一种操作权限的处理方法及装置

技术领域

本发明涉及金融科技(Fintech)中的数据处理技术领域，尤其涉及一种操作权限的处理方法及装置。

背景技术

随着计算机技术的发展，越来越多的技术应用在金融领域，传统金融业正在逐步向金融科技(Finteh)转变，但由于金融行业的安全性、实时性要求，也对技术提出的更高的要求。

在大多数金融领域企业中，信息安全要求较为严格。在终端的使用上，用户基本上只能以操作系统的普通用户权限登录和运行软件，好处是能有效的阻止一些需要系统资源的恶意软件的执行，减少桌面终端失陷的安全隐患，同时也能较好的防止未授权用户访问或毁坏系统资源。

然而在使用上，特别是软件运行、安装和卸载以及系统环境配置的环节中，多数情况下还是只能依赖于系统管理员权限才能进行操作，如开发人员在编译程序和测试人员在测试软件的使用会遇到访问系统资源的权限问题，需要桌面终端的IT支持人员对用户进行授权，临时或永久提升用户权限到管理员权限才能解决。而当用户权限升级到管理员权限后，该用户就很有可能在未知情况下执行了恶意程序，那么恶意程序也获得了与管理员账户相同的权限，即能够对操作系统所有的资源进行访问，导致桌面终端失陷，从而造成数据被盗或被破坏等情况；或者用户在不知情的情况下安装运行了远程控制程序，从而被用于网络入侵或商业窃密等黑客行为。这种情况下，对于权限提升的用户，无法管控其具体的操作行为，存在不可信的操作，具有安全隐患。

发明内容

本申请提供一种操作权限的处理方法及装置，用以实现用户提权的可信化操作，保证提权操作的安全性。

本发明实施例提供的一种操作权限的处理方法，所述方法包括：

接收提权请求，所述提权请求中至少包含目标操作对象的标识信息和对应的目标操作指令；

确定所述目标操作指令对应的执行方式；

至少根据所述执行方式以及预设的评分规则，确定所述目标操作指令的得分；

若所述目标操作指令的得分大于或等于拦截阈值，则停止执行所述目标操作指令；

若所述目标操作指令的得分小于所述拦截阈值，则针对所述目标操作对象执行所述目标操作指令。

一种可选的实施例中，所述目标操作指令包括N个目标子操作指令，N为正整数；

所述确定所述目标操作指令对应的执行方式，包括：

确定所述目标操作指令的类别、所述目标操作指令中包含的目标子操作指令以及每一个目标子操作指令对应的存储路径；

所述至少根据所述执行方式以及预设的评分规则，确定所述目标操作指令的得分，包括：

根据所述目标操作指令的类别、所述目标操作指令中包含的目标子操作指令、每一个目标子操作指令对应的存储路径以及预设的评分规则，确定每一个目标子操作指令对应的评分；

根据目标子操作指令的评分，确定所述目标操作指令的得分。

一种可选的实施例中，所述根据所述目标操作指令的类别、所述目标操作指令中包含的目标子操作指令、每一个目标子操作指令对应的存储路径以及预设的评分规则，确定每一个目标子操作指令对应的评分，包括：

创建执行所述目标操作指令的目标进程，所述目标进程中包含多个子进程，其中一个子进程用于执行一个目标子操作指令；

对所述多个子进程进行监控，当检测到所述多个子进程中的任一目标子进程开始执行时，暂停所述目标进程；

根据所述目标子进程对应的操作指令类别、子操作指令类别以及存储路径，确定所述目标子进程的评分；

所述根据目标子操作指令的评分，确定所述目标操作指令的得分，包括：

依次将目标子进程的评分进行累加作为所述目标操作指令的得分。

一种可选的实施例中，所述若所述目标操作指令的得分小于所述拦截阈值，则针对所述目标操作对象执行所述目标操作指令，包括：

确定所述目标操作指令的得分小于所述拦截阈值，则通过所述目标子进程执行所述目标子操作指令；

继续执行所述对所述多个子进程进行监控的步骤，直至全部目标子操作均执行完成。

一种可选的实施例中，所述接收提权请求之后，所述确定所述目标操作指令对应的执行方式之前，还包括：

根据所述目标操作对象的标识信息，判断所述目标操作对象是否在黑名单或白名单中；

若所述目标操作对象在所述黑名单中，则拒绝所述提权请求；

若所述目标操作对象在所述白名单中，则针对所述目标操作对象执行所述目标操作指令；

若所述目标操作对象不在所述黑名单中且所述目标操作对象也不在所述白名单中，则执行所述确定所述目标操作指令对应的执行方式的步骤。

一种可选的实施例中，还包括：

至少将所述目标操作对象的标识信息、得分大于或等于拦截阈值的目标操作指令对应的目标进程信息、得分小于拦截阈值的目标操作指令对应的目标进程信息、执行时间进行记录，并发送至服务器。

一种可选的实施例中，所述至少根据所述执行方式以及预设的评分规则，确定所述目标操作指令的得分之前，还包括：

向服务器发送获取请求；

接收所述服务器反馈的获取响应，所述获取响应中包含所述评分规则。

本发明实施例还提供一种操作权限的处理装置，包括：

收发单元，用于接收提权请求，所述提权请求中至少包含目标操作对象的标识信息和对应的目标操作指令；

解析单元，用于确定所述目标操作指令对应的执行方式；

评分单元，用于至少根据所述执行方式以及预设的评分规则，确定所述目标操作指令的得分；

执行单元用于若所述目标操作指令的得分大于或等于拦截阈值，则停止执行所述目标操作指令；若所述目标操作指令的得分小于所述拦截阈值，则针对所述目标操作对象执行所述目标操作指令。

一种可选的实施例中，所述目标操作指令包括N个目标子操作指令，N为正整数；

所述解析单元，具体用于确定所述目标操作指令的类别、所述目标操作指令中包含的目标子操作指令以及每一个目标子操作指令对应的存储路径；

所述评分单元，具体用于根据所述目标操作指令的类别、所述目标操作指令中包含的目标子操作指令、每一个目标子操作指令对应的存储路径以及预设的评分规则，确定每一个目标子操作指令对应的评分；根据目标子操作指令的评分，确定所述目标操作指令的得分。

一种可选的实施例中，所述执行单元，具体用于创建执行所述目标操作指令的目标进程，所述目标进程中包含多个子进程，其中一个子进程用于执行一个目标子操作指令；

所述评分单元，具体用于对所述多个子进程进行监控，当检测到所述多个子进程中的任一目标子进程开始执行时，暂停所述目标进程；根据所述目标子进程对应的操作指令类别、子操作指令类别以及存储路径，确定所述目标子进程的评分；依次将目标子进程的评分进行累加作为所述目标操作指令的得分。

一种可选的实施例中，所述执行单元，具体用于：

确定所述目标操作指令的得分小于所述拦截阈值，则通过所述目标子进程执行所述目标子操作指令；

继续执行所述对所述多个子进程进行监控的步骤，直至全部目标子操作均执行完成。

一种可选的实施例中，还包括初检单元，用于：

根据所述目标操作对象的标识信息，判断所述目标操作对象是否在黑名单或白名单中；

若所述目标操作对象在所述黑名单中，则拒绝所述提权请求；

若所述目标操作对象在所述白名单中，则针对所述目标操作对象执行所述目标操作指令；

若所述目标操作对象不在所述黑名单中且所述目标操作对象也不在所述白名单中，则执行所述确定所述目标操作指令对应的执行方式的步骤。

一种可选的实施例中，还包括日志单元，用于：

至少将所述目标操作对象的标识信息、得分大于或等于拦截阈值的目标操作指令对应的目标进程信息、得分小于拦截阈值的目标操作指令对应的目标进程信息、执行时间进行记录，并发送至服务器。

一种可选的实施例中，收发单元，还用于：

向服务器发送获取请求；

接收所述服务器反馈的获取响应，所述获取响应中包含所述评分规则。

本发明实施例还提供一种电子设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如上所述的方法。

本发明实施例还提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行如上所述的方法。

本发明实施例中的终端，接收用户发出的提权请求，该提权请求用于提升用户的操作权限，其中至少包含目标操作对象的标识信息和对应的目标操作指令。终端确定目标操作指令对应的执行方式，并至少根据执行方式以及预设的评分规则，确定目标操作指令的得分。将目标操作指令与拦截阈值进行对比，若目标操作指令的得分大于或者等于拦截阈值，则停止执行该目标操作指令；若目标操作指令的得分小于拦截阈值，则针对目标操作对象执行目标操作指令。本发明实施例针对目标操作指令的执行方式进行监控，根据执行方式对目标操作指令进行评分，在得分大于或者等于拦截阈值的情况下停止执行该目标操作指令，从而管控了目标操作指令的执行过程，防止目标操作指令执行时存在不可信操作，避免了提权的安全隐患，提高了提权操作的安全性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种可能的系统构架的结构示意图；

图2为本发明实施例提供的一种操作权限的处理方法的流程示意图；

图3为本发明实施例提供的对目标进程的监控过程的示意图；

图4为本发明具体实施例中的主要功能模块的结构示意图；

图5为本发明具体实施例提供的操作权限的处理方法的流程示意图；

图6为本发明实施例提供的一种操作权限的处理装置的结构示意图；

图7为本发明实施例提供的电子设备的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

为了便于理解，下面对本发明实施例中可能涉及的名词进行定义和解释。

桌面管理软件：用于企业内统一管理桌面终端电脑环境和配置的软件，如国外主流的微软System Cener；国内主流的如联软安全助手、IP-Guard等。

提权：通过一定的方式使得普通用户暂时具有管理操作系统资源的权限的过程。

可信：本发明实施例中主要指符合安全预期内的软件使用、命令操作等。

进程：是一个具有独立功能的程序关于某个数据集合的一次运行活动。它可以申请和拥有系统资源，是一个动态的概念，是一个活动的实体。

线程：是操作系统能够进行运算调度的最小单位。它被包含在进程之中，是进程中的实际运作单位。一条线程指的是进程中一个单一顺序的控制流，一个进程中可以并发多个线程，每条线程并行执行不同的任务。

API：(Application Programming Interface，应用程序接口)是一些预先定义的接口(如函数、HTTP接口)，或指软件系统不同组成部分衔接的约定。

参阅图1所示，为本发明实施例中操作权限的处理方法的应用架构示意图，该系统架构包括终端设备100、服务器200。

终端设备100可以是移动的，也可以是固定的电子设备。例如，手机、平板电脑、笔记本电脑、台式电脑、各类可穿戴设备、智能电视、车载设备或其它能够实现上述功能的电子设备等。终端设备100中安装有操作系统和各类软件，能够接收并处理用户发送的提权请求。

终端设备100与服务器200之间可以通过互联网相连，实现相互之间的通信。可选地，上述的互联网使用标准通信技术和/或协议。互联网通常为因特网、但也可以是任何网络，包括但不限于局域网(Local Area Network，LAN)、城域网(Metropolitan AreaNetwork，MAN)、广域网(Wide Area Network，WAN)、移动、有线或者无线网络、专用网络或者虚拟专用网络的任何组合。在一些实施例中，使用包括超文本标记语言(Hyper Text Mark-up Language，HTML)、可扩展标记语言(Extensible Markup Language，XML)等的技术和/或格式来代表通过网络交换的数据。此外还可以使用诸如安全套接字层(Secure SocketLayer，SSL)、传输层安全(Transport Layer Security，TLS)、虚拟专用网络(VirtualPrivate Network，VPN)、网际协议安全(Internet Protocol Security，IPsec)等常规加密技术来加密所有或者一些链路。在另一些实施例中，还可以使用定制和/或专用数据通信技术取代或者补充上述数据通信技术。

服务器200可以为终端设备100提供各种网络服务，服务器200可以采用云计算技术进行信息处理。其中，服务器200可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等，但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接，本申请在此不做限制。

具体地，终端设备100可以包括处理器110(Center Processing Unit，CPU)、存储器120、输入设备130和输出设备140等，输入设备130可以包括键盘、鼠标、触摸屏等，输出设备140可以包括显示设备，如液晶显示器(Liquid Crystal Display，LCD)、阴极射线管(Cathode Ray Tube，CRT)等。

存储器120可以包括只读存储器(ROM)和随机存取存储器(RAM)，并向处理器110提供存储器120中存储的程序指令和数据。在本发明实施例中，存储器120可以用于存储本发明实施例中操作权限的处理方法的程序。

处理器110通过调用存储器120存储的程序指令，处理器110用于按照获得的程序指令执行本发明实施例中任一种操作权限的处理方法的步骤。

基于上述架构，本发明实施例提供了一种操作权限的处理方法，如图2所示，本发明实施例提供的操作权限的处理方法应用于终端设备时，方法包括以下步骤：

步骤201、终端接收提权请求，所述提权请求中至少包含目标操作对象的标识信息和对应的目标操作指令。

具体实施过程中，终端上可以安装有提权客户端，用户通过客户端发送提权请求；终端也可以直接向用户显示进行提权操作的页面，用户在页面上进行操作发送提权请求。

提权请求中可以包含目标操作对象的标识信息、目标操作指令、用户标识、进程名称、进程ID、进程hash(哈希)、父进程、操作时间等信息。其中，目标操作对象可以是终端上运行的软件、操作系统等。

步骤202、终端确定所述目标操作指令对应的执行方式。

具体实施过程中，终端接收到提权请求后，对提权请求进行解析，可以将其解析为命令行的形式，从而便于存储和传递。同时，对解析得到的当前时间、当前用户、进程名称、进程ID、进程hash、父进程等信息利用日志进行记录。

具体的日志示例如下：

2021-03-01 14:57:38.900

18272

C:\Windows\SysWOW64\msiexec.exe

"C:\WINDOWS\System32\msiexec.exe"/i"C:\Program Files(x86)\scmclient\EMETSetup.msi"/qn"

domain\user1

MD5＝9D09DC1EDA745A5F87553048E57620CF

3560

C:\windows\uniaccessagent.exe

"

C:\windows\uniaccessagent.exe"

进一步地，终端针对解析提权请求得到的目标操作指令，确定其对应的执行方式。这里的执行方式包括执行该目标操作指令的进程、子进程、存储路径等。

步骤203、终端至少根据所述执行方式以及预设的评分规则，确定所述目标操作指令的得分。

具体实施过程中，预设的评分规则包括不同执行方式对应的评分，可以存储在终端中，也可以存储在服务器中，终端实时从服务器中获取评分规则，这样便于评分规则的统一管理。

终端确定目标操作指令的执行方式和评分规则之后，根据评分规则中执行方式与评分的对应关系，确定目标操作指令的得分。之后，将目标操作指令的得分与拦截阈值进行对比，根据不同的对比结果执行不同的提权操作。

步骤204、若所述目标操作指令的得分大于或等于拦截阈值，则终端停止执行所述目标操作指令。

步骤205、若所述目标操作指令的得分小于所述拦截阈值，则终端针对所述目标操作对象执行所述目标操作指令。

具体实施过程中，终端停止执行该目标操作指令后，还可以通过拦截界面向用户显示拒绝提权的警示，并显示拒绝的原因。

另一方面，终端执行目标操作指令后，还可以通过提权界面向用户显示同意提权的响应，以及该目标操作对象的操作结果。

本发明实施例中的终端，接收用户发出的提权请求，该提权请求用于提升用户的操作权限，其中至少包含目标操作对象的标识信息和对应的目标操作指令。终端确定目标操作指令对应的执行方式，并至少根据执行方式以及预设的评分规则，确定目标操作指令的得分。将目标操作指令与拦截阈值进行对比，若目标操作指令的得分大于或者等于拦截阈值，则停止执行该目标操作指令；若目标操作指令的得分小于拦截阈值，则针对目标操作对象执行目标操作指令。本发明实施例针对目标操作指令的执行方式进行监控，根据执行方式对目标操作指令进行评分，在得分大于或者等于拦截阈值的情况下停止执行该目标操作指令，从而管控了目标操作指令的执行过程，防止目标操作指令执行时存在不可信操作，避免了提权的安全隐患，提高了提权操作的安全性。

较佳地，本发明实施例中的目标操作指令包括N个目标子操作指令，N为正整数。则所述确定所述目标操作指令对应的执行方式，包括：

确定所述目标操作指令的类别、所述目标操作指令中包含的目标子操作指令以及每一个目标子操作指令对应的存储路径；

所述至少根据所述执行方式以及预设的评分规则，确定所述目标操作指令的得分，包括：

根据所述目标操作指令的类别、所述目标操作指令中包含的目标子操作指令、每一个目标子操作指令对应的存储路径以及预设的评分规则，确定每一个目标子操作指令对应的评分；

根据目标子操作指令的评分，确定所述目标操作指令的得分。

具体实施过程中，目标操作指令对应的执行方式包括目标操作指令的类别、目标操作指令中包含的目标子操作指令、每一个目标子操作指令对应的存储路径等，本发明实施例中根据目标操作指令的类别、目标操作指令中包含的目标子操作指令、每一个目标子操作指令对应的存储路径确定每一个目标子操作指令对应的评分。例如，首先确定目标操作指令对应的类别，再针对该目标操作指令中每一个目标子操作指令，确定该目标子操作指令的类别，以及该目标子操作指令对应的存储路径，从而确定出该目标子操作指令的评分。

具体的，表1示出了各执行方式对应的分值，可以按照表1进行每个目标子操作指令的评分计算。

表1

计算得到每一个目标子操作指令的评分后，可以根据目标操作指令中包含的所有目标子操作指令的评分，确定该目标操作指令的最终得分。

一种可选的实施例中，可以依次将目标操作指令中的各个目标子操作指令的评分进行累加，直至累加得到的得分大于或等于拦截阈值，确定目标操作指令超过了安全权限，需要进行拦截。

则上述根据所述目标操作指令的类别、所述目标操作指令中包含的目标子操作指令、每一个目标子操作指令对应的存储路径以及预设的评分规则，确定每一个目标子操作指令对应的评分，包括：

创建执行所述目标操作指令的目标进程，所述目标进程中包含多个子进程，其中一个子进程用于执行一个目标子操作指令；

对所述多个子进程进行监控，当检测到所述多个子进程中的任一目标子进程开始执行时，暂停所述目标进程；

根据所述目标子进程对应的操作指令类别、子操作指令类别以及存储路径，确定所述目标子进程的评分；

所述根据目标子操作指令的评分，确定所述目标操作指令的得分，包括：

依次将目标子进程的评分进行累加作为所述目标操作指令的得分。

具体实施过程中，操作指令可以为针对软件的安装、修复或卸载行为，针对操作系统的环境变量、系统设置的修改等。本发明实施例中创建目标进程来执行目标操作指令，这类目标进程的运行需要在管理员权限下进行，即需要操作者具有较高的操作权限才可以执行。一般来说，目标进程中包含有多个子进程，每个子进程用于执行一个目标子操作指令。

本发明实施例对目标进程中的每一个子进程进行监控，当检测到任一目标子进程开始执行时，则暂停目标进程。具体可以调用API：NtSuspendProcess进行目标进程暂停。目标进程暂停后对目标子进程进行分析和评分，具体的评分方式可以参照表1。

依次确定目标子进程的评分后，将目标子进程的评分进行累加。

进一步地，所述若所述目标操作指令的得分小于所述拦截阈值，则针对所述目标操作对象执行所述目标操作指令，包括：

确定所述目标操作指令的得分小于所述拦截阈值，则通过所述目标子进程执行所述目标子操作指令；

继续执行所述对所述多个子进程进行监控的步骤，直至全部目标子操作均执行完成。

具体实施过程中，将目标子进程依次累加过程中，每累加一个目标子进程的评分，可以将累加得到的结果作为目标操作指令的得分，与拦截阈值进行对比。例如，第一子进程的评分为1，拦截阈值为6，则第一子进程开始执行时，暂停该目标进程，确定此时目标操作指令的得分即为第一子进程的评分，该得分小于拦截阈值，则通过第一子进程执行第一子操作指令。之后继续执行对多个子进程进行监控的步骤，确定有第二子进程开始执行后，暂停目标进程，确定第二子进程的评分为2，则此时目标操作指令的得分为3，也小于拦截阈值，则通过第二子进程执行第二子操作指令。若目标进程就包含第一子进程和第二子进程，则全部目标子操作均执行完成。

本发明实施例中的拦截阈值可以如表2所示，此时拦截阈值为6，即得分小于6时为低风险，可以继续执行，若得分大于或等于6，则为高风险，需要进行拦截。

表2

另一方面，若上述目标进程还包含有第三子进程，确定第三子进程开始执行后，暂停目标进程，确定第三子进程的评分为3，则此时目标操作指令的得分为6，等于拦截阈值，则停止执行第三子进程和目标进程，对目标操作指令进行拦截。从而防止未授权绕过或增加权限等行为，确认提权行为可信度。上述监控过程可以如图3所示。

进一步地，所述接收提权请求之后，所述确定所述目标操作指令对应的执行方式之前，还包括：

根据所述目标操作对象的标识信息，判断所述目标操作对象是否在黑名单或白名单中；

若所述目标操作对象在所述黑名单中，则拒绝所述提权请求；

若所述目标操作对象在所述白名单中，则针对所述目标操作对象执行所述目标操作指令；

若所述目标操作对象不在所述黑名单中且所述目标操作对象也不在所述白名单中，则执行所述确定所述目标操作指令对应的执行方式的步骤。

具体实施过程中，还需要对目标操作指令进行初步的安全检查，主要是基于从服务端同步的安全特征库和运行的提权操作进行比对，判断进程名称，进程hash值、以及命令行的关键字进行判断，确定是否属于黑白名单，或未知程序：

如在黑名单中则直接进行拦截，返回“因安全问题提权失败”；

如在白名单中则直接进行运行，不进行实时监控；

若既不在白名单也不在黑名单，则在创建目标进程后，对目标进程进行实时监控。

较佳地，本发明实施例中，评分规则存储在服务器中，终端可以根据需求向服务器发送请求以获取评分规则。则至少根据所述执行方式以及预设的评分规则，确定所述目标操作指令的得分之前，还包括：

向服务器发送获取请求；

接收所述服务器反馈的获取响应，所述获取响应中包含所述评分规则。

具体实施过程中，服务器可以对如下三个规则进行配置：

进程黑名单：可通过接入威胁情报等方式丰富黑名单，也可以利用为管理员手动添加进程名称、进程hash；

进程白名单：可以为管理员手动添加进程名称、进程hash等；

关键路径规则：可以为管理员手动添加文件/目录路径、注册表路径等，例如文件系统路径：*\windows\system32\*，注册表路径：HKEY_LOCAL_MACHINE\SAM\*。

进一步地，本发明实施例还包括：

至少将所述目标操作对象的标识信息、得分大于或等于拦截阈值的目标操作指令对应的目标进程信息、得分小于拦截阈值的目标操作指令对应的目标进程信息、执行时间进行记录，并发送至服务器。

具体实施过程中，在目标操作指令的监控、拦截、执行等过程中，可以记录用户标识、操作时间、允许的进程、拦截的进程等信息，以断点的方式上传至服务器，用于事后审计，便于管理员优化规则。

此外，本发明实施例中的服务器还记录来自服务器的操作以及终端的日志信息，用于回溯用户提权情况，针对误拦或漏拦的，为系统管理员在特征库模块上手动添加放行/拦截规则提供参考。

以下通过具体实例说明本发明实施例提供的操作权限的处理方法的实现过程。具体实施例基于C/S(客户端/服务器)架构，其中客户端在终端，借助桌面管理软件以本地超级管理员权限运行，通过调用以交互式的方式启动，主要负责整个可信提权的操作，服务端主要负责特征库下发和客户端日志收集，其主要功能模块如图4所示。具体实施过程如图5所示，包括以下过程：

用户使用提权软件，指向到要提权的对象。

提权软件获取提权行为的命令行等相关信息进行黑白名单判断，如果是黑名单，则直接拦截并通知用户原因；如果是白名单，则直接提权运行，直至提权结束；如果为黑白名单外的，则调用安全监控模块持续监控行为特征，发现异常则立即拦截，否则运行至提权结束；

提权结束后，终端将上传日志至服务端。

本发明实施例还提供了一种操作权限的处理装置，所述装置如图6所示，包括：

收发单元601，用于接收提权请求，所述提权请求中至少包含目标操作对象的标识信息和对应的目标操作指令；

解析单元602，用于确定所述目标操作指令对应的执行方式；

评分单元603，用于至少根据所述执行方式以及预设的评分规则，确定所述目标操作指令的得分；

执行单元604，用于若所述目标操作指令的得分大于或等于拦截阈值，则停止执行所述目标操作指令；若所述目标操作指令的得分小于所述拦截阈值，则针对所述目标操作对象执行所述目标操作指令。

一种可选的实施例中，所述目标操作指令包括N个目标子操作指令，N为正整数；

所述解析单元602，具体用于确定所述目标操作指令的类别、所述目标操作指令中包含的目标子操作指令以及每一个目标子操作指令对应的存储路径；

所述评分单元603，具体用于根据所述目标操作指令的类别、所述目标操作指令中包含的目标子操作指令、每一个目标子操作指令对应的存储路径以及预设的评分规则，确定每一个目标子操作指令对应的评分；根据目标子操作指令的评分，确定所述目标操作指令的得分。

一种可选的实施例中，所述执行单元604，具体用于创建执行所述目标操作指令的目标进程，所述目标进程中包含多个子进程，其中一个子进程用于执行一个目标子操作指令；

所述评分单元603，具体用于对所述多个子进程进行监控，当检测到所述多个子进程中的任一目标子进程开始执行时，暂停所述目标进程；根据所述目标子进程对应的操作指令类别、子操作指令类别以及存储路径，确定所述目标子进程的评分；依次将目标子进程的评分进行累加作为所述目标操作指令的得分。

一种可选的实施例中，所述执行单元604，具体用于：

确定所述目标操作指令的得分小于所述拦截阈值，则通过所述目标子进程执行所述目标子操作指令；

继续执行所述对所述多个子进程进行监控的步骤，直至全部目标子操作均执行完成。

一种可选的实施例中，还包括初检单元605，用于：

根据所述目标操作对象的标识信息，判断所述目标操作对象是否在黑名单或白名单中；

若所述目标操作对象在所述黑名单中，则拒绝所述提权请求；

若所述目标操作对象在所述白名单中，则针对所述目标操作对象执行所述目标操作指令；

若所述目标操作对象不在所述黑名单中且所述目标操作对象也不在所述白名单中，则执行所述确定所述目标操作指令对应的执行方式的步骤。

一种可选的实施例中，还包括日志单元606，用于：

至少将所述目标操作对象的标识信息、得分大于或等于拦截阈值的目标操作指令对应的目标进程信息、得分小于拦截阈值的目标操作指令对应的目标进程信息、执行时间进行记录，并发送至服务器。

一种可选的实施例中，收发单元601，还用于：

向服务器发送获取请求；

接收所述服务器反馈的获取响应，所述获取响应中包含所述评分规则。

基于相同的原理，本发明还提供一种电子设备，如图7所示，包括：

包括处理器701、存储器702、收发机703、总线接口704，其中处理器701、存储器702与收发机703之间通过总线接口704连接；

所述处理器701，用于读取所述存储器702中的程序，执行下列方法：

接收提权请求，所述提权请求中至少包含目标操作对象的标识信息和对应的目标操作指令；

确定所述目标操作指令对应的执行方式；

至少根据所述执行方式以及预设的评分规则，确定所述目标操作指令的得分；

若所述目标操作指令的得分大于或等于拦截阈值，则停止执行所述目标操作指令；

若所述目标操作指令的得分小于所述拦截阈值，则针对所述目标操作对象执行所述目标操作指令。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程操作权限的处理设备的处理器以产生一个机器，使得通过计算机或其他可编程操作权限的处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程操作权限的处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程操作权限的处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包括这些改动和变型在内。