[发明专利]一种威胁处置方法及框架

说明书

本发明涉及网络安全技术领域，尤其涉及一种威胁处置方法及框架、电子设备、计算机可读存储介质，该方法包括：读取脚本文件，并对脚本文件中的文本进行逐行扫描；根据扫描结果，进行词法分析与语法分析，生成抽象语法树；根据抽象语法树，按照语法规则将所有动作与预定义的原语进行匹配，生成执行流；根据执行流进行执行，对发现的原语进行API安全校验并调用对应的各威胁处置模块执行相应动作，完成威胁处置。本发明提供的威胁处置方法及框架专为病毒威胁处置设计，不受平台、架构、系统限制，能够进行流程编排，安全可控，学习成本低，且简单易用。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种威胁处置方法及框架、电子设备、计算机可读存储介质。

背景技术

近年来，网络安全威胁事件日益增多，造成大量终端受到破坏性打击。根据不同的病毒威胁，各种终端安全产品目前仅能够检测出可识别病毒并清除病毒载体，但仍然存在大量残留在系统存量的无效或已破坏的文件(或系统环境)，没有一套完整、灵活、可配的处置方案。现有的定制化专杀脚本通常仅为简单的文件删除、注册表删除等一系列基础动作，无法进行流程判定。而能够进行流程判定的方法又依赖第三方开源库，例如：内嵌lua，python等解释器。在安全软件中利用这些开源解释器，有被黑客利用的风险，因为这种独立功能模块可编程性过于强大，无法校验输入数据的合法性，往往会带来更大的风险。

因此，针对以上不足，需要提供一种不受平台、架构、系统限制，能够进行流程编排，且安全可控，学习成本低，简单易用，专为病毒威胁处置设计的一套威胁处置方法及框架。

发明内容

本发明的目的是针对上述至少一部分不足之处，提供一种基于脚本语言的且仅为处置病毒提供能力的专用威胁处置方法及框架。

为了实现上述目的，本发明提供了一种威胁处置方法，包括如下步骤：

读取脚本文件，并对脚本文件中的文本进行逐行扫描；

根据扫描结果，进行词法分析与语法分析，生成抽象语法树；

根据所述抽象语法树，按照语法规则将所有动作与预定义的原语进行匹配，生成执行流；根据所述执行流进行执行，对发现的原语进行API安全校验并调用对应的各威胁处置模块执行相应动作，完成威胁处置。

优选地，所述威胁处置方法中，预定义的原语至少包括文件处置、进程处置、注册表处置、计划任务处置、系统服务处置、系统组策略处置、补丁修复处置、网络管控处置、内核对象处置、hook处置、内存处置、Rookit处置和物理设备处置15种处置分类；

原语的名称以处置分类作为前缀，具体执行动作作为后缀，并使用短下划线连接。

优选地，进行词法分析时，采用词法分析器，所述词法分析器用于根据输入执行关键字分析、标识符分析、字面量分析和符号分析，得到词法分析结果，以及将词法分析结果生成令牌并投递；

进行语法分析时，采用语法分析器，所述语法分析器用于接收所述词法分析器投递的令牌，根据输入执行对象分析、表达式分析、函数分析和流程分析，得到语法分析结果，以及将语法分析结果生成抽象语法树。

优选地，根据所述执行流进行执行，对发现的原语进行API安全校验并调用对应的各威胁处置模块执行相应动作时，包括：

执行所述执行流；

发现条件表达式判定，则执行条件表达式判定；

发现原语，则将原语与各所述威胁处置模块匹配；

匹配后执行相应的API安全校验；

校验成功后执行原语，并将参数传递到对应API中，调用对应的所述威胁处置模块执行相应动作；

在API执行完毕后，回收API返回数据；