专利名称:一种实时防护方法和装置的制作方法
技术领域:
本发明涉及计算机技术领域,特别涉及一种实时防护方法和装置。
背景技术:
在各种实时防护软件中,都采用基于策略文件的方式定义软件的监控规则。实现方式是底层驱动根据策略中的驱动层规则,捕获各类符合驱动层规则中定义的条件的事件,然后上交到应用层,并提交由用户决定是否允许该操作执行。目前的各类实时防护软件都有自己的策略定义格式和规则检测。策略包括预设置的一套规则链,规则链中的规则包括注册表路径、文件路径、进程名、TIPS类型等。当驱动层截获到发生了文件修改、注册表修改、操作进程等系统事件时,在驱动中根据策略定义的规则链进行判断,该事件是否符合规则链中的规则。如果与预设置的规则匹配,则提交到应用层。应用层将事件通过类似于TIPS窗口的方式提交到用户桌面,由用户选择是否通过。例如,当用户安装QQ软件时,需要对注册表进行多处修改。其中,会涉及到对系统的启动项的修改。现有的实时防护软件的驱动层检测到注册表修改时,判断对启动项修改是否与策略中的规则链中的规则匹配。如果不匹配,也就是说规则链中不对注册表修改中的启动项修改这一操作进行监控,则允许该操作执行。如果匹配,则需要将该修改提交到应用层;应用层将该修改通过TIPS窗口的形式提交给用户,由用户判断是否允许QQ软件修改注册表的启动项。在实现本发明的过程中,发明人发现现有技术至少存在以下问题现有的这种实时防护策略设计方式的缺陷在于捕获的系统事件几乎全部交由用户选择如何处理。这种方式对于不熟悉计算机系统知识的用户来说,很难做出正确的选择, 导致系统存在安全隐患。
发明内容
为了解决现有技术中各种实时防护软件只对驱动层进行检测,并在发生与预设置的规则匹配的事件时交由应用层显示并由用户选择,导致的用户体验感差及存在安全隐患的问题,本发明实施例提出了一种实时防护方法和装置。所述技术方案如下本发明实施例提出了一种实时防护方法,包括设置驱动层规则与应用层规则的对应关系,所述驱动层规则中的至少一个驱动层规则对应一个或一个以上应用层规则;当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;如果否则步骤结束;判断是否有与该驱动层规则对应的应用层规则;如果否则步骤结束;根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。作为上述技术方案的优选,所述每一应用层规则至少包括以下一个或一个以上字段规则名称字段,用于记录所述应用层规则的名称;动作ID字段,用于记录所述应用层规则对应的过滤函数;关联驱动监控规则ID字段,用于记录与所述应用层规则对应的驱动层规则;附加参数字段,用于记录所述应用层规则的参数。作为上述技术方案的优选,所述通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层包括调用所述应用层规则对应的过滤函数,并将所述应用层规则对应的附加参数字段发送给过滤函数;接收所述过滤函数的返回值,如果该返回值是通过或禁止,则将该结果发送到驱动层,步骤结束;如果过滤函数的返回值是继续过滤,则进入下一条应用层规则。作为上述技术方案的优选,所述方法还包括驱动层根据事件类型生成事件上下文消息,所述事件上下文消息中包括以下的一个或几个参数执行进程ID、执行进程可执行程序路径、事件操作类型、操作对象;驱动层将所述事件上下文消息发送到应用层;应用层根据所述事件上下文消息,构建事件参数。本发明实施例还提出了一种实时防护装置,包括对应关系设置模块,用于设置驱动层规则与应用层规则的对应关系,述所述驱动层规则中的至少一个驱动层规则对应一个或一个以上应用层规则;事件监控模块,用于监控事件,当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;并判断是否有与该驱动层规则对应的应用层规则;应用层过滤模块,用于根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。作为上述技术方案的优选,所述每一应用层规则至少包括以下一个或一个以上字段规则名称字段,用于记录所述应用层规则的名称;动作ID字段,用于记录所述应用层规则对应的过滤函数;关联驱动监控规则ID字段,用于记录与所述应用层规则对应的驱动层规则;附加参数字段,用于记录所述应用层规则的参数。作为上述技术方案的优选,所述应用层过滤模块包括过滤函数调用单元,用于调用所述应用层规则对应的过滤函数,并将所述应用层规则对应的附加参数字段发送给过滤函数;返回值接收单元,用于接收所述过滤函数的返回值,如果该返回值是通过或禁止, 则将该结果发送到驱动层,如果过滤函数的返回值是继续过滤,则进入下一条应用层规则继续进行过滤。作为上述技术方案的优选,所述装置还包括消息生成模块,设置于驱动层,用于根据事件类型生成事件上下文消息,所述事件上下文消息中包括以下的一个或几个参数执行进程ID、执行进程可执行程序路径、事件操作类型、操作对象;
