安全防护方法及装置的制造方法
【技术领域】
[0001 ]本发明涉及计算机技术领域,具体涉及一种安全防护方法及装置。
【背景技术】
[0002]“云查杀”是一种新兴的安全技术,其主要指的是终端将检测对象(例如代码、文件、应用程序、应用程序行为、进程、进程行为等等)的相关数据上传至服务端,由服务端分析出处理方案,再下发至终端生效执行的过程。借助于服务端强大的信息搜集能力和数据运算能力,云查杀技术可以应对绝大多数的恶意程序,保护终端免受恶意程序的侵害。
[0003]在云查杀的实际应用中,现有安全防护产品通常会采用缓存机制来减少不必要操作所造成的资源浪费。具体来说,缓存机制指的是在服务端下发一个处理方案之后,终端将其保存的本地,以在此后出现的同样情形时直接依照本地存储的处理方案进行处理。更广义地来说,缓存机制的核心思想是排除掉明显不需要进行云查杀的检测对象,以节约系统资源和网络资源。
[0004]然而现有安全防护产品所没有注意到的是,有些恶意程序会专门利用缓存机制来避开云查杀。比如,记事本是各个操作系统中的非常常见应用程序,现有的安全防护产品对于该应用程序通常采取只进行一次云查杀或者不进行云查杀的处理方式;从而恶意程序如果采用启动记事本或者向记事本注入代码的方式来执行操作,那么终端在判定执行者为记事本的情况下就不会上传相关数据,使得恶意程序的操作成功避开云查杀。
【发明内容】
[0005]针对现有技术中的缺陷,本发明提供一种安全防护方法及装置,可以防止恶意程序利用缓存机制来避开云查杀。
[0006]第一方面,本发明提供了一种安全防护装置,包括处理单元,所述理单元用于在本地进程列表中带有缓存标记的进程匹配预设的触发策略时,按照所述缓存标记所对应的本地处理策略对该进程和/或其行为进行处理,其特征在于,所述安全防护装置还包括:
[0007]第一添加单元,用于在任一进程匹配预设的风险判定策略时,在所述本地进程列表中向该进程添加预设标记;
[0008]第二添加单元,用于在带有所述预设标记的进程创建新的进程或者向其他进程注入代码时,在所述本地进程列表中向被创建的进程或者被注入代码的进程添加所述预设标记;
[0009]发送单元,用于在带有所述预设标记的进程匹配所述触发策略时,无论该进程是否带有所述缓存标记,均将该进程和/或其行为的描述信息发送至服务端,以使所述服务端返回用于应对该进程和/或其行为的本地处理策略。
[0010]可选地,所述发送单元包括:
[0011 ]判断模块,用于在任一进程匹配所述触发策略时,判断该进程是否在所述本地进程列表中带有所述预设标记;
[0012]获取模块,用于在该进程在所述本地进程列表中带有所述预设标记时,获取该进程和/或其行为的描述信息;
[0013]发送模块,用于将该进程和/或其行为的描述信息发送至服务端,以使所述服务端返回用于应对该进程和/或其行为的本地处理策略。
[0014]可选地,所述发送单元还包括:
[0015]接收模块,用于接收所述服务端返回的本地处理策略;
[0016]处理模块,用于按照所述服务端返回的本地处理策略对带有所述预设标记的进程和/或其行为进行处理。
[0017]可选地,所述安全防护装置还包括:
[0018]替换单元,用于使用所述服务端返回的本地处理策略替换掉本地存储器中对应于同一进程的本地处理策略。
[0019]可选地,具有下述任意的一种或多种的行为的进程匹配所述风险判定策略:
[0020]访问与进程所属应用程序的功能无关的网络地址;
[0021]下载与进程所属应用程序的功能无关的文件;
[0022]建立与进程所属应用程序的功能无关的进程;
[0023]向与进程所属应用程序无关的其他进程注入代码;
[0024]在受保护的文件目录下写入文件;
[0025]与黑名单中的应用程序相关的进程的行为。
[0026]第二方面,本发明还提供了一种安全防护方法,包括:
[0027]在本地进程列表中带有缓存标记的进程匹配预设的触发策略时,按照所述缓存标记所对应的本地处理策略对该进程和/或其行为进行处理;
[0028]所述安全防护方法还包括:
[0029]在任一进程匹配预设的风险判定策略时,在所述本地进程列表中向该进程添加预设标记;
[0030]在带有所述预设标记的进程创建新的进程或者向其他进程注入代码时,在所述本地进程列表中向被创建的进程或者被注入代码的进程添加所述预设标记;
[0031]在带有所述预设标记的进程匹配所述触发策略时,无论该进程是否带有所述缓存标记,均将该进程和/或其行为的描述信息发送至服务端,以使所述服务端返回用于应对该进程和/或其行为的本地处理策略。
[0032]可选地,所述在带有所述预设标记的进程匹配所述触发策略时,无论该进程是否带有所述缓存标记,均将该进程和/或其行为的描述信息发送至服务端,以使所述服务端返回用于应对该进程和/或其行为的本地处理策略,包括:
[0033]在任一进程匹配所述触发策略时,判断该进程是否在所述本地进程列表中带有所述预设标记;
[0034]在该进程在所述本地进程列表中带有所述预设标记时,获取该进程和/或其行为的描述信息;
[0035]将该进程和/或其行为的描述信息发送至服务端,以使所述服务端返回用于应对该进程和/或其行为的本地处理策略。
[0036]可选地,所述在带有所述预设标记的进程匹配所述触发策略时,无论该进程是否带有所述缓存标记,均将该进程和/或其行为的描述信息发送至服务端,以使所述服务端返回用于应对该进程和/或其行为的本地处理策略,还包括:
[0037]接收所述服务端返回的本地处理策略;
[0038]按照所述服务端返回的本地处理策略对带有所述预设标记的进程和/或其行为进行处理。
[0039]可选地,所述安全防护方法还包括:
[0040]使用所述服务端返回的本地处理策略替换掉本地存储器中对应于同一进程的本地处理策略。
[0041]可选地,具有下述任意的一种或多种的行为的进程匹配所述风险判定策略:
[0042]访问与进程所属应用程序的功能无关的网络地址;
[0043]下载与进程所属应用程序的功能无关的文件;
[0044]建立与进程所属应用程序的功能无关的进程;
[0045]向与进程所属应用程序无关的其他进程注入代码;
[0046]在受保护的文件目录下写入文件;
[0047]与黑名单中的应用程序相关的进程的行为。
[0048]由上述技术方案可知,本发明在缓存机制的基础上对匹配风险判定策略的进程添加了预设标记,并且被该进程创建或者注入代码的进程均会被添加该预设标记。从而,在带有所述预设标记的进程匹配触发策略时,将无视缓存机制而直接向服务端发送相关数据。因此,被添加预设标记的进程无论采用直接还是间接的方式实现其功能,均会被服务端获知,使得本发明可以防止恶意程序利用缓存机制来避开云查杀。
[0049]相比于现有技术而言,本发明可以使得服务端获取到在现有技术中被缓存机制掩盖住的有害代码,因此不仅有助于提升服务端上的安全策略的优化,还可以提高拦截恶意程序的有效性、反过来提升终端的安全性能,大大提升用户体验。
[0050]当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。
【附图说明】
[0051]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单的介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0052]图1是本发明一个实施例中一种安全防护方法的步骤流程示意图;
[0053]图2是本发明一个实施例中一种向服务端发送相关数据的步骤流程示意图;
[0054]图3是本发明一个实施例中一种安全防护装置的结构框图。
【具体实施方式】
[0055]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0056]在本发明的描述中需要说明的是,术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
[