和/或服务发送Android系统自带的终止进程信号以终止相应进程(app应用和服务本质上都是进程)。此过程与关机类似,但是该过程不改变内核的共享的部分,同时不操作电源管理部分(Android关机流程要关闭内核,最终切断电源)。该实施例的方法利用双系统首先监测到Android系统被入侵提权,然后及时关闭Android应用与服务,避免了可能引起的损失。
[0023]图2示出了与图1所示方法类似的实施例,但其中在步骤S20,预设的能力集还包括可确定权限变化类型为“不确定”的能力集。例如,向不属于自己的进程发信号的能力,普通进程通常不需要给不属于自己的进程发信号,但是也不排除某一情况下有需要,这样的能力变化属于不确定权限变化。在确定权限变化类型为不确定时,即发现提升了一些敏感权限但不确定是否遭到恶意攻击,处理进行到步骤S40,非Android系统向用户发送提示,该提示包含应用和/或服务程序名称及发生变化的能力,由用户判别当前是正常行为还是要终止该提权动作。
[0024]图3示出了本发明装置的一实施例,其用于在基于容器的多系统中对入侵提权进行监测和控制,其中多系统至少包括第一和第二系统并共用内核,例如第一系统为非Andr ο i d系统,及第二系统为Andro i d系统。该装置包括内核中的权限变化判别模块10、非Android系统中的入侵识别模块20和Android系统中的应用和服务进程管理模块30。具体地,权限变化判别模块10在发现Android系统的应用和/或服务程序的权限发生变化时向非Android系统中的入侵识别模块20发送检查能力信号,该检查能力信号包含发生权限变化的程序名称及用于指明哪些权限发生变化的能力变化参数;入侵识别模块20根据接收到的所述检查能力信号和预设的能力集确定权限变化类型,其中所述权限变化类型包括正常、异常和不确定。预设的能力集可根据用户的实际情况、移动终端的应用场景等任意设置。例如,进程原本只有读的权限,没有写的权限,为了正常保存一下信息,分给该进程写入到临时文件夹temp的能力,这样的权限变化属于正常权限变化。再例如,CAP_CH0WN改变所属权、CAP_DAC_0VERRIDE忽略访问限制、CAP_SETPCAP允许向其它进程转移能力以及删除其它进程的任意能力、CAP_NET_BIND_SERVICE允许绑定到小于1024的端口(小于1024端口通常是服务器开的服务端口)等能力都是非常敏感的,普通进程不能拥有这些能力。当发现进程具有这样的能力时,属于异常权限变化。再例如,向不属于自己的进程发信号的能力,普通进程通常不需要给不属于自己的进程发信号,但是也不排除某一情况下有需要,这样的能力变化属于不确定权限变化。在确定所述权限变化类型为异常时,入侵识别模块20向Android系统中的应用和服务进程管理模块30发送停止服务信号,应用和服务进程管理模块30根据接收到的所述停止服务信号向Android系统的权限变化异常的应用和/或服务发送终止进程信号以终止相应应用和/或服务;在确定权限变化类型为不确定时,向用户发送哪一程序发生何种能力提升的提示,由用户判别当前是正常行为还是要终止该提权动作;及在确定权限变化类型为正常时,不对检查能力信号做进一步处理。
[0025]—些优选实施例已经在前面进行了说明,但是应当强调的是,本发明不局限于这些实施例,而是可以本发明主题范围内的其它方式实现。
【主权项】
1.一种基于容器的多系统的入侵监控方法,所述多系统至少包括第一系统和第二系统并共用内核,其特征在于,所述方法包括: 所述内核在发现应用和/或服务程序的权限发生变化时向第一系统发送检查能力信号; 所述第一系统根据接收到的所述检查能力信号确定权限变化类型,其中所述权限变化类型包括正常和异常; 在确定所述权限变化类型为异常时,所述第一系统向所述第二系统发送停止服务信号;及 所述第二系统根据接收到的所述停止服务信号向其中的权限变化异常的应用和/或服务发送终止进程信号以终止相应应用和/或服务。2.根据权利要求1所述的方法,其特征在于,所述权限变化类型还包括不确定。3.根据权利要求2所述的方法,其特征在于,所述权限变化类型根据预设的能力集进行确定。4.根据权利要求2所述的方法,其特征在于,所述方法还包括:在确定所述权限变化类型为不确定时,所述第一系统向用户发送提示,所述提示包含应用和/或服务程序名称及发生变化的能力。5.根据权利要求1-4任一所述的方法,其特征在于,所述内核通过将应用和/或服务程序的当前权限与保存的所有应用和服务程序的初始权限的快照进行比较而发现权限发生变化。6.根据权利要求1-4任一所述的方法,其特征在于,所述检查能力信号包含发生权限变化的程序名称及用于指明哪些权限发生变化的能力变化参数。7.根据权利要求1-4任一所述的方法,其特征在于,所述第一系统为非Android系统,及所述第二系统为Android系统。8.—种基于容器的多系统的入侵监控装置,所述多系统至少包括第一系统和第二系统并共用内核,其特征在于,所述装置包括: 内核中的权限变化判别模块,用于在发现应用和/或服务程序的权限发生变化时向第一系统发送检查能力信号; 第一系统中的入侵识别模块,用于根据接收到的所述检查能力信号确定权限变化类型,其中所述权限变化类型包括正常和异常;及用于在确定所述权限变化类型为异常时,向所述第二系统发送停止服务信号;及 第二系统中的应用和服务进程管理模块,用于根据接收到的所述停止服务信号向第二系统的权限变化异常的应用和/或服务发送终止进程信号以终止相应应用和/或服务。9.根据权利要求8所述的装置,其特征在于,所述权限变化类型根据预设的能力集进行确定。10.根据权利要求8所述的装置,其特征在于,所述检查能力信号包含发生权限变化的程序名称及用于指明哪些权限发生变化的能力变化参数。
【专利摘要】本申请公开了一种基于容器的多系统的入侵监控方法和装置,其中所述多系统至少包括第一系统和第二系统并共用内核,所述方法包括:所述内核在发现应用和/或服务程序的权限发生变化时向第一系统发送检查能力信号;所述第一系统根据接收到的所述检查能力信号确定权限变化类型,其中所述权限变化类型包括正常和异常;在确定所述权限变化类型为异常时,所述第一系统向所述第二系统发送停止服务信号;及所述第二系统根据接收到的所述停止服务信号向其中的权限变化异常的应用和/或服务发送终止进程信号以终止相应应用和/或服务。本申请的方法和装置可独立、不受干扰、有效地监测系统入侵并做出相应处理,从而保护用户隐私及避免可能的损失。
【IPC分类】G06F21/56
【公开号】CN105468976
【申请号】CN201510894396
【发明人】姜哲
【申请人】北京元心科技有限公司
【公开日】2016年4月6日
【申请日】2015年12月8日