(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210758812.7 (22)申请日 2022.06.29 (71)申请人 奇安信科技 集团股份有限公司 地址 100088 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 奇安信安全技 术 （珠海） 有限公司 (72)发明人 文臣　付旻　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 孟省 (51)Int.Cl. G06F 21/55(2013.01) G06F 9/445(2018.01) (54)发明名称 主动防御中的规则匹配方法、 装置、 设备和 存储介质 (57)摘要 本发明实施例提供一种主动防御中的规则 匹配方法、 装置、 设备和存储介质。 该方法包括： 获取操作事件对应的规则； 所述规则用于指示所 述操作事件对应的处理方式； 确定所述操作事件 对应的规则中是否存在第一关键字； 若存在所述 第一关键字， 则根据所述第一关键字调用对应的 第一插件对 所述操作事件进行处理， 获取所述第 一插件的返回信息； 根据所述第一插件的返回信 息获取匹配结果； 所述匹配结果用于表示所述操 作事件是否为危险行为。 上述方案中提高了以插 件形式实现主动防御的匹配功能可以有效减轻 代码的耦合度， 降低主框架 代码出问题的风险。 权利要求书2页 说明书10页 附图3页 CN 115329325 A 2022.11.11 CN 115329325 A 1.一种主动防御中的规则匹配方法， 其特 征在于， 包括： 获取操作事 件对应的规则； 所述 规则用于指示所述操作事 件对应的处 理方式； 确定所述操作事 件对应的规则中是否存在第一关键 字； 若存在所述第 一关键字， 则根据所述第 一关键字调用对应的第 一插件对所述操作事件 进行处理， 获取所述第一插 件的返回信息； 根据所述第 一插件的返回信 息获取匹配结果； 所述匹配结果用于表示所述操作事件是 否为危险行为。 2.根据权利要求1所述的主动防御中的规则匹配方法， 其特征在于， 所述根据 所述第一 关键字调用对应的第一插件对所述操作事件进行处理， 获取所述第一插件的返回信息， 包 括： 根据所述第一关键 字对应的通用唯一识别码U UID， 获取 所述第一插 件的调用接口； 利用所述第一插件的调用接口， 将所述操作事件输入所述第一插件， 获取所述第一插 件的返回信息 。 3.根据权利要求1或2所述的主动防御中的规则匹配方法， 其特征在于， 所述根据所述 第一插件的返回信息获取匹配结果， 包括： 在所述第一插件的返回信 息指示需要进行常规匹配的情况下， 对所述操作事件进行常 规匹配， 获取匹配结果。 4.根据权利要求1或2所述的主动防御中的规则匹配方法， 其特征在于， 所述根据所述 第一插件的返回信息获取匹配结果之后， 还 包括： 确定所述操作事 件对应的规则中是否存在第二关键 字； 若存在所述第 二关键字， 则根据所述第 二关键字调用对应的第 二插件对所述操作事件 进行处理， 获取所述第二插 件的返回信息； 根据所述第二插 件的返回信息对所述匹配结果进行修 正， 获取修 正后的匹配结果。 5.根据权利要求4所述的主动防御中的规则匹配方法， 其特征在于， 所述根据 所述第二 关键字调用对应的第二插件对所述操作事件进行处理， 获取所述第二插件的返回信息， 包 括： 根据所述第二关键 字对应的通用唯一识别码U UID， 获取 所述第二插 件的调用接口； 利用所述第二插件的调用接口， 将所述操作事件输入所述第二插件， 获取所述第二插 件的返回信息 。 6.根据权利要求1或2所述的主动防御中的规则匹配方法， 其特征在于， 所述获取操作 事件对应的规则， 包括： 监测操作事件； 所述操作事件的信 息包括以下至少一项： 操作事件对应的进程、 操作的 目标对象或操作行为； 利用预设的规则库， 获取 所述操作事 件对应的规则。 7.根据权利要求4所述的主动防御中的规则匹配方法， 其特征在于， 所述第 一插件和所 述第二插 件通过动态 链接库DL L实现。 8.一种主动防御中的规则匹配装置， 其特 征在于， 包括： 获取模块， 用于获取操作事件对应的规则； 所述规则用于指示所述操作事件对应的处 理方式；权　利　要　求　书 1/2 页 2 CN 115329325 A 2处理模块， 用于确定所述操作事件对应的规则中是否存在第一关键字； 若存在所述第 一关键字， 则根据所述第一关键字调用对应的第一插件对所述操作事件进行处理， 获取所 述第一插 件的返回信息； 所述处理模块， 还用于根据所述第一插件的返回信息获取匹配结果； 所述匹配结果用 于表示所述操作事 件是否为 危险行为。 9.一种电子设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计算 机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至7任一项所述主动防 御中的规则匹配方法。 10.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该计算机 程序被处 理器执行时实现如权利要求1至7任一项所述主动防御中的规则匹配方法。权　利　要　求　书 2/2 页 3 CN 115329325 A 3