專利名稱:數(shù)據(jù)安全防護(hù)處理系統(tǒng)及方法及存儲介質(zhì)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)處理設(shè)備的數(shù)據(jù)安全防護(hù)技術(shù)領(lǐng)域���,尤其涉及一種數(shù)據(jù)安全防護(hù)處理系統(tǒng)及方法及存儲介質(zhì)��。
背景技術(shù):
目前���,隨著數(shù)據(jù)處理設(shè)備(如計算機(jī)����、智能手機(jī)�����、平板電腦等具有數(shù)據(jù)處理能力的設(shè)備)的安全問題越來越嚴(yán)峻����,業(yè)界出現(xiàn)了用于保護(hù)數(shù)據(jù)處理設(shè)備中硬件/軟件/數(shù)據(jù)的數(shù)據(jù)安全防護(hù)處理系統(tǒng)。這些數(shù)據(jù)安全防護(hù)處理系統(tǒng)往往以軟件的方式安裝并運行在數(shù)據(jù)處理設(shè)備上�,以避免數(shù)據(jù)處理設(shè)備的硬件/軟件/數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、
更改�����、顯露����。 目前業(yè)界常用的數(shù)據(jù)安全防護(hù)處理系統(tǒng)中,往往集成有兩種以上業(yè)務(wù)模塊,每種業(yè)務(wù)模塊用于執(zhí)行相應(yīng)的業(yè)務(wù)處理邏輯�,實現(xiàn)有針對性的安全防護(hù)功能。例如��,目前ー個安全防護(hù)系統(tǒng)中通常集成有實時防護(hù)業(yè)務(wù)模塊����、木馬掃描業(yè)務(wù)模塊、文件監(jiān)控業(yè)務(wù)模塊�、下載保護(hù)業(yè)務(wù)模塊等。目前�����,所述各個業(yè)務(wù)模塊在進(jìn)程業(yè)務(wù)邏輯處理時都用到了進(jìn)程文件特征值緩存技木�����。所謂進(jìn)程文件特征值緩存技術(shù)是指在某一個程序的進(jìn)程啟動的時候��,讀取該進(jìn)程所對應(yīng)的磁盤文件內(nèi)容��,進(jìn)行文件特征值計算�,并且把計算得到的文件特征值保存到內(nèi)存的緩存結(jié)構(gòu)中�����。同時,也會把該進(jìn)程的文件特征值上傳到后臺的服務(wù)器進(jìn)行查詢��,獲取該文件的安全防護(hù)屬性信息��,在收到服務(wù)器應(yīng)答的結(jié)果后��,把安全防護(hù)屬性信息也保存到緩存結(jié)構(gòu)中�����,并與對應(yīng)的文件特征值綁定��。所述安全防護(hù)屬性信息主要包含了該文件是否安全的信息���,或進(jìn)ー步包括對應(yīng)的安全處理策略信息等����。所述文件是否安全的信息例如可以是黑白灰屬性信息通?�!昂凇贝碓撐募俏kU的(通常為病毒等文件)��,對應(yīng)的安全處理策略通常是阻止運行�����、立即清除等處理;“白”表示該文件是安全的���,對應(yīng)的安全處理策略通常是允許運行等處理���;“灰”表示該文件是否安全未知,對應(yīng)的安全處理策略通常是上報告警等處理���。當(dāng)然所述的安全處理策略可以根據(jù)業(yè)務(wù)需要進(jìn)行調(diào)整��,并不是固定不變的�����。在內(nèi)存中緩存了所述進(jìn)程的文件特征值和對應(yīng)的安全防護(hù)屬性信息之后,當(dāng)該進(jìn)程觸發(fā)了數(shù)據(jù)安全防護(hù)處理系統(tǒng)中某個業(yè)務(wù)模塊的監(jiān)測點時�,該業(yè)務(wù)模塊就讀取該進(jìn)程所對應(yīng)的磁盤文件內(nèi)容,進(jìn)行文件特征值計算����,根據(jù)計算得到的文件特征值到緩存中去查詢這個文件的安全防護(hù)屬性信息,井根據(jù)查詢結(jié)果做出相應(yīng)的判斷與處理��,例如查詢出該文件的黒白灰屬性信息為“黒”,則會根據(jù)安全處理策略阻止運行該進(jìn)程���。例如�,圖I為現(xiàn)有的一種數(shù)據(jù)安全防護(hù)處理系統(tǒng)中的實時防護(hù)業(yè)務(wù)模塊利用進(jìn)程文件特征值緩存技術(shù)進(jìn)行防護(hù)處理的流程圖�。參見圖1,該流程包括步驟101�����、某一進(jìn)程觸發(fā)了所述實時防護(hù)業(yè)務(wù)模塊的監(jiān)測點�。所述監(jiān)測點是指該業(yè)務(wù)模塊對程序進(jìn)程的動作監(jiān)測對象。例如對于實時防護(hù)業(yè)務(wù)模塊��,所述監(jiān)測點可以為監(jiān)測程序進(jìn)程向注冊表中添加注冊項的動作����,如果某個進(jìn)程向注冊表中添加了注冊項則觸發(fā)了該實時防護(hù)業(yè)務(wù)模塊的監(jiān)測點,實時防護(hù)業(yè)務(wù)模塊就會對該進(jìn)程進(jìn)行實時防護(hù)業(yè)務(wù)處理����。再例如對于下載保護(hù)業(yè)務(wù)模塊,所述監(jiān)測點可以為監(jiān)測是否有文件下載完成�,如果是則觸發(fā)了該下載保護(hù)業(yè)務(wù)模塊的監(jiān)測點,下載保護(hù)業(yè)務(wù)模塊對該進(jìn)程進(jìn)行下載保護(hù)處理���。步驟102����、讀取該進(jìn)程所對應(yīng)的磁盤文件內(nèi)容,根據(jù)該文件內(nèi)容計算該文件的文件特征值����。在得到文件特征值之后,一般會先判斷本地內(nèi)存緩存中是否保存有該文件特征值對應(yīng)的安全防護(hù)屬性信息�����。圖I所述的例子中為了提高緩存查詢的效率��,劃分了三個緩存結(jié)構(gòu)�����,分別為實時防護(hù)整體緩存���、本地文件黒白緩存、和云策略緩存���,分別對應(yīng)下述步驟103 步驟105����。所述實時防護(hù)整體緩存中用于緩存文件特征值及其對應(yīng)的用戶提示結(jié)果;所述本地文件黒白緩存用于緩存文件特征值及其對應(yīng)的黒白屬性信息�����,當(dāng)然也可以包括黑白灰屬性信息��;所述云策略緩存用于緩存文件特征值及其對應(yīng)的云端的安全處理策略信息�����。當(dāng)然�,所述三個緩存結(jié)構(gòu)中的內(nèi)容也可以用ー個緩存結(jié)構(gòu)來緩存,即用一個緩存結(jié)構(gòu)來緩存文件描述值及其對應(yīng)的用戶提示結(jié)果����、黒白屬性信息、和云端安全處理策略信息等安 全防護(hù)屬性信息���,只是在處理時效率差些�����。圖I中所述三個緩存判斷具體包括步驟103���、利用所述文件特征值查詢所述實時防護(hù)整體緩存���,如果在該緩存中查詢到有該文件特征值的記錄,則讀取出其對應(yīng)的用戶提示結(jié)果信息�����,跳到步驟108通知底層驅(qū)動模塊根據(jù)緩存查詢結(jié)果進(jìn)行對應(yīng)的實時防護(hù)業(yè)務(wù)處理����,否則執(zhí)行下一歩。步驟104����、利用所述文件特征值查詢所述黑白緩存,如果在該緩存中查詢到有該文件特征值的記錄��,則讀取出其對應(yīng)的黒白屬性信息����,跳到步驟108通知底層驅(qū)動模塊根據(jù)緩存查詢結(jié)果進(jìn)行對應(yīng)的實時防護(hù)業(yè)務(wù)處理,否則執(zhí)行下一歩����。步驟105、利用所述文件特征值查詢所述云策略緩存���,如果在該緩存中查詢到有該文件特征值的記錄�����,則讀取出其對應(yīng)的云端安全處理策略信息����,跳到步驟108通知底層驅(qū)動模塊根據(jù)緩存查詢結(jié)果進(jìn)行對應(yīng)的實時防護(hù)業(yè)務(wù)處理����,否則執(zhí)行下一歩。步驟106��、將所述文件特征值上傳到云端的服務(wù)器以查詢在云端的該文件特征值對應(yīng)的安全防護(hù)屬性信息�����,此處該安全防護(hù)屬性信息包括用戶提示結(jié)果���、黒白屬性信息以及云端安全處理策略信息����,在收到服務(wù)器返回的查詢結(jié)果之后,將查詢到的安全防護(hù)屬性信息存儲在本地緩存中并與所述文件特征值綁定����。例如圖I中的虛線箭頭所示,將用戶提示結(jié)果存儲在所述實時防護(hù)整體緩存中�����,將黑白屬性信息存儲在所述本地文件黒白緩存中����,將云端安全處理策略信息存儲在所述云策略緩存中。步驟107���、如果查詢到用戶提示結(jié)果的話����,則顯示所述用戶提示結(jié)果�。步驟108、通知底層驅(qū)動模塊根據(jù)緩存查詢結(jié)果或云查詢結(jié)果進(jìn)行對應(yīng)的實時防護(hù)業(yè)務(wù)處理���。所述實時防護(hù)業(yè)務(wù)處理例如可以包括網(wǎng)頁防火墻實時保護(hù)��、U盤防火墻實時保護(hù)���、攝像頭實時保護(hù)等等。一般來講����,當(dāng)一個進(jìn)程第一次觸發(fā)實時防護(hù)業(yè)務(wù)模塊的監(jiān)測點后,由于緩存中沒有該進(jìn)程對應(yīng)文件的文件特征值的記錄����,因此需要執(zhí)行步驟106查詢出文件特征值對應(yīng)的安全防護(hù)屬性信息并保存在緩存中。如果以后該進(jìn)程再次觸發(fā)了實時防護(hù)業(yè)務(wù)模塊的監(jiān)測點��,則會計算該進(jìn)程對應(yīng)文件的文件特征值��,根據(jù)該文件特征值從本地緩存中查詢對應(yīng)的安全防護(hù)屬性信息���,例如圖I所述實例會依次進(jìn)行實時防護(hù)整體緩存����、本地文件黒白緩存���、云策略緩存的查詢����,查詢的條件是該進(jìn)程對應(yīng)的文件特征值,只要有ー個緩存命中����,則直接通知底層的驅(qū)動模塊根據(jù)緩存來進(jìn)行相應(yīng)的處理。現(xiàn)有技術(shù)的缺陷是各個業(yè)務(wù)模塊采用相互獨立的緩存處理機(jī)制�����,每個業(yè)務(wù)模塊都在內(nèi)存中建立自己專有的緩存空間��。比如木馬查殺業(yè)務(wù)模塊有自己的文件特征值(比如MD5散列值)以及對應(yīng)黒白屬性的緩存機(jī)制���,實時防護(hù)業(yè)務(wù)模塊也有自己的維護(hù)進(jìn)程文件的文件特征值以及對應(yīng)黒白屬性的緩存機(jī)制����。對于集成有兩種以上業(yè)務(wù)模塊的數(shù)據(jù)安全防護(hù)處理系統(tǒng)��,如果同一進(jìn)程觸發(fā)了不同的業(yè)務(wù)模塊的監(jiān)測點�,則這種各業(yè)務(wù)模塊相互之間獨立的緩存機(jī)制會導(dǎo)致會多次重復(fù)計算與獲取同一進(jìn)程對應(yīng)文件的文件特征值信息以及向云端服務(wù)器查詢同一文件對應(yīng)的安全防護(hù)屬性信息的操作,即多次重復(fù)的文件系統(tǒng)輸入輸出(IO)操作��、多次重復(fù)的CPU計算及對內(nèi)存占用���、多次重復(fù)的網(wǎng)絡(luò)查詢等�����,使得數(shù)據(jù)安全防護(hù)處理系統(tǒng)的整體性能開銷很大���。另外,現(xiàn)有技術(shù)中由于各業(yè)務(wù)模塊緩存機(jī)制中的更新策略會有不同�����,會導(dǎo)致集成有兩種以上業(yè)務(wù)模塊的數(shù)據(jù)安全防護(hù)處理系統(tǒng)對同一文件的安全防護(hù)屬性信息(例如黒白 屬性)判斷出現(xiàn)不相匹配的現(xiàn)象��,這樣各業(yè)務(wù)模塊在處理同一個進(jìn)程文件時的表現(xiàn)不一��,相互矛盾��,導(dǎo)致各業(yè)務(wù)安全防護(hù)處理的一致性較差�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種數(shù)據(jù)安全防護(hù)處理系統(tǒng)及方法及存儲介質(zhì)�,以降低數(shù)據(jù)安全防護(hù)處理系統(tǒng)的整體性能開銷,提高各業(yè)務(wù)安全防護(hù)處理的一致性�����。本發(fā)明的技術(shù)方案是這樣實現(xiàn)的一種數(shù)據(jù)安全防護(hù)處理系統(tǒng),包括業(yè)務(wù)模塊���、統(tǒng)ー緩存模塊�����、查詢接口和添加接ロ�,其中所述統(tǒng)ー緩存模塊用于緩存進(jìn)程對應(yīng)的數(shù)據(jù)記錄�,所述數(shù)據(jù)記錄包括進(jìn)程對應(yīng)文件的文件標(biāo)識及其對應(yīng)的安全防護(hù)屬性信息;所述查詢接ロ用于從所述統(tǒng)ー緩存模塊中查詢文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息�;所述添加接ロ用于向所述統(tǒng)ー緩存模塊中添加文件標(biāo)識及其對應(yīng)的安全防護(hù)屬性信息;所述業(yè)務(wù)模塊用干在某進(jìn)程觸發(fā)本業(yè)務(wù)模塊的監(jiān)測點后��,調(diào)用所述查詢接ロ從所述統(tǒng)ー緩存模塊中查詢該進(jìn)程對應(yīng)文件的文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息��,之后進(jìn)行具體的數(shù)據(jù)安全防護(hù)處理��;如果沒有查詢到該進(jìn)程對應(yīng)文件的文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息��,則確定該進(jìn)程對應(yīng)的文件標(biāo)識和安全防護(hù)屬性信息���,并調(diào)用所述添加接ロ��,將確定后的文件標(biāo)識和安全防護(hù)屬性信息添加到所述統(tǒng)ー緩存模塊中���?����!N數(shù)據(jù)安全防護(hù)處理系統(tǒng)中的數(shù)據(jù)安全防護(hù)處理方法�,包括設(shè)置獨立于所述數(shù)據(jù)安全防護(hù)處理系統(tǒng)的業(yè)務(wù)模塊的統(tǒng)ー緩存模塊�,該統(tǒng)ー緩存模塊用于緩存進(jìn)程對應(yīng)的數(shù)據(jù)記錄,所述數(shù)據(jù)記錄包括進(jìn)程對應(yīng)文件的文件標(biāo)識及其對應(yīng)的安全防護(hù)屬性信息��;在某進(jìn)程觸發(fā)某業(yè)務(wù)模塊的監(jiān)測點后����,從所述統(tǒng)ー緩存模塊中查詢該進(jìn)程對應(yīng)文件的文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息�����,進(jìn)行具體的數(shù)據(jù)安全防護(hù)處理���;如果沒有查詢到該進(jìn)程對應(yīng)文件的文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息���,則確定該進(jìn)程對應(yīng)的文件標(biāo)識和安全防護(hù)屬性信息,將確定后的文件標(biāo)識和安全防護(hù)屬性信息添加到所述統(tǒng)ー緩存模塊中���。ー種存儲介質(zhì)���,其中存儲有計算機(jī)程序����,該計算機(jī)程序用于執(zhí)行本發(fā)明所述的方法�。與現(xiàn)有技術(shù)相比,本發(fā)明的方案采用獨立于所述數(shù)據(jù)安全防護(hù) 處理系統(tǒng)的業(yè)務(wù)模塊的統(tǒng)ー緩存模塊�����,在進(jìn)程觸發(fā)了業(yè)務(wù)模塊的監(jiān)測點后����,由該業(yè)務(wù)模塊從該統(tǒng)ー的緩存模塊中查詢該進(jìn)程對應(yīng)文件的文件標(biāo)識和/或安全防護(hù)屬性信息,如果沒有查詢到��,則確定該進(jìn)程對應(yīng)的文件標(biāo)識和安全防護(hù)屬性信息(在該過程中�,需要進(jìn)行IO操作、CPU計算及內(nèi)存占用以及網(wǎng)絡(luò)查詢)�,將確定后的文件標(biāo)識和安全防護(hù)屬性信息添加到所述統(tǒng)ー緩存模塊中。通過這種處理方案�����,對于同一進(jìn)程觸發(fā)了不同的業(yè)務(wù)模塊監(jiān)測點的場景,只需要執(zhí)行一遍IO操作��、CPU計算及內(nèi)存占用以及網(wǎng)絡(luò)查詢�����,即確定該進(jìn)程對應(yīng)的文件標(biāo)識和安全防護(hù)屬性信息的操作�,之后如果同一進(jìn)程再次觸發(fā)了其它業(yè)務(wù)模塊的監(jiān)測點,則不必重復(fù)進(jìn)行相應(yīng)的IO操作����、CPU計算及內(nèi)存占用以及網(wǎng)絡(luò)查詢,只需要從所述統(tǒng)ー緩存模塊中查詢該進(jìn)程對應(yīng)文件的文件標(biāo)識和/或安全防護(hù)屬性信息即可���。因此,本發(fā)明的方案減少了文件系統(tǒng)IO的重復(fù)冗余操作���,減少了 CPU的重復(fù)計算冗余及對內(nèi)存的重復(fù)占用���,以及減少了重復(fù)冗余的網(wǎng)絡(luò)查詢等,進(jìn)而降低了數(shù)據(jù)安全防護(hù)處理系統(tǒng)的整體性能開銷���。另外���,本發(fā)明各業(yè)務(wù)模塊采用統(tǒng)ー的緩存模塊�,其中為各個業(yè)務(wù)模塊緩存了統(tǒng)ー的進(jìn)程文件標(biāo)識及其安全防護(hù)屬性信息����,可以保證各業(yè)務(wù)模塊對于同一文件的安全防護(hù)屬性(如黒白灰屬性)的判斷是惟一的,避免不同業(yè)務(wù)模塊的緩存機(jī)制更新策略不同導(dǎo)致的安全防護(hù)處理不一致的問題�����,提高了各業(yè)務(wù)安全防護(hù)處理的一致性����。
圖I為現(xiàn)有的一種數(shù)據(jù)安全防護(hù)處理系統(tǒng)中的實時防護(hù)業(yè)務(wù)模塊利用進(jìn)程文件特征值緩存技術(shù)進(jìn)行防護(hù)處理的流程圖;圖2為本發(fā)明數(shù)據(jù)安全防護(hù)處理系統(tǒng)的ー種實施例的組成示意圖�����;圖3為本發(fā)明數(shù)據(jù)安全防護(hù)處理系統(tǒng)的又一種實施例的組成示意圖�;圖4為本發(fā)明所述數(shù)據(jù)安全防護(hù)處理方法在觸發(fā)監(jiān)測點后的一種處理流程圖。
具體實施例方式下面結(jié)合附圖及具體實施例對本發(fā)明再作進(jìn)ー步詳細(xì)的說明�����。圖2為本發(fā)明數(shù)據(jù)安全防護(hù)處理系統(tǒng)的ー種實施例的組成示意圖���;參見圖2�,該數(shù)據(jù)安全防護(hù)處理系統(tǒng)包括業(yè)務(wù)模塊、統(tǒng)ー緩存模塊201����、查詢接ロ 202和添加接ロ 203,其中所述統(tǒng)ー緩存模塊201用于緩存進(jìn)程對應(yīng)的數(shù)據(jù)記錄����,所述數(shù)據(jù)記錄具體可以是ー種文件記錄,該文件記錄包括進(jìn)程對應(yīng)文件的文件標(biāo)識及其對應(yīng)的安全防護(hù)屬性信息����。所述查詢接ロ 202用于從所述統(tǒng)ー緩存模塊201中查詢文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息;其輸入值為文件標(biāo)識(如文件全路徑信息或文件特征值)����,輸出值為文件標(biāo)識(如文件特征值)和/或?qū)?yīng)的安全防護(hù)屬性信息。
所述添加接ロ 203用于向所述統(tǒng)ー緩存模塊201中添加文件標(biāo)識及其對應(yīng)的安全防護(hù)屬性信息����;其輸入值為文件標(biāo)識和安全防護(hù)屬性信息���,輸出值為是否添加成功的結(jié)果信息����。本發(fā)明所述數(shù)據(jù)安全防護(hù)處理系統(tǒng)中至少包括兩個業(yè)務(wù)模塊,例如圖2所示的實施例中包括四種業(yè)務(wù)模塊���,分別用于執(zhí)行具體的數(shù)據(jù)安全防護(hù)處理����。例如實時防護(hù)業(yè)務(wù)模塊241用于網(wǎng)頁防火墻實時保護(hù)處理���、U盤防火墻實時保護(hù)處理�����、攝像頭實時保護(hù)處理等���;所述木馬掃描業(yè)務(wù)模塊242用于掃描數(shù)據(jù)處理設(shè)備內(nèi)的木馬程序;所述文件監(jiān)控業(yè)務(wù)模塊243用于對某指定的文件進(jìn)行監(jiān)控保護(hù)��;所述下載保護(hù)業(yè)務(wù)模塊244用于在下載完成數(shù)據(jù)文件時對該文件進(jìn)行監(jiān)測防護(hù)處理等���。本發(fā)明的所述各業(yè)務(wù)模塊具有ー項共同的處理功能���,即都可以用于在某進(jìn)程觸發(fā)本業(yè)務(wù)模塊的監(jiān)測點后��,調(diào)用所述查詢接ロ 202從所述統(tǒng)ー緩存模塊201中查詢該進(jìn)程對應(yīng)文件的文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息�,之后進(jìn)行具體的數(shù)據(jù)安全防護(hù)處 理�;如果沒有查詢到該進(jìn)程對應(yīng)文件的文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息,則確定該進(jìn)程對應(yīng)的文件標(biāo)識和安全防護(hù)屬性信息��,并調(diào)用所述添加接ロ 203����,將確定后的文件標(biāo)識和安全防護(hù)屬性信息添加到所述統(tǒng)ー緩存模塊201中。所述監(jiān)測點是指該業(yè)務(wù)模塊對程序進(jìn)程的動作監(jiān)測對象���。例如對于實時防護(hù)業(yè)務(wù)模塊241�����,所述監(jiān)測點可以為監(jiān)測程序進(jìn)程向注冊表中添加注冊項的動作����,如果某個進(jìn)程向注冊表中添加了注冊項則觸發(fā)了該實時防護(hù)業(yè)務(wù)模塊的監(jiān)測點��,實時防護(hù)業(yè)務(wù)模塊將對該進(jìn)程進(jìn)行實時防護(hù)業(yè)務(wù)處理����。再例如對于下載保護(hù)業(yè)務(wù)模塊244,所述監(jiān)測點可以為監(jiān)測下載進(jìn)程是否有文件下載完成���,如果是則觸發(fā)了該下載保護(hù)業(yè)務(wù)模塊的監(jiān)測點�,下載保護(hù)業(yè)務(wù)模塊將對該下載進(jìn)程所下載的文件進(jìn)行下載保護(hù)處理���。本發(fā)明所述統(tǒng)ー緩存模塊201所緩存的文件記錄可以包括多條���,每ー條文件記錄包括該文件的文件標(biāo)識及其對應(yīng)的安全防護(hù)屬性信息。所述安全防護(hù)屬性信息主要包含了該文件是否安全的信息���,或進(jìn)ー步包括對應(yīng)的安全處理策略信息和/或本條安全防護(hù)屬性信息的有效時間等��。所述文件是否安全的信息例如可以是黑白灰屬性信息通?����!包\”代表該文件是危險的(通常為病毒等文件)��,對應(yīng)的安全處理策略通常是阻止運行����、立即清除等處理;“白”表示該文件是安全的��,對應(yīng)的安全處理策略通常是允許運行等處理�;“灰”表示該文件是否安全未知,對應(yīng)的安全處理策略通常是上報告警等處理�。當(dāng)然所述的安全處理策略可以根據(jù)業(yè)務(wù)需要進(jìn)行調(diào)整,并不是固定不變的����。在一種實施例中,所述文件標(biāo)識為文件特征值��;所述業(yè)務(wù)模塊具體用于在某進(jìn)程觸發(fā)該業(yè)務(wù)模塊的監(jiān)測點后�����,確定該進(jìn)程對應(yīng)文件的文件特征值�,即從磁盤中找到該文件,根據(jù)文件的內(nèi)容計算該文件的文件特征值�����,比如利用MD5算法計算出該文件的MD5散列值�,即是一種文件特征值,可以唯一地標(biāo)識該文件���,只要文件內(nèi)容不變��,則該文件特征值就不會改變�,然后調(diào)用所述查詢接ロ 202從所述統(tǒng)ー緩存模塊201中查詢該文件特征值對應(yīng)的安全防護(hù)屬性信息���,然后根據(jù)查詢到的安全防護(hù)屬性信息對所述進(jìn)程對應(yīng)的文件進(jìn)行相應(yīng)處理��,具體的處理方式與安全防護(hù)屬性信息中包括的內(nèi)容和策略信息相關(guān)��,本發(fā)明并不限定��。但是在初始化吋�����,所述統(tǒng)ー緩存模塊201中沒有所述進(jìn)程對應(yīng)文件的文件記錄���,這時所述業(yè)務(wù)模塊不能從統(tǒng)ー緩存模塊201中查詢到所述文件特征值對應(yīng)的安全防護(hù)屬性信息,此時需要確定對應(yīng)的安全防護(hù)屬性信息����,具體是用所述文件特征值到云端服務(wù)器上查詢該文件特征值對應(yīng)的安全防護(hù)屬性信息(云端服務(wù)器上通常是文件特征值與對應(yīng)的安全防護(hù)屬性信息綁定存儲),并調(diào)用所述添加接ロ 203�����,將所述文件特征值和對應(yīng)的安全防護(hù)屬性信息添加到所述統(tǒng)ー緩存模塊201中。在另ー種實施例中��,所述文件標(biāo)識為文件全路徑信息和文件特征值�。所述文件全路徑信息可以是文件全路徑字符串,或者可以是該文件全路徑字符串的哈希值��。所述業(yè)務(wù)模塊具體用干在某進(jìn)程觸發(fā)該業(yè)務(wù)模塊的監(jiān)測點后�����,確定該進(jìn)程對應(yīng)文件的文件全路徑信息����,具體可以從該進(jìn)程內(nèi)截取對應(yīng)文件的文件全路徑信息,然后調(diào)用所述查詢接ロ 202從所述統(tǒng)ー緩存模塊201中查詢該文件全路徑信息對應(yīng)的文件特征值和/或?qū)?yīng)的安全防護(hù)屬性信息�����。然后根據(jù)查詢到的安全防護(hù)屬性信息對所述進(jìn)程對應(yīng)的文件進(jìn)行相應(yīng)處理�����,具體的處理方式與安全防護(hù)屬性信息中包括的內(nèi)容和策略信息相關(guān)��,本發(fā)明并不限定。所述查詢到的文件特征值可以在業(yè)務(wù)模塊進(jìn)行后續(xù)業(yè)務(wù)處理區(qū)分進(jìn)程文件��,例如在上報進(jìn)程文件統(tǒng)計信息時��,以該文件特征值區(qū)分不同的進(jìn)程文件��。但是在初始化吋����,所述統(tǒng)ー緩存模塊201中沒有所述進(jìn)程對應(yīng)文件的文件記錄����, 這時所述業(yè)務(wù)模塊不能從統(tǒng)ー緩存模塊201中查詢到所述文件全路徑信息對應(yīng)的文件特征值和/或?qū)?yīng)的安全防護(hù)屬性信息,此時需要確定該文件的文件特征值和對應(yīng)的安全防護(hù)屬性信息��,具體的確定方式同上�����,之后調(diào)用所述添加接ロ 203�����,將所述文件全路徑信息和文件特征值作為文件標(biāo)識�,將文件標(biāo)識和對應(yīng)的安全防護(hù)屬性信息作為一條文件記錄添加到所述統(tǒng)ー緩存模塊201中�。如下表I所示為所述統(tǒng)ー緩存模塊所緩存的一條文件記錄所包含的字段信息
權(quán)利要求
1.一種數(shù)據(jù)安全防護(hù)處理系統(tǒng)��,其特征在于�,包括業(yè)務(wù)模塊、統(tǒng)ー緩存模塊���、查詢接ロ和添加接ロ�����,其中 所述統(tǒng)ー緩存模塊用于緩存進(jìn)程對應(yīng)的數(shù)據(jù)記錄����,所述數(shù)據(jù)記錄包括進(jìn)程對應(yīng)文件的文件標(biāo)識及其對應(yīng)的安全防護(hù)屬性信息�����; 所述查詢接ロ用于從所述統(tǒng)ー緩存模塊中查詢文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息����; 所述添加接ロ用于向所述統(tǒng)ー緩存模塊中添加文件標(biāo)識及其對應(yīng)的安全防護(hù)屬性信息; 所述業(yè)務(wù)模塊用干在某進(jìn)程觸發(fā)本業(yè)務(wù)模塊的監(jiān)測點后��,調(diào)用所述查詢接ロ從所述統(tǒng)ー緩存模塊中查詢該進(jìn)程對應(yīng)文件的文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息,之后進(jìn)行具體的數(shù)據(jù)安全防護(hù)處理���;如果沒有查詢到該進(jìn)程對應(yīng)文件的文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息�����,則確定該進(jìn)程對應(yīng)的文件標(biāo)識和安全防護(hù)屬性信息���,并調(diào)用所述添加接ロ,將確定后的文件標(biāo)識和安全防護(hù)屬性信息添加到所述統(tǒng)ー緩存模塊中�����。
2.根據(jù)權(quán)利要求I所述的系統(tǒng)����,其特征在干�����,該系統(tǒng)進(jìn)ー步包括更新接ロ�����,用于更新所述統(tǒng)ー緩存模塊中緩存的文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息��; 還至少包括以下任ー模塊 后臺控制模塊,用于調(diào)用所述更新接ロ�,根據(jù)后臺控制指令更新所述統(tǒng)ー緩存模塊中緩存的文件標(biāo)識對應(yīng)的安全防護(hù)屬性信息; 文件監(jiān)控模塊���,用于監(jiān)測進(jìn)程對應(yīng)的文件是否發(fā)生更改���,在文件發(fā)生更改時,調(diào)用所述更新接ロ更新所述統(tǒng)ー緩存模塊中該文件的文件標(biāo)識����; 閑時掃描模塊,用于定時掃描所述統(tǒng)ー緩存模塊中的所有數(shù)據(jù)記錄��,查詢數(shù)據(jù)記錄中的文件標(biāo)識和/或其安全防護(hù)屬性信息是否有更改�����,如果有更改則對所述統(tǒng)ー緩存模塊中的文件標(biāo)識和/或其安全防護(hù)屬性信息進(jìn)行相應(yīng)更新����; 手動掃描模塊,用于接收用戶輸入的更新指令���,調(diào)用所述更新接ロ更新該更新指令指定的文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息���。
3.根據(jù)權(quán)利要求I所述的系統(tǒng)�����,其特征在干�����,該系統(tǒng)進(jìn)ー步包括刪除接ロ�,用于根據(jù)輸入的文件標(biāo)識�,從所述統(tǒng)ー緩存模塊中刪除該文件標(biāo)識對應(yīng)的數(shù)據(jù)記錄。
4.根據(jù)權(quán)利要求I所述的系統(tǒng)��,其特征在干���, 所述統(tǒng)ー緩存模塊中緩存的文件標(biāo)識為文件全路徑信息和文件特征值; 所述業(yè)務(wù)模塊具體用于在所述進(jìn)程觸發(fā)該業(yè)務(wù)模塊的監(jiān)測點后���,確定該進(jìn)程對應(yīng)文件的文件全路徑信息��,調(diào)用所述查詢接ロ從所述統(tǒng)ー緩存模塊中查詢該文件全路徑信息對應(yīng)的文件特征值和/或?qū)?yīng)的安全防護(hù)屬性信息�。
5.根據(jù)權(quán)利要求4所述的系統(tǒng),其特征在于�����,所述文件全路徑信息為文件全路徑字符串���、或者該文件全路徑字符串的哈希值�。
6.根據(jù)權(quán)利要求I所述的系統(tǒng)���,其特征在干���, 所述統(tǒng)ー緩存模塊中緩存的文件標(biāo)識為文件特征值; 所述業(yè)務(wù)模塊具體用干在所述進(jìn)程觸發(fā)該業(yè)務(wù)模塊的監(jiān)測點后��,確定該進(jìn)程對應(yīng)文件的文件特征值�����,調(diào)用所述查詢接ロ從所述統(tǒng)ー緩存模塊中查詢該文件特征值對應(yīng)的安全防護(hù)屬性信息���。
7.根據(jù)權(quán)利要求I所述的系統(tǒng)�����,其特征在于�,所述統(tǒng)ー緩存模塊中緩存的文件標(biāo)識對應(yīng)的安全防護(hù)屬性信息包括該文件是否安全的信息,或進(jìn)ー步包括該文件對應(yīng)的安全處理策略信息和/或本條安全防護(hù)屬性信息的有效時間��。
8.根據(jù)權(quán)利要求I所述的系統(tǒng)�����,其特征在于���,所述數(shù)據(jù)安全防護(hù)處理系統(tǒng)中包括至少兩個業(yè)務(wù)模塊����。
9.一種數(shù)據(jù)安全防護(hù)處理方法����,其特征在于,包括 設(shè)置獨立于數(shù)據(jù)安全防護(hù)處理系統(tǒng)的業(yè)務(wù)模塊的統(tǒng)ー緩存模塊���,該統(tǒng)一緩存模塊用于緩存進(jìn)程對應(yīng)的數(shù)據(jù)記錄����,所述數(shù)據(jù)記錄包括進(jìn)程對應(yīng)文件的文件標(biāo)識及其對應(yīng)的安全防護(hù)屬性信息��; 在某進(jìn)程觸發(fā)某業(yè)務(wù)模塊的監(jiān)測點后�,從所述統(tǒng)ー緩存模塊中查詢該進(jìn)程對應(yīng)文件的文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息,進(jìn)行具體的數(shù)據(jù)安全防護(hù)處理�;如果沒有查詢到該進(jìn)程對應(yīng)文件的文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息,則確定該進(jìn)程對應(yīng)的文件標(biāo)識和安全防護(hù)屬性信息�����,將確定后的文件標(biāo)識和安全防護(hù)屬性信息添加到所述統(tǒng)ー緩存模塊中��。
10.根據(jù)權(quán)利要求9所述的方法�����,其特征在于���,該方法進(jìn)ー步包括對所述統(tǒng)ー緩存模塊中緩存的文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息進(jìn)行更新����,具體的更新方法至少包括以下任ー種 根據(jù)后臺控制指令更新所述統(tǒng)ー緩存模塊中緩存的文件標(biāo)識對應(yīng)的安全防護(hù)屬性信息���; 用于監(jiān)測進(jìn)程對應(yīng)的文件是否發(fā)生更改����,在文件發(fā)生更改時,更新所述統(tǒng)ー緩存模塊中該文件的文件標(biāo)識����; 定時掃描所述統(tǒng)ー緩存模塊中的所有數(shù)據(jù)記錄,查詢數(shù)據(jù)記錄中的文件標(biāo)識和/或其安全防護(hù)屬性信息是否有更改��,如果有更改則對所述統(tǒng)ー緩存模塊中的文件標(biāo)識和/或其安全防護(hù)屬性信息進(jìn)行相應(yīng)更新��; 接收用戶輸入的更新指令����,按照該更新指令中指定的文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息對所述統(tǒng)ー緩存模塊中的文件標(biāo)識和/或其安全防護(hù)屬性信息進(jìn)行相應(yīng)更新。
11.根據(jù)權(quán)利要求9所述的方法�,其特征在干, 所述統(tǒng)ー緩存模塊中緩存的文件標(biāo)識為文件全路徑信息和文件特征值����; 在某進(jìn)程觸發(fā)某業(yè)務(wù)模塊的監(jiān)測點后,所述從統(tǒng)一緩存模塊中查詢該進(jìn)程對應(yīng)文件的文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息��,具體為確定該進(jìn)程對應(yīng)文件的文件全路徑信息����,從所述統(tǒng)ー緩存模塊中查詢該文件全路徑信息對應(yīng)的文件特征值和/或?qū)?yīng)的安全防護(hù)屬性信息。
12.根據(jù)權(quán)利要求9所述的方法�����,其特征在干����, 所述統(tǒng)ー緩存模塊中緩存的文件標(biāo)識為文件特征值; 在某進(jìn)程觸發(fā)某業(yè)務(wù)模塊的監(jiān)測點后�����,所述從統(tǒng)一緩存模塊中查詢該進(jìn)程對應(yīng)文件的文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息�����,具體為確定該進(jìn)程對應(yīng)文件的文件特征值�����,調(diào)用所述查詢接ロ從所述統(tǒng)ー緩存模塊中查詢該文件特征值對應(yīng)的安全防護(hù)屬性信息�����。
13.根據(jù)權(quán)利要求9所述的方法��,其特征在于���,所述確定所述進(jìn)程對應(yīng)的文件標(biāo)識和安全防護(hù)屬性信息�����,具體包括在磁盤中查找所述進(jìn)程對應(yīng)的文件�����;根據(jù)該文件的內(nèi)容計算文件特征值����,將該文件特征值作為文件標(biāo)識,或者進(jìn)ー步獲取該文件的文件全路徑信息�����,將該文件的文件特征值和文件全路徑信息作為文件標(biāo)識����;根據(jù)該文件特征值向云端服務(wù)器查詢得到該文件特征值對應(yīng)的安全防護(hù)屬性信息。
14.根據(jù)權(quán)利要求11或13所述的方法�����,其特征在于,所述文件全路徑信息為文件全路徑字符串����、或者該文件全路徑字符串的哈希值。
15.根據(jù)權(quán)利要求9所述的方法�����,其特征在于��,所述統(tǒng)ー緩存模塊中緩存的文件標(biāo)識對應(yīng)的安全防護(hù)屬性信息包括該文件是否安全的信息�,或進(jìn)ー步包括該文件對應(yīng)的安全處理策略信息和/或本條安全防護(hù)屬性信息的有效時間�����。
16.ー種存儲介質(zhì)�,其特征在于,其中存儲有計算機(jī)程序��,該計算機(jī)程序用于執(zhí)行所述權(quán)利要求9至15任一項所述的方法����。
全文摘要
本發(fā)明公開了一種數(shù)據(jù)安全防護(hù)處理系統(tǒng)和方法及存儲介質(zhì),包括業(yè)務(wù)模塊��、統(tǒng)一緩存模塊、查詢接口和添加接口��。所述統(tǒng)一緩存模塊用于緩存進(jìn)程對應(yīng)的文件標(biāo)識及其對應(yīng)的安全防護(hù)屬性信息��;所述業(yè)務(wù)模塊在某進(jìn)程觸發(fā)本業(yè)務(wù)模塊的監(jiān)測點后���,調(diào)用所述查詢接口從所述統(tǒng)一緩存模塊中查詢該進(jìn)程對應(yīng)文件的文件標(biāo)識和/或安全防護(hù)屬性信息����,之后進(jìn)行具體的數(shù)據(jù)安全防護(hù)處理�;如果沒有查詢到所述文件標(biāo)識和/或?qū)?yīng)的安全防護(hù)屬性信息,則確定該進(jìn)程對應(yīng)的文件標(biāo)識和安全防護(hù)屬性信息��,并調(diào)用所述添加接口將確定后的文件標(biāo)識和安全防護(hù)屬性信息添加到所述統(tǒng)一緩存模塊中���。利用本發(fā)明��,可以以降低數(shù)據(jù)安全防護(hù)處理系統(tǒng)的整體性能開銷�����,提高各業(yè)務(wù)安全防護(hù)處理的一致性�。
文檔編號G06F21/00GK102693388SQ20121018583
公開日2012年9月26日 申請日期2012年6月7日 優(yōu)先權(quán)日2012年6月7日
發(fā)明者沈曉斌 申請人:騰訊科技(深圳)有限公司