本发明专利技术实施例提供一种基于内核驱动的软件核心文件内生防护方法及装置,所述方法包括:基于内核驱动捕获内核中发生的与文件和进程相关的事件;根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理。本发明专利技术实施例由于基于内核驱动捕获内核中发生的与文件和进程相关的事件,并根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理,因此,本发明专利技术实施例实现了在内核对文件和进程的保护,较应用层来说,内核对恶意、误删、误杀等破坏行为发现的最早,可以第一时间实现控制,拦截和阻断;同时,由于在内核里,程序执行的权限较高,这样可以阻断一些在应用层由于权限问题失败的违规行为。
【技术实现步骤摘要】
基于内核驱动的软件核心文件内生防护方法及装置
本专利技术涉及计算机
,尤其涉及一种基于内核驱动的软件核心文件内生防护方法及装置。
技术介绍
对于软件或系统来说,一些核心文件或进程如果被恶意软件删除或篡改,会导致软件功能失效,甚至系统瘫痪,从而对用户产生重大影响和危害。为解决该问题,需要采取一定的措施对软件中的核心文件和进程进行保护。目前在对软件的核心文件和进程进行保护时,主要在应用层实现对其保护,然而由于应用层的权限有限,因此,部分针对核心文件或进程的破坏行为在应用层无法发现,从而导致不能很好地实现对软件中核心文件和进程的保护。
技术实现思路
针对现有技术中的问题,本专利技术实施例提供一种基于内核驱动的软件核心文件内生防护方法及装置。具体地,本专利技术实施例提供了以下技术方案:第一方面,本专利技术实施例提供了一种基于内核驱动的软件核心文件内生防护方法,包括:基于内核驱动捕获内核中发生的与文件和进程相关的事件;根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理。进一步地,所述基于内核驱动捕获内核中发生的与文件和进程相关的事件,具体包括:基于系统SYSCALL调用表中的函数行为捕获内核中发生的与文件和进程相关的事件。进一步地,所述根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理,具体包括:根据与所述事件对应的事件动作确定所述事件动作是否与预设需要进行安全防护的事件动作匹配,若是,则根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理。进一步地,所述根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理,具体包括:根据与所述事件对应的事件对象确定所述事件对象是否与预设需要进行安全防护的文件或进程匹配,若是,则根据匹配的文件或进程确定相应的安全防护处理。进一步地,所述根据与所述事件对应的事件对象确定所述事件对象是否与预设需要进行安全防护的文件或进程匹配,具体包括:根据所述事件获取所述事件的操作参数;根据所述操作参数判断所述操作参数是否与预设需要进行安全防护的文件或进程的名称或标识匹配。进一步地,所述根据匹配的文件或进程确定相应的安全防护处理,具体包括:根据匹配的文件或进程对应的重要等级,进行相应级别的安全防护处理。进一步地,所述根据匹配的文件或进程对应的重要等级,进行相应级别的安全防护处理,具体包括:若匹配的文件或进程对应的重要等级为第一等级,则进行阻断和告警处理;若匹配的文件或进程对应的重要等级为第二等级,则进行阻断处理;若匹配的文件或进程对应的重要等级为第三等级,则进行告警处理;其中,第一等级的重要性>第二等级的重要性>第三等级的重要性。第二方面,本专利技术实施例提供了一种基于内核驱动的软件核心文件内生防护装置,包括:捕获模块,用于基于内核驱动捕获内核中发生的与文件和进程相关的事件;防护模块,用于根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理。第三方面,本专利技术实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述基于内核驱动的软件核心文件内生防护方法的步骤。第四方面,本专利技术实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述基于内核驱动的软件核心文件内生防护方法的步骤。由上面技术方案可知,本专利技术实施例提供的基于内核驱动的软件核心文件内生防护方法及装置,由于基于内核驱动捕获内核中发生的与文件和进程相关的事件,并根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理,因此,本专利技术实施例实现了在内核对文件和进程的保护,较应用层来说,内核对恶意、误删、误杀等破坏行为发现的最早,可以第一时间实现控制,拦截和阻断;同时,由于在内核里,程序执行的权限较高,这样可以阻断一些在应用层由于权限问题失败的违规行为。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一实施例提供的基于内核驱动的软件核心文件内生防护方法的流程图;图2为本专利技术一实施例提供的针对文件或进程的威胁行为示意图;图3为本专利技术一实施例提供的基于内核驱动的软件核心文件内生防护方法的实现过程示意图;图4为本专利技术一实施例提供的基于内核驱动的软件核心文件内生防护装置的结构示意图;图5为本专利技术一实施例提供的电子设备的结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。正如
技术介绍
部分所述,在应用层对文件和进程进行保护时存在一些问题。例如,针对软件中的核心文件或进程的破坏行为在应用层有可能无法被发现(由于应用层的权限问题),进而导致不能很好地实现对软件中核心文件和进程进行保护的目的。此外,在应用层对文件和进程进行保护时还存在其他问题。例如,当在应用层发现破坏行为时,实际上,此时破坏行为已经对系统造成了较大影响,即便此时进行拦截阻断等操作,也很难消除该破坏行为对系统已经造成的损失。为解决该问题,本专利技术实施例提供了一种基于内核驱动的软件核心文件内生防护方法,本专利技术实施例是从内核中实现对文件和进程的保护,较应用层来说,对恶意、误删、误杀等破坏行为发现的最早,可以第一时间实现控制、拦截和阻断;同时,由于在内核里,程序执行的权限较高,这样可以阻断一些在应用层由于权限问题访问失败的违规行为。在本专利技术实施例中,内生防护是指面对不断变化的网络威胁,网络安全进化到了内生安全时代,需要依靠聚合,从信息化系统内不断生长出自适应、自主和自成长的安全能力,内生防护能够极大降低网络攻击风险,从而真正保证业务安全。当前,网络安全的内涵和外延在不断扩大,网络环境经历了从互联网到网络空间的演化,互联网时代的安全目标主要是防止数据被破坏、被泄漏和网络瘫痪,网络空间安全时代的安全目标,是包含设施、数据、用户、操作在内整个网络空间的系统安全。伴随着网络环境从I到C的演化(从Internet到Cyberspace),网络安全行业面对的客户正在经历从toC到toB的变化,网络安全观也正在经历从外到内的进化,采用内生防护的手段,可以面对不断变化的网络威胁,自适应性地进行由内至外的安全防护。自适应的内生安全,很像一个强壮的免本文档来自技高网...
【技术保护点】
1.一种基于内核驱动的软件核心文件内生防护方法,其特征在于,包括:/n基于内核驱动捕获内核中发生的与文件和进程相关的事件;/n根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理。/n
【技术特征摘要】
1.一种基于内核驱动的软件核心文件内生防护方法,其特征在于,包括:
基于内核驱动捕获内核中发生的与文件和进程相关的事件;
根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理。
2.根据权利要求1所述的基于内核驱动的软件核心文件内生防护方法,其特征在于,所述基于内核驱动捕获内核中发生的与文件和进程相关的事件,具体包括:
基于系统SYSCALL调用表中的函数行为捕获内核中发生的与文件和进程相关的事件。
3.根据权利要求1所述的基于内核驱动的软件核心文件内生防护方法,其特征在于,所述根据与所述事件对应的事件动作和事件对象,确定与所述事件对应的安全防护处理,具体包括:
根据与所述事件对应的事件动作确定所述事件动作是否与预设需要进行安全防护的事件动作匹配,若是,则根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理。
4.根据权利要求3所述的基于内核驱动的软件核心文件内生防护方法,其特征在于,所述根据与所述事件对应的事件对象确定与所述事件对应的安全防护处理,具体包括:
根据与所述事件对应的事件对象确定所述事件对象是否与预设需要进行安全防护的文件或进程匹配,若是,则根据匹配的文件或进程确定相应的安全防护处理。
5.根据权利要求4所述的基于内核驱动的软件核心文件内生防护方法,其特征在于,所述根据与所述事件对应的事件对象确定所述事件对象是否与预设需要进行安全防护的文件或进程匹配,具体包括:
根据所述事件获取所述事件的操作参数;
根据所述操作参数判断所述操作...
【专利技术属性】
技术研发人员:张帅,李常坤,齐向东,刘勇,张聪,汤迪斌,
申请(专利权)人:奇安信科技集团股份有限公司,网神信息技术北京股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。