本发明专利技术提出了一种实时防护方法和装置,属于计算机技术领域。本发明专利技术实施例设置驱动层规则与应用层规则的对应关系,所述每一驱动层规则对应一个或一个以上应用层规则;当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;如果否则步骤结束;判断是否有与该驱动层规则对应的应用层规则;如果否则步骤结束;根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。本发明专利技术实施例能够在预定事件发生时,采用二级检测方式对事件进行过滤。减少提交给用户选择次数,提高用户的体验感。
【技术实现步骤摘要】
本专利技术涉及计算机
,特别涉及一种实时防护方法和装置。
技术介绍
在各种实时防护软件中,都采用基于策略文件的方式定义软件的监控规则。实现方式是底层驱动根据策略中的驱动层规则,捕获各类符合驱动层规则中定义的条件的事件,然后上交到应用层,并提交由用户决定是否允许该操作执行。目前的各类实时防护软件都有自己的策略定义格式和规则检测。策略包括预设置的一套规则链,规则链中的规则包括注册表路径、文件路径、进程名、TIPS类型等。当驱动层截获到发生了文件修改、注册表修改、操作进程等系统事件时,在驱动中根据策略定义的规则链进行判断,该事件是否符合规则链中的规则。如果与预设置的规则匹配,则提交到应用层。应用层将事件通过类似于TIPS窗口的方式提交到用户桌面,由用户选择是否通过。例如,当用户安装QQ软件时,需要对注册表进行多处修改。其中,会涉及到对系统的启动项的修改。现有的实时防护软件的驱动层检测到注册表修改时,判断对启动项修改是否与策略中的规则链中的规则匹配。如果不匹配,也就是说规则链中不对注册表修改中的启动项修改这一操作进行监控,则允许该操作执行。如果匹配,则需要将该修改提交到应用层;应用层将该修改通过TIPS窗口的形式提交给用户,由用户判断是否允许QQ软件修改注册表的启动项。在实现本专利技术的过程中,专利技术人发现现有技术至少存在以下问题现有的这种实时防护策略设计方式的缺陷在于捕获的系统事件几乎全部交由用户选择如何处理。这种方式对于不熟悉计算机系统知识的用户来说,很难做出正确的选择, 导致系统存在安全隐患。
技术实现思路
为了解决现有技术中各种实时防护软件只对驱动层进行检测,并在发生与预设置的规则匹配的事件时交由应用层显示并由用户选择,导致的用户体验感差及存在安全隐患的问题,本专利技术实施例提出了一种实时防护方法和装置。所述技术方案如下本专利技术实施例提出了一种实时防护方法,包括设置驱动层规则与应用层规则的对应关系,所述驱动层规则中的至少一个驱动层规则对应一个或一个以上应用层规则;当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;如果否则步骤结束;判断是否有与该驱动层规则对应的应用层规则;如果否则步骤结束;根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。作为上述技术方案的优选,所述每一应用层规则至少包括以下一个或一个以上字段规则名称字段,用于记录所述应用层规则的名称;动作ID字段,用于记录所述应用层规则对应的过滤函数;关联驱动监控规则ID字段,用于记录与所述应用层规则对应的驱动层规则;附加参数字段,用于记录所述应用层规则的参数。作为上述技术方案的优选,所述通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层包括调用所述应用层规则对应的过滤函数,并将所述应用层规则对应的附加参数字段发送给过滤函数;接收所述过滤函数的返回值,如果该返回值是通过或禁止,则将该结果发送到驱动层,步骤结束;如果过滤函数的返回值是继续过滤,则进入下一条应用层规则。作为上述技术方案的优选,所述方法还包括驱动层根据事件类型生成事件上下文消息,所述事件上下文消息中包括以下的一个或几个参数执行进程ID、执行进程可执行程序路径、事件操作类型、操作对象;驱动层将所述事件上下文消息发送到应用层;应用层根据所述事件上下文消息,构建事件参数。本专利技术实施例还提出了一种实时防护装置,包括对应关系设置模块,用于设置驱动层规则与应用层规则的对应关系,述所述驱动层规则中的至少一个驱动层规则对应一个或一个以上应用层规则;事件监控模块,用于监控事件,当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;并判断是否有与该驱动层规则对应的应用层规则;应用层过滤模块,用于根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。作为上述技术方案的优选,所述每一应用层规则至少包括以下一个或一个以上字段规则名称字段,用于记录所述应用层规则的名称;动作ID字段,用于记录所述应用层规则对应的过滤函数;关联驱动监控规则ID字段,用于记录与所述应用层规则对应的驱动层规则;附加参数字段,用于记录所述应用层规则的参数。作为上述技术方案的优选,所述应用层过滤模块包括过滤函数调用单元,用于调用所述应用层规则对应的过滤函数,并将所述应用层规则对应的附加参数字段发送给过滤函数;返回值接收单元,用于接收所述过滤函数的返回值,如果该返回值是通过或禁止, 则将该结果发送到驱动层,如果过滤函数的返回值是继续过滤,则进入下一条应用层规则继续进行过滤。作为上述技术方案的优选,所述装置还包括消息生成模块,设置于驱动层,用于根据事件类型生成事件上下文消息,所述事件上下文消息中包括以下的一个或几个参数执行进程ID、执行进程可执行程序路径、事件操作类型、操作对象;消息发送模块,设置于驱动层,用于将所述事件上下文消息发送到应用层;参数重构模块,设置于应用层,用于根据所述事件上下文消息,构建事件参数。本专利技术实施例提供的技术方案的有益效果是本专利技术实施例提出了一种实时防护方法和装置,能够在预定事件发生时,采用二级检测方式对事件进行过滤。本专利技术实施例可以通过预设置的应用层规则进行过滤,可以由安全专家为用户提供更好的安全决策支持, 并生成统一的应用层规则发送给每一个用户,这样可以避免所有的监控到的事件都提交给用户做选择。以减少提交给用户选择次数,提高用户的体验感。同时,这样不会影响到原有的策略格式定义,对原有的实时防护系统不产生影响,并具备更好的可扩展性。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中使用的附图作一简单地介绍,显而易见地,下面所列附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术第一实施例的流程示意图;图2为本专利技术第二实施例的流程示意图;图3为本专利技术第三实施例的结构示意图;图4为本专利技术第四实施例的结构示意图。具体实施例方式为使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术实施方式作进一步地详细描述。实施例1步骤101、设置驱动层规则与应用层规则的对应关系,所述驱动层规则中的至少一个驱动层规则对应一个或一个以上应用层规则;步骤102、当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;如果否则步骤结束;步骤103、判断是否有与该驱动层规则对应的应用层规则;如果否则步骤结束;步骤104、根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。本专利技术实施例提出了一种实时防护方法,能够在预定事件发生时,采用二级检测方式对事件进行过滤。本专利技术实施例可以通过预设置的应用层规则进行过滤,可以由安全专家为用户提供更好的安全决策支持,并生成统一的应用层规则发送给每一个用户,这样可以避免所有的监控到的事件都提交给用户做选择。以减少提交给用户选择次数,提高用户的体验感。同时,这样不会影响到原有的策略格式定义,对原有的实时防护系统不产生影响,并具备更好的可扩展性。实施例2本专利技术第二实施例提出了一种实时防护方法,其流程如图2所示,本文档来自技高网...
【技术保护点】
1.一种实时防护方法,其特征在于,包括:设置驱动层规则与应用层规则的对应关系,所述驱动层规则中的至少一条驱动层规则对应一个或一个以上应用层规则;当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;如果否则步骤结束;判断是否有与该驱动层规则对应的应用层规则;如果否则步骤结束;根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。
【技术特征摘要】
1.一种实时防护方法,其特征在于,包括设置驱动层规则与应用层规则的对应关系,所述驱动层规则中的至少一条驱动层规则对应一个或一个以上应用层规则;当监控到发生与预设置的防护监控事件相同的事件发生时,判断该事件是否符合预设的驱动层规则;如果否则步骤结束;判断是否有与该驱动层规则对应的应用层规则;如果否则步骤结束; 根据获取的事件参数,通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层。2.根据权利要求1所述的实时防护方法,其特征在于,所述每一应用层规则至少包括以下一个或一个以上字段规则名称字段,用于记录所述应用层规则的名称;动作ID字段,用于记录所述应用层规则对应的过滤函数;关联驱动监控规则ID字段,用于记录与所述应用层规则对应的驱动层规则;附加参数字段,用于记录所述应用层规则的参数。3.根据权利要求2所述的实时防护方法,其特征在于,所述通过所述应用层规则对所述事件进行过滤,并将过滤结果发送到驱动层包括调用所述应用层规则对应的过滤函数,并将所述应用层规则对应的附加参数字段发送给过滤函数;接收所述过滤函数的返回值,如果该返回值是通过或禁止,则将该结果发送到驱动层,步骤结束;如果过滤函数的返回值是继续过滤,则进入下一条应用层规则。4.根据权利要求1-3任一项所述的实时防护方法,其特征在于,所述方法还包括驱动层根据事件类型生成事件上下文消息,所述事件上下文消息中包括以下的一个或几个参数执行进程ID、执行进程可执行程序路径、事件操作类型、操作对象; 驱动层将所述事件上下文消息发送到应用层; 应用层根据所述事件上下文消息,构建事件参数。5.一种实时防护装置,其特征在于,包括对应关系设置模块...
【专利技术属性】
技术研发人员:孟齐源,王宇,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:94
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。