一種實時防護方法和裝置的製作方法
2023-04-24 09:54:21
專利名稱:一種實時防護方法和裝置的製作方法
技術領域:
本發明涉及計算機技術領域,特別涉及一種實時防護方法和裝置。
背景技術:
在各種實時防護軟體中,都採用基於策略文件的方式定義軟體的監控規則。實現方式是底層驅動根據策略中的驅動層規則,捕獲各類符合驅動層規則中定義的條件的事件,然後上交到應用層,並提交由用戶決定是否允許該操作執行。目前的各類實時防護軟體都有自己的策略定義格式和規則檢測。策略包括預設置的一套規則鏈,規則鏈中的規則包括註冊表路徑、文件路徑、進程名、TIPS類型等。當驅動層截獲到發生了文件修改、註冊表修改、操作進程等系統事件時,在驅動中根據策略定義的規則鏈進行判斷,該事件是否符合規則鏈中的規則。如果與預設置的規則匹配,則提交到應用層。應用層將事件通過類似於TIPS窗口的方式提交到用戶桌面,由用戶選擇是否通過。例如,當用戶安裝QQ軟體時,需要對註冊表進行多處修改。其中,會涉及到對系統的啟動項的修改。現有的實時防護軟體的驅動層檢測到註冊表修改時,判斷對啟動項修改是否與策略中的規則鏈中的規則匹配。如果不匹配,也就是說規則鏈中不對註冊表修改中的啟動項修改這一操作進行監控,則允許該操作執行。如果匹配,則需要將該修改提交到應用層;應用層將該修改通過TIPS窗口的形式提交給用戶,由用戶判斷是否允許QQ軟體修改註冊表的啟動項。在實現本發明的過程中,發明人發現現有技術至少存在以下問題現有的這種實時防護策略設計方式的缺陷在於捕獲的系統事件幾乎全部交由用戶選擇如何處理。這種方式對於不熟悉計算機系統知識的用戶來說,很難做出正確的選擇, 導致系統存在安全隱患。
發明內容
為了解決現有技術中各種實時防護軟體只對驅動層進行檢測,並在發生與預設置的規則匹配的事件時交由應用層顯示並由用戶選擇,導致的用戶體驗感差及存在安全隱患的問題,本發明實施例提出了一種實時防護方法和裝置。所述技術方案如下本發明實施例提出了一種實時防護方法,包括設置驅動層規則與應用層規則的對應關係,所述驅動層規則中的至少一個驅動層規則對應一個或一個以上應用層規則;當監控到發生與預設置的防護監控事件相同的事件發生時,判斷該事件是否符合預設的驅動層規則;如果否則步驟結束;判斷是否有與該驅動層規則對應的應用層規則;如果否則步驟結束;根據獲取的事件參數,通過所述應用層規則對所述事件進行過濾,並將過濾結果發送到驅動層。作為上述技術方案的優選,所述每一應用層規則至少包括以下一個或一個以上欄位規則名稱欄位,用於記錄所述應用層規則的名稱;動作ID欄位,用於記錄所述應用層規則對應的過濾函數;關聯驅動監控規則ID欄位,用於記錄與所述應用層規則對應的驅動層規則;附加參數欄位,用於記錄所述應用層規則的參數。作為上述技術方案的優選,所述通過所述應用層規則對所述事件進行過濾,並將過濾結果發送到驅動層包括調用所述應用層規則對應的過濾函數,並將所述應用層規則對應的附加參數欄位發送給過濾函數;接收所述過濾函數的返回值,如果該返回值是通過或禁止,則將該結果發送到驅動層,步驟結束;如果過濾函數的返回值是繼續過濾,則進入下一條應用層規則。作為上述技術方案的優選,所述方法還包括驅動層根據事件類型生成事件上下文消息,所述事件上下文消息中包括以下的一個或幾個參數執行進程ID、執行進程可執行程序路徑、事件操作類型、操作對象;驅動層將所述事件上下文消息發送到應用層;應用層根據所述事件上下文消息,構建事件參數。本發明實施例還提出了一種實時防護裝置,包括對應關係設置模塊,用於設置驅動層規則與應用層規則的對應關係,述所述驅動層規則中的至少一個驅動層規則對應一個或一個以上應用層規則;事件監控模塊,用於監控事件,當監控到發生與預設置的防護監控事件相同的事件發生時,判斷該事件是否符合預設的驅動層規則;並判斷是否有與該驅動層規則對應的應用層規則;應用層過濾模塊,用於根據獲取的事件參數,通過所述應用層規則對所述事件進行過濾,並將過濾結果發送到驅動層。