消息发送模块,设置于驱动层,用于将所述事件上下文消息发送到应用层;参数重构模块,设置于应用层,用于根据所述事件上下文消息,构建事件参数。本发明实施例提供的技术方案的有益效果是本发明实施例提出了一种实时防护方法和装置,能够在预定事件发生时,采用二级检测方式对事件进行过滤。本发明实施例可以通过预设置的应用层规则进行过滤,可以由安全专家为用户提供更好的安全决策支持, 并生成统一的应用层规则发送给每一个用户,这样可以避免所有的监控到的事件都提交给用户做选择。以减少提交给用户选择次数,提高用户的体验感。同时,这样不会影响到原有的策略格式定义,对原有的实时防护系统不产生影响,并具备更好的可扩展性。
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中使用的附图作一简单地介绍,显而易见地,下面所列附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本发明第一实施例的流程示意图;图2为本发明第二实施例的流程示意图;图3为本发明第三实施例的结构示意图;图4为本发明第四实施例的结构示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。实施例1步骤101、设置驱动层规则与应用层规则的对应关系,所述驱动层规则中的至少一个驱动层规则对应一个或一个以上应用层规则;步骤102、当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;如果否则步骤结束;步骤103、判断是否有与该驱动层规则对应的应用层规则;如果否则步骤结束;步骤104、根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。本发明实施例提出了一种实时防护方法,能够在预定事件发生时,采用二级检测方式对事件进行过滤。本发明实施例可以通过预设置的应用层规则进行过滤,可以由安全专家为用户提供更好的安全决策支持,并生成统一的应用层规则发送给每一个用户,这样可以避免所有的监控到的事件都提交给用户做选择。以减少提交给用户选择次数,提高用户的体验感。同时,这样不会影响到原有的策略格式定义,对原有的实时防护系统不产生影响,并具备更好的可扩展性。实施例2本发明第二实施例提出了一种实时防护方法,其流程如图2所示,包括步骤201 设置驱动层规则与应用层规则的对应关系,所述驱动层规则中的至少一个驱动层规则对应一个或一个以上应用层规则。
现有技术中,驱动层规则是与驱动层监控事件相对应的。现有的驱动层监控事件可以分为四个类型注册表防护(RP)事件、文件防护(FP)事件、程序防护(AP)事件、网络防护(NP)事件。而这每一事件类型又可以分别对应一个或多个驱动层规则。而当对应多条驱动层规则时,可以将多条驱动层规则设置为一个驱动层规则链。每一驱动层规则可以通过“谁(WHO),对什么(WHAT),做了什么(HOW),怎么处理 (ACTION)”这四个字段的方式描述需要监控的监控点。在策略配置中可以将多个规则根据监控资源的类型进行分组,如对系统启动项的修改就会对应到多个RP的监控规则。监控规则中的“WHO”描述事件的发起者条件,一般来说是事件的执行进程的路径判断条件; “WHAT”描述事件的被操作对象条件,如文件防护中的保护的文件路径、注册表防护中的注册表路径和项名称;“HOW”描述事件的操作类型,如写注册表、写文件、打开进程、监听端口等;“ACTION”表示符合本规则的事件默认采取的操作是通过或者禁止。同样的,应用层规则也可以有多种,例如文件签名过滤规则、程序访问控制过滤规则、程序MD5过滤规则、用户自定义过滤规则、用户询问过滤规则、可疑文件扫描过滤规则、用户历史选择过滤规则、用户询问过滤规则。当然,还可以包括其他规则,本发明实施例并不以此为限。在本发明实施例中,一条驱动层规则可以对应上述的一条或多条应用层规则。当对应多条应用层规则时,可以将多条应用层规则根据优先级设置为一个应用层规则链,以降低进行规则匹配时所需的时间。其中,每一应用层规则可以包括规则名称、动作ID、关联的驱动监控规则ID、附加参数等字段。其中“动作ID”表明了该过滤规则将要被执行何种过滤操作,可以预设一动作ID与过滤函数的对应关系表。在该应用层规则被执行时,会根据动作ID检索到过滤函数,然后执行该过滤函数。过滤函数返回的处理结果包括允许、禁止和过滤;如果返回允许和禁止,那么应用过滤规则链的检查将结束,并将结果返回驱动。如果返回过滤,则沿着应用过滤规则链继续过滤;“关联驱动监控规则ID”可以设定一个或者多个驱动监控项规则 ID,将此过滤规则按照策略的优先级加入到关联到的驱动规则链的适当位置。“附加参数” 是预先定义了在执行过滤函数时需要传入的参数,例如文件签名过滤规则中配置的文件签名白名单或者黑名单配置信息等。步骤202 当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;如果否则步骤结束;如果是则跳转到步骤203。其中,预设置的防护监控事件可以为注册表防护事件、文件防护事件、程序防护事件、网络防护事件。如果发生其中的一个事件时,则与预设置的一条或多条驱动层规则进行匹配。对于驱动层的规则,可以为根据类型进行分类的多个规则链。例如分为注册表防护、文件防护、程序防护、网络防护四种类型,每一类型都具有多个驱动层规则形成的一个规则链。在发生事件时,根据该规则链,依次与每一条驱动层规则逐一进行过滤,以判断是否有相应的驱动层规则。如果有相应的驱动层规则,如果有则跳转到步骤203。如果没有, 则步骤结束。这是由于如果没有相应的驱动层规则时,非本发明方法所关注的部分,可以现有技术中的方法,即当没有相应的驱动层规则时,可以默认放行该事件。例如当用户安装QQ软件时,需要对注册表进行多处修改。其中,一些对注册表的非关键条目的修改并不设置驱动层规则,例如安装路径等。对于这些事件在发生时,检测到并没有与其对应的驱动层规则,则对其直接通过。其中,一些对注册表的关键条目的修改, 防护软件都会设置驱动层规则,例如系统启动项的修改等。对于这些关键条目的修改,则需要跳转到步骤203以判断是否有与其对应的应用层规则。步骤203 判断是否有与该驱动层规则对应的应用层规则;如果没有,则步骤结束;如果有,则跳转到步骤204。在步骤203中,如果匹配的驱动层规则没有对应的应用层规则,则可以采用现有技术中的方法对该时间进行处理,即可以根据该驱动层规则的怎么处理(ACTION)字段, 对该事件进行处理。而如果有对应的应用层规则,则跳转到步骤204。如果没有,则步骤结束。这是由于如果与驱动层规则对应的应用层规则时,则非本发明方法所关注;可以现有技术中的方法,即当没有对应的应用层规则时,可以采用驱动层规则的“ACTION”字段标识使该事件通过或者禁止。步骤204 根据事件的类型(注册表防护事件、文件防护事件、程序防护事件、网络防护事件),生成事件上下文消息。其中事件上下文消息中包括以下的一个或几个参数执行进程ID、执行进程可执行程序路径、事件操作类型、操作对象。同样以步骤202中的安装QQ软件为例,其所对应的进程ID可以通过读取系统获得;其执行程序路径一般为D:\Program Files\Tencent\QQ\QQ. EXE ;事件操作类型为注册表防护;操作对象为注册表启动项修改。步骤205 应用层在接收到该事件上下文消息后进行解析后,根据获取的事件参数,与步骤201中该驱动层规则对应的应用层规则或应用层规则链进行过滤。其中,如果仅有一条应用层规则时,则只需进行过滤一次即可。如果为应用层规则链,则其中包括文件签名过滤规则、程序访问控制过滤规则、程序MD5过滤规则、用户自定义过滤规则、用户询问过滤规则、可疑文件扫描过滤规则、用户历史选择过滤规则、用户询问过滤规则中的两个或两个以上的应用层规则。本发明实施例中可以预先对其设置优先级(例如,根据前述的关联的驱动监控规则ID,对每一规则设置优先级)并排序,形成应用层规则链。在进行过滤时,根据应用层规则链逐一进行过滤。这样可以节省过滤时间。对一条应用层规则进行过滤的方法可以为将附加参数发送到与该规则的动作 ID对应的过滤函数。过滤函数可以根据需要进行预设置,在此并不对过滤函数进行限定。 如果过滤函数的返回值是通过或禁止,则将该结果发送到驱动层,步骤结束。如果过滤函数的返回值是继续过滤,则进入下一条应用层规则;如果没有下一条应用层规则时,则也将该结果发送到驱动层,由驱动层的“ACTION”字段标识使该事件通过或者禁止。在应用层规则链的最后一项过滤规则,可以设置为用户询问过滤规则。这样,在预设置的规则都无法确定通过或禁止时,交由用户选择。以一个具有文件签名过滤规则、程序访问控制过滤规则、程序MD5过滤规则、用户自定义过滤规则、用户询问过滤规则、可疑文件扫描过滤规则、用户历史选择过滤规则、用户询问过滤规则形成的应用层规则链为例。当检测到QQ软件更改了注册表后,首先根据上述的应用层规则链中的优先级最高的规则进行过滤。如果优先级最高的规则为文件签名过滤规则,则调用该规则对应的过滤函数,并将该规则的附加参数(可以为文件签名黑名单、文件签名白名单)发送到过滤函数。过滤函数根据附加参数中的黑名单和白名单对QQ软件的文件签名进行匹配,如果位于黑名单中,则返回值为禁止;如果位于白名单中,则返回值为通过;如果黑名单和白名单中都不包括,则返回继续过滤。当返回值为继续过滤时,则采用下一条应用层规则再次进行过滤,直至返回值为通过或过滤,或达到最后一条规则。一般来说,最后一条规则可以设定为用户询问过滤规则,由用户选择通过或过滤。步骤206 在步骤205根据应用层规则进行过滤后,则将最后的处理结果发送到驱动层。驱动层将该处理结果保存为驱动层规则的ACTION字段。本发明实施例可以将事件进行分类,并对驱动层规则设置一条或多条对应的应用层规则,以降低过滤时的时间开销和系统开销。同时,还可以设置由多个应用层规则组成的应用层规则链,以通过多种方式对事件进行过滤,提高规则设置的灵活性。其中每一个应用层规则可以设置多个字段,其中包括附加参数字段,并通过动作ID字段与过滤函数对应, 这样可以降低更新时数据传输量。例如,在服务器远程更新规则时,只需更新附件参数中的黑名单和白名单,则可以只对附件参数字段进行更改即可。如果更新时只需对过滤的方式进行更改,则可以只更新过滤函数。同时,本发明实施例提出了参数发送的方式,可以将事件参数由驱动层发送到应用层,以使应用层可以对事件进行过滤。实施例3本发明第三实施例提出了一种实时防护装置,其结构如图3所示,包括对应关系设置模块1,用于设置驱动层规则与应用层规则的对应关系,所述驱动层规则中的至少一个驱动层规则对应一个或一个以上应用层规则;事件监控模块2,用于监控事件,当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;并判断是否有与该驱动层规则对应的应用层规则;应用层过滤模块3,用于根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。本发明实施例提出了一种实时防护装置,能够在预定事件发生时,采用二级检测方式对事件进行过滤。本发明实施例可以通过预设置的应用层规则进行过滤,可以由安全专家为用户提供更好的安全决策支持,并生成统一的应用层规则发送给每一个用户,这样可以避免所有的监控到的事件都提交给用户做选择。以减少提交给用户选择次数,提高用户的体验感。同时,这样不会影响到原有的策略格式定义,对原有的实时防护系统不产生影响,并具备更好的可扩展性。实施例4本发明第四实施例提出了一种实时防护装置,其结构如图4所示,包括驱动层和应用层,还包括设置于驱动层的对应关系设置模块1、事件监控模块2、消息生成模块4,以及设置于应用层的参数重构模块6、应用层过滤模块3;还包括可以设置与驱动层内,或是驱动层与应用层之间的消息发送模块5。对应关系设置模块1,用于设置驱动层规则与应用层规则的对应关系,所述驱动层规则中的至少一个驱动层规则对应一个或一个以上应用层规则。现有技术中,驱动层规则是与驱动层监控事件相对应的。现有的驱动层监控事件可以分为四个类型注册表防护(RP)事件、文件防护(FP)事件、程序防护(AP)事件、网络防护(NP)事件。而这每一事件类型又可以分别对应一个或多个驱动层规则。而当对应多条驱动层规则时,可以将多条驱动层规则设置为一个驱动层规则链。每一驱动层规则可以通过“谁(WHO),对什么(WHAT),做了什么(HOW),怎么处理 (ACTION)”这四个字段的方式描述需要监控的监控点。在策略配置中可以将多个规则根据监控资源的类型进行分组,如对系统启动项的修改就会对应到多个RP的监控规则。