CN117521087B - 一种设备风险行为检测方法、***及存储介质 - Google Patents
一种设备风险行为检测方法、***及存储介质 Download PDFInfo
- Publication number
- CN117521087B CN117521087B CN202410009563.0A CN202410009563A CN117521087B CN 117521087 B CN117521087 B CN 117521087B CN 202410009563 A CN202410009563 A CN 202410009563A CN 117521087 B CN117521087 B CN 117521087B
- Authority
- CN
- China
- Prior art keywords
- risk
- detection
- target terminal
- sandbox
- plug
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 249
- 244000035744 Hura crepitans Species 0.000 claims abstract description 88
- 238000000034 method Methods 0.000 claims abstract description 42
- 230000006399 behavior Effects 0.000 claims description 106
- 230000008569 process Effects 0.000 claims description 7
- 238000004891 communication Methods 0.000 claims description 5
- 238000009659 non-destructive testing Methods 0.000 claims description 4
- 238000011161 development Methods 0.000 claims description 3
- 230000026676 system process Effects 0.000 claims description 3
- 230000006870 function Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012216 screening Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44521—Dynamic linking or loading; Link editing at or after load time, e.g. Java class loading
- G06F9/44526—Plug-ins; Add-ons
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及智能设备安全技术领域,提供一种设备风险行为检测方法、***及存储介质,所述方法通过获取待检测的目标终端标识,通过检测插件对目标终端设备的沙盒执行无损检测,并根据生成的沙盒检测信息,通过检测插件检测目标终端设备的风险日志文件,若未检测到风险日志文件,则通过检测插件访问目标终端设备的权限目录,根据访问目标终端设备的权限目录的反馈结果信息生成风险行为检测报告。本申请通过对目标终端设备的沙盒执行检测、对风险日志文件执行检测以及访问目标终端设备的权限目录等多种检测方式相结合,精确检测电子设备的风险行为,提高应用程序运行的安全性。
Description
技术领域
本申请涉及智能设备安全技术领域,尤其涉及一种设备风险行为检测方法、***及存储介质。
背景技术
通过电子设备的***漏洞或三方插件工具,获取电子设备更高权限是一种风险行为。这种行为虽然可以获取更高的权限,自由安装第三方应用或插件,但是,也会造成电子设备的***不稳定,导致电子设备频繁出现闪退、死机等问题。
为了检测电子设备是否存在风险行为,应用程序的开发者会将风险行为的检测插件***至应用程序中。当电子设备安装该应用程序时,检测插件会自动检测电子设备的运行环境,从而减少风险行为对应用程序产生的破坏。
但是,部分风险行为可以通过跳过风险文件访问,跳过风险相关字符串等手段避开检测插件的风险检测,导致检测插件无法准确检测出风险行为,从而导致应用程序可能被风险行为攻击,影响应用程序运行。
发明内容
为了解决检测插件无法准确检测电子设备的风险行为的问题,第一方面,本申请的部分实施例提供一种设备风险行为检测方法,包括:
获取待检测的目标终端标识,所述目标终端标识用于表示安装有目标应用的目标终端设备,所述目标应用包含检测插件;
通过所述检测插件对目标终端设备的沙盒执行无损检测,以生成沙盒检测信息,所述沙盒用于为所述目标终端设备提供安全网络环境;
