專利名稱:實時防護的方法和裝置的制作方法
技術領域:
本發明涉及安全領域,特別涉及一種實時防護的方法和裝置。
背景技術:
網絡安全形勢日益嚴峻,各類病毒也嚴重威脅著我們的操作安全。為了攔截各種惡意程序,需要具備強大的防護能力。目前各類實時防護軟件如EQkcure、System Safety Monitor、360安全衛士等,在軟件初次安裝的配置文件中都定義了一些可能影響到系統安全行為的監控點,用以對系統啟動項、映像劫持、修改系統文件、安裝系統服務等各類事件進行捕獲。無論這些事件是安全程序的正常操作,還是可疑程序或者惡意程序的惡意操作,都全部提交給用戶去判斷此類行為是要放行或禁止。例如,用戶選擇了 “以后放行此程序的所有操作”或“以后禁止此程序的所有操作”,那么以后該程序都不會再彈出窗口讓用戶來選擇,而是自動放行或禁止相關操作。綜合上述,現有技術至少存在以下問題由用戶對所有監控事件進行選擇,對于本身很安全的一些系統操作,則會影響用戶操作、降低用戶操作效率;并且當用戶對于計算機知識掌握程度不高的時候,用戶很難做出正確選擇,如果禁止了安全軟件或放行了惡意軟件,則可能導致安全的軟件運行不正常, 或讓惡意的軟件有機會在系統中肆意妄為。
發明內容
為了提高用戶操作效率,并且幫助用戶分辨安全的軟件和惡意的軟件,本發明實施例提供了一種實時防護的方法和裝置。所述技術方案如下—種實時防護的方法,所述方法包括從服務器獲取并實時更新應用層過濾規則;判斷實時防護事件是否匹配所述應用層過濾規則;如果匹配,根據所述應用層過濾規則對所述實時防護事件執行相應的操作。其中,當所述應用層過濾規則有多個時,所述從服務器獲取并實時更新應用層過濾規則之后包括從所述服務器獲取并實時更新所述應用層過濾規則的執行順序;所述判斷實時防護事件是否匹配所述應用層過濾規則包括按照所述執行順序,當所述實時防護事件與所述應用層過濾規則的前一個應用層過濾規則不匹配時,再判斷所述實時防護事件是否匹配所述應用層過濾規則。其中,所述方法還包括如果不匹配,將所述實時防護事件發送給用戶決策。其中,所述將所述實時防護事件發送給用戶決策之前還包括確定所述實時防護事件的風險等級;
所述將所述實時防護事件發送給用戶決策還包括將所述實時防護事件的風險等級發送給所述用戶,使所述用戶根據所述風險等級對所述實時防護事件進行決策。其中,所述應用層過濾規則包括通用策略監控點的應用層過濾規則和自保護監控點的應用層過濾規則;所述判斷實時防護事件是否匹配所述應用層過濾規則包括確定所述實時防護事件所屬監控點的類型;當所述類型為通用策略監控點時,判斷所述實時防護事件是否匹配所述通用策略監控點的應用層過濾規則;當所述類型為自保護監控點時,判斷所述實時防護事件是否匹配所述自保護監控點的應用層過濾規則。其中,所述自保護監控點的應用層過濾規則包括第一文件簽名應用層過濾規則、 進程的黑白名單應用層過濾規則中的至少一個;所述通用策略監控點的應用層過濾規則包括第二文件簽名應用層過濾規則、信息摘要算法MD5應用層過濾規則中的至少一個。一種實時防護的裝置,所述裝置包括獲取模塊,用于從服務器獲取并實時更新應用層過濾規則;判斷模塊,用于判斷實時防護事件是否匹配所述獲取模塊獲取的應用層過濾規則;執行模塊,用于如果所述判斷模塊判斷的結果為匹配,根據所述獲取模塊獲取的應用層過濾規則對所述實時防護事件執行相應的操作。其中,所述獲取模塊,還用于當所述應用層過濾規則有多個時,從所述服務器獲取并實時更新所述應用層過濾規則的執行順序;所述判斷模塊,還用于按照所述獲取模塊獲取的執行順序,當所述實時防護事件與所述應用層過濾規則的前一個應用層過濾規則不匹配時,再判斷所述實時防護事件是否匹配所述應用層過濾規則。其中,所述裝置還包括發送模塊,用于如果所述判斷模塊判斷的結果為不匹配,將所述實時防護事件發送給用戶決策。其中,所述裝置還包括確定模塊,用于將所述實時防護事件發送給用戶決策之前,確定所述實時防護事件的風險等級;所述發送模塊,還用于將所述實時防護事件的風險等級發送給所述用戶,使所述用戶根據所述風險等級對所述實時防護事件進行決策。其中,所述獲取模塊獲取的應用層過濾規則包括通用策略監控點的應用層過濾規則和自保護監控點的應用層過濾規則;所述判斷模塊包括確定單元,用于確定所述實時防護事件所屬監控點的類型;第一判斷單元,用于當所述確定單元確定的類型為通用策略監控點時,判斷所述實時防護事件是否匹配所述通用策略監控點的應用層過濾規則;第二判斷單元,用于當所述確定單元確定的類型為自保護監控點時,判斷所述實時防護事件是否匹配所述自保護監控點的應用層過濾規則。其中,所述獲取模塊獲取的自保護監控點的應用層過濾規則包括第一文件簽名應用層過濾規則、進程的黑白名單應用層過濾規則中的至少一個;所述獲取模塊獲取的通用策略監控點的應用層過濾規則包括第二文件簽名應用層過濾規則、信息摘要算法MD5應用層過濾規則中的至少一個。本發明實施例提供的技術方案帶來的有益效果是通過從服務器獲取并實時更新應用層過濾規則,判斷實時防護事件是否匹配應用層過濾規則,如果匹配,根據應用層過濾規則對實時防護事件執行相應的操作,不需要用戶干預,提高了防護的準確性和用戶操作的效率;相應的,如果不匹配應用層過濾規則,再發給用戶決策,相對于用戶對所有的監控事件進行決策,也有利于提高用戶操作的效率。另外,通過評估實時防護事件的風險等級以輔助用戶決策,可以幫助用戶分辨安全的軟件和惡意的軟件,做出正確的選擇。
圖1是本發明實施例1中提供的實時防護的方法流程圖;圖2是本發明實施例1中提供的實時防護的方法另一流程圖;圖3是本發明實施例2中提供的實時防護的裝置結構示意圖;圖4是本發明實施例2中提供的實時防護的裝置另一結構示意圖。
具體實施例方式為使本發明的目的、技術方案和優點更加清楚,下面將結合附圖對本發明實施方式作進一步地詳細描述。實施例1參見圖1,本實施例提供了一種實時防護的方法,包括101 從服務器獲取并實時更新應用層過濾規則;其中,應用層過濾規則可以針對所有的監控點統一設定,也可以針對不同的監控點分別設定,例如通用策略監控點的應用層過濾規則和自保護監控點的應用層過濾規則。 自保護監控點的應用層過濾規則可以包括第一文件簽名應用層過濾規則、進程的黑白名單應用層過濾規則中的至少一個。通用策略監控點的應用層過濾規則可以包括第二文件簽名應用層過濾規則、MD5 (MessageDigest Algorithm 5,信息摘要算法5)應用層過濾規則中的至少一個。進一步的,當應用層過濾規則有多個時,還需要從服務器獲取并實時更新應用層過濾規則的執行順序。如果分為通用策略監控點的應用層過濾規則和自保護監控點的應用層過濾規則,則還需要分別獲取其執行順序。102 判斷實時防護事件是否匹配應用層過濾規則;具體的,當應用層過濾規則有多個、且獲取到其執行順序,按照執行順序,當實時防護事件與應用層過濾規則的前一個應用層過濾規則不匹配時,再判斷實時防護事件是否匹配應用層過濾規則。103:如果匹配,根據應用層過濾規則對實時防護事件執行相應的操作。具體的,根據匹配的應用層過濾規則對該實時防護事件規定的放行或禁止,對該實時防護事件執行放行或禁止的操作。進一步的,如果不匹配,將實時防護事件發送給用戶決策。在發送之前,還可以確定實時防護事件的風險等級;然后將實時防護事件及其風險等級發送給用戶,以便于用戶根據風險等級對實時防護事件進行決策。本實施例提供的方法,通過從服務器獲取并實時更新應用層過濾規則,判斷實時防護事件是否匹配應用層過濾規則,如果匹配,根據應用層過濾規則對實時防護事件執行相應的操作,不需要用戶干預,提高了防護的準確性和用戶操作的效率;相應的,如果不匹配應用層過濾規則,再發給用戶決策,相對于用戶對所有的監控事件進行決策,也有利于提高用戶操作的效率。另外,通過評估實時防護事件的風險等級以輔助用戶決策,可以幫助用戶分辨安全的軟件和惡意的軟件,做出正確的選擇。參見圖2,下面結合具體實例介紹實時防護的方法。201 捕獲實時防護事件;其中,實時防護事件可以是修改、刪除文件或注冊表、程序升級等事件。當驅動檢測到某一實時防護事件欲執行修改、刪除文件或注冊表、程序升級等操作時,由驅動捕獲該實時防護事件,本實施例并不限定具體的捕獲方法。202 判斷實時防護事件所屬監控點的類型;具體的,根據監控點關聯的應用層信息,判斷監控點的類型。如果監控點關聯的應用層信息是實時防護軟件自身,則該監控點的類型是自保護監控點;如果監控點關聯的應用層信息是除實時防護軟件之外的其他軟件,則該監控點的類型是通用策略監控點。如果是自保護監控點,執行步驟203,如果是通用策略監控點,執行步驟204。另外,本步驟是可選的。這是由于應用層過濾規則可以針對不同的監控點分別設定,也可以針對所有的監控點統一設定。當針對不同的監控點分別設定時,需要判斷監控點的類型,當針對所有的監控點統一設定時,不需要判斷監控點的類型。203 從服務器獲取并實時更新自保護監控點的應用層過濾規則及其執行順序,并進行過濾;其中,本實施例不限定自保護監控點的應用層過濾規則的具體內容、個數。下面以 (第一)文件簽名應用層過濾規則和進程的黑白名單應用層過濾規則為例,對自保護監控點的過濾規則進行說明。203a 根據(第一)文件簽名應用層過濾規則對實時防護事件進行過濾;其中,文件數字簽名(簡稱文件簽名)是保護文件、防止文件被篡改的一種方式, 文件數字簽名中包括文件的發行商等信息。在本實施例中,根據(第一)文件簽名應用層過濾規則對實時防護事件進行過濾具體包括從服務器獲取并實時更新(第一)文件簽名應用層過濾規則,每條規則可以附加文件簽名過濾驗證的參數配置,然后將實時防護事件對應的文件簽名與參數配置對應的第一文件簽名進行匹配,如果匹配,則按照文件簽名應用層過濾規則執行相應的放行或禁止的操作,然后執行步驟207,如果不匹配,執行下一條應用層過濾規則。在本實施例中,下一條應用層過濾規則為步驟20 進程的黑白名單應用層過濾規則。上述過濾過程中,參數配置對應的第一文件簽名可以是文件簽名的黑名單或白名單,黑名單用于禁止實時防護事件的操作,白名單用于放行實時防護事件的操作。另外,根據系統監控點的不同,可以將黑白名單直接附加在參數配置中,也可以將黑白名單的版本、 路徑等信息附加在參數配置中。例如,欲實現具有本公司簽名的軟件才可以修改本軟件的相關文件資源,可以定義一個文件簽名應用層過濾規則,附加的參數配置為本公司簽名,匹配則放行,其它簽名直接禁止,將這條應用層過濾規則關聯到本軟件安裝目錄文件修改的監控點上。再例如,定義另一個文件簽名應用層過濾規則,應用層過濾規則附加的參數配置為可從服務器上自動升級的軟件簽名黑白名單,將這條應用層過濾規則附加到開機啟動項、映像劫持、系統全局鉤子等公共監控點上。當監控到這些系統事件時,就會利用配置中定義的黑白名單進行過濾, 合法的軟件(白名單中的軟件)將自動被放行,非法的軟件(黑名單中的軟件)將被禁止, 不在名單中的軟件可以提交到用戶由用戶進行選擇。203b 根據進程的黑白名單應用層過濾規則對實時防護事件進行過濾;在本實施例中,根據進程的黑白名單應用層過濾規則對實時防護事件進行過濾具體包括從服務器獲取并實時更新進程的黑白名單應用層過濾規則,每條規則可以附加進程過濾驗證的參數配置,將實時防護事件發起的進程與參數配置對應的進程進行匹配,如果匹配,執行相應的放行或禁止操作,然后執行步驟207,否則,如果不匹配,則交由用戶決策。上述過濾過程中,參數配置對應的進程可以進程的黑名單或白名單。根據系統監控點的不同,可以將黑白名單直接附加在參數配置中,也可以將黑白名單的版本、路徑等信息附加在參數配置中。另外,由于進程名稱經常改變、并且容易被模仿,因此通常只設置白名單,放行一些確定的程序。它可以作為文件簽名過濾和文件MD5過濾的補充,一般定義一些自保護規則,如放行升級程序、對軟件安裝目錄下的文件的修改等。204:從服務器獲取并實時更新通用策略監控點的應用層過濾規則及其執行順序, 并進行過濾;其中,本實施例不限定自保護監控點的應用層過濾規則的具體內容、個數。下面以 (第一)文件簽名應用層過濾規則和進程的黑白名單應用層過濾規則為例,對自保護監控點的過濾規則進行說明。其中,本實施例并不限定通用策略監控點的應用層過濾規則的具體內容、個數。下面以(第二)文件簽名應用層過濾規則和MD5應用層過濾規則為例,對通用策略監控點的應用層過濾規則進行說明。在執行通用策略監控點的應用層過濾規則之前,可選的,也可以先根據用戶自定義應用層過濾規則進行過濾,以提高過濾效率。204a 根據用戶自定義應用層過濾規則對實時防護事件進行過濾;具體的,如果實時防護事件符合用戶以前要求一直放行或者一直禁止的程序的訪問,則按照之前的操作直接放行或禁止。不在用戶自定義規則中的操作,則繼續執行下一個應用層過濾規則。本實施例中,下一條應用層過濾規則為步驟204b中的(第二)文件簽名應用層過濾規則。例如,用戶定義對某軟件的升級程序執行“以后放行此進程的所有操作”,則后續該軟件的升級程序會被自動放行。204b 根據(第二)文件簽名應用層過濾規則對實時防護事件進行過濾;具體的,從服務器獲取并實時更新(第二)文件簽名應用層過濾規則,每條規則可以附加文件簽名過濾驗證的參數配置,然后將實時防護事件對應的文件簽名與參數配置對應的第二文件簽名進行匹配,如果匹配,則按照文件簽名應用層過濾規則執行相應的放行或禁止的操作,然后執行步驟207,如果不匹配,執行下一條應用層過濾規則。在本實施例中,下一條應用層過濾規則為步驟2(Mc中的MD5應用層過濾規則。其中,關于文件簽名應用層過濾規則的定義參見步驟203a,這里不再贅述。需要注意的是,本步驟與步驟203a過濾方式相同,但是規則的具體內容可以相同,也可以不同,即第一文件簽名與第二文件簽名以及相應的操作可以相同或不同。204c 根據MD5應用層過濾規則對實時防護事件進行過濾;具體的,從服務器獲取并實時更新MD5應用層過濾規則,每條規則可以附加MD5過濾驗證的參數配置,然后將實時防護事件對應的MD5與參數配置對應的MD5進行匹配,如果匹配,則按照MD5應用層過濾規則執行相應的放行或禁止的操作,然后執行步驟207,如果不匹配,執行下一條應用層過濾規則。上述過濾過程中,參數配置對應的MD5可以是MD5的黑名單或白名單,黑名單用于禁止實時防護事件的操作,白名單用于放行實時防護事件的操作。另外,根據系統監控點的不同,可以將黑白名單直接附加在參數配置中,也可以將黑白名單的版本、路徑等信息附加在參數配置中。205 確定實時防護事件的風險等級,將實時防護事件及其風險等級發送給用戶;具體的,對事件的可執行文件進行掃描,判斷風險等級,并將風險等級附加到事件上下文中,作為用戶的決策參考。另外,本步驟可選,也即可以只將實時防護事件發送給用戶。206 用戶根據風險等級對實時防護事件進行決策;具體的,根據事件上下文信息,按照監控資源類型組織窗口彈出,窗口中包含了事件的詳細信息、以及可執行程序的風險等級,由用戶決定放行或禁止該操作,如果用戶選擇了“以后放行此進程的所有操作”或者“以后禁止此進程的所有操作”,則增加到用戶自定義應用層過濾規則中。另外,用戶也可以對實時防護事件直接決策,此方法適用于熟悉計算機安全的用戶。207:驅動根據用戶的決策結果或應用層過濾規則的結果,對實時防護事件執行放行或禁止的操作。本實施例提供的方法,通過從服務器獲取并實時更新應用層過濾規則,判斷實時防護事件是否匹配應用層過濾規則,如果匹配,根據應用層過濾規則對實時防護事件執行相應的操作,不需要用戶干預,提高了防護的準確性和用戶操作的效率;相應的,如果不匹配應用層過濾規則,再發給用戶決策,相對于用戶對所有的監控事件進行決策,也有利于提高用戶操作的效率。另外,通過評估實時防護事件的風險等級以輔助用戶決策,可以幫助用戶分辨安全的軟件和惡意的軟件,做出正確的選擇。實施例2參見圖3,本實施例提供了一種實時防護的裝置,該裝置包括獲取模塊301,用于從服務器獲取并實時更新應用層過濾規則;判斷模塊302,用于判斷實時防護事件是否匹配獲取模塊301獲取的應用層過濾規則;執行模塊303,用于如果判斷模塊302判斷的結果為匹配,根據獲取模塊301獲取的應用層過濾規則對實時防護事件執行相應的操作。進一步的,獲取模塊301,還用于當應用層過濾規則有多個時,從服務器獲取并實時更新應用層過濾規則的執行順序;相應的,判斷模塊302,還用于按照獲取模塊301獲取的執行順序,當實時防護事件與應用層過濾規則的前一個應用層過濾規則不匹配時,再判斷實時防護事件是否匹配應用層過濾規則。進一步的,參見圖4,該裝置還包括發送模塊304,用于如果判斷模塊302判斷的結果為不匹配,將實時防護事件發送
給用戶決策。進一步的,該裝置還包括確定模塊305,用于將實時防護事件發送給用戶決策之前,確定實時防護事件的風險等級;發送模塊304,還用于將實時防護事件的風險等級發送給用戶,使用戶根據風險等級對實時防護事件進行決策。其中,獲取模塊301獲取的應用層過濾規則包括通用策略監控點的應用層過濾規則和自保護監控點的應用層過濾規則;判斷模塊302包括確定單元30加,用于確定實時防護事件所屬監控點的類型;第一判斷單元302b,用于當確定單元30 確定的類型為通用策略監控點時,判斷實時防護事件是否匹配通用策略監控點的應用層過濾規則;第二判斷單元302c,用于當確定單元30 確定的類型為自保護監控點時,判斷實時防護事件是否匹配自保護監控點的應用層過濾規則。其中,獲取模塊301獲取的自保護監控點的應用層過濾規則包括第一文件簽名應用層過濾規則、進程的黑白名單應用層過濾規則中的至少一個;獲取模塊301獲取的通用策略監控點的應用層過濾規則包括第二文件簽名應用層過濾規則、信息摘要算法MD5應用層過濾規則中的至少一個。本實施例提供的裝置,與方法實施例屬于同一構思,其具體實現過程詳見方法實施例,這里不再贅述。本實施例提供的裝置,通過從服務器獲取并實時更新應用層過濾規則,判斷實時防護事件是否匹配應用層過濾規則,如果匹配,根據應用層過濾規則對實時防護事件執行相應的操作,不需要用戶干預,提高了防護的準確性和用戶操作的效率;相應的,如果不匹配應用層過濾規則,再發給用戶決策,相對于用戶對所有的監控事件進行決策,也有利于提高用戶操作的效率。另外,通過評估實時防護事件的風險等級以輔助用戶決策,可以幫助用戶分辨安全的軟件和惡意的軟件,做出正確的選擇。以上實施例提供的技術方案中的全部或部分內容可以通過軟件編程實現,其軟件程序存儲在可讀取的存儲介質中,存儲介質例如計算機中的硬盤、光盤或軟盤。以上所述僅為本發明的較佳實施例,并不用以限制本發明,凡在本發明的精神和原則之內,所作的任何修改、等同替換、改進等,均應包含在本發明的保護范圍之內。
權利要求
1.一種實時防護的方法,其特征在于,所述方法包括 從服務器獲取并實時更新應用層過濾規則; 判斷實時防護事件是否匹配所述應用層過濾規則;如果匹配,根據所述應用層過濾規則對所述實時防護事件執行相應的操作。
2.如權利要求1所述的方法,其特征在于,當所述應用層過濾規則有多個時,所述從服務器獲取并實時更新應用層過濾規則之后包括從所述服務器獲取并實時更新所述應用層過濾規則的執行順序; 所述判斷實時防護事件是否匹配所述應用層過濾規則包括按照所述執行順序,當所述實時防護事件與所述應用層過濾規則的前一個應用層過濾規則不匹配時,再判斷所述實時防護事件是否匹配所述應用層過濾規則。
3.如權利要求1所述的方法,其特征在于,所述方法還包括 如果不匹配,將所述實時防護事件發送給用戶決策。
4.如權利要求3所述的方法,其特征在于,所述將所述實時防護事件發送給用戶決策之前還包括確定所述實時防護事件的風險等級;所述將所述實時防護事件發送給用戶決策還包括將所述實時防護事件的風險等級發送給所述用戶,使所述用戶根據所述風險等級對所述實時防護事件進行決策。
5.如權利要求1-4任一權利要求所述的方法,其特征在于,所述應用層過濾規則包括 通用策略監控點的應用層過濾規則和自保護監控點的應用層過濾規則;所述判斷實時防護事件是否匹配所述應用層過濾規則包括 確定所述實時防護事件所屬監控點的類型;當所述類型為通用策略監控點時,判斷所述實時防護事件是否匹配所述通用策略監控點的應用層過濾規則;當所述類型為自保護監控點時,判斷所述實時防護事件是否匹配所述自保護監控點的應用層過濾規則。
6.如權利要求5所述的方法,其特征在于,所述自保護監控點的應用層過濾規則包括 第一文件簽名應用層過濾規則、進程的黑白名單應用層過濾規則中的至少一個;所述通用策略監控點的應用層過濾規則包括第二文件簽名應用層過濾規則、信息摘要算法MD5應用層過濾規則中的至少一個。
7.一種實時防護的裝置,其特征在于,所述裝置包括獲取模塊,用于從服務器獲取并實時更新應用層過濾規則; 判斷模塊,用于判斷實時防護事件是否匹配所述獲取模塊獲取的應用層過濾規則; 執行模塊,用于如果所述判斷模塊判斷的結果為匹配,根據所述獲取模塊獲取的應用層過濾規則對所述實時防護事件執行相應的操作。
8.如權利要求7所述的裝置,其特征在于,所述獲取模塊,還用于當所述應用層過濾規則有多個時,從所述服務器獲取并實時更新所述應用層過濾規則的執行順序;所述判斷模塊,還用于按照所述獲取模塊獲取的執行順序,當所述實時防護事件與所述應用層過濾規則的前一個應用層過濾規則不匹配時,再判斷所述實時防護事件是否匹配所述應用層過濾規則。
9.如權利要求7所述的裝置,其特征在于,所述裝置還包括發送模塊,用于如果所述判斷模塊判斷的結果為不匹配,將所述實時防護事件發送給用戶決策。
10.如權利要求9所述的裝置,其特征在于,所述裝置還包括確定模塊,用于將所述實時防護事件發送給用戶決策之前,確定所述實時防護事件的風險等級;所述發送模塊,還用于將所述實時防護事件的風險等級發送給所述用戶,使所述用戶根據所述風險等級對所述實時防護事件進行決策。
11.如權利要求7-10任一權利要求所述的裝置,其特征在于,所述獲取模塊獲取的應用層過濾規則包括通用策略監控點的應用層過濾規則和自保護監控點的應用層過濾規則;所述判斷模塊包括確定單元,用于確定所述實時防護事件所屬監控點的類型;第一判斷單元,用于當所述確定單元確定的類型為通用策略監控點時,判斷所述實時防護事件是否匹配所述通用策略監控點的應用層過濾規則;第二判斷單元,用于當所述確定單元確定的類型為自保護監控點時,判斷所述實時防護事件是否匹配所述自保護監控點的應用層過濾規則。
12.如權利要求11所述的裝置,其特征在于,所述獲取模塊獲取的自保護監控點的應用層過濾規則包括第一文件簽名應用層過濾規則、進程的黑白名單應用層過濾規則中的至少一個;所述獲取模塊獲取的通用策略監控點的應用層過濾規則包括第二文件簽名應用層過濾規則、信息摘要算法MD5應用層過濾規則中的至少一個。
全文摘要
本發明公開了一種實時防護的方法和裝置,屬于安全領域。所述方法包括從服務器獲取并實時更新應用層過濾規則;判斷實時防護事件是否匹配所述應用層過濾規則;如果匹配,根據所述應用層過濾規則對所述實時防護事件執行相應的操作。所述裝置包括獲取模塊、判斷模塊和執行模塊。本發明通過從服務器獲取并實時更新應用層過濾規則,判斷實時防護事件是否匹配該應用層過濾規則,如果匹配,根據該應用層過濾規則對實時防護事件執行相應的操作,不需要用戶干預,提高了防護的準確性和用戶操作的效率。
文檔編號G06F21/00GK102263773SQ20101018640
公開日2011年11月30日 申請日期2010年5月25日 優先權日2010年5月25日
發明者孟齊源, 王宇 申請人:騰訊科技(深圳)有限公司