[发明专利]一种应用防护监控方法、装置以及系统

说明书

本发明实施例公开了一种应用防护监控方法、装置以及系统，其中方法包括：客户端通过目标异常行为参数列表监控各目标操作类型分别对应的操作行为，以生成行为特征；当行为特征满足第一异常行为条件时，客户端将行为特征以及当前运行进程的信息发送至服务器；服务器在当前运行进程的信息中查找目标非法进程信息，并查找与行为特征以及目标非法进程信息相关联的异常行为参数更新列表，并发送目标非法进程信息和异常行为参数更新列表到客户端；客户端对目标非法进程信息对应的进程进行关闭操作，并将目标异常行为参数列表更新为异常行为参数更新列表。采用本发明，可以实现对客户端的主动防御，并可以同时降低人工成本、减轻用户的操作负担。

技术领域

本发明涉及互联网技术领域，尤其涉及一种应用防护监控方法、装置以及系统。

背景技术

目前的防恶意程序的软件的通常做法是通过在客户端的程序中通过hook最高级别的资源，来检查是否有恶意程序或者注入的DLL(Dynamic Link Library，动态链接库)来串改程序中的内存数据以及冒充客户端发送假的数据给服务器。虽然目前的防恶意程序的软件可以起到一定的安全防护功能，但是该防恶意程序的软件需要用户手动启动后才能实现对客户端的安全防护，一旦该防恶意程序的软件被退出，则无法实现对客户端的保护，可见通过该防恶意程序的软件来防护客户端的方式过于被动；而且该防恶意程序的软件需要由开发人员进行不定时的更新，并将更新后的防恶意程序的软件下发到用户终端，使得用户终端重新安装新的防恶意程序的软件，由于恶意程序的更新频率较快，所以需要开发人员经常的对防恶意程序的软件进行更新，导致人工成本升高，而且也需要用户不断的对更新后的防恶意程序的软件进行安装，增加了用户的操作负担。

发明内容

本发明提供一种应用防护监控方法、装置以及系统，可以实现对客户端的主动防御，并可以同时降低人工成本、减轻用户的操作负担。

本发明第一方面提供了一种应用防护监控方法，包括：

客户端获取目标异常行为参数列表；所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件；

所述客户端监控各目标操作类型分别对应的操作行为，并统计各类操作行为的操作次数，将各类操作行为的操作次数确定为行为特征；

当所述行为特征满足所述第一异常行为条件时，所述客户端将所述行为特征以及当前运行进程的信息发送至所述服务器；

所述服务器在所述当前运行进程的信息中查找目标非法进程信息，并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表，并发送所述目标非法进程信息和所述异常行为参数更新列表到所述客户端；

所述客户端对所述目标非法进程信息对应的进程进行关闭操作，并将所述目标异常行为参数列表更新为所述异常行为参数更新列表，以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。

本发明第二方面提供了一种应用防护监控方法，包括：

客户端获取目标异常行为参数列表；所述目标异常行为参数列表包括所述客户端相关联的至少一个目标操作类型以及第一异常行为条件；

所述客户端监控各目标操作类型分别对应的操作行为，并统计各类操作行为的操作次数，将各类操作行为的操作次数确定为行为特征；

当所述行为特征满足所述第一异常行为条件时，所述客户端将所述行为特征以及当前运行进程的信息发送至所述服务器，以使所述服务器在所述当前运行进程的信息中查找目标非法进程信息，并查找与所述行为特征以及所述目标非法进程信息相关联的异常行为参数更新列表；

所述客户端接收所述服务器发送的所述目标非法进程信息和所述异常行为参数更新列表，并对所述目标非法进程信息对应的进程进行关闭操作，并将所述目标异常行为参数列表更新为所述异常行为参数更新列表，以便于继续根据所述异常行为参数更新列表监控所述客户端关联的异常行为。