CN108416215A - 一种检测系统异常的方法及装置 - Google Patents

Abstract

本发明提出一种检测系统异常的方法及装置，该方法应用于与被检测系统并行运行的安全系统，所述方法包括：接收检测请求信息，所述检测请求信息用于请求检测所述被检测系统是否存在系统异常；根据所述检测请求信息，对所述被检测系统的待检测系统资源进行异常检测。由于异常检测程序处于安全系统的保护中，因此上述检测系统异常的方法的异常检测程序不会轻易被篡改，异常检测的可靠性更高。

Description

一种检测系统异常的方法及装置

技术领域

本发明涉及系统安全技术领域，尤其涉及一种检测系统异常的方法及装置。

背景技术

随着智能设备，如智能手机、平板电脑、智能穿戴设备等日新月异、数量不断增加，智能设备软件系统漏洞和病毒也层出不穷。智能设备软件系统漏洞和病毒可能导致智能设备系统文件被篡改，发生系统异常，还可能造成用户个人信息泄露，危害人身财产安全。

因此，用户越来越关心智能设备的安全问题，厂商也越来越注重系统异常检测，以便能够及时发现系统异常，采取措施保障用户人身财产安全。许多厂商都对智能设备系统的安全性做了定制化服务，如google在android上实现的verified boot，以及高通在手机系统里实现的QSEE，还有其他厂家的安全方案，都是基于系统的安全性问题设计出来的。

目前的系统异常检测方案都是在富裕的执行环境(Rich ExecutionEnvironment，REE)中基于android或linux实现的。而REE本身有许多代码都是开源的，而且都是引用了许多开源的工程，这些工程都可能存在漏洞，黑客很可能通过这些漏洞篡改系统异常检测程序，使系统异常检测失灵，因此，现有的系统异常检测方案的可靠性普遍不高。

发明内容

基于上述现有技术的缺陷和不足，本发明提出一种检测系统异常的方法及装置，能够提高系统异常检测的可靠性。

一种检测系统异常的方法，应用于与被检测系统并行运行的安全系统，所述方法包括：

接收检测请求信息，所述检测请求信息用于请求检测所述被检测系统是否存在系统异常；

根据所述检测请求信息，对所述被检测系统的待检测系统资源进行异常检测。

优选地，所述方法还包括：

将检测结果发送给所述被检测系统中的用户应用程序。

优选地，所述根据所述检测请求信息，对所述被检测系统的待检测系统资源进行异常检测，包括：

根据所述检测请求信息，获取所述被检测系统的待检测系统资源；

对所述待检测系统资源进行编码处理；

将所述待检测系统资源的编码与预设的所述待检测系统资源的标准编码进行对比；

如果所述待检测系统资源的编码与预设的所述待检测系统资源的标准编码相同，则确认所述待检测系统资源没有发生异常；

如果所述待检测系统资源的编码与预设的所述待检测系统资源的标准编码不同，则确认所述待检测系统资源发生异常。

优选地，所述对所述待检测系统资源进行编码处理，包括：

对所述待检测系统资源进行摘要编码处理。

优选地，所述接收检测请求信息，包括：

接收所述被检测系统中的用户应用程序在任意时刻发送的检测请求信息。

一种检测系统异常的装置，应用于与被检测系统并行运行的安全系统，该装置包括：

请求接收单元，用于接收检测请求信息，所述检测请求信息用于请求检测所述被检测系统是否存在系统异常；

异常检测单元，用于根据所述检测请求信息，对所述被检测系统的待检测系统资源进行异常检测。

优选地，所述装置还包括：

信息反馈单元，用于将检测结果发送给所述被检测系统中的用户应用程序。

优选地，所述异常检测单元包括：

资源获取单元，用于根据所述检测请求信息，获取所述被检测系统的待检测系统资源；

编码处理单元，用于对所述待检测系统资源进行编码处理；

对比处理单元，用于将所述待检测系统资源的编码与预设的所述待检测系统资源的标准编码进行对比；

如果所述待检测系统资源的编码与预设的所述待检测系统资源的标准编码相同，则确认所述待检测系统资源没有发生异常；

如果所述待检测系统资源的编码与预设的所述待检测系统资源的标准编码不同，则确认所述待检测系统资源发生异常。

优选地，所述编码处理单元对所述待检测系统资源进行编码处理时，具体用于：

对所述待检测系统资源进行摘要编码处理。

优选地，所述请求接收单元接收检测请求信息时，具体用于：

接收所述被检测系统中的用户应用程序在任意时刻发送的检测请求信息。

本发明提出的检测系统异常的方法，利用并行运行于被检测系统之外的安全系统来接收通过被检测系统发送的检测请求信息，在安全系统内实现对被检测系统的异常检测。由于异常检测程序处于安全系统的保护中，因此不会轻易被篡改，异常检测的可靠性更高。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1是本发明实施例提供的智能设备系统示意图；

图2是本发明实施例提供的一种检测系统异常的方法的流程示意图；

图3是本发明实施例提供的检测系统异常的过程示意图；

图4是本发明实施例提供的另一种检测系统异常的方法的流程示意图；

图5是本发明实施例提供的又一种检测系统异常的方法的流程示意图；

图6是本发明实施例提供的一种检测系统异常的装置的结构示意图；

图7是本发明实施例提供的另一种检测系统异常的装置的结构示意图；

图8是本发明实施例提供的又一种检测系统异常的装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例公开了一种检测系统异常的方法，该方法应用于与被检测系统并行运行的安全系统。

