CN105791221B - 规则下发方法及装置 - Google Patents
规则下发方法及装置 Download PDFInfo
- Publication number
- CN105791221B CN105791221B CN201410806644.XA CN201410806644A CN105791221B CN 105791221 B CN105791221 B CN 105791221B CN 201410806644 A CN201410806644 A CN 201410806644A CN 105791221 B CN105791221 B CN 105791221B
- Authority
- CN
- China
- Prior art keywords
- rule
- program
- server
- behavior
- rules
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种规则下发方法及装置,该方法包括:监控设备中每一程序对应的程序行为;采用预设的行为触发条件判断当前程序对应的程序行为是否符合规则触发标识;如果所述程序行为符合所述规则触发标识,向服务器发送规则请求,以使服务器根据所述规则请求查找与该规则触发标识对应的规则;接收服务器发送的规则,采用所述服务器发送的规则对所述当前程序对应的程序行为进行监控。该方法针对规则触发标识下发程序行为的规则比现有不针对规则触发标识下发程序行为的规则,在减少规则下发量的同时,降低了***内存的占用,提升了用户体验。
Description
技术领域
本发明涉及互联网技术领域,具体涉及一种规则下发方法及装置。
背景技术
主动防御是基于程序行为自主分析判断,以防御恶意程序的实时防护技术。恶意程序是一个概括性的术语,指任何故意创建用来执行未经授权并通常是有害行为的软件程序。计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒、木马、犯罪软件、间谍软件和广告软件等等,都可以称之为恶意程序。
主动防御在进行恶意程序防御时,不以文件特征值作为判断恶意程序的依据,而是从最原始的定义出发,直接将程序的行为作为判断恶意程序的依据。以基于主机的入侵防御***(Host-based Intrusion Prevention System,简称HIPS)为例,HIPS是一种能监控计算机中文件的运行和文件运行了其他的文件以及文件对注册表的修改,并发出报告请求允许运行或修改的主动防御软件。
然而当某个程序触发某个行为的时候,云端会下发许多关于执行该程序的防御规则,大量的规则占用了较多的***内存,造成***启动速度变慢,导致用户体验差。
发明内容
针对现有技术中的缺陷,本发明提供了一种规则下发方法及装置,解决了现有技术的设备中因下发大量的规则占用较多的***内存,提升了用户体验。
第一方面,本发明提供了一种规则下发装置,包括:
监控模块,用于监控设备中每一程序对应的程序行为;
判断模块,用于采用预设的行为触发条件判断当前程序对应的程序行为是否符合规则触发标识;
第一发送模块,用于在所述程序行为符合所述规则触发标识时,向服务器发送规则请求,以使服务器根据所述规则请求查找与该规则触发标识对应的规则;
第一接收模块,用于接收服务器发送的规则,采用所述服务器发送的规则对所述当前程序对应的程序行为进行监控。
可选的,所述装置还包括第二发送模块,用于在所述服务器发送的部分/全部规则不匹配监控到的所述当前程序对应的程序行为时,向服务器发送与所述部分/全部规则对应的规则撤销请求,以使服务器根据所述规则撤销请求发送所述部分/全部规则的删除指令;
第二接收模块,用于接收服务器发送的删除指令,根据所述删除指令将所述部分/全部规则删除。
可选的,所述预设的行为触发条件为服务器根据多个设备中的程序对应的程序行为统计的,并预先发送设备的行为触发条件;
所述行为触发条件中包括:每一程序对应的程序行为,和与该程序行为对应的规则触发标识。
可选的,所述装置还包括:
第三接收模块,用于接收所述服务器发送的用于删除所述设备中不使用规则的规则删除指令,所述规则删除指令包括:所述服务器发送到所述设备中的规则删除标识;
确定模块,用于查找所述设备中与所述规则删除标识匹配的规则,并确定该规则已经不再监控当前程序的程序行为,则根据所述规则删除指令将该规则删除。
可选的,接收服务器发送的规则为防御规则、文件防御规则、拦截规则、数据处理规则;
所述程序行为包括:进程创建、线程创建、文件读写操作、注册表读写操作、注册表改写操作、堆栈操作、网络通讯、和/或,线程注入的操作。
第二方面,本发明提供了一种规则下发方法,包括:
监控设备中每一程序对应的程序行为;
采用预设的行为触发条件判断当前程序对应的程序行为是否符合规则触发标识;
如果所述程序行为符合所述规则触发标识,向服务器发送规则请求,以使服务器根据所述规则请求查找与该规则触发标识对应的规则;
接收服务器发送的规则,采用所述服务器发送的规则对所述当前程序对应的程序行为进行监控。
可选的,所述方法还包括:
若所述服务器发送的部分/全部规则不匹配监控到的所述当前程序对应的程序行为,则向服务器发送与所述部分/全部规则对应的规则撤销请求,以使服务器根据所述规则撤销请求发送所述部分/全部规则的删除指令;
接收服务器发送的删除指令,根据所述删除指令将所述部分/全部规则删除。
可选的,所述预设的行为触发条件为服务器根据多个设备中的程序对应的程序行为统计的,并预先发送设备的行为触发条件;
所述行为触发条件中包括:每一程序对应的程序行为,和与该程序行为对应的规则触发标识。
可选的,所述方法还包括:
接收所述服务器发送的用于删除所述设备中不使用规则的规则删除指令,所述规则删除指令包括:所述服务器发送到所述设备中的规则删除标识;
查找所述设备中与所述规则删除标识匹配的规则,并确定该规则已经不再监控当前程序的程序行为,则根据所述规则删除指令将该规则删除。
可选的,接收服务器发送的规则为防御规则、文件防御规则、拦截规则、数据处理规则;
所述程序行为包括:进程创建、线程创建、文件读写操作、注册表读写操作、注册表改写操作、堆栈操作、网络通讯、和/或,线程注入的操作。
由上述技术方案可知,本发明提供的一种规则下发方法及装置,该装置通过监控设备中的每一程序对应的程序行为,当采用预设的行为触发条件判断当前程序对应的程序行为符合规则触发标识时,使云端服务器根据该规则触发标识下发与该规则触发标识对应的规则,在接收该规则后根据该规则监控当前程序对应的程序行为,由此,可不预先将设备使用的所有规则下发,进而可减少规则下发量,降低了设备中***内存的占用,提升了用户体验。
附图说明
图1为本发明一实施例提供的规则下发方法的流程示意图;
图2A和图2B为本发明另一实施例提供的规则下发方法的流程示意图;
图3A和图3B为本发明另一实施例提供的规则下发方法的流程示意图;
图4为本发明另一实施例提供的规则下发方法的流程示意图;
图5为本发明一实施例提供的规则下发装置的结构示意图;
图6为本发明另一实施例提供的规则下发装置的结构示意图;
图7为本发明另一实施例提供的规则下发装置的结构示意图。
具体实施方式
下面结合附图,对发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
图1示出了本发明实施例提供的规则下发方法的流程示意图,如图1所示,该规则下发方法包括如下步骤:
101、监控设备中每一程序对应的程序行为;
本实施例中的设备,如手机、个人计算机、平板电脑、台式机、任一具有操作***的设备/管理设备等;
上述程序可以包括:“即时聊天程序、视频通话程序、在线游戏程序、下载软件程序、安全检测程序、群发信息程序等。102、采用预设的行为触发条件判断当前程序对应的程序行为是否符合规则触发标识;
举例来说,本实施例中的规则触发标识可以为启动程序时触发的规则下载的标识,例如,写某个程序注册表项的规则触发标识、或进行某个网络通讯的规则触发标识等。
该触发标识如为启动程序的规则触发标识时,也可以这样定义:
例如:即时聊天程序中,在启动该即时聊天程序建立进程时,该建立进程的程序行为对应有第一规则触发标识;由此,可确定当前程序对应的程序行为符合第一规则触发标识,进而可执行下述的步骤103。
或者,在即时聊天程序中需要发送照片时,该发送照片的程序行为对应有第二规则触发标识等。
上述触发标识以及触发标识的定义,仅用作举例说明,本实施例并不对其进行具体的限定。
103、如果所述程序行为符合所述规则触发标识,向服务器发送规则请求,以使服务器根据所述规则请求查找与该规则触发标识对应的规则;
在本实施例中,上述服务器可为云端服务器,云端服务器根据规则请求查找与该规则触发标识对应的规则,云端服务器查找的规则为设备中当前程序对应的程序行为的下一步最有可能执行的行为规则。
具体的,在监控设备的程序对应的程序行为,通过预设的行为触发条件发现该设备当前程序对应的程序行为符合启动程序的规则触发标识,则直接向云端服务器发送获取启动某个程序的规则请求。比如启动一个程序安装包,则在此程序安装包安装程序启动之后,下一步最有可能执行的行为包括注册进程、加载其他应用安装程序等操作,此时云端服务器会将注册进程、加载其他应用安装程序等的对应的安全规则下发。
