一种具有操作系统的电子设备的安全防御方法及装置与流程

本技术涉及电子设备安全，尤其涉及一种具有操作系统的电子设备的安全防御方法、装置、电子设备及可读存储介质。

背景技术：

1、随着互联网的快速发展，人们在享受着网络带来便利的同时，也带来了安全隐患，现有的防病毒方式可以通过病毒库对病毒文件进行检测，但是当前新型家族和新变种病毒出现速度极快，导致病毒库无法检出未知类型病毒，另外也可以在病毒启动后，通过主动防御能力，对病毒攻击行为进行捕获和拦截，但是随着漏洞利用、身份伪造、白文件利用等攻击手段的出现，导致病毒免杀能力也提高，防御能力也暴露出一定不足。

技术实现思路

1、有鉴于此，本技术实施例提供一种具有操作系统的电子设备的安全防御方法、装置、电子设备及可读存储介质，能够有效提高对病毒的防御能力。

2、第一方面，本技术实施例提供一种具有操作系统的电子设备的安全防御方法，包括：对电子设备本地各目录文件夹中的可执行体的行为动作进行监视；若监视到第一可执行体有行为动作，则确定所述第一可执行体所在的文件夹及所述文件夹的文件夹类型；根据所述文件夹的文件夹类型，以及预设的文件夹类型与管控规则的对应关系，确定所述文件夹类型所对应的目标管控规则；其中，所述文件夹类型与管控规则的对应关系中的管控规则，根据所述文件夹中的可执行体的行为特征建立；根据所述目标管控规则，确定是否允许所述第一可执行体执行所述行为动作。

3、根据本技术实施例的一种具体实现方式，所述对电子设备本地各目录文件夹中的可执行体的行为动作进行监视，包括：对电子设备本地各目录文件夹中的可执行体的启动动作进行监视，以及对电子设备本地各目录文件夹中的可执行体的启动后的执行动作进行监视。

4、根据本技术实施例的一种具体实现方式，所述确定所述文件夹的文件夹类型，包括：通过读取操作系统的环境变量，基于所述环境变量、所述文件夹所在的文件目录的关键字，以及预定义文件夹标签，确定所述文件夹的文件夹类型；或者，从同一网络环境中获取文件夹类型同族文件，根据所述文件夹类型同族文件确定所述文件夹的文件夹类型。

5、根据本技术实施例的一种具体实现方式，所述管控规则包括多个管控条目，每个管控条目对应一个管控基线，每个管控基线包括如下基线属性：可执行体类型、运行方式以及执行行为。

6、根据本技术实施例的一种具体实现方式，在监视到第一可执行体有行为动作的情况下，所述根据所述目标管控规则，确定是否允许所述第一可执行体执行所述行为动作，包括：判断所述第一可执行体的类型，是否为所述管控基线中允许运行的可执行体类型；如果所述第一可执行体的类型，不是所述管控基线中允许运行的可执行体，则禁止所述第一可执行体运行；如果所述第一可执行体的类型，是所述管控基线中允许运行的可执行体，则判断所述第一可执行体的运行方式，是否为所述管控基线中允许的运行方式；如果所述第一可执行体的运行方式，是所述管控基线中允许的运行方式，则允许所述第一可执行体运行，并判断所述第一可执行体运行后的执行行为，是否为所述管控基线中允许的执行行为，否则禁止所述第一可执行体运行；如果所述第一可执行体运行后的执行行为，是所述管控基线中允许的执行行为，则允许所述第一可执行体执行所述执行行为，否则禁止所述第一可执行体执行所述执行行为。

7、根据本技术实施例的一种具体实现方式，所述文件夹类型至少包括以下一种：操作系统文件夹、应用软件安装文件夹、桌面文件夹、安装文件夹、文档存放文件夹、多媒体存放文件夹、工程文件存放文件夹、绿色工具存放文件夹、样本存放文件夹和未定义文件夹。

8、第二方面，本技术实施例提供具有操作系统的电子设备的安全防御装置，包括：监视模块，用于对电子设备本地各目录文件夹中的可执行体的行为动作进行监视；第一确定模块，用于若监视到第一可执行体有行为动作，则确定所述第一可执行体所在的文件夹及所述文件夹的文件夹类型；第二确定模块，用于根据所述文件夹的文件夹类型，以及预设的文件夹类型与管控规则的对应关系，确定所述文件夹类型所对应的目标管控规则；其中，所述文件夹类型与管控规则的对应关系中的管控规则，根据所述文件夹中的可执行体的行为特征建立；第三确定模块，用于根据所述目标管控规则，确定是否允许所述第一可执行体执行所述行为动作。

9、根据本技术实施例的一种具体实现方式，所述监视模块，具体用于：对电子设备本地各目录文件夹中的可执行体的启动动作进行监视，以及对电子设备本地各目录文件夹中的可执行体的启动后的执行动作进行监视。

10、根据本技术实施例的一种具体实现方式，所述第一确定模块，具体用于：通过读取操作系统的环境变量，基于所述环境变量、所述文件夹所在的文件目录的关键字，以及预定义文件夹标签，确定所述文件夹的文件夹类型；或者，从同一网络环境中获取文件夹类型同族文件，根据所述文件夹类型同族文件确定所述文件夹的文件夹类型。

11、根据本技术实施例的一种具体实现方式，所述管控规则包括多个管控条目，每个管控条目对应一个管控基线，每个管控基线包括如下基线属性：可执行体类型、运行方式以及执行行为。

12、根据本技术实施例的一种具体实现方式，所述第三确定模块，具体用于：在所示监视模块监视到第一可执行体有行为动作的情况下，判断所述第一可执行体的类型，是否为所述管控基线中允许运行的可执行体类型；如果所述第一可执行体的类型，不是所述管控基线中允许运行的可执行体，则禁止所述第一可执行体运行；如果所述第一可执行体的类型，是所述管控基线中允许运行的可执行体，则判断所述第一可执行体的运行方式，是否为所述管控基线中允许的运行方式；如果所述第一可执行体的运行方式，是所述管控基线中允许的运行方式，则允许所述第一可执行体运行，并判断所述第一可执行体运行后的执行行为，是否为所述管控基线中允许的执行行为，否则禁止所述第一可执行体运行；如果所述第一可执行体运行后的执行行为，是所述管控基线中允许的执行行为，则允许所述第一可执行体执行所述执行行为，否则禁止所述第一可执行体执行所述执行行为。

13、根据本技术实施例的一种具体实现方式，所述文件夹类型至少包括以下一种：操作系统文件夹、应用软件安装文件夹、桌面文件夹、安装文件夹、文档存放文件夹、多媒体存放文件夹、工程文件存放文件夹、绿色工具存放文件夹、样本存放文件夹和未定义文件夹。

14、第三方面，本技术实施例提供一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实现方式所述的具有操作系统的电子设备的安全防御方法。

15、第四方面，本技术实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述任一实现方式所述的具有操作系统的电子设备的安全防御方法。

16、本实施例的具有操作系统的电子设备的安全防御方法、装置、电子设备及可读存储介质，若监视到第一可执行体有行为动作，则确定第一可执行体所在的文件夹及文件夹的文件夹类型，根据文件夹的文件夹类型，以及预设的文件夹类型与管控规则的对应关系，确定文件夹类型所对应的目标管控规则，文件夹类型与管控规则的对应关系中的管控规则，根据文件夹中的可执行体的行为特征建立的，最后，根据目标管控规则，确定是否允许第一可执行体执行该行为动作，通过目标管控规则，对第一可执行体的行为动作进行管控，便于拦截病毒文件执行的行为动作，有效提高对病毒的防御能力。