根据所述沙盒检测信息,通过所述检测插件检测所述目标终端设备的风险日志文件,所述风险日志事件为所述目标终端设备发生风险行为时产生的日志文件;
若未检测到所述风险日志文件,则通过所述检测插件访问所述目标终端设备的权限目录,所述权限目录为在安全网络环境下无法访问的目录文件;
根据访问所述目标终端设备的权限目录的反馈结果信息生成风险行为检测报告。
在一些实施例中,所述沙盒检测信息包括沙盒损坏信息和沙盒安全信息,根据所述沙盒检测信息,通过所述检测插件检测所述目标终端的风险日志文件的步骤,包括:
通过所述检测插件检测***子进程,所述***子进程是根据所述目标终端的***进程构建的分支进程;
若检测到所述***子进程,则输出沙盒损坏信息,所述沙盒损坏信息用于表征沙盒存在损坏;
若未检测到所述***子进程,则通过所述检测插件检测所述目标终端的风险日志文件,以及输出沙盒安全信息,所述沙盒安全信息用于表征沙盒不存在损坏。
在一些实施例中,通过所述检测插件检测***子进程的步骤,包括:
通过检测插件获取子进程返回值;
根据所述子进程返回值检测所述***子进程。
在一些实施例中,根据所述子进程返回值检测所述***子进程的步骤,包括:
设置子进程阈值;
当所述子进程返回值大于或等于子进程阈值时,输出第一检测结果,第一检测结果用于表征检测到所述***子进程;
当所述子进程返回值小于子进程阈值时,输出第二检测结果,第二检测结果用于表征未检测到所述***子进程。
在一些实施例中,若输出沙盒损坏信息,根据访问所述目标终端设备的权限目录的反馈结果信息生成风险行为检测报告的步骤,包括:
根据所述沙盒损坏信息生成第一风险文档;
若检测到所述风险日志文件,则根据所述风险日志文件生成第二风险文档;
根据风险数据生成所述风险行为检测报告,所述风险数据包括所述第一风险文档和所述第二风险文档。
在一些实施例中,所述风险数据还包括第三风险文档,通过所述检测插件检测所述目标终端设备的风险日志文件的步骤前,还包括:
通过所述检测插件检测所述目标终端设备的风险插件;
若所述目标终端设备包含所述风险插件,则根据风险插件生成第三风险文档。
在一些实施例中,根据访问所述目标终端设备的权限目录的反馈结果信息生成风险行为检测报告的步骤,包括:
若所述反馈结果信息为访问成功,则生成存在风险行为的风险行为检测报告;
若所述反馈结果信息为访问失败,则生成不存在风险行为的风险行为检测报告。
在一些实施例中,获取待检测的目标终端标识的步骤前,还包括:
在所述目标应用的开发工具中集成所述检测插件;
设置所述检测插件的检测参数;
当检测到终端设备已安装所述目标应用时,根据所述检测参数配置所述终端设备,以得到所述目标终端标识。
第二方面,本申请的部分实施例提供一种设备风险行为检测***,包括服务器和目标终端设备,所述服务器与至少一个所述目标终端设备建立通信连接,所述目标终端设备为安装有目标应用的终端设备,所述目标应用包含检测插件,所述服务器被配置为:
获取待检测的目标终端标识,所述目标终端标识用于表示安装有目标应用的目标终端设备,所述目标应用包含检测插件;
通过所述检测插件对目标终端设备的沙盒执行无损检测,以生成沙盒检测信息,所述沙盒用于为所述目标终端设备提供安全网络环境;
根据所述沙盒检测信息,通过所述检测插件检测所述目标终端设备的风险日志文件,所述风险日志事件为所述目标终端设备发生风险行为时产生的日志文件;
若未检测到所述风险日志文件,则通过所述检测插件访问所述目标终端设备的权限目录,所述权限目录为在安全网络环境下无法访问的目录文件;
根据访问所述目标终端设备的权限目录的反馈结果信息生成风险行为检测报告。
第三方面,本申请的部分实施例提供一种计算机可读存储介质,所述计算机可读存储介质中包括计算机指令,所述计算机指令用于指示计算机执行第一方面所述的设备风险行为检测方法。
由以上技术内容可知,本申请提供一种设备风险行为检测方法、***及存储介质,所述方法通过获取待检测的目标终端标识,通过检测插件对目标终端设备的沙盒执行无损检测,并根据生成的沙盒检测信息,通过检测插件检测目标终端设备的风险日志文件,若未检测到风险日志文件,则通过检测插件访问目标终端设备的权限目录,根据访问目标终端设备的权限目录的反馈结果信息生成风险行为检测报告。本申请通过对目标终端设备的沙盒执行检测、对风险日志文件执行检测以及访问目标终端设备的权限目录等多种检测方式相结合,精确检测电子设备的风险行为,提高应用程序运行的安全性。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种设备风险行为检测方法的流程图;
图2为本申请实施例中建立***子程序的流程示意图;
图3为本申请实施例根据子进程返回值输出沙盒检测信息的流程图;
图4为本申请实施例根据风险数据生成风险行为检测报告的流程图;
图5为本申请实施例通过检测风险插件生成第三风险文档的流程图;
图6为本申请实施例提供的一种设备风险行为检测***的结构图。
具体实施方式
为使本申请的目的和实施方式更加清楚,下面将结合本申请示例性实施例中的附图,对本申请示例性实施方式进行清楚、完整地描述,显然,描述的示例性实施例仅是本申请一部分实施例,而不是全部的实施例。
需要说明的是,本申请中对于术语的简要说明,仅是为了方便理解接下来描述的实施方式,而不是意图限定本申请的实施方式。除非另有说明,这些术语应当按照其普通和通常的含义理解。
本申请中说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”等是用于区别类似或同类的对象或实体,而不必然意味着限定特定的顺序或先后次序,除非另外注明。应该理解这样使用的用语在适当情况下可以互换。
术语“包括”和“具有”以及他们的任何变形,意图在于覆盖但不排他的包含,例如,包含了一系列组件的产品或设备不必限于清楚地列出的所有组件,而是可包括没有清楚地列出的或对于这些产品或设备固有的其它组件。
电子设备是通过电子技术实现多种功能的设备,例如,智能手机、计算机、工业检测仪等。电子设备还可以具备通信功能,以实现信息或数据的传输和交换,例如,用户可以使用智能手机,通过互联网向其他电子设备发送数据或传输指令,以实现通信。
为了便于对用户的操作行为进行管理,电子设备的部分功能还可以设置权限,电子设备的权限可由设备所有者或管理员进行设置和管理。这些权限可以包括访问网络、推送信息、访问相机/麦克风、获取地理位置、获取通话权限、访问文件等。
但是,电子设备的部分功能无法通过用户自定义设置更改,部分用户会选择通过风险行为获取电子设备更大的使用权限。例如,可以利用电子设备的漏洞或第三方插件工具,使电子设备获得更高权限,但是利用电子设备的漏洞或第三方插件工具获得更高权限的方式也具备很大的安全风险,从而造成电子设备的***不稳定,导致电子设备频繁出现闪退、死机等问题。
需要说明的是,本申请仅以上述实施例作为风险行为的示例性说明,实际应用中所检测的风险行为可以包括设备权限修改、主动或被动的恶意网络攻击、违规网址的访问、电子病毒等违规行为。
在电子设备安装或运行应用程序的过程中,由于电子设备处于风险环境,存在被外来者恶意攻击的风险,从而导致应用程序损坏。为此,应用程序的开发者会将用于检测风险行为或风险环境的检测插件***至应用程序中。当电子设备安装或运行应用程序时,检测插件会自动检测电子设备的运行环境,从而减少风险行为对应用程序产生破坏的风险。
但是,部分风险行为可以通过跳过风险文件访问,跳过风险相关字符串等手段避开检测插件的风险检测,导致检测插件无法准确检测出风险行为,从而导致应用程序可能被风险行为攻击,影响应用程序运行。
为了解决检测插件无法准确检测电子设备的风险行为的问题,本申请的部分实施例提供一种设备风险行为检测方法,如图1所示,所述方法包括:
S100:获取待检测的目标终端标识。
目标终端标识用于表示安装有目标应用的目标终端设备,在本实施例中,可以通过目标终端标识确定目标终端设备。当终端设备安装目标应用时,在终端设备对应的状态栏处可以生成目标终端标识,以表示当前终端设备已经安装目标应用,当前终端设备为目标终端设备。
目标应用包含检测插件,检测插件用于目标终端的运行环境执行风险检测,以根据运行环境生成对应的检测报告。
在一些实施例中,在目标终端设备安装目标应用后,会通过目标应用的检测插件对目标终端设备执行第一次风险检测。在完成第一次风险检测后,由于目标终端设备在安装目标应用和运行目标应用之间,具有一定的时间间隔,因此,为了避免在目标应用的安装与目标应用的运行之间的时间间隔内,目标终端设备出现风险行为,在目标终端设备运行时,可以通过检测插件对目标终端设备执行第二次风险检测,以提高应用程序运行的安全性。
基于上述实施例,为了区别在目标终端设备安装目标应用以及在目标终端设备运行目标应用的状态,还可以设置不同的目标终端标识,例如,当目标终端设备安装目标应用后,可以设置第一终端标识,当目标终端设备运行目标应用后,可以将第一终端标识切换为第二终端标识,以区分安装目标应用和运行目标应用的状态,其中,第一终端标识是与第二终端标识不同的标识符号或图形。
在一些实施例中,在开发目标应用的过程中,还可以在目标应用的开发工具中集成检测插件,并设置检测插件的检测参数,例如,设置检测插件的启动参数,如在安装目标应用后启动,或者在运行目标应用后启动。
当检测到终端设备已安装目标应用时,检测插件可以根据预先设置到的检测参数配置终端设备,在完成配置后,将终端设备标记为目标终端标识,此时该终端设备即为待检测的目标终端设备。
S200:通过所述检测插件对目标终端设备的沙盒执行无损检测,以生成沙盒检测信息。
其中,所述沙盒用于为所述目标终端设备提供安全网络环境。沙盒是计算机安全领域中是一种安全机制,能够为目标终端设备提供安全网络环境。在通过检测插件检测目标终端设备时,需要先对目标终端设备的沙盒执行无损检测,以生成沙盒检测信息,从而确定沙盒的完整性。
沙盒检测信息可以包括沙盒损坏信息和沙盒安全信息,输出沙盒损坏信息时,说明目标终端设备的沙盒已被破坏,目标终端设备存在风险行为,输出沙盒安全信息时,说明目标终端设备的沙盒完好,从而可以继续执行后续的检测。
图2为本申请实施例中建立***子程序的流程示意图。参见图2,当沙盒完好时,目标终端设备的设备***的沙盒会阻拦***子进程的创建,因此,在一些实施例中,可以通过检测插件检测目标终端设备中是否存在***子进程来生成沙盒检测信息。在本实施例中,可以通过检测插件检测***子进程,***子进程是根据目标终端的***进程,通过fork()函数构建的分支进程。
如图3所示,当检测插件在目标终端设备中检测到***子进程时,说明沙盒未成功阻拦fork()函数创建***子进程,沙盒被破坏,检测插件输出沙盒损坏信息。若检测插件未检测到***子进程,说明沙盒完好,检测插件输出沙盒安全信息。
在一些实施例中,还可以通过fork()的返回值检测目标终端设备中的***子程序,不同的fork()的返回值用于表示不同的沙盒检测信息,因此,检测插件还可以通过获取目标终端设备的子进程返回值,并根据子进程返回值检测***子进程。
当沙盒完好时,由于沙盒的阻拦,fork()无法正常创建***子程序,此时,目标终端在fork()的子进程返回值会输出负值,以表示***子程序创建失败或无法创建。当沙盒被破坏后,沙盒失去了阻拦能力,fork()可以正常创建***子程序,此时fork()的子进程返回值会输出正值或0,以表示***子程序创建成功。
为了准确输出沙盒检测信息,还可以设置子进程阈值,子进程阈值用于判断***子程序的创建情况,在检测插件检测到子程序返回值后,可以基于子进程阈值对子进程返回值执行判断。例如,可以设置子进程阈值为0,当检测插件获取的子进程返回值大于或等于0时,表示***子进程已经成功创建,检测插件输出第一检测结果,第一检测检测用于表征检测到所述***子进程。当检测插件获取的子进程返回值小于0,表示***子程序创建失败或无法创建,检测插件输出第二检测结果,第二检测结果用于表征未检测到***子程序。
S300:根据所述沙盒检测信息,通过所述检测插件检测所述目标终端设备的风险日志文件。
当检测插件生成的沙盒损坏信息时,说明目标终端设备出现风险行为,但是,并不确定风险行为发生的具***置或具体路径。为此,在本实施例中,还可以根据检测插件检测目标终端设备的风险日志文件。
风险日志事件为目标终端设备发生风险行为时产生的日志文件,风险日志文件可以包括:/usr/lib/CepheiUI.framework/CepheiUI、/usr/lib/libsubstitute.dylib、/usr/lib/substitute-inserter.dylib、/usr/lib/substrate/SubstrateLoader.dylib等。
由于目标终端设备的保存的数据量较大,在检测插件检测风险日志文件的过程中,可以对目标终端设备内部的文件执行层级筛选,例如,设置筛选条件,如“日志文件”或“补丁文件”等容易产生风险行为的文件执行优先检测,对于剩余文件按照默认顺序或优先级相对较低的筛选条件依次检测,从而提高对风险日志文件的检测效率。
S400:若未检测到所述风险日志文件,则通过所述检测插件访问所述目标终端设备的权限目录,所述权限目录为在安全网络环境下无法访问的目录文件。
当检测插件检测到风险日志文件时,检测插件可以根据检测到的风险日志文件生成风险行为检测报告,以确定目标终端设备存在风险行为。但是,检测插件在上述检测的过程中,仅对已知类型的风险日志文件执行检测,由于风险行为的升级更新,部分风险行为在发生时,可以绕过检测插件的风险日志文件检测,因此,存在部分风险日志文件无法被准确检测。
检测插件在未检测到风险日志文件时,为了减少部分风险日志文件绕过检测的问题,检测插件还可以发起生成对目标终端设备的权限目录的访问请求。权限目录为在安全网络环境下无法访问的目录文件,当目标终端设备出现风险行为时,目标终端设备的权限会增大,从而可以访问到权限目录下的文件信息,从而实现对权限目录下的文件执行读写操作。因此,检测插件可以通过访问目标终端设备的权限目录,实现对风险日志文件的精确检测。
S500:根据访问所述目标终端设备的权限目录的反馈结果信息生成风险行为检测报告。
检测插件可以将访问请求发送至权限目录,权限目录会基于目标终端设备当前的权限范围生成对应的反馈结果信息。
当反馈结果信息为访问成功时,说明存在风险日志文件绕过检测插件的检测保留在目标终端设备中,目标终端设备存在风险行为,检测插件生成存在风险行为的风险行为检测报告。当反馈结果为访问失败时,说明目标终端设备中不存在风险日志文件,目标终端设备没有发生风险行为,检测插件生成不存在风险行为的风险行为检测报告。
在一些实施例中,当检测插件生成存在风险行为的检测报告后,还可以基于风险行为检测报告生成提示信息,以提示用户,目标终端设备存在风险行为。例如,当用户在使用用户终端设备运行目标应用时,检测插件在对用户终端设备后,生成存在风险行为的风险行为检测报告,并显示在用户终端设备的显示屏幕中提示弹窗,以提示用户终端设备存在风险。
在本申请实施例中,检测插件通过对目标终端设备的沙盒执行检测、对风险日志文件执行检测以及访问目标终端设备的权限目录等多种检测方式相结合,提高风险行为的检测精度。为了在目标终端设备中准确定位风险行为,还可以通过检测插件根据每种检测方式的检测结果生成风险文档。为了节省目标终端设备的内存量,在本实施例中,如图4所示,检测插件可以仅针对风险结果生成风险文档,例如,当检测插件对沙盒执行无损检测时,输出沙盒损坏信息,检测插件可以根据沙盒损坏信息生成第一风险文档。当检测插件检测到所述风险日志文件,则根据所述风险日志文件生成第二风险文档。检测插件从而可以根据风险数据生成风险行为检测报告,其中,风险数据包括第一风险文档和第二风险文档。用户可以通过风险行为检测报告,确定风险行为所产生的风险数据的位置,从而清除风险数据。
在一些实施例中,风险数据还可以包括第三风险文档,第三风险文档是根据风险插件生成的风险文档,当目标终端设备中存在风险插件时,说明目标终端设备存在风险行为。如图5所示,在检测插件检测目标终端设备的风险日志文件之前,检测插件还可以检测目标终端设备的风险插件,其中,风险插件可以包括Cycript插件、Flex插件、Frida插件、Cephei插件、xCon插件等。当检测插件检测到目标终端设备中安装有风险插件时,还可以根据风险插件生成第三风险存档。
图6为本申请实施例提供的一种设备风险行为检测***的结构图。为了便于执行上述记载的方法,参见图6,本申请的部分实施例还提供一种设备风险行为检测***,所述***包括服务器和目标终端设备,其中,服务器可以提供同时对多个目标终端设备执行风险检测的检测环境,在服务器对目标终端设备执行检测之前,还需要与目标终端设备建立通信连接。在本实施例中。所述服务器被配置为执行:
S100:获取待检测的目标终端标识。
其中,所述目标终端标识用于表示安装有目标应用的目标终端设备,所述目标应用包含检测插件;
S200:通过所述检测插件对目标终端设备的沙盒执行无损检测,以生成沙盒检测信息。
其中,所述沙盒用于为所述目标终端设备提供安全网络环境;
S300:根据所述沙盒检测信息,通过所述检测插件检测所述目标终端设备的风险日志文件。
其中,所述风险日志事件为所述目标终端设备发生风险行为时产生的日志文件;
S400:若未检测到所述风险日志文件,则通过所述检测插件访问所述目标终端设备的权限目录。
其中,所述权限目录为在安全网络环境下无法访问的目录文件;
S500:根据访问所述目标终端设备的权限目录的反馈结果信息生成风险行为检测报告。
服务器可用于目标程序的开发者对所有安装有目标应用的目标终端设备执行风险检测,并获取每个目标终端设备的风险行为检测报告,并根据应用需求,服务器可选择向存在风险行为的目标终端设备发送风险提示信息,以提示用户目标终端设备存在风险行为。
同时,为了保护应用程序不被恶意攻击或破坏,在检测出目标终端设备存在风险行为后,可以停止目标应用继续运行,以保护目标应用程序。
本申请的部分实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中包括计算机指令,所述计算机指令用于指示计算机执行上述记载的方法。
由以上技术内容可知,本申请提供一种设备风险行为检测方法、***及存储介质,所述方法通过获取待检测的目标终端标识,通过检测插件对目标终端设备的沙盒执行无损检测,并根据生成的沙盒检测信息,通过检测插件检测目标终端设备的风险日志文件,若未检测到风险日志文件,则通过检测插件访问目标终端设备的权限目录,根据访问目标终端设备的权限目录的反馈结果信息生成风险行为检测报告。本申请通过对目标终端设备的沙盒执行检测、对风险日志文件执行检测以及访问目标终端设备的权限目录等多种检测方式相结合,精确检测电子设备的风险行为,提高应用程序运行的安全性。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
为了方便解释,已经结合具体的实施方式进行了上述说明。但是,上述示例性的讨论不是意图穷尽或者将实施方式限定到上述公开的具体形式。根据上述的教导,可以得到多种修改和变形。上述实施方式的选择和描述是为了更好的解释本公开内容,从而使得本领域技术人员更好的使用所述实施方式。
Claims (9)
1.一种设备风险行为检测方法,其特征在于,包括:
获取待检测的目标终端标识,所述目标终端标识用于表示安装有目标应用的目标终端设备,所述目标应用包含检测插件;
通过所述检测插件对目标终端设备的沙盒执行无损检测,以生成沙盒检测信息,所述沙盒用于为所述目标终端设备提供安全网络环境;
根据所述沙盒检测信息,通过所述检测插件检测所述目标终端设备的风险日志文件,所述风险日志文件为所述目标终端设备发生风险行为时产生的日志文件;
若未检测到所述风险日志文件,则通过所述检测插件访问所述目标终端设备的权限目录,所述权限目录为在安全网络环境下无法访问的目录文件;
获取访问所述目标终端设备的权限目录的反馈结果信息;
若所述反馈结果信息为访问成功,则生成存在风险行为的风险行为检测报告,以及,根据所述风险行为检测报告确定风险数据的位置,以清除所述风险数据;
若所述反馈结果信息为访问失败,则生成不存在风险行为的风险行为检测报告。
2.根据权利要求1所述的设备风险行为检测方法,其特征在于,所述沙盒检测信息包括沙盒损坏信息和沙盒安全信息,根据所述沙盒检测信息,通过所述检测插件检测所述目标终端设备的风险日志文件的步骤,包括:
通过所述检测插件检测***子进程,所述***子进程是根据所述目标终端设备的***进程构建的分支进程;
若检测到所述***子进程,则输出沙盒损坏信息,所述沙盒损坏信息用于表征沙盒存在损坏;
若未检测到所述***子进程,则通过所述检测插件检测所述目标终端设备的风险日志文件,以及输出沙盒安全信息,所述沙盒安全信息用于表征沙盒不存在损坏。
3.根据权利要求2所述的设备风险行为检测方法,其特征在于,通过所述检测插件检测***子进程的步骤,包括:
通过检测插件获取子进程返回值;
根据所述子进程返回值检测所述***子进程。
4.根据权利要求3所述的设备风险行为检测方法,其特征在于,根据所述子进程返回值检测所述***子进程的步骤,包括:
设置子进程阈值;
当所述子进程返回值大于或等于子进程阈值时,输出第一检测结果,第一检测结果用于表征检测到所述***子进程;
当所述子进程返回值小于子进程阈值时,输出第二检测结果,第二检测结果用于表征未检测到所述***子进程。
5.根据权利要求2所述的设备风险行为检测方法,其特征在于,若输出沙盒损坏信息,根据访问所述目标终端设备的权限目录的反馈结果信息生成风险行为检测报告的步骤,包括:
根据所述沙盒损坏信息生成第一风险文档;
若检测到所述风险日志文件,则根据所述风险日志文件生成第二风险文档;
根据风险数据生成所述风险行为检测报告,所述风险数据包括所述第一风险文档和所述第二风险文档。
6.根据权利要求5所述的设备风险行为检测方法,其特征在于,所述风险数据还包括第三风险文档,通过所述检测插件检测所述目标终端设备的风险日志文件的步骤前,还包括:
通过所述检测插件检测所述目标终端设备的风险插件;
若所述目标终端设备包含所述风险插件,则根据风险插件生成第三风险文档。
7.根据权利要求1所述的设备风险行为检测方法,其特征在于,获取待检测的目标终端标识的步骤前,还包括:
在所述目标应用的开发工具中集成所述检测插件;
设置所述检测插件的检测参数;
当检测到终端设备已安装所述目标应用时,根据所述检测参数配置所述终端设备,以得到所述目标终端标识。
8.一种设备风险行为检测***,其特征在于,包括服务器和目标终端设备,所述服务器与至少一个所述目标终端设备建立通信连接,所述目标终端设备为安装有目标应用的终端设备,所述目标应用包含检测插件,所述服务器被配置为:
获取待检测的目标终端标识,所述目标终端标识用于表示安装有目标应用的目标终端设备,所述目标应用包含检测插件;
通过所述检测插件对目标终端设备的沙盒执行无损检测,以生成沙盒检测信息,所述沙盒用于为所述目标终端设备提供安全网络环境;
根据所述沙盒检测信息,通过所述检测插件检测所述目标终端设备的风险日志文件,所述风险日志文件为所述目标终端设备发生风险行为时产生的日志文件;
若未检测到所述风险日志文件,则通过所述检测插件访问所述目标终端设备的权限目录,所述权限目录为在安全网络环境下无法访问的目录文件;
根据访问所述目标终端设备的权限目录的反馈结果信息生成风险行为检测报告;
若所述反馈结果信息为访问成功,则生成存在风险行为的风险行为检测报告,以及,根据所述风险行为检测报告确定风险数据的位置,以清除所述风险数据;
若所述反馈结果信息为访问失败,则生成不存在风险行为的风险行为检测报告。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中包括计算机指令,所述计算机指令用于指示计算机执行权利要求1-7任一项所述的设备风险行为检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410009563.0A CN117521087B (zh) | 2024-01-04 | 2024-01-04 | 一种设备风险行为检测方法、***及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410009563.0A CN117521087B (zh) | 2024-01-04 | 2024-01-04 | 一种设备风险行为检测方法、***及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117521087A CN117521087A (zh) | 2024-02-06 |
| CN117521087B true CN117521087B (zh) | 2024-03-15 |
Family
ID=89744247
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410009563.0A Active CN117521087B (zh) | 2024-01-04 | 2024-01-04 | 一种设备风险行为检测方法、***及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117521087B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102592086A (zh) * | 2011-12-28 | 2012-07-18 | 奇智软件(北京)有限公司 | 在沙箱中浏览网页方法及装置 |
| CN104915594A (zh) * | 2015-06-30 | 2015-09-16 | 北京奇虎科技有限公司 | 应用程序运行方法及装置 |
| CN106293667A (zh) * | 2015-05-27 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种应用程序修改检测方法及装置 |
| CN108334775A (zh) * | 2018-01-23 | 2018-07-27 | 阿里巴巴集团控股有限公司 | 一种越狱插件检测方法及装置 |
| CN109101815A (zh) * | 2018-07-27 | 2018-12-28 | 平安科技(深圳)有限公司 | 一种恶意软件检测方法及相关设备 |
| CN109597675A (zh) * | 2018-10-25 | 2019-04-09 | 中国科学院信息工程研究所 | 虚拟机恶意软件行为检测方法及*** |
| CN112685737A (zh) * | 2020-12-24 | 2021-04-20 | 恒安嘉新(北京)科技股份公司 | 一种app的检测方法、装置、设备及存储介质 |
| CN112988607A (zh) * | 2021-05-11 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 一种应用程序的组件检测方法、装置和存储介质 |
| CN113641996A (zh) * | 2021-05-26 | 2021-11-12 | 荣耀终端有限公司 | 检测方法、图形界面及相关装置 |
| CN114491518A (zh) * | 2022-01-27 | 2022-05-13 | 中国农业银行股份有限公司 | 一种越权访问的检测方法、装置、***及介质 |
| CN114861180A (zh) * | 2022-05-25 | 2022-08-05 | 广东粤密技术服务有限公司 | 应用程序的安全性检测方法和装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8479286B2 (en) * | 2009-12-15 | 2013-07-02 | Mcafee, Inc. | Systems and methods for behavioral sandboxing |
| WO2013082437A1 (en) * | 2011-12-02 | 2013-06-06 | Invincia, Inc. | Methods and apparatus for control and detection of malicious content using a sandbox environment |
| US11281767B2 (en) * | 2018-03-23 | 2022-03-22 | International Business Machines Corporation | Secure system state extraction software extensibility via plugin sandboxing |
-
2024
- 2024-01-04 CN CN202410009563.0A patent/CN117521087B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102592086A (zh) * | 2011-12-28 | 2012-07-18 | 奇智软件(北京)有限公司 | 在沙箱中浏览网页方法及装置 |
| CN106293667A (zh) * | 2015-05-27 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种应用程序修改检测方法及装置 |
| CN104915594A (zh) * | 2015-06-30 | 2015-09-16 | 北京奇虎科技有限公司 | 应用程序运行方法及装置 |
| CN108334775A (zh) * | 2018-01-23 | 2018-07-27 | 阿里巴巴集团控股有限公司 | 一种越狱插件检测方法及装置 |
| CN109101815A (zh) * | 2018-07-27 | 2018-12-28 | 平安科技(深圳)有限公司 | 一种恶意软件检测方法及相关设备 |
| CN109597675A (zh) * | 2018-10-25 | 2019-04-09 | 中国科学院信息工程研究所 | 虚拟机恶意软件行为检测方法及*** |
| CN112685737A (zh) * | 2020-12-24 | 2021-04-20 | 恒安嘉新(北京)科技股份公司 | 一种app的检测方法、装置、设备及存储介质 |
| CN112988607A (zh) * | 2021-05-11 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 一种应用程序的组件检测方法、装置和存储介质 |
| CN113641996A (zh) * | 2021-05-26 | 2021-11-12 | 荣耀终端有限公司 | 检测方法、图形界面及相关装置 |
| CN114491518A (zh) * | 2022-01-27 | 2022-05-13 | 中国农业银行股份有限公司 | 一种越权访问的检测方法、装置、***及介质 |
| CN114861180A (zh) * | 2022-05-25 | 2022-08-05 | 广东粤密技术服务有限公司 | 应用程序的安全性检测方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117521087A (zh) | 2024-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9888025B2 (en) | Method and system for providing an efficient asset management and verification service | |
| EP2696282B1 (en) | System and method for updating authorized software | |
| US8955135B2 (en) | Malicious code infection cause-and-effect analysis | |
| US7870242B2 (en) | Flexible compliance agent with integrated remediation | |
| US20200210592A1 (en) | Detecting Firmware Vulnerabilities | |
| US20100063855A1 (en) | Flexible system health and remediation agent | |
| KR20130129184A (ko) | 서버 결합된 멀웨어 방지를 위한 시스템 및 방법 | |
| CN101676876A (zh) | 受威胁计算机的自动的基于硬件的恢复 | |
| US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| US20190109824A1 (en) | Rule enforcement in a network | |
| KR20040056998A (ko) | 위험도 산정을 통한 악성실행코드 탐지 장치 및 그 방법 | |
| CN109784051B (zh) | 信息安全防护方法、装置及设备 | |
| CN113132412B (zh) | 一种计算机网络安全测试检验方法 | |
| US11003772B2 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
| CN117521087B (zh) | 一种设备风险行为检测方法、***及存储介质 | |
| CN111783089A (zh) | 一种追溯恶意进程的方法、装置及存储介质 | |
| CN114610402B (zh) | 操作权限控制方法和操作权限配置方法 | |
| CN117034210B (zh) | 一种事件画像的生成方法、装置、存储介质及电子设备 | |
| CN112163198B (zh) | 一种主机登录安全检测方法、***、装置及存储介质 | |
| CN107832605A (zh) | 一种保护终端安全的方法和装置 | |
| KR100512145B1 (ko) | 침입탐지 시스템에서 파일 무결성 검사 방법 | |
| CN113569242A (zh) | 违规软件识别方法 | |
| CN117271054A (zh) | 一种容器内核故障处理方法、***、存储介质及电子设备 | |
| CN116225819A (zh) | 一种挖矿行为检测方法、装置、设备及存储介质 | |
| CN116961977A (zh) | 安全检测方法、装置、设备及计算机程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |