[发明专利]实时防护的方法和装置

权利要求书

1.一种实时防护的方法，其特征在于，所述方法包括：

从服务器获取并实时更新应用层过滤规则；

判断实时防护事件是否匹配所述应用层过滤规则；

如果匹配，根据所述应用层过滤规则对所述实时防护事件执行相应的操作。

2.如权利要求1所述的方法，其特征在于，当所述应用层过滤规则有多个时，所述从服务器获取并实时更新应用层过滤规则之后包括：

从所述服务器获取并实时更新所述应用层过滤规则的执行顺序；

所述判断实时防护事件是否匹配所述应用层过滤规则包括：

按照所述执行顺序，当所述实时防护事件与所述应用层过滤规则的前一个应用层过滤规则不匹配时，再判断所述实时防护事件是否匹配所述应用层过滤规则。

3.如权利要求1所述的方法，其特征在于，所述方法还包括：

如果不匹配，将所述实时防护事件发送给用户决策。

4.如权利要求3所述的方法，其特征在于，所述将所述实时防护事件发送给用户决策之前还包括：

确定所述实时防护事件的风险等级；

所述将所述实时防护事件发送给用户决策还包括：

将所述实时防护事件的风险等级发送给所述用户，使所述用户根据所述风险等级对所述实时防护事件进行决策。

5.如权利要求1-4任一权利要求所述的方法，其特征在于，所述应用层过滤规则包括：通用策略监控点的应用层过滤规则和自保护监控点的应用层过滤规则；

所述判断实时防护事件是否匹配所述应用层过滤规则包括：

确定所述实时防护事件所属监控点的类型；

当所述类型为通用策略监控点时，判断所述实时防护事件是否匹配所述通用策略监控点的应用层过滤规则；

当所述类型为自保护监控点时，判断所述实时防护事件是否匹配所述自保护监控点的应用层过滤规则。

6.如权利要求5所述的方法，其特征在于，所述自保护监控点的应用层过滤规则包括：第一文件签名应用层过滤规则、进程的黑白名单应用层过滤规则中的至少一个；

所述通用策略监控点的应用层过滤规则包括：第二文件签名应用层过滤规则、信息摘要算法MD5应用层过滤规则中的至少一个。

7.一种实时防护的装置，其特征在于，所述装置包括：

获取模块，用于从服务器获取并实时更新应用层过滤规则；

判断模块，用于判断实时防护事件是否匹配所述获取模块获取的应用层过滤规则；

执行模块，用于如果所述判断模块判断的结果为匹配，根据所述获取模块获取的应用层过滤规则对所述实时防护事件执行相应的操作。

8.如权利要求7所述的装置，其特征在于，所述获取模块，还用于当所述应用层过滤规则有多个时，从所述服务器获取并实时更新所述应用层过滤规则的执行顺序；

所述判断模块，还用于按照所述获取模块获取的执行顺序，当所述实时防护事件与所述应用层过滤规则的前一个应用层过滤规则不匹配时，再判断所述实时防护事件是否匹配所述应用层过滤规则。

9.如权利要求7所述的装置，其特征在于，所述装置还包括：

发送模块，用于如果所述判断模块判断的结果为不匹配，将所述实时防护事件发送给用户决策。

10.如权利要求9所述的装置，其特征在于，所述装置还包括：

确定模块，用于将所述实时防护事件发送给用户决策之前，确定所述实时防护事件的风险等级；

所述发送模块，还用于将所述实时防护事件的风险等级发送给所述用户，使所述用户根据所述风险等级对所述实时防护事件进行决策。

11.如权利要求7-10任一权利要求所述的装置，其特征在于，所述获取模块获取的应用层过滤规则包括：通用策略监控点的应用层过滤规则和自保护监控点的应用层过滤规则；

所述判断模块包括：

确定单元，用于确定所述实时防护事件所属监控点的类型；

第一判断单元，用于当所述确定单元确定的类型为通用策略监控点时，判断所述实时防护事件是否匹配所述通用策略监控点的应用层过滤规则；

第二判断单元，用于当所述确定单元确定的类型为自保护监控点时，判断所述实时防护事件是否匹配所述自保护监控点的应用层过滤规则。

12.如权利要求11所述的装置，其特征在于，

所述获取模块获取的自保护监控点的应用层过滤规则包括：第一文件签名应用层过滤规则、进程的黑白名单应用层过滤规则中的至少一个；

所述获取模块获取的通用策略监控点的应用层过滤规则包括：第二文件签名应用层过滤规则、信息摘要算法MD5应用层过滤规则中的至少一个。