CN104484599A - 一种基于应用程序的行为处理方法和装置 - Google Patents
一种基于应用程序的行为处理方法和装置 Download PDFInfo
- Publication number
- CN104484599A CN104484599A CN201410784726.9A CN201410784726A CN104484599A CN 104484599 A CN104484599 A CN 104484599A CN 201410784726 A CN201410784726 A CN 201410784726A CN 104484599 A CN104484599 A CN 104484599A
- Authority
- CN
- China
- Prior art keywords
- information
- behavior
- application program
- white list
- behavioural
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种基于应用程序的行为处理方法和装置,所述方法包括:当检测到应用程序的启动操作时,获取所述应用程序对应的行为权限信息;监测所述应用程序的行为信息;以及按照所述行为权限信息对所述行为信息进行处理。本发明实施例通过为行为配置行为权限信息,以单个行为作为权限单位,对应用程序进行监控,避免了黑白名单对应用程序配置统一权限带来的监控漏洞,实现了细粒度权限控制,增强了保护的强度,降低潜在威胁,亦可以减少误报率。
Description
技术领域
本发明涉及应用程序技术领域,特别是涉及一种基于应用程序的行为处理方法和一种基于应用程序的行为处理装置。
背景技术
随着互联网技术的不断发展,人们开发了各种功能丰富的应用程序,例如,即时通讯工具、音频播放器、视频播放器、日历工具等等,给人们的生活带来许多便利。
由于种种原因,应用程序总是会存在着某些漏洞,利用这些漏洞,病毒、木马或恶意代码可以操纵这些应用程序进行非法滥用,又或者,应用程序本身出于某些非法目的,进行某些危险的行为。
进而,这些应用程序的行为可能会危及数据的完整性、保密性、可用性和可控性,最终表现为应用程序在运行的过程中偏离了正常的轨道,即产生异常行为。
为了保护数据的安全,用户一般在操作***中安装安全工具,例如,防火墙、杀毒工具等等,这些安全工具,一般会设置有黑名单和白名单,采用“非白即黑”的核心理念保护操作***。
具体而言,对于白名单中信任的应用程序,一律允许其执行操作;对于黑名单中不信任的应用程序,就会对其行为进行审核,若出现敏感行为,就会以弹窗形式提示用户。
对于黑白名单机制,添加进白名单的应用程序,该应用程序的所有行为就全部信任,容易出现漏洞。若不添加进白名单,则可能会有很多行为被误报病毒,误操作多,浪费***资源。
例如,某应用程序为文字编辑程序,主要用于编辑,保存和打印文档,它的正常行为表现为读写它所支持的文档格式的文档,操作打印机进行打印,如果发现该应用程序通过网络下载了一个可执行程序并通过修改注册表把它设置为开机自动运行,这显然是一个异常行为,这个异常行为有可能是由于受到了宏病毒或者木马程序的攻击所造成的,又或者,出于强行推广应用程序的目的,该应用程序本身具有这个异常行为。
若将该文字编辑程序添加进白名单,则上述异常行为也是允许的,会导致安全漏洞。若不添加到白名单,则日常的文档读写、打印机打印等行为又容易被误报病毒。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种基于应用程序的行为处理方法和相应的一种基于应用程序的行为处理装置。
依据本发明的一个方面,提供了一种基于应用程序的行为处理方法,包括:
当检测到应用程序的启动操作时,获取所述应用程序对应的行为权限信息;
监测所述应用程序的行为信息;以及
按照所述行为权限信息对所述行为信息进行处理。
可选地,所述获取所述应用程序对应的行为权限列表的步骤包括:
提取所述应用程序的第一特征信息;
将所述第一特征信息发送至服务器;以及
接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限信息。
可选地,所述获取所述应用程序对应的行为权限列表的步骤包括:
提取所述应用程序的第一特征信息;
将所述第一特征信息发送至服务器;
接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限配置信息和权限组标识;
查找在本地预置的,所述权限组标识对应的行为权限基础信息;以及
利用所述行为权限配置信息对所述行为权限基础信息进行配置,以获得行为权限信息。
可选地,所述行为权限信息包括白名单行为信息和黑名单行为信息中的至少一种;
所述行为权限配置信息包括白名单行为添加信息、白名单行为删除信息、白名单行为修改信息、黑名单行为添加信息、黑名单行为删除信息、黑名单行为修改信息中的至少一种;以及
所述行为权限基础信息包括白名单行为基础信息和黑名单行为基础信息中的至少一种。
可选地,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:
在所述白名单行为基础信息中添加所述白名单行为添加信息对应的特征行为信息。
可选地,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:
在所述白名单行为基础信息中删除所述白名单行为删除信息对应的特征行为信息。
可选地,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:
按照所述白名单行为修改信息对所述白名单行为基础信息中的特征行为信息进行修改。
可选地,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:
在所述黑名单行为基础信息中添加所述黑名单行为添加信息对应的特征行为信息。
可选地,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:
在所述黑名单行为基础信息中删除所述黑名单行为删除信息对应的特征行为信息。
可选地,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:
按照所述黑名单行为修改信息对所述黑名单行为基础信息中的特征行为信息进行修改。
可选地,所述按照所述行为权限信息对所述行为信息进行处理的步骤包括:
当所述行为信息与所述行为权限信息中的特征行为信息匹配时,执行所述特征行为信息对应的操作。
可选地,所述当所述行为信息与所述行为权限信息中的特征行为信息匹配时,执行所述特征行为信息对应的操作的步骤包括:
当所述行为信息与所述白名单行为信息中的特征行为信息匹配时,允许所述行为信息的执行。
可选地,所述当所述行为信息与所述特征行为信息匹配时,执行所述特征行为信息对应的操作的步骤包括:
当所述行为信息与所述黑名单行为信息中的特征行为信息匹配时,生成针对所述行为信息的第一提示信息。
可选地,所述按照所述行为权限信息对所述行为信息进行处理的步骤包括:
当所述行为信息未与所述行为权限信息中的特征行为信息匹配时,生成针对所述行为信息的第二提示信息。
可选地,所述按照所述行为权限信息对所述行为信息进行处理的步骤包括:
当所述行为信息未与所述行为权限信息中的特征行为信息匹配时,将所述应用程序的信息和所述行为信息发送至服务器;
接收所述服务器返回的,针对所述应用程序的信息和所述行为信息的操作信息;以及
按照所述操作信息进行操作。
根据本发明的另一方面,提供了一种基于应用程序的行为处理装置,包括:
权限信息获取模块,适于在检测到应用程序的启动操作时,获取所述应用程序对应的行为权限信息;
行为信息监测模块,适于监测所述应用程序的行为信息;以及
处理模块,适于按照所述行为权限信息对所述行为信息进行处理。
可选地,所述权限信息获取模块还适于:
提取所述应用程序的第一特征信息;
将所述第一特征信息发送至服务器;以及
接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限信息。
可选地,所述权限信息获取模块还适于:
提取所述应用程序的第一特征信息;
将所述第一特征信息发送至服务器;
接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限配置信息和权限组标识;
查找在本地预置的,所述权限组标识对应的行为权限基础信息;以及
利用所述行为权限配置信息对所述行为权限基础信息进行配置,以获得行为权限信息。
可选地,所述行为权限信息包括白名单行为信息和黑名单行为信息中的至少一种;
所述行为权限配置信息包括白名单行为添加信息、白名单行为删除信息、白名单行为修改信息、黑名单行为添加信息、黑名单行为删除信息、黑名单行为修改信息中的至少一种;以及
所述行为权限基础信息包括白名单行为基础信息和黑名单行为基础信息中的至少一种。
可选地,所述权限信息获取模块还适于:
在所述白名单行为基础信息中添加所述白名单行为添加信息对应的特征行为信息。
可选地,所述权限信息获取模块还适于:
在所述白名单行为基础信息中删除所述白名单行为删除信息对应的特征行为信息。
可选地,所述权限信息获取模块还适于:
按照所述白名单行为修改信息对所述白名单行为基础信息中的特征行为信息进行修改。
可选地,所述权限信息获取模块还适于:
在所述黑名单行为基础信息中添加所述黑名单行为添加信息对应的特征行为信息。
可选地,所述权限信息获取模块还适于:
在所述黑名单行为基础信息中删除所述黑名单行为删除信息对应的特征行为信息。
可选地,所述权限信息获取模块还适于:
按照所述黑名单行为修改信息对所述黑名单行为基础信息中的特征行为信息进行修改。
可选地,所述处理模块还适于:
当所述行为信息与所述行为权限信息中的特征行为信息匹配时,执行所述特征行为信息对应的操作。
可选地,所述处理模块还适于:
当所述行为信息与所述白名单行为信息中的特征行为信息匹配时,允许所述行为信息的执行。
可选地,所述处理模块还适于:
当所述行为信息与所述黑名单行为信息中的特征行为信息匹配时,生成针对所述行为信息的第一提示信息。
可选地,所述处理模块还适于:
当所述行为信息未与所述行为权限信息中的特征行为信息匹配时,生成针对所述行为信息的第二提示信息。
可选地,所述处理模块还适于:
当所述行为信息未与所述行为权限信息中的特征行为信息匹配时,将所述应用程序的信息和所述行为信息发送至服务器;
接收所述服务器返回的,针对所述应用程序的信息和所述行为信息的操作信息;以及
按照所述操作信息进行操作。
本发明实施例在检测到应用程序的启动操作时,获取该应用程序对应的行为权限信息,对监测到的应用程序的行为信息,按照该行为权限信息进行处理,通过为行为配置行为权限信息,以单个行为作为权限单位,对应用程序进行监控,避免了黑白名单对应用程序配置统一权限带来的监控漏洞,实现了细粒度权限控制,增强了保护的强度,降低潜在威胁,亦可以减少误报率。
本发明实施例在服务器更新和维护应用程序的行为权限信息,无需在本地配置不同应用程序的行为权限信息,减少了本地***的资源占用,服务器可以快速对应用程序的行为变化做出反应对行为权限信息进行修改,保证了行为权限信息的准确性。
本发明实施例在本地配置行为权限基础信息,由服务器发送的行为权限配置信息进行配置,以获得应用程序的行为权限信息,一方面,由于从服务器获取权限组标识可以获得本地的权限基础信息,无需重复从服务器获取部分的行为权限信息,大大减少了数据的传输量,减少带宽的占用,加快数据的传输速度;另一方面,服务器可以及时对应用程序的行为变化做出反馈,修改行为权限配置信息,保证了应用程序的行为权限信息的准确性。
本发明实施例通过白名单行为信息和黑名单行为信息对应用程序的行为进行可信和不可信操作,进一步细化权限的层次,提高了行为监控的准确性。
本发明实施例通过将未标记的行为进行提示,或,由服务器进行分析,进一步提高了行为监控的准确性和全面性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为根据本发明一个实施例的一种基于应用程序的行为处理方法实施例的步骤流程示意图;以及
图2为根据本发明一个实施例的一种基于应用程序的行为处理装置实施例的方块示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
参照图1,示出了根据本发明一个实施例的一种基于应用程序的行为处理方法实施例的步骤流程图,具体可以包括如下步骤:
步骤101,当检测到应用程序的启动操作时,获取所述应用程序对应的行为权限信息;
本发明实施例中,当前启动的应用程序可以是由用户的操作进行触发的,例如,用户通过鼠标双击快捷方式触发应用程序的启动;也可以由其他应用程序或服务所触发,例如,当下载工具下载文件完成时,可以调用安全工具对该文件进行安全扫描;还可以通过其他方式触发启动,本发明实施例对此不加以限制。
在具体实现中,可以通过回调操作***中指定的***函数,如PsSetCreateProcessNotifyRoutine等,让操作***通知该***函数,以获知应用程序的进程启动、退出等信息。
当然,本发明实施例中还可以挂钩(Hook)CreateProcess等***函数获取到应用程序的进程启动的时机和信息,本发明实施例对此不加以限制。
客户端在检测应用程序启动时,可以获取该应用程序对应的行为权限信息,以对该应用程序的行为进行控制。其中,该行为权限信息可以用于记录对应的应用程序的行为的权限。
在本发明的一种可选实施例中,步骤101可以包括如下子步骤:
子步骤S11,提取所述应用程序的第一特征信息;
客户端在检测应用程序启动时,可以提取其第一特征信息。
第一特征信息,可以为表征当前启动的应用程序的特征的信息,具体可以包括ID(Identity,身份标识号码)、数字签名、hash(哈希值)等等。
子步骤S12,将所述第一特征信息发送至服务器;
应用本发明实施例,可以预先提取待检测的应用程序的第二特征信息,该第二特征信息可以为表征待检测的应用程序的特征的信息,具体可以包括ID(Identity,身份标识号码)、数字签名、hash(哈希值)等等。
此外,可以预先/实时对该待检测的应用程序的行为进行分析,根据分析结果,对该应用程序的第二特征信息配置行为权限信息。在该行为权限信息中可以记录该第二特征信息对应的应用程序的行为所拥有的权限。该权限行为信息可以用于对该应用程序的行为进行监控。
具体而言,行为权限信息可以包括白名单行为信息和黑名单行为信息中的至少一个。当然,对于某些应用程序,其行为权限信息可以只包括白名单行为信息,或者,可以只包括黑名单行为信息,本发明实施例对此不加以限制。
若分析出该待检测的应用程序的行为可信时,将该行为的行为信息作为特征行为信息,添加到其第二特征信息对应的白名单行为信息中,即白名单行为信息可以为某个应用程序的可信的行为的集合。
若分析出该待检测的应用程序的行为不可信时,将该行为的行为信息作为特征行为信息,添加到其第二特征信息对应的黑名单行为信息中,即黑名单行为信息可以为某个应用程序的不可信的行为的集合。
在实际应用中,该待检测的应用程序可以包括用户上传的、出现报警行为的应用程序。将该待检测的应用程序置于虚拟机中运行,复现出现报警的行为,若没有发现异常行为时,则可以将当时表现出来的会被报警的行为添加到该应用程序的第二特性信息对应的白名单行为信息中。
当然,本领域技术人员也可以主动收集不同的应用程序进行分析,本发明实施例对此不加以限制。
子步骤S13,接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限列表。
本发明实施例中,客户端可以将第一特征信息发送至服务器,由服务器检测第一特征信息与预置的第二特征信息是否匹配。
当第一特征信息与第二特征信息匹配时,可以表示在先已经对当前启动的应用程序进行了分析,存储有行为权限信息。
服务器将该第二特征信息对应的行为权限信息发送至客户端,由客户端对当前启动的应用程序的行为进行监控。
本发明实施例在服务器更新和维护应用程序的行为权限信息,无需在本地配置不同应用程序的行为权限信息,减少了本地***的资源占用,服务器可以快速对应用程序的行为变化做出反应对行为权限信息进行修改,保证了行为权限信息的准确性。
在本发明的另一种可选实施例中,步骤101可以包括如下子步骤:
子步骤S21,提取所述应用程序的第一特征信息;
子步骤S22,将所述第一特征信息发送至服务器;
子步骤S23,接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限配置信息和权限组标识;
子步骤S24,查找在本地预置的,所述权限组标识对应的行为权限基础信息;以及
子步骤S25,利用所述行为权限配置信息对所述行为权限基础信息进行配置,以获得行为权限信息。
在本发明实施例中,可以对应用程序划分一个或多个权限组,每个权限组具有唯一的权限组标识进行识别。
在每个权限组中的应用程序,可能具有相同或相似的行为,但是每个应用程序的行为一般又具有差异性。
例如,下载工具A和下载工具B,都会主动修改开机启动项,也会在后台上传数据,但是下载工具A通过80端口上传,下载工具B通过21端口上传,此外,下载工具B还会调用安全工具对下载的文件进行安全扫描。因此,下载工具A和下载工具B可以归属于同一个权限组。
因此,一方面,可以针对每个权限组配置行为权限基础信息,在该行为权限基础信息中可以记录该权限组中的应用程序的相同或相似的行为所拥有的权限。
具体而言,所述行为权限基础信息可以包括白名单行为基础信息和黑名单行为基础信息中的至少一种。
其中,白名单行为基础信息可以为该权限组中应用程序的不可信的、相同或相似的行为的集合;黑名单行为基础信息可以为该权限组中应用程序的不可信的行为的、相同或相似的行为的集合。
例如,对于下载工具A和下载工具B,由于上传数据一般是用于P2P(Peer-to-Peer,对等网络)数据传输,因此,上传数据都是可信的;主动修改开机启动项不是用户主动请求的,且会占用***资源降低开机速度,因此,主动修改开机启动项都是不可信的。对于下载工具A和下载工具B所属的权限组,上传数据可以写入白名单行为基础信息,主动修改开机启动项可以写入黑名单行为基础信息。
需要说明的是,本领域技术人员可以根据实际情况对白名单行为基础信息和黑名单行为基础信息进行设置,例如,对于下载工具B的调用安全工具的行为,是可信的,若该权限组的其他应用程序大多数具有该行为,则可以写入白名单行为基础信息,若该权限组的其他应用程序大多数不具有该行为,则可以不写入白名单行为基础信息,本发明实施例对此不加以限制。
另一方面,可以针对特定的应用程序配置行为权限配置信息,在该行为权限配置信息中可以记录如何对该特定的应用程序所属的权限组的行为权限基础信息进行配置,以获得该特定应用程序的行为权限信息。
具体而言,所述行为权限配置信息包括白名单行为添加信息、白名单行为删除信息、白名单行为修改信息、黑名单行为添加信息、黑名单行为删除信息、黑名单行为修改信息中的至少一种。
其中,白名单行为添加信息可以指示在白名单行为基础信息中添加指定的特征行为信息;
白名单行为删除信息可以指示在白名单行为基础信息中删除指定的特征行为信息;
白名单行为修改信息可以指示在白名单行为基础信息中修改指定的特征行为信息;
黑名单行为添加信息可以指示在黑名单行为基础信息中添加指定的特征行为信息;
黑名单行为删除信息可以指示在黑名单行为基础信息中删除指定的特征行为信息;
黑名单行为修改信息可以指示在黑名单行为基础信息中修改指定的特征行为信息。
例如,若下载工具A和下载工具B所属的权限组的行为权限基础信息如下:
白名单行为基础信息:上传数据(*端口);
黑名单行为基础信息:主动修改开机启动项;
其中,*为通配符,上传数据(*端口)可以表示允许用任意端口上传数据。
则对于下载工具A,可以在该行为权限基础信息上,需要配置一白名单行为修改信息,以将“上传数据(*端口)”修改为“上传数据(80端口)”,即信任使用80端口上传数据;对于下载工具B,可以在该行为权限基础信息上,需要配置一白名单行为修改信息,以将“上传数据(*端口)”修改为上传“数据(21端口)”,即信任使用21端口上传数据,同时配置一白名单行为添加信息,在白名单行为基础信息添加调用“调用安全工具”,以信任调用安全工具对下载的文件进行安全扫描的行为。
本发明实施例在本地配置行为权限基础信息,由服务器发送的行为权限配置信息进行配置,以获得应用程序的行为权限信息,一方面,由于从服务器获取权限组标识可以获得本地的权限基础信息,无需重复从服务器获取部分的行为权限信息,大大减少了数据的传输量,减少带宽的占用,加快数据的传输速度;另一方面,服务器可以及时对应用程序的行为变化做出反馈,修改行为权限配置信息,保证了应用程序的行为权限信息的准确性。
在本发明实施例的一种可选示例中,子步骤S25可以包括如下子步骤:
子步骤S251,在所述白名单行为基础信息中添加所述白名单行为添加信息对应的特征行为信息。
在本发明实施例中,若接收到白名单行为添加信息,则可以在白名单行为基础信息添加指定的行为信息(即特征行为信息)。
例如,若白名单行为添加信息为“w+修改启动项”,“w”可以指示白名单行为基础信息,“+”可以指示添加操作,“修改启动项”可以为特征行为信息,则在白名单行为基础信息中添加修改启动项的行为。
在本发明实施例的一种可选示例中,子步骤S25可以包括如下子步骤:
子步骤S252,在所述白名单行为基础信息中删除所述白名单行为删除信息对应的特征行为信息。
在本发明实施例中,若接收到白名单行为删除信息,则可以在白名单行为基础信息删除指定的行为信息(即特征行为信息)。
例如,若白名单行为添加信息为“w-修改com接口”,“w”可以指示白名单行为基础信息,“-”可以指示删除操作,“修改com接口”可以为特征行为信息,则在白名单行为基础信息中删除修改com接口的行为。
在本发明实施例的一种可选示例中,子步骤S25可以包括如下子步骤:
子步骤S253,按照所述白名单行为修改信息对所述白名单行为基础信息中的特征行为信息进行修改。
在本发明实施例中,若接收到白名单行为修改信息,则可以对白名单行为基础信息中指定的行为信息(即特征行为信息)进行修改。
例如,若白名单行为基础信息包括访问网络(url:*),白名单行为修改信息为“w|访问网络(url:hao.360.cn)”,“w”可以指示白名单行为基础信息,“|”可以指示修改操作,“访问网络(url:hao.360.cn)”可以为修改的信息,则在白名单行为基础信息中将访问网络(url:*)的行为修改为访问网络(url:hao.360.cn)。
在本发明实施例的一种可选示例中,子步骤S25可以包括如下子步骤:
子步骤S254,在所述黑名单行为基础信息中添加所述黑名单行为添加信息对应的特征行为信息。
在本发明实施例中,若接收到黑名单行为添加信息,则可以在黑名单行为基础信息添加指定的行为信息(即特征行为信息)。
例如,若白名单行为添加信息为“b+添加驱动程序”,“b”可以指示黑名单行为基础信息,“+”可以指示添加操作,“添加驱动程序”可以为特征行为信息,则在黑名单行为基础信息中添加添加驱动程序的行为。
在本发明实施例的一种可选示例中,子步骤S25可以包括如下子步骤:
子步骤S255,在所述黑名单行为基础信息中删除所述黑名单行为删除信息对应的特征行为信息。
在本发明实施例中,若接收到黑名单行为删除信息,则可以在黑名单行为基础信息删除指定的行为信息(即特征行为信息)。
例如,若白名单行为添加信息为“b-发送邮件”,“b”可以指示黑名单行为基础信息,“-”可以指示删除操作,“发送邮件”可以为特征行为信息,则在黑名单行为基础信息中删除发送邮件的行为。
在本发明实施例的一种可选示例中,子步骤S25可以包括如下子步骤:
子步骤S256,按照所述黑名单行为修改信息对所述黑名单行为基础信息中的特征行为信息进行修改。
在本发明实施例中,若接收到黑名单行为修改信息,则可以对黑名单行为基础信息中指定的行为信息(即特征行为信息)进行修改。
例如,若黑名单行为基础信息包括删除应用程序(Id:*),白名单行为添加信息为“b|删除应用程序(Id:安全工具)”,“b”可以指示黑名单行为基础信息,“|”可以指示修操作,“删除应用程序”可以为特征行为信息,则在黑名单行为基础信息中将删除应用程序(Id:*)的行为修改为删除应用程序(Id:安全工具)。
当然,上述行为权限配置信息只是作为示例,在实施本发明实施例时,可以根据实际情况设置其他行为权限配置信息,本发明实施例对此不加以限制。另外,除了上述行为权限配置信息外,本领域技术人员还可以根据实际需要采用其它行为权限配置信息,本发明实施例对此也不加以限制。
需要说明的是,本领域技术人员可以根据实际情况信任哪些应用程序的行为,不信任哪些应用程序的行为,本发明实施例对此不加以限制。
步骤102,监测所述应用程序的行为信息;
在实际应用中,由于应用程序的进程一般是通过操作***提供的API(Application Program Interface,应用程序编程接口)函数来对注册表、文件和创建其他进程等资源来实施操作的,通过对进程调用的这些API进行Hook(挂钩)则可以达到监测的目的。
为使本领域技术人员更好地理解本发明实施例,以下将windows操作***作为API Hook和服务***Hook的一种示例进行说明。
通常,Hook可以分为用户模式API Hook和服务***Hook。
对于API Hook:
IAT(import address table,导入地址表)是windows平台下的可移植的执行体(Portable Executable,PE)格式文件里的一个重要组成部分,其中存放着本PE文件执行过程可能调用到的所有***API的名称。当应用程序的进程运行时,它的可执行文件被调入内存,同时其IAT表的PAI名字会被映射到相应的API在当前进程控件中的函数体入口地址,以后该进程所发出的API调用通过IAT表转跳到相应的API函数体上。
因此,可以在进程载入时修改IAT表,将要截取的API的入口地址转向新的一段代码,这段代码首先将此API调用的函数名和参数记录下来,再转到原来的API真实地址继续执行。即通过修改应用程序内存映像的IAT中API函数的入口地址,就可以达到重定向API的目的。
例如,操作注册表、文件和创建其他进程的API函数如表1所示。
表1
对于服务***Hook:
Windows工作模式分为用户模式和内核模式,用户模式的应用程API调用都是通过调用基于NTDLL.dll的本地***服务,进入内核模式,由***服务调度表根据所传入***服务号在相应的***服务表中查找所需的服务函数入口地址,最终调用内核模式中的***服务来完成真正操作的。
因此,Hook***服务表中所需要监控的***服务,修改***服务表中需要监控的***服务函数指针来指向自定义的***服务函数,则可以达到对整个***范围内的访问控制。
例如,操作注册表、文件和创建其他进程的服务函数如表2所示。
表2
步骤103,按照所述行为权限信息对所述行为信息进行处理。
在本发明实施例中,客户端接收到服务器返回的行为权限信息,则可以按照行为权限信息中对行为的权限的配置,针对应用进程的行为进行监控。
在本发明的一种可选实施例中,步骤103可以包括如下子步骤:
子步骤S31,当所述行为信息与所述行为权限信息中的特征行为信息匹配时,执行所述特征行为信息对应的操作。
应用本发明实施例,可以预先为应用程序的特征行为信息配置对应的处理方式。
当检测出与特征行为信息对应的行为信息时,可以按照预先设定的安理方式进行处理。
在本发明实施例的一种可选示例中,子步骤S31可以包括如下子步骤:
子步骤S311,当所述行为信息与所述白名单行为信息中的特征行为信息匹配时,允许所述行为信息的执行。
在本发明实施例中,白名单行为信息中记录可信行为的特征行为信息,其具有可执行的权限。
