CN117852043A - 异常设备的确定方法、装置、电子设备以及存储介质 - Google Patents

Abstract

本公开提供了异常设备的确定方法、装置、电子设备以及存储介质，涉及计算机技术领域，尤其涉及软件检测、网络安全技术领域。该方法的具体实现方案为：响应于目标设备的***版本标识小于等于第一预定阈值，从应用框架层获取目标应用的软件包名；根据软件包名，从***内核层的参数中得到与目标应用对应的进程属性值，其中，参数是在引导加载程序运行***内核时生成的；响应于进程属性值小于第二预定阈值，从应用框架层获取目标设备的属性信息；以及基于目标设备的属性信息，确定目标设备是否异常。

Description

异常设备的确定方法、装置、电子设备以及存储介质

技术领域

本公开涉及计算机技术领域，尤其涉及软件检测、网络安全技术领域。具体涉及异常设备的确定方法、装置、电子设备以及存储介质。

背景技术

安全类的SDK(Software Development Kit，软件开发工具包)可以通过采集终端设备的网络信息、***信息、硬件信息等，检测终端应用软件中是否存在含有病毒、虚拟定位等存在网络安全隐患的软件。

因此，利用安全类的SDK可以有效识别设备或网络是否存在安全风险。

发明内容

本公开提供了一种异常设备的确定方法、装置、电子设备以及存储介质。

根据本公开的一方面，提供了一种异常设备的确定方法，包括：响应于目标设备的***版本标识小于等于第一预定阈值，从应用框架层获取目标应用的软件包名；根据软件包名，从***内核层的参数中得到与目标应用对应的进程属性值，其中，参数是在引导加载程序运行***内核时生成的；响应于进程属性值小于第二预定阈值，从应用框架层获取目标设备的属性信息；以及基于目标设备的属性信息，确定目标设备是否异常。。

根据本公开的另一方面，提供了一种异常设备的确定装置，包括：第一获取模块、获得模块、第二获取模块和确定模块。第一获取模块，用于响应于目标设备的***版本标识小于等于第一预定阈值，从应用框架层获取目标应用的软件包名。获得模块，用于根据软件包名，从***内核层的参数中得到与目标应用对应的进程属性值，其中，参数是在引导加载程序运行***内核时生成的。第二获取模块，用于响应于进程属性值小于第二预定阈值，从应用框架层获取目标设备的属性信息。确定模块，用于基于目标设备的属性信息，确定目标设备是否异常。

根据本公开的另一方面，提供了一种电子设备，包括：至少一个处理器；以及与上述至少一个处理器通信连接的存储器；其中，上述存储器存储有可被上述至少一个处理器执行的指令，上述指令被所述至少一个处理器执行，以使上述至少一个处理器能够执行如上描述的方法。

根据本公开的另一方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，其中，上述计算机指令用于使所述计算机执行如上描述的方法。

根据本公开的另一方面，提供了一种计算机程序产品，包括计算机程序，上述计算机程序在被处理器执行时实现如上描述的方法。

应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。

附图说明

附图用于更好地理解本方案，不构成对本公开的限定。其中：

图1示意性示出了根据本公开实施例的可以应用异常设备的确定方法及装置的示例性***架构；

图2示意性示出了根据本公开实施例的异常设备的确定方法的流程图；

图3示意性示出了根据本公开实施例的用于***版本标识小于等于5.1的设备的异常设备确定方法流程图；

图4示意性示出了根据本公开实施例的用于***版本标识大于5.1的设备的异常设备确定方法流程图；

图5示意性示出了根据本公开实施例的异常设备的确定装置的框图；以及

图6示意性示出了根据本公开实施例的适于实现异常设备的确定方法的电子设备的框图。

具体实施方式

以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

安全类的SDK在对Android(安卓)***中的应用软件进行安全检测时，只支持对处于前台的应用软件进行相关数据采集。应用软件在前台运行时表示用户当前正在移动终端的可视化界面上对该应用软件执行滑动、点击、输入等操作。但是，应用软件是否在前台运行取决于用户对应用软件的操作，可以理解的是，应用软件是否在前台运行是瞬时变化的，因此，对安全类的SDK执行相关数据的采集操作造成了困难。

相关示例中可以通过监听与应用软件对应的进程的活动状态(Activity)变化，确定当前进程是否正在前台运行。但是，这种方法只能对已注册的进程进行监听。由于应用软件在运行时，通常会同时启用多个进程。随着应用软件的功能升级，启用的进程数也会随之增加。那么，则需要针对每一个进程均需要调用安全SDK的方法执行相应进程的监听注册操作，这种密集的注册操作，不仅存在耗时长的问题，还容易出错。

另一相关示例中可以通过调用get Running Task方法确定应用软件是否在前台运行。但是这种方法不仅需要依赖敏感权限的授予，而且获取的设备的相关属性信息中包括不符合相关规定的敏感信息。

另一相关示例中可以通过启用无障碍辅助服务(AccessibilityService)功能，监测应用软件在前台或后台的运行状态。但是，这种方法也需要依赖敏感权限的授予，而且获取的设备的相关属性信息中包括不符合相关规定的敏感信息。此外，长时间启用该功能会产生设备的额外能耗，影响设备的正常工作性能。

有鉴于此，本公开实施例提供了一种异常设备的确定方法，由于进程属性值是从***内核层的参数中获得的，因此，不涉及用户的任何敏感信息的采集，就可以准确判断目标应用是否在前台运行。并且在确定目标应用在前台运行的情况下，才从应用框架层采集目标设备的属性信息，既符合相关规定，又可以在无需密集监听注册操作的情况下，适用于多进程场景中对设备是否异常的检测。

图1示意性示出了根据本公开实施例的可以应用异常设备的确定方法及装置的示例性***架构。

需要注意的是，图1所示仅为可以应用本公开实施例的***架构的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他设备、***、环境或场景。例如，在另一实施例中，可以应用异常设备的确定方法及装置的示例性***架构可以包括终端设备，但终端设备可以无需与服务器进行交互，即可实现本公开实施例提供的异常设备的确定方法及装置。

如图1所示，根据该实施例的100可以包括终端设备110、网络120和服务器130。网络110用以在终端设备110和服务器130之间提供通信链路的介质。网络120可以包括各种连接类型，例如有线和/或无线通信链路等等。

终端设备的Android***架构1101可以包括：应用层(Applications)101、应用框架层(Application Framework)102、核心类库(Libraries)103和***内核层(LinuxKernel)104。在核心类库(Libraries)103包括运行时(Runtime)1031调用的核心类库。

用户可以使用终端设备110通过网络120与服务器130交互，以接收或发送消息等。终端设备110上可以安装有各种通讯客户端应用，例如知识阅读类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端和/或社交平台软件等(仅为示例)。

终端设备110可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。

服务器130可以是提供各种服务的服务器，例如对用户利用终端设备110所浏览的内容提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理，并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。

需要说明的是，本公开实施例所提供的异常设备的确定方法一般可以由终端设备110执行。相应地，本公开实施例所提供的异常设备的确定装置也可以设置于终端设备110中。

例如：终端设备140可以从应用框架层102获取目标应用的软件包名。根据软件包名，从***内核层104的参数中得到与目标应用对应的进程属性值。响应于进程属性值小于第二预定阈值，从应用框架层获取目标设备的属性信息。基于目标设备的属性信息，确定目标设备是否异常。

或者，本公开实施例所提供的异常设备的确定方法一般也可以由服务器130执行。相应地，本公开实施例所提供的异常设备的确定装置一般可以设置于服务器130中。本公开实施例所提供的异常设备的确定方法也可以由不同于服务器130且能够与终端设备110和/或服务器130通信的服务器或服务器集群执行。相应地，本公开实施例所提供的异常设备的确定装置也可以设置于不同于服务器130且能够与终端设备110和/或服务器130通信的服务器或服务器集群中。

在本公开的技术方案中，所涉及的用户个人信息的收集、存储、使用、加工、传输、提供、公开和应用等处理，均符合相关法律法规的规定，采取了必要保密措施，且不违背公序良俗。

在本公开的技术方案中，在获取或采集用户个人信息之前，均获取了用户的授权或同意。

图2示意性示出了根据本公开实施例的异常设备的确定方法的流程图。

如图2所示，该方法包括操作S210～S240。

在操作S210，响应于目标设备的***版本标识小于等于第一预定阈值，从应用框架层获取目标应用的软件包名。

在操作S220，根据软件包名，从***内核层的参数中得到与目标应用对应的进程属性值。

在操作S230，响应于进程属性值小于第二预定阈值，从应用框架层获取目标设备的属性信息。

在操作S240，基于目标设备的属性信息，确定目标设备是否异常。

根据本公开的实施例，***版本标识可以是Android(安卓)***版本号。第一预定阈值可以是5.1。目标应用可以是已集成安全SDK的应用软件。

根据本公开的实施例，可以通过调用Android***的API(ApplicationProgramming Interface，应用程序接口)，执行get Package Name方法，从应用框架层获取目标应用的软件包名。

需要说明的是，通过执行get Package Name方法只能获取目标应用的软件包名，不涉及任何目标应用的其他敏感信息。

根据本公开的实施例，根据软件包名，可以通过执行Linux命令“Proc/软件包名/oom_adj”，从***内核层的参数中得到与目标应用对应的进程属性值。由于***内核层的参数是在引导加载程序运行***内核时生成的，因此，***内核层的参数中包括当前前台、后台运行的全部应用程序的进程信息。

根据本公开的实施例，进程属性值可以是进程的优先级。通过对***内核层的参数进行源码分析，可以确定同一进程的不同优先级，可以表征该进程当前是否在前台运行。

例如：进程的优先级的配置参数可以包括0、1、2、3、4、5。其中，某进程的优先级小于等于1时，可以表示该进程正在前台运行。某进程的优先级大于1时，可以表示该进程正在后台运行。

此外，进程属性值也可以是除优先级之外的其他能够唯一标识进程是否在前台运行的其他属性，本公开实施例对此不作具体限定。

根据本公开的实施例，从应用框架层获取的目标设备的属性信息可以包括：目标设备的***版本信息、硬件版本信息、目标设备当前连接的网络信息等。

根据本公开的实施例，基于目标设备的不同属性信息，可以确定目标设备是否异常。例如：基于目标设备的***版本信息，可以确定目标设备是否被篡改。基于目标设备当前连接的网络信息，可以确定目标设备处于异常网络环境等。

根据本公开的实施例，由于进程属性值是从***内核层的参数中获得的，因此，不涉及用户的任何敏感信息的采集，就可以准确判断目标应用是否在前台运行。并且在确定目标应用在前台运行的情况下，才从应用框架层采集目标设备的属性信息，既符合相关规定，又可以在无需密集监听注册操作的情况下，适用于多进程场景中对设备是否异常的检测。

下面参考图3～图4，结合具体实施例对图2所示的方法做进一步说明。

在实际应用场景中，恶意程序可能会篡改目标设备的应用框架层的软件包名。因此，为了进一步增强本公开实施例与恶意程序的对抗性，可以对利用***内核层的软件包名对应用框架层的软件包名进行校验。

根据本公开的实施例，根据软件包名，从***内核层的参数中得到与目标应用对应的进程属性值，可以包括如下操作：从***内核层的参数中获取在当前时段内正在运行的应用程序的进程标识；根据进程标识，从***内核层的参数中得到第一软件包名；以及响应于第一软件包名与目标应用的软件包名相同，根据目标应用的软件包名，从***内核层的参数中得到进程属性值。

根据本公开的实施例，可以通过执行Linux命令从***内核层的参数中读取***/pro/下的文件夹列表，通过循环遍历文件夹列表，在确定文件夹列表中的文件夹名称为数字类型时，可以确定该文件夹名称为在当前时段内正在运行的应用程序的进程标识(PID，Process Identification)。

根据本公开的实施例，通过执行Linux命令“pro/PID/cmdline”从内核层的参数中得到第一软件包名。

根据本公开的实施例，当第一软件包名与从应用框架层获取的目标应用的软件包名相同时，可以确定该目标应用的软件包名没有被恶意篡改，可以基于目标应用的软件包名，从***内核层的参数中得到进程属性值。

根据本公开的实施例，通过利用***内核层的软件包名对应用框架层的软件包名进行校验，可以增强与恶意程序的对抗性。

需要说明的是，***内核层的参数是在引导加载程序运行***内核时生成的。虽然，PID可以唯一标识正在运行的进程，但是，基于PID从***内核层的参数中的获取的第一软件包名可能由于不符合软件包名的命名规则，而导致第一软件包名与目标应用的软件包名的对比结果有误。

因此，可以在执行第一软件包名与目标应用的软件包名的对比操作之前执行如下操作：基于预定命名规则，对第一软件包名进行校验，得到校验结果；从应用框架层读取私有数据目录下的文件名称信息；以及响应于校验结果为第一软件包名符合预定命名规则，且文件名称信息中包括第一软件包名，对第一软件包名与目标应用的软件包名执行对比操作。

例如：预定命名规则可以包括：软件包名中只能包括小写英文字母(a～z)、数字(0～9)和下划线(_)，不允许使用特殊字符、空格或其他符号，并且软件包名的各个字段之间需要使用点号(.)隔开。

因此，可以基于预定命名规则构建正则表达式，利用正则表达式对第一软件包名进行校验。

根据本公开的实施例，对于符合预定命名规则的第一软件包名，还需要确定第一软件包名是否存在于私有数据目录下的文件名称信息。例如：在应用框架层的私有数据目录中是否存在“data/data/pkgName”目录。“pkgName”可以对应第一软件包名。

根据本公开的实施例，在确定第一软件包名符合预定命名规则且文件名称信息中包括第一软件包名的情况下，将第一软件包名与目标应用的软件包名进行对比。

根据本公开的实施例，在执行对比操作之前，对第一软件包名进行命名规则和私有数据目录的验证，可以降低由于第一软件包名的字段缺陷影响对比结果准确度的概率。

图3示意性示出了根据本公开实施例的用于***版本标识小于等于5.1的设备的异常设备确定方法流程图。

如图3所示，该方法300包括操作S301～S311。

在操作S301，获取目标应用的软件包名。

在操作S302，读取/pro/下文件夹列表中第i个文件夹对应的进程标识“PID”。

在操作S303，确定PID是否为数字类型？若是，则执行操作S304；若不是，则返回执行操作S302，并递增i，读取/pro/下文件夹列表中第i+1个文件夹对应的进程标识。

在操作S304，通过执行proc/PID/cmdline命令读取第一软件包名。

在操作S305，确定第一软件包名符合预定命名规则？若是，则执行操作S306；若不是，则返回执行操作S302，并递增i。

在操作S306，确定是否存在data/data/软件包名/目录？若是，则执行操作S307；若不是，则返回执行操作S302，并递增i。

在操作S307，通过执行proc/PID/oom_adj命令读取目标应用的进程优先级。

在操作S308，确定进程优先级为0或1？若是，则执行操作S309；若不是，则执行操作S311。

在操作S309，目标应用在前台运行，从应用框架层获取目标设备的属性信息。

在操作S310，根据目标设备的属性信息，确定目标设备是否异常。

在操作S311，目标应用在后台运行，暂不处理。

前文描述的是用于***版本标识小于等于5.1的设备的异常设备确定方法。对于***版本标识大于5.1的设备，由于***版本升级，将进程的属性信息集成到应用框架层。因此，用于***版本标识大于5.1的设备的异常设备确定方法可以执行如下操作：

响应于目标设备的***版本标识大于第一预定阈值，从应用框架层获取与目标应用对应的进程属性信息；以及响应于进程属性信息满足预定条件，从应用框架层获取目标设备的属性信息。

根据本公开的实施例，进程属性信息可以包括进程的重要程度字段和进程的重要程度原因字段。

根据本公开的实施例，响应于进程属性信息满足预定条件，从应用框架层获取目标设备的属性信息，可以包括如下操作：响应于进程的重要程度字段为第一预定字段且进程的重要程度原因字段为第二预定字段，从应用框架层获取目标设备的属性信息。

根据本公开的实施例，进程的重要程度字段可以表征进程对用户操作的重要程度。例如：“IMPORTANCE_FOREGROUND”可以表征在前台运行的进程的重要程度。“IMPORTANCE_SERVICE”可以表征服务进程的重要程度。

根据本公开的实施例，重要程度原因字段可以表征某进程处于该重要程度的原因。例如：对于“IMPORTANCE_FOREGROUND”，该进程处于该重要程度的原因可以是由于界面造成的，其对应的重要程度原因字段可以是“REASON_UNKNOWN”。

因此，预定条件可以是“进程的重要程度字段为第一预定字段且进程的重要程度原因字段为第二预定字段”。其中，第一预定字段可以为“IMPORTANCE_FOREGROUND”，第二预定字段可以为“REASON_UNKNOWN”。第一预定字段和第二预定字段表征目标应用正在目标设备的可视化界面上运行。

根据本公开的实施例，对于***版本标识大于5.1的目标设备，通过从应用框架层获取与目标应用对应的进程属性信息，可以快速、准确的确定目标应用当前是否正在前台运行，以确定是否可以执行目标设备的属性信息的采集操作。

图4示意性示出了根据本公开实施例的用于***版本标识大于5.1的设备的异常设备确定方法流程图。

如图4所示，该方法400可以包括操作S401～S406。

在操作S401，从应用框架层获取与目标应用对应的进程属性信息。

在操作S402，确定进程重要程度字段是否为“IMPORTANCE_FOREGROUND”。若是，则执行操作S403；若不是，则执行操作S406。

在操作S403，确定进程重要程度的原因字段为“REASON_UNKNOWN”。若是，则执行操作S404；若不是，则执行操作S406。

在操作S404，目标应用在前台运行，从应用框架层获取目标设备的属性信息。

在操作S405，根据目标设备的属性信息，确定目标设备是否异常。

在操作S406，目标应用在后台运行，暂不处理。

根据本公开的实施例，基于目标设备的属性信息，确定目标设备是否异常，可以包括如下操作：基于目标设备的标识信息和预定标识信息，确定目标设备是否存在***异常；以及基于目标设备的网络信息和预定网络信息，确定目标设备是否存在网络异常。

根据本公开的实施例，目标设备的标识信息可以包括***标识、设备标识、目标设备的硬件序列标识、DRM(Digital Rights Management，数字版权管理)标识等。

根据本公开的实施例，预定标识信息可以是目标设备出厂时配置的，对应地，预定标识信息可以包括目标设备出厂时配置的***标识、设备标识、目标设备的硬件序列标识、DRM(Digital Rights Management，数字版权管理)标识等。

根据本公开的实施例，通过逐一对比目标设备的当前标识和预定标识信息，可以确定目标设备是否被篡改，以确定目标设备是否存在***异常。

根据本公开的实施例，目标设备的网络信息可以包括目标设备当前连接的网络标识，例如：Wi-Fi(Wireless Fidelity，无线上网)的名称和Wi-Fi的硬件标识。

根据本公开的实施例，预定网络信息可以是预先收集的存在网络安全风险的网络标识。

根据本公开的实施例，通过逐一对比目标设备的当前连接的网络标识和预定网络信息，可以确定目标设备当前连接的网络是否存在异常。

图5示意性示出了根据本公开实施例的异常设备的确定装置的框图。

如图5所示，该确定装置500可以包括第一获取模块510、获得模块520、第二获取模块530和确定模块540。

第一获取模块510，用于响应于目标设备的***版本标识小于等于第一预定阈值，从应用框架层获取目标应用的软件包名。

获得模块520，用于根据软件包名，从***内核层的参数中得到与目标应用对应的进程属性值，其中，参数是在引导加载程序运行***内核时生成的。

第二获取模块530，用于响应于进程属性值小于第二预定阈值，从应用框架层获取目标设备的属性信息。

确定模块540，用于基于目标设备的属性信息，确定目标设备是否异常。

根据本公开的实施例，获得模块可以包括：第一获取子模块、第一获得子模块和第二获得子模块。第一获取子模块，用于从***内核层的参数中获取在当前时段内正在运行的应用程序的进程标识。第一获得子模块，用于根据进程标识，从***内核层的参数中得到第一软件包名。第二获得子模块，用于响应于第一软件包名与目标应用的软件包名相同，根据目标应用的软件包名，从***内核层的参数中得到进程属性值。

根据本公开的实施例，获得模块还包括：校验子模块、读取子模块和对比子模块。校验子模块，用于基于预定命名规则，对第一软件包名进行校验，得到校验结果。读取子模块，用于从应用框架层读取私有数据目录下的文件名称信息。对比子模块，用于响应于校验结果为第一软件包名符合预定命名规则，且文件名称信息中包括第一软件包名，对第一软件包名与目标应用的软件包名执行对比操作。

根据本公开的实施例，该装置还包括：第三获取模块和第四获取欧快。第三获取模块，用于响应于目标设备的***版本标识大于第一预定阈值，从应用框架层获取与目标应用对应的进程属性信息。第四获取模块，用于响应于进程属性信息满足预定条件，从应用框架层获取目标设备的属性信息。

根据本公开的实施例，进程属性信息包括进程的重要程度字段和进程的重要程度原因字段。第四获取模块包括第二获取子模块，用于响应于进程的重要程度字段为第一预定字段且进程的重要程度原因字段为第二预定字段，从应用框架层获取目标设备的属性信息，其中，第一预定字段和第二预定字段表征目标应用正在目标设备的可视化界面上运行。

根据本公开的实施例，确定模块包括：第一确定子模块和第二确定子模块。第一确定子模块，用于基于目标设备的标识信息和预定标识信息，确定目标设备是否存在***异常。第二确定子模块，用于基于目标设备的网络信息和预定网络信息，确定目标设备是否存在网络异常。

根据本公开的实施例，本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。

根据本公开的实施例，一种电子设备，包括：至少一个处理器；以及与至少一个处理器通信连接的存储器；其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行如上描述的方法。

根据本公开的实施例，一种存储有计算机指令的非瞬时计算机可读存储介质，其中，计算机指令用于使计算机执行如上描述的方法。

根据本公开的实施例，一种计算机程序产品，包括计算机程序，计算机程序在被处理器执行时实现如上描述的方法。

图6示出了可以用来实施本公开的实施例的示例电子设备600的示意性框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本公开的实现。

如图6所示，设备600包括计算单元601，其可以根据存储在只读存储器(ROM)602中的计算机程序或者从存储单元608加载到随机访问存储器(RAM)603中的计算机程序，来执行各种适当的动作和处理。在RAM 603中，还可存储设备600操作所需的各种程序和数据。计算单元601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。

设备600中的多个部件连接至I/O接口605，包括：输入单元606，例如键盘、鼠标等；输出单元607，例如各种类型的显示器、扬声器等；存储单元608，例如磁盘、光盘等；以及通信单元609，例如网卡、调制解调器、无线通信收发机等。通信单元609允许设备600通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

计算单元601可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元601的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元601执行上文所描述的各个方法和处理，例如异常设备的确定方法。例如，在一些实施例中，异常设备的确定方法可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元608。在一些实施例中，计算机程序的部分或者全部可以经由ROM 602和/或通信单元609而被载入和/或安装到设备600上。当计算机程序加载到RAM 603并由计算单元601执行时，可以执行上文描述的异常设备的确定方法的一个或多个步骤。备选地，在其他实施例中，计算单元601可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行异常设备的确定方法。

本文中以上描述的***和技术的各种实施方式可以在数字电子电路***、集成电路***、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上***的***(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程***上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储***、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储***、该至少一个输入装置、和该至少一个输出装置。

用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行***、装置或设备使用或与指令执行***、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体***、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

为了提供与用户的交互，可以在计算机上实施此处描述的***和技术，该计算机具有：用于向用户显示信息的显示装置(例如，CRT(阴极射线管)或者LCD(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。

可以将此处描述的***和技术实施在包括后台部件的计算***(例如，作为数据服务器)、或者包括中间件部件的计算***(例如，应用服务器)、或者包括前端部件的计算***(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的***和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算***中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将***的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)和互联网。

计算机***可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，也可以是分布式***的服务器，或者是结合了区块链的服务器。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本公开公开的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本公开保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等，均应包含在本公开保护范围之内。

Claims (15)

1.一种异常设备的确定方法，包括：

响应于目标设备的***版本标识小于等于第一预定阈值，从应用框架层获取目标应用的软件包名；

根据所述软件包名，从***内核层的参数中得到与所述目标应用对应的进程属性值，其中，所述参数是在引导加载程序运行***内核时生成的；

响应于所述进程属性值小于第二预定阈值，从所述应用框架层获取所述目标设备的属性信息；以及

基于所述目标设备的属性信息，确定所述目标设备是否异常。

2.根据权利要求1所述的方法，其中，所述根据所述软件包名，从***内核层的参数中得到与所述目标应用对应的进程属性值，包括：

从所述***内核层的参数中获取在当前时段内正在运行的应用程序的进程标识；

根据所述进程标识，从所述***内核层的参数中得到第一软件包名；以及

响应于所述第一软件包名与所述目标应用的软件包名相同，根据所述目标应用的软件包名，从所述***内核层的参数中得到所述进程属性值。

3.根据权利要求2所述的方法，还包括：

基于预定命名规则，对所述第一软件包名进行校验，得到校验结果；

从所述应用框架层读取私有数据目录下的文件名称信息；以及

响应于所述校验结果为所述第一软件包名符合所述预定命名规则，且所述文件名称信息中包括所述第一软件包名，对所述第一软件包名与所述目标应用的软件包名执行对比操作。

4.根据权利要求1所述的方法，还包括：

响应于目标设备的***版本标识大于第一预定阈值，从应用框架层获取与所述目标应用对应的进程属性信息；以及

响应于所述进程属性信息满足预定条件，从所述应用框架层获取所述目标设备的属性信息。

5.根据权利要求4所述的方法，其中，所述进程属性信息包括进程的重要程度字段和进程的重要程度原因字段；

响应于所述进程属性信息满足预定条件，从所述应用框架层获取所述目标设备的属性信息，包括：

响应于所述进程的重要程度字段为第一预定字段且所述进程的重要程度原因字段为第二预定字段，从所述应用框架层获取所述目标设备的属性信息，其中，所述第一预定字段和所述第二预定字段表征所述目标应用正在所述目标设备的可视化界面上运行。

6.根据权利要求1所述的方法，其中，所述基于所述目标设备的属性信息，确定所述目标设备是否异常，包括：

基于所述目标设备的标识信息和预定标识信息，确定所述目标设备是否存在***异常；以及

基于所述目标设备的网络信息和预定网络信息，确定所述目标设备是否存在网络异常。

7.一种异常设备的确定装置，包括：

第一获取模块，用于响应于目标设备的***版本标识小于等于第一预定阈值，从应用框架层获取目标应用的软件包名；

获得模块，用于根据所述软件包名，从***内核层的参数中得到与所述目标应用对应的进程属性值，其中，所述参数是在引导加载程序运行***内核时生成的；

第二获取模块，用于响应于所述进程属性值小于第二预定阈值，从所述应用框架层获取所述目标设备的属性信息；以及

确定模块，用于基于所述目标设备的属性信息，确定所述目标设备是否异常。

8.根据权利要求7所述的装置，其中，所述获得模块包括：

第一获取子模块，用于从所述***内核层的参数中获取在当前时段内正在运行的应用程序的进程标识；

第一获得子模块，用于根据所述进程标识，从所述***内核层的参数中得到第一软件包名；以及

第二获得子模块，用于响应于所述第一软件包名与所述目标应用的软件包名相同，根据所述目标应用的软件包名，从所述***内核层的参数中得到所述进程属性值。

9.根据权利要求8所述的装置，所述获得模块还包括：

校验子模块，用于基于预定命名规则，对所述第一软件包名进行校验，得到校验结果；

读取子模块，用于从所述应用框架层读取私有数据目录下的文件名称信息；以及

对比子模块，用于响应于所述校验结果为所述第一软件包名符合所述预定命名规则，且所述文件名称信息中包括所述第一软件包名，对所述第一软件包名与所述目标应用的软件包名执行对比操作。

10.根据权利要求6所述的装置，还包括：

第三获取模块，用于响应于目标设备的***版本标识大于第一预定阈值，从应用框架层获取与所述目标应用对应的进程属性信息；以及

第四获取模块，用于响应于所述进程属性信息满足预定条件，从所述应用框架层获取所述目标设备的属性信息。

11.根据权利要求10所述的装置，其中，所述进程属性信息包括进程的重要程度字段和进程的重要程度原因字段；所述第四获取模块包括：

第二获取子模块，用于响应于所述进程的重要程度字段为第一预定字段且所述进程的重要程度原因字段为第二预定字段，从所述应用框架层获取所述目标设备的属性信息，其中，所述第一预定字段和所述第二预定字段表征所述目标应用正在所述目标设备的可视化界面上运行。

12.根据权利要求6所述的装置，其中，所述确定模块包括：

第一确定子模块，用于基于所述目标设备的标识信息和预定标识信息，确定所述目标设备是否存在***异常；以及

第二确定子模块，用于基于所述目标设备的网络信息和预定网络信息，确定所述目标设备是否存在网络异常。

13.一种电子设备，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-6中任一项所述的方法。

14.一种存储有计算机指令的非瞬时计算机可读存储介质，其中，所述计算机指令用于使所述计算机执行根据权利要求1-6中任一项所述的方法。

15.一种计算机程序产品，包括计算机程序，所述计算机程序在被处理器执行时实现根据权利要求1-6中任一项所述的方法。