶意程序的方法及装置
CN109815700A (zh) * 2018-12-29 2019-05-28 360企业安全技术(珠海)有限公司 应用程序的处理方法及装置、存储介质、计算机设备
CN109992965A (zh) * 2017-12-29 2019-07-09 广东欧珀移动通信有限公司 进程处理方法和装置、电子设备、计算机可读存储介质
CN110472409A (zh) * 2019-08-06 2019-11-19 长沙学院 一种基于白名单机制的进程管理方法及系统
CN110532773A (zh) * 2018-05-25 2019-12-03 阿里巴巴集团控股有限公司 恶意访问行为识别方法、数据处理方法、装置和设备
CN110955894A (zh) * 2019-11-22 2020-04-03 深信服科技股份有限公司 一种恶意内容检测方法、装置、电子设备及可读存储介质
US20200110892A1 (en) * 2018-10-08 2020-04-09 Microsoft Technology Licensing, Llc Protecting selected disks on a computer system
CN111368293A (zh) * 2020-03-05 2020-07-03 深信服科技股份有限公司 进程管理方法、装置、系统与计算机可读存储介质
CN111949951A (zh) * 2020-08-07 2020-11-17 山东英信计算机技术有限公司 一种账号管控方法、系统、存储介质和电子设备
CN114417326A (zh) * 2021-12-31 2022-04-29 深信服科技股份有限公司 异常检测方法、装置、电子设备及存储介质
KR20220080347A (ko) * 2020-12-07 2022-06-14 주식회사 엔씨소프트 서버 모니터링 방법 및 장치
CN115544509A (zh) * 2022-11-04 2022-12-30 中国电信股份有限公司 进程安全检测方法、装置、电子设备及存储介质
CN115688092A (zh) * 2022-11-15 2023-02-03 北京安天网络安全技术有限公司 终端弱管控方法、装置、电子设备及存储介质

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104484224A (zh) * 2014-12-18 2015-04-01 北京奇虎科技有限公司 一种服务器进程控制方法、装置及系统
CN105119903A (zh) * 2015-07-21 2015-12-02 北京奇虎科技有限公司 在局域网中处理恶意程序的方法及装置
CN109992965A (zh) * 2017-12-29 2019-07-09 广东欧珀移动通信有限公司 进程处理方法和装置、电子设备、计算机可读存储介质
CN110532773A (zh) * 2018-05-25 2019-12-03 阿里巴巴集团控股有限公司 恶意访问行为识别方法、数据处理方法、装置和设备
US20200110892A1 (en) * 2018-10-08 2020-04-09 Microsoft Technology Licensing, Llc Protecting selected disks on a computer system
CN109815700A (zh) * 2018-12-29 2019-05-28 360企业安全技术(珠海)有限公司 应用程序的处理方法及装置、存储介质、计算机设备
CN110472409A (zh) * 2019-08-06 2019-11-19 长沙学院 一种基于白名单机制的进程管理方法及系统
CN110955894A (zh) * 2019-11-22 2020-04-03 深信服科技股份有限公司 一种恶意内容检测方法、装置、电子设备及可读存储介质
CN111368293A (zh) * 2020-03-05 2020-07-03 深信服科技股份有限公司 进程管理方法、装置、系统与计算机可读存储介质
CN111949951A (zh) * 2020-08-07 2020-11-17 山东英信计算机技术有限公司 一种账号管控方法、系统、存储介质和电子设备
KR20220080347A (ko) * 2020-12-07 2022-06-14 주식회사 엔씨소프트 서버 모니터링 방법 및 장치
CN114417326A (zh) * 2021-12-31 2022-04-29 深信服科技股份有限公司 异常检测方法、装置、电子设备及存储介质
CN115544509A (zh) * 2022-11-04 2022-12-30 中国电信股份有限公司 进程安全检测方法、装置、电子设备及存储介质
CN115688092A (zh) * 2022-11-15 2023-02-03 北京安天网络安全技术有限公司 终端弱管控方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN116451269B (zh) 2024-06-18

Similar Documents

Publication Publication Date Title
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
US9202057B2 (en) Systems and methods for identifying private keys that have been compromised
US8453244B2 (en) Server, user device and malware detection method thereof
US10068089B1 (en) Systems and methods for network security
US20170289178A1 (en) Systems and methods for detecting security threats
CN108875364B (zh) 未知文件的威胁性判定方法、装置、电子设备及存储介质
CN106055976B (zh) 文件检测方法及沙箱控制器
CN110445769B (zh) 业务系统的访问方法及装置
KR20150124370A (ko) 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템
CN111460445A (zh) 样本程序恶意程度自动识别方法及装置
US9202050B1 (en) Systems and methods for detecting malicious files
US9064120B2 (en) Systems and methods for directing application updates
US11611583B2 (en) System and method for detection of malicious interactions in a computer network
CN111371738A (zh) 一种访问控制方法、装置、设备及可读存储介质
US8321940B1 (en) Systems and methods for detecting data-stealing malware
CN113632432B (zh) 一种攻击行为的判定方法、装置及计算机存储介质
CN106650438A (zh) 一种恶意程序检测的方法及装置
CN110619214A (zh) 一种监控软件正常运行的方法和装置
CN113055407A (zh) 一种资产的风险信息确定方法、装置、设备及存储介质
CN110505246B (zh) 客户端网络通讯检测方法、装置及存储介质
WO2019037521A1 (zh) 安全检测的方法、装置、系统以及服务器
CN111241546A (zh) 一种恶意软件行为检测方法和装置
CN113569240B (zh) 恶意软件的检测方法、装置及设备
CN115242608B (zh) 告警信息的生成方法、装置、设备及存储介质
CN116451269B (zh) 数据保护方法、装置、电子设备和可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant