安全防護(hù)方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001 ]本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域,具體涉及一種安全防護(hù)方法及裝置。
【背景技術(shù)】
[0002]“云查殺”是一種新興的安全技術(shù),其主要指的是終端將檢測(cè)對(duì)象(例如代碼、文件、應(yīng)用程序、應(yīng)用程序行為、進(jìn)程、進(jìn)程行為等等)的相關(guān)數(shù)據(jù)上傳至服務(wù)端,由服務(wù)端分析出處理方案,再下發(fā)至終端生效執(zhí)行的過(guò)程。借助于服務(wù)端強(qiáng)大的信息搜集能力和數(shù)據(jù)運(yùn)算能力,云查殺技術(shù)可以應(yīng)對(duì)絕大多數(shù)的惡意程序,保護(hù)終端免受惡意程序的侵害。
[0003]在云查殺的實(shí)際應(yīng)用中,現(xiàn)有安全防護(hù)產(chǎn)品通常會(huì)采用緩存機(jī)制來(lái)減少不必要操作所造成的資源浪費(fèi)。具體來(lái)說(shuō),緩存機(jī)制指的是在服務(wù)端下發(fā)一個(gè)處理方案之后,終端將其保存的本地,以在此后出現(xiàn)的同樣情形時(shí)直接依照本地存儲(chǔ)的處理方案進(jìn)行處理。更廣義地來(lái)說(shuō),緩存機(jī)制的核心思想是排除掉明顯不需要進(jìn)行云查殺的檢測(cè)對(duì)象,以節(jié)約系統(tǒng)資源和網(wǎng)絡(luò)資源。
[0004]然而現(xiàn)有安全防護(hù)產(chǎn)品所沒(méi)有注意到的是,有些惡意程序會(huì)專門利用緩存機(jī)制來(lái)避開(kāi)云查殺。比如,記事本是各個(gè)操作系統(tǒng)中的非常常見(jiàn)應(yīng)用程序,現(xiàn)有的安全防護(hù)產(chǎn)品對(duì)于該應(yīng)用程序通常采取只進(jìn)行一次云查殺或者不進(jìn)行云查殺的處理方式;從而惡意程序如果采用啟動(dòng)記事本或者向記事本注入代碼的方式來(lái)執(zhí)行操作,那么終端在判定執(zhí)行者為記事本的情況下就不會(huì)上傳相關(guān)數(shù)據(jù),使得惡意程序的操作成功避開(kāi)云查殺。
【發(fā)明內(nèi)容】
[0005]針對(duì)現(xiàn)有技術(shù)中的缺陷,本發(fā)明提供一種安全防護(hù)方法及裝置,可以防止惡意程序利用緩存機(jī)制來(lái)避開(kāi)云查殺。
[0006]第一方面,本發(fā)明提供了一種安全防護(hù)裝置,包括處理單元,所述理單元用于在本地進(jìn)程列表中帶有緩存標(biāo)記的進(jìn)程匹配預(yù)設(shè)的觸發(fā)策略時(shí),按照所述緩存標(biāo)記所對(duì)應(yīng)的本地處理策略對(duì)該進(jìn)程和/或其行為進(jìn)行處理,其特征在于,所述安全防護(hù)裝置還包括:
[0007]第一添加單元,用于在任一進(jìn)程匹配預(yù)設(shè)的風(fēng)險(xiǎn)判定策略時(shí),在所述本地進(jìn)程列表中向該進(jìn)程添加預(yù)設(shè)標(biāo)記;
[0008]第二添加單元,用于在帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程創(chuàng)建新的進(jìn)程或者向其他進(jìn)程注入代碼時(shí),在所述本地進(jìn)程列表中向被創(chuàng)建的進(jìn)程或者被注入代碼的進(jìn)程添加所述預(yù)設(shè)標(biāo)記;
[0009]發(fā)送單元,用于在帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程匹配所述觸發(fā)策略時(shí),無(wú)論該進(jìn)程是否帶有所述緩存標(biāo)記,均將該進(jìn)程和/或其行為的描述信息發(fā)送至服務(wù)端,以使所述服務(wù)端返回用于應(yīng)對(duì)該進(jìn)程和/或其行為的本地處理策略。
[0010]可選地,所述發(fā)送單元包括:
[0011 ]判斷模塊,用于在任一進(jìn)程匹配所述觸發(fā)策略時(shí),判斷該進(jìn)程是否在所述本地進(jìn)程列表中帶有所述預(yù)設(shè)標(biāo)記;
[0012]獲取模塊,用于在該進(jìn)程在所述本地進(jìn)程列表中帶有所述預(yù)設(shè)標(biāo)記時(shí),獲取該進(jìn)程和/或其行為的描述信息;
[0013]發(fā)送模塊,用于將該進(jìn)程和/或其行為的描述信息發(fā)送至服務(wù)端,以使所述服務(wù)端返回用于應(yīng)對(duì)該進(jìn)程和/或其行為的本地處理策略。
[0014]可選地,所述發(fā)送單元還包括:
[0015]接收模塊,用于接收所述服務(wù)端返回的本地處理策略;
[0016]處理模塊,用于按照所述服務(wù)端返回的本地處理策略對(duì)帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程和/或其行為進(jìn)行處理。
[0017]可選地,所述安全防護(hù)裝置還包括:
[0018]替換單元,用于使用所述服務(wù)端返回的本地處理策略替換掉本地存儲(chǔ)器中對(duì)應(yīng)于同一進(jìn)程的本地處理策略。
[0019]可選地,具有下述任意的一種或多種的行為的進(jìn)程匹配所述風(fēng)險(xiǎn)判定策略:
[0020]訪問(wèn)與進(jìn)程所屬應(yīng)用程序的功能無(wú)關(guān)的網(wǎng)絡(luò)地址;
[0021]下載與進(jìn)程所屬應(yīng)用程序的功能無(wú)關(guān)的文件;
[0022]建立與進(jìn)程所屬應(yīng)用程序的功能無(wú)關(guān)的進(jìn)程;
[0023]向與進(jìn)程所屬應(yīng)用程序無(wú)關(guān)的其他進(jìn)程注入代碼;
[0024]在受保護(hù)的文件目錄下寫入文件;
[0025]與黑名單中的應(yīng)用程序相關(guān)的進(jìn)程的行為。
[0026]第二方面,本發(fā)明還提供了一種安全防護(hù)方法,包括:
[0027]在本地進(jìn)程列表中帶有緩存標(biāo)記的進(jìn)程匹配預(yù)設(shè)的觸發(fā)策略時(shí),按照所述緩存標(biāo)記所對(duì)應(yīng)的本地處理策略對(duì)該進(jìn)程和/或其行為進(jìn)行處理;
[0028]所述安全防護(hù)方法還包括:
[0029]在任一進(jìn)程匹配預(yù)設(shè)的風(fēng)險(xiǎn)判定策略時(shí),在所述本地進(jìn)程列表中向該進(jìn)程添加預(yù)設(shè)標(biāo)記;
[0030]在帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程創(chuàng)建新的進(jìn)程或者向其他進(jìn)程注入代碼時(shí),在所述本地進(jìn)程列表中向被創(chuàng)建的進(jìn)程或者被注入代碼的進(jìn)程添加所述預(yù)設(shè)標(biāo)記;
[0031]在帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程匹配所述觸發(fā)策略時(shí),無(wú)論該進(jìn)程是否帶有所述緩存標(biāo)記,均將該進(jìn)程和/或其行為的描述信息發(fā)送至服務(wù)端,以使所述服務(wù)端返回用于應(yīng)對(duì)該進(jìn)程和/或其行為的本地處理策略。
[0032]可選地,所述在帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程匹配所述觸發(fā)策略時(shí),無(wú)論該進(jìn)程是否帶有所述緩存標(biāo)記,均將該進(jìn)程和/或其行為的描述信息發(fā)送至服務(wù)端,以使所述服務(wù)端返回用于應(yīng)對(duì)該進(jìn)程和/或其行為的本地處理策略,包括:
[0033]在任一進(jìn)程匹配所述觸發(fā)策略時(shí),判斷該進(jìn)程是否在所述本地進(jìn)程列表中帶有所述預(yù)設(shè)標(biāo)記;
[0034]在該進(jìn)程在所述本地進(jìn)程列表中帶有所述預(yù)設(shè)標(biāo)記時(shí),獲取該進(jìn)程和/或其行為的描述信息;
[0035]將該進(jìn)程和/或其行為的描述信息發(fā)送至服務(wù)端,以使所述服務(wù)端返回用于應(yīng)對(duì)該進(jìn)程和/或其行為的本地處理策略。
[0036]可選地,所述在帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程匹配所述觸發(fā)策略時(shí),無(wú)論該進(jìn)程是否帶有所述緩存標(biāo)記,均將該進(jìn)程和/或其行為的描述信息發(fā)送至服務(wù)端,以使所述服務(wù)端返回用于應(yīng)對(duì)該進(jìn)程和/或其行為的本地處理策略,還包括:
[0037]接收所述服務(wù)端返回的本地處理策略;
[0038]按照所述服務(wù)端返回的本地處理策略對(duì)帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程和/或其行為進(jìn)行處理。
[0039]可選地,所述安全防護(hù)方法還包括:
[0040]使用所述服務(wù)端返回的本地處理策略替換掉本地存儲(chǔ)器中對(duì)應(yīng)于同一進(jìn)程的本地處理策略。
[0041]可選地,具有下述任意的一種或多種的行為的進(jìn)程匹配所述風(fēng)險(xiǎn)判定策略:
[0042]訪問(wèn)與進(jìn)程所屬應(yīng)用程序的功能無(wú)關(guān)的網(wǎng)絡(luò)地址;
[0043]下載與進(jìn)程所屬應(yīng)用程序的功能無(wú)關(guān)的文件;
[0044]建立與進(jìn)程所屬應(yīng)用程序的功能無(wú)關(guān)的進(jìn)程;
[0045]向與進(jìn)程所屬應(yīng)用程序無(wú)關(guān)的其他進(jìn)程注入代碼;
[0046]在受保護(hù)的文件目錄下寫入文件;
[0047]與黑名單中的應(yīng)用程序相關(guān)的進(jìn)程的行為。
[0048]由上述技術(shù)方案可知,本發(fā)明在緩存機(jī)制的基礎(chǔ)上對(duì)匹配風(fēng)險(xiǎn)判定策略的進(jìn)程添加了預(yù)設(shè)標(biāo)記,并且被該進(jìn)程創(chuàng)建或者注入代碼的進(jìn)程均會(huì)被添加該預(yù)設(shè)標(biāo)記。從而,在帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程匹配觸發(fā)策略時(shí),將無(wú)視緩存機(jī)制而直接向服務(wù)端發(fā)送相關(guān)數(shù)據(jù)。因此,被添加預(yù)設(shè)標(biāo)記的進(jìn)程無(wú)論采用直接還是間接的方式實(shí)現(xiàn)其功能,均會(huì)被服務(wù)端獲知,使得本發(fā)明可以防止惡意程序利用緩存機(jī)制來(lái)避開(kāi)云查殺。
[0049]相比于現(xiàn)有技術(shù)而言,本發(fā)明可以使得服務(wù)端獲取到在現(xiàn)有技術(shù)中被緩存機(jī)制掩蓋住的有害代碼,因此不僅有助于提升服務(wù)端上的安全策略的優(yōu)化,還可以提高攔截惡意程序的有效性、反過(guò)來(lái)提升終端的安全性能,大大提升用戶體驗(yàn)。
[0050]當(dāng)然,實(shí)施本發(fā)明的任一產(chǎn)品或方法并不一定需要同時(shí)達(dá)到以上所述的所有優(yōu)點(diǎn)。
【附圖說(shuō)明】
[0051]為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單的介紹,顯而易見(jiàn)地,下面描述中的附圖是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0052]圖1是本發(fā)明一個(gè)實(shí)施例中一種安全防護(hù)方法的步驟流程示意圖;
[0053]圖2是本發(fā)明一個(gè)實(shí)施例中一種向服務(wù)端發(fā)送相關(guān)數(shù)據(jù)的步驟流程示意圖;
[0054]圖3是本發(fā)明一個(gè)實(shí)施例中一種安全防護(hù)裝置的結(jié)構(gòu)框圖。
【具體實(shí)施方式】
[0055]為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0056]在本發(fā)明的描述中需要說(shuō)明的是,術(shù)語(yǔ)“上”、“下”等指示的方位或位置關(guān)系為基于附圖所示的方位或位置關(guān)系,僅是為了便于描述本發(fā)明和簡(jiǎn)化描述,而不是指示或暗示所指的裝置或元件必須具有特定的方位、以特定的方位構(gòu)造和操作,因此不能理解為對(duì)本發(fā)明的限制。除非另有明確的規(guī)定和限定,術(shù)語(yǔ)“安裝”、“相連”、“連接”應(yīng)做廣義理解,例如,可以是固定連接,也可以是可拆卸連接,或一體地連接;可以是機(jī)械連接,也可以是電連接;可以是直接相連,也可以通過(guò)中間媒介間接相連,可以是兩個(gè)元件內(nèi)部的連通。對(duì)于本領(lǐng)域的普通技術(shù)人員而言,可以根據(jù)具體情況理解上述術(shù)語(yǔ)在本發(fā)明中的具體含義。
[