[发明专利]操作系统防护方法、装置及存储介质有效
| 申请号: | 202010022922.8 | 申请日: | 2020-01-09 |
| 公开(公告)号: | CN111259389B | 公开(公告)日: | 2022-08-05 |
| 发明(设计)人: | 徐静;王方前;崔九梅;王守峰;唐洁 | 申请(专利权)人: | 青岛海尔科技有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F21/55 |
| 代理公司: | 北京康信知识产权代理有限责任公司 11240 | 代理人: | 周婷婷 |
| 地址: | 266101 山东省*** | 国省代码: | 山东;37 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 操作系统 防护 方法 装置 存储 介质 | ||
1.一种操作系统防护方法,其特征在于,包括:
在运行操作系统中的目标应用程序的过程中,获取第一目标进程的第一进程标识符;根据所述第一进程标识符获取所述第一目标进程所触发的内核函数的调用列表;在所述调用列表中检测到预先插入的探测点的情况下,确定与所述探测点相邻的内核函数为第一内核函数,其中,所述第一内核函数为所述目标应用程序中所述第一目标进程当前所调用的内核函数;
从白名单中获取第二内核函数,其中,所述白名单中记录有在安全运行环境下运行的过程中,获取到的所述目标应用程序中各个目标进程所触发的内核函数的调用列表,所述第二内核函数为所述第一目标进程在所述安全运行环境下所调用的内核函数;
比对所述第一内核函数与所述第二内核函数;在所述第一内核函数与所述第二内核函数的比对结果指示不匹配的情况下,确定与所述第一内核函数的安全等级相匹配的预警操作;
在所述第一内核函数的所述安全等级为第一等级的情况下,对所述第一目标进程执行直接杀死操作,并生成第一内核日志记录,其中,所述第一内核日志记录中携带有与所述第一等级相匹配的第一类提示标签,所述第一等级的内核函数包括:用于帮助攻击者提升权限、控制系统或破坏系统稳定性与完整性的内核函数;
在所述第一内核函数的所述安全等级为第二等级的情况下,对所述第一目标进程执行暂停操作或杀死操作,并生成第二内核日志记录,其中,所述第二内核日志记录中携带有与所述第二等级相匹配的第二类提示标签,所述第二等级的内核函数包括:用于组织恶意行为或辅助完成恶意行为的内核函数;
在所述第一内核函数的所述安全等级为第三等级的情况下,生成第三内核日志记录,其中,所述第三内核日志记录中携带有与所述第三等级相匹配的第三类提示标签,所述第三等级的内核函数包括:用于执行信息查看类型的低风险或无风险操作的内核函数;
其中,所述第一等级的报警优先级高于所述第二等级的报警优先级,所述第二等级的报警优先级高于所述第三等级的报警优先级。
2.根据权利要求1所述的方法,其特征在于,在所述根据所述第一进程标识符获取所述第一目标进程所触发的内核函数的调用列表之后,还包括:
在所述调用列表中检测到预先插入的探测点的情况下,执行在所述探测点插入的回调函数,并暂停调用所述第一内核函数。
3.根据权利要求1所述的方法,其特征在于,在所述从白名单中获取所述第二内核函数之前,还包括:
搭建所述安全运行环境,其中,所述安全运行环境包括:安全等级大于或等于第一阈值的运行环境、目标地域范围内网络的运行环境、位于安全操作系统中的运行环境。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于青岛海尔科技有限公司,未经青岛海尔科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010022922.8/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种低压用户串户检测方法及存储介质
- 下一篇:服务器
