CN106803037A - 一种软件安全防护方法及装置 - Google Patents
一种软件安全防护方法及装置 Download PDFInfo
- Publication number
- CN106803037A CN106803037A CN201611071609.3A CN201611071609A CN106803037A CN 106803037 A CN106803037 A CN 106803037A CN 201611071609 A CN201611071609 A CN 201611071609A CN 106803037 A CN106803037 A CN 106803037A
- Authority
- CN
- China
- Prior art keywords
- behavior
- malicious behavior
- malicious
- harm
- degree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种软件安全防护方法及装置,通过监控终端的目标程序的行为,判断所述行为是否为恶意行为,当判定所述行为为恶意行为时,记录所述恶意行为;根据预设时间段内所记录的恶意行为,确定所述恶意行为的危害程度等级;根据所述恶意行为的危害程度等级确定向所述终端发送的防护指令。本发明能够直接应用于电力现场作业终端,检测到由权限等问题引起的恶意行为,并根据检测到的恶意行为执行相应的防护措施,从而提高了电力现场作业终端软件的安全性。
Description
技术领域
本发明涉及信息安全技术领域,具体涉及一种软件安全防护方法及装置。
背景技术
随着智能电网信息化应用水平的不断提高和业务的快速发展,智能电网建设、精益化管理及客户服务提升均对移动应用提出日益迫切的需求,移动交互安全研究也需要根据移动化建设同步推进。目前,移动领域的新需求主要集中于开展新类型终端的使用,以智能化移动作业水平提升现场作业及管理效率。然而由于海量多类型异构移动新类型终端的接入导致终端安全管理难度加大,各类网络攻击技术持续演进,各类攻击事件时有发生,智能电网的移动业务安全防护受到了严峻挑战。
现有的移动终端对恶意行为的检测一般通过病毒程序,而对于电力现场作业终端的目标程序,难以检测到由权限等问题引起的异常行为。现有的应用程序安全防护方法难以直接应用于电力现场作业终端,电力现场作业终端应用程序运行的安全性较低。
发明内容
本发明要解决的技术问题在于克服现有的电力现场作业终端软件的安全性较低的缺陷。
本发明提供一种软件安全防护方法,包括:
监控终端的目标程序的行为;
判断所述行为是否为恶意行为;
当判定所述行为为恶意行为时,记录所述恶意行为;
根据预设时间段内所记录的恶意行为,确定所述恶意行为的危害程度等级;
根据所述恶意行为的危害程度等级确定向所述终端发送的防护指令。
优选地,所述判断所述行为是否为恶意行为,包括:
提取所述行为的特征;
将所述行为的特征与恶意行为知识库中的恶意行为的特征进行匹配;
判断所述特征是否相同;
当所述特征相同时,则判定所述行为为恶意行为。
优选地,所述行为的特征包括用户身份信息、进程名称信息、调用目标信息、调用目标的操作路径信息中的至少一个。
优选地,所述根据预设时间段内所记录的恶意行为,确定所述恶意行为的危害程度等级,包括:
记录预设时间段内所述恶意行为出现的次数;
根据所述恶意行为的权重和次数,计算该预设时间段内所述恶意行为的评判值;
判断所述评判值是否超过预设阈值;
当所述评判值大于所述预设阈值时,则判定所述恶意行为的危害程度为严重级;
当所述评判值小于等于所述预设阈值时,则判定所述恶意行为的危害程度为普通级。
优选地,所述根据所述恶意行为的危害程度等级确定向所述终端发送的防护指令,包括:
当判定所述恶意行为的危害程度为严重级时,向所述终端发送的防护指令为执行回滚操作;
当判定所述恶意行为的危害程度为普通级时,向所述终端发送的防护指令为消息推送提醒。
优选地,在所述确定所述恶意行为的危害程度等级之后,还包括:
将所述恶意行为加入恶意行为知识库。
优选地,所述终端的目标程序运行在沙箱容器中。
本发明还提供一种软件安全防护装置,包括:
监控单元,用于监控终端的目标程序的行为;
判断单元,用于判断所述行为是否为恶意行为;
记录单元,用于当判定所述行为为恶意行为时,记录所述恶意行为;
危害程度等级确定单元,用于根据预设时间段内所记录的恶意行为,确定所述恶意行为的危害程度等级;
防护指令确定单元,用于根据所述恶意行为的危害程度等级确定向所述终端发送的防护指令。
优选地,所述判断单元包括:
提取子单元,用于提取所述行为的特征;
匹配子单元,用于将所述行为的特征与恶意行为知识库中的恶意行为的特征进行匹配;
判断子单元,用于判断所述特征是否相同;
判定子单元,用于当所述特征相同时,则判定所述行为为恶意行为。
优选地,所述行为的特征包括用户身份信息、进程名称信息、调用目标信息、调用目标的操作路径信息中的至少一个。
优选地,所述危害程度等级确定单元包括:
记录子单元,用于记录预设时间段内所述恶意行为出现的次数;
计算子单元,用于根据所述恶意行为的权重和次数,计算该预设时间段内所述恶意行为的评判值;
判断子单元,用于判断所述评判值是否超过预设阈值;
严重级判定子单元,用于当所述评判值大于所述预设阈值时,则判定所述恶意行为的危害程度为严重级;
