CN105468976B - 一种基于容器的多系统的入侵监控方法和装置 - Google Patents
一种基于容器的多系统的入侵监控方法和装置 Download PDFInfo
- Publication number
- CN105468976B CN105468976B CN201510894396.3A CN201510894396A CN105468976B CN 105468976 B CN105468976 B CN 105468976B CN 201510894396 A CN201510894396 A CN 201510894396A CN 105468976 B CN105468976 B CN 105468976B
- Authority
- CN
- China
- Prior art keywords
- permission
- service
- application
- change type
- signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Alarm Systems (AREA)
Abstract
本申请公开了一种基于容器的多系统的入侵监控方法和装置,其中所述多系统至少包括第一系统和第二系统并共用内核,所述方法包括:所述内核在发现应用和/或服务程序的权限发生变化时向第一系统发送检查能力信号;所述第一系统根据接收到的所述检查能力信号确定权限变化类型,其中所述权限变化类型包括正常和异常;在确定所述权限变化类型为异常时,所述第一系统向所述第二系统发送停止服务信号;及所述第二系统根据接收到的所述停止服务信号向其中的权限变化异常的应用和/或服务发送终止进程信号以终止相应应用和/或服务。本申请的方法和装置可独立、不受干扰、有效地监测系统入侵并做出相应处理,从而保护用户隐私及避免可能的损失。
Description
技术领域
本申请涉及电数字数据处理领域,尤其涉及一种在基于容器的多系统中监测和控制入侵的方法和装置。
背景技术
Root权限是指Unix类操作系统(包括Linux、Android)的系统管理员权限。Root权限可以访问和修改用户的移动终端中几乎所有的文件。目前移动终端系统对于Root权限的管理是非常严格的。通常情况下,多数应用或程序都不具备Root权限。一些系统攻击、恶意软件都是试图获取Root权限进而控制整个操作系统。一旦入侵者获得了Root权限,便能完全控制操作系统。同样,如果入侵者获得了一些其他敏感权限如读取联系人信息、读取短信信息等,移动终端用户的隐私无法得到保护。
发明内容
本申请的目标在于提供一种能及时监测到系统被提权并进行相应处理、且不易受到入侵者破坏的方法和装置,以避免因系统被提权而可能导致的损失。
在本说明书中,术语“提权”指app应用在原有权限(能力)基础上获得到更多权限,可以只是增加一些权限但没有获取root权限。获取Root权限意味着获取到了操作系统的最高权限。
本申请的目标由一种基于容器的多系统的入侵监控方法实现,所述多系统至少包括第一系统和第二系统并共用内核,所述方法包括:
所述内核在发现应用和/或服务程序的权限发生变化时向第一系统发送检查能力信号;
所述第一系统根据接收到的所述检查能力信号确定权限变化类型,其中所述权限变化类型包括正常和异常;
在确定所述权限变化类型为异常时,所述第一系统向所述第二系统发送停止服务信号;及
所述第二系统根据接收到的所述停止服务信号向其中的权限变化异常的应用和/或服务发送终止进程信号以终止相应应用和/或服务。
本申请的目标还由一种基于容器的多系统的入侵监控装置实现,所述多系统至少包括第一系统和第二系统并共用内核,所述装置包括:
内核中的权限变化判别模块,用于在发现应用和/或服务程序的权限发生变化时向第一系统发送检查能力信号;
第一系统中的入侵识别模块,用于根据接收到的所述检查能力信号确定权限变化类型,其中所述权限变化类型包括正常和异常;及用于在确定所述权限变化类型为异常时,向所述第二系统发送停止服务信号;及
第二系统中的应用和服务进程管理模块,用于根据接收到的所述停止服务信号向第二系统的权限变化异常的应用和/或服务发送终止进程信号以终止相应应用和/或服务。
在Unix类操作系统如Android系统中,每一个app应用和服务(有界面和无界面显示)都是有一些能力的,例如能做哪些系统调用、能访问哪些文件等等。这些能力都是预定义好的,并且在系统的内核中具有相应的标志位。这是其固有的机制。本发明借助于基于容器的多系统中系统间相互独立,利用第一系统如非Android系统监测第二系统如Android系统的app应用和服务的权限变化,一旦Android系统遭到入侵,本发明方法和装置能实现提权的监测和限制。相较于单一系统自身对提权的监测(该监测系统可能被入侵者直接停掉从而不起作用),本发明方法和装置具有独立性,不易受到干扰。
除非明确指出,在此所用的单数形式“一”、“该”均包括复数含义(即具有“至少一”的意思)。应当进一步理解,说明书中使用的术语“具有”、“包括”和/或“包含”表明存在所述的特征、步骤、操作、元件和/或部件,但不排除存在或增加一个或多个其他特征、步骤、操作、元件、部件和/或其组合。如在此所用的术语“和/或”包括一个或多个列举的相关项目的任何及所有组合。除非明确指出,在此公开的任何方法的步骤不必精确按照所公开的顺序执行。
附图说明
本发明将在下面参考附图并结合优选实施例进行更完全地说明。
图1为根据本发明方法的一实施例的流程图。
图2为根据本发明方法的另一实施例的流程图。
图3为根据本发明装置的一实施例的结构示意图。
为清晰起见,这些附图均为示意性及简化的图,它们只给出了对于理解本发明所必要的细节,而省略其他细节。
具体实施方式
通过下面给出的详细描述,本发明的适用范围将显而易见。然而,应当理解,在详细描述和具体例子表明本发明优选实施例的同时,它们仅为说明目的给出。
图1示出了本发明方法的第一实施例,其用于在基于容器的多系统中对入侵提权进行监测和控制,其中多系统至少包括第一系统和第二系统,二者共用内核,在该实施例中,第一系统为非Android系统,及第二系统为Android系统。在其他实施例中,第一系统和第二系统也可为其他适用的操作系统。该方法开始于步骤S10,内核保存了Android系统的所有app应用和服务程序的初始权限的快照,内核通过将Android系统的应用和/或服务程序的当前权限与保存的所有应用和服务程序的初始权限的快照进行比较,如果发现某一app突然增加能力(即权限提升),则向非Android系统发送自定义的检查能力信号signalcheck_cap,检查能力信号包含发生权限变化的程序名称及用于指明哪些权限发生变化即指明增加了哪些能力的能力变化参数。之后,处理进行到步骤S20,非Android系统根据接收到的检查能力信号及预设的能力集确定权限变化类型属于正常还是异常。不同的权限变化类型具有不同的处理方式。预设的能力集可根据用户的实际情况、移动终端的应用场景等任意设置。例如,进程原本只有读的权限,没有写的权限,为了正常保存一下信息,分给该进程写入到临时文件夹temp的能力,这样的权限变化属于正常权限变化。再例如,CAP_CHOWN改变所属权、CAP_DAC_OVERRIDE忽略访问限制、CAP_SETPCAP允许向其它进程转移能力以及删除其它进程的任意能力、CAP_NET_BIND_SERVICE允许绑定到小于1024的端口(小于1024端口通常是服务器开的服务端口)等能力都是非常敏感的,普通进程不能拥有这些能力。当发现进程具有这样的能力时,属于异常权限变化。在确定权限变化类型为正常时,即属于程序运行中必要的能力提升,不对检查能力信号做进一步处理。在确定权限变化类型为异常时,即权限过高的升,例如调用了多个敏感的系统调用,非Android系统通过内核接口向Android系统发送系统间的自定义停止服务信号signal stop_sys。之后,处理进行到步骤S30,Android系统根据接收到的来自非Android系统的停止服务信号,向其中的权限变化异常的应用和/或服务发送Android系统自带的终止进程信号以终止相应进程(app应用和服务本质上都是进程)。此过程与关机类似,但是该过程不改变内核的共享的部分,同时不操作电源管理部分(Android关机流程要关闭内核,最终切断电源)。该实施例的方法利用双系统首先监测到Android系统被入侵提权,然后及时关闭Android应用与服务,避免了可能引起的损失。
图2示出了与图1所示方法类似的实施例,但其中在步骤S20,预设的能力集还包括可确定权限变化类型为“不确定”的能力集。例如,向不属于自己的进程发信号的能力,普通进程通常不需要给不属于自己的进程发信号,但是也不排除某一情况下有需要,这样的能力变化属于不确定权限变化。在确定权限变化类型为不确定时,即发现提升了一些敏感权限但不确定是否遭到恶意攻击,处理进行到步骤S40,非Android系统向用户发送提示,该提示包含应用和/或服务程序名称及发生变化的能力,由用户判别当前是正常行为还是要终止该提权动作。
图3示出了本发明装置的一实施例,其用于在基于容器的多系统中对入侵提权进行监测和控制,其中多系统至少包括第一和第二系统并共用内核,例如第一系统为非Android系统,及第二系统为Android系统。该装置包括内核中的权限变化判别模块10、非Android系统中的入侵识别模块20和Android系统中的应用和服务进程管理模块30。具体地,权限变化判别模块10在发现Android系统的应用和/或服务程序的权限发生变化时向非Android系统中的入侵识别模块20发送检查能力信号,该检查能力信号包含发生权限变化的程序名称及用于指明哪些权限发生变化的能力变化参数;入侵识别模块20根据接收到的所述检查能力信号和预设的能力集确定权限变化类型,其中所述权限变化类型包括正常、异常和不确定。预设的能力集可根据用户的实际情况、移动终端的应用场景等任意设置。例如,进程原本只有读的权限,没有写的权限,为了正常保存一下信息,分给该进程写入到临时文件夹temp的能力,这样的权限变化属于正常权限变化。再例如,CAP_CHOWN改变所属权、CAP_DAC_OVERRIDE忽略访问限制、CAP_SETPCAP允许向其它进程转移能力以及删除其它进程的任意能力、CAP_NET_BIND_SERVICE允许绑定到小于1024的端口(小于1024端口通常是服务器开的服务端口)等能力都是非常敏感的,普通进程不能拥有这些能力。当发现进程具有这样的能力时,属于异常权限变化。再例如,向不属于自己的进程发信号的能力,普通进程通常不需要给不属于自己的进程发信号,但是也不排除某一情况下有需要,这样的能力变化属于不确定权限变化。在确定所述权限变化类型为异常时,入侵识别模块20向Android系统中的应用和服务进程管理模块30发送停止服务信号,应用和服务进程管理模块30根据接收到的所述停止服务信号向Android系统的权限变化异常的应用和/或服务发送终止进程信号以终止相应应用和/或服务;在确定权限变化类型为不确定时,向用户发送哪一程序发生何种能力提升的提示,由用户判别当前是正常行为还是要终止该提权动作;及在确定权限变化类型为正常时,不对检查能力信号做进一步处理。
一些优选实施例已经在前面进行了说明,但是应当强调的是,本发明不局限于这些实施例,而是可以本发明主题范围内的其它方式实现。
Claims (10)
1.一种基于容器的多系统的入侵监控方法,所述多系统至少包括第一系统和第二系统并共用内核,其特征在于,所述方法包括:
所述内核在发现应用和/或服务程序的权限发生变化时向第一系统发送检查能力信号;
所述第一系统根据接收到的所述检查能力信号确定权限变化类型,其中所述权限变化类型包括正常和异常;
在确定所述权限变化类型为异常时,所述第一系统向所述第二系统发送停止服务信号;及
所述第二系统根据接收到的所述停止服务信号向其中的权限变化异常的应用和/或服务发送终止进程信号以终止相应应用和/或服务。
2.根据权利要求1所述的方法,其特征在于,所述权限变化类型还包括不确定。
3.根据权利要求2所述的方法,其特征在于,所述权限变化类型根据预设的能力集进行确定。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:在确定所述权限变化类型为不确定时,所述第一系统向用户发送提示,所述提示包含应用和/或服务程序名称及发生变化的能力。
5.根据权利要求1-4任一所述的方法,其特征在于,所述内核通过将应用和/或服务程序的当前权限与保存的所有应用和服务程序的初始权限的快照进行比较而发现权限发生变化。
6.根据权利要求1-4任一所述的方法,其特征在于,所述检查能力信号包含发生权限变化的程序名称及用于指明哪些权限发生变化的能力变化参数。
7.根据权利要求1-4任一所述的方法,其特征在于,所述第一系统为非Android系统,及所述第二系统为Android系统。
8.一种基于容器的多系统的入侵监控装置,所述多系统至少包括第一系统和第二系统并共用内核,其特征在于,所述装置包括:
内核中的权限变化判别模块,用于在发现应用和/或服务程序的权限发生变化时向第一系统发送检查能力信号;
第一系统中的入侵识别模块,用于根据接收到的所述检查能力信号确定权限变化类型,其中所述权限变化类型包括正常和异常;及用于在确定所述权限变化类型为异常时,向所述第二系统发送停止服务信号;及
第二系统中的应用和服务进程管理模块,用于根据接收到的所述停止服务信号向第二系统的权限变化异常的应用和/或服务发送终止进程信号以终止相应应用和/或服务。
9.根据权利要求8所述的装置,其特征在于,所述权限变化类型根据预设的能力集进行确定。
10.根据权利要求8所述的装置,其特征在于,所述检查能力信号包含发生权限变化的程序名称及用于指明哪些权限发生变化的能力变化参数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510894396.3A CN105468976B (zh) | 2015-12-08 | 2015-12-08 | 一种基于容器的多系统的入侵监控方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510894396.3A CN105468976B (zh) | 2015-12-08 | 2015-12-08 | 一种基于容器的多系统的入侵监控方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105468976A CN105468976A (zh) | 2016-04-06 |
| CN105468976B true CN105468976B (zh) | 2019-11-12 |
Family
ID=55606662
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510894396.3A Active CN105468976B (zh) | 2015-12-08 | 2015-12-08 | 一种基于容器的多系统的入侵监控方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105468976B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101997912A (zh) * | 2010-10-27 | 2011-03-30 | 苏州凌霄科技有限公司 | 基于Android平台的强制访问控制装置及控制方法 |
| CN104268470A (zh) * | 2014-09-26 | 2015-01-07 | 酷派软件技术(深圳)有限公司 | 安全控制方法和安全控制装置 |
| CN104298924A (zh) * | 2014-09-28 | 2015-01-21 | 宇龙计算机通信科技(深圳)有限公司 | 确保系统安全的方法、确保系统安全的装置和终端 |
| CN104318156A (zh) * | 2014-10-22 | 2015-01-28 | 上海斐讯数据通信技术有限公司 | 一种进程访问安全方法及系统 |
| CN104424403A (zh) * | 2013-08-30 | 2015-03-18 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8099718B2 (en) * | 2007-11-13 | 2012-01-17 | Intel Corporation | Method and system for whitelisting software components |
| CN104462970B (zh) * | 2014-12-17 | 2017-06-16 | 中国科学院软件研究所 | 一种基于进程通信的Android应用程序权限滥用检测方法 |
-
2015
- 2015-12-08 CN CN201510894396.3A patent/CN105468976B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101997912A (zh) * | 2010-10-27 | 2011-03-30 | 苏州凌霄科技有限公司 | 基于Android平台的强制访问控制装置及控制方法 |
| CN104424403A (zh) * | 2013-08-30 | 2015-03-18 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
| CN104268470A (zh) * | 2014-09-26 | 2015-01-07 | 酷派软件技术(深圳)有限公司 | 安全控制方法和安全控制装置 |
| CN104298924A (zh) * | 2014-09-28 | 2015-01-21 | 宇龙计算机通信科技(深圳)有限公司 | 确保系统安全的方法、确保系统安全的装置和终端 |
| CN104318156A (zh) * | 2014-10-22 | 2015-01-28 | 上海斐讯数据通信技术有限公司 | 一种进程访问安全方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105468976A (zh) | 2016-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109873803B (zh) | 应用程序的权限控制方法及装置、存储介质、计算机设备 | |
| CA3006003C (en) | Dual memory introspection for securing multiple network endpoints | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| US9794270B2 (en) | Data security and integrity by remote attestation | |
| KR101737726B1 (ko) | 네트워크 트래픽에서의 불일치들을 검출하기 위한 하드웨어 자원들의 사용에 의한 루트킷 검출 | |
| KR101948711B1 (ko) | 멀웨어 탐지를 위한 복합 스코어링 | |
| EP2474934A1 (en) | Unauthorized process detection method and unauthorized process detection system | |
| CN105740046B (zh) | 一种基于动态库的虚拟机进程行为监控方法与系统 | |
| US20180063179A1 (en) | System and Method Of Performing Online Memory Data Collection For Memory Forensics In A Computing Device | |
| KR101266037B1 (ko) | 휴대단말에서 악성행위 처리 방법 및 장치 | |
| US20130067563A1 (en) | Apparatus and method for managing permission information of application | |
| US11256802B1 (en) | Application behavioral fingerprints | |
| CN109344609A (zh) | 一种tcu模块、tcu系统及保护方法 | |
| US20160335433A1 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
| CN103218552A (zh) | 基于用户行为的安全管理方法及装置 | |
| CN110688653A (zh) | 客户端的安全防护方法及装置、终端设备 | |
| US20210192055A1 (en) | Active testing of access control policy | |
| US11044271B1 (en) | Automatic adaptive policy based security | |
| CN113987468A (zh) | 安全检查方法和安全检查装置 | |
| CN105468976B (zh) | 一种基于容器的多系统的入侵监控方法和装置 | |
| CN109684826B (zh) | 应用程序沙箱反逃逸方法和电子设备 | |
| CN111125701B (zh) | 文件检测方法、设备、存储介质及装置 | |
| CN111259389B (zh) | 操作系统防护方法、装置及存储介质 | |
| CN113836529A (zh) | 进程检测方法、装置、存储介质以及计算机设备 | |
| CN103929407B (zh) | 一种木马拦截方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210128 Address after: 101300 room 153, 1 / F, building 17, 16 Caixiang East Road, Nancai Town, Shunyi District, Beijing Patentee after: Yuanxin Information Technology Group Co.,Ltd. Address before: 100176 room 2222, building D, building 33, 99 Kechuang 14th Street, Beijing Economic and Technological Development Zone, Daxing District, Beijing Patentee before: BEIJING YUANXIN SCIENCE & TECHNOLOGY Co.,Ltd. |
|
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20160406 Assignee: Beijing Yuanxin Junsheng Technology Co.,Ltd. Assignor: Yuanxin Information Technology Group Co.,Ltd. Contract record no.: X2021110000018 Denomination of invention: A container based intrusion monitoring method and device for multi system Granted publication date: 20191112 License type: Common License Record date: 20210531 |