CN117131511A - 用于数据保护的方法、装置、设备和可读介质 - Google Patents
用于数据保护的方法、装置、设备和可读介质 Download PDFInfo
- Publication number
- CN117131511A CN117131511A CN202311084379.4A CN202311084379A CN117131511A CN 117131511 A CN117131511 A CN 117131511A CN 202311084379 A CN202311084379 A CN 202311084379A CN 117131511 A CN117131511 A CN 117131511A
- Authority
- CN
- China
- Prior art keywords
- risk
- data
- behavior data
- electronic device
- degree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 230000003542 behavioural effect Effects 0.000 claims abstract description 52
- 230000006399 behavior Effects 0.000 claims description 67
- 230000006870 function Effects 0.000 claims description 21
- 238000012545 processing Methods 0.000 claims description 21
- 238000012502 risk assessment Methods 0.000 claims description 17
- 230000004044 response Effects 0.000 claims description 16
- 238000003860 storage Methods 0.000 claims description 15
- 238000011156 evaluation Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 6
- 230000002265 prevention Effects 0.000 claims description 3
- 238000013210 evaluation model Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 abstract description 18
- 230000000694 effects Effects 0.000 abstract description 3
- 238000012544 monitoring process Methods 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 18
- 238000004891 communication Methods 0.000 description 16
- 238000013528 artificial neural network Methods 0.000 description 11
- 238000012549 training Methods 0.000 description 8
- 238000010801 machine learning Methods 0.000 description 6
- 238000012360 testing method Methods 0.000 description 4
- 238000013135 deep learning Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000002347 injection Methods 0.000 description 3
- 239000007924 injection Substances 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 238000013527 convolutional neural network Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 101000822695 Clostridium perfringens (strain 13 / Type A) Small, acid-soluble spore protein C1 Proteins 0.000 description 1
- 101000655262 Clostridium perfringens (strain 13 / Type A) Small, acid-soluble spore protein C2 Proteins 0.000 description 1
- 101000655256 Paraclostridium bifermentans Small, acid-soluble spore protein alpha Proteins 0.000 description 1
- 101000655264 Paraclostridium bifermentans Small, acid-soluble spore protein beta Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 210000002569 neuron Anatomy 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Biophysics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Biomedical Technology (AREA)
- Virology (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Molecular Biology (AREA)
- Mathematical Physics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本公开的实施例提供用于数据保护的方法、装置、设备和可读介质。该方法包括:通过使安全组件随目标应用一起运行,来获取调用特定类型文件的目标应用的行为数据,行为数据是基于对与特定文件类型相关联的安全漏洞进行标识来获取的;以及如果确定与行为数据相关联的操作的风险程度超出阈值,阻止操作。以此方式,可以通过将安全组件注入到应用进程内部,与应用程序融为一体,实时检测可以指示应用对特定类型文件的解析调用情况的行为数据。还可以将行为数据完整上报,实现对风险操作的实时监控,有助于提升数据保护的效果。
Description
技术领域
本公开的示例实施例总体涉及计算机技术领域,并且更具体地,涉及用于数据保护的方法、装置、设备和计算机可读存储介质。
背景技术
随着互联网技术的飞速发展,应用、网页等已经成为了人们生活中必不可少的存在。随着应用的种类与数量的不断增加,应用的复杂程度也不断增加,应用的质量与安全问题也随之变得越来越重要。外部实体注入漏洞(XML External Entity Injection,XXE)漏洞就是常见的会对应用的安全造成威胁的一种漏洞。通过恶意构造,XXE漏洞可以导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。期望能够对XXE漏洞实现自动检测以及拦截以保障数据的安全。
发明内容
在本公开的第一方面,提供一种用于数据保护的方法。该方法包括:通过使安全组件随目标应用一起运行,来获取调用特定类型文件的目标应用的行为数据,行为数据是基于对与特定文件类型相关联的安全漏洞进行标识来获取的;以及如果确定与行为数据相关联的操作的风险程度超出阈值,阻止操作。
在本公开的第二方面,提供一种用于数据保护的装置。该装置包括:数据获取模块,被配置为通过使安全组件随目标应用一起运行,来获取调用特定类型文件的目标应用的行为数据,行为数据是基于对与特定文件类型相关联的安全漏洞进行标识来获取的;以及操作阻止模块,被配置为如果确定与行为数据相关联的操作的风险程度超出阈值,阻止操作。
在本公开的第三方面,提供了一种电子设备。该电子设备包括至少一个处理单元;以及至少一个存储器,至少一个存储器被耦合到至少一个处理单元并且存储用于由至少一个处理单元执行的指令,指令在由至少一个处理单元执行时使电子设备执行本公开第一方面的方法。
在本公开的第四方面,提供了一种计算机可读存储介质。该计算机可读存储介质上存储有计算机程序,其可由处理器执行以执行根据本公开的第一方面的方法。
应当理解,发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键特征或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的描述而变得容易理解。
附图说明
在下文中,结合附图并参考以下详细说明,本公开各实现方式的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了本公开的实施例能够在其中实现的示例环境的示意图;
图2示出了根据本公开的一些实施例的用于数据保护的过程的流程图;
图3示出了根据本公开的一些实施例的数据保护的流程的示意图;
图4示出了根据本公开的一些实施例的用于数据保护的装置的示意性结构框图;以及
图5示出了其中可以实施本公开的一个或多个实施例的计算设备的框图。
具体实施方式
下面将参照附图更详细地描述本公开的实施例。虽然附图中示出了本公开的一些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反,提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
在本公开的实施例的描述中,术语“包括”及其类似用语应当理解为开放性包含,即“包括但不限于”。术语“基于”应当理解为“至少部分地基于”。术语“一个实施例”或“该实施例”应当理解为“至少一个实施例”。术语“一些实施例”应当理解为“至少一些实施例”。下文还可能包括其它明确的和隐含的定义。
如本文中所使用的,术语“模型”可以从训练数据中学习到相应的输入与输出之间的关联,从而在训练完成后可以针对给定的输入,生成对应的输出。模型的生成可以基于机器学习技术。深度学习是一种机器学习算法,通过使用多层处理单元来处理输入和提供相应输出。在本文中,“模型”也可以被称为“机器学习模型”、“机器学习网络”、“神经网络”或“网络”,这些术语在本文中可互换地使用。
“神经网络”是一种基于深度学习的机器学习网络。神经网络能够处理输入并且提供相应输出,其通常包括输入层和输出层以及在输入层与输出层之间的一个或多个隐藏层。在深度学习应用中使用的神经网络通常包括许多隐藏层,从而增加网络的深度。神经网络的各个层按顺序相连,从而前一层的输出被提供作为后一层的输入,其中输入层接收神经网络的输入,而输出层的输出作为神经网络的最终输出。神经网络的每个层包括一个或多个节点(也称为处理节点或神经元),每个节点处理来自上一层的输入。
通常,机器学习大致可以包括三个阶段,即训练阶段、测试阶段和应用阶段(也称为推理阶段)。在训练阶段,给定的模型可以使用大量的训练数据进行训练,不断迭代更新参数值,直到模型能够从训练数据中获得一致的满足预期目标的推理。通过训练,模型可以被认为能够从训练数据中学习从输入到输出之间的关联(也称为输入到输出的映射)。训练后的模型的参数值被确定。在测试阶段,将测试输入应用到训练后的模型,测试模型是否能够提供正确的输出,从而确定模型的性能。在应用阶段,模型可以被用于基于训练得到的参数值,对实际的输入进行处理,确定对应的输出。
需要说明的是,本公开的技术方案中,所涉及的用户个人信息的获取,存储和应用等,均符合相关法律法规的规定,且不违背公序良俗。
可以理解的是,在使用本公开各实施例公开的技术方案之前,均应当根据相关法律法规通过适当的方式对本公开所涉及个人信息的类型、使用范围、使用场景等告知用户并获得用户的授权。
例如,在响应于接收到用户的主动请求时,向用户发送提示信息,以明确地提示用户,其请求执行的操作将需要获得和使用到用户的个人信息,从而使得用户可以根据提示信息来自主地选择是否向执行本公开技术方案的操作的电子设备、应用程序、服务器或存储介质等软件或硬件提供个人信息。
作为一种可选的但非限制性的实现方式,响应于接收到用户的主动请求,向用户发送提示信息的方式,例如可以是弹出窗口的方式,弹出窗口中可以以文字的方式呈现提示信息。此外,弹出窗口中还可以承载供用户选择“同意”或“不同意”向电子设备提供个人信息的选择控件。
如上文所讨论的,XXE漏洞是一种常见的会对应用的安全造成威胁的漏洞。传统上,大多是通过WAF、APT防护等设备来对XXE漏洞进行防御,通过主动提供或主动获取待检测XML文档来进行检测。具体地,可以先通过获取浏览器的HTTP数据包,并在发现存在有XML标签的网络流量的情况下,再对其进行替换。可以替换含有XML标签的网络流量中的内容,并构建外部实体注入。然而,在一般数据包存在加密或者编码的情况下,可能无法成功识别具体是不是XML标签。若将此数据包带入下一阶段,则会遗漏此类风险。此外,如果本身业务代码中存在恶意调用XML的情况,无网络请求,WAF等产品无法检测到流量,也会遗漏此类风险。由此可见,传统的XXE漏洞检测的方法存在准确性低、漏报的问题,这依旧会导致针对数据存在安全隐患。
有鉴于此,本公开的实施例提供了一种用于数据保护的方法。该方法包括:通过使安全组件随目标应用一起运行,来获取调用特定类型文件的目标应用的行为数据。行为数据是基于对与特定文件类型相关联的安全漏洞进行标识来获取的。如果确定与行为数据相关联的操作的风险程度超出阈值,阻止操作。以此方式,本公开的实施例可以通过将安全组件注入到应用进程内部,与应用程序融为一体,实时检测可以指示应用对特定类型文件的解析调用情况的行为数据。还可以将行为数据完整上报,实现对风险操作的实时监控,有助于提升数据保护的效果。
图1示出了本公开的实施例能够在其中实现的示例环境100的示意图。如图1所示,环境100可以包括电子设备110。
电子设备110中安装有应用112和安全组件114。在一些实施例中,电子设备110可以将安全组件114注入到应用112以使得二者融为一体,进而可以利用安全组件114实时检测应用112的行为数据。电子设备110还可以确定行为数据的风险程度,并基于风险程度与阈值的比较,来确定应用112是否存在高风险操作。
在一些实施例中,电子设备110可以本地直接确定应用112的行为数据的风险程度。电子设备110可以包括具有计算能力的任何计算系统,例如各种计算设备/系统、终端设备、服务端设备等。终端设备可以是任意类型的移动终端、固定终端或便携式终端,包括移动手机、台式计算机、膝上型计算机、笔记本计算机、上网本计算机、平板计算机、媒体计算机、多媒体平板、掌上电脑、便携式游戏终端、VR/AR设备、个人通信系统(PersonalCommunication System,PCS)设备、个人导航设备、个人数字助理(Personal DigitalAssistant,PDA)、音频/视频播放器、数码相机/摄像机、定位设备、电视接收器、无线电广播接收器、电子书设备、游戏设备或者前述各项的任意组合,包括这些设备的配件和外设或者其任意组合。
在一些实施例中,电子设备110还可以与服务器120通信,以将行为数据上报给服务器120,并从服务器120处获取可以指示风险程度的风险指示。服务器120可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络、以及大数据和人工智能平台等基础云计算服务的云服务器。服务器120例如可以包括计算系统/服务器,诸如大型机、边缘计算节点、云环境中的计算设备,等等。
