CN116644424A - 计算装置安全保护方法及系统、电子设备、可读存储介质 - Google Patents
计算装置安全保护方法及系统、电子设备、可读存储介质 Download PDFInfo
- Publication number
- CN116644424A CN116644424A CN202310919244.9A CN202310919244A CN116644424A CN 116644424 A CN116644424 A CN 116644424A CN 202310919244 A CN202310919244 A CN 202310919244A CN 116644424 A CN116644424 A CN 116644424A
- Authority
- CN
- China
- Prior art keywords
- behavior
- information
- operating system
- action
- computing device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 230000009471 action Effects 0.000 claims abstract description 248
- 230000006399 behavior Effects 0.000 claims description 306
- 238000005192 partition Methods 0.000 claims description 34
- 230000003542 behavioural effect Effects 0.000 claims description 14
- 230000006870 function Effects 0.000 claims description 13
- 230000002159 abnormal effect Effects 0.000 claims description 10
- 230000000903 blocking effect Effects 0.000 claims description 8
- 230000000875 corresponding effect Effects 0.000 description 38
- 238000004458 analytical method Methods 0.000 description 16
- 230000003068 static effect Effects 0.000 description 9
- 241000700605 Viruses Species 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 206010000117 Abnormal behaviour Diseases 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 4
- 238000013500 data storage Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 101100226364 Arabidopsis thaliana EXT1 gene Proteins 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Bioethics (AREA)
- Stored Programmes (AREA)
Abstract
本公开关于一种计算装置安全保护方法及系统、电子设备、可读存储介质。该方法包括:获取计算装置上当前待执行的行为动作的信息;基于行为动作的信息对应的执行者的标识信息或行为动作的类型,从基线数据库中标识信息或所述类型对应的行为动作集中查询行为动作的信息,其中,基线数据库包含计算装置上的操作系统和软件正常运行时的行为动作的信息;在行为动作集中未查询到行为动作的信息的情况下,阻止行为动作;在行为动作集中查询到行为动作的信息的情况下,执行行为动作。
Description
技术领域
本公开涉及计算机安全领域,尤其涉及一种计算装置安全保护方法及系统、电子设备、可读存储介质。
背景技术
随着网络犯罪变得越来越普遍,给社会造成了越来越大的负担,监管机构对此的反应是更加重视软件安全和保护敏感的客户数据。常规的安全软件需要运行在操作系统上,并通过与病毒特征库、漏洞样本库中的特征或样本进行对比实现安全防护功能,但这样方法并不适用操作系统出现问题的情况,而且如果操作系统以及其上的应用软件存在未知漏洞或黑客后门,如零日漏洞,由于这些未知漏洞和黑客后门并未包含在病毒特征库、漏洞样本库中,故常规的安全软件无法通过与病毒特征库、漏洞样本库中的特征或样本进行对比实现安全防护功能,即很难保证病毒特征库和漏洞样本库的完整性,导致计算装置无法得到有效的安全防护。
发明内容
本公开提供一种计算装置安全保护方法及系统、电子设备、可读存储介质,以至少解决相关技术中计算装置无法得到有效的安全防护的问题。
根据本公开实施例的第一方面,提供一种计算装置安全保护方法,包括:获取计算装置上当前待执行的行为动作的信息;基于行为动作的信息对应的执行者的标识信息或行为动作的类型,从基线数据库中标识信息或所述类型对应的行为动作集中查询行为动作的信息,其中,基线数据库包含计算装置上的操作系统和软件正常运行时的行为动作的信息;在行为动作集中未查询到行为动作的信息的情况下,阻止行为动作;在行为动作集中查询到行为动作的信息的情况下,执行行为动作。
可选地,在从基线数据库中标识信息或所述类型对应的行为动作集中查询行为动作的信息之前,还包括:在操作系统完整且不存在威胁的情况下,启动操作系统;获取操作系统和软件正常运行时的完整行为日志,其中,完整行为日志记录了操作系统和软件正常运行时完整的行为轨迹;基于完整行为日志,获取操作系统和软件正常运行时的行为动作的信息并存储到基线数据库。