104、接收服务器发送的规则,采用所述服务器发送的规则对所述当前程序对应的程序行为进行监控。
在具体应用中,上述接收云服务器发送的规则可以为防御规则、文件防御规则、拦截规则、数据处理规则。
上述防御规则例如应用程序防御体系(Application Defend,简称AD)、注册表防御体系(Registry Defend,简称RD),其中,AD用于对一些应用程序的启动或者运行过程等进行监视,RD用于对常见的***敏感注册表项进行监视。
文件防御规则例如:文件防御体系(File Defend,简称FD),通过可制定的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并确定允许或禁止。FD用于监视***敏感目录的文件(如HOSTS)操作,如修改删除***目录里的任何文件或创建新文件等,也可以用来发现被驱动木马隐藏的文件本体。
拦截规则可以包括基于某个程序启动的拦截、启动某个程序后附带广告的拦截,某个程序操作权限的拦截等。
以权限拦截规则为例,权限拦截规则为Appstore(应用商店)的安全管理员根据开发人员上传的应用程序审核的结果,比如一个记事本程序在启动时却要求自己拥有读取通讯录的权限,那么安全管理员在将这个应用程序添加到Appstore的同时,会将这个应用程序的权限拦截规则添加至云端服务器,这时接收SecurityGuard上传的信息。网络管理员的设置的权限拦截规则不能代表用户的意志,SecurityGuard会将用户自行设定的权限拦截规则上传至云端服务器,云端服务器自动分析这些消息,然后计算每个权限的用户拦截率,用于提示新安装应用程序的用户。
如果每个权限的用户拦截率超过预设值的话,则在该记事本程序启动想要读取通讯录的权限时,对其进行拦截;另一种可能的情况下,如果每个权限的用户拦截率未超过预设值的话,则采用该规则在该记事本程序启动想要读取通讯录的权限时,不对其进行拦截,但是会给用户设备发送一个提示消息,以帮助用户了解此应用程序启动的程序行为时,该应用程序启动所对应的哪些程序行为是存在潜在危害的。
上述数据处理规则与上述防御规则、文件防御规则、拦截规则类似,本实施例不再进行举例说明。
本实施例中的上述方法通过监控设备中的每一程序对应的程序行为,当采用预设的行为触发条件判断当前程序对应的程序行为符合规则触发标识时,使云端服务器根据该规则触发标识下发与该规则触发标识对应的规则,在接收该规则后根据该规则监控当前程序对应的程序行为,该装置针对规则触发标识下发程序行为的规则比现有不针对规则触发标识下发程序行为的规则,在减少规则下发量的同时,降低了***内存的占用,提升了用户体验。
图2A示出了本发明另一实施例提供的规则下发方法的流程示意图,如图2A所示,该规则下发方法包括如下步骤:
201、监控设备中每一程序对应的程序行为;
具体的,该程序行为包括:进程创建、线程创建、文件读写操作、注册表读写操作、注册表改写操作、堆栈操作、网络通讯、和/或,线程注入的操作。
例如上述程序行为为进程创建,可以为监控程序的启动目录startup目录,例如,体验(experience,简称XP)***所有程序的startup目录:“C:\Documents and Settings\All Users\[开始]菜单\程序\启动”;
注册表项的改写程序,如
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run,其中Run是注册表中的键;
HKEY_LOCAL_MACHINE\Systm\CurrentcontrolSet\Services\*\[I magePath],其中ImagePath是一个值,对应服务/驱动的路径。
202、采用预设的行为触发条件判断当前程序对应的程序行为是否符合规则触发标识;
本实施例中的预设的行为触发条件为云端服务器根据多个设备中的程序对应的程序行为统计的,并预先发送设备的行为触发条件;
在具体应用中,云端服务器会对多个设备中的程序对应的程序行为统计后,实时或定时的发送到所述设备,其中该预设的行为触发条件包括该设备中所有程序对应的程序行为的触发条件。
所述行为触发条件中包括:每一程序对应的程序行为,和与该程序行为对应的规则触发标识。
具体的,与该程序行为对应的规则触发标识包括以下中的一种或多种:文件名、文件路径、文件大小、文件内部名、文件信息摘要算法、文件签名公司信息、文件修改时间、文件创建时间、文件属性、服务名称、注册表位置。
当上述触发标识包括多个时,多个触发标识按照预设的组合规则组合得到的字符串。
举例来说,触发标识为文件大小、文件信息摘要算法和文件属性,其中文件大小为1M、文件信息摘要算法MD5=d41d8cd98f00b204e9800998ecf8427、文件属性为只读,则组合得到的字符串可以为“1M d41d8cd98f00b204e9800998ecf8427只读”或者可以为“d41d8cd98f00b204e9800998ecf84271M只读”,或者还可以为“d41d8cd98f00b204e9800998ecf8427只读1M”当然还可以采用其他组合规则组合得到字符串。
上述行为触发条件可以以表格的形式存储在该设备中,如表1所示。
表1
203、如果所述程序对应的程序行为符合所述规则触发标识,向云端服务器发送规则请求,以使云端服务器根据所述规则请求查找与该规则触发标识对应的规则;
204a、接收云端服务器发送的规则,且所述规则能够与所述当前程序对应的程序行为进行匹配,则通过规则对所述当前程序对应的程序行为进行监控。
举例来说,若当前程序的程序行为为某个程序安装包安装启动,此时接收云端服务器发送的运行该安装程序、加载其他应用安装程序等规则,在监控当前程序对应的程序行为时,发现当前程序对应的程序行为为加载了某个杀毒或某个浏览器等其他应用安装程序行为,此时查看云端服务器发送的加载其他应用安装程序的规则中是否允许将该杀毒或浏览器等其他应用安装程序进行安装,即通过规则判断程序对应的程序行为是否为恶意的,若该规则中允许安装该杀毒或浏览器等其他应用安装程序,即当前程序对应的程序行为为规则中的白名单中的运行程序,则保持当前程序对应的程序行为;若该规则中不允许安装该杀毒或浏览器等其他应用安装程序,即当前程序行为为规则中的黑名单中的运行程序,则将当前程序对应的程序行为进行拦截或者报警等处理。
在另一个可实现的方式中,如图2B所示,上述方法在步骤203之后还包括步骤:
204b、接收云端服务器发送的规则,且所述规则不能够与所述当前程序对应的程序行为进行匹配,则向用户发送提示信息。
若当前程序对应的程序行为未与某个规则匹配,则该程序对应的程序行为为不能确定的程序行为,则提示用户,由用户进行相应的处理,如决定放行或拦截等操作,从而实现了对当前程序对应的程序行为的监控。
为了避免设备中的内存空间的大量占用,故需要将未与当前程序对应的程序行为匹配的规则进行删除操作,如图3A所示,上述方法在步骤204a之后还包括如下步骤:
301a、若所述云端服务器发送的部分规则不匹配监控到的所述当前程序对应的程序行为,则向云端服务器发送与所述部分规则对应的规则撤销请求,以使云端服务器根据所述规则撤销请求发送所述部分规则的删除指令;
302a、接收云端服务器发送的删除指令,根据所述删除指令将所述全部规则删除。
举例来说,当云端服务器根据启动某个安装包这一启动程序的下一步执行行为下发运行该安装程序、加载其他应用安装程序等规则时,此时当前程序对应的程序行为为加载了某杀毒或浏览器等其他应用安装程序,此时当前程序的与进行状态已与加载其他应用安装程序的规则匹配了,而运行该安装程序等规则未匹配,为了避免大量规则在设备中占用内存,故向云端服务器发送运行该安装程序等规则的撤销请求。
在另一个可实现的方式中,上述步骤301a中若所述云端服务器发送的部分规则不匹配监控到的所述当前程序对应的程序行为,在该设备中存储有大量不匹配的规则时,则该设备也可以自行对不匹配的部分规则进行删除,不向云端服务器发送撤销请求。
如图3B所示,上述方法在步骤204b之后还包括如下步骤:
301b、若所述云端服务器发送的全部规则不匹配监控到的所述当前程序对应的程序行为,则向云端服务器发送与所述全部规则对应的规则撤销请求,以使云端服务器根据所述规则撤销请求发送所述全部规则的删除指令;
302b、接收云端服务器发送的删除指令,根据所述删除指令将所述全部规则删除。
举例来说,若当前程序对应的程序行为为加载该安装程序的安装地址的行为,则云端服务器下发的运行该安装程序、加载其他应用安装程序等规则均未匹配,则需向云端服务器发送运行该安装程序、加载其他应用安装程序等全部规则撤销的请求。则此时当前的程序对应的程序行为还可以根据触发标识通过其他防御规则进行监控,也可以向用户发送提示危险的信息,由用户来判断是否进行下一步的操作。
在另一个可实现的方式中,上述步骤301b中若所述云端服务器发送的全部规则不匹配监控到的所述当前程序对应的程序行为,在该设备中存储有大量不匹配的规则时,则该设备也可以自行对不匹配的全部规则进行删除,不向云端服务器发送撤销请求。
如图4所示,在上述204a中在云端服务器发送的规则对所述当前程序对应的程序行为进行监控之后,在所使用的规则使用完成后,即当前程序对应的程序行为已进入下一工作状态时,为了减少规则过多占用设备的内存,影响设备的运行,故还需要将与当前程序对应的程序行为匹配的规则且当前程序已进入下一个工作状态,在不需要使用该规则时,则还需要对已经使用且暂时不再使用的规则进行删除操作。
