CN108108287A - 便携式电子终端的安全审计信息处理及创建方法 - Google Patents
便携式电子终端的安全审计信息处理及创建方法 Download PDFInfo
- Publication number
- CN108108287A CN108108287A CN201810011262.6A CN201810011262A CN108108287A CN 108108287 A CN108108287 A CN 108108287A CN 201810011262 A CN201810011262 A CN 201810011262A CN 108108287 A CN108108287 A CN 108108287A
- Authority
- CN
- China
- Prior art keywords
- security audit
- audit information
- event
- data
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Abstract
本发明揭示了一种便携式电子终端的安全审计信息处理方法,包括如下步骤:静态注册各种receiver intent,保证各种Receive Intent信息可以常驻系统;将各种安全审计信息事件的事件类型分别用标识ID定义;当有安全审计信息对应的事件激发时,系统将会获取对应的安全审计信息,取得安全审计信息的事件描述信息和执行结果;获取终端当前系统时间及IMEI号,并与前述步骤中取得的安全审计信息事件的事件类型ID,事件描述信息和安全审计信息事件的执行结果以统一的编码格式进行存储;将格式化的安全审计信息保存至二个存储位置。
Description
【技术领域】
本发明涉及软件技术,特别是指便携式电子终端的安全审计信息处理及创建方法。
【背景技术】
现有技术中针对便携式电子终端(如智能手机)的安全管理大多只是针对整个系统内存优化或整个系统logcat或者kernel的记录,并且在系统重启之后log大多都会被清除。同时,现有系统升级完成之后一般仅显示升级好的系统,无法对系统升级前后的版本信息清楚地查找,而安全审计要求将系统升级前后的各个版本信息清晰的记录下来。另外,现有系统安装或者卸载应用,大部分用户直观感受是根据启动器(Launcher)中图标个数的多个来确定,无法记录应用的安装或者卸载的结果和包名等,无法统计系统应用个数及安装与卸载情况。再者,现有系统的安全锁屏中解锁失败5次之后会延长解锁时间,然后解锁成功之后,所有记录均被清除,无法完整地监控解锁成功和失败的次数,也不便于分析是否在实验解锁密码。
【发明内容】
本发明的目的在于提供一种便携式电子终端的安全审计信息处理及创建方法,用以解决现有技术中便携式电子终端的安全审计信息不完全及存在被清除风险的问题。
为实现上述目的,实施本发明的便携式电子终端的安全审计信息处理方法包括如下步骤:
步骤1:静态注册各种receiver intent,保证各种Receive Intent信息可以常驻系统;
步骤2:将各种安全审计信息事件的事件类型分别用标识ID定义;
步骤3:当有安全审计信息对应的事件激发时,系统将会获取对应的安全审计信息,取得安全审计信息的事件描述信息和执行结果;
步骤4:获取终端当前系统时间及IMEI号,并与前述步骤中取得的安全审计信息事件的事件类型ID,事件描述信息和安全审计信息事件的执行结果以统一的编码格式进行存储;
步骤5:将格式化的安全审计信息保存至二个存储位置。
较佳地,该编码格式为UTF-8,一行代表一个事件,事件各信息之间采用竖线符号分割。
较佳地,步骤5中二个存储位置分别为data/data/分区和/dev/log/mdm分区,其读取权限不同。
较佳地,该安全审计信息文件包含的信息事件个数最大为10000条,当达到10000条时,将时间最早的事件覆盖,依次进行滚动,采用安全审计信息文件中的第二行数据记录替换第一行和第二行两行数据记录的方法实现数据的删除,而新增数据则直接增加到文件末尾,两者结合实现文件数据的滚动操作。
为实现上述目的,本发明还提供一种创建上述的便携式电子终端的安全审计信息处理方法形成的安全审计记录的审计文件的方法,包括如下步骤:
终端开机启动;
接收到开机完成的Intent事件并通过boot启动管理机制创建/dev/log/mdm文件;
判断/data/data/分区文件是否存在;
如是,则将/data/data/分区数据恢复到/dev/log/mdm文件,如否则创建/data/data/分区文件。
与现有技术相比较,本发明可以对终端系统中的移动设备时间设置、解锁、系统重启、系统升级、安装卸载应用等用户行为进行完全的日志记录,并且通过将该日志记录存储在二个分区,从而可以避免受到未预期的删除、修改或覆盖等。并且,本发明利用统一的编码形式存储日志记录,显示结果清晰简单,在系统维护阶段可快速了解系统版本记录和用户操作记录。
【附图说明】
图1为实施本发明的便携式电子终端的安全审计记录处理方法的流程示意图。
图2为终端开机时创建审计文件的流程图。
【具体实施方式】
请参阅图1所示,为实施本发明的便携式电子终端的安全审计记录处理方法的流程示意图。实施本发明的便携式电子终端的安全审计记录处理方法包括如下步骤:
步骤1:静态注册各种receiver intent,保证各种Receive Intent信息可以常驻系统,即只要终端设备开启,运行就可以获取注册需要捕获的信息。
步骤2:将各种安全审计信息事件的事件类型分别用标识ID定义,具体对应事件可以如下表所示:
步骤3:当有安全审计信息对应的事件激发时,系统将会获取对应的安全审计信息,取得安全审计信息的事件描述信息和执行结果等。
步骤4:获取终端当前系统时间及IMEI号,并与步骤3取得的安全审计信息事件的事件类型ID,事件描述信息和安全审计信息事件的执行结果以统一的编码格式进行存储,其中编码格式为UTF-8,一行代表一个事件,事件各信息之间采用竖线符号分割,具体为:日期和时间|设备标识|事件类型|事件结果|事件描述信息。例如对于应用安装或者系统升级事件,其记录如下:
2017-12-12 20:12:35.611|IMEI|005|1|com.uniscope.test
2017-12-12 20:20:35.611|IMEI|004|1|5.2.0
步骤5:将格式化的安全审计信息保存至二个位置,分别为data/data/分区和/dev/log/mdm分区,由于这两种数据位置和读取权限不同,对应的作用和权限也会有相对的差异,具体区别如下:
(1)文件生命周期区别
/dev/log/mdm分区的数据处于log分区,当终端关机时,/dev/log/mdm分区中的数据会被清除,当终端开机启动时,可以通过boot管理机制创建/dev/log/mdm文件。
而data/data/属于应用系统本身的属性,文件直接通过应用本身的文件管理创建;而当应用被删除或者恢复出厂设置时候,数据才会丢失,而开关机系统不会影响data/data/分区文件的存储,相对来说单个应用data/data/分区的数据比较稳定。
(2)访问难易程度区别
用户访问data/data/分区的数据必须有root权限,且对应的log数据处于单个应用的数据包内,用户查找路径比较繁琐,而且其他应用对此数据分区也没有访问权限,使用上不是很方便。
而/dev/log/mdm分区的数据,用户可以直接通过adb shell cat/dev/log/mdm命令获取,其他应用可以通过文件节点访问,这样访问相对较容易。
本发明通过将安全审计信息分别存储于/data/data/区和/dev/log/mdm分区,当终端处于开机状态时候,用户可以直接访问/dev/log/mdm处的安全审计信息;当终端重新启动或者刚开机时,系统将/data/data/分区的数据恢复到/dev/log/mdm分区,以便外部调用。
请参阅图2所示,为终端开机时创建审计文件的流程图,具体包括如下步骤:
终端开机启动;
接收到开机完成的Intent事件并通过boot启动管理机制创建/dev/log/mdm文件;
判断/data/data/分区文件是否存在;
如是,则将/data/data/分区数据恢复到/dev/log/mdm文件,如否则创建/data/data/分区文件。
由于安全审计信息是以UTF-8的编码格式存储在文件中,为控制缓存中安全审计信息文件过大,故可以设置信息事件个数最大为10000条,当达到10000条时,将时间最早的事件覆盖,依次进行滚动。依据现有文件管理系统的方法,储存在文件中的数据可以通过append方法增加一行数据在文件最后,但是无法直接通过删除方法删除文件中某一条数据,故可以通过采用替换法进行修改,具体方法是用安全审计信息文件中的第二行数据记录替换第一行和第二行两行数据记录的方法实现数据的删除,而新增数据则直接增加到文件末尾,两者结合实现文件数据的滚动操作。
与现有技术相比较,本发明可以对终端系统中的移动设备时间设置、解锁、系统重启、系统升级、安装卸载应用等用户行为进行完全的日志记录,并且通过将该日志记录存储在二个分区,从而可以避免受到未预期的删除、修改或覆盖等。并且,本发明利用统一的编码形式存储日志记录,显示结果清晰简单,在系统维护阶段可快速了解系统版本记录和用户操作记录。
可以理解的是,对本领域普通技术人员来说,可以根据本发明的技术方案及其发明构思加以等同替换或改变,而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。
Claims (5)
1.一种便携式电子终端的安全审计信息处理方法,包括如下步骤:
步骤1:静态注册各种receiver intent,保证各种Receive Intent信息可以常驻系统;
步骤2:将各种安全审计信息事件的事件类型分别用标识ID定义;
步骤3:当有安全审计信息对应的事件激发时,系统将会获取对应的安全审计信息,取得安全审计信息的事件描述信息和执行结果;