可选地,在获取操作系统和软件正常运行时的完整行为日志之前,还包括:在操作系统不完整或者存在威胁的情况下,将操作系统恢复至指定时间节点下的状态,其中,指定时间节点下的操作系统是完整且不存在威胁的;启动恢复后的操作系统。
可选地,获取操作系统和软件正常运行时的完整行为日志,包括:获取操作系统和软件正常运行时的行为日志,并存储在本地内存的相应空间中;在行为日志所在的空间被占满时,按预定的数据格式和管理算法,将空间中的行为日志存储到独立的磁盘分区;继续获取操作系统和软件正常运行时的行为日志,直至独立的磁盘分区中的行为日志记录了操作系统和软件正常运行时完整的行为轨迹;其中,在基于完整行为日志,获取操作系统和软件正常运行时的行为动作的信息并存储到基线数据库之前,还包括:从独立的磁盘分区读取完整行为日志。
可选地,在启动操作系统之前,还包括:锁定自身的关键入口的输入内容和关键参数表示的意义。
可选地,在启动操作系统之前,还包括:将自身的关键入口和关键参数的实际功能分别转移到其他入口和其他参数,但保留关键入口和关键参数的形式。
可选地,在阻止行为动作之后,还包括:展示报警信息,其中,报警信息包括行为动作的信息;在行为动作的信息指示行为动作是非法动作的情况下,基于行为动作的信息确定异常情况;在行为动作的信息指示行为动作不是非法动作的情况下,将行为动作的信息存入基线数据库。
根据本公开实施例的第二方面,提供一种计算装置安全保护系统,包括:获取单元,被配置为获取计算装置上当前待执行的行为动作的信息;查询单元,被配置为基于行为动作的信息对应的执行者的标识信息或行为动作的类型,从基线数据库中标识信息或所述类型对应的行为动作集中查询行为动作的信息,其中,基线数据库包含计算装置上的操作系统和软件正常运行时的行为动作的信息;阻止单元,被配置为在行为动作集中未查询到行为动作的信息的情况下,阻止行为动作;执行单元,被配置为在行为动作集中查询到行为动作的信息的情况下,执行行为动作。
可选地,查询单元,还被配置为在从基线数据库中标识信息或所述类型对应的行为动作集中查询行为动作的信息之前,在操作系统完整且不存在威胁的情况下,启动操作系统;获取操作系统和软件正常运行时的完整行为日志,其中,完整行为日志记录了操作系统和软件正常运行时完整的行为轨迹;基于完整行为日志,获取操作系统和软件正常运行时的行为动作的信息并存储到基线数据库。
可选地,查询单元,还被配置为在获取操作系统和软件正常运行时的完整行为日志之前,在操作系统不完整或者存在威胁的情况下,将操作系统恢复至指定时间节点下的状态,其中,指定时间节点下的操作系统是完整且不存在威胁的;启动恢复后的操作系统。
可选地,查询单元,还被配置为获取操作系统和软件正常运行时的行为日志,并存储在本地内存的相应空间中;在行为日志所在的空间被占满时,按预定的数据格式和管理算法,将空间中的行为日志存储到独立的磁盘分区;继续获取操作系统和软件正常运行时的行为日志,直至独立的磁盘分区中的行为日志记录了操作系统和软件正常运行时完整的行为轨迹;其中,在基于完整行为日志,获取操作系统和软件正常运行时的行为动作的信息并存储到基线数据库之前,还从独立的磁盘分区读取完整行为日志。
可选地,查询单元,还被配置为在启动操作系统之前,锁定自身的关键入口的输入内容和关键参数表示的意义。
可选地,查询单元,还被配置为在启动操作系统之前,将自身的关键入口和关键参数的实际功能分别转移到其他入口和其他参数,但保留关键入口和关键参数的形式。
可选地,阻止单元,还被配置为在阻止行为动作之后,展示报警信息,其中,报警信息包括行为动作的信息;在行为动作的信息指示行为动作是非法动作的情况下,基于行为动作的信息确定异常情况;在行为动作的信息指示行为动作不是非法动作的情况下,将行为动作的信息存入基线数据库。
根据本公开实施例的第三方面,提供了一种电子设备,包括:处理器;用于存储处理器可执行指令的存储器;其中,处理器被配置为执行指令,以实现根据本公开的计算装置安全保护方法。
根据本公开实施例的第四方面,提供了一种计算机可读存储介质,当计算机可读存储介质中的指令被至少一个处理器运行时,促使至少一个处理器执行如上根据本公开的计算装置安全保护方法。
根据本公开实施例的第七方面,提供了一种计算机程序产品,包括计算机指令,计算机指令被处理器执行时实现根据本公开的计算装置安全保护方法。
本公开的实施例提供的技术方案至少带来以下有益效果:
根据本公开的计算装置安全保护方法及系统、电子设备、可读存储介质,可以预先将操作系统和软件正常运行时的行为动作的信息存储到基线数据库,开启了基线保护后,将基线数据库中的行为动作作为基线与当前待执行的行为动作进行比较,如果当前待执行的行为动作不是基线数据库中相应执行者或相应类型对应行为动作,则可以将当前待执行的行为动作确定为是非法动作,直接阻止该行为动作即可,只有当前待执行的行为动作是基线数据库中相应执行者或相应类型对应行为动作时,才可以执行当前待执行的行为动作。由于操作系统和软件正常运行时的行为动作相对于病毒和漏洞而言是相对固定的,因此,本公开通过判断当前待执行的行为动作是否在基线数据库中来限制非法操作,可以精细封堵基线数据库之外的异常行为动作,使得计算装置可以得到有效的安全防护。因此,本公开解决了相关技术中计算装置无法得到有效的安全防护的问题。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理,并不构成对本公开的不当限定。
图1是根据一示例性实施例示出的一种计算装置安全保护方法的流程图;
图2是根据一示例性实施例示出的一种计算装置安全保护方法的系统流程图;
图3是根据一示例性实施例示出的一种计算装置安全保护系统的框图;
图4是根据本公开实施例的一种电子设备400的框图。
具体实施方式
为了使本领域普通人员更好地理解本公开的技术方案,下面将结合附图,对本公开实施例中的技术方案进行清楚、完整地描述。
需要说明的是,本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。以下实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
在此需要说明的是,在本公开中出现的“若干项之中的至少一项”均表示包含“该若干项中的任意一项”、“该若干项中的任意多项的组合”、“该若干项的全体”这三类并列的情况。例如“包括A和B之中的至少一个”即包括如下三种并列的情况:(1)包括A;(2)包括B;(3)包括A和B。又例如“执行步骤一和步骤二之中的至少一个”,即表示如下三种并列的情况:(1)执行步骤一;(2)执行步骤二;(3)执行步骤一和步骤二。
本公开提供了一种计算装置安全保护方法及系统、电子设备、可读存储介质,即预先将操作系统和软件正常运行时的行为动作的信息存储到基线数据库,在开启了基线保护后,获取计算装置上当前待执行的行为动作的信息后,将基线数据库中的行为动作作为基线与当前待执行的行为动作进行比较,如果当前待执行的行为动作不是基线数据库中相应执行者或相应类型对应行为动作,则直接阻止该行为动作即可,如果当前待执行的行为动作是基线数据库中相应执行者或相应类型对应行为动作时,执行该行为动作。本公开通过判断当前待执行的行为动作是否在基线数据库中来限制非法操作,可以精细封堵基线数据库之外的异常行为动作,能够保证计算装置得到有效的安全防护。
下面,将参照附图详细描述根据本公开的示例性实施例的计算装置安全保护方法及系统、电子设备、可读存储介质。
图1是根据一示例性实施例示出的一种计算装置安全保护方法的流程图,如图1所示计算装置安全保护方法包括以下步骤:
在步骤S101中,获取计算装置上当前待执行的行为动作的信息。
上述行为动作可以是调用动态库、调用静态库、读行为、写行为等,对此本公开并不进行限定。上述行为动作可以是计算装置上的操作系统的行为动作,也可以是计算装置上的软件的行为动作,对此本公开并不进行限定。上述计算装置上的软件可以是依赖于操作系统运行的应用程序,也可以是依赖计算装置上硬件或其他系统运行的应用程序,对此本公开并不进行限定。上述步骤S101的执行主体可以是计算装置上无需依赖操作系统的系统(后续可以成为安全系统),对此本公开并不进行限定。
作为示例,计算装置上可以设置有基线保护事项,在开启了基线保护后,可以监控计算装置上每个待执行的行为动作,如,以当前待执行的行为动作为例,需要先获取计算装置上当前待执行的行为动作的信息。
返回图1,在步骤S102中,基于行为动作的信息对应的执行者的标识信息或行为动作的类型,从基线数据库中标识信息或类型对应的行为动作集中查询行为动作的信息,其中,基线数据库包含计算装置上的操作系统和软件正常运行时的行为动作的信息。
作为示例,仍以当前待执行的行为动作为例,获取到计算装置上当前待执行的行为动作的信息,可以基于该行为动作的信息对应的执行者的标识信息或行为动作的类型,从基线数据库中标识信息或类型对应的行为动作集中查询行为动作的信息,查询当前待执行的行为动作是否在基线数据库中,以便确定是阻止该行为动作,还是执行该行为动作。
需要说明的是,上述基线数据库包含了计算装置上的操作系统和软件正常运行时的行为动作的信息,具体地,可以将操作系统和软件的行为动作的信息分别划分到各自的行为动作集,此时基线数据库存储的是操作系统和软件各自对应的行为动作集;也可以将操作系统和软件所有行为动作的信息中属于同一类别的行为动作的信息划分到一个行为动作集中,此时基线数据库存储的时操作系统和软件的不同类型的行为动作集,对此本公开并不进行限定。
作为示例,以操作系统为例,将操作系统的行为动作的信息划分到自身对应的行为动作集,同时还可以将操作系统的行为动作的信息进行分类,如可以分为调用动态库、调用静态库、线程、I/O流、读写行为等,对此本公开并不进行限定。如此,可以得到调用动态库清单、调用静态库清单、线程清单、I/O流清单、读写行为清单等,即操作系统的行为动作集中包含了调用动态库清单、调用静态库清单、线程清单、I/O流清单、读写行为清单等,使得后续进行行为比对时,可以精确的调用与待执行的行为动作的类型相对应的清单,减少比对的次数,降低比对复杂度,提高比对效率。需要说明的是,该行为动作集中还可以包括该操作系统的ID,该ID可以用于与待执行的行为动作的执行者的ID比对,判断待执行的行为动作的执行者是否合法。
根据本公开的示例性实施例,上述步骤S202可以是基于所述行为动作的信息对应的执行者的标识信息,从基线数据库中所述标识信息对应的行为动作集中查询所述行为动作的信息。
作为示例,以操作系统和两个软件为例,将操作系统和两个软件的行为动作的信息统一进行分类,如也可以分为调用动态库、调用静态库、线程、I/O流、读写行为等,对此本公开并不进行限定。如此,可以得到操作系统和两个软件所有的行为动作信息分类后的不同类型的行为动作集,如调用动态库集、调用静态库集、线程集、I/O流集、读写行为集等,使得后续进行行为比对时,可以精确的调用与待执行的行为动作的类型相对应的集合,减少比对的次数,降低比对复杂度,提高比对效率。需要说明的是,基线数据库还可以包括该操作系统和两个软件的ID集,该ID集可以用于与待执行的行为动作的执行者的ID比对,判断待执行的行为动作的执行者是否合法。
根据本公开的示例性实施例,上述步骤S202可以是基于所述行为动作的信息对应的行为动作的类型,从基线数据库中该类型对应的行为动作集中查询所述行为动作的信息。
根据本公开的示例性实施例,在从基线数据库中标识信息或类型对应的行为动作集中查询行为动作的信息之前,还可以在操作系统完整且不存在威胁的情况下,启动操作系统;获取操作系统和软件正常运行时的完整行为日志,其中,完整行为日志记录了操作系统和软件正常运行时完整的行为轨迹;基于完整行为日志,获取操作系统和软件正常运行时的行为动作的信息并存储到基线数据库。根据本实施例,可以确保启动的操作系统是一个完整、非篡改的安全的系统,保证操作系统启动的全方位安全,从而才可以获取到相对准确的完整行为日志,而且,完整行为日志记录了操作系统和软件正常运行时完整的行为轨迹,可以追查计算装置上任何一个文件、任何一个进程/线程的来源、运行过程和关联关系等,从而基于该完整行为日志获取的基线数据库,可以准确的监测计算装置上的异常行为动作,可以进一步地对计算装置进行有效的安全保护。
作为示例,在计算装置上电后,可以通过统一可扩展固件接口(英语:UnifiedExtensible Firmware Interface,缩写为UEFI)或主引导记录(Master Boot Record,缩写为MBR)接管计算装置,由于UEFI/MBR能够在计算装置上电后引导其上的操作系统及软件的启动,所以基于UEFI/MBR的控制设计能够在计算装置的主板引导程序之前先于操作系统接管计算装置。
作为示例,以UEFI引导操作系统及软件的启动为例,在操作系统尚未加载到计算装置之前,可以通过UEFI检查操作系统的完整性,如核心文件的校验验证、硬件驱动程序是否丢失或损坏、关键配置数据是否被篡改等,对此本公开并不进行限定;同时检查操作系统是否存在威胁,如进行启动项分析、系统状态分析、分区表分析、文件系统分析、文件从属流分析等全面分析,分析操作系统中是否存在木马后门软件、rootkit、软件后门启动、利用漏洞攻击破坏、外设非授权操作等,对此本公开并不进行限定。如果检测结果显示操作系统是完整且不存在威胁的情况下,则可以引导操作系统启动以及软件启动。
需要说明的是,上述启动项分析可以包括但并不限于直接启动、间接自启动、定时自启动、关联自启动、映像劫持、替换自启动等异常启动项的分析;系统状态分析可以包括但并不限于正常启动(正常进入操作系统)、启动异常(蓝屏等操作系统崩溃)等状态分析;分区表分析可以包括但并不限于分区布局、文件系统类型、空闲空间和利用率、分区关系和交互等分析;文件系统类型分析即通过分析分区表,可以获取每个分区所使用的文件系统类型,如FAT32、NTFS、EXT4等;文件从属流分析即深入了解文件的内容和属性,帮助进行故障诊断、数据恢复、恶意代码分析、取证调查等工作。
其中,上述分区表分析中各部分含义如下:1)分区布局,即分析磁盘上的分区表可以了解到磁盘被划分为多少个分区以及每个分区的起始位置和大小;2)空闲空间和利用率,即分析磁盘上的分区表可以计算出各个分区的已使用空间和剩余空间,从而了解磁盘的利用率和空闲空间情况;3)分区关系和交互,即磁盘上的分区表可以显示分区之间的关系,例如主分区、扩展分区和逻辑分区之间的关系。
作为示例,本公开的完整行为日志属于细粒度日志,不同于目前主流技术中基于操作系统平台接口的文件监控、网络监控等功能,本公开的完整行为日志能够真正完整的监控和记录计算装置上所有操作系统及软件的运行轨迹。如,完整行为日志能够监控到计算装置上每个程序(即操作系统及软件)在运行过程上的行为,可以包括但并不限于进程、线程、文件、网络、注册表、IO、窗口、启动方式等,而且可以监控并记录物理层和操作系统逻辑层上的日志。再有,该完整行为日志能够完整的记录计算装置(终端或服务器)运行时的操作行为,能够监控包括操作系统在内的所有程序的运行轨迹,因此,根据完整行为日志可以追查任何一个文件、任何一个进程/线程的来源、运行过程和关联关系,也可以根据一定的模式对程序进行预警、阻断和恢复。
作为示例,在启动操作系统后,可以实时获取操作系统和软件正常运行时的行为日志,直至获取到完整行为日志,该完整行为日志记录了操作系统和软件正常运行时完整的行为轨迹;然后,可以从完整行为日志提取操作系统和软件正常运行时的行为动作的信息,并将这些行为动作信息存储到基线数据库,以便后续作为基线用于比对操作。
根据本公开的示例性实施例,在获取操作系统和软件正常运行时的完整行为日志之前,还可以在操作系统不完整或者存在威胁的情况下,将操作系统恢复至指定时间节点下的状态,其中,指定时间节点下的操作系统是完整且不存在威胁的;启动恢复后的操作系统。根据本实施例,在操作系统不完整或者存在威胁的情况下,将操作系统恢复至指定时间节点下的状态,可以确保启动的操作系统是一个完整、非篡改的安全的系统,保证操作系统启动的全方位安全,从而才可以获取到相对准确的完整行为日志。
作为示例,仍以UEFI引导操作系统及软件的启动为例,在操作系统尚未加载到计算装置之前,可以通过UEFI检查操作系统的完整性以及检查操作系统是否存在威胁,如果检查结果显示操作系统不完整或者存在威胁,此时可以将操作系统恢复至指定时间节点,该指定时间节点下的操作系统是完整且无威胁的,从而确保启动的操作系统是一个完整、非篡改的安全的操作系统,保证操作系统启动的全方位安全。
根据本公开的示例性实施例,获取操作系统和软件正常运行时的完整行为日志,可以包括:获取操作系统和软件正常运行时的行为日志,并存储在本地内存的相应空间中;在行为日志所在的空间被占满时,按预定的数据格式和管理算法,将空间中的行为日志存储到独立的磁盘分区;继续获取操作系统和软件正常运行时的行为日志,直至独立的磁盘分区中的行为日志记录了操作系统和软件正常运行时完整的行为轨迹;其中,在基于完整行为日志,获取操作系统和软件正常运行时的行为动作的信息并存储到基线数据库之前,还可以从独立的磁盘分区读取完整行为日志。
根据本实施例,不同于一般依赖操作系统平台上的文件系统来保持数据,本实施例实现了数据独立分区存储和保护技术,完全不依赖操作系统的支持,即单独划分出独立的磁盘分区,按照自定义的数据格式和管理算法存取行为日志,这就完全摆脱了对操作系统的平台依赖,因此,可以不受操作系统本身故障或攻击的干扰,从而可以提供稳定可控、可校验回滚的数据存储机制,在此基础上可以实现针对包括操作系统本身在内的程序的运行监控、分析、恢复、运行控制等功能,具备了可靠的逻辑基础。
需要说明的是,基线数据库也可以存储在独立的磁盘分区,但是考虑基线数据库调用比较频繁,因此,为了方便基线数据库的调用,也可以将基线数据库存储在计算装置的内存中,对此本公开并不进行限定。如果在内存上存储基线数据库,则需要以加密方式存储基线数据库,可以阻止其他恶意软件对基线数据库的篡改和颠覆,保证基线数据库的安全性。
根据本公开的示例性实施例,在启动操作系统之前,可以锁定自身的关键入口的输入内容和关键参数表示的意义。根据本实施例,对本安全系统的关键入口和关键参数进行锁定,可以阻止其他恶意软件对本安全系统的篡改和颠覆。
根据本公开的示例性实施例,在启动操作系统之前,可以将自身的关键入口和关键参数的实际功能分别转移到其他入口和其他参数,但保留关键入口和关键参数的形式。根据本实施例,将本安全系统的关键入口和关键参数的实际功能进行暗中转移,保留它们形式上不变但已经无实际效果,以确保对本安全系统的安全控制并能检测恶意软件的修改。
作为示例,可以对安全系统自身的某些关键参数和关键入口进行锁定,从而可以阻止其他恶意软件对安全系统的篡改和颠覆。另外,安全系统中一些敏感入口和敏感参数,为防止遭到恶意软件的篡改,甚至导致安全系统失控,因此也可以将这些敏感入口(即关键入口)和敏感参数(即关键参数)的实际功能进行暗中转移,保留它们形式上不变但已经无实际效果,以确保对安全系统的控制并能检测恶意软件对安全系统的篡改和颠覆
返回图1,在步骤S103中,在行为动作集中未查询到行为动作的信息的情况下,阻止行为动作。
作为示例,如果在行为动作集中未查询到行为动作的信息,说明该行为动作可能是异常行为,此时需要阻止该行为动作,以避免对计算装置上的操作系统及软件带来损害。
根据本公开的示例性实施例,在阻止行为动作之后,可以展示报警信息,其中,报警信息包括行为动作的信息;在行为动作的信息指示行为动作是非法动作的情况下,基于行为动作的信息确定异常情况;在行为动作的信息指示行为动作不是非法动作的情况下,将行为动作的信息存入基线数据库。根据本实施例,在阻止行为动作后,可以将该行为动作的信息展示给用户,从而用户可以根据所展示的信息确定该行为动作是否为非法行为,如果是非法行为,则进一步确定相应的异常情况,如果不是非法行为,则可以将该行为动作存储到基线数据库,丰富基线数据库,提高基线数据库的覆盖率。
作为示例,当在行为动作集中未查询到行为动作的信息时,阻止该行为动作后,可向用户展示报警信息,提醒用户计算装置上出现了异常行为动作,此时用户可以根据所展示的报警信息中行为动作的信息,确定该行为动作是否为非法行为,如果确定该行为动作是非法行为,则可以进一步确定相应的异常情况,如发生该异常情况的原因,以及针对该异常情况的解决方案;如果确定该行为动作不是非法行为,则可以将该行为动作存储到基线数据库中相应的行为动作集中,这样可以丰富基线数据库,提高基线数据库的覆盖率。
在步骤S104中,在行为动作集中查询到行为动作的信息的情况下,执行行为动作。
作为示例,如果在行为动作集中查询到行为动作的信息,说明该行为动作属于计算装置上操作系统或软件正常运行的行为动作,此时可以正常执行该行为动作。
为了方便理解本公开,下面结合图2进行系统性的说明,图2是根据一示例性实施例示出的一种计算装置安全保护方法的系统流程图,如图2所示,该系统流程主要包括下面几个流程:
流程一:计算装置上电后,计算装置上的硬件可以控制固件,通过固件启动UEFI,然后通过UEFI检查操作系统是否完整,如果检查结果显示操作系统是完整的,则通过UEFI继续对操作系统进行分析,分析操作系统是否存在威胁,如果检查结果显示操作系统没有威胁则可以引导启动该操作系统。如果检查结果显示操作系统不完整或者存在威胁,此时需要将操作系统恢复至用户指定的在指定时间节点,即恢复到操作系统的某一个时刻,在该时刻下操作系统是完整且不存在威胁的。需要说明的是,上述固件是指计算装置内部保存的“驱动程序”,通过固件,操作系统才能按照标准的设备驱动实现特定机器的运行动作,比如光驱、刻录机等都有内部固件。
流程二:在操作系统正常启动后,安全软件监控操作系统及软件的运行轨迹,并会收集操作系统及软件正常运行的完整行为日志(也即细粒度日志),收集完成后,可以根据该完整行为日志统计操作系统及软件的行为动作清单,如操作系统及软件中各执行者ID清单、调用动态库清单、调用静态库清单、线程清单、I/O流清单、读写行为清单等等,并将这些行为清单插入基线数据库。需要说明的是,对于行为动作在基线数据库的存储形式,本公开并不进行限定。
流程三:开启基线保护后,安全系统会获取计算装置上当前待执行的行为动作,并确定该行为动作的执行者ID,基于该执行者ID读取基线数据库的相应的行为动作清单,确定当前待执行的行为动作是否在相应的行为动作清单中,如确定当前待执行的行为动作在相应的行为动作清单中,则正常执行该行为动作,如确定当前待执行的行为动作不在相应的行为动作清单中,则阻止该行为动作并向用户展示报警信息,即将该行为动作视为非法动作,可能是木马发作或病毒攻击等。如果用户根据报警信息,确定该行为动作确实是非法动作,则可以将该非法动作记录在违规动作数据库,如果用户根据报警信息,确定该行为动作不是非法动作,则可以将该行为动作记录在基线数据库。
综上,本公开提出一种区别于传统防病毒软件的计算装置安全保护方法,本公开的安全系统从UEFI/MBR层在操作系统启动前接管计算装置,在检查到操作系统完整且没有威胁时,才启动操作系统,从而获取操作系统及在操作系统之上运行的软件正常运行的完整行为日志,即细粒度日志。通过细粒度日志提取操作系统及软件的行为动作并存入基线数据库。基线保护启动后,通过将实时行为动作与基线数据库中的行为动作对比,来限制操作系统及软件进行非法操作,精细封堵基线数据库之外的木马程序运行、软件后门启动、利用漏洞攻击破坏等异常行为执行。从而本公开不需要依赖病毒特征库和漏洞样本库等就可以形成系统保护能力,即通过实时行为动作对比基线数据库中行为动作的方式,可以有效防止计算装置上各程序发起的非法动作,包括动态库调用、静态库调用、读取数据信息、写入数据信息等。当某一进程潜藏病毒或木马发作后读写基线数据库外的数据或调用基线数据库外的程序等非法动作都会被本公开的安全系统阻止。
图3是根据一示例性实施例示出的一种计算装置安全保护系统的框图。参照图3,该系统包括获取单元30,查询单元32、阻止单元34和执行单元36。
