[发明专利]违规行为的识别方法及装置、存储介质、计算机设备

说明书

本申请公开了一种违规行为的识别方法及装置、存储介质、计算机设备，该方法包括：监控应用程序的行为；根据应用程序的行为，获取系统日志中与应用程序的行为对应的I/O设备实际操作动作；按照预设I/O设备标准操作动作列表，查找与应用程序的行为对应的I/O设备标准操作动作；若I/O设备实际操作动作与I/O设备标准操作动作不一致，则将应用程序的行为记录为疑似违规行为。本申请能够快速识别系统中的疑似违规行为，有助于防止操作系统中的软件受到恶意程序或恶意人员等的恶意操控，保护客户端中的信息不被恶意操作，避免系统信息被恶意利用造成损失。

技术领域

本申请涉及计算机安全技术领域，尤其是涉及到一种违规行为的识别方法及装置、存储介质、计算机设备。

背景技术

随着计算机技术的快速发展，各种功能的应用程序大量出现，满足人们在工作和生活中的多样化需求。但是与此同时计算机设备上的恶意软件层出不穷，这些恶意软件往往通过操控计算机的白名单应用程序，在用户毫无知觉的情况下执行某些恶意操作。

而在现有的计算机防护体系中，如果一个应用程序为白名单应用程序，那么其相关操作都将被视为合法操作，这样黑客基于白程序的操作可轻易绕过防御产品，对数据进行泄露。例如，查看一份文档文件，通常需要鼠标点击该文件或者通过键盘操作打开该文件才能够查看，但在现有技术的防护体系中，只要打开文档文件的应用程序为白程序，无论是否通过鼠标或键盘进行操作，文件都会被打开，此时很可能是恶意程序操控了该应用程序打开了文件。

但是现有技术中暂时还没有一种解决以上技术问题的方法。

发明内容

有鉴于此，本申请提供了一种违规行为的识别方法及装置、存储介质、计算机设备，能够实现违规行为的识别，有助于保护系统信息安全。

根据本申请的一个方面，提供了一种违规行为的识别方法，包括：

监控应用程序的行为；

根据所述应用程序的行为，获取系统日志中与所述应用程序的行为对应的I/O设备实际操作动作；

按照预设I/O设备标准操作动作列表，查找与所述应用程序的行为对应的I/O设备标准操作动作；

若所述I/O设备实际操作动作与所述I/O设备标准操作动作不一致，则将所述应用程序的行为记录为所述疑似违规行为。

根据本申请的另一方面，提供了一种违规行为的识别装置，包括：

监控模块，用于监控应用程序的行为；

实际操作动作获取模块，用于根据所述应用程序的行为，获取系统日志中与所述应用程序的行为对应的I/O设备实际操作动作；

标准操作动作获取模块，用于按照预设I/O设备标准操作动作列表，查找与所述应用程序的行为对应的I/O设备标准操作动作；

第一违规行为记录模块，用于若所述I/O设备实际操作动作与所述I/O设备标准操作动作不一致，则将所述应用程序的行为记录为所述疑似违规行为。

依据本申请又一个方面，提供了一种存储介质，其上存储有计算机程序，所述程序被处理器执行时实现上述违规行为的识别方法。

依据本申请再一个方面，提供了一种计算机设备，包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述违规行为的识别方法。