[发明专利]安全性检测方法与装置

说明书

技术领域

本发明涉及计算机安全技术领域，特别涉及一种安全性检测方法与装置。

背景技术

随着科技的发展，计算机的实时防护技术是保证计算机安全运行的必要保障。

现有的实时防护技术中，通过对如驱动加载，修改系统注册表关键项或者注入等之类的系统的敏感操作进行监控，当捕获到系统的敏感操作时，采集该敏感操作的发起进程以及该发起进程的相关信息。例如敏感操作的发起进程exe的相关信息可以包括该发起进程的md5、数字签名和文件厂商信息中的至少一个。然后根据该发起进程的相关信息对发起进程进行安全性检测，以确定是否放行该敏感操作。其中根据该发起进程的相关信息对发起进程进行安全性检测，也可以理解为根据该发起进程的相关信息判断发起进程的黑白属性，当发起进程为白属性时，该发起进程为安全的，此时对应的可以放行该敏感操作。当发起进程为黑属性时，该发起进程是危险的（即不安全的），此时对应的可以禁止放行该敏感操作。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：上述的现有实时防护技术，仅对敏感操作的发起进程进行安全性验证，而实际应用中，一个发起进程可以包含有多个模块，当该发起进程为安全（即白属性）进程，而该发起进程中的多个模块中包括有危险（即黑属性）的模块，且该危险模块通过注入，dll劫持进入到属于安全的该发起进程并发起敏感操作，根据现有的上述实时防护技术，由于该发起进程为安全的，直接放行该敏感操作，而实际的发起者是黑属性的模块劫持该发起进程发起的，从而严重影响了系统的安全性与稳定性。因此现有的实时防护技术中的安全性检测粒度过粗，造成计算机系统的安全性与稳定性较差。

发明内容

为了解决现有技术的问题，本发明实施例提供了一种安全性检测方法与装置。所述技术方案如下：

一方面，提供了一种安全性检测方法，所述方法包括：

确定发起敏感操作的进程中的发起模块；

采集所述发起模块的身份信息；

根据采集的信息和预设的数据库对发起所述敏感操作的安全性进行检测。

可选地，如上所述的安全性检测方法中，所述根据采集的信息和预设的数据库对发起所述敏感操作的安全性进行检测之后，还包括：

根据安全性检测的结果，确定是否放行所述敏感操作。

可选地，如上所述的安全性检测方法中，所述确定发起敏感操作的进程中的发起模块，包括：

通过栈回溯的定位方法确定发起所述敏感操作的进程中的所述发起模块；

或者通过线程起始地址查询的定位方法确定发起所述敏感操作的进程中的所述发起模块。

可选地，如上所述的安全性检测方法中，所述根据采集的信息和预设的数据库对发起所述敏感操作的安全性进行检测之前，还包括：

采集所述敏感操作的参数信息。

可选地，如上所述的安全性检测方法中，所述根据采集的信息对发起所述敏感操作的安全性进行检测，包括：

根据所述发起模块的身份信息、所述敏感操作的参数信息和所述预设的数据库对发起所述敏感操作的安全性进行检测。

可选地，如上所述的安全性检测方法中，根据所述发起模块的身份信息、所述敏感操作的参数信息和所述预设的数据库对发起所述敏感操作的安全性进行检测，包括：

根据所述发起模块的身份信息和所述预设的数据库检测所述发起模块的黑白属性；

根据所述敏感操作的参数信息和所述预设的数据库检测所述敏感操作的黑白属性；

根据所述发起模块的黑白属性和所述敏感操作的黑白属性对发起所述敏感操作的安全性进行检测。

可选地，如上所述的安全性检测方法中，根据所述发起模块的黑白属性和所述敏感操作的黑白属性对发起所述敏感操作的安全性进行检测，包括：

当所述发起模块和所述敏感操作均为白属性时，确定发起所述敏感操作是安全的；

否则当所述发起模块和/或所述敏感操作为黑属性时，确定发起所述敏感操作是危险的。

可选地，如上所述的安全性检测方法中，所述发起模块的身份信息包括数字签名信息、文件厂商信息和文件描述信息中的至少一个。

另一方面，提供了一种安全性检测装置，所述装置包括：

确定单元，用于确定发起敏感操作的进程中的发起模块；

采集单元，用于采集所述发起模块的身份信息；

检测单元，用于根据采集的信息和预设的数据库对发起所述敏感操作的安全性进行检测。

可选地，如上所述的安全性检测装置中，所述装置还包括：