[发明专利]规则下发方法及装置

说明书

本发明公开了一种规则下发方法及装置，该方法包括：监控设备中每一程序对应的程序行为；采用预设的行为触发条件判断当前程序对应的程序行为是否符合规则触发标识；如果所述程序行为符合所述规则触发标识，向服务器发送规则请求，以使服务器根据所述规则请求查找与该规则触发标识对应的规则；接收服务器发送的规则，采用所述服务器发送的规则对所述当前程序对应的程序行为进行监控。该方法针对规则触发标识下发程序行为的规则比现有不针对规则触发标识下发程序行为的规则，在减少规则下发量的同时，降低了系统内存的占用，提升了用户体验。

技术领域

本发明涉及互联网技术领域，具体涉及一种规则下发方法及装置。

背景技术

主动防御是基于程序行为自主分析判断，以防御恶意程序的实时防护技术。恶意程序是一个概括性的术语，指任何故意创建用来执行未经授权并通常是有害行为的软件程序。计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒、木马、犯罪软件、间谍软件和广告软件等等，都可以称之为恶意程序。

主动防御在进行恶意程序防御时，不以文件特征值作为判断恶意程序的依据，而是从最原始的定义出发，直接将程序的行为作为判断恶意程序的依据。以基于主机的入侵防御系统(Host-based Intrusion Prevention System，简称HIPS)为例，HIPS是一种能监控计算机中文件的运行和文件运行了其他的文件以及文件对注册表的修改，并发出报告请求允许运行或修改的主动防御软件。

然而当某个程序触发某个行为的时候，云端会下发许多关于执行该程序的防御规则，大量的规则占用了较多的系统内存，造成系统启动速度变慢，导致用户体验差。

发明内容

针对现有技术中的缺陷，本发明提供了一种规则下发方法及装置，解决了现有技术的设备中因下发大量的规则占用较多的系统内存，提升了用户体验。

第一方面，本发明提供了一种规则下发装置，包括：

监控模块，用于监控设备中每一程序对应的程序行为；

判断模块，用于采用预设的行为触发条件判断当前程序对应的程序行为是否符合规则触发标识；

第一发送模块，用于在所述程序行为符合所述规则触发标识时，向服务器发送规则请求，以使服务器根据所述规则请求查找与该规则触发标识对应的规则；

第一接收模块，用于接收服务器发送的规则，采用所述服务器发送的规则对所述当前程序对应的程序行为进行监控。

可选的，所述装置还包括第二发送模块，用于在所述服务器发送的部分/全部规则不匹配监控到的所述当前程序对应的程序行为时，向服务器发送与所述部分/全部规则对应的规则撤销请求，以使服务器根据所述规则撤销请求发送所述部分/全部规则的删除指令；

第二接收模块，用于接收服务器发送的删除指令，根据所述删除指令将所述部分/全部规则删除。

可选的，所述预设的行为触发条件为服务器根据多个设备中的程序对应的程序行为统计的，并预先发送设备的行为触发条件；

所述行为触发条件中包括：每一程序对应的程序行为，和与该程序行为对应的规则触发标识。

可选的，所述装置还包括：

第三接收模块，用于接收所述服务器发送的用于删除所述设备中不使用规则的规则删除指令，所述规则删除指令包括：所述服务器发送到所述设备中的规则删除标识；

确定模块，用于查找所述设备中与所述规则删除标识匹配的规则，并确定该规则已经不再监控当前程序的程序行为，则根据所述规则删除指令将该规则删除。

可选的，接收服务器发送的规则为防御规则、文件防御规则、拦截规则、数据处理规则；