CN117473542A - 业务数据访问方法、装置、设备及存储介质 - Google Patents
业务数据访问方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN117473542A CN117473542A CN202210857919.7A CN202210857919A CN117473542A CN 117473542 A CN117473542 A CN 117473542A CN 202210857919 A CN202210857919 A CN 202210857919A CN 117473542 A CN117473542 A CN 117473542A
- Authority
- CN
- China
- Prior art keywords
- newly created
- service
- access
- created process
- validity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 683
- 238000003860 storage Methods 0.000 title claims abstract description 44
- 230000008569 process Effects 0.000 claims abstract description 604
- 238000012795 verification Methods 0.000 claims abstract description 281
- 238000012545 processing Methods 0.000 claims abstract description 67
- 230000006870 function Effects 0.000 claims description 56
- 230000002159 abnormal effect Effects 0.000 claims description 48
- 238000001514 detection method Methods 0.000 claims description 36
- 230000005856 abnormality Effects 0.000 claims description 26
- 238000004590 computer program Methods 0.000 claims description 24
- 238000013475 authorization Methods 0.000 claims description 20
- 238000002347 injection Methods 0.000 claims description 6
- 239000007924 injection Substances 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 abstract description 19
- 238000007726 management method Methods 0.000 description 99
- 230000006399 behavior Effects 0.000 description 28
- 238000010586 diagram Methods 0.000 description 14
- 230000004044 response Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 9
- 238000013507 mapping Methods 0.000 description 9
- 239000008186 active pharmaceutical agent Substances 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 4
- 101150093240 Brd2 gene Proteins 0.000 description 3
- 208000032826 Ring chromosome 3 syndrome Diseases 0.000 description 3
- 241000700605 Viruses Species 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000007123 defense Effects 0.000 description 3
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 3
- 208000035475 disorder Diseases 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- RWSOTUBLDIXVET-UHFFFAOYSA-N Dihydrogen sulfide Chemical compound S RWSOTUBLDIXVET-UHFFFAOYSA-N 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000013468 resource allocation Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 241001377938 Yara Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000003028 elevating effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000003825 pressing Methods 0.000 description 1
- 238000012954 risk control Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
本申请实施例公开了一种业务数据访问方法、装置、设备及存储介质,应用于云技术中的防护安全领域,其中,该方法包括:根据业务访问请求携带的访问对象的对象认证凭证,验证访问对象针对业务应用的业务访问权限,得到权限验证结果;若权限验证结果指示访问对象具有针对业务应用的业务访问权限,则从业务应用对应的安全管理服务器中,获取访问对象的业务访问票据,基于业务访问票据处理业务访问请求;根据安全验证策略和新创建进程的特征信息,对新创建进程进行合法性验证,得到合法性验证结果;若合法性验证结果指示新创建进程不具有合法性,则暂停基于业务访问票据处理业务访问请求。通过本申请可以提高访问的安全性。
Description
技术领域
本申请涉及云技术领域,尤其涉及一种业务数据访问方法、装置、设备及存储介质。
背景技术
传统的网络安全是基于防火墙的物理边界防御方式,这种防御方式的前提假设是企业所有的办公设备和数据资源都在内网,并且企业内网是完全可信的,即用户可以通过企业内网和企业的办公设备访问企业内的数据资源。实践中发现,这种防御方式严重依赖网络位置(如企业内网和企业外网)的边界划分,当边界被突破后,就无法有效隔离和保护企业内的数据资源的安全,降低了访问的安全性。
发明内容
本申请实施例提供一种业务数据访问方法、装置、设备及存储介质,提高访问的安全性。
本申请实施例一方面提供一种业务数据访问方法,包括:
获取与业务应用相关联的业务访问请求,根据所述业务访问请求携带的访问对象的对象认证凭证,验证所述访问对象针对所述业务应用的业务访问权限,得到权限验证结果;
若所述权限验证结果指示所述访问对象具有针对所述业务应用的业务访问权限,则从所述业务应用对应的安全管理服务器中,获取所述访问对象的业务访问票据,基于所述业务访问票据处理所述业务访问请求;
获取新创建进程的特征信息,根据所述安全管理服务器下发的安全验证策略和所述新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果;所述新创建进程为在处理所述业务访问请求的过程中所创建的进程;
若所述合法性验证结果指示所述新创建进程不具有合法性,则暂停基于所述业务访问票据处理所述业务访问请求。
本申请实施例一方面提供一种业务数据访问装置,包括:
第一验证模块,用于获取与业务应用相关联的业务访问请求,根据所述业务访问请求携带的访问对象的对象认证凭证,验证所述访问对象针对所述业务应用的业务访问权限,得到权限验证结果;
第一处理模块,用于若所述权限验证结果指示所述访问对象具有针对所述业务应用的业务访问权限,则从所述业务应用对应的安全管理服务器中,获取所述访问对象的业务访问票据,基于所述业务访问票据处理所述业务访问请求;
第二验证模块,用于获取新创建进程的特征信息,根据所述安全管理服务器下发的安全验证策略,对所述新创建进程的特征信息进行合法性验证,得到合法性验证结果;所述新创建进程为在处理所述业务访问请求的过程中所创建的进程;
第二处理模块,用于若所述合法性验证结果指示所述新创建进程不具有合法性,则暂停基于所述业务访问票据处理所述业务访问请求。
本申请实施例一方面提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现所述的方法的步骤。
本申请实施例一方面提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现所述的方法的步骤。
本申请实施例一方面提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现所述的方法的步骤。
本申请中,通过结合业务访问票据的申请过程中的访问对象的对象认证凭证,以及业务资源访问过程(即处理业务访问请求的过程)中的新创建进程的特征信息等多维度信息,共同检测非法访问对象的访问行为,提高检测非法访问对象的访问行为的准确度,提高访问的安全性。具体的,在业务访问票据的申请过程中,通过采用访问对象的对象认证凭证来验证访问对象针对业务应用的业务访问权限,得到权限验证结果,当该权限验证结果指示访问对象具有针对业务应用的访问权限时,才允许从业务应用对应的安全管理服务器中获取该访问对象的业务访问票据,这样能够有效避免非法访问对象获取业务访问票据,提高访问的安全性。进一步,在业务资源访问过程中,通过采用安全管理服务器下发的安全验证策略和该新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,当该合法性验证结果指示该新创建进程不具有合法性时,暂停基于业务访问票据处理该业务访问请求,这样能够避免非法访问对象通过异常进程访问业务应用,提高访问安全性。同时,上述新创建进程为在处理业务访问请求的过程中所创建的进程,即只需要对新创建进程进行合法性验证,不需要对全量进程进行合法性验证,降低进程的验证时延,提高进程的验证效率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请提供的一种业务数据访问系统的架构示意图;
图2是本申请提供的一种业务数据访问系统中各个设备之间的交互示意图;
图3是本申请提供一种业务应用的访问配置界面示意图;
图4是本申请提供的一种业务数据访问方法的流程示意图;
图5是本申请提供的一种验证访问对象针对业务应用的访问权限的交互示意图;
图6是本申请提供的一种业务数据访问方法的流程示意图;
图7是本申请提供一种业务应用的检测结果的展示界面示意图;
图8是本申请实施例提供的一种业务数据访问装置的结构示意图;
图9是本申请实施例提供的一种计算机设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请主要涉及云技术中的云安全应用场景,具体的,本申请中利用云技术,结合业务访问票据的申请过程中的访问对象的对象认证凭证,以及业务资源访问过程(即处理业务访问请求的过程)中的新创建进程的特征信息等多维度信息,共同检测非法访问对象的访问行为,提高检测非法访问对象的访问行为的准确度,提高访问的安全性。
云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。云技术(Cloudtechnology)基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。云技术被广泛应用于云存储、云计算、云安全等领域。
其中,云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
可理解的是,云安全主要研究方向包括:1.云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2.安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3.云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
为了便于更清楚理解本申请,首先介绍实现本申请的业务数据访问方法的业务数据访问系统,如图1所示,该业务数据访问系统中包括安全管理服务器集群10、业务服务器集群20以及终端集群。其中,安全管理服务器集群10可以包括一个或多个安全管理服务器,业务服务器集群20可以包括一个或多个业务服务器,终端集群可以包括一个或多个终端,这里将不对安全管理服务器、终端以及业务服务器的数量进行限制。如图1所示,安全管理服务器集群10可以包括安全管理服务器11a和安全管理服务器12a,业务服务器集群20可以包括业务服务器21b以及业务服务器22b,终端集群包括终端31c、终端32c、终端33c以及终端34c。可以理解的是,终端31c、终端32c、终端33c以及终端34c均可以与安全管理服务器集群中的一个或多个安全管理服务器进行网络连接,以便每个终端均可以通过网络连接与安全管理服务器之间进行数据交互。终端31c、终端32c、终端33c以及终端34c均可以与业务服务器集群中的一个或多个业务服务器进行网络连接,以便每个终端均可以通过网络连接与业务服务器之间进行数据交互。
可理解的是,终端安装有一个或多个业务应用,该业务应用可以是指会议应用、企业应用、通讯应用、社交应用、娱乐应用等等,其中,这里的业务应用(即可信应用)是指业务应用对应的管理员通过管理员终端所授信的可以访问内部业务系统的应用载体。
可理解的是,安全管理服务器可以是指业务应用的安全管理后台服务设备,用于为业务应用提供安全访问服务。具体的,安全管理服务器可以用于向针对业务应用具有访问权限的访问对象发送业务访问票据,该业务访问票据用于指示访问对象为针对业务应用具有访问权限的用户。安全管理服务器还用于向安装有业务应用的终端下发安全验证策略,安全验证策略用于对处理业务访问请求时所创建的进程进行合法性验证。其中,不同业务应用对应的安全验证策略可以相同,也可以不同,同一业务应用下的不同访问对象对应的安全验证策略可以相同,也可以不相同。
可理解的是,业务服务器可以是业务应用的后台服务器,为业务应用提供服务,具体的,当检测到处于业务访问请求时所创建的进程具有合法性时,向终端返回关于该业务访问请求的响应信息。
可理解的是,上述业务服务器、安全管理服务器均可以是独立的一个物理服务器,也可以是至少两个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、中容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。终端具体可以是指车载终端、智能手机、平板电脑、笔记本电脑、桌上型电脑、智能音箱、有屏音箱、智能手表等等,但并不局限于此。各个终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,同时,终端以及服务器的数量可以为一个或至少两个,本申请在此不做限制。
应当理解,本申请实施例提供的业务数据访问方法可以基于安全管理服务器,打破了传统基于区域的授信控制方式,采用基于可信身份(Trusted identity)、可信设备(Trusted device)、可信应用(Trusted application)和可信链路(Trusted link)的“4T原则”授予访问权限,并强制所有访问都必须经过认证、授权和加密,真正实践了“零信任”设计理念,从而可以有效保障无论访问用户位于何处、何时使用何设备都可安全访问访问用户所在企业的数据信息,进而可以提高部署的灵活性以及访问用户的访问体验,以提升企业办公的整体安全性。
例如,如图1中所示的系统可实现本申请中的业务数据访问方法,如图2所示,以用户所访问的业务应用为企业应用为例进行说明,图2中的终端41a可以是指图1中的终端集群中的任一终端,终端41a对应的用户1可以称为访问用户,安全管理服务器42a可以是指图1中的安全管理服务器集群10中的任一安全管理服务器,业务服务器43a可以是指图1中的业务服务器集群20中的任一个业务服务器。其中,该业务数据访问方法包括如下步骤S1~S6:
S1、验证访问对象针对企业应用的业务访问权限,得到权限验证结果。用户1可以根据用户1的对象信息登录至企业应用(即企业应用客户端),用户1的对象信息包括用户1的在企业应用中的账号、昵称等。相应地,终端41a可以获取该用户1的对象信息以及终端41a的设备信息,终端41a的设备信息包括设备标识,如设备名称、标识码、IP地址等。进一步,该用户1可以针对该终端41a中所运行的企业应用执行触发操作,从而使得该终端41a可以生成与该业务应用相关联的业务访问请求。其中,这里的触发操作可以包括点击、长按等接触性操作,也可以包括语音、手势等非接触性操作,在此不做限定。该业务访问请求携带用户1的对象认证凭证、用户1访问的业务类型,如业务类型包括下载企业数据资源、上传数据业务、修改企业数据等等,该对象认证凭证是终端41a本地存储的,对象认证凭证由安全管理服务器下发给终端41a的,用于指示用户1在授权有效期限内对企业应用具有访问权限,该授权有效期为企业应用的管理员授权用户1访问企业应用的时间段。终端41a可以根据该对象认证凭证验证用户1是否具有针对企业应用的业务访问权限,例如,当前时间超出对象认证凭证的授权有效期,或者,对象认证凭证与用户1的对象信息、终端41a之间不具有映射关系,则确定用户1不具有针对企业应用的访问权限,拒绝处理业务访问请求。当前时间位于对象认证凭证的授权有效期内,且对象认证凭证与用户1的对象信息、终端41a之间具有映射关系,则确定用户1具有针对企业应用的访问权限,生成用于指示用户1具有针对企业应用的访问权限的权限验证结果。
S2、获取访问对象的业务访问票据。当权限验证结果指示用户1具有针对企业应用的访问权限,从安全管理服务器中获取该访问对象的业务访问票据,该业务访问票据用于指示用户1此次的业务访问请求为授权状态。
S3、基于业务访问票据处理该业务访问请求。终端41a可以新创建进程,调用新创建进程,基于业务访问票据处理该业务访问请求。如该业务访问请求为下载业务应用中的企业数据资源,终端41a可以调用新创建进程,将业务访问票据和业务访问请求发送至企业应用的业务服务器43a,业务服务器43a可以对业务访问票据的有效性进行验证,如验证业务访问票据的格式、数据长度等等,若该业务访问票据具有有效性时,获取该业务访问请求对应企业数据资源。此处的新创建进程可以包括与业务访问请求相关的进程,还可以包括与业务访问请求无关的进程,如非法用户创建的恶意进程,如,恶意进程可以是指被注入恶意代码文件(如病毒)的进程。
S4、获取安全验证策略。终端41a可以从安全管理服务器中获取该访问对象对应的安全验证策略,该安全管理策略可以是管理员为用户1配置的安全验证策略,该安全验证策略是指用于处理验证用户1的业务访问请求过程的新创建进程的合法性的策略。
例如,管理员为用户配置安全验证策略、访问资源的过程如图3所示,企业应用的访问配置界面51a中包括策略配置选项52a(即策略名称)、添加用户选项53a以及添加资源选项54a,策略配置选项52a用于为用户配置安全验证策略,添加用户选项53a用于选择哪些用户禁止访问某种互联网应用资源,添加资源选项54a用于配置禁止用户访问的互联网应用资源。具体的,管理员可以在访问配置界面51a中的策略配置选项52a的输入框中输入安全验证策略的名称,将管理员输入的安全验证策略作为验证新创建进程的验证策略。管理员可以对添加用户选项52a执行触控操作,管理员对应的终端响应针对添加用户选项52a执行触控操作,展示用户列表,该用户列表可以包括企业应用中的多个注册用户,响应于针对用户列表中的注册用户的选择操作,获取所选择的注册用户,作为目标用户。
进一步,管理器可以对添加资源选项53a执行触控操作,管理员对应的终端响应针对添加资源选项53a执行触控操作,展示资源配置子界面55b,资源配置子界面55b包括资源名称设置选项56b、资源类别设置选项57b、访问端口设置选项58b等等。资源名称设置选项56b用于配置禁止目标用户访问的互联网应用资源的名称,资源类别设置选项57b用于配置禁止目标用户访问的互联网应用资源的资源类别,资源类别可以包括域名、IP地址、IP段等等,访问端口设置选项58b用于配置禁止目标用户访问的互联网应用资源的端口。互联网应用资源可以是指企业应用对应的服务器中存储的企业数据资源,管理员可以资源配置子界面55b上的资源名称设置选项56b的输入框中输入禁止目标用户访问的企业数据资源,管理员可以通过资源配置子解码55b上的资源类别设置选项57b、访问端口设置选项58b分别设置禁止目标用户访问的企业数据资源的资源类别、访问端口。通过上述配置,可以得到每种企业数据资源对应的禁止访问名单,该禁止访问名单可以用于验证访问用户针对企业应用的访问权限。例如,当上述用户1对应的该业务访问请求用于指示访问企业应用对应的服务器中的企业数据资源时,该业务访问请求还可以包括用户1所访问的企业数据资源的名称、资源类别、端口号等等,如用户1所访问的企业数据资源为企业财务报表,终端41a可以获取该企业财务报表对应的禁止访问名单1,该禁止访问名单1中包括禁止访问企业财务报表的用户的对象信息,如果用户1的对象信息属于禁止访问名单1,则拒绝处理业务访问请求,即拒绝用户1访问企业财务报表。如果用户1的对象信息不属于禁止访问名单1,且用户1的对象认证凭证具有有效性,则执行上述获取访问对象的业务访问票据的步骤。
S5、基于安全验证策略和新创建进程的特征信息,对新创建进程进行合法性验证,得到合法性验证结果。终端41a可以获取处理业务访问请求的过程中的新创建进程的特征信息,该新创建进行的特征信息包括新创建进程的创建时间、创建该新创建进程的进程对应的标识、新创建进程所加载的业务模块、新创建进程所调用的应用程序接口等等。进一步,可以基于安全验证策略和新创建进程的特征信息,对新创建进程进行合法性验证,得到合法性验证结果,该合法性验证结果用于指示该新创建进程具有合法性,或者,该合法性验证结果用于指示该新创建进程不具有合法性。
S6、暂停处理该业务访问请求。如果该合法性验证结果用于指示该新创建进程不具有合法性,业务服务器43a可以拒绝返回关于业务访问请求的响应结果,终端41a展示不具有合法性的新创建进程,用于提示用户1对不具有合法性的新创建进程处理。如果该合法性验证结果用于指示该新创建进程具有合法性,业务服务器43a可以返回关于业务访问请求的响应结果,终端41a展示该响应结果,如该响应结果可以是指企业数据资源。
综上,通过结合业务访问票据的申请过程中的访问对象的对象认证凭证,以及业务资源访问过程(即处理业务访问请求的过程)中的新创建进程的特征信息等多维度信息,共同检测非法访问对象访问企业资源数据的行为,提高检测非法访问对象的访问行为的准确度,提高访问的安全性;避免企业数据资源被泄露,提高企业数据资源的安全性。该方案对每个业务访问请求均进行认证,不再依赖边界划分,从而提高了企业数据资源的安全性,同时给远程办公带来便利,提高了员工办公的灵活性。
进一步地,请参见图4,是本申请实施例提供的一种业务数据访问方法的流程示意图。如图4所示,该方法可由图1中的任一终端来执行,也可以由图1中的服务器(如安全管理服务器或业务服务器)来执行,还可以由图1中的终端和服务器共同执行,本申请中用于执行该方法的设备可以统称为计算机设备。其中,该业务数据访问方法可以包括如下步骤S101~S104:
S101、获取与业务应用相关联的业务访问请求,根据该业务访问请求携带的访问对象的对象认证凭证,验证该访问对象针对该业务应用的业务访问权限,得到权限验证结果。
本申请中,在访问对象首次访问业务应用时,访问对象需要根据该访问对象的对象信息在业务应用上进行注册,由安全管理服务器对该访问对象的对象信息进行验证,在验证通过时,确定该访问对象在业务应用上注册成功,根据访问对象的对象信息生成的一个加密字符串,将该加密字符串确定为访问对象的对象认证凭证,生成该对象认证凭证的授权有效期。然后,将该访问对象的对象认证凭、访问对象的对象信息、访问对象对应的终端的设备标识以及授权有效期进行关联存储在安全管理服务器中,将该访问对象的对象认证凭、访问对象的对象信息、访问对象对应的终端的设备标识以及授权有效期发送至访问对象对应的终端,以使该终端将该访问对象的对象认证凭、访问对象的对象信息、访问对象对应的终端的设备标识以及授权有效期进行关联存储在终端中。处于授权有效期内的对象认证凭证用于指示访问对象具有针对业务应用的访问权限,授权有效期可以是根据业务应用的管理员设置的,可以为三个月、一年等等,该授权有效期可以随着访问对象在业务应用中的状态而变化。例如,当访问对象业务应用中的账号被注销,则该访问对象的授权有效期将被变短,如授权有效期直接变为0,即对象认证凭证的状态处于失效状态,该访问对象失去针对业务应用的访问权限。此处的访问对象的对象信息可以包括访问对象的对象标识(如名称、账号)等等。
进一步,当某一用户需要访问业务应用中的某一种业务数据时,或者,某一用户需要通过访问业务应用办理某种业务时,该用户可以称为访问对象。访问对象可以启动该访问对象对应的终端中的业务应用,相应地,计算机设备若检测到针对业务应用的启动操作,则获取访问对象的对象信息,基于访问对象的对象信息从本地获取该访问对象的对象认证凭证,并生成与业务应用相关联的业务访问请求,根据该业务访问请求携带的访问对象的对象认证凭证,验证该访问对象针对该业务应用的业务访问权限,得到权限验证结果。该权限验证结果用于指示访问对象具有针对业务应用的访问权限,即访问对象为业务应用授权对象;或者,该权限验证结果用于指示访问对象不具有针对业务应用的访问权限,即访问对象为非授权对象,如非法访问对象。特别地,若根据访问对象的对象信息,在本地未获取到该访问对象的对象认证凭证,即本地不存在该访问对象的对象认证凭证,则直接拒绝处理业务访问请求。通过基于访问对象的对象认证凭证,验证访问对象针对业务应用的访问权限,可避免非法访问对象访问业务应用,提高业务应用的访问安全性。
可理解的是,当该计算机设备为访问对象对应的终端时,终端可以通过如下三种方式中的任一种方式验证该访问对象针对该业务应用的业务访问权限:
方式一:终端可以生成第一凭证验证请求,该第一凭证验证请求携带访问对象的对象信息、终端的设备标识中的至少一种,将该第一凭证验证请求发送至安全管理服务器,安全管理服务器从本地存储中获取与第一凭证验证请求中的信息具有关联关系的对象认证凭证,将该关联的对象认证凭证发送至终端。终端可以将本地的对象认证凭证与接收到的对象认证凭证进行比对,若本地的对象认证凭证与接收到的对象认证凭证之间的相似度大于相似度阈值,则确定该访问对象具有针对该业务应用的访问权限,生成指示该访问对象具有针对该业务应用的访问权限的权限验证结果。若本地的对象认证凭证与接收到的对象认证凭证之间的相似度小于或等于相似度阈值,则确定该访问对象不具有针对该业务应用的访问权限,生成指示该访问对象不具有针对该业务应用的访问权限的权限验证结果。
方式二:终端可以生成第二凭证验证请求,该第二凭证验证请求携带访问对象的对象认证凭证,该第二凭证验证请求还携带对象信息、终端的设备标识中的至少一种,将该第二凭证验证请求发送至安全管理服务器。安全管理服务器从本地存储中获取与第二凭证验证请求中对象信息和设备标识至少一种相关联的对象认证凭证,将该关联的对象认证凭证与该第二凭证验证请求中携带的对象认证凭证进行比对。若该关联的对象认证凭证与该第二凭证验证请求中携带的对象认证凭证之间的相似度大于相似度阈值,则确定该访问对象具有针对该业务应用的访问权限,生成指示该访问对象具有针对该业务应用的访问权限的权限验证结果。若该关联的对象认证凭证与该第二凭证验证请求中携带的对象认证凭证之间的相似度小于或等于相似度阈值,则确定该访问对象不具有针对该业务应用的访问权限,生成指示该访问对象不具有针对该业务应用的访问权限的权限验证结果,将该权限验证结果发送至终端。
方式三、终端可以从该业务应用对应的安全管理服务器中,获取该业务应用关联的授权对象集合,该授权对象集合包括针对该业务应用具有访问权限的授权对象的对象认证凭证。进一步,终端可以将访问对象的对象认证凭证与授权对象集合中的对象认证凭证进行比对,得到该访问对象的对象认证凭证与所述授权对象集合中的对象认证凭证之间的相似度。若该授权对象集合中存在与所述访问对象的对象认证凭证之间相似度大于相似度阈值的对象认证凭证,则确定该访问对象具有针对该业务应用的访问权限,生成指示该访问对象具有针对该业务应用的访问权限的权限验证结果。若该授权对象集合中的对象认证凭证与该访问对象的对象认证凭证之间相似度均小于或等于相似度阈值,则确定该访问对象不具有针对所述业务应用的访问权限,生成指示该访问对象不具有针对该业务应用的访问权限的权限验证结果。
例如,如图6所示,图6中的终端61a可以是指图1中的终端集群中的任一终端,图6中的安全管理服务器62a可以是指图1中的安全管理服务器集群10中的任一安全管理服务器。安全管理服务器62a的授权对象集合中包括授权用户1的对象认证凭证1、授权用户2的对象认证凭证2、授权用户3的对象认证凭证3,……;业务访问请求中携带的对象认证凭证X。终端61a可以从安全管理服务器62a中获取该授权对象集合,分别将对象认证凭证X与授权对象集合中的各个对象认证凭证进行对比,以查询授权对象集合中是否存在与对象认证凭证X之间的相似度大于相似度阈值的对象认证凭证,若存在,则确定访问对象具有针对业务应用的访问权限,若不存在,则确定访问对象不具有针对业务应用的访问权限。如,将对象认证凭证X与授权对象集合中的对象认证凭证1进行对比,得到对象认证对象X与授权对象集合中的对象认证凭证1之间的相似度,作为相似度1,若相似度1大于相似度阈值,则确定访问对象具有针对业务应用的访问权限;若相似度1小于或等于相似度阈值,则继续将对象认证凭证X与授权对象集合中的对象认证凭证2进行对比,得到对象认证对象X与授权对象集合中的对象认证凭证2之间的相似度,作为相似度2。若相似度2大于相似度阈值,则确定访问对象具有针对业务应用的访问权限;若相似度2小于或等于相似度阈值,则继续将对象认证凭证X与授权对象集合中的对象认证凭证3进行对比,得到对象认证对象X与授权对象集合中的对象认证凭证3之间的相似度,作为相似度3,以此类推,以确定访问对象是否具有针对业务应用的访问权限。
可理解的是,上述若所述授权对象集合中存在与所述访问对象的对象认证凭证之间相似度大于相似度阈值的对象认证凭证,则确定所述访问对象具有针对所述业务应用的访问权限,包括:首先计算机设备可以通过如下两种方式中的任一种方式确定对象认证凭证的状态:方式一:计算机设备可以从访问对象的终端中获取该访问对象的对象认证凭证的授权有效期,根据该对象认证凭证的授权有效期确定该访问对象的对象认证凭证的状态,对象认证凭证的状态用于反映对象认证凭证处于有效状态或失效状态。例如,该对象认证凭证的授权有效期为1月1号至2月1号,若当前的时间为3月2号,即当前时间超出授权有效期,则确定该访问对象的对象认证凭证的状态为失效状态;若当前的时间为1月20号,即当前时间位于授权有效期内,则确定该访问对象的对象认证凭证的状态为有效状态。方式二,计算机设备可以从业务应用中获取该访问对象在业务应用中的状态,若访问对象在业务应用中的状态为注销状态,则确定该访问对象的对象认证凭证的状态为失效状态;若访问对象在业务应用中的状态为未注销状态,则确定该访问对象的对象认证凭证的状态为有效状态;或者,若访问对象在业务应用中的状态为未注销状态,计算机设备可以根据该对象认证凭证的授权有效期确定该访问对象的对象认证凭证的状态。
进一步,当该访问对象的对象认证凭证的状态为失效状态,表明访问对象的对象认证凭证错误(如存在非访问对象伪造对象认证凭证的行为),或者访问对象的对象认证凭证失效,则拒绝访问对象访问业务应用;若该访问对象的对象认证凭证的状态为有效状态,且该授权对象集合中存在与所述访问对象的对象认证凭证之间相似度大于相似度阈值的对象认证凭证,表明访问对象的对象认证凭证准确无误,且访问对象的对象认证凭证有效,则确定所述访问对象具有针对所述业务应用的访问权限。通过对访问对象针对业务应用的访问权限进行验证,可有效避免非法访问对象访问业务应用,提高业务应用的访问安全性;同时,对每个业务访问请求均进行验证,不再依赖边界划分,从而提高业务应用的访问安全性。例如,该业务应用为企业应用,提高企业应用中的企业数据的安全性。
S102、若该权限验证结果指示该访问对象具有针对该业务应用的业务访问权限,则从该业务应用对应的安全管理服务器中,获取该访问对象的业务访问票据,基于该业务访问票据处理该业务访问请求。
本申请中,若该权限验证结果指示该访问对象不具有针对该业务应用的业务访问权限,表明访问对象为业务应用的非授权对象,即非法访问对象,则拒绝执行该业务访问请求。若该权限验证结果指示该访问对象具有针对该业务应用的业务访问权限,表明访问对象为业务应用的授权对象,即合法访问对象,则从该业务应用对应的安全管理服务器中,获取该访问对象的业务访问票据,该业务访问票据为安全管理服务器为该业务访问请求发放的授权信息,用于标识该业务访问请求的授权状态,进一步,基于该业务访问票据处理该业务访问请求。此处基于业务访问票据处于业务访问请求包括:将该业务访问票据和业务访问请求发送至业务应用对应的业务服务器,业务服务器接收到该业务访问票据和业务访问请求后,可以确定该业务访问请求为授权状态,允许访问对象基于业务访问请求从业务服务器中获取业务数据资料或,允许访问对象基于该业务访问请求办理业务。
S103、获取新创建进程的特征信息,根据该安全管理服务器下发的安全验证策略和该新创建进程的特征信息,对该新创建进程进行合法性验证,得到合法性验证结果;该新创建进程为在处理该业务访问请求的过程中所创建的进程。
本申请中,计算机设备可以获取新创建进程的特征信息,此处的新创建进程可以是指计算机设备处理业务访问请求的过程所创建的进程,该新创建进程的特征信息包括新创建进程的父进程和进程标识(即ID)、新创建进程所加载的业务模块、业务模块的加载内存区域、新创建进程所加载的应用程序接口、新创建进程的创建时间、退出时间等等中的一种或多种。进一步,计算机设备可以根据安全管理服务器下发的安全验证策略和该新创建进程的特征信息,对该新创建进程进行合法性验证,得到合法性验证结果,该合法性验证结果用于指示该新创建进程具有合法性,即访问对象通过创建合法进程访问业务应用;或者,该合法性验证结果用于指示该新创建进程不具有合法性,即访问对象通过创建非法进程(即异常进程)访问业务应用,也即存在进程异常侵入业务应用的行为。通过对新创建进程进行合法性验证,避免异常进程访问业务应用,提高业务应用的访问安全性,不需要对计算机设备中全量的进程进行合法性验证,节省资源,提高进程的验证效率。
可理解的是,当新创建进程的特征信息包括新创建进程所加载的业务模块的加载信息时,上述获取新创建进程的特征信息,包括:计算机设备可以通过内核回调函数调用内核函数接口,获取该新创建进程所加载的业务模块,此处的内核回调函数可以是指用于检测进程所加载的模块的函数。内核回调函数的工作原理是:在内核下检测新创建进程在用户层上的业务模块的加载情况,即通过设置一个内核回调函数,同时将指向内核回调函数的指针作为参数调用内核函数接口,以获取新创建进程所加载的业务模块,如内核回调函数接口可以是指Windows提供的内核函数接口PsSetLoadImageNotifyRoutine。进一步,从该内核回调函数的图像信息类型的结构体中,获取该业务模块的加载信息,将该业务模块的加载信息确定为该新创建进程的特征信息。此处的业务模块可以是指由多个文件组成的完成某些特定功能的集合,业务模块可以不仅能够更清晰的描述产品,还可以更方便的指定要安装卸载的内容,如可以指定仅安装一个"威胁响应"模块,或"应用软件管理"模块。业务模块的加载信息包括业务模块的加载时间、加载内存区域、加载内存区域的大小、加载内存区域的基址等信息,此处的加载内存区域可以是指用于存储业务模块的存储区域。此处的该内核回调函数的图像信息类型的结构体可以是指PLOAD_IMAGE_NOTIFY_ROUTINE,用于获取业务模块的加载信息。通过获取新创建进程的业务模块的加载信息,可有效检测用户层的业务模块的加载行为,避免异常加载业务模块行为,提高业务应用的访问安全性。
可理解的是,恶意进程通过目标应用程序接口将目标进程的原始映射文件替换为指定映射文件,此处的原始映射文件是指目标进程的内存中合法的镜像文件,指定映射文件可以是由恶意进程的镜像内文件中恶意代码构成的。恶意进程通过将隐藏在自己镜像内的恶意代码(即指定映射文件)加载至目标进程,而在将指定映射文件加载至目标进程之前,会利用目标应用程序接口从目标进程的虚拟地址空间中取消映射原生的分区视图,因为这类目标应用程序接口调用在内存执行方法调用RunPE中扮演了非常重要的角色,因此,可以通过API Hook(应用程序接口挂钩函数)检测这类目标应用程序接口API的调用,并快速检测出无文件落地木马等恶意代码的攻击行为。此处的目标应用程序接口可以是指用于卸载并替换内存镜像(即映射文件)的应用程序接口,如可以包括NtUnmapViewOfSection、ZwUnmapViewOfSection等等。应用程序接口挂钩函数:挂钩API函数,用于获取或者检测某些API函数的调用,用于改变API执行结果的技术,API钩子是检测进程中调用的函数,替换或者修改调用函数的功能。此处的RunPE:一种将恶意代码注于已知进程的方法,一般采取的方法是先清楚目标进程的内存数据,然后写入自身payload(恶意代码),解密加密过的PE(可执行代码)文件,并在内存上执行它。此处的无文件落地攻击:指恶意程序文件(恶意代码)不直接落地到计算机设备的系统磁盘空间中的一种攻击手法,常用于逃避传统的杀毒软件(Anti Virus,AV)产品的安全检测机制。
可理解的是,当新创建进程的特征信息包括新创建进程所调用的目标应用程序接口的调用参数时,上述获取新创建进程的特征信息,包括:计算机设备可以调用该业务应用中的服务进程执行应用程序接口挂钩函数,获取该新创建进程所调用的目标应用程序接口,此处的服务进程可以是指iOA服务进程,该应用程序接口挂钩函数可以是指用于检测目标应用程序接口的调用参数的函数。因此,可以通过该应用程序接口挂钩函数获取该目标应用程序接口的调用参数,将该目标应用程序接口的调用参数,确定为该新创建进程的特征信息。目标应用程序接口的调用参数可以包括向该新创建进程的内存空间中注入的目标文件、新创建进程调用该目标应用程序接口时所执行的目标操作的操作类型等等。通过检测新创建进程所调用的目标应用程序接口,有利于检测出异常进程,或者,在进程中注入恶意代码的行为,提高业务应用的访问安全性。
可理解的是,当新创建进程的特征信息包括新创建进程的生存周期,上述获取新创建进程的特征信息,包括:计算机设备可以业务应用的Ring0层设置进程检测回调函数,调用该进程检测回调函数,获取计算机设备中的新创建进程的创建通知和退出通知;此处的进程检测回调函数可以是指集成的驱动程序开发系统(Windows Driver Kit,WDK)提供的API接口函数PsSetCreateProcessNotifyRoutineEx,此处的创建通知包括新创建进程的创建时间,退出通知包括新创建进程的退出时间。进而,根据创建通知和退出通知确定新创建进程的生成周期,将该新创建进程的生存周期,确定为该新创建进程的特征信息。通过检测新创建进程的生存周期,有利于检测出生存周期比较短的异常进程,提高业务应用的访问安全性。
可理解的是,计算机设备可以在业务应用的Ring0层设置进程检测回调函数,获取计算机设备中的所有进程动态创建和退出的通知,当计算机设备中有新进程创建时,进程检测回调函数通过参数(如PPS_CREATE_NOTIFY_INFO类型的参数)可以获取到新创建进程的特征信息,如进程的ID,以及进程创建的主要信息,包括新创建进程的父进程的ID、创建该新创建进程的进程ID(CreatingThreadId->UniqueProcess)、创建该新创建进程的进程对应的线程ID(CreatingThreadId->UniqueThread)、新创建进程的可执行文件的文件对象、可执行文件的文件存储路径、新创建进程的命令行参数和新创建进程的状态(可控制该新创建进程允许被创建)等。当有进程退出时,进程检测回调函数可以获取到要退出的进程对应的ID(根据进程检测回调函数的HANDLE参数获取到)和进程体(根据进程检测回调函数的PEPROCESS类型参数获取到,表示指向当前要退出的进程对应的进程对象的指针)。
进一步,计算机设备可以异步向业务应用的Ring3层的iOA用户态进程发送相应的特征信息(进程ID,进程名称、可执行文件的文件存储路径),Ring3层获知到刚新创建进程的特征信息,接着业务应用会根据新创建进程的ID和文件存储路径去计算得到新创建进程的可执行文件的最近修改时,根据新创建进程的文件存储路径获取进新创建程的版本号(新创建进程的可执行文件的描述信息,可执行文件的大小和版权信息),同时根据新创建进程的文件存储路径并行结算新创建进程的目标摘要信息,将目标摘要信息与本地摘要信息进行验证,得到验证结果。
当业务应用的驱动层的进程检测回调函数检测到新创建进程时,默认情况下新创建进程被作为未知业务应用的进程。业务应用的客服端通过以上步骤采集到新创建进程的特征信息,然后将新创建进程的特征信息异步发送给业务应用iOA的安全管理服务器,安全管理服务器通过推送这些新创建进程的特征信息到威胁情报云查服务探测新创建进程的安全性,如果识别新创建进程是恶意进程,则由威胁情报云查服务响应给安全管理服务器,安全管理服务器将恶意进程的名单推送到业务应用的客户端中。此处威胁情报云查服务是指用于检测新创建是否存在异常的服务平台。
需要说明的是:在动态进程缓存中的进程通过Ring3发送给安全管理服务器执行新创建进程送检时,会同时将该新创建进程的父进程和创建者进程发送给安全管理服务器执行进程送检。如果某个新创建进程的父进程和创建者进程经检测(安全管理服务器的自身送检缓存命中或者由威胁情报云查服务检测出结果)是高危进程,则该新创建进程也同属于高危进程。通过驱动层,用户态,安全管理服务器进行进程检测,实现零信任网络访问过程中,本地终端进程的常态化检测。
S104、若该合法性验证结果指示该新创建进程不具有合法性,则暂停基于该业务访问票据处理该业务访问请求。
本申请中,若该合法性验证结果指示该新创建进程不具有合法性,表明计算机设备中存在进程异常侵入业务应用的行为,则可以暂停基于业务访问票据处理该业务访问请求,如可以中断新创建进程;若该合法性验证结果指示该新创建进程具有合法性,表明计算机设备中不存在进程异常侵入业务应用的行为,则可以获取关于该业务访问请求的处理结果,并展示处理结果。
本申请中,通过结合业务访问票据的申请过程中的访问对象的对象认证凭证,以及业务资源访问过程(即处理业务访问请求的过程)中的新创建进程的特征信息等多维度信息,共同检测非法访问对象的访问行为,提高检测非法访问对象的访问行为的准确度,提高访问的安全性。具体的,在业务访问票据的申请过程中,通过采用访问对象的对象认证凭证来验证访问对象针对业务应用的业务访问权限,得到权限验证结果,当该权限验证结果指示访问对象具有针对业务应用的访问权限时,才允许从业务应用对应的安全管理服务器中获取该访问对象的业务访问票据,这样能够有效避免非法访问对象获取业务访问票据,提高访问的安全性。进一步,在业务资源访问过程中,通过采用安全管理服务器下发的安全验证策略和该新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,当该合法性验证结果指示该新创建进程不具有合法性时,暂停基于业务访问票据处理该业务访问请求,这样能够避免非法访问对象通过异常进程访问业务应用,提高访问安全性。同时,上述新创建进程为在处理业务访问请求的过程中所创建的进程,即只需要对新创建进程进行合法性验证,不需要对全量进程进行合法性验证,降低进程的验证时延,提高进程的验证效率。
进一步地,请参见图6,是本申请实施例提供的一种业务数据访问方法的流程示意图。如图6所示,该方法可由图1中的任一终端来执行,也可以由图1中的服务器(如安全管理服务器或业务服务器)来执行,还可以由图1中的终端和服务器共同执行,本申请中用于执行该方法的设备可以统称为计算机设备。其中,该业务数据访问方法可以包括如下步骤S201~S206:
S201、获取与业务应用相关联的业务访问请求,根据该业务访问请求携带的访问对象的对象认证凭证,验证该访问对象针对该业务应用的业务访问权限,得到权限验证结果。
S202、若该权限验证结果指示该访问对象具有针对该业务应用的业务访问权限,则从该业务应用对应的安全管理服务器中,获取该访问对象的业务访问票据,基于该业务访问票据处理该业务访问请求。
S203、获取新创建进程的特征信息,根据该安全管理服务器下发的安全验证策略和该新创建进程的特征信息,对该新创建进程进行合法性验证,得到合法性验证结果;该新创建进程为在处理该业务访问请求的过程中所创建的进程。
可理解的是,该新创建进程的特征信息包括所述新创建进程所加载的业务模块的加载信息,该业务模块的加载信息包括所述业务模块的加载内存区域;上述根据所述安全管理服务器下发的安全验证策略和所述新创建进程的特征信息,对该新创建进程进行合法性验证,得到合法性验证结果,包括:若该安全验证策略指示检测该加载内存区域是否存在异常加载事件,则计算机设备可以获取该业务模块的加载内存区域的属性特征,加载内存区域的属性特征包括加载内存区域的状态、区域类型以及权限中的至少一种,加载内存区域的状态包括MEM_COMMIT(已分配物理内存或系统页文件)、MEM_FREE(空闲状态,该区域的虚拟地址不受任何内存的支持)、MEM_RESERVE(页面被保留,但是没有分配任何物理内存)等等。加载内存区域的区域类型包括MEM_PRIVATE(指明内存区域是私有的,不被其他进程共享)、MEM_MAPPED(指明该区域的虚拟地址受内存的原始映射文件的支持),加载内存区域的权限类型包括可读、可写(即可执行)、可读可写。进一步,计算机设备可以根据该业务模块的加载内存区域的属性特征确定该加载内存区域的权限状态,例如,检测到加载内存区域的状态MEM_COMMIT且区域类型是MEM_PRIVATE或MEM_MAPPED,权限类型包含PAGE_EXECUTE(可读但不可执行)类型,确定该加载内存区域的权限状态为禁止执行状态。由于新创建进程在加载内存区域中加载(即执行)了业务模块,因此,若该加载内存区域的权限状态为可执行状态,即新创建进程在处于可执行状态的加载内存区域中执行了业务模块,表明新创建进程加载行为合法,则确定该加载内容区域不存在异常加载事件,确定该新创建进程具有合法性,生成指示该新创建进程具有合法性的合法性验证结果。若该加载内存区域的权限状态为禁止执行状态,即新创建进程在处于禁止执行状态的加载内存区域中执行了业务模块,表明新创建进程存在不合法加载行为,则确定该加载内容区域存在异常加载事件,确定该新创建进程不具有合法性,生成指示该新创建进程不具有合法性的合法性验证结果。通过业务模块的加载内存区域的权限状态,检测新创建进程是否存在业务模块的异常加载行为,提高业务应用的访问安全性。
可理解的是,当上述新创建进程的特征信息包括该新创建进程所调用的目标应用程序接口的调用参数;计算机设备可以通过如下两种方式中的任一种方式,对该新创建进程进行合法性验证,得到合法性验证结果:
