[发明专利]软件行为的安全防护方法及装置、存储介质、计算机设备

权利要求书

1.一种软件行为的安全防护方法，其特征在于，包括：

获取软件行为信息，所述软件行为信息为软件在应用平台运行后所产生行为的信息；

解析所述软件行为信息中的行为特征，并判断所述行为特征是否与软件行为规则匹配，所述软件行为规则为用于判断所述行为特征对应的软件行为是否为安全行为的规则，所述软件行为规则是基于已完成运行的软件行为信息中的行为主体信息，以及按照不同操作类型、时间特征、数量特征统计具有共性特征的行为特征生成的，所述软件行为规则包括主体限定规则、以及具有关联匹配关系的进程行为黑白规则、注册表行为黑白规则、网络行为黑白规则、驱动行为黑白规则、文件行为黑白规则；

若所述行为特征与软件行为规则匹配，则根据所述软件行为规则确定的匹配结果对所述软件行为进行防护处理；

其中，所述方法还包括：

若所述行为特征与软件行为规则不匹配，则发送软件行为检测请求，所述软件行为检测请求携带有所述软件行为信息；

所述解析所述软件行为信息中的行为特征，并判断所述行为特征是否与软件行为规则匹配包括：

识别所述软件行为信息中行为特征对应的行为主体信息，通过所述行为主体信息与主体限定规则进行匹配；

若匹配，则将所述行为特征与所述主体限定规则对应的进程行为黑白规则、注册表行为黑白规则、网络行为黑白规则、驱动行为黑白规则、文件行为黑白规则进行匹配；

所述发送软件行为检测请求包括：

若所述行为特征中的行为主体信息与所述主体限定规则不匹配，则将所述行为特征对应的软件行为信息确定为待检测软件行为信息，发送所述软件行为信息；或，

若所述行为特征中的行为主体信息与所述主体限定规则匹配，且文件类、进程类、网络类、注册表类、驱动类的行为特征与所述进程行为黑白规则、注册表行为黑白规则、网络行为黑白规则、驱动行为黑白规则、文件行为黑白规则中任意一个不匹配，则将所述行为特征对应的软件行为信息确定为待检测软件行为信息，发送所述软件行为信息。

2.根据权利要求1所述的方法，其特征在于，所述获取软件行为信息之前，所述方法还包括：

提取已完成运行的软件行为信息；

按照操作类型对所述软件行为信息进行分类；

统计分类后所述软件行为信息中具有共性特征的行为特征，并根据统计后的结果生成软件行为规则。

3.根据权利要求2所述的方法，其特征在于，所述操作类型包括文件类、进程类、网络类、注册表类、驱动类，所述统计分类后所述软件行为信息中具有共性特征的行为特征，并根据统计后的结果生成软件行为规则包括：

提取分类后所述软件行为信息中的行为主体信息，并分别统计所述软件行为信息中文件类、进程类、网络类、注册表类、驱动类分别对应的具有共性特征的行为特征；根据所述行为主体信息以及统计后的行为特征生成软件行为规则。

4.根据权利要求3所述的方法，其特征在于，所述若所述行为特征与软件行为规则匹配，则根据所述软件行为规则确定的匹配结果对所述软件行为进行防护处理包括：

若所述行为特征与所述主体限定规则、进程行为黑白规则、注册表行为黑白规则、网络行为黑白规则、驱动行为黑白规则、文件行为黑白规则均匹配，则解析匹配结果，若所述匹配结果为安全，则对所述软件行为进行放行，若所述匹配结果为危险，则对所述软件行为进行拦截。