作為上述技術方案的優選,所述每一應用層規則至少包括以下一個或一個以上欄位規則名稱欄位,用於記錄所述應用層規則的名稱;動作ID欄位,用於記錄所述應用層規則對應的過濾函數;關聯驅動監控規則ID欄位,用於記錄與所述應用層規則對應的驅動層規則;附加參數欄位,用於記錄所述應用層規則的參數。作為上述技術方案的優選,所述應用層過濾模塊包括過濾函數調用單元,用於調用所述應用層規則對應的過濾函數,並將所述應用層規則對應的附加參數欄位發送給過濾函數;返回值接收單元,用於接收所述過濾函數的返回值,如果該返回值是通過或禁止, 則將該結果發送到驅動層,如果過濾函數的返回值是繼續過濾,則進入下一條應用層規則繼續進行過濾。作為上述技術方案的優選,所述裝置還包括消息生成模塊,設置於驅動層,用於根據事件類型生成事件上下文消息,所述事件上下文消息中包括以下的一個或幾個參數執行進程ID、執行進程可執行程序路徑、事件操作類型、操作對象;
消息發送模塊,設置於驅動層,用於將所述事件上下文消息發送到應用層;參數重構模塊,設置於應用層,用於根據所述事件上下文消息,構建事件參數。本發明實施例提供的技術方案的有益效果是本發明實施例提出了一種實時防護方法和裝置,能夠在預定事件發生時,採用二級檢測方式對事件進行過濾。本發明實施例可以通過預設置的應用層規則進行過濾,可以由安全專家為用戶提供更好的安全決策支持, 並生成統一的應用層規則發送給每一個用戶,這樣可以避免所有的監控到的事件都提交給用戶做選擇。以減少提交給用戶選擇次數,提高用戶的體驗感。同時,這樣不會影響到原有的策略格式定義,對原有的實時防護系統不產生影響,並具備更好的可擴展性。
為了更清楚地說明本發明實施例的技術方案,下面將對實施例中使用的附圖作一簡單地介紹,顯而易見地,下面所列附圖僅僅是本發明的一些實施例,對於本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。圖1為本發明第一實施例的流程示意圖;圖2為本發明第二實施例的流程示意圖;圖3為本發明第三實施例的結構示意圖;圖4為本發明第四實施例的結構示意圖。
具體實施例方式為使本發明的目的、技術方案和優點更加清楚,下面將結合附圖對本發明實施方式作進一步地詳細描述。實施例1步驟101、設置驅動層規則與應用層規則的對應關係,所述驅動層規則中的至少一個驅動層規則對應一個或一個以上應用層規則;步驟102、當監控到發生與預設置的防護監控事件相同的事件發生時,判斷該事件是否符合預設的驅動層規則;如果否則步驟結束;步驟103、判斷是否有與該驅動層規則對應的應用層規則;如果否則步驟結束;步驟104、根據獲取的事件參數,通過所述應用層規則對所述事件進行過濾,並將過濾結果發送到驅動層。本發明實施例提出了一種實時防護方法,能夠在預定事件發生時,採用二級檢測方式對事件進行過濾。本發明實施例可以通過預設置的應用層規則進行過濾,可以由安全專家為用戶提供更好的安全決策支持,並生成統一的應用層規則發送給每一個用戶,這樣可以避免所有的監控到的事件都提交給用戶做選擇。以減少提交給用戶選擇次數,提高用戶的體驗感。同時,這樣不會影響到原有的策略格式定義,對原有的實時防護系統不產生影響,並具備更好的可擴展性。實施例2本發明第二實施例提出了一種實時防護方法,其流程如圖2所示,包括步驟201 設置驅動層規則與應用層規則的對應關係,所述驅動層規則中的至少一個驅動層規則對應一個或一個以上應用層規則。