服务器120与电子设备110之间可以建立有通信连接。通信连接可以通过有线方式或无线方式建立。通信连接可以包括但不限于蓝牙连接、移动网络连接、通用串行总线(Universal Serial Bus,USB)连接、无线保真(Wireless Fidelity,WiFi)连接等,本公开的实施例在此方面不受限制。在本公开的实施例中,服务器120与电子设备110可以通过二者之间的通信连接实现信令交互。
应当理解,仅出于示例性的目的描述环境100中各个元素的结构和功能,而不暗示对于本公开的范围的任何限制。
以下将继续参考附图描述本公开的一些示例实施例。
图2示出了根据本公开的一些实施例的用于数据保护的过程200的流程图。过程200可以被实现在电子设备110处。为便于讨论,将参考图1的环境100来描述过程200。
在框210,电子设备110通过使安全组件随目标应用一起运行,来获取调用特定类型文件的目标应用的行为数据,行为数据是基于对与特定文件类型相关联的安全漏洞进行标识来获取的。这里的特定文件类型例如可以为xml文件。在一些实施例中,特定文件类型例如还可以包括其他任意适当的文件类型,包括但不限于FFP文件、doc文件等等。
在一些实施例中,电子设备110可以预先获取安全组件。例如,在本地未安装安全组件的情况下,可以先获取并安装该安全组件。在一些实施例中,这里的安全组件可以是运行时应用自我防护(Runtime Application Self-Protection,RASP),其可以将自己注入到应用当中以伴随应用一起运行。在安全组件为RASP的情况下,电子设备110可以通过部署命令进行RASP安装。并响应于接收到类似“Success install rasp”这样的消息,确定安装成功。此时RASP已经成功注入到应用进程中,与应用进程融为一体。
在一些实施例中,安全组件随目标应用一起运行后,安全组件可以对目标应用的实时数据进行检测。电子设备110可以利用钩子函数获取调用特定类型文件的目标应用的行为数据。在一些实施例中,电子设备110可以指示安全组件可以利用钩子函数对与特定文件类型相关联的安全漏洞进行标识以获取调用特定类型文件的目标应用的行为数据。这里的钩子函数例如可以为hook函数。这里的安全漏洞例如可以为目标应用中存在的针对特定文件类型的行为数据。示例性的,电子设备110可以响应于检测到目标应用中针对特定文件类型的行为数据,对这样的行为数据进行标识并利用钩子函数获取调用特定类型文件的目标应用的行为数据。示例性的,RASP可以自动注入应用的业务进程,并利用hook函数对应用的行为数据中的钩子点进行hook,即可将所有调用特定类型文件的行为数据进行获取。
在一些实施例中,电子设备110获取到行为数据后,可以确定与行为数据相关联的操作的风险程度。具体地,电子设备110获取到行为数据后,可以对行为数据进行解析以确定与行为数据相关联的操作。电子设备110进而可以通过任意适当的风险程度确定方法来确定该操作的风险程度。示例性的,若与行为数据相关联的操作为对xml格式文件的解析操作,则电子设备110可以确定该操作的风险程度为较高的风险程度。
关于具体的风险程度确定方法,在一些实施例中,电子设备110可以基于预设协议来确定与行为数据相关联的操作的风险程度。这里的预设协议例如可以为http、https、ftp、file、jar、netdoc、mailto、gopher等协议。预设协议例如可以被预先存储在电子设备110中。电子设备110可以确定行为数据是否与预设协议相关联,并响应于确定行为数据与预设协议相关联,确定行为数据的风险程度超出阈值。示例性的,在行为数据为符合预设协议中的任意协议的数据的情况下,电子设备110可以确定与该行为数据相关联的操作为高风险操作。
在一些实施例中,电子设备110还可以利用经训练的风险评估模型来确定与行为数据相关联的操作的风险程度。具体地,电子设备110可以将行为数据输入经训练的风险评估模型。这里的风险评估模型例如可以包括但不限于感知机(perceptron)、卷积神经网络(CNN)、前馈神经网络(FNN)、全连接神经网络(FCN)、生成对抗网络(GAN)、Transformer、循环神经网络(RNN)等等。电子设备110进而可以从风险评估模型处获取模型输出的评估结果。在一些实施例中,风险评估模型输出的评估结果可以指示与行为数据相关联的操作的具体内容以及操作的风险程度。示例性的,这个评估数据例如可以指示与行为数据相关联的操作为对数据的解析操作以及该操作为高风险操作。
在一些实施例中,上述的风险程度确定方法可以是电子设备110自身来执行的。也即,电子设备110可以基于上述的风险程度确定方法来确定与行为数据相关联的操作的风险程度。示例性的,电子设备110可以直接利用本地的风险评估模型来确定可以指示与行为数据相关联的操作的风险程度的评估结果。
备选地或者附加地,在一些实施例中,电子设备110还可以将行为数据上报至目标设备,并从目标设备处获取可以指示行为数据相关联的操作的风险程度的风险指示。这里的目标设备例如可以为与电子设备110之间存在通信连接的服务器120。在这种情况下,电子设备110将行为数据上报至服务器120后,服务器120例如可以基于预设协议来确定与行为数据相关联的操作的风险程度。例如,服务器120可以响应于确定该行为数据为符合预设协议的数据,确定与该行为数据相关联的操作为高风险操作。服务器120例如还可以利用部署在云端的经训练的经训练的风险评估模型来确定预行为数据相关联的操作的风险程度。示例性的,服务器120可以将获取到的行为数据输入风险评估模型,并从风险评估模型处获取指示与行为数据相关联的操作的风险程度的评估结果。服务器120可以确定评估结果所指示的与行为数据相关联的操作的风险程度,并基于确定到的风险程度生成风险指示。在一些实施例中,服务器120可以直接将确定的风险程度作为风险指示。服务器120可以基于与电子设备110之间的通信连接,将风险指示发送至电子设备110以便电子设备110可以获取指示行为数据相关联的操作的风险程度的风险指示。
