[发明专利]一种安全防护方法和装置

权利要求书

1.一种安全防护方法，其特征在于，包括如下步骤：

利用系统原孵化器构造用于孵化进程环境的镜像孵化器；

通过该镜像孵化器进行孵化，以为待运行应用程序建立进程和所述进程环境；

根据待运行应用程序的属性信息确定需要针对该待运行应用程序监控的事件行为，并对监控单元进行设置使监控单元运行时对所确定的事件行为进行监控；

利用该镜像孵化器孵化而得的进程将监控单元及待运行应用程序加载到该进程环境中运行，由所述监控单元对所述待运行应用程序的事件行为实施监控。

2.如权利要求1所述的方法，其特征在于，所述根据待运行应用程序的属性信息确定需要针对该待运行应用程序监控的事件行为，并对监控单元进行设置使监控单元运行时对所确定的事件行为进行监控，包括：

根据待运行应用程序的类型确定允许该待运行应用程序执行的事件行为，生成对应的事件行为的白名单；

将白名单导入到所述监控单元，以使所述监控单元对所述白名单之外的事件行为进行监控。

3.如权利要求2所述的方法，其特征在于，所述将白名单导入到所述监控单元具体包括：

将所述白名单通过交互界面展示给用户；

根据用户操作对所述白名单进行更新；

将更新后的白名单导入到所述监控单元。

4.如权利要求1所述的安全防护方法，其特征在于，所述利用原孵化器构造镜像孵化器的进程，包括如下步骤：

运行控制模块；利用所述控制模块，以原孵化器为基础构造所述镜像孵化器；

建立控制模块与镜像孵化器的连接。

5.根据权利要求4所述的安全防护方法，其特征在于，利用所述控制模块以原孵化器为基础构造所述镜像孵化器的步骤包括：

所述控制模块利用原孵化器的套接口建立与原孵化器的连接；

所述控制模块关闭活动管理服务基于原孵化器的套接口所维持的连接；

所述控制模块复制原孵化器的可执行代码并向其植入用于加载所述监控单元的调用指令；

所述控制模块运行所述镜像孵化器的代码以构造镜像孵化器。

6.根据权利要求1所述的安全防护方法，其特征在于，所述监控单元包括若干挂钩插件，通过监视所述应用程序进程的不同调用指令而适用相应的挂钩插件，以对所述应用程序进程的事件行为进行处理。

7.一种安全防护装置，其特征在于，包括：

控制模块，用于利用系统原孵化器构造用于孵化进程环境的镜像孵化器并根据待运行应用程序的属性信息确定需要针对该待运行应用程序监控的事件行为，对监控单元进行设置使监控单元运行时对所确定的事件行为进行监控；所述的镜像孵化器，用于通过自身孵化出进程环境并在该进程环境中加载监控单元及待运行应用程序；

所述的监控单元，用于对所述待运行应用程序的事件行为实施监控。

8.根据权利要求7所述的安全防护装置，其特征在于，所述控制模块具体用于根据待运行应用程序的类型确定允许该待运行应用程序执行的事件行为，生成对应的事件行为的白名单；将白名单导入到所述监控单元，以使所述监控单元对所述白名单之外的事件行进行监控。

9.根据权利要求8所述的安全防护装置，其特征在于，所述控制模块具体用于将所述白名单通过交互界面展示给用户；根据用户操作对所述白名单进行 更新；将更新后的白名单导入到所述监控单元。

10.根据权利要求7至9中任意一项所述的安全防护装置，其特征在于，所述监控单元包括若干挂钩插件，通过监视所述应用程序进程的不同调用指令而适用相应的挂钩插件，以对所述应用程序进程的事件行为进行处理。