本发明通常涉及计算机数据安全领域,更具体而言,涉及一种计算机平台数据的操作方法。
背景技术:
随着通信技术的快速发展,诸如终端机、客户端、智能手机、平板电脑等终端的应用也越来越为普遍,这些终端成为了加载应用的平台,这些平台的不断增加促进了市场的繁荣,平台上的应用极大地丰富了人们的精神生活,给人们的生活提供遍历的同时,也带来了安全的问题。为了达到非法目的,一些非法分子会在网络中发布恶意软件,或者主动将应用植入平台中,或者向平台发起攻击。这些应用通过重打包,伪装成正常的应用出现在网络或平台上,或者恶意作者把一些攻击代码附在几个不同的合法应用中,通过这种方式不仅可以把恶意代码隐藏在看似正常的应用中,还可以自动化地制作和发布大量的恶意程序。其非法行为包括窃取短信与个人信息、发送付费信息、远程控制等。例如,平台乌云曾报告,移动平台上曾有大量应用感染上名叫xcodeghost的病毒。这种病毒不仅会在应用运行时窃取用户信息,甚至还会模拟收费或帐号弹窗来窃取用户的密码。此外,平台上加载的包括高德地图、同花顺等二十多款国内应用,都受到这种“窃取用户信息、窃取密码”的恶意应用的影响。还曾有伪装成谷歌的移动端chrome浏览器的升级包欺骗用户升级下载,该软件附着于网页之中,这些网页外观与谷歌官方网页十分相像。
平台的安全问题和漏洞包括通信系统、应用、隐私与设备安全;可能会对用户信息如账户密码等进行泄露,严重威胁用户的人身财产安全,为此,如何对恶意软件进行检测,是极为重要的一个问题。
在现有技术中,平台一般采用较为简单的检测方式,针对应用的特征码进行一些二进制的扫描来确定是否是恶意软件。然而由于应用通常会将敏感字段进行加密,因此现有的这种检测方式往往无法准确地检测出来,容易失效。还有的平台通过静态扫描匹配已知的恶意代码,并执行应用以判断是否存在潜在的恶意行为。但其问题在于静态扫描不能检测未知的恶意行为。平台上的应用可以通过识别环境特征,从而在动态执行的时候隐藏恶意行为。而且分析通常很难覆盖到应用所有的执行路径。
除了从守的角度入手的平台安全策略,还存在从攻的角度入手的平台安全策略。但是该手段的针对性有时候不强,从效率来看,未必能达到有效的防护平台的效果。另外,随着恶意应用的变异,其潜伏方式越来越隐蔽,窃听手段越来越难以预料,给攻的策略带来越来越大的难度。
因此迫切需要一种针对平台安全保护方法。
技术实现要素:
本发明的目的之一是提供一种计算机平台数据的操作方法,其通过攻的角度提升计算机性能,可以获得在计算机平台上运行或尝试运行的恶意应用的信息并将其及时、准确、完整地查杀,从而保护了系统的安全性,此外还可以进一步增强安全性分析的准确性和完整性,减少判断步骤,减少对平台处理资源的占用和功率消耗,并且增强了数据的安全性和完整性。
本发明为解决上述技术问题而采取的技术方案为:一种平台数据的操作方法包括:在步骤s1中,在平台上的应用的运行中获取特征;在步骤s2中,平台分析简档类型,并与远程设备交互,确定一致性;在步骤s3中,针对不符合一致性的目标应用,平台通过本地比较进行可疑目标应用的初步筛选;在步骤s4中,针对不符合初步筛查的目标应用,平台进行应用的行为评价;在步骤s5中,确定恶意应用后,本地查杀并报备远程设备;在步骤s6中,对于受损的平台数据进行验证和修复;在步骤s7中,运行修复的平台数据,核查是否有已被查杀的应用的简档;在步骤s8中,如果有已被查杀的应用的简档,则重复执行步骤s5至s7,直至不再有已被查杀的应用的简档;如果不再有已被查杀的应用的简档,则设置定时,后续继续重复执行步骤s1至s7。
根据本发明的另一个方面,在步骤s1中,在平台上的应用的运行中获取特征包括:在平台的应用启动过程中,根据内存加载来启动监视进程,收集应用的启动项、运行环境、加载器信息、对底层接口的调用信息、句柄、应用在同期产生的简档,并记录其路径和文档名、类型、时间;其中启动项包括校验和其它结构的偏移地址和长度信息;加载器信息包括与上下文相关联的信息和耦合参数配置信息;该简档既包括在主存储器中的信息,也包括在辅助存储器中的信息,并且包括临时文件以及在运行结束时和运行结束后一段时间终止执行或删除的文件。
