终端设备的监控方法、系统、计算机设备及存储介质与流程

本发明涉及网络安全技术领域，特别涉及一种终端设备的监控方法、系统、计算机设备及存储介质。

背景技术：

计算机设备作为信息存储、传输、应用处理的基础设施和连接网络的关键节点，成为了广大用户日常生产、办公等工作环节的重要支撑平台，计算机终端的安全隐患已成为最大的网络安全威胁之一。现有的计算机安全监控方式，大多只是着眼于对病毒、漏洞等方面的监控，较为单一，不能全面的反映出计算机终端的安全状态。尤其是在一些安全级别较高的企业中，只有授权人具有使用计算机设备的权限，如果出现由于授权人缺乏安全意识而导致其他人围观设备屏幕的情况，就会导致信息泄露等问题。因此，如何提供一种更加灵活可信的计算机终端安全监控方式，成为本领域技术人员亟待解决的技术问题。

技术实现要素：

本发明的目的在于提供一种终端设备的监控方法、系统、计算机设备及存储介质，以解决现有技术中存在的上述技术问题。

根据本发明的一个方面，提供了一种终端设备的监控方法，所述终端设备包括第一客户端和第二客户端，所述方法包括：

所述第一客户端获取所述终端设备周围设定区域的图像；

所述第一客户端识别所述图像，以统计在所述图像中包含的人像信息的数量；

所述第一客户端将统计结果发送至服务端，以供所述服务端根据所述统计结果控制所述终端设备的运行状态，和/或控制所述第二客户端访问业务系统。

进一步的，所述第一客户端获取所述终端设备周围设定区域的图像的步骤具体包括：

所述第一客户端按照设定时间间隔定期获取所述终端设备周围设定区域的图像；和/或，

当所述第一客户端在所述终端设备上检测到预设用户操作时所述第一客户端获取所述终端设备周围设定区域的图像。

进一步的，所述第一客户端识别所述图像，以统计在所述图像中包含的人像信息的数量的步骤具体包括：

所述第一客户端根据所述图像中的每个像素点的灰度值进行边缘计算，以确定出边缘轮廓信息；

所述第一客户端将确定出的边缘轮廓信息与预设的人像模型进行对比，以判断所述边缘轮廓信息是否为人像信息；

所述第一客户端统计所述图像中的人像信息的数量。

进一步的，所述服务端根据所述统计结果控制所述终端设备的运行状态的步骤具体包括：

当所述统计结果为0或者大于1时，所述服务端向所述终端设备发送锁屏指令或关机指令。

进一步的，所述服务端根据所述统计结果控制所述第二客户端访问业务系统的步骤具体包括：

所述服务端接收由所述第二客户端发送来的业务访问请求，并获取与所述终端设备对应的统计结果；

若所述统计结果为1，则将所述业务访问请求转发至对应的业务系统；

若所述统计结果为大于1，则向所述第二客户端发送拒绝访问响应。

进一步的，所述方法还包括：

所述第一客户端获取所述终端设备的系统安全信息和应用安全信息，并发送至所述服务端；

所述服务端根据所述判断结果控制所述第二客户端访问业务系统的步骤具体包括：

所述服务端根据所述统计结果、所述系统安全信息和所述应用安全信息控制所述第二客户端访问业务系统。

为了实现上述目的，本发明还提供一种终端设备的监控系统，所述系统包括：终端设备和服务端；所述终端设备包括：第一客户端和第二客户端；

所述第一客户端用于，获取所述终端设备周围设定区域的图像；识别所述图像，以统计在所述图像中包含的人像信息的数量；将统计结果发送至所述服务端；

所述服务端用于，根据所述统计结果控制所述终端设备的运行状态，和/或控制所述第二客户端访问业务系统。

进一步的，所述第一客户端具体用于：

按照设定时间间隔定期获取所述终端设备周围设定区域的图像；和/或，当在所述终端设备上检测到预设用户操作时获取所述终端设备周围设定区域的图像。

为了实现上述目的，本发明还提供一种计算机设备，该计算机设备具体包括：存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述介绍的终端设备的监控方法的步骤。

为了实现上述目的，本发明还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述介绍的终端设备的监控方法的步骤。

本发明提供的终端设备的监控方法、系统、计算机设备及存储介质，获取终端设备周围的图像，通过识别图像，以判断当前出现在终端设备周围的人员数量是否大于一；在终端设备当前无人使用、或者出现在终端设备周围的人员数量大于一的情况下，判定终端设备处于不安全状态，并告之服务端；此时，服务端通过控制终端设备执行类似锁屏、关机等操作以防止终端设备上的信息泄露，以及当服务端接收到终端设备的业务访问请求时，通过服务端限制终端设备的业务访问权限以防止业务系统的信息泄露，从而提高终端设备以及业务系统的安全性。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1为实施例一提供的终端设备的监控方法的一种可选的流程示意图；

图2为实施例二提供的终端设备的监控系统的一种可选的组成结构示意图；

图3为实施例三提供的计算机设备的一种可选的硬件架构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面结合附图对本发明提供的终端设备的监控方法、系统、计算机设备及存储介质进行说明。

实施例一

本发明实施例提供了一种终端设备的监控方法，具体的，所述终端设备包括：第一客户端和第二客户端，所述第一客户端用于获取与所述终端设备相关的环境感知信息，所述第二客户端为实际业务客户端，可以是安装在所述终端设备上的软件或浏览器；图1为本发明实施例一提供的终端设备的监控方法的一种可选的流程示意图，如图1所示，该方法具体包括以下步骤：

步骤s101：所述第一客户端获取所述终端设备周围设定区域的图像。

具体的，步骤s101，包括：

所述第一客户端按照设定时间间隔定期获取所述终端设备周围设定区域的图像；和/或，

当所述第一客户端在所述终端设备上检测到预设用户操作时所述第一客户端获取所述终端设备周围设定区域的图像。

在本实施例中，所述第一客户端可以按照设备时间间隔定期通过安装在所述终端设备上的内置摄像头或与所述终端设备外接的摄像头获取设定区域的图像；和/或，当使用者在所述终端设备上执行预设用户设操作时通过安装在所述终端设备上的内置摄像头或与所述终端设备外接的摄像头获取设定区域的图像。优选的，所述预设用户操作包括：打开加密文件、请求访问业务系统、连接外接设备等。

步骤s102：所述第一客户端识别所述图像，以统计在所述图像中包含的人像信息的数量。

具体的，步骤s102，包括：

所述第一客户端根据所述图像中的每个像素点的灰度值进行边缘计算，以确定出边缘轮廓信息；

所述第一客户端将确定出的边缘轮廓信息与预设的人像模型进行对比，以判断所述边缘轮廓信息是否为人像信息；

所述第一客户端统计所述图像中的人像信息的数量。

在本发明实施例中，一个人像信息对应一个人员，当在所述图像中出现多个人像信息时，说明在所述终端设备周围存在多个人员，即存在多人围观所述终端设备的情况。

步骤s103：所述第一客户端将统计结果发送至服务端，以供所述服务端根据所述统计结果控制所述终端设备的运行状态，和/或控制所述第二客户端访问业务系统。

其中，所述服务端是独立于所述终端设备的，所述服务端用于接收从所述第一客户端发送来的统计结果，并当接收到从所述第二客户端发送来的业务访问请求时，根据所述统计结果控制所述第二客户端的业务访问权限。在本发明实施例中，当终端设备访问业务系统时，会根据终端设备周围的人员数量对终端设备的业务访问进行控制，从而防止在多人围观终端设备的情况下访问业务系统而导致的业务系统的信息被泄露的问题。

具体的，所述服务端根据所述统计结果控制所述终端设备的运行状态的步骤具体包括：

当所述统计结果为0或者大于1时，所述服务端向所述终端设备发送锁屏指令或关机指令。

若统计结果为0，则说明所述终端设备当前无人使用；若统计结果大于1，则说明存在多人围观设备屏幕的安全隐患。

进一步的，所述服务端根据所述统计结果控制所述第二客户端访问业务系统的步骤具体包括：

所述服务端接收由所述第二客户端发送来的业务访问请求，并获取与所述终端设备对应的统计结果；

若所述统计结果为1，则将所述业务访问请求转发至对应的业务系统；

若所述统计结果为大于1，则向所述第二客户端发送拒绝访问响应。

当统计结果为1时，说明当前仅有一个人员使用所述终端设备，所述终端设备处于安全状态，可以访问业务系统；当统计结果大于1时，说明存在多人围观设备屏幕的安全隐患，不允许所述终端设备访问业务系统。

进一步的，所述方法还包括：

所述第一客户端获取所述终端设备的系统安全信息和应用安全信息，并发送至所述服务端；

此时，所述服务端根据所述统计结果控制所述第二客户端访问业务系统的步骤具体包括：

所述服务端根据所述统计结果、所述系统安全信息和所述应用安全信息控制所述第二客户端访问业务系统。

优选的，所述系统安全信息包括：病毒安全信息、系统漏洞安全信息、系统账号安全信息；所述应用安全信息包括：软件安全信息、服务安全信息、注册表安全信息、usbkey安全信息。

在本发明实施例中，获取终端设备周围的图像，通过图像识别算法和机器学习算法对获取到的图像进行人脸识别并提取出人像信息，判断当前出现在终端设备周围的人员数量是否大于一；在终端设备当前无人使用、或者出现在终端设备周围的人员数量大于一的情况下，认为终端设备存在潜在安全隐患；此时，服务端通过控制终端设备执行类似锁屏、关机等操作以防止终端设备上的信息泄露，以及当服务端接收到终端设备的业务访问请求时，通过服务端限制终端设备的业务访问权限以防止业务系统的信息泄露，从而提高终端设备以及业务系统的安全性。

更进一步的，即便当前仅有一个人员使用所述终端设备，也会存在当前使用者不是所述终端设备的授权人的情况，即出现他人盗用授权人的账号信息以使用所述终端设备的情况，为了避免上述情况的发生，所述方法还包括：

步骤a1：当在所述图像中仅包含一个人像信息时，所述第一客户端从所述人像信息中提取出第一人脸特征信息；其中，所述第一人脸特征信息为所述终端设备的当前使用者的人脸特征信息；

步骤a2：所述第一客户端从所述服务端中获取预存的第二人脸特征信息；其中，所述第二人脸特征信息为所述终端设备的授权人的人脸特征信息；

步骤a3：所述第一客户端计算所述第一人脸特征信息与所述第二人脸特征信息的相似度值；

步骤a4：当所述相似度值小于预设阈值时，所述第一客户端向所述服务端发送告警消息，以供所述服务端根据所述告警消息控制所述终端设备的运行状态，和/或控制所述第二客户端访问业务系统。

其中，授权人为指定的可以使用所述终端设备的人员；在一些保密级别较高的企业中，需要每台终端设备有固定的授权人使用，这些终端设备不能被除授权人之外的人员使用，否则就会出现信息泄露等安全问题。

因此，在本发明实施例中，当在所述图像中仅包含一个人像信息时，判断当前使用所述终端设备的人员是否为所述终端设备的授权人员，若不是，则说明所述终端设备处于不安全状态，需要对终端设备进行类似锁屏、关机等手段来防止终端设备上的信息泄露，以及通过控制终端设备的业务访问权限以防止终端设备将潜在威胁传染到其他业务系统中，从而提高终端设备以及业务系统的安全性。

实施例二

本发明实施例提供了一种终端设备的监控系统，图2为本发明实施例二提供的终端设备的监控系统的一种可选的组成结构示意图，如图2所示，该系统具体包括：终端设备21和服务端22；终端设备21包括：第一客户端211和第二客户端212；

1)第一客户端211，具体包括：

获取模块，用于获取终端设备21周围设定区域的图像；

识别模块，用于识别所述图像，以统计在所述图像中包含的人像信息的数量；

处理模块，用于将统计结果发送至服务端22，以供服务端22根据所述判断结果控制终端设备21的运行状态，和/或控制第二客户端212访问业务系统。

其中，第一客户端211用于获取与终端设备21相关的环境感知信息，第二客户端212为实际业务客户端，可以是安装在终端设备21上的软件或浏览器；服务端22是独立于终端设备21的，服务端22用于接收从第一客户端211发送来的统计结果，并当接收到从第二客户端212发送来的业务访问请求时，根据所述统计结果控制第二客户端212的业务访问权限。

具体的，所述获取模块，用于：

按照设定时间间隔定期获取终端设备21周围设定区域的图像；和/或，当在终端设备21上检测到预设用户操作时获取终端设备21周围设定区域的图像。

所述识别模块，用于：

根据所述图像中的每个像素点的灰度值进行边缘计算，以确定出边缘轮廓信息；将确定出的边缘轮廓信息与预设的人像模型进行对比，以判断所述边缘轮廓信息是否为人像信息；统计所述图像中的人像信息的数量。

2)第二客户端212，用于向服务端22发送包含终端设备21的身份识别信息的业务访问请求。

第二客户端212，还用于当所述统计结果为大于1时，接收由服务端22发送来的拒绝访问响应。

3)服务端22，用于根据所述统计结果控制终端设备21的运行状态，和/或控制第二客户端212访问业务系统。

具体的，服务端22在实现根据所述判断结果控制终端设备21的运行状态的功能时，用于：

当所述统计结果为0或者大于1时，向终端设备21发送锁屏指令或关机指令。

服务端22在实现根据所述统计结果控制第二客户端212访问业务系统的功能时，用于：

接收由第二客户端212发送来的业务访问请求，并根据所述业务访问请求中的身份识别信息获取与终端设备21对应的统计结果；

若所述统计结果为1，则将所述业务访问请求转发至对应的业务系统；

若所述统计结果为大于1，则向第二客户端212发送拒绝访问响应。

进一步的，第一客户端211的获取模块，还用于：

获取终端设备21的系统安全信息和应用安全信息，并发送至服务端22。

服务端22，还用于：

根据所述统计结果、所述系统安全信息和所述应用安全信息控制第二客户端212访问业务系统。

优选的，所述系统安全信息包括：病毒安全信息、系统漏洞安全信息、系统账号安全信息；所述应用安全信息包括：软件安全信息、服务安全信息、注册表安全信息、usbkey安全信息。

实施例三

本实施例还提供一种计算机设备，如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器，或者多个服务器所组成的服务器集群)等。如图3所示，本实施例的计算机设备30至少包括但不限于：可通过系统总线相互通信连接的存储器301、处理器302。需要指出的是，图3仅示出了具有组件301-302的计算机设备30，但是应理解的是，并不要求实施所有示出的组件，可以替代的实施更多或者更少的组件。

本实施例中，存储器301(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如，sd或dx存储器等)、随机访问存储器(ram)、静态随机访问存储器(sram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、可编程只读存储器(prom)、磁性存储器、磁盘、光盘等。在一些实施例中，存储器301可以是计算机设备30的内部存储单元，例如该计算机设备30的硬盘或内存。在另一些实施例中，存储器301也可以是计算机设备30的外部存储设备，例如该计算机设备30上配备的插接式硬盘，智能存储卡(smartmediacard,smc)，安全数字(securedigital,sd)卡，闪存卡(flashcard)等。当然，存储器301还可以既包括计算机设备30的内部存储单元也包括其外部存储设备。在本实施例中，存储器301通常用于存储安装于计算机设备30的操作系统和各类应用软件。此外，存储器301还可以用于暂时地存储已经输出或者将要输出的各类数据。

处理器302在一些实施例中可以是中央处理器(centralprocessingunit，cpu)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器302通常用于控制计算机设备30的总体操作。

具体的，在本实施例中，处理器302用于执行处理器302中存储的终端设备的监控方法的程序，所述终端设备的监控方法的程序被执行时实现如下步骤：

第一客户端获取终端设备周围设定区域的图像；

所述第一客户端识别所述图像，以统计在所述图像中包含的人像信息的数量；

所述第一客户端将统计结果发送至服务端，以供所述服务端根据所述统计结果控制所述终端设备的运行状态，和/或控制第二客户端访问业务系统。

上述方法步骤的具体实施例过程可参见第一实施例，本实施例在此不再重复赘述。

实施例四

本实施例还提供一种计算机可读存储介质，如闪存、硬盘、多媒体卡、卡型存储器(例如，sd或dx存储器等)、随机访问存储器(ram)、静态随机访问存储器(sram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、可编程只读存储器(prom)、磁性存储器、磁盘、光盘、服务器、app应用商城等等，其上存储有计算机程序，所述计算机程序被处理器执行时实现如下方法步骤：

第一客户端获取终端设备周围设定区域的图像；

所述第一客户端识别所述图像，以统计在所述图像中包含的人像信息的数量；

所述第一客户端将统计结果发送至服务端，以供所述服务端根据所述统计结果控制所述终端设备的运行状态，和/或控制第二客户端访问业务系统。

上述方法步骤的具体实施例过程可参见第一实施例，本实施例在此不再重复赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。