监控规则中的“WHO”描述事件的发起者条件,一般来说是事件的执行进程的路径判断条件; “WHAT”描述事件的被操作对象条件,如文件防护中的保护的文件路径、注册表防护中的注册表路径和项名称;“HOW”描述事件的操作类型,如写注册表、写文件、打开进程、监听端口等;“ACTION”表示符合本规则的事件默认采取的操作是通过或者禁止。同样的,应用层规则也可以有多种,例如文件签名过滤规则、程序访问控制过滤规则、程序MD5过滤规则、用户自定义过滤规则、用户询问过滤规则、可疑文件扫描过滤规则、用户历史选择过滤规则、用户询问过滤规则。当然,还可以包括其他规则,本发明实施例并不以此为限。在本发明实施例中,一条驱动层规则可以对应上述的一条或多条应用层规则。当对应多条应用层规则时,可以将多条应用层规则根据优先级设置为一个应用层规则链,以降低进行规则匹配时所需的时间。其中,每一应用层规则可以包括规则名称、动作ID、关联的驱动监控规则ID、附加参数等字段。其中“动作ID”表明了该过滤规则将要被执行何种过滤操作,可以预设一动作ID与过滤函数的对应关系表。在该应用层规则被执行时,会根据动作ID检索到过滤函数,然后执行该过滤函数。过滤函数返回的处理结果包括允许、禁止和过滤;如果返回允许和禁止,那么应用过滤规则链的检查将结束,并将结果返回驱动。如果返回过滤,则沿着应用过滤规则链继续过滤;“关联驱动监控规则ID”可以设定一个或者多个驱动监控项规则 ID,将此过滤规则按照策略的优先级加入到关联到的驱动规则链的适当位置。“附加参数” 是预先定义了在执行过滤函数时需要传入的参数,例如文件签名过滤规则中配置的文件签名白名单或者黑名单配置信息等。事件监控模块2,用于监控事件,当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;并判断是否有与该驱动层规则对应的应用层规则。其中,预设置的防护监控事件可以为注册表防护事件、文件防护事件、程序防护事件、网络防护事件。如果发生其中的一个事件时,则与预设置的一条或多条驱动层规则进行匹配。消息生成模块4,设置于驱动层,用于根据事件类型生成事件上下文消息,所述事件上下文消息中包括以下的一个或几个参数执行进程ID、执行进程可执行程序路径、事件操作类型、操作对象;消息发送模块5,设置于驱动层,用于将所述消息生成模块4生成的事件上下文消息发送到应用层;参数重构模块6,设置于应用层,用于根据接收到的所述消息发送模块5的所述事件上下文消息,构建事件参数。应用层过滤模块3,用于根据获取的参数重构模块6的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。其中,应用层过滤模块3可以包括过滤函数调用单元31,用于调用所述应用层规则对应的过滤函数,并将所述应用层规则对应的附加参数字段发送给过滤函数;返回值接收单元32,用于接收所述过滤函数的返回值,如果该返回值是通过或禁止,则将该结果发送到驱动层,如果过滤函数的返回值是继续过滤,则进入下一条应用层规则继续进行过滤。本实施例提供的装置,具体可以通过计算机或其他电子设备实现,与前述的第一、 第二实施例中的方法属于同一构思,其具体实现过程详见第一、第二实施例中的方法,这里不再赘述。本发明实施例可以将事件进行分类,并对驱动层规则设置一条或多条对应的应用层规则,以降低过滤时的时间开销和系统开销。同时,还可以设置由多个应用层规则组成的应用层规则链,以通过多种方式对事件进行过滤,提高规则设置的灵活性。其中每一个应用层规则可以设置多个字段,其中包括附加参数字段,并通过动作ID字段与过滤函数对应, 这样可以降低更新时数据传输量。例如,在服务器远程更新规则时,只需更新附件参数中的黑名单和白名单,则可以只对附件参数字段进行更改即可。如果更新时只需对过滤的方式进行更改,则可以只更新过滤函数。同时,本发明实施例提出了参数发送的方式,可以将事件参数由驱动层发送到应用层,以使应用层可以对事件进行过滤。本发明实施例所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括U盘、移动硬盘、只读存储器(ROM,Read-only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。以上仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种实时防护方法,其特征在于,包括设置驱动层规则与应用层规则的对应关系,所述驱动层规则中的至少一条驱动层规则对应一个或一个以上应用层规则;当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;如果否则步骤结束;判断是否有与该驱动层规则对应的应用层规则;如果否则步骤结束; 根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。
