执行对象的切换方法及装置、终端、服务端、系统与流程

1.本发明涉及一种网络安全技术领域，特别是涉及一种执行对象的切换方法及装置、终端、服务端、系统。


背景技术：

2.随着互联网技术的快速发展，对终端的安全防护技术也在不断演进，尤其是以终端检测与响应系统为代表的行为管控类方法已经成为关注焦点。其中，针对不断出现的新概念终端安全产品，如零信任(zero trust)、软件定义边界(sdp，software defined perimeter)、数据损失防护(dlp，data loss prevention)等，产品形态的技术边界也在不断融合，从而满足用户的终端安全防护需求。
3.目前，现有终端安全产品在应用时，终端安全产品通常需要在终端进行下载、安装，此时，各个不同的终端安全产品之间独立执行，无法形成合力安全防护，且不同品牌的终端安全产品之间的兼容性较低，使用成本较高，用户难以精准掌握各终端安全产品的运行规则，导致终端安全产品的执行行为效果较差，从而影响了终端安全产品的使用效率。


技术实现要素：

4.有鉴于此，本发明提供一种执行对象的切换方法及装置、终端、服务端、系统，主要目的在于解决现有终端安全产品的使用效率低的问题。
5.依据本发明一个方面，提供了一种执行对象的切换方法，包括：
6.接收服务端发送的目标执行对象的控制指令，所述目标执行对象用于表征运行安全防护操作的内容；
7.切换执行所述目标执行对象的终端工作模式，所述终端工作模式用于表征执行所述目标执行对象的运行方式；
8.向所述服务端发送执行所述终端工作模式所产生的执行行为，以使所述服务端基于所述执行行为进行数据处理。
9.进一步地，所述切换执行所述目标执行对象的终端工作模式包括：
10.确定待切换的目标终端工作模式，并在基础数据组件中配置所述目标执行对象的终端工作模式为失效状态；
11.若基于所述基础数据组件已完成所述目标执行对象的安装，则在所述目标终端工作模式下激活所述目标执行对象，完成所述终端工作模式的切换。
12.进一步地，所述接收所述服务端下发的至少一个执行对象的部署数据之前，所述方法还包括：
13.当检测到所述部署数据符合预设运行条件，则将所述部署数据存储至所述基础数据组件中；
14.若检测到所述部署数据不符合预设运行条件，则生成告警信息，并发送至所述服务端，以使所述服务端重新下发所述部署数据。
15.依据本发明一个方面，提供了另一种执行对象的切换方法，包括：
16.确定终端待切换终端工作模式的目标执行对象，所述目标执行对象用于表征运行安全防护操作的内容，所述终端工作模式用于表征执行所述目标执行对象的运行方式；
17.向所述终端发送携带有所述目标执行对象的控制指令，以使所述终端切换执行所述目标执行对象的终端工作模式；
18.接收所述终端执行所述终端工作模式所产生的执行行为，并基于所述执行行为进行数据处理。
19.进一步地，所述确定终端待切换终端工作模式的目标执行对象之前，所述方法还包括：
20.确定终端执行至少一个执行对象的部署数据，所述部署数据用于表征在不同终端工作模式下执行不同执行对象的基础数据；
21.将所述部署数据发送至所述终端，以使所述终端基于所述部署数据执行对应终端工作模式下的所述执行对象。
22.进一步地，所述确定终端待切换终端工作模式的目标执行对象包括：
23.接收录入的执行对象配置信息，并根据所述执行对象配置信息确定待切换终端工作模式的目标执行对象；和/或，
24.解析所述执行行为匹配的触发事件，并将所述触发事件匹配的执行对象确定为目标执行对象。
25.进一步地，所述方法还包括：
26.接收预期在终端运行安全防护操作的编辑信息，并根据所述编辑信息生成不同终端工作模式所对应的执行对象；
27.将所述执行对象存储至数据中心，以基于录入的执行对象配置信息和/或触发事件确定待目标执行对象。
28.依据本发明一个方面，提供了一种执行对象的切换装置，包括：
29.接收模块，用于接收服务端发送的目标执行对象的控制指令，所述目标执行对象用于表征运行安全防护操作的内容；
30.切换模块，用于切换执行所述目标执行对象的终端工作模式，所述终端工作模式用于表征执行所述目标执行对象的运行方式；
31.发送模块，用于向所述服务端发送执行所述终端工作模式所产生的执行行为，以使所述服务端基于所述执行行为进行数据处理。
32.进一步地，所述接收模块，还用于接收所述服务端下发的至少一个执行对象的部署数据，所述部署数据用于表征在不同终端工作模式下执行不同执行对象的基础数据；
33.所述发送模块，还用于基于所述部署数据执行对应终端工作模式下的所述执行对象，并将得到的执行行为发送至所述服务端。
34.进一步地，所述切换模块包括：
35.确定单元，用于确定待切换的目标终端工作模式，并在基础数据组件中配置所述目标执行对象的终端工作模式为失效状态；
36.激活单元，用于若基于所述基础数据组件已完成所述目标执行对象的安装，则在所述目标终端工作模式下激活所述目标执行对象，完成所述终端工作模式的切换。
37.进一步地，所述终端还包括：存储模块，
38.所述存储模块，用于当检测到所述部署数据符合预设运行条件，则将所述部署数据存储至所述基础数据组件中；
39.所述发送模块，还用于若检测到所述部署数据不符合预设运行条件，则生成告警信息，并发送至所述服务端，以使所述服务端重新下发所述部署数据。
40.依据本发明另一个方面，提供了另一种执行对象的切换装置，包括：
41.确定模块，用于确定终端待切换终端工作模式的目标执行对象，所述目标执行对象用于表征运行安全防护操作的内容，所述终端工作模式用于表征执行所述目标执行对象的运行方式；
42.发送模块，用于向所述终端发送携带有所述目标执行对象的控制指令，以使所述终端切换执行所述目标执行对象的终端工作模式；
43.接收模块，用于接收所述终端执行所述终端工作模式所产生的执行行为，并基于所述执行行为进行数据处理。
44.进一步地，
45.所述确定模块，还用于确定终端执行至少一个执行对象的部署数据，所述部署数据用于表征在不同终端工作模式下执行不同执行对象的基础数据；
46.所述发送模块，还用于将所述部署数据发送至所述终端，以使所述终端基于所述部署数据执行对应终端工作模式下的所述执行对象。
47.进一步地，所述确定模块包括：
48.接收单元，用于接收录入的执行对象配置信息，并根据所述执行对象配置信息确定待切换终端工作模式的目标执行对象；和/或，
49.解析单元，用于解析所述执行行为匹配的触发事件，并将所述触发事件匹配的执行对象确定为目标执行对象。
50.进一步地，所述服务端还包括：存储模块，
51.所述接收模块，还用于接收预期在终端运行安全防护操作的编辑信息，并根据所述编辑信息生成不同终端工作模式所对应的执行对象；
52.所述存储模块，用于将所述执行对象存储至数据中心，以基于录入的执行对象配置信息和/或触发事件确定待目标执行对象。
53.依据本发明一个方面，提供了一种执行对象的切换系统，包括：终端、服务端，
54.所述服务端，用于确定所述终端待切换终端工作模式的目标执行对象，并向所述终端发送携带有所述目标执行对象的控制指令，所述目标执行对象用于表征运行安全防护操作的内容，所述终端工作模式用于表征执行所述目标执行对象的运行方式；
55.所述终端，用于基于接收服务端发送的目标执行对象的控制指令，切换执行所述目标执行对象的终端工作模式，并向所述服务端发送执行所述终端工作模式所产生的执行行为，以使所述服务端基于所述执行行为进行数据处理。
56.根据本发明的一方面，提供了一种存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令使处理器执行如上述执行对象的切换方法对应的操作。
57.根据本发明的一方面，提供了一种终端，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；
58.所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行上述执行对象的切换方法对应的操作。
59.根据本发明的一方面，提供了另一种存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令使处理器执行如上述执行对象的切换方法对应的操作。
60.根据本发明的一方面，提供了另一种服务端，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；
61.所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行上述执行对象的切换方法对应的操作。
62.借由上述技术方案，本发明实施例提供的技术方案至少具有下列优点：
63.本发明提供了一种执行对象的切换方法及装置、终端、服务端、系统，与现有技术相比，本发明实施例通过服务端确定所述终端待切换终端工作模式的目标执行对象，并向所述终端发送携带有所述目标执行对象的控制指令；终端基于接收服务端发送的目标执行对象的控制指令，切换执行所述目标执行对象的终端工作模式，并向所述服务端发送执行所述终端工作模式所产生的执行行为，以使所述服务端基于所述执行行为进行数据处理，从而确保终端中各个终端安全产品之间的协同执行以及动态的切换，形成合力安全防护，大大降低了使用成本，减少了各终端安全产品的运行规则的操作繁琐性，提高了终端安全产品的执行行为效果，从而提高了终端安全产品的使用效率。
64.上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。
附图说明
65.通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
66.图1示出了本发明实施例提供的第一种执行对象的切换方法流程图；
67.图2示出了本发明实施例提供的第二种执行对象的切换方法流程图；
68.图3示出了本发明实施例提供的第三种执行对象的切换方法流程图；
69.图4示出了本发明实施例提供的一种执行对象的切换系统架构示意图；
70.图5示出了本发明实施例提供的第四种执行对象的切换方法流程图；
71.图6示出了本发明实施例提供的第五种执行对象的切换方法流程图；
72.图7示出了本发明实施例提供的第六种执行对象的切换方法流程图；
73.图8示出了本发明实施例提供的一种执行对象的切换装置组成框图；
74.图9示出了本发明实施例提供的另一种执行对象的切换装置组成框图；
75.图10示出了本发明实施例提供的一种执行对象的切换系统组成框图；
76.图11示出了本发明实施例提供的一种终端的结构示意图；
77.图12示出了本发明实施例提供的一种服务端的结构示意图。
具体实施方式
78.下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
79.针对终端安全产品在应用时，终端安全产品通常需要在终端进行下载、安装，此时，各个不同的终端安全产品之间独立执行，无法形成合力安全防护，且不同品牌的终端安全产品之间的兼容性较低，使用成本较高，用户难以精准掌握各终端安全产品的运行规则，导致终端安全产品的执行行为效果较差，从而影响了终端安全产品的使用效率，本发明实施例提供了一种执行对象的切换方法，如图1所示，该方法包括：
80.101、接收服务端发送的目标执行对象的控制指令。
81.本发明实施例中，作为当前执行端的执行主体终端，包括但不限于个人终端设备、业务服务器、工控设备等，其中，个人终端设备包括但不限于智能手机、平板电脑、笔记本电脑和台式电脑等。对应的，目标执行对象为在当前执行主体终端中，用于表征运行安全防护操作的内容，此处的内容即包括作为业务插件的各终端安全产品，还包括执行安全防护操作的不同安全防护规则、指令、配置文件、黑白名单等信息。其中，当前执行主体终端预先与作为云端服务器的服务端进行数据通信，通过接收服务端下发的执行对象进行安装、激活、升级、禁用、卸载等执行，从而在服务端发送目标执行对象的控制指令时，进行接收，以便对目标执行对象的终端工作模式进行切换。具体的，控制指令为服务端在需要终端对目标执行对象进行终端工作模式切换时，向当前执行主体终端进行发送的，即包括人为触发的控制指令，也包括服务端中基于目标执行对象在终端工作模式下进行安全防护操作所产生的执行行为进行确定的，本发明实施例不做具体限定。
82.需要说明的是，当前执行主体终端中预先配置有基础数据组件作为基础设施适配各业务插件的通用组件，包括但不限于升级模块、通信模块、云控指令及数据解析、存储/比对模块、完整性校验与自我保护模块、操作系统事件采集模块、威胁阻断模块等，从而与不同业务插件进行适配完成安全防护操作，本发明实施例不做具体限定。同时，业务插件包括但不限于终端检测与响应系统(edr，endpoint detection and response)插件、零信任(zero trust)插件、软件定义边界(sdp，software defined perimeter)插件、数据损失防护(dlp，data loss prevention)插件等，各业务插件之间可以协同工作，也可以单独工作，从而形成终端防御。
83.102、切换执行所述目标执行对象的终端工作模式。
84.本发明实施例中，所述终端工作模式用于表征执行所述目标执行对象的运行方式，包括但不限于安装、激活、升级、禁用、卸载等运行，在切换目标执行对象的终端工作模式前，当前执行主体终端会按照目标执行对象的一个终端工作模式进行执行，例如，终端工作模式处于激活，则说明目标执行对象正在运行安全防护操作，基于控制指令，对激活的终端工作模式进行切换。其中，终端工作模式进行切换时，可以按照预先设定的终端工作模式的顺序进行切换，也可以基于携带于控制指令中的目标终端工作模式进行切换，本发明实施例不做具体限定。例如，当接收到目标执行对象不变时，基于控制指令按照终端工作模式的顺序将当前执行主体终端中的激活切换为升级，还可以基于控制指令中携带的卸载模
式，将当前执行主体终端中的激活切换为卸载。又如，当接收到的目标执行对象与当前执行主体终端已运行的执行对象不同时，切换为匹配目标执行对象的终端工作模式，如控制指令为“数据损失防护(dlp，data loss prevention)”执行对象模式，则将当前“终端检测与响应系统(edr，endpoint detection and response)”切换为“数据损失防护(dlp，data loss prevention)”的安装、激活模式，本发明实施例不做具体限定。另外，本发明实施例中的激活工作模式即可以为业务插件安全防护操作的运行，不做具体限定。
85.需要说明的是，在进行终端工作模式的切换时，需要在当前执行主体终端中预先安装执行对象，即各终端中预先安装业务插件，并在基础数据组件中记录有匹配终端工作模式的规则集合，其中，规则集合包括但不限于勒索软件判定规则、特洛伊木马判定规则、挖矿程序判定规则、游戏外挂与盗号脚本判定规则、恶意office文件判定规则、恶意url判定规则、数据泄露行为判定规则、终端配置文件规则、黑白名单规则等。此时，可以通过在包含在部署数据的安装包中静态预置的方式实现，也可以通过云端派发、动态安装的方式实现，本发明实施例不做具体限定。
86.103、向所述服务端发送执行所述终端工作模式所产生的执行行为。
