安全防護方法及裝置的制造方法

安全防護方法及裝置的制造方法
【技術領域】
[0001 ]本發明涉及計算機技術領域，具體涉及一種安全防護方法及裝置。
【背景技術】
[0002]“云查殺”是一種新興的安全技術，其主要指的是終端將檢測對象(例如代碼、文件、應用程序、應用程序行為、進程、進程行為等等)的相關數據上傳至服務端，由服務端分析出處理方案，再下發至終端生效執行的過程。借助于服務端強大的信息搜集能力和數據運算能力，云查殺技術可以應對絕大多數的惡意程序，保護終端免受惡意程序的侵害。
[0003]在云查殺的實際應用中，現有安全防護產品通常會采用緩存機制來減少不必要操作所造成的資源浪費。具體來說，緩存機制指的是在服務端下發一個處理方案之后，終端將其保存的本地，以在此后出現的同樣情形時直接依照本地存儲的處理方案進行處理。更廣義地來說，緩存機制的核心思想是排除掉明顯不需要進行云查殺的檢測對象，以節約系統資源和網絡資源。
[0004]然而現有安全防護產品所沒有注意到的是，有些惡意程序會專門利用緩存機制來避開云查殺。比如，記事本是各個操作系統中的非常常見應用程序，現有的安全防護產品對于該應用程序通常采取只進行一次云查殺或者不進行云查殺的處理方式;從而惡意程序如果采用啟動記事本或者向記事本注入代碼的方式來執行操作，那么終端在判定執行者為記事本的情況下就不會上傳相關數據，使得惡意程序的操作成功避開云查殺。

【發明內容】

[0005]針對現有技術中的缺陷，本發明提供一種安全防護方法及裝置，可以防止惡意程序利用緩存機制來避開云查殺。
[0006]第一方面，本發明提供了一種安全防護裝置，包括處理單元，所述理單元用于在本地進程列表中帶有緩存標記的進程匹配預設的觸發策略時，按照所述緩存標記所對應的本地處理策略對該進程和/或其行為進行處理，其特征在于，所述安全防護裝置還包括:
[0007]第一添加單元，用于在任一進程匹配預設的風險判定策略時，在所述本地進程列表中向該進程添加預設標記；
[0008]第二添加單元，用于在帶有所述預設標記的進程創建新的進程或者向其他進程注入代碼時，在所述本地進程列表中向被創建的進程或者被注入代碼的進程添加所述預設標記；
[0009]發送單元，用于在帶有所述預設標記的進程匹配所述觸發策略時，無論該進程是否帶有所述緩存標記，均將該進程和/或其行為的描述信息發送至服務端，以使所述服務端返回用于應對該進程和/或其行為的本地處理策略。
[0010]可選地，所述發送單元包括:
[0011 ]判斷模塊，用于在任一進程匹配所述觸發策略時，判斷該進程是否在所述本地進程列表中帶有所述預設標記；
[0012]獲取模塊，用于在該進程在所述本地進程列表中帶有所述預設標記時，獲取該進程和/或其行為的描述信息；
[0013]發送模塊，用于將該進程和/或其行為的描述信息發送至服務端，以使所述服務端返回用于應對該進程和/或其行為的本地處理策略。
[0014]可選地，所述發送單元還包括:
[0015]接收模塊，用于接收所述服務端返回的本地處理策略；
[0016]處理模塊，用于按照所述服務端返回的本地處理策略對帶有所述預設標記的進程和/或其行為進行處理。
[0017]可選地，所述安全防護裝置還包括:
[0018]替換單元，用于使用所述服務端返回的本地處理策略替換掉本地存儲器中對應于同一進程的本地處理策略。
[0019]可選地，具有下述任意的一種或多種的行為的進程匹配所述風險判定策略:
[0020]訪問與進程所屬應用程序的功能無關的網絡地址；
[0021]下載與進程所屬應用程序的功能無關的文件；
[0022]建立與進程所屬應用程序的功能無關的進程；
[0023]向與進程所屬應用程序無關的其他進程注入代碼；
[0024]在受保護的文件目錄下寫入文件；
[0025]與黑名單中的應用程序相關的進程的行為。
[0026]第二方面，本發明還提供了一種安全防護方法，包括:
[0027]在本地進程列表中帶有緩存標記的進程匹配預設的觸發策略時，按照所述緩存標記所對應的本地處理策略對該進程和/或其行為進行處理；
[0028]所述安全防護方法還包括:
[0029]在任一進程匹配預設的風險判定策略時，在所述本地進程列表中向該進程添加預設標記；
[0030]在帶有所述預設標記的進程創建新的進程或者向其他進程注入代碼時，在所述本地進程列表中向被創建的進程或者被注入代碼的進程添加所述預設標記；
[0031]在帶有所述預設標記的進程匹配所述觸發策略時，無論該進程是否帶有所述緩存標記，均將該進程和/或其行為的描述信息發送至服務端，以使所述服務端返回用于應對該進程和/或其行為的本地處理策略。
[0032]可選地，所述在帶有所述預設標記的進程匹配所述觸發策略時，無論該進程是否帶有所述緩存標記，均將該進程和/或其行為的描述信息發送至服務端，以使所述服務端返回用于應對該進程和/或其行為的本地處理策略，包括:
[0033]在任一進程匹配所述觸發策略時，判斷該進程是否在所述本地進程列表中帶有所述預設標記；
[0034]在該進程在所述本地進程列表中帶有所述預設標記時，獲取該進程和/或其行為的描述信息；
[0035]將該進程和/或其行為的描述信息發送至服務端，以使所述服務端返回用于應對該進程和/或其行為的本地處理策略。
[0036]可選地，所述在帶有所述預設標記的進程匹配所述觸發策略時，無論該進程是否帶有所述緩存標記，均將該進程和/或其行為的描述信息發送至服務端，以使所述服務端返回用于應對該進程和/或其行為的本地處理策略，還包括:
[0037]接收所述服務端返回的本地處理策略；
[0038]按照所述服務端返回的本地處理策略對帶有所述預設標記的進程和/或其行為進行處理。
[0039]可選地，所述安全防護方法還包括:
[0040]使用所述服務端返回的本地處理策略替換掉本地存儲器中對應于同一進程的本地處理策略。
[0041]可選地，具有下述任意的一種或多種的行為的進程匹配所述風險判定策略:
[0042]訪問與進程所屬應用程序的功能無關的網絡地址；
[0043]下載與進程所屬應用程序的功能無關的文件；
[0044]建立與進程所屬應用程序的功能無關的進程；
[0045]向與進程所屬應用程序無關的其他進程注入代碼；
[0046]在受保護的文件目錄下寫入文件；
[0047]與黑名單中的應用程序相關的進程的行為。
[0048]由上述技術方案可知，本發明在緩存機制的基礎上對匹配風險判定策略的進程添加了預設標記，并且被該進程創建或者注入代碼的進程均會被添加該預設標記。從而，在帶有所述預設標記的進程匹配觸發策略時，將無視緩存機制而直接向服務端發送相關數據。因此，被添加預設標記的進程無論采用直接還是間接的方式實現其功能，均會被服務端獲知，使得本發明可以防止惡意程序利用緩存機制來避開云查殺。
[0049]相比于現有技術而言，本發明可以使得服務端獲取到在現有技術中被緩存機制掩蓋住的有害代碼，因此不僅有助于提升服務端上的安全策略的優化，還可以提高攔截惡意程序的有效性、反過來提升終端的安全性能，大大提升用戶體驗。
[0050]當然，實施本發明的任一產品或方法并不一定需要同時達到以上所述的所有優點。
【附圖說明】
[0051]為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作一簡單的介紹，顯而易見地，下面描述中的附圖是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。
[0052]圖1是本發明一個實施例中一種安全防護方法的步驟流程示意圖；
[0053]圖2是本發明一個實施例中一種向服務端發送相關數據的步驟流程示意圖；
[0054]圖3是本發明一個實施例中一種安全防護裝置的結構框圖。
【具體實施方式】
[0055]為使本發明實施例的目的、技術方案和優點更加清楚，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。
[0056]在本發明的描述中需要說明的是，術語“上”、“下”等指示的方位或位置關系為基于附圖所示的方位或位置關系，僅是為了便于描述本發明和簡化描述，而不是指示或暗示所指的裝置或元件必須具有特定的方位、以特定的方位構造和操作，因此不能理解為對本發明的限制。除非另有明確的規定和限定，術語“安裝”、“相連”、“連接”應做廣義理解，例如，可以是固定連接，也可以是可拆卸連接，或一體地連接;可以是機械連接，也可以是電連接;可以是直接相連，也可以通過中間媒介間接相連，可以是兩個元件內部的連通。對于本領域的普通技術人員而言，可以根據具體情況理解上述術語在本發明中的具體含義。
[