[发明专利]安全防护方法及装置

说明书

本发明提供了一种安全防护方法及装置，其中的方法包括：在本地进程列表中带有缓存标记的进程匹配预设的触发策略时，按照缓存标记所对应的本地处理策略对该进程和/或其行为进行处理；在任一进程匹配预设的风险判定策略时，在本地进程列表中向该进程添加预设标记；在带有预设标记的进程创建新的进程或者向其他进程注入代码时，在本地进程列表中向被创建的进程或者被注入代码的进程添加预设标记；在带有预设标记的进程匹配触发策略时，无论该进程是否带有缓存标记，均将该进程和/或其行为的描述信息发送至服务端，以使服务端返回用于应对该进程和/或其行为的本地处理策略。基于此，本发明可以防止恶意程序利用缓存机制来避开云查杀。

技术领域

本发明涉及计算机技术领域，具体涉及一种安全防护方法及装置。

背景技术

“云查杀”是一种新兴的安全技术，其主要指的是终端将检测对象(例如代码、文件、应用程序、应用程序行为、进程、进程行为等等)的相关数据上传至服务端，由服务端分析出处理方案，再下发至终端生效执行的过程。借助于服务端强大的信息搜集能力和数据运算能力，云查杀技术可以应对绝大多数的恶意程序，保护终端免受恶意程序的侵害。

在云查杀的实际应用中，现有安全防护产品通常会采用缓存机制来减少不必要操作所造成的资源浪费。具体来说，缓存机制指的是在服务端下发一个处理方案之后，终端将其保存的本地，以在此后出现的同样情形时直接依照本地存储的处理方案进行处理。更广义地来说，缓存机制的核心思想是排除掉明显不需要进行云查杀的检测对象，以节约系统资源和网络资源。

然而现有安全防护产品所没有注意到的是，有些恶意程序会专门利用缓存机制来避开云查杀。比如，记事本是各个操作系统中的非常常见应用程序，现有的安全防护产品对于该应用程序通常采取只进行一次云查杀或者不进行云查杀的处理方式；从而恶意程序如果采用启动记事本或者向记事本注入代码的方式来执行操作，那么终端在判定执行者为记事本的情况下就不会上传相关数据，使得恶意程序的操作成功避开云查杀。

发明内容

针对现有技术中的缺陷，本发明提供一种安全防护方法及装置，可以防止恶意程序利用缓存机制来避开云查杀。

第一方面，本发明提供了一种安全防护装置，包括处理单元，所述理单元用于在本地进程列表中带有缓存标记的进程匹配预设的触发策略时，按照所述缓存标记所对应的本地处理策略对该进程和/或其行为进行处理，其特征在于，所述安全防护装置还包括：

第一添加单元，用于在任一进程匹配预设的风险判定策略时，在所述本地进程列表中向该进程添加预设标记；

第二添加单元，用于在带有所述预设标记的进程创建新的进程或者向其他进程注入代码时，在所述本地进程列表中向被创建的进程或者被注入代码的进程添加所述预设标记；

发送单元，用于在带有所述预设标记的进程匹配所述触发策略时，无论该进程是否带有所述缓存标记，均将该进程和/或其行为的描述信息发送至服务端，以使所述服务端返回用于应对该进程和/或其行为的本地处理策略。

所述发送单元包括：

判断模块，用于在任一进程匹配所述触发策略时，判断该进程是否在所述本地进程列表中带有所述预设标记；

获取模块，用于在该进程在所述本地进程列表中带有所述预设标记时，获取该进程和/或其行为的描述信息；

发送模块，用于将该进程和/或其行为的描述信息发送至服务端，以使所述服务端返回用于应对该进程和/或其行为的本地处理策略。

可选地，所述发送单元还包括：

接收模块，用于接收所述服务端返回的本地处理策略；

处理模块，用于按照所述服务端返回的本地处理策略对带有所述预设标记的进程和/或其行为进行处理。

可选地，所述安全防护装置还包括：