本申请的实施例提供了一种程序监控方法、装置、处理设备及存储介质,涉及计算机应用技术领域。通过获取程序白名单,程序白名单包括:至少一个程序对应的文件标识;建立事件监控线程以及防护线程,事件监控线程以及防护线程均运行于应用层;由事件监控线程捕获文件系统中的文件打开事件;由防护线程对文件打开事件进行解析,并根据解析结果以及程序白名单对文件打开事件进行防护处理,防护处理包括:禁止或允许,文件打开事件包括:待打开文件的文件标识。通过运行于应用层的事件监控线程以及防护线程,对文件打开事件进行主动捕获、解析,在程序运行前开启防护处理,还避免了对内核程序的修改,提高了系统的稳定性和安全性。提高了系统的稳定性和安全性。提高了系统的稳定性和安全性。
【技术实现步骤摘要】
程序监控方法、装置、处理设备及存储介质
[0001]本申请涉及计算机应用
,具体而言,涉及一种程序监控方法、装置、处理设备及存储介质。
技术介绍
[0002]恶意程序通常指任何故意创建用来执行未经授权并通常是有害行为的软件程序,如计算机病毒、后门程序、木马等。在主机安全防护中,需要阻止恶意程序的运行,对系统造成破坏性的影响。
[0003]目前,对于恶意程序的运行控制,一般通过hook方式,通过修改内核系统函数调用表的方式,确定可以执行的程序以及不可执行的恶意程序。
[0004]但是,hook方式需对内核中的函数调用表进行修改,修改的过程中可能导致内核出现其他问题,安全性较差、实现复杂,而且,这种程序监控方式在恶意程序运行后才会进行阻止,可能会系统造成损伤。
技术实现思路
[0005]本申请提供了一种程序监控方法、装置、处理设备及存储介质,其能够通过运行于应用层的事件监控线程以及防护线程,对文件打开事件进行主动捕获、解析,在程序运行前开启防护处理,还避免了对内核程序的修改,提高了系统的稳定性和安全性。
[0006]本申请的实施例可以这样实现:
[0007]第一方面,本申请实施例提供一种程序监控方法,所述方法包括:
[0008]获取程序白名单,所述程序白名单包括:至少一个程序对应的文件标识;
[0009]建立事件监控线程以及防护线程,所述事件监控线程以及所述防护线程均运行于应用层;
[0010]由所述事件监控线程捕获文件系统中的文件打开事件;<br/>[0011]由所述防护线程对所述文件打开事件进行解析,并根据解析结果以及所述程序白名单对所述文件打开事件进行防护处理,所述防护处理包括:禁止或允许,所述文件打开事件包括:待打开文件的文件标识。
[0012]在一种可选的实施方式中,所述由所述防护线程对所述事件监控线程捕获的文件打开事件进行解析,并根据解析结果以及所述程序白名单对所述文件打开事件进行防护处理,包括:
[0013]由所述防护线程通过预设接口读取所述事件监控线程捕获的文件打开事件,并对所述文件打开事件进行解析得到所述待打开文件的文件标识;
[0014]由所述防护线程根据所述待打开文件的文件标识,确定所述待打开文件的类型,所述待打开文件的类型包括:可执行文件类型以及不可执行文件类型;
[0015]由所述防护线程根据所述待打开文件的类型,对所述文件打开事件进行防护处理。
[0016]在一种可选的实施方式中,所述由所述防护线程根据所述待打开文件的类型,对所述文件打开事件进行防护处理,包括:
[0017]若所述待打开文件的类型为不可执行文件类型,则由所述防护线程允许所述文件打开事件的执行。
[0018]在一种可选的实施方式中,所述根据所述待打开文件的类型,对所述文件打开事件进行防护处理,还包括:
[0019]若所述待打开文件的类型为可执行文件类型,则由所述防护线程将所述待打开文件的文件标识与所述程序白名单进行比较,确定所述文件打开事件是否执行。
[0020]在一种可选的实施方式中,所述由所述防护线程将所述待打开文件的文件标识与所述程序白名单进行比较,确定所述文件打开事件是否执行,包括:
[0021]若所述程序白名单中包括所述待打开文件的文件标识,则允许所述文件打开事件的执行;
[0022]若所述程序白名单中不包括所述待打开文件的文件标识,则禁止所述文件打开事件的执行。
[0023]在一种可选的实施方式中,所述获取程序白名单之前,所述方法还包括:
[0024]对磁盘进行全盘扫描,获取磁盘中挂载的所有文件系统的各程序的文件;
[0025]对各文件进行安全性分析,确定安全文件以及不安全文件;
[0026]将各安全文件的文件标识加入所述程序白名单。
[0027]在一种可选的实施方式中,所述方法还包括:
[0028]对磁盘进行增量扫描,确定新增文件;
[0029]对所述新增文件进行安全性分析,确定所述新增文件是否为安全文件,若是,则将所述新增文件加入所述程序白名单。
[0030]第二方面,本申请实施例提供一种程序监控装置,包括:
[0031]获取模块,用于获取程序白名单,所述程序白名单包括:至少一个程序对应的文件标识;
[0032]线程建立模块,用于建立事件监控线程以及防护线程,所述事件监控线程以及所述防护线程均运行于应用层;
[0033]事件解析模块,用于由所述事件监控线程捕获文件系统中的文件打开事件;
[0034]所述事件解析模块还用于,由所述防护线程对所述事件监控线程捕获的文件打开事件进行解析,并根据解析结果以及所述程序白名单对所述文件打开事件进行防护处理,所述防护处理包括:禁止或允许,所述文件打开事件包括:待打开文件的文件标识。
[0035]所述事件解析模块具体还用于,由所述防护线程通过预设接口读取所述事件监控线程捕获的文件打开事件,并对所述文件打开事件进行解析得到所述待打开文件的文件标识;由所述防护线程根据所述待打开文件的文件标识,确定所述待打开文件的类型,所述待打开文件的类型包括:可执行文件类型以及不可执行文件类型;由所述防护线程根据所述待打开文件的类型,对所述文件打开事件进行防护处理。
[0036]所述事件解析模块具体还用于,若所述待打开文件的类型为不可执行文件类型,则由所述防护线程允许所述文件打开事件的执行。
[0037]所述事件解析模块具体还用于,若所述待打开文件的类型为可执行文件类型,则
由所述防护线程将所述待打开文件的文件标识与所述程序白名单进行比较,确定所述文件打开事件是否执行。
[0038]所述事件解析模块具体还用于,若所述程序白名单中包括所述待打开文件的文件标识,则允许所述文件打开事件的执行;若所述程序白名单中不包括所述待打开文件的文件标识,则禁止所述文件打开事件的执行。
[0039]磁盘扫描模块,用于对磁盘进行全盘扫描,获取磁盘中挂载的所有文件系统的各程序的文件;对各文件进行安全性分析,确定安全文件以及不安全文件;将各安全文件的文件标识加入所述程序白名单。
[0040]所述磁盘扫描模块具体还用于,对磁盘进行增量扫描,确定新增文件;对所述新增文件进行安全性分析,确定所述新增文件是否为安全文件,若是,则将所述新增文件加入所述程序白名单。
[0041]第三方面,本申请实施例提供一种处理设备,所述处理设备包括:处理器、存储介质和总线,所述存储介质存储有所述处理器可执行的机器可读指令,当所述处理设备运行时,所述处理器与所述存储介质之间通过总线通信,所述处理器执行所述机器可读指令,以执行如第一方面中任一项所述的程序监控方法的步骤。
[0042]第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时,实现如第一方面中任一项所述的程序监控方法的步骤。
本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种程序监控方法,其特征在于,所述方法包括:获取程序白名单,所述程序白名单包括:至少一个程序对应的文件标识;建立事件监控线程以及防护线程,所述事件监控线程以及所述防护线程均运行于应用层;由所述事件监控线程捕获文件系统中的文件打开事件;由所述防护线程对所述文件打开事件进行解析,并根据解析结果以及所述程序白名单对所述文件打开事件进行防护处理,所述防护处理包括:禁止或允许,所述文件打开事件包括:待打开文件的文件标识。2.根据权利要求1所述的程序监控方法,其特征在于,所述由所述防护线程对所述事件监控线程捕获的文件打开事件进行解析,并根据解析结果以及所述程序白名单对所述文件打开事件进行防护处理,包括:由所述防护线程通过预设接口读取所述事件监控线程捕获的文件打开事件,并对所述文件打开事件进行解析得到所述待打开文件的文件标识;由所述防护线程根据所述待打开文件的文件标识,确定所述待打开文件的类型,所述待打开文件的类型包括:可执行文件类型以及不可执行文件类型;由所述防护线程根据所述待打开文件的类型,对所述文件打开事件进行防护处理。3.根据权利要求2所述的程序监控方法,其特征在于,所述由所述防护线程根据所述待打开文件的类型,对所述文件打开事件进行防护处理,包括:若所述待打开文件的类型为不可执行文件类型,则由所述防护线程允许所述文件打开事件的执行。4.根据权利要求2所述的程序监控方法,其特征在于,所述根据所述待打开文件的类型,对所述文件打开事件进行防护处理,还包括:若所述待打开文件的类型为可执行文件类型,则由所述防护线程将所述待打开文件的文件标识与所述程序白名单进行比较,确定所述文件打开事件是否执行。5.根据权利要求4所述的程序监控方法,其特征在于,所述由所述防护线程将所述待打开文件的文件标识与所述程序白名单进行比较,确定所述文件打开事件是否执行,包括:若所述程序白名单中包括所述待打开文件...
【专利技术属性】
技术研发人员:葛婷婷,胡宇轩,郭正飞,刘炳强,潘俊嵩,
申请(专利权)人:浙江中控技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。