【技术实现步骤摘要】
终端弱管控方法、装置、电子设备及存储介质
[0001]本专利技术实施例涉及安全
,特别涉及一种终端弱管控方法、装置、电子设备及存储介质。
技术介绍
[0002]可信管控技术是终端强管控采用的主要手段,通过直接阻止未知进程的运行来防止威胁的发生。但是强管控存在诸多弊端,比如,系统性能损耗大、稳定性较差、用户使用不便利等问题。因此,需要提供一种弱管控方法,以实现对未知进程的有效管控。
技术实现思路
[0003]本专利技术实施例提供了一种终端弱管控方法、装置、电子设备及存储介质,能够在弱管控状态下实现对未知进程的有效管控。
[0004]第一方面,本专利技术实施例提供了一种终端弱管控方法,包括:
[0005]响应于监控到程序启动行为,确定所述程序启动行为中的启动进程是否为已知的可信进程;
[0006]当确定该启动进程不为已知的可信进程时,确定该启动进程为未知进程,篡改该启动进程对应的程序运行指令,以使该启动进程在指定命名空间中启动并运行;所述指定命名空间用于隔离该启动进程所在宿主机中的可...
【技术保护点】
【技术特征摘要】
1.一种终端弱管控方法,其特征在于,包括:响应于监控到程序启动行为,确定所述程序启动行为中的启动进程是否为已知的可信进程;当确定该启动进程不为已知的可信进程时,确定该启动进程为未知进程,篡改该启动进程对应的程序运行指令,以使该启动进程在指定命名空间中启动并运行;所述指定命名空间用于隔离该启动进程所在宿主机中的可访问资源;对所述指定命名空间中运行的未知进程进行行为监测,并根据监测结果对所述指定命名空间中运行的未知进程进行管控。2.根据权利要求1所述的方法,其特征在于,所述确定所述程序启动行为中的启动进程是否为已知的可信进程,包括:将所述程序启动行为中的启动进程与可信白名单中的可信进程进行匹配;若存在与该启动进程匹配的可信进程,则确定该启动进程为已知的可信进程,否则,确定该启动进程不为已知的可信进程。3.根据权利要求1所述的方法,其特征在于,所述指定命名空间的数量为一个或多个,一个指定命名空间中运行一个未知进程;在所述篡改该启动进程对应的程序运行指令之前,还包括:获取该启动进程运行的默认命名空间的第一寄存器参数,以及确定分配给该启动进程的指定命名空间的第二寄存器参数;所述篡改该启动进程对应的程序运行指令,包括:将ESI寄存器中的所述第一寄存器参数更改为所述第二寄存器参数。4.根据权利要求1所述的方法,其特征在于,所述对所述指定命名空间中运行的未知进程进行行为监测,包括:基于该未知进程的进程信息,确定该未知进程的进程启动链,对所述进程启动链上的各进程均进行行为监测。5.根据权利要求4所述的方法,其特征在于,对进程进行所述行为监测的内容包括:资源占用、文件操作、网络请求和系统配置更改中的至少一种行为。6.根据权利要求1所述的方法,其...
【专利技术属性】
技术研发人员:王辛宇,孙洪伟,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。