[发明专利]基于内核驱动的软件核心文件内生防护方法及装置在审
| 申请号: | 201911419046.6 | 申请日: | 2019-12-31 |
| 公开(公告)号: | CN111158937A | 公开(公告)日: | 2020-05-15 |
| 发明(设计)人: | 张帅;李常坤;齐向东;刘勇;张聪;汤迪斌 | 申请(专利权)人: | 奇安信科技集团股份有限公司;网神信息技术(北京)股份有限公司 |
| 主分类号: | G06F9/54 | 分类号: | G06F9/54;G06F21/52 |
| 代理公司: | 北京路浩知识产权代理有限公司 11002 | 代理人: | 苗晓静 |
| 地址: | 100088 北京市西城区*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 内核 驱动 软件 核心 文件 防护 方法 装置 | ||
1.一种基于内核驱动的软件核心文件内生防护方法,其特征在于,包括:
基于内核驱动捕获内核中发生的与文件和进程相关的事件;
根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理。
2.根据权利要求1所述的基于内核驱动的软件核心文件内生防护方法,其特征在于,所述基于内核驱动捕获内核中发生的与文件和进程相关的事件,具体包括:
基于系统SYSCALL调用表中的函数行为捕获内核中发生的与文件和进程相关的事件。
3.根据权利要求1所述的基于内核驱动的软件核心文件内生防护方法,其特征在于,所述根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理,具体包括:
根据与所述事件对应的事件动作确定所述事件动作是否与预设需要进行安全防护的事件动作匹配,若是,则根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理。
4.根据权利要求3所述的基于内核驱动的软件核心文件内生防护方法,其特征在于,所述根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理,具体包括:
根据与所述事件对应的事件对象确定所述事件对象是否与预设需要进行安全防护的文件或进程匹配,若是,则根据匹配的文件或进程确定相应的安全防护处理。
5.根据权利要求4所述的基于内核驱动的软件核心文件内生防护方法,其特征在于,所述根据与所述事件对应的事件对象确定所述事件对象是否与预设需要进行安全防护的文件或进程匹配,具体包括:
根据所述事件获取所述事件的操作参数;
根据所述操作参数判断所述操作参数是否与预设需要进行安全防护的文件或进程的名称或标识匹配。
6.根据权利要求4所述的基于内核驱动的软件核心文件内生防护方法,其特征在于,所述根据匹配的文件或进程确定相应的安全防护处理,具体包括:
根据匹配的文件或进程对应的重要等级,进行相应级别的安全防护处理。
7.根据权利要求6所述的基于内核驱动的软件核心文件内生防护方法,其特征在于,所述根据匹配的文件或进程对应的重要等级,进行相应级别的安全防护处理,具体包括:
若匹配的文件或进程对应的重要等级为第一等级,则进行阻断和告警处理;
若匹配的文件或进程对应的重要等级为第二等级,则进行阻断处理;
若匹配的文件或进程对应的重要等级为第三等级,则进行告警处理;
其中,第一等级的重要性>第二等级的重要性>第三等级的重要性。
8.一种基于内核驱动的软件核心文件内生防护装置,其特征在于,包括:
捕获模块,用于基于内核驱动捕获内核中发生的与文件和进程相关的事件;
防护模块,用于根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述基于内核驱动的软件核心文件内生防护方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至7任一项所述基于内核驱动的软件核心文件内生防护方法的步骤。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于奇安信科技集团股份有限公司;网神信息技术(北京)股份有限公司,未经奇安信科技集团股份有限公司;网神信息技术(北京)股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201911419046.6/1.html,转载请声明来源钻瓜专利网。
- 上一篇:活体识别方法及装置
- 下一篇:特征编码方法、装置、电子设备及可读存储介质