87.本发明实施例中，当完成终端工作模式的切换后，当前执行主体终端中的目标执行对象按照终端工作模式进行执行，此时终端会产生执行行为，为了使服务端及时对执行行为进行分析，以确定当前执行主体终端的安全防护行为是否正常，将此执行行为发送至服务端中，以使服务端基于所述执行行为进行数据处理。其中，服务端中对执行行为进行的数据处理包括但不限于安全防护判断、日志数据分析、数据统计等，本发明实施例不做具体限定。
88.需要说明的是，本发明实施例中的业务插件包括但不限于终端检测与响应系统(edr，endpoint detection and response)插件、零信任(zero trust)插件、软件定义边界(sdp，software defined perimeter)插件、数据损失防护(dlp，data loss prevention)插件等，其中，终端检测与响应系统edr插件通过目标操作系统的进程、文件、注册表、动态库加载与卸载、网络流量等行为数据判断网络攻击及入侵威胁，如，网络攻击和入侵威胁的判定可以基于特征签名引擎比对或者人工智能引擎扫描等方法，各个引擎既可以单独生效，也可以同时启用或协同工作，从而实现安全防护。零信任插件通过目标操作系统的用户角色、资源等级、权限定义等信息动态划分可信区域，明确授权关系，以实现安全防护。软件定义边界sdp插件通过目标操作系统的可信区域等信息动态设定节点的防御边界，即对单一用户及个人终端设备而言，节点的防御边界可以是指用户的角色划分以及用户对于各种内外网资源访问权限确权、授权过程。其中，对于更广泛意义的企业网络拓扑架构，节点的防御边界可以是指网络设备间的可信区域划分、可信区域边界的动态调整以及用户对于域内设备访问的鉴权、授权过程，网络设备包括但不限于个人终端、移动设备、服务器、堡垒机、打印机、硬件防火墙、工控设备等。数据损失防护插件通过目标操作系统的文件、网络流量等行为数据判断数据泄露及信息损失风险。其中，数据泄露的判定方法包括但不限于基于文件格式的检测、基于文件内容的检测、预计传输渠道的检测、基于用户行为的检测等，文件格式主要为办公环境中特定格式的敏感数据，例如，芯片设计文件、源代码文件、3d打印源文件、cad建模文件、视频原始拷贝等。文件内容主要是指办公环境中特定内容的敏感数据，例如：政府公文、销售数据、财务数据、客户个人资料等。传输渠道主要为需要重点监控
的数据泄露出口，例如，移动存储设备、即时通信类软件、邮箱、网盘、github等。用户行为主要为需要重点监控的异常动作，例如，在凌晨大量传输数据、在离职前夕大量传输数据等，上述方法可以被归纳为数据泄露的基本检测规则，且信息损失的界定可以由数据的敏感级别辅助确立，本发明实施例不做具体限定。
89.在另一个本发明实施例中，为了进一步限定及说明，如图2所示，步骤接收服务端发送的目标执行对象的控制指令之前，所述方法还包括：
90.201、接收所述服务端下发的至少一个执行对象的部署数据；
91.202、基于所述部署数据执行对应终端工作模式下的所述执行对象，并将得到的执行行为发送至所述服务端。
92.本发明实施例中，由于在当前执行主体终端进行目标执行对应的终端工作模式切换前，需要在当前执行主体终端中执行匹配终端工作模式的执行对象，因此，预先接收服务端下发的执行对象的部署数据。其中，所述部署数据用于表征在不同终端工作模式下执行不同执行对象的基础数据，以便基于此基础数据执行对应的执行对象，基础数据可以为数据集合、执行代码等内容，对应的，部署数据包括但不限于对业务插件的压缩包、安装包、配置文件的配置执行代码等，从而基于接收到的部署数据执行终端工作模式下的执行对象。例如，接收服务端下发的终端检测与响应系统edr插件的安装包，基于此安装包在动态安装工作模式下，安装终端检测与响应系统edr，并将安装过程中的得到的执行行为反馈至服务端。又如，接收服务端下发的软件定义边界sdp插件的升级程序包，基于升级程序包在升级工作模式下升级软件定义边界sdp插件，并将升级的执行行为反馈至服务端。
93.需要说明的是，由于当前执行主体终端中可以同时执行多个执行对象的终端工作模式，因此，在接收部署数据时，可以接收至少一个执行对象的部署数据，并基于部署数据执行多个终端工作模式下所对应的多个执行对应，从而实现多个执行对象的协同作用。另外，当基于部署数据执行对应终端工作模式下的执行对象后，为了便于服务端确定是否对目标执行对象进行终端工作模式的切换，需要将得到的执行行为发送至服务端，从而使服务端基于此执行行为进行数据处理。
94.在另一个本发明实施例中，为了进一步限定及说明，如图3所示，步骤102切换执行所述目标执行对象的终端工作模式包括：
95.1021、确定待切换的目标终端工作模式，并在基础数据组件中配置所述目标执行对象的终端工作模式为失效状态；
96.1022、若基于所述基础数据组件已完成所述目标执行对象的安装，则在所述目标终端工作模式下激活所述目标执行对象，完成所述终端工作模式的切换。
97.本发明实施例中，为了准确实现目标执行对象的终端工作模式切换，具体的，确定待切换的目标终端工作模式，从而将当前执行主体终端中的基础数据组件中目标执行对象的终端工作模式配置为失效状态，以在目标终端工作模式下激活目标执行对象，完成切换。其中，对于目标终端工作模式的确定，可以包括解析控制指令中携带的与目标执行对象匹配的目标终端工作模式，还可以基于预先配置好的终端工作模式执行顺序，例如，当前执行主体终端中已按照激活工作模式执行终端检测与响应系统edr插件，则按照预先配置的执行顺序，在切换时，目标终端工作模式为升级工作模式，本发明实施例不做具体限定。确定目标终端工作模式后，为了实现切换，在当前执行主体终端的基础数据组件中配置目标执
行对象的终端工作模式为失效状态，即配置当前执行的终端工作模式为失效状态，从而启动目标终端工作模式。其中，基础数据组件为适配各业务插件的通用组件，包括但不限于升级模块、通信模块、云控指令及数据解析、存储/比对模块、完整性校验与自我保护模块、操作系统事件采集模块、威胁阻断模块等。
98.需要说明的是，在基础数据组件中将目标执行对象的终端工作模式配置为失效状态后，需要切换至目标终端工作模式下，此时，预先判断是否已完成目标执行对象的安装，若完成，则直接在目标终端工作模式下激活目标执行对象，完成切换。若在基础数据组件中未完成目标执行对象的安装，则首先需要在基础数据组件中完成目标执行对象的安装，从而进行对应目标终端工作模式的切换。例如，在将终端检测与响应系统edr插件的激活工作模式切换为数据损失防护dlp插件的激活工作模式时，首先失效基础数据组件中edr插件所对应的执行规则集合，即禁用edr插件，以停止运行edr插件，当前执行主体终端下载、安装并激活dlp插件，如果已经下载、安装过dlp插件，则直接进行激活。其中，对于上述过程中，任意一个步骤出现执行失败，均可将错误日志上报到服务端并进行重试，从而使服务端进行识别处理，本发明实施例不做具体限定。
99.另外，如图4所示的执行对象的切换系统架构图，作为执行主体终端的终端软件传感器中包含有安装的多个插件，以及作为插件的基础设施的各种通用模块，具体的，升级模块为升级工作模式下为业务插件提供可执行文件、数据文件等升级、回滚。通信模块为当前执行主体终端与云端服务器之间提供全双工通信，并具有数据压缩与加密等通信属性，同时，还为本地硬件管控平台提供数据通信功能。云控指令及数据解析、存储/比对模块接收云端服务器下发的业务插件、控制指令、执行规则、配置文件、黑白名单等信息，从而使得当前执行主体终端按照接收的控制指令切换终端工作模式。完整性校验与自我保护模块用于确保当前执行主体终端中可执行文件集合的完整性、可信性，即基于判断、检测等方法在终端工作模式下，确定执行规则、配置文件、黑白名单是否完整、可信，从而确保终端工作模式下产生的数据是完整的、可信的，其中，产生的数据包括但不限于普通日志、告警日志、(数据泄露等的)证据数据、捕获的恶意样本文件等。操作系统事件采集模块通过接口采集目标操作系统的进程、文件、注册表、动态库加载与卸载、网络流量等行为数据，此接口包括操作系统内建方案、以及非操作系统内建方案。例如，windows操作系统中，内建方案主要是指利用windows操作系统提供给第三方的内核回调函数、文件系统过滤驱动架构、磁盘过滤驱动架构、网络过滤驱动架构等接口，以获取数据；非内建方案主要是指利用内核内联挂钩机制(kernel inline hooking mechanism)挂接目标函数，进而获取数据。又如，macos操作系统中，内建方案主要是指利用macos操作系统提供给第三方的内核授权(kernel authorization)子系统以及强制访问控制(mandatory access control)内核框架等接口，以获取数据；非内建方案主要是指利用内核内联挂钩机制(kernel inline hooking mechanism)挂接目标函数，进而获取数据。威胁阻断模块通过判断引擎、内置规则、云控规则等结论阻断威胁，确保终端环境的安全性。
100.在另一个本发明实施例中，为了进一步限定及说明，如图5所示，步骤接收所述服务端下发的至少一个执行对象的部署数据之前，所述方法还包括：
101.301、当检测到所述部署数据符合预设运行条件，则将所述部署数据存储至所述基础数据组件中；
102.302、若检测到所述部署数据不符合预设运行条件，则生成告警信息，并发送至所述服务端。
103.本发明实施例中，为了确保从服务端中接收到的部署数据能够适配于当前执行主体终端中，预先检测接收到的部署数据是否符合预设运行条件，若不符合，则告警至服务端，以使服务端重新下发部署数据。其中，预设运行条件包括但不限于当前执行主体终端的操作系统、硬件设备、存储空间等，此预设运行条件为预先写入的内容，从而使当前执行主体终端自动进行判断，当部署数据匹配时，则将部署数据存储至基础数据组件中，以便随时进行调取动态安装、激活等，若不符合，则说明部署数据无法在基础数据组件中应用，因此，向服务端发送告警信息，以便服务端重新下发部署数据。
104.本发明实施例提供了一种执行对象的切换方法，与现有技术相比，本发明实施例通过终端基于接收服务端发送的目标执行对象的控制指令，切换执行所述目标执行对象的终端工作模式，并向所述服务端发送执行所述终端工作模式所产生的执行行为，以使所述服务端基于所述执行行为进行数据处理，从而确保终端中各个终端安全产品之间的协同执行以及动态的切换，形成合力安全防护，大大降低了使用成本，减少了各终端安全产品的运行规则的操作繁琐性，提高了终端安全产品的执行行为效果，从而提高了终端安全产品的使用效率。
105.本发明实施例提供了另一种执行对象的切换方法，如图6所示，该方法包括：
106.401、确定终端待切换终端工作模式的目标执行对象。
107.本发明实施例中，为了使终端实现安全防护操作，在当前执行主体服务端中确定至少一个终端待切换终端工作模式的目标执行对象。其中，目标执行对象为在当前执行主体终端中，用于表征运行安全防护操作的内容，此处的内容即包括作为业务插件的各终端安全产品，还包括执行安全防护操作的不同安全防护规则、指令、配置文件、黑白名单等信息。终端工作模式用于表征执行所述目标执行对象的运行方式，包括但不限于安装、激活、升级、禁用、卸载等运行，以使终端按照目标执行对象切换终端工作模式。
108.同时，为了使终端按照目标执行对象进行安全防护，当前执行主体服务端预先与终端进行数据通信，通过下发执行对象，以使终端对执行对象按照终端工作模式进行安装、激活、升级、禁用、卸载等执行。
109.需要说明的是，为了满足用户的外网环境的数据通信需求，当前执行端的执行主体可以为云端服务器，实现云端服务管控功能。但是，当为了满足安全防护需求或内网环境的数据通信需求，或针对特殊客户时，例如政府、银行、军队客户，当前执行端的执行主体可以为云端服务器的本地化部署设备，即作为一个云端服务端部署在本地的硬件管控平台执行本发明实施例中的执行对象的切换方法，如图4所示。此时，无论当前执行主体是执行外网环境的云端服务管控平台，还是在执行本地内网环境时，作为云端服务端本地化部署的本地硬件管控平台，均可以嵌入集成数据中心，以及展示平台，从而进行基础数据处理以及用户展示，本发明实施例不做具体限定。
110.402、向所述终端发送携带有所述目标执行对象的控制指令。
111.本发明实施例中，当确定目标执行对象后，当前执行主体服务端向终端发送携带所述目标执行对象的控制指令，以使终端切换执行目标执行对象的终端工作模式。其中，控制指令为当前执行主体服务端在需要终端对目标执行对象进行终端工作模式切换时，向终
端进行发送的，即包括人为在当前执行主体服务端中触发的控制指令，也包括当前执行主体服务端中基于目标执行对象在终端工作模式下进行安全防护操作所产生的执行行为进行确定的，本发明实施例不做具体限定。
112.403、接收所述终端执行所述终端工作模式所产生的执行行为，并基于所述执行行为进行数据处理。
113.本发明实施例中，为了确保对终端进行的安全防护的实时监控，从而进行准确的终端工作模式的切换，接收终端执行终端工作模式所产生的执行行为，从而进行数据处理。其中，数据处理包括但不限于安全防护判断、日志数据分析、数据统计等，本发明实施例不做具体限定。
114.需要说明的是，当前执行主体服务端可以为云端服务管控平台，如图4所示，可以连接、控制多个不同的终端，从而对各个终端进行终端工作模式的配置切换。同时，在进行数据处理过程中，云端服务管控平台可以通过嵌入集成的数据中心进行处理，数据中心处理的内容包括但不限于数据加密存取、数据访问审计、数据异常备份等。另外，为了及时向用户进行展示，云端服务管控平台可以嵌入集成展示平台，用于展示包括但不限于各级数据的分类展示、管理员操作记录的展示，控制指令、执行规则、配置文件、黑白名单的编辑等内容。
115.在另一个本发明实施例中，为了进一步限定及说明，如图7所示，步骤401确定终端待切换终端工作模式的目标执行对象之前，所述方法还包括：
116.501、确定终端执行至少一个执行对象的部署数据；
117.502、将所述部署数据发送至所述终端。
118.本发明实施例中，由于在对终端工作模式进行切换前，需要预先在终端中执行对应的执行对象，因此，当前执行主体服务端需要向终端下发部署数据。其中，所述部署数据用于表征在不同终端工作模式下执行不同执行对象的基础数据，以便终端基于此基础数据执行对应的执行对象，基础数据可以为数据集合、执行代码等内容，对应的，部署数据包括但不限于对业务插件的压缩包、安装包、配置文件的配置执行代码等，从而基于下发部署数据，以使所述终端基于所述部署数据执行对应终端工作模式下的所述执行对象。
119.需要说明的是，本发明实施例中确定终端执行至少一个执行对象的部署数据具体可以按照终端的硬件设备、操作系统等内容进行匹配部署数据，或者直接加载获取执行对象的唯一部署数据进行下发，从而使得终端基于部署数据在基础数据组件中进行安装等操作。
120.在另一个本发明实施例中，为了进一步限定及说明，步骤确定终端待切换终端工作模式的目标执行对象包括：接收录入的执行对象配置信息，并根据所述执行对象配置信息确定待切换终端工作模式的目标执行对象；和/或，解析所述执行行为匹配的触发事件，并将所述触发事件匹配的执行对象确定为目标执行对象。
121.本发明实施例中，为了使终端准确基于控制指令对终端工作模式进行切换，确定待切换终端工作模式的目标执行对象具体可以为人为触发，也可以为基于触发事件进行触发。具体的，作为管理人员的用户录入执行对象配置信息，以使当前执行主体服务端根据执行对象配置信息确定目标执行对象，其中，执行对象配置信息可以直接为从多个执行对象中选取的目标执行对象。例如，某些内网服务器容易受到网络攻击及入侵，管理员可以将此
类终端的工作模式设置为：“终端检测与响应系统(edr,endpoint detection and response)”插件的激活工作模式，而某些特殊的部门，如研发部门、财务部门、法务部门容易受到敏感数据泄露的威胁，管理员可以将此些部门终端的工作模式设置为“数据损失防护(dlp，data loss prevention)”插件激活工作模式，此时，不同类型终端的应用策略，管理员可以通过人为录入执行对象配置信息有所不同。具体的，当前执行主体服务端中预先配置了触发事件，以用于按照触发事件将匹配的执行对象确定为目标执行对象。其中，触发事件可以包含预先配置的触发条件，包括但不限于执行对象在执行过程中的任意指定节点、指定行为、指定信息等，从而作为触发事件的判断依据。例如，触发事件为指定攻击行为，当终端节点工作在静默学习(sniffer mode)插件的激活工作模式(即执行静默学习过程中)，当此工作模式检测到已知的网络攻击行为，无需管理员介入，当前执行主体服务端自动确定目标执行对象为“edr”插件的激活工作模式，以便通过向终端发送控制指令，将终端工作模式切换至“edr”插件的激活工作模式下，进行自我保护。
122.在另一个本发明实施例中，为了进一步限定及说明，步骤还包括：
123.接收预期在终端运行安全防护操作的编辑信息，并根据所述编辑信息生成不同终端工作模式所对应的执行对象；将所述执行对象存储至数据中心。
124.本发明实施例中，为了满足对目标执行对象的准确确定，预先接收预期在终端运行安全防护的编辑信息，以根据编辑信息生成对应的执行对象。此时，编辑信息包括但不限于不同业务插件的组成规则、生成代码、配置内容等，从而当前执行主体服务端中可以直接基于编辑信息生成得到不同终端工作模式下执行的执行对象。同时，将生成的执行对象存储至与当前执行主体服务端的云端服务管控平台的数据中心，以基于录入的执行对象配置信息和/或触发事件确定待目标执行对象。
125.本发明实施例提供了一种执行对象的切换方法，与现有技术相比，本发明实施例通过服务端确定所述终端待切换终端工作模式的目标执行对象，并向所述终端发送携带有所述目标执行对象的控制指令，以使终端基于接收服务端发送的目标执行对象的控制指令，切换执行所述目标执行对象的终端工作模式，从而确保终端中各个终端安全产品之间的协同执行以及动态的切换，形成合力安全防护，大大降低了使用成本，减少了各终端安全产品的运行规则的操作繁琐性，提高了终端安全产品的执行行为效果，从而提高了终端安全产品的使用效率。
126.进一步的，作为对上述图1所示方法的实现，本发明实施例提供了一种执行对象的切换装置，如图8所示，该装置包括：
127.接收模块61，用于接收服务端发送的目标执行对象的控制指令，所述目标执行对象用于表征运行安全防护操作的内容；
128.切换模块62，用于切换执行所述目标执行对象的终端工作模式，所述终端工作模式用于表征执行所述目标执行对象的运行方式；
129.发送模块63，用于向所述服务端发送执行所述终端工作模式所产生的执行行为，以使所述服务端基于所述执行行为进行数据处理。
130.进一步地，
131.所述接收模块，还用于接收所述服务端下发的至少一个执行对象的部署数据，所述部署数据用于表征在不同终端工作模式下执行不同执行对象的基础数据；
132.所述发送模块，还用于基于所述部署数据执行对应终端工作模式下的所述执行对象，并将得到的执行行为发送至所述服务端。
133.进一步地，所述切换模块包括：
134.确定单元，用于确定待切换的目标终端工作模式，并在基础数据组件中配置所述目标执行对象的终端工作模式为失效状态；
135.激活单元，用于若基于所述基础数据组件已完成所述目标执行对象的安装，则在所述目标终端工作模式下激活所述目标执行对象，完成所述终端工作模式的切换。
136.进一步地，所述终端还包括：存储模块，
137.所述存储模块，用于当检测到所述部署数据符合预设运行条件，则将所述部署数据存储至所述基础数据组件中；
138.所述发送模块，还用于若检测到所述部署数据不符合预设运行条件，则生成告警信息，并发送至所述服务端，以使所述服务端重新下发所述部署数据。
139.本发明实施例提供了一种终端，与现有技术相比，本发明实施例通过终端基于接收服务端发送的目标执行对象的控制指令，切换执行所述目标执行对象的终端工作模式，并向所述服务端发送执行所述终端工作模式所产生的执行行为，以使所述服务端基于所述执行行为进行数据处理，从而确保终端中各个终端安全产品之间的协同执行以及动态的切换，形成合力安全防护，大大降低了使用成本，减少了各终端安全产品的运行规则的操作繁琐性，提高了终端安全产品的执行行为效果，从而提高了终端安全产品的使用效率。
140.进一步的，作为对上述图4所示方法的实现，本发明实施例提供了另一种执行对象的切换装置，如图9所示，该装置包括：
141.确定模块71，用于确定终端待切换终端工作模式的目标执行对象，所述目标执行对象用于表征运行安全防护操作的内容，所述终端工作模式用于表征执行所述目标执行对象的运行方式；
142.发送模块72，用于向所述终端发送携带有所述目标执行对象的控制指令，以使所述终端切换执行所述目标执行对象的终端工作模式；
143.接收模块73，用于接收所述终端执行所述终端工作模式所产生的执行行为，并基于所述执行行为进行数据处理。
144.进一步地，
145.所述确定模块，还用于确定终端执行至少一个执行对象的部署数据，所述部署数据用于表征在不同终端工作模式下执行不同执行对象的基础数据；
146.所述发送模块，还用于将所述部署数据发送至所述终端，以使所述终端基于所述部署数据执行对应终端工作模式下的所述执行对象。
147.进一步地，所述确定模块包括：
148.接收单元，用于接收录入的执行对象配置信息，并根据所述执行对象配置信息确定待切换终端工作模式的目标执行对象；和/或，
149.解析单元，用于解析所述执行行为匹配的触发事件，并将所述触发事件匹配的执行对象确定为目标执行对象。
150.进一步地，所述服务端还包括：存储模块，
151.所述接收模块，还用于接收预期在终端运行安全防护操作的编辑信息，并根据所
specific integrated circuit)，或者是被配置成实施本发明实施例的一个或多个集成电路。终端包括的一个或多个处理器，可以是同一类型的处理器，如一个或多个cpu；也可以是不同类型的处理器，如一个或多个cpu以及一个或多个asic。
166.存储器906，用于存放程序910。存储器906可能包含高速ram存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。
167.程序910具体可以用于使得处理器902执行以下操作：
168.接收服务端发送的目标执行对象的控制指令，所述目标执行对象用于表征运行安全防护操作的内容；
169.切换执行所述目标执行对象的终端工作模式，所述终端工作模式用于表征执行所述目标执行对象的运行方式；
170.向所述服务端发送执行所述终端工作模式所产生的执行行为，以使所述服务端基于所述执行行为进行数据处理。
171.根据本发明一个实施例提供了另一种存储介质，所述存储介质存储有至少一可执行指令，该计算机可执行指令可执行上述任意方法实施例中的执行对象的切换方法。
172.图12示出了根据本发明一个实施例提供的一种服务端的结构示意图，本发明具体实施例并不对终端的具体实现做限定。
173.如图12所示，该服务端可以包括：处理器(processor)1002、通信接口(communications interface)1004、存储器(memory)1006、以及通信总线1008。
174.其中：处理器1002、通信接口1004、以及存储器1006通过通信总线1008完成相互间的通信。
175.通信接口1004，用于与其它设备比如客户端或其它服务器等的网元通信。
176.处理器1002，用于执行程序1010，具体可以执行上述执行对象的切换方法实施例中的相关步骤。
177.具体地，程序1010可以包括程序代码，该程序代码包括计算机操作指令。
178.处理器1002可能是中央处理器cpu，或者是特定集成电路asic(application specific integrated circuit)，或者是被配置成实施本发明实施例的一个或多个集成电路。服务端包括的一个或多个处理器，可以是同一类型的处理器，如一个或多个cpu；也可以是不同类型的处理器，如一个或多个cpu以及一个或多个asic。
179.存储器1006，用于存放程序1010。存储器1006可能包含高速ram存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。
180.程序1010具体可以用于使得处理器1002执行以下操作：
181.确定终端待切换终端工作模式的目标执行对象，所述目标执行对象用于表征运行安全防护操作的内容，所述终端工作模式用于表征执行所述目标执行对象的运行方式；
182.向所述终端发送携带有所述目标执行对象的控制指令，以使所述终端切换执行所述目标执行对象的终端工作模式；
183.接收所述终端执行所述终端工作模式所产生的执行行为，并基于所述执行行为进行数据处理。
184.显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成
的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。
185.以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。