[发明专利]安全防护方法及装置、终端

权利要求书

1.一种安全防护方法，其特征在于，所述方法包括：

遍历策略动态链接库获取监控策略，所述策略动态链接库中包括至少一个监控策略；

从所述监控策略中获取被监控进程的监控点；

向监控驱动模块下发所述监控点，以供所述监控驱动模块监控所述监控点的行为是否发生；

接收所述监控驱动模块的上报消息，所述上报消息为所述监控驱动模块监控到所述监控点的行为发生时发起的；

根据所述被监控进程的属性、触发所述监控点的进程的属性以及所述监控策略中所述监控点对应的处理策略，对所述监控点的行为进行处理。

2.根据权利要求1所述的方法，其特征在于，接收所述监控驱动模块的上报消息之后，根据所述被监控进程的属性、触发所述监控点的进程的属性以及所述监控策略中所述监控点对应的处理策略，对所述监控点的行为进行处理之前，所述方法还包括：调用所述策略动态链接库的前置回调处理函数获取所述监控点对应的处理策略。

3.根据权利要求2所述的方法，其特征在于，根据所述被监控进程的属性、触发所述监控点的进程的属性以及所述监控策略中所述监控点对应的处理策略，对所述监控点的行为进行处理，包括：

根据所述处理策略判断是否需要对所述监控点的行为进行处理；

当需要对所述监控点的行为进行处理时，判断所述被监控进程的属性是否为受保护进程，若所述被监控进程的属性是受保护进程，进一步判断触发所述监控点的进程的属性是否为不安全进程，若触发所述监控点的进程的属性是不安全进程，阻止所述监控点的行为的发生；否则若触发所述监控点的进程的属性是安全进程，弹出提示框，以询问用户所述监控点的行为如何处理；否则若所述被监控进程的属性是不受保护进程，放行所述监控点的行为。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

当不需要对所述监控点的行为进行处理时，放行所述监控点的行为。

5.根据权利要求1-4任一所述的方法，其特征在于，根据所述被监控进程的属性、触发所述监控点的进程的属性以及所述监控策略中所述监控点对应的处理策略，对所述监控点的行为进行处理之后，所述方法还包括：

调用所述策略动态链接库的后置回调处理函数获取补充处理策略；

并根据所述补充处理策略对触发所述监控点的进程进行补充处理。

6.根据权利要求5所述的方法，其特征在于，所述补充处理策略包括对触发所述监控点的进程进行上报或者分析。

7.根据权利要求6所述的方法，其特征在于，所述方法还包括：

判断互联网上是否有新的策略动态链接库需要更新；

若所述联网上有新的策略动态链接库需要更新，从所述互联网上下载新的策略动态链接库；

检查所述策略动态链接库是否已被加载，若是，清空下发至所述监控驱动模块的所述监控点，并取消所述策略动态链接库的上报回调，在所述策略动态链接库调用完毕时，卸载所述策略动态链接库，重新加载所述新的策略动态链接库；若所述策略动态链接库未被加载，直接加载所述新的策略动态链接库。

8.一种安全防护装置，其特征在于，所述装置包括：

获取模块，用于遍历策略动态链接库获取监控策略，所述策略动态链接库中包括至少一个监控策略；

所述获取模块，还用于从所述监控策略中获取被监控进程的监控点；

下发模块，用于向监控驱动模块下发所述监控点，以供所述监控驱动模块监控所述监控点的行为是否发生；

接收模块，用于接收所述监控驱动模块的上报消息，所述上报消息为所述监控驱动模块监控到所述监控点的行为发生时发起的；

处理模块，用于根据所述被监控进程的属性、触发所述监控点的进程的属性以及所述监控策略中所述监控点对应的处理策略，对所述监控点的行为进行处理。

9.根据权利要求8所述的装置，其特征在于，所述装置还包括调用模块；

所述调用模块，用于在接收模块接收所述监控驱动模块的上报消息之后，所述处理模块根据所述被监控进程的属性、触发所述监控点的进程的属性以及所述监控策略中所述监控点对应的处理策略，对所述监控点的行为进行处理之前，调用所述策略动态链接库的前置回调处理函数获取所述监控点对应的处理策略。