安全防護(hù)方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001 ]本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域，具體涉及一種安全防護(hù)方法及裝置。
【背景技術(shù)】
[0002]惡意程序是一個(gè)概括性的術(shù)語(yǔ)，指任何故意創(chuàng)建用來(lái)執(zhí)行未經(jīng)授權(quán)并通常是有害行為的代碼程序，例如計(jì)算機(jī)病毒、后門程序、鍵盤記錄器、密碼盜取者、宏病毒、引導(dǎo)區(qū)病毒、腳本病毒、木馬、犯罪軟件、間諜軟件和廣告軟件等等。
[0003]為了應(yīng)對(duì)數(shù)量巨大并不斷增多的惡意程序，現(xiàn)有的安全防護(hù)軟件可以通過(guò)監(jiān)視應(yīng)用程序的行為，并按照安全策略來(lái)對(duì)各行為進(jìn)行監(jiān)控和處理，來(lái)增強(qiáng)對(duì)惡意程序的安全防護(hù)能力。其中，安全策略作為安全防護(hù)能力的核心，通常是由服務(wù)端進(jìn)行全網(wǎng)范圍內(nèi)的更新、維護(hù)以及分發(fā)的。當(dāng)然，全網(wǎng)統(tǒng)一的安全策略在時(shí)效性和維護(hù)成本上都有著突出的優(yōu)勢(shì)，但是其在用戶資源占用與應(yīng)用有效性之間的平衡上存在著很大的缺陷。
[0004]舉例來(lái)說(shuō)，針對(duì)某類廣告推廣程序，只有采用比較嚴(yán)格的監(jiān)測(cè)手段才可以有效地?cái)r截，但是如果在全網(wǎng)統(tǒng)一的安全策略中應(yīng)用該監(jiān)測(cè)手段，那么所有的用戶終端都需要持續(xù)性地執(zhí)行監(jiān)測(cè)而大大增加用戶終端的資源占用;更何況該類廣告推廣程序的流行度可能不高，因而在絕大多數(shù)用戶終端上的監(jiān)測(cè)過(guò)程可能都是無(wú)意義的。對(duì)于該情況，現(xiàn)有的安全防護(hù)軟件出于用戶體驗(yàn)的考慮會(huì)采用比較寬松的監(jiān)測(cè)手段，但是這樣又會(huì)損失對(duì)該類廣告推廣程序的攔截的有效性。

【發(fā)明內(nèi)容】

[0005]針對(duì)現(xiàn)有技術(shù)中的缺陷，本發(fā)明提供一種安全防護(hù)方法及裝置，可以解決現(xiàn)有的安全策略在用戶資源占用與應(yīng)用有效性之間存在矛盾的問(wèn)題。
[0006]第一方面，本發(fā)明提供了一種安全防護(hù)裝置，包括:
[0007]上傳單元，用于在進(jìn)程的行為匹配預(yù)設(shè)的本地觸發(fā)策略時(shí)，將該進(jìn)程的該行為的描述信息上傳至服務(wù)端，以使服務(wù)端在判定該進(jìn)程的該行為與任一預(yù)設(shè)風(fēng)險(xiǎn)行為相匹配時(shí)，下發(fā)對(duì)應(yīng)于該預(yù)設(shè)風(fēng)險(xiǎn)行為的臨時(shí)安全策略;所述臨時(shí)安全策略中包含:所述臨時(shí)安全策略的撤銷條件，以及用于應(yīng)對(duì)預(yù)設(shè)風(fēng)險(xiǎn)行為的處理操作及其觸發(fā)條件；
[0008]接收單元，用于接收來(lái)自所述服務(wù)端的所述臨時(shí)安全策略；
[0009]加載單元，用于加載所述接收單元得到的臨時(shí)安全策略，以在任一所述觸發(fā)條件滿足時(shí)執(zhí)行相應(yīng)的處理操作，并在任一所述撤銷條件滿足時(shí)撤銷所述臨時(shí)安全策略。
[0010]可選地，所述加載單元進(jìn)一步用于將所述臨時(shí)安全策略加載至內(nèi)存中，以使所述臨時(shí)安全策略在內(nèi)存斷電后自行撤銷。
[0011]可選地，匹配所述本地觸發(fā)策略的進(jìn)程的行為包括下述的任意一種或多種:
[0012]訪問(wèn)與進(jìn)程所屬應(yīng)用程序的功能無(wú)關(guān)的網(wǎng)絡(luò)地址；
[0013]下載與進(jìn)程所屬應(yīng)用程序的功能無(wú)關(guān)的文件；
[0014]建立與進(jìn)程所屬應(yīng)用程序的功能無(wú)關(guān)的進(jìn)程；
[0015]向與進(jìn)程所屬應(yīng)用程序無(wú)關(guān)的其他進(jìn)程注入代碼；
[0016]在受保護(hù)的文件目錄下寫入文件；
[0017]與黑名單中的應(yīng)用程序相關(guān)的進(jìn)程的行為。
[0018]可選地，所述進(jìn)程的行為與任一預(yù)設(shè)風(fēng)險(xiǎn)行為相匹配的情形包括下述的任意一種或多種:
[0019]所述進(jìn)程與任一預(yù)設(shè)風(fēng)險(xiǎn)進(jìn)程相匹配；
[0020]所述進(jìn)程的行為與任一預(yù)設(shè)風(fēng)險(xiǎn)行為相匹配；
[0021 ]所述進(jìn)程的行為與任一預(yù)設(shè)風(fēng)險(xiǎn)行為的前兆行為相匹配。
[0022]可選地，所述臨時(shí)安全策略的撤銷條件包括下述的任意一種或多種:
[0023]所述臨時(shí)安全策略的生效時(shí)間超過(guò)預(yù)定閾值；
[0024]用戶在提示消息中許可了所述預(yù)設(shè)風(fēng)險(xiǎn)行為；
[0025]所述臨時(shí)安全策略中具有結(jié)束標(biāo)記的處理操作已經(jīng)完成；
[0026]收到來(lái)自所述服務(wù)端的撤銷指令消息。
[0027]可選地，所述用于應(yīng)對(duì)預(yù)設(shè)風(fēng)險(xiǎn)行為的處理操作及其觸發(fā)條件包括下述的任意一種或多種:
[0028]沒(méi)有觸發(fā)條件，限制所述進(jìn)程的操作權(quán)限和/或系統(tǒng)資源占用量的操作；
[0029]以檢測(cè)到預(yù)設(shè)風(fēng)險(xiǎn)行為作為觸發(fā)條件，對(duì)所述進(jìn)程的行為進(jìn)行攔截的操作；
[0030]以檢測(cè)到預(yù)設(shè)高危行為作為觸發(fā)條件，結(jié)束所述進(jìn)程或者結(jié)束所述進(jìn)程所屬的應(yīng)用程序的操作；
[0031]以檢測(cè)到殘留文件作為觸發(fā)條件，對(duì)所述殘留文件進(jìn)行清理的操作。
[0032]第二方面，本發(fā)明還提供了一種安全防護(hù)裝置，包括:
[0033]接收單元，用于接收來(lái)自終端的進(jìn)程的行為的描述信息;所述進(jìn)程的行為的描述信息匹配該終端的預(yù)設(shè)的本地觸發(fā)策略；
[0034]判斷單元，用于根據(jù)所述接收單元得到的描述信息，判斷所述進(jìn)程的所述行為是否與任一預(yù)設(shè)風(fēng)險(xiǎn)行為相匹配；
[0035]下發(fā)單元，用于在所述判斷單元判定進(jìn)程的所述行為與任一預(yù)設(shè)風(fēng)險(xiǎn)行為相匹配時(shí)，向所述終端下發(fā)對(duì)應(yīng)于該預(yù)設(shè)風(fēng)險(xiǎn)行為的臨時(shí)安全策略，以使所述終端接收并加載所述臨時(shí)安全策略；
[0036]其中，所述臨時(shí)安全策略中包含:所述臨時(shí)安全策略的撤銷條件，以及用于應(yīng)對(duì)預(yù)設(shè)風(fēng)險(xiǎn)行為的處理操作及其觸發(fā)條件，以使加載所述臨時(shí)安全策略的終端在任一所述觸發(fā)條件滿足時(shí)執(zhí)行相應(yīng)的處理操作，并在任一所述撤銷條件滿足時(shí)撤銷所述臨時(shí)安全策略。
[0037]可選地，所述進(jìn)程的行為與任一預(yù)設(shè)風(fēng)險(xiǎn)行為相匹配的情形包括下述的任意一種或多種:
[0038]所述進(jìn)程與任一預(yù)設(shè)風(fēng)險(xiǎn)進(jìn)程相匹配；
[0039]所述進(jìn)程的行為與任一預(yù)設(shè)風(fēng)險(xiǎn)行為相匹配；
[0040]所述進(jìn)程的行為與任一預(yù)設(shè)風(fēng)險(xiǎn)行為的前兆行為相匹配。
[0041 ]第三方面，本發(fā)明還提供了一種安全防護(hù)方法，包括:
[0042]在進(jìn)程的行為匹配預(yù)設(shè)的本地觸發(fā)策略時(shí)，將該進(jìn)程的該行為的描述信息上傳至服務(wù)端，以使服務(wù)端在判定該進(jìn)程的該行為與任一預(yù)設(shè)風(fēng)險(xiǎn)行為相匹配時(shí)，下發(fā)對(duì)應(yīng)于該預(yù)設(shè)風(fēng)險(xiǎn)行為的臨時(shí)安全策略;所述臨時(shí)安全策略中包含:所述臨時(shí)安全策略的撤銷條件，以及用于應(yīng)對(duì)預(yù)設(shè)風(fēng)險(xiǎn)行為的處理操作及其觸發(fā)條件；
[0043]接收來(lái)自所述服務(wù)端的所述臨時(shí)安全策略；
[0044]加載所述臨時(shí)安全策略，以在任一所述觸發(fā)條件滿足時(shí)執(zhí)行相應(yīng)的處理操作，并在任一所述撤銷條件滿足時(shí)撤銷所述臨時(shí)安全策略。
[0045]第四方面，本發(fā)明還提供了一種安全防護(hù)方法，包括:
[0046]接收來(lái)自終端的進(jìn)程的行為的描述信息;所述進(jìn)程的行為的描述信息匹配該終端的預(yù)設(shè)的本地觸發(fā)策略；
[0047]根據(jù)所述描述信息，判斷所述進(jìn)程的所述行為是否與任一預(yù)設(shè)風(fēng)險(xiǎn)行為相匹配；
[0048]在進(jìn)程的所述行為與任一預(yù)設(shè)風(fēng)險(xiǎn)行為相匹配時(shí)，向所述終端下發(fā)對(duì)應(yīng)于該預(yù)設(shè)風(fēng)險(xiǎn)行為的臨時(shí)安全策略，以使所述終端接收并加載所述臨時(shí)安全策略；
[0049]其中，所述臨時(shí)安全策略中包含:所述臨時(shí)安全策略的撤銷條件，以及用于應(yīng)對(duì)預(yù)設(shè)風(fēng)險(xiǎn)行為的處理操作及其觸發(fā)條件，以使加載所述臨時(shí)安全策略的終端在任一所述觸發(fā)條件滿足時(shí)執(zhí)行相應(yīng)的處理操作，并在任一所述撤銷條件滿足時(shí)撤銷所述臨時(shí)安全策略。
[0050]由上述技術(shù)方案可知，本發(fā)明可以基于本地觸發(fā)策略的設(shè)置來(lái)識(shí)別出進(jìn)程即將執(zhí)行的風(fēng)險(xiǎn)操作，并可以基于臨時(shí)安全策略的設(shè)置來(lái)對(duì)風(fēng)險(xiǎn)操作進(jìn)行相應(yīng)的處理。可以理解的是，有針對(duì)性的臨時(shí)安全策略采用嚴(yán)格的監(jiān)測(cè)手段可以有效地應(yīng)對(duì)惡意程序，而由于臨時(shí)安全策略包含撤銷條件所以也不會(huì)對(duì)用戶終端的資源進(jìn)行長(zhǎng)時(shí)間的占用。因此，本發(fā)明可以解決現(xiàn)有的安全策略在用戶資源占用與應(yīng)用有效性之間存在矛盾的問(wèn)題。
[0051]相對(duì)于現(xiàn)有技術(shù)，本發(fā)明可以在同等的用戶資源占用的條件下提高安全策略的應(yīng)用有效性，也可以在保障應(yīng)用有效性的條件下減少用戶資源占用。而且，本發(fā)明可以有針對(duì)性地處理惡意程序的風(fēng)險(xiǎn)操作，不僅能用戶資源占用、提升應(yīng)用有效性，還可以實(shí)現(xiàn)風(fēng)險(xiǎn)操作的攔截和其他操作的放行。此外，由服務(wù)端實(shí)現(xiàn)臨時(shí)安全策略的存儲(chǔ)、維護(hù)和分發(fā)，可以有效利用其強(qiáng)大的信息存儲(chǔ)、收集和運(yùn)算能力。由此可見(jiàn)，本發(fā)明可以給用戶提供更安全而高效的安全防護(hù)，大大提升安全防護(hù)軟件的運(yùn)行效率和用戶體驗(yàn)。
[0052]當(dāng)然，實(shí)施本發(fā)明的任一產(chǎn)品或方法并不一定需要同時(shí)達(dá)到以上所述的所有優(yōu)點(diǎn)。
【附圖說(shuō)明】
[0053]為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單的介紹，顯而易見(jiàn)地，下面描述中的附圖是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0054]圖1是本發(fā)明一個(gè)實(shí)施例中一種安全防護(hù)方法的步驟流程示意圖；
[0055]圖2是本發(fā)明又一實(shí)施例中一種安全防護(hù)方法的步驟流程示意圖；
[0056]圖3是本發(fā)明一個(gè)實(shí)施例中一種終端與服務(wù)端之間的交互過(guò)程示意圖；
[0057]圖4是