[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN103646209B - 基于云安全拦截捆绑软件的方法和装置 - Google Patents

基于云安全拦截捆绑软件的方法和装置 Download PDF

Info

Publication number
CN103646209B
CN103646209B CN201310714666.9A CN201310714666A CN103646209B CN 103646209 B CN103646209 B CN 103646209B CN 201310714666 A CN201310714666 A CN 201310714666A CN 103646209 B CN103646209 B CN 103646209B
Authority
CN
China
Prior art keywords
description information
behavior
erection schedule
strategy
acquiescence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310714666.9A
Other languages
English (en)
Other versions
CN103646209A (zh
Inventor
张聪
王亮
张晓霖
张庭
宁敢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Qihoo Technology Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Qizhi Software Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd, Qizhi Software Beijing Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201310714666.9A priority Critical patent/CN103646209B/zh
Publication of CN103646209A publication Critical patent/CN103646209A/zh
Application granted granted Critical
Publication of CN103646209B publication Critical patent/CN103646209B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Stored Programmes (AREA)

Abstract

本申请公开了一种基于云安全拦截捆绑软件的方法和装置,其中所述方法包括:在安装应用程序时,监测所述应用程序的本体安装进程;在所述本体安装进程开启一个或多个安装进程或者执行一个或多个行为时,分别捕捉所述一个或多个安装进程/行为的描述信息;根据策略库对所述一个或多个安装进程/行为的描述信息进行匹配,所述策略库中保存有安装进程/行为的描述信息以及与所述安装进程/行为的描述信息对应的拦截策略和/或放行策略;根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行。本申请通过策略库中的描述信息及拦截策略从而对捆绑软件及捆绑的这种行为进行主动防御,避免了恶意程序的捆绑安装所带来的危害。

Description

基于云安全拦截捆绑软件的方法和装置
技术领域
本申请涉及计算机技术领域,具体涉及一种基于云安全拦截捆绑软件的方法和装置。
背景技术
现今,以捆绑方式推广捆绑软件已经成为一种潮流。所捆绑的软件几乎涉及了电脑日常使用的方方面面,归纳起来大致有以下几类:即时通讯、网络浏览、网络搜索、病毒查杀、影音播放、英汉词典、文字处理、图像处理等,这些捆绑软件在程序进行本体安装时大多以可选框的形式出现。
在捆绑形式上,捆绑软件也有这样几种:安装时提醒并可选、默认插件安装、不可预见的强制性安装。可以看到,安装时提醒并可选的方式还是较为人性化的,因为捆绑软件并不是只是伴随着一个主体软件出现,同样的捆绑软件可能被很多软件捆绑,这样在安装时就会出现重复的现象。当然,更加泛滥的情况是,很多捆绑软件是以默认插件安装和不可预见的强制性安装进行的,这时不仅会出现重复安装的情况,更可能会因为大量的捆绑软件在用户无法选择甚至不知情的情况下安装进用户的终端,导致用户的终端的存储资源和运行资源被大量消耗,严重降低了用户的终端的性能。
而且,更加危险的是有些捆绑软件甚至是恶意程序,在用户无法选择甚至不知情的情况安装了恶意程序有可能会造成用户终端的瘫痪,而一些木马程序甚至会给用户带来较大的经济损失。
因此,当前如何对捆绑软件的安装进行有效拦截就成为了亟待解决的技术问题。
发明内容
本申请所要解决的技术问题在于提供一种基于云安全拦截捆绑软件的方法和装置,可以对捆绑软件的安装进行有效拦截。
为了解决上述问题,本申请还公开了一种基于云安全拦截捆绑软件的方法,包括:在安装应用程序时,监测所述应用程序的本体安装进程;在所述本体安装进程开启一个或多个安装进程或者执行一个或多个行为时,分别捕捉所述一个或多个安装进程/行为的描述信息;根据策略库对所述一个或多个安装进程/行为的描述信息进行匹配,所述策略库中保存有安装进程/行为的描述信息以及与所述安装进程/行为的描述信息对应的拦截策略和/或放行策略;根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行。
进一步地,根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行,包括:在获得所述匹配结果后,检测所述拦截处理配置项的置位标识,其中,所述处理配置项的置位标识在一配置界面内进行设置,所述配置界面通过接收对主界面上提供的配置入口的触发而开启;当所述置位标识指示为询问后处理时,根据所述匹配结果提示用户存在所述一个或多个安装进程/行为需要执行拦截策略,并在预设时长内根据所接收到的用户指示对所述一个或多个安装进程/行为进行拦截;如果在所述预设时长内没有接收到所述用户指示,则默认对所述一个或多个安装进程/行为进行拦截;当所述置位标识指示为直接处理时,根据所述匹配结果判定存在所述一个或多个安装进程/行为需要执行拦截策略,直接对所述一个或多个安装进程/行为进行拦截。
进一步地,根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行之后,还包括:对应所述应用程序的标识,分别记录所述一个或多个安装进程/行为的标识以及拦截时间;统计执行过拦截的应用程序的个数,并累计针对所有应用程序所记录的总拦截次数;默认在主界面上显示所述执行过拦截的应用程序的个数以及总拦截次数,并在所述主界面上提供记录查询入口;接收对所述记录查询入口的触发从而开启查询界面,在所述查询界面上以所述应用程序的标识为索引,显示所述总拦截次数、所记录的被拦截的安装进程/行为的标识以及拦截时间;接收在所述查询界面上触发的所述应用程序的标识和/或被拦截的安装进程/行为的标识,并将所述应用程序的标识和/或被拦截的安装进程/行为的标识上报至服务器以便所述服务器对所述应用程序和被拦截的安装进程/行为进行汇总以及配置相应拦截策略并下发所述配置的拦截策略。
进一步地,对应执行拦截策略的捆绑行为的描述信息,包括以下一种或多种的组合:由默认拦截的进程执行的与所述默认拦截的进程无关的文件夹创建操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的文件写入操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的下载操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的安装操作的描述信息。
进一步地,对应执行放行策略的行为的描述信息,包括以下一种或多种的组合:由用户主导执行的安装操作的描述信息,由用户主导执行的下载操作的描述信息,由默认放行的进程执行的安装操作的描述信息,由默认放行的进程执行的下载操作的描述信息。
进一步地,对应执行拦截策略的捆绑安装进程的描述信息,包括以下一种或多种的组合:由默认拦截的进程启动且与所述默认拦截的进程无关的捆绑安装进程的描述信息、已执行拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑下载进程访问的网络地址。
进一步地,对应执行放行策略的安装进程的描述信息,包括以下一种或多种的组合:由默认放行的进程启动且与所述默认放行的进程无关的安装进程的描述信息、已执行放行的安装进程的描述信息、预先收集的默认放行的安装进程的描述信息、预先收集的默认放行的下载进程访问的网络地址。
进一步地,所述描述信息,包括以下一种或多种的组合:版本号、安装文件的发布公司名称、产品名称、内部名称、签名者、签名日期、安装文件大小、安装范围、安装文件的时间戳、安装命令行信息。
进一步地,所述策略库配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端,和/或,配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端接入的网络服务器;配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端的策略库中,保存有对应执行放行策略的安装进程/行为的描述信息;配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端接入的网络服务器的策略库中,保存有对应执行拦截策略和/或执行放行策略的安装进程/行为的描述信息;所述配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端接入的网络服务器的策略库,通过不断接收接入所述网络服务器的若干终端上报的描述信息及拦截策略和/或放行策略,并对所述描述信息及拦截策略和/或放行策略进行汇总判断以更新所述策略库。
为了解决上述问题,本申请还公开了一种基于云安全拦截捆绑软件的装置,包括:策略库,用于保存安装进程/行为的描述信息以及与所述安装进程/行为的描述信息对应的拦截策略和/或放行策略;监测模块,用于在安装应用程序时,监测所述应用程序的本体安装进程;捕捉模块,用于在所述本体安装进程开启一个或多个安装进程或者执行一个或多个行为时,分别捕捉所述一个或多个安装进程/行为的描述信息;匹配模块,用于根据所述策略库对所述一个或多个安装进程/行为的描述信息进行匹配;执行模块,用于根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行。
进一步地,还包括:执行模块,用于在获得所述匹配结果后,检测所述拦截处理配置项的置位标识,其中,所述处理配置项的置位标识在一配置界面内进行设置,所述配置界面通过接收对主界面上提供的配置入口的触发而开启;当所述置位标识指示为询问后处理时,根据所述匹配结果提示用户存在所述一个或多个安装进程/行为需要执行拦截策略,并在预设时长内根据所接收到的用户指示对所述一个或多个安装进程/行为进行拦截;如果在所述预设时长内没有接收到所述用户指示,则默认对所述一个或多个安装进程/行为进行拦截;当所述置位标识指示为直接处理时,根据所述匹配结果判定存在所述一个或多个安装进程/行为需要执行拦截策略,直接对所述一个或多个安装进程/行为进行拦截。
