[发明专利]未知程序异常请求的监控方法、装置、及电子装置有效
| 申请号: | 201811640731.7 | 申请日: | 2018-12-29 |
| 公开(公告)号: | CN109800576B | 公开(公告)日: | 2021-07-23 |
| 发明(设计)人: | 杨振华;杨晓东;游勇;王明广 | 申请(专利权)人: | 360企业安全技术(珠海)有限公司;北京奇安信科技有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F21/80 |
| 代理公司: | 北京中强智尚知识产权代理有限公司 11448 | 代理人: | 黄耀威 |
| 地址: | 519085 广东省珠海市高新区唐家*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 未知 程序 异常 请求 监控 方法 装置 电子 | ||
1.一种未知程序异常请求的监控方法,其特征在于,包括:
利用文件系统的微过滤驱动在终端设备的驱动层监听是否接收到目标请求,其中,所述目标请求用于请求打开文件;
在监听到所述目标请求的情况下,利用所述微过滤驱动根据请求的文件对象和所述文件对象对应的设备对象判断所述目标请求是否为未知程序请求对磁盘读写的行为,包括:判断所述文件对象的文件名是否为空;判断所述设备对象是否存在;判断所述设备对象的设备名是否符合预设正则表达式;判断发起所述目标请求的进程是否符合预设进程的行为特征,其中,所述预设进程为允许执行磁盘读写行为的进程;其中,在判断结果满足以下条件的情况下,确定所述目标请求是未知程序请求对磁盘读写的行为:所述文件对象的文件名为空,且所述设备对象存在,且所述设备对象的设备名符合预设正则表达式,且发起所述目标请求的进程不符合所述预设进程的行为特征;
在所述目标请求不是未知程序请求对磁盘读写的行为的情况下,允许执行所述目标请求;
在所述目标请求是未知程序请求对磁盘读写的行为的情况下,拦截所述目标请求。
2.根据权利要求1所述的方法,其特征在于,所述判断发起所述目标请求的进程是否符合预设进程的行为特征,包括:
对发送所述目标请求的进程进行内核栈回溯,得到所述进程的栈信息;
将所述栈信息与预设栈特征进行匹配,判断是否匹配成功,其中,所述预设栈特征为预先收集的所述预设进程的栈特征。
3.根据权利要求2所述的方法,其特征在于,所述预设栈特征为操作系统的目标进程请求磁盘读写的栈行为链。
4.根据权利要求2所述的方法,其特征在于,所述预设栈特征为所述预设进程请求磁盘读写的栈行为链,所述将所述栈信息与预设栈特征进行匹配,包括:
将所述栈信息分别与多个所述预设进程的栈行为链一一匹配,其中,在所述栈信息与任一所述栈行为链匹配成功的情况下,允许执行所述目标请求,在所述栈信息与多个所述栈行为链均匹配失败的情况下,拦截所述目标请求。
5.根据权利要求1所述的方法,其特征在于,在拦截所述目标请求之前,所述方法还包括:
获取所述目标请求的请求内容信息;将所述目标请求的请求内容信息发送至目标应用;
通过所述目标应用在应用层判断是否拦截所述目标请求。
6.根据权利要求5所述的方法,其特征在于,所述通过所述目标应用在应用层判断是否拦截所述目标请求,包括:
在所述目标应用的界面中显示所述目标请求的请求内容信息;
通过所述目标应用的界面接收输入的选择操作;
根据所述选择操作确定是否拦截所述目标请求。
7.根据权利要求1所述的方法,其特征在于,在利用所述微过滤驱动根据请求的文件对象和所述文件对象对应的设备对象判断所述目标请求是否为未知程序请求对磁盘读写的行为之前,所述方法还包括:
利用所述微过滤驱动判断目标应用是否已开启目标防护功能;
其中,在所述目标应用未开启所述目标防护功能的情况下,允许执行所述目标请求;
在所述目标应用已开启所述目标防护功能的情况下,利用所述微过滤驱动根据请求的文件对象和所述文件对象对应的设备对象判断所述目标请求是否为未知程序请求对磁盘读写的行为。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于360企业安全技术(珠海)有限公司;北京奇安信科技有限公司,未经360企业安全技术(珠海)有限公司;北京奇安信科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201811640731.7/1.html,转载请声明来源钻瓜专利网。