当检测出当前应用程序的行为与白名单行为信息中的特征行为信息匹配时,按照可执行的权限,放行该行为的执行。
在本发明实施例的一种可选示例中,子步骤S31可以包括如下子步骤:
子步骤S312,当所述行为信息与所述黑名单行为信息中的特征行为信息匹配时,生成针对所述行为信息的第一提示信息。
在本发明实施例中,黑名单行为信息中记录不可信行为的特征行为信息,其具有不可执行的权限。
当检测出当前应用程序的行为与黑名单行为信息中的特征行为信息匹配时,按照不可执行的权限,拦截该行为的执行,并生成第一提示信息,例如,生成“应用程序C在发送邮件,可能盗取密码,是否阻止”的文字信息,并配置红色的底色和控件“是”和“否”,以提示用户具有危险性的行为在执行。
若接收到针对该第一提示信息返回的允许执行的操作指示,例如,用户点击上述控制“否”,则可以允许该行为的执行。
若接收到针对该第一提示信息返回的禁止执行的操作指示,例如,用户点击上述控件“是”,则可以阻断该行为的执行。
本发明实施例通过白名单行为信息和黑名单行为信息对应用程序的行为进行可信和不可信操作,进一步细化权限的层次,提高了行为监控的准确性。
在本发明的一种可选实施例中,步骤103可以包括如下子步骤:
子步骤S41,当所述行为信息未与所述行为权限信息中的特征行为信息匹配时,生成针对所述行为信息的第二提示信息。
在本发明实施中,若在先未在行为权限信息中记录有该应用程序的行为,如与白名单行为信息中的特征行为信息不匹配,也与黑名单行为信息中的特征行为信息不匹配,则客户端可以生成针对该行为的第二提示信息,例如,“应用程序D正在修改***敏感启动项,是否阻止”,以提示用户敏感的行为在执行。
若接收到针对该第二提示信息返回的允许执行的操作指示,例如,用户点击上述控制“否”,则可以允许该行为的执行。
若接收到针对该第二提示信息返回的禁止执行的操作指示,例如,用户点击上述控件“是”,则可以阻断该行为的执行。
在本发明的一种可选实施例中,步骤103可以包括如下子步骤:
子步骤S51,当所述行为信息未与所述行为权限信息中的特征行为信息匹配时,将所述应用程序的信息和所述行为信息发送至服务器;
子步骤S52,接收所述服务器返回的,针对所述应用程序的信息和所述行为信息的操作信息;以及
子步骤S53,按照所述操作信息进行操作。
在本发明实施中,若在先未在行为权限信息中记录有该应用程序的行为,如与白名单行为信息中的特征行为信息不匹配,也与黑名单行为信息中的特征行为信息不匹配,则客户端将该行为的相关情况上传至服务器,由服务器进行处理并返回操作信息,客户端根据返回的操作信息进行操作。
例如,当服务器分析获得当前行为可能读取用户的账号密码,具有较高的危险性,则可以返回block(冻结、锁定行为的示例),客户端根据该block阻断该行为的执行。
本发明实施例通过将未标记的行为进行提示,或,由服务器进行分析,进一步提高了行为监控的准确性和全面性。
本发明实施例在检测到应用程序的启动操作时,获取该应用程序对应的行为权限信息,对监测到的应用程序的行为信息,按照该行为权限信息进行处理,通过为行为配置行为权限信息,以单个行为作为权限单位,对应用程序进行进行监控,避免了黑白名单对应用程序配置统一权限带来的监控漏洞,实现了细粒度权限控制,增强了保护的强度,降低潜在威胁,亦可以减少误报率。
对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
参照图2,示出了根据本发明一个实施例的一种基于应用程序的行为处理装置实施例的结构框图,具体可以包括如下模块:
权限信息获取模块201,适于在检测到应用程序的启动操作时,获取所述应用程序对应的行为权限信息;
行为信息监测模块202,适于监测所述应用程序的行为信息;以及
处理模块203,适于按照所述行为权限信息对所述行为信息进行处理。
在本发明的一种可选实施例中,所述权限信息获取模块201还可以适于:
提取所述应用程序的第一特征信息;
将所述第一特征信息发送至服务器;以及
接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限信息。
在本发明的一种可选实施例中,所述权限信息获取模块201还可以适于:
提取所述应用程序的第一特征信息;
将所述第一特征信息发送至服务器;
接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限配置信息和权限组标识;
查找在本地预置的,所述权限组标识对应的行为权限基础信息;以及
利用所述行为权限配置信息对所述行为权限基础信息进行配置,以获得行为权限信息。
在本发明实施例的一种可选示例中,所述行为权限信息可以包括白名单行为信息和黑名单行为信息中的至少一种;
所述行为权限配置信息可以包括白名单行为添加信息、白名单行为删除信息、白名单行为修改信息、黑名单行为添加信息、黑名单行为删除信息、黑名单行为修改信息中的至少一种;
所述行为权限基础信息可以包括白名单行为基础信息和黑名单行为基础信息中的至少一种。
在本发明实施例的一种可选示例中,所述权限信息获取模块201还可以适于:
在所述白名单行为基础信息中添加所述白名单行为添加信息对应的特征行为信息。
在本发明实施例的一种可选示例中,所述权限信息获取模块201还可以适于:
在所述白名单行为基础信息中删除所述白名单行为删除信息对应的特征行为信息。
在本发明实施例的一种可选示例中,所述权限信息获取模块201还可以适于:
按照所述白名单行为修改信息对所述白名单行为基础信息中的特征行为信息进行修改。
在本发明实施例的一种可选示例中,所述权限信息获取模块201还可以适于:
在所述黑名单行为基础信息中添加所述黑名单行为添加信息对应的特征行为信息。
在本发明实施例的一种可选示例中,所述权限信息获取模块201还可以适于:
在所述黑名单行为基础信息中删除所述黑名单行为删除信息对应的特征行为信息。
在本发明实施例的一种可选示例中,所述权限信息获取模块201还可以适于:
按照所述黑名单行为修改信息对所述黑名单行为基础信息中的特征行为信息进行修改。
在本发明的一种可选实施例中,所述处理模块203还可以适于:
当所述行为信息与所述行为权限信息中的特征行为信息匹配时,执行所述特征行为信息对应的操作。
在本发明的一种可选实施例中,所述处理模块203还可以适于:
当所述行为信息与所述白名单行为信息中的特征行为信息匹配时,允许所述行为信息的执行。
在本发明的一种可选实施例中,所述处理模块203还可以适于:
当所述行为信息与所述黑名单行为信息中的特征行为信息匹配时,生成针对所述行为信息的第一提示信息。
在本发明的一种可选实施例中,所述处理模块203还可以适于:
当所述行为信息未与所述行为权限信息中的特征行为信息匹配时,生成针对所述行为信息的第二提示信息。
在本发明的一种可选实施例中,所述处理模块203还可以适于:
当所述行为信息未与所述行为权限信息中的特征行为信息匹配时,将所述应用程序的信息和所述行为信息发送至服务器;
接收所述服务器返回的,针对所述应用程序的信息和所述行为信息的操作信息;以及
按照所述操作信息进行操作。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
在此提供的算法和显示不与任何特定计算机、虚拟***或者其它设备固有相关。各种通用***也可以与基于在此的示教一起使用。根据上面的描述,构造这类***所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
相似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的基于应用程序的行为处理设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”或“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明实施例公开了A1、一种基于应用程序的行为处理方法,包括:
当检测到应用程序的启动操作时,获取所述应用程序对应的行为权限信息;
监测所述应用程序的行为信息;以及
按照所述行为权限信息对所述行为信息进行处理。
A2、如A1所述的方法,所述获取所述应用程序对应的行为权限列表的步骤包括:
提取所述应用程序的第一特征信息;
将所述第一特征信息发送至服务器;以及
接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限信息。
A3、如A1所述的方法,所述获取所述应用程序对应的行为权限列表的步骤包括:
提取所述应用程序的第一特征信息;
将所述第一特征信息发送至服务器;
接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限配置信息和权限组标识;
查找在本地预置的,所述权限组标识对应的行为权限基础信息;以及
利用所述行为权限配置信息对所述行为权限基础信息进行配置,以获得行为权限信息。
A4、如A3所述的方法,所述行为权限信息包括白名单行为信息和黑名单行为信息中的至少一种;
所述行为权限配置信息包括白名单行为添加信息、白名单行为删除信息、白名单行为修改信息、黑名单行为添加信息、黑名单行为删除信息、黑名单行为修改信息中的至少一种;以及
所述行为权限基础信息包括白名单行为基础信息和黑名单行为基础信息中的至少一种。
A5、如A4所述的方法,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:
在所述白名单行为基础信息中添加所述白名单行为添加信息对应的特征行为信息。
A6、如A4所述的方法,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:
在所述白名单行为基础信息中删除所述白名单行为删除信息对应的特征行为信息。
A7、如A4所述的方法,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:
按照所述白名单行为修改信息对所述白名单行为基础信息中的特征行为信息进行修改。
A8、如A4所述的方法,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:
在所述黑名单行为基础信息中添加所述黑名单行为添加信息对应的特征行为信息。
A9、如A4所述的方法,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:
在所述黑名单行为基础信息中删除所述黑名单行为删除信息对应的特征行为信息。
A10、如A4所述的方法,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:
按照所述黑名单行为修改信息对所述黑名单行为基础信息中的特征行为信息进行修改。
A11、如A1-A10任一项所述的方法,所述按照所述行为权限信息对所述行为信息进行处理的步骤包括:
当所述行为信息与所述行为权限信息中的特征行为信息匹配时,执行所述特征行为信息对应的操作。
A12、如A11所述的方法,所述当所述行为信息与所述行为权限信息中的特征行为信息匹配时,执行所述特征行为信息对应的操作的步骤包括:
当所述行为信息与所述白名单行为信息中的特征行为信息匹配时,允许所述行为信息的执行。
A13、如A11所述的方法,所述当所述行为信息与所述特征行为信息匹配时,执行所述特征行为信息对应的操作的步骤包括:
当所述行为信息与所述黑名单行为信息中的特征行为信息匹配时,生成针对所述行为信息的第一提示信息。
A14、如A1-A10任一项所述的方法,所述按照所述行为权限信息对所述行为信息进行处理的步骤包括:
当所述行为信息未与所述行为权限信息中的特征行为信息匹配时,生成针对所述行为信息的第二提示信息。
A15、如A1-A10任一项所述的方法,所述按照所述行为权限信息对所述行为信息进行处理的步骤包括:
当所述行为信息未与所述行为权限信息中的特征行为信息匹配时,将所述应用程序的信息和所述行为信息发送至服务器;
接收所述服务器返回的,针对所述应用程序的信息和所述行为信息的操作信息;以及
按照所述操作信息进行操作。
本发明实施例还公开了B16、一种基于应用程序的行为处理装置,包括:
权限信息获取模块,适于在检测到应用程序的启动操作时,获取所述应用程序对应的行为权限信息;
行为信息监测模块,适于监测所述应用程序的行为信息;以及
处理模块,适于按照所述行为权限信息对所述行为信息进行处理。
B17、如B16所述的装置,所述权限信息获取模块还适于:
提取所述应用程序的第一特征信息;
将所述第一特征信息发送至服务器;以及
接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限信息。
B18、如B16所述的装置,所述权限信息获取模块还适于:
提取所述应用程序的第一特征信息;
将所述第一特征信息发送至服务器;
接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限配置信息和权限组标识;
查找在本地预置的,所述权限组标识对应的行为权限基础信息;以及
利用所述行为权限配置信息对所述行为权限基础信息进行配置,以获得行为权限信息。
B19、如B18所述的装置,所述行为权限信息包括白名单行为信息和黑名单行为信息中的至少一种;
所述行为权限配置信息包括白名单行为添加信息、白名单行为删除信息、白名单行为修改信息、黑名单行为添加信息、黑名单行为删除信息、黑名单行为修改信息中的至少一种;以及
所述行为权限基础信息包括白名单行为基础信息和黑名单行为基础信息中的至少一种。
B20、如B19所述的装置,所述权限信息获取模块还适于:
在所述白名单行为基础信息中添加所述白名单行为添加信息对应的特征行为信息。
B21、如B19所述的装置,所述权限信息获取模块还适于:
在所述白名单行为基础信息中删除所述白名单行为删除信息对应的特征行为信息。
B22、如B19所述的装置,所述权限信息获取模块还适于:
按照所述白名单行为修改信息对所述白名单行为基础信息中的特征行为信息进行修改。
B23、如B19所述的装置,所述权限信息获取模块还适于:
在所述黑名单行为基础信息中添加所述黑名单行为添加信息对应的特征行为信息。
B24、如B19所述的装置,所述权限信息获取模块还适于:
在所述黑名单行为基础信息中删除所述黑名单行为删除信息对应的特征行为信息。
B25、如B19所述的装置,所述权限信息获取模块还适于:
按照所述黑名单行为修改信息对所述黑名单行为基础信息中的特征行为信息进行修改。
B26、如B16-B25任一项所述的装置,所述处理模块还适于:
当所述行为信息与所述行为权限信息中的特征行为信息匹配时,执行所述特征行为信息对应的操作。
B27、如B26所述的装置,所述处理模块还适于:
当所述行为信息与所述白名单行为信息中的特征行为信息匹配时,允许所述行为信息的执行。
B28、如B26所述的装置,所述处理模块还适于:
当所述行为信息与所述黑名单行为信息中的特征行为信息匹配时,生成针对所述行为信息的第一提示信息。
B29、如B16-B25任一项所述的装置,所述处理模块还适于:
当所述行为信息未与所述行为权限信息中的特征行为信息匹配时,生成针对所述行为信息的第二提示信息。
B30、如B16-B25任一项所述的装置,所述处理模块还适于:
当所述行为信息未与所述行为权限信息中的特征行为信息匹配时,将所述应用程序的信息和所述行为信息发送至服务器;
接收所述服务器返回的,针对所述应用程序的信息和所述行为信息的操作信息;以及
按照所述操作信息进行操作。
Claims (10)
1.一种基于应用程序的行为处理方法,包括:
当检测到应用程序的启动操作时,获取所述应用程序对应的行为权限信息;
监测所述应用程序的行为信息;以及
按照所述行为权限信息对所述行为信息进行处理。
2.如权利要求1所述的方法,其特征在于,所述获取所述应用程序对应的行为权限列表的步骤包括:
提取所述应用程序的第一特征信息;
将所述第一特征信息发送至服务器;以及
接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限信息。
3.如权利要求1所述的方法,其特征在于,所述获取所述应用程序对应的行为权限列表的步骤包括:
提取所述应用程序的第一特征信息;
将所述第一特征信息发送至服务器;
接收所述服务器在判断所述第一特征信息与预置的第二特征信息匹配时,返回的所述第二特征信息对应的行为权限配置信息和权限组标识;
查找在本地预置的,所述权限组标识对应的行为权限基础信息;以及
利用所述行为权限配置信息对所述行为权限基础信息进行配置,以获得行为权限信息。
4.如权利要求3所述的方法,其特征在于,
所述行为权限信息包括白名单行为信息和黑名单行为信息中的至少一种;
所述行为权限配置信息包括白名单行为添加信息、白名单行为删除信息、白名单行为修改信息、黑名单行为添加信息、黑名单行为删除信息、黑名单行为修改信息中的至少一种;以及
所述行为权限基础信息包括白名单行为基础信息和黑名单行为基础信息中的至少一种。
5.如权利要求4所述的方法,其特征在于,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:
在所述白名单行为基础信息中添加所述白名单行为添加信息对应的特征行为信息。
6.如权利要求4所述的方法,其特征在于,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:
在所述白名单行为基础信息中删除所述白名单行为删除信息对应的特征行为信息。
7.如权利要求4所述的方法,其特征在于,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:
按照所述白名单行为修改信息对所述白名单行为基础信息中的特征行为信息进行修改。
8.如权利要求4所述的方法,其特征在于,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:
在所述黑名单行为基础信息中添加所述黑名单行为添加信息对应的特征行为信息。
9.如权利要求4所述的方法,其特征在于,所述采用所述行为权限配置信息对所述行为权限基础信息进行配置,获得行为权限信息的步骤包括:
在所述黑名单行为基础信息中删除所述黑名单行为删除信息对应的特征行为信息。
10.一种基于应用程序的行为处理装置,包括:
权限信息获取模块,适于在检测到应用程序的启动操作时,获取所述应用程序对应的行为权限信息;
行为信息监测模块,适于监测所述应用程序的行为信息;以及
处理模块,适于按照所述行为权限信息对所述行为信息进行处理。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410784726.9A CN104484599B (zh) | 2014-12-16 | 2014-12-16 | 一种基于应用程序的行为处理方法和装置 |
| US15/536,773 US20170346843A1 (en) | 2014-12-16 | 2015-11-24 | Behavior processing method and device based on application program |
| PCT/CN2015/095454 WO2016095673A1 (zh) | 2014-12-16 | 2015-11-24 | 一种基于应用程序的行为处理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410784726.9A CN104484599B (zh) | 2014-12-16 | 2014-12-16 | 一种基于应用程序的行为处理方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104484599A true CN104484599A (zh) | 2015-04-01 |
| CN104484599B CN104484599B (zh) | 2017-12-12 |
Family
ID=52759140
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410784726.9A Expired - Fee Related CN104484599B (zh) | 2014-12-16 | 2014-12-16 | 一种基于应用程序的行为处理方法和装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20170346843A1 (zh) |
| CN (1) | CN104484599B (zh) |
| WO (1) | WO2016095673A1 (zh) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104794374A (zh) * | 2015-04-16 | 2015-07-22 | 香港中文大学深圳研究院 | 一种用于安卓***的应用权限管理方法和装置 |
| CN104850778A (zh) * | 2015-05-04 | 2015-08-19 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
| CN105354487A (zh) * | 2015-10-23 | 2016-02-24 | 北京金山安全软件有限公司 | 应用监控处理方法、装置及终端设备 |
| CN105549979A (zh) * | 2015-12-24 | 2016-05-04 | 北京奇虎科技有限公司 | 基于局域网的账户控制方法和装置 |
| CN105608372A (zh) * | 2016-01-15 | 2016-05-25 | 百度在线网络技术(北京)有限公司 | 一种检测应用被杀毒软件报毒的方法和装置 |
| WO2016095673A1 (zh) * | 2014-12-16 | 2016-06-23 | 北京奇虎科技有限公司 | 一种基于应用程序的行为处理方法和装置 |
| CN106355084A (zh) * | 2016-08-31 | 2017-01-25 | 上海斐讯数据通信技术有限公司 | 基于回调机制的安卓组权限管理方法及*** |
| CN106599722A (zh) * | 2016-12-14 | 2017-04-26 | 北京奇虎科技有限公司 | 智能终端及其应用程序权限控制方法、装置和服务器 |
| CN106778089A (zh) * | 2016-12-01 | 2017-05-31 | 联信摩贝软件(北京)有限公司 | 一种对软件权限和行为进行安全管控的***和方法 |
| CN106909833A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 一种安全防护方法和装置 |
| CN107256172A (zh) * | 2017-06-21 | 2017-10-17 | 深圳天珑无线科技有限公司 | 一种配置终端的方法及装置 |
| CN107480518A (zh) * | 2016-06-07 | 2017-12-15 | 华为终端(东莞)有限公司 | 一种白名单更新方法和装置 |
| CN107832590A (zh) * | 2017-11-06 | 2018-03-23 | 珠海市魅族科技有限公司 | 终端控制方法及装置、终端及计算机可读存储介质 |
| CN107911480A (zh) * | 2017-12-08 | 2018-04-13 | 前海联大(深圳)技术有限公司 | 一种pos终端信息安全的增强方法 |
| CN108021590A (zh) * | 2016-10-28 | 2018-05-11 | 阿里巴巴集团控股有限公司 | 一种目标对象属性确定方法、属性更新方法及装置 |
| CN108255647A (zh) * | 2018-01-18 | 2018-07-06 | 湖南麒麟信安科技有限公司 | 一种samba服务器集群下的高速数据备份方法 |
| CN108647070A (zh) * | 2018-04-18 | 2018-10-12 | Oppo广东移动通信有限公司 | 信息提醒方法、装置、移动终端和计算机可读介质 |
| US10104107B2 (en) | 2015-05-11 | 2018-10-16 | Qualcomm Incorporated | Methods and systems for behavior-specific actuation for real-time whitelisting |
| CN109743315A (zh) * | 2018-05-04 | 2019-05-10 | 360企业安全技术(珠海)有限公司 | 针对网站的行为识别方法、装置、设备及可读存储介质 |
| CN109871691A (zh) * | 2018-06-26 | 2019-06-11 | 360企业安全技术(珠海)有限公司 | 基于权限的进程管理方法、***、设备及可读存储介质 |
| CN110062106A (zh) * | 2019-03-27 | 2019-07-26 | 努比亚技术有限公司 | 一种应用程序的调用方法、移动终端及存储介质 |
| CN110110503A (zh) * | 2019-04-28 | 2019-08-09 | 北京奇安信科技有限公司 | 一种针对软件的管控特定行为的方法及装置 |
| CN110309661A (zh) * | 2019-04-19 | 2019-10-08 | 中国科学院信息工程研究所 | 一种基于控制流的敏感数据使用权限管理方法及装置 |
| CN112749393A (zh) * | 2019-10-31 | 2021-05-04 | 中国电信股份有限公司 | 安全控制方法、安全控制***、安全控制装置及存储介质 |
| CN116842505A (zh) * | 2023-04-13 | 2023-10-03 | 博智安全科技股份有限公司 | 基于windows操作***进程可信域构建方法、装置及存储介质 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10963565B1 (en) * | 2015-10-29 | 2021-03-30 | Palo Alto Networks, Inc. | Integrated application analysis and endpoint protection |
| US10769267B1 (en) * | 2016-09-14 | 2020-09-08 | Ca, Inc. | Systems and methods for controlling access to credentials |
| US10592676B2 (en) * | 2016-10-28 | 2020-03-17 | Tala Security, Inc. | Application security service |
| CN106778331A (zh) * | 2016-11-29 | 2017-05-31 | 广东电网有限责任公司信息中心 | 一种应用程序的监控方法、装置及*** |
| JP6829168B2 (ja) * | 2017-09-04 | 2021-02-10 | 株式会社東芝 | 情報処理装置、情報処理方法およびプログラム |
| US11507653B2 (en) * | 2018-08-21 | 2022-11-22 | Vmware, Inc. | Computer whitelist update service |
| CN112395593B (zh) * | 2019-08-15 | 2024-03-29 | 奇安信安全技术(珠海)有限公司 | 指令执行序列的监测方法及装置、存储介质、计算机设备 |
| CN110995422B (zh) * | 2019-11-29 | 2023-02-03 | 深信服科技股份有限公司 | 一种数据分析方法、***、设备及计算机可读存储介质 |
| CN111695092A (zh) * | 2020-05-29 | 2020-09-22 | 腾讯科技(深圳)有限公司 | 权限管理方法、装置、电子设备及介质 |
| CN113763616B (zh) * | 2021-08-20 | 2023-03-28 | 太原市高远时代科技有限公司 | 一种基于多传感器的无感安全型户外机箱门禁***及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101309279A (zh) * | 2008-07-07 | 2008-11-19 | 华为技术有限公司 | 终端访问的控制方法、***和设备 |
| CN101321306A (zh) * | 2008-06-16 | 2008-12-10 | 华为技术有限公司 | 创建业务、部署业务的方法、装置 |
| CN101729594A (zh) * | 2009-11-10 | 2010-06-09 | 中兴通讯股份有限公司 | 一种远程配置控制方法和*** |
| CN103309790A (zh) * | 2013-07-04 | 2013-09-18 | 福建伊时代信息科技股份有限公司 | 移动终端监控方法和装置 |
| CN103514397A (zh) * | 2013-09-29 | 2014-01-15 | 西安酷派软件科技有限公司 | 一种服务器、终端及权限管理、许可方法 |
| CN103906045A (zh) * | 2013-12-25 | 2014-07-02 | 武汉安天信息技术有限责任公司 | 一种移动终端隐私窃取行为的监控方法及*** |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130097660A1 (en) * | 2011-10-17 | 2013-04-18 | Mcafee, Inc. | System and method for whitelisting applications in a mobile network environment |
| CN103218552B (zh) * | 2012-01-19 | 2016-01-20 | 华为终端有限公司 | 基于用户行为的安全管理方法及装置 |
| KR101907529B1 (ko) * | 2012-09-25 | 2018-12-07 | 삼성전자 주식회사 | 사용자 디바이스에서 어플리케이션 관리 방법 및 장치 |
| CN103761472B (zh) * | 2014-02-21 | 2017-05-24 | 北京奇虎科技有限公司 | 基于智能终端设备的应用程序访问方法与装置 |
| CN104484599B (zh) * | 2014-12-16 | 2017-12-12 | 北京奇虎科技有限公司 | 一种基于应用程序的行为处理方法和装置 |
-
2014
- 2014-12-16 CN CN201410784726.9A patent/CN104484599B/zh not_active Expired - Fee Related
-
2015
- 2015-11-24 US US15/536,773 patent/US20170346843A1/en not_active Abandoned
- 2015-11-24 WO PCT/CN2015/095454 patent/WO2016095673A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101321306A (zh) * | 2008-06-16 | 2008-12-10 | 华为技术有限公司 | 创建业务、部署业务的方法、装置 |
| CN101309279A (zh) * | 2008-07-07 | 2008-11-19 | 华为技术有限公司 | 终端访问的控制方法、***和设备 |
| CN101729594A (zh) * | 2009-11-10 | 2010-06-09 | 中兴通讯股份有限公司 | 一种远程配置控制方法和*** |
| CN103309790A (zh) * | 2013-07-04 | 2013-09-18 | 福建伊时代信息科技股份有限公司 | 移动终端监控方法和装置 |
| CN103514397A (zh) * | 2013-09-29 | 2014-01-15 | 西安酷派软件科技有限公司 | 一种服务器、终端及权限管理、许可方法 |
| CN103906045A (zh) * | 2013-12-25 | 2014-07-02 | 武汉安天信息技术有限责任公司 | 一种移动终端隐私窃取行为的监控方法及*** |
Cited By (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016095673A1 (zh) * | 2014-12-16 | 2016-06-23 | 北京奇虎科技有限公司 | 一种基于应用程序的行为处理方法和装置 |
| CN104794374B (zh) * | 2015-04-16 | 2018-01-05 | 香港中文大学深圳研究院 | 一种用于安卓***的应用权限管理方法和装置 |
| CN104794374A (zh) * | 2015-04-16 | 2015-07-22 | 香港中文大学深圳研究院 | 一种用于安卓***的应用权限管理方法和装置 |
| CN104850778A (zh) * | 2015-05-04 | 2015-08-19 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
| US10104107B2 (en) | 2015-05-11 | 2018-10-16 | Qualcomm Incorporated | Methods and systems for behavior-specific actuation for real-time whitelisting |
| CN105354487A (zh) * | 2015-10-23 | 2016-02-24 | 北京金山安全软件有限公司 | 应用监控处理方法、装置及终端设备 |
| CN105354487B (zh) * | 2015-10-23 | 2018-10-16 | 北京金山安全软件有限公司 | 应用监控处理方法、装置及终端设备 |
| CN106909833A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 一种安全防护方法和装置 |
| CN105549979B (zh) * | 2015-12-24 | 2019-05-21 | 北京奇虎科技有限公司 | 基于局域网的账户控制方法和装置 |
| CN105549979A (zh) * | 2015-12-24 | 2016-05-04 | 北京奇虎科技有限公司 | 基于局域网的账户控制方法和装置 |
| CN105608372B (zh) * | 2016-01-15 | 2019-07-23 | 百度在线网络技术(北京)有限公司 | 一种检测应用被杀毒软件报毒的方法和装置 |
| CN105608372A (zh) * | 2016-01-15 | 2016-05-25 | 百度在线网络技术(北京)有限公司 | 一种检测应用被杀毒软件报毒的方法和装置 |
| CN107480518A (zh) * | 2016-06-07 | 2017-12-15 | 华为终端(东莞)有限公司 | 一种白名单更新方法和装置 |
| CN106355084B (zh) * | 2016-08-31 | 2019-08-20 | 上海斐讯数据通信技术有限公司 | 基于回调机制的安卓组权限管理方法及*** |
| CN106355084A (zh) * | 2016-08-31 | 2017-01-25 | 上海斐讯数据通信技术有限公司 | 基于回调机制的安卓组权限管理方法及*** |
| CN108021590A (zh) * | 2016-10-28 | 2018-05-11 | 阿里巴巴集团控股有限公司 | 一种目标对象属性确定方法、属性更新方法及装置 |
| CN108021590B (zh) * | 2016-10-28 | 2022-01-18 | 斑马智行网络(香港)有限公司 | 一种目标对象属性确定方法、属性更新方法及装置 |
| CN106778089A (zh) * | 2016-12-01 | 2017-05-31 | 联信摩贝软件(北京)有限公司 | 一种对软件权限和行为进行安全管控的***和方法 |
| WO2018108050A1 (zh) * | 2016-12-14 | 2018-06-21 | 北京奇虎科技有限公司 | 智能终端及其应用程序权限控制方法、装置和服务器 |
| CN106599722A (zh) * | 2016-12-14 | 2017-04-26 | 北京奇虎科技有限公司 | 智能终端及其应用程序权限控制方法、装置和服务器 |
| CN107256172A (zh) * | 2017-06-21 | 2017-10-17 | 深圳天珑无线科技有限公司 | 一种配置终端的方法及装置 |
| CN107832590A (zh) * | 2017-11-06 | 2018-03-23 | 珠海市魅族科技有限公司 | 终端控制方法及装置、终端及计算机可读存储介质 |
| CN107911480A (zh) * | 2017-12-08 | 2018-04-13 | 前海联大(深圳)技术有限公司 | 一种pos终端信息安全的增强方法 |
| CN108255647A (zh) * | 2018-01-18 | 2018-07-06 | 湖南麒麟信安科技有限公司 | 一种samba服务器集群下的高速数据备份方法 |
| CN108255647B (zh) * | 2018-01-18 | 2021-03-23 | 湖南麒麟信安科技股份有限公司 | 一种samba服务器集群下的高速数据备份方法 |
| CN108647070A (zh) * | 2018-04-18 | 2018-10-12 | Oppo广东移动通信有限公司 | 信息提醒方法、装置、移动终端和计算机可读介质 |
| CN109743315A (zh) * | 2018-05-04 | 2019-05-10 | 360企业安全技术(珠海)有限公司 | 针对网站的行为识别方法、装置、设备及可读存储介质 |
| CN109743315B (zh) * | 2018-05-04 | 2021-10-22 | 360企业安全技术(珠海)有限公司 | 针对网站的行为识别方法、装置、设备及可读存储介质 |
| CN109871691B (zh) * | 2018-06-26 | 2021-07-20 | 360企业安全技术(珠海)有限公司 | 基于权限的进程管理方法、***、设备及可读存储介质 |
| CN109871691A (zh) * | 2018-06-26 | 2019-06-11 | 360企业安全技术(珠海)有限公司 | 基于权限的进程管理方法、***、设备及可读存储介质 |
| CN110062106A (zh) * | 2019-03-27 | 2019-07-26 | 努比亚技术有限公司 | 一种应用程序的调用方法、移动终端及存储介质 |
| CN110062106B (zh) * | 2019-03-27 | 2021-10-15 | 努比亚技术有限公司 | 一种应用程序的调用方法、移动终端及存储介质 |
| CN110309661A (zh) * | 2019-04-19 | 2019-10-08 | 中国科学院信息工程研究所 | 一种基于控制流的敏感数据使用权限管理方法及装置 |
| CN110309661B (zh) * | 2019-04-19 | 2021-07-16 | 中国科学院信息工程研究所 | 一种基于控制流的敏感数据使用权限管理方法及装置 |
| CN110110503A (zh) * | 2019-04-28 | 2019-08-09 | 北京奇安信科技有限公司 | 一种针对软件的管控特定行为的方法及装置 |
| CN112749393A (zh) * | 2019-10-31 | 2021-05-04 | 中国电信股份有限公司 | 安全控制方法、安全控制***、安全控制装置及存储介质 |
| CN116842505A (zh) * | 2023-04-13 | 2023-10-03 | 博智安全科技股份有限公司 | 基于windows操作***进程可信域构建方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170346843A1 (en) | 2017-11-30 |
| CN104484599B (zh) | 2017-12-12 |
| WO2016095673A1 (zh) | 2016-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104484599A (zh) | 一种基于应用程序的行为处理方法和装置 | |
| US11853414B2 (en) | Mitigation of return-oriented programming attacks | |
| US11095669B2 (en) | Forensic analysis of computing activity | |
| US10516531B2 (en) | Key management for compromised enterprise endpoints | |
| Wei et al. | Deep ground truth analysis of current android malware | |
| US9596257B2 (en) | Detection and prevention of installation of malicious mobile applications | |
| US10868821B2 (en) | Electronic mail security using a heartbeat | |
| US10482260B1 (en) | In-line filtering of insecure or unwanted mobile device software components or communications | |
| US10972483B2 (en) | Electronic mail security using root cause analysis | |
| US9210182B2 (en) | Behavioral-based host intrusion prevention system | |
| US9967264B2 (en) | Threat detection using a time-based cache of reputation information on an enterprise endpoint | |
| US9992228B2 (en) | Using indications of compromise for reputation based network security | |
| US10122687B2 (en) | Firewall techniques for colored objects on endpoints | |
| US9965627B2 (en) | Labeling objects on an endpoint for encryption management | |
| CN110851241A (zh) | Docker容器环境的安全防护方法、装置及*** | |
| US11882134B2 (en) | Stateful rule generation for behavior based threat detection | |
| CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
| US20110023115A1 (en) | Host intrusion prevention system using software and user behavior analysis | |
| CN104517054A (zh) | 一种检测恶意apk的方法、装置、客户端和服务器 | |
| US11853425B2 (en) | Dynamic sandbox scarecrow for malware management | |
| WO2019122832A1 (en) | Electronic mail security using a user-based inquiry | |
| US10546125B1 (en) | Systems and methods for detecting malware using static analysis | |
| Faruki | Techniques For Analysis And Detection Of Android Malware... | |
| Patel et al. | Malware Detection Using Yara Rules in SIEM | |
| Sarkar | Android Application Development: A Brief Analysis of Android Architecture, Evaluation of Security Loopholes and Development of Preventive Mechanisms |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171212 Termination date: 20211216 |