一种基于应用程序的行为处理方法和装置制造方法【专利摘要】本发明实施例提供了一种基于应用程序的行为处理方法和装置,所述方法包括:当检测到应用程序的启动操作时,获取所述应用程序对应的行为权限信息;监测所述应用程序的行为信息;以及按照所述行为权限信息对所述行为信息进行处理。本发明实施例通过为行为配置行为权限信息,以单个行为作为权限单位,对应用程序进行监控,避免了黑白名单对应用程序配置统一权限带来的监控漏洞,实现了细粒度权限控制,增强了保护的强度,降低潜在威胁,亦可以减少误报率。【专利说明】一种基于应用程序的行为处理方法和装置【
技术领域:
】[0001]本发明涉及应用程序【
技术领域:
】,特别是涉及一种基于应用程序的行为处理方法和一种基于应用程序的行为处理装置。【
背景技术:
】[0002]随着互联网技术的不断发展,人们开发了各种功能丰富的应用程序,例如,即时通讯工具、音频播放器、视频播放器、日历工具等等,给人们的生活带来许多便利。[0003]由于种种原因,应用程序总是会存在着某些漏洞,利用这些漏洞,病毒、木马或恶意代码可以操纵这些应用程序进行非法滥用,又或者,应用程序本身出于某些非法目的,进行某些危险的行为。[0004]进而,这些应用程序的行为可能会危及数据的完整性、保密性、可用性和可控性,最终表现为应用程序在运行的过程中偏离了正常的轨道,即产生异常行为。[0005]为了保护数据的安全,用户一般在操作系统中安装安全工具,例如,防火墙、杀毒工具等等,这些安全工具,一般会设置有黑名单和白名单,采用"非白即黑"的核心理念保护操作系统。[0006]具体而言,对于白名单中信任的应用程序,一律允许其执行操作;对于黑名单中不信任的应用程序,就会对其行为进行审核,若出现敏感行为,就会以弹窗形式提示用户。[0007]对于黑白名单机制,添加进白名单的应用程序,该应用程序的所有行为就全部信任,容易出现漏洞。若不添加进白名单,则可能会有很多行为被误报病毒,误操作多,浪费系统资源。[0008]例如,某应用程序为文字编辑程序,主要用于编辑,保存和打印文档,它的正常行为表现为读写它所支持的文档格式的文档,操作打印机进行打印,如果发现该应用程序通过网络下载了一个可执行程序并通过修改注册表把它设置为开机自动运行,这显然是一个异常行为,这个异常行为有可能是由于受到了宏病毒或者木马程序的攻击所造成的,又或者,出于强行推广应用程序的目的,该应用程序本身具有这个异常行为。[0009]若将该文字编辑程序添加进白名单,则上述异常行为也是允许的,会导致安全漏洞。若不添加到白名单,则日常的文档读写、打印机打印等行为又容易被误报病毒。【
发明内容】[0010]鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种基于应用程序的行为处理方法和相应的一种基于应用程序的行为处理装置。[0011]依据本发明的一个方面,提供了一种基于应用程序的行为处理方法,包括:[0012]当检测到应用程序的启动操作时,获取所述应用程序对应的行为权限信息;[0013]监测所述应用程序的行为信息;以及[0014]按照所述行为权限信息对所述行为信息进行处理。[0015]可选地,所述获取所述应用程序对应的行为权限列表的步骤包括:[0016]提取所述应用程序的第一特征信息;[0017]将所述第一特征信息发送至服务器;以及[0018]接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限信息。[0019]可选地,所述获取所述应用程序对应的行为权限列表的步骤包括:[0020]提取所述应用程序的第一特征信息;[0021]将所述第一特征信息发送至服务器;[0022]接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限配置信息和权限组标识;[0023]查找在本地预置的,所述权限组标识对应的行为权限基础信息;以及[0024]利用所述行为权限配置信息对所述行为权限基础信息进行配置,以获得行为权限信息。[0025]可选地,所述行为权限信息包括白名单行为信息和黑名单行为信息中的至少一种;[0026]所述行为权限配置信息包括白名单行为添加信息、白名单行为删除信息、白名单行为修改信息、黑名单行为添加信息、黑名单行为删除信息、黑名单行为修改信息中的至少一种;以及[0027]所述行为权限基础信息包括白名单行为基础信息和黑名单行为基础信息中的至少一种。[0028]可选地,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:[0029]在所述白名单行为基础信息中添加所述白名单行为添加信息对应的特征行为信息。[0030]可选地,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:[0031]在所述白名单行为基础信息中删除所述白名单行为删除信息对应的特征行为信息。[0032]可选地,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:[0033]按照所述白名单行为修改信息对所述白名单行为基础信息中的特征行为信息进行修改。[0034]可选地,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:[0035]在所述黑名单行为基础信息中添加所述黑名单行为添加信息对应的特征行为信息。[0036]可选地,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:[0037]在所述黑名单行为基础信息中删除所述黑名单行为删除信息对应的特征行为信息。[0038]可选地,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:[0039]按照所述黑名单行为修改信息对所述黑名单行为基础信息中的特征行为信息进行修改。[0040]可选地,所述按照所述行为权限信息对所述行为信息进行处理的步骤包括:[0041]当所述行为信息与所述行为权限信息中的特征行为信息匹配时,执行所述特征行为信息对应的操作。[0042]可选地,所述当所述行为信息与所述行为权限信息中的特征行为信息匹配时,执行所述特征行为信息对应的操作的步骤包括:[0043]当所述行为信息与所述白名单行为信息中的特征行为信息匹配时,允许所述行为信息的执行。[0044]可选地,所述当所述行为信息与所述特征行为信息匹配时,执行所述特征行为信息对应的操作的步骤包括:[0045]当所述行为信息与所述黑名单行为信息中的特征行为信息匹配时,生成针对所述行为信息的第一提示信息。[0046]可选地,所述按照所述行为权限信息对所述行为信息进行处理的步骤包括:[0047]当所述行为信息未与所述行为权限信息中的特征行为信息匹配时,生成针对所述行为信息的第二提示信息。[0048]可选地,所述按照所述行为权限信息对所述行为信息进行处理的步骤包括:[0049]当所述行为信息未与所述行为权限信息中的特征行为信息匹配时,将所述应用程序的信息和所述行为信息发送至服务器;[0050]接收所述服务器返回的,针对所述应用程序的信息和所述行为信息的操作信息;以及[0051]按照所述操作信息进行操作。[0052]根据本发明的另一方面,提供了一种基于应用程序的行为处理装置,包括:[0053]权限信息获取模块,适于在检测到应用程序的启动操作时,获取所述应用程序对应的行为权限信息;[0054]行为信息监测模块,适于监测所述应用程序的行为信息;以及[0055]处理模块,适于按照所述行为权限信息对所述行为信息进行处理。[0056]可选地,所述权限信息获取模块还适于:[0057]提取所述应用程序的第一特征信息;[0058]将所述第一特征信息发送至服务器;以及[0059]接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限信息。[0060]可选地,所述权限信息获取模块还适于:[0061]提取所述应用程序的第一特征信息;[0062]将所述第一特征信息发送至服务器;[0063]接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限配置信息和权限组标识;[0064]查找在本地预置的,所述权限组标识对应的行为权限基础信息;以及[0065]利用所述行为权限配置信息对所述行为权限基础信息进行配置,以获得行为权限信息。[0066]可选地,所述行为权限信息包括白名单行为信息和黑名单行为信息中的至少一种;[0067]所述行为权限配置信息包括白名单行为添加信息、白名单行为删除信息、白名单行为修改信息、黑名单行为添加信息、黑名单行为删除信息、黑名单行为修改信息中的至少一种;以及[0068]所述行为权限基础信息包括白名单行为基础信息和黑名单行为基础信息中的至少一种。[0069]可选地,所述权限信息获取模块还适于:[0070]在所述白名单行为基础信息中添加所述白名单行为添加信息对应的特征行为信息。[0071]可选地,所述权限信息获取模块还适于:[0072]在所述白名单行为基础信息中删除所述白名单行为删除信息对应的特征行为信息。[0073]可选地,所述权限信息获取模块还适于:[0074]按照所述白名单行为修改信息对所述白名单行为基础信息中的特征行为信息进行修改。[0075]可选地,所述权限信息获取模块还适于:[0076]在所述黑名单行为基础信息中添加所述黑名单行为添加信息对应的特征行为信息。[0077]可选地,所述权限信息获取模块还适于:[0078]在所述黑名单行为基础信息中删除所述黑名单行为删除信息对应的特征行为信息。[0079]可选地,所述权限信息获取模块还适于:[0080]按照所述黑名单行为修改信息对所述黑名单行为基础信息中的特征行为信息进行修改。[0081]可选地,所述处理模块还适于:[0082]当所述行为信息与所述行为权限信息中的特征行为信息匹配时,执行所述特征行为信息对应的操作。[0083]可选地,所述处理模块还适于:[0084]当所述行为信息与所述白名单行为信息中的特征行为信息匹配时,允许所述行为信息的执行。[0085]可选地,所述处理模块还适于:[0086]当所述行为信息与所述黑名单行为信息中的特征行为信息匹配时,生成针对所述行为信息的第一提示信息。[0087]可选地,所述处理模块还适于:[0088]当所述行为信息未与所述行为权限信息中的特征行为信息匹配时,生成针对所述行为信息的第二提示信息。[0089]可选地,所述处理模块还适于:[0090]当所述行为信息未与所述行为权限信息中的特征行为信息匹配时,将所述应用程序的信息和所述行为信息发送至服务器;[0091]接收所述服务器返回的,针对所述应用程序的信息和所述行为信息的操作信息;以及[0092]按照所述操作信息进行操作。[0093]本发明实施例在检测到应用程序的启动操作时,获取该应用程序对应的行为权限信息,对监测到的应用程序的行为信息,按照该行为权限信息进行处理,通过为行为配置行为权限信息,以单个行为作为权限单位,对应用程序进行监控,避免了黑白名单对应用程序配置统一权限带来的监控漏洞,实现了细粒度权限控制,增强了保护的强度,降低潜在威胁,亦可以减少误报率。[0094]本发明实施例在服务器更新和维护应用程序的行为权限信息,无需在本地配置不同应用程序的行为权限信息,减少了本地系统的资源占用,服务器可以快速对应用程序的行为变化做出反应对行为权限信息进行修改,保证了行为权限信息的准确性。[0095]本发明实施例在本地配置行为权限基础信息,由服务器发送的行为权限配置信息进行配置,以获得应用程序的行为权限信息,一方面,由于从服务器获取权限组标识可以获得本地的权限基础信息,无需重复从服务器获取部分的行为权限信息,大大减少了数据的传输量,减少带宽的占用,加快数据的传输速度;另一方面,服务器可以及时对应用程序的行为变化做出反馈,修改行为权限配置信息,保证了应用程序的行为权限信息的准确性。[0096]本发明实施例通过白名单行为信息和黑名单行为信息对应用程序的行为进行可信和不可信操作,进一步细化权限的层次,提高了行为监控的准确性。[0097]本发明实施例通过将未标记的行为进行提示,或,由服务器进行分析,进一步提高了行为监控的准确性和全面性。[0098]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。【专利附图】【附图说明】[0099]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:[0100]图1为根据本发明一个实施例的一种基于应用程序的行为处理方法实施例的步骤流程示意图;以及[0101]图2为根据本发明一个实施例的一种基于应用程序的行为处理装置实施例的方块不意图。【具体实施方式】[0102]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。[0103]参照图1,示出了根据本发明一个实施例的一种基于应用程序的行为处理方法实施例的步骤流程图,具体可以包括如下步骤:[0104]步骤101,当检测到应用程序的启动操作时,获取所述应用程序对应的行为权限信息;[0105]本发明实施例中,当前启动的应用程序可以是由用户的操作进行触发的,例如,用户通过鼠标双击快捷方式触发应用程序的启动;也可以由其他应用程序或服务所触发,例如,当下载工具下载文件完成时,可以调用安全工具对该文件进行安全扫描;还可以通过其他方式触发启动,本发明实施例对此不加以限制。[0106]在具体实现中,可以通过回调操作系统中指定的系统函数,如PsSetCreateProcessNotifyRoutine等,让操作系统通知该系统函数,以获知应用程序的进程启动、退出等信息。[0107]当然,本发明实施例中还可以挂钩(Hook)CreateProcess等系统函数获取到应用程序的进程启动的时机和信息,本发明实施例对此不加以限制。[0108]客户端在检测应用程序启动时,可以获取该应用程序对应的行为权限信息,以对该应用程序的行为进行控制。其中,该行为权限信息可以用于记录对应的应用程序的行为的权限。[0109]在本发明的一种可选实施例中,步骤101可以包括如下子步骤:[0110]子步骤S11,提取所述应用程序的第一特征信息;[0111]客户端在检测应用程序启动时,可以提取其第一特征信息。[0112]第一特征信息,可以为表征当前启动的应用程序的特征的信息,具体可以包括ID(Identity,身份标识号码)、数字签名、hash(哈希值)等等。[0113]子步骤S12,将所述第一特征信息发送至服务器;[0114]应用本发明实施例,可以预先提取待检测的应用程序的第二特征信息,该第二特征信息可以为表征待检测的应用程序的特征的信息,具体可以包括ID(Identity,身份标识号码)、数字签名、hash(哈希值)等等。[0115]此外,可以预先/实时对该待检测的应用程序的行为进行分析,根据分析结果,对该应用程序的第二特征信息配置行为权限信息。在该行为权限信息中可以记录该第二特征信息对应的应用程序的行为所拥有的权限。该权限行为信息可以用于对该应用程序的行为进行监控。[0116]具体而言,行为权限信息可以包括白名单行为信息和黑名单行为信息中的至少一个。当然,对于某些应用程序,其行为权限信息可以只包括白名单行为信息,或者,可以只包括黑名单行为信息,本发明实施例对此不加以限制。[0117]若分析出该待检测的应用程序的行为可信时,将该行为的行为信息作为特征行为信息,添加到其第二特征信息对应的白名单行为信息中,即白名单行为信息可以为某个应用程序的可信的行为的集合。[0118]若分析出该待检测的应用程序的行为不可信时,将该行为的行为信息作为特征行为信息,添加到其第二特征信息对应的黑名单行为信息中,即黑名单行为信息可以为某个应用程序的不可信的行为的集合。[0119]在实际应用中,该待检测的应用程序可以包括用户上传的、出现报警行为的应用程序。将该待检测的应用程序置于虚拟机中运行,复现出现报警的行为,若没有发现异常行为时,则可以将当时表现出来的会被报警的行为添加到该应用程序的第二特性信息对应的白名单行为信息中。[0120]当然,本领域技术人员也可以主动收集不同的应用程序进行分析,本发明实施例对此不加以限制。[0121]子步骤S13,接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限列表。[0122]本发明实施例中,客户端可以将第一特征信息发送至服务器,由服务器检测第一特征信息与预置的第二特征信息是否匹配。[0123]当第一特征信息与第二特征信息匹配时,可以表示在先已经对当前启动的应用程序进行了分析,存储有行为权限信息。[0124]服务器将该第二特征信息对应的行为权限信息发送至客户端,由客户端对当前启动的应用程序的行为进行监控。[0125]本发明实施例在服务器更新和维护应用程序的行为权限信息,无需在本地配置不同应用程序的行为权限信息,减少了本地系统的资源占用,服务器可以快速对应用程序的行为变化做出反应对行为权限信息进行修改,保证了行为权限信息的准确性。[0126]在本发明的另一种可选实施例中,步骤101可以包括如下子步骤:[0127]子步骤S21,提取所述应用程序的第一特征信息;[0128]子步骤S22,将所述第一特征信息发送至服务器;[0129]子步骤S23,接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限配置信息和权限组标识;[0130]子步骤S24,查找在本地预置的,所述权限组标识对应的行为权限基础信息;以及[0131]子步骤S25,利用所述行为权限配置信息对所述行为权限基础信息进行配置,以获得行为权限信息。[0132]在本发明实施例中,可以对应用程序划分一个或多个权限组,每个权限组具有唯一的权限组标识进行识别。[0133]在每个权限组中的应用程序,可能具有相同或相似的行为,但是每个应用程序的行为一般又具有差异性。[0134]例如,下载工具A和下载工具B,都会主动修改开机启动项,也会在后台上传数据,但是下载工具A通过80端口上传,下载工具B通过21端口上传,此外,下载工具B还会调用安全工具对下载的文件进行安全扫描。因此,下载工具A和下载工具B可以归属于同一个权限组。[0135]因此,一方面,可以针对每个权限组配置行为权限基础信息,在该行为权限基础信息中可以记录该权限组中的应用程序的相同或相似的行为所拥有的权限。[0136]具体而言,所述行为权限基础信息可以包括白名单行为基础信息和黑名单行为基础信息中的至少一种。[0137]其中,白名单行为基础信息可以为该权限组中应用程序的不可信的、相同或相似的行为的集合;黑名单行为基础信息可以为该权限组中应用程序的不可信的行为的、相同或相似的行为的集合。[0138]例如,对于下载工具A和下载工具B,由于上传数据一般是用于P2P(Peer-t〇-Peer,对等网络)数据传输,因此,上传数据都是可信的;主动修改开机启动项不是用户主动请求的,且会占用系统资源降低开机速度,因此,主动修改开机启动项都是不可信的。对于下载工具A和下载工具B所属的权限组,上传数据可以写入白名单行为基础信息,主动修改开机启动项可以写入黑名单行为基础信息。[0139]需要说明的是,本领域技术人员可以根据实际情况对白名单行为基础信息和黑名单行为基础信息进行设置,例如,对于下载工具B的调用安全工具的行为,是可信的,若该权限组的其他应用程序大多数具有该行为,则可以写入白名单行为基础信息,若该权限组的其他应用程序大多数不具有该行为,则可以不写入白名单行为基础信息,本发明实施例对此不加以限制。[0140]另一方面,可以针对特定的应用程序配置行为权限配置信息,在该行为权限配置信息中可以记录如何对该特定的应用程序所属的权限组的行为权限基础信息进行配置,以获得该特定应用程序的行为权限信息。[0141]具体而言,所述行为权限配置信息包括白名单行为添加信息、白名单行为删除信息、白名单行为修改信息、黑名单行为添加信息、黑名单行为删除信息、黑名单行为修改信息中的至少一种。[0142]其中,白名单行为添加信息可以指示在白名单行为基础信息中添加指定的特征行为信息;[0143]白名单行为删除信息可以指示在白名单行为基础信息中删除指定的特征行为信息;[0144]白名单行为修改信息可以指示在白名单行为基础信息中修改指定的特征行为信息;[0145]黑名单行为添加信息可以指示在黑名单行为基础信息中添加指定的特征行为信息;[0146]黑名单行为删除信息可以指示在黑名单行为基础信息中删除指定的特征行为信息;[0147]黑名单行为修改信息可以指示在黑名单行为基础信息中修改指定的特征行为信息。[0148]例如,若下载工具A和下载工具B所属的权限组的行为权限基础信息如下:[0149]白名单行为基础信息:上传数据(*端口);[0150]黑名单行为基础信息:主动修改开机启动项;[0151]其中,*为通配符,上传数据(*端口)可以表示允许用任意端口上传数据。[0152]则对于下载工具A,可以在该行为权限基础信息上,需要配置一白名单行为修改信息,以将"上传数据(*端口)"修改为"上传数据(80端口)",即信任使用80端口上传数据;对于下载工具B,可以在该行为权限基础信息上,需要配置一白名单行为修改信息,以将"上传数据(*端口)"修改为上传"数据(21端口)",即信任使用21端口上传数据,同时配置一白名单行为添加信息,在白名单行为基础信息添加调用"调用安全工具",以信任调用安全工具对下载的文件进行安全扫描的行为。[0153]本发明实施例在本地配置行为权限基础信息,由服务器发送的行为权限配置信息进行配置,以获得应用程序的行为权限信息,一方面,由于从服务器获取权限组标识可以获得本地的权限基础信息,无需重复从服务器获取部分的行为权限信息,大大减少了数据的传输量,减少带宽的占用,加快数据的传输速度;另一方面,服务器可以及时对应用程序的行为变化做出反馈,修改行为权限配置信息,保证了应用程序的行为权限信息的准确性。[0154]在本发明实施例的一种可选示例中,子步骤S25可以包括如下子步骤:[0155]子步骤S251,在所述白名单行为基础信息中添加所述白名单行为添加信息对应的特征行为信息。[0156]在本发明实施例中,若接收到白名单行为添加信息,则可以在白名单行为基础信息添加指定的行为信息(即特征行为信息)。[0157]例如,若白名单行为添加信息为"w+修改启动项","w"可以指示白名单行为基础信息,"+"可以指示添加操作,"修改启动项"可以为特征行为信息,则在白名单行为基础信息中添加修改启动项的行为。[0158]在本发明实施例的一种可选示例中,子步骤S25可以包括如下子步骤:[0159]子步骤S252,在所述白名单行为基础信息中删除所述白名单行为删除信息对应的特征行为信息。[0160]在本发明实施例中,若接收到白名单行为删除信息,则可以在白名单行为基础信息删除指定的行为信息(即特征行为信息)。[0161]例如,若白名单行为添加信息为"w-修改com接口","w"可以指示白名单行为基础信息,可以指示删除操作,"修改com接口"可以为特征行为信息,则在白名单行为基础信息中删除修改com接口的行为。[0162]在本发明实施例的一种可选示例中,子步骤S25可以包括如下子步骤:[0163]子步骤S253,按照所述白名单行为修改信息对所述白名单行为基础信息中的特征行为信息进行修改。[0164]在本发明实施例中,若接收到白名单行为修改信息,则可以对白名单行为基础信息中指定的行为信息(即特征行为信息)进行修改。[0165]例如,若白名单行为基础信息包括访问网络(url:*),白名单行为修改信息为"w访问网络(url:hao.360.cn)","w"可以指示白名单行为基础信息,"I"可以指示修改操作,"访问网络(url:hao.360.cn)"可以为修改的信息,则在白名单行为基础信息中将访问网络(url:*)的行为修改为访问网络(url:hao.360.cn)。[0166]在本发明实施例的一种可选示例中,子步骤S25可以包括如下子步骤:[0167]子步骤S254,在所述黑名单行为基础信息中添加所述黑名单行为添加信息对应的特征行为信息。[0168]在本发明实施例中,若接收到黑名单行为添加信息,则可以在黑名单行为基础信息添加指定的行为信息(即特征行为信息)。[0169]例如,若白名单行为添加信息为"b+添加驱动程序","b"可以指示黑名单行为基础信息,"+"可以指示添加操作,"添加驱动程序"可以为特征行为信息,则在黑名单行为基础信息中添加添加驱动程序的行为。[0170]在本发明实施例的一种可选示例中,子步骤S25可以包括如下子步骤:[0171]子步骤S255,在所述黑名单行为基础信息中删除所述黑名单行为删除信息对应的特征行为信息。[0172]在本发明实施例中,若接收到黑名单行为删除信息,则可以在黑名单行为基础信息删除指定的行为信息(即特征行为信息)。[0173]例如,若白名单行为添加信息为"b_发送邮件","b"可以指示黑名单行为基础信息,可以指示删除操作,"发送邮件"可以为特征行为信息,则在黑名单行为基础信息中删除发送邮件的行为。[0174]在本发明实施例的一种可选示例中,子步骤S25可以包括如下子步骤:[0175]子步骤S256,按照所述黑名单行为修改信息对所述黑名单行为基础信息中的特征行为信息进行修改。[0176]在本发明实施例中,若接收到黑名单行为修改信息,则可以对黑名单行为基础信息中指定的行为信息(即特征行为信息)进行修改。[0177]例如,若黑名单行为基础信息包括删除应用程序(Id:*),白名单行为添加信息为"b|删除应用程序(id:安全工具)","b"可以指示黑名单行为基础信息,"I"可以指示修操作,"删除应用程序"可以为特征行为信息,则在黑名单行为基础信息中将删除应用程序(Id:*)的行为修改为删除应用程序(Id:安全工具)。[0178]当然,上述行为权限配置信息只是作为示例,在实施本发明实施例时,可以根据实际情况设置其他行为权限配置信息,本发明实施例对此不加以限制。另外,除了上述行为权限配置信息外,本领域技术人员还可以根据实际需要采用其它行为权限配置信息,本发明实施例对此也不加以限制。[0179]需要说明的是,本领域技术人员可以根据实际情况信任哪些应用程序的行为,不信任哪些应用程序的行为,本发明实施例对此不加以限制。[0180]步骤102,监测所述应用程序的行为信息;[0181]在实际应用中,由于应用程序的进程一般是通过操作系统提供的API(ApplicationProgramInterface,应用程序编程接口)函数来对注册表、文件和创建其他进程等资源来实施操作的,通过对进程调用的这些API进行Hook(挂钩)则可以达到监测的目的。[0182]为使本领域技术人员更好地理解本发明实施例,以下将windows操作系统作为APIHook和服务系统Hook的一种示例进行说明。[0183]通常,Hook可以分为用户模式APIHook和服务系统Hook。[0184]对于APIHook:[0185]IAT(importaddresstable,导入地址表)是windows平台下的可移植的执行体(PortableExecutable,PE)格式文件里的一个重要组成部分,其中存放着本PE文件执行过程可能调用到的所有系统API的名称。当应用程序的进程运行时,它的可执行文件被调入内存,同时其IAT表的PAI名字会被映射到相应的API在当前进程控件中的函数体入口地址,以后该进程所发出的API调用通过IAT表转跳到相应的API函数体上。[0186]因此,可以在进程载入时修改IAT表,将要截取的API的入口地址转向新的一段代码,这段代码首先将此API调用的函数名和参数记录下来,再转到原来的API真实地址继续执行。即通过修改应用程序内存映像的IAT中API函数的入口地址,就可以达到重定向API的目的。[0187]例如,操作注册表、文件和创建其他进程的API函数如表1所示。[0188]表1[0189]【权利要求】1.一种基于应用程序的行为处理方法,包括:当检测到应用程序的启动操作时,获取所述应用程序对应的行为权限信息;监测所述应用程序的行为信息;以及按照所述行为权限信息对所述行为信息进行处理。2.如权利要求1所述的方法,其特征在于,所述获取所述应用程序对应的行为权限列表的步骤包括:提取所述应用程序的第一特征信息;将所述第一特征信息发送至服务器;以及接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限信息。3.如权利要求1所述的方法,其特征在于,所述获取所述应用程序对应的行为权限列表的步骤包括:提取所述应用程序的第一特征信息;将所述第一特征信息发送至服务器;接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限配置信息和权限组标识;查找在本地预置的,所述权限组标识对应的行为权限基础信息;以及利用所述行为权限配置信息对所述行为权限基础信息进行配置,以获得行为权限信息。4.如权利要求3所述的方法,其特征在于,所述行为权限信息包括白名单行为信息和黑名单行为信息中的至少一种;所述行为权限配置信息包括白名单行为添加信息、白名单行为删除信息、白名单行为修改信息、黑名单行为添加信息、黑名单行为删除信息、黑名单行为修改信息中的至少一种;以及所述行为权限基础信息包括白名单行为基础信息和黑名单行为基础信息中的至少一种。5.如权利要求4所述的方法,其特征在于,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:在所述白名单行为基础信息中添加所述白名单行为添加信息对应的特征行为信息。6.如权利要求4所述的方法,其特征在于,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:在所述白名单行为基础信息中删除所述白名单行为删除信息对应的特征行为信息。7.如权利要求4所述的方法,其特征在于,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:按照所述白名单行为修改信息对所述白名单行为基础信息中的特征行为信息进行修改。8.如权利要求4所述的方法,其特征在于,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:在所述黑名单行为基础信息中添加所述黑名单行为添加信息对应的特征行为信息。9.如权利要求4所述的方法,其特征在于,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:在所述黑名单行为基础信息中删除所述黑名单行为删除信息对应的特征行为信息。10.-种基于应用程序的行为处理装置,包括:权限信息获取模块,适于在检测到应用程序的启动操作时,获取所述应用程序对应的行为权限信息;行为信息监测模块,适于监测所述应用程序的行为信息;以及处理模块,适于按照所述行为权限信息对所述行为信息进行处理。【文档编号】G06F21/52GK104484599SQ201410784726【公开日】2015年4月1日申请日期:2014年12月16日优先权日:2014年12月16日【发明者】张皓秋申请人:北京奇虎科技有限公司,奇智软件(北京)有限公司