CN108229161A - 应用监控方法、装置和终端 - Google Patents
应用监控方法、装置和终端 Download PDFInfo
- Publication number
- CN108229161A CN108229161A CN201611156638.XA CN201611156638A CN108229161A CN 108229161 A CN108229161 A CN 108229161A CN 201611156638 A CN201611156638 A CN 201611156638A CN 108229161 A CN108229161 A CN 108229161A
- Authority
- CN
- China
- Prior art keywords
- daily record
- record data
- pitching pile
- nuclear layer
- inner nuclear
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Alarm Systems (AREA)
Abstract
本发明提出一种应用监控方法、装置和终端,涉及安全技术领域。其中,本发明的一种应用监控方法包括:通过内核层插桩获取日志数据;通过分析日志数据获取异常问题。通过这样的方法,能够直接监控和分析安卓底层关键模块的调用,从而实现对安卓应用在上层的所有行为进行实时监控,能够有效发现恶意执行代码注入以及自篡改程序执行的字节码等问题,提高终端的安全性。
Description
技术领域
本发明涉及安全技术领域,特别是一种应用监控方法、装置和终端。
背景技术
随着终端、应用的发展,越来越多的用户将重要应用和个人信息存储于终端中,采用移动终端进行购物、支付等操作也越来越多,防止终端被恶意程序威胁的重要性也急剧提高。
在终端中,安卓***终端的使用量十分巨大。现有Android软件敏感行为监控和拦截方式是基于安卓***的Binder(粘合剂)进程间通信机制,通过Hook(钩子)函数钩住进程间通信的Binder信息来分析安卓软件的敏感行为。
但是,这样的方法只是通过检测安卓进程间通信机制Binder来检测和分析Android行为,而新出现的安卓恶意应用可以通过在本地框架层中注入恶意执行代码、自篡改程序执行的字节码来绕开在框架层中Binder监测,对于这样的恶意程序,现有技术无能为力,容易造成用户损失。
发明内容
本发明的一个目的在于提高用户终端的安全性。
根据本发明的一个方面,提出一种应用监控方法,包括:通过内核层插桩获取日志数据;通过分析日志数据获取异常问题。
可选地,通过内核层插桩获取日志数据包括:通过内核层中内存管理关键函数的插桩获取内存管理日志数据,内存管理日志数据包括内存加载、内存修改和/或内存复制。
可选地,通过内核层插桩获取日志数据包括:通过内核层中文件管理关键函数的插桩获取文件管理日志数据,文件管理日志数据包括文件添加、文件删除和/或文件修改。
可选地,通过内核层插桩获取日志数据包括:通过内核层中驱动关键函数的插桩获取驱动日志数据,驱动日志数据包括NFC(Near Field Communication,近距离无线通信技术)、摄像头和/或USB(Universal Serial Bus,通用串行总线)的日志数据。
可选地,异常问题包括注入恶意执行代码和/或篡改程序执行的字节码。
可选地,还包括:当确定发生异常问题时,发出告警信息。
可选地,还包括:基于进程跟踪ptrace框架在***的内核层插桩。
通过这样的方法,能够直接监控和分析安卓底层关键模块的调用,从而实现对安卓应用在上层的所有行为进行实时监控,能够有效发现恶意执行代码注入以及自篡改程序执行的字节码等问题,提高终端的安全性。
根据本发明的另一个方面,提出一种应用监控装置,包括:插桩模块,用于通过内核层插桩获取日志数据;插桩日志分析模块,用于通过分析日志数据获取异常问题。
可选地,插桩模块包括:内存管理插桩单元,用于通过内核层中内存管理关键函数的插桩获取内存管理日志数据,内存管理日志数据包括内存加载、内存修改和/或内存复制。
可选地,插桩模块包括:文件管理插桩单元,用于通过内核层中文件管理关键函数的插桩获取文件管理日志数据,文件管理日志数据包括文件添加、文件删除和/或文件修改。
可选地,插桩模块包括:驱动插桩单元,用于通过内核层中驱动关键函数的插桩获取驱动日志数据,驱动日志数据包括NFC、摄像头和/或USB的日志数据。
可选地,异常问题包括注入恶意执行代码和/或篡改程序执行的字节码。
可选地,还包括:告警模块,用于当插桩日志分析模块确定发生异常问题时,发出告警信息。
可选地,还包括:插桩配置模块,用于基于进程跟踪ptrace框架在***的内核层插桩。
这样的装置能够直接监控和分析安卓底层关键模块的调用,从而实现对安卓应用在上层的所有行为进行实时监控,能够有效发现恶意执行代码注入以及自篡改程序执行的字节码等问题,提高终端的安全性。
根据本发明的又一个方面,提出一种终端,包括上文中提到的任意一种应用监控装置。
这样的终端能够利用应用监控装置直接监控和分析安卓底层关键模块的调用,从而实现对安卓应用在上层的所有行为进行实时监控,能够有效发现恶意执行代码注入以及自篡改程序执行的字节码等问题,提高终端的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明的应用监控方法的一个实施例的流程图。
图2为本发明的应用监控方法的另一个实施例的流程图。
图3为本发明的应用监控装置的一个实施例的示意图。
图4为本发明的应用监控装置的另一个实施例的示意图。
图5为本发明的终端的一个实施例的示意图。
具体实施方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
本发明的应用监控方法的一个实施例的流程图如图1所示。
在步骤101中,通过内核层插桩获取日志数据。在一个实施例中,可以基于ptrace框架针对内核的重要模块进行插桩。
在步骤102中,通过分析日志数据获取异常问题。在一个实施例中,可以分析日志数据,还可以对各个模块的日志数据进行关联分析,查找是否存在恶意执行代码注入以及自篡改程序执行的字节码等问题。
通过这样的方法,能够直接监控和分析安卓底层关键模块的调用,从而实现对安卓应用在上层的所有行为进行实时监控,能够有效发现恶意执行代码注入以及自篡改程序执行的字节码等问题,提高安全检测能力,提高终端的安全性。
本发明的应用监控方法的另一个实施例的流程图如图2所示。
在步骤201中,通过内核层中内存管理关键函数的插桩获取内存管理日志数据,内存管理日志数据可以包括内存加载、内存修改、内存复制等。
在步骤202中,通过内核层中文件管理关键函数的插桩获取文件管理日志数据,文件管理日志数据可以包括文件添加、文件删除、文件修改等。
在步骤203中,通过内核层中驱动关键函数的插桩获取驱动日志数据,驱动日志数据包括NFC、摄像头、USB的日志数据等。
在步骤204中,通过分析日志数据获取异常问题。在一个实施例中,可以通过内存管理日志数据、文件管理日志数据以及驱动日志数据的单独分析和综合分析,得到异常的日志数据,进而确定是否发生异常问题。在一个实施例中,异常问题包括注入恶意执行代码、篡改程序执行的字节码等。
通过这样的方法,能够在内核层的关键位置,如内存管理、文件管理和驱动进行插桩和日志采集,实现对程序执行的字节码进行全面的监控和日志记录,从而及时得到内存管理、文件管理和驱动的异常,便于及时、全面的发现异常问题,提高安全性。
在一个实施例中,可以采用真机进行本发明的应用监控方法的测试。首先启动hook定制后的真机的执行环境,加载安装待分析的应用。进而利用在内核中的hook插桩监控获取日志信息,并分析日志信息。通过这样的方法,能够采用真机进行效果测试,优化应用监控效果,提高安全性。
本发明的应用监控装置的一个实施例的示意图如图3所示。其中,插桩模块301能够通过内核层插桩获取日志数据。在一个实施例中,可以基于ptrace框架针对内核的重要模块进行插桩。插桩日志分析模块302能够通过分析日志数据获取异常问题。在一个实施例中,可以分析日志数据,还可以对各个模块的日志数据进行关联分析,查找是否存在恶意执行代码注入以及自篡改程序执行的字节码等问题。
这样的装置能够直接监控和分析安卓底层关键模块的调用,从而实现对安卓应用在上层的所有行为进行实时监控,能够有效发现恶意执行代码注入以及自篡改程序执行的字节码等问题,提高安全检测能力,提高终端的安全性。
本发明的应用监控装置的另一个实施例的示意图如图4所示。其中,内存管理插桩单元401能够通过内核层中内存管理关键函数的插桩获取内存管理日志数据,内存管理日志数据可以包括内存加载、内存修改、内存复制等。文件管理插桩单元402能够通过内核层中文件管理关键函数的插桩获取文件管理日志数据,文件管理日志数据可以包括文件添加、文件删除、文件修改等。驱动插桩单元403能够通过内核层中驱动关键函数的插桩获取驱动日志数据,驱动日志数据包括NFC、摄像头、USB的日志数据等。插桩日志分析模块42能够通过分析日志数据获取异常问题。在一个实施例中,可以通过内存管理日志数据、文件管理日志数据以及驱动日志数据的单独分析和综合分析,得到异常的日志数据,进而确定是否发生异常问题。在一个实施例中,异常问题包括注入恶意执行代码、篡改程序执行的字节码等。
这样的装置能够在内核层的关键位置,如内存管理、文件管理和驱动进行插桩和日志采集,从而及时得到内存管理、文件管理和驱动的异常,便于及时、全面的发现异常问题,提高安全性。
本发明的终端的一个实施例的示意图如图5所示。终端***的架构包括应用层51、框架层52和内核层53,其中,内核层53中包括多个关键功能单元,如内存管理单元531、文件管理单元532和驱动单元533等。应用监控装置的插桩模块54位于终端的内核层53中,可以包括、内存管理插桩单元541、文件管理插桩单元542和驱动插桩单元543,分别位于内存管理单元531、文件管理单元532和驱动单元533中,能够分别获取内存管理日志数据、文件管理日志数据和驱动日志数据。插桩日志分析模块55根据内存管理日志数据、文件管理日志数据和驱动日志数据进行单独分析和综合分析,得到异常的日志数据,进而确定是否发生异常问题。
这样的终端能够利用应用监控装置直接监控和分析安卓底层关键模块的调用,从而实现针对安卓应用在上层的所有行为进行实时监控,能够有效发现恶意执行代码注入以及自篡改程序执行的字节码等问题,提高安全检测能力,提高终端的安全性。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (11)
1.一种应用监控方法,其特征在于,包括:
通过内核层插桩获取日志数据;
通过分析所述日志数据获取异常问题。
2.根据权利要求1所述的方法,其特征在于,
所述通过内核层插桩获取日志数据包括:
通过所述内核层中内存管理关键函数的插桩获取内存管理日志数据,所述内存管理日志数据包括内存加载、内存修改和/或内存复制;
通过所述内核层中文件管理关键函数的插桩获取文件管理日志数据,所述文件管理日志数据包括文件添加、文件删除和/或文件修改;
和/或,
通过所述内核层中驱动关键函数的插桩获取驱动日志数据,所述驱动日志数据包括近距离无线通信技术NFC、摄像头和/或通用串行总线USB的日志数据。
3.根据权利要求1所述的方法,其特征在于,所述异常问题包括注入恶意执行代码和/或篡改程序执行的字节码。
4.根据权利要求1所述的方法,其特征在于,还包括:
当确定发生所述异常问题时,发出告警信息。
5.根据权利要求1所述的方法,其特征在于,还包括:
基于进程跟踪ptrace框架在***的内核层插桩。
6.一种应用监控装置,其特征在于,包括:
插桩模块,用于通过内核层插桩获取日志数据;
插桩日志分析模块,用于通过分析所述日志数据获取异常问题。
7.根据权利要求6所述的装置,其特征在于,所述插桩模块包括:
内存管理插桩单元,用于通过所述内核层中内存管理关键函数的插桩获取内存管理日志数据,所述内存管理日志数据包括内存加载、内存修改和/或内存复制;
文件管理插桩单元,用于通过所述内核层中文件管理关键函数的插桩获取文件管理日志数据,所述文件管理日志数据包括文件添加、文件删除和/或文件修改;
和/或,
驱动插桩单元,用于通过所述内核层中驱动关键函数的插桩获取驱动日志数据,所述驱动日志数据包括近距离无线通信技术NFC、摄像头和/或通用串行总线USB的日志数据。
8.根据权利要求6所述的装置,其特征在于,所述异常问题包括注入恶意执行代码和/或篡改程序执行的字节码。
9.根据权利要求6所述的装置,其特征在于,还包括:
告警模块,用于当所述插桩日志分析模块确定发生所述异常问题时,发出告警信息。
10.根据权利要求6所述的装置,其特征在于,还包括:
插桩配置模块,用于基于进程跟踪ptrace框架在***的内核层插桩。
11.一种终端,其特征在于,包括权利要求6~10任意一项所述的应用监控装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611156638.XA CN108229161A (zh) | 2016-12-15 | 2016-12-15 | 应用监控方法、装置和终端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611156638.XA CN108229161A (zh) | 2016-12-15 | 2016-12-15 | 应用监控方法、装置和终端 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108229161A true CN108229161A (zh) | 2018-06-29 |
Family
ID=62651128
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611156638.XA Pending CN108229161A (zh) | 2016-12-15 | 2016-12-15 | 应用监控方法、装置和终端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108229161A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109388538A (zh) * | 2018-09-13 | 2019-02-26 | 西安交通大学 | 一种基于内核的文件操作行为监控方法及装置 |
CN109697163A (zh) * | 2018-12-14 | 2019-04-30 | 西安四叶草信息技术有限公司 | 程序测试方法及设备 |
CN110413497A (zh) * | 2019-07-30 | 2019-11-05 | Oppo广东移动通信有限公司 | 异常监控方法、装置、终端设备及计算机可读存储介质 |
CN110866226A (zh) * | 2019-11-15 | 2020-03-06 | 中博信息技术研究院有限公司 | 一种基于加密技术的java应用软件版权保护方法 |
CN111382424A (zh) * | 2018-12-27 | 2020-07-07 | 全球能源互联网研究院有限公司 | 一种基于受控环境的移动应用敏感行为检测方法和*** |
CN111931166A (zh) * | 2020-09-24 | 2020-11-13 | 中国人民解放军国防科技大学 | 基于代码注入和行为分析的应用程序防攻击方法和*** |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全***及实现方法 |
US20140245386A1 (en) * | 2012-07-10 | 2014-08-28 | Barak ROSENBERG | System and method for access control management |
CN105074671A (zh) * | 2013-03-27 | 2015-11-18 | 英特尔公司 | 用于在内核模块和设备驱动程序中检测并发编程错误的方法和*** |
CN105184166A (zh) * | 2015-10-21 | 2015-12-23 | 南京大学 | 基于内核的安卓程序实时行为分析方法及*** |
-
2016
- 2016-12-15 CN CN201611156638.XA patent/CN108229161A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全***及实现方法 |
US20140245386A1 (en) * | 2012-07-10 | 2014-08-28 | Barak ROSENBERG | System and method for access control management |
CN105074671A (zh) * | 2013-03-27 | 2015-11-18 | 英特尔公司 | 用于在内核模块和设备驱动程序中检测并发编程错误的方法和*** |
CN105184166A (zh) * | 2015-10-21 | 2015-12-23 | 南京大学 | 基于内核的安卓程序实时行为分析方法及*** |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109388538A (zh) * | 2018-09-13 | 2019-02-26 | 西安交通大学 | 一种基于内核的文件操作行为监控方法及装置 |
CN109697163A (zh) * | 2018-12-14 | 2019-04-30 | 西安四叶草信息技术有限公司 | 程序测试方法及设备 |
CN109697163B (zh) * | 2018-12-14 | 2022-03-04 | 西安四叶草信息技术有限公司 | 程序测试方法及设备 |
CN111382424A (zh) * | 2018-12-27 | 2020-07-07 | 全球能源互联网研究院有限公司 | 一种基于受控环境的移动应用敏感行为检测方法和*** |
CN110413497A (zh) * | 2019-07-30 | 2019-11-05 | Oppo广东移动通信有限公司 | 异常监控方法、装置、终端设备及计算机可读存储介质 |
CN110413497B (zh) * | 2019-07-30 | 2024-02-13 | Oppo广东移动通信有限公司 | 异常监控方法、装置、终端设备及计算机可读存储介质 |
CN110866226A (zh) * | 2019-11-15 | 2020-03-06 | 中博信息技术研究院有限公司 | 一种基于加密技术的java应用软件版权保护方法 |
CN110866226B (zh) * | 2019-11-15 | 2022-05-24 | 中博信息技术研究院有限公司 | 一种基于加密技术的java应用软件版权保护方法 |
CN111931166A (zh) * | 2020-09-24 | 2020-11-13 | 中国人民解放军国防科技大学 | 基于代码注入和行为分析的应用程序防攻击方法和*** |
CN111931166B (zh) * | 2020-09-24 | 2021-06-22 | 中国人民解放军国防科技大学 | 基于代码注入和行为分析的应用程序防攻击方法和*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108229161A (zh) | 应用监控方法、装置和终端 | |
CN102752730B (zh) | 消息处理的方法及装置 | |
CN103368904B (zh) | 移动终端、可疑行为检测及判定***和方法 | |
CN103473844B (zh) | 公租房智能控制方法及*** | |
Khan et al. | Itus: an implicit authentication framework for android | |
CN107766728A (zh) | 移动应用安全管理装置、方法及移动作业安全防护*** | |
CN105493054B (zh) | 使用双文件***的快速数据保护 | |
CN105956474B (zh) | Android平台软件异常行为检测*** | |
US9916442B2 (en) | Real-time recording and monitoring of mobile applications | |
CN102799827B (zh) | 移动设备上数据的有效保护 | |
CN111931166B (zh) | 基于代码注入和行为分析的应用程序防攻击方法和*** | |
WO2009097610A1 (en) | A vmm-based intrusion detection system | |
CN107209825A (zh) | 经由存储器监测的数据流跟踪 | |
CN104995630A (zh) | 基于动态污点的安全性扫描 | |
CN109388538A (zh) | 一种基于内核的文件操作行为监控方法及装置 | |
CN101582176A (zh) | 消防设备安全检查管理方法 | |
CN107358103A (zh) | 基于敏感函数调用插桩的安卓敏感行为监控方法和*** | |
CN106383768A (zh) | 基于移动设备操作行为的监管分析***及其方法 | |
CN110460583A (zh) | 一种敏感信息记录方法及装置、电子设备 | |
CN103679025A (zh) | 一种基于树突细胞算法的恶意代码检测方法 | |
Xu et al. | PLC-SEIFF: A programmable logic controller security incident forensics framework based on automatic construction of security constraints | |
CN103678985A (zh) | 操作人标签的自动生成***和自动生成方法 | |
CN103233646A (zh) | 用于监控保险柜安全的方法及*** | |
CN109088872A (zh) | 带使用期限的云平台的使用方法、装置、电子设备及介质 | |
CN102290091B (zh) | 一种移动硬盘日志文件的完整保护方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180629 |
|
RJ01 | Rejection of invention patent application after publication |