本申请提供了一种进程安全验证白名单生成方法、装置。该方法包括获取进程快照;根据进程快照确定进程的第一安全标识,第一安全标识包括安全、未知和危险;通过多维度安全验证确定第一安全标识为未知的进程的第二安全标识,第二安全标识包括:安全和危险;通过第一安全标识为安全的进程和第二安全标识为安全的进程生成进程安全验证白名单。进而可以应用进程安全验证白名单对进程进行检测,在进程安全验证白名单内的进程确认为安全进程,不在进程安全验证白名单内的进程确认为危险进程,能够更加有效的对进程进行检测。
White list generation method and device for process security verification
【技术实现步骤摘要】
进程安全验证白名单生成方法、装置
本申请涉及计算机及通信
,特别涉及一种进程安全验证白名单生成方法、装置。
技术介绍
目前,针对进程的安全防护普遍采用的安全防护手段是通过安装杀毒软件来阻止机器上的恶意软件运行和传播。杀毒软件是一种基于黑名单的查杀方式,即只有在恶意软件被加入黑名单时才会被阻止运行,黑名单之外的软件和行为被认为都是正常、可信的。但是随着逃避检测技术的发展,黑名单安全防护技术存在较大的漏洞,容易出现漏报的问题,难以有效的检测出恶意进程。
技术实现思路
本申请旨在提供一种进程安全验证白名单生成方法、装置,使用该进程安全验证白名单生成方法生成的白名单进行进程检测,能够更加有效的检测出恶意进程。根据本申请实施例的一个方面,提供了一种进程安全验证白名单生成方法,包括:获取进程快照;根据所述进程快照确定所述进程的第一安全标识,所述第一安全标识包括安全、未知和危险;通过多维度安全验证确定第一安全标识为未知的进程的第二安全标识,所述第二安全标识包括:安全和危险;通过第一安全标识为安全的进程和第二安全标识为安全的进程生成进程安全验证白名单。根据本申请实施例的一个方面,提供了一种进程安全验证白名单生成装置,包括:获取模块,用于获取进程快照;第一安全模块,用于根据所述进程快照确定所述进程的第一安全标识,所述第一安全标识包括安全、未知和危险;第二安全模块,用于通过多维度安全验证确定第一安全标识为未知的进程的第二安全标识,所述第二安全标识包括:安全和危险;生成模块,用于通过第一安全标识为安全的进程和第二安全标识为安全的进程生成进程安全验证白名单。在本申请的一些实施例中,基于前述方案,所述第一安全模块配置为:从所述进程快照中获得所述进程的文件和所述文件对应的哈希值;根据所述文件对应的哈希值和所述进程的文件释放行为确定所述进程的第一安全标识。在本申请的一些实施例中,基于前述方案,所述第一安全模块还配置为:将所述文件对应的哈希值与指定哈希库比较,获得所述指定哈希库返回的文件的初始标识,所述初始标识包括安全、未知和危险;基于初始标识为未知的进程的文件释放行为,确定所述初始标识为未知的进程的更新标识,所述更新标识包括安全、未知和危险;将所述初始标识或所述更新标识为安全的进程的第一安全标识确定为安全;将所述初始标识或所述更新标识为危险的进程的第一安全标识确定为危险;将所述更新标识为未知的进程的第一安全标识确定为未知。在本申请的一些实施例中,基于前述方案,所述第二安全模块配置为:通过所述多维度安全验证确定所述第一安全标识为未知的进程的风险分数;根据所述风险分数确定所述第一安全标识为未知的进程的第二安全标识。在本申请的一些实施例中,基于前述方案,所述第二安全模块还配置为:从所述进程快照中得到所述第一安全标识为未知的进程的多个进程信息;分别确定所述多个进程信息中每个进程信息的风险分数;将所述多个进程信息的风险分数之和作为所述第一安全标识为未知的进程的风险分数。在本申请的一些实施例中,基于前述方案,所述第二安全模块还配置为:将所述进程信息和预设进程信息分数表进行比对得到所述进程信息的风险分数。在本申请的一些实施例中,基于前述方案,所述第二安全模块还配置为:若所述风险分数未达到阈值,则确认所述第一安全标识为未知的进程的第二安全标识为安全;若所述风险分数达到所述阈值,则确认所述第一安全标识为未知的进程的第二安全标识为危险。在本申请的一些实施例中,基于前述方案,所述第二安全模块还配置为:对所述进程安全验证白名单中每个进程进行多维度安全验证,得到所述进程安全验证白名单中每个进程的风险分数;根据所述进程安全验证白名单中每个进程的风险分数调整所述阈值。在本申请的一些实施例中,基于前述方案,所述第二安全模块还配置为:将所述进程安全验证白名单中进程的风险分数中的最大值作为所述阈值。根据本申请实施例的一个方面,提供了一种计算机可读程序介质,其存储有计算机程序指令,当所述计算机程序指令被计算机执行时,使计算机执行上任一项所述的方法。根据本申请实施例的一个方面,提供了一种电子装置,包括:处理器;存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,实现如上任一项所述的方法。本申请的实施例提供的技术方案可以包括以下有益效果:在本申请的一些实施例所提供的技术方案中,通过获取进程快照,根据进程快照确定进程的第一安全标识,第一安全标识包括安全、未知和危险,将第一安全标识为安全的进程的第二安全标识确认为安全;将第一安全标识为危险的进程的第二安全标识确认为危险;对于第一安全标识为未知的进程,通过多维度安全验证确定第一安全标识为未知的进程的第二安全标识,第二安全标识包括:安全和危险,将第二安全标识为安全的进程确认为安全,将第二安全标识为危险的进程确认为危险,通过第一安全标识为安全的进程和第二安全标识为安全的进程生成进程安全验证白名单,进而可以应用进程安全验证白名单对进程进行检测,在进程安全验证白名单内的进程确认为安全进程,不在进程安全验证白名单内的进程确认为危险进程,能够更加有效的对进程进行检测。应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。附图说明此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并于说明书一起用于解释本申请的原理。图1A示出了可以应用本申请实施例的技术方案的示例性系统架构的示意图;图1B示出了可以应用本申请一个实施例的技术方案的数据共享系统的示意图;图1C示出了可以应用本申请一个实施例的区块链所在的节点存储程序行为数据的示意图;图2示意性示出了根据本申请的一个实施例的进程安全验证白名单生成方法的流程图;图3示意性示出了根据本申请的一个实施例的根据进程快照确定进程的第一安全标识的过程的流程图;图4示意性示出了根据本申请的一个实施例的应用本申请的进程安全验证白名单生成方法生成的白名单进行安全检测的流程图;图5给出了本申请的一个实施例的生成进程安全验证白名单的示意图;图6给出了本申请的一个实施例的图5中生成进程安全验证白名单和图4中使用生成的进程安全验证白名单检测进程的示意图;图7示意性示出了根据本申请的一个实施例的进程安全验证白名单生成装置的框图;图8是根据一示例性实施例示出的一种电子装置的硬件图。具体实施方式现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本申请将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本申请的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本申请的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、本文档来自技高网...
【技术保护点】
1.一种进程安全验证白名单生成方法,其特征在于,包括:/n获取进程快照;/n根据所述进程快照确定所述进程的第一安全标识,所述第一安全标识包括安全、未知和危险;/n通过多维度安全验证确定第一安全标识为未知的进程的第二安全标识,所述第二安全标识包括:安全和危险;/n通过第一安全标识为安全的进程和第二安全标识为安全的进程生成进程安全验证白名单。/n
【技术特征摘要】
1.一种进程安全验证白名单生成方法,其特征在于,包括:
获取进程快照;
根据所述进程快照确定所述进程的第一安全标识,所述第一安全标识包括安全、未知和危险;
通过多维度安全验证确定第一安全标识为未知的进程的第二安全标识,所述第二安全标识包括:安全和危险;
通过第一安全标识为安全的进程和第二安全标识为安全的进程生成进程安全验证白名单。
2.根据权利要求1所述的进程安全验证白名单生成方法,其特征在于,所述根据所述进程快照确定所述进程的第一安全标识,包括:
从所述进程快照中获得所述进程的文件和所述文件对应的哈希值;
根据所述文件对应的哈希值和所述进程的文件释放行为确定所述进程的第一安全标识。
3.根据权利要求2所述的进程安全验证白名单生成方法,其特征在于,根据所述文件对应的哈希值和所述进程的文件释放行为确定所述进程的第一安全标识,包括:
将所述文件对应的哈希值与指定哈希库比较,获得所述指定哈希库返回的文件的初始标识,所述初始标识包括安全、未知和危险;
基于初始标识为未知的进程的文件释放行为,确定所述初始标识为未知的进程的更新标识,所述更新标识包括安全、未知和危险;
将所述初始标识或所述更新标识为安全的进程的第一安全标识确定为安全;
将所述初始标识或所述更新标识为危险的进程的第一安全标识确定为危险;
将所述更新标识为未知的进程的第一安全标识确定为未知。
4.根据权利要求1所述的进程安全验证白名单生成方法,其特征在于,所述通过多维度安全验证确定第一安全标识为未知的进程的第二安全标识,包括:
通过所述多维度安全验证确定所述第一安全标识为未知的进程的风险分数;
根据所述风险分数确定所述第一安全标识为未知的进程的第二安全标识。
5.根据权利要求4所述的进程安全验证白名单生成方法,其特征在于,所述通过所述多维度安全验证确定所述第一安全标识为未知的进程的风险分数,包...
【专利技术属性】
技术研发人员:马立伟,王月强,李志豪,张刚,王朝飞,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。