[发明专利]操作行为的拦截方法及装置、存储介质、电子装置

说明书

本发明提供了一种操作行为的拦截方法及装置、存储介质、电子装置，其中，该方法包括：根据职责范围为行为主体分配操作权限，其中，所述行为主体包括以下至少之一：程序、设备、用户；根据内存序列监测所述行为主体是否被恶意控制，并在所述操作权限内发起操作行为；在监测到所述行为主体在被恶意控制状态下在所述操作权限内发起所述操作行为时，拦截所述操作行为。通过本发明，防止或减少系统被恶意控制的风险和造成的损失，解决了相关技术中设备安全性弱的技术问题。

技术领域

本发明涉及信息网络安全领域，具体而言，涉及一种操作行为的拦截方法及装置、存储介质、电子装置。

背景技术

相关技术中的安全防护方式，都是通过黑白名单或行为特征来拦截恶意操作。安全公司收集整理程序白名单，将确认为正常的程序特征建成白名单库，白名单中的程序被认为是可信的程序。同时收集各正规公司的有效数字签名，建立数字签名库，对具备正规公司签名的程序按可信程序处理。比如：操作系统本身的服务及程序因为具备微软公司的签名而天然被安全公司信任。

在白名单中的、或具有正规公司签名的可信程序，其“所有的行为”都将拥有不被安全软件拦截监控的权力，拥有最高权限。

相关技术在检测恶意操作时，检测的主体之一是静态文件。比如：当在一台装有安全系统的电脑中执行一个程序时，安全系统会检测被执行的程序文件，是否是合法的。如果是，则放行；否，则拦截。检测的主体之二是风险行为，包括：执行程序、创建打开及读写文件、加载驱动或动态库、上传下载等等。如果程序的行为并不具备危险性，则会被放过；如果程序的行为属于风险行为，则检测行为发生的主体，是否是合法的。实质上，第二种检测主体一旦匹配，又会回到上面所说的“静态文件”第一检测主体的检测流程。

检测的方法之一是：黑特征匹配。即，事前将恶意程序的特征提取，并存放在库中，再拿被检测程序的特征与库中的恶意特征作匹配，匹配成功则被认为是恶意程序，将被查杀；反之，则放行。检测的方法之二是：白特征匹配。即，事前将被保护机器中允许被执行的程序提取特征入库，再拿被检测的程序特征与库中的程序特征作匹配，匹配成功的被认为是正常程序，放行；匹配不成功的，将被拦截。

相关技术中的安全检测主体及检测方法存在以下缺陷：黑特征匹配需要事前曾经有收集到这种恶意程序的特征，才有可能入库，并提供检测依据。因此，对未知的、尚未收集到的恶意程序；或者本身就是可信的程序，只是被恶意利用时，都没有效果。此种检测是基于静态文件的，当一个可信程序被恶意控制后，变化的只是内存中的动态数据，对被控制的可信程序的静态文件，不会产生任何的改变与影响，也就不会被当前的安全技术手段所检测到。所以，无论是黑匹配还是白匹配，一旦可信的程序被控制作恶，都是当前安全技术无法解决的问题。

针对相关技术中存在的上述问题，目前尚未发现有效的解决方案。

发明内容

本发明实施例提供了一种操作行为的拦截方法及装置、存储介质、电子装置。

根据本发明的一个实施例，提供了一种操作行为的拦截方法，包括：根据职责范围为行为主体分配操作权限，其中，所述行为主体包括以下至少之一：程序、设备、用户；根据内存序列监测所述行为主体是否被恶意控制，并在所述操作权限内发起操作行为；在监测到所述行为主体在被恶意控制状态下在所述操作权限内发起所述操作行为时，拦截所述操作行为。

可选的，根据职责范围为行为主体分配操作权限包括：设置行为主体的第一操作权限，其中，所述第一操作权限是保证目标设备正常工作的基本权限；根据所述行为主体的职责范围为所述行为主体分配第二操作权限。