安全防護(hù)方法及裝置制造方法及圖紙

本發(fā)明專利技術(shù)提供了一種安全防護(hù)方法及裝置，其中的方法包括：在本地進(jìn)程列表中帶有緩存標(biāo)記的進(jìn)程匹配預(yù)設(shè)的觸發(fā)策略時(shí)，按照緩存標(biāo)記所對應(yīng)的本地處理策略對該進(jìn)程和/或其行為進(jìn)行處理；在任一進(jìn)程匹配預(yù)設(shè)的風(fēng)險(xiǎn)判定策略時(shí)，在本地進(jìn)程列表中向該進(jìn)程添加預(yù)設(shè)標(biāo)記；在帶有預(yù)設(shè)標(biāo)記的進(jìn)程創(chuàng)建新的進(jìn)程或者向其他進(jìn)程注入代碼時(shí)，在本地進(jìn)程列表中向被創(chuàng)建的進(jìn)程或者被注入代碼的進(jìn)程添加預(yù)設(shè)標(biāo)記；在帶有預(yù)設(shè)標(biāo)記的進(jìn)程匹配觸發(fā)策略時(shí)，無論該進(jìn)程是否帶有緩存標(biāo)記，均將該進(jìn)程和/或其行為的描述信息發(fā)送至服務(wù)端，以使服務(wù)端返回用于應(yīng)對該進(jìn)程和/或其行為的本地處理策略?；诖?，本發(fā)明專利技術(shù)可以防止惡意程序利用緩存機(jī)制來避開云查殺。

【技術(shù)實(shí)現(xiàn)步驟摘要】

本專利技術(shù)涉及計(jì)算機(jī)
，具體涉及一種安全防護(hù)方法及裝置。
技術(shù)介紹
“云查殺”是一種新興的安全技術(shù)，其主要指的是終端將檢測對象(例如代碼、文件、應(yīng)用程序、應(yīng)用程序行為、進(jìn)程、進(jìn)程行為等等)的相關(guān)數(shù)據(jù)上傳至服務(wù)端，由服務(wù)端分析出處理方案，再下發(fā)至終端生效執(zhí)行的過程。借助于服務(wù)端強(qiáng)大的信息搜集能力和數(shù)據(jù)運(yùn)算能力，云查殺技術(shù)可以應(yīng)對絕大多數(shù)的惡意程序，保護(hù)終端免受惡意程序的侵害。在云查殺的實(shí)際應(yīng)用中，現(xiàn)有安全防護(hù)產(chǎn)品通常會(huì)采用緩存機(jī)制來減少不必要操作所造成的資源浪費(fèi)。具體來說，緩存機(jī)制指的是在服務(wù)端下發(fā)一個(gè)處理方案之后，終端將其保存的本地，以在此后出現(xiàn)的同樣情形時(shí)直接依照本地存儲(chǔ)的處理方案進(jìn)行處理。更廣義地來說，緩存機(jī)制的核心思想是排除掉明顯不需要進(jìn)行云查殺的檢測對象，以節(jié)約系統(tǒng)資源和網(wǎng)絡(luò)資源。然而現(xiàn)有安全防護(hù)產(chǎn)品所沒有注意到的是，有些惡意程序會(huì)專門利用緩存機(jī)制來避開云查殺。比如，記事本是各個(gè)操作系統(tǒng)中的非常常見應(yīng)用程序，現(xiàn)有的安全防護(hù)產(chǎn)品對于該應(yīng)用程序通常采取只進(jìn)行一次云查殺或者不進(jìn)行云查殺的處理方式；從而惡意程序如果采用啟動(dòng)記事本或者向記事本注入代碼的方式來執(zhí)行操作，那么終端在判定執(zhí)行者為記事本的情況下就不會(huì)上傳相關(guān)數(shù)據(jù)，使得惡意程序的操作成功避開云查殺。
技術(shù)實(shí)現(xiàn)思路
針對現(xiàn)有技術(shù)中的缺陷，本專利技術(shù)提供一種安全防護(hù)方法及裝置，可以防止惡意程序利用緩存機(jī)制來避開云查殺。第一方面，本專利技術(shù)提供了一種安全防護(hù)裝置，包括處理單元，所述理單元用于在本地進(jìn)程列表中帶有緩存標(biāo)記的進(jìn)程匹配預(yù)設(shè)的觸發(fā)策略時(shí)，按照所述緩存標(biāo)記所對應(yīng)的本地處理策略對該進(jìn)程和/或其行為進(jìn)行處理，其特征在于，所述安全防護(hù)裝置還包括：第一添加單元，用于在任一進(jìn)程匹配預(yù)設(shè)的風(fēng)險(xiǎn)判定策略時(shí)，在所述本地進(jìn)程列表中向該進(jìn)程添加預(yù)設(shè)標(biāo)記；第二添加單元，用于在帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程創(chuàng)建新的進(jìn)程或者向其他進(jìn)程注入代碼時(shí)，在所述本地進(jìn)程列表中向被創(chuàng)建的進(jìn)程或者被注入代碼的進(jìn)程添加所述預(yù)設(shè)標(biāo)記；發(fā)送單元，用于在帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程匹配所述觸發(fā)策略時(shí)，無論該進(jìn)程是否帶有所述緩存標(biāo)記，均將該進(jìn)程和/或其行為的描述信息發(fā)送至服務(wù)端，以使所述服務(wù)端返回用于應(yīng)對該進(jìn)程和/或其行為的本地處理策略。可選地，所述發(fā)送單元包括：判斷模塊，用于在任一進(jìn)程匹配所述觸發(fā)策略時(shí)，判斷該進(jìn)程是否在所述本地進(jìn)程列表中帶有所述預(yù)設(shè)標(biāo)記；獲取模塊，用于在該進(jìn)程在所述本地進(jìn)程列表中帶有所述預(yù)設(shè)標(biāo)記時(shí)，獲取該進(jìn)程和/或其行為的描述信息；發(fā)送模塊，用于將該進(jìn)程和/或其行為的描述信息發(fā)送至服務(wù)端，以使所述服務(wù)端返回用于應(yīng)對該進(jìn)程和/或其行為的本地處理策略。可選地，所述發(fā)送單元還包括：接收模塊，用于接收所述服務(wù)端返回的本地處理策略；處理模塊，用于按照所述服務(wù)端返回的本地處理策略對帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程和/或其行為進(jìn)行處理?？蛇x地，所述安全防護(hù)裝置還包括：替換單元，用于使用所述服務(wù)端返回的本地處理策略替換掉本地存儲(chǔ)器中對應(yīng)于同一進(jìn)程的本地處理策略?？蛇x地，具有下述任意的一種或多種的行為的進(jìn)程匹配所述風(fēng)險(xiǎn)判定策略：訪問與進(jìn)程所屬應(yīng)用程序的功能無關(guān)的網(wǎng)絡(luò)地址；下載與進(jìn)程所屬應(yīng)用程序的功能無關(guān)的文件；建立與進(jìn)程所屬應(yīng)用程序的功能無關(guān)的進(jìn)程；向與進(jìn)程所屬應(yīng)用程序無關(guān)的其他進(jìn)程注入代碼；在受保護(hù)的文件目錄下寫入文件；與黑名單中的應(yīng)用程序相關(guān)的進(jìn)程的行為。第二方面，本專利技術(shù)還提供了一種安全防護(hù)方法，包括：在本地進(jìn)程列表中帶有緩存標(biāo)記的進(jìn)程匹配預(yù)設(shè)的觸發(fā)策略時(shí)，按照所述緩存標(biāo)記所對應(yīng)的本地處理策略對該進(jìn)程和/或其行為進(jìn)行處理；所述安全防護(hù)方法還包括：在任一進(jìn)程匹配預(yù)設(shè)的風(fēng)險(xiǎn)判定策略時(shí)，在所述本地進(jìn)程列表中向該進(jìn)程添加預(yù)設(shè)標(biāo)記；在帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程創(chuàng)建新的進(jìn)程或者向其他進(jìn)程注入代碼時(shí)，在所述本地進(jìn)程列表中向被創(chuàng)建的進(jìn)程或者被注入代碼的進(jìn)程添加所述預(yù)設(shè)標(biāo)記；在帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程匹配所述觸發(fā)策略時(shí)，無論該進(jìn)程是否帶有所述緩存標(biāo)記，均將該進(jìn)程和/或其行為的描述信息發(fā)送至服務(wù)端，以使所述服務(wù)端返回用于應(yīng)對該進(jìn)程和/或其行為的本地處理策略。可選地，所述在帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程匹配所述觸發(fā)策略時(shí)，無論該進(jìn)程是否帶有所述緩存標(biāo)記，均將該進(jìn)程和/或其行為的描述信息發(fā)送至服務(wù)端，以使所述服務(wù)端返回用于應(yīng)對該進(jìn)程和/或其行為的本地處理策略，包括：在任一進(jìn)程匹配所述觸發(fā)策略時(shí)，判斷該進(jìn)程是否在所述本地進(jìn)程列表中帶有所述預(yù)設(shè)標(biāo)記；在該進(jìn)程在所述本地進(jìn)程列表中帶有所述預(yù)設(shè)標(biāo)記時(shí)，獲取該進(jìn)程和/或其行為的描述信息；將該進(jìn)程和/或其行為的描述信息發(fā)送至服務(wù)端，以使所述服務(wù)端返回用于應(yīng)對該進(jìn)程和/或其行為的本地處理策略?？蛇x地，所述在帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程匹配所述觸發(fā)策略時(shí)，無論該進(jìn)程是否帶有所述緩存標(biāo)記，均將該進(jìn)程和/或其行為的描述信息發(fā)送至服務(wù)端，以使所述服務(wù)端返回用于應(yīng)對該進(jìn)程和/或其行為的本地處理策略，還包括：接收所述服務(wù)端返回的本地處理策略；按照所述服務(wù)端返回的本地處理策略對帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程和/或其行為進(jìn)行處理?？蛇x地，所述安全防護(hù)方法還包括：使用所述服務(wù)端返回的本地處理策略替換掉本地存儲(chǔ)器中對應(yīng)于同一進(jìn)程的本地處理策略。可選地，具有下述任意的一種或多種的行為的進(jìn)程匹配所述風(fēng)險(xiǎn)判定策略：訪問與進(jìn)程所屬應(yīng)用程序的功能無關(guān)的網(wǎng)絡(luò)地址；下載與進(jìn)程所屬應(yīng)用程序的功能無關(guān)的文件；建立與進(jìn)程所屬應(yīng)用程序的功能無關(guān)的進(jìn)程；向與進(jìn)程所屬應(yīng)用程序無關(guān)的其他進(jìn)程注入代碼；在受保護(hù)的文件目錄下寫入文件；與黑名單中的應(yīng)用程序相關(guān)的進(jìn)程的行為。由上述技術(shù)方案可知，本專利技術(shù)在緩存機(jī)制的基礎(chǔ)上對匹配風(fēng)險(xiǎn)判定策略的進(jìn)程添加了預(yù)設(shè)標(biāo)記，并且被該進(jìn)程創(chuàng)建或者注入代碼的進(jìn)程均會(huì)被添加該預(yù)設(shè)標(biāo)記。從而，在帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程匹配觸發(fā)策略時(shí)，將無視緩存機(jī)制而直接向服務(wù)端發(fā)送相關(guān)數(shù)據(jù)。因此，被添加預(yù)設(shè)標(biāo)記的進(jìn)程無論采用直接還是間接的方式實(shí)現(xiàn)其功能，均會(huì)被服務(wù)端獲知，使得本專利技術(shù)可以防止惡意程序利用緩存機(jī)制來避開云查殺。相比于現(xiàn)有技術(shù)而言，本專利技術(shù)可以使得服務(wù)端獲取到在現(xiàn)有技術(shù)中被緩存機(jī)制掩蓋住的有害代碼，因此不僅有助于提升服務(wù)端上的安全策略的優(yōu)化，還可以本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
一種安全防護(hù)裝置，包括處理單元，所述理單元用于在本地進(jìn)程列表中帶有緩存標(biāo)記的進(jìn)程匹配預(yù)設(shè)的觸發(fā)策略時(shí)，按照所述緩存標(biāo)記所對應(yīng)的本地處理策略對該進(jìn)程和/或其行為進(jìn)行處理，其特征在于，所述安全防護(hù)裝置還包括：第一添加單元，用于在任一進(jìn)程匹配預(yù)設(shè)的風(fēng)險(xiǎn)判定策略時(shí)，在所述本地進(jìn)程列表中向該進(jìn)程添加預(yù)設(shè)標(biāo)記；第二添加單元，用于在帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程創(chuàng)建新的進(jìn)程或者向其他進(jìn)程注入代碼時(shí)，在所述本地進(jìn)程列表中向被創(chuàng)建的進(jìn)程或者被注入代碼的進(jìn)程添加所述預(yù)設(shè)標(biāo)記；發(fā)送單元，用于在帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程匹配所述觸發(fā)策略時(shí)，無論該進(jìn)程是否帶有所述緩存標(biāo)記，均將該進(jìn)程和/或其行為的描述信息發(fā)送至服務(wù)端，以使所述服務(wù)端返回用于應(yīng)對該進(jìn)程和/或其行為的本地處理策略。

【技術(shù)特征摘要】
1.一種安全防護(hù)裝置，包括處理單元，所述理單元用于在本地進(jìn)
程列表中帶有緩存標(biāo)記的進(jìn)程匹配預(yù)設(shè)的觸發(fā)策略時(shí)，按照所述緩存
標(biāo)記所對應(yīng)的本地處理策略對該進(jìn)程和/或其行為進(jìn)行處理，其特征在
于，所述安全防護(hù)裝置還包括：
第一添加單元，用于在任一進(jìn)程匹配預(yù)設(shè)的風(fēng)險(xiǎn)判定策略時(shí)，在
所述本地進(jìn)程列表中向該進(jìn)程添加預(yù)設(shè)標(biāo)記；
第二添加單元，用于在帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程創(chuàng)建新的進(jìn)程或
者向其他進(jìn)程注入代碼時(shí)，在所述本地進(jìn)程列表中向被創(chuàng)建的進(jìn)程或
者被注入代碼的進(jìn)程添加所述預(yù)設(shè)標(biāo)記；
發(fā)送單元，用于在帶有所述預(yù)設(shè)標(biāo)記的進(jìn)程匹配所述觸發(fā)策略時(shí)，
無論該進(jìn)程是否帶有所述緩存標(biāo)記，均將該進(jìn)程和/或其行為的描述信
息發(fā)送至服務(wù)端，以使所述服務(wù)端返回用于應(yīng)對該進(jìn)程和/或其行為的
本地處理策略。
2.根據(jù)權(quán)利要求1所述的安全防護(hù)裝置，其特征在于，所述發(fā)送
單元包括：
判斷模塊，用于在任一進(jìn)程匹配所述觸發(fā)策略時(shí)，判斷該進(jìn)程是
否在所述本地進(jìn)程列表中帶有所述預(yù)設(shè)標(biāo)記；
獲取模塊，用于在該進(jìn)程在所述本地進(jìn)程列表中帶有所述預(yù)設(shè)標(biāo)
記時(shí)，獲取該進(jìn)程和/或其行為的描述信息；
發(fā)送模塊，用于將該進(jìn)程和/或其行為的描述信息發(fā)送至服務(wù)端，
以使所述服務(wù)端返回用于應(yīng)對該進(jìn)程和/或其行為的本地處理策略。
3.根據(jù)權(quán)利要求2所述的安全防護(hù)裝置，其特征在于，所述發(fā)送
單元還包括：
接收模塊，用于接收所述服務(wù)端返回的本地處理策略；
處理模塊，用于按照所述服務(wù)端返回的本地處理策略對帶有所述
預(yù)設(shè)標(biāo)記的進(jìn)程和/或其行為進(jìn)行處理。
4.根據(jù)權(quán)利要求1所述的安全防護(hù)裝置，其特征在于，所述安全
防護(hù)裝置還包括：
替換單元，用于使用所述服務(wù)端返回的本地處理策略替換掉本地
存儲(chǔ)器中對應(yīng)于同一進(jìn)程的本地處理策略。
5.根據(jù)權(quán)利要求1所述的安全防護(hù)裝置，其特征在于，具有下述
任意的一種或多種的行為的進(jìn)程匹配所述風(fēng)險(xiǎn)判定策略：
訪問與進(jìn)程所屬應(yīng)用程序的功能無關(guān)的網(wǎng)絡(luò)地址；
下載與進(jìn)程所屬應(yīng)用程序的功能無關(guān)的文件；
建立與進(jìn)程所屬應(yīng)用程序的功能無關(guān)的進(jìn)程；
向與進(jìn)程所屬應(yīng)用程序無關(guān)的其他進(jìn)程注入代碼；
在受保護(hù)的文件目錄下寫入文件；
與黑名單中的應(yīng)用程序相關(guān)的進(jìn)程的行為。
6.一種安全防護(hù)方法，包括：
在本地進(jìn)程列表中帶有緩存標(biāo)記的進(jìn)程匹配預(yù)設(shè)的觸發(fā)策略時(shí)，
按照所述緩存標(biāo)記所對應(yīng)...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：王亮，張曉霖，
申請(專利權(quán))人：北京奇虎科技有限公司，奇智軟件北京有限公司，
類型：發(fā)明
國別省市：北京;11