[发明专利]一种基于文件过滤驱动框架的守护进程方法和装置

说明书

本发明提供了一种基于文件过滤驱动框架的守护进程方法和装置，涉及网络安全的技术领域，应用于守护驱动程序，守护驱动程序能够在确定待守护应用程序后，实时判断操作系统中的新增活动信号是否为针对待守护应用程序进行的限制操作，如果确定是，那么守护驱动程序将过滤上述新增活动信号，实现了在驱动层拦截限制操作的功能，使得入侵者无法实际有效的对待守护应用程序进行操作，达到了守护待应用程序效果，从而缓解了现有技术中守护进程的方法安全等级低的技术问题。

技术领域

本发明涉及网络安全的技术领域，尤其是涉及一种基于文件过滤驱动框架的守护进程方法和装置。

背景技术

现有技术中，为了防止应用程序被恶意退出或者暂停，通常会创建守护进程，守护进程(daemon)是一类在后台运行并且不受任何终端控制的特殊进程，用于执行特定的系统任务。多数守护进程在系统引导的时候启动，在系统关闭时终止。守护进程能够对目标应用的进程进行守护，当监测到目标应用的进程停止运行时，立即启动该目标应用的进程。但是，如果攻击者有较高的系统权限，可以将守护进程一起退出，守护进程就无法实现有效的守护。

综上所述，现有技术中守护进程的方法存在安全等级低的技术问题。

发明内容

本发明的目的在于提供一种基于文件过滤驱动框架的守护进程方法和装置，以缓解了现有技术中守护进程的方法存在的安全等级低的技术问题。

第一方面，本发明实施例提供一种基于文件过滤驱动框架的守护进程方法，应用于守护驱动程序，所述方法包括：确定步骤，确定待守护应用程序；判断步骤，判断操作系统中的新增活动信号是否为对所述待守护应用程序进行限制操作的信号；过滤步骤，若是，则过滤所述新增活动信号。

在可选的实施方式中，所述判断步骤之后，还包括：若是，则将所述新增活动信号的限制操作进行记录，并通知所述待守护应用程序。

在可选的实施方式中，确定待守护应用程序，包括：建立与所述待守护应用程序的通信连接；接收待守护应用程序的进程标识。

在可选的实施方式中，判断操作系统中的新增活动信号是否为对所述待守护应用程序进行限制操作的信号，包括：判断所述新增活动信号的操作类型是否为限制操作类型；若是，则判断所述新增活动信号的操作对象的进程标识是否与所述待守护应用程序的进程标识相匹配。

在可选的实施方式中，判断所述新增活动信号的操作类型是否为限制操作类型，包括：获取所述新增活动信号的标志位；基于所述标志位的枚举类型确定所述新增活动信号的操作类型；判断所述新增活动信号的操作类型是否与所述限制操作类型相匹配。

第二方面，本发明实施例提供一种基于文件过滤驱动框架的守护进程方法，应用于待守护应用程序，所述方法包括：建立与守护驱动程序的通信连接；将所述待守护应用程序的进程标识发送至所述守护驱动程序，以使所述守护驱动程序判断操作系统中的新增活动信号是否为对所述待守护应用程序进行限制操作的信号，若是，则过滤所述新增活动信号。

第三方面，本发明实施例提供一种基于文件过滤驱动框架的守护进程装置，应用于守护驱动程序，所述装置包括：确定模块，用于确定待守护应用程序；判断模块，用于判断操作系统中的新增活动信号是否为对所述待守护应用程序进行限制操作的信号；过滤模块，若是，则过滤所述新增活动信号。

在可选的实施方式中，所述装置还包括：记录通知模块，若是，则将所述新增活动信号的限制操作进行记录，并通知所述待守护应用程序。

在可选的实施方式中，确定模块包括：通信单元，用于建立与所述待守护应用程序的通信连接；接收单元，用于接收待守护应用程序的进程标识。