申请/专利权人：腾讯科技(深圳)有限公司

申请日：2016-11-11

公开（公告）日：2020-01-10

公开（公告）号：CN106682495B

主分类号：G06F21/52(20130101)

分类号：G06F21/52(20130101);G06F21/56(20130101)

优先权：

专利状态码：有效-授权

法律状态：2020.01.10#授权;2018.01.09#实质审查的生效;2017.05.17#公开

摘要：本发明公开了一种安全防护方法及安全防护装置；方法包括：检测终端中运行的程序，拦截程序实施的操作，并确定程序所实施操作的对象；获取终端中定向监控对象的配置信息，基于配置信息确定对象为定向监控对象；基于定向监控对象的配置信息，判断程序针对对象实施的操作是否为合法操作；若为合法操作则以静默方式执行操作，若为非法操作则以静默方式拦截操作。实施本发明，能够解决相关技术对终端中的安全防护方式单一、防护对象缺乏灵活性的问题。

主权项：1.一种安全防护方法，其特征在于，包括：检测终端中运行的程序，拦截所述程序实施的具有安全威胁的操作；确定所述程序所实施的所述操作的对象；获取所述终端中定向监控对象的配置信息；当所述配置信息中包括所述程序所实施的所述操作的对象时，确定所述对象为所述定向监控对象，否则确定为非定向监控对象；当所述定向监控对象的配置信息中的非法操作包括所述程序针对所述对象实施的所述操作时，确定所述操作为非法操作，否则为合法操作；以静默方式取消拦截所述合法操作，并以静默方式继续拦截所述非法操作；当所述配置信息中未包括所述对象为定向监控对象的标识时，确定所述对象为非定向监控对象，对所述程序进行恶意程序的检测，并针对检测结果进行提示操作；根据用户操作处理恶意程序，或者，当用户在等待时间内未进行相应操作时，对恶意程序的操作进行部分拦截或全部拦截。

全文数据：安全防护方法及安全防护装置技术领域[0001]本发明涉及安全技术，尤其涉及一种安全防护方法及安全防护装置。背景技术[0002]目前，终端通过各种通信方式如无线先相容性认证WiFi通信和蜂窝通信实现了对网络如互联网的随时随地的接入，不可避免地，终端设备会与遇到来自互联网的安全威胁。[0003]举例来说，典型的安全威胁，是在终端访问网络的过程中在终端中以各种方式植入的恶意程序也称为计算机病毒，通过执行恶意程序的方式，实现窃取用户的个人数据、破坏终端的数据或功能等目的。[0004]恶意程序往往具有隐蔽性的特点而难以发现，例如，典型地，恶意程序以加壳的形式封装为常规的文件或者链接的形式欺骗用户点击，一旦用户点击则恶意程序得以在终端中运行，有必要对终端中的恶意程序进行检测。[0005]相关技术提供安装在终端中的安全软件，对终端中对象各种形式的数据进行监控，分析终端中运行的各个程序，识别出对终端的安全造成威胁的恶意程序，并自动对恶意程序进行处理，如隔离恶意程序或删除恶意程序，又或者，提示用户选择如何处理恶意程序。[0006]终端中的对象是多样性的，例如从形式上说包括文本文件、媒体文件、程序、程序安装包和库文件等，从来源上说包括系统数据和用户数据，不同的对象对于用户的重要程度不可避免地存在区别，而相关技术存在对终端中的安全防护方式单一、防护对象设置缺乏灵活性的问题，针对此问题，相关技术尚无有效解决方案。发明内容[0007]本发明实施例提供一种安全防护方法及安全防护装置，能够解决相关技术对终端中的安全防护方式单一、防护对象缺乏灵活性的问题。[0008]本发明实施例的技术方案是这样实现的:[0009]第一方面，本发明实施例提供一种安全防护方法，包括:[0010]检测终端中运行的程序，拦截所述程序实施的操作；[0011]确定所述程序所实施操作的对象；[0012]获取所述终端中定向监控对象的配置信息，基于所述配置信息确定所述对象为所述定向监控对象；[0013]基于所述定向监控对象的配置信息，判断所述程序针对所述对象实施的所述操作是否为合法操作；[0014]若为合法操作则取消拦截所述操作，若为非法操作则继续拦截所述操作。[0015]第二方面，本发明实施例提供一种安全防护装置，包括:[0016]监控单元，用于检测终端中运行的程序，确定所述程序所实施操作的对象；[0017]拦截单元，用于拦截所述程序实施的操作；[0018]定向监控判断单元，用于获取所述终端中定向监控对象的配置信息，基于所述配置信息确定所述对象为所述定向监控对象；[0019] 处理单元，用于基于所述定向监控对象的配置信息，判断所述程序针对所述对象实施的所述操作是否为合法操作；[0020]所述拦截单元，还用于若为合法操作则取消拦截所述操作，若为非法操作则继续拦截所述操作。[0021]第三方面，本发明实施例提供一种安全防护装置，包括处理器和存储介质，存储介质中存储有可执行指令，用于引起处理器执行以下的操作:[0022]检测终端中运行的程序，拦截所述程序实施的操作；[0023]确定所述程序所实施操作的对象；[0024]获取所述终端中定向监控对象的配置信息，基于所述配置信息确定所述对象为所述定向监控对象；[0025]基于所述定向监控对象的配置信息，判断所述程序针对所述对象实施的所述操作是否为合法操作；[0026]若为合法操作则取消拦截所述操作，若为非法操作则继续拦截所述操作。[0027]本发明实施例具有以下有益效果:[0028]提供设置定向监控对象的方案，能够基于定向监控对象的配置信息对程序针对定向监控对象的操作进行有针对性地防护，实现针对定向监控对象的高于全局安全防护的效果，使得非定向监控对象与定向监控对象的安全防护能够通过配置信息容易地区分，同时，定向监控对象的安全防护可以通过相应的配置信息的灵活设定，实现了针对对象进行有针对性地安全防护的效果。附图说明[0029]图1-1是本发明实施例中安全防护装置的一个可选的功能结构示意图；[0030]图1-2是本发明实施例中安全防护方法的一个可选的流程示意图；[0031]图2是本发明实施例中安全防护方法的一个可选的流程示意图；[0032]图3是本发明实施例中安全防护装置的一个可选的软硬件结构示意图；[0033]图4-1是本发明实施例中安全防护方法的一个可选的流程示意图；[0034]图4-2至图4-4是本发明实施例中的定向监控对象设置界面；[0035]图4-5是本发明实施例中在内核空间监控用户空间的程序调用的可选的实现示意图；[0036]图4-6是本发明实施例基于终端的恶意程序特征库与程序的属性匹配的方式检测程序的流程示意图；[0037]图5是本发明实施例中安全防护方法的一个可选的流程示意图；[0038]图6是本发明实施例中安全防护方法的一个可选的流程示意图；[0039]图7-1是本发明实施例中恶意程序检测服务的一个可选的架构示意图；[0040]图7-2是本发明实施例中机器学习模型采用的BP神经网络的一个可选的架构示意图；[0041]图8-1是本发明实施例中提供的安全防护装置在终端侧部署的一个可选的功能结构示意图；[0042]图8-2是本发明实施例中提供的安全防护装置在终端侧和云端服务器部署的一个可选的功能结构示意图。