根据本发明的另一个方面,在步骤s2中,平台分析简档类型,并与远程设备交互,确定一致性包括:根据简档信息的收集,对于可疑目标应用,先进行解压,然后进行文件名和类型的筛查;所述可疑目标应用包括与平台上已安装的合法应用相关的应用;对于与合法应用类似文件名、扩展名的简档,则通过有线或无线链路而将该可疑信息发送至远程设备;该远程设备存储有可疑信息的不同类型和不同类别的历史简档,所述不同类型包括:已确定的恶意应用、待确定的恶意应用和合法应用,待确定的恶意应用包括各平台汇聚的有潜在威胁的和无法确定的应用;不同各类别包括不同的扩展名;其中该远程设备首先对用户信息进行识别和认证,该用户信息包括用户id、ip、时间戳、可疑应用简档信息,如果通过识别和认证则允许通过查询来确定,如果无法通过识别和认证则发回拒绝响应;远程设备交互确定一致性包括:遍历不同类别的历史简档,逐个核查可疑应用简档信息与历史简档的一致性,如果匹配查找器对应的类型然后输出,如果不匹配则直接输出结果。
根据本发明的另一个方面,在步骤s3中,针对不符合一致性的目标应用,平台通过本地比较进行可疑目标应用的初步筛选包括:将可疑应用信息进行反编译以生成第一对象,分析第一对象的调用,并进行矢量化,获取矢量,分析与参照值的各元素值的平方差最小的矢量,据此分析该可疑应用与合法应用的近似程度,如果近似程度的量化值大于或等于第一阈值,则进入下一步骤;如果近似程度的量化值小于第一阈值,则确定该可疑应用为非恶意应用。
根据本发明的另一个方面,在步骤s4中,针对不符合初步筛查的目标应用,平台进行应用的行为评价包括:生成该可疑应用的数据流和控制流,确定其信息流向,并且分析可疑应用是与用户进行交互,与射频收发装置是否有双向或单向的信号流动或控制,是否新建文件夹路径来保存生成和已生成的文件,分别根据这些情况进行赋值,并且根据预设的权重值对其进行加权求和并获得行为评价参数,并与第二阈值比较,如果大于或等于第二阈值,则确定该可疑应用确实为恶意应用;如果小于第二阈值,则确定该可疑应用为非恶意应用。
根据本发明的另一个方面,在步骤s5中,确定恶意应用后,本地查杀并报备远程设备包括:查询进程列表,由确定后生成的使能指令自动结束该进程,调取该恶意应用的简档和文件夹位置、相关生成文件和压缩包,进行删除,并在预设时间值之后检查是否重新生成或更新,如果是的话则执行该步骤,直到不再存在;并且将该恶意应用的所有信息传输到远程设备进行报备,其中远程设备通过再次核实用户端的请求和身份,通过则接受该传输的信息并进行分类和存储。
根据本发明的另一个方面,在步骤s6中,对于受损的平台数据进行验证和修复以及在步骤s7中,运行修复的平台数据,核查是否有已被查杀的应用的简档包括:如果原恶意应用对平台上的合法应用的数据有替换、损毁或覆盖,则查找合法应用的配置文件,通过链接到地址进行数据文件的恢复,启动合法应用的线程,对数据进行校验,如果通过则进入下一步骤,如果不通过则重复执行该步骤,直至校验通过。
根据本发明的另一个方面,在步骤s6中,对于受损的平台数据进行验证和修复以及在步骤s7中,运行修复的平台数据,核查是否有已被查杀的应用的简档包括:通过冗余来恢复和修复数据,包括通过冗余来进行恢复,该冗余的生成过程为:将存储设备分成多个区块,根据功能将其分配为存储区、冗余区、映射区,存储结束后,采用存储设备内部的冗余生成器,将数据进行冗余操作,并且相应地在映射区形成存储数据和冗余数据的对应关系表格;在存储区域的邻近区域添加循环冗余校验码,并关闭存储介质的密钥通道。
根据本发明的另一个方面,在步骤s6和s7之中,数据文件的恢复之后,还执行操作:对数据进行补位,补长度,定义常数,确定函数,计算验证码;并且在步骤s2中,平台分析简档进一步包括:获取可疑应用的同步和异步更新文件信息,确定其新建和存储路径,提取其中保留的配置参数,分析其信息流来提取可疑应用的完整信息。
根据本发明的另一个方面,在步骤s4中,行为评价之后,为了进一步确认可疑应用为恶意应用,还可疑采用以下操作:通过开启合法应用,然后在规定的时段之后终止其进程,观察在此规定的时段之间对该合法应用的访问的应用信息,获取其通信信息和与射频模块的信号流,如果存在则将访问的应用确定为恶意应用;同期该恶意应用生成的文件越多,其恶意程度越强,并在后续步骤中将此信息报备远程设备。