現有技術中,驅動層規則是與驅動層監控事件相對應的。現有的驅動層監控事件可以分為四個類型註冊表防護(RP)事件、文件防護(FP)事件、程序防護(AP)事件、網絡防護(NP)事件。而這每一事件類型又可以分別對應一個或多個驅動層規則。而當對應多條驅動層規則時,可以將多條驅動層規則設置為一個驅動層規則鏈。每一驅動層規則可以通過「誰(WHO),對什麼(WHAT),做了什麼(HOW),怎麼處理 (ACTION)」這四個欄位的方式描述需要監控的監控點。在策略配置中可以將多個規則根據監控資源的類型進行分組,如對系統啟動項的修改就會對應到多個RP的監控規則。監控規則中的「WHO」描述事件的發起者條件,一般來說是事件的執行進程的路徑判斷條件; 「WHAT」描述事件的被操作對象條件,如文件防護中的保護的文件路徑、註冊表防護中的註冊表路徑和項名稱;「HOW」描述事件的操作類型,如寫註冊表、寫文件、打開進程、監聽埠等;「ACTION」表示符合本規則的事件默認採取的操作是通過或者禁止。同樣的,應用層規則也可以有多種,例如文件籤名過濾規則、程序訪問控制過濾規則、程序MD5過濾規則、用戶自定義過濾規則、用戶詢問過濾規則、可疑文件掃描過濾規則、用戶歷史選擇過濾規則、用戶詢問過濾規則。當然,還可以包括其他規則,本發明實施例並不以此為限。在本發明實施例中,一條驅動層規則可以對應上述的一條或多條應用層規則。當對應多條應用層規則時,可以將多條應用層規則根據優先級設置為一個應用層規則鏈,以降低進行規則匹配時所需的時間。其中,每一應用層規則可以包括規則名稱、動作ID、關聯的驅動監控規則ID、附加參數等欄位。其中「動作ID」表明了該過濾規則將要被執行何種過濾操作,可以預設一動作ID與過濾函數的對應關係表。在該應用層規則被執行時,會根據動作ID檢索到過濾函數,然後執行該過濾函數。過濾函數返回的處理結果包括允許、禁止和過濾;如果返回允許和禁止,那麼應用過濾規則鏈的檢查將結束,並將結果返回驅動。如果返回過濾,則沿著應用過濾規則鏈繼續過濾;「關聯驅動監控規則ID」可以設定一個或者多個驅動監控項規則 ID,將此過濾規則按照策略的優先級加入到關聯到的驅動規則鏈的適當位置。「附加參數」 是預先定義了在執行過濾函數時需要傳入的參數,例如文件籤名過濾規則中配置的文件籤名白名單或者黑名單配置信息等。步驟202 當監控到發生與預設置的防護監控事件相同的事件發生時,判斷該事件是否符合預設的驅動層規則;如果否則步驟結束;如果是則跳轉到步驟203。其中,預設置的防護監控事件可以為註冊表防護事件、文件防護事件、程序防護事件、網絡防護事件。如果發生其中的一個事件時,則與預設置的一條或多條驅動層規則進行匹配。對於驅動層的規則,可以為根據類型進行分類的多個規則鏈。例如分為註冊表防護、文件防護、程序防護、網絡防護四種類型,每一類型都具有多個驅動層規則形成的一個規則鏈。在發生事件時,根據該規則鏈,依次與每一條驅動層規則逐一進行過濾,以判斷是否有相應的驅動層規則。如果有相應的驅動層規則,如果有則跳轉到步驟203。如果沒有, 則步驟結束。這是由於如果沒有相應的驅動層規則時,非本發明方法所關注的部分,可以現有技術中的方法,即當沒有相應的驅動層規則時,可以默認放行該事件。例如當用戶安裝QQ軟體時,需要對註冊表進行多處修改。其中,一些對註冊表的非關鍵條目的修改並不設置驅動層規則,例如安裝路徑等。對於這些事件在發生時,檢測到並沒有與其對應的驅動層規則,則對其直接通過。其中,一些對註冊表的關鍵條目的修改, 防護軟體都會設置驅動層規則,例如系統啟動項的修改等。對於這些關鍵條目的修改,則需要跳轉到步驟203以判斷是否有與其對應的應用層規則。步驟203 判斷是否有與該驅動層規則對應的應用層規則;如果沒有,則步驟結束;如果有,則跳轉到步驟204。在步驟203中,如果匹配的驅動層規則沒有對應的應用層規則,則可以採用現有技術中的方法對該時間進行處理,即可以根據該驅動層規則的怎麼處理(ACTION)欄位, 對該事件進行處理。而如果有對應的應用層規則,則跳轉到步驟204。如果沒有,則步驟結束。這是由於如果與驅動層規則對應的應用層規則時,則非本發明方法所關注;可以現有技術中的方法,即當沒有對應的應用層規則時,可以採用驅動層規則的「ACTION」欄位標識使該事件通過或者禁止。步驟204 根據事件的類型(註冊表防護事件、文件防護事件、程序防護事件、網絡防護事件),生成事件上下文消息。其中事件上下文消息中包括以下的一個或幾個參數執行進程ID、執行進程可執行程序路徑、事件操作類型、操作對象。同樣以步驟202中的安裝QQ軟體為例,其所對應的進程ID可以通過讀取系統獲得;其執行程序路徑一般為D:\Program Files\Tencent\QQ\QQ. EXE ;事件操作類型為註冊表防護;操作對象為註冊表啟動項修改。步驟205 應用層在接收到該事件上下文消息後進行解析後,根據獲取的事件參數,與步驟201中該驅動層規則對應的應用層規則或應用層規則鏈進行過濾。其中,如果僅有一條應用層規則時,則只需進行過濾一次即可。如果為應用層規則鏈,則其中包括文件籤名過濾規則、程序訪問控制過濾規則、程序MD5過濾規則、用戶自定義過濾規則、用戶詢問過濾規則、可疑文件掃描過濾規則、用戶歷史選擇過濾規則、用戶詢問過濾規則中的兩個或兩個以上的應用層規則。本發明實施例中可以預先對其設置優先級(例如,根據前述的關聯的驅動監控規則ID,對每一規則設置優先級)並排序,形成應用層規則鏈。在進行過濾時,根據應用層規則鏈逐一進行過濾。這樣可以節省過濾時間。對一條應用層規則進行過濾的方法可以為將附加參數發送到與該規則的動作 ID對應的過濾函數。過濾函數可以根據需要進行預設置,在此並不對過濾函數進行限定。 如果過濾函數的返回值是通過或禁止,則將該結果發送到驅動層,步驟結束。如果過濾函數的返回值是繼續過濾,則進入下一條應用層規則;如果沒有下一條應用層規則時,則也將該結果發送到驅動層,由驅動層的「ACTION」欄位標識使該事件通過或者禁止。在應用層規則鏈的最後一項過濾規則,可以設置為用戶詢問過濾規則。這樣,在預設置的規則都無法確定通過或禁止時,交由用戶選擇。以一個具有文件籤名過濾規則、程序訪問控制過濾規則、程序MD5過濾規則、用戶自定義過濾規則、用戶詢問過濾規則、可疑文件掃描過濾規則、用戶歷史選擇過濾規則、用戶詢問過濾規則形成的應用層規則鏈為例。當檢測到QQ軟體更改了註冊表後,首先根據上述的應用層規則鏈中的優先級最高的規則進行過濾。如果優先級最高的規則為文件籤名過濾規則,則調用該規則對應的過濾函數,並將該規則的附加參數(可以為文件籤名黑名單、文件籤名白名單)發送到過濾函數。過濾函數根據附加參數中的黑名單和白名單對QQ軟體的文件籤名進行匹配,如果位於黑名單中,則返回值為禁止;如果位於白名單中,則返回值為通過;如果黑名單和白名單中都不包括,則返回繼續過濾。當返回值為繼續過濾時,則採用下一條應用層規則再次進行過濾,直至返回值為通過或過濾,或達到最後一條規則。一般來說,最後一條規則可以設定為用戶詢問過濾規則,由用戶選擇通過或過濾。步驟206 在步驟205根據應用層規則進行過濾後,則將最後的處理結果發送到驅動層。驅動層將該處理結果保存為驅動層規則的ACTION欄位。本發明實施例可以將事件進行分類,並對驅動層規則設置一條或多條對應的應用層規則,以降低過濾時的時間開銷和系統開銷。同時,還可以設置由多個應用層規則組成的應用層規則鏈,以通過多種方式對事件進行過濾,提高規則設置的靈活性。其中每一個應用層規則可以設置多個欄位,其中包括附加參數欄位,並通過動作ID欄位與過濾函數對應, 這樣可以降低更新時數據傳輸量。例如,在伺服器遠程更新規則時,只需更新附件參數中的黑名單和白名單,則可以只對附件參數欄位進行更改即可。如果更新時只需對過濾的方式進行更改,則可以只更新過濾函數。同時,本發明實施例提出了參數發送的方式,可以將事件參數由驅動層發送到應用層,以使應用層可以對事件進行過濾。實施例3本發明第三實施例提出了一種實時防護裝置,其結構如圖3所示,包括對應關係設置模塊1,用於設置驅動層規則與應用層規則的對應關係,所述驅動層規則中的至少一個驅動層規則對應一個或一個以上應用層規則;事件監控模塊2,用於監控事件,當監控到發生與預設置的防護監控事件相同的事件發生時,判斷該事件是否符合預設的驅動層規則;並判斷是否有與該驅動層規則對應的應用層規則;應用層過濾模塊3,用於根據獲取的事件參數,通過所述應用層規則對所述事件進行過濾,並將過濾結果發送到驅動層。本發明實施例提出了一種實時防護裝置,能夠在預定事件發生時,採用二級檢測方式對事件進行過濾。本發明實施例可以通過預設置的應用層規則進行過濾,可以由安全專家為用戶提供更好的安全決策支持,並生成統一的應用層規則發送給每一個用戶,這樣可以避免所有的監控到的事件都提交給用戶做選擇。以減少提交給用戶選擇次數,提高用戶的體驗感。同時,這樣不會影響到原有的策略格式定義,對原有的實時防護系統不產生影響,並具備更好的可擴展性。實施例4本發明第四實施例提出了一種實時防護裝置,其結構如圖4所示,包括驅動層和應用層,還包括設置於驅動層的對應關係設置模塊1、事件監控模塊2、消息生成模塊4,以及設置於應用層的參數重構模塊6、應用層過濾模塊3;還包括可以設置與驅動層內,或是驅動層與應用層之間的消息發送模塊5。對應關係設置模塊1,用於設置驅動層規則與應用層規則的對應關係,所述驅動層規則中的至少一個驅動層規則對應一個或一個以上應用層規則。現有技術中,驅動層規則是與驅動層監控事件相對應的。現有的驅動層監控事件可以分為四個類型註冊表防護(RP)事件、文件防護(FP)事件、程序防護(AP)事件、網絡防護(NP)事件。而這每一事件類型又可以分別對應一個或多個驅動層規則。而當對應多條驅動層規則時,可以將多條驅動層規則設置為一個驅動層規則鏈。每一驅動層規則可以通過「誰(WHO),對什麼(WHAT),做了什麼(HOW),怎麼處理 (ACTION)」這四個欄位的方式描述需要監控的監控點。在策略配置中可以將多個規則根據監控資源的類型進行分組,如對系統啟動項的修改就會對應到多個RP的監控規則。監控規則中的「WHO」描述事件的發起者條件,一般來說是事件的執行進程的路徑判斷條件; 「WHAT」描述事件的被操作對象條件,如文件防護中的保護的文件路徑、註冊表防護中的註冊表路徑和項名稱;「HOW」描述事件的操作類型,如寫註冊表、寫文件、打開進程、監聽埠等;「ACTION」表示符合本規則的事件默認採取的操作是通過或者禁止。同樣的,應用層規則也可以有多種,例如文件籤名過濾規則、程序訪問控制過濾規則、程序MD5過濾規則、用戶自定義過濾規則、用戶詢問過濾規則、可疑文件掃描過濾規則、用戶歷史選擇過濾規則、用戶詢問過濾規則。當然,還可以包括其他規則,本發明實施例並不以此為限。在本發明實施例中,一條驅動層規則可以對應上述的一條或多條應用層規則。當對應多條應用層規則時,可以將多條應用層規則根據優先級設置為一個應用層規則鏈,以降低進行規則匹配時所需的時間。其中,每一應用層規則可以包括規則名稱、動作ID、關聯的驅動監控規則ID、附加參數等欄位。其中「動作ID」表明了該過濾規則將要被執行何種過濾操作,可以預設一動作ID與過濾函數的對應關係表。在該應用層規則被執行時,會根據動作ID檢索到過濾函數,然後執行該過濾函數。過濾函數返回的處理結果包括允許、禁止和過濾;如果返回允許和禁止,那麼應用過濾規則鏈的檢查將結束,並將結果返回驅動。如果返回過濾,則沿著應用過濾規則鏈繼續過濾;「關聯驅動監控規則ID」可以設定一個或者多個驅動監控項規則 ID,將此過濾規則按照策略的優先級加入到關聯到的驅動規則鏈的適當位置。「附加參數」 是預先定義了在執行過濾函數時需要傳入的參數,例如文件籤名過濾規則中配置的文件籤名白名單或者黑名單配置信息等。事件監控模塊2,用於監控事件,當監控到發生與預設置的防護監控事件相同的事件發生時,判斷該事件是否符合預設的驅動層規則;並判斷是否有與該驅動層規則對應的應用層規則。其中,預設置的防護監控事件可以為註冊表防護事件、文件防護事件、程序防護事件、網絡防護事件。如果發生其中的一個事件時,則與預設置的一條或多條驅動層規則進行匹配。消息生成模塊4,設置於驅動層,用於根據事件類型生成事件上下文消息,所述事件上下文消息中包括以下的一個或幾個參數執行進程ID、執行進程可執行程序路徑、事件操作類型、操作對象;消息發送模塊5,設置於驅動層,用於將所述消息生成模塊4生成的事件上下文消息發送到應用層;參數重構模塊6,設置於應用層,用於根據接收到的所述消息發送模塊5的所述事件上下文消息,構建事件參數。應用層過濾模塊3,用於根據獲取的參數重構模塊6的事件參數,通過所述應用層規則對所述事件進行過濾,並將過濾結果發送到驅動層。其中,應用層過濾模塊3可以包括過濾函數調用單元31,用於調用所述應用層規則對應的過濾函數,並將所述應用層規則對應的附加參數欄位發送給過濾函數;返回值接收單元32,用於接收所述過濾函數的返回值,如果該返回值是通過或禁止,則將該結果發送到驅動層,如果過濾函數的返回值是繼續過濾,則進入下一條應用層規則繼續進行過濾。本實施例提供的裝置,具體可以通過計算機或其他電子設備實現,與前述的第一、 第二實施例中的方法屬於同一構思,其具體實現過程詳見第一、第二實施例中的方法,這裡不再贅述。本發明實施例可以將事件進行分類,並對驅動層規則設置一條或多條對應的應用層規則,以降低過濾時的時間開銷和系統開銷。同時,還可以設置由多個應用層規則組成的應用層規則鏈,以通過多種方式對事件進行過濾,提高規則設置的靈活性。其中每一個應用層規則可以設置多個欄位,其中包括附加參數欄位,並通過動作ID欄位與過濾函數對應, 這樣可以降低更新時數據傳輸量。例如,在伺服器遠程更新規則時,只需更新附件參數中的黑名單和白名單,則可以只對附件參數欄位進行更改即可。如果更新時只需對過濾的方式進行更改,則可以只更新過濾函數。同時,本發明實施例提出了參數發送的方式,可以將事件參數由驅動層發送到應用層,以使應用層可以對事件進行過濾。本發明實施例所述集成的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時,也可以存儲在一個計算機可讀取存儲介質中。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來,該計算機軟體產品存儲在一個存儲介質中,包括若干指令用以使得一臺計算機設備(可以是個人計算機,伺服器,或者網絡設備等)執行本發明各個實施例所述方法的全部或部分。而前述的存儲介質包括U盤、移動硬碟、只讀存儲器(ROM,Read-only Memory)、隨機存取存儲器(RAM,Random Access Memory)、磁碟或者光碟等各種可以存儲程序代碼的介質。以上僅為本發明的較佳實施例,並不用以限制本發明,凡在本發明的精神和原則之內,所作的任何修改、等同替換、改進等,均應包含在本發明的保護範圍之內。
權利要求
1.一種實時防護方法,其特徵在於,包括設置驅動層規則與應用層規則的對應關係,所述驅動層規則中的至少一條驅動層規則對應一個或一個以上應用層規則;當監控到發生與預設置的防護監控事件相同的事件發生時,判斷該事件是否符合預設的驅動層規則;如果否則步驟結束;判斷是否有與該驅動層規則對應的應用層規則;如果否則步驟結束; 根據獲取的事件參數,通過所述應用層規則對所述事件進行過濾,並將過濾結果發送到驅動層。
2.根據權利要求1所述的實時防護方法,其特徵在於,所述每一應用層規則至少包括以下一個或一個以上欄位規則名稱欄位,用於記錄所述應用層規則的名稱;動作ID欄位,用於記錄所述應用層規則對應的過濾函數;關聯驅動監控規則ID欄位,用於記錄與所述應用層規則對應的驅動層規則;附加參數欄位,用於記錄所述應用層規則的參數。
3.根據權利要求2所述的實時防護方法,其特徵在於,所述通過所述應用層規則對所述事件進行過濾,並將過濾結果發送到驅動層包括調用所述應用層規則對應的過濾函數,並將所述應用層規則對應的附加參數欄位發送給過濾函數;接收所述過濾函數的返回值,如果該返回值是通過或禁止,則將該結果發送到驅動層,步驟結束;如果過濾函數的返回值是繼續過濾,則進入下一條應用層規則。
4.根據權利要求1-3任一項所述的實時防護方法,其特徵在於,所述方法還包括驅動層根據事件類型生成事件上下文消息,所述事件上下文消息中包括以下的一個或幾個參數執行進程ID、執行進程可執行程序路徑、事件操作類型、操作對象; 驅動層將所述事件上下文消息發送到應用層; 應用層根據所述事件上下文消息,構建事件參數。
5.一種實時防護裝置,其特徵在於,包括對應關係設置模塊,用於設置驅動層規則與應用層規則的對應關係,述所述驅動層規則中的至少一條驅動層規則對應一個或一個以上應用層規則;事件監控模塊,用於監控事件,當監控到發生與預設置的防護監控事件相同的事件發生時,判斷該事件是否符合預設的驅動層規則;並判斷是否有與該驅動層規則對應的應用層規則;應用層過濾模塊,用於根據獲取的事件參數,通過所述應用層規則對所述事件進行過濾,並將過濾結果發送到驅動層。
6.根據權利要求5所述的實時防護裝置,其特徵在於,所述每一應用層規則至少包括以下一個或一個以上欄位規則名稱欄位,用於記錄所述應用層規則的名稱;動作ID欄位,用於記錄所述應用層規則對應的過濾函數;關聯驅動監控規則ID欄位,用於記錄與所述應用層規則對應的驅動層規則;附加參數欄位,用於記錄所述應用層規則的參數。
7.根據權利要求6所述的實時防護裝置,其特徵在於,所述應用層過濾模塊包括過濾函數調用單元,用於調用所述應用層規則對應的過濾函數,並將所述應用層規則對應的附加參數欄位發送給過濾函數;返回值接收單元,用於接收所述過濾函數的返回值,如果該返回值是通過或禁止,則將該結果發送到驅動層,如果過濾函數的返回值是繼續過濾,則進入下一條應用層規則繼續進行過濾。
8.根據權利要求5-7任一項所述的實時防護裝置,其特徵在於,所述裝置還包括 消息生成模塊,設置於驅動層,用於根據事件類型生成事件上下文消息,所述事件上下文消息中包括以下的一個或幾個參數執行進程ID、執行進程可執行程序路徑、事件操作類型、操作對象;消息發送模塊,設置於驅動層,用於將所述事件上下文消息發送到應用層; 參數重構模塊,設置於應用層,用於根據所述事件上下文消息,構建事件參數。
全文摘要
本發明提出了一種實時防護方法和裝置,屬於計算機技術領域。本發明實施例設置驅動層規則與應用層規則的對應關係,所述每一驅動層規則對應一個或一個以上應用層規則;當監控到發生與預設置的防護監控事件相同的事件發生時,判斷該事件是否符合預設的驅動層規則;如果否則步驟結束;判斷是否有與該驅動層規則對應的應用層規則;如果否則步驟結束;根據獲取的事件參數,通過所述應用層規則對所述事件進行過濾,並將過濾結果發送到驅動層。本發明實施例能夠在預定事件發生時,採用二級檢測方式對事件進行過濾。減少提交給用戶選擇次數,提高用戶的體驗感。
文檔編號G06F21/00GK102262716SQ20101018643
公開日2011年11月30日 申請日期2010年5月25日 優先權日2010年5月25日
發明者孟齊源, 王宇 申請人:騰訊科技(深圳)有限公司