基于云安全拦截捆绑软件的方法和装置制造方法
【专利摘要】本发明公开了一种基于云安全拦截捆绑软件的方法和装置,其中所述方法包括:在安装应用程序时,监测所述应用程序的本体安装进程;在所述本体安装进程开启一个或多个安装进程或者执行一个或多个行为时,分别捕捉所述一个或多个安装进程/行为的描述信息;根据策略库对所述一个或多个安装进程/行为的描述信息进行匹配,所述策略库中保存有安装进程/行为的描述信息以及与所述安装进程/行为的描述信息对应的拦截策略和/或放行策略;根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行。本发明通过策略库中的描述信息及拦截策略从而对捆绑软件及捆绑的这种行为进行主动防御,避免了恶意程序的捆绑安装所带来的危害。
【专利说明】基于云安全拦截捆绑软件的方法和装置
【技术领域】
[0001]本申请涉及计算机【技术领域】,具体涉及一种基于云安全拦截捆绑软件的方法和装置。
【背景技术】
[0002]现今,以捆绑方式推广捆绑软件已经成为一种潮流。所捆绑的软件几乎涉及了电脑日常使用的方方面面,归纳起来大致有以下几类:即时通讯、网络浏览、网络搜索、病毒查杀、影音播放、英汉词典、文字处理、图像处理等,这些捆绑软件在程序进行本体安装时大多以可选框的形式出现。
[0003]在捆绑形式上,捆绑软件也有这样几种:安装时提醒并可选、默认插件安装、不可预见的强制性安装。可以看到,安装时提醒并可选的方式还是较为人性化的,因为捆绑软件并不是只是伴随着一个主体软件出现,同样的捆绑软件可能被很多软件捆绑,这样在安装时就会出现重复的现象。当然,更加泛滥的情况是,很多捆绑软件是以默认插件安装和不可预见的强制性安装进行的,这时不仅会出现重复安装的情况,更可能会因为大量的捆绑软件在用户无法选择甚至不知情的情况下安装进用户的终端,导致用户的终端的存储资源和运行资源被大量消耗,严重降低了用户的终端的性能。
[0004]而且,更加危险的是有些捆绑软件甚至是恶意程序,在用户无法选择甚至不知情的情况安装了恶意程序有可能会造成用户终端的瘫痪,而一些木马程序甚至会给用户带来较大的经济损失。
[0005]因此,当前如何对捆绑软件的安装进行有效拦截就成为了亟待解决的技术问题。
【发明内容】
[0006]本申请所要解决的技术问题在于提供一种基于云安全拦截捆绑软件的方法和装置,可以对捆绑软件的安装进行有效拦截。
[0007]为了解决上述问题,本申请还公开了一种基于云安全拦截捆绑软件的方法,包括:在安装应用程序时,监测所述应用程序的本体安装进程;在所述本体安装进程开启一个或多个安装进程或者执行一个或多个行为时,分别捕捉所述一个或多个安装进程/行为的描述信息;根据策略库对所述一个或多个安装进程/行为的描述信息进行匹配,所述策略库中保存有安装进程/行为的描述信息以及与所述安装进程/行为的描述信息对应的拦截策略和/或放行策略;根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行。
[0008]进一步地,根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行,包括:在获得所述匹配结果后,检测所述拦截处理配置项的置位标识,其中,所述处理配置项的置位标识在一配置界面内进行设置,所述配置界面通过接收对主界面上提供的配置入口的触发而开启;当所述置位标识指示为询问后处理时,根据所述匹配结果提示用户存在所述一个或多个安装进程/行为需要执行拦截策略,并在预设时长内根据所接收到的用户指示对所述一个或多个安装进程/行为进行拦截;如果在所述预设时长内没有接收到所述用户指示,则默认对所述一个或多个安装进程/行为进行拦截;当所述置位标识指示为直接处理时,根据所述匹配结果判定存在所述一个或多个安装进程/行为需要执行拦截策略,直接对所述一个或多个安装进程/行为进行拦截。
[0009]进一步地,根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行之后,还包括:对应所述应用程序的标识,分别记录所述一个或多个安装进程/行为的标识以及拦截时间;统计执行过拦截的应用程序的个数,并累计针对所有应用程序所记录的总拦截次数;默认在主界面上显示所述执行过拦截的应用程序的个数以及总拦截次数,并在所述主界面上提供记录查询入口 ;接收对所述记录查询入口的触发从而开启查询界面,在所述查询界面上以所述应用程序的标识为索引,显示所述总拦截次数、所记录的被拦截的安装进程/行为的标识以及拦截时间;接收在所述查询界面上触发的所述应用程序的标识和/或被拦截的安装进程/行为的标识,并将所述应用程序的标识和/或被拦截的安装进程/行为的标识上报至服务器以便所述服务器对所述应用程序和被拦截的安装进程/行为进行汇总以及配置相应拦截策略并下发所述配置的拦截策略。
[0010]进一步地,对应执行拦截策略的捆绑行为的描述信息,包括以下一种或多种的组合:由默认拦截的进程执行的与所述默认拦截的进程无关的文件夹创建操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的文件写入操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的下载操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的安装操作的描述信息。
[0011]进一步地,对应执行放行策略的行为的描述信息,包括以下一种或多种的组合:由用户主导执行的安装操作的描述信息,由用户主导执行的下载操作的描述信息,由默认放行的进程执行的安装操作的描述信息,由默认放行的进程执行的下载操作的描述信息。
[0012]进一步地,对应执行拦截策略的捆绑安装进程的描述信息,包括以下一种或多种的组合:由默认拦截的进程启动且与所述默认拦截的进程无关的捆绑安装进程的描述信息、已执行拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑下载进程访问的网络地址。
[0013]进一步地,对应执行放行策略的安装进程的描述信息,包括以下一种或多种的组合:由默认放行的进程启动且与所述默认放行的进程无关的安装进程的描述信息、已执行放行的安装进程的描述信息、预先收集的默认放行的安装进程的描述信息、预先收集的默认放行的下载进程访问的网络地址。
[0014]进一步地,所述描述信息,包括以下一种或多种的组合:版本号、安装文件的发布公司名称、产品名称、内部名称、签名者、签名日期、安装文件大小、安装范围、安装文件的时间戳、安装命令行信息。
[0015]进一步地,所述策略库配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端,和/或,配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端接入的网络服务器;配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端的策略库中,保存有对应执行放行策略的安装进程/行为的描述信息;配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端接入的网络服务器的策略库中,保存有对应执行拦截策略和/或执行放行策略的安装进程/行为的描述信息;所述配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端接入的网络服务器的策略库,通过不断接收接入所述网络服务器的若干终端上报的描述信息及拦截策略和/或放行策略,并对所述描述信息及拦截策略和/或放行策略进行汇总判断以更新所述策略库。
[0016]为了解决上述问题,本申请还公开了一种基于云安全拦截捆绑软件的装置,包括:策略库,用于保存安装进程/行为的描述信息以及与所述安装进程/行为的描述信息对应的拦截策略和/或放行策略;监测模块,用于在安装应用程序时,监测所述应用程序的本体安装进程;捕捉模块,用于在所述本体安装进程开启一个或多个安装进程或者执行一个或多个行为时,分别捕捉所述一个或多个安装进程/行为的描述信息;匹配模块,用于根据所述策略库对所述一个或多个安装进程/行为的描述信息进行匹配;执行模块,用于根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行。
[0017]进一步地,还包括:执行模块,用于在获得所述匹配结果后,检测所述拦截处理配置项的置位标识,其中,所述处理配置项的置位标识在一配置界面内进行设置,所述配置界面通过接收对主界面上提供的配置入口的触发而开启;当所述置位标识指示为询问后处理时,根据所述匹配结果提示用户存在所述一个或多个安装进程/行为需要执行拦截策略,并在预设时长内根据所接收到的用户指示对所述一个或多个安装进程/行为进行拦截;如果在所述预设时长内没有接收到所述用户指示,则默认对所述一个或多个安装进程/行为进行拦截;当所述置位标识指示为直接处理时,根据所述匹配结果判定存在所述一个或多个安装进程/行为需要执行拦截策略,直接对所述一个或多个安装进程/行为进行拦截。
[0018]进一步地,还包括:记录模块,用于对应所述应用程序的标识,分别记录所述一个或多个安装进程/行为的标识以及拦截时间,统计执行过拦截的应用程序的个数,并累计针对所有应用程序所记录的总拦截次数;记录展示模块,用于默认在主界面上显示所述执行过拦截的应用程序的个数以及总拦截次数,并在所述主界面上提供记录查询入口 ;接收对所述记录查询入口的触发从而开启查询界面,在所述查询界面上以所述应用程序的标识为索引,显示所述总拦截次数、所记录的被拦截的安装进程/行为的标识以及拦截时间;接收在所述查询界面上触发的所述应用程序的标识和/或被拦截的安装进程/行为的标识,并将所述应用程序的标识和/或被拦截的安装进程/行为的标识上报至服务器以便所述服务器对所述应用程序和被拦截的安装进程/行为进行汇总以及配置相应拦截策略并下发所述配置的拦截策略。
[0019]进一步地,所述策略库,所保存的对应执行拦截策略的捆绑行为的描述信息,包括以下一种或多种的组合:由默认拦截的进程执行的与所述默认拦截的进程无关的文件夹创建操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的文件写入操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的下载操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的安装操作的描述信息。
[0020]进一步地,所述策略库,所保存的对应执行放行策略的行为的描述信息,包括以下一种或多种的组合:由用户主导执行的安装操作的描述信息,由用户主导执行的下载操作的描述信息,由默认放行的进程执行的安装操作的描述信息,由默认放行的进程执行的下载操作的描述信息。
[0021]进一步地,所述策略库,所保存的对应执行拦截策略的捆绑安装进程的描述信息,包括以下一种或多种的组合:由默认拦截的进程启动且与所述默认拦截的进程无关的捆绑安装进程的描述信息、已执行拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑下载进程访问的网络地址。
[0022]进一步地,所述策略库,所保存的对应执行放行策略的安装进程的描述信息,包括以下一种或多种的组合:由默认放行的进程启动且与所述默认放行的进程无关的安装进程的描述信息、已执行放行的安装进程的描述信息、预先收集的默认放行的安装进程的描述信息、预先收集的默认放行的下载进程访问的网络地址。
[0023]进一步地,所述描述信息,包括以下一种或多种的组合:版本号、安装文件的发布公司名称、产品名称、内部名称、签名者、签名日期、安装文件大小、安装范围、安装文件的时间戳、安装命令行信息。
[0024]进一步地,所述策略库配置在所述装置所在终端,和/或,配置在所述装置所在终端接入的网络服务器;配置在所述装置所在终端的策略库中,保存有对应执行放行策略的安装进程/行为的描述信息;配置在所述装置所在终端接入的网络服务器的策略库中,保存有对应执行拦截策略和/或执行放行策略的安装进程/行为的描述信息;所述配置在所述装置所在终端接入的网络服务器的策略库,通过不断接收接入所述网络服务器的若干终端上报的描述信息及拦截策略和/或放行策略,并对所述描述信息及拦截策略和/或放行策略进行汇总判断以更新所述策略库。
[0025]与现有技术相比,本申请可以获得包括以下技术效果:
[0026]本申请通过不断地丰富策略库,从而通过策略库中的描述信息及拦截策略从而对捆绑软件及捆绑的这种行为进行主动防御,当用户在安装软件的时候,自动监测识别捆绑软件的伴随安装或者下载以及其他方式的捆绑,根据用户的设置直接帮用户拦截捆绑软件的安装,或者弹出警示窗口提示用户拦截捆绑软件,净化了用户终端的环境,维护了用户终端的性能,并避免了恶意程序的捆绑安装所带来的危害。
[0027]当然,实施本申请的任一产品必不一定需要同时达到以上所述的所有技术效果。
【专利附图】
【附图说明】
[0028]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0029]图1是本申请实施例的方法流程图;
[0030]图2是本申请实施例的装置结构图;
[0031]图3是本申请实施例的又一装置结构图;
[0032]图4是本申请实施例的主界面示意图;
[0033]图5是本申请实施例的查询界面示意图;
[0034]图6是本申请实施例的配置界面示意图。
【具体实施方式】
[0035]以下将配合附图及实施例来详细说明本申请的实施方式,藉此对本申请如何应用技术手段来解决技术问题并达成技术功效的实现过程能充分理解并据以实施。
[0036]实施例描沭
[0037]下面以一实施例对本申请方法的实现作进一步说明。如图1所示,为本申请实施例的基于云安全拦截捆绑软件的流程图,该方法包括:[0038]S100:在安装应用程序时,监测所述应用程序的本体安装进程。
[0039]S102:在所述本体安装进程开启一个或多个安装进程或者执行一个或多个行为时,分别捕捉所述一个或多个安装进程/行为的描述信息。
[0040]S104:根据策略库对所述一个或多个安装进程/行为的描述信息进行匹配,所述策略库中保存有安装进程/行为的描述信息以及与所述安装进程/行为的描述信息对应的拦截策略和/或放行策略。
[0041]1)所述策略库中保存的对应执行拦截策略的行为的描述信息,包括以下一种或多种的组合:由默认拦截的进程执行的与所述默认拦截的进程无关的文件夹创建操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的文件写入操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的下载操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的安装操作的描述信息。需要说明的是,有些捆绑行为并不是直接的安装行为、下载行为,而是脱离了安装包的限制,直接建立文件夹并往所述文件夹中写入文件,这种捆绑行为也被需要监控的,因此,策略库中对这种行为也进行了收集。
[0042]2)所述策略库中保存的对应执行拦截策略的安装进程的描述信息,包括以下一种或多种的组合:由默认拦截的进程启动且与所述默认拦截的进程无关的安装进程的描述信息、已执行拦截的安装进程的描述信息、预先收集的默认拦截的安装进程的描述信息、预先收集的默认拦截的下载进程访问的网络地址。
[0043]以上方式1)和2)类似于黑名单,如果被对应执行拦截策略的行为/安装进程的描述信息命中,所述本体安装进程开启的一个或多个捆绑安装进程或者执行的一个或多个捆绑行为都要需要执行拦截策略。
[0044]3)所述策略库中保存的对应执行放行策略的行为的描述信息,包括以下一种或多种的组合:由用户主导执行的安装操作的描述信息,由用户主导执行的下载操作的描述信息,由默认放行的进程执行的安装操作的描述信息,由默认放行的进程执行的下载操作的描述信息。需要说明的是,一般由用户主导的安装下载行为都被认为不是捆绑行为,另外一些经过认证的进程都是默认放行的,这些进程执行的安装下载行为可以被认为不是捆绑行为;因此对于这些非捆绑行为显然需要放行,当然,对于这些非捆绑行为之外的行为统统认定为捆绑行为,可见这种捆绑行为的认定力度和认定范围都是很大的,对于捆绑行为的防徂效果也很好。
[0045]4)所述策略库中保存的对应执行放行策略的安装进程的描述信息,包括以下一种或多种的组合:由默认放行的进程启动且与所述默认放行的进程无关的安装进程的描述信息、已执行放行的安装进程的描述信息、预先收集的默认放行的安装进程的描述信息、预先收集的默认放行的下载进程访问的网络地址。需要说明的是,一般多次执行放行的安装进程可以被认定不是捆绑程序或者不是用户希望拦截的捆绑程序,最好放行;有些通过云端收集的方式认定绝大部分用户都放行的安装进程或者下载进程访问的网络地址不是捆绑相关的,可以通过预先收集的方式保存在策略库中,对这类安装进程和下载进程访问的网络地址显然应该放行;另外一些经过认证的进程都是默认放行的,这些进程启动的安装进程可以被认为不是捆绑安装进程;当然,对于这些非捆绑安装进程之外的安装进程统统认定为捆绑安装进程,可见这种捆绑安装进程的认定力度和认定范围都是很大的,对于捆绑安装进程的防范效果也很好。
[0046]以上方式3)和4)类似于白名单,如果被对应执行放行策略的行为/安装进程的描述信息命中,所述本体安装进程开启的一个或多个捆绑安装进程或者执行的一个或多个捆绑行为都可以放行,当然,如果没有命中,则需要拦截。显然,白名单中存储的描述信息毕竟为少数,可见大多数捆绑安装进程或者捆绑行为都是要被拦截的。在本方案中,优先使用白名单的方式,或者使用白名单和黑名单结合的方式。
[0047]所述安装进程的描述信息,包括以下一种或多种的组合:版本号、安装文件的发布公司名称、产品名称、内部名称、签名者、签名日期、安装文件大小、安装范围、安装文件的时间戳、安装命令行信息。
[0048]S106:根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行。
[0049]对所述一个或多个安装进程/行为进行拦截,包括:可以对安装进程/行为执行关闭等操作,或者是对安装进程相应的文件执行删除,或者对安装行为所安装的文件执行删除等操作。对安装进程/行为执行关闭的同时,还要关闭安装进程/行为释放出的文件等信息。
[0050]在获得所述匹配结果后,检测所述拦截处理配置项的置位标识,其中,所述处理配置项的置位标识在一配置界面内进行设置,所述配置界面通过接收对主界面上提供的配置入口的触发而开启;
[0051]当所述置位标识指示为询问后处理时,根据所述匹配结果提示用户存在所述一个或多个安装进程/行为需要执行拦截策略,并在预设时长内根据所接收到的用户指示对所述一个或多个安装进程/行为进行拦截;如果在所述预设时长内没有接收到所述用户指示,则默认对所述一个或多个安装进程/行为进行拦截。
[0052]当所述置位标识指示为直接处理时,根据所述匹配结果判定存在所述一个或多个安装进程/行为需要执行拦截策略,直接对所述一个或多个安装进程/行为进行拦截。
[0053]在主界面上提供置位标识的处理配置入口,如图4所示。置位标识的设置可以由用户在配置界面内自行设置,如图6所示,如用户希望对一切捆绑行为或者捆绑软件进行清理,可以设置为置位标识为“直接处理”项,这样在匹配到安装进程/行为是捆绑软件时就直接执行拦截;如用户希望对个别捆绑软件进行放行,也可以设置为置位标识为“询问后处理”项,在匹配到安装进程/行为是捆绑软件时由用户自身来进行选择拦截还是放行。
[0054]S108:对应所述应用程序的标识,分别记录所述一个或多个安装进程/行为的标识以及拦截时间,统计执行过拦截的应用程序的个数,并累计针对所有应用程序所记录的总拦截次数,供用户查看。
[0055]默认在主界面上显示所述执行过拦截的应用程序的个数以及总拦截次数,并在所述主界面上提供记录查询入口,如图4所示;
[0056]接收对所述记录查询入口的触发从而开启查询界面,在所述查询界面上以所述应用程序的标识为索引,显示所述总拦截次数、所记录的被拦截的安装进程/行为的标识以及拦截时间,如图5所示;
[0057]接收在所述查询界面上触发的所述应用程序的标识和/或被拦截的安装进程/行为的标识,并将所述应用程序的标识和/或被拦截的安装进程/行为的标识上报至服务器以便所述服务器对所述应用程序和被拦截的安装进程/行为进行汇总以及配置相应拦截策略并下发所述配置的拦截策略。
[0058]通过主界面对拦截的总体情况进行提示,以便用户可以掌握到捆绑发生的总体变化,并且还提供了查询界面,查询界面上对于提供了很多细节信息,在需要时用户可以触发查询界面从而浏览拦截细节。
[0059]所述策略库一般配置在所述执行捆绑拦截方法的装置所在终端,也可以配置在所述执行捆绑拦截方法的装置所在终端接入的网络服务器。当然,最佳方案是同时配置在所述终端以及所述终端接入的网络服务器。因为在所述终端刚刚开启时,一些事先已下载到所述终端中的软件就会自动启动并弹出窗口建议用户安装捆绑软件,此时网络连接尚未建立,无法通过部署在网络服务器侧的策略库来进行拦截;而通过所述终端自身上部署的策略库不依赖于网络,则可以在网络连接尚未建立时很好的保护所述终端。当然,部署在终端的策略库起辅助作用,一般较为轻量、其中存储一些常规的描述信息及拦截策略/放行策略。
[0060]配置在所述终端的策略库中,保存有对应执行放行策略的安装进程/行为的描述信息;配置在所述终端接入的网络服务器的策略库中,保存有对应执行拦截策略和/或执行放行策略的安装进程/行为的描述信息;
[0061]所述配置在所述终端接入的网络服务器的策略库,通过不断接收接入所述网络服务器的若干终端上报的描述信息及拦截策略和/或放行策略,并对所述描述信息及拦截策略和/或放行策略进行汇总判断以更新所述策略库。
[0062]本申请除了通过上述步骤S100?S108的实时拦截方式,即在捆绑软件安装时或者捆绑行为发生时,实时进行拦截之外;还可以使用非实时拦截方式,即利用策略库中的描述信息,对于已经安装在操作系统中的全部软件进行筛查,在匹配到捆绑软件时对所述捆绑软件进行清理。通过上述实时拦截方式和非实时拦截方式的结合,确保对捆绑软件进行完全拦截。
[0063]以下以捆绑安装程序为例进一步说明本身请的方案。
[0064]当一应用程序开启了本体安装进程A,而本体安装进程A自动开启了安装进程B。
[0065]在本体安装进程A创建安装进程B时,通过挂钩接口(hook api)可以捕捉到创建安装进程B的函数creatprocess,可以查看安装进程B的描述信息,包括第一部分描述信息(版本号、安装文件的发布公司名称、产品名称、内部名称等)、第二部分描述信息(签名人、签名日期等)、第三部分描述信息(安装文件大小、安装范围、安装文件的时间戳等)、第四部分描述信息(命令行信息等);
[0066]根据安装进程B的上述描述信息,在策略库中进行匹配,只要以上描述信息中任何一项在策略库中被匹配到,则可以确定安装进程B为疑似捆绑包。当然,这里策略库所使用的是黑名单方式。在匹配时,根据安装进程B的描述信息,在预设的软件信息库中查找安装进程B的相关文件的描述信息,本实施例中的相关文件包括安装进程B的安装文件、注册表文件、快捷方式、服务文件、生成的文件等等,相关文件可以是安装进程B安装及工作过程中产生的所有文件;根据查找到的相关文件的描述信息,删除所述相关文件。
[0067]获取对安装进程B的清理请求,清理请求包括安装进程B的描述信息;识别到置位标识为“询问后处理”,通过一个界面将安装进程B提示给用户,则用户可选择根据自己的意愿选择是否拦截,另外,有可能一次匹配到的捆绑软件不止一个,可以通过一个界面将当前识别出的捆绑软件全部提示给用户,让用户根据意愿选择拦截其中的哪些捆绑软件。
[0068]前述实施例中有言,策略库优先使用白名单方式,因为一些捆绑软件本身为了逃避拦截,不具备任何的描述信息,例如版本号、产品名称、签名人,签名日期等均没有,如果使用黑名被单方式,很容易被该捆绑软件逃过拦截,而使用白名单方式,如果匹配不中就会拦截。
[0069]终端的本地策略库预先存储有一些常规的描述信息以便在不具备网络连接时进行查询,当然,主要是以网络策略库为主,或者使用本地策略库和网络策略库联合匹配的方式,在本地策略库匹配动作完成后,本地策略库的匹配结果则仅能说明目标是疑似的捆绑软件,进一步确认需要提交到网络策略库进行精确查询。
[0070]网络策略库主要设置在云端,在匹配时将捆绑软件的可执行的部分提取出来进行判断,无论捆绑软件的形式如何改变,我们都可以根据捆绑软件的可执行的部分的描述信息以及MD5在网络策略库查询。
[0071]对于绝大部份用户反复多次放行的软件,通过云端统计可以获知,对于这种软件可以确定不是捆绑软件,在策略库中记录该软件的描述信息,并对应保存放行策略。下次再安装该软件的时候,在策略库中匹配后可以直接放行。
[0072]捆绑软件目前主有三种方式:1)直接将安装文件捆绑,2)通过在网络地址保存捆绑软件的安装文件、通过即时下载进行安装,3)没有安装文件,直接创建文件夹,并写入文件。对于这三种方式,策略库中都进行了收集保存。在收集时,对于方式2),具体可以先由技术人员通过抓包工具识别捆绑逻辑,查看所访问的网络地址,收集所有网络地址并记入网络地址池,每隔一定周期会更新以保证策略库的实时性。对于方式1),可以通过沙箱主动运行本体安装文件,如果预定时间段内,有另一安装文件伴随本体安装文件自动完成安装,则可以确认另一安装文件是捆绑软件,将这个捆绑软件的信息以及拦截策略存储进策略库。
[0073]下面以另一实施例对本申请的实现作进一步说明。本申请可以作为杀毒软件、安全软件中具有捆绑拦截功能的模块,当杀毒软件、安全软件开启时,自动开启捆绑拦截功能,或者本申请也可以以独立的软件的形式存在。本申请可以应用在多种下载工具,或者即时通讯软件中,有效的发现、阻止下载工具和即时通讯软件中产生的恶意捆绑软件。
[0074]如图2所示,一种基于云安全拦截捆绑软件的装置,包括:
[0075]策略库20,用于保存安装进程/行为的描述信息以及与所述安装进程/行为的描述信息对应的拦截策略和/或放行策略;所述策略库20配置在所述装置所在终端,和/或,配置在所述装置所在终端接入的网络服务器;配置在所述装置所在终端的策略库中,保存有对应执行放行策略的安装进程/行为的描述信息;配置在所述装置所在终端接入的网络服务器的策略库中,保存有对应执行拦截策略和/或执行放行策略的安装进程/行为的描述信息;所述配置在所述装置所在终端接入的网络服务器的策略库,通过不断接收接入所述网络服务器的若干终端上报的描述信息及拦截策略和/或放行策略(如图4所示的主界面中提供了投诉上报入口,终端通过此入口向服务器进行上报),并对所述描述信息及拦截策略和/或放行策略进行汇总判断以更新所述策略库。所述安装进程的描述信息,包括以下一种或多种的组合:版本号、安装文件的发布公司名称、产品名称、内部名称、签名者、签名日期、安装文件大小、安装范围、安装文件的时间戳、安装命令行信息;
[0076]监测模块21,用于在安装应用程序时,监测所述应用程序的本体安装进程;[0077]捕捉模块22,与监测模块21耦接,用于在所述本体安装进程开启一个或多个捆绑安装进程或者执行一个或多个捆绑行为时,分别捕捉所述一个或多个安装进程/行为的描述信息;
[0078]匹配模块23,分别与捕捉模块22与策略库20耦接,用于根据所述策略库20对所述一个或多个安装进程/行为的描述信息进行匹配;
[0079]执行模块24,与匹配模块23耦接,用于根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行,具体来说,用于在获得所述匹配结果后,检测所述拦截处理配置项的置位标识,其中,所述处理配置项的置位标识在一配置界面内进行设置,所述配置界面通过接收对主界面上提供的配置入口的触发而开启;当所述置位标识指示为询问后处理时,根据所述匹配结果提示用户存在所述一个或多个安装进程/行为需要执行拦截策略,并在预设时长内根据所接收到的用户指示对所述一个或多个安装进程/行为进行拦截;如果在所述预设时长内没有接收到所述用户指示,则默认对所述一个或多个安装进程/行为进行拦截;当所述置位标识指示为直接处理时,根据所述匹配结果判定存在所述一个或多个安装进程/行为需要执行拦截策略,直接对所述一个或多个安装进程/行为进行拦截。
[0080]以下以一个实施例对策略库20的更新方式和更新规则进行说明。
[0081]在客户端发送的更新请求中包含捆绑拦截规则的版本信息。具体包括:将更新请求中的捆绑拦截规则的版本信息与服务器中捆绑拦截规则的版本信息进行比较,根据比较结果确定出需要向客户端下发的更新的捆绑拦截规则。具体而言,当更新请求中的捆绑拦截规则的版本信息与服务器中捆绑拦截规则的版本信息所表示的版本相同,则表示客户端中该捆绑拦截规则为最新的捆绑拦截规则,无需更新。当更新请求中的捆绑拦截规则的版本信息表示的版本比服务器中捆绑拦截规则的版本信息表示的版本早时,则表示客户端中该捆绑拦截规则为过期的捆绑拦截规则,需要更新。该版本信息中可以包括时间戳,该时间戳表示版本的发布时间,依此时间戳将更新请求中捆绑拦截规则的版本的时间与服务器中捆绑拦截规则的版本的时间进行比较。此外,版本信息也可以包括版本号,版本号越大表示版本时间越靠后,依此版本号对更新请求中捆绑拦截规则的版本的时间与服务器中捆绑拦截规则的版本的时间进行比较。
[0082]更新请求中除了包括版本信息外,还可以包括其他信息,例如,用户标识、避免被恶意攻击的验证信息等信息。举例而言,验证信息可以为随机数。为确保服务器中存储的捆绑拦截规则的安全性,可以对请求信息和/或响应信息进行压缩加密。
[0083]由此,通过在服务器端进行版本信息的比较,可以确定出需要更新的捆绑拦截规贝U,将该捆绑拦截规则下发给客户端,能够仅将需要更新的捆绑拦截规则下发给客户端,而无需将所有捆绑拦截规则都下发给客户端,减少向客户端下发的信息量,进而节约了网络流量,以及客户端和服务器中的资源。
[0084]如图3所示,所述捆绑拦截装置,还包括:
[0085]记录模块25,与执行模块24耦接,用于对应所述应用程序的标识,分别记录所述一个或多个安装进程/行为的标识以及拦截时间,统计执行过拦截的应用程序的个数,并累计针对所有应用程序所记录的总拦截次数。
[0086]记录展示模块26,与记录模块25耦接,用于默认在主界面上显示所述执行过拦截的应用程序的个数以及总拦截次数,并在所述主界面上提供记录查询入口 ;接收对所述记录查询入口的触发从而开启查询界面,在所述查询界面上以所述应用程序的标识为索引,显示所述总拦截次数、所记录的被拦截的安装进程/行为的标识以及拦截时间;接收在所述查询界面上触发的所述应用程序的标识和/或被拦截的安装进程/行为的标识,并将所述应用程序的标识和/或被拦截的安装进程/行为的标识上报至服务器以便所述服务器对所述应用程序和被拦截的安装进程/行为进行汇总以及配置相应拦截策略并下发所述配置的拦截策略。
[0087]记录模块25,还将记录的所述一个或多个安装进程/行为的描述信息上报给服务器,以便服务端生成监控日志,所述监控日志基于对多个应用程序的安装过程的监控得至IJ,监控日志中包括捆绑软件的描述信息,以及指向捆绑软件的描述信息的捆绑标记,也就是说监控日志中直接记录了已知的捆绑软件,按照监控日志的记录来反查捆绑软件非常简单。
[0088]以上装置的内容与方法实施例相互对应,不足之处可以参考上述方法实施例,在此不再赘述。
[0089]上述说明示出并描述了本申请的若干优选实施例,但如前所述,应当理解本申请并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本申请的精神和范围,则都应在本申请所附权利要求的保护范围内。
[0090]本申请揭示了 A1、一种基于云安全拦截捆绑软件的方法,包括:在安装应用程序时,监测所述应用程序的本体安装进程;在所述本体安装进程开启一个或多个安装进程或者执行一个或多个行为时,分别捕捉所述一个或多个安装进程/行为的描述信息;根据策略库对所述一个或多个安装进程/行为的描述信息进行匹配,所述策略库中保存有安装进程/行为的描述信息以及与所述安装进程/行为的描述信息对应的拦截策略和/或放行策略;根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行。A2、如A1所述的捆绑拦截方法,其特征在于,根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行,进一步包括:在获得所述匹配结果后,检测所述拦截处理配置项的置位标识,其中,所述处理配置项的置位标识在一配置界面内进行设置,所述配置界面通过接收对主界面上提供的配置入口的触发而开启;当所述置位标识指示为询问后处理时,根据所述匹配结果提示用户存在所述一个或多个安装进程/行为需要执行拦截策略,并在预设时长内根据所接收到的用户指示对所述一个或多个安装进程/行为进行拦截;如果在所述预设时长内没有接收到所述用户指示,则默认对所述一个或多个安装进程/行为进行拦截;当所述置位标识指示为直接处理时,根据所述匹配结果判定存在所述一个或多个安装进程/行为需要执行拦截策略,直接对所述一个或多个安装进程/行为进行拦截。A3、如A1所述的捆绑拦截方法,其特征在于,根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行之后,还包括:对应所述应用程序的标识,分别记录所述一个或多个安装进程/行为的标识以及拦截时间;统计执行过拦截的应用程序的个数,并累计针对所有应用程序所记录的总拦截次数;默认在主界面上显示所述执行过拦截的应用程序的个数以及总拦截次数,并在所述主界面上提供记录查询入口 ;接收对所述记录查询入口的触发从而开启查询界面,在所述查询界面上以所述应用程序的标识为索引,显示所述总拦截次数、所记录的被拦截的安装进程/行为的标识以及拦截时间;接收在所述查询界面上触发的所述应用程序的标识和/或被拦截的安装进程/行为的标识,并将所述应用程序的标识和/或被拦截的安装进程/行为的标识上报至服务器以便所述服务器对所述应用程序和被拦截的安装进程/行为进行汇总以及配置相应拦截策略并下发所述配置的拦截策略。A4、如A1所述的捆绑拦截方法,其特征在于,对应执行拦截策略的捆绑行为的描述信息,包括以下一种或多种的组合:由默认拦截的进程执行的与所述默认拦截的进程无关的文件夹创建操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的文件写入操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的下载操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的安装操作的描述信息。A5、如A1所述的捆绑拦截方法,其特征在于,对应执行放行策略的行为的描述信息,包括以下一种或多种的组合:由用户主导执行的安装操作的描述信息,由用户主导执行的下载操作的描述信息,由默认放行的进程执行的安装操作的描述信息,由默认放行的进程执行的下载操作的描述信息。A6、如A1所述的捆绑拦截方法,其特征在于,对应执行拦截策略的捆绑安装进程的描述信息,包括以下一种或多种的组合:由默认拦截的进程启动且与所述默认拦截的进程无关的捆绑安装进程的描述信息、已执行拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑下载进程访问的网络地址。A7、如A1所述的捆绑拦截方法,其特征在于,对应执行放行策略的安装进程的描述信息,包括以下一种或多种的组合:由默认放行的进程启动且与所述默认放行的进程无关的安装进程的描述信息、已执行放行的安装进程的描述信息、预先收集的默认放行的安装进程的描述信息、预先收集的默认放行的下载进程访问的网络地址。A8、如A1或A6或A7所述的捆绑拦截方法,其特征在于,所述描述信息,包括以下一种或多种的组合:版本号、安装文件的发布公司名称、产品名称、内部名称、签名者、签名日期、安装文件大小、安装范围、安装文件的时间戳、安装命令行信息。A9、如A1所述的捆绑拦截方法,其特征在于,所述策略库配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端,和/或,配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端接入的网络服务器;配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端的策略库中,保存有对应执行放行策略的安装进程/行为的描述信息;配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端接入的网络服务器的策略库中,保存有对应执行拦截策略和/或执行放行策略的安装进程/行为的描述信息;所述配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端接入的网络服务器的策略库,通过不断接收接入所述网络服务器的若干终端上报的描述信息及拦截策略和/或放行策略,并对所述描述信息及拦截策略和/或放行策略进行汇总判断以更新所述策略库。本申请还揭示了 B1、一种基于云安全拦截捆绑软件的装置,其特征在于,包括:策略库,用于保存安装进程/行为的描述信息以及与所述安装进程/行为的描述信息对应的拦截策略和/或放行策略;监测模块,用于在安装应用程序时,监测所述应用程序的本体安装进程;捕捉模块,用于在所述本体安装进程开启一个或多个安装进程或者执行一个或多个行为时,分别捕捉所述一个或多个安装进程/行为的描述信息;匹配模块,用于根据所述策略库对所述一个或多个安装进程/行为的描述信息进行匹配;执行模块,用于根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行。B2、如B1所述的捆绑拦截装置,其特征在于,还包括:执行模块,进一步用于在获得所述匹配结果后,检测所述拦截处理配置项的置位标识,其中,所述处理配置项的置位标识在一配置界面内进行设置,所述配置界面通过接收对主界面上提供的配置入口的触发而开启;当所述置位标识指示为询问后处理时,根据所述匹配结果提示用户存在所述一个或多个安装进程/行为需要执行拦截策略,并在预设时长内根据所接收到的用户指示对所述一个或多个安装进程/行为进行拦截;如果在所述预设时长内没有接收到所述用户指示,则默认对所述一个或多个安装进程/行为进行拦截;当所述置位标识指示为直接处理时,根据所述匹配结果判定存在所述一个或多个安装进程/行为需要执行拦截策略,直接对所述一个或多个安装进程/行为进行拦截。B3、如B1所述的捆绑拦截装置,其特征在于,还包括:记录模块,用于对应所述应用程序的标识,分别记录所述一个或多个安装进程/行为的标识以及拦截时间,统计执行过拦截的应用程序的个数,并累计针对所有应用程序所记录的总拦截次数;记录展示模块,用于默认在主界面上显示所述执行过拦截的应用程序的个数以及总拦截次数,并在所述主界面上提供记录查询入口 ;接收对所述记录查询入口的触发从而开启查询界面,在所述查询界面上以所述应用程序的标识为索引,显示所述总拦截次数、所记录的被拦截的安装进程/行为的标识以及拦截时间;接收在所述查询界面上触发的所述应用程序的标识和/或被拦截的安装进程/行为的标识,并将所述应用程序的标识和/或被拦截的安装进程/行为的标识上报至服务器以便所述服务器对所述应用程序和被拦截的安装进程/行为进行汇总以及配置相应拦截策略并下发所述配置的拦截策略。B4、如B1所述的捆绑拦截装置,其特征在于,所述策略库,所保存的对应执行拦截策略的捆绑行为的描述信息,包括以下一种或多种的组合:由默认拦截的进程执行的与所述默认拦截的进程无关的文件夹创建操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的文件写入操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的下载操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的安装操作的描述信息。B5、如B1所述的捆绑拦截装置,其特征在于,所述策略库,所保存的对应执行放行策略的行为的描述信息,包括以下一种或多种的组合:由用户主导执行的安装操作的描述信息,由用户主导执行的下载操作的描述信息,由默认放行的进程执行的安装操作的描述信息,由默认放行的进程执行的下载操作的描述信息。B6、如B1所述的捆绑拦截装置,其特征在于,所述策略库,所保存的对应执行拦截策略的捆绑安装进程的描述信息,包括以下一种或多种的组合:由默认拦截的进程启动且与所述默认拦截的进程无关的捆绑安装进程的描述信息、已执行拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑下载进程访问的网络地址。B7、如B1所述的捆绑拦截装置,其特征在于,所述策略库,所保存的对应执行放行策略的安装进程的描述信息,包括以下一种或多种的组合:由默认放行的进程启动且与所述默认放行的进程无关的安装进程的描述信息、已执行放行的安装进程的描述信息、预先收集的默认放行的安装进程的描述信息、预先收集的默认放行的下载进程访问的网络地址。B8、如B1或B6或B7所述的捆绑拦截装置,其特征在于,所述描述信息,包括以下一种或多种的组合:版本号、安装文件的发布公司名称、产品名称、内部名称、签名者、签名日期、安装文件大小、安装范围、安装文件的时间戳、安装命令行信息。B9、如B1所述的捆绑拦截装置,其特征在于,所述策略库配置在所述装置所在终端,和/或,配置在所述装置所在终端接入的网络服务器;配置在所述装置所在终端的策略库中,保存有对应执行放行策略的安装进程/行为的描述信息;配置在所述装置所在终端接入的网络服务器的策略库中,保存有对应执行拦截策略和/或执行放行策略的安装进程/行为的描述信息;所述配置在所述装置所在终端接入的网络服务器的策略库,通过不断接收接入所述网络服务器的若干终端上报的描述信息及拦截策略和/或放行策略,并对所述描述信息及拦截策略和/或放行策略进行汇总判断以更新所述策略库。
【权利要求】
1.一种基于云安全拦截捆绑软件的方法,其特征在于,包括:在安装应用程序时,监测所述应用程序的本体安装进程;在所述本体安装进程开启一个或多个安装进程或者执行一个或多个行为时,分别捕捉所述一个或多个安装进程/行为的描述信息;根据策略库对所述一个或多个安装进程/行为的描述信息进行匹配,所述策略库中保存有安装进程/行为的描述信息以及与所述安装进程/行为的描述信息对应的拦截策略和/或放行策略;根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行。
2.如权利要求1所述的捆绑拦截方法,其特征在于,根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行,进一步包括:在获得所述匹配结果后,检测所述拦截处理配置项的置位标识,其中,所述处理配置项的置位标识在一配置界面内进行设置,所述配置界面通过接收对主界面上提供的配置入口的触发而开启;当所述置位标识指示为询问后处理时,根据所述匹配结果提示用户存在所述一个或多个安装进程/行为需要执行拦截策略,并在预设时长内根据所接收到的用户指示对所述一个或多个安装进程/行为进行拦截;如果在所述预设时长内没有接收到所述用户指示,则默认对所述一个或多个安装进程/行为进行拦截;当所述置位标识指示为直接处理时,根据所述匹配结果判定存在所述一个或多个安装进程/行为需要执行拦截策略,直接对所述一个或多个安装进程/行为进行拦截。
3.如权利要求1所述的捆绑拦截方法,其特征在于,根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行之后,还包括:对应所述应用程序的标识,分别记录所述一个或多个安装进程/行为的标识以及拦截时间;统计执行过拦截的应用程序的个数,并累计针对所有应用程序所记录的总拦截次数;默认在主界面上显示所述执行过拦截的应用程序的个数以及总拦截次数,并在所述主界面上提供记录查询入口;接收对所述记录查询入口的触发从而开启查询界面,在所述查询界面上以所述应用程序的标识为索引,显示所述总拦截次数、所记录的被拦截的安装进程/行为的标识以及拦截时间;接收在所述查询界面上触发的所述应用程序的标识和/或被拦截的安装进程/行为的标识,并将所述应用程序的标识和/或被拦截的安装进程/行为的标识上报至服务器以便所述服务器对所述应用程序和被拦截的安装进程/行为进行汇总以及配置相应拦截策略并下发所述配置的拦截策略。
4.如权利要求1所述的捆绑拦截方法,其特征在于,对应执行拦截策略的捆绑行为的描述信息,包括以下一种或多种的组合:由默认拦截的进程执行的与所述默认拦截的进程无关的文件夹创建操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的文件写入操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的下载操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的安装操作的描述信息。
5.如权利要求1所述的捆绑拦截方法,其特征在于,对应执行放行策略的行为的描述信息,包括以下一种或多种的组合:由用户主导执行的安装操作的描述信息,由用户主导执行的下载操作的描述信息,由默认放行的进程执行的安装操作的描述信息,由默认放行的进程执行的下载操作的描述信息。
6.如权利要求1所述的捆绑拦截方法,其特征在于,对应执行拦截策略的捆绑安装进程的描述信息,包括以下一种或多种的组合:由默认拦截的进程启动且与所述默认拦截的进程无关的捆绑安装进程的描述信息、已执行拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑安装进程的描述信息、预先收集的默认拦截的捆绑下载进程访问的网络地址。
7.如权利要求1所述的捆绑拦截方法,其特征在于,对应执行放行策略的安装进程的描述信息,包括以下一种或多种的组合:由默认放行的进程启动且与所述默认放行的进程无关的安装进程的描述信息、已执行放行的安装进程的描述信息、预先收集的默认放行的安装进程的描述信息、预先收集的默认放行的下载进程访问的网络地址。
8.如权利要求1或6或7所述的捆绑拦截方法,其特征在于,所述描述信息,包括以下一种或多种的组合:版本号、安装文件的发布公司名称、产品名称、内部名称、签名者、签名日期、安装文件大小、安装范围、安装文件的时间戳、安装命令行信息。
9.如权利要求1所述的捆绑拦截方法,其特征在于, 所述策略库配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端,和/或,配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端接入的网络服务器;配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端的策略库中,保存有对应执行放行策略的安装进程/行为的描述信息;配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端接入的网络服务器的策略库中,保存有对应执行拦截策略和/或执行放行策略的安装进程/行为的描述信息;所述配置在执行所述基于云安全拦截捆绑软件的方法的装置所在终端接入的网络服务器的策略库,通过不断接收接入所述网络服务器的若干终端上报的描述信息及拦截策略和/或放行策略,并对所述描述信息及拦截策略和/或放行策略进行汇总判断以更新所述策略库。
10.一种基于云安全拦截捆绑软件的装置,其特征在于,包括:策略库,用于保存安装进程/行为的描述信息以及与所述安装进程/行为的描述信息对应的拦截策略和/或放行策略;监测模块,用于在安装应用程序时,监测所述应用程序的本体安装进程;捕捉模块,用于在所述本体安装进程开启一个或多个安装进程或者执行一个或多个行为时,分别捕捉所述一个或多个安装进程/行为的描述信息;匹配模块,用于根据所述策略库对所述一个或多个安装进程/行为的描述信息进行匹配;执行模块,用于根据匹配结果对所述一个或多个安装进程/行为进行拦截或放行。
【文档编号】H04L29/06GK103646209SQ201310714666
【公开日】2014年3月19日 申请日期:2013年12月20日 优先权日:2013年12月20日
【发明者】张聪, 王亮, 张晓霖, 张庭, 宁敢 申请人:北京奇虎科技有限公司, 奇智软件(北京)有限公司