步骤4:获取终端当前系统时间及IMEI号,并与前述步骤中取得的安全审计信息事件的事件类型ID,事件描述信息和安全审计信息事件的执行结果以统一的编码格式进行存储;
步骤5:将格式化的安全审计信息保存至二个存储位置。
2.如权利要求1所述的便携式电子终端的安全审计信息处理方法,其特征在于:该编码格式为UTF-8,一行代表一个事件,事件各信息之间采用竖线符号分割。
3.如权利要求1所述的便携式电子终端的安全审计信息处理方法,其特征在于:步骤5中二个存储位置分别为data/data/分区和/dev/log/mdm分区,其读取权限不同。
4.如权利要求1所述的便携式电子终端的安全审计信息处理方法,其特征在于:该安全审计信息文件包含的信息事件个数最大为10000条,当达到10000条时,将时间最早的事件覆盖,依次进行滚动,采用安全审计信息文件中的第二行数据记录替换第一行和第二行两行数据记录的方法实现数据的删除,而新增数据则直接增加到文件末尾,两者结合实现文件数据的滚动操作。
5.一种创建权利要求1所述的便携式电子终端的安全审计信息处理方法形成的安全审计记录的审计文件的方法,包括如下步骤:
终端开机启动;
接收到开机完成的Intent事件并通过boot启动管理机制创建/dev/log/mdm文件;
判断/data/data/分区文件是否存在;
如是,则将/data/data/分区数据恢复到/dev/log/mdm文件,如否则创建/data/data/分区文件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810011262.6A CN108108287A (zh) | 2018-01-05 | 2018-01-05 | 便携式电子终端的安全审计信息处理及创建方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810011262.6A CN108108287A (zh) | 2018-01-05 | 2018-01-05 | 便携式电子终端的安全审计信息处理及创建方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108108287A true CN108108287A (zh) | 2018-06-01 |
Family
ID=62218782
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810011262.6A Pending CN108108287A (zh) | 2018-01-05 | 2018-01-05 | 便携式电子终端的安全审计信息处理及创建方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108108287A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111143823A (zh) * | 2019-12-30 | 2020-05-12 | 宁波三星智能电气有限公司 | 电表安全访问事件的检测方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6883112B2 (en) * | 2001-11-22 | 2005-04-19 | Kabushiki Kaisha Toshiba | Storage device, backup and fault tolerant redundant method and computer program code of plurality storage devices |
CN1987803A (zh) * | 2005-12-22 | 2007-06-27 | 国际商业机器公司 | 在数字数据处理系统中管理进程的事件日志的方法和装置 |
US20120173499A1 (en) * | 2003-05-01 | 2012-07-05 | International Business Machines Corporation | Managing locks and transactions |
CN102654864A (zh) * | 2011-03-02 | 2012-09-05 | 华北计算机系统工程研究所 | 一种面向实时数据库的独立透明型安全审计保护的方法 |
CN104246729A (zh) * | 2012-03-28 | 2014-12-24 | 比葛露株式会社 | 便携终端、信息显示系统、信息显示方法以及多标签 |
-
2018
- 2018-01-05 CN CN201810011262.6A patent/CN108108287A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6883112B2 (en) * | 2001-11-22 | 2005-04-19 | Kabushiki Kaisha Toshiba | Storage device, backup and fault tolerant redundant method and computer program code of plurality storage devices |
US20120173499A1 (en) * | 2003-05-01 | 2012-07-05 | International Business Machines Corporation | Managing locks and transactions |
CN1987803A (zh) * | 2005-12-22 | 2007-06-27 | 国际商业机器公司 | 在数字数据处理系统中管理进程的事件日志的方法和装置 |
CN102654864A (zh) * | 2011-03-02 | 2012-09-05 | 华北计算机系统工程研究所 | 一种面向实时数据库的独立透明型安全审计保护的方法 |
CN104246729A (zh) * | 2012-03-28 | 2014-12-24 | 比葛露株式会社 | 便携终端、信息显示系统、信息显示方法以及多标签 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111143823A (zh) * | 2019-12-30 | 2020-05-12 | 宁波三星智能电气有限公司 | 电表安全访问事件的检测方法及装置 |
CN111143823B (zh) * | 2019-12-30 | 2022-07-26 | 宁波三星智能电气有限公司 | 电表安全访问事件的检测方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111209346B (zh) | 一种区块链数据归档方法、装置和计算机可读存储介质 | |
CN105005528B (zh) | 一种日志信息提取方法及装置 | |
Zdziarski | iPhone forensics: recovering evidence, personal data, and corporate assets | |
CN109688097A (zh) | 网站防护方法、网站防护装置、网站防护设备及存储介质 | |
CN111931166B (zh) | 基于代码注入和行为分析的应用程序防攻击方法和系统 | |
CN107341401A (zh) | 一种基于机器学习的恶意应用监测方法和设备 | |
CN101330406B (zh) | 一种监测wap不良图片的系统及方法 | |
US10496610B2 (en) | Self destructing portable encrypted data containers | |
CN103403680A (zh) | 计算对象的上下文历史 | |
CN103632107B (zh) | 一种移动终端信息安全防护系统和方法 | |
CN101667934A (zh) | Usb接口设备网络化的集中监管装置及监管方法 | |
Mokhonoana et al. | Acquisition of a Symbian smart phone’s content with an on-phone forensic tool | |
CN108092936A (zh) | 一种基于插件架构的主机监控系统 | |
CN109614203B (zh) | 一种基于应用数据仿真的安卓应用云数据取证分析系统及方法 | |
CN107767516A (zh) | 一种智能门锁和智能钥匙管理系统 | |
CN108182129A (zh) | 一种基于移动终端镜像还原数据信息的数字取证系统及方法 | |
CN112447012A (zh) | 寄存柜的验证方法、设备及存储介质 | |
CN109033313A (zh) | 一种应用usn实现全盘扫描功能的方法和终端设备 | |
CN114722432A (zh) | Linux文件系统的访问控制方法及装置 | |
CN108108287A (zh) | 便携式电子终端的安全审计信息处理及创建方法 | |
CN111048164A (zh) | 一种医学大数据长期保存系统 | |
CN104794025B (zh) | 快速校验存储设备的方法 | |
CN110187895A (zh) | 操作系统部署方法、装置、设备及计算机可读存储介质 | |
Me et al. | Internal forensic acquisition for mobile equipments | |
CN109710585A (zh) | 多系统关联预警方法、装置、设备及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20211231 |
|
AD01 | Patent right deemed abandoned |