[发明专利]操作行为的拦截方法及装置、存储介质、电子装置

权利要求书

1.一种操作行为的拦截方法，其特征在于，包括：

根据职责范围为行为主体分配操作权限，其中，所述行为主体包括以下至少之一：程序、设备、用户；所述操作权限包括系统类权限、文件类权限和/或网络类权限；

当所述操作行为为被动发起时，根据内存序列监测所述行为主体是否被恶意控制，并在所述操作权限内发起操作行为；

在监测到所述行为主体在被恶意控制状态下在所述操作权限内发起所述操作行为时，拦截所述操作行为；

其中，根据内存序列监测所述行为主体是否被恶意控制，并在所述操作权限内发起操作行为，包括：

确定所述行为主体在所述操作权限内发起操作行为；

获取所述操作行为生成的内存序列；

判断所述内存序列与预设标准流程是否匹配；具体地，在所述内存序列中解析所述操作行为的任务流程，判断所述任务流程与所述预设标准流程的流程顺序是否相同；

在所述内存序列与预设标准序列不匹配时，确定所述行为主体被恶意控制，在所述内存序列与预设标准序列匹配时，确定所述行为主体未被恶意控制。

2.根据权利要求1所述的方法，其特征在于，根据职责范围为行为主体分配操作权限包括：

设置行为主体的第一操作权限，其中，所述第一操作权限是保证目标设备正常工作的基本权限；

根据所述行为主体的职责范围为所述行为主体分配第二操作权限。

3.根据权利要求2所 述的方法，其特征在于，在所述行为主体为程序时，设置行为主体的第一操作权限包括：

设置所述行为主体的以下第一操作权限：不允许自动运行，只能由用户手动运行；只允许操作自身创建的或与自身一起由同一安装包直接或间接创建的文件；对系统文件仅有只读的权限；不允许读写非系统的文件；不允许访问内外网络及网内节点；不允许对其它进程进行操作；不允许绕过系统直接读写磁盘；不允许下载或执行其他程序；不允许加载驱动。

4.根据权利要求2所 述的方法，其特征在于，根据所述行为主体的职责范围为所述行为主体分配第二操作权限包括：

在所述行为主体为程序时，确定所述程序所属的程序类型，为所述程序分配与所述程序类型对应的第二操作权限；

在所述行为主体为设备时，确定所述设备所属的使用部门，为所述设备分配与所述使用部门对应的第二操作权限；

在所述行为主体为用户时，确定用户的用户级别或身份类型，为所述用户分配与所述用户级别或身份类型对应的第二操作权限。

5.根据权利要求1所 述的方法，其特征在于，判断所述内存序列与预设标准流程是否匹配包括：

在所述内存序列中解析所述操作行为的当前执行者，判断所述当前执行与所述预设标准流程中的预设执行者是否相同。

6.根据权利要求1所 述的方法，其特征在于，根据内存序列监测所述行为主体是否被恶意控制包括：

在系统执行以下监控任务时：创建进程、加载可执行映像、申请可执行内存、更改内存权限为可执行、监听端口、下载文件、新建文件、读写或更改受保护文件的数据或信息，采用HOOK的方式根据内存序列监测所述行为主体是否被恶意控制。

7.根据权利要求1所 述的方法，其特征在于，在根据内存序列监测所述行为主体是否被恶意控制，并在所述操作权限内发起操作行为之前，所述方法还包括：

判断所述操作行为是否逾越所述操作权限；

在所述操作行为逾越所述操作权限时，拦截所述操作行为；在所述操作行为未逾越所述操作权限时，确定根据内存序列监测所述行为主体是否被恶意控制，并发起操作行为。