CN108121913A - 一种操作管理方法及装置 - Google Patents
一种操作管理方法及装置 Download PDFInfo
- Publication number
- CN108121913A CN108121913A CN201810018274.1A CN201810018274A CN108121913A CN 108121913 A CN108121913 A CN 108121913A CN 201810018274 A CN201810018274 A CN 201810018274A CN 108121913 A CN108121913 A CN 108121913A
- Authority
- CN
- China
- Prior art keywords
- identity information
- blacklist
- white list
- operation requests
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提出一种操作管理方法,应用于操作管理装置,所述操作管理装置创建并存储进程白名单和进程黑名单;当接收到文件操作请求时,识别发起所述文件操作请求的进程的身份信息;判断所述进程黑名单中是否包含所述进程的身份信息;如果所述进程黑名单中包含所述进程的身份信息,则拒绝所述文件操作请求;如果所述进程黑名单中不包含所述进程的身份信息,则判断所述进程白名单中是否包含所述进程的身份信息;如果所述进程白名单中不包含所述进程的身份信息,则拒绝所述文件操作请求。上述技术方案实现了对进程的双重身份验证,提升了对恶意进程的识别和防护能力。
Description
本申请要求于2017年9月26日提交中国专利局、申请号为201710881497.6、发明名称为“一种操作管理方法及装置”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本发明涉及互联网技术领域,尤其涉及一种操作管理方法及装置。
背景技术
计算机***的恶意进程,例如计算机病毒等,通常通过对用户操作***进行文件创建、打开、读写等恶意操作而破坏用户操作***安全。
用户通常通过防病毒软件来防止恶意进程恶意操作***文件,从而保障操作***安全。防病毒软件通常与病毒库相关联,当识别到对***文件的创建、打开、读写等操作请求时,防病毒软件将发起该操作请求的进程与病毒库中的恶意进程进行对比来判断该进程是否为恶意进程,如果发起该操作请求的进程为恶意进程,则拒绝该进程发起的操作请求。
上述方法严重依赖病毒库内容的丰富程度,当病毒库中存储有恶意进程的信息时,可以有效防止恶意进程恶意操作***文件;但是当恶意进程没有被记录到病毒库中时,防病毒软件不能利用病毒库识别恶意进程的身份,也就无法防止恶意进程恶意操作***文件,导致整体上对恶意进程的防护能力不足。
发明内容
基于上述现有技术的缺陷和不足,本发明提出一种操作管理方法及装置,能够更进一步提升***对恶意进程的防护能力。
一种操作管理方法,应用于操作管理装置,所述操作管理装置创建并存储进程白名单和进程黑名单;其中,所述进程白名单存储合法进程的身份信息,所述进程黑名单存储恶意进程的身份信息;该方法包括:
接收文件操作请求;
识别发起所述文件操作请求的进程的身份信息;
判断所述进程黑名单中是否包含所述进程的身份信息;
如果所述进程黑名单中包含所述进程的身份信息,则拒绝所述文件操作请求;
如果所述进程黑名单中不包含所述进程的身份信息,则判断所述进程白名单中是否包含所述进程的身份信息;
如果所述进程白名单中不包含所述进程的身份信息,则拒绝所述文件操作请求。
优选地,该方法还包括:
如果所述进程白名单中不包含所述进程的身份信息,则输出报警信息,使用户根据所述报警信息判断是否接受所述文件操作请求。
优选地,所述创建并存储进程白名单和进程黑名单,包括:
统计***中所有类型的文件操作请求;
分别确定并记录可以发起上述所有类型的文件操作请求中的任意一种文件操作请求的进程的身份信息,得到目标进程集合;
根据预设规则,将所述目标进程集合中的每一种进程标记为合法进程或恶意进程;
归集所有的合法进程得到进程白名单,以及归集所有的恶意进程得到进程黑名单。
优选地,所述操作管理装置实时更新所述进程白名单和所述进程黑名单。
优选地,所述实时更新所述进程白名单和所述进程黑名单,包括:
根据接收的操作请求信息,识别发起所述操作请求的进程的身份信息;
判断所述进程的身份信息是否存在于所述进程白名单或所述进程黑名单中;
如果所述进程的身份信息既不存在于所述进程白名单中,也不存在于所述进程黑名单中,则根据所述预设规则,判断所述进程是恶意进程还是合法进程;
如果所述进程是合法进程,则将所述进程的身份信息添加到所述进程白名单;
如果所述进程是恶意进程,则将所述进程的身份信息添加到所述进程黑名单。
一种操作管理装置,包括:
预处理单元,用于创建并存储进程白名单和进程黑名单;其中,所述进程白名单存储合法进程的身份信息,所述进程黑名单存储恶意进程的身份信息;
请求接收单元,用于接收文件操作请求;
进程识别单元,用于识别发起所述文件操作请求的进程的身份信息;
第一判断处理单元,用于判断所述进程黑名单中是否包含所述进程的身份信息;如果所述进程黑名单中包含所述进程的身份信息,则拒绝所述文件操作请求;
第二判断处理单元,用于当所述第一判断处理单元判断所述进程黑名单中不包含所述进程的身份信息时,判断所述进程白名单中是否包含所述进程的身份信息;如果所述进程白名单中不包含所述进程的身份信息,则拒绝所述文件操作请求。
优选地,该装置还包括:
报警输出单元,用于当所述第二判断处理单元判断所述进程白名单中不包含所述进程的身份信息时,输出报警信息,使用户根据所述报警信息判断是否接受所述文件操作请求。
优选地,所述预处理单元创建并存储进程白名单和进程黑名单时,具体用于:
统计***中所有类型的文件操作请求;分别确定并记录可以发起上述所有类型的文件操作请求中的任意一种文件操作请求的进程的身份信息,得到目标进程集合;根据预设规则,将所述目标进程集合中的每一种进程标记为合法进程或恶意进程;归集所有的合法进程得到进程白名单,以及归集所有的恶意进程得到进程黑名单。
优选地,所述预处理单元还用于实时更新所述进程白名单和所述进程黑名单。
优选地,所述预处理单元实时更新所述进程白名单和所述进程黑名单时,具体用于:
根据接收的操作请求信息,识别发起所述操作请求的进程的身份信息;判断所述进程的身份信息是否存在于所述进程白名单或所述进程黑名单中;如果所述进程的身份信息既不存在于所述进程白名单中,也不存在于所述进程黑名单中,则根据所述预设规则,判断所述进程是恶意进程还是合法进程;如果所述进程是合法进程,则将所述进程的身份信息添加到所述进程白名单;如果所述进程是恶意进程,则将所述进程的身份信息添加到所述进程黑名单。
本发明提出的操作管理方法,首先创建并存储进程白名单和进程黑名单;其中,所述进程白名单存储合法进程的身份信息,所述进程黑名单存储恶意进程的身份信息;当接收到文件操作请求时,先识别发起请求的进程的身份信息,然后判断所述进程黑名单中是否包含所述进程的身份信息;如果所述进程黑名单中包含所述进程的身份信息,则拒绝所述文件操作请求;如果所述进程黑名单中不包含所述进程的身份信息,则进一步判断所述进程白名单中是否包含所述进程的身份信息;如果所述进程白名单中不包含所述进程的身份信息,则拒绝所述文件操作请求。上述方案在接收到操作请求时,先验证发起请求的进程是否为恶意进程,如果不是恶意进程则进一步验证该进程是否为合法进程,如果该进程是恶意进程,或者不是合法进程,则拒绝该进程发起的操作请求。上述过程实现了对进程身份的双层验证,其验证过程更严谨,提升了对恶意进程的识别和防护能力。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1是本发明实施例提供的一种操作管理方法的流程示意图;
图2是本发明实施例提供的另一种操作管理方法的流程示意图;
图3是本发明实施例提供的创建并存储进程白名单和进程黑名单的流程示意图;
图4是本发明实施例提供的更新进程白名单和进程黑名单的流程示意图;
图5是本发明实施例提供的一种操作管理装置的结构示意图;
图6是本发明实施例提供的另一种操作管理装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种操作管理方法,应用于操作管理装置,所述操作管理装置创建并存储进程白名单和进程黑名单;其中,所述进程白名单存储合法进程的身份信息,所述进程黑名单存储恶意进程的身份信息;
具体的,上述进程白名单,是指存储用户认可的可以对***受保护的文件进行操作的进程的身份信息(例如进程名、路径、MD5值等)的名单。可以理解,如果某进程的身份信息存储在进程白名单中,则说明该进程可以对***受保护的文件进行操作。
上述进程黑名单,是指存储用户认为不可以对***受保护的文件进行操作的进程的身份信息(例如进程名、路径、MD5值等)的名单,例如存储病毒信息的病毒库等。可以理解,如果某进程的身份信息存储在进程黑名单中,则应当阻止该进程对***受保护的文件进行操作,以便保障***受保护的文件安全。
上述进程白名单和进程黑名单,可以由技术人员设置并维护,也可以由计算机***根据识别的各种计算机进程而自动创建及维护。
同时,本发明实施例提出的方法可以以软件形式实施,此时,上述进程白名单和进程黑名单连同实施本发明实施例技术方案的软件,一同安装于待保护***中。
在创建并存储上述进程白名单和进程黑名单的基础上,参见图1所示,本发明实施例提出的操作管理方法具体包括:
S101、接收文件操作请求;
具体的,上述文件操作请求,是指由任意进程发起的,对***受保护的文件进行创建、打开、读写等可以破坏***受保护文件安全的操作请求。
S102、识别发起所述文件操作请求的进程的身份信息;
具体的,上述进程的身份信息,是指进程的进程名、路径、MD5值等信息。可以理解,为了便于根据进程白名单或进程黑名单识别上述进程的身份,所识别的进程的身份信息应当与进程白名单或进程黑名中存储的进程的身份信息类型相同。
S103、判断所述进程黑名单中是否包含所述进程的身份信息;
具体的,本发明实施例将步骤S102中识别得到的进程的身份信息,与进程黑名单中存储的进程的身份信息进行对比,如果识别得到的进程的身份信息与进程黑名单中存储的某个进程的身份信息相同,则说明上述进程黑名单中包含步骤S102中识别得到的进程的身份信息。如果识别得到的进程的身份信息与进程黑名单中的所有的进程的身份信息均不同,则说明上述进程黑名单中不包含步骤S102中识别得到的进程的身份信息。
如果所述进程黑名单中包含所述进程的身份信息,则执行步骤S104、拒绝所述文件操作请求;
具体的,如果上述进程黑名单中包含上述步骤S102中识别得到的进程的身份信息,则说明上述步骤S102中识别得到的进程为恶意进程,此时,本发明实施例拒绝该进程对***文件进行操作,即拒绝该进程发送的上述文件操作请求,以保障***文件安全。
如果所述进程黑名单中不包含所述进程的身份信息,则执行步骤S105、判断所述进程白名单中是否包含所述进程的身份信息;
具体的,如果上述步骤S102中识别得到的进程的身份信息不存在于上述进程黑名单中,本发明实施例并不会直接认定该进程不是恶意进程,而是进一步验证该进程是否为合法进程。
具体的验证方法为,通过验证上述进程白名单中是否包含上述步骤S102识别得到的进程的身份信息,来判断上述步骤S102识别得到的进程是否为合法进程。具体的,将步骤S102中识别得到的进程的身份信息,与进程白名单中存储的进程的身份信息进行对比,如果识别得到的进程的身份信息与进程白名单中存储的某个进程的身份信息相同,则说明上述进程白名单中包含步骤S102中识别得到的进程的身份信息。如果识别得到的进程的身份信息与进程白名单中的所有的进程的身份信息均不同,则说明上述进程白名单中不包含步骤S102中识别得到的进程的身份信息。
如果所述进程白名单中不包含所述进程的身份信息,则执行步骤S104、拒绝所述文件操作请求。
具体的,如果上述进程白名单中不包含上述步骤S102中识别得到的进程的身份信息,则说明上述步骤S102中识别得到的进程不是合法进程,此时本发明实施例依然拒绝该进程对***文件进行操作,以便保障***文件的安全。
可以理解,如果上述进程白名单中包含上述步骤S102中识别得到的进程的身份信息,则说明上述步骤S102中识别得到的进程是合法进程,此时本发明允许该进程对***文件进行操作。
本发明实施例提出的操作管理方法,首先创建并存储进程白名单和进程黑名单;其中,所述进程白名单存储合法进程的身份信息,所述进程黑名单存储恶意进程的身份信息;当接收到文件操作请求时,先识别发起请求的进程的身份信息,然后判断所述进程黑名单中是否包含所述进程的身份信息;如果所述进程黑名单中包含所述进程的身份信息,则拒绝所述文件操作请求;如果所述进程黑名单中不包含所述进程的身份信息,则进一步判断所述进程白名单中是否包含所述进程的身份信息;如果所述进程白名单中不包含所述进程的身份信息,则拒绝所述文件操作请求。上述方案在接收到操作请求时,先验证发起请求的进程是否为恶意进程,如果不是恶意进程则进一步验证该进程是否为合法进程,如果该进程是恶意进程,或者不是合法进程,则拒绝该进程发起的操作请求。上述过程实现了对进程身份的双层验证,其验证过程更严谨,提升了对恶意进程的识别和防护能力。
可选的,在本发明的另一个实施例中,参见图2所示,该方法还包括:
如果所述进程白名单中不包含所述进程的身份信息,则执行步骤S206、输出报警信息,使用户根据所述报警信息判断是否接受所述文件操作请求。
具体的,在本发明实施例中,如果通过验证确定发起文件操作请求的进程不是恶意进程,但是也不是合法进程时,向用户输出报警信息,由用户根据该报警信息来判断是否接受该进程发起的文件操作请求,由用户决定是否允许该进程对***文件进行操作。
在上述处理过程中,对于既不是恶意进程,又不是合法进程的进程,本发明实施例转交给用户处理,由用户决定是否允许该进程对***文件进行操作,防止尚未登记的合法进程需要操作***文件时在用户不知情的情况下被拦截。
本实施例中的步骤S201~S205分别对应图1所示的方法实施例中的步骤S101~S105,其具体内容请参见对应图1所示的方法实施例的内容,此处不再赘述。
可选的,在本发明的另一个实施例中,参见图3所示,所述创建并存储进程白名单和进程黑名单,包括:
S301、统计***中所有类型的文件操作请求;
具体的,上述所有类型的文件操作请求,是指对***中受保护文件的各种操作类型的请求信息,例如请求对文件进行创建、打开、读写等操作的请求信息。
S302、分别确定并记录可以发起上述所有类型的文件操作请求中的任意一种文件操作请求的进程的身份信息,得到目标进程集合;
具体的,只要能够对***中受保护的文件进行步骤S301中统计的所有类型的文件操作中的任意一种文件操作的进程,都属于本发明实施例的监督对象。本发明实施例确定每个监督对象的身份信息并分别进行记录,得到目标进程集合。
S303、根据预设规则,将所述目标进程集合中的每一种进程标记为合法进程或恶意进程;
具体的,上述预设规则,是指事先由技术人员设定的,用于将进程划分为合法进程或恶意进程的划分规则。
本发明实施例根据上述规则,分别对目标进程集合中的进程进行属性划分,将目标进程集合中的每个进程划分为合法进程或恶意进程。
S304、归集所有的合法进程得到进程白名单,以及归集所有的恶意进程得到进程黑名单。
具体的,本发明实施例将所有被划分为合法进程的进程归集到一起,将所有合法进程的身份信息整理成进程白名单;将所有被划分为恶意进程的进程归集到一起,将所有恶意进程的身份信息整理成进程黑名单。
可选的,在本发明的另一个实施例中,所述操作管理装置实时更新所述进程白名单和所述进程黑名单。
具体的,恶意进程会不断更新,或不断地会有新的恶意进程攻击用户***文件,实时更新进程白名单和进程黑名单可以保证对恶意进程的识别成功率。因此,本发明实施例设定操作管理装置在创建并存储进程白名单和进程黑名单后,还实时更新上述进程白名单和进程黑名单。
参见图4所示,具体的实时更新过程,包括:
S401、根据接收的操作请求信息,识别发起所述操作请求的进程的身份信息;
具体的,当接收到任意进程发送的操作请求时,本发明实施例首先识别发起该操作请求的进程的身份信息。
S402、判断所述进程的身份信息是否存在于所述进程白名单或所述进程黑名单中;
具体的,本发明实施例将步骤S401中识别的进程的身份信息与上述进程白名单和进程黑名单中的进程的身份信息进行对比,判断上述发起操作请求的进程的身份信息是否已经存在于上述进程白名单或进程黑名单中,即判断上述发起操作请求的进程是否为已经记录的合法进程或恶意进程。
如果所述进程的身份信息既不存在于所述进程白名单中,也不存在于所述进程黑名单中,则执行步骤S403、根据所述预设规则,判断所述进程是恶意进程还是合法进程;
具体的,如果上述发起操作请求的进程的身份信息既不存在于上述进程白名单中,也不存在于上述进程黑名单中,则说明上述进程白名单和进程黑名单都没有记录上述进程的身份信息,因此无法通过上述进程白名单和进程黑名单确定上述进程为合法进程还是恶意进程。
在这种情况下,可以认为该进程为新生成的进程。此时,本发明实施例根据上述预设规则,对上述进程进行属性划分,即通过上述预设规则识别上述进程是合法进程还是恶意进程。
如果所述进程是合法进程,则执行步骤S404、将所述进程的身份信息添加到所述进程白名单;
如果所述进程是恶意进程,则执行步骤S405、将所述进程的身份信息添加到所述进程黑名单。
具体的,如果通过步骤S403确定上述进程为合法进程,则将该进程的身份信息添加到上述进程白名单中;如果通过步骤S403确定上述进程为恶意进程,则将该进程的身份信息添加到上述进程黑名单中。
可以理解,上述对进程白名单和进程黑名单的实时更新过程,实际上是不断将新发现的进程的身份信息添加到进程白名单或进程黑名单中的过程。
本发明实施例还公开了一种操作管理装置,参见图5所示,该装置包括:
预处理单元501,用于创建并存储进程白名单和进程黑名单;其中,所述进程白名单存储合法进程的身份信息,所述进程黑名单存储恶意进程的身份信息;
请求接收单元502,用于接收文件操作请求;
进程识别单元503,用于识别发起所述文件操作请求的进程的身份信息;
第一判断处理单元504,用于判断所述进程黑名单中是否包含所述进程的身份信息;如果所述进程黑名单中包含所述进程的身份信息,则拒绝所述文件操作请求;
第二判断处理单元505,用于当第一判断处理单元504判断所述进程黑名单中不包含所述进程的身份信息时,判断所述进程白名单中是否包含所述进程的身份信息;如果所述进程白名单中不包含所述进程的身份信息,则拒绝所述文件操作请求。
具体的,本实施例中的各个单元的具体工作内容,请参见上述方法实施例的内容,此处不再赘述。
可选的,在本发明的另一个实施例中,参见图6所示,该装置还包括:
报警输出单元506,用于当第二判断处理单元505判断所述进程白名单中不包含所述进程的身份信息时,输出报警信息,使用户根据所述报警信息判断是否接受所述文件操作请求。
具体的,本实施例中的报警输出单元506的具体工作内容,请参见上述方法实施例的内容,此处不再赘述。
可选的,在本发明的另一个实施例中,预处理单元501创建并存储进程白名单和进程黑名单时,具体用于:
统计***中所有类型的文件操作请求;分别确定并记录可以发起上述所有类型的文件操作请求中的任意一种文件操作请求的进程的身份信息,得到目标进程集合;根据预设规则,将所述目标进程集合中的每一种进程标记为合法进程或恶意进程;归集所有的合法进程得到进程白名单,以及归集所有的恶意进程得到进程黑名单。
具体的,本实施例中的预处理单元501的具体工作内容,请参见上述方法实施例的内容,此处不再赘述。
可选的,在本发明的另一个实施例中,预处理单元501还用于实时更新所述进程白名单和所述进程黑名单。
具体的,本实施例中的预处理单元501的具体工作内容,请参见上述方法实施例的内容,此处不再赘述。
可选的,在本发明的另一个实施例中,预处理单元501实时更新所述进程白名单和所述进程黑名单时,具体用于:
根据接收的操作请求信息,识别发起所述操作请求的进程的身份信息;判断所述进程的身份信息是否存在于所述进程白名单或所述进程黑名单中;如果所述进程的身份信息既不存在于所述进程白名单中,也不存在于所述进程黑名单中,则根据所述预设规则,判断所述进程是恶意进程还是合法进程;如果所述进程是合法进程,则将所述进程的身份信息添加到所述进程白名单;如果所述进程是恶意进程,则将所述进程的身份信息添加到所述进程黑名单。
具体的,本实施例中的预处理单元501的具体工作内容,请参见上述方法实施例的内容,此处不再赘述。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种操作管理方法,其特征在于,应用于操作管理装置,所述操作管理装置创建并存储进程白名单和进程黑名单;其中,所述进程白名单存储合法进程的身份信息,所述进程黑名单存储恶意进程的身份信息;该方法包括:
接收文件操作请求;
识别发起所述文件操作请求的进程的身份信息;
判断所述进程黑名单中是否包含所述进程的身份信息;
如果所述进程黑名单中包含所述进程的身份信息,则拒绝所述文件操作请求;
如果所述进程黑名单中不包含所述进程的身份信息,则判断所述进程白名单中是否包含所述进程的身份信息;
如果所述进程白名单中不包含所述进程的身份信息,则拒绝所述文件操作请求。
2.根据权利要求1所述的方法,其特征在于,该方法还包括:
如果所述进程白名单中不包含所述进程的身份信息,则输出报警信息,使用户根据所述报警信息判断是否接受所述文件操作请求。
3.根据权利要求1所述的方法,其特征在于,所述创建并存储进程白名单和进程黑名单,包括:
统计***中所有类型的文件操作请求;
分别确定并记录可以发起上述所有类型的文件操作请求中的任意一种文件操作请求的进程的身份信息,得到目标进程集合;
根据预设规则,将所述目标进程集合中的每一种进程标记为合法进程或恶意进程;
归集所有的合法进程得到进程白名单,以及归集所有的恶意进程得到进程黑名单。
4.根据权利要求3所述的方法,其特征在于,所述操作管理装置实时更新所述进程白名单和所述进程黑名单。
5.根据权利要求4所述的方法,其特征在于,所述实时更新所述进程白名单和所述进程黑名单,包括:
根据接收的操作请求信息,识别发起所述操作请求的进程的身份信息;
判断所述进程的身份信息是否存在于所述进程白名单或所述进程黑名单中;
如果所述进程的身份信息既不存在于所述进程白名单中,也不存在于所述进程黑名单中,则根据所述预设规则,判断所述进程是恶意进程还是合法进程;
如果所述进程是合法进程,则将所述进程的身份信息添加到所述进程白名单;
如果所述进程是恶意进程,则将所述进程的身份信息添加到所述进程黑名单。
6.一种操作管理装置,其特征在于,包括:
预处理单元,用于创建并存储进程白名单和进程黑名单;其中,所述进程白名单存储合法进程的身份信息,所述进程黑名单存储恶意进程的身份信息;
请求接收单元,用于接收文件操作请求;
进程识别单元,用于识别发起所述文件操作请求的进程的身份信息;
第一判断处理单元,用于判断所述进程黑名单中是否包含所述进程的身份信息;如果所述进程黑名单中包含所述进程的身份信息,则拒绝所述文件操作请求;
第二判断处理单元,用于当所述第一判断处理单元判断所述进程黑名单中不包含所述进程的身份信息时,判断所述进程白名单中是否包含所述进程的身份信息;如果所述进程白名单中不包含所述进程的身份信息,则拒绝所述文件操作请求。
7.根据权利要求6所述的装置,其特征在于,该装置还包括:
报警输出单元,用于当所述第二判断处理单元判断所述进程白名单中不包含所述进程的身份信息时,输出报警信息,使用户根据所述报警信息判断是否接受所述文件操作请求。
8.根据权利要求6所述的装置,其特征在于,所述预处理单元创建并存储进程白名单和进程黑名单时,具体用于:
统计***中所有类型的文件操作请求;分别确定并记录可以发起上述所有类型的文件操作请求中的任意一种文件操作请求的进程的身份信息,得到目标进程集合;根据预设规则,将所述目标进程集合中的每一种进程标记为合法进程或恶意进程;归集所有的合法进程得到进程白名单,以及归集所有的恶意进程得到进程黑名单。
9.根据权利要求8所述的装置,其特征在于,所述预处理单元还用于实时更新所述进程白名单和所述进程黑名单。
10.根据权利要求9所述的装置,其特征在于,所述预处理单元实时更新所述进程白名单和所述进程黑名单时,具体用于:
根据接收的操作请求信息,识别发起所述操作请求的进程的身份信息;判断所述进程的身份信息是否存在于所述进程白名单或所述进程黑名单中;如果所述进程的身份信息既不存在于所述进程白名单中,也不存在于所述进程黑名单中,则根据所述预设规则,判断所述进程是恶意进程还是合法进程;如果所述进程是合法进程,则将所述进程的身份信息添加到所述进程白名单;如果所述进程是恶意进程,则将所述进程的身份信息添加到所述进程黑名单。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2017108814976 | 2017-09-26 | ||
| CN201710881497 | 2017-09-26 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108121913A true CN108121913A (zh) | 2018-06-05 |
Family
ID=62232836
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810018274.1A Pending CN108121913A (zh) | 2017-09-26 | 2018-01-09 | 一种操作管理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108121913A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112398785A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 资源共享的控制方法及装置、***、存储介质、电子装置 |
| CN113343221A (zh) * | 2020-02-18 | 2021-09-03 | 厦门网宿有限公司 | 一种终端预警方法和装置 |
| CN113553599A (zh) * | 2021-09-22 | 2021-10-26 | 北京神州慧安科技有限公司 | 工控主机软件加固方法及*** |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102254120A (zh) * | 2011-08-09 | 2011-11-23 | 成都市华为赛门铁克科技有限公司 | 恶意代码的检测方法、***及相关装置 |
| CN103019906A (zh) * | 2012-11-20 | 2013-04-03 | 北京奇虎科技有限公司 | 一种弹窗信息展示的方法、装置及*** |
| EP2653994A2 (en) * | 2012-04-17 | 2013-10-23 | Lumension Security, Inc. | Information security techniques including detection, interdiction and/or mitigation of memory injection attacks |
| CN103679031A (zh) * | 2013-12-12 | 2014-03-26 | 北京奇虎科技有限公司 | 一种文件病毒免疫的方法和装置 |
| CN106295355A (zh) * | 2016-08-11 | 2017-01-04 | 南京航空航天大学 | 一种面向Linux服务器的主动安全保障方法 |
| CN106611123A (zh) * | 2016-12-02 | 2017-05-03 | 哈尔滨安天科技股份有限公司 | 一种勒索者病毒的检测方法及*** |
| CN106650447A (zh) * | 2016-12-28 | 2017-05-10 | 北京安天电子设备有限公司 | 一种防御PowerShell恶意代码执行的方法及*** |
| CN106778337A (zh) * | 2016-11-30 | 2017-05-31 | 广东欧珀移动通信有限公司 | 文件保护方法、装置及终端 |
-
2018
- 2018-01-09 CN CN201810018274.1A patent/CN108121913A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102254120A (zh) * | 2011-08-09 | 2011-11-23 | 成都市华为赛门铁克科技有限公司 | 恶意代码的检测方法、***及相关装置 |
| EP2653994A2 (en) * | 2012-04-17 | 2013-10-23 | Lumension Security, Inc. | Information security techniques including detection, interdiction and/or mitigation of memory injection attacks |
| CN103019906A (zh) * | 2012-11-20 | 2013-04-03 | 北京奇虎科技有限公司 | 一种弹窗信息展示的方法、装置及*** |
| CN103679031A (zh) * | 2013-12-12 | 2014-03-26 | 北京奇虎科技有限公司 | 一种文件病毒免疫的方法和装置 |
| CN106295355A (zh) * | 2016-08-11 | 2017-01-04 | 南京航空航天大学 | 一种面向Linux服务器的主动安全保障方法 |
| CN106778337A (zh) * | 2016-11-30 | 2017-05-31 | 广东欧珀移动通信有限公司 | 文件保护方法、装置及终端 |
| CN106611123A (zh) * | 2016-12-02 | 2017-05-03 | 哈尔滨安天科技股份有限公司 | 一种勒索者病毒的检测方法及*** |
| CN106650447A (zh) * | 2016-12-28 | 2017-05-10 | 北京安天电子设备有限公司 | 一种防御PowerShell恶意代码执行的方法及*** |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112398785A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 资源共享的控制方法及装置、***、存储介质、电子装置 |
| CN113343221A (zh) * | 2020-02-18 | 2021-09-03 | 厦门网宿有限公司 | 一种终端预警方法和装置 |
| CN113553599A (zh) * | 2021-09-22 | 2021-10-26 | 北京神州慧安科技有限公司 | 工控主机软件加固方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104137114B (zh) | 集中式操作管理 | |
| US8209758B1 (en) | System and method for classifying users of antivirus software based on their level of expertise in the field of computer security | |
| US8214904B1 (en) | System and method for detecting computer security threats based on verdicts of computer users | |
| CN108121913A (zh) | 一种操作管理方法及装置 | |
| CN108875388A (zh) | 实时风险控制方法、装置及计算机可读存储介质 | |
| US20080148398A1 (en) | System and Method for Definition and Automated Analysis of Computer Security Threat Models | |
| JP2008516308A (ja) | 複数のコンピュータ化された装置を問い合わせる方法および装置 | |
| CN105630855B (zh) | 文件共享方法、文件共享***和终端 | |
| CN109859030A (zh) | 基于用户行为的风险评估方法、装置、存储介质和服务器 | |
| CN106098069A (zh) | 一种身份认证方法、及终端设备 | |
| CN109063481B (zh) | 一种风险检测方法和装置 | |
| EP2584488B1 (en) | System and method for detecting computer security threats based on verdicts of computer users | |
| JP2006350464A (ja) | データ収集システム、データ抽出サーバ、データ収集方法及びデータ収集プログラム | |
| CN101587521B (zh) | 获取远程计算机信息的方法及装置 | |
| CN107046516A (zh) | 一种识别移动终端身份的风控控制方法及装置 | |
| CN110363002A (zh) | 一种入侵检测方法、装置、设备及可读存储介质 | |
| CN106130968B (zh) | 一种身份认证方法、及*** | |
| CN106529281A (zh) | 一种可执行文件处理方法及装置 | |
| JP2008243172A (ja) | アクセス権限制御システム | |
| CN109981573B (zh) | 安全事件响应方法及装置 | |
| JP4191239B2 (ja) | アクセス権限制御システム | |
| JP7000271B2 (ja) | 車両不正アクセス対策装置、及び車両不正アクセス対策方法 | |
| CN110162444A (zh) | 一种***性能监测方法及平台 | |
| CN106130969B (zh) | 一种云计算网络的安全控制方法、及*** | |
| CN109522711A (zh) | 一种检测防御方法、装置、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180605 |