本发明专利技术实施例提供了一种安全防护方法、装置、电子设备及存储介质。其中,安全防护方法,包括:检测程序运行的相关参数;基于所述程序运行的相关参数确定所述程序的操作行为,并在判断获知所述操作行为包括威胁操作时,终止所述程序的运行。本发明专利技术的实施例,通过对启动的程序的监控,即使病毒利用合法的进程加载自身到内存中的方式实现攻击,也能够通过该进程的操作行为确定是否存在威胁,因此,攻击行为难以绕过,无论是否通过合法的进程加载的,一旦发现攻击行为便实时阻断,进而,避免受到病毒等攻击,提升了系统的安全性。提升了系统的安全性。提升了系统的安全性。
【技术实现步骤摘要】
安全防护方法、装置、电子设备及存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种安全防护方法、装置、电子设备及存储介质。
技术介绍
[0002]无文件攻击是一种很难防御的攻击策略,即:通过合法进程(如Powershell.exe等)加载恶意代码绕过安全监测并在内存中运行,因为没用文件落地到目标的磁盘,所以往往防病毒引擎等安全产品很难检测,这样就逃避了安全防护检查。然而,无文件威胁并不代表没有文件,而是指没有恶意文件在目标的磁盘上进行存储,这些文件一般存在于远程被通过某些技术手段导入本地内存中运行从而绕过现在的防病毒引擎的检查,目前对无文件攻击行为的防范方法包括:日志的审计,存在滞后性,不能第一时间阻断攻击;进程的可信管理,而很多无文件攻击行为反而往往是一些可信的系统进程发起的,因此,不能全面查杀,攻击行为很容易绕过查杀软件的查杀。
技术实现思路
[0003]针对现有技术中的问题,本专利技术实施例提供一种安全防护方法、装置、电子设备及存储介质。
[0004]具体地,本专利技术实施例提供了以下技术方案:
[0005]第一方面,本专利技术实施例提供了一种安全防护方法,包括:
[0006]检测程序运行的相关参数;
[0007]基于所述程序运行的相关参数确定所述程序的操作行为,并在判断获知所述操作行为包括威胁操作时,终止所述程序的运行。
[0008]在一些示例中,所述检测程序运行的相关参数,包括:
[0009]监测进程列表,并在监测有进程启动时,如果判断获知所述进程为敏感进程,则获取所述敏感进程的相关参数,所述敏感进程的相关参数包括进程参数;和/或
[0010]监测外壳程序,并在监测到外壳程序运行时,获取所述外壳程序的相关参数,所述外壳程序的相关参数包括函数调用参数。
[0011]在一些示例中,所述基于所述程序运行的相关参数确定所述程序的操作行为,并在判断获知所述操作行为包括威胁操作时,终止所述程序的运行,包括:
[0012]基于预设的匹配规则对所述相关参数进行规则匹配,并根据规则匹配结果确定所述程序执行威胁操作时,终止所述程序的运行。
[0013]在一些示例中,所述基于预设的匹配规则对所述相关参数进行规则匹配,并根据规则匹配结果确定所述程序执行威胁操作时,终止所述程序的运行,包括:
[0014]基于所述匹配规则匹配所述程序运行的相关参数对应的操作行为;
[0015]如果匹配到所述程序运行的相关参数对应的操作行为包括威胁操作,终止所述程序的运行。
[0016]在一些示例中,还包括:
[0017]在判断获知所述操作行为包括威胁操作时,通过脚本引擎接口监测脚本代码,并判断所述脚本代码存在安全风险时,终止所述程序的运行。
[0018]在一些示例中,所述判断所述脚本代码存在安全风险时,终止所述程序的运行,包括:
[0019]判断所述脚本代码是否与预设的安全风险脚本集中的脚本匹配;
[0020]如果是,则确定所述脚本代码存在安全风险,终止所述程序的运行。
[0021]第二方面,本专利技术实施例还提供了一种安全防护装置,包括:
[0022]检测模块,用于检测程序运行的相关参数;
[0023]防护模块,用于根据所述程序运行的相关参数确定所述程序的操作行为,并在判断获知所述操作行为包括威胁操作时,终止所述程序的运行。
[0024]第三方面,本专利技术实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述的安全防护方法的步骤。
[0025]第四方面,本专利技术实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述的安全防护方法的步骤。