普通级判定子单元,用于当所述评判值小于等于所述预设阈值时,则判定所述恶意行为的危害程度为普通级。
优选地,所述防护指令确定单元,包括:
执行回滚操作子单元,用于当判定所述恶意行为的危害程度为严重级时,向所述终端发送的防护指令为执行回滚操作;
消息推送提醒子单元,用于当判定所述恶意行为的危害程度为普通级时,向所述终端发送的防护指令为消息推送提醒。
优选地,还包括:
恶意行为加入单元,用于将所述恶意行为加入恶意行为知识库。
优选地,所述终端的目标程序运行在沙箱容器中。
本发明技术方案,具有如下优点:
本发明提供一种软件安全防护方法及装置,通过监控终端的目标程序的行为,判断所述行为是否为恶意行为,当判定所述行为为恶意行为时,记录所述恶意行为;根据预设时间段内所记录的恶意行为,确定所述恶意行为的危害程度等级;根据所述恶意行为的危害程度等级确定向所述终端发送的防护指令。本发明能够直接应用于电力现场作业终端,检测到由权限等问题引起的恶意行为,并根据检测到的恶意行为执行相应的防护措施,从而提高了电力现场作业终端软件的安全性。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种软件安全防护方法的流程图;
图2为图1所示的方法中判断恶意行为的流程图;
图3为图1所示的方法中恶意行为危害程度等级确定的流程图;
图4为图1所示的方法中确定向终端发送的防护指令的流程图;
图5为一种软件安全防护装置的示意图;
图6为图5所示的装置中判断单元的示意图;
图7为图5所示的装置中危害程度等级确定单元的示意图;
图8为图5所示的装置中防护指令确定单元的示意图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,还可以是两个元件内部的连通,可以是无线连接,也可以是有线连接。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
实施例1
本实施例提供一种软件安全防护方法,该方法主要应用于电力现场作业环境,用于监控电力现场作业终端的使用权限,保证电力现场作业终端软件的安全运行。该方法的流程图如图1所示,包括如下步骤:
S1:监控终端的目标程序的行为。
对每个终端的目标程序的行为进行监控,不仅对恶意软件进行管控,还对终端用户行为进行严格管控。具体地,可以通过策略规则管控系统直接向终端下发管控规则,严格控制电力现场作业终端的访问权限,例如,本地访问权限、拍照/录用权限、短信/电话权限等,实现对电力现场作业终端软件使用权限的实时监控。进一步地,策略规则管控系统也会根据恶意行为知识库中的内容变化而进行策略改变,因此管控规则不是预设不变的,是一个动态规则。
S2:判断所述行为是否为恶意行为。
将终端的目标程序的行为与恶意行为知识库中的恶意行为进行匹配,从而判断所述行为是否为恶意行为。所述恶意行为主要包括本地访问越权、拍照或录音越权、短信或电话越权、隐藏或创建进程、修改或创建注册表、修改系统文件等。
S3:当判定所述行为为恶意行为时,记录所述恶意行为。
当终端的目标程序的行为与恶意行为知识库中的恶意行为匹配成功时,则判定所述终端的目标程序的行为为恶意行为,并记录该行为,即对该恶意行为进行计数。
S4:根据预设时间段内所记录的恶意行为,确定所述恶意行为的危害程度等级。
对恶意行为根据其危害程度可以分为普通级和严重级。普通级的恶意行为可能会对系统造成干扰、窃取信息等不良后果,但不会造成硬件损坏、数据丢失等严重后果,而且通过云查杀技术可以清除该类恶意代码或病毒。严重级的恶意行为可能留下种类繁多的木马和后门,造成运行软件的崩溃、硬件的损害、数据的丢失、篡改、窃取,甚至妨碍系统的不间断工作,并恶意终止作业。
在预设时间段内,根据记录的每项恶意行为的次数和其权重,可以通过计算确定每项恶意行为的危害程度等级。
S5:根据所述恶意行为的危害程度等级确定向所述终端发送的防护指令。
对不同的恶意行为危害程度等级,需要采取不同的防护措施。因此,根据监控到的恶意行为的危害程度等级,采取相应的防护措施。具体地,对于普通级的恶意行为,采取的措施是“消息推送提醒”,即向终端推送消息提醒通知;对于严重级的恶意行为,采取的措施是“执行回滚操作”,即在电力现场作业中断处记录还原点,执行回滚操作,可还原所有数据,从而保障电力现场作业人员顺利不中断地完成作业任务,提高作业效率。
本发明提供的软件安全防护方法,通过监控终端的目标程序的行为,判断所述行为是否为恶意行为,当判定所述行为为恶意行为时,记录所述恶意行为;根据预设时间段内所记录的恶意行为,确定所述恶意行为的危害程度等级;根据所述恶意行为的危害程度等级确定向所述终端发送的防护指令。本发明能够直接应用于电力现场作业终端,检测到由权限等问题引起的恶意行为,并根据检测到的恶意行为执行相应的防护措施,从而提高了电力现场作业终端软件的安全性。
作为一个具体的实施方式,如图2所示,上述步骤S2还包括以下子步骤:
S21:提取所述行为的特征。
对监控到的目标程序的行为进行特征提取。所述行为的特征包括用户身份信息、进程名称信息、调用目标信息、调用目标的操作路径信息中的至少一个。
S22:将所述行为的特征与恶意行为知识库中的恶意行为的特征进行匹配。
将提取到的所述行为的特征,即用户身份信息、进程名称信息、调用目标信息、调用目标的操作路径信息中的至少一个,与恶意行为知识库中的恶意行为的特征进行匹配。
S23:判断所述特征是否相同。
