下载行为的防护方法、装置、电子设备及存储介质与流程

1.本发明涉及网络安全技术领域，尤其涉及一种下载行为的防护方法、装置、电子设备及存储介质。


背景技术：

2.现有的对现在的文件的防护，通常是文件落地(即：下载完成，文件存入磁盘)后通过文件过滤驱动上抛事件给用户层，而后由用户层决策并进行后续处理，如通过云查，确认为危险文件后可调用隔离区隔离文件，确认为危险进程则关闭。存在以下技术问题：均是在文件落地后采取的查杀措施，而此时可能被病毒攻击，而且是对文件过滤去带动上抛的所有事件进行云查，查杀效率低。


技术实现要素：

3.针对现有技术中的问题，本发明实施例提供一种下载行为的防护方法、装置、电子设备及存储介质。
4.具体地，本发明实施例提供了以下技术方案：
5.第一方面，本发明实施例提供了一种下载行为的防护方法，包括：
6.在通过下载软件下载文件的过程中，监控下载到缓存中的缓存数据满足预定的事件触发规则时生成事件；
7.调用对应于所述下载软件的匹配规则，判断所述事件是否为目标事件且所述缓存数据的缓存信息是否为目标缓存信息，其中，所述匹配规则包括事件匹配项和缓存信息匹配项；
8.如果所述事件为目标事件且所述缓存数据的缓存信息为目标缓存信息，则触发下载防护。
9.进一步地，所述预定的事件触发规则是通过对同步或异步与重命名或写关闭进行组合得到的。
10.进一步地，所述缓存信息匹配项包括文件后缀名匹配项、文件名匹配项、缓存目录匹配项和注册表项匹配项中的至少一个。
11.进一步地，所述如果所述事件为目标事件且所述缓存数据的缓存信息为目标缓存信息，则触发下载防护，包括：
12.如果所述事件为异步重命名事件或者异步写关闭事件，且所述缓存数据的缓存信息与所述缓存信息匹配项匹配，则进行警告上报和/或拦截所述下载行为；
13.如果所述事件为同步重命名事件或者同步写关闭事件，且所述缓存数据的缓存信息与所述缓存信息匹配项匹配，则在接收到操作确认反馈后，基于所述操作确认反馈，拦截所述下载行为或者放行所述下载行为。
14.进一步地，所述在拦截所述下载行为之后，还包括：
15.对所述缓存数据进行查杀，以确定所述缓存数据是否存在病毒。
16.进一步地，还包括：
17.在确定所述缓存数据存在病毒后，清理所述缓存数据。
18.第二方面，本发明实施例还提供了一种下载行为的防护装置，包括：
19.监控模块，用于在通过下载软件下载文件的过程中，监控下载到缓存中的缓存数据满足预定的事件触发规则时生成事件；
20.判断模块，用于调用对应于所述下载软件的匹配规则，判断所述事件是否为目标事件且所述缓存数据的缓存信息是否为目标缓存信息，其中，所述匹配规则包括事件匹配项和缓存信息匹配项；
21.防护模块，用于在所述事件为目标事件且所述缓存数据的缓存信息为目标缓存信息时，触发下载防护。
22.第三方面，本发明实施例还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述的下载行为的防护方法的步骤。
23.第四方面，本发明实施例还提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面所述的下载行为的防护方法的步骤。
24.第五方面，本发明实施例还提供了一种计算机程序产品，所计算机程序产品包括有计算机程序，该计算机程序被处理器执行时实现如第一方面所述的下载行为的防护方法的步骤。
25.由上面技术方案可知，本发明实施例提供的下载行为的防护方法、装置、电子设备及存储介质，可以在下载的文件写入磁盘之前，对下载到缓存中的缓存数据进行监控，并在匹配到相应的下载行为后，进行查杀等操作，从而提升文件下载的安全性，实现对下载的有效的防护。
附图说明
26.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
27.图1为本发明一实施例提供的下载行为的防护方法的流程图；
28.图2为本发明一实施例提供的下载行为的防护装置的结构框图；
29.图3为本发明一实施例提供的电子设备的结构示意图。
具体实施方式
30.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
31.图1示出了本发明实施例提供的下载行为的防护方法的流程图。如图1所示，本发
明实施例提供的下载行为的防护方法，包括如下步骤：
32.步骤101：在通过下载软件下载文件的过程中，监控下载到缓存中的缓存数据满足预定的事件触发规则时生成事件。
33.本发明实施例中指出的下载软件包括专门用于进行下载的软件和具有文件下载功能的其它类型的软件，如qq软件，也可以进行文件的下载。
34.通常来说，进行文件下载时，首先将下载的数据下载到缓存中得到缓存数据，然后，进行缓存数据重命名等操作，之后，再将缓存数据写入磁盘中，即：文件落地，至此完成一次下载。本发明的实施例中，并非对落地的文件进行监控，而是对下载行为的一种监控，即：对下载到缓存中的缓存数据进行监控。其中，可以通过文件过滤驱动实现缓存数据的监控，文件过滤驱动根据预定的事件触发规则监控缓存数据，当命中预定的事件触发规则时上抛事件给用户层。作为一个具体的示例，预先向文件过滤驱动下发预定的事件触发规则，文件过滤驱动作为事件源，可以在命中事件触发规则之后上抛相应的事件。
35.在本发明的一个实施例中，预定的事件触发规则是但不限于通过对同步或异步与重命名或写关闭进行组合得到的。例如：事件触发规则为异步重命名规则，则在缓存数据命中异步重命名规则时，上抛异步重命名事件；同理，事件触发规则为同步写关闭规则，则在缓存数据命中同步写关闭规则时，上抛同步写关闭事件。当然，对于其他的组合得到的事件触发规则，同样在命中后上抛相应的事件。
36.步骤102：调用对应于下载软件的匹配规则，判断事件是否为目标事件且所述缓存数据的缓存信息是否为目标缓存信息，其中，匹配规则包括事件匹配项和缓存信息匹配项。
37.在本发明的一个实施例中，缓存信息匹配项包括但不限于文件后缀名匹配项、文件名匹配项、缓存目录匹配项和注册表项匹配项中的至少一个。
38.以异步重命名事件为例，其中，文件过滤驱动上抛所有与预定的事件触发规则相匹配的事件给用户层，用户层首先确定是哪一个下载软件，例如为qq，假设为qq设置的匹配规则为重命名+异步+文件后缀名，则对文件过滤驱动上抛的所有的事件进行匹配，筛选出异步重命名事件，然后判断缓存数据的文件后缀名是否对qq设置的匹配规则中的文件后缀名，如果相同，则确定事件是否为目标事件且所述缓存数据的缓存信息是否为目标缓存信息。
39.该示例中，在为qq设置的匹配规则重命名+异步+文件后缀名中，重命名+异步构成事件匹配项，而文件后缀名构成缓存信息匹配项。
40.需要说明的是，不同的下载软件可能存在不同的文件操作逻辑，因此，可以针对不同的下载软件设置不同的匹配规则，从而筛选出的事件以及缓存系统不同的结果。
41.针对异步事件先匹配监控点类型若重命名、写关闭，成功再匹配过滤策略(路径/后缀名/文件名/硬编码)，匹配上策略之后进行云查杀或本地查杀。
42.步骤103：如果事件为目标事件且缓存数据的缓存信息为目标缓存信息，则触发下载防护。
43.作为一个具体的示例，如果所述事件为目标事件且所述缓存数据的缓存信息为目标缓存信息，则触发下载防护，包括：如果所述事件为异步重命名事件或者异步写关闭事件，且所述缓存数据的缓存信息与所述缓存信息匹配项匹配，则进行警告上报和/或拦截所述下载行为；如果所述事件为同步重命名事件或者同步写关闭事件，且所述缓存数据的缓
存信息与所述缓存信息匹配项匹配，则在接收到操作确认反馈后，基于所述操作确认反馈，拦截所述下载行为或者放行所述下载行为。
44.该示例中，在拦截所述下载行为之后，还可对所述缓存数据进行查杀，以确定所述缓存数据是否存在病毒。其中，在确定所述缓存数据存在病毒后，可对缓存数据进行自动清理。
45.具体来说，如果匹配到事件为目标事件且缓存数据的缓存信息为目标缓存信息，如匹配到异步重命名事件且为.exe文件，则进行查杀，如采用云服务器进行查杀或者通过本地引擎进行查杀，进而，如果是病毒，则可以对下载行为进行拦截，并删除下载到缓存中的缓存数据，如果不是病毒，则可以放行，进而完成下载任务。
46.其中，云服务器查杀主要有三个引擎，md5云查，qvm云查，qex云查。其中，md5云查主要是在云查维护了几百亿的样本，并且都划分了等级。本地引擎就是扫描静态文件来判断是不是毒，典型的本地引擎是提取文件上的大量的特征与存储的规则库比对，比对成功则确认为病毒。
47.需要说明的是，如果命中同步事件，则需要询问用户，在用户决定后，进行放行或者拦截。
48.在具体应用中，从网络上的下载的文件在落地(即：写入磁盘)之前会在本地缓存文件副本(即：缓存数据)，本发明的实施例可以在文件下载完成之前对缓存数据进行监控，从而可以在下载的文件落地之前实现下载防护，即：在将下载的缓存数据写入磁盘之前，进行查杀等操作，从而提升下载的安全性。例如：通过qq下载文件：匹配规则为：重命名+异步+文件后缀名，用户层匹配任意重命名异步事件，再根据文件后缀名匹配，匹配成功后，对缓存数据进行后续处理，如查杀或者放行。如果匹配规则为：重命名+同步+文件后缀名，则文件过滤驱动会阻塞等待用户层反馈，根据反馈结果确认放行还是拦截。
49.根据本发明实施例的下载行为的防护方法，可以在下载的文件写入磁盘之前，对下载到缓存中的缓存数据进行监控，并在匹配到相应的下载行为后，进行查杀等操作，从而提升文件下载的安全性，实现对下载的有效的防护。
50.图2示出了本发明实施例提供的下载行为的防护装置的结构示意图。如图2所示，本实施例提供的下载行为的防护装置，包括：监控模块210、判断模块220和防护模块230，其中：
51.监控模块210，用于在通过下载软件下载文件的过程中，监控下载到缓存中的缓存数据满足预定的事件触发规则时生成事件；
52.判断模块220，用于调用对应于所述下载软件的匹配规则，判断所述事件是否为目标事件且所述缓存数据的缓存信息是否为目标缓存信息，其中，所述匹配规则包括事件匹配项和缓存信息匹配项；
53.防护模块230，用于在所述事件为目标事件且所述缓存数据的缓存信息为目标缓存信息时，触发下载防护。
54.基于上述各实施例的内容，在本实施例中，所述预定的事件触发规则是通过对同步或异步与重命名或写关闭进行组合得到的。
55.基于上述各实施例的内容，在本实施例中，所述缓存信息匹配项包括文件后缀名匹配项、文件名匹配项、缓存目录匹配项和注册表项匹配项中的至少一个。
56.基于上述各实施例的内容，在本实施例中，防护模块230，具体用于：
57.如果所述事件为异步重命名事件或者异步写关闭事件，且所述缓存数据的缓存信息与所述缓存信息匹配项匹配，则进行警告上报和/或拦截所述下载行为；
58.如果所述事件为同步重命名事件或者同步写关闭事件，且所述缓存数据的缓存信息与所述缓存信息匹配项匹配，则在接收到操作确认反馈后，基于所述操作确认反馈，拦截所述下载行为或者放行所述下载行为。
59.基于上述各实施例的内容，在本实施例中，防护模块230还用于：
60.对所述缓存数据进行查杀，以确定所述缓存数据是否存在病毒。
61.基于上述各实施例的内容，在本实施例中，防护模块230还用于：在确定所述缓存数据存在病毒后，清理所述缓存数据。
62.根据本发明实施例的下载行为的防护装置，可以在下载的文件写入磁盘之前，对下载到缓存中的缓存数据进行监控，并在匹配到相应的下载行为后，进行查杀等操作，从而提升文件下载的安全性，实现对下载的有效的防护。
63.由于本发明实施例提供的下载行为的防护装置，可以用于执行上述实施例所述的下载行为的防护方法，其工作原理和有益效果类似，故此处不再详述，具体内容可参见上述实施例的介绍。
64.在本实施例中，需要说明的是，本发明实施例的装置中的各个模块可以集成于一体，也可以分离部署。上述模块可以合并为一个模块，也可以进一步拆分成多个子模块。
65.基于相同的发明构思，本发明又一实施例提供了一种电子设备，参见图3，所述电子设备具体包括如下内容：处理器301、存储器302、通信接口303和通信总线304；
66.其中，所述处理器301、存储器302、通信接口303通过所述通信总线304完成相互间的通信；
67.所述处理器301用于调用所述存储器302中的计算机程序，所述处理器执行所述计算机程序时实现上述下载行为的防护方法的全部步骤，例如，所述处理器执行所述计算机程序时实现下述过程：在通过下载软件下载文件的过程中，监控下载到缓存中的缓存数据满足预定的事件触发规则时生成事件；调用对应于所述下载软件的匹配规则，判断所述事件是否为目标事件且所述缓存数据的缓存信息是否为目标缓存信息，其中，所述匹配规则包括事件匹配项和缓存信息匹配项；如果所述事件为目标事件且所述缓存数据的缓存信息为目标缓存信息，则触发下载防护。
68.可以理解的是，所述计算机程序可以执行的细化功能和扩展功能可参照上面实施例的描述。
69.基于相同的发明构思，本发明又一实施例提供了一种非暂态计算机可读存储介质，该非暂态计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述下载行为的防护方法的全部步骤，例如，所述处理器执行所述计算机程序时实现下述过程：在通过下载软件下载文件的过程中，监控下载到缓存中的缓存数据满足预定的事件触发规则时生成事件；调用对应于所述下载软件的匹配规则，判断所述事件是否为目标事件且所述缓存数据的缓存信息是否为目标缓存信息，其中，所述匹配规则包括事件匹配项和缓存信息匹配项；如果所述事件为目标事件且所述缓存数据的缓存信息为目标缓存信息，则触发下载防护。
70.可以理解的是，所述计算机程序可以执行的细化功能和扩展功能可参照上面实施例的描述。
71.基于相同的发明构思，本发明又一实施例提供了一种计算机程序产品，所计算机程序产品包括有计算机程序，该计算机程序被处理器执行时实现上述下载行为的防护方法的全部步骤，例如，所述处理器执行所述计算机程序时实现下述过程：在通过下载软件下载文件的过程中，监控下载到缓存中的缓存数据满足预定的事件触发规则时生成事件；调用对应于所述下载软件的匹配规则，判断所述事件是否为目标事件且所述缓存数据的缓存信息是否为目标缓存信息，其中，所述匹配规则包括事件匹配项和缓存信息匹配项；如果所述事件为目标事件且所述缓存数据的缓存信息为目标缓存信息，则触发下载防护。
72.可以理解的是，所述计算机程序可以执行的细化功能和扩展功能可参照上面实施例的描述。
73.此外，上述的存储器中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
74.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
75.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的流量审计方法。
76.此外，在本发明中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
77.此外，在本发明中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包
含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
78.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。