一种基于大数据软件安全监测方法、系统、设备及介质与流程

1.本发明涉及信息安全的技术领域，具体而言，涉及一种基于大数据软件安全监测方法、系统、设备及介质。


背景技术：

2.随着时代的发展，互联网已经深入到社会的方方面面，由此信息安全也成为了重要的社会问题，特别是针对现在手机或电脑等移动设备，其上安装的软件可以随意访问或获取用户信息，导致非软件需要信息被非法获取，从而导致用户信息泄露，由此需要一种基于大数据软件安全监测方法。


技术实现要素：

3.本发明的目的在于提供一种基于大数据软件安全监测方法，其能够提高终端设备内个人信息的安全性。
4.本发明的实施例是这样实现的：
5.第一方面，本技术实施例提供一种基于大数据软件安全监测方法，其包括在终端的操作系统内镶嵌预设监控程序，将预设监控程序设置为自启动；预设监控程序读取进程信息，得到进程列表；预设监控程序对进程列表进行监测，获得软件进程操作的对象；若软件在第一预设时间内，获取对象数据大于等于第一预设数据，判定为风险软件；反之则继续监控；检测软件访问或操作对象是否得到授权，若软件未经终端授权，判定软件为恶意软件；创建软件行为文件，将任一软件对应操作对象的数字签名保存至软件行为文件内；同时对风险软件和恶意软件进行标记；同时在终端首页界面显示风险软件和恶意软件的提示信息；通过终端将软件行为文件上传至后台终端，在后台终端内预设隐私对象，后台终端持续接收多个终端的软件行为文件，对所有的软件行为文件内进行分析；若软件行为文件内，任一软件在第二预设时间内，对隐私对象访问或操作频率超过预设频率；判定软件为恶意软件；将恶意软件进行屏蔽，禁止操作系统安装软件恶意软件，并上报至管理人员，对风险软件实时跟踪。
6.在本发明的一些实施例中，检测软件访问或操作对象是否得到授权的步骤包括：获取终端授权列表；根据授权列表筛选出软件授权权限；若授权权限内为包括对象，则判定为未获得授权，反之则判定为获得授权。
7.在本发明的一些实施例中，若软件未经终端授权，判定软件为恶意软件后的步骤包括：预设监控程序获取操作系统内任意软件的联网数据，生成流量数据列表；预设白名单，用户通过弹窗选择白名单软件，监控程序对任一非白名单软件进行流量监控；若任意非白名单软件在预设时间内，使用流量超过预设数量，则在终端首页界面显示非白名单软件流量使用报告。
8.在本发明的一些实施例中，则在终端首页界面显示非白名单软件流量使用报告后的步骤包括：若任意非白名单软件在预设时间内，使用流量超过预设数量，并向通过弹窗请
求安装，则判定为违规使用流量；若任意非白名单软件在预设时间内，使用流量超过预设数量，并未经授权直接后台安装，则判定为恶意软件。
9.在本发明的一些实施例中，预设监控程序对进程列表进行监测，获得软件进程操作的对象中的步骤包括：当操作系统上任一软件创建进程，分配地址空间后，进程列表上显示增加的进程，预设监控程序对增加的进程的地址空间进行追踪并读取进程空间，获得软件进程操作的对象。
10.在本发明的一些实施例中，对风险软件实时跟踪的步骤包括：在接收到任一软件行为文件时，将需要实时跟踪的软件优先对比，并根据软件在不同的终端的数据生成数据报告，上报至管理人员。
11.在本发明的一些实施例中，通过终端将软件行为文件上传至后台终端的步骤包括：将软件行为文件进行压缩，通过终端上传至后台终端。
12.第二方面，本技术实施例提供一种基于大数据软件安全监测系统，包括：预设模块，用于在终端的操作系统内镶嵌预设监控程序，将预设监控程序设置为自启动；进程读取模块，用于预设监控程序读取进程信息，得到进程列表；监控模块，用于预设监控程序对进程列表进行监测，获得软件进程操作的对象；若软件在第一预设时间内，获取对象数据大于等于第一预设数据，判定为风险软件；反之则继续监控；授权检测模块，用于检测软件访问或操作对象是否得到授权，若软件未经终端授权，判定软件为恶意软件；行为记录模块，用于创建软件行为文件，将任一软件对应操作对象的数字签名保存至软件行为文件内；同时对风险软件和恶意软件进行标记；同时在终端首页界面显示风险软件和恶意软件的提示信息；大数据处理模块，通过终端将软件行为文件上传至后台终端，在后台终端内预设隐私对象，后台终端持续接收多个终端的软件行为文件，对所有的软件行为文件内进行分析；判断模块，用于若软件行为文件内，任一软件在第二预设时间内，对隐私对象访问或操作频率超过预设频率；判定软件为恶意软件；将恶意软件进行屏蔽，禁止操作系统安装软件恶意软件，并上报至管理人员，对风险软件实时跟踪。
13.第三方面，本技术实施例提供一种电子设备，包括至少一个处理器、至少一个存储器和数据总线；其中：处理器与存储器通过数据总线完成相互间的通信；存储器存储有可被处理器执行的程序指令，处理器调用程序指令以执行一种基于大数据软件安全监测方法。