[0026]第五方面,本专利技术实施例还提供了一种计算机程序产品,所计算机程序产品包括有计算机程序,该计算机程序被处理器执行时实现如第一方面所述的安全防护方法的步骤。
[0027]由上面技术方案可知,本专利技术实施例提供的安全防护方法、装置、电子设备及存储介质,首先检测程序运行的相关参数,然后根据相关参数可以确定出程序的操作行为中是否包括威胁操作,即:通过对启动的程序的监控,即使病毒利用合法的进程加载自身到内存中的方式实现攻击,也能够通过该进程的操作行为确定是否存在威胁,因此,攻击行为难以绕过,无论是否通过合法的进程加载的,一旦发现攻击行为便实时阻断,进而,避免受到病毒等攻击,提升了系统的安全性。
附图说明
[0028]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0029]图1为本专利技术一实施例提供的安全防护方法的流程图;
[0030]图2为本专利技术一实施例提供的安全防护方法的示意图;
[0031]图3为本专利技术一实施例提供的安全防护装置的结构框图;
[0032]图4为本专利技术一实施例提供的电子设备的结构示意图。
具体实施方式
[0033]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是
本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0034]图1示出了本专利技术实施例提供的安全防护方法的流程图。如图1所示,本专利技术实施例提供的安全防护方法,包括如下步骤:
[0035]步骤101:检测程序运行的相关参数。
[0036]如图2所示,以Windows操作系统为例,可以通过Windows相关API(Application Programming Interface,应用程序接口)监控进程,这样,便可以得到程序运行的相关参数,即:监测进程列表,并在监测有进程启动时,如果判断获知所述进程为敏感进程,则获取所述敏感进程的相关参数,所述敏感进程的相关参数包括进程参数。例如:在进程启动时,会注入进程相关检查代码与HOOK脚本引擎接口代码,开始监控进程的进程参数。也就是说,开始监控进程的所有操作。
[0037]在以上描述中,敏感进程指容易被利用或者已经被利用的系统合法文件或者第三方合法文件,如rundll32.exe、mshta.exe、cscript.exe,regsvr32.exe等。在本专利技术的一个实施例中,可以预先设置一个敏感进程集合,敏感进程集合中存储有已知的部分或全部敏感进程,当有新的进程符合时,可以更新敏感进程集合。
[0038]需要说明的是,上述示例中,是在进程启动时,通过注入进程相关检查代码与HOOK脚本引擎接本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种安全防护方法,其特征在于,包括:检测程序运行的相关参数;基于所述程序运行的相关参数确定所述程序的操作行为,并在判断获知所述操作行为包括威胁操作时,终止所述程序的运行。2.根据权利要求1所述的安全防护方法,其特征在于,所述检测程序运行的相关参数,包括:监测进程列表,并在监测有进程启动时,如果判断获知所述进程为敏感进程,则获取所述敏感进程的相关参数,所述敏感进程的相关参数包括进程参数;和/或监测外壳程序,并在监测到外壳程序运行时,获取所述外壳程序的相关参数,所述外壳程序的相关参数包括函数调用参数。3.根据权利要求1或2所述的安全防护方法,其特征在于,所述基于所述程序运行的相关参数确定所述程序的操作行为,并在判断获知所述操作行为包括威胁操作时,终止所述程序的运行,包括:基于预设的匹配规则对所述相关参数进行规则匹配,并根据规则匹配结果确定所述程序执行威胁操作时,终止所述程序的运行。4.根据权利要求3所述的安全防护方法,其特征在于,所述基于预设的匹配规则对所述相关参数进行规则匹配,并根据规则匹配结果确定所述程序执行威胁操作时,终止所述程序的运行,包括:基于所述匹配规则匹配所述程序运行的相关参数对应的操作行为;如果匹配到所述程序运行的相关参数对应的操作行为包括威胁操作,终止所述程序的运行...
【专利技术属性】
技术研发人员:郝洪明,鲍龙活,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。