具体的,包括如下步骤:
401、接收所述云端服务器发送的用于删除所述设备中不使用规则的规则删除指令,所述规则删除指令包括:所述云端服务器发送到所述设备中的规则删除标识;
具体的,当当前程序已进入下一工作状态时,也可以理解为当前程序的下一个程序对应的程序行为在满足预设的行为触发条件时,即云端服务器接收到满足预设的行为触发条件的规则请求时,此时云端服务器会发送用于删除所述设备中不使用规则的规则删除指令。
402、查找所述设备中与所述规则删除标识匹配的规则,并确定该规则已经不再监控当前程序的程序行为,则根据所述规则删除指令将该规则删除。
上述步骤将云端服务器下发到设备中的规则进行清理,提高了设备的运行速度。
图5示出了本发明实施例提供的一种规则下发装置,如图5所示,该规则下发装置具体包括:监控模块51、判断模块52、第一发送模块53、第一接收模块54。
监控模块51,用于监控设备中每一程序对应的程序行为;
举例来说,所述程序行为包括:进程创建、线程创建、文件读写操作、注册表读写操作、注册表该写操作、堆栈操作、网络通讯、和/或,线程注入的操作。
判断模块52,用于采用预设的行为触发条件判断当前程序对应的程序行为是否符合规则触发标识;
具体的,所述预设的行为触发条件为云端服务器根据多个设备中的程序对应的程序行为统计的;所述预设的行为触发条件为所述云端服务器根据多个设备中的程序对应的程序行为统计后预先向所述设备发送的;所述预设的行为触发条件包括该设备中所有程序对应的程序行为的条件;
所述行为触发条件中包括:每一程序对应的程序行为,和与该程序行为对应的规则触发标识。
第一发送模块53,用于在所述程序对应的程序行为符合所述规则触发标识时,向服务器发送规则请求,以使服务器根据所述规则请求查找与该规则触发标识对应的规则;
上述服务器可以为云端服务器。
第一接收模块54,用于接收云端服务器发送的规则,采用所述云端服务器发送的规则对所述当前程序对应的程序行为进行监控。
举例来说,接收云服务器发送的规则为防御规则、文件防御规则、拦截规则、数据处理规则。
在另一个可能实现的方式中,图6示出了本发明实施例提供的一种规则下发装置,如图6所示,该规则下发装置具体包括:监控模块61、判断模块62、第一发送模块63、第一接收模块64、第二发送模块65、第二接收模块66。
监控模块61,用于监控设备中每一程序对应的程序行为;
判断模块62,用于采用预设的行为触发条件判断当前程序对应的程序行为是否符合规则触发标识;
第一发送模块63,用于在所述程序对应的程序行为符合所述规则触发标识时,向云端服务器发送规则请求,以使云端服务器根据所述规则请求查找与该规则触发标识对应的规则;
第一接收模块64,用于接收云端服务器发送的规则,且所述规则能够与所述当前程序对应的程序行为进行匹配,则采用所述云端服务器发送的规则对所述当前程序对应的程序行为进行监控。
所述第二发送模块65,用于在所述云端服务器发送的部分规则不匹配监控到的所述当前程序对应的程序行为时,向云端服务器发送与所述部分规则对应的规则撤销请求,以使云端服务器根据所述规则撤销请求发送所述部分规则的删除指令;
所述第二接收模块66,用于接收云端服务器发送的删除指令,根据所述删除指令将所述部分规则删除。
在另一种可实现的方式中,上述装置中的第一接收模块64、第二发送模块65和第二接收模块66还具体需要用于以下功能。
第一接收模块64,用于接收云端服务器发送的规则,且所述规则不能够与所述当前程序对应的程序行为进行匹配,则向用户发送提示信息。
具体的,若当前程序对应的程序行为未与某个规则匹配,则该程序对应的程序行为为不能确定的程序行为,则提示用户,由用户进行相应的处理,如决定放行或拦截等操作,从而实现了对当前程序对应的程序行为的监控。
所述第二发送模块65,用于在所述云端服务器发送的全部规则不匹配监控到的所述当前程序对应的程序行为时,向云端服务器发送与所述全部规则对应的规则撤销请求,以使云端服务器根据所述规则撤销请求发送所述全部规则的删除指令;
所述第二接收模块66,用于接收云端服务器发送的删除指令,根据所述删除指令将所述全部规则删除。
图7示出了本发明实施例提供的一种规则下发装置,如图7所示,该规则下发装置具体包括:监控模块71、判断模块72、第一发送模块73、第一接收模块74、第三接收模块75、确定模块76。
监控模块71,用于监控设备中每一程序对应的程序行为;
判断模块72,用于采用预设的行为触发条件判断当前程序对应的程序行为是否符合规则触发标识;