2.根据权利要求1所述的实时防护方法,其特征在于,所述每一应用层规则至少包括以下一个或一个以上字段规则名称字段,用于记录所述应用层规则的名称;动作ID字段,用于记录所述应用层规则对应的过滤函数;关联驱动监控规则ID字段,用于记录与所述应用层规则对应的驱动层规则;附加参数字段,用于记录所述应用层规则的参数。
3.根据权利要求2所述的实时防护方法,其特征在于,所述通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层包括调用所述应用层规则对应的过滤函数,并将所述应用层规则对应的附加参数字段发送给过滤函数;接收所述过滤函数的返回值,如果该返回值是通过或禁止,则将该结果发送到驱动层,步骤结束;如果过滤函数的返回值是继续过滤,则进入下一条应用层规则。
4.根据权利要求1-3任一项所述的实时防护方法,其特征在于,所述方法还包括驱动层根据事件类型生成事件上下文消息,所述事件上下文消息中包括以下的一个或几个参数执行进程ID、执行进程可执行程序路径、事件操作类型、操作对象; 驱动层将所述事件上下文消息发送到应用层; 应用层根据所述事件上下文消息,构建事件参数。
5.一种实时防护装置,其特征在于,包括对应关系设置模块,用于设置驱动层规则与应用层规则的对应关系,述所述驱动层规则中的至少一条驱动层规则对应一个或一个以上应用层规则;事件监控模块,用于监控事件,当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;并判断是否有与该驱动层规则对应的应用层规则;应用层过滤模块,用于根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。
6.根据权利要求5所述的实时防护装置,其特征在于,所述每一应用层规则至少包括以下一个或一个以上字段规则名称字段,用于记录所述应用层规则的名称;动作ID字段,用于记录所述应用层规则对应的过滤函数;关联驱动监控规则ID字段,用于记录与所述应用层规则对应的驱动层规则;附加参数字段,用于记录所述应用层规则的参数。
7.根据权利要求6所述的实时防护装置,其特征在于,所述应用层过滤模块包括过滤函数调用单元,用于调用所述应用层规则对应的过滤函数,并将所述应用层规则对应的附加参数字段发送给过滤函数;返回值接收单元,用于接收所述过滤函数的返回值,如果该返回值是通过或禁止,则将该结果发送到驱动层,如果过滤函数的返回值是继续过滤,则进入下一条应用层规则继续进行过滤。
8.根据权利要求5-7任一项所述的实时防护装置,其特征在于,所述装置还包括 消息生成模块,设置于驱动层,用于根据事件类型生成事件上下文消息,所述事件上下文消息中包括以下的一个或几个参数执行进程ID、执行进程可执行程序路径、事件操作类型、操作对象;消息发送模块,设置于驱动层,用于将所述事件上下文消息发送到应用层; 参数重构模块,设置于应用层,用于根据所述事件上下文消息,构建事件参数。
全文摘要
本发明提出了一种实时防护方法和装置,属于计算机技术领域。本发明实施例设置驱动层规则与应用层规则的对应关系,所述每一驱动层规则对应一个或一个以上应用层规则;当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;如果否则步骤结束;判断是否有与该驱动层规则对应的应用层规则;如果否则步骤结束;根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。本发明实施例能够在预定事件发生时,采用二级检测方式对事件进行过滤。减少提交给用户选择次数,提高用户的体验感。
文档编号G06F21/00GK102262716SQ20101018643
公开日2011年11月30日 申请日期2010年5月25日 优先权日2010年5月25日
发明者孟齐源, 王宇 申请人:腾讯科技(深圳)有限公司