本發(fā)明涉及計算機技術領域，特別涉及一種文件防護方法、安全系統(tǒng)客戶端及文件防護系統(tǒng)。

背景技術：

隨著網(wǎng)絡技術的發(fā)展，各個網(wǎng)絡應用層出不窮，網(wǎng)絡應用過程中存在各種安全風險，如何保證網(wǎng)絡服務器的安全引起了大家越來越多的關注。

目前，通常采用為每一個用戶分配相應的用戶權限，根據(jù)接收到的當前用戶信息，確定當前用戶對應的用戶權限。根據(jù)確定的用戶權限，當前用戶可以對相應的文件進行添加、修改和刪除等操作。但是一旦攻擊者獲取相應的用戶權限，就可以根據(jù)獲取的用戶權限上傳木馬、修改、破壞文件中的關鍵文件，因此，文件防護安全性較低。

技術實現(xiàn)要素：

本發(fā)明實施例提供了一種文件防護方法、安全系統(tǒng)客戶端及文件防護系統(tǒng)，以便于提高文件防護的安全性。

第一方面，本發(fā)明實施例提供了一種文件防護方法，該方法可以包括：

確定至少一個文件類別，為每一個所述文件類別分配至少一個權限；

接收外部發(fā)送的目標文件的訪問請求；

確定所述目標文件對應的文件類別，根據(jù)所述目標文件對應的文件類別，為所述目標文件確定至少一個目標權限；

判斷所述訪問請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理。

優(yōu)選地，

所述文件類別，包括：可執(zhí)行文件、庫文件、進程文件、啟動程序文件、啟動過程文件、運行狀態(tài)文件、裸磁盤文件、系統(tǒng)認證過程文件、存儲設備文件、文件系統(tǒng)文件和系統(tǒng)賬號文件中的任意一種或多種；

所述權限，包括：只讀權限和執(zhí)行權限中一種或兩種；

所述為每一個所述文件類別分配至少一個權限，包括：

分別為所述可執(zhí)行文件、所述庫文件、所述進程文件、所述啟動過程文件、所述運行狀態(tài)文件、所述裸磁盤文件和所述系統(tǒng)認證過程文件，分配只讀權限和執(zhí)行權限；

分別為所述啟動程序文件、所述存儲設備文件、所述文件系統(tǒng)文件和所述系統(tǒng)賬號文件，分配只讀權限。

優(yōu)選地，

所述訪問請求中包括：只讀請求、執(zhí)行請求、編輯請求、增加請求和刪除請求中的任意一種或多種。

優(yōu)選地，

所述對所述訪問請求對應的目標文件作防護處理，包括：

發(fā)送警告信息給外部的安全系統(tǒng)控制端，其中所述警告信息包括，目標文件名稱和目標文件的文件類別；

當接收到所述外部的安全系統(tǒng)控制端發(fā)送的所述目標文件的文件類別對應的攔截指令時，攔截所述目標文件名稱對應的目標文件。

第二方面，本發(fā)明實施例提供了一種安全系統(tǒng)客戶端，該安全系統(tǒng)客戶端，包括：

權限確定單元，用于確定至少一個文件類別，為每一個文件類別分配至少一個權限；

接收單元，用于接收外部發(fā)送的目標文件的訪問請求；

防護處理單元，用于根據(jù)所述權限確定單元為每一個文件類別分配的至少一個權限，確定所述接收單元發(fā)送的目標文件對應的文件類別，根據(jù)所述目標文件對應的文件類別，為所述目標文件確定至少一個目標權限；判斷所述訪問請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理。

優(yōu)選地，

所述文件類別包括：可執(zhí)行文件、庫文件、進程文件、啟動程序文件、啟動過程文件、運行狀態(tài)文件、裸磁盤文件、系統(tǒng)認證過程文件、存儲設備文件、文件系統(tǒng)文件和系統(tǒng)賬號文件中的任意一種或多種；

所述權限包括：只讀權限和執(zhí)行權限中一種或兩種；

所述權限確定單元，用于分別為所述可執(zhí)行文件、所述庫文件、所述進程文件、所述啟動過程文件、所述運行狀態(tài)文件、所述裸磁盤文件和所述系統(tǒng)認證過程文件，分配只讀權限和執(zhí)行權限；分別為所述啟動程序文件、所述存儲設備文件、所述文件系統(tǒng)文件和所述系統(tǒng)賬號文件，分配只讀權限。

優(yōu)選地，

所述防護處理單元，進一步包括：發(fā)送子單元和攔截子單元；

所述發(fā)送子單元，用于發(fā)送警告信息給外部的安全系統(tǒng)控制端，其中所述警告信息包括，目標文件名稱和目標文件的文件類別；

所述攔截子單元，用于當接收到所述外部的安全系統(tǒng)控制端發(fā)送的所述目標文件的文件類別對應的攔截指令時，攔截所述目標文件名稱對應的目標文件。

第三方面，本發(fā)明實施例提供了一種文件防護系統(tǒng)，該文件防護系統(tǒng)包括：

第二方面任一所述的安全系統(tǒng)客戶端和安全系統(tǒng)控制端，其中，

所述安全系統(tǒng)控制端，用于發(fā)送訪問請求給所述安全系統(tǒng)客戶端。

優(yōu)選地，

所述安全系統(tǒng)控制端，進一步用于接收所述安全系統(tǒng)客戶端發(fā)送的警告信息，并根據(jù)所述警告信息生成攔截指令，并將所述攔截指令發(fā)送至所述服務端。

優(yōu)選地，

所述安全系統(tǒng)客戶端安裝于服務端；

優(yōu)選地，

所述安全系統(tǒng)控制端安裝于用戶客戶端。

可見，本發(fā)明實施例提供了一種文件防護方法、安全系統(tǒng)客戶端及文件防護系統(tǒng)，該文件防護方法通過確定至少一個文件類別，并為每一個所述文件類別分配至少一個權限，接收外部發(fā)送的目標文件的訪問請求；確定所述目標文件對應的文件類別，根據(jù)所述目標文件對應的文件類別，為所述目標文件確定至少一個目標權限；判斷所述訪問請求是否滿足任意所述目標權限，如果否，則對所述訪問文件指令對應的文件進行防護處理。本方案中是為確定的每一個文件類別分配對應的權限，當目標文件的訪問請求中的對應的請求不滿足目標文件對應分配的權限時，對訪問請求對應的目標文件進行防護處理，只有當目標文件的訪問請求中的對應的請求滿足目標文件對應的分配的權限時，才允許訪問目標文件，因此本方案可以提高文件防護的安全性。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案，下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實施例，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本發(fā)明一個實施例提供的一種文件防護方法的流程圖；

圖2是本發(fā)明一個實施例提供的一種安全系統(tǒng)客戶端的結構示意圖；

圖3是本發(fā)明另一個實施例提供的一種安全系統(tǒng)客戶端的結構示意圖；

圖4是本發(fā)明一個實施例提供的一種文件防護系統(tǒng)的結構示意圖；

圖5是本發(fā)明另一個實施例提供的一種文件防護方法的流程圖。

具體實施方式

為使本發(fā)明實施例的目的、技術方案和優(yōu)點更加清楚，下面將結合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發(fā)明一部分實施例，而不是全部的實施例，基于本發(fā)明中的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

如圖1所示，本發(fā)明實施例提供了一種文件防護方法，該方法可以包括以下步驟：

步驟101：確定至少一個文件類別，為每一個所述文件類別分配至少一個權限；

步驟102：接收外部發(fā)送的目標文件的訪問請求；

步驟103：確定所述目標文件對應的文件類別，根據(jù)所述目標文件對應的文件類別，為所述目標文件確定至少一個目標權限；

步驟104：判斷所述訪問請求是否滿足任意所述目標權限，如果是，則執(zhí)行步驟105；否則執(zhí)行步驟106；

步驟105：對所述訪問請求對應的目標文件進行訪問，并結束當前流程；

步驟106：對所述訪問請求對應的目標文件進行防護處理。

根據(jù)上述實施例，通過為確定的每一個文件類別分配對應的權限，當目標文件的訪問請求中的對應的請求不滿足目標文件對應分配的權限時，對訪問請求對應的目標文件進行防護處理，只有當目標文件的訪問請求中的對應的請求滿足目標文件對應的分配的權限時，才允許訪問目標文件，因此本方案可以提高文件防護的安全性。

在本發(fā)明一個實施例中，確定至少一個文件類別中的文件類別可以包括：可執(zhí)行文件、庫文件、進程文件、啟動程序文件、啟動過程文件、運行狀態(tài)文件、裸磁盤文件、系統(tǒng)認證過程文件、存儲設備文件、文件系統(tǒng)文件和系統(tǒng)賬號文件中的任意一種或多種。為每一個所述文件類別分配至少一個權限，其中，所述權限可以包括：只讀權限和執(zhí)行權限中一種或兩種。

所述為每一個所述文件類別分配至少一個權限，包括：

分別為所述可執(zhí)行文件、所述庫文件、所述進程文件、所述啟動過程文件、所述運行狀態(tài)文件、所述裸磁盤文件和所述系統(tǒng)認證過程文件，分配只讀權限和執(zhí)行權限；

分別為所述啟動程序文件、所述存儲設備文件、所述文件系統(tǒng)文件和所述系統(tǒng)賬號文件，分配只讀權限。

確定的文件類別可以根據(jù)具體的業(yè)務要求來確定，其中每一種文件類別對應的權限也可以根據(jù)具體的業(yè)務要求來分配。例如對于可執(zhí)行文件/bin、/sbin、/usr/bin、/usr/sbin分配只讀權限和執(zhí)行權限；對于庫文件/lib、/usr/lib分配只讀權限和執(zhí)行權限；對于啟動過程文件和運行狀態(tài)文件/etc/init.d、/etc/rc*、/etc/rc.d/rc*文件分配只讀權限和執(zhí)行權限；對于裸磁盤文件/dev/hd*、/dev/sd*文件分配只讀權限和執(zhí)行權限；對于系統(tǒng)認證過程/etc/pam*文件分配只讀權限和執(zhí)行權限；對于/etc/ld.so.conf.d文件分配只讀權限；啟動程序文件/etc/inittab、/sbin/telinit、/sbin/init文件分配只讀權限；對于存儲設備文件和文件系統(tǒng)文件/etc/fstab文件分配只讀權限，對于/dev/mapper文件分配執(zhí)行權限；對于系統(tǒng)賬號文件/etc/passwd、/etc/shadow文件分配只讀權限。

根據(jù)上述實施例，分別為所述可執(zhí)行文件、所述庫文件、所述進程文件、所述啟動過程文件、所述運行狀態(tài)文件、所述裸磁盤文件和所述系統(tǒng)認證過程文件，分配只讀權限和執(zhí)行權限；分別為所述啟動程序文件、所述存儲設備文件、所述文件系統(tǒng)文件和所述系統(tǒng)賬號文件，分配只讀權限?？梢愿鶕?jù)具體的業(yè)務要求來為每一種文件類別對應分配權限，因此可以靈活分配權限。

在本發(fā)明一個實施例中，所述訪問請求中可以包括只讀請求、執(zhí)行請求、編輯請求、增加請求和刪除請求中的任意一種或多種；判斷所述訪問請求是否滿足任意所述目標權限，包括：判斷所述只讀請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理。

當所述訪問請求中包括只讀請求時，判斷所述只讀請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理；

當所述訪問請求中包括執(zhí)行請求時，判斷所述執(zhí)行請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理；

當所述訪問請求中包括編輯請求時，判斷所述編輯請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理；

當所述訪問請求中包括增加請求時，判斷所述增加請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理；

當所述訪問請求中包括刪除請求時，判斷所述刪除請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理。

所述訪問請求中包括的具體內容可以根據(jù)具體的業(yè)務要求來確定，比如，目標文件對應的權限為只讀權限和執(zhí)行權限，訪問請求中包括執(zhí)行請求，那么就需要判斷訪問請求中的執(zhí)行請求是否滿足目標文件對應的權限只讀權限和執(zhí)行權限，可以看出是滿足的，那么訪問請求可以訪問目標文件，又比如，目標文件對應的權限為只讀權限和執(zhí)行權限，訪問請求中包括刪除請求，那么就需要判斷訪問請求中的刪除請求是否滿足目標文件對應的權限只讀權限和執(zhí)行權限，可以看出是不滿足的，那么對訪問請求對應的目標文件進行防護處理。

根據(jù)上述實施例，所述訪問請求中可以包括只讀請求、執(zhí)行請求、編輯請求、增加請求和刪除請求中的任意一種或多種，判斷所述訪問請求是否滿足任意所述目標權限，包括判斷所述只讀請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理。可以根據(jù)訪問請求中包括的具體內容，根據(jù)目標文件對應的具體權限對文件進行相應的防護處理。

在本發(fā)明一個實施例中，當對所述訪問文件指令對應的文件作防護處理時，發(fā)送警告信息給外部的安全系統(tǒng)控制端，其中所述警告信息包括，目標文件名稱和目標文件對應的類別；當接收到所述外部的安全系統(tǒng)控制端發(fā)送的所述目標文件的文件類別對應的攔截指令時，攔截所述目標文件名稱對應的目標文件。

所述警告信息中可以包括目標文件的名稱、類別、對應訪問請求發(fā)送的時間和遭遇惡意攻擊的信息。當接收到外部的安全系統(tǒng)控制端發(fā)送的攔截指令時，攔截所述目標文件名稱對應的目標文件。攔截指令可以包括拒絕訪問目標文件的指令。

根據(jù)上述實施例，當需要對訪問請求對應的目標文件作防護處理時，發(fā)送警告信息給外部的安全系統(tǒng)控制端，當接收到所述外部的安全系統(tǒng)控制端發(fā)送的所述目標文件的文件類別對應的攔截指令時，攔截所述目標文件名稱對應的目標文件?？梢约皶r根據(jù)訪問請求對應的目標文件作防護處理，當目標文件被惡意攻擊時，及時攔截目標文件，保護目標文件不被惡意攻擊。

如圖2所示，本發(fā)明實施例提供了一種安全系統(tǒng)客戶端，該安全系統(tǒng)客戶端可以包括：

權限確定單元201，用于確定至少一個文件類別，為每一個文件類別分配至少一個權限；

接收單元202，用于接收外部發(fā)送的目標文件的訪問請求；

防護處理單元203，用于根據(jù)所述權限確定單元為每一個文件類別分配的至少一個權限，確定所述接收單元發(fā)送的目標文件對應的文件類別，根據(jù)所述目標文件對應的文件類別，為所述目標文件確定至少一個目標權限；判斷所述訪問請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理。

根據(jù)上述實施例，該安全系統(tǒng)客戶端包括權限確定單元，用于確定至少一個文件類別，為每一個文件類別分配至少一個權限；接收單元，用于接收外部發(fā)送的目標文件的訪問請求；防護處理單元，用于根據(jù)所述權限確定單元為每一個文件類別分配的至少一個權限，確定所述接收單元發(fā)送的目標文件對應的文件類別，根據(jù)所述目標文件對應的文件類別，為所述目標文件確定至少一個目標權限；判斷所述訪問請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理。本方案中通過權限確定單元確定每一個文件類別分配對應的權限，當目標文件的訪問請求中的對應的請求不滿足目標文件對應分配的權限時，利用防護處理單元對訪問請求對應的目標文件進行防護處理，只有當目標文件的訪問請求中的對應的請求滿足目標文件對應的分配的權限時，才允許訪問目標文件，因此本方案可以提高文件防護的安全性。

在本發(fā)明一個實施例中，所述文件類別包括：可執(zhí)行文件、庫文件、進程文件、啟動程序文件、啟動過程文件、運行狀態(tài)文件、裸磁盤文件、系統(tǒng)認證過程文件、存儲設備文件、文件系統(tǒng)文件和系統(tǒng)賬號文件中的任意一種或多種；所述權限包括：只讀權限和執(zhí)行權限中一種或兩種；所述權限確定單元，用于分別為所述可執(zhí)行文件、所述庫文件、所述進程文件、所述啟動過程文件、所述運行狀態(tài)文件、所述裸磁盤文件和所述系統(tǒng)認證過程文件，分配只讀權限和執(zhí)行權限；分別為所述啟動程序文件、所述存儲設備文件、所述文件系統(tǒng)文件和所述系統(tǒng)賬號文件，分配只讀權限。

在本發(fā)明一個實施例中，所述訪問請求中包括：只讀請求、執(zhí)行請求、編輯請求、增加請求和刪除請求中的任意一種或多種；所述防護處理單元，在執(zhí)行所述判斷所述訪問請求是否滿足任意所述目標權限時，用于：

當所述訪問請求中包括只讀請求時，判斷所述只讀請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理；

當所述訪問請求中包括執(zhí)行請求時，判斷所述執(zhí)行請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理；

當所述訪問請求中包括編輯請求時，判斷所述編輯請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理；

當所述訪問請求中包括增加請求時，判斷所述增加請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理；

當所述訪問請求中包括刪除請求時，判斷所述刪除請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理。

在本發(fā)明一個實施例中，如圖3所示，所述防護處理單元可以進一步包括：發(fā)送子單元301和攔截子單元302；所述發(fā)送子單元301，用于發(fā)送警告信息給外部的安全系統(tǒng)控制端，其中所述警告信息包括，目標文件名稱和目標文件對應的類別；所述攔截子單元302，用于當接收到所述外部的安全系統(tǒng)控制端發(fā)送的所述目標文件的文件類別對應的攔截指令時，攔截所述目標文件名稱對應的目標文件。

上述裝置內的各單元之間的信息交互、執(zhí)行過程等內容，由于與本發(fā)明方法實施例基于同一構思，具體內容可參見本發(fā)明方法實施例中的敘述，此處不再贅述。

如圖4所示，本發(fā)明實施例提供了一種文件防護系統(tǒng)，該文件防護系統(tǒng)可以包括：安全系統(tǒng)客戶端401和安全系統(tǒng)控制端402，其中，

所述安全系統(tǒng)控制端402，用于發(fā)送訪問請求給所述安全系統(tǒng)客戶端401。

所述安全系統(tǒng)客戶端和安全系統(tǒng)控制端可以根據(jù)具體的業(yè)務要求來確定。其中所述安全系統(tǒng)控制端可以部署在用戶客戶端中，利用安全系統(tǒng)控制端和安全系統(tǒng)客戶端之間的交互來完成文件的防護。

根據(jù)上述實施例，文件防護系統(tǒng)包括安全系統(tǒng)客戶端和安全系統(tǒng)控制端，可以根據(jù)具體的業(yè)務要求將安全系統(tǒng)客戶端和安全系統(tǒng)控制端分別部署，通過它們之間的相互交互來實現(xiàn)文件防護。

在本發(fā)明一個實施例中，所述安全系統(tǒng)控制端可以進一步用于接收所述安全系統(tǒng)客戶端發(fā)送的警告信息，并根據(jù)所述警告信息生成攔截指令，并將所述攔截指令發(fā)送至所述服務端。

在本發(fā)明一個實施例中，所述安全系統(tǒng)客戶端安裝于服務端。

所述安全系統(tǒng)客戶端可以根據(jù)具體的業(yè)務要求安裝于服務端中，并根據(jù)服務端中數(shù)據(jù)，確定需要保護的文件類別，并對需要保護的文件類別進行文件防護。

在本發(fā)明一個實施例中，所述安全系統(tǒng)控制端安裝于用戶客戶端。

所述安全系統(tǒng)控制端可以根據(jù)具體的業(yè)務要求安裝于用戶客戶端中，并用來接收安全系統(tǒng)客戶端發(fā)送來的警告信息，并根據(jù)警告信息生成截止指令，并發(fā)送給安全系統(tǒng)客戶端，以使安全系統(tǒng)客戶端對文件進行攔截。

下面以安全系統(tǒng)客戶端和安全系統(tǒng)控制端之間的交互過程中，對文件類別A中的各個文件進行防護處理為例，展開說明文件防護方法，如圖5所示，該文件防護方法可以包括如下步驟：

步驟501：為服務端安裝安全系統(tǒng)客戶端，為用戶客戶端安裝安全系統(tǒng)控制端。

根據(jù)具體的業(yè)務要求，將安全系統(tǒng)客戶端安裝在服務端中，將安全系統(tǒng)控制端安裝在用戶客戶端中。

步驟502：在服務端，通過安全系統(tǒng)客戶端為文件類別A分配對應的權限。

所述文件類別，包括：可執(zhí)行文件、庫文件、進程文件、啟動程序文件、啟動過程文件、運行狀態(tài)文件、裸磁盤文件、系統(tǒng)認證過程文件、存儲設備文件、文件系統(tǒng)文件和系統(tǒng)賬號文件中的任意一種或多種；所述權限，包括：只讀權限和執(zhí)行權限中一種或兩種；

當文件類別A為可執(zhí)行文件、庫文件、進程文件、啟動過程文件、運行狀態(tài)文件、裸磁盤文件和系統(tǒng)認證過程文件中的任意一種時，該步驟可以為其分配只讀權限和執(zhí)行權限；

當文件類別A為啟動程序文件、存儲設備文件、文件系統(tǒng)文件和系統(tǒng)賬號文件，分配只讀權限。

本方法可以根據(jù)具體的業(yè)務要求在不同的主機環(huán)境下運行，例如：在Linux系統(tǒng)主機環(huán)境下，確定/bin、/sbin、/usr/bin、/usr/sbin文件對應的文件類別A為可執(zhí)行文件，并對應分配只讀權限和執(zhí)行權限。又如確定/lib、/usr/lib文件對應的文件類別A為庫文件，并對應分配只讀權限和執(zhí)行權限。但是當主機上的某個文件有系統(tǒng)賬戶管理功能，則將賬戶管理相關的文件不進行權限分配。

步驟503：在用戶客戶端，通過安全系統(tǒng)控制端發(fā)送目標文件的訪問請求。

所述訪問請求中包括：只讀請求、執(zhí)行請求、編輯請求、增加請求和刪除請求中的任意一種或多種。所述訪問請求中包括的內容可以根據(jù)具體的業(yè)務要求來確定，在本實施例中，在用戶客戶端，通過安全系統(tǒng)控制端發(fā)送文件類別A中的目標文件的訪問請求包括編輯請求。

步驟504：通過安全系統(tǒng)客戶端接收目標文件的訪問請求。

在本實施例中，通過在服務端安裝的安全系統(tǒng)客戶端接收安全系統(tǒng)控制端發(fā)送文件類別A中的目標文件包括編輯請求的訪問請求。

步驟505：通過安全系統(tǒng)客戶端確定目標文件屬于文件類別A，根據(jù)文件類別A，確定所述目標文件對應的目標權限。

在本實施例中，確定的目標文件/lib對應的文件類別A為庫文件，并根據(jù)文件類別為庫文件為目標文件/lib確定的目標權限為只讀權限和執(zhí)行權限。

步驟506：通過安全系統(tǒng)客戶端判斷所述訪問請求是否滿足目標權限，如果是，則執(zhí)行步驟511；否則，則執(zhí)行步驟507。

當所述訪問請求中包括：只讀請求、執(zhí)行請求、編輯請求、增加請求和刪除請求中的任意一種或多種時，所述判斷所述訪問請求是否滿足任意所述目標權限，包括：

當所述訪問請求中包括只讀請求時，判斷所述只讀請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理；

當所述訪問請求中包括執(zhí)行請求時，判斷所述執(zhí)行請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理；

當所述訪問請求中包括編輯請求時，判斷所述編輯請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理；

當所述訪問請求中包括增加請求時，判斷所述增加請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理；

當所述訪問請求中包括刪除請求時，判斷所述刪除請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理。

例如，當訪問請求中包括編輯請求時，只需判斷編輯請求是否滿足目標權限只讀權限和執(zhí)行權限，可以看出訪問請求是不滿足目標權限的，執(zhí)行步驟507。又如，當訪問請求中包括只讀請求時，只需判斷只讀請求是否滿足目標權限只讀權限和執(zhí)行權限，可以看出訪問請求是滿足目標權限的，執(zhí)行步驟511。

步驟507：通過安全系統(tǒng)客戶端發(fā)送警告信息給外部的安全系統(tǒng)控制端。

其中所述警告信息包括，目標文件名稱和目標文件對應的類別。所述警告信息中可以包括目標文件的名稱、類別、對應訪問請求發(fā)送的時間和遭遇惡意攻擊的信息。比如，警告信息中包括目標文件名稱a和目標文件對應的類別。

步驟508：通過安全系統(tǒng)控制端接收警告信息，當安全系統(tǒng)控制端接收到對警告信息的處理為禁止訪問時，執(zhí)行步驟509；當安全系統(tǒng)控制端接收到對警告信息的處理為允許訪問時，執(zhí)行步驟511。

警告信息的方式根據(jù)具體的業(yè)務要求確定，可以采用通知窗口的方式呈現(xiàn)。其中，通知窗口中存在兩個執(zhí)行命令，一種是禁止訪問命令，另一種是允許訪問命令。當觸發(fā)禁止訪問命令時，安全系統(tǒng)控制端將接收到對警告信息處理為禁止訪問對應的信息，執(zhí)行步驟509；當觸發(fā)允許訪問命令時，安全系統(tǒng)控制端將接收到對警告信息處理為允許訪問對應的信息，執(zhí)行步驟511。

步驟509：通過安全系統(tǒng)控制端生成攔截指令，并發(fā)送攔截指令給安全系統(tǒng)客戶端。

生成的攔截指令可以包括拒絕訪問文件類別A中的目標文件的指令。并將該攔截指令發(fā)送至安裝在服務端中的安全系統(tǒng)客戶端。

步驟510：安全系統(tǒng)客戶端根據(jù)攔截指令，攔截所述訪問請求對應的目標文件，并結束當前流程。

當安全系統(tǒng)客戶端接收安全系統(tǒng)控制端發(fā)送的攔截文件類別A中的目標文件對應的攔截指令時，攔截目標文件名稱對應的目標文件。

步驟511：安全系統(tǒng)客戶端對所述訪問請求對應的目標文件進行訪問。

可以看出本方法基于白名單，與其他黑名單形式的防護手段形成了互補，且實現(xiàn)于內核層，作為主機防護體系中的最后一道防線，保證了主機的安全、穩(wěn)定運行。

綜上，本發(fā)明各個實施例至少可以實現(xiàn)如下有益效果：

1、在本發(fā)明實施例中，該文件防護方法通過確定至少一個文件類別，并為每一個所述文件類別分配至少一個權限，接收外部發(fā)送的目標文件的訪問請求；確定所述目標文件對應的文件類別，根據(jù)所述目標文件對應的文件類別，為所述目標文件確定至少一個目標權限；判斷所述訪問請求是否滿足任意所述目標權限，如果否，則對所述訪問文件指令對應的文件進行防護處理。本方案中是為確定的每一個文件類別分配對應的權限，當目標文件的訪問請求中的對應的請求不滿足目標文件對應分配的權限時，對訪問請求對應的目標文件進行防護處理，只有當目標文件的訪問請求中的對應的請求滿足目標文件對應的分配的權限時，才允許訪問目標文件，因此本方案可以提高文件防護的安全性。

2、在本發(fā)明實施例中，分別為所述可執(zhí)行文件、所述庫文件、所述進程文件、所述啟動過程文件、所述運行狀態(tài)文件、所述裸磁盤文件和所述系統(tǒng)認證過程文件，分配只讀權限和執(zhí)行權限；分別為所述啟動程序文件、所述存儲設備文件、所述文件系統(tǒng)文件和所述系統(tǒng)賬號文件，分配只讀權限。可以根據(jù)具體的業(yè)務要求來為每一種文件類別對應分配權限，因此可以靈活分配權限。

3、在本發(fā)明實施例中，所述訪問請求中可以包括只讀請求、執(zhí)行請求、編輯請求、增加請求和刪除請求中的任意一種或多種；判斷所述訪問請求是否滿足任意所述目標權限，包括：判斷所述只讀請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理?？梢愿鶕?jù)訪問請求中包括的具體內容，根據(jù)目標文件對應的具體權限對文件進行相應的防護處理。

4、在本發(fā)明實施例中，當需要對訪問請求對應的目標文件作防護處理時，發(fā)送警告信息給外部的安全系統(tǒng)控制端，當接收到所述外部的安全系統(tǒng)控制端發(fā)送的攔截指令時，攔截所述訪問請求對應的目標文件?？梢约皶r根據(jù)訪問請求對應的目標文件作防護處理，當目標文件被惡意攻擊時，及時攔截目標文件，保護目標文件不被惡意攻擊。

5、在本發(fā)明實施例中，該安全系統(tǒng)客戶端包括權限確定單元，用于確定至少一個文件類別，為每一個文件類別分配至少一個權限；接收單元，用于接收外部發(fā)送的目標文件的訪問請求；防護處理單元，用于根據(jù)所述權限確定單元為每一個文件類別分配的至少一個權限，確定所述接收單元發(fā)送的目標文件對應的文件類別，根據(jù)所述目標文件對應的文件類別，為所述目標文件確定至少一個目標權限；判斷所述訪問請求是否滿足任意所述目標權限，如果否，則對所述訪問請求對應的目標文件進行防護處理。本方案中通過權限確定單元確定每一個文件類別分配對應的權限，當目標文件的訪問請求中的對應的請求不滿足目標文件對應分配的權限時，利用防護處理單元對訪問請求對應的目標文件進行防護處理，只有當目標文件的訪問請求中的對應的請求滿足目標文件對應的分配的權限時，才允許訪問目標文件，因此本方案可以提高文件防護的安全性。

6、在本發(fā)明實施例中，文件防護系統(tǒng)包括安全系統(tǒng)客戶端和安全系統(tǒng)控制端，可以根據(jù)具體的業(yè)務要求將安全系統(tǒng)客戶端和安全系統(tǒng)控制端分別部署，通過它們之間的相互交互來實現(xiàn)文件防護。

需要說明的是，在本文中，諸如第一和第二之類的關系術語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關系或者順序。而且，術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下，由語句“包括一個······”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同因素。

本領域普通技術人員可以理解：實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關的硬件來完成，前述的程序可以存儲在計算機可讀取的存儲介質中，該程序在執(zhí)行時，執(zhí)行包括上述方法實施例的步驟；而前述的存儲介質包括：ROM、RAM、磁碟或者光盤等各種可以存儲程序代碼的介質中。

最后需要說明的是：以上所述僅為本發(fā)明的較佳實施例，僅用于說明本發(fā)明的技術方案，并非用于限定本發(fā)明的保護范圍。凡在本發(fā)明的精神和原則之內所做的任何修改、等同替換、改進等，均包含在本發(fā)明的保護范圍內。