附图说明
在附图中通过实例的方式而不是通过限制的方式来示出本发明的实施例,其中相同的附图标记表示相同的元件,其中:
根据本发明的示范性实施例,图1图示一种平台数据的操作方法的流程图。
具体实施方式
在下面的描述中,参考附图并以图示的方式示出几个具体的实施例。将理解的是:可设想并且可做出其它实施例而不脱离本公开的范围或精神。因此,以下详细描述不应被认为具有限制意义。
根据本发明的示范性实施例,图1图示一种平台数据的操作方法的流程图。
在步骤s1中,在平台上的应用的运行中获取特征;
在步骤s2中,平台分析简档类型,并与远程设备交互,确定一致性;
在步骤s3中,针对不符合一致性的目标应用,平台通过本地比较进行可疑目标应用的初步筛选;
在步骤s4中,针对不符合初步筛查的目标应用,平台进行应用的行为评价;
在步骤s5中,确定恶意应用后,本地查杀并报备远程设备;
在步骤s6中,对于受损的平台数据进行验证和修复;
在步骤s7中,运行修复的平台数据,核查是否有已被查杀的应用的简档;
在步骤s8中,如果有已被查杀的应用的简档,则重复执行步骤s5至s7,直至不再有已被查杀的应用的简档;如果不再有已被查杀的应用的简档,则设置定时,后续继续重复执行步骤s1至s7。
具体地,在步骤s1中,在平台上的应用的运行中获取特征包括:在平台的应用启动过程中,根据内存加载来启动监视进程,收集应用的启动项、运行环境、加载器信息、对底层接口的调用信息、句柄、应用在同期产生的简档,并记录其路径和文档名、类型、时间;其中启动项包括校验和其它结构的偏移地址和长度信息;加载器信息包括与上下文相关联的信息和耦合参数配置信息;该简档既包括在主存储器中的信息,也包括在辅助存储器中的信息,另外还包括临时文件,以及在运行结束时和运行结束后一段时间终止执行或删除的文件。通过该步骤的操作和设置,可以全面、准确、及时、针对性地获取应用特征,为精确、安全地进行后续操作做好准备。
具体地,在步骤s2中,平台分析简档类型,并与远程设备交互,确定一致性包括:根据简档信息的收集,对于可疑目标应用,先进行解压,然后进行文件名和类型的筛查。所述可疑目标应用包括与平台上已安装的合法应用相关的应用。对于与合法应用类似文件名、扩展名的简档,则通过有线或无线链路而将该可疑信息发送至远程设备;该远程设备存储有可疑信息的不同类型和不同类别的历史简档,所述不同类型包括:已确定的恶意应用、待确定的恶意应用和合法应用,待确定的恶意应用包括各平台汇聚的有潜在威胁的和无法确定的应用;不同各类别包括不同的扩展名。其中该远程设备首先对用户信息进行识别和认证,该用户信息包括用户id、ip、时间戳、可疑应用简档信息,如果通过识别和认证则允许通过查询来确定,如果无法通过识别和认证则发回拒绝响应。远程设备交互确定一致性包括:遍历不同类别的历史简档,逐个核查可疑应用简档信息与历史简档的一致性,如果匹配查找器对应的类型然后输出,如果不匹配则直接输出结果。
具体地,在步骤s3中,针对不符合一致性的目标应用,平台通过本地比较进行可疑目标应用的初步筛选包括:将可疑应用信息进行反编译以生成第一对象,分析第一对象的调用,并进行矢量化,获取矢量,分析与参照值的平方差最小的矢量,据此分析该可疑应用与合法应用的近似程度,如果近似程度的量化值大于或等于第一阈值,则进入下一步骤;如果近似程度的量化值小于第一阈值,则确定该可疑应用为非恶意应用。
具体地,在步骤s4中,针对不符合初步筛查的目标应用,平台进行应用的行为评价包括:生成该可疑应用的数据流和控制流,确定其信息流向,并且分析可疑应用是与用户进行交互,与射频收发装置是否有双向或单向的信号流动或控制,是否新建文件夹路径来保存生成和已生成的文件,分别根据这些情况进行赋值,并且根据预设的权重值来加权求和获得行为评价参数,并与第二阈值比较,如果大于或等于第二阈值,则确定该可疑应用确实为恶意应用;如果小于第二阈值,则确定该可疑应用为非恶意应用。
具体地,在步骤s5中,确定恶意应用后,本地查杀并报备远程设备包括:查询进程列表,由确定后生成的使能指令自动结束该进程,调取该恶意应用的简档和文件夹位置、相关生成文件和压缩包,进行删除,并在预设时间值之后检查是否重新生成或更新,如果是的话则执行该步骤,直到不再存在。并且将该恶意应用的所有信息传输到远程设备进行报备,其中远程设备通过再次核实用户端的请求和身份,通过则接受该传输的信息并进行分类和存储。
具体地,在步骤s6中,对于受损的平台数据进行验证和修复以及在步骤s7中,运行修复的平台数据,核查是否有已被查杀的应用的简档包括:如果原恶意应用对平台上的合法应用的数据有替换、损毁或覆盖,则查找合法应用的配置文件,通过链接到地址进行数据文件的恢复,启动合法应用的线程,对数据进行校验,如果通过则进入下一步骤,如果不通过则重复执行该步骤,直至校验通过。
可替代地,在步骤s6中,对于受损的平台数据进行验证和修复以及在步骤s7中,运行修复的平台数据,核查是否有已被查杀的应用的简档包括:通过冗余来恢复和修复数据包括:通过冗余来进行恢复,该冗余的生成过程为:将存储设备分成多个区块,根据功能将其分配为存储区、冗余区、映射区,存储结束后,采用存储设备内部的冗余生成器,将数据进行冗余操作,并且相应地在映射区形成存储数据和冗余数据的对应关系表格。在存储区域的邻近区域添加循环冗余校验码,并关闭存储介质的密钥通道。
优选地,在步骤s6和s7之中,数据文件的恢复之后,还执行操作:对数据进行补位,补长度,定义常数,确定函数,计算验证码。通过该操作,可以进一步增强数据的安全性和完整性。
优选地,在步骤s2中,平台分析简档进一步包括:获取可疑应用的同步和异步更新文件信息,确定其新建和存储路径,提取其中保留的配置参数,分析其信息流来提取可疑应用的完整信息。通过该操作,可以进一步增强安全性分析的准确性和完整性,减少判断步骤,减少对平台处理资源的占用和功率消耗。
优选地,在步骤s4中,行为评价之后,为了进一步确认可疑应用为恶意应用,还可疑采用以下操作:通过开启合法应用,然后在规定的时段之后终止其进程,观察在此规定的时段之间对该合法应用的访问的应用信息,获取其通信信息和与射频模块的信号流,如果存在则将访问的应用确定为恶意应用;同期该恶意应用生成的文件越多,其恶意程度越强,并在后续步骤中将此信息报备远程设备。
综上,在本发明的技术方案中,通过采用了一种平台数据的操作方法,可以获得在计算机平台上运行或尝试运行的恶意应用的信息并将其及时、准确、完整地查杀,从而保护了系统的安全性,此外还可以进一步增强安全性分析的准确性和完整性,减少判断步骤,减少对平台处理资源的占用和功率消耗,并且增强了数据的安全性和完整性。
将理解的是:可以硬件、软件或硬件和软件的组合的形式实现本发明的示例和实施例。如上所述,可存储任何执行这种方法的主体,以挥发性或非挥发性存储的形式,例如存储设备,像rom,无论可抹除或可重写与否,或者以存储器的形式,诸如例如ram、存储器芯片、设备或集成电路或在光或磁可读的介质上,诸如例如cd、dvd、磁盘或磁带。将理解的是:存储设备和存储介质是适合于存储一个或多个程序的机器可读存储的示例,当被执行时,所述一个或多个程序实现本发明的示例。经由任何介质,诸如通过有线或无线耦合载有的通信信号,可以电子地传递本发明的示例,并且示例适当地包含相同内容。
应当注意的是:因为本发明解决了及时、准确、完整地查杀计算机平台上的恶意应用的信息的技术问题,采用了计算机技术领域中技术人员在阅读本说明书之后根据其教导所能理解的技术手段,并获得了保护了系统的安全性,进一步增强安全性分析的准确性和完整性,减少判断步骤,减少对平台处理资源的占用和功率消耗,增强了数据的安全性和完整性的有益技术效果,所以在所附权利要求中要求保护的方案属于专利法意义上的技术方案。另外,因为所附权利要求要求保护的技术方案可以在工业中制造或使用,因此该方案具备实用性。
以上所述,仅为本发明的较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应包涵在本发明的保护范围之内。除非以其它方式明确陈述,否则公开的每个特征仅是一般系列的等效或类似特征的一个示例。因此,本发明的保护范围应该以权利要求书的保护范围为准。