技術領域

本發明涉及計算機安全技術領域，特別涉及一種安全性檢測方法與裝置。

背景技術

隨著科技的發展，計算機的實時防護技術是保證計算機安全運行的必要保障。

現有的實時防護技術中，通過對如驅動加載，修改系統注冊表關鍵項或者注入等之類的系統的敏感操作進行監控，當捕獲到系統的敏感操作時，采集該敏感操作的發起進程以及該發起進程的相關信息。例如敏感操作的發起進程exe的相關信息可以包括該發起進程的md5、數字簽名和文件廠商信息中的至少一個。然后根據該發起進程的相關信息對發起進程進行安全性檢測，以確定是否放行該敏感操作。其中根據該發起進程的相關信息對發起進程進行安全性檢測，也可以理解為根據該發起進程的相關信息判斷發起進程的黑白屬性，當發起進程為白屬性時，該發起進程為安全的，此時對應的可以放行該敏感操作。當發起進程為黑屬性時，該發起進程是危險的（即不安全的），此時對應的可以禁止放行該敏感操作。

在實現本發明的過程中，發明人發現現有技術至少存在以下問題：上述的現有實時防護技術，僅對敏感操作的發起進程進行安全性驗證，而實際應用中，一個發起進程可以包含有多個模塊，當該發起進程為安全（即白屬性）進程，而該發起進程中的多個模塊中包括有危險（即黑屬性）的模塊，且該危險模塊通過注入，dll劫持進入到屬于安全的該發起進程并發起敏感操作，根據現有的上述實時防護技術，由于該發起進程為安全的，直接放行該敏感操作，而實際的發起者是黑屬性的模塊劫持該發起進程發起的，從而嚴重影響了系統的安全性與穩定性。因此現有的實時防護技術中的安全性檢測粒度過粗，造成計算機系統的安全性與穩定性較差。

發明內容

為了解決現有技術的問題，本發明實施例提供了一種安全性檢測方法與裝置。所述技術方案如下：

一方面，提供了一種安全性檢測方法，所述方法包括：

確定發起敏感操作的進程中的發起模塊；

采集所述發起模塊的身份信息；

根據采集的信息和預設的數據庫對發起所述敏感操作的安全性進行檢測。

可選地，如上所述的安全性檢測方法中，所述根據采集的信息和預設的數據庫對發起所述敏感操作的安全性進行檢測之后，還包括：

根據安全性檢測的結果，確定是否放行所述敏感操作。

可選地，如上所述的安全性檢測方法中，所述確定發起敏感操作的進程中的發起模塊，包括：

通過棧回溯的定位方法確定發起所述敏感操作的進程中的所述發起模塊；

或者通過線程起始地址查詢的定位方法確定發起所述敏感操作的進程中的所述發起模塊。

可選地，如上所述的安全性檢測方法中，所述根據采集的信息和預設的數據庫對發起所述敏感操作的安全性進行檢測之前，還包括：

采集所述敏感操作的參數信息。

可選地，如上所述的安全性檢測方法中，所述根據采集的信息對發起所述敏感操作的安全性進行檢測，包括：

根據所述發起模塊的身份信息、所述敏感操作的參數信息和所述預設的數據庫對發起所述敏感操作的安全性進行檢測。

可選地，如上所述的安全性檢測方法中，根據所述發起模塊的身份信息、所述敏感操作的參數信息和所述預設的數據庫對發起所述敏感操作的安全性進行檢測，包括：

根據所述發起模塊的身份信息和所述預設的數據庫檢測所述發起模塊的黑白屬性；

根據所述敏感操作的參數信息和所述預設的數據庫檢測所述敏感操作的黑白屬性；

根據所述發起模塊的黑白屬性和所述敏感操作的黑白屬性對發起所述敏感操作的安全性進行檢測。

可選地，如上所述的安全性檢測方法中，根據所述發起模塊的黑白屬性和所述敏感操作的黑白屬性對發起所述敏感操作的安全性進行檢測，包括：

當所述發起模塊和所述敏感操作均為白屬性時，確定發起所述敏感操作是安全的；

否則當所述發起模塊和/或所述敏感操作為黑屬性時，確定發起所述敏感操作是危險的。

可選地，如上所述的安全性檢測方法中，所述發起模塊的身份信息包括數字簽名信息、文件廠商信息和文件描述信息中的至少一個。

另一方面，提供了一種安全性檢測裝置，所述裝置包括：

確定單元，用于確定發起敏感操作的進程中的發起模塊；

采集單元，用于采集所述發起模塊的身份信息；

檢測單元，用于根據采集的信息和預設的數據庫對發起所述敏感操作的安全性進行檢測。

可選地，如上所述的安全性檢測裝置中，所述裝置還包括：