安全防護方法及裝置的制造方法
【技術領域】
[0001 ]本發(fā)明涉及計算機技術領域,具體涉及一種安全防護方法及裝置。
【背景技術】
[0002]惡意程序是一個概括性的術語,指任何故意創(chuàng)建用來執(zhí)行未經(jīng)授權并通常是有害行為的代碼程序,例如計算機病毒、后門程序、鍵盤記錄器、密碼盜取者、宏病毒、引導區(qū)病毒、腳本病毒、木馬、犯罪軟件、間諜軟件和廣告軟件等等。
[0003]為了應對數(shù)量巨大并不斷增多的惡意程序,現(xiàn)有的安全防護軟件可以通過監(jiān)視應用程序的行為,并按照安全策略來對各行為進行監(jiān)控和處理,來增強對惡意程序的安全防護能力。其中,安全策略作為安全防護能力的核心,通常是由服務端進行全網(wǎng)范圍內的更新、維護以及分發(fā)的。當然,全網(wǎng)統(tǒng)一的安全策略在時效性和維護成本上都有著突出的優(yōu)勢,但是其在用戶資源占用與應用有效性之間的平衡上存在著很大的缺陷。
[0004]舉例來說,針對某類廣告推廣程序,只有采用比較嚴格的監(jiān)測手段才可以有效地攔截,但是如果在全網(wǎng)統(tǒng)一的安全策略中應用該監(jiān)測手段,那么所有的用戶終端都需要持續(xù)性地執(zhí)行監(jiān)測而大大增加用戶終端的資源占用;更何況該類廣告推廣程序的流行度可能不高,因而在絕大多數(shù)用戶終端上的監(jiān)測過程可能都是無意義的。對于該情況,現(xiàn)有的安全防護軟件出于用戶體驗的考慮會采用比較寬松的監(jiān)測手段,但是這樣又會損失對該類廣告推廣程序的攔截的有效性。
【發(fā)明內容】
[0005]針對現(xiàn)有技術中的缺陷,本發(fā)明提供一種安全防護方法及裝置,可以解決現(xiàn)有的安全策略在用戶資源占用與應用有效性之間存在矛盾的問題。
[0006]第一方面,本發(fā)明提供了一種安全防護裝置,包括:
[0007]上傳單元,用于在進程的行為匹配預設的本地觸發(fā)策略時,將該進程的該行為的描述信息上傳至服務端,以使服務端在判定該進程的該行為與任一預設風險行為相匹配時,下發(fā)對應于該預設風險行為的臨時安全策略;所述臨時安全策略中包含:所述臨時安全策略的撤銷條件,以及用于應對預設風險行為的處理操作及其觸發(fā)條件;
[0008]接收單元,用于接收來自所述服務端的所述臨時安全策略;
[0009]加載單元,用于加載所述接收單元得到的臨時安全策略,以在任一所述觸發(fā)條件滿足時執(zhí)行相應的處理操作,并在任一所述撤銷條件滿足時撤銷所述臨時安全策略。
[0010]可選地,所述加載單元進一步用于將所述臨時安全策略加載至內存中,以使所述臨時安全策略在內存斷電后自行撤銷。
[0011]可選地,匹配所述本地觸發(fā)策略的進程的行為包括下述的任意一種或多種:
[0012]訪問與進程所屬應用程序的功能無關的網(wǎng)絡地址;
[0013]下載與進程所屬應用程序的功能無關的文件;
[0014]建立與進程所屬應用程序的功能無關的進程;
[0015]向與進程所屬應用程序無關的其他進程注入代碼;
[0016]在受保護的文件目錄下寫入文件;
[0017]與黑名單中的應用程序相關的進程的行為。
[0018]可選地,所述進程的行為與任一預設風險行為相匹配的情形包括下述的任意一種或多種:
[0019]所述進程與任一預設風險進程相匹配;
[0020]所述進程的行為與任一預設風險行為相匹配;
[0021 ]所述進程的行為與任一預設風險行為的前兆行為相匹配。
[0022]可選地,所述臨時安全策略的撤銷條件包括下述的任意一種或多種:
[0023]所述臨時安全策略的生效時間超過預定閾值;
[0024]用戶在提示消息中許可了所述預設風險行為;
[0025]所述臨時安全策略中具有結束標記的處理操作已經(jīng)完成;
[0026]收到來自所述服務端的撤銷指令消息。
[0027]可選地,所述用于應對預設風險行為的處理操作及其觸發(fā)條件包括下述的任意一種或多種:
[0028]沒有觸發(fā)條件,限制所述進程的操作權限和/或系統(tǒng)資源占用量的操作;
[0029]以檢測到預設風險行為作為觸發(fā)條件,對所述進程的行為進行攔截的操作;
[0030]以檢測到預設高危行為作為觸發(fā)條件,結束所述進程或者結束所述進程所屬的應用程序的操作;
[0031]以檢測到殘留文件作為觸發(fā)條件,對所述殘留文件進行清理的操作。
[0032]第二方面,本發(fā)明還提供了一種安全防護裝置,包括:
[0033]接收單元,用于接收來自終端的進程的行為的描述信息;所述進程的行為的描述信息匹配該終端的預設的本地觸發(fā)策略;
[0034]判斷單元,用于根據(jù)所述接收單元得到的描述信息,判斷所述進程的所述行為是否與任一預設風險行為相匹配;
[0035]下發(fā)單元,用于在所述判斷單元判定進程的所述行為與任一預設風險行為相匹配時,向所述終端下發(fā)對應于該預設風險行為的臨時安全策略,以使所述終端接收并加載所述臨時安全策略;
[0036]其中,所述臨時安全策略中包含:所述臨時安全策略的撤銷條件,以及用于應對預設風險行為的處理操作及其觸發(fā)條件,以使加載所述臨時安全策略的終端在任一所述觸發(fā)條件滿足時執(zhí)行相應的處理操作,并在任一所述撤銷條件滿足時撤銷所述臨時安全策略。
[0037]可選地,所述進程的行為與任一預設風險行為相匹配的情形包括下述的任意一種或多種:
[0038]所述進程與任一預設風險進程相匹配;
[0039]所述進程的行為與任一預設風險行為相匹配;
[0040]所述進程的行為與任一預設風險行為的前兆行為相匹配。
[0041 ]第三方面,本發(fā)明還提供了一種安全防護方法,包括:
[0042]在進程的行為匹配預設的本地觸發(fā)策略時,將該進程的該行為的描述信息上傳至服務端,以使服務端在判定該進程的該行為與任一預設風險行為相匹配時,下發(fā)對應于該預設風險行為的臨時安全策略;所述臨時安全策略中包含:所述臨時安全策略的撤銷條件,以及用于應對預設風險行為的處理操作及其觸發(fā)條件;
[0043]接收來自所述服務端的所述臨時安全策略;
[0044]加載所述臨時安全策略,以在任一所述觸發(fā)條件滿足時執(zhí)行相應的處理操作,并在任一所述撤銷條件滿足時撤銷所述臨時安全策略。
[0045]第四方面,本發(fā)明還提供了一種安全防護方法,包括:
[0046]接收來自終端的進程的行為的描述信息;所述進程的行為的描述信息匹配該終端的預設的本地觸發(fā)策略;
[0047]根據(jù)所述描述信息,判斷所述進程的所述行為是否與任一預設風險行為相匹配;
[0048]在進程的所述行為與任一預設風險行為相匹配時,向所述終端下發(fā)對應于該預設風險行為的臨時安全策略,以使所述終端接收并加載所述臨時安全策略;
[0049]其中,所述臨時安全策略中包含:所述臨時安全策略的撤銷條件,以及用于應對預設風險行為的處理操作及其觸發(fā)條件,以使加載所述臨時安全策略的終端在任一所述觸發(fā)條件滿足時執(zhí)行相應的處理操作,并在任一所述撤銷條件滿足時撤銷所述臨時安全策略。
[0050]由上述技術方案可知,本發(fā)明可以基于本地觸發(fā)策略的設置來識別出進程即將執(zhí)行的風險操作,并可以基于臨時安全策略的設置來對風險操作進行相應的處理??梢岳斫獾氖牵嗅槍π缘呐R時安全策略采用嚴格的監(jiān)測手段可以有效地應對惡意程序,而由于臨時安全策略包含撤銷條件所以也不會對用戶終端的資源進行長時間的占用。因此,本發(fā)明可以解決現(xiàn)有的安全策略在用戶資源占用與應用有效性之間存在矛盾的問題。
[0051]相對于現(xiàn)有技術,本發(fā)明可以在同等的用戶資源占用的條件下提高安全策略的應用有效性,也可以在保障應用有效性的條件下減少用戶資源占用。而且,本發(fā)明可以有針對性地處理惡意程序的風險操作,不僅能用戶資源占用、提升應用有效性,還可以實現(xiàn)風險操作的攔截和其他操作的放行。此外,由服務端實現(xiàn)臨時安全策略的存儲、維護和分發(fā),可以有效利用其強大的信息存儲、收集和運算能力。由此可見,本發(fā)明可以給用戶提供更安全而高效的安全防護,大大提升安全防護軟件的運行效率和用戶體驗。
[0052]當然,實施本發(fā)明的任一產(chǎn)品或方法并不一定需要同時達到以上所述的所有優(yōu)點。
【附圖說明】
[0053]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作一簡單的介紹,顯而易見地,下面描述中的附圖是本發(fā)明的一些實施例,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0054]圖1是本發(fā)明一個實施例中一種安全防護方法的步驟流程示意圖;
[0055]圖2是本發(fā)明又一實施例中一種安全防護方法的步驟流程示意圖;
[0056]圖3是本發(fā)明一個實施例中一種終端與服務端之間的交互過程示意圖;
[0057]圖4是