获取单元30,被配置为获取计算装置上当前待执行的行为动作的信息;查询单元32,被配置为基于行为动作的信息对应的执行者的标识信息或行为动作的类型,从基线数据库中标识信息或类型对应的行为动作集中查询行为动作的信息,其中,基线数据库包含计算装置上的操作系统和软件正常运行时的行为动作的信息;阻止单元34,被配置为在行为动作集中未查询到行为动作的信息的情况下,阻止行为动作;执行单元36,被配置为在行为动作集中查询到行为动作的信息的情况下,执行行为动作。
根据本公开的示例性实施例,查询单元32,还被配置为在从基线数据库中标识信息或类型对应的行为动作集中查询行为动作的信息之前,在操作系统完整且不存在威胁的情况下,启动操作系统;获取操作系统和软件正常运行时的完整行为日志,其中,完整行为日志记录了操作系统和软件正常运行时完整的行为轨迹;基于完整行为日志,获取操作系统和软件正常运行时的行为动作的信息并存储到基线数据库。
根据本公开的示例性实施例,查询单元32,还被配置为在获取操作系统和软件正常运行时的完整行为日志之前,在操作系统不完整或者存在威胁的情况下,将操作系统恢复至指定时间节点下的状态,其中,指定时间节点下的操作系统是完整且不存在威胁的;启动恢复后的操作系统。
根据本公开的示例性实施例,查询单元32,还被配置为获取操作系统和软件正常运行时的行为日志,并存储在本地内存的相应空间中;在行为日志所在的空间被占满时,按预定的数据格式和管理算法,将空间中的行为日志存储到独立的磁盘分区;继续获取操作系统和软件正常运行时的行为日志,直至独立的磁盘分区中的行为日志记录了操作系统和软件正常运行时完整的行为轨迹;其中,在基于完整行为日志,获取操作系统和软件正常运行时的行为动作的信息并存储到基线数据库之前,从独立的磁盘分区读取完整行为日志。
根据本公开的示例性实施例,查询单元32,还被配置为在启动操作系统之前,锁定自身的关键入口的输入内容和关键参数表示的意义。
根据本公开的示例性实施例,查询单元32,还被配置为在启动操作系统之前,将自身的关键入口和关键参数的实际功能分别转移到其他入口和其他参数,但保留关键入口和关键参数的形式。
根据本公开的示例性实施例,阻止单元34,还被配置为在阻止行为动作之后,展示报警信息,其中,报警信息包括行为动作的信息;在行为动作的信息指示行为动作是非法动作的情况下,基于行为动作的信息确定异常情况;在行为动作的信息指示行为动作不是非法动作的情况下,将行为动作的信息存入基线数据库。
根据本公开的实施例,可提供一种电子设备。图4是根据本公开实施例的一种电子设备400的框图,该电子设备包括至少一个存储器401和至少一个处理器402,所述至少一个存储器中存储有计算机可执行指令集合,当计算机可执行指令集合被至少一个处理器执行时,执行根据本公开实施例的计算装置安全保护方法。
作为示例,电子设备400可以是PC计算机、平板装置、个人数字助理、智能手机、或其他能够执行上述指令集合的装置。这里,电子设备1000并非必须是单个的电子设备,还可以是任何能够单独或联合执行上述指令(或指令集)的装置或电路的集合体。电子设备400还可以是集成控制系统或系统管理器的一部分,或者可被配置为与本地或远程(例如,经由无线传输)以接口互联的便携式电子设备。
在电子设备400中,处理器402可包括中央处理器(CPU)、图形处理器(GPU)、可编程逻辑装置、专用处理器系统、微控制器或微处理器。作为示例而非限制,处理器402还可包括模拟处理器、数字处理器、微处理器、多核处理器、处理器阵列、网络处理器等。
处理器402可运行存储在存储器中的指令或代码,其中,存储器401还可以存储数据。指令和数据还可经由网络接口装置而通过网络被发送和接收,其中,网络接口装置可采用任何已知的传输协议。
存储器401可与处理器402集成为一体,例如,将RAM或闪存布置在集成电路微处理器等之内。此外,存储器401可包括独立的装置,诸如,外部盘驱动、存储阵列或任何数据库系统可使用的其他存储装置。存储器401和处理器402可在操作上进行耦合,或者可例如通过I/O端口、网络连接等互相通信,使得处理器402能够读取存储在存储器401中的文件。
此外,电子设备400还可包括视频显示器(诸如,液晶显示器)和用户交互接口(诸如,键盘、鼠标、触摸输入装置等)。电子设备的所有组件可经由总线和/或网络而彼此连接。
根据本公开的实施例,还可提供一种计算机可读存储介质,其中,当计算机可读存储介质中的指令被至少一个处理器运行时,促使至少一个处理器执行本公开实施例的计算装置安全保护方法。这里的计算机可读存储介质的示例包括:只读存储器(ROM)、随机存取可编程只读存储器(PROM)、电可擦除可编程只读存储器(EEPROM)、随机存取存储器(RAM)、动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、闪存、非易失性存储器、CD-ROM、CD-R、CD+R、CD-RW、CD+RW、DVD-ROM、DVD-R、DVD+R、DVD-RW、DVD+RW、DVD-RAM、BD-ROM、BD-R、BD-R LTH、BD-RE、蓝光或光盘存储器、硬盘驱动器(HDD)、固态硬盘(SSD)、卡式存储器(诸如,多媒体卡、安全数字(SD)卡或极速数字(XD)卡)、磁带、软盘、磁光数据存储装置、光学数据存储装置、硬盘、固态盘以及任何其他装置,所述任何其他装置被配置为以非暂时性方式存储计算机程序以及任何相关联的数据、数据文件和数据结构并将所述计算机程序以及任何相关联的数据、数据文件和数据结构提供给处理器或计算机使得处理器或计算机能执行所述计算机程序。上述计算机可读存储介质中的计算机程序可在诸如客户端、主机、代理装置、服务器等计算机设备中部署的环境中运行,此外,在一个示例中,计算机程序以及任何相关联的数据、数据文件和数据结构分布在联网的计算机系统上,使得计算机程序以及任何相关联的数据、数据文件和数据结构通过一个或多个处理器或计算机以分布式方式存储、访问和执行。
根据本公开实施例,提供了一种计算机程序产品,包括计算机指令,计算机指令被处理器执行时实现本公开实施例的计算装置安全保护方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (10)
1.一种计算装置安全保护方法,其特征在于,包括:
获取计算装置上当前待执行的行为动作的信息;
基于所述行为动作的信息对应的执行者的标识信息或行为动作的类型,从基线数据库中所述标识信息或所述类型对应的行为动作集中查询所述行为动作的信息,其中,所述基线数据库包含所述计算装置上的操作系统和软件正常运行时的行为动作的信息;
在所述行为动作集中未查询到所述行为动作的信息的情况下,阻止所述行为动作;
在所述行为动作集中查询到所述行为动作的信息的情况下,执行所述行为动作。
2.如权利要求1所述的计算装置安全保护方法,其特征在于,在从基线数据库中所述标识信息或所述类型对应的行为动作集中查询所述行为动作的信息之前,还包括:
在所述操作系统完整且不存在威胁的情况下,启动所述操作系统;
获取所述操作系统和所述软件正常运行时的完整行为日志,其中,所述完整行为日志记录了所述操作系统和所述软件正常运行时完整的行为轨迹;
基于所述完整行为日志,获取所述操作系统和所述软件正常运行时的行为动作的信息并存储到所述基线数据库。
3.如权利要求2所述的计算装置安全保护方法,其特征在于,在获取所述操作系统和所述软件正常运行时的完整行为日志之前,还包括:
在所述操作系统不完整或者存在威胁的情况下,将所述操作系统恢复至指定时间节点下的状态,其中,所述指定时间节点下的所述操作系统是完整且不存在威胁的;
启动恢复后的操作系统。
4.如权利要求2所述的计算装置安全保护方法,其特征在于,所述获取所述操作系统和所述软件正常运行时的完整行为日志,包括:
获取所述操作系统和所述软件正常运行时的行为日志,并存储在本地内存的相应空间中;
在所述行为日志所在的空间被占满时,按预定的数据格式和管理算法,将所述空间中的行为日志存储到独立的磁盘分区;
继续获取所述操作系统和所述软件正常运行时的行为日志,直至所述独立的磁盘分区中的行为日志记录了所述操作系统和所述软件正常运行时完整的行为轨迹;
其中,在基于所述完整行为日志,获取所述操作系统和所述软件正常运行时的行为动作的信息并存储到基线数据库之前,还包括:
从所述独立的磁盘分区读取所述完整行为日志。
5.如权利要求2或3所述的计算装置安全保护方法,其特征在于,在启动所述操作系统之前,还包括:
锁定自身的关键入口的输入内容和关键参数表示的意义。
6.如权利要求2或3所述的计算装置安全保护方法,其特征在于,在启动所述操作系统之前,还包括:
将自身的关键入口和关键参数的实际功能分别转移到其他入口和其他参数,但保留所述关键入口和所述关键参数的形式。
7.如权利要求2所述的计算装置安全保护方法,其特征在于,在阻止所述行为动作之后,还包括:
展示报警信息,其中,所述报警信息包括所述行为动作的信息;
在所述行为动作的信息指示所述行为动作是非法动作的情况下,基于所述行为动作的信息确定异常情况;
在所述行为动作的信息指示所述行为动作不是非法动作的情况下,将所述行为动作的信息存入所述基线数据库。
8.一种计算装置安全保护系统,其特征在于,包括:
获取单元,被配置为获取计算装置上当前待执行的行为动作的信息;
查询单元,被配置为基于所述行为动作的信息对应的执行者的标识信息或行为动作的类型,从基线数据库中所述标识信息或所述类型对应的行为动作集中查询所述行为动作的信息,其中,所述基线数据库包含所述计算装置上的操作系统和软件正常运行时的行为动作的信息;
阻止单元,被配置为在所述行为动作集中未查询到所述行为动作的信息的情况下,阻止所述行为动作;
执行单元,被配置为在所述行为动作集中查询到所述行为动作的信息的情况下,执行所述行为动作。
9.一种电子设备,其特征在于,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述指令,以实现如权利要求1至7中任一项所述的计算装置安全保护方法。
10.一种计算机可读存储介质,其特征在于,当所述计算机可读存储介质中的指令被至少一个处理器运行时,促使所述至少一个处理器执行如权利要求1至7中任一项所述的计算装置安全保护方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310919244.9A CN116644424A (zh) | 2023-07-25 | 2023-07-25 | 计算装置安全保护方法及系统、电子设备、可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310919244.9A CN116644424A (zh) | 2023-07-25 | 2023-07-25 | 计算装置安全保护方法及系统、电子设备、可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116644424A true CN116644424A (zh) | 2023-08-25 |
Family
ID=87619240
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310919244.9A Pending CN116644424A (zh) | 2023-07-25 | 2023-07-25 | 计算装置安全保护方法及系统、电子设备、可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116644424A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100313075A1 (en) * | 2007-12-18 | 2010-12-09 | Efthimios Liakos | Method for supporting a safety-oriented system |
CN111814138A (zh) * | 2020-06-30 | 2020-10-23 | 郑州信大先进技术研究院 | 一种基于云平台的软件安全管理系统 |
CN113079124A (zh) * | 2020-01-03 | 2021-07-06 | 中国移动通信集团广东有限公司 | 入侵行为检测方法、系统及电子设备 |
CN114238961A (zh) * | 2021-12-22 | 2022-03-25 | 安天科技集团股份有限公司 | 云主机的威胁检测方法、装置、电子设备及存储介质 |
CN114968663A (zh) * | 2022-05-20 | 2022-08-30 | 成都易我科技开发有限责任公司 | 一种数据库内容恢复方法及系统 |
-
2023
- 2023-07-25 CN CN202310919244.9A patent/CN116644424A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100313075A1 (en) * | 2007-12-18 | 2010-12-09 | Efthimios Liakos | Method for supporting a safety-oriented system |
CN113079124A (zh) * | 2020-01-03 | 2021-07-06 | 中国移动通信集团广东有限公司 | 入侵行为检测方法、系统及电子设备 |
CN111814138A (zh) * | 2020-06-30 | 2020-10-23 | 郑州信大先进技术研究院 | 一种基于云平台的软件安全管理系统 |
CN114238961A (zh) * | 2021-12-22 | 2022-03-25 | 安天科技集团股份有限公司 | 云主机的威胁检测方法、装置、电子设备及存储介质 |
CN114968663A (zh) * | 2022-05-20 | 2022-08-30 | 成都易我科技开发有限责任公司 | 一种数据库内容恢复方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11687653B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
US8555385B1 (en) | Techniques for behavior based malware analysis | |
US8621624B2 (en) | Apparatus and method for preventing anomaly of application program | |
US8091127B2 (en) | Heuristic malware detection | |
US8844059B1 (en) | Method and apparatus for preventing data loss through screen capture | |
JP6703616B2 (ja) | セキュリティ脅威を検出するためのシステム及び方法 | |
US8434151B1 (en) | Detecting malicious software | |
US8607339B2 (en) | Systems and methods for improved identification and analysis of threats to a computing system | |
US9652616B1 (en) | Techniques for classifying non-process threats | |
US20130339313A1 (en) | Guarded file descriptors | |
US8768896B2 (en) | Setting information database management | |
CN104268475B (zh) | 一种运行应用程序的系统 | |
CN110457907B (zh) | 一种固件程序检测方法和装置 | |
EP3063692B1 (en) | Virtual machine introspection | |
TWI607338B (zh) | 儲存裝置及其資料保護方法與資料保護系統 | |
US9860261B2 (en) | System for analyzing and maintaining data security in backup data and method thereof | |
JP2006330864A (ja) | サーバ計算機システムの制御方法 | |
US20230315855A1 (en) | Exact restoration of a computing system to the state prior to infection | |
EP3535681B1 (en) | System and method for detecting and for alerting of exploits in computerized systems | |
CN116644424A (zh) | 计算装置安全保护方法及系统、电子设备、可读存储介质 | |
JP2014026305A (ja) | データ処理装置及びデータベースシステム及びデータ処理方法及びプログラム | |
CN112069489A (zh) | 一种移动存储介质内外网交叉使用的检测方法 | |
US20210240364A1 (en) | Storing new settings for write-protected systems on non-write-protected storage | |
Verbowski et al. | LiveOps: Systems Management as a Service. | |
CN115510435A (zh) | 隐藏进程检测方法、装置、电子设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20230825 |