[发明专利]一种实时防护方法和装置

权利要求书

1.一种实时防护方法，其特征在于，包括：

设置驱动层规则与应用层规则的对应关系，所述驱动层规则中的至少一条驱动层规则对应一个或一个以上应用层规则；

当监控到发生与预设置的防护监控事件相同的事件发生时，判断该事件是否符合预设的驱动层规则；如果否则步骤结束；

判断是否有与该驱动层规则对应的应用层规则；如果否则步骤结束；

根据获取的事件参数，通过所述应用层规则对所述事件进行过滤，并将过滤结果发送到驱动层。

2.根据权利要求1所述的实时防护方法，其特征在于，所述每一应用层规则至少包括以下一个或一个以上字段：

规则名称字段，用于记录所述应用层规则的名称；

动作ID字段，用于记录所述应用层规则对应的过滤函数；

关联驱动监控规则ID字段，用于记录与所述应用层规则对应的驱动层规则；

附加参数字段，用于记录所述应用层规则的参数。

3.根据权利要求2所述的实时防护方法，其特征在于，所述通过所述应用层规则对所述事件进行过滤，并将过滤结果发送到驱动层包括：

调用所述应用层规则对应的过滤函数，并将所述应用层规则对应的附加参数字段发送给过滤函数；接收所述过滤函数的返回值，如果该返回值是通过或禁止，则将该结果发送到驱动层，步骤结束；如果过滤函数的返回值是继续过滤，则进入下一条应用层规则。

4.根据权利要求1-3任一项所述的实时防护方法，其特征在于，所述方法还包括：

驱动层根据事件类型生成事件上下文消息，所述事件上下文消息中包括以下的一个或几个参数：执行进程ID、执行进程可执行程序路径、事件操作类型、操作对象；

驱动层将所述事件上下文消息发送到应用层；

应用层根据所述事件上下文消息，构建事件参数。

5.一种实时防护装置，其特征在于，包括：

对应关系设置模块，用于设置驱动层规则与应用层规则的对应关系，述所述驱动层规则中的至少一条驱动层规则对应一个或一个以上应用层规则；

事件监控模块，用于监控事件，当监控到发生与预设置的防护监控事件相同的事件发生时，判断该事件是否符合预设的驱动层规则；并判断是否有与该驱动层规则对应的应用层规则；

应用层过滤模块，用于根据获取的事件参数，通过所述应用层规则对所述事件进行过滤，并将过滤结果发送到驱动层。

6.根据权利要求5所述的实时防护装置，其特征在于，所述每一应用层规则至少包括以下一个或一个以上字段：

规则名称字段，用于记录所述应用层规则的名称；

动作ID字段，用于记录所述应用层规则对应的过滤函数；

关联驱动监控规则ID字段，用于记录与所述应用层规则对应的驱动层规则；

附加参数字段，用于记录所述应用层规则的参数。

7.根据权利要求6所述的实时防护装置，其特征在于，所述应用层过滤模块包括：

过滤函数调用单元，用于调用所述应用层规则对应的过滤函数，并将所述应用层规则对应的附加参数字段发送给过滤函数；

返回值接收单元，用于接收所述过滤函数的返回值，如果该返回值是通过或禁止，则将该结果发送到驱动层，如果过滤函数的返回值是继续过滤，则进入下一条应用层规则继续进行过滤。

8.根据权利要求5-7任一项所述的实时防护装置，其特征在于，所述装置还包括：

消息生成模块，设置于驱动层，用于根据事件类型生成事件上下文消息，所述事件上下文消息中包括以下的一个或几个参数：执行进程ID、执行进程可执行程序路径、事件操作类型、操作对象；

消息发送模块，设置于驱动层，用于将所述事件上下文消息发送到应用层；

参数重构模块，设置于应用层，用于根据所述事件上下文消息，构建事件参数。