在一些实施例中,若电子设备110和/或目标设备无法通过上述风险程度确定方法来确定与行为数据相关联的操作的风险程度,电子设备110可以将行为数据呈现给当前用户以由用户自行来判断与行为数据相关联的操作的风险程度。在这种情况下,电子设备110从目标设备处获取到的风险指示例如可以指示无法确定风险程度。示例性的,电子设备110可以通过显示屏、扬声器等信息呈现组件来向当前用户呈现行为数据。当前用户即为与电子设备110对应的用户,其例如可以为使用电子设备110的用户。电子设备110还可以通过任意适当的方式接收用户基于行为数据,对与行为数据相关联的操作的风险程度的确定结果。电子设备110例如可以响应于检测到对指定控件的触发操作,确定接收到的用户输入,进而确定用户对与行为数据相关联的操作的风险程度的确定结果。电子设备110例如还可以响应于检测到特定的语音指令,例如检测到语音指令“确定为高风险操作”,对语音指令进行分析以确定语音指令所指示的与行为数据相关联的操作的风险程度。
在框220,电子设备110如果确定与行为数据相关联的操作的风险程度超出阈值,阻止操作。示例性的,电子设备110响应于确定与行为数据相关联的操作为高风险操作,阻止与行为数据相关联的操作。
在一些实施例中,电子设备110还可以响应于确定与行为数据相关联的操作的风险程度超出阈值,指示安全组件阻止与行为数据相关联的操作。示例性的,在操作为高风险操作的情况下,电子设备110可以指示安全组件拦截行为数据以阻止与行为数据相关联的操作。关于安全组件阻止与行为数据相关联的操作的具体方式,在一些实施例中,在一些实施例中,安全组件可以利用钩子函数来拦截行为数据以阻止与行为数据相关联的操作。
关于确定与行为数据相关联的操作的风险程度是否超出阈值的具体方式,在一些实施例中,风险程度可以指示操作对应的风险等级。电子设备110可以将这个风险等级与预设的阈值等级进行比较以确定风险程度是否超出阈值。示例性的,电子设备110可以响应于风险程度对应的风险等级高于阈值等级,确定风险程度超出阈值。
在一些实施例中,在确定与行为数据相关联的操作的风险程度超出阈值的情况下,电子设备110还可以呈现提示信息。这里的提示信息可以用于提示目标应用存在风险操作。
在一些实施例中,电子设备110可以通过音频播放装置以语音来播报提示信息。这里的音频播放装置例如可以包括扬声器。示例性的,电子设备110可以响应于确定与行为数据相关联的操作的风险程度超出阈值,利用扬声器以语音的形式播报提示信息。
在一些实施例中,电子设备110还可以通过显示装置以图像、文字、视频等形式来呈现提示信息。这里的显示装置例如可以包括显示屏。示例性的,电子设备110可以响应于确定与行为数据相关联的操作的风险程度超出阈值,利用显示屏来以图像、文字、视频等形式来呈现提示信息。
在一些实施例中,电子设备110还可以通过振动马达以振动的形式来呈现提示信息。例如,电子设备110的振动可以以预设的模式进行,以与其他的提示或警示区分开。可以理解,电子设备110还可以通过其他任意适当的方式或以上方式的组合来呈现提示信息,本公开对此不做限定。
参考图3,图3示出了根据本公开的一些实施例的数据保护的流程300的示意图。流程300可以被实现在电子设备110处。为便于讨论,将参考图1的环境100来描述流程300。注意,图3中示出的具体安全组件、具体函数、具体数据等仅是为了解释说明的示例,而不是指示任何限制。
在一些实施例中,电子设备110获取到RASP后,在框310,部署RASP以将RASP安装在电子设备110中。
在框320,RASP随应用一起运行。在一些实施例中,电子设备110可以将RASP注入应用以使RASP随应用一起运行,此时可以理解为RASP与应用绑定运行。
在框330,RASP通过hook函数获取应用的XML解析数据。这里的XML解析数据即为过程200中所述的行为数据的示例。在一些实施例中,RASP可以实时的对应用中的行为数据进行监测,并响应于检测到XML解析数据,通过hook函数获取应用的XML解析数据。
在框340,RASP上报XML解析数据。在一些实施例中,RASP可以直接将XML解析数据上报给电子设备110或者风险评估模型。电子设备110进而可以将XML解析数据输入风险评估模型或者上报给服务器120。在这种情况下,服务器120例如可以将XML解析数据输入部署在云端的风险评估模型。总而言之,在一些实施例中,XML解析数据将被RASP/电子设备110/服务器120输入风险评估模型。
在框350,风险评估模型接收XML解析数据。在一些实施例中,经训练的风险评估模型可以输出针对XML解析数据的评估结果。评估结果可以指示与XML解析数据相关联的XML解析操作的风险程度。
在框360,电子设备110可以基于获取到的风险程度确定与XML解析数据相关联的XML解析操作是否是高风险操作。在一些实施例中,电子设备110可以确定风险程度与阈值之间的比较,并基于比较结果确定XML解析操作是否是高风险操作。
在框370,电子设备110将行为数据上报给工作人员。在一些实施例中,在电子设备110基于风险程度无法确定XML解析操作是高风险操作的情况下,电子设备110可以将行为数据上报给工作人员(这里的工作人员例如可以是与电子设备110相对应的当前用户)。
在框380,电子设备110获取工作人员的确认结果。在一些实施例中,电子设备110可以通过任意适当的方式获取工作人员的确认结果。示例性的,电子设备110可以呈现输入入口,并基于工作人员在输入入口中输入的信息(例如信息“高风险操作”)获取工作人员针对风险程度的确定结果。
在框390,电子设备110自动拦截行为操作并进行示警。在一些实施例中,电子设备110可以指示RASP自动拦截与XML解析数据相关联的XML解析操作,并呈现可以用于提示应用存在风险操作的提示信息以对用户进行示警。
综上所述,本公开的实施例可以通过将安全组件注入到应用进程内部,与应用程序融为一体,实时检测可以指示应用对特定类型文件的解析调用情况的行为数据。还可以将行为数据完整上报,实现对风险操作的实时监控,有助于提升数据保护的效果。
本公开的实施例还提供了用于实现上述方法或过程的相应装置。图4示出了根据本公开的某些实施例的用于数据保护的装置400的示意性结构框图。装置400可以被实现为或者被包括在电子设备110中。装置400中的各个模块/组件可以由硬件、软件、固件或者它们的任意组合来实现。
如图4所示,装置400包括数据获取模块410,被配置为通过使安全组件随目标应用一起运行,来获取调用特定类型文件的目标应用的行为数据,行为数据是基于对与特定文件类型相关联的安全漏洞进行标识来获取的。装置400还包括操作阻止模块420,被配置为如果确定与行为数据相关联的操作的风险程度超出阈值,阻止操作。
在一些实施例中,数据获取模块410包括:行为数据获取模块,被配置为利用钩子函数获取调用特定类型文件的目标应用的行为数据。
在一些实施例中,装置400还包括:风险程度确定模块,被配置为基于行为数据,确定与行为数据相关联的操作的风险程度。
在一些实施例中,风险程度确定模块包括:关联确定模块,被配置为确定行为数据是否与预设协议相关联;以及第一确定模块,被配置为响应于确定行为数据与预设协议相关联,确定行为数据的风险程度超出阈值。
在一些实施例中,风险程度确定模块包括:模型输入模块,被配置为将行为数据输入经训练的风险评估模型;以及结果获取模块,被配置为获取风险评估模型输出的评估结果,评估结果可以指示与行为数据相关联的操作的风险程度。
在一些实施例中,风险程度确定模块包括:数据上报模块,被配置为将行为数据上报至目标设备;以及指示获取模块,被配置为从目标设备处获取风险指示,风险指示可以指示行为数据相关联的操作的风险程度。
在一些实施例中,装置400还包括:提示信息呈现模块,被配置为如果确定与行为数据相关联的操作的风险程度超出阈值,呈现提示信息,提示信息用于提示目标应用存在风险操作。
装置400中所包括的单元和/或模块可以利用各种方式来实现,包括软件、硬件、固件或其任意组合。在一些实施例中,一个或多个单元和/或模块可以使用软件和/或固件来实现,例如存储在存储介质上的机器可执行指令。除了机器可执行指令之外或者作为替代,装置400中的部分或者全部单元和/或模块可以至少部分地由一个或多个硬件逻辑组件来实现。作为示例而非限制,可以使用的示范类型的硬件逻辑组件包括现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准品(ASSP)、片上系统(SOC)、复杂可编程逻辑器件(CPLD),等等。
应当理解,以上方法中的一个或多个步骤可以由适当的电子设备或电子设备的组合来执行。这样的电子设备或电子设备的组合例如可以包括图1中的电子设备110。
图5示出了其中可以实施本公开的一个或多个实施例的电子设备500的框图。应当理解,图5所示出的电子设备500仅仅是示例性的,而不应当构成对本文所描述的实施例的功能和范围的任何限制。图5所示出的电子设备500可以用于实现图1的电子设备110和/或服务器120。
如图5所示,电子设备500是通用电子设备的形式。电子设备500的组件可以包括但不限于一个或多个处理器或处理单元510、存储器520、存储设备530、一个或多个通信单元540、一个或多个输入设备550以及一个或多个输出设备560。处理单元510可以是实际或虚拟处理器并且能够根据存储器520中存储的程序来执行各种处理。在多处理器系统中,多个处理单元并行执行计算机可执行指令,以提高电子设备500的并行处理能力。
电子设备500通常包括多个计算机存储介质。这样的介质可以是电子设备500可访问的任何可以获得的介质,包括但不限于易失性和非易失性介质、可拆卸和不可拆卸介质。存储器520可以是易失性存储器(例如寄存器、高速缓存、随机访问存储器(RAM))、非易失性存储器(例如,只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、闪存)或它们的某种组合。存储设备530可以是可拆卸或不可拆卸的介质,并且可以包括机器可读介质,诸如闪存驱动、磁盘或者任何其他介质,其可以能够用于存储信息和/或数据并且可以在电子设备500内被访问。
电子设备500可以进一步包括另外的可拆卸/不可拆卸、易失性/非易失性存储介质。尽管未在图5中示出,可以提供用于从可拆卸、非易失性磁盘(例如“软盘”)进行读取或写入的磁盘驱动和用于从可拆卸、非易失性光盘进行读取或写入的光盘驱动。在这些情况中,每个驱动可以由一个或多个数据介质接口被连接至总线(未示出)。存储器520可以包括计算机程序产品525,其具有一个或多个程序模块,这些程序模块被配置为执行本公开的各种实施例的各种方法或动作。
通信单元540实现通过通信介质与其他电子设备进行通信。附加地,电子设备500的组件的功能可以以单个计算集群或多个计算机器来实现,这些计算机器能够通过通信连接进行通信。因此,电子设备500可以使用与一个或多个其他服务器、网络个人计算机(PC)或者另一个网络节点的逻辑连接来在联网环境中进行操作。
输入设备550可以是一个或多个输入设备,例如鼠标、键盘、追踪球等。输出设备560可以是一个或多个输出设备,例如显示器、扬声器、打印机等。电子设备500还可以根据需要通过通信单元540与一个或多个外部设备(未示出)进行通信,外部设备诸如存储设备、显示设备等,与一个或多个使得用户与电子设备500交互的设备进行通信,或者与使得电子设备500与一个或多个其他电子设备通信的任何设备(例如,网卡、调制解调器等)进行通信。这样的通信可以经由输入/输出(I/O)接口(未示出)来执行。
根据本公开的示例性实现方式,提供了一种计算机可读存储介质,其上存储有计算机可执行指令,其中计算机可执行指令被处理器执行以实现上文描述的方法。根据本公开的示例性实现方式,还提供了一种计算机程序产品,计算机程序产品被有形地存储在非瞬态计算机可读介质上并且包括计算机可执行指令,而计算机可执行指令被处理器执行以实现上文描述的方法。
这里参照根据本公开实现的方法、装置、设备和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理单元,从而生产出一种机器,使得这些指令在通过计算机或其他可编程数据处理装置的处理单元执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
可以把计算机可读程序指令加载到计算机、其他可编程数据处理装置、或其他设备上,使得在计算机、其他可编程数据处理装置或其他设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其他可编程数据处理装置、或其他设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实现的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本公开的各实现,上述说明是示例性的,并非穷尽性的,并且也不限于所公开的各实现。在不偏离所说明的各实现的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实现的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其他普通技术人员能理解本文公开的各个实现方式。
Claims (10)
1.一种用于数据保护的方法,包括:
通过使安全组件随目标应用一起运行,来获取调用特定类型文件的所述目标应用的行为数据,所述行为数据是基于对与所述特定文件类型相关联的安全漏洞进行标识来获取的;以及
如果确定与所述行为数据相关联的操作的风险程度超出阈值,阻止所述操作。
2.根据权利要求1所述的方法,其中所述获取调用特定类型文件的所述目标应用的行为数据包括:
利用钩子函数获取调用特定类型文件的所述目标应用的所述行为数据。
3.根据权利要求1所述的方法,还包括:
基于所述行为数据,确定与所述行为数据相关联的操作的风险程度。
4.根据权利要求3所述的方法,其中确定与所述行为数据相关联的操作的风险程度包括:
确定所述行为数据是否与预设协议相关联;以及
响应于确定所述行为数据与所述预设协议相关联,确定所述行为数据的风险程度超出所述阈值。
5.根据权利要求3所述的方法,其中确定与所述行为数据相关联的操作的风险程度包括:
将所述行为数据输入经训练的风险评估模型;以及
获取所述风险评估模型输出的评估结果,所述评估结果可以指示与所述行为数据相关联的操作的风险程度。
6.根据权利要求3所述的方法,其中确定与所述行为数据相关联的操作的风险程度包括:
将所述行为数据上报至目标设备;以及
从所述目标设备处获取风险指示,所述风险指示可以指示所述行为数据相关联的操作的风险程度。
7.根据权利要求1所述的方法,还包括:
如果确定与所述行为数据相关联的操作的风险程度超出阈值,呈现提示信息,所述提示信息用于提示所述目标应用存在风险操作。
8.一种用于数据保护的装置,包括:
数据获取模块,被配置为通过使安全组件随目标应用一起运行,来获取调用特定类型文件的所述目标应用的行为数据,所述行为数据是基于对与所述特定文件类型相关联的安全漏洞进行标识来获取的;以及
操作阻止模块,被配置为如果确定与所述行为数据相关联的操作的风险程度超出阈值,阻止所述操作。
9.一种电子设备,包括:
至少一个处理单元;以及
至少一个存储器,所述至少一个存储器被耦合到所述至少一个处理单元并且存储用于由所述至少一个处理单元执行的指令,所述指令在由所述至少一个处理单元执行时使所述电子设备执行根据权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序可由处理器执行以实现根据权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311084379.4A CN117131511A (zh) | 2023-08-25 | 2023-08-25 | 用于数据保护的方法、装置、设备和可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311084379.4A CN117131511A (zh) | 2023-08-25 | 2023-08-25 | 用于数据保护的方法、装置、设备和可读介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117131511A true CN117131511A (zh) | 2023-11-28 |
Family
ID=88859410
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311084379.4A Pending CN117131511A (zh) | 2023-08-25 | 2023-08-25 | 用于数据保护的方法、装置、设备和可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117131511A (zh) |
-
2023
- 2023-08-25 CN CN202311084379.4A patent/CN117131511A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11438159B2 (en) | Security privilege escalation exploit detection and mitigation | |
| US11570211B1 (en) | Detection of phishing attacks using similarity analysis | |
| US11005879B2 (en) | Peer device protection | |
| US20220335137A1 (en) | Method and system for neural network deployment in software security vulnerability testing | |
| CN105553917B (zh) | 一种网页漏洞的检测方法和系统 | |
| US10176327B2 (en) | Method and device for preventing application in an operating system from being uninstalled | |
| US10484400B2 (en) | Dynamic sensors | |
| US11882134B2 (en) | Stateful rule generation for behavior based threat detection | |
| CN113489713A (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| US20170155683A1 (en) | Remedial action for release of threat data | |
| CN110879889A (zh) | Windows平台的恶意软件的检测方法及系统 | |
| CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
| WO2021121382A1 (en) | Security management of an autonomous vehicle | |
| CN115348086B (zh) | 一种攻击防护方法及装置、存储介质及电子设备 | |
| US20190325134A1 (en) | Neural network detection of malicious activity | |
| CN113055399A (zh) | 注入攻击的攻击成功检测方法、系统及相关装置 | |
| CN113190838A (zh) | 一种基于表达式的web攻击行为检测方法及系统 | |
| US20190294803A1 (en) | Evaluation device, security product evaluation method, and computer readable medium | |
| CN112016078A (zh) | 一种登录设备的封禁检测方法、装置、服务器和存储介质 | |
| KR102159399B1 (ko) | 웹서버 모니터링 및 악성코드 분석 장치 | |
| CN117131511A (zh) | 用于数据保护的方法、装置、设备和可读介质 | |
| US20220237286A1 (en) | Kernel based exploitation detection and prevention using grammatically structured rules | |
| CN113849813A (zh) | 数据检测方法、装置、电子设备及存储介质 | |
| CN108650257B (zh) | 基于网站内容的安全检测设置方法、装置及存储介质 | |
| US11693651B1 (en) | Static and dynamic correlation of software development pipeline events |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |