一種基于應用程序的行為處理方法和裝置制造方法【專利摘要】本發(fā)明實施例提供了一種基于應用程序的行為處理方法和裝置�,所述方法包括:當檢測到應用程序的啟動操作時,獲取所述應用程序?qū)男袨闄?quán)限信息�;監(jiān)測所述應用程序的行為信息;以及按照所述行為權(quán)限信息對所述行為信息進行處理�����。本發(fā)明實施例通過為行為配置行為權(quán)限信息��,以單個行為作為權(quán)限單位��,對應用程序進行監(jiān)控���,避免了黑白名單對應用程序配置統(tǒng)一權(quán)限帶來的監(jiān)控漏洞���,實現(xiàn)了細粒度權(quán)限控制,增強了保護的強度�,降低潛在威脅,亦可以減少誤報率���?��!緦@f明】一種基于應用程序的行為處理方法和裝置【
技術(shù)領域:
】[0001]本發(fā)明涉及應用程序【
技術(shù)領域:
】�����,特別是涉及一種基于應用程序的行為處理方法和一種基于應用程序的行為處理裝置��?!?br>背景技術(shù):
】[0002]隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展����,人們開發(fā)了各種功能豐富的應用程序,例如�����,即時通訊工具�����、音頻播放器���、視頻播放器����、日歷工具等等,給人們的生活帶來許多便利�。[0003]由于種種原因,應用程序總是會存在著某些漏洞���,利用這些漏洞,病毒�����、木馬或惡意代碼可以操縱這些應用程序進行非法濫用�����,又或者��,應用程序本身出于某些非法目的���,進行某些危險的行為���。[0004]進而�����,這些應用程序的行為可能會危及數(shù)據(jù)的完整性��、保密性���、可用性和可控性�,最終表現(xiàn)為應用程序在運行的過程中偏離了正常的軌道����,即產(chǎn)生異常行為。[0005]為了保護數(shù)據(jù)的安全���,用戶一般在操作系統(tǒng)中安裝安全工具�����,例如��,防火墻���、殺毒工具等等,這些安全工具�����,一般會設置有黑名單和白名單����,采用"非白即黑"的核心理念保護操作系統(tǒng)�。[0006]具體而言�����,對于白名單中信任的應用程序���,一律允許其執(zhí)行操作;對于黑名單中不信任的應用程序���,就會對其行為進行審核�����,若出現(xiàn)敏感行為���,就會以彈窗形式提示用戶。[0007]對于黑白名單機制�,添加進白名單的應用程序,該應用程序的所有行為就全部信任�����,容易出現(xiàn)漏洞。若不添加進白名單���,則可能會有很多行為被誤報病毒�,誤操作多����,浪費系統(tǒng)資源。[0008]例如���,某應用程序為文字編輯程序���,主要用于編輯,保存和打印文檔��,它的正常行為表現(xiàn)為讀寫它所支持的文檔格式的文檔�����,操作打印機進行打印��,如果發(fā)現(xiàn)該應用程序通過網(wǎng)絡下載了一個可執(zhí)行程序并通過修改注冊表把它設置為開機自動運行�����,這顯然是一個異常行為,這個異常行為有可能是由于受到了宏病毒或者木馬程序的攻擊所造成的�,又或者,出于強行推廣應用程序的目的�,該應用程序本身具有這個異常行為。[0009]若將該文字編輯程序添加進白名單�,則上述異常行為也是允許的,會導致安全漏洞�。若不添加到白名單,則日常的文檔讀寫����、打印機打印等行為又容易被誤報病毒���?����!?br/>發(fā)明內(nèi)容】[0010]鑒于上述問題���,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的一種基于應用程序的行為處理方法和相應的一種基于應用程序的行為處理裝置。[0011]依據(jù)本發(fā)明的一個方面�,提供了一種基于應用程序的行為處理方法,包括:[0012]當檢測到應用程序的啟動操作時����,獲取所述應用程序?qū)男袨闄?quán)限信息���;[0013]監(jiān)測所述應用程序的行為信息;以及[0014]按照所述行為權(quán)限信息對所述行為信息進行處理�。[0015]可選地,所述獲取所述應用程序?qū)男袨闄?quán)限列表的步驟包括:[0016]提取所述應用程序的第一特征信息�;[0017]將所述第一特征信息發(fā)送至服務器;以及[0018]接收所述服務器在判斷所述第一特征信息與預置的第二特征信息匹配時����,返回的所述第二特征信息對應的行為權(quán)限信息。[0019]可選地�����,所述獲取所述應用程序?qū)男袨闄?quán)限列表的步驟包括:[0020]提取所述應用程序的第一特征信息���;[0021]將所述第一特征信息發(fā)送至服務器�����;[0022]接收所述服務器在判斷所述第一特征信息與預置的第二特征信息匹配時����,返回的所述第二特征信息對應的行為權(quán)限配置信息和權(quán)限組標識;[0023]查找在本地預置的���,所述權(quán)限組標識對應的行為權(quán)限基礎信息�����;以及[0024]利用所述行為權(quán)限配置信息對所述行為權(quán)限基礎信息進行配置��,以獲得行為權(quán)限信息�����。[0025]可選地��,所述行為權(quán)限信息包括白名單行為信息和黑名單行為信息中的至少一種���;[0026]所述行為權(quán)限配置信息包括白名單行為添加信息�����、白名單行為刪除信息���、白名單行為修改信息��、黑名單行為添加信息���、黑名單行為刪除信息�、黑名單行為修改信息中的至少一種�����;以及[0027]所述行為權(quán)限基礎信息包括白名單行為基礎信息和黑名單行為基礎信息中的至少一種����。[0028]可選地,所述采用所述行為權(quán)限配置信息對所述行為權(quán)限基礎信息進行配置����,獲得行為權(quán)限信息的步驟包括:[0029]在所述白名單行為基礎信息中添加所述白名單行為添加信息對應的特征行為信息。[0030]可選地���,所述采用所述行為權(quán)限配置信息對所述行為權(quán)限基礎信息進行配置����,獲得行為權(quán)限信息的步驟包括:[0031]在所述白名單行為基礎信息中刪除所述白名單行為刪除信息對應的特征行為信息���。[0032]可選地����,所述采用所述行為權(quán)限配置信息對所述行為權(quán)限基礎信息進行配置,獲得行為權(quán)限信息的步驟包括:[0033]按照所述白名單行為修改信息對所述白名單行為基礎信息中的特征行為信息進行修改���。[0034]可選地�,所述采用所述行為權(quán)限配置信息對所述行為權(quán)限基礎信息進行配置����,獲得行為權(quán)限信息的步驟包括:[0035]在所述黑名單行為基礎信息中添加所述黑名單行為添加信息對應的特征行為信息。[0036]可選地����,所述采用所述行為權(quán)限配置信息對所述行為權(quán)限基礎信息進行配置,獲得行為權(quán)限信息的步驟包括:[0037]在所述黑名單行為基礎信息中刪除所述黑名單行為刪除信息對應的特征行為信息�。[0038]可選地,所述采用所述行為權(quán)限配置信息對所述行為權(quán)限基礎信息進行配置�����,獲得行為權(quán)限信息的步驟包括:[0039]按照所述黑名單行為修改信息對所述黑名單行為基礎信息中的特征行為信息進行修改���。[0040]可選地����,所述按照所述行為權(quán)限信息對所述行為信息進行處理的步驟包括:[0041]當所述行為信息與所述行為權(quán)限信息中的特征行為信息匹配時�,執(zhí)行所述特征行為信息對應的操作。[0042]可選地����,所述當所述行為信息與所述行為權(quán)限信息中的特征行為信息匹配時,執(zhí)行所述特征行為信息對應的操作的步驟包括:[0043]當所述行為信息與所述白名單行為信息中的特征行為信息匹配時����,允許所述行為信息的執(zhí)行。[0044]可選地��,所述當所述行為信息與所述特征行為信息匹配時�,執(zhí)行所述特征行為信息對應的操作的步驟包括:[0045]當所述行為信息與所述黑名單行為信息中的特征行為信息匹配時,生成針對所述行為信息的第一提示信息����。[0046]可選地,所述按照所述行為權(quán)限信息對所述行為信息進行處理的步驟包括:[0047]當所述行為信息未與所述行為權(quán)限信息中的特征行為信息匹配時���,生成針對所述行為信息的第二提示信息���。[0048]可選地�����,所述按照所述行為權(quán)限信息對所述行為信息進行處理的步驟包括:[0049]當所述行為信息未與所述行為權(quán)限信息中的特征行為信息匹配時�,將所述應用程序的信息和所述行為信息發(fā)送至服務器��;[0050]接收所述服務器返回的�,針對所述應用程序的信息和所述行為信息的操作信息;以及[0051]按照所述操作信息進行操作���。[0052]根據(jù)本發(fā)明的另一方面�����,提供了一種基于應用程序的行為處理裝置����,包括:[0053]權(quán)限信息獲取模塊��,適于在檢測到應用程序的啟動操作時����,獲取所述應用程序?qū)男袨闄?quán)限信息;[0054]行為信息監(jiān)測模塊�,適于監(jiān)測所述應用程序的行為信息���;以及[0055]處理模塊����,適于按照所述行為權(quán)限信息對所述行為信息進行處理。[0056]可選地��,所述權(quán)限信息獲取模塊還適于:[0057]提取所述應用程序的第一特征信息���;[0058]將所述第一特征信息發(fā)送至服務器�;以及[0059]接收所述服務器在判斷所述第一特征信息與預置的第二特征信息匹配時��,返回的所述第二特征信息對應的行為權(quán)限信息��。[0060]可選地�,所述權(quán)限信息獲取模塊還適于:[0061]提取所述應用程序的第一特征信息;[0062]將所述第一特征信息發(fā)送至服務器�;[0063]接收所述服務器在判斷所述第一特征信息與預置的第二特征信息匹配時,返回的所述第二特征信息對應的行為權(quán)限配置信息和權(quán)限組標識����;[0064]查找在本地預置的,所述權(quán)限組標識對應的行為權(quán)限基礎信息�����;以及[0065]利用所述行為權(quán)限配置信息對所述行為權(quán)限基礎信息進行配置,以獲得行為權(quán)限信息�。[0066]可選地,所述行為權(quán)限信息包括白名單行為信息和黑名單行為信息中的至少一種�����;[0067]所述行為權(quán)限配置信息包括白名單行為添加信息���、白名單行為刪除信息�、白名單行為修改信息���、黑名單行為添加信息���、黑名單行為刪除信息、黑名單行為修改信息中的至少一種�����;以及[0068]所述行為權(quán)限基礎信息包括白名單行為基礎信息和黑名單行為基礎信息中的至少一種�����。[0069]可選地,所述權(quán)限信息獲取模塊還適于:[0070]在所述白名單行為基礎信息中添加所述白名單行為添加信息對應的特征行為信息���。[0071]可選地�,所述權(quán)限信息獲取模塊還適于:[0072]在所述白名單行為基礎信息中刪除所述白名單行為刪除信息對應的特征行為信息����。[0073]可選地�����,所述權(quán)限信息獲取模塊還適于:[0074]按照所述白名單行為修改信息對所述白名單行為基礎信息中的特征行為信息進行修改�。[0075]可選地,所述權(quán)限信息獲取模塊還適于:[0076]在所述黑名單行為基礎信息中添加所述黑名單行為添加信息對應的特征行為信息��。[0077]可選地�,所述權(quán)限信息獲取模塊還適于:[0078]在所述黑名單行為基礎信息中刪除所述黑名單行為刪除信息對應的特征行為信息。[0079]可選地��,所述權(quán)限信息獲取模塊還適于:[0080]按照所述黑名單行為修改信息對所述黑名單行為基礎信息中的特征行為信息進行修改���。[0081]可選地�,所述處理模塊還適于:[0082]當所述行為信息與所述行為權(quán)限信息中的特征行為信息匹配時,執(zhí)行所述特征行為信息對應的操作����。[0083]可選地,所述處理模塊還適于:[0084]當所述行為信息與所述白名單行為信息中的特征行為信息匹配時���,允許所述行為信息的執(zhí)行��。[0085]可選地�����,所述處理模塊還適于:[0086]當所述行為信息與所述黑名單行為信息中的特征行為信息匹配時���,生成針對所述行為信息的第一提示信息。[0087]可選地����,所述處理模塊還適于:[0088]當所述行為信息未與所述行為權(quán)限信息中的特征行為信息匹配時,生成針對所述行為信息的第二提示信息�����。[0089]可選地�����,所述處理模塊還適于:[0090]當所述行為信息未與所述行為權(quán)限信息中的特征行為信息匹配時,將所述應用程序的信息和所述行為信息發(fā)送至服務器���;[0091]接收所述服務器返回的��,針對所述應用程序的信息和所述行為信息的操作信息���;以及[0092]按照所述操作信息進行操作。[0093]本發(fā)明實施例在檢測到應用程序的啟動操作時����,獲取該應用程序?qū)男袨闄?quán)限信息�����,對監(jiān)測到的應用程序的行為信息����,按照該行為權(quán)限信息進行處理,通過為行為配置行為權(quán)限信息�����,以單個行為作為權(quán)限單位,對應用程序進行監(jiān)控��,避免了黑白名單對應用程序配置統(tǒng)一權(quán)限帶來的監(jiān)控漏洞�����,實現(xiàn)了細粒度權(quán)限控制�����,增強了保護的強度��,降低潛在威脅�����,亦可以減少誤報率���。[0094]本發(fā)明實施例在服務器更新和維護應用程序的行為權(quán)限信息��,無需在本地配置不同應用程序的行為權(quán)限信息��,減少了本地系統(tǒng)的資源占用��,服務器可以快速對應用程序的行為變化做出反應對行為權(quán)限信息進行修改���,保證了行為權(quán)限信息的準確性��。[0095]本發(fā)明實施例在本地配置行為權(quán)限基礎信息�,由服務器發(fā)送的行為權(quán)限配置信息進行配置���,以獲得應用程序的行為權(quán)限信息�����,一方面�,由于從服務器獲取權(quán)限組標識可以獲得本地的權(quán)限基礎信息�,無需重復從服務器獲取部分的行為權(quán)限信息,大大減少了數(shù)據(jù)的傳輸量��,減少帶寬的占用�,加快數(shù)據(jù)的傳輸速度�;另一方面,服務器可以及時對應用程序的行為變化做出反饋�����,修改行為權(quán)限配置信息��,保證了應用程序的行為權(quán)限信息的準確性。[0096]本發(fā)明實施例通過白名單行為信息和黑名單行為信息對應用程序的行為進行可信和不可信操作��,進一步細化權(quán)限的層次�,提高了行為監(jiān)控的準確性。[0097]本發(fā)明實施例通過將未標記的行為進行提示��,或�,由服務器進行分析,進一步提高了行為監(jiān)控的準確性和全面性�����。[0098]上述說明僅是本發(fā)明技術(shù)方案的概述�����,為了能夠更清楚了解本發(fā)明的技術(shù)手段����,而可依照說明書的內(nèi)容予以實施,并且為了讓本發(fā)明的上述和其它目的���、特征和優(yōu)點能夠更明顯易懂��,以下特舉本發(fā)明的【具體實施方式】�。【專利附圖】【附圖說明】[0099]通過閱讀下文優(yōu)選實施方式的詳細描述�,各種其他的優(yōu)點和益處對于本領域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的��,而并不認為是對本發(fā)明的限制���。而且在整個附圖中����,用相同的參考符號表示相同的部件���。在附圖中:[0100]圖1為根據(jù)本發(fā)明一個實施例的一種基于應用程序的行為處理方法實施例的步驟流程示意圖���;以及[0101]圖2為根據(jù)本發(fā)明一個實施例的一種基于應用程序的行為處理裝置實施例的方塊不意圖?�!揪唧w實施方式】[0102]下面將參照附圖更詳細地描述本公開的示例性實施例����。雖然附圖中顯示了本公開的示例性實施例�,然而應當理解,可以以各種形式實現(xiàn)本公開而不應被這里闡述的實施例所限制���。相反�,提供這些實施例是為了能夠更透徹地理解本公開,并且能夠?qū)⒈竟_的范圍完整的傳達給本領域的技術(shù)人員���。[0103]參照圖1�����,示出了根據(jù)本發(fā)明一個實施例的一種基于應用程序的行為處理方法實施例的步驟流程圖���,具體可以包括如下步驟:[0104]步驟101,當檢測到應用程序的啟動操作時���,獲取所述應用程序?qū)男袨闄?quán)限信息����;[0105]本發(fā)明實施例中�����,當前啟動的應用程序可以是由用戶的操作進行觸發(fā)的��,例如����,用戶通過鼠標雙擊快捷方式觸發(fā)應用程序的啟動���;也可以由其他應用程序或服務所觸發(fā),例如��,當下載工具下載文件完成時�����,可以調(diào)用安全工具對該文件進行安全掃描�;還可以通過其他方式觸發(fā)啟動,本發(fā)明實施例對此不加以限制���。[0106]在具體實現(xiàn)中�,可以通過回調(diào)操作系統(tǒng)中指定的系統(tǒng)函數(shù)���,如PsSetCreateProcessNotifyRoutine等����,讓操作系統(tǒng)通知該系統(tǒng)函數(shù)���,以獲知應用程序的進程啟動����、退出等信息�。[0107]當然,本發(fā)明實施例中還可以掛鉤(Hook)CreateProcess等系統(tǒng)函數(shù)獲取到應用程序的進程啟動的時機和信息����,本發(fā)明實施例對此不加以限制。[0108]客戶端在檢測應用程序啟動時�,可以獲取該應用程序?qū)男袨闄?quán)限信息,以對該應用程序的行為進行控制��。其中��,該行為權(quán)限信息可以用于記錄對應的應用程序的行為的權(quán)限����。[0109]在本發(fā)明的一種可選實施例中,步驟101可以包括如下子步驟:[0110]子步驟S11��,提取所述應用程序的第一特征信息�����;[0111]客戶端在檢測應用程序啟動時,可以提取其第一特征信息����。[0112]第一特征信息,可以為表征當前啟動的應用程序的特征的信息����,具體可以包括ID(Identity,身份標識號碼)����、數(shù)字簽名、hash(哈希值)等等��。[0113]子步驟S12,將所述第一特征信息發(fā)送至服務器���;[0114]應用本發(fā)明實施例����,可以預先提取待檢測的應用程序的第二特征信息���,該第二特征信息可以為表征待檢測的應用程序的特征的信息�,具體可以包括ID(Identity��,身份標識號碼)、數(shù)字簽名�����、hash(哈希值)等等��。[0115]此外�,可以預先/實時對該待檢測的應用程序的行為進行分析����,根據(jù)分析結(jié)果,對該應用程序的第二特征信息配置行為權(quán)限信息����。在該行為權(quán)限信息中可以記錄該第二特征信息對應的應用程序的行為所擁有的權(quán)限。該權(quán)限行為信息可以用于對該應用程序的行為進行監(jiān)控�����。[0116]具體而言���,行為權(quán)限信息可以包括白名單行為信息和黑名單行為信息中的至少一個����。當然,對于某些應用程序�,其行為權(quán)限信息可以只包括白名單行為信息,或者�,可以只包括黑名單行為信息,本發(fā)明實施例對此不加以限制���。[0117]若分析出該待檢測的應用程序的行為可信時�,將該行為的行為信息作為特征行為信息�����,添加到其第二特征信息對應的白名單行為信息中��,即白名單行為信息可以為某個應用程序的可信的行為的集合�。[0118]若分析出該待檢測的應用程序的行為不可信時,將該行為的行為信息作為特征行為信息����,添加到其第二特征信息對應的黑名單行為信息中,即黑名單行為信息可以為某個應用程序的不可信的行為的集合�。[0119]在實際應用中,該待檢測的應用程序可以包括用戶上傳的����、出現(xiàn)報警行為的應用程序����。將該待檢測的應用程序置于虛擬機中運行��,復現(xiàn)出現(xiàn)報警的行為�,若沒有發(fā)現(xiàn)異常行為時,則可以將當時表現(xiàn)出來的會被報警的行為添加到該應用程序的第二特性信息對應的白名單行為信息中��。[0120]當然�����,本領域技術(shù)人員也可以主動收集不同的應用程序進行分析�����,本發(fā)明實施例對此不加以限制����。[0121]子步驟S13,接收所述服務器在判斷所述第一特征信息與預置的第二特征信息匹配時��,返回的所述第二特征信息對應的行為權(quán)限列表���。[0122]本發(fā)明實施例中��,客戶端可以將第一特征信息發(fā)送至服務器���,由服務器檢測第一特征信息與預置的第二特征信息是否匹配�。[0123]當?shù)谝惶卣餍畔⑴c第二特征信息匹配時�����,可以表示在先已經(jīng)對當前啟動的應用程序進行了分析�,存儲有行為權(quán)限信息。[0124]服務器將該第二特征信息對應的行為權(quán)限信息發(fā)送至客戶端���,由客戶端對當前啟動的應用程序的行為進行監(jiān)控����。[0125]本發(fā)明實施例在服務器更新和維護應用程序的行為權(quán)限信息����,無需在本地配置不同應用程序的行為權(quán)限信息,減少了本地系統(tǒng)的資源占用��,服務器可以快速對應用程序的行為變化做出反應對行為權(quán)限信息進行修改��,保證了行為權(quán)限信息的準確性����。[0126]在本發(fā)明的另一種可選實施例中�����,步驟101可以包括如下子步驟:[0127]子步驟S21��,提取所述應用程序的第一特征信息��;[0128]子步驟S22,將所述第一特征信息發(fā)送至服務器��;[0129]子步驟S23,接收所述服務器在判斷所述第一特征信息與預置的第二特征信息匹配時,返回的所述第二特征信息對應的行為權(quán)限配置信息和權(quán)限組標識����;[0130]子步驟S24,查找在本地預置的,所述權(quán)限組標識對應的行為權(quán)限基礎信息���;以及[0131]子步驟S25,利用所述行為權(quán)限配置信息對所述行為權(quán)限基礎信息進行配置��,以獲得行為權(quán)限信息����。[0132]在本發(fā)明實施例中�,可以對應用程序劃分一個或多個權(quán)限組����,每個權(quán)限組具有唯一的權(quán)限組標識進行識別���。[0133]在每個權(quán)限組中的應用程序���,可能具有相同或相似的行為,但是每個應用程序的行為一般又具有差異性���。[0134]例如����,下載工具A和下載工具B�����,都會主動修改開機啟動項��,也會在后臺上傳數(shù)據(jù)���,但是下載工具A通過80端口上傳�,下載工具B通過21端口上傳�����,此外,下載工具B還會調(diào)用安全工具對下載的文件進行安全掃描����。因此,下載工具A和下載工具B可以歸屬于同一個權(quán)限組����。[0135]因此,一方面��,可以針對每個權(quán)限組配置行為權(quán)限基礎信息����,在該行為權(quán)限基礎信息中可以記錄該權(quán)限組中的應用程序的相同或相似的行為所擁有的權(quán)限�����。[0136]具體而言���,所述行為權(quán)限基礎信息可以包括白名單行為基礎信息和黑名單行為基礎信息中的至少一種�����。[0137]其中��,白名單行為基礎信息可以為該權(quán)限組中應用程序的不可信的��、相同或相似的行為的集合�;黑名單行為基礎信息可以為該權(quán)限組中應用程序的不可信的行為的、相同或相似的行為的集合�����。[0138]例如�,對于下載工具A和下載工具B,由于上傳數(shù)據(jù)一般是用于P2P(Peer-t〇-Peer�����,對等網(wǎng)絡)數(shù)據(jù)傳輸���,因此�����,上傳數(shù)據(jù)都是可信的�����;主動修改開機啟動項不是用戶主動請求的��,且會占用系統(tǒng)資源降低開機速度����,因此,主動修改開機啟動項都是不可信的�。對于下載工具A和下載工具B所屬的權(quán)限組,上傳數(shù)據(jù)可以寫入白名單行為基礎信息��,主動修改開機啟動項可以寫入黑名單行為基礎信息�。[0139]需要說明的是,本領域技術(shù)人員可以根據(jù)實際情況對白名單行為基礎信息和黑名單行為基礎信息進行設置���,例如�,對于下載工具B的調(diào)用安全工具的行為�����,是可信的�����,若該權(quán)限組的其他應用程序大多數(shù)具有該行為�����,則可以寫入白名單行為基礎信息��,若該權(quán)限組的其他應用程序大多數(shù)不具有該行為�,則可以不寫入白名單行為基礎信息,本發(fā)明實施例對此不加以限制���。[0140]另一方面���,可以針對特定的應用程序配置行為權(quán)限配置信息,在該行為權(quán)限配置信息中可以記錄如何對該特定的應用程序所屬的權(quán)限組的行為權(quán)限基礎信息進行配置���,以獲得該特定應用程序的行為權(quán)限信息��。[0141]具體而言�����,所述行為權(quán)限配置信息包括白名單行為添加信息�、白名單行為刪除信息�、白名單行為修改信息�����、黑名單行為添加信息�����、黑名單行為刪除信息��、黑名單行為修改信息中的至少一種�。[0142]其中�,白名單行為添加信息可以指示在白名單行為基礎信息中添加指定的特征行為信息;[0143]白名單行為刪除信息可以指示在白名單行為基礎信息中刪除指定的特征行為信息��;[0144]白名單行為修改信息可以指示在白名單行為基礎信息中修改指定的特征行為信息�����;[0145]黑名單行為添加信息可以指示在黑名單行為基礎信息中添加指定的特征行為信息���;[0146]黑名單行為刪除信息可以指示在黑名單行為基礎信息中刪除指定的特征行為信息���;[0147]黑名單行為修改信息可以指示在黑名單行為基礎信息中修改指定的特征行為信息。[0148]例如�����,若下載工具A和下載工具B所屬的權(quán)限組的行為權(quán)限基礎信息如下:[0149]白名單行為基礎信息:上傳數(shù)據(jù)(*端口)�����;[0150]黑名單行為基礎信息:主動修改開機啟動項�;[0151]其中,*為通配符��,上傳數(shù)據(jù)(*端口)可以表示允許用任意端口上傳數(shù)據(jù)�。[0152]則對于下載工具A,可以在該行為權(quán)限基礎信息上����,需要配置一白名單行為修改信息,以將"上傳數(shù)據(jù)(*端口)"修改為"上傳數(shù)據(jù)(80端口)"��,即信任使用80端口上傳數(shù)據(jù)��;對于下載工具B����,可以在該行為權(quán)限基礎信息上,需要配置一白名單行為修改信息��,以將"上傳數(shù)據(jù)(*端口)"修改為上傳"數(shù)據(jù)(21端口)",即信任使用21端口上傳數(shù)據(jù)��,同時配置一白名單行為添加信息��,在白名單行為基礎信息添加調(diào)用"調(diào)用安全工具"��,以信任調(diào)用安全工具對下載的文件進行安全掃描的行為���。[0153]本發(fā)明實施例在本地配置行為權(quán)限基礎信息���,由服務器發(fā)送的行為權(quán)限配置信息進行配置,以獲得應用程序的行為權(quán)限信息�����,一方面�����,由于從服務器獲取權(quán)限組標識可以獲得本地的權(quán)限基礎信息�,無需重復從服務器獲取部分的行為權(quán)限信息,大大減少了數(shù)據(jù)的傳輸量��,減少帶寬的占用�����,加快數(shù)據(jù)的傳輸速度;另一方面����,服務器可以及時對應用程序的行為變化做出反饋����,修改行為權(quán)限配置信息,保證了應用程序的行為權(quán)限信息的準確性���。[0154]在本發(fā)明實施例的一種可選示例中���,子步驟S25可以包括如下子步驟:[0155]子步驟S251,在所述白名單行為基礎信息中添加所述白名單行為添加信息對應的特征行為信息�����。[0156]在本發(fā)明實施例中���,若接收到白名單行為添加信息����,則可以在白名單行為基礎信息添加指定的行為信息(即特征行為信息)。[0157]例如��,若白名單行為添加信息為"w+修改啟動項"��,"w"可以指示白名單行為基礎信息�����,"+"可以指示添加操作���,"修改啟動項"可以為特征行為信息���,則在白名單行為基礎信息中添加修改啟動項的行為。[0158]在本發(fā)明實施例的一種可選示例中���,子步驟S25可以包括如下子步驟:[0159]子步驟S252,在所述白名單行為基礎信息中刪除所述白名單行為刪除信息對應的特征行為信息����。[0160]在本發(fā)明實施例中�,若接收到白名單行為刪除信息,則可以在白名單行為基礎信息刪除指定的行為信息(即特征行為信息)�。[0161]例如,若白名單行為添加信息為"w-修改com接口","w"可以指示白名單行為基礎信息�����,可以指示刪除操作���,"修改com接口"可以為特征行為信息���,則在白名單行為基礎信息中刪除修改com接口的行為���。[0162]在本發(fā)明實施例的一種可選示例中����,子步驟S25可以包括如下子步驟:[0163]子步驟S253,按照所述白名單行為修改信息對所述白名單行為基礎信息中的特征行為信息進行修改����。[0164]在本發(fā)明實施例中,若接收到白名單行為修改信息����,則可以對白名單行為基礎信息中指定的行為信息(即特征行為信息)進行修改。[0165]例如�,若白名單行為基礎信息包括訪問網(wǎng)絡(url:*),白名單行為修改信息為"w訪問網(wǎng)絡(url:hao.#)"��,"w"可以指示白名單行為基礎信息,"I"可以指示修改操作�����,"訪問網(wǎng)絡(url:hao.#)"可以為修改的信息����,則在白名單行為基礎信息中將訪問網(wǎng)絡(url:*)的行為修改為訪問網(wǎng)絡(url:hao.#)。[0166]在本發(fā)明實施例的一種可選示例中����,子步驟S25可以包括如下子步驟:[0167]子步驟S254,在所述黑名單行為基礎信息中添加所述黑名單行為添加信息對應的特征行為信息。[0168]在本發(fā)明實施例中��,若接收到黑名單行為添加信息�,則可以在黑名單行為基礎信息添加指定的行為信息(即特征行為信息)。[0169]例如�,若白名單行為添加信息為"b+添加驅(qū)動程序","b"可以指示黑名單行為基礎信息�����,"+"可以指示添加操作�����,"添加驅(qū)動程序"可以為特征行為信息,則在黑名單行為基礎信息中添加添加驅(qū)動程序的行為�。[0170]在本發(fā)明實施例的一種可選示例中,子步驟S25可以包括如下子步驟:[0171]子步驟S255,在所述黑名單行為基礎信息中刪除所述黑名單行為刪除信息對應的特征行為信息���。[0172]在本發(fā)明實施例中���,若接收到黑名單行為刪除信息,則可以在黑名單行為基礎信息刪除指定的行為信息(即特征行為信息)�����。[0173]例如��,若白名單行為添加信息為"b_發(fā)送郵件"�,"b"可以指示黑名單行為基礎信息�����,可以指示刪除操作���,"發(fā)送郵件"可以為特征行為信息�,則在黑名單行為基礎信息中刪除發(fā)送郵件的行為。[0174]在本發(fā)明實施例的一種可選示例中��,子步驟S25可以包括如下子步驟:[0175]子步驟S256,按照所述黑名單行為修改信息對所述黑名單行為基礎信息中的特征行為信息進行修改�����。[0176]在本發(fā)明實施例中��,若接收到黑名單行為修改信息��,則可以對黑名單行為基礎信息中指定的行為信息(即特征行為信息)進行修改��。[0177]例如�,若黑名單行為基礎信息包括刪除應用程序(Id:*),白名單行為添加信息為"b|刪除應用程序(id:安全工具)"��,"b"可以指示黑名單行為基礎信息�����,"I"可以指示修操作����,"刪除應用程序"可以為特征行為信息,則在黑名單行為基礎信息中將刪除應用程序(Id:*)的行為修改為刪除應用程序(Id:安全工具)���。[0178]當然�����,上述行為權(quán)限配置信息只是作為示例���,在實施本發(fā)明實施例時��,可以根據(jù)實際情況設置其他行為權(quán)限配置信息�����,本發(fā)明實施例對此不加以限制�����。另外��,除了上述行為權(quán)限配置信息外,本領域技術(shù)人員還可以根據(jù)實際需要采用其它行為權(quán)限配置信息�����,本發(fā)明實施例對此也不加以限制����。[0179]需要說明的是��,本領域技術(shù)人員可以根據(jù)實際情況信任哪些應用程序的行為�����,不信任哪些應用程序的行為���,本發(fā)明實施例對此不加以限制。[0180]步驟102,監(jiān)測所述應用程序的行為信息�����;[0181]在實際應用中���,由于應用程序的進程一般是通過操作系統(tǒng)提供的API(ApplicationProgramInterface���,應用程序編程接口)函數(shù)來對注冊表、文件和創(chuàng)建其他進程等資源來實施操作的�,通過對進程調(diào)用的這些API進行Hook(掛鉤)則可以達到監(jiān)測的目的。[0182]為使本領域技術(shù)人員更好地理解本發(fā)明實施例�,以下將windows操作系統(tǒng)作為APIHook和服務系統(tǒng)Hook的一種示例進行說明。[0183]通常����,Hook可以分為用戶模式APIHook和服務系統(tǒng)Hook����。[0184]對于APIHook:[0185]IAT(importaddresstable��,導入地址表)是windows平臺下的可移植的執(zhí)行體(PortableExecutable�����,PE)格式文件里的一個重要組成部分��,其中存放著本PE文件執(zhí)行過程可能調(diào)用到的所有系統(tǒng)API的名稱�。當應用程序的進程運行時,它的可執(zhí)行文件被調(diào)入內(nèi)存���,同時其IAT表的PAI名字會被映射到相應的API在當前進程控件中的函數(shù)體入口地址����,以后該進程所發(fā)出的API調(diào)用通過IAT表轉(zhuǎn)跳到相應的API函數(shù)體上�����。[0186]因此�,可以在進程載入時修改IAT表,將要截取的API的入口地址轉(zhuǎn)向新的一段代碼�����,這段代碼首先將此API調(diào)用的函數(shù)名和參數(shù)記錄下來����,再轉(zhuǎn)到原來的API真實地址繼續(xù)執(zhí)行。即通過修改應用程序內(nèi)存映像的IAT中API函數(shù)的入口地址���,就可以達到重定向API的目的�����。[0187]例如�,操作注冊表���、文件和創(chuàng)建其他進程的API函數(shù)如表1所示�。[0188]表1[0189]【權(quán)利要求】1.一種基于應用程序的行為處理方法�,包括:當檢測到應用程序的啟動操作時,獲取所述應用程序?qū)男袨闄?quán)限信息�;監(jiān)測所述應用程序的行為信息;以及按照所述行為權(quán)限信息對所述行為信息進行處理���。2.如權(quán)利要求1所述的方法����,其特征在于,所述獲取所述應用程序?qū)男袨闄?quán)限列表的步驟包括:提取所述應用程序的第一特征信息����;將所述第一特征信息發(fā)送至服務器;以及接收所述服務器在判斷所述第一特征信息與預置的第二特征信息匹配時���,返回的所述第二特征信息對應的行為權(quán)限信息�����。3.如權(quán)利要求1所述的方法���,其特征在于,所述獲取所述應用程序?qū)男袨闄?quán)限列表的步驟包括:提取所述應用程序的第一特征信息��;將所述第一特征信息發(fā)送至服務器��;接收所述服務器在判斷所述第一特征信息與預置的第二特征信息匹配時�,返回的所述第二特征信息對應的行為權(quán)限配置信息和權(quán)限組標識;查找在本地預置的,所述權(quán)限組標識對應的行為權(quán)限基礎信息��;以及利用所述行為權(quán)限配置信息對所述行為權(quán)限基礎信息進行配置�,以獲得行為權(quán)限信息����。4.如權(quán)利要求3所述的方法,其特征在于����,所述行為權(quán)限信息包括白名單行為信息和黑名單行為信息中的至少一種;所述行為權(quán)限配置信息包括白名單行為添加信息���、白名單行為刪除信息�����、白名單行為修改信息����、黑名單行為添加信息���、黑名單行為刪除信息���、黑名單行為修改信息中的至少一種�;以及所述行為權(quán)限基礎信息包括白名單行為基礎信息和黑名單行為基礎信息中的至少一種��。5.如權(quán)利要求4所述的方法��,其特征在于�����,所述采用所述行為權(quán)限配置信息對所述行為權(quán)限基礎信息進行配置��,獲得行為權(quán)限信息的步驟包括:在所述白名單行為基礎信息中添加所述白名單行為添加信息對應的特征行為信息�����。6.如權(quán)利要求4所述的方法��,其特征在于���,所述采用所述行為權(quán)限配置信息對所述行為權(quán)限基礎信息進行配置�����,獲得行為權(quán)限信息的步驟包括:在所述白名單行為基礎信息中刪除所述白名單行為刪除信息對應的特征行為信息���。7.如權(quán)利要求4所述的方法��,其特征在于�����,所述采用所述行為權(quán)限配置信息對所述行為權(quán)限基礎信息進行配置,獲得行為權(quán)限信息的步驟包括:按照所述白名單行為修改信息對所述白名單行為基礎信息中的特征行為信息進行修改��。8.如權(quán)利要求4所述的方法���,其特征在于��,所述采用所述行為權(quán)限配置信息對所述行為權(quán)限基礎信息進行配置�����,獲得行為權(quán)限信息的步驟包括:在所述黑名單行為基礎信息中添加所述黑名單行為添加信息對應的特征行為信息�。9.如權(quán)利要求4所述的方法�,其特征在于,所述采用所述行為權(quán)限配置信息對所述行為權(quán)限基礎信息進行配置�����,獲得行為權(quán)限信息的步驟包括:在所述黑名單行為基礎信息中刪除所述黑名單行為刪除信息對應的特征行為信息。10.-種基于應用程序的行為處理裝置�����,包括:權(quán)限信息獲取模塊�,適于在檢測到應用程序的啟動操作時,獲取所述應用程序?qū)男袨闄?quán)限信息���;行為信息監(jiān)測模塊���,適于監(jiān)測所述應用程序的行為信息;以及處理模塊�����,適于按照所述行為權(quán)限信息對所述行為信息進行處理����。【文檔編號】G06F21/52GK104484599SQ201410784726【公開日】2015年4月1日申請日期:2014年12月16日優(yōu)先權(quán)日:2014年12月16日【發(fā)明者】張皓秋申請人:北京奇虎科技有限公司,奇智軟件(北京)有限公司