本发明专利技术提供了一种终端弱管控方法、装置、电子设备及存储介质,其中方法包括:响应于监控到程序启动行为,确定所述程序启动行为中的启动进程是否为已知的可信进程;当确定该启动进程不为已知的可信进程时,确定该启动进程为未知进程,篡改该启动进程对应的程序运行指令,以使该启动进程在指定命名空间中启动并运行;所述指定命名空间用于隔离该启动进程所在宿主机中的可访问资源;对所述指定命名空间中运行的未知进程进行行为监测,并根据监测结果对所述指定命名空间中运行的未知进程进行管控。本方案,能够在弱管控状态下实现对未知进程的有效管控。程的有效管控。程的有效管控。
【技术实现步骤摘要】
终端弱管控方法、装置、电子设备及存储介质
[0001]本专利技术实施例涉及安全
,特别涉及一种终端弱管控方法、装置、电子设备及存储介质。
技术介绍
[0002]可信管控技术是终端强管控采用的主要手段,通过直接阻止未知进程的运行来防止威胁的发生。但是强管控存在诸多弊端,比如,系统性能损耗大、稳定性较差、用户使用不便利等问题。因此,需要提供一种弱管控方法,以实现对未知进程的有效管控。
技术实现思路
[0003]本专利技术实施例提供了一种终端弱管控方法、装置、电子设备及存储介质,能够在弱管控状态下实现对未知进程的有效管控。
[0004]第一方面,本专利技术实施例提供了一种终端弱管控方法,包括:
[0005]响应于监控到程序启动行为,确定所述程序启动行为中的启动进程是否为已知的可信进程;
[0006]当确定该启动进程不为已知的可信进程时,确定该启动进程为未知进程,篡改该启动进程对应的程序运行指令,以使该启动进程在指定命名空间中启动并运行;所述指定命名空间用于隔离该启动进程所在宿主机中的可访问资源;
[0007]对所述指定命名空间中运行的未知进程进行行为监测,并根据监测结果对所述指定命名空间中运行的未知进程进行管控。
[0008]一种可能的实现方式中,所述确定所述程序启动行为中的启动进程是否为已知的可信进程,包括:
[0009]将所述程序启动行为中的启动进程与可信白名单中的可信进程进行匹配;
[0010]若存在与该启动进程匹配的可信进程,则确定该启动进程为已知的可信进程,否则,确定该启动进程不为已知的可信进程。
[0011]一种可能的实现方式中,所述指定命名空间的数量为一个或多个,一个指定命名空间中运行一个未知进程;
[0012]在所述篡改该启动进程对应的程序运行指令之前,还包括:获取该启动进程运行的默认命名空间的第一寄存器参数,以及确定分配给该启动进程的指定命名空间的第二寄存器参数;
[0013]所述篡改该启动进程对应的程序运行指令,包括:将ESI寄存器中的所述第一寄存器参数更改为所述第二寄存器参数。
[0014]一种可能的实现方式中,所述对所述指定命名空间中运行的未知进程进行行为监测,包括:
[0015]基于该未知进程的进程信息,确定该未知进程的进程启动链,对所述进程启动链上的各进程均进行行为监测。
[0016]一种可能的实现方式中,对进程进行所述行为监测的内容包括:资源占用、文件操作、网络请求和系统配置更改中的至少一种行为。
[0017]一种可能的实现方式中,所述根据监测结果对所述指定命名空间中运行的未知进程进行管控,包括:
[0018]当该未知进程的运行时长未达到预设时长,但监测到该未知进程存在异常行为时,确定该未知进程为不可信进程,根据预设的异常行为分析规则和所述监测结果中的异常行为,对该未知进程进行异常评估,并按照异常评估结果相对应的管控方式对该未知进程进行管控;
[0019]所述管控方式包括:不采取管控操作、管控进程网络访问行为、管控文件操作行为、管控进程启动行为、挂起进程操作和结束进程中的至少一种。
[0020]一种可能的实现方式中,还包括:当该未知进程的运行时长达到预设时长,且对该未知进程未监测到异常行为时,确定该未知进程为可信进程,将该未知进程更新至可信白名单。
[0021]第二方面,本专利技术实施例还提供了一种终端弱管控装置,包括:
[0022]确定单元,用于响应于监控到程序启动行为,确定所述程序启动行为中的启动进程是否为已知的可信进程;
[0023]指令篡改单元,用于当确定该启动进程不为已知的可信进程时,确定该启动进程为未知进程,篡改该启动进程对应的程序运行指令,以使该启动进程在指定命名空间中启动并运行;所述指定命名空间用于隔离该启动进程所在宿主机中的可访问资源;
[0024]监测管控单元,用于对所述指定命名空间中运行的未知进程进行行为监测,并根据监测结果对所述指定命名空间中运行的未知进程进行管控。
[0025]第三方面,本专利技术实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
[0026]第四方面,本专利技术实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
[0027]本专利技术实施例提供了一种终端弱管控方法、装置、电子设备及存储介质,当启动进程为未知进程时,通过篡改启动进程对应的程序运行指令,使得该启动进程在指定命名空间中启动,由于指定命名空间用于隔离该启动进程所在宿主机中的可访问资源,因此,未知进程运行在指定命名空间中,不会对宿主机造成环境污染;另外,进一步对指定命名空间中运行的未知进程进行行为监测,进而根据监测结果对指定命名空间中运行的未知进程进行管控。可见,本方案,能够在弱管控状态下实现对未知进程的有效管控。
附图说明
[0028]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0029]图1是本专利技术一实施例提供的一种终端弱管控方法流程图;
[0030]图2是本专利技术一实施例提供的一种电子设备的硬件架构图;
[0031]图3是本专利技术一实施例提供的一种终端弱管控装置结构图;
[0032]图4是本专利技术一实施例提供的另一种终端弱管控装置结构图。
具体实施方式
[0033]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例,基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0034]如前所述,强管控方式是直接将未知进程关闭,防止未知进程在运行过程中对终端设备带来的威胁。但是强管控方式存在诸多问题,如果能够在弱管控状态下实现对未知进程的有效管控,则可以解决强管控方式存在的问题。
[0035]基于此,本专利技术的专利技术构思在于:对于未知进程不会直接关闭,而是利用命名空间(namespace)将未知进程进行隔离运行,使得未知进程与宿主机资源隔离,防止宿主机环境污染,并进一步对隔离运行的未知进程进行持续监控,以进一步判定未知进程是否安全。
[0036]下面描述以上构思的具体实现方式。
[0037]请参考图1,本专利技术实施例提供了一种终端弱管控方法,该方法包括:
[0038]步骤100,响应于监控到程序启动行为,确定所述程序启动行为中的启动进程是否为已知的可信进程;
[本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种终端弱管控方法,其特征在于,包括:响应于监控到程序启动行为,确定所述程序启动行为中的启动进程是否为已知的可信进程;当确定该启动进程不为已知的可信进程时,确定该启动进程为未知进程,篡改该启动进程对应的程序运行指令,以使该启动进程在指定命名空间中启动并运行;所述指定命名空间用于隔离该启动进程所在宿主机中的可访问资源;对所述指定命名空间中运行的未知进程进行行为监测,并根据监测结果对所述指定命名空间中运行的未知进程进行管控。2.根据权利要求1所述的方法,其特征在于,所述确定所述程序启动行为中的启动进程是否为已知的可信进程,包括:将所述程序启动行为中的启动进程与可信白名单中的可信进程进行匹配;若存在与该启动进程匹配的可信进程,则确定该启动进程为已知的可信进程,否则,确定该启动进程不为已知的可信进程。3.根据权利要求1所述的方法,其特征在于,所述指定命名空间的数量为一个或多个,一个指定命名空间中运行一个未知进程;在所述篡改该启动进程对应的程序运行指令之前,还包括:获取该启动进程运行的默认命名空间的第一寄存器参数,以及确定分配给该启动进程的指定命名空间的第二寄存器参数;所述篡改该启动进程对应的程序运行指令,包括:将ESI寄存器中的所述第一寄存器参数更改为所述第二寄存器参数。4.根据权利要求1所述的方法,其特征在于,所述对所述指定命名空间中运行的未知进程进行行为监测,包括:基于该未知进程的进程信息,确定该未知进程的进程启动链,对所述进程启动链上的各进程均进行行为监测。5.根据权利要求4所述的方法,其特征在于,对进程进行所述行为监测的内容包括:资源占用、文件操作、网络请求和系统配置更改中的至少一种行为。6.根据权利要求1所述的方法,其...
【专利技术属性】
技术研发人员:王辛宇,孙洪伟,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。