第一发送模块73,用于在所述程序行为符合所述规则触发标识时,向云端服务器发送规则请求,以使云端服务器根据所述规则请求查找与该规则触发标识对应的规则;
第一接收模块74,用于接收云端服务器发送的规则,且所述规则能够与所述当前程序对应的程序行为进行匹配,则采用所述云端服务器发送的规则对所述当前程序对应的程序行为进行监控。
第三接收模块75,用于接收所述云端服务器发送的用于删除所述设备中不使用规则的规则删除指令,所述规则删除指令包括:所述云端服务器发送到所述设备中的规则删除标识;
确定模块76,用于查找所述设备中与所述规则删除标识匹配的规则,并确定该规则已经不再监控当前程序的程序行为,则根据所述规则删除指令将该规则删除。
上述装置与上述方法是一一对应的,本发明对上述方法实施例的详细说明也同样适用于对装置的详细说明,本发明不对上述装置进行详细说明。
本发明的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在于该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是互相排斥之处,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一种浏览器终端的设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (6)
1.一种规则下发装置,其特征在于,包括:
监控模块,用于监控设备中每一程序对应的程序行为;
判断模块,用于采用预设的行为触发条件判断当前程序对应的程序行为是否符合规则触发标识;
第一发送模块,用于在所述程序行为符合所述规则触发标识时,向服务器发送规则请求,以使服务器根据所述规则请求查找与该规则触发标识对应的规则;
第一接收模块,用于接收服务器发送的规则,采用所述服务器发送的规则对所述当前程序对应的程序行为进行监控;
第二发送模块,用于在所述服务器发送的部分/全部规则不匹配监控到的所述当前程序对应的程序行为时,向服务器发送与所述部分/全部规则对应的规则撤销请求,以使服务器根据所述规则撤销请求发送所述部分/全部规则的删除指令;
第二接收模块,用于接收服务器发送的删除指令,根据所述删除指令将所述部分/全部规则删除;
其中,所述预设的行为触发条件为服务器根据多个设备中的程序对应的程序行为统计的,并预先发送设备的行为触发条件;
所述行为触发条件中包括:每一程序对应的程序行为,和与该程序行为对应的规则触发标识。
2.根据权利要求1所述的装置,其特征在于,所述装置还包括:
第三接收模块,用于接收所述服务器发送的用于删除所述设备中不使用规则的规则删除指令,所述规则删除指令包括:所述服务器发送到所述设备中的规则删除标识;
确定模块,用于查找所述设备中与所述规则删除标识匹配的规则,并确定该规则已经不再监控当前程序的程序行为,则根据所述规则删除指令将该规则删除。
3.根据权利要求1所述的装置,其特征在于,
接收服务器发送的规则为防御规则、文件防御规则、拦截规则、数据处理规则;
所述程序行为包括:进程创建、线程创建、文件读写操作、注册表读写操作、注册表改写操作、堆栈操作、网络通讯、和/或,线程注入的操作。
4.一种规则下发方法,其特征在于,包括:
监控设备中每一程序对应的程序行为;
采用预设的行为触发条件判断当前程序对应的程序行为是否符合规则触发标识;
如果所述程序行为符合所述规则触发标识,向服务器发送规则请求,以使服务器根据所述规则请求查找与该规则触发标识对应的规则;
接收服务器发送的规则,采用所述服务器发送的规则对所述当前程序对应的程序行为进行监控;
若所述服务器发送的部分/全部规则不匹配监控到的所述当前程序对应的程序行为,则向服务器发送与所述部分/全部规则对应的规则撤销请求,以使服务器根据所述规则撤销请求发送所述部分/全部规则的删除指令;
接收服务器发送的删除指令,根据所述删除指令将所述部分/全部规则删除;
其中,所述预设的行为触发条件为服务器根据多个设备中的程序对应的程序行为统计的,并预先发送设备的行为触发条件;
所述行为触发条件中包括:每一程序对应的程序行为,和与该程序行为对应的规则触发标识。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
接收所述服务器发送的用于删除所述设备中不使用规则的规则删除指令,所述规则删除指令包括:所述服务器发送到所述设备中的规则删除标识;
查找所述设备中与所述规则删除标识匹配的规则,并确定该规则已经不再监控当前程序的程序行为,则根据所述规则删除指令将该规则删除。
6.根据权利要求4所述的方法,其特征在于,
接收服务器发送的规则为防御规则、文件防御规则、拦截规则、数据处理规则;
所述程序行为包括:进程创建、线程创建、文件读写操作、注册表读写操作、注册表改写操作、堆栈操作、网络通讯、和/或,线程注入的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410806644.XA CN105791221B (zh) | 2014-12-22 | 2014-12-22 | 规则下发方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410806644.XA CN105791221B (zh) | 2014-12-22 | 2014-12-22 | 规则下发方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105791221A CN105791221A (zh) | 2016-07-20 |
| CN105791221B true CN105791221B (zh) | 2020-06-05 |
Family
ID=56385306
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410806644.XA Active CN105791221B (zh) | 2014-12-22 | 2014-12-22 | 规则下发方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105791221B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI608377B (zh) * | 2017-04-13 | 2017-12-11 | 廣達電腦股份有限公司 | 監控管理系統及方法 |
| CN109376193B (zh) * | 2018-09-29 | 2023-04-28 | 北京友友天宇***技术有限公司 | 基于自适应规则的数据交换*** |
| CN111913847B (zh) * | 2020-07-21 | 2021-04-27 | 上海冰鉴信息科技有限公司 | 远程任务执行进度的获取方法及*** |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103401845A (zh) * | 2013-07-15 | 2013-11-20 | Tcl集团股份有限公司 | 一种网址安全性的检测方法、装置 |
| CN103617395A (zh) * | 2013-12-06 | 2014-03-05 | 北京奇虎科技有限公司 | 一种基于云安全拦截广告程序的方法、装置和*** |
| CN104135479A (zh) * | 2014-07-29 | 2014-11-05 | 腾讯科技(深圳)有限公司 | 云端实时防御方法及*** |
-
2014
- 2014-12-22 CN CN201410806644.XA patent/CN105791221B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103401845A (zh) * | 2013-07-15 | 2013-11-20 | Tcl集团股份有限公司 | 一种网址安全性的检测方法、装置 |
| CN103617395A (zh) * | 2013-12-06 | 2014-03-05 | 北京奇虎科技有限公司 | 一种基于云安全拦截广告程序的方法、装置和*** |
| CN104135479A (zh) * | 2014-07-29 | 2014-11-05 | 腾讯科技(深圳)有限公司 | 云端实时防御方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105791221A (zh) | 2016-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10893068B1 (en) | Ransomware file modification prevention technique | |
| EP3474176B1 (en) | System and method of detecting a malicious file | |
| CN109583193B (zh) | 目标攻击的云检测、调查以及消除的***和方法 | |
| US10657251B1 (en) | Multistage system and method for analyzing obfuscated content for malware | |
| US9596257B2 (en) | Detection and prevention of installation of malicious mobile applications | |
| Jiang et al. | Detecting passive content leaks and pollution in android applications | |
| WO2015096695A1 (zh) | 一种应用程序的安装控制方法、***及装置 | |
| US9015829B2 (en) | Preventing and responding to disabling of malware protection software | |
| US8578174B2 (en) | Event log authentication using secure components | |
| Zheng et al. | DroidRay: a security evaluation system for customized android firmwares | |
| WO2014121714A1 (zh) | 一种通知栏消息的处理方法、装置和*** | |
| US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| US8955138B1 (en) | Systems and methods for reevaluating apparently benign behavior on computing devices | |
| US10873588B2 (en) | System, method, and apparatus for computer security | |
| US11706237B2 (en) | Threat detection and security for edge devices | |
| JP6030566B2 (ja) | 不正アプリケーション検知システム及び、方法 | |
| WO2014071867A1 (zh) | 程序处理方法和***,用于程序处理的客户端和服务器 | |
| EP3959632B1 (en) | File storage service initiation of antivirus software locally installed on a user device | |
| US11487868B2 (en) | System, method, and apparatus for computer security | |
| EP3579523A1 (en) | System and method for detection of malicious interactions in a computer network | |
| CN115221524B (zh) | 业务数据保护方法、装置、设备及存储介质 | |
| CN105791221B (zh) | 规则下发方法及装置 | |
| CN108595957B (zh) | 浏览器主页篡改检测方法、装置及存储介质 | |
| US9785775B1 (en) | Malware management | |
| US8640242B2 (en) | Preventing and detecting print-provider startup malware |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee after: Beijing Qizhi Business Consulting Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220324 Address after: 1773, floor 17, floor 15, building 3, No. 10, Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: Sanliu0 Digital Security Technology Group Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Beijing Qizhi Business Consulting Co.,Ltd. |
|
| TR01 | Transfer of patent right |