CN107122664B - 安全防护方法及装置 - Google Patents
安全防护方法及装置 Download PDFInfo
- Publication number
- CN107122664B CN107122664B CN201610101966.3A CN201610101966A CN107122664B CN 107122664 B CN107122664 B CN 107122664B CN 201610101966 A CN201610101966 A CN 201610101966A CN 107122664 B CN107122664 B CN 107122664B
- Authority
- CN
- China
- Prior art keywords
- safety protection
- server
- security
- score
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请提供了一种安全防护方法及装置,所述方法用于实现待防护对象的自适应安全防护,所述待防护对象包括:应用,所述安全防护方法包括:基于待防护对象的业务流程进行检测,得到检测结果;根据所述检测结果确定是否需要从服务器获取相应的安全防护措施;若需要从服务器获取相应的安全防护措施,则与服务器通信获取相应的安全防护措施。本申请实现了在避免资源浪费以及安装包过大同时实现待防护对象在面临不同安全威胁时的自适应的安全防护。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种安全防护方法及装置。
背景技术
目前,各种功能的应用(APP)层出不穷,保护应用安全是应用开发商较为关注的问题之一。由于应用所运行的系统及环境差异很大,如越狱过、root的环境、虚拟机、定制的操作系统等,在不同的系统及环境中应用不同程度的面临着病毒、调试、破解、注入及伪造等多种差异巨大的攻击及威胁,因此,如何检测出应用各类攻击及威胁并采用相应的防护措施是解决应用安全问题的关键点。
目前的安全软件大多是基于操作系统或设备本身的安全防护,其无法针对应用面临的特殊威胁进行安全防护。常用的应用安全防护措施是加固或者安全组件等,主要是利用通用的基础类安全框架通过自动化或者编程调用的方式插入到被保护应用中。该应用的安全防护方法至少存在如下缺点:
由于在不同系统及环境中应用面临的威胁不同,如果要解决应用在不同系统及环境中可能碰到的所有安全威胁,则需要在安全包中包含所有可能的检测及安全防护措施,在将安全包集成到应用中时集成过程较复杂,并且,由于安全包较大导致集成该安全包后的应用安装文件较大,则应用在传播、使用等情况下将会产生较大的流量消耗,从而影响应用的传播,造成不利影响。
另外,对于运行在安全环境中的应用来说,若与虚拟机等存在风险的环境一样集成完整检测及安全防护措施,则造成很大的资源浪费。
因此,有必要提供一种新的应用安全防护技术,在减小资源浪费以及避免安全包过大的问题的同时有效实现应用的安全防护。
发明内容
本申请解决的技术问题之一是提供一种安全防护方法,应用无需一次性集成所有安全防护措施,在检测到不同安全问题时,获取相应的安全防护措施,实现了在减小资源浪费以及避免安全包过大的问题的同时有效实现应用的自适应安全防护。
根据本申请的一个实施例,提供了一种安全防护方法,所述方法用于实现待防护对象的自适应安全防护,所述待防护对象包括:应用,所述安全防护方法包括:
基于待防护对象的业务流程进行检测,得到检测结果;
根据所述检测结果确定是否需要从服务器获取相应的安全防护措施;
若需要从服务器获取相应的安全防护措施,则与服务器通信获取相应的安全防护措施。
根据本申请的一个实施例,提供了一种安全防护装置,所述装置用于实现待防护对象的自适应安全防护,所述待防护对象包括:应用,所述安全防护装置包括:
检测单元,用于基于待防护对象的业务流程进行检测,得到检测结果;
决策单元,用于根据所述检测结果确定是否需要从服务器获取相应的安全防护措施;
安全防护执行单元,用于在需要从服务器获取相应的安全防护措施情况下,与服务器通信获取相应的安全防护措施。
本申请实施例可以基于待防护对象的业务流程进行检测,并根据检测结果做出相应的决策,在需要从服务器获取相应的安全防护措施情况下,与服务器通信获取相应的安全防护措施。可见,在待防护对象本地可以仅包含基本的安全检测及根据检测结果做出决策的功能,避免了由于集成完整的安全防护措施而导致待防护对象安装包过大影响传播的问题,以及避免了集成安全包复杂的问题。通过安全检测及决策实现了:若待防护对象不存在安全威胁,则无需安装针对该待防护对象的安全防护措施,若待防护对象存在安全威胁时,可有针对性的获取与该安全威胁相应的安全防护措施,因此,本申请实现了该待防护对象在面临不同安全威胁时的自适应的安全防护,且有效避免了资源的浪费。
本领域普通技术人员将了解,虽然下面的详细说明将参考图示实施例、附图进行,但本申请并不仅限于这些实施例。而是,本申请的范围是广泛的,且意在仅通过后附的权利要求限定本申请的范围。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是根据本申请一个实施例的安全防护方法的流程图。
图2是根据本申请一个实施例的根据检测结果确定是否需要从服务器获取相应的安全防护措施流程图。
图3是根据本申请一个实施例的针对不同检测结果自适应安全保护示意图。
图4是根据本申请一个实施例安全防护装置的结构示意图。
本领域普通技术人员将了解,虽然下面的详细说明将参考图示实施例、附图进行,但本申请并不仅限于这些实施例。而是,本申请的范围是广泛的,且意在仅通过后附的权利要求限定本申请的范围。
具体实施方式
在更加详细地讨论示例性实施例之前,应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
所述计算机设备包括用户设备与网络设备。其中,所述用户设备包括但不限于电脑、智能手机、PDA等;所述网络设备包括但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(Cloud Computing)的由大量计算机或网络服务器构成的云,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。其中,所述计算机设备可单独运行来实现本申请,也可接入网络并通过与网络中的其他计算机设备的交互操作来实现本申请。其中,所述计算机设备所处的网络包括但不限于互联网、广域网、城域网、局域网、VPN网络等。
需要说明的是,所述用户设备、网络设备和网络等仅为举例,其他现有的或今后可能出现的计算机设备或网络如可适用于本申请,也应包含在本申请保护范围以内,并以引用方式包含于此。
后面所讨论的方法(其中一些通过流程图示出)可以通过硬件、软件、固件、中间件、微代码、硬件描述语言或者其任意组合来实施。当用软件、固件、中间件或微代码来实施时,用以实施必要任务的程序代码或代码段可以被存储在机器或计算机可读介质(比如存储介质)中。(一个或多个)处理器可以实施必要的任务。
这里所公开的具体结构和功能细节仅仅是代表性的,并且是用于描述本申请的示例性实施例的目的。但是本申请可以通过许多替换形式来具体实现,并且不应当被解释成仅仅受限于这里所阐述的实施例。
应当理解的是,虽然在这里可能使用了术语“第一”、“第二”等等来描述各个单元,但是这些单元不应当受这些术语限制。使用这些术语仅仅是为了将一个单元与另一个单元进行区分。举例来说,在不背离示例性实施例的范围的情况下,第一单元可以被称为第二单元,并且类似地第二单元可以被称为第一单元。这里所使用的术语“和/或”包括其中一个或更多所列出的相关联项目的任意和所有组合。
应当理解的是,当一个单元被称为“连接”或“耦合”到另一单元时,其可以直接连接或耦合到所述另一单元,或者可以存在中间单元。与此相对,当一个单元被称为“直接连接”或“直接耦合”到另一单元时,则不存在中间单元。应当按照类似的方式来解释被用于描述单元之间的关系的其他词语(例如“处于…之间”相比于“直接处于…之间”,“与…邻近”相比于“与…直接邻近”等等)。
这里所使用的术语仅仅是为了描述具体实施例而不意图限制示例性实施例。除非上下文明确地另有所指,否则这里所使用的单数形式“一个”、“一项”还意图包括复数。还应当理解的是,这里所使用的术语“包括”和/或“包含”规定所陈述的特征、整数、步骤、操作、单元和/或组件的存在,而不排除存在或添加一个或更多其他特征、整数、步骤、操作、单元、组件和/或其组合。
还应当提到的是,在一些替换实现方式中,所提到的功能/动作可以按照不同于附图中标示的顺序发生。举例来说,取决于所涉及的功能/动作,相继示出的两幅图实际上可以基本上同时执行或者有时可以按照相反的顺序来执行。
由于现有技术中为了实现应用的安全防护,针对应用在不同系统及环境中可能碰到的所有攻击及威胁,提供对应的检测及安全防护措施,并将所有检测及安全防护措施包含在一个安全包中,导致存在集成安全包复杂、安装包较大影响传播、以及造成资源浪费的问题。本申请实施例提供一种轻量级的插件式集成方案,在该安全防护插件中可以仅包含基本的应用安全检测及决策功能,不但降低了应用集成该插件的复杂度,减小安全包大小,而且使得该应用在集成该安全防护插件后,可实时检测应用安全问题,并针对应用可能面临的安全问题从服务器获取对应的安全防护措施,以实现应用在面临不同安全威胁时保护好自身安全,有效解决了现有技术存在的诸多问题。
下面结合附图对本申请实施例做进一步详细介绍。
图1是根据本申请一个实施例的安全防护方法的流程图,所述方法用于实现待防护对象的自适应安全防护,所述待防护对象包括:各种功能或类型的应用,还可包括其他系统。其中,所述应用包括但不限于如下任一环境或系统中的应用:IOS(苹果公司研发的操作系统)、Android(安卓操作系统)、windows Phone、windows、Linux以及PC等。本申请实施例通过在所述待防护对象中集成安全防护插件来实现该待防护对象的安全防护操作。所述安全防护插件可以为SDK(软件开发工具包)形式,应用将该SDK集成到应用源码中,在源码里进行直接调用。也可以通过基于二进制自动集成打包的方式实现。初始集成于应用中的安全防护插件由于可以只包含安全检测及决策功能,因此非常小,不但减小集成该安全防护插件操作的复杂度,而且不会影响应用的传播,且对于运行在安全环境中的应用来说不会存在资源浪费问题。
另外,本申请一种实施例在初始集成安全防护插件时还可集成该安全防护插件的自保护功能,也就是应用集成的安全防护插件具有防止被篡改的自保护功能。所述自保护功能即保护该安全防护插件本身不被篡改的功能。该安全防护插件实现自保护功能的方法包括但不限于,生成(或发布)该安全防护插件时,基于该安全插件本身的代码生成签名,在该安全防护插件功能被执行时,会检测当前安全防护插件的签名是否与生成(发布)时的签名一致,若一致则表明该安全防护插件未被篡改,可以正常执行相应的功能;若不一致则表明该安全防护插件有可能被篡改,则停止该安全防护插件的运行,并可给出相应提示,例如,在集成该安全防护插件的应用中提示安全防护功能已崩溃等等。
集成所述安全防护插件后的应用具体进行安全防护的方法主要包括如下步骤:
S110、基于待防护对象的业务流程进行检测,得到检测结果;
S120、根据所述检测结果确定是否需要从服务器获取相应的安全防护措施;
S130、若需要从服务器获取相应的安全防护措施,则与服务器通信获取相应的安全防护措施。
为描述方便,下面以所述待防护对象为应用为例对上述各步骤做进一步详细介绍,对于其他待防护对象的安全防护方法与此相同。
步骤S110基于应用的业务流程对应用进行检测,即进行安全检测,所述业务流程包括但不限于:应用启动过程、注册流程、登录流程、应用交易过程等等。本申请实施例将基于应用的业务流程的检测划分为如下至少一个检测项:自身安全检测、运行环境检测、操作行为检测。
其中,对于自身安全的检测包括但不限于检测如下至少一项:漏洞情况,仿冒情况以及是否有恶意代码等。
对于运行环境的检测包括但不限于检测如下至少一项:当前环境是否为虚拟机环境、当前环境是否为root环境、当前环境是否为模拟器、当前环境是否有病毒及木马、当前环境是否为真机环境、当前环境是否为恶意设备、当前环境是否有调试框架、当前环境是否有针对当前应用的外挂等。
对于操作行为的检测包括但不限于检测如下至少一项:调试攻击,注入攻击,机器行为等。
上述仅为发明人所列举的几种实例,实际应用中还包括其他任意安全威胁的检测。
在对上述各项进行安全检测后,所得到的检测结果可以为各项的检测得分,包括各项综合得分,也就是,根据预先设置的评分标准以及对各项的检测结果确定各项的检测得分,包括以下至少一项的检测得分:自身安全、运行环境、操作行为及各项综合。其中,所述各项综合得分即为根据自身安全得分、运行环境得分以及操作行为得分确定的本次安全检测的综合得分。可将自身安全得分、运行环境得分与操作行为得分的和值作为该各项综合得分,也可以确定自身安全得分、运行环境得分与操作行为得分的权重,将自身安全得分、运行环境得分与操作行为得分的权重和作为各项综合得分。
下面举例说明本申请一种实施例的检测得分计算规则。
本申请实施例的检测得分采用百分制,分数值从0分至100分,分数越高表示应用越安全。同时可采取层级式分数进行安全衡量,对应用各个方面的安全性也能有清晰的掌握。通过对应用自身安全、运行环境和操作行为三个检测项分别进行检测,评估得分,再综合三个检测项的得分得出各项综合得分。其中每个检测项又可分别从三个不同层面去衡量,具体包括:
自身安全得分:自身安全得分是衡量应用自身存在风险的情况,包括漏洞情况,仿冒情况以及是否有恶意代码。其中,漏洞情况以高危漏洞、中危漏洞、低危漏洞和红线漏洞数量来衡量漏洞严重程度;仿冒情况通过仿冒应用装机量占比、仿冒装机量和仿冒应用种类反映市场上仿冒情况;恶意代码情况则通过判定应用代码中是否有恶意代码来评估应用是否有被植入恶意代码。三个层面得分及应用自身安全得分确定规则如以下公式:
漏洞得分=10000/(SQRT(11*x+5*y+2*z+51*w)+100);
其中,x为高危漏洞数、y为中危漏洞数、z为低危漏洞数、w为红线漏洞数。
仿冒得分=10000/(SQRT((x*100)^3+5*(y*100)^2+20*(z*100))+100)
其中,x为仿冒应用装机量占比、y为仿冒装机量(最高百分比)、z为仿冒app种类(最高百分比)。
恶意代码得分=0或100(如果检测到恶意代码,得分为0,未检测到恶意代码,得分为100)。
自身安全得分=0.3*漏洞得分+0.1*仿冒得分+0.2*恶意代码得分。
运行环境得分:运行环境得分主要用于衡量应用所处客户端环境的安全程度,由于应用被安装后其运行稳定性和安全性会受到客户端环境影响,故对应用所处客户端环境进行安全检测是必须的。客户端运行环境的风险主要来自于是否root,是否模拟器,以及是否有恶意程序。各层面得分及运行环境总体得分可采用如下公式:
root设备得分=10000/((x*100)+100),其中,x为root设备量占比;
模拟器得分=10000/(SQRT(10*(x*100*100)^2)+100),其中,x为模拟器设备量占比;
恶意程序得分=10000/(SQRT((x*100)^4+(y*100)^3)+100),其中,x为高危木马感染设备量占比、y为低危木马感染设备量占比;
运行环境得分=0.04*root设备得分+0.08*模拟器得分+0.08*恶意程序得分。
操作行为得分:操作行为得分是衡量应用受到外部恶意攻击的情况,包括调试攻击,注入攻击,机器行为等。各层面得分及总体应用操作行为得分参考如下公式:
调试攻击得分=10000/(SQRT(0.5*x)+100),x为调试攻击次数;
注入攻击得分=10000/(SQRT(100*x)+100),x为注入攻击次数;
机器行为得分=10000/(SQRT(0.3*x)+100),x为机器行为攻击次数;
操作行为得分=0.08*调试攻击得分+0.08*注入攻击得分+0.04*机器行为得分。
各项综合得分=自身安全得分+运行环境得分+操作行为得分。
可以理解的是,上述得分确定方式仅为发明人为说明本方案的可实施性而列举的其中一种实例,而本申请的方案并不局限于此。
步骤S120所述的根据所述检测结果确定是否需要从服务器获取相应的安全防护措施的方法如图2中所示,包括如下子步骤:
子步骤1201、分别判断任一项的检测得分是否达到预设的该项对应的得分范围。
如上面所述,经安全检测可得到自身安全得分、运行环境得分、操作行为得分以及各项综合得分,本申请实施例可以为各项分别预置有对应的得分范围,分别判断各项得分是否达到该项对应的得分范围,包括:判断自身安全得分是否达到自身安全得分范围;判断运行环境得分是否达到运行环境得分范围;判断操作行为得分是否达到操作行为得分范围;判断各项综合得分是否达到各项综合得分范围等。当然也可进一步针对各检测项中的不同层面的得分设置相对应的得分范围。
可分别针对各项的判断结果采用对应的安全防护措施,包括:若未达到所述得分范围,则说明该项不存在安全威胁,进入子步骤1202,针对该项不做任何处理,或者可以在无任何安全威胁的情况下给出相应的安全提醒;若达到所述对应的得分范围,则进入子步骤1203。
子步骤1203、判断本地是否具备相应的安全防护措施。
在本实施例中得分越低表明存在的威胁越大,则在达到该项对应的得分范围情况下,说明该项存在安全威胁,需要采取一定的安全防护措施。
其中,一种安全威胁可以对应至少一种安全防护措施。对于部分安全威胁可以采取例如,删除程序、关闭程序或者提供验证码进行验证等安全防护措施,这些功能大部分在本地即可实现,但部分安全威胁需要安装相应的安全防护措施才可实现,而本地有可能没有安装该安全防护措施。以发现人机风险为例,需要进行人机验证,进行人机验证的措施包括但不限于:提供验证码进行人机验证,或者提供滑动界面进行滑动验证。判断本地是否具备上述任一种安全防护措施。
若具备,则进入子步骤1204,启用本地安全防护措施。例如,本地具备提供验证码进行人机验证的能力,则所述启用本地安全防护措施包括:生成验证码,提供验证码给用户,基于用户输入的验证码进行人机验证。
若不具备,则进入子步骤1205,确定需要从服务器获取相应的安全防护措施。
步骤S130为与服务器通信获取相应的安全防护措施的步骤,所述相应的安全防护措施也就是与该检测结果中确定的安全威胁对应的安全防护措施。由此可以看出,本申请实施例并非将应用可能存在的所有安全威胁对应的安全防护措施一次性集成到应用中,而是在应用面临具体安全威胁时才与服务器通信获取该安全威胁对应的安全防护措施,实现有针对性的应用的自适应安全防护。
其中,与服务器通信获取相应的安全防护措施的一种实施例包括:
首先,向服务器发送添加签名的安全防护措施获取请求,也就是本申请实施例通过加签通道与服务器进行通信。其中,添加所述签名的方法包括:在应用集成该安全防护插件时服务器为该应用生成一证书,并在服务器端及应用本地保存该证书,后续在安全防护操作过程中,可读取该应用所运行的指定的环境特征参数,利用该指定的环境特征参数及所述证书与服务器通信生成当前环境下的唯一的签名,将该签名添加到所述安全防护措施获取请求中。所述唯一的签名加密保存到应用内部。每次与服务器通信均使用该签名。所述指定的环境特征参数包括但不限于:系统的IMEI(International Mobile EquipmentIdentity)(国际移动设备标识)、device ID(设备标识)、CPU和/或OS version(操作系统版本号)等。
之后,响应于所述服务器对所述签名验证通过,接收所述服务器返回的安全防护措施。由于服务器可对所述签名进行验证,也就是进行完整性验证,在验证通过情况下返回相应的安全防护措施。
本申请实施例通过该加签通道来实现安装应用的终端与服务器之间的通信,从而服务器可以通过签名验证来识别应用的安全性,在签名验证失败情况下,可以拒绝提供相应的安全防护措施给终端,实现了辅助验证应用的安全性。
可以理解的是,可以采用同样添加签名的方法实现终端与终端之间的通信。另外,本申请实施例在应用集成所述安全防护插件时会对应用本身的合法性进行验证,在验证应用为合法的应用情况下才可正常集成及运行该安全防护插件,以确保使用本方法的应用为合法应用。本申请实施例对于验证应用的合法性的方法不做具体限制。在确定应用合法情况下,在集成该安全防护插件后,将该应用集成该安全防护插件时的签名保存于该安全防护插件中,以便每次运行该安全防护插件的功能前,可以利用该应用的签名对应用合法性进行验证,只有在应用签名与集成该安全防护插件时保存的签名一致情况下才正常执行该安全防护插件的功能。
为进一步理解本方案,下面以本方案的安全防护方法应用于应用的登录场景为例进行说明,如图3中所示,为应用本实施例的安全防护方法针对登录流程进行检测并进行自适应安全防护的示意图,该应用登录过程包括:通过如图3中左侧所示的登录界面,接收包含账号、密码等在内的登录信息。具体安全防护方法包括:
首先,对该登录过程进行安全检测,得到检测得分;具体的检测项包括:应用自身是否被篡改、应用是否存在漏洞、该登录行为是否是机器行为以及当前运行环境的各项检测,得到具体的检测得分,包括:自身安全得分、运行环境得分、操作行为得分及各项综合得分。
之后,根据该检测得分做出相应的安全决策,图3中包含了三种不同的情形及对应的安全决策。其中,若检测获得的检测得分均未达到预设的对应得分范围,则无风险,给出安全提醒;若操作行为得分达到预设得分范围,则存在人机风险,确定进行滑动验证;若运行环境得分达到预设得分范围,则存在被盗风险,确定进行短信验证。
其中,不论是存在人机风险还是存在被盗风险,均判断本地是否具备相应的安全防护措施,若本地具备则直接在本地执行该安全防护措施;若不具备,则确定需要向服务器获取该安全防护措施。
假设识别出存在被盗风险,且本地不具备相应的安全防护措施,也就是确定需要向服务器获取相应的安全防护措施。
最后,向服务器获取与被盗风险相应的短信验证功能,或电话验证功能,或人脸验证功能。
一种可选的方案,由于可以确定不同检测项的得分,在确定该得分达到预设得分范围情况下,可进一步识别该得分所属的预设的风险级别,并根据不同的风险级别采用不同级别的安全防护措施。例如,将被盗风险预先划分为三个风险级别,该三个风险级别对应不同的得分范围,若安全检测时所获得的得分落入第一风险级别,则确定采用的安全防护措施为短信验证;若安全检测时所获得的得分落入第二风险级别,则确定采用的安全防护措施为电话验证;若安全检测时所获得的得分落入第三风险级别,则确定采用的安全防护措施为人脸验证。也就是风险越高则采用的安全防护措施级别越高,即对应的安全验证难度越高。根据确定的风险级别向服务器获取对应级别的安全防护措施。假设当前场景确定为第一风险级别,则向服务器获取短信验证功能。
本申请实施例还提供一种与上述安全防护方法对应的安全防护装置,所述装置用于实现待防护对象的自适应安全防护,所述待防护对象包括:应用。所述装置结构示意图如图4中所示,所述安全防护装置主要包括如下单元:
检测单元410,用于基于待防护对象的业务流程进行检测,得到检测结果;
决策单元420,用于根据所述检测结果确定是否需要从服务器获取相应的安全防护措施;
安全防护执行单元430,用于在需要从服务器获取相应的安全防护措施情况下,与服务器通信获取相应的安全防护措施。
所述检测结果包括所述业务流程预设检测项的检测得分,所述决策单元420被配置为:
分别判断任一检测项的检测得分是否达到预设的该项对应的得分范围;
若达到所述对应的得分范围,则判断本地是否具备相应的安全防护措施;
若本地具备相应的安全防护措施,则启用本地安全防护措施;
若本地不具备相应的安全防护措施,则确定需要从服务器获取相应的安全防护措施。
所述安全防护执行单元430被配置为:
向服务器发送添加签名的安全防护措施获取请求;
响应于所述服务器对所述签名验证通过,接收所述服务器返回的安全防护措施。
所述装置通过在所述待防护对象中集成安全防护插件来实现所述待防护对象的安全防护。
所述在待防护对象中集成安全防护插件包括:集成所述安全防护插件的防止被篡改的自保护功能。
综上所述,本申请实施例可以基于待防护对象的业务流程进行检测,并根据检测结果确定做出相应的决策,在需要从服务器获取相应的安全防护措施情况下,与服务器通信获取相应的安全防护措施。可见,在待防护对象本地可以仅包含基本的安全检测及根据检测结果做出决策的功能,避免了由于集成完整的安全防护措施而导致待防护对象安装包过大影响传播的问题,以及避免了集成安全包复杂的问题。通过安全检测及决策实现了:若待防护对象不存在安全威胁,则无需安装针对该待防护对象的安全防护措施,若待防护对象存在安全威胁时,可有针对性的获取与该安全威胁相应的安全防护措施,因此,本申请实现了该待防护对象在面临不同安全威胁时的自适应的安全防护,且有效避免了资源的浪费。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本申请的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本申请的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本申请的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (8)
1.一种安全防护方法,其特征在于,所述方法用于实现待防护对象的自适应安全防护,所述待防护对象包括:应用,所述安全防护方法包括:
基于待防护对象的业务流程进行检测,得到检测结果;
根据所述检测结果确定是否需要从服务器获取相应的安全防护措施;
若需要从服务器获取相应的安全防护措施,则与服务器通信获取相应的安全防护措施;
其中,所述检测结果包括所述业务流程预设检测项的检测得分,所述根据所述检测结果确定是否需要从服务器获取相应的安全防护措施包括:
分别判断任一检测项的检测得分是否达到预设的该项对应的得分范围;
若达到所述对应的得分范围,则判断本地是否具备相应的安全防护措施;
若本地具备相应的安全防护措施,则启用本地安全防护措施;
若本地不具备相应的安全防护措施,则确定需要从服务器获取相应的安全防护措施。
2.如权利要求1所述的方法,其特征在于,与服务器通信获取相应的安全防护措施包括:
向服务器发送添加签名的安全防护措施获取请求;
响应于所述服务器对所述签名验证通过,接收所述服务器返回的安全防护措施。
3.如权利要求1所述的方法,其特征在于,通过在所述待防护对象中集成安全防护插件来实现所述待防护对象的安全防护。
4.如权利要求3所述的方法,其特征在于,所述在待防护对象中集成安全防护插件包括:集成所述安全防护插件的防止被篡改的自保护功能。
5.一种安全防护装置,其特征在于,所述装置用于实现待防护对象的自适应安全防护,所述待防护对象包括:应用,所述安全防护装置包括:
检测单元,用于基于待防护对象的业务流程进行检测,得到检测结果;
决策单元,用于根据所述检测结果确定是否需要从服务器获取相应的安全防护措施;
安全防护执行单元,用于在需要从服务器获取相应的安全防护措施情况下,与服务器通信获取相应的安全防护措施;
其中所述检测结果包括所述业务流程预设检测项的检测得分,所述决策单元被配置为:
分别判断任一检测项的检测得分是否达到预设的该项对应的得分范围;
若达到所述对应的得分范围,则判断本地是否具备相应的安全防护措施;
若本地具备相应的安全防护措施,则启用本地安全防护措施;
若本地不具备相应的安全防护措施,则确定需要从服务器获取相应的安全防护措施。
6.如权利要求5所述的装置,其特征在于,所述安全防护执行单元被配置为:
向服务器发送添加签名的安全防护措施获取请求;
响应于所述服务器对所述签名验证通过,接收所述服务器返回的安全防护措施。
7.如权利要求5所述的装置,其特征在于,所述装置通过在所述待防护对象中集成安全防护插件来实现所述待防护对象的安全防护。
8.如权利要求7所述的装置,其特征在于,所述在待防护对象中集成安全防护插件包括:集成所述安全防护插件的防止被篡改的自保护功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610101966.3A CN107122664B (zh) | 2016-02-24 | 2016-02-24 | 安全防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610101966.3A CN107122664B (zh) | 2016-02-24 | 2016-02-24 | 安全防护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107122664A CN107122664A (zh) | 2017-09-01 |
| CN107122664B true CN107122664B (zh) | 2020-02-21 |
Family
ID=59717062
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610101966.3A Active CN107122664B (zh) | 2016-02-24 | 2016-02-24 | 安全防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107122664B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109214192B (zh) * | 2018-10-24 | 2021-01-29 | 吉林亿联银行股份有限公司 | 一种面向应用系统的风险处理方法及装置 |
| CN111881398B (zh) * | 2020-06-29 | 2024-02-09 | 腾讯科技(深圳)有限公司 | 页面类型确定方法、装置和设备及计算机存储介质 |
| CN113055890B (zh) * | 2021-03-08 | 2022-08-26 | 中国地质大学(武汉) | 一种面向移动恶意网页的多设备组合优化的实时检测系统 |
| CN112990745A (zh) * | 2021-04-01 | 2021-06-18 | 中国移动通信集团陕西有限公司 | 一种安全检测方法、装置、设备及计算机存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102035803A (zh) * | 2009-09-29 | 2011-04-27 | 上海艾融信息科技有限公司 | 一种应用安全策略调整的方法、系统和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8135605B2 (en) * | 2006-04-11 | 2012-03-13 | Bank Of America Corporation | Application risk and control assessment tool |
-
2016
- 2016-02-24 CN CN201610101966.3A patent/CN107122664B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102035803A (zh) * | 2009-09-29 | 2011-04-27 | 上海艾融信息科技有限公司 | 一种应用安全策略调整的方法、系统和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107122664A (zh) | 2017-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20130086688A1 (en) | Web application exploit mitigation in an information technology environment | |
| Canfora et al. | Composition-malware: building android malware at run time | |
| CN103996007A (zh) | Android应用权限泄露漏洞的测试方法及系统 | |
| CN105531692A (zh) | 针对由在虚拟机里面运行的移动应用加载、链接和执行本地代码的安全策略 | |
| CN103890771A (zh) | 用户定义的对抗措施 | |
| CN107122664B (zh) | 安全防护方法及装置 | |
| US10771477B2 (en) | Mitigating communications and control attempts | |
| RU2634174C1 (ru) | Система и способ выполнения банковской транзакции | |
| US20160125522A1 (en) | Automatic account lockout | |
| KR20140098025A (ko) | 앱 스토어로 업로드 된 어플리케이션의 보안 평가를 위한 시스템 및 그 방법 | |
| KR20190073255A (ko) | 모바일 운영체제 환경에서 악성 코드 행위에 따른 위험을 관리하는 장치 및 방법, 이 방법을 수행하기 위한 기록 매체 | |
| Capobianco et al. | Employing attack graphs for intrusion detection | |
| CN109889477A (zh) | 基于可信密码引擎的服务器启动方法及装置 | |
| Wang et al. | FSFC: An input filter-based secure framework for smart contract | |
| CN116361807A (zh) | 风险管控方法、装置、存储介质及电子设备 | |
| CN111800427B (zh) | 一种物联网设备评估方法、装置及系统 | |
| Kaneko et al. | STAMP S&S: Safety & Security Scenario for Specification and Standard in the society of AI/IoT | |
| CN117032894A (zh) | 容器安全状态检测方法、装置、电子设备及存储介质 | |
| CN116415300A (zh) | 基于eBPF的文件保护方法、装置、设备和介质 | |
| Qi et al. | A comparative study on the security of cryptocurrency wallets in android system | |
| Park et al. | A-pot: a comprehensive android analysis platform based on container technology | |
| CN113596600B (zh) | 直播嵌入程序的安全管理方法、装置、设备及存储介质 | |
| KR101382549B1 (ko) | 모바일 환경에서 sns 콘텐츠의 사전 검증 방법 | |
| Msgna et al. | Secure application execution in mobile devices | |
| Ham et al. | DroidVulMon--Android Based Mobile Device Vulnerability Analysis and Monitoring System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |