專利名稱:實時防護的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及安全領(lǐng)域,特別涉及一種實時防護的方法和裝置��。
背景技術(shù):
網(wǎng)絡(luò)安全形勢日益嚴峻��,各類病毒也嚴重威脅著我們的操作安全�����。為了攔截各種惡意程序�,需要具備強大的防護能力。目前各類實時防護軟件如EQkcure����、System Safety Monitor���、360安全衛(wèi)士等,在軟件初次安裝的配置文件中都定義了一些可能影響到系統(tǒng)安全行為的監(jiān)控點�,用以對系統(tǒng)啟動項、映像劫持�、修改系統(tǒng)文件、安裝系統(tǒng)服務(wù)等各類事件進行捕獲�����。無論這些事件是安全程序的正常操作��,還是可疑程序或者惡意程序的惡意操作����,都全部提交給用戶去判斷此類行為是要放行或禁止。例如���,用戶選擇了 “以后放行此程序的所有操作”或“以后禁止此程序的所有操作”�����,那么以后該程序都不會再彈出窗口讓用戶來選擇��,而是自動放行或禁止相關(guān)操作���。綜合上述����,現(xiàn)有技術(shù)至少存在以下問題由用戶對所有監(jiān)控事件進行選擇�����,對于本身很安全的一些系統(tǒng)操作��,則會影響用戶操作��、降低用戶操作效率��;并且當用戶對于計算機知識掌握程度不高的時候���,用戶很難做出正確選擇,如果禁止了安全軟件或放行了惡意軟件�����,則可能導(dǎo)致安全的軟件運行不正常����, 或讓惡意的軟件有機會在系統(tǒng)中肆意妄為�。
發(fā)明內(nèi)容
為了提高用戶操作效率���,并且?guī)椭脩舴直姘踩能浖蛺阂獾能浖?�,本發(fā)明實施例提供了一種實時防護的方法和裝置����。所述技術(shù)方案如下—種實時防護的方法��,所述方法包括從服務(wù)器獲取并實時更新應(yīng)用層過濾規(guī)則�����;判斷實時防護事件是否匹配所述應(yīng)用層過濾規(guī)則����;如果匹配,根據(jù)所述應(yīng)用層過濾規(guī)則對所述實時防護事件執(zhí)行相應(yīng)的操作�����。其中�,當所述應(yīng)用層過濾規(guī)則有多個時��,所述從服務(wù)器獲取并實時更新應(yīng)用層過濾規(guī)則之后包括從所述服務(wù)器獲取并實時更新所述應(yīng)用層過濾規(guī)則的執(zhí)行順序���;所述判斷實時防護事件是否匹配所述應(yīng)用層過濾規(guī)則包括按照所述執(zhí)行順序,當所述實時防護事件與所述應(yīng)用層過濾規(guī)則的前一個應(yīng)用層過濾規(guī)則不匹配時����,再判斷所述實時防護事件是否匹配所述應(yīng)用層過濾規(guī)則。其中�,所述方法還包括如果不匹配����,將所述實時防護事件發(fā)送給用戶決策。其中�����,所述將所述實時防護事件發(fā)送給用戶決策之前還包括確定所述實時防護事件的風(fēng)險等級����;
所述將所述實時防護事件發(fā)送給用戶決策還包括將所述實時防護事件的風(fēng)險等級發(fā)送給所述用戶,使所述用戶根據(jù)所述風(fēng)險等級對所述實時防護事件進行決策����。其中��,所述應(yīng)用層過濾規(guī)則包括通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則和自保護監(jiān)控點的應(yīng)用層過濾規(guī)則�����;所述判斷實時防護事件是否匹配所述應(yīng)用層過濾規(guī)則包括確定所述實時防護事件所屬監(jiān)控點的類型�;當所述類型為通用策略監(jiān)控點時��,判斷所述實時防護事件是否匹配所述通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則�;當所述類型為自保護監(jiān)控點時,判斷所述實時防護事件是否匹配所述自保護監(jiān)控點的應(yīng)用層過濾規(guī)則��。其中���,所述自保護監(jiān)控點的應(yīng)用層過濾規(guī)則包括第一文件簽名應(yīng)用層過濾規(guī)則�、 進程的黑白名單應(yīng)用層過濾規(guī)則中的至少一個���;所述通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則包括第二文件簽名應(yīng)用層過濾規(guī)則���、信息摘要算法MD5應(yīng)用層過濾規(guī)則中的至少一個。一種實時防護的裝置���,所述裝置包括獲取模塊�,用于從服務(wù)器獲取并實時更新應(yīng)用層過濾規(guī)則;判斷模塊���,用于判斷實時防護事件是否匹配所述獲取模塊獲取的應(yīng)用層過濾規(guī)則����;執(zhí)行模塊����,用于如果所述判斷模塊判斷的結(jié)果為匹配,根據(jù)所述獲取模塊獲取的應(yīng)用層過濾規(guī)則對所述實時防護事件執(zhí)行相應(yīng)的操作����。其中�,所述獲取模塊,還用于當所述應(yīng)用層過濾規(guī)則有多個時�,從所述服務(wù)器獲取并實時更新所述應(yīng)用層過濾規(guī)則的執(zhí)行順序;所述判斷模塊�����,還用于按照所述獲取模塊獲取的執(zhí)行順序��,當所述實時防護事件與所述應(yīng)用層過濾規(guī)則的前一個應(yīng)用層過濾規(guī)則不匹配時����,再判斷所述實時防護事件是否匹配所述應(yīng)用層過濾規(guī)則���。其中,所述裝置還包括發(fā)送模塊�����,用于如果所述判斷模塊判斷的結(jié)果為不匹配����,將所述實時防護事件發(fā)送給用戶決策。其中��,所述裝置還包括確定模塊����,用于將所述實時防護事件發(fā)送給用戶決策之前,確定所述實時防護事件的風(fēng)險等級��;所述發(fā)送模塊����,還用于將所述實時防護事件的風(fēng)險等級發(fā)送給所述用戶,使所述用戶根據(jù)所述風(fēng)險等級對所述實時防護事件進行決策��。其中,所述獲取模塊獲取的應(yīng)用層過濾規(guī)則包括通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則和自保護監(jiān)控點的應(yīng)用層過濾規(guī)則�����;所述判斷模塊包括確定單元�����,用于確定所述實時防護事件所屬監(jiān)控點的類型��;第一判斷單元���,用于當所述確定單元確定的類型為通用策略監(jiān)控點時���,判斷所述實時防護事件是否匹配所述通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則;第二判斷單元��,用于當所述確定單元確定的類型為自保護監(jiān)控點時�,判斷所述實時防護事件是否匹配所述自保護監(jiān)控點的應(yīng)用層過濾規(guī)則��。其中�,所述獲取模塊獲取的自保護監(jiān)控點的應(yīng)用層過濾規(guī)則包括第一文件簽名應(yīng)用層過濾規(guī)則、進程的黑白名單應(yīng)用層過濾規(guī)則中的至少一個���;所述獲取模塊獲取的通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則包括第二文件簽名應(yīng)用層過濾規(guī)則�、信息摘要算法MD5應(yīng)用層過濾規(guī)則中的至少一個。本發(fā)明實施例提供的技術(shù)方案帶來的有益效果是通過從服務(wù)器獲取并實時更新應(yīng)用層過濾規(guī)則�����,判斷實時防護事件是否匹配應(yīng)用層過濾規(guī)則�,如果匹配,根據(jù)應(yīng)用層過濾規(guī)則對實時防護事件執(zhí)行相應(yīng)的操作�,不需要用戶干預(yù),提高了防護的準確性和用戶操作的效率���;相應(yīng)的����,如果不匹配應(yīng)用層過濾規(guī)則�,再發(fā)給用戶決策,相對于用戶對所有的監(jiān)控事件進行決策�����,也有利于提高用戶操作的效率�。另外,通過評估實時防護事件的風(fēng)險等級以輔助用戶決策,可以幫助用戶分辨安全的軟件和惡意的軟件�����,做出正確的選擇���。
圖1是本發(fā)明實施例1中提供的實時防護的方法流程圖����;圖2是本發(fā)明實施例1中提供的實時防護的方法另一流程圖�;圖3是本發(fā)明實施例2中提供的實時防護的裝置結(jié)構(gòu)示意圖;圖4是本發(fā)明實施例2中提供的實時防護的裝置另一結(jié)構(gòu)示意圖�。
具體實施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚���,下面將結(jié)合附圖對本發(fā)明實施方式作進一步地詳細描述�。實施例1參見圖1����,本實施例提供了一種實時防護的方法,包括101 從服務(wù)器獲取并實時更新應(yīng)用層過濾規(guī)則�����;其中����,應(yīng)用層過濾規(guī)則可以針對所有的監(jiān)控點統(tǒng)一設(shè)定,也可以針對不同的監(jiān)控點分別設(shè)定����,例如通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則和自保護監(jiān)控點的應(yīng)用層過濾規(guī)則。 自保護監(jiān)控點的應(yīng)用層過濾規(guī)則可以包括第一文件簽名應(yīng)用層過濾規(guī)則�����、進程的黑白名單應(yīng)用層過濾規(guī)則中的至少一個�����。通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則可以包括第二文件簽名應(yīng)用層過濾規(guī)則���、MD5 (MessageDigest Algorithm 5���,信息摘要算法5)應(yīng)用層過濾規(guī)則中的至少一個。進一步的�����,當應(yīng)用層過濾規(guī)則有多個時,還需要從服務(wù)器獲取并實時更新應(yīng)用層過濾規(guī)則的執(zhí)行順序����。如果分為通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則和自保護監(jiān)控點的應(yīng)用層過濾規(guī)則,則還需要分別獲取其執(zhí)行順序�����。102 判斷實時防護事件是否匹配應(yīng)用層過濾規(guī)則�;具體的,當應(yīng)用層過濾規(guī)則有多個����、且獲取到其執(zhí)行順序,按照執(zhí)行順序����,當實時防護事件與應(yīng)用層過濾規(guī)則的前一個應(yīng)用層過濾規(guī)則不匹配時,再判斷實時防護事件是否匹配應(yīng)用層過濾規(guī)則���。103:如果匹配����,根據(jù)應(yīng)用層過濾規(guī)則對實時防護事件執(zhí)行相應(yīng)的操作�。具體的��,根據(jù)匹配的應(yīng)用層過濾規(guī)則對該實時防護事件規(guī)定的放行或禁止,對該實時防護事件執(zhí)行放行或禁止的操作���。進一步的�����,如果不匹配���,將實時防護事件發(fā)送給用戶決策。在發(fā)送之前�����,還可以確定實時防護事件的風(fēng)險等級����;然后將實時防護事件及其風(fēng)險等級發(fā)送給用戶,以便于用戶根據(jù)風(fēng)險等級對實時防護事件進行決策���。本實施例提供的方法���,通過從服務(wù)器獲取并實時更新應(yīng)用層過濾規(guī)則����,判斷實時防護事件是否匹配應(yīng)用層過濾規(guī)則�����,如果匹配��,根據(jù)應(yīng)用層過濾規(guī)則對實時防護事件執(zhí)行相應(yīng)的操作�,不需要用戶干預(yù),提高了防護的準確性和用戶操作的效率�����;相應(yīng)的�����,如果不匹配應(yīng)用層過濾規(guī)則���,再發(fā)給用戶決策����,相對于用戶對所有的監(jiān)控事件進行決策�,也有利于提高用戶操作的效率��。另外����,通過評估實時防護事件的風(fēng)險等級以輔助用戶決策����,可以幫助用戶分辨安全的軟件和惡意的軟件����,做出正確的選擇。參見圖2����,下面結(jié)合具體實例介紹實時防護的方法。201 捕獲實時防護事件��;其中���,實時防護事件可以是修改��、刪除文件或注冊表�、程序升級等事件��。當驅(qū)動檢測到某一實時防護事件欲執(zhí)行修改、刪除文件或注冊表���、程序升級等操作時�,由驅(qū)動捕獲該實時防護事件��,本實施例并不限定具體的捕獲方法�。202 判斷實時防護事件所屬監(jiān)控點的類型;具體的����,根據(jù)監(jiān)控點關(guān)聯(lián)的應(yīng)用層信息,判斷監(jiān)控點的類型���。如果監(jiān)控點關(guān)聯(lián)的應(yīng)用層信息是實時防護軟件自身��,則該監(jiān)控點的類型是自保護監(jiān)控點��;如果監(jiān)控點關(guān)聯(lián)的應(yīng)用層信息是除實時防護軟件之外的其他軟件���,則該監(jiān)控點的類型是通用策略監(jiān)控點。如果是自保護監(jiān)控點�����,執(zhí)行步驟203,如果是通用策略監(jiān)控點����,執(zhí)行步驟204。另外���,本步驟是可選的�����。這是由于應(yīng)用層過濾規(guī)則可以針對不同的監(jiān)控點分別設(shè)定,也可以針對所有的監(jiān)控點統(tǒng)一設(shè)定�。當針對不同的監(jiān)控點分別設(shè)定時,需要判斷監(jiān)控點的類型�����,當針對所有的監(jiān)控點統(tǒng)一設(shè)定時����,不需要判斷監(jiān)控點的類型。203 從服務(wù)器獲取并實時更新自保護監(jiān)控點的應(yīng)用層過濾規(guī)則及其執(zhí)行順序���,并進行過濾����;其中,本實施例不限定自保護監(jiān)控點的應(yīng)用層過濾規(guī)則的具體內(nèi)容�����、個數(shù)����。下面以 (第一)文件簽名應(yīng)用層過濾規(guī)則和進程的黑白名單應(yīng)用層過濾規(guī)則為例,對自保護監(jiān)控點的過濾規(guī)則進行說明�����。203a 根據(jù)(第一)文件簽名應(yīng)用層過濾規(guī)則對實時防護事件進行過濾���;其中�,文件數(shù)字簽名(簡稱文件簽名)是保護文件�����、防止文件被篡改的一種方式, 文件數(shù)字簽名中包括文件的發(fā)行商等信息。在本實施例中���,根據(jù)(第一)文件簽名應(yīng)用層過濾規(guī)則對實時防護事件進行過濾具體包括從服務(wù)器獲取并實時更新(第一)文件簽名應(yīng)用層過濾規(guī)則��,每條規(guī)則可以附加文件簽名過濾驗證的參數(shù)配置����,然后將實時防護事件對應(yīng)的文件簽名與參數(shù)配置對應(yīng)的第一文件簽名進行匹配����,如果匹配,則按照文件簽名應(yīng)用層過濾規(guī)則執(zhí)行相應(yīng)的放行或禁止的操作�,然后執(zhí)行步驟207,如果不匹配�,執(zhí)行下一條應(yīng)用層過濾規(guī)則。在本實施例中����,下一條應(yīng)用層過濾規(guī)則為步驟20 進程的黑白名單應(yīng)用層過濾規(guī)則��。上述過濾過程中���,參數(shù)配置對應(yīng)的第一文件簽名可以是文件簽名的黑名單或白名單�����,黑名單用于禁止實時防護事件的操作���,白名單用于放行實時防護事件的操作����。另外�,根據(jù)系統(tǒng)監(jiān)控點的不同,可以將黑白名單直接附加在參數(shù)配置中����,也可以將黑白名單的版本、 路徑等信息附加在參數(shù)配置中�。例如,欲實現(xiàn)具有本公司簽名的軟件才可以修改本軟件的相關(guān)文件資源���,可以定義一個文件簽名應(yīng)用層過濾規(guī)則����,附加的參數(shù)配置為本公司簽名�,匹配則放行,其它簽名直接禁止���,將這條應(yīng)用層過濾規(guī)則關(guān)聯(lián)到本軟件安裝目錄文件修改的監(jiān)控點上�����。再例如�,定義另一個文件簽名應(yīng)用層過濾規(guī)則,應(yīng)用層過濾規(guī)則附加的參數(shù)配置為可從服務(wù)器上自動升級的軟件簽名黑白名單����,將這條應(yīng)用層過濾規(guī)則附加到開機啟動項、映像劫持�、系統(tǒng)全局鉤子等公共監(jiān)控點上。當監(jiān)控到這些系統(tǒng)事件時����,就會利用配置中定義的黑白名單進行過濾, 合法的軟件(白名單中的軟件)將自動被放行��,非法的軟件(黑名單中的軟件)將被禁止�����, 不在名單中的軟件可以提交到用戶由用戶進行選擇��。203b 根據(jù)進程的黑白名單應(yīng)用層過濾規(guī)則對實時防護事件進行過濾�;在本實施例中����,根據(jù)進程的黑白名單應(yīng)用層過濾規(guī)則對實時防護事件進行過濾具體包括從服務(wù)器獲取并實時更新進程的黑白名單應(yīng)用層過濾規(guī)則���,每條規(guī)則可以附加進程過濾驗證的參數(shù)配置,將實時防護事件發(fā)起的進程與參數(shù)配置對應(yīng)的進程進行匹配��,如果匹配�����,執(zhí)行相應(yīng)的放行或禁止操作��,然后執(zhí)行步驟207�,否則,如果不匹配�,則交由用戶決策。上述過濾過程中��,參數(shù)配置對應(yīng)的進程可以進程的黑名單或白名單���。根據(jù)系統(tǒng)監(jiān)控點的不同����,可以將黑白名單直接附加在參數(shù)配置中��,也可以將黑白名單的版本、路徑等信息附加在參數(shù)配置中�����。另外���,由于進程名稱經(jīng)常改變���、并且容易被模仿,因此通常只設(shè)置白名單���,放行一些確定的程序�。它可以作為文件簽名過濾和文件MD5過濾的補充��,一般定義一些自保護規(guī)則���,如放行升級程序、對軟件安裝目錄下的文件的修改等。204:從服務(wù)器獲取并實時更新通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則及其執(zhí)行順序����, 并進行過濾����;其中����,本實施例不限定自保護監(jiān)控點的應(yīng)用層過濾規(guī)則的具體內(nèi)容���、個數(shù)��。下面以 (第一)文件簽名應(yīng)用層過濾規(guī)則和進程的黑白名單應(yīng)用層過濾規(guī)則為例,對自保護監(jiān)控點的過濾規(guī)則進行說明��。其中,本實施例并不限定通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則的具體內(nèi)容��、個數(shù)�。下面以(第二)文件簽名應(yīng)用層過濾規(guī)則和MD5應(yīng)用層過濾規(guī)則為例����,對通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則進行說明��。在執(zhí)行通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則之前����,可選的,也可以先根據(jù)用戶自定義應(yīng)用層過濾規(guī)則進行過濾��,以提高過濾效率。204a 根據(jù)用戶自定義應(yīng)用層過濾規(guī)則對實時防護事件進行過濾����;具體的���,如果實時防護事件符合用戶以前要求一直放行或者一直禁止的程序的訪問,則按照之前的操作直接放行或禁止�。不在用戶自定義規(guī)則中的操作,則繼續(xù)執(zhí)行下一個應(yīng)用層過濾規(guī)則�����。本實施例中�����,下一條應(yīng)用層過濾規(guī)則為步驟204b中的(第二)文件簽名應(yīng)用層過濾規(guī)則。例如���,用戶定義對某軟件的升級程序執(zhí)行“以后放行此進程的所有操作”���,則后續(xù)該軟件的升級程序會被自動放行����。204b 根據(jù)(第二)文件簽名應(yīng)用層過濾規(guī)則對實時防護事件進行過濾�����;具體的����,從服務(wù)器獲取并實時更新(第二)文件簽名應(yīng)用層過濾規(guī)則,每條規(guī)則可以附加文件簽名過濾驗證的參數(shù)配置,然后將實時防護事件對應(yīng)的文件簽名與參數(shù)配置對應(yīng)的第二文件簽名進行匹配����,如果匹配���,則按照文件簽名應(yīng)用層過濾規(guī)則執(zhí)行相應(yīng)的放行或禁止的操作�����,然后執(zhí)行步驟207���,如果不匹配��,執(zhí)行下一條應(yīng)用層過濾規(guī)則��。在本實施例中�,下一條應(yīng)用層過濾規(guī)則為步驟2(Mc中的MD5應(yīng)用層過濾規(guī)則��。其中,關(guān)于文件簽名應(yīng)用層過濾規(guī)則的定義參見步驟203a�����,這里不再贅述。需要注意的是���,本步驟與步驟203a過濾方式相同�,但是規(guī)則的具體內(nèi)容可以相同��,也可以不同���,即第一文件簽名與第二文件簽名以及相應(yīng)的操作可以相同或不同�����。204c 根據(jù)MD5應(yīng)用層過濾規(guī)則對實時防護事件進行過濾�;具體的�����,從服務(wù)器獲取并實時更新MD5應(yīng)用層過濾規(guī)則��,每條規(guī)則可以附加MD5過濾驗證的參數(shù)配置���,然后將實時防護事件對應(yīng)的MD5與參數(shù)配置對應(yīng)的MD5進行匹配����,如果匹配,則按照MD5應(yīng)用層過濾規(guī)則執(zhí)行相應(yīng)的放行或禁止的操作�,然后執(zhí)行步驟207,如果不匹配��,執(zhí)行下一條應(yīng)用層過濾規(guī)則��。上述過濾過程中��,參數(shù)配置對應(yīng)的MD5可以是MD5的黑名單或白名單�����,黑名單用于禁止實時防護事件的操作��,白名單用于放行實時防護事件的操作���。另外���,根據(jù)系統(tǒng)監(jiān)控點的不同,可以將黑白名單直接附加在參數(shù)配置中��,也可以將黑白名單的版本�����、路徑等信息附加在參數(shù)配置中��。205 確定實時防護事件的風(fēng)險等級�,將實時防護事件及其風(fēng)險等級發(fā)送給用戶;具體的�����,對事件的可執(zhí)行文件進行掃描���,判斷風(fēng)險等級��,并將風(fēng)險等級附加到事件上下文中����,作為用戶的決策參考�。另外,本步驟可選�,也即可以只將實時防護事件發(fā)送給用戶。206 用戶根據(jù)風(fēng)險等級對實時防護事件進行決策����;具體的,根據(jù)事件上下文信息,按照監(jiān)控資源類型組織窗口彈出��,窗口中包含了事件的詳細信息�����、以及可執(zhí)行程序的風(fēng)險等級���,由用戶決定放行或禁止該操作��,如果用戶選擇了“以后放行此進程的所有操作”或者“以后禁止此進程的所有操作”�,則增加到用戶自定義應(yīng)用層過濾規(guī)則中����。另外,用戶也可以對實時防護事件直接決策����,此方法適用于熟悉計算機安全的用戶。207:驅(qū)動根據(jù)用戶的決策結(jié)果或應(yīng)用層過濾規(guī)則的結(jié)果����,對實時防護事件執(zhí)行放行或禁止的操作。本實施例提供的方法���,通過從服務(wù)器獲取并實時更新應(yīng)用層過濾規(guī)則�����,判斷實時防護事件是否匹配應(yīng)用層過濾規(guī)則��,如果匹配�,根據(jù)應(yīng)用層過濾規(guī)則對實時防護事件執(zhí)行相應(yīng)的操作�,不需要用戶干預(yù),提高了防護的準確性和用戶操作的效率����;相應(yīng)的,如果不匹配應(yīng)用層過濾規(guī)則�����,再發(fā)給用戶決策��,相對于用戶對所有的監(jiān)控事件進行決策�,也有利于提高用戶操作的效率。另外���,通過評估實時防護事件的風(fēng)險等級以輔助用戶決策��,可以幫助用戶分辨安全的軟件和惡意的軟件���,做出正確的選擇�。實施例2參見圖3�����,本實施例提供了一種實時防護的裝置��,該裝置包括獲取模塊301�����,用于從服務(wù)器獲取并實時更新應(yīng)用層過濾規(guī)則�;判斷模塊302,用于判斷實時防護事件是否匹配獲取模塊301獲取的應(yīng)用層過濾規(guī)則����;執(zhí)行模塊303,用于如果判斷模塊302判斷的結(jié)果為匹配�,根據(jù)獲取模塊301獲取的應(yīng)用層過濾規(guī)則對實時防護事件執(zhí)行相應(yīng)的操作。進一步的�����,獲取模塊301,還用于當應(yīng)用層過濾規(guī)則有多個時�����,從服務(wù)器獲取并實時更新應(yīng)用層過濾規(guī)則的執(zhí)行順序���;相應(yīng)的�,判斷模塊302�,還用于按照獲取模塊301獲取的執(zhí)行順序���,當實時防護事件與應(yīng)用層過濾規(guī)則的前一個應(yīng)用層過濾規(guī)則不匹配時�����,再判斷實時防護事件是否匹配應(yīng)用層過濾規(guī)則���。進一步的,參見圖4�����,該裝置還包括發(fā)送模塊304�����,用于如果判斷模塊302判斷的結(jié)果為不匹配,將實時防護事件發(fā)送
給用戶決策����。進一步的,該裝置還包括確定模塊305��,用于將實時防護事件發(fā)送給用戶決策之前�����,確定實時防護事件的風(fēng)險等級����;發(fā)送模塊304,還用于將實時防護事件的風(fēng)險等級發(fā)送給用戶�,使用戶根據(jù)風(fēng)險等級對實時防護事件進行決策。其中���,獲取模塊301獲取的應(yīng)用層過濾規(guī)則包括通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則和自保護監(jiān)控點的應(yīng)用層過濾規(guī)則�����;判斷模塊302包括確定單元30加����,用于確定實時防護事件所屬監(jiān)控點的類型;第一判斷單元302b�,用于當確定單元30 確定的類型為通用策略監(jiān)控點時,判斷實時防護事件是否匹配通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則�;第二判斷單元302c,用于當確定單元30 確定的類型為自保護監(jiān)控點時����,判斷實時防護事件是否匹配自保護監(jiān)控點的應(yīng)用層過濾規(guī)則。其中���,獲取模塊301獲取的自保護監(jiān)控點的應(yīng)用層過濾規(guī)則包括第一文件簽名應(yīng)用層過濾規(guī)則、進程的黑白名單應(yīng)用層過濾規(guī)則中的至少一個���;獲取模塊301獲取的通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則包括第二文件簽名應(yīng)用層過濾規(guī)則��、信息摘要算法MD5應(yīng)用層過濾規(guī)則中的至少一個����。本實施例提供的裝置�,與方法實施例屬于同一構(gòu)思,其具體實現(xiàn)過程詳見方法實施例��,這里不再贅述。本實施例提供的裝置���,通過從服務(wù)器獲取并實時更新應(yīng)用層過濾規(guī)則��,判斷實時防護事件是否匹配應(yīng)用層過濾規(guī)則���,如果匹配,根據(jù)應(yīng)用層過濾規(guī)則對實時防護事件執(zhí)行相應(yīng)的操作�,不需要用戶干預(yù),提高了防護的準確性和用戶操作的效率�;相應(yīng)的,如果不匹配應(yīng)用層過濾規(guī)則��,再發(fā)給用戶決策�����,相對于用戶對所有的監(jiān)控事件進行決策�����,也有利于提高用戶操作的效率��。另外,通過評估實時防護事件的風(fēng)險等級以輔助用戶決策�����,可以幫助用戶分辨安全的軟件和惡意的軟件�,做出正確的選擇。以上實施例提供的技術(shù)方案中的全部或部分內(nèi)容可以通過軟件編程實現(xiàn)�,其軟件程序存儲在可讀取的存儲介質(zhì)中,存儲介質(zhì)例如計算機中的硬盤����、光盤或軟盤。以上所述僅為本發(fā)明的較佳實施例�,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)�,所作的任何修改、等同替換�、改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)����。
權(quán)利要求
1.一種實時防護的方法����,其特征在于,所述方法包括 從服務(wù)器獲取并實時更新應(yīng)用層過濾規(guī)則; 判斷實時防護事件是否匹配所述應(yīng)用層過濾規(guī)則�����;如果匹配�,根據(jù)所述應(yīng)用層過濾規(guī)則對所述實時防護事件執(zhí)行相應(yīng)的操作。
2.如權(quán)利要求1所述的方法��,其特征在于�����,當所述應(yīng)用層過濾規(guī)則有多個時�����,所述從服務(wù)器獲取并實時更新應(yīng)用層過濾規(guī)則之后包括從所述服務(wù)器獲取并實時更新所述應(yīng)用層過濾規(guī)則的執(zhí)行順序���; 所述判斷實時防護事件是否匹配所述應(yīng)用層過濾規(guī)則包括按照所述執(zhí)行順序��,當所述實時防護事件與所述應(yīng)用層過濾規(guī)則的前一個應(yīng)用層過濾規(guī)則不匹配時���,再判斷所述實時防護事件是否匹配所述應(yīng)用層過濾規(guī)則。
3.如權(quán)利要求1所述的方法����,其特征在于�����,所述方法還包括 如果不匹配���,將所述實時防護事件發(fā)送給用戶決策。
4.如權(quán)利要求3所述的方法����,其特征在于,所述將所述實時防護事件發(fā)送給用戶決策之前還包括確定所述實時防護事件的風(fēng)險等級�;所述將所述實時防護事件發(fā)送給用戶決策還包括將所述實時防護事件的風(fēng)險等級發(fā)送給所述用戶,使所述用戶根據(jù)所述風(fēng)險等級對所述實時防護事件進行決策�。
5.如權(quán)利要求1-4任一權(quán)利要求所述的方法,其特征在于�����,所述應(yīng)用層過濾規(guī)則包括 通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則和自保護監(jiān)控點的應(yīng)用層過濾規(guī)則��;所述判斷實時防護事件是否匹配所述應(yīng)用層過濾規(guī)則包括 確定所述實時防護事件所屬監(jiān)控點的類型���;當所述類型為通用策略監(jiān)控點時,判斷所述實時防護事件是否匹配所述通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則;當所述類型為自保護監(jiān)控點時�����,判斷所述實時防護事件是否匹配所述自保護監(jiān)控點的應(yīng)用層過濾規(guī)則�����。
6.如權(quán)利要求5所述的方法����,其特征在于,所述自保護監(jiān)控點的應(yīng)用層過濾規(guī)則包括 第一文件簽名應(yīng)用層過濾規(guī)則���、進程的黑白名單應(yīng)用層過濾規(guī)則中的至少一個���;所述通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則包括第二文件簽名應(yīng)用層過濾規(guī)則、信息摘要算法MD5應(yīng)用層過濾規(guī)則中的至少一個��。
7.一種實時防護的裝置�����,其特征在于�,所述裝置包括獲取模塊����,用于從服務(wù)器獲取并實時更新應(yīng)用層過濾規(guī)則�; 判斷模塊,用于判斷實時防護事件是否匹配所述獲取模塊獲取的應(yīng)用層過濾規(guī)則�; 執(zhí)行模塊,用于如果所述判斷模塊判斷的結(jié)果為匹配��,根據(jù)所述獲取模塊獲取的應(yīng)用層過濾規(guī)則對所述實時防護事件執(zhí)行相應(yīng)的操作����。
8.如權(quán)利要求7所述的裝置,其特征在于��,所述獲取模塊���,還用于當所述應(yīng)用層過濾規(guī)則有多個時��,從所述服務(wù)器獲取并實時更新所述應(yīng)用層過濾規(guī)則的執(zhí)行順序���;所述判斷模塊,還用于按照所述獲取模塊獲取的執(zhí)行順序�,當所述實時防護事件與所述應(yīng)用層過濾規(guī)則的前一個應(yīng)用層過濾規(guī)則不匹配時,再判斷所述實時防護事件是否匹配所述應(yīng)用層過濾規(guī)則��。
9.如權(quán)利要求7所述的裝置,其特征在于����,所述裝置還包括發(fā)送模塊�����,用于如果所述判斷模塊判斷的結(jié)果為不匹配����,將所述實時防護事件發(fā)送給用戶決策。
10.如權(quán)利要求9所述的裝置����,其特征在于,所述裝置還包括確定模塊���,用于將所述實時防護事件發(fā)送給用戶決策之前��,確定所述實時防護事件的風(fēng)險等級��;所述發(fā)送模塊����,還用于將所述實時防護事件的風(fēng)險等級發(fā)送給所述用戶,使所述用戶根據(jù)所述風(fēng)險等級對所述實時防護事件進行決策����。
11.如權(quán)利要求7-10任一權(quán)利要求所述的裝置,其特征在于����,所述獲取模塊獲取的應(yīng)用層過濾規(guī)則包括通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則和自保護監(jiān)控點的應(yīng)用層過濾規(guī)則;所述判斷模塊包括確定單元����,用于確定所述實時防護事件所屬監(jiān)控點的類型;第一判斷單元��,用于當所述確定單元確定的類型為通用策略監(jiān)控點時���,判斷所述實時防護事件是否匹配所述通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則�;第二判斷單元����,用于當所述確定單元確定的類型為自保護監(jiān)控點時,判斷所述實時防護事件是否匹配所述自保護監(jiān)控點的應(yīng)用層過濾規(guī)則����。
12.如權(quán)利要求11所述的裝置���,其特征在于,所述獲取模塊獲取的自保護監(jiān)控點的應(yīng)用層過濾規(guī)則包括第一文件簽名應(yīng)用層過濾規(guī)則���、進程的黑白名單應(yīng)用層過濾規(guī)則中的至少一個;所述獲取模塊獲取的通用策略監(jiān)控點的應(yīng)用層過濾規(guī)則包括第二文件簽名應(yīng)用層過濾規(guī)則�����、信息摘要算法MD5應(yīng)用層過濾規(guī)則中的至少一個��。
全文摘要
本發(fā)明公開了一種實時防護的方法和裝置����,屬于安全領(lǐng)域。所述方法包括從服務(wù)器獲取并實時更新應(yīng)用層過濾規(guī)則���;判斷實時防護事件是否匹配所述應(yīng)用層過濾規(guī)則���;如果匹配,根據(jù)所述應(yīng)用層過濾規(guī)則對所述實時防護事件執(zhí)行相應(yīng)的操作���。所述裝置包括獲取模塊�����、判斷模塊和執(zhí)行模塊�。本發(fā)明通過從服務(wù)器獲取并實時更新應(yīng)用層過濾規(guī)則,判斷實時防護事件是否匹配該應(yīng)用層過濾規(guī)則����,如果匹配,根據(jù)該應(yīng)用層過濾規(guī)則對實時防護事件執(zhí)行相應(yīng)的操作�,不需要用戶干預(yù),提高了防護的準確性和用戶操作的效率����。
文檔編號G06F21/00GK102263773SQ20101018640
公開日2011年11月30日 申請日期2010年5月25日 優(yōu)先權(quán)日2010年5月25日
發(fā)明者孟齊源, 王宇 申請人:騰訊科技(深圳)有限公司