进一步地,还包括:记录模块,用于对应所述应用程序的标识,分别记录所述一个或多个安装进程/行为的标识以及拦截时间,统计执行过拦截的应用程序的个数,并累计针对所有应用程序所记录的总拦截次数;记录展示模块,用于默认在主界面上显示所述执行过拦截的应用程序的个数以及总拦截次数,并在所述主界面上提供记录查询入口;接收对所述记录查询入口的触发从而开启查询界面,在所述查询界面上以所述应用程序的标识为索引,显示所述总拦截次数、所记录的被拦截的安装进程/行为的标识以及拦截时间;接收在所述查询界面上触发的所述应用程序的标识和/或被拦截的安装进程/行为的标识,并将所述应用程序的标识和/或被拦截的安装进程/行为的标识上报至服务器以便所述服务器对所述应用程序和被拦截的安装进程/行为进行汇总以及配置相应拦截策略并下发所述配置的拦截策略。
进一步地,所述策略库,所保存的对应执行拦截策略的捆绑行为的描述信息,包括以下一种或多种的组合:由默认拦截的进程执行的与所述默认拦截的进程无关的文件夹创建操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的文件写入操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的下载操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的安装操作的描述信息。
进一步地,所述策略库,所保存的对应执行放行策略的行为的描述信息,包括以下一种或多种的组合:由用户主导执行的安装操作的描述信息,由用户主导执行的下载操作的描述信息,由默认放行的进程执行的安装操作的描述信息,由默认放行的进程执行的下载操作的描述信息。
进一步地,所述策略库,所保存的对应执行拦截策略的捆绑安装进程的描述信息,包括以下一种或多种的组合:由默认拦截的进程启动且与所述默认拦截的进程无关的捆绑安装进程的描述信息、已执行拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑下载进程访问的网络地址。
进一步地,所述策略库,所保存的对应执行放行策略的安装进程的描述信息,包括以下一种或多种的组合:由默认放行的进程启动且与所述默认放行的进程无关的安装进程的描述信息、已执行放行的安装进程的描述信息、预先收集的默认放行的安装进程的描述信息、预先收集的默认放行的下载进程访问的网络地址。
进一步地,所述描述信息,包括以下一种或多种的组合:版本号、安装文件的发布公司名称、产品名称、内部名称、签名者、签名日期、安装文件大小、安装范围、安装文件的时间戳、安装命令行信息。
进一步地,所述策略库配置在所述装置所在终端,和/或,配置在所述装置所在终端接入的网络服务器;配置在所述装置所在终端的策略库中,保存有对应执行放行策略的安装进程/行为的描述信息;配置在所述装置所在终端接入的网络服务器的策略库中,保存有对应执行拦截策略和/或执行放行策略的安装进程/行为的描述信息;所述配置在所述装置所在终端接入的网络服务器的策略库,通过不断接收接入所述网络服务器的若干终端上报的描述信息及拦截策略和/或放行策略,并对所述描述信息及拦截策略和/或放行策略进行汇总判断以更新所述策略库。
与现有技术相比,本申请可以获得包括以下技术效果:
本申请通过不断地丰富策略库,从而通过策略库中的描述信息及拦截策略从而对捆绑软件及捆绑的这种行为进行主动防御,当用户在安装软件的时候,自动监测识别捆绑软件的伴随安装或者下载以及其他方式的捆绑,根据用户的设置直接帮用户拦截捆绑软件的安装,或者弹出警示窗口提示用户拦截捆绑软件,净化了用户终端的环境,维护了用户终端的性能,并避免了恶意程序的捆绑安装所带来的危害。
当然,实施本申请的任一产品必不一定需要同时达到以上所述的所有技术效果。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本申请实施例的方法流程图;
图2是本申请实施例的装置结构图;
图3是本申请实施例的又一装置结构图;
图4是本申请实施例的主界面示意图;
图5是本申请实施例的查询界面示意图;
图6是本申请实施例的配置界面示意图。
具体实施方式
以下将配合附图及实施例来详细说明本申请的实施方式,藉此对本申请如何应用技术手段来解决技术问题并达成技术功效的实现过程能充分理解并据以实施。
实施例描述
下面以一实施例对本申请方法的实现作进一步说明。如图1所示,为本申请实施例的基于云安全拦截捆绑软件的流程图,该方法包括:
S100:在安装应用程序时,监测所述应用程序的本体安装进程。
S102:在所述本体安装进程开启一个或多个安装进程或者执行一个或多个行为时,分别捕捉所述一个或多个安装进程/行为的描述信息。
S104:根据策略库对所述一个或多个安装进程/行为的描述信息进行匹配,所述策略库中保存有安装进程/行为的描述信息以及与所述安装进程/行为的描述信息对应的拦截策略和/或放行策略。
1)所述策略库中保存的对应执行拦截策略的行为的描述信息,包括以下一种或多种的组合:由默认拦截的进程执行的与所述默认拦截的进程无关的文件夹创建操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的文件写入操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的下载操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的安装操作的描述信息。需要说明的是,有些捆绑行为并不是直接的安装行为、下载行为,而是脱离了安装包的限制,直接建立文件夹并往所述文件夹中写入文件,这种捆绑行为也被需要监控的,因此,策略库中对这种行为也进行了收集。
2)所述策略库中保存的对应执行拦截策略的安装进程的描述信息,包括以下一种或多种的组合:由默认拦截的进程启动且与所述默认拦截的进程无关的安装进程的描述信息、已执行拦截的安装进程的描述信息、预先收集的默认拦截的安装进程的描述信息、预先收集的默认拦截的下载进程访问的网络地址。
以上方式1)和2)类似于黑名单,如果被对应执行拦截策略的行为/安装进程的描述信息命中,所述本体安装进程开启的一个或多个捆绑安装进程或者执行的一个或多个捆绑行为都要需要执行拦截策略。
3)所述策略库中保存的对应执行放行策略的行为的描述信息,包括以下一种或多种的组合:由用户主导执行的安装操作的描述信息,由用户主导执行的下载操作的描述信息,由默认放行的进程执行的安装操作的描述信息,由默认放行的进程执行的下载操作的描述信息。需要说明的是,一般由用户主导的安装下载行为都被认为不是捆绑行为,另外一些经过认证的进程都是默认放行的,这些进程执行的安装下载行为可以被认为不是捆绑行为;因此对于这些非捆绑行为显然需要放行,当然,对于这些非捆绑行为之外的行为统统认定为捆绑行为,可见这种捆绑行为的认定力度和认定范围都是很大的,对于捆绑行为的防范效果也很好。
4)所述策略库中保存的对应执行放行策略的安装进程的描述信息,包括以下一种或多种的组合:由默认放行的进程启动且与所述默认放行的进程无关的安装进程的描述信息、已执行放行的安装进程的描述信息、预先收集的默认放行的安装进程的描述信息、预先收集的默认放行的下载进程访问的网络地址。需要说明的是,一般多次执行放行的安装进程可以被认定不是捆绑程序或者不是用户希望拦截的捆绑程序,最好放行;有些通过云端收集的方式认定绝大部分用户都放行的安装进程或者下载进程访问的网络地址不是捆绑相关的,可以通过预先收集的方式保存在策略库中,对这类安装进程和下载进程访问的网络地址显然应该放行;另外一些经过认证的进程都是默认放行的,这些进程启动的安装进程可以被认为不是捆绑安装进程;当然,对于这些非捆绑安装进程之外的安装进程统统认定为捆绑安装进程,可见这种捆绑安装进程的认定力度和认定范围都是很大的,对于捆绑安装进程的防范效果也很好。
以上方式3)和4)类似于白名单,如果被对应执行放行策略的行为/安装进程的描述信息命中,所述本体安装进程开启的一个或多个捆绑安装进程或者执行的一个或多个捆绑行为都可以放行,当然,如果没有命中,则需要拦截。显然,白名单中存储的描述信息毕竟为少数,可见大多数捆绑安装进程或者捆绑行为都是要被拦截的。在本方案中,优先使用白名单的方式,或者使用白名单和黑名单结合的方式。
所述安装进程的描述信息,包括以下一种或多种的组合:版本号、安装文件的发布公司名称、产品名称、内部名称、签名者、签名日期、安装文件大小、安装范围、安装文件的时间戳、安装命令行信息。
S106:根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行。
对所述一个或多个安装进程/行为进行拦截,包括:可以对安装进程/行为执行关闭等操作,或者是对安装进程相应的文件执行删除,或者对安装行为所安装的文件执行删除等操作。对安装进程/行为执行关闭的同时,还要关闭安装进程/行为释放出的文件等信息。
在获得所述匹配结果后,检测所述拦截处理配置项的置位标识,其中,所述处理配置项的置位标识在一配置界面内进行设置,所述配置界面通过接收对主界面上提供的配置入口的触发而开启;
当所述置位标识指示为询问后处理时,根据所述匹配结果提示用户存在所述一个或多个安装进程/行为需要执行拦截策略,并在预设时长内根据所接收到的用户指示对所述一个或多个安装进程/行为进行拦截;如果在所述预设时长内没有接收到所述用户指示,则默认对所述一个或多个安装进程/行为进行拦截。
当所述置位标识指示为直接处理时,根据所述匹配结果判定存在所述一个或多个安装进程/行为需要执行拦截策略,直接对所述一个或多个安装进程/行为进行拦截。
在主界面上提供置位标识的处理配置入口,如图4所示。置位标识的设置可以由用户在配置界面内自行设置,如图6所示,如用户希望对一切捆绑行为或者捆绑软件进行清理,可以设置为置位标识为“直接处理”项,这样在匹配到安装进程/行为是捆绑软件时就直接执行拦截;如用户希望对个别捆绑软件进行放行,也可以设置为置位标识为“询问后处理”项,在匹配到安装进程/行为是捆绑软件时由用户自身来进行选择拦截还是放行。
S108:对应所述应用程序的标识,分别记录所述一个或多个安装进程/行为的标识以及拦截时间,统计执行过拦截的应用程序的个数,并累计针对所有应用程序所记录的总拦截次数,供用户查看。
默认在主界面上显示所述执行过拦截的应用程序的个数以及总拦截次数,并在所述主界面上提供记录查询入口,如图4所示;
接收对所述记录查询入口的触发从而开启查询界面,在所述查询界面上以所述应用程序的标识为索引,显示所述总拦截次数、所记录的被拦截的安装进程/行为的标识以及拦截时间,如图5所示;
接收在所述查询界面上触发的所述应用程序的标识和/或被拦截的安装进程/行为的标识,并将所述应用程序的标识和/或被拦截的安装进程/行为的标识上报至服务器以便所述服务器对所述应用程序和被拦截的安装进程/行为进行汇总以及配置相应拦截策略并下发所述配置的拦截策略。
通过主界面对拦截的总体情况进行提示,以便用户可以掌握到捆绑发生的总体变化,并且还提供了查询界面,查询界面上对于提供了很多细节信息,在需要时用户可以触发查询界面从而浏览拦截细节。
所述策略库一般配置在所述执行捆绑拦截方法的装置所在终端,也可以配置在所述执行捆绑拦截方法的装置所在终端接入的网络服务器。当然,最佳方案是同时配置在所述终端以及所述终端接入的网络服务器。因为在所述终端刚刚开启时,一些事先已下载到所述终端中的软件就会自动启动并弹出窗口建议用户安装捆绑软件,此时网络连接尚未建立,无法通过部署在网络服务器侧的策略库来进行拦截;而通过所述终端自身上部署的策略库不依赖于网络,则可以在网络连接尚未建立时很好的保护所述终端。当然,部署在终端的策略库起辅助作用,一般较为轻量、其中存储一些常规的描述信息及拦截策略/放行策略。
配置在所述终端的策略库中,保存有对应执行放行策略的安装进程/行为的描述信息;配置在所述终端接入的网络服务器的策略库中,保存有对应执行拦截策略和/或执行放行策略的安装进程/行为的描述信息;
所述配置在所述终端接入的网络服务器的策略库,通过不断接收接入所述网络服务器的若干终端上报的描述信息及拦截策略和/或放行策略,并对所述描述信息及拦截策略和/或放行策略进行汇总判断以更新所述策略库。
本申请除了通过上述步骤S100~S108的实时拦截方式,即在捆绑软件安装时或者捆绑行为发生时,实时进行拦截之外;还可以使用非实时拦截方式,即利用策略库中的描述信息,对于已经安装在操作系统中的全部软件进行筛查,在匹配到捆绑软件时对所述捆绑软件进行清理。通过上述实时拦截方式和非实时拦截方式的结合,确保对捆绑软件进行完全拦截。
以下以捆绑安装程序为例进一步说明本身请的方案。
当一应用程序开启了本体安装进程A,而本体安装进程A自动开启了安装进程B。
在本体安装进程A创建安装进程B时,通过挂钩接口(hook api)可以捕捉到创建安装进程B的函数creatprocess,可以查看安装进程B的描述信息,包括第一部分描述信息(版本号、安装文件的发布公司名称、产品名称、内部名称等)、第二部分描述信息(签名人、签名日期等)、第三部分描述信息(安装文件大小、安装范围、安装文件的时间戳等)、第四部分描述信息(命令行信息等);
根据安装进程B的上述描述信息,在策略库中进行匹配,只要以上描述信息中任何一项在策略库中被匹配到,则可以确定安装进程B为疑似捆绑包。当然,这里策略库所使用的是黑名单方式。在匹配时,根据安装进程B的描述信息,在预设的软件信息库中查找安装进程B的相关文件的描述信息,本实施例中的相关文件包括安装进程B的安装文件、注册表文件、快捷方式、服务文件、生成的文件等等,相关文件可以是安装进程B安装及工作过程中产生的所有文件;根据查找到的相关文件的描述信息,删除所述相关文件。
获取对安装进程B的清理请求,清理请求包括安装进程B的描述信息;识别到置位标识为“询问后处理”,通过一个界面将安装进程B提示给用户,则用户可选择根据自己的意愿选择是否拦截,另外,有可能一次匹配到的捆绑软件不止一个,可以通过一个界面将当前识别出的捆绑软件全部提示给用户,让用户根据意愿选择拦截其中的哪些捆绑软件。
前述实施例中有言,策略库优先使用白名单方式,因为一些捆绑软件本身为了逃避拦截,不具备任何的描述信息,例如版本号、产品名称、签名人,签名日期等均没有,如果使用黑名被单方式,很容易被该捆绑软件逃过拦截,而使用白名单方式,如果匹配不中就会拦截。
终端的本地策略库预先存储有一些常规的描述信息以便在不具备网络连接时进行查询,当然,主要是以网络策略库为主,或者使用本地策略库和网络策略库联合匹配的方式,在本地策略库匹配动作完成后,本地策略库的匹配结果则仅能说明目标是疑似的捆绑软件,进一步确认需要提交到网络策略库进行精确查询。
网络策略库主要设置在云端,在匹配时将捆绑软件的可执行的部分提取出来进行判断,无论捆绑软件的形式如何改变,我们都可以根据捆绑软件的可执行的部分的描述信息以及MD5在网络策略库查询。
对于绝大部份用户反复多次放行的软件,通过云端统计可以获知,对于这种软件可以确定不是捆绑软件,在策略库中记录该软件的描述信息,并对应保存放行策略。下次再安装该软件的时候,在策略库中匹配后可以直接放行。
捆绑软件目前主有三种方式:1)直接将安装文件捆绑,2)通过在网络地址保存捆绑软件的安装文件、通过即时下载进行安装,3)没有安装文件,直接创建文件夹,并写入文件。对于这三种方式,策略库中都进行了收集保存。在收集时,对于方式2),具体可以先由技术人员通过抓包工具识别捆绑逻辑,查看所访问的网络地址,收集所有网络地址并记入网络地址池,每隔一定周期会更新以保证策略库的实时性。对于方式1),可以通过沙箱主动运行本体安装文件,如果预定时间段内,有另一安装文件伴随本体安装文件自动完成安装,则可以确认另一安装文件是捆绑软件,将这个捆绑软件的信息以及拦截策略存储进策略库。
下面以另一实施例对本申请的实现作进一步说明。本申请可以作为杀毒软件、安全软件中具有捆绑拦截功能的模块,当杀毒软件、安全软件开启时,自动开启捆绑拦截功能,或者本申请也可以以独立的软件的形式存在。本申请可以应用在多种下载工具,或者即时通讯软件中,有效的发现、阻止下载工具和即时通讯软件中产生的恶意捆绑软件。
如图2所示,一种基于云安全拦截捆绑软件的装置,包括:
策略库20,用于保存安装进程/行为的描述信息以及与所述安装进程/行为的描述信息对应的拦截策略和/或放行策略;所述策略库20配置在所述装置所在终端,和/或,配置在所述装置所在终端接入的网络服务器;配置在所述装置所在终端的策略库中,保存有对应执行放行策略的安装进程/行为的描述信息;配置在所述装置所在终端接入的网络服务器的策略库中,保存有对应执行拦截策略和/或执行放行策略的安装进程/行为的描述信息;所述配置在所述装置所在终端接入的网络服务器的策略库,通过不断接收接入所述网络服务器的若干终端上报的描述信息及拦截策略和/或放行策略(如图4所示的主界面中提供了投诉上报入口,终端通过此入口向服务器进行上报),并对所述描述信息及拦截策略和/或放行策略进行汇总判断以更新所述策略库。所述安装进程的描述信息,包括以下一种或多种的组合:版本号、安装文件的发布公司名称、产品名称、内部名称、签名者、签名日期、安装文件大小、安装范围、安装文件的时间戳、安装命令行信息;
监测模块21,用于在安装应用程序时,监测所述应用程序的本体安装进程;
捕捉模块22,与监测模块21耦接,用于在所述本体安装进程开启一个或多个捆绑安装进程或者执行一个或多个捆绑行为时,分别捕捉所述一个或多个安装进程/行为的描述信息;
匹配模块23,分别与捕捉模块22与策略库20耦接,用于根据所述策略库20对所述一个或多个安装进程/行为的描述信息进行匹配;
执行模块24,与匹配模块23耦接,用于根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行,具体来说,用于在获得所述匹配结果后,检测所述拦截处理配置项的置位标识,其中,所述处理配置项的置位标识在一配置界面内进行设置,所述配置界面通过接收对主界面上提供的配置入口的触发而开启;当所述置位标识指示为询问后处理时,根据所述匹配结果提示用户存在所述一个或多个安装进程/行为需要执行拦截策略,并在预设时长内根据所接收到的用户指示对所述一个或多个安装进程/行为进行拦截;如果在所述预设时长内没有接收到所述用户指示,则默认对所述一个或多个安装进程/行为进行拦截;当所述置位标识指示为直接处理时,根据所述匹配结果判定存在所述一个或多个安装进程/行为需要执行拦截策略,直接对所述一个或多个安装进程/行为进行拦截。
以下以一个实施例对策略库20的更新方式和更新规则进行说明。
在客户端发送的更新请求中包含捆绑拦截规则的版本信息。具体包括:将更新请求中的捆绑拦截规则的版本信息与服务器中捆绑拦截规则的版本信息进行比较,根据比较结果确定出需要向客户端下发的更新的捆绑拦截规则。具体而言,当更新请求中的捆绑拦截规则的版本信息与服务器中捆绑拦截规则的版本信息所表示的版本相同,则表示客户端中该捆绑拦截规则为最新的捆绑拦截规则,无需更新。当更新请求中的捆绑拦截规则的版本信息表示的版本比服务器中捆绑拦截规则的版本信息表示的版本早时,则表示客户端中该捆绑拦截规则为过期的捆绑拦截规则,需要更新。该版本信息中可以包括时间戳,该时间戳表示版本的发布时间,依此时间戳将更新请求中捆绑拦截规则的版本的时间与服务器中捆绑拦截规则的版本的时间进行比较。此外,版本信息也可以包括版本号,版本号越大表示版本时间越靠后,依此版本号对更新请求中捆绑拦截规则的版本的时间与服务器中捆绑拦截规则的版本的时间进行比较。
更新请求中除了包括版本信息外,还可以包括其他信息,例如,用户标识、避免被恶意攻击的验证信息等信息。举例而言,验证信息可以为随机数。为确保服务器中存储的捆绑拦截规则的安全性,可以对请求信息和/或响应信息进行压缩加密。
由此,通过在服务器端进行版本信息的比较,可以确定出需要更新的捆绑拦截规则,将该捆绑拦截规则下发给客户端,能够仅将需要更新的捆绑拦截规则下发给客户端,而无需将所有捆绑拦截规则都下发给客户端,减少向客户端下发的信息量,进而节约了网络流量,以及客户端和服务器中的资源。
如图3所示,所述捆绑拦截装置,还包括:
记录模块25,与执行模块24耦接,用于对应所述应用程序的标识,分别记录所述一个或多个安装进程/行为的标识以及拦截时间,统计执行过拦截的应用程序的个数,并累计针对所有应用程序所记录的总拦截次数。
记录展示模块26,与记录模块25耦接,用于默认在主界面上显示所述执行过拦截的应用程序的个数以及总拦截次数,并在所述主界面上提供记录查询入口;接收对所述记录查询入口的触发从而开启查询界面,在所述查询界面上以所述应用程序的标识为索引,显示所述总拦截次数、所记录的被拦截的安装进程/行为的标识以及拦截时间;接收在所述查询界面上触发的所述应用程序的标识和/或被拦截的安装进程/行为的标识,并将所述应用程序的标识和/或被拦截的安装进程/行为的标识上报至服务器以便所述服务器对所述应用程序和被拦截的安装进程/行为进行汇总以及配置相应拦截策略并下发所述配置的拦截策略。
记录模块25,还将记录的所述一个或多个安装进程/行为的描述信息上报给服务器,以便服务端生成监控日志,所述监控日志基于对多个应用程序的安装过程的监控得到,监控日志中包括捆绑软件的描述信息,以及指向捆绑软件的描述信息的捆绑标记,也就是说监控日志中直接记录了已知的捆绑软件,按照监控日志的记录来反查捆绑软件非常简单。
以上装置的内容与方法实施例相互对应,不足之处可以参考上述方法实施例,在此不再赘述。
上述说明示出并描述了本申请的若干优选实施例,但如前所述,应当理解本申请并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本申请的精神和范围,则都应在本申请所附权利要求的保护范围内。
本申请揭示了A1、一种基于云安全拦截捆绑软件的方法,包括:在安装应用程序时,监测所述应用程序的本体安装进程;在所述本体安装进程开启一个或多个安装进程或者执行一个或多个行为时,分别捕捉所述一个或多个安装进程/行为的描述信息;根据策略库对所述一个或多个安装进程/行为的描述信息进行匹配,所述策略库中保存有安装进程/行为的描述信息以及与所述安装进程/行为的描述信息对应的拦截策略和/或放行策略;根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行。A2、如A1所述的捆绑拦截方法,其特征在于,根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行,进一步包括:在获得所述匹配结果后,检测所述拦截处理配置项的置位标识,其中,所述处理配置项的置位标识在一配置界面内进行设置,所述配置界面通过接收对主界面上提供的配置入口的触发而开启;当所述置位标识指示为询问后处理时,根据所述匹配结果提示用户存在所述一个或多个安装进程/行为需要执行拦截策略,并在预设时长内根据所接收到的用户指示对所述一个或多个安装进程/行为进行拦截;如果在所述预设时长内没有接收到所述用户指示,则默认对所述一个或多个安装进程/行为进行拦截;当所述置位标识指示为直接处理时,根据所述匹配结果判定存在所述一个或多个安装进程/行为需要执行拦截策略,直接对所述一个或多个安装进程/行为进行拦截。A3、如A1所述的捆绑拦截方法,其特征在于,根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行之后,还包括:对应所述应用程序的标识,分别记录所述一个或多个安装进程/行为的标识以及拦截时间;统计执行过拦截的应用程序的个数,并累计针对所有应用程序所记录的总拦截次数;默认在主界面上显示所述执行过拦截的应用程序的个数以及总拦截次数,并在所述主界面上提供记录查询入口;接收对所述记录查询入口的触发从而开启查询界面,在所述查询界面上以所述应用程序的标识为索引,显示所述总拦截次数、所记录的被拦截的安装进程/行为的标识以及拦截时间;接收在所述查询界面上触发的所述应用程序的标识和/或被拦截的安装进程/行为的标识,并将所述应用程序的标识和/或被拦截的安装进程/行为的标识上报至服务器以便所述服务器对所述应用程序和被拦截的安装进程/行为进行汇总以及配置相应拦截策略并下发所述配置的拦截策略。A4、如A1所述的捆绑拦截方法,其特征在于,对应执行拦截策略的捆绑行为的描述信息,包括以下一种或多种的组合:由默认拦截的进程执行的与所述默认拦截的进程无关的文件夹创建操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的文件写入操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的下载操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的安装操作的描述信息。A5、如A1所述的捆绑拦截方法,其特征在于,对应执行放行策略的行为的描述信息,包括以下一种或多种的组合:由用户主导执行的安装操作的描述信息,由用户主导执行的下载操作的描述信息,由默认放行的进程执行的安装操作的描述信息,由默认放行的进程执行的下载操作的描述信息。A6、如A1所述的捆绑拦截方法,其特征在于,对应执行拦截策略的捆绑安装进程的描述信息,包括以下一种或多种的组合:由默认拦截的进程启动且与所述默认拦截的进程无关的捆绑安装进程的描述信息、已执行拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑下载进程访问的网络地址。A7、如A1所述的捆绑拦截方法,其特征在于,对应执行放行策略的安装进程的描述信息,包括以下一种或多种的组合:由默认放行的进程启动且与所述默认放行的进程无关的安装进程的描述信息、已执行放行的安装进程的描述信息、预先收集的默认放行的安装进程的描述信息、预先收集的默认放行的下载进程访问的网络地址。A8、如A1或A6或A7所述的捆绑拦截方法,其特征在于,所述描述信息,包括以下一种或多种的组合:版本号、安装文件的发布公司名称、产品名称、内部名称、签名者、签名日期、安装文件大小、安装范围、安装文件的时间戳、安装命令行信息。A9、如A1所述的捆绑拦截方法,其特征在于,所述策略库配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端,和/或,配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端接入的网络服务器;配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端的策略库中,保存有对应执行放行策略的安装进程/行为的描述信息;配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端接入的网络服务器的策略库中,保存有对应执行拦截策略和/或执行放行策略的安装进程/行为的描述信息;所述配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端接入的网络服务器的策略库,通过不断接收接入所述网络服务器的若干终端上报的描述信息及拦截策略和/或放行策略,并对所述描述信息及拦截策略和/或放行策略进行汇总判断以更新所述策略库。本申请还揭示了B1、一种基于云安全拦截捆绑软件的装置,其特征在于,包括:策略库,用于保存安装进程/行为的描述信息以及与所述安装进程/行为的描述信息对应的拦截策略和/或放行策略;监测模块,用于在安装应用程序时,监测所述应用程序的本体安装进程;捕捉模块,用于在所述本体安装进程开启一个或多个安装进程或者执行一个或多个行为时,分别捕捉所述一个或多个安装进程/行为的描述信息;匹配模块,用于根据所述策略库对所述一个或多个安装进程/行为的描述信息进行匹配;执行模块,用于根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行。B2、如B1所述的捆绑拦截装置,其特征在于,还包括:执行模块,进一步用于在获得所述匹配结果后,检测所述拦截处理配置项的置位标识,其中,所述处理配置项的置位标识在一配置界面内进行设置,所述配置界面通过接收对主界面上提供的配置入口的触发而开启;当所述置位标识指示为询问后处理时,根据所述匹配结果提示用户存在所述一个或多个安装进程/行为需要执行拦截策略,并在预设时长内根据所接收到的用户指示对所述一个或多个安装进程/行为进行拦截;如果在所述预设时长内没有接收到所述用户指示,则默认对所述一个或多个安装进程/行为进行拦截;当所述置位标识指示为直接处理时,根据所述匹配结果判定存在所述一个或多个安装进程/行为需要执行拦截策略,直接对所述一个或多个安装进程/行为进行拦截。B3、如B1所述的捆绑拦截装置,其特征在于,还包括:记录模块,用于对应所述应用程序的标识,分别记录所述一个或多个安装进程/行为的标识以及拦截时间,统计执行过拦截的应用程序的个数,并累计针对所有应用程序所记录的总拦截次数;记录展示模块,用于默认在主界面上显示所述执行过拦截的应用程序的个数以及总拦截次数,并在所述主界面上提供记录查询入口;接收对所述记录查询入口的触发从而开启查询界面,在所述查询界面上以所述应用程序的标识为索引,显示所述总拦截次数、所记录的被拦截的安装进程/行为的标识以及拦截时间;接收在所述查询界面上触发的所述应用程序的标识和/或被拦截的安装进程/行为的标识,并将所述应用程序的标识和/或被拦截的安装进程/行为的标识上报至服务器以便所述服务器对所述应用程序和被拦截的安装进程/行为进行汇总以及配置相应拦截策略并下发所述配置的拦截策略。B4、如B1所述的捆绑拦截装置,其特征在于,所述策略库,所保存的对应执行拦截策略的捆绑行为的描述信息,包括以下一种或多种的组合:由默认拦截的进程执行的与所述默认拦截的进程无关的文件夹创建操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的文件写入操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的下载操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的安装操作的描述信息。B5、如B1所述的捆绑拦截装置,其特征在于,所述策略库,所保存的对应执行放行策略的行为的描述信息,包括以下一种或多种的组合:由用户主导执行的安装操作的描述信息,由用户主导执行的下载操作的描述信息,由默认放行的进程执行的安装操作的描述信息,由默认放行的进程执行的下载操作的描述信息。B6、如B1所述的捆绑拦截装置,其特征在于,所述策略库,所保存的对应执行拦截策略的捆绑安装进程的描述信息,包括以下一种或多种的组合:由默认拦截的进程启动且与所述默认拦截的进程无关的捆绑安装进程的描述信息、已执行拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑下载进程访问的网络地址。B7、如B1所述的捆绑拦截装置,其特征在于,所述策略库,所保存的对应执行放行策略的安装进程的描述信息,包括以下一种或多种的组合:由默认放行的进程启动且与所述默认放行的进程无关的安装进程的描述信息、已执行放行的安装进程的描述信息、预先收集的默认放行的安装进程的描述信息、预先收集的默认放行的下载进程访问的网络地址。B8、如B1或B6或B7所述的捆绑拦截装置,其特征在于,所述描述信息,包括以下一种或多种的组合:版本号、安装文件的发布公司名称、产品名称、内部名称、签名者、签名日期、安装文件大小、安装范围、安装文件的时间戳、安装命令行信息。B9、如B1所述的捆绑拦截装置,其特征在于,所述策略库配置在所述装置所在终端,和/或,配置在所述装置所在终端接入的网络服务器;配置在所述装置所在终端的策略库中,保存有对应执行放行策略的安装进程/行为的描述信息;配置在所述装置所在终端接入的网络服务器的策略库中,保存有对应执行拦截策略和/或执行放行策略的安装进程/行为的描述信息;所述配置在所述装置所在终端接入的网络服务器的策略库,通过不断接收接入所述网络服务器的若干终端上报的描述信息及拦截策略和/或放行策略,并对所述描述信息及拦截策略和/或放行策略进行汇总判断以更新所述策略库。

Claims (16)

1.一种基于云安全拦截捆绑软件的方法,其特征在于,包括:
在安装应用程序时,监测所述应用程序的本体安装进程;
在所述本体安装进程开启一个或多个安装进程或者执行一个或多个行为时,分别捕捉所述一个或多个安装进程/行为的描述信息;
根据策略库对所述一个或多个安装进程/行为的描述信息进行拦截策略和/或放行策略的匹配,所述策略库中保存有安装进程/行为的描述信息以及与所述安装进程/行为的描述信息对应的拦截策略和/或放行策略;
根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行;
其中,对应执行拦截策略的捆绑行为的描述信息,包括以下一种或多种的组合:由默认拦截的进程执行的与所述默认拦截的进程无关的文件夹创建操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的文件写入操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的下载操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的安装操作的描述信息。
2.如权利要求1所述的拦截捆绑软件的方法,其特征在于,根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行,进一步包括:
在获得所述匹配结果后,检测所述拦截处理配置项的置位标识,其中,所述处理配置项的置位标识在一配置界面内进行设置,所述配置界面通过接收对主界面上提供的配置入口的触发而开启;
当所述置位标识指示为询问后处理时,根据所述匹配结果提示用户存在所述一个或多个安装进程/行为需要执行拦截策略,并在预设时长内根据所接收到的用户指示对所述一个或多个安装进程/行为进行拦截;如果在所述预设时长内没有接收到所述用户指示,则默认对所述一个或多个安装进程/行为进行拦截;
当所述置位标识指示为直接处理时,根据所述匹配结果判定存在所述一个或多个安装进程/行为需要执行拦截策略,直接对所述一个或多个安装进程/行为进行拦截。
3.如权利要求1所述的拦截捆绑软件的方法,其特征在于,根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行之后,还包括:
对应所述应用程序的标识,分别记录所述一个或多个安装进程/行为的标识以及拦截时间;
统计执行过拦截的应用程序的个数,并累计针对所有应用程序所记录的总拦截次数;
默认在主界面上显示所述执行过拦截的应用程序的个数以及总拦截次数,并在所述主界面上提供记录查询入口;
接收对所述记录查询入口的触发从而开启查询界面,在所述查询界面上以所述应用程序的标识为索引,显示所述总拦截次数、所记录的被拦截的安装进程/行为的标识以及拦截时间;
接收在所述查询界面上触发的所述应用程序的标识和/或被拦截的安装进程/行为的标识,并将所述应用程序的标识和/或被拦截的安装进程/行为的标识上报至服务器以便所述服务器对所述应用程序和被拦截的安装进程/行为进行汇总以及配置相应拦截策略并下发所述配置的拦截策略。
4.如权利要求1所述的拦截捆绑软件的方法,其特征在于,
对应执行放行策略的行为的描述信息,包括以下一种或多种的组合:由用户主导执行的安装操作的描述信息,由用户主导执行的下载操作的描述信息,由默认放行的进程执行的安装操作的描述信息,由默认放行的进程执行的下载操作的描述信息。
5.如权利要求1所述的拦截捆绑软件的方法,其特征在于,
对应执行拦截策略的捆绑安装进程的描述信息,包括以下一种或多种的组合:由默认拦截的进程启动且与所述默认拦截的进程无关的捆绑安装进程的描述信息、已执行拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑下载进程访问的网络地址。
6.如权利要求1所述的拦截捆绑软件的方法,其特征在于,
对应执行放行策略的安装进程的描述信息,包括以下一种或多种的组合:由默认放行的进程启动且与所述默认放行的进程无关的安装进程的描述信息、已执行放行的安装进程的描述信息、预先收集的默认放行的安装进程的描述信息、预先收集的默认放行的下载进程访问的网络地址。
7.如权利要求1或5或6所述的拦截捆绑软件的方法,其特征在于,
所述描述信息,包括以下一种或多种的组合:版本号、安装文件的发布公司名称、产品名称、内部名称、签名者、签名日期、安装文件大小、安装范围、安装文件的时间戳、安装命令行信息。
8.如权利要求1所述的拦截捆绑软件的方法,其特征在于,
所述策略库配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端,和/或,配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端接入的网络服务器;
配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端的策略库中,保存有对应执行放行策略的安装进程/行为的描述信息;配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端接入的网络服务器的策略库中,保存有对应执行拦截策略和/或执行放行策略的安装进程/行为的描述信息;
所述配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端接入的网络服务器的策略库,通过不断接收接入所述网络服务器的若干终端上报的描述信息及拦截策略和/或放行策略,并对所述描述信息及拦截策略和/或放行策略进行汇总判断以更新所述策略库。
9.一种基于云安全拦截捆绑软件的装置,其特征在于,包括:
策略库,用于保存安装进程/行为的描述信息以及与所述安装进程/行为的描述信息对应的拦截策略和/或放行策略;
监测模块,用于在安装应用程序时,监测所述应用程序的本体安装进程;
捕捉模块,用于在所述本体安装进程开启一个或多个安装进程或者执行一个或多个行为时,分别捕捉所述一个或多个安装进程/行为的描述信息;
匹配模块,用于根据所述策略库对所述一个或多个安装进程/行为的描述信息进行拦截策略和/或放行策略的匹配;
执行模块,用于根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行
其中,所述策略库,所保存的对应执行拦截策略的捆绑行为的描述信息,包括以下一种或多种的组合:由默认拦截的进程执行的与所述默认拦截的进程无关的文件夹创建操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的文件写入操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的下载操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的安装操作的描述信息。
10.如权利要求9所述的拦截捆绑软件的装置,其特征在于,还包括:
执行模块,进一步用于在获得所述匹配结果后,检测所述拦截处理配置项的置位标识,其中,所述处理配置项的置位标识在一配置界面内进行设置,所述配置界面通过接收对主界面上提供的配置入口的触发而开启;当所述置位标识指示为询问后处理时,根据所述匹配结果提示用户存在所述一个或多个安装进程/行为需要执行拦截策略,并在预设时长内根据所接收到的用户指示对所述一个或多个安装进程/行为进行拦截;如果在所述预设时长内没有接收到所述用户指示,则默认对所述一个或多个安装进程/行为进行拦截;当所述置位标识指示为直接处理时,根据所述匹配结果判定存在所述一个或多个安装进程/行为需要执行拦截策略,直接对所述一个或多个安装进程/行为进行拦截。
11.如权利要求9所述的拦截捆绑软件的装置,其特征在于,还包括:
记录模块,用于对应所述应用程序的标识,分别记录所述一个或多个安装进程/行为的标识以及拦截时间,统计执行过拦截的应用程序的个数,并累计针对所有应用程序所记录的总拦截次数;记录展示模块,用于默认在主界面上显示所述执行过拦截的应用程序的个数以及总拦截次数,并在所述主界面上提供记录查询入口;接收对所述记录查询入口的触发从而开启查询界面,在所述查询界面上以所述应用程序的标识为索引,显示所述总拦截次数、所记录的被拦截的安装进程/行为的标识以及拦截时间;接收在所述查询界面上触发的所述应用程序的标识和/或被拦截的安装进程/行为的标识,并将所述应用程序的标识和/或被拦截的安装进程/行为的标识上报至服务器以便所述服务器对所述应用程序和被拦截的安装进程/行为进行汇总以及配置相应拦截策略并下发所述配置的拦截策略。
12.如权利要求9所述的拦截捆绑软件的装置,其特征在于,
所述策略库,所保存的对应执行放行策略的行为的描述信息,包括以下一种或多种的组合:由用户主导执行的安装操作的描述信息,由用户主导执行的下载操作的描述信息,由默认放行的进程执行的安装操作的描述信息,由默认放行的进程执行的下载操作的描述信息。
13.如权利要求9所述的拦截捆绑软件的装置,其特征在于,
所述策略库,所保存的对应执行拦截策略的捆绑安装进程的描述信息,包括以下一种或多种的组合:由默认拦截的进程启动且与所述默认拦截的进程无关的捆绑安装进程的描述信息、已执行拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑下载进程访问的网络地址。
14.如权利要求9所述的拦截捆绑软件的装置,其特征在于,
所述策略库,所保存的对应执行放行策略的安装进程的描述信息,包括以下一种或多种的组合:由默认放行的进程启动且与所述默认放行的进程无关的安装进程的描述信息、已执行放行的安装进程的描述信息、预先收集的默认放行的安装进程的描述信息、预先收集的默认放行的下载进程访问的网络地址。
15.如权利要求9或13或14所述的拦截捆绑软件的装置,其特征在于,
所述描述信息,包括以下一种或多种的组合:版本号、安装文件的发布公司名称、产品名称、内部名称、签名者、签名日期、安装文件大小、安装范围、安装文件的时间戳、安装命令行信息。
16.如权利要求9所述的拦截捆绑软件的装置,其特征在于,
所述策略库配置在所述装置所在终端,和/或,配置在所述装置所在终端接入的网络服务器;配置在所述装置所在终端的策略库中,保存有对应执行放行策略的安装进程/行为的描述信息;配置在所述装置所在终端接入的网络服务器的策略库中,保存有对应执行拦截策略和/或执行放行策略的安装进程/行为的描述信息;
所述配置在所述装置所在终端接入的网络服务器的策略库,通过不断接收接入所述网络服务器的若干终端上报的描述信息及拦截策略和/或放行策略,并对所述描述信息及拦截策略和/或放行策略进行汇总判断以更新所述策略库。
CN201310714666.9A 2013-12-20 2013-12-20 基于云安全拦截捆绑软件的方法和装置 Active CN103646209B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310714666.9A CN103646209B (zh) 2013-12-20 2013-12-20 基于云安全拦截捆绑软件的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310714666.9A CN103646209B (zh) 2013-12-20 2013-12-20 基于云安全拦截捆绑软件的方法和装置

Publications (2)

Publication Number Publication Date
CN103646209A CN103646209A (zh) 2014-03-19
CN103646209B true CN103646209B (zh) 2017-01-04

Family

ID=50251422

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310714666.9A Active CN103646209B (zh) 2013-12-20 2013-12-20 基于云安全拦截捆绑软件的方法和装置

Country Status (1)

Country Link
CN (1) CN103646209B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105746360B (zh) * 2016-04-27 2018-09-11 福建洛普生物科技有限公司 一种可精确控制温度、湿度和光照强度的组培室

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104123490A (zh) * 2014-07-02 2014-10-29 珠海市君天电子科技有限公司 恶意捆绑软件的处理方法、装置和移动终端
CN104123496B (zh) * 2014-07-03 2017-08-04 珠海市君天电子科技有限公司 一种流氓软件的拦截方法及装置、终端
CN105335184B (zh) * 2014-08-07 2020-06-12 北京奇虎科技有限公司 应用安装的方法和装置
CN104199703A (zh) * 2014-09-05 2014-12-10 北京奇虎科技有限公司 静默安装的管理方法及装置
CN104268464B (zh) * 2014-09-30 2017-02-15 珠海市君天电子科技有限公司 推广软件的推广规则和推广软件的确定方法、服务器及通信终端
CN104239797B (zh) * 2014-10-13 2017-07-07 北京奇虎科技有限公司 主动防御方法及装置
CN105808279A (zh) * 2014-12-30 2016-07-27 北京奇虎科技有限公司 一种软件净化安装方法及装置
CN105808275A (zh) * 2014-12-30 2016-07-27 北京奇虎科技有限公司 软件净化安装装置及方法
CN104660825A (zh) * 2015-03-09 2015-05-27 陈健强 一种智能手机应用删除方法及其系统
CN105243324A (zh) * 2015-10-20 2016-01-13 珠海市君天电子科技有限公司 一种用户终端中恶意软件的识别方法、装置及用户终端
CN106709337A (zh) * 2015-11-18 2017-05-24 中兴通讯股份有限公司 一种恶意捆绑软件的处理方法和装置
CN106897617A (zh) * 2015-12-18 2017-06-27 北京奇虎科技有限公司 一种识别捆绑软件的方法及装置
CN106909831A (zh) * 2015-12-22 2017-06-30 北京奇虎科技有限公司 一种数据处理方法和装置
CN105550573B (zh) * 2015-12-23 2019-01-15 北京奇虎科技有限公司 拦截捆绑软件的方法和装置
CN105678167B (zh) * 2015-12-24 2019-03-22 北京奇虎科技有限公司 安全防护方法及装置
CN105631331B (zh) * 2015-12-24 2018-12-07 北京奇虎科技有限公司 安全防护方法及装置
CN105631312B (zh) * 2015-12-25 2018-09-07 北京奇虎科技有限公司 恶意程序的处理方法及系统
CN106934284B (zh) * 2015-12-30 2020-02-11 北京金山安全软件有限公司 一种应用程序检测方法、装置和终端
CN105740021B (zh) * 2016-01-29 2019-08-23 Oppo广东移动通信有限公司 一种应用程序的安装方法和装置
CN105912925B (zh) * 2016-04-05 2019-10-08 周奇 一种禁止移动终端自动安装相关应用的方法及系统
CN106201634B (zh) * 2016-07-28 2019-12-13 北京小米移动软件有限公司 软件安装方法及装置
CN106503541B (zh) * 2016-10-11 2019-07-26 天脉聚源(北京)传媒科技有限公司 一种安装包的安装方法及系统
CN108055582A (zh) * 2017-12-14 2018-05-18 深圳市雷鸟信息科技有限公司 应用安装方法及智能电视
CN108920943A (zh) * 2018-05-08 2018-11-30 国家计算机网络与信息安全管理中心 针对应用软件检测安装捆绑行为的方法及装置
CN108734006A (zh) * 2018-05-25 2018-11-02 山东华软金盾软件股份有限公司 一种禁用 Windows 安装程序的方法
CN108984184A (zh) * 2018-06-22 2018-12-11 珠海市君天电子科技有限公司 一种软件安装方法、装置及电子设备、存储介质
CN109033817A (zh) * 2018-06-29 2018-12-18 北京奇虎科技有限公司 捆绑软件拦截方法、装置与设备
CN109189497A (zh) * 2018-08-06 2019-01-11 北京奇虎科技有限公司 一种用于净化软件的方法、装置及计算机设备
CN113032779B (zh) * 2021-02-04 2024-01-02 中国科学院软件研究所 一种基于行为参数布尔表达式规则的多行为联合匹配方法和装置
CN113641987B (zh) * 2021-06-23 2024-06-04 深圳市沃特沃德信息有限公司 应用静默安装的拦截方法、装置和计算机设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102413142A (zh) * 2011-11-30 2012-04-11 华中科技大学 基于云平台的主动防御方法
CN102929768A (zh) * 2012-11-29 2013-02-13 北京奇虎科技有限公司 提示误装软件的方法和客户端
CN103235913A (zh) * 2013-04-03 2013-08-07 北京奇虎科技有限公司 一种用于识别、拦截捆绑软件的系统、设备及方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050268112A1 (en) * 2004-05-28 2005-12-01 Microsoft Corporation Managing spyware and unwanted software through auto-start extensibility points
US20130055202A1 (en) * 2011-08-25 2013-02-28 International Business Machines Corporation Identifying components of a bundled software product

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102413142A (zh) * 2011-11-30 2012-04-11 华中科技大学 基于云平台的主动防御方法
CN102929768A (zh) * 2012-11-29 2013-02-13 北京奇虎科技有限公司 提示误装软件的方法和客户端
CN103235913A (zh) * 2013-04-03 2013-08-07 北京奇虎科技有限公司 一种用于识别、拦截捆绑软件的系统、设备及方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105746360B (zh) * 2016-04-27 2018-09-11 福建洛普生物科技有限公司 一种可精确控制温度、湿度和光照强度的组培室

Also Published As

Publication number Publication date
CN103646209A (zh) 2014-03-19

Similar Documents

Publication Publication Date Title
CN103646209B (zh) 基于云安全拦截捆绑软件的方法和装置
CN104063473B (zh) 一种数据库审计监测系统及其方法
CN104239786B (zh) 免root主动防御配置方法及装置
CN103634306B (zh) 网络数据的安全检测方法和安全检测服务器
Voris et al. Bait and snitch: Defending computer systems with decoys
US10819714B2 (en) Endpoint detection and response system with endpoint-based artifact storage
CN112769821A (zh) 一种基于威胁情报和att&ck的威胁响应方法及装置
CN103294950B (zh) 一种基于反向追踪的高威窃密恶意代码检测方法及系统
CN109766699A (zh) 操作行为的拦截方法及装置、存储介质、电子装置
CN105631312B (zh) 恶意程序的处理方法及系统
WO2001016708A9 (en) System and method for detecting buffer overflow attacks
CN104239797B (zh) 主动防御方法及装置
CN107766728A (zh) 移动应用安全管理装置、方法及移动作业安全防护系统
CN108121914A (zh) 一种文档泄密防护追踪系统
CN102045220A (zh) 木马监控审计方法及系统
CN109074454A (zh) 基于赝象对恶意软件自动分组
CN106850690A (zh) 一种蜜罐构造方法及系统
CN106682529A (zh) 一种防篡改方法和防篡改终端
CN107770125A (zh) 一种网络安全应急响应方法及应急响应平台
CN107644161A (zh) 样本的安全测试方法、装置和设备
CN107463839A (zh) 一种管理应用程序的系统和方法
CN102567659A (zh) 基于双驱动联动的文件安全主动防护方法
CN104361281A (zh) 一种安卓平台钓鱼攻击的解决方法
CN103648049B (zh) 一种实现安全播放视频的方法和装置
CN104486292B (zh) 一种企业资源安全访问的控制方法、装置及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20220719

Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015

Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park)

Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Patentee before: Qizhi software (Beijing) Co.,Ltd.

TR01 Transfer of patent right