具体实施方式[0043]以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所提供的实施例仅仅用以解释本发明，并不用于限定本发明。另外，以下所提供的实施例是用于实施本发明的部分实施例，而非提供实施本发明的全部实施例，在本领域技术人员不付出创造性劳动的前提下，对以下实施例的技术方案进行重组所得的实施例、以及基于对发明所实施的其他实施例均属于本发明的保护范围。[0044]需要说明的是，在本发明实施例中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的方法或者装置不仅包括所明确记载的要素，而且还包括没有明确列出的其他要素，或者是还包括为实施方法或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的方法或者装置中还存在另外的相关要素例如方法中的步骤或者装置中的单元。[0045]例如，本发明实施例提供的安全防护方法包含了一系列的步骤，但是本发明实施例提供的安全防护方法不限于所记载的步骤，同样地，本发明实施例提供的安全防护装置包括了一系列单元，但是本发明实施例提供的安全防护装置不限于包括所明确记载的单元，还可以包括为获取相关信息、或基于信息进行处理时所需要设置的单元。[0046]对本发明进行进一步详细说明之前，对本发明实施例中涉及的名词和术语进行说明，本发明实施例中涉及的名词和术语适用于如下的解释。[0047] I终端，用户侧使用的智能手机、平板电脑和车载终端等各种形式的计算设备。[0048] 2恶意程序，也称为计算机病毒，是编制者在终端智能手机、平板电脑、笔记本电脑、台式机电脑等各种计算设备的植入的破坏终端的功能或者数据的代码，影响终端的正常使用。[0049] 3多层前馈BP，BackPropagat1n神经网络，按误差逆传播算法训练的神经网络。[0050] 4KiFastCalIEntry，操作系统内核接口API，从应用层到内核所需要经过的入□O[°°5115硬件虚拟化技术，通过虚拟化指令集、内存映射单元MMU，MemoryMapUnit以及输入输出IO，InputOutput来运行不加修改的操作系统。[0052] 6对象，终端中各种形式的数据统称，从类型上说包括文本文件、媒体文件、程序、程序安装包和库文件等，从来源上说包括系统文件操作系统程序、库文件等、程序用于实现各种功能，如编辑、媒体和网络广告等和用户文件如用户保存的媒体文件。[0053] 7机器学习MachineLearning模型，本文中是指机器学习模型具有这样的性能，从程序的样本中自动分析获得能够对未知程序的各个维度的属性的权重进行预测。[0054]本发明实施例提供的安全防护装置的一个可选的功能结构示意图如图1-1所示，本发明实施例提供的安全防护方法的一个可选的流程示意图如图1-2所示。[0055]终端中的安全防护客户端包括监控单元、拦截单元、采集单元、本地检测单元和通信单元。结合图1-2，监控单元检测终端中程序的可疑操作，采集通过采集单元程序的相关属性数据，基于本地的恶意程序特征库进行检测，如果检测为恶意程序则以弹窗等方式提示用户操作处理，如拦截程序通过拦截单元[0056]如果程序可信则继续监控;对于本地检测没有准确结果的程序，可以确定为可信程序，或者将相关属性数据通过采集单元提交通过通信单元到云端服务器，由云端服务器计算各个维度的属性通过属性计算单元计算，基于恶意程序特征库通常，大于终端的恶意程序特征库，因此检测更加全面进行检测通过本地检测单元实现，如与恶意程序特征库中的特征匹配则确定为恶意程序提示用户处理，如未匹配则确定为可信程序并通知终端可以继续监控。[0057]基于图1-1和图1-2提供的安全防护方案，存在安全防护方式单一，以统一的方式对程序操作对象的行为进行监控，不能针对终端中不同的对象进行有针对性的安全防护。[0058]针对上述问题，本发明实施例提供一种安全防护方法，图2为本发明实施例提供的安全防护方法的一个可选的流程示意图，在图2中，检测终端中运行的程序，拦截程序实施的操作，并确定程序所实施操作的对象步骤101;获取终端中定向监控对象的配置信息，基于配置信息确定对象为定向监控对象步骤102;基于定向监控对象的配置信息，判断程序针对对象实施的操作是否为合法操作步骤103;若为合法操作则取消拦截操作，若为非法操作则继续拦截操作步骤104。[0059]可见，通过在终端的对象中提供设置定向监控对象的方案，能够基于定向监控对象的配置信息对程序针对定向监控对象的操作进行有针对性地防护，使得非定向监控对象与定向监控对象的安全防护能够通过配置信息容易地区分。[0060] 一方面，通过定向监控对象的配置信息进行安全防护，可以通过相应的配置信息进行灵活设定，实现了针对对象进行有针对性地安全防护的效果。[0061]另一方面，对于为非定向监控对象，提供通过将终端的恶意程序特征库与程序的属性匹配的方式，以及通过调用云端的恶意程序检测服务的方式中的至少一种检测程序是否为恶意程序，实现针对非定向监控对象的全局安全防护，与针对定向监控对象的有针对性的安全防护结合的效果，既满足了用户针对部分对象的个性化安全防护的需求，也能够保证终端中其他对象的安全。[0062]本发明实施例还提供用以执行上安全防护方法的安全防护装置，针对以下的两种情况:I在上述方法中当终端没有调用云端的恶意程序检测服务时，安全防护装置可以基于用户侧终端的硬件资源实现;2在上述方法中当终端调用云端的恶意程序检测服务时，安全防护装置可以基于用户侧终端、以及网络侧服务器的硬件资源实现。[0063] 可以理解地，硬件可以部署在用户侧终端，或者分布部署在用户侧终端和网络侧服务器，[0064]参见图3示出的安全防护装置10的一个可选的软硬件结构示意图，安全防护装置10包括硬件层、中间层、操作系统层和软件层。然而，本领域的技术人员应当理解，图3示出的安全防护装置10的结构仅为示例，并不构成对安全防护装置10结构的限定。例如，安全防护装置10可以根据实施需要设置较图3更多的组件，或者根据实施需要省略设置部分组件。[0065]安全防护装置10的硬件层包括处理器11、输入输出接口 13，存储介质14以及网络接口12，组件可以经系统总线连接通信。[0066] 处理器11可以米用中央处理器CPU、微处理器MCU，MicrocontrollerUnit、专用集成电路ASIC，Applicat1nSpecificIntegratedCircuit或逻辑可编程门阵列FPGA,Field—ProgrammableGateArray实现。[0067]输入输出接口 13可以采用如显示屏、触摸屏、扬声器等输入输出器件实现。[0068]存储介质14可以采用闪存、硬盘、光盘等非易失性存储介质实现，也可以采用双倍率DDR，DoubleDataRate动态缓存等易失性存储介质实现，其中存储有用以执行上述安全防护方法的可执行指令。[0069]示例性地，存储介质14可以与安全防护装置10的其他组件在同一位置如用户侧终端设置，也可以相对于安全防护装置10中的其他组件分布设置。网络接口12向处理器11提供外部数据如异地设置的存储介质14的访问能力，示例性地，网络接口12可以基于近场通信NFC，NearFieldCommunicat1n技术、蓝牙Bluetooth技术、紫蜂ZigBee技术进行的近距离通信，另外，还可以实现如基于码分多址CDMA，CodeDivis1nMultipleAccess、宽带码分多址WCDMA，WidebandCodeDivis1nMultipleAccess等通信制式及其演进制式的蜂窝通信，又例如，基于无线相容性认证WiFi方式经由接入无线接入点AP,AccessPoint接入网络侧的通信。[0070]驱动层包括用于供操作系统16识别硬件层并与硬件层各组件通信的中间件15，例如可以为针对硬件层的各组件的驱动程序的集合。[0071]操作系统16用于提供面向用户的图形界面，示例性地，包括插件图标、桌面背景和应用图标，操作系统16支持用户经由图形界面对设备的控制本发明实施例对上述设备的软件环境如操作系统类型、版本不做限定，例如可以是Linux操作系统、UNIX操作系统或其他操作系统。[0072]应用层包括用户侧终端运行的安全应用17，或者可以与终端中的安全软件耦合的模块或功能插件，其中设置有可执行指令，用以执行上述的安全防护方法。[0073]首先以安全防护应用方法在用户侧终端实施为例进行说明，图4-1为本发明实施例提供的安全防护方法应用在用户侧终端的一个可选的流程示意图，包括以下步骤:[0074]步骤201，终端运行安全防护软件。[0075]安全防护软件用于执行本发明实施例提供的安全防护功能，可替换地，本发明实施例可提供用于与安全防护软件耦合的功能模块也可视为功能插件，用于在安全防护软件已有功能例如，已有的恶意程序特征库的基础上实现安全防护方法。[0076]可以理解地，安全防护软件的运行方式可以包括如开机运行、定期运行和根据用户指令运行等。[0077]步骤202，终端接收定向监控对象的配置信息。[0078]所谓定向监控是指，对于设定的定向监控对象，基于配置信息配置的合法操作和或非法操作，以静默方式处理终端中任意程序针对定向监控对象的操作，例如允许操作或者拦截操作，实现避免对用户造成干扰的效果。[0079]在一个实施例中，终端根据用户的操作设定定向监控对象，并在配置信息中存储用户设定的定向监控对象的标识，定向监控对象包括不同的设定维度供用户选择。[0080]示例性地，可选的设定监控对象的维度包括对象来源，例如，终端提供如图4-2所示的定向监控对象设置界面，提供复选框支持用户从多个来源的对象中设定需要定向监控的来源，当然，还可以提供下拉框在每种来源的对象中选择需要定向监控的一个或多个对象进行定向监控。[0081]从来源的维度相应的对象可以划分为以下类别:[0082] I程序，如用户安装的社交应用、在线游戏应用和第三方支付应用，还包括用户使用程序的记录，包括登录第三方支付后台的用户名和密码、社交应用的聊天记录等。[0083]2系统数据，如终端中操作系统的各种程序和库文件等。[0084] 3用户数据，各种用户文件，如用户在终端中存储的文本文件、媒体文件如照片和视频和电子邮件等。[0085]示例性地，可选的设定监控对象的维度包括对象类型，例如，终端提供如图4-3所示的定向监控对象设置界面，提供复选框支持用户从类型的维度设定需要进行定向监控的对象的类型，当然，还可以提供下拉框在每个类型的对象中选择需要定向监控的一个或多个对象进行定向监控。[0086]从类型的维度，对象可以划分为以下类别:[0087] I文本文件;2媒体文件;3程序，包括终端操作系统自带的程序以及用户在终端中安装程序;4程序安装包;5程序运行所需的库文件。[0088]在另一个实施例中，定向监控对象的配置信息中除了包括定向监控对象的标识，可选地，还包括用户希望屏蔽程序针对定向监控对象的操作也就是非法操作，当然，可替换地，配置信息中还包括用户不希望屏蔽程序针对定向监控对象的操作也就是合法操作。[0089]例如，以对象为终端中用户的媒体文件为例，用户不希望程序能够进行读写操作以保证个人隐私安全，相应的配置信息可以采用如下的形式:媒体文件-非法操作-读写。[0090]再例如，以对象为终端中用户的安装的游戏程序为例，用户不希望游戏程序被执行注入操作，相应的配置信息可以采用如下的形式:游戏程序-非法操作-注入。[0091] 又例如，以对象为终端中用户的通讯录为例，用户仅希望通讯录能够被读取而不希望被恶意修改，相应的配置信息可以采用如下的形式:通讯录-注入-读取。[0092]需要指出地，对于用户来说，配置信息中的定向监控对象标识是必要信息，对应的合法操作和或非法操作是可选配置，特别地，当用户仅在配置信息中设定定向监控对象的标识时，终端采用与该定向监控对象的默认的合法操作和或非法操作。[0093]例如，用户在图4-2示出的定向监控对象设置界面中选中“照片”类别进行定向监控，但是没有设定相应的合法操作和或非法操作，则终端针对“照片”类别采用默认的非法操作“读写”，相应的配置信息可以表示为:照片-非法操作-读写。[0094]特别地，定向监控对象可以是处于前台运行的程序，终端提供如图4-4所示的定向监控对象的设置界面，如果用户选中“前台程序”选项，相当于始终将处于前台运行状态的程序作为定向监控对象，终端以这样的方式动态维护的配置信息:周期性检测处于前台运行状态的程序例如游戏，将前台运行程序的标识写入配置信息，例如采用如下的方式:前台运行程序标识-合法操作和或非法操作。[0095]可以理解地，在配置信息中前台运行程序的合法操作和或非法操作可以根据用户操作设定，或者，当用户未设定操作采用缺省设置的合法操作和或非法操作，例如，缺省设定可以为“非法操作-注入”。[0096]另外，在图4-4示出的定向监控对象的设置界面中，终端支持用户通过选定“前天程序”选项将终端中全部处于前台运行的程序设定为定向监控对象，当然，还支持通过下拉框支持对前台程序进行进一步的设定，例如，进行如下方式之一或组合设定前台运行程序:[0097] I设定一个或多个程序，以设定某一游戏程序为例，只有当该程序处于前台运行状态时，终端识别为定向监控对象并生成对应的配置信息；[0098] 2设定一个或多个程序的类型，如游戏类型程序和媒体类型程序媒体播放程序等，只有当用户设定的类型的程序处于前台运行状态时，终端识别为定向监控对象并生成对应的配置信息。[0099]步骤203，检测终端中运行的程序，拦截程序实施的可疑的操作，并确定程序所实施操作的对象。[0100]在一个实施例中，通过终端中监听系统调用的方式检测运行程序、及实施的操作打开文件，读注册表等和操作的对象要打开的文件及注册表路径等信息，并检测到程序实施的操作为可疑操作。[0101]可疑的操作是对对象安全威胁的一个操作，或者是一系列的操作构成的操作序列，可疑的操作根据非法操作而有所区别。[0102]例如，对于通过注册服务程序提高控制权限的非法操作，程序一般都会通过操作路径下的注册表来注册服务的方式提供控制权限，因此，对于提升控制权限的非法操作来说，程序操作注册表并注册服务的操作序列即为可疑操作。[0103] 终端运行X86系统时，通过在终端中运行基于钩子Hook的KiFastCallEntry程序，监听终端中其他任意程序的进程系统调用。[0104] 以X86系统的APIWriteFile的调用为例，说明如何切入到的NtffriteFile系统服务。程序的进程向一个文件使用fciteFileOAPI来写入数据时，WriteFileOAPI会切入到内核执行系统服务例程ServiceRoutine，如图4_5所示，对于fciteFileO函数的调用，生成对子系统动态库文件的ZwWriteFiIeO函数的调用，ZwWriteFiIeO函数从一个用户共享数据结构区域里得到KiFastSystemCallO的函数地址值，该函数是运行在用户层的最后一个函数，进入转入内核层的KiFastCallEntryO函数，实现用户层的程序调用转到KiFastCallEntryO函数并进行监控的目的。[0105]对于运行X64系统的终端来说，由于进程受到保护不能使用Hook机制，采用硬件虚拟化监控系统读MSR寄存器的方式对程序的进程进行监控。[0106]步骤204，判断程序操作的对象是否为定向监控对象，如果是，则执行步骤205;否贝IJ，执行步骤208。[0107]在一个实施例中，如前，终端中维护了针对用户设定的各个定向监控对象的配置信息，在配置信息中记录对象的标识、以及针对对象的操作如合法操作和或非法操作，因此，一旦程序所操作的对象的标识与定向监控对象的配置信息中配置的对象的标识匹配，则确定程序当前操作的对象为定向监控对象。[0108]例如，假设终端中的程序尝试对游戏程序进行注入操作，终端遍历配置信息检索到用户配置了针对该游戏程序的配置信息，则确定该游戏程序为定向监控对象。[0109]在另一个实施例中，如前所述，针对用户在图4-5中选中“前台程序”选项而将前台运行程序自动设置为定向监控对象的情况，配置终端将处于前台运行状态的程序识别为定向监控对象，终端实时维护针对前台运行程序的配置信息，在配置信息中针对定向监控对象的操作包括合法操作和或非法操作根据用户操作设定，或者采用缺省设定。当检测到终端中的程序针对对象实施操作时，若该对象为配置信息中配置的程序、且程序处于前台运行状态的程序，则确定对象为定向监控对象。[0110]例如，假设终端中的程序尝试对游戏程序进行注入操作，并且用户在图4-5中选中“前台程序”选项而将前台运行程序自动设置为定向监控对象，此时，终端遍历配置信息，检索到终端通过检测前台程序而自动生成的配置信息中配置了该游戏程序，说明该游戏当前处于前台运行状态，则确定该游戏程序为定向监控对象。[0111]步骤205，基于定向监控对象的配置信息，判断程序针对对象实施的操作是否为合法操作，如果是，则执行步骤206;否则执行步骤207。[0112]终端检索定向监控对象的配置信息，根据配置信息中配置合法操作或者非法操作的情况对应处理:[0113] I例如，判断定向监控对象的配置信息中预配置的非法操作是否包括程序针对对象实施的操作，如果是，则程序针对对象实施的操作为非法操作，否则为合法操作。[0114] 2再例如，判断定向监控对象的配置信息中预配置的非法操作是否包括程序针对对象实施的操作，如果是，则程序针对对象实施的操作为非法操作，否则为合法操作。[0115]步骤206，以静默方式取消拦截程序针对定向监控对象实施的操作。[0116]以静默方式允许程序针对定向监控对象实施的操作是指，允许程序为执行针对定向监控对象的操作而发起的针对相应应用程序接口如读写操作的应用程序接口的调用，并且，在用户层不发起提示操作，使用户不会感知到对监控对象的操作进行的安全防护操作。[ΟΙ17]例如，仍以前述的终端运行X86系统为例，内核层的KiFastCalIEntryO函数允许对于WriteFileO函数的调用，使得通过X86系统的APIWriteFile完成对文件的写入。[0118]步骤207，以静默方式继续拦截程序针对定向监控对象实施的操作。[0119]以静默方式拦截程序针对定向监控对象实施的操作是指，允许程序为执行针对定向监控对象的操作而发起的针对相应应用程序接口如读写操作的应用程序接口的调用，并且，在用户层不发起提示操作，使用户不会感知到对监控对象的操作进行的安全防护操作。[0120]例如，仍以前述的终端运行X86系统为例，内核层的KiFastCalIEntryO函数允许对于WriteFileO函数的调用，使得通过X86系统的APIWriteFile完成对文件的写入。[0121]步骤208，通过将终端的恶意程序特征库与程序的属性匹配的方式检测程序。[0122]在一个实施例中，终端中维护恶意程序特征库，其中存储有恶意程序的多个维度的属性，示例性地，属性包括以下维度:[0123] I程序的数字签名，具有唯一性，用于验证程序的安全性。[0124] 2程序信息，例如，程序的名称、版本和体积等信息。[0125] 3程序的消息摘要算法第五版MD5，用于验证程序的完整性。[ΟΙ26]4可执行PE,PortableExecute文件信息，例如PE文件的导入表。以终端运行Windows系统为例，包括恶意程序的DLL、EXE、0CX和SYS等类型的可执行文件的信息。[0127] 5其他属性，如程序包含的特定的字符串和函数等，程序是否加壳，程序运行的应用程序接口API，程序是否有劫持功能等。[0128]基于终端本地的恶意程序特征库检测程序时，例如，参见图4-6示出的基于终端的恶意程序特征库与程序的属性匹配的方式检测程序的流程示意图，将程序的多个维度的属性如程序的数字签名、程序的MD5、程序特征和其他属性顺序与恶意程序特征库中相应维度的属性匹配，至少一个维度的属性匹配成功即确定检测到的程序为恶意程序。[0129]通过恶意程序特征库匹配的方式检测恶意程序，一方面可以最大程度减小对终端存储空间的占用，另一方面，恶意程序特征库中的属性是恶意程序的辨识性显著的特征，因此一个维度的属性匹配成功即可确定为恶意程序，检测具有实时性，节约对终端计算资源的占用。[0130]另外，为了进一步基于恶意程序特征库检测恶意程序的效率，可以将终端的恶意程序特征库包括多个维度的属性，与从程序的相应维度的属性对应匹配，一个维度的属性匹配成功即可确定检测到的程序为恶意程序。[0131]步骤209，基于检测结果进行提示操作。[0132] 步骤210，根据用户操作处理恶意程序，或者，按照预定处理策略处理恶意程序。[0133]在一个实施例中，当检测恶意程序时，以弹窗或音频等形式提示检测的恶意程序，包括恶意程序的名称、位置和尝试进行的操作等，并提示针对恶意程序可以进行的操作如删除、隔离或者放行，如果用户在等待时间内未选择如何处理，则统一对恶意程序的操作进行部分拦截或全部拦截的处理方式，另外还可以采取将恶意程序隔离或删除的处理方式。[0134]以静默方式处理程序针对定向监控对象实施的操作，一方面，对定向监控对象的有针对性的防护，高于针对非定向监控对象的全局安全防护，满足了用户针对终端中不同对象有针对性地进行安全防护的个性化需求;另一方面，不会对用户造成干扰特别地，当检测程序所操作的对象是前台运行的程序时，不仅保证了前台运行程序的安全，而且不会干扰用户控制程序的正常运行，使得针对定向监控对象的防护具有智能化的特性。[0135]下面，再以安全防护应用方法在用户侧终端实施为例进行说明，如前所述，当程序操作的对象为非定向监控对象时，通过将终端的恶意程序特征库与程序的属性匹配的方式检测程序，在一个实施例中，可替换地，通过调用云端的恶意程序检测服务的方式检测程序，或者，结合采用上述两种方式检测恶意程序。[0136] 需要指出的是，下述虽然以恶意程序检测服务在云端的服务器运行为例进行说明，但是可以理解地，并不构成恶意程序检测服务的实施设备的限定，在终端侧的计算能力足够的情况下，恶意程序检测服务同样可以在终端侧运行。[0137]结合图5示出的本发明实施例提供的安全防护方法应用在用户侧终端的一个可选的处理示意图，对结合本地恶意程序特征库和云端的恶意程序检测服务的方式检测程序进行说明。[0138]终端接收用户指定的定向监控对象以及针对不同监控对象的监控指标也即前述的配置信息。[0139]终端开始监控，包括检测程序的操作以及操作的对象。当检测到程序的可疑行为，判断程序的实施的可疑行为的操作对象是否是定向监控对象，如果是，则基于相应的监控指标进行静默方式处理，如果是监控指标允许的操作则对程序的操作方向，如果是监控指标禁止的操作则拦截操作，操作的处理结果并不通知用户，并继续监控。[0140]如果可疑行为的操作对象不是定向监控对象，则收集程序的属性数据，先尝试将终端的恶意程序特征库与程序的各个维度的属性匹配的方式检测程序，例如将程序的多个维度的属性数据如程序的数字签名、程序MD5、PE文件信息、程序信息和其他属性顺序与恶意程序特征库中相应维度的属性顺序匹配或者并行匹配。[0141]示例性地，程序的多个维度的属性数据采用哈希Hash表的形式上传到云端服务器，在哈希表中可以直接根据属性的关键字和映射关系计算出不同属性在哈希表中的存储位置，实现高效的查找。[0142]当至少一个维度的属性匹配成功即确定检测到的程序为恶意程序，基于检测结果进行提示操作，根据用户操作处理恶意程序，或者，按照预定处理策略处理恶意程序。[0143]由于终端本地用于存储恶意程序特征库的存储空间有限，恶意程序特征库通常优先存储尚危级别的恶意程序的属性，或存储具有时效性的恶意程序例如，最近I月内新出现的恶意程序的属性，因此，当终端的恶意程序特征库与程序的属性匹配失败，也就是基于终端本地的恶意程序特征库检测程序没有结果时，为了保证检测恶意程序的精度，避免对终端中恶意程序的漏检，终端将程序的属性数据上传到云端服务器，调用云端服务器的恶意程序检测服务检测程序是否为恶意程序，如果调用恶意程序检测服务检测到为恶意程序则进行弹窗等方式的提示操作，根据用户操作处理恶意程序，如果没有检测为恶意程序，说明程序是可信的，继续检测终端中的程序实施的可疑行为。[0144]如上所述，通过本地恶意程序特征库以及云端检测服务结合的方式，具有这样的效果:[0145] —方面，为用户提供定向监控保护功能。基于终端本地的恶意程序特征库能够实现恶意程序的高效检测，提高了用户对于安全的特殊需求，例如在用户购物或者游戏时可以有效防止木马盗号、外挂等恶意程序的操作，同时避免对云端恶意程序检测服务的频繁调用，减轻云端的压力。[0146]另一方面，调用云端的恶意程序检测服务能够对恶意程序进行准确检测，兼顾了检测恶意程序的效率和精度。[0147]在另一个实施例中，针对云端具有足够的计算资源响应恶意程序检测服务的情况，图6为本发明实施例提供的安全防护方法应用在用户侧终端的一个可选的流程示意图，终端检测到程序操作的对象为非定向监控对象时，直接通过调用云端的恶意程序检测服务的方式检测程序是否为恶意程序。[0148]终端基于调用云端的恶意程序检测服务的检测结果进行提示操作，根据用户操作处理恶意程序，或者，当用户在等待时间内未相应提示操作时，按照预定处理策略处理恶意程序。[0149]例如，如果用户在等待时间内未选择如何处理，则统一对恶意程序的操作进行部分拦截或全部拦截的处理方式，另外还可以采取将恶意程序隔离或删除的处理方式。[0150] 继续对终端将程序的属性上传到云端服务器，通过调用云端的恶意程序检测服务检测程序的处理进行说明。[0151] 在一个实施例中，终端通过调用云端服务器提供的应用程序接口调用恶意程序检测服务，参见图7-1示出的恶意程序检测服务的一个可选的架构示意图，涉及程序的智能深度学习单元、属性分发单元、权重分发单元和检测单元几个功能单元，下面分别进行说明。[0152]终端将程序的不同维度的属性输入恶意程序检测服务，属性分发单元将待检测程序的各个维度的属性经由权重分发单元传输至权重分发单元。[0153]属性分发单元，用于将待检测程序的各个维度的属性传输到智能深度学习单元，供智能深度学习单元结合检测单元的检测结果构造训练权重分发单元维护的机器学习模型的样本，样本会随着检测过程的继续而不断丰富。当然，初始训练机器学习模型的样本还可以为已有的恶意程序特征库。[0154]属性分发单元还用于将待检测程序的各个维度的属性分发到检测单元，用于供检测单元中的各个计算单元基于各个属性进行分布式检测。[0155]智能深度学习单元基于先验的程序构造样本，利用构造的样本训练权重分发单元维护的机器学习模型。先验的程序可以是检测单元针对待检测程序的检测结果，还可以来自于已有的恶意程序特征库。[0156]对于训练机器学习模型的样本，样本采用程序类型-危险等级-属性这样的数据形式，示例性地，样本的类型包括:[0157] I先验的恶意程序对应的样本，如“恶意程序-危险等级-MD5-PE文件信息-操作行为-程序信息”这样的数据形式。[0158] 2先验的可信程序非恶意程序对应的样本，如“可信程序-MD5-PE文件信息-操作行为-程序信息”这样的数据形式。[0159]权重分发单元维护有权重分配机器学习模型，权重分发单元具有对待检测程序各个维度的属性分配权重的性能，权重用于表征相应维度的属性恶意程序的关联程度，属性的权重越高则说明与恶意程序的关联程度越高。权重分发单元将程序的多个维度的属性输入权重分配机器学习模型，经由权重分配机器学习模型输出各个维度的属性的权重，将待检测程序的属性连同权重输出到检测单元。[0160]权重机器学习模型为一系列的基分类器组成，基分类器基于自身的融合系数而组合形成完整的机器学习模型，每个基分类器用于输出属性权重的一个预测结果，综合各个分类器的预测结果形成属性的最终的属性权重。[0161] 示例性地，基分类器采用决策树分类器如使用分类回归树CART，ClaSSificati0nAndRegress1nTree算法的分类函数，神经网络和支持向量机SVM，SupportVectorMachines等。[0162]以基分类器使用BP神经网络为例，参见图7-2示出的多层前馈神经网络的一个可选的结构示意图，即反传误差反向传播算法的学习过程，由信息的正向传播和误差的反向传播两个过程组成。[0163]输入层各神经元负责接收样本，并传递给中间层各神经元；中间层是内部信息处理层，负责信息变换也就是从样本的属性变换为属性权重，根据信息变换能力的需求，中间层可以设计为单层或者多层结构；[0164]隐层传递到输出层各神经元的属性权重，通过对各神经元输出的属性权重的综合，完成一次学习的正向传播处理过程，由输出层向外界输出。[0165]机器学习模型通过训练学习到先验恶意程序的属性在不同维度的分布，比如在对于每个维度的属性，恶意程序具有相应维度属性的数量，数量表征了该维度的属性与恶意程序的关联程度，因而与该属性的权重正相关。当实际输出的属性权重与样本实际的属性权重不符时而具有误差时，进入误差的反向传播阶段，误差通过输出层，按误差梯度下降的方式修正中间层各神经元的权值，向中间层逐层反传。[0166]周而复始的信息正向传播和误差反向传播过程，是中间层神经元的权值不断调整的过程，也是BP神经网络学习训练的过程，此过程一直进行到网络输出的误差减少到可以接受的程度，或者达到预先设定的学习次数为止。[0167]检测单元具有基于待检测程序的各个维度的属性以及相应维度的属性对应的属性权重检测程序的性能，包括检测程序是否为恶意程序、以及属于恶意程序时相应的危险等级。[0168] 示例性地，检测单元包括以下几个计算单元:计算加权MD5单元，计算加权PE单元，计算加权行为单元和计算加权文件信息单元。[0169]首先，各计算单元存储属性权重单元在输入的权重属性中查找对应MD5、PE文件信息、操作行为和文件信息各维度的属性权重并存储。[0170]然后，各计算单元将先验恶意程序的相应维度的属性与属性分发单元输入的程序的属性进行匹配，如果匹配成功则向判决单元输出相应计算单元存储的属性权重。[0171]以计算加权MD5单元为例，首先接收在权重分发单元输出的属性权重中查找针对待检测程序的MD5的属性权重并存储，在属性分发单元输出的属性中查找程序的MD5，与先验恶意程序的MD5匹配，如果匹配成功则向判决单元输出存储的属性权重。[0172]再以计算加权PE单元为例，首先接收在权重分发单元输出的属性权重中查找针对待检测程序的PE属性权重并存储，在属性分发单元输出的属性中查找待检测程序的PE文件信息，与先验恶意程序的MD5匹配，如果匹配成功则向判决单元输出存储的属性权重。[0173]计算加权行为单元和计算加权文件信息单元可以参考计算加权MD5单元的处理而对应实施。[0174]最后，判决单元将各计算单元输出的属性权重进行线性加和，加和的取值与程序是恶意程序的概率正相关，当加和超出加和先验值加和阈值时即判定程序为恶意程序，示例性地，基于加和超出加和先验值的数值以及不同数值与危险程度对应关系评定待检测程序的危险程度。[0175]另外，检测单元针对待检测程序的检测结果，包括是否恶意程序以及为恶意程序时的危险等级等信息，反馈给智能深度学习单元以构造新的样本训练属性权重模型，样本得以不断丰富，提升针对后续的待检测程序分发属性权重的精度。[0176]上述的终端调用云端的恶意程序检测服务，具有这样的效果:[0177]第一，将待检测的程序具有的多个属性，在每个计算单元中以属性权重确定相应具有相应属性的程序是恶意程序的进行分布式的检测，检测速度高效；同时综合所有计算单元的判决结果进行综合判决，避免基于单个维度的属性进行判决导致的误报率高的问题。[0178]第二，云端基于终端不断上传的程序的属性进行检测，而检测结果可以供检测单元构造新的样本训练属性权重模型，这种自学习的方式，可以使机器学习模型输出的属性权重进行不断修正以提升精度，进而增强检测单元检测恶意程序的检测精度，可以有效的检测木马病毒等恶意程序通过改变自身属性而隐藏自身的行为。[0179]第三、与基于恶意程序特征库的检测方式不同，本质上是利用分布式的计算单元基于预先分配的属性权重进行检测，对待检测程序进行检测时，只需要完成属性的分发、在每个计算单元中进行并行的检测以及综合检测结果进行综合判决，由于不依赖恶意程序特征库，特别是与基于量级大的恶意程序特征库的检测方式相比，显著缩短计算时间，保证检测实时性。[0180]对前述安全监控装置的功能结构进行说明，参见图8-1示出的安全防护装置20的一个可选的功能结构示意图，以安全防护装置的各单元部署在终端为例，安全防护装置包括:监控单元21、采集单元22、定向监控判断单元23、本地处理单元24、恶意程序检测服务单元25、拦截单元26和通信单元27，对各单元进行说明。[0181]监控单元21，用于检测终端中运行的程序。[0182]采集单元22，用于采集检测到程序实施的可疑的操作、以及程序所实施操作的对象。[0183]定向监控判断单元23，用于获取终端中定向监控对象的配置信息，基于配置信息确定对象为定向监控对象。[0184]若程序所操作的对象与定向监控对象的配置信息中配置的对象匹配，则确定对象为定向监控对象;特别地，若程序所操作的对象为配置信息中配置的程序、且程序处于前台运行状态的程序，则确定对象为定向监控对象。[0185] 本地处理单元24，用于确定对象为非定向监控对象时，通过将终端的恶意程序特征库与程序的属性匹配的方式检测程序，基于检测结果进行提示操作。[0186]例如，将终端的恶意程序特征库包括的属性与程序的属性匹配，将终端的恶意程序特征库包括的至少两个维度的属性，与从程序的相应维度的属性对应匹配，至少一个维度的属性匹配成功时确定程序为恶意程序;未匹配时，调用云端的恶意程序检测服务单元25检测程序。[0187] 恶意程序检测服务单元25，用于通过运行恶意程序检测服务的方式检测程序，基于检测结果进行提示操作，恶意程序检测服务单元25的结构可通过图7-1而理解。[0188]首先，将程序的不同维度的属性布输入用于权重分配的机器学习模型，基于先验恶意程序的属性在不同维度的分布为程序相应维度的属性分配权重。[0189]然后，将不同维度的属性与先验恶意程序的属性进行并行匹配，基于匹配成功的属性对应的权重判决待检测的程序是否为恶意程序，例如，判断匹配成功的属性对应的权重的加和是否大于加和阈值时确定待检测的程序为恶意程序，如果是则为恶意程序，并基于加和超出加和阈值的数值确定相应的危险等级;否则为可信程序。[0190]另外，还涉及训练机器学习模型的训练集的更新，恶意程序检测服务单元25，基于程序的检测结果构建的样本更新机器学习模型的训练集，基于训练集训练机器学习模型中的多层前馈神经网络，并基于多层前馈神经网络的误差进行修正。[0191]拦截单元26，用于拦截程序执行的操作，若待检测的操作为合法操作则以静默方式取消拦截放行操作，若待检测的操作为非法操作则以静默方式继续拦截操作。[0192] 通信单元27，用于实现与云端服务器的通信。[0193]可以理解地，安全防护装置中的各单元均可在终端侧实施，或者，图8-1中示出的各单元可以分布在终端和云端的服务器实施。[0194]另外，安全防护装置中的各单元可以分布实施在终端和云端服务器，参见图8-2示出的安全防护装置的一个可选架构示意图，恶意程序检测服务单元25部署在云端的服务器，在终端基于本地的恶意程序特征库未检测出结果时，基于采集单元22采集的待检测程序的属性数据检测程序。[0195]综上所述，本发明实施例具有以下有益效果:[0196] I通过定向监控对象的配置信息进行安全防护，可以通过相应的配置信息进行灵活设定，实现了针对对象进行有针对性地安全防护的效果。[0197] 2实现针对非定向监控对象的全局安全防护，与针对定向监控对象的有针对性的安全防护结合的效果，既满足了用户针对部分对象的个性化安全防护的需求，也能够保证终端中其他对象的安全。[0198] 3将待检测的程序具有的多个属性，在每个计算单元中以属性权重确定相应具有相应属性的程序是恶意程序的进行分布式的检测，检测速度高效；同时综合所有计算单元的判决结果进行综合判决，避免基于单个维度的属性进行判决导致的误报率高的问题。[0199] 4云端基于终端不断上传的程序的属性进行检测，而检测结果可以供检测单元构造新的样本训练属性权重模型，这种自学习的方式，可以使机器学习模型输出的属性权重进行不断修正以提升精度，进而增强检测单元检测恶意程序的检测精度，可以有效的检测木马病毒等恶意程序通过改变自身属性而隐藏自身的行为。[0200] 5恶意程序检测服务本质上是利用分布式的计算单元基于预先分配的属性权重进行检测，对待检测程序进行检测时，只需要完成属性的分发、在每个计算单元中进行并行的检测以及综合检测结果进行综合判决，避免了对恶意程序特征库的依赖，特别是与基于量级大的恶意程序特征库的检测方式相比，显著缩短计算时间，保证检测实时性。[0201]本领域的技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储装置、随机存取存储器RAM,RandomAccessMemory、只读存储器R0M，Read_0nlyMemory、磁碟或者光盘等各种可以存储程序代码的介质。[0202]或者，本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机装置可以是个人计算机、服务器、或者网络装置等执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储装置、RAM、R0M、磁碟或者光盘等各种可以存储程序代码的介质。[0203]以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

权利要求：1.一种安全防护方法，其特征在于，包括:检测终端中运行的程序，拦截所述程序实施的操作；确定所述程序所实施操作的对象；获取所述终端中定向监控对象的配置信息，基于所述配置信息确定所述对象为所述定向监控对象；基于所述定向监控对象的配置信息，判断所述程序针对所述对象实施的所述操作是否为合法操作；若为合法操作则取消拦截所述操作，若为非法操作则继续拦截所述操作。2.如权利要求1所述的方法，其特征在于，所述基于所述配置信息确定所述对象为所述定向监控对象，包括:若所述程序所操作的对象与所述定向监控对象的配置信息中配置的对象匹配，则确定所述对象为所述定向监控对象。3.如权利要求2所述的方法，其特征在于，所述若所述程序所操作的对象与所述定向监控对象的配置信息中配置的对象匹配，则确定所述对象为所述定向监控对象，包括:若所述程序所操作的对象为所述配置信息中配置的程序、且所述程序处于前台运行状态，则确定所述对象为定向监控对象。4.如权利要求1所述的方法，其特征在于，所述基于所述定向监控对象的配置信息，判断所述程序针对所述对象实施的所述操作是否为合法操作，包括:判断所述定向监控对象的配置信息中预配置的非法操作是否包括所述程序针对所述对象实施的所述操作，如果是，则判定所述程序针对所述对象实施的所述操作为非法操作，否则为合法操作。5.如权利要求1所述的方法，其特征在于，还包括:确定所述对象为非定向监控对象时，通过将所述终端的恶意程序特征库与所述程序的属性匹配的方式检测所述程序，和或，通过运行恶意程序检测服务的方式检测所述程序；基于检测结果进行提示操作。6.如权利要求5所述的方法，其特征在于，所述通过将所述终端的恶意程序特征库与所述程序的属性匹配的方式检测所述程序和通过运行恶意程序检测服务的方式检测所述程序，包括:将所述终端的恶意程序特征库包括的属性与所述程序的属性匹配，未匹配时，通过调用云端的所述恶意程序检测服务的方式检测所述程序。7.如权利要求5所述的方法，其特征在于，所述通过将所述终端的恶意程序特征库与所述程序的属性匹配的方式检测所述程序，包括:将所述终端的恶意程序特征库包括的至少两个维度的属性，与所述程序的相应维度的属性对应匹配，至少一个维度的属性匹配成功时确定所述程序为恶意程序。8.如权利要求5所述的方法，其特征在于，所述通过运行恶意程序检测服务的方式检测所述程序，包括:确定所述程序的不同维度的属性对应的权重，将所述不同维度的属性与先验恶意程序的属性进行并行匹配，基于匹配成功的属性对应的权重判决待检测的所述程序是否为恶意程序。9.如权利要求8所述的方法，其特征在于，所述基于匹配成功的属性对应的权重判决待检测的所述程序是否为恶意程序，包括:判断所述匹配成功的属性对应的权重的加和是否大于加和阈值，如果是判定待检测的所述程序为恶意程序，并基于所述加和超出所述加和阈值的数值确定相应的危险等级；否则判定待检测的所述程序为可信程序。10.如权利要求8所述的方法，其特征在于，所述确定所述程序的不同维度的属性对应的权重，包括:将所述程序的不同维度的属性布输入用于权重分配的机器学习模型，基于先验恶意程序的属性在不同维度的分布为所述程序相应维度的属性分配权重。11.如权利要求10所述的方法，其特征在于，还包括:基于所述程序的检测结果构建的样本更新所述机器学习模型的训练集，基于所述训练集训练所述机器学习模型中的多层前馈神经网络，并基于所述多层前馈神经网络的误差进行修正。12.一种安全防护装置，其特征在于，包括:监控单元，用于检测终端中运行的程序，确定所述程序所实施操作的对象；拦截单元，用于拦截所述程序实施的操作；定向监控判断单元，用于获取所述终端中定向监控对象的配置信息，基于所述配置信息确定所述对象为所述定向监控对象；处理单元，用于基于所述定向监控对象的配置信息，判断所述程序针对所述对象实施的所述操作是否为合法操作；所述拦截单元，还用于若为合法操作则取消拦截所述操作，若为非法操作则继续拦截所述操作。13.如权利要求12所述的装置，其特征在于，所述定向监控判断单元，用于若所述程序所操作的对象与所述定向监控对象的配置信息中配置的对象匹配，则确定所述对象为定向监控对象。14.如权利要求13所述的装置，其特征在于，所述定向监控判断单元，还用于若所述程序所操作的对象为所述配置信息中配置的程序、且所述程序处于前台运行状态，则确定所述对象为定向监控对象。15.如权利要求12所述的装置，其特征在于，所述处理单元，还用于判断所述定向监控对象的配置信息中预配置的非法操作是否包括所述程序针对所述对象实施的所述操作，如果是，则判定所述程序针对所述对象实施的所述操作为非法操作，否则为合法操作。16.如权利要求12所述的装置，其特征在于，所述处理单元，还用于确定所述对象为非定向监控对象时，通过将所述终端的恶意程序特征库与所述程序的属性匹配的方式检测所述程序;和或，通过运行恶意程序检测服务的方式检测所述程序，基于检测结果进行提示操作。17.如权利要求16所述的装置，其特征在于，所述处理单元，还用于将所述终端的恶意程序特征库包括的属性与所述程序的属性匹配，未匹配时，通过调用云端的所述恶意程序检测服务的方式检测所述程序。18.如权利要求16所述的装置，其特征在于，所述处理单元，还用于将所述终端的恶意程序特征库包括的至少两个维度的属性，与从所述程序的相应维度的属性对应匹配，至少一个维度的属性匹配成功时确定所述程序为恶意程序。19.如权利要求16所述的装置，其特征在于，所述处理单元，还用于确定所述程序的不同维度的属性对应的权重，将所述不同维度的属性与先验恶意程序的属性进行并行匹配，基于匹配成功的属性对应的权重判决待检测的所述程序是否为恶意程序。20.如权利要求19所述的装置，其特征在于，所述处理单元，还用于判断所述匹配成功的属性对应的权重的加和是否大于加和阈值，如果是判定待检测的所述程序为恶意程序，并基于所述加和超出所述加和阈值的数值确定相应的危险等级;否则判定待检测的所述程序为可信程序。21.如权利要求19所述的装置，其特征在于，所述处理单元，还用于将所述程序的不同维度的属性布输入用于权重分配的机器学习模型，基于先验恶意程序的属性在不同维度的分布为所述程序相应维度的属性分配权重。22.如权利要求21所述的装置，其特征在于，所述处理单元，还用于基于所述程序的检测结果构建的样本更新所述机器学习模型的训练集，基于所述训练集训练所述机器学习模型中的神经网络，并基于所述神经网络的误差进行修正。

百度查询： 腾讯科技(深圳)有限公司 安全防护方法及安全防护装置

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD