[发明专利]安全防护方法及装置

权利要求书

1.一种安全防护装置，包括处理单元，所述处理单元用于在本地进程列表中带有缓存标记的进程匹配预设的触发策略时，按照所述缓存标记所对应的本地处理策略对该进程和/或其行为进行处理，其特征在于，所述安全防护装置还包括：

第一添加单元，用于在任一进程匹配预设的风险判定策略时，在所述本地进程列表中向该进程添加预设标记；

第二添加单元，用于在带有所述预设标记的进程创建新的进程或者向其他进程注入代码时，在所述本地进程列表中向被创建的进程或者被注入代码的进程添加所述预设标记；

发送单元，用于在带有所述预设标记的进程匹配所述触发策略时，无论该进程是否带有所述缓存标记，均将该进程和/或其行为的描述信息发送至服务端，以使所述服务端返回用于应对该进程和/或其行为的本地处理策略；

所述发送单元包括：

判断模块，用于在任一进程匹配所述触发策略时，判断该进程是否在所述本地进程列表中带有所述预设标记；

获取模块，用于在该进程在所述本地进程列表中带有所述预设标记时，获取该进程和/或其行为的描述信息；

发送模块，用于将该进程和/或其行为的描述信息发送至服务端，以使所述服务端返回用于应对该进程和/或其行为的本地处理策略。

2.根据权利要求1所述的安全防护装置，其特征在于，所述发送单元还包括：

接收模块，用于接收所述服务端返回的本地处理策略；

处理模块，用于按照所述服务端返回的本地处理策略对带有所述预设标记的进程和/或其行为进行处理。

3.根据权利要求1所述的安全防护装置，其特征在于，所述安全防护装置还包括：

替换单元，用于使用所述服务端返回的本地处理策略替换掉本地存储器中对应于同一进程的本地处理策略。

4.根据权利要求1所述的安全防护装置，其特征在于，具有下述任意的一种或多种的行为的进程匹配所述风险判定策略：

访问与进程所属应用程序的功能无关的网络地址；

下载与进程所属应用程序的功能无关的文件；

建立与进程所属应用程序的功能无关的进程；

向与进程所属应用程序无关的其他进程注入代码；

在受保护的文件目录下写入文件；

与黑名单中的应用程序相关的进程的行为。

5.一种安全防护方法，包括：

在本地进程列表中带有缓存标记的进程匹配预设的触发策略时，按照所述缓存标记所对应的本地处理策略对该进程和/或其行为进行处理；

其特征在于，所述安全防护方法还包括：

在任一进程匹配预设的风险判定策略时，在所述本地进程列表中向该进程添加预设标记；

在带有所述预设标记的进程创建新的进程或者向其他进程注入代码时，在所述本地进程列表中向被创建的进程或者被注入代码的进程添加所述预设标记；

在带有所述预设标记的进程匹配所述触发策略时，无论该进程是否带有所述缓存标记，均将该进程和/或其行为的描述信息发送至服务端，以使所述服务端返回用于应对该进程和/或其行为的本地处理策略；

所述在带有所述预设标记的进程匹配所述触发策略时，无论该进程是否带有所述缓存标记，均将该进程和/或其行为的描述信息发送至服务端，以使所述服务端返回用于应对该进程和/或其行为的本地处理策略，包括：

在任一进程匹配所述触发策略时，判断该进程是否在所述本地进程列表中带有所述预设标记；

在该进程在所述本地进程列表中带有所述预设标记时，获取该进程和/或其行为的描述信息；

将该进程和/或其行为的描述信息发送至服务端，以使所述服务端返回用于应对该进程和/或其行为的本地处理策略。

6.根据权利要求5所述的安全防护方法，其特征在于，所述在带有所述预设标记的进程匹配所述触发策略时，无论该进程是否带有所述缓存标记，均将该进程和/或其行为的描述信息发送至服务端，以使所述服务端返回用于应对该进程和/或其行为的本地处理策略，还包括：

接收所述服务端返回的本地处理策略；

按照所述服务端返回的本地处理策略对带有所述预设标记的进程和/或其行为进行处理。