判断提取到的所述行为的特征,即用户身份信息、进程名称信息、调用目标信息、调用目标的操作路径信息中的至少一个,与恶意行为知识库中的恶意行为的特征是否相同。
S24:当所述特征相同时,则判定所述行为为恶意行为。
当提取到的所述行为的特征,即用户身份信息、进程名称信息、调用目标信息、调用目标的操作路径信息中的至少一个,与恶意行为知识库中的恶意行为的特征相同时,则判定所述行为为恶意行为。
通过对电力现场作业终端软件恶意行为的判断,能够直接检测到由权限等问题引起的恶意行为,提高了电力现场作业终端软件的安全性。
作为一个具体的实施方式,如图3所示,上述步骤S4还包括以下子步骤:
S41:记录预设时间段内所述恶意行为出现的次数。
在预设时间段内,对终端检测到的恶意行为的出现次数进行记录。
S42:根据所述恶意行为的权重和次数,计算该预设时间段内所述恶意行为的评判值。
例如,检测到某个终端在预设时间段内的恶意行为,如本地访问越权,当本地访问越权被匹配成功2次,即出现次数为2次,且本地访问越权的权重为10时,则在预设时间段内恶意行为的评判值为2*10=20。
S43:判断所述评判值是否超过预设阈值。
S44:当所述评判值大于所述预设阈值时,则判定所述恶意行为的危害程度为严重级。
当某一终端在预设时间段内检测到的恶意行为的评判值大于预设阈值时,则判定所述恶意行为的危害程度为严重级。
S45:当所述评判值小于等于所述预设阈值时,则判定所述恶意行为的危害程度为普通级。
当某一终端在预设时间段内检测到的恶意行为的评判值小于等于预设阈值时,则判定所述恶意行为的危害程度为普通级。
通过对电力现场作业终端检测到的恶意行为的危害程度进行分级,能够根据恶意行为的危害程度采取相应的防护措施,提高了电力现场作业效率。
作为一个具体的实施方式,如图4所示,上述步骤S5还包括以下子步骤:
S51:当判定所述恶意行为的危害程度为严重级时,向所述终端发送的防护指令为执行回滚操作;
对危害程度为严重级的恶意行为,可能造成作业中断,为了提高作业效率,需执行回滚操作,即向所述终端发送的防护指令为执行回滚操作。回滚操作是指在电力现场作业中断处记录还原点,执行回滚操作,可还原所有数据,从而保障电力现场作业人员顺利不中断地完成作业任务,提高作业效率。
S52:当判定所述恶意行为的危害程度为普通级时,向所述终端发送的防护指令为消息推送提醒。
对危害程度为普通级的恶意行为,可能会对系统造成干扰、窃取信息等不良后果,但不会造成硬件损坏、数据丢失等严重后果,而且通过云查杀技术可以清除该类恶意代码或病毒。需向所述终端发送的防护指令为消息推送提醒。消息推送提醒是将检测到的恶意行为分析报告推送到电力现场作业终端设备上进行安全预警,使现场作业人员及时掌握终端设备的安全情况。
作为一个具体的实施方式,在上述步骤S4之后,还包括:将所述恶意行为加入恶意行为知识库。
通过恶意行为知识库,利用云查杀技术对电力现场作业终端的恶意行为进行比样分析,获取恶意行为的代码或病毒样本,并根据类型和危害程度分级分类,将检测到的恶意行为的代码或病毒样本加入恶意行为知识库。这样可以更全面的获取恶意行为的代码或病毒样本及其危害程度和处理方法,增强电力现场作业系统抵御病毒的能力。
作为一个具体的实施方式,所述终端的目标程序运行在沙箱容器中。
沙箱是给一些具备破坏力、来源不可信或者是无法判断程序意图的程序提供试验的环境,沙箱中的改动不会对操作系统造成任何的损失。沙箱的主要用途包括保护系统和监测分析程序。保护系统主要将恶意程序在沙箱中运行,由于沙箱的隔离性,恶意程序在沙箱中造成的危害不会影响到真实的操作系统。监测分析程序主要是对在沙箱系统中运行的程序进行行为监测。
电力现场作业终端软件安装在沙箱容器中进行隔离,防止传统终端软件直接安装在终端操作系统之上,发生恶意攻击后对终端设备产生直接的危害,有效隔离恶意终端软件。利用安全沙箱的技术,将电力现场作业终端软件运行在沙箱容器中,可以有效防止黑客入侵对电力现场作业终端软件本身和电力数据的破坏,将超权限的恶意行为加入恶意行为知识库,对终端目标程序的行为实时监控,并通过消息推送功能告知正在运行的电力现场作业终端设备存在恶意行为,进行预警措施,更好地提高了电力现场作业设备在电力行业中移动作业环境下的安全性。
作为一个具体的实施方式,还可以对电力现场作业终端的目标程序所连接目标服务器的IP地址进行监控,监测所述目标程序连接的目标的IP地址是否为预定IP地址。当所述目标程序连接的目标的IP地址不是所述预定IP地址时,阻拦所述目标程序对所述目标的连接行为。从而实现对连接权限范围之外的服务器行为进行阻拦,防止电力现场作业终端软件非法连接其权限范围之外的电力内网应用系统,保障电力内网的数据安全。
实施例2
本实施例提供一种软件安全防护装置,该装置主要应用于电力现场作业环境,用于监控电力现场作业终端的使用权限,保证电力现场作业终端软件的安全运行。该装置的示意图如图5所示,包括监控单元10,判断单元20,记录单元30,危害程度等级确定单元40和防护指令确定单元50。
监控单元10,用于监控终端的目标程序的行为。
对每个终端的目标程序的行为进行监控,不仅对恶意软件进行管控,还对终端用户行为进行严格管控。具体地,可以通过策略规则管控系统直接向终端下发管控规则,严格控制电力现场作业终端的访问权限,例如,本地访问权限、拍照/录用权限、短信/电话权限等,实现对电力现场作业终端软件使用权限的实时监控。进一步地,策略规则管控系统也会根据恶意行为知识库中的内容变化而进行策略改变,因此管控规则不是预设不变的,是一个动态规则。
判断单元20,用于判断所述行为是否为恶意行为。
将终端的目标程序的行为与恶意行为知识库中的恶意行为进行匹配,从而判断所述行为是否为恶意行为。所述恶意行为主要包括本地访问越权、拍照或录音越权、短信或电话越权、隐藏或创建进程、修改或创建注册表、修改系统文件等。
记录单元30,用于当判定所述行为为恶意行为时,记录所述恶意行为。
当终端的目标程序的行为与恶意行为知识库中的恶意行为匹配成功时,则判定所述终端的目标程序的行为为恶意行为,并记录该行为,即对该恶意行为进行计数。
危害程度等级确定单元40,用于根据预设时间段内所记录的恶意行为,确定所述恶意行为的危害程度等级。
对恶意行为根据其危害程度可以分为普通级和严重级。普通级的恶意行为可能会对系统造成干扰、窃取信息等不良后果,但不会造成硬件损坏、数据丢失等严重后果,而且通过云查杀技术可以清除该类恶意代码或病毒。严重级的恶意行为可能留下种类繁多的木马和后门,造成运行软件的崩溃、硬件的损害、数据的丢失、篡改、窃取,甚至妨碍系统的不间断工作,并恶意终止作业。
在预设时间段内,根据记录的每项恶意行为的次数和其权重,可以通过计算确定每项恶意行为的危害程度等级。
防护指令确定单元50,用于根据所述恶意行为的危害程度等级确定向所述终端发送的防护指令。
对不同的恶意行为危害程度等级,需要采取不同的防护措施。因此,根据监控到的恶意行为的危害程度等级,采取相应的防护措施。具体地,对于普通级的恶意行为,采取的措施是“消息推送提醒”,即向终端推送消息提醒通知;对于严重级的恶意行为,采取的措施是“执行回滚操作”,即在电力现场作业中断处记录还原点,执行回滚操作,可还原所有数据,从而保障电力现场作业人员顺利不中断地完成作业任务,提高作业效率。
本发明提供的软件安全防护装置,通过监控终端的目标程序的行为,判断所述行为是否为恶意行为,当判定所述行为为恶意行为时,记录所述恶意行为;根据预设时间段内所记录的恶意行为,确定所述恶意行为的危害程度等级;根据所述恶意行为的危害程度等级确定向所述终端发送的防护指令。本发明能够直接应用于电力现场作业终端,检测到由权限等问题引起的恶意行为,并根据检测到的恶意行为执行相应的防护措施,从而提高了电力现场作业终端软件的安全性。
作为一个具体的实施方式,如图6所示,判断单元20还包括:
提取子单元21,用于提取所述行为的特征。
对监控到的目标程序的行为进行特征提取。所述行为的特征包括用户身份信息、进程名称信息、调用目标信息、调用目标的操作路径信息中的至少一个。
匹配子单元22,用于将所述行为的特征与恶意行为知识库中的恶意行为的特征进行匹配。
将提取到的所述行为的特征,即用户身份信息、进程名称信息、调用目标信息、调用目标的操作路径信息中的至少一个,与恶意行为知识库中的恶意行为的特征进行匹配。
判断子单元23,用于判断所述特征是否相同。
判断提取到的所述行为的特征,即用户身份信息、进程名称信息、调用目标信息、调用目标的操作路径信息中的至少一个,与恶意行为知识库中的恶意行为的特征是否相同。
判定子单元24,用于当所述特征相同时,则判定所述行为为恶意行为。
当提取到的所述行为的特征,即用户身份信息、进程名称信息、调用目标信息、调用目标的操作路径信息中的至少一个,与恶意行为知识库中的恶意行为的特征相同时,则判定所述行为为恶意行为。
通过对电力现场作业终端软件恶意行为的判断,能够直接检测到由权限等问题引起的恶意行为,提高了电力现场作业终端软件的安全性。
作为一个具体的实施方式,如图7所示,危害程度等级确定单元40还包括:
记录子单元41,用于记录预设时间段内所述恶意行为出现的次数。
在预设时间段内,对终端检测到的恶意行为的出现次数进行记录。
计算子单元42,用于根据所述恶意行为的权重和次数,计算该预设时间段内所述恶意行为的评判值。
例如,检测到某个终端在预设时间段内的恶意行为,如本地访问越权,当本地访问越权被匹配成功2次,即出现次数为2次,且本地访问越权的权重为10时,则在预设时间段内恶意行为的评判值为2*10=20。
判断子单元43,用于判断所述评判值是否超过预设阈值。
严重级判定子单元44,用于当所述评判值大于所述预设阈值时,则判定所述恶意行为的危害程度为严重级;
当某一终端在预设时间段内检测到的恶意行为的评判值大于预设阈值时,则判定所述恶意行为的危害程度为严重级。
普通级判定子单元45,用于当所述评判值小于等于所述预设阈值时,则判定所述恶意行为的危害程度为普通级。
当某一终端在预设时间段内检测到的恶意行为的评判值小于等于预设阈值时,则判定所述恶意行为的危害程度为普通级。
通过对电力现场作业终端检测到的恶意行为的危害程度进行分级,能够根据恶意行为的危害程度采取相应的防护措施,提高了电力现场作业效率。
作为一个具体的实施方式,如图8所示,防护指令确定单元50还包括:
执行回滚操作子单元51,用于当判定所述恶意行为的危害程度为严重级时,向所述终端发送的防护指令为执行回滚操作。
对危害程度为严重级的恶意行为,可能造成作业中断,为了提高作业效率,需执行回滚操作,即向所述终端发送的防护指令为执行回滚操作。回滚操作是指在电力现场作业中断处记录还原点,执行回滚操作,可还原所有数据,从而保障电力现场作业人员顺利不中断地完成作业任务,提高作业效率。
消息推送提醒子单元52,用于当判定所述恶意行为的危害程度为普通级时,向所述终端发送的防护指令为消息推送提醒。
对危害程度为普通级的恶意行为,可能会对系统造成干扰、窃取信息等不良后果,但不会造成硬件损坏、数据丢失等严重后果,而且通过云查杀技术可以清除该类恶意代码或病毒。需向所述终端发送的防护指令为消息推送提醒。消息推送提醒是将检测到的恶意行为分析报告推送到电力现场作业终端设备上进行安全预警,使现场作业人员及时掌握终端设备的安全情况。
作为一个具体的实施方式,所述装置还包括恶意行为加入单元,用于将所述恶意行为加入恶意行为知识库。
通过恶意行为知识库,利用云查杀技术对电力现场作业终端的恶意行为进行比样分析,获取恶意行为的代码或病毒样本,并根据类型和危害程度分级分类,将检测到的恶意行为的代码或病毒样本加入恶意行为知识库。这样可以更全面的获取恶意行为的代码或病毒样本及其危害程度和处理方法,增强电力现场作业系统抵御病毒的能力。
作为一个具体的实施方式,所述终端的目标程序运行在沙箱容器中。
沙箱是给一些具备破坏力、来源不可信或者是无法判断程序意图的程序提供试验的环境,沙箱中的改动不会对操作系统造成任何的损失。沙箱的主要用途包括保护系统和监测分析程序。保护系统主要将恶意程序在沙箱中运行,由于沙箱的隔离性,恶意程序在沙箱中造成的危害不会影响到真实的操作系统。监测分析程序主要是对在沙箱系统中运行的程序进行行为监测。
电力现场作业终端软件安装在沙箱容器中进行隔离,防止传统终端软件直接安装在终端操作系统之上,发生恶意攻击后对终端设备产生直接的危害,有效隔离恶意终端软件。利用安全沙箱的技术,将电力现场作业终端软件运行在沙箱容器中,可以有效防止黑客入侵对电力现场作业终端软件本身和电力数据的破坏,将超权限的恶意行为加入恶意行为知识库,对终端目标程序的行为实时监控,并通过消息推送功能告知正在运行的电力现场作业终端设备存在恶意行为,进行预警措施,更好地提高了电力现场作业设备在电力行业中移动作业环境下的安全性。
作为一个具体的实施方式,还可以对电力现场作业终端的目标程序所连接目标服务器的IP地址进行监控,监测所述目标程序连接的目标的IP地址是否为预定IP地址。当所述目标程序连接的目标的IP地址不是所述预定IP地址时,阻拦所述目标程序对所述目标的连接行为。从而实现对连接权限范围之外的服务器行为进行阻拦,防止电力现场作业终端软件非法连接其权限范围之外的电力内网应用系统,保障电力内网的数据安全。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (14)
1.一种软件安全防护方法,其特征在于,包括:
监控终端的目标程序的行为;
判断所述行为是否为恶意行为;
当判定所述行为为恶意行为时,记录所述恶意行为;
根据预设时间段内所记录的恶意行为,确定所述恶意行为的危害程度等级;
根据所述恶意行为的危害程度等级确定向所述终端发送的防护指令。
2.根据权利要求1所述的方法,其特征在于,所述判断所述行为是否为恶意行为,包括:
提取所述行为的特征;
将所述行为的特征与恶意行为知识库中的恶意行为的特征进行匹配;
判断所述特征是否相同;
当所述特征相同时,则判定所述行为为恶意行为。
3.根据权利要求2所述的方法,其特征在于,所述行为的特征包括用户身份信息、进程名称信息、调用目标信息、调用目标的操作路径信息中的至少一个。
4.根据权利要求1所述的方法,其特征在于,所述根据预设时间段内所记录的恶意行为,确定所述恶意行为的危害程度等级,包括:
记录预设时间段内所述恶意行为出现的次数;
根据所述恶意行为的权重和次数,计算该预设时间段内所述恶意行为的评判值;
判断所述评判值是否超过预设阈值;
当所述评判值大于所述预设阈值时,则判定所述恶意行为的危害程度为严重级;
当所述评判值小于等于所述预设阈值时,则判定所述恶意行为的危害程度为普通级。
5.根据权利要求4所述的方法,其特征在于,所述根据所述恶意行为的危害程度等级确定向所述终端发送的防护指令,包括:
当判定所述恶意行为的危害程度为严重级时,向所述终端发送的防护指令为执行回滚操作;
当判定所述恶意行为的危害程度为普通级时,向所述终端发送的防护指令为消息推送提醒。
6.根据权利要求1-5中任一项所述的方法,其特征在于,在所述确定所述恶意行为的危害程度等级之后,还包括:
将所述恶意行为加入恶意行为知识库。
7.根据权利要求1所述的方法,其特征在于,所述终端的目标程序运行在沙箱容器中。
8.一种软件安全防护装置,其特征在于,包括:
监控单元,用于监控终端的目标程序的行为;
判断单元,用于判断所述行为是否为恶意行为;
记录单元,用于当判定所述行为为恶意行为时,记录所述恶意行为;
危害程度等级确定单元,用于根据预设时间段内所记录的恶意行为,确定所述恶意行为的危害程度等级;
防护指令确定单元,用于根据所述恶意行为的危害程度等级确定向所述终端发送的防护指令。
9.根据权利要求8所述的装置,其特征在于,所述判断单元包括:
提取子单元,用于提取所述行为的特征;
匹配子单元,用于将所述行为的特征与恶意行为知识库中的恶意行为的特征进行匹配;
判断子单元,用于判断所述特征是否相同;
判定子单元,用于当所述特征相同时,则判定所述行为为恶意行为。
10.根据权利要求9所述的装置,其特征在于,所述行为的特征包括用户身份信息、进程名称信息、调用目标信息、调用目标的操作路径信息中的至少一个。
11.根据权利要求8所述的装置,其特征在于,所述危害程度等级确定单元包括:
记录子单元,用于记录预设时间段内所述恶意行为出现的次数;
计算子单元,用于根据所述恶意行为的权重和次数,计算该预设时间段内所述恶意行为的评判值;
判断子单元,用于判断所述评判值是否超过预设阈值;
严重级判定子单元,用于当所述评判值大于所述预设阈值时,则判定所述恶意行为的危害程度为严重级;
普通级判定子单元,用于当所述评判值小于等于所述预设阈值时,则判定所述恶意行为的危害程度为普通级。
12.根据权利要求11所述的装置,其特征在于,所述防护指令确定单元,包括:
执行回滚操作子单元,用于当判定所述恶意行为的危害程度为严重级时,向所述终端发送的防护指令为执行回滚操作;
消息推送提醒子单元,用于当判定所述恶意行为的危害程度为普通级时,向所述终端发送的防护指令为消息推送提醒。
13.根据权利要求8-12中任一项所述的装置,其特征在于,还包括:
恶意行为加入单元,用于将所述恶意行为加入恶意行为知识库。
14.根据权利要求8所述的装置,其特征在于,所述终端的目标程序运行在沙箱容器中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611071609.3A CN106803037A (zh) | 2016-11-28 | 2016-11-28 | 一种软件安全防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611071609.3A CN106803037A (zh) | 2016-11-28 | 2016-11-28 | 一种软件安全防护方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106803037A true CN106803037A (zh) | 2017-06-06 |
Family
ID=58985145
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611071609.3A Pending CN106803037A (zh) | 2016-11-28 | 2016-11-28 | 一种软件安全防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106803037A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108197471A (zh) * | 2017-12-19 | 2018-06-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种恶意软件检测方法及装置 |
| CN109142639A (zh) * | 2018-09-17 | 2019-01-04 | 佛山市中环环保技术研究中心 | VOCs在线监测系统及方法 |
| CN109446800A (zh) * | 2018-11-15 | 2019-03-08 | 珠海市知安全科技有限公司 | 一种样本沙箱分析方法及装置 |
| WO2019091028A1 (zh) * | 2017-11-10 | 2019-05-16 | 华为技术有限公司 | 应用软件恶意行为的动态告警方法和终端 |
| CN110753039A (zh) * | 2019-09-29 | 2020-02-04 | 苏州浪潮智能科技有限公司 | 一种远程登录安全防护的方法及装置 |
| CN110958208A (zh) * | 2018-09-26 | 2020-04-03 | 瑞数信息技术(上海)有限公司 | 一种攻击来源的检测方法、装置、设备和计算机存储介质 |
| CN111477048A (zh) * | 2020-05-16 | 2020-07-31 | 安徽商贸职业技术学院 | 一种在线实验教学平台及教学方法 |
| CN111667385A (zh) * | 2020-05-16 | 2020-09-15 | 安徽商贸职业技术学院 | 一种用于在线开放实验教学的实验设计方法 |
| CN113518055A (zh) * | 2020-04-09 | 2021-10-19 | 奇安信安全技术(珠海)有限公司 | 数据安全防护的处理方法及装置、存储介质、终端 |
| CN118839320A (zh) * | 2024-08-22 | 2024-10-25 | 昆明独酌点科技有限公司 | 一种基于人工智能的软件保护方法、系统、设备和介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103368904A (zh) * | 2012-03-27 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 移动终端、可疑行为检测及判定系统和方法 |
| CN103475671A (zh) * | 2010-08-18 | 2013-12-25 | 北京奇虎科技有限公司 | 恶意程序检测方法 |
| CN104376266A (zh) * | 2014-11-21 | 2015-02-25 | 工业和信息化部电信研究院 | 应用软件安全级别的确定方法及装置 |
-
2016
- 2016-11-28 CN CN201611071609.3A patent/CN106803037A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475671A (zh) * | 2010-08-18 | 2013-12-25 | 北京奇虎科技有限公司 | 恶意程序检测方法 |
| CN103368904A (zh) * | 2012-03-27 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 移动终端、可疑行为检测及判定系统和方法 |
| CN104376266A (zh) * | 2014-11-21 | 2015-02-25 | 工业和信息化部电信研究院 | 应用软件安全级别的确定方法及装置 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110447215B (zh) * | 2017-11-10 | 2021-02-12 | 华为技术有限公司 | 应用软件恶意行为的动态告警方法和终端 |
| WO2019091028A1 (zh) * | 2017-11-10 | 2019-05-16 | 华为技术有限公司 | 应用软件恶意行为的动态告警方法和终端 |
| CN110447215A (zh) * | 2017-11-10 | 2019-11-12 | 华为技术有限公司 | 应用软件恶意行为的动态告警方法和终端 |
| CN108197471A (zh) * | 2017-12-19 | 2018-06-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种恶意软件检测方法及装置 |
| CN108197471B (zh) * | 2017-12-19 | 2020-07-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种恶意软件检测方法及装置 |
| CN109142639A (zh) * | 2018-09-17 | 2019-01-04 | 佛山市中环环保技术研究中心 | VOCs在线监测系统及方法 |
| CN110958208A (zh) * | 2018-09-26 | 2020-04-03 | 瑞数信息技术(上海)有限公司 | 一种攻击来源的检测方法、装置、设备和计算机存储介质 |
| CN110958208B (zh) * | 2018-09-26 | 2020-11-20 | 瑞数信息技术(上海)有限公司 | 一种攻击来源的检测方法、装置、设备和计算机存储介质 |
| CN109446800A (zh) * | 2018-11-15 | 2019-03-08 | 珠海市知安全科技有限公司 | 一种样本沙箱分析方法及装置 |
| CN110753039A (zh) * | 2019-09-29 | 2020-02-04 | 苏州浪潮智能科技有限公司 | 一种远程登录安全防护的方法及装置 |
| CN113518055A (zh) * | 2020-04-09 | 2021-10-19 | 奇安信安全技术(珠海)有限公司 | 数据安全防护的处理方法及装置、存储介质、终端 |
| CN111477048A (zh) * | 2020-05-16 | 2020-07-31 | 安徽商贸职业技术学院 | 一种在线实验教学平台及教学方法 |
| CN111667385A (zh) * | 2020-05-16 | 2020-09-15 | 安徽商贸职业技术学院 | 一种用于在线开放实验教学的实验设计方法 |
| CN118839320A (zh) * | 2024-08-22 | 2024-10-25 | 昆明独酌点科技有限公司 | 一种基于人工智能的软件保护方法、系统、设备和介质 |
| CN118839320B (zh) * | 2024-08-22 | 2025-01-24 | 四川赐睿科技有限责任公司 | 一种基于人工智能的软件保护方法、系统、设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106803037A (zh) | 一种软件安全防护方法及装置 | |
| US10893068B1 (en) | Ransomware file modification prevention technique | |
| CA2968201C (en) | Systems and methods for malicious code detection | |
| CN104766011B (zh) | 基于主机特征的沙箱检测告警方法和系统 | |
| JP6703616B2 (ja) | セキュリティ脅威を検出するためのシステム及び方法 | |
| CN104753936B (zh) | Opc安全网关系统 | |
| US20230018096A1 (en) | Analysis apparatus, analysis method, and non-transitory computer readable medium storing analysis program | |
| CN112039894B (zh) | 一种网络准入控制方法、装置、存储介质和电子设备 | |
| CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
| CN113438249A (zh) | 一种基于策略的攻击溯源方法 | |
| US20220309171A1 (en) | Endpoint Security using an Action Prediction Model | |
| CN114625074A (zh) | 一种用于火电机组dcs系统的安全防护系统及方法 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| CN106899977B (zh) | 异常流量检验方法和装置 | |
| KR20200054495A (ko) | 보안관제 서비스 방법 및 그를 위한 장치 | |
| TWI711939B (zh) | 用於惡意程式碼檢測之系統及方法 | |
| KR101614809B1 (ko) | 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법 | |
| CN119210856A (zh) | 一种基于零信任网络安全防护的企业资源信息访问方法和装置、设备和介质 | |
| US12381905B2 (en) | Remediation responsive to a pattern of alerts | |
| JP7150425B2 (ja) | 通信システム、制御装置、通信制御方法、及びプログラム | |
| JP2019220132A (ja) | プログラムの危険な挙動のパターンをユーザのコンピュータシステムに適応させるシステムおよび方法 | |
| CN115470479A (zh) | 应用程序的权限控制方法、电子设备和存储介质 | |
| CN114640529A (zh) | 攻击防护方法、装置、设备、存储介质和计算机程序产品 | |
| KR101489142B1 (ko) | 클라이언트시스템 및 클라이언트시스템의 동작 방법 | |
| CN109614796A (zh) | 一种网络安全系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 102209 Beijing City, the future of science and Technology City Binhe Road, No. 18, No. Applicant after: Global energy Internet Institute, Inc. Applicant after: ELECTRIC POWER RESEARCH INSTITUTE, STATE GRID JIANGSU ELECTRIC POWER COMPANY Applicant after: State Grid Corporation of China Address before: 102211 Beijing city Changping District Xiaotangshan town big East Village Road No. 270 Applicant before: GLOBAL ENERGY INTERCONNECTION RESEARCH INSTITUTE Applicant before: ELECTRIC POWER RESEARCH INSTITUTE, STATE GRID JIANGSU ELECTRIC POWER COMPANY Applicant before: State Grid Corporation of China |
|
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 102209 18 Riverside Avenue, Changping District science and Technology City, Beijing Applicant after: Global energy Internet Institute, Inc. Applicant after: ELECTRIC POWER RESEARCH INSTITUTE, STATE GRID JIANGSU ELECTRIC POWER COMPANY Applicant after: State Grid Corporation of China Address before: 102209 18 Riverside Avenue, Changping District science and Technology City, Beijing Applicant before: Global energy Internet Institute, Inc. Applicant before: ELECTRIC POWER RESEARCH INSTITUTE, STATE GRID JIANGSU ELECTRIC POWER COMPANY Applicant before: State Grid Corporation of China |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170606 |
|
| RJ01 | Rejection of invention patent application after publication |