本發明提供了一種操作行為的攔截方法及裝置、存儲介質、電子裝置，其中，該方法包括：根據職責范圍為行為主體分配操作權限，其中，所述行為主體包括以下至少之一：程序、設備、用戶；根據內存序列監測所述行為主體是否被惡意控制，并在所述操作權限內發起操作行為；在監測到所述行為主體在被惡意控制狀態下在所述操作權限內發起所述操作行為時，攔截所述操作行為。通過本發明，防止或減少系統被惡意控制的風險和造成的損失，解決了相關技術中設備安全性弱的技術問題。

技術領域

本發明涉及信息網絡安全領域，具體而言，涉及一種操作行為的攔截方法及裝置、存儲介質、電子裝置。

背景技術

相關技術中的安全防護方式，都是通過黑白名單或行為特征來攔截惡意操作。安全公司收集整理程序白名單，將確認為正常的程序特征建成白名單庫，白名單中的程序被認為是可信的程序。同時收集各正規公司的有效數字簽名，建立數字簽名庫，對具備正規公司簽名的程序按可信程序處理。比如：操作系統本身的服務及程序因為具備微軟公司的簽名而天然被安全公司信任。

在白名單中的、或具有正規公司簽名的可信程序，其“所有的行為”都將擁有不被安全軟件攔截監控的權力，擁有最高權限。

相關技術在檢測惡意操作時，檢測的主體之一是靜態文件。比如：當在一臺裝有安全系統的電腦中執行一個程序時，安全系統會檢測被執行的程序文件，是否是合法的。如果是，則放行；否，則攔截。檢測的主體之二是風險行為，包括：執行程序、創建打開及讀寫文件、加載驅動或動態庫、上傳下載等等。如果程序的行為并不具備危險性，則會被放過；如果程序的行為屬于風險行為，則檢測行為發生的主體，是否是合法的。實質上，第二種檢測主體一旦匹配，又會回到上面所說的“靜態文件”第一檢測主體的檢測流程。

檢測的方法之一是：黑特征匹配。即，事前將惡意程序的特征提取，并存放在庫中，再拿被檢測程序的特征與庫中的惡意特征作匹配，匹配成功則被認為是惡意程序，將被查殺；反之，則放行。檢測的方法之二是：白特征匹配。即，事前將被保護機器中允許被執行的程序提取特征入庫，再拿被檢測的程序特征與庫中的程序特征作匹配，匹配成功的被認為是正常程序，放行；匹配不成功的，將被攔截。

相關技術中的安全檢測主體及檢測方法存在以下缺陷：黑特征匹配需要事前曾經有收集到這種惡意程序的特征，才有可能入庫，并提供檢測依據。因此，對未知的、尚未收集到的惡意程序；或者本身就是可信的程序，只是被惡意利用時，都沒有效果。此種檢測是基于靜態文件的，當一個可信程序被惡意控制后，變化的只是內存中的動態數據，對被控制的可信程序的靜態文件，不會產生任何的改變與影響，也就不會被當前的安全技術手段所檢測到。所以，無論是黑匹配還是白匹配，一旦可信的程序被控制作惡，都是當前安全技術無法解決的問題。

針對相關技術中存在的上述問題，目前尚未發現有效的解決方案。

發明內容

本發明實施例提供了一種操作行為的攔截方法及裝置、存儲介質、電子裝置。

根據本發明的一個實施例，提供了一種操作行為的攔截方法，包括：根據職責范圍為行為主體分配操作權限，其中，所述行為主體包括以下至少之一：程序、設備、用戶；根據內存序列監測所述行為主體是否被惡意控制，并在所述操作權限內發起操作行為；在監測到所述行為主體在被惡意控制狀態下在所述操作權限內發起所述操作行為時，攔截所述操作行為。

可選的，根據職責范圍為行為主體分配操作權限包括：設置行為主體的第一操作權限，其中，所述第一操作權限是保證目標設備正常工作的基本權限；根據所述行為主體的職責范圍為所述行為主體分配第二操作權限。