[发明专利]基于内核驱动的软件核心文件内生防护方法及装置

说明书

本发明实施例提供一种基于内核驱动的软件核心文件内生防护方法及装置，所述方法包括：基于内核驱动捕获内核中发生的与文件和进程相关的事件；根据与所述事件对应的事件动作和事件对象，确定与所述事件对应的安全防护处理。本发明实施例由于基于内核驱动捕获内核中发生的与文件和进程相关的事件，并根据与所述事件对应的事件动作和事件对象，确定与所述事件对应的安全防护处理，因此，本发明实施例实现了在内核对文件和进程的保护，较应用层来说，内核对恶意、误删、误杀等破坏行为发现的最早，可以第一时间实现控制，拦截和阻断；同时，由于在内核里，程序执行的权限较高，这样可以阻断一些在应用层由于权限问题失败的违规行为。

技术领域

本发明涉及计算机技术领域，尤其涉及一种基于内核驱动的软件核心文件内生防护方法及装置。

背景技术

对于软件或系统来说，一些核心文件或进程如果被恶意软件删除或篡改，会导致软件功能失效，甚至系统瘫痪，从而对用户产生重大影响和危害。

为解决该问题，需要采取一定的措施对软件中的核心文件和进程进行保护。目前在对软件的核心文件和进程进行保护时，主要在应用层实现对其保护，然而由于应用层的权限有限，因此，部分针对核心文件或进程的破坏行为在应用层无法发现，从而导致不能很好地实现对软件中核心文件和进程的保护。

发明内容

针对现有技术中的问题，本发明实施例提供一种基于内核驱动的软件核心文件内生防护方法及装置。

具体地，本发明实施例提供了以下技术方案：

第一方面，本发明实施例提供了一种基于内核驱动的软件核心文件内生防护方法，包括：

基于内核驱动捕获内核中发生的与文件和进程相关的事件；

根据与所述事件对应的事件动作和事件对象，确定与所述事件对应的安全防护处理。

进一步地，所述基于内核驱动捕获内核中发生的与文件和进程相关的事件，具体包括：

基于系统SYSCALL调用表中的函数行为捕获内核中发生的与文件和进程相关的事件。

进一步地，所述根据与所述事件对应的事件动作和事件对象，确定与所述事件对应的安全防护处理，具体包括：

根据与所述事件对应的事件动作确定所述事件动作是否与预设需要进行安全防护的事件动作匹配，若是，则根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理。

进一步地，所述根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理，具体包括：

根据与所述事件对应的事件对象确定所述事件对象是否与预设需要进行安全防护的文件或进程匹配，若是，则根据匹配的文件或进程确定相应的安全防护处理。

进一步地，所述根据与所述事件对应的事件对象确定所述事件对象是否与预设需要进行安全防护的文件或进程匹配，具体包括：

根据所述事件获取所述事件的操作参数；

根据所述操作参数判断所述操作参数是否与预设需要进行安全防护的文件或进程的名称或标识匹配。

进一步地，所述根据匹配的文件或进程确定相应的安全防护处理，具体包括：

根据匹配的文件或进程对应的重要等级，进行相应级别的安全防护处理。

进一步地，所述根据匹配的文件或进程对应的重要等级，进行相应级别的安全防护处理，具体包括：

若匹配的文件或进程对应的重要等级为第一等级，则进行阻断和告警处理；

若匹配的文件或进程对应的重要等级为第二等级，则进行阻断处理；