方式一:若所述安全验证策略指示检测所述目标应用程序接口是否存在注入恶意代码事件,则计算机设备可以从该目标应用程序接口的调用参数中,获取该新创建进程调用该目标应用程序接口时,向该新创建进程的内存空间中注入的目标文件,获取该目标文件的文件信息,根据该目标文件的文件信息确定该目标文件的文件类型。该文件信息包括目标文件中的字段、文件名等等,文件类型包括恶意代码文件类型和非恶意代码文件类型,恶意代码文件类型的目标文件可以是指目标文件中包含恶意字段、文件名异常;非恶意代码文件类型的目标文件可以是指目标文件中不包含恶意字段、文件名不存在异常,恶意字段、文件名异常是历史时间段内对被标记为恶意代码文件进行分析得到的。进一步,若该文件类型为非恶意代码文件类型,表明不存在向新创建进程的内存区域中注入恶意代码文件的行为,因此,确定该目标应用程序接口不存在注入恶意代码事件,确定该新创建进程具有合法性,生成指示该新创建进程具有合法性的合法性验证结果。若该文件类型为恶意代码文件类型,表明存在向新创建进程的内存区域中注入恶意代码文件的行为,使新创建进程执行恶意代码,因此,确定该目标应用程序接口存在注入恶意代码事件,确定该新创建进程不具有合法性,生成指示该新创建进程不具有合法性的合法性验证结果。通过检测目标应用程序接口是否存在注入恶意代码事件,来检测新创建进程是否异常,能够快速识别通过目标应用程序接口向新创建进程中注入恶意代码文件的异常行为,提高业务访问的安全性。
方式二:若该安全验证策略指示检测该目标应用程序接口是否存在提升权限权事件,则从该目标应用程序接口的调用参数中,获取该新创建进程调用该目标应用程序接口时所执行的目标操作,该目标操作可以是指读取数据、修改数据、添加数据等等,不同操作对应不同的执行权限等级,如,读取数据、修改数据、添加数据分别对应的执行权限等级为低级、中级、高级。进一步,计算机设备可以确定该目标应用程序接口针对该目标操作的执行权限等级,如该目标操作为读取数据,则该目标应用程序接口针对该目标操作的执行权限等级为低级;若该目标操作为添加数据,则该目标应用程序接口针对该目标操作的执行权限等级为高级。同时,不同应用程序接口对应不同的实际权限等级,应用程序接口对应的实际权限等级是在进程创建时,基于该进程所实现的功能设置的,应用程序接口对应的实际权限等级用于反映,应用程序接口对应的实际权限等级能够执行哪些操作。如果该目标应用程序接口的实际权限等级小于该执行权限等级,如该目标应用程序接口的实际权限等级为中级,该执行权限等级为高级,则确定该目标应用程序接口存在提升权限事件,确定该新创建进程不具有合法性,生成指示该新创建进程不具有合法性的合法性验证结果。
可理解的是,针对生存周期较短的短进程,因为来不及进行基于yara规则的常规内存签名检测,通过采集新创建进程的可执行文件的文件存储路径,采集可执行文件的签名信息,检测可执行文件是否存在异常熵。由于恶意进程为了逃避检测,通常使用加密或压缩等手段对可执行文件进行加密或压缩,会增大可执行文件中的数据的随机性,同时加密操作会增大可执行文件的信息熵,因此,可以利用信息熵作为检测新创建进程是否异常的一个考量值。
进而,当上述新创建进程的特征信息包括所述新创建进程的生存周期;计算机设备可以通过如下两种方式中的任一方式,对该新创建进程进行合法性验证,得到合法性验证结果:
方式一:若该安全验证策略指示检测该新创建进程是否存在异常熵事件,且该新创建进程的生存周期小于周期阈值,即生存周期小于周期阈值的新创建进程可以称为短进程,计算机设备可以获取该新创建进程执行加密操作得到加密文件,对该加密文件中的数据进行检测,得到加密文件的信息熵。该信息熵用于反映所述加密文件中的数据之间无序性,信息熵越大,表明该加密文件中的数据之间的有序性越差;信息熵越小,表明该加密文件中的数据之间的有序性越好。若该加密文件的信息熵小于或等于信息熵阈值,表明加密文件的有序性性比较好,则确定该新创建进程不存在异常熵事件,确定该新创建进程具有合法性,即新创建进程为合法进程,生成指示该新创建进程具有合法性的合法性验证结果。若该加密文件的信息熵大于信息熵阈值,表明加密文件的有序性性比较差,则确定该新创建进程存在异常熵事件,确定该新创建进程不具有合法性,即新创建进程为恶意进程,生成指示该新创建进程不具有合法性的合法性验证结果。通过加密文件的信息熵,检测短进程是否为恶意进程,可避免恶意进程入侵业务应用,提高业务应用的访问安全性。
方式二:若该安全验证策略指示检测该新创建进程是否存在摘要信息异常事件,且该新创建进程的生存周期小于周期阈值,则计算机设备可以获取该新创建进程的可执行文件的文件存储路径,采用加密算法对文件存储路径进行加密运行,得到该可执行文件的目标摘要信息,如,该加密算法可以是指MD5(信息摘要算法)。获取该可执行文件在计算机设备的本地摘要信息,如果确定目标摘要信息与本地摘要信息之间的距离,根据该距离确定目标摘要信息与本地摘要信息之间的匹配度,目标摘要信息与本地摘要信息之间的距离与目标摘要信息与本地摘要信息之间的匹配度之间具有负相关关系,即目标摘要信息与本地摘要信息之间的距离越大,目标摘要信息与本地摘要信息之间的匹配度越小;目标摘要信息与本地摘要信息之间的距离越小,目标摘要信息与本地摘要信息之间的匹配度越大。然后,若该可执行文件的目标摘要信息与该可执行文件的本地摘要信息之间相匹配,即目标摘要信息与本地摘要信息之间的匹配度大于或等于匹配度阈值,表明新创建进程的可执行文件未被恶意篡改,则确定该新创建进程不存在摘要信息异常事件,确定该新创建进程具有合法性,生成指示该新创建进程具有合法性的合法性验证结果。若该可执行文件的目标摘要信息与所述可执行文件的本地摘要信息之间不相匹配,即目标摘要信息与本地摘要信息之间的匹配度小于匹配度阈值,表明新创建进程的可执行文件被恶意篡改,则确定该新创建进程存在摘要信息异常事件,确定该新创建进程不具有合法性,生成指示该新创建进程不具有合法性的合法性验证结果。
可理解的是,该安全验证策略用于指示如下的一项或多项:检测该新创建进程是否存在摘要信息异常事件、检测该新创建进程是否存在异常熵事件、检测该目标应用程序接口是否存在提升权限权事件、检测所述目标应用程序接口是否存在注入恶意代码事件、检测该加载内存区域是否存在异常加载事件;该安全验证策略用于指示上述的多项时,计算机设备可以根据新创建进程命中安全验证策略中的项数,来确定新创建进程的合法性。例如,在新创建进程命中安全验证策略中的至少两项时,确定新创建进程不具有合法性;如假设检测到该新创建进程存在提升权限事件和异常熵事件时,确定新创建进程命中安全验证策略中的两项,确定新创建进程不具有合法性。
S204、异步将该新创建进程的特征信息上报至该安全管理服务器。
S205、获取该安全管理服务器返回的关于该新创建进程的异常检测结果。该异常检测结果为该安全管理服务器基于该新创建进程的特征信息对该新创建进程进行检测得到的。
S206、若该异常检测结果指示该新创建进程存在异常,且该合法性验证结果指示该新创建进程不具有合法性,则暂停基于该业务访问票据处理该业务访问请求。
在步骤S204~S206中,计算机设备可以异步将该新创建进程的特征信息上报至该安全管理服务器,此处的异步可以是指将新创建进程的特征信息上报至安全管理服务器后,无须等待安全管理服务器返回异常检测结果,继续检测计算机设备中的新创建进程。然后,获取该安全管理服务器返回的关于该新创建进程的异常检测结果,该异常检测结果用于反映新创建进程存在异常,或者,该异常检测结果用于反映新创建进程不存在异常。若该异常检测结果指示该新创建进程存在异常,且该合法性验证结果指示该新创建进程不具有合法性,即计算机设备的本地验证结果(即合法性验证结果)和安全管理服务器的异常检测结果均指示该新创建进程不具有合法性,则暂停基于该业务访问票据处理该业务访问请求,通过根据多方对新创建进程的验证结果,确定新创建进程的合法性,提高对进程的异常检测的准确度。
例如,如图7所示,计算机设备可以展示业务应用的登录界面71a,登录界面71a包括登录选项72a和办公安全实时防护开启选项73a,登录选项72a用于访问对象登录至业务应用。办公安全实时防护开启选项73a用于启动对访问用户的访问过程进行检测。访问对象可以针对登录选项72a执行触控操作,计算机设备响应于关于登录选项72a的触控操作,在登录界面71a中展示登录方式,登录方式包括扫码登录方式或账号登录方式,扫码登录方式用于指示访问用户扫描登录界面中的二维码以登录至业务应用,账号登录方式用于指示访问用户以输入账号和密码的方式,以登录至业务应用。进一步,访问对象可以针对办公安全实时防护开启选项73a执行触控操作,计算机设备响应于关于办公安全实时防护开启选项73a的触控操作,计算机设备启动业务应用的办公安全实时防护功能,在登录子界面74a中提示登录成功的信息,即您以及登录,可以访问业务应用的内容资源。办公安全实时防护功能可以是指上述验证访问对象是否具有针对业务应用的访问权限,以及验证新创建进程的合法性的功能。
本申请中,通过结合业务访问票据的申请过程中的访问对象的对象认证凭证,以及业务资源访问过程(即处理业务访问请求的过程)中的新创建进程的特征信息等多维度信息,共同检测非法访问对象的访问行为,提高检测非法访问对象的访问行为的准确度,提高访问的安全性。具体的,在业务访问票据的申请过程中,通过采用访问对象的对象认证凭证来验证访问对象针对业务应用的业务访问权限,得到权限验证结果,当该权限验证结果指示访问对象具有针对业务应用的访问权限时,才允许从业务应用对应的安全管理服务器中获取该访问对象的业务访问票据,这样能够有效避免非法访问对象获取业务访问票据,提高访问的安全性。进一步,在业务资源访问过程中,通过采用安全管理服务器下发的安全验证策略和该新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,当该合法性验证结果指示该新创建进程不具有合法性时,暂停基于业务访问票据处理该业务访问请求,这样能够避免非法访问对象通过异常进程访问业务应用,提高访问安全性。同时,上述新创建进程为在处理业务访问请求的过程中所创建的进程,即只需要对新创建进程进行合法性验证,不需要对全量进程进行合法性验证,降低进程的验证时延,提高进程的验证效率。
请参见图8,是本申请实施例提供的一种业务数据访问装置的结构示意图。上述业务数据访问装置可以是运行于网络设备中的一个计算机程序(包括程序代码),例如该业务数据访问装置为一个应用软件;该装置可以用于执行本申请实施例提供的方法中的相应步骤。如图8所示,该业务数据访问装置可以包括:第一验证模块811、第一处理模块812、第二验证模块813、第二处理模块814。
第一验证模块811,用于获取与业务应用相关联的业务访问请求,根据所述业务访问请求携带的访问对象的对象认证凭证,验证所述访问对象针对所述业务应用的业务访问权限,得到权限验证结果;
第一处理模块812,用于若所述权限验证结果指示所述访问对象具有针对所述业务应用的业务访问权限,则从所述业务应用对应的安全管理服务器中,获取所述访问对象的业务访问票据,基于所述业务访问票据处理所述业务访问请求;
第二验证模块813,用于获取新创建进程的特征信息,根据所述安全管理服务器下发的安全验证策略,对所述新创建进程的特征信息进行合法性验证,得到合法性验证结果;所述新创建进程为在处理所述业务访问请求的过程中所创建的进程;
第二处理模块814,用于若所述合法性验证结果指示所述新创建进程不具有合法性,则暂停基于所述业务访问票据处理所述业务访问请求。
可理解的是,第二验证模块813包括调用单元81a、第一获取单元82a以及第一确定单元83a:
调用单元81a,用于通过内核回调函数调用内核函数接口,获取所述新创建进程所加载的业务模块;
第一获取单元82a,用于从所述内核回调函数的图像信息类型的结构体中,获取所述业务模块的加载信息;
第一确定单元83a,用于将所述业务模块的加载信息确定为所述新创建进程的特征信息。
调用单元81a,用于调用所述业务应用中的服务进程执行应用程序接口挂钩函数,获取所述新创建进程所调用的目标应用程序接口;
第一获取单元82a,用于获取所述目标应用程序接口的调用参数;
第一确定单元83a,用于将所述目标应用程序接口的调用参数,确定为所述新创建进程的特征信息。
第一获取单元82a,用于获取所述新创建进程的创建时间以及退出时间;
第一确定单元83a,用于根据所述新创建进程的创建时间和退出时间,确定所述新创建进程的生存周期;将所述新创建进程的生存周期,确定为所述新创建进程的特征信息。
可理解的是,所述新创建进程的特征信息包括所述新创建进程所加载的业务模块的加载信息,所述业务模块的加载信息包括所述业务模块的加载内存区域;第二验证模块813根据所述安全管理服务器下发的安全验证策略和所述新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,包括:
若所述安全验证策略指示检测所述加载内存区域是否存在异常加载事件,则获取所述业务模块的加载内存区域的属性特征;
第二验证模块813根据所述业务模块的加载内存区域的属性特征确定所述加载内存区域的权限状态;
若所述加载内存区域的权限状态为禁止执行状态,则确定所述加载内容区域存在异常加载事件,确定所述新创建进程不具有合法性,生成指示所述新创建进程不具有合法性的合法性验证结果。
可理解的是,所述新创建进程的特征信息包括所述新创建进程所调用的目标应用程序接口的调用参数;第二验证模块813根据所述安全管理服务器下发的安全验证策略和所述新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,包括:
若所述安全验证策略指示检测所述目标应用程序接口是否存在注入恶意代码事件,则从所述目标应用程序接口的调用参数中,获取所述新创建进程调用所述目标应用程序接口时,向所述新创建进程的内存空间中注入的目标文件;
获取所述目标文件的文件类型;
若所述文件类型为恶意代码文件类型,则确定所述目标应用程序接口存在注入恶意代码事件,确定所述新创建进程不具有合法性,生成指示所述新创建进程不具有合法性的合法性验证结果。
可理解的是,所述新创建进程的特征信息包括所述新创建进程所调用的目标应用程序接口的调用参数;第二验证模块813根据所述安全管理服务器下发的安全验证策略和所述新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,包括:
若所述安全验证策略指示检测所述目标应用程序接口是否存在提升权限权事件,则从所述目标应用程序接口的调用参数中,获取所述新创建进程调用所述目标应用程序接口时所执行的目标操作;
确定所述目标应用程序接口针对所述目标操作的执行权限等级;
若所述目标应用程序接口的实际权限等级小于所述执行权限等级,则确定所述目标应用程序接口存在提升权限事件,确定所述新创建进程不具有合法性,生成指示所述新创建进程不具有合法性的合法性验证结果。
可理解的是,所述新创建进程的特征信息包括所述新创建进程的生存周期;第二验证模块813根据所述安全管理服务器下发的安全验证策略和所述新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,包括:
若所述安全验证策略指示检测所述新创建进程是否存在异常熵事件,且所述新创建进程的生存周期小于周期阈值,则获取所述新创建进程执行加密操作得到加密文件;
确定所述加密文件的信息熵;所述信息熵用于反映所述加密文件中的数据之间无序性;
若所述加密文件的信息熵大于信息熵阈值,则确定所述新创建进程存在异常熵事件,确定所述新创建进程不具有合法性,生成指示所述新创建进程不具有合法性的合法性验证结果。
可理解的是,所述新创建进程的特征信息包括所述新创建进程的生存周期;第二验证模块813根据所述安全管理服务器下发的安全验证策略和所述新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,包括:
若所述安全验证策略指示检测所述新创建进程是否存在摘要信息异常事件,且所述新创建进程的生存周期小于周期阈值,则获取所述新创建进程的可执行文件的文件存储路径;
根据所述文件存储路径计算所述可执行文件的目标摘要信息;
若所述可执行文件的目标摘要信息与所述可执行文件的本地摘要信息之间不相匹配,则确定所述新创建进程存在摘要信息异常事件,确定所述新创建进程不具有合法性,生成指示所述新创建进程不具有合法性的合法性验证结果。
可理解的是,第一验证模块811包括第二获取单元84b、第二确定单元85b以及生成单元86b:
第二获取单元84b,用于从所述业务应用对应的安全管理服务器中,获取所述业务应用关联的授权对象集合;所述授权对象集合包括针对所述业务应用具有访问权限的授权对象的对象认证凭证;
第二确定单元85b,用于确定所述访问对象的对象认证凭证与所述授权对象集合中的对象认证凭证之间的相似度;
生成单元86b,用于若所述授权对象集合中存在与所述访问对象的对象认证凭证之间相似度大于相似度阈值的对象认证凭证,则确定所述访问对象具有针对所述业务应用的访问权限,生成指示所述访问对象具有针对所述业务应用的访问权限的权限验证结果。
可理解的是,生成单元86b,用于若所述授权对象集合中存在与所述访问对象的对象认证凭证之间相似度大于相似度阈值的对象认证凭证,则确定所述访问对象具有针对所述业务应用的访问权限,包括:
获取所述访问对象的对象认证凭证的状态;
若所述访问对象的对象认证凭证的状态为有效状态,且所述授权对象集合中存在与所述访问对象的对象认证凭证之间相似度大于相似度阈值的对象认证凭证,则确定所述访问对象具有针对所述业务应用的访问权限。
上报模块815,用于异步将所述新创建进程的特征信息上报至所述安全管理服务器;
获取模块816,用于获取所述安全管理服务器返回的关于所述新创建进程的异常检测结果;所述异常检测结果为所述安全管理服务器基于所述新创建进程的特征信息对所述新创建进程进行检测得到的;
所述第二处理模块814若所述合法性验证结果指示所述新创建进程不具有合法性,则暂停基于所述业务访问票据处理所述业务访问请求,包括:
若所述异常检测结果指示所述新创建进程存在异常,且所述合法性验证结果指示所述新创建进程不具有合法性,则暂停基于所述业务访问票据处理所述业务访问请求。
本申请中,通过结合业务访问票据的申请过程中的访问对象的对象认证凭证,以及业务资源访问过程(即处理业务访问请求的过程)中的新创建进程的特征信息等多维度信息,共同检测非法访问对象的访问行为,提高检测非法访问对象的访问行为的准确度,提高访问的安全性。具体的,在业务访问票据的申请过程中,通过采用访问对象的对象认证凭证来验证访问对象针对业务应用的业务访问权限,得到权限验证结果,当该权限验证结果指示访问对象具有针对业务应用的访问权限时,才允许从业务应用对应的安全管理服务器中获取该访问对象的业务访问票据,这样能够有效避免非法访问对象获取业务访问票据,提高访问的安全性。进一步,在业务资源访问过程中,通过采用安全管理服务器下发的安全验证策略和该新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,当该合法性验证结果指示该新创建进程不具有合法性时,暂停基于业务访问票据处理该业务访问请求,这样能够避免非法访问对象通过异常进程访问业务应用,提高访问安全性。同时,上述新创建进程为在处理业务访问请求的过程中所创建的进程,即只需要对新创建进程进行合法性验证,不需要对全量进程进行合法性验证,降低进程的验证时延,提高进程的验证效率。
请参见图9,是本申请实施例提供的一种计算机设备的结构示意图。如图9所示,上述计算机设备1000可以包括:处理器1001,网络接口1004和存储器1005,此外,上述计算机设备1000还可以包括:用户接口1003,和至少一个通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。其中,用户接口1003可以包括显示屏(Display)、键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是非易失性的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器1005可选的还可以是至少一个在远离前述处理器1001的存储装置。如图9所示,作为一种计算机可读存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及设备控制应用程序。
在图9所示的计算机设备1000中,网络接口1004可提供网络通讯功能;而用户接口1003主要用于提供输入的接口;而处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现:
获取与业务应用相关联的业务访问请求,根据所述业务访问请求携带的访问对象的对象认证凭证,验证所述访问对象针对所述业务应用的业务访问权限,得到权限验证结果;
若所述权限验证结果指示所述访问对象具有针对所述业务应用的业务访问权限,则从所述业务应用对应的安全管理服务器中,获取所述访问对象的业务访问票据,基于所述业务访问票据处理所述业务访问请求;
获取新创建进程的特征信息,根据所述安全管理服务器下发的安全验证策略和所述新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果;所述新创建进程为在处理所述业务访问请求的过程中所创建的进程;
若所述合法性验证结果指示所述新创建进程不具有合法性,则暂停基于所述业务访问票据处理所述业务访问请求。
可理解的是,处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现获取新创建进程的特征信息,包括:
通过内核回调函数调用内核函数接口,获取所述新创建进程所加载的业务模块;
从所述内核回调函数的图像信息类型的结构体中,获取所述业务模块的加载信息;
将所述业务模块的加载信息确定为所述新创建进程的特征信息。
可理解的是,处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现获取新创建进程的特征信息,包括:
调用所述业务应用中的服务进程执行应用程序接口挂钩函数,获取所述新创建进程所调用的目标应用程序接口;
获取所述目标应用程序接口的调用参数;
将所述目标应用程序接口的调用参数,确定为所述新创建进程的特征信息。
可理解的是,处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现获取新创建进程的特征信息,包括:
获取所述新创建进程的创建时间以及退出时间;
根据所述新创建进程的创建时间和退出时间,确定所述新创建进程的生存周期;
将所述新创建进程的生存周期,确定为所述新创建进程的特征信息。
可理解的是,处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现新创建进程的特征信息包括所述新创建进程所加载的业务模块的加载信息,所述业务模块的加载信息包括所述业务模块的加载内存区域;
所述根据所述安全管理服务器下发的安全验证策略和所述新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,包括:
若所述安全验证策略指示检测所述加载内存区域是否存在异常加载事件,则获取所述业务模块的加载内存区域的属性特征;
根据所述业务模块的加载内存区域的属性特征确定所述加载内存区域的权限状态;
若所述加载内存区域的权限状态为禁止执行状态,则确定所述加载内容区域存在异常加载事件,确定所述新创建进程不具有合法性,生成指示所述新创建进程不具有合法性的合法性验证结果。
可理解的是,处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现新创建进程的特征信息包括所述新创建进程所调用的目标应用程序接口的调用参数;
所述根据所述安全管理服务器下发的安全验证策略和所述新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,包括:
若所述安全验证策略指示检测所述目标应用程序接口是否存在注入恶意代码事件,则从所述目标应用程序接口的调用参数中,获取所述新创建进程调用所述目标应用程序接口时,向所述新创建进程的内存空间中注入的目标文件;
获取所述目标文件的文件类型;
若所述文件类型为恶意代码文件类型,则确定所述目标应用程序接口存在注入恶意代码事件,确定所述新创建进程不具有合法性,生成指示所述新创建进程不具有合法性的合法性验证结果。
可理解的是,所述新创建进程的特征信息包括所述新创建进程所调用的目标应用程序接口的调用参数;
处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现根据所述安全管理服务器下发的安全验证策略和所述新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,包括:
若所述安全验证策略指示检测所述目标应用程序接口是否存在提升权限权事件,则从所述目标应用程序接口的调用参数中,获取所述新创建进程调用所述目标应用程序接口时所执行的目标操作;
确定所述目标应用程序接口针对所述目标操作的执行权限等级;
若所述目标应用程序接口的实际权限等级小于所述执行权限等级,则确定所述目标应用程序接口存在提升权限事件,确定所述新创建进程不具有合法性,生成指示所述新创建进程不具有合法性的合法性验证结果。
可理解的是,所述新创建进程的特征信息包括所述新创建进程的生存周期;处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现根据所述安全管理服务器下发的安全验证策略和所述新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,包括:
若所述安全验证策略指示检测所述新创建进程是否存在异常熵事件,且所述新创建进程的生存周期小于周期阈值,则获取所述新创建进程执行加密操作得到加密文件;
确定所述加密文件的信息熵;所述信息熵用于反映所述加密文件中的数据之间无序性;
若所述加密文件的信息熵大于信息熵阈值,则确定所述新创建进程存在异常熵事件,确定所述新创建进程不具有合法性,生成指示所述新创建进程不具有合法性的合法性验证结果。
可理解的是,所述新创建进程的特征信息包括所述新创建进程的生存周期;处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现根据所述安全管理服务器下发的安全验证策略和所述新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,包括:
若所述安全验证策略指示检测所述新创建进程是否存在摘要信息异常事件,且所述新创建进程的生存周期小于周期阈值,则获取所述新创建进程的可执行文件的文件存储路径;
根据所述文件存储路径计算所述可执行文件的目标摘要信息;
若所述可执行文件的目标摘要信息与所述可执行文件的本地摘要信息之间不相匹配,则确定所述新创建进程存在摘要信息异常事件,确定所述新创建进程不具有合法性,生成指示所述新创建进程不具有合法性的合法性验证结果。
可理解的是,处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现根据所述业务访问请求携带的访问对象的对象认证凭证,验证所述访问对象针对所述业务应用的业务访问权限,得到权限验证结果,包括:
从所述业务应用对应的安全管理服务器中,获取所述业务应用关联的授权对象集合;所述授权对象集合包括针对所述业务应用具有访问权限的授权对象的对象认证凭证;
确定所述访问对象的对象认证凭证与所述授权对象集合中的对象认证凭证之间的相似度;
若所述授权对象集合中存在与所述访问对象的对象认证凭证之间相似度大于相似度阈值的对象认证凭证,则确定所述访问对象具有针对所述业务应用的访问权限,生成指示所述访问对象具有针对所述业务应用的访问权限的权限验证结果。
可理解的是,处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现若所述授权对象集合中存在与所述访问对象的对象认证凭证之间相似度大于相似度阈值的对象认证凭证,则确定所述访问对象具有针对所述业务应用的访问权限,包括:
获取所述访问对象的对象认证凭证的状态;
若所述访问对象的对象认证凭证的状态为有效状态,且所述授权对象集合中存在与所述访问对象的对象认证凭证之间相似度大于相似度阈值的对象认证凭证,则确定所述访问对象具有针对所述业务应用的访问权限。
可理解的是,处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现:
异步将所述新创建进程的特征信息上报至所述安全管理服务器;
获取所述安全管理服务器返回的关于所述新创建进程的异常检测结果;所述异常检测结果为所述安全管理服务器基于所述新创建进程的特征信息对所述新创建进程进行检测得到的;
所述若所述合法性验证结果指示所述新创建进程不具有合法性,则暂停基于所述业务访问票据处理所述业务访问请求,包括:
若所述异常检测结果指示所述新创建进程存在异常,且所述合法性验证结果指示所述新创建进程不具有合法性,则暂停基于所述业务访问票据处理所述业务访问请求。
本申请中,通过结合业务访问票据的申请过程中的访问对象的对象认证凭证,以及业务资源访问过程(即处理业务访问请求的过程)中的新创建进程的特征信息等多维度信息,共同检测非法访问对象的访问行为,提高检测非法访问对象的访问行为的准确度,提高访问的安全性。具体的,在业务访问票据的申请过程中,通过采用访问对象的对象认证凭证来验证访问对象针对业务应用的业务访问权限,得到权限验证结果,当该权限验证结果指示访问对象具有针对业务应用的访问权限时,才允许从业务应用对应的安全管理服务器中获取该访问对象的业务访问票据,这样能够有效避免非法访问对象获取业务访问票据,提高访问的安全性。进一步,在业务资源访问过程中,通过采用安全管理服务器下发的安全验证策略和该新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,当该合法性验证结果指示该新创建进程不具有合法性时,暂停基于业务访问票据处理该业务访问请求,这样能够避免非法访问对象通过异常进程访问业务应用,提高访问安全性。同时,上述新创建进程为在处理业务访问请求的过程中所创建的进程,即只需要对新创建进程进行合法性验证,不需要对全量进程进行合法性验证,降低进程的验证时延,提高进程的验证效率。
应当理解,本申请实施例中所描述的计算机设备1000可执行前文图6以及前文图4所对应实施例中对上述业务数据访问方法的描述,也可执行前文图8所对应实施例中对上述业务数据访问装置的描述,在此不再赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。
此外,这里需要指出的是:本申请实施例还提供了一种计算机可读存储介质,且上述计算机可读存储介质中存储有前文提及的业务数据访问装置所执行的计算机程序,且上述计算机程序包括程序指令,当上述处理器执行上述程序指令时,能够执行前文图6以及前文图4对应实施例中对上述业务数据访问方法的描述,因此,这里将不再进行赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。对于本申请所涉及的计算机可读存储介质实施例中未披露的技术细节,请参照本申请方法实施例的描述。
作为示例,上述程序指令可被部署在一个计算机设备上执行,或者被部署在一个地点的至少两个计算机设备上执行,又或者,在分布在至少两个地点且通过通信网络互连的至少两个计算机设备上执行,分布在至少两个地点且通过通信网络互连的至少两个计算机设备可以组成区块链网络。
上述计算机可读存储介质可以是前述任一实施例提供的业务数据访问装置或者上述计算机设备的中部存储单元,例如计算机设备的硬盘或中存。该计算机可读存储介质也可以是该计算机设备的外部存储设备,例如该计算机设备上配备的插接式硬盘,智能存储卡(smart media card,SMC),安全数字(secure digital,SD)卡,闪存卡(flash card)等。进一步地,该计算机可读存储介质还可以既包括该计算机设备的中部存储单元也包括外部存储设备。该计算机可读存储介质用于存储该计算机程序以及该计算机设备所需的其他程序和数据。该计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
本申请实施例的说明书和权利要求书及附图中的术语“第一”、“第二”等是用于区别不同媒体中容,而非用于描述特定顺序。此外,术语“包括”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、装置、产品或设备没有限定于已列出的步骤或模块,而是可选地还包括没有列出的步骤或模块,或可选地还包括对于这些过程、方法、装置、产品或设备固有的其他步骤单元。
本申请实施例还提供了一种计算机程序产品,包括计算机程序/指令,所述计算机程序/指令被处理器执行时实现前文图4和图6对应实施例中对上述业务数据访问方法的描述,因此,这里将不再进行赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。对于本申请所涉及的计算机程序产品的实施例中未披露的技术细节,请参照本申请方法实施例的描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例提供的方法及相关装置是参照本申请实施例提供的方法流程图和/或结构示意图来描述的,具体可由计算机程序指令实现方法流程图和/或结构示意图的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。这些计算机程序指令可提供到通用计算机、专用计算机、嵌入式处理机或其他可编程网络连接设备的处理器以产生一个机器,使得通过计算机或其他可编程网络连接设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或结构示意图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程网络连接设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或结构示意图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程网络连接设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或结构示意一个方框或多个方框中指定的功能的步骤。
以上所揭露的仅为本申请较佳实施例而已,当然不能以此来限定本申请之权利范围,因此依本申请权利要求所作的等同变化,仍属本申请所涵盖的范围。
Claims (16)
1.一种业务数据访问方法,其特征在于,包括:
获取与业务应用相关联的业务访问请求,根据所述业务访问请求携带的访问对象的对象认证凭证,验证所述访问对象针对所述业务应用的业务访问权限,得到权限验证结果;
若所述权限验证结果指示所述访问对象具有针对所述业务应用的业务访问权限,则从所述业务应用对应的安全管理服务器中,获取所述访问对象的业务访问票据,基于所述业务访问票据处理所述业务访问请求;
获取新创建进程的特征信息,根据所述安全管理服务器下发的安全验证策略和所述新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果;所述新创建进程为在处理所述业务访问请求的过程中所创建的进程;
若所述合法性验证结果指示所述新创建进程不具有合法性,则暂停基于所述业务访问票据处理所述业务访问请求。
2.如权利要求1所述的方法,其特征在于,所述获取新创建进程的特征信息,包括:
通过内核回调函数调用内核函数接口,获取所述新创建进程所加载的业务模块;
从所述内核回调函数的图像信息类型的结构体中,获取所述业务模块的加载信息;
将所述业务模块的加载信息确定为所述新创建进程的特征信息。
3.如权利要求1所述的方法,其特征在于,所述获取新创建进程的特征信息,包括:
调用所述业务应用中的服务进程执行应用程序接口挂钩函数,获取所述新创建进程所调用的目标应用程序接口;
获取所述目标应用程序接口的调用参数;
将所述目标应用程序接口的调用参数,确定为所述新创建进程的特征信息。
4.如权利要求1所述的方法,其特征在于,所述获取新创建进程的特征信息,包括:
获取所述新创建进程的创建时间以及退出时间;
根据所述新创建进程的创建时间和退出时间,确定所述新创建进程的生存周期;
将所述新创建进程的生存周期,确定为所述新创建进程的特征信息。
5.如权利要求1所述的方法,其特征在于,所述新创建进程的特征信息包括所述新创建进程所加载的业务模块的加载信息,所述业务模块的加载信息包括所述业务模块的加载内存区域;
所述根据所述安全管理服务器下发的安全验证策略和所述新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,包括:
若所述安全验证策略指示检测所述加载内存区域是否存在异常加载事件,则获取所述业务模块的加载内存区域的属性特征;
根据所述业务模块的加载内存区域的属性特征确定所述加载内存区域的权限状态;
若所述加载内存区域的权限状态为禁止执行状态,则确定所述加载内容区域存在异常加载事件,确定所述新创建进程不具有合法性,生成指示所述新创建进程不具有合法性的合法性验证结果。
6.如权利要求1所述的方法,其特征在于,所述新创建进程的特征信息包括所述新创建进程所调用的目标应用程序接口的调用参数;
所述根据所述安全管理服务器下发的安全验证策略和所述新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,包括:
若所述安全验证策略指示检测所述目标应用程序接口是否存在注入恶意代码事件,则从所述目标应用程序接口的调用参数中,获取所述新创建进程调用所述目标应用程序接口时,向所述新创建进程的内存空间中注入的目标文件;
获取所述目标文件的文件类型;
若所述文件类型为恶意代码文件类型,则确定所述目标应用程序接口存在注入恶意代码事件,确定所述新创建进程不具有合法性,生成指示所述新创建进程不具有合法性的合法性验证结果。
7.如权利要求1所述的方法,其特征在于,所述新创建进程的特征信息包括所述新创建进程所调用的目标应用程序接口的调用参数;
所述根据所述安全管理服务器下发的安全验证策略和所述新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,包括:
若所述安全验证策略指示检测所述目标应用程序接口是否存在提升权限权事件,则从所述目标应用程序接口的调用参数中,获取所述新创建进程调用所述目标应用程序接口时所执行的目标操作;
确定所述目标应用程序接口针对所述目标操作的执行权限等级;
若所述目标应用程序接口的实际权限等级小于所述执行权限等级,则确定所述目标应用程序接口存在提升权限事件,确定所述新创建进程不具有合法性,生成指示所述新创建进程不具有合法性的合法性验证结果。
8.如权利要求1所述的方法,其特征在于,所述新创建进程的特征信息包括所述新创建进程的生存周期;
所述根据所述安全管理服务器下发的安全验证策略和所述新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,包括:
若所述安全验证策略指示检测所述新创建进程是否存在异常熵事件,且所述新创建进程的生存周期小于周期阈值,则获取所述新创建进程执行加密操作得到加密文件;
确定所述加密文件的信息熵;所述信息熵用于反映所述加密文件中的数据之间无序性;
若所述加密文件的信息熵大于信息熵阈值,则确定所述新创建进程存在异常熵事件,确定所述新创建进程不具有合法性,生成指示所述新创建进程不具有合法性的合法性验证结果。
9.如权利要求1所述的方法,其特征在于,所述新创建进程的特征信息包括所述新创建进程的生存周期;
所述根据所述安全管理服务器下发的安全验证策略和所述新创建进程的特征信息,对所述新创建进程进行合法性验证,得到合法性验证结果,包括:
若所述安全验证策略指示检测所述新创建进程是否存在摘要信息异常事件,且所述新创建进程的生存周期小于周期阈值,则获取所述新创建进程的可执行文件的文件存储路径;
根据所述文件存储路径计算所述可执行文件的目标摘要信息;
若所述可执行文件的目标摘要信息与所述可执行文件的本地摘要信息之间不相匹配,则确定所述新创建进程存在摘要信息异常事件,确定所述新创建进程不具有合法性,生成指示所述新创建进程不具有合法性的合法性验证结果。
10.如权利要求1所述的方法,其特征在于,所述根据所述业务访问请求携带的访问对象的对象认证凭证,验证所述访问对象针对所述业务应用的业务访问权限,得到权限验证结果,包括:
从所述业务应用对应的安全管理服务器中,获取所述业务应用关联的授权对象集合;所述授权对象集合包括针对所述业务应用具有访问权限的授权对象的对象认证凭证;
确定所述访问对象的对象认证凭证与所述授权对象集合中的对象认证凭证之间的相似度;
若所述授权对象集合中存在与所述访问对象的对象认证凭证之间相似度大于相似度阈值的对象认证凭证,则确定所述访问对象具有针对所述业务应用的访问权限,生成指示所述访问对象具有针对所述业务应用的访问权限的权限验证结果。
11.如权利要求10所述的方法,其特征在于,所述若所述授权对象集合中存在与所述访问对象的对象认证凭证之间相似度大于相似度阈值的对象认证凭证,则确定所述访问对象具有针对所述业务应用的访问权限,包括:
获取所述访问对象的对象认证凭证的状态;
若所述访问对象的对象认证凭证的状态为有效状态,且所述授权对象集合中存在与所述访问对象的对象认证凭证之间相似度大于相似度阈值的对象认证凭证,则确定所述访问对象具有针对所述业务应用的访问权限。
12.如权利要求1所述的方法,其特征在于,所述方法还包括:
异步将所述新创建进程的特征信息上报至所述安全管理服务器;
获取所述安全管理服务器返回的关于所述新创建进程的异常检测结果;所述异常检测结果为所述安全管理服务器基于所述新创建进程的特征信息对所述新创建进程进行检测得到的;
所述若所述合法性验证结果指示所述新创建进程不具有合法性,则暂停基于所述业务访问票据处理所述业务访问请求,包括:
若所述异常检测结果指示所述新创建进程存在异常,且所述合法性验证结果指示所述新创建进程不具有合法性,则暂停基于所述业务访问票据处理所述业务访问请求。
13.一种业务数据访问装置,其特征在于,包括:
第一验证模块,用于获取与业务应用相关联的业务访问请求,根据所述业务访问请求携带的访问对象的对象认证凭证,验证所述访问对象针对所述业务应用的业务访问权限,得到权限验证结果;
第一处理模块,用于若所述权限验证结果指示所述访问对象具有针对所述业务应用的业务访问权限,则从所述业务应用对应的安全管理服务器中,获取所述访问对象的业务访问票据,基于所述业务访问票据处理所述业务访问请求;
第二验证模块,用于获取新创建进程的特征信息,根据所述安全管理服务器下发的安全验证策略,对所述新创建进程的特征信息进行合法性验证,得到合法性验证结果;所述新创建进程为在处理所述业务访问请求的过程中所创建的进程;
第二处理模块,用于若所述合法性验证结果指示所述新创建进程不具有合法性,则暂停基于所述业务访问票据处理所述业务访问请求。
14.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至12中任一项所述的方法的步骤。
15.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至12中任一项所述的方法的步骤。
16.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至12中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210857919.7A CN117473542A (zh) | 2022-07-20 | 2022-07-20 | 业务数据访问方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210857919.7A CN117473542A (zh) | 2022-07-20 | 2022-07-20 | 业务数据访问方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117473542A true CN117473542A (zh) | 2024-01-30 |
Family
ID=89629801
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210857919.7A Pending CN117473542A (zh) | 2022-07-20 | 2022-07-20 | 业务数据访问方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117473542A (zh) |
-
2022
- 2022-07-20 CN CN202210857919.7A patent/CN117473542A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11093625B2 (en) | Adaptive file access authorization using process access patterns | |
Islam et al. | A classification and characterization of security threats in cloud computing | |
CN102855274B (zh) | 一种可疑进程检测的方法和装置 | |
US11947693B2 (en) | Memory management in virtualized computing environments | |
US9183377B1 (en) | Unauthorized account monitoring system and method | |
CN112073400A (zh) | 一种访问控制方法、系统、装置及计算设备 | |
KR101295428B1 (ko) | 스마트 단말기에서 어플리케이션의 권한정보 관리 장치 및 제어 방법 | |
US11783016B2 (en) | Computing system and method for verification of access permissions | |
CN111191226A (zh) | 利用提权漏洞的程序的确定方法、装置、设备及存储介质 | |
CN111400723A (zh) | 基于tee扩展的操作系统内核强制访问控制方法及系统 | |
CN113726726B (zh) | 一种基于边缘计算的电力物联网可信免疫体系及度量方法 | |
CN111683047A (zh) | 越权漏洞检测方法、装置、计算机设备及介质 | |
CN114297708A (zh) | 访问控制方法、装置、设备和存储介质 | |
CN115701019A (zh) | 零信任网络的访问请求处理方法、装置及电子设备 | |
JP2006107505A (ja) | アクセス認可のapi | |
Xing et al. | Unauthorized cross-app resource access on mac os x and ios | |
US10158623B2 (en) | Data theft deterrence | |
US20190199726A1 (en) | Connection control for virtualized environments | |
US11595372B1 (en) | Data source driven expected network policy control | |
JP2005527905A (ja) | 実行可能なコードを格納するタンパーエビデントな取り外し可能な媒体 | |
CN106209746B (zh) | 一种安全业务提供方法及服务器 | |
CN113922975A (zh) | 一种安全控制方法、服务器、终端、系统和存储介质 | |
US11030320B2 (en) | Managing the loading of sensitive modules | |
Sun et al. | Cloud armor: Protecting cloud commands from compromised cloud services | |
Jeong et al. | SafeGuard: a behavior based real-time malware detection scheme for mobile multimedia applications in android platform |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |