软件行为监控方法和终端的制作方法
【专利摘要】本发明提供了一种软件行为监控方法和一种终端,其中软件行为监控方法包括记录软件的违规操作数;判断所述违规操作数是否大于阈值;在所述违规操作数大于阈值时,提醒用户是否卸载所述软件。本发明在终端上移植安全增强式Linux子系统能够根据设置的权限策略监控软件的违规操作行为,并在违规操作数超出阈值时,能够提示该软件行为,实现对流氓软件的预警和收集,提高终端的安全性能。
【专利说明】软件行为监控方法和终端
【技术领域】
[0001]本发明涉及通信【技术领域】,具体而言,涉及一种软件行为监控方法和一种终端。
【背景技术】
[0002]SELinux (安全增强型Linux)安全子系统最开始是由NSA (国家安全局)启动并加入到Linux子系统中的一套核心组件及用户工具,可以让应用程序运行在其所需的最低权限上。目前很少有终端集成了 seLinux技术,即便集成了 seLinux技术,也只是固定的监控方案,当检测到某应用软件一直进行违规操作,也只是禁止该当前的操作,不会向用户提示该软件的行为以及所存在的风险,也不能灵活修改seLinux系统中有关于该软件的属性,对存在风险的软件不能进行完全的隔离和预警。
[0003]因此,如何实现危险软件的预警并进一步提高终端的安全性能,成为亟待解决的问题。
【发明内容】
[0004]本发明正是基于上述问题,提出了一种新的软件行为监控技术,可实现危险软件的预警。
[0005]有鉴于此,根据本发明的一个方面,提出了一种软件行为监控方法,包括:记录软件的违规操作数;判断所述违规操作数是否大于阈值;在所述违规操作数大于阈值时,提醒用户是否卸载所述软件。
[0006]通过上述技术方案,能够发现并记录软件的违规操作,并当违规操作数达到设定的极限时,提醒用户该软件存在风险并提示相关违规行为以及是否卸载该软件,当然,也可以一旦发现软件的违规行为,就进行风险提示,使用户能够注意到该软件状态,及时预防软件的恶意行为,从而提高终端的安全性能。
[0007]在上述技术方案中,优选的,通过安全增强式Linux子系统将所述软件的违规操作记录在日志中;根据所述日志统计所述软件的违规操作数。
[0008]移植安全增强式Linux子系统到终端中,利用安全增强式Linux子系统来实现违规操作的监视以及行为记录。
[0009]在上述任一技术方案中,优选的,根据预设的权限策略判断所述软件的行为是否属于违规操作,所述权限策略包括所述软件可操作的数据范围。
[0010]可根据需要设置安全增强式Linux子系统中的权限策略,来限定各软件所能访问或操作的数据范围,监视软件的行为,当发现软件访问的数据不属于该设置的权限范围内时,就认为该软件存在违规操作,目前集成seLinux技术的终端不能随意配置权限策略,所有策略都是固定的。
[0011]在上述任一技术方案中,优选的,在所述违规操作数大于阈值并确定所述软件为恶意软件时,通过安全增强式Linux子系统修改所述软件的安全上下文属性,将所述安全上下文赋值为不可信,并将所述软件归入黑名单列表中。[0012]如果某一软件的违规操作数很多,则确定该软件为恶意软件,在判断出软件属于恶意软件时,为了实现对该软件的隔离,可修改安全增强式Linux子系统中该软件的安全上下文,并将该软件纳入黑名单中,作为其他终端安装软件或本终端下次安装软件时的判断依据,如果发现该软件在黑名单列表中,就可禁止安装该软件。目前集成seLinux子系统的终端仅仅是禁止当前的违规操作行为,并不能实现软件的隔离,以及恶意软件信息的收集。
[0013]在上述任一技术方案中,优选的,所述软件的行为被分为多类,监视所述软件的多类行为中被指定的一类或多类行为,生成针对所述被指定的一类或多类行为的日志信息。
[0014]软件行为有很多种类型,例如访问、删除、修改、增加等等,删除或修改是比较关键的操作类型,因此可以设置那些比较关键的操作类型需要被监控并生成相应的日志信息。
[0015]根据本发明的另一方面,还提供了一种终端,包括:记录单元,用于记录软件的违规操作数;判断单元,连接至所述记录单元,用于判断所述违规操作数是否大于阈值;提醒单元,连接至所述判断单元,在所述违规操作数大于阈值时,提醒用户是否卸载所述软件。
[0016]通过上述技术方案,能够发现并记录软件的违规操作,并当违规操作数达到设定的极限时,提醒用户该软件存在风险并提示相关违规行为以及是否卸载该软件,当然,也可以一旦发现软件的违规行为,就进行风险提示,使用户能够注意到该软件状态,及时预防软件的恶意行为,从而提高终端的安全性能。
[0017]在上述技术方案中,优选的,所述记录单元包括:安全增强式Linux子系统,用于将所述软件的违规操作记录在日志中;统计单元,用于根据所述日志统计所述软件的违规操作数。移植安全增强式Linux子系统到终端中,利用安全增强式Linux子系统来实现违规操作的监视以及行为记录。
[0018]可根据需要设置安全增强式Linux子系统中的权限策略,来限定各软件所能访问或操作的数据范围,监视软件的行为,当发现软件访问的数据不属于该设置的权限范围内时,就认为该软件存在违规操作,目前集成seLinux技术的终端不能随意配置权限策略,所有策略都是固定的。
[0019]在上述任一技术方案中,优选的,还可以包括:违规操作确定单元,连接至所述记录单元,用于根据预设的权限策略判断所述软件的行为是否属于违规操作,所述权限策略包括所述软件可操作的数据范围。
[0020]如果某一软件的违规操作数很多,则确定该软件为恶意软件,在判断出软件属于恶意软件时,为了实现对该软件的隔离,可修改安全增强式Linux子系统中该软件的安全上下文,并将该软件纳入黑名单中,作为其他终端安装软件或本终端下次安装软件时的判断依据,如果发现该软件在黑名单列表中,就可禁止安装该软件。目前集成seLinux子系统的终端仅仅是禁止当前的违规操作行为,并不能实现软件的隔离,以及恶意软件信息的收集。
[0021]在上述任一技术方案中,优选的,还可以包括:属性修改单元,连接至所述记录单元,用于在所述违规操作数大于阈值并确定所述软件为恶意软件时,通过安全增强式Linux子系统修改所述软件的安全上下文属性,将所述安全上下文赋值为不可信,并将所述软件归入黑名单列表中。
[0022]在上述任一技术方案中,优选的,所述软件的行为被分为多类,所述违规操作确定单元具体用于监视软件的多类行为中被指定的一类或多类行为,供所述记录单元生成针对所述被指定的一类或多类行为的日志信息。
[0023]软件行为有很多种类型,例如访问、删除、修改、增加等等,删除或修改是比较关键的操作类型,因此可以设置那些比较关键的操作类型需要被监控并生成相应的日志信息。
[0024]本发明能够实现在移植有seLinux子系统的终端上,在软件行为违规操作次数大于设定的次数时,提示用户软件的恶意行为。通过该方案能够很好地实现对恶意软件的收集和发布、提醒预防的措施,提高终端的安全性能。
【专利附图】
【附图说明】
[0025]图1示出了根据本发明的一个实施例的软件行为监控方法的流程图;
[0026]图2示出了根据本发明的另一实施例的软件行为监控方法的流程图;
[0027]图3示出了根据本发明的实施例的软件行为监控提示示意图;
[0028]图4示出了根据本发明的实施例的终端的框图。
【具体实施方式】
[0029]为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和【具体实施方式】对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
[0030]在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
[0031]图1示出了根据本发明的一个实施例的软件行为监控方法的流程图。
[0032]如图1所示,根据本发明的实施例的软件行为监控方法可以包括以下步骤:步骤102,记录软件的违规操作数,判断违规操作数是否大于阈值;步骤104,在违规操作数大于阈值时,提醒用户是否卸载软件。
[0033]通过上述技术方案,能够发现并记录软件的违规操作,并当违规操作数达到设定的极限时,提醒用户该软件存在风险并提示相关违规行为以及是否卸载该软件,当然,也可以一旦发现软件的违规行为,就进行风险提示,使用户能够注意到该软件状态,及时预防软件的恶意行为,从而提高终端的安全性能。
[0034]在上述技术方案中,优选的,通过安全增强式Linux子系统将所述软件的违规操作记录在日志中;根据所述日志统计所述软件的违规操作数。
[0035]移植安全增强式Linux子系统到终端中,利用安全增强式Linux子系统来实现违规操作的监视以及行为记录。
[0036]在上述任一技术方案中,优选的,根据预设的权限策略判断所述软件的行为是否属于违规操作,所述权限策略包括所述软件可操作的数据范围。
[0037]可根据需要设置安全增强式Linux子系统中的权限策略,来限定各软件所能访问或操作的数据范围,监视软件的行为,当发现软件访问的数据不属于该设置的权限范围内时,就认为该软件存在违规操作,目前集成seLinux技术的终端不能随意配置权限策略,所有策略都是固定的。[0038]在上述任一技术方案中,优选的,在所述违规操作数大于阈值并确定所述软件为恶意软件时,通过安全增强式Linux子系统修改所述软件的安全上下文属性,将所述安全上下文赋值为不可信,并将所述软件归入黑名单列表中。
[0039]如果某一软件的违规操作数很多,则确定该软件为恶意软件,在判断出软件属于恶意软件时,为了实现对该软件的隔离,可修改安全增强式Linux子系统中该软件的安全上下文,并将该软件纳入黑名单中,作为其他终端安装软件或本终端下次安装软件时的判断依据,如果发现该软件在黑名单列表中,就可禁止安装该软件。目前集成seLinux子系统的终端仅仅是禁止当前的违规操作行为,并不能实现软件的隔离,以及恶意软件信息的收集。
[0040]在上述任一技术方案中,优选的,所述软件的行为被分为多类,监视所述软件的多类行为中被指定的一类或多类行为,生成针对所述被指定的一类或多类行为的日志信息。
[0041]软件行为有很多种类型,例如访问、删除、修改、增加等等,删除或修改是比较关键的操作类型,因此可以设置那些比较关键的操作类型需要被监控并生成相应的日志信息。
[0042]下面结合图2进一步说明根据本发明的软件行为监控方法。
[0043]seLinux使得系统的操作都处于限制状态,任何具体的访问操作都需要经过授权才可以被允许。系统所能进行操作都是明确的,最小权限集的。如果移植了 seLinux,系统所有违规的操作都是会被记录下来的日志,存放到misc/audit目录下的日志中。
[0044]由于日志中存储了应用或者进程的违规操作,因此可统计违规操作的次数,当某个应用或者进程的违规操作次数大于某阈值时,就提示用户该应用或者进程全部的违规访问数,提示用户注意或者卸载该应用。具体处理过程参见图2。
[0045]如图2所示,步骤202,判断软件的行为是否属于违规操作,如果是,则进入步骤204,否则结束该流程。
[0046]设置seLinux子系统中的权限策略,即设置了每个软件的可操作、访问的数据范围。监视软件的行为,判断该软件的行为是否属于该权限范围内,如果不是,说明软件行为是恶意的,属于违规行为。
[0047]步骤204,将该软件行为记录在日志中,记录的信息包括软件信息、试图访问、操作的数据、时间等。
[0048]步骤206,判断软件的违规次数是否超出阈值,如果是,则进入步骤208,否则回到步骤202。该阈值可以根据需要设置。
[0049]步骤208,在判断该软件的违规次数超出阈值时,确定该软件属于恶意软件,并提醒用户,该软件的信息,违规次数以及相关的违规行为,是否卸载该软件,如图3所示,提示中有提供卸载链接,通过点击该卸载链接,可直接进入卸载该应用的界面。除此之外,还在seLinux子系统中,将该软件的安全上下文属性(mac_permission.xml)修改为不可信的域。
[0050]步骤210,将该软件纳入黑名单中。可以将该黑名单上传至云服务器中,当其他终端或本终端安装该软件时,可根据该黑名单判断是否可安装该软件,当发现该软件是恶意软件时,可提醒用户并提示是否阻止该软件的安装。
[0051]上述处理机制的实现需要根据配置的权限策略来打开selinux子系统中的权限访问信息。可以打开某些关键操作(例如修改操作、删除操作)的权限信息,然后专门监控该信息的生成。一旦出现相关信息就提示用户的操作。例如,可以检测应用或进程删除安装文件的操作,当发现该违规操作时,生成selinux提示信息。
[0052]因此,根据本发明的处理机制需要能够配置相关的权限策略,能够对系统中的关键操作进行管理和监控。能够对日志信息进行检测。另外,当检测到某应用是流氓软件时,修改相关mac_permission.xml信息,并将该应用归到黑名单当中,使得该应用不能被安装。如果已经安装了该应用,则可以将该应用的安全上下文修改为不可信的域。在selinux系统中,需要将该涉及修改的服务变成单独的域,只有这两个服务(mac_permission.xml属性修改和不可信属性修改)的域才进行修改。
[0053]图4示出了根据本发明的实施例的终端的框图。
[0054]如图4所示,根据本发明的实施例的终端400可以包括:记录单元402,用于记录软件的违规操作数;判断单元404,连接至记录单元402,用于判断违规操作数是否大于阈值;提醒单元406,连接至判断单元404,在违规操作数大于阈值时,提醒用户是否卸载软件。
[0055]通过上述技术方案,能够发现并记录软件的违规操作,并当违规操作数达到设定的极限时,提醒用户该软件存在风险并提示相关违规行为以及是否卸载该软件,当然,也可以一旦发现软件的违规行为,就进行风险提示,使用户能够注意到该软件状态,及时预防软件的恶意行为,从而提高终端的安全性能。
[0056]在上述技术方案中,优选的,记录单元402包括:安全增强式Linux子系统4022,用于将软件的违规操作记录在日志中;统计单元4024,用于根据日志统计软件的违规操作数。移植安全增强式Linux子系统到终端中,利用安全增强式Linux子系统来实现违规操作的监视以及行为记录。
[0057]可根据需要设置安全增强式Linux子系统中的权限策略,来限定各软件所能访问或操作的数据范围,监视软件的行为,当发现软件访问的数据不属于该设置的权限范围内时,就认为该软件存在违规操作,目前集成seLinux技术的终端不能随意配置权限策略,所有策略都是固定的。
[0058]在上述任一技术方案中,优选的,还可以包括:违规操作确定单元408,连接至记录单元402,用于根据预设的权限策略判断软件的行为是否属于违规操作,权限策略包括软件可操作的数据范围。
[0059]如果某一软件的违规操作数很多,则确定该软件为恶意软件,在判断出软件属于恶意软件时,为了实现对该软件的隔离,可修改安全增强式Linux子系统中该软件的安全上下文,并将该软件纳入黑名单中,作为其他终端安装软件或本终端下次安装软件时的判断依据,如果发现该软件在黑名单列表中,就可禁止安装该软件。目前集成seLinux子系统的终端仅仅是禁止当前的违规操作行为,并不能实现软件的隔离,以及恶意软件信息的收集。
[0060]在上述任一技术方案中,优选的,还可以包括:属性修改单元410,连接至记录单元402,用于在违规操作数大于阈值并确定所述软件为恶意软件时,通过安全增强式Linux子系统修改所述软件的安全上下文属性,将所述安全上下文赋值为不可信,并将所述软件归入黑名单列表中。
[0061]在上述任一技术方案中,优选的,所述软件的行为被分为多类,所述违规操作确定单元具体用于监视软件的多类行为中被指定的一类或多类行为,供所述记录单元生成针对所述被指定的一类或多类行为的日志信息。
[0062]软件行为有很多种类型,例如访问、删除、修改、增加等等,删除或修改是比较关键的操作类型,因此可以设置那些比较关键的操作类型需要被监控并生成相应的日志信息。
[0063]上述终端包括但不限于手机、平板电脑、笔记本电脑、智能电视。
[0064]根据本发明的技术方案,能够实现在移植有seLinux子系统的终端上,在软件行为违规操作次数大于设定的次数时,提示用户软件的恶意行为。通过该方案能够很好地实现对恶意软件的收集和发布、提醒预防的措施,提高终端的安全性能。
[0065]以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种软件行为监控方法,其特征在于,包括: 记录软件的违规操作数; 判断所述违规操作数是否大于阈值; 在所述违规操作数大于阈值时,提醒用户是否卸载所述软件。
2.根据权利要求1所述的软件行为监控方法,其特征在于,通过安全增强式Linux子系统将所述软件的违规操作记录在日志中; 根据所述日志统计所述软件的违规操作数。
3.根据权利要求1或2所述的软件行为监控方法,其特征在于,根据预设的权限策略判断所述软件的行为是否属于违规操作,所述权限策略包括所述软件可操作的数据范围。
4.根据权利要求3所述的软件行为监控方法,其特征在于,在所述违规操作数大于阈值并确定所述软件为恶意软件时,通过安全增强式Linux子系统修改所述软件的安全上下文属性,将所述安全上下文赋值为不可信,并将所述软件归入黑名单列表中。
5.根据权利要求3所述的软件行为监控方法,其特征在于,所述软件的行为被分为多类,监视所述软件的多类行为中被指定的一类或多类行为,生成针对所述被指定的一类或多类行为的日志信息。
6.一种终端,其特征在于,包括: 记录单元,用于记录软件的违规操作数; 判断单元,连接至所述记录单元,用于判断所述违规操作数是否大于阈值; 提醒单元,连接至所述判断单元,在所述违规操作数大于阈值时,提醒用户是否卸载所述软件。
7.根据权利要求6所述的终端,其特征在于,所述记录单元包括:安全增强式Linux子系统,用于将所述软件的违规操作记录在日志中; 统计单元,用于根据所述日志统计所述软件的违规操作数。
8.根据权利要求6或7所述的终端,其特征在于,还包括: 违规操作确定单元,连接至所述记录单元,用于根据预设的权限策略判断所述软件的行为是否属于违规操作,所述权限策略包括所述软件可操作的数据范围。
9.根据权利要求8所述的终端,其特征在于,还包括: 属性修改单元,连接至所述记录单元,用于在所述违规操作数大于阈值并确定所述软件为恶意软件时,通过安全增强式Linux子系统修改所述软件的安全上下文属性,将所述安全上下文赋值为不可信,并将所述软件归入黑名单列表中。
10.根据权利要求8所述的终端,其特征在于,所述软件的行为被分为多类,所述违规操作确定单元具体用于监视软件的多类行为中被指定的一类或多类行为,供所述记录单元生成针对所述被指定的一类或多类行为的日志信息。
【文档编号】G06F21/56GK103679028SQ201310656847
【公开日】2014年3月26日 申请日期:2013年12月6日 优先权日:2013年12月6日
【发明者】刘惠盛 申请人:深圳酷派技术有限公司, 宇龙计算机通信科技(深圳)有限公司