14.第四方面，本技术实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现一种基于大数据软件安全监测方法。
15.相对于现有技术，本发明的实施例至少具有如下优点或有益效果：
16.对于现在软件非法获取手机或电脑等终端信息的问题，本设计采用在操作系统内设置进程监控程序，其原理在于，对于任何程序在操作或访问终端内的文件时，均需要建立进程，由此可以根据进程的内容进行监测，并根据进程具体操作进行识别，从而利用后台终端收集对恶意软件的违法行为进行大数据分析，并对恶意软件封禁。由此提高终端设备的安全性。
附图说明
17.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对
范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
18.图1为本发明中一种基于大数据软件安全监测方法的流程示意图；
19.图2为本发明中授权检测的流程示意图；
20.图3为本发明中流量检测的流程示意图；
21.图4为本发明中一种基于大数据软件安全监测的结构示意图；
22.图5为本发明中一种电子设备的结构示意图。
23.图标：1、预设模块；2、进程读取模块；3、监控模块；4、授权检测模块；5、行为记录模块；6、大数据处理模块；7、判断模块；8、处理器；9、存储器；10、数据总线。
具体实施方式
24.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。
25.因此，以下对在附图中提供的本技术的实施例的详细描述并非旨在限制要求保护的本技术的范围，而是仅仅表示本技术的选定实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
26.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
27.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
28.在本技术的描述中，需要说明的是，术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，或者是该申请产品使用时惯常摆放的方位或位置关系，仅是为了便于描述本技术和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本技术的限制。
29.在本技术的描述中，还需要说明的是，除非另有明确的规定和限定，术语“设置”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本技术中的具体含义。
30.下面结合附图，对本技术的一些实施方式作详细说明。在不冲突的情况下，下述的
各个实施例及实施例中的各个特征可以相互组合。
31.实施例1
32.请参阅图1，为本技术实施例提供的一种基于大数据软件安全监测方法，对于现在软件非法获取手机或电脑等终端信息的问题，本设计采用在操作系统内设置进程监控程序，其原理在于，对于任何程序在操作或访问终端内的文件时，均需要建立进程，由此可以根据进程的内容进行监测，并根据进程具体操作进行识别，从而利用后台终端收集对恶意软件的违法行为进行大数据分析，并对恶意软件封禁。由此提高终端设备的安全性。
33.s1：在终端的操作系统内镶嵌预设监控程序，将预设监控程序设置为自启动；
34.为了尽可能实时对系统外程序进行监测，采用操作系统开启的同时监控程序自启动。
35.s2：预设监控程序读取进程信息，得到进程列表；
36.而对于进程的监控，是一个实时变化的过程，故而可以直接读取进程列表，从而在进程列表内，检查新的进程创建或已有进程的结束。
37.s3：预设监控程序对进程列表进行监测，获得软件进程操作的对象；若软件在第一预设时间内，获取对象数据大于等于第一预设数据，判定为风险软件；反之则继续监控；
38.而在对进程监控的过程中，主要是监控该进程访问或操作了哪些对象，该对象包括图片、定位以及其他用户个人信息等等。而对于初始判定，则是通过在5分钟内(第一预设时间)内，获取对象数据大于等于40mb(第一预设数据)的数据，判定为风险软件；其原因在于，大多数情况下，用户不会用到上传等命令，而软件进行非法采集后，均需要上传，由此会尽可能快速获取，由此可以暂定改软件为风险软件。
39.s4：检测软件访问或操作对象是否得到授权，若软件未经终端授权，判定软件为恶意软件；
40.而对于类似个人相册、通话记录这种需要授权才能访问的对象，未经授权便直接可以访问，可以直接判定该软件在窃取信息，由此判定为恶意软件。
41.s5：创建软件行为文件，将任一软件对应操作对象的数字签名保存至软件行为文件内；同时对风险软件和恶意软件进行标记；同时在终端首页界面显示风险软件和恶意软件的提示信息；
42.而对于单一终端内软件的行为，为了避免误判断，将其软件行为记录并上传至终端进行进一步识别。
43.s6：通过终端将软件行为文件上传至后台终端，在后台终端内预设隐私对象，后台终端持续接收多个终端的软件行为文件，对所有的软件行为文件内进行分析；
44.单单对一个终端内的监控，只能反应个别情况，为了确保避免误判断软件性质，采用大数据处理，即对所有安装有监控程序的终端上传的软件行为文件进行综合分析，从而确定违规软件。
45.s7：若软件行为文件内，任一软件在第二预设时间内，对隐私对象访问或操作频率超过预设频率；判定软件为恶意软件；将恶意软件进行屏蔽，禁止操作系统安装软件恶意软件，并上报至管理人员，对风险软件实时跟踪。
46.其中隐私对象则指的是用户定位信息、通讯录、录音等等极为私密的信息源，当对隐私对象被访问或操作频率在1小时内，超过1次每秒(预设频率)，则已经超过正常读取数
据和访问数据的频率，由此判定软件为恶意软件。
47.请参阅图2，在本发明的一些实施例中，检测软件访问或操作对象是否得到授权的步骤包括：
48.s401：获取终端授权列表；
49.对于授权问题，单独检查某一个授权会使得程序运算较慢，且对其他软件监测速度放缓，由此直接获取授权列表对所有外部安全软件进行授权筛查。
50.s402：根据授权列表筛选出软件授权权限；
51.在获取授权列表后，找到需要检测的软件，直接查看权限。
52.s403：若授权权限内为包括对象，则判定为未获得授权，反之则判定为获得授权。
53.授权权限范围与对象对比则可以得出是否授权。
54.请参阅图3，在本发明的一些实施例中，若软件未经终端授权，判定软件为恶意软件后的步骤包括：
55.s411：预设监控程序获取操作系统内任意软件的联网数据，生成流量数据列表；
56.而对于许多软件未经允许直接下载其他软件或者更新广告等等，会浪费用户流量，由此对软件联网数据进行监测。
57.s412：预设白名单，用户通过弹窗选择白名单软件，监控程序对任一非白名单软件进行流量监控；
58.鉴于某些用户的特定需要，可以设置白名单，避免误判断。
59.s413：若任意非白名单软件在预设时间内，使用流量超过预设数量，则在终端首页界面显示非白名单软件流量使用报告。
60.生成使用报告通知用户，提示流量使用风险。
61.请参阅图3，在本发明的一些实施例中，则在终端首页界面显示非白名单软件流量使用报告后的步骤包括：
62.s414：若任意非白名单软件在预设时间内，使用流量超过预设数量，并向通过弹窗请求安装，则判定为违规使用流量；
63.而对于私自下载软件，而后向用户请求安装，则是属于未经过允许下载软件，由此判定为违规使用流量。
64.s415：若任意非白名单软件在预设时间内，使用流量超过预设数量，并未经授权直接后台安装，则判定为恶意软件。
65.而对于私自下载软件，直接绕过授权安装，则有着极大的安全隐患，由此判定为恶意软件。
66.在本发明的一些实施例中，预设监控程序对进程列表进行监测，获得软件进程操作的对象中的步骤包括：
67.当操作系统上任一软件创建进程，分配地址空间后，进程列表上显示增加的进程，预设监控程序对增加的进程的地址空间进行追踪并读取进程空间，获得软件进程操作的对象。对于软件来说其在操作时必须为新创建的进程分配地址空间，需要读取进程空间，这样的捕获方式，就能够获取进程的创建动作，从而完成监控。
68.在本发明的一些实施例中，对风险软件实时跟踪的步骤包括：在接收到任一软件行为文件时，将需要实时跟踪的软件优先对比，并根据软件在不同的终端的数据生成数据
报告，上报至管理人员。
69.在本发明的一些实施例中，通过终端将软件行为文件上传至后台终端的步骤包括：将软件行为文件进行压缩，通过终端上传至后台终端。
70.实施例2
71.请参阅图4，为本发明提供的一种基于大数据软件安全监测系统，包括：预设模块1，用于在终端的操作系统内镶嵌预设监控程序，将预设监控程序设置为自启动；进程读取模块2，用于预设监控程序读取进程信息，得到进程列表；监控模块3，用于预设监控程序对进程列表进行监测，获得软件进程操作的对象；若软件在第一预设时间内，获取对象数据大于等于第一预设数据，判定为风险软件；反之则继续监控；授权检测模块4，用于检测软件访问或操作对象是否得到授权，若软件未经终端授权，判定软件为恶意软件；行为记录模块5，用于创建软件行为文件，将任一软件对应操作对象的数字签名保存至软件行为文件内；同时对风险软件和恶意软件进行标记；同时在终端首页界面显示风险软件和恶意软件的提示信息；大数据处理模块6，通过终端将软件行为文件上传至后台终端，在后台终端内预设隐私对象，后台终端持续接收多个终端的软件行为文件，对所有的软件行为文件内进行分析；判断模块7，用于若软件行为文件内，任一软件在第二预设时间内，对隐私对象访问或操作频率超过预设频率；判定软件为恶意软件；将恶意软件进行屏蔽，禁止操作系统安装软件恶意软件，并上报至管理人员，对风险软件实时跟踪。
72.实施例3
73.请参阅图5，为本发明提供的一种电子设备，包括至少一个处理器8、至少一个存储器9和数据总线10；其中：处理器8与存储器9通过数据总线10完成相互间的通信；存储器9存储有可被处理器8执行的程序指令，处理器8调用程序指令以执行一种基于大数据软件安全监测方法。例如实现：
74.在终端的操作系统内镶嵌预设监控程序，将预设监控程序设置为自启动；预设监控程序读取进程信息，得到进程列表；预设监控程序对进程列表进行监测，获得软件进程操作的对象；若软件在第一预设时间内，获取对象数据大于等于第一预设数据，判定为风险软件；反之则继续监控；检测软件访问或操作对象是否得到授权，若软件未经终端授权，判定软件为恶意软件；创建软件行为文件，将任一软件对应操作对象的数字签名保存至软件行为文件内；同时对风险软件和恶意软件进行标记；同时在终端首页界面显示风险软件和恶意软件的提示信息；通过终端将软件行为文件上传至后台终端，在后台终端内预设隐私对象，后台终端持续接收多个终端的软件行为文件，对所有的软件行为文件内进行分析；若软件行为文件内，任一软件在第二预设时间内，对隐私对象访问或操作频率超过预设频率；判定软件为恶意软件；将恶意软件进行屏蔽，禁止操作系统安装软件恶意软件，并上报至管理人员，对风险软件实时跟踪。
75.实施例4
76.本发明提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器8执行时实现一种基于大数据软件安全监测方法。例如实现：
77.在终端的操作系统内镶嵌预设监控程序，将预设监控程序设置为自启动；预设监控程序读取进程信息，得到进程列表；预设监控程序对进程列表进行监测，获得软件进程操作的对象；若软件在第一预设时间内，获取对象数据大于等于第一预设数据，判定为风险软
件；反之则继续监控；检测软件访问或操作对象是否得到授权，若软件未经终端授权，判定软件为恶意软件；创建软件行为文件，将任一软件对应操作对象的数字签名保存至软件行为文件内；同时对风险软件和恶意软件进行标记；同时在终端首页界面显示风险软件和恶意软件的提示信息；通过终端将软件行为文件上传至后台终端，在后台终端内预设隐私对象，后台终端持续接收多个终端的软件行为文件，对所有的软件行为文件内进行分析；若软件行为文件内，任一软件在第二预设时间内，对隐私对象访问或操作频率超过预设频率；判定软件为恶意软件；将恶意软件进行屏蔽，禁止操作系统安装软件恶意软件，并上报至管理人员，对风险软件实时跟踪。
78.其中，存储器9可以是但不限于，随机存取存储器(random access memory，ram)，只读存储器(read only memory，rom)，可编程只读存储器(programmable read-only memory，prom)，可擦除只读存储器(erasable programmable read-only memory，eprom)，电可擦除只读存储器(electric erasable programmable read-only memory，eeprom)等。
79.处理器8可以是一种集成电路芯片，具有信号处理能力。该处理器8可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器(digital signal processing，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field－programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
80.在本技术所提供的实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
81.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
82.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
83.以上所述仅为本技术的优选实施例而已，并不用于限制本技术，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修
改、等同替换、改进等，均应包含在本技术的保护范围之内。
84.对于本领域技术人员而言，显然本技术不限于上述示范性实施例的细节，而且在不背离本技术的精神或基本特征的情况下，能够以其它的具体形式实现本技术。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本技术的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本技术内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。