[发明专利]实时防护的方法和装置

说明书

技术领域

本发明涉及安全领域，特别涉及一种实时防护的方法和装置。

背景技术

网络安全形势日益严峻，各类病毒也严重威胁着我们的操作安全。为了拦截各种恶意程序，需要具备强大的防护能力。

目前各类实时防护软件如EQSecure、System Safety Monitor、360安全卫士等，在软件初次安装的配置文件中都定义了一些可能影响到系统安全行为的监控点，用以对系统启动项、映像劫持、修改系统文件、安装系统服务等各类事件进行捕获。无论这些事件是安全程序的正常操作，还是可疑程序或者恶意程序的恶意操作，都全部提交给用户去判断此类行为是要放行或禁止。例如，用户选择了“以后放行此程序的所有操作”或“以后禁止此程序的所有操作”，那么以后该程序都不会再弹出窗口让用户来选择，而是自动放行或禁止相关操作。

综合上述，现有技术至少存在以下问题：

由用户对所有监控事件进行选择，对于本身很安全的一些系统操作，则会影响用户操作、降低用户操作效率；并且当用户对于计算机知识掌握程度不高的时候，用户很难做出正确选择，如果禁止了安全软件或放行了恶意软件，则可能导致安全的软件运行不正常，或让恶意的软件有机会在系统中肆意妄为。

发明内容

为了提高用户操作效率，并且帮助用户分辨安全的软件和恶意的软件，本发明实施例提供了一种实时防护的方法和装置。所述技术方案如下：

一种实时防护的方法，所述方法包括：

从服务器获取并实时更新应用层过滤规则；

判断实时防护事件是否匹配所述应用层过滤规则；

如果匹配，根据所述应用层过滤规则对所述实时防护事件执行相应的操作。

其中，当所述应用层过滤规则有多个时，所述从服务器获取并实时更新应用层过滤规则之后包括：

从所述服务器获取并实时更新所述应用层过滤规则的执行顺序；

所述判断实时防护事件是否匹配所述应用层过滤规则包括：

按照所述执行顺序，当所述实时防护事件与所述应用层过滤规则的前一个应用层过滤规则不匹配时，再判断所述实时防护事件是否匹配所述应用层过滤规则。

其中，所述方法还包括：

如果不匹配，将所述实时防护事件发送给用户决策。

其中，所述将所述实时防护事件发送给用户决策之前还包括：

确定所述实时防护事件的风险等级；

所述将所述实时防护事件发送给用户决策还包括：

将所述实时防护事件的风险等级发送给所述用户，使所述用户根据所述风险等级对所述实时防护事件进行决策。

其中，所述应用层过滤规则包括：通用策略监控点的应用层过滤规则和自保护监控点的应用层过滤规则；

所述判断实时防护事件是否匹配所述应用层过滤规则包括：

确定所述实时防护事件所属监控点的类型；

当所述类型为通用策略监控点时，判断所述实时防护事件是否匹配所述通用策略监控点的应用层过滤规则；

当所述类型为自保护监控点时，判断所述实时防护事件是否匹配所述自保护监控点的应用层过滤规则。

其中，所述自保护监控点的应用层过滤规则包括：第一文件签名应用层过滤规则、进程的黑白名单应用层过滤规则中的至少一个；

所述通用策略监控点的应用层过滤规则包括：第二文件签名应用层过滤规则、信息摘要算法MD5应用层过滤规则中的至少一个。

一种实时防护的装置，所述装置包括：

获取模块，用于从服务器获取并实时更新应用层过滤规则；

判断模块，用于判断实时防护事件是否匹配所述获取模块获取的应用层过滤规则；

执行模块，用于如果所述判断模块判断的结果为匹配，根据所述获取模块获取的应用层过滤规则对所述实时防护事件执行相应的操作。

其中，所述获取模块，还用于当所述应用层过滤规则有多个时，从所述服务器获取并实时更新所述应用层过滤规则的执行顺序；

所述判断模块，还用于按照所述获取模块获取的执行顺序，当所述实时防护事件与所述应用层过滤规则的前一个应用层过滤规则不匹配时，再判断所述实时防护事件是否匹配所述应用层过滤规则。

其中，所述装置还包括：

发送模块，用于如果所述判断模块判断的结果为不匹配，将所述实时防护事件发送给用户决策。

其中，所述装置还包括：

确定模块，用于将所述实时防护事件发送给用户决策之前，确定所述实时防护事件的风险等级；