上述被检测系统，是指运行于智能设备的操作系统，例如Android、Linux、Windows、ios等操作系统，本领域将这些直接运行用户应用的操作系统称为富裕的执行环境(Rich Execution Environment，REE)系统。技术人员可以基于REE系统，开发自己的应用产品，开发出的应用产品可以运行于REE系统为用户提供服务。因此，上述被检测系统，是直接面向用户的系统，即直接与用户交互为用户提供服务的系统，该系统的安全运行是保证用户安全正常使用智能设备的关键。

上述安全系统，是指与上述被检测系统并行运行的，可信的执行环境(TrustedExecution Environment。TEE)系统，即安全的执行环境。参见图1所示，TEE在智能设备内部，是与设备的操作系统，即上述被检测系统同级别的并行运行的系统。TEE是一种概念，ARM公司遵循TEE基于硬件隔离实现了Trustzone技术，高通利用Trustzone技术实现了自己的TEE系统QSEE。以android手机为例，TEE和android系统是并行运行的，在高通平台上，也就是QSEE和android是并行的，并为android系统提供安全服务。相对于REE系统来说，TEE系统更加安全，黑客不能轻易的破坏TEE系统中的程序。

基于上述介绍的TEE系统的安全性，本发明实施例将检测系统异常的应用程序安装到智能设备的安全系统中，利用处于安全系统中的系统异常检测程序对被检测系统进行系统异常检测。这样，黑客无法轻易攻击智能设备的异常检测程序，而如果黑客攻击被检测系统，则会被处于安全系统中的异常检测程序准确识别。

参见图2所示，本发明实施例公开的检测系统异常的方法，具体包括：

S201、接收检测请求信息，所述检测请求信息用于请求检测所述被检测系统是否存在系统异常；

具体的，上述检测请求信息，用于请求检测被检测系统是否存在系统异常，具体为请求对设备操作系统的重要资源文件进行检测，判断其是否存在异常，例如请求对被检测系统的boot分区和system分区等分区的重要资源进行检测，判断是否存在异常。在上述检测请求信息中，包含请求对系统的哪些分区，或系统的哪些资源进行异常检测的信息。

上述检测请求信息，可以是当智能设备开机，其操作系统启动运行时，由操作系统自动触发的检测请求信息，也可以是按照用户设定的频率，周期性地触发的对系统进行异常检测的检测请求信息。可以理解，接收检测请求信息，即可以理解为实施系统异常检测的开始，因此接收检测请求信息的时机和频率，表示了对系统进行异常检测的时机和频率。上述两种情况下，分别实现了智能设备开机时对系统进行异常检测，以及在系统运行过程中，周期性地对系统进行异常检测。可以理解，本发明实施例技术方案适用于在任何时刻对系统进行异常检测，只要可以向安全系统中的异常检测程序发送检测请求信息，就可以实现系统异常检测。

需要特别指出的是，本发明实施例允许用户在任意时刻，随机地触发系统异常检测。参见图3所示，在智能设备的REE操作系统中，设置用户应用程序User Application，用户可以在任意时刻通过操作该应用程序，发起系统异常检测请求，检测请求信息通过安全防护Secure Daemon和系统内核Kernel到达TEE系统，TEE系统内部的异常检测程序接收到检测请求信息后，即实现对REE系统的异常检测。

S202、根据所述检测请求信息，对所述被检测系统的待检测系统资源进行异常检测。

具体的，如图3所示，运行于安全系统TEE的受信任的应用程序TrustedApplicaton(即异常检测程序)接收到检测请求信息后，执行对待检测系统资源的异常检测。上述受信任的应用程序Trusted Applicaton对待检测系统的boot分区和system分区重要资源进行核心的检查操作，主要是通过验证boot分区和system分区重要资源与预设的资源信息是否一致，来判断系统是否发生异常。如果boot分区和system分区重要资源与预设的资源信息一致，则说明系统未发生异常；如果boot分区和system分区重要资源与预设的资源信息不一致，则说明系统发生了异常。

通过上述介绍可见，本发明实施例提出的检测系统异常的方法，利用并行运行于被检测系统之外的安全系统来接收通过被检测系统发送的检测请求信息，在安全系统内实现对被检测系统的异常检测。由于异常检测程序处于安全系统的保护中，因此不会轻易被篡改，异常检测的可靠性更高。

可选的，在本发明的另一个实施例中，参见图4所示，该方法还包括：

S403、将检测结果发送给所述被检测系统中的用户应用程序。

具体的，参见图3所示，位于安全系统TEE内部的受信任的应用程序TrustedApplicaton(即异常检测程序)对REE系统的重要资源进行异常检测，得出异常检测结果后，将检测结果通过TEE系统内核以及REE系统内核，发送给用户应用程序UserApplication，使用户可以看到异常检测结果。

更具体的，假设用户手动操作REE系统的用户应用程序User Application发起系统异常检测请求，则该请求沿线路1→2→3→4到达TEE系统的受信任的应用程序TrustedApplicaton(即异常检测程序)，Trusted Applicaton执行对REE系统的异常检测后，将检测结果沿线路4→3→2→1反馈给用户应用程序User Application。可见，采用本发明实施例，在实现对系统异常的可靠检测的同时，能够及时将检测结果反馈给用户，便于用户及时了解系统异常。

本实施例中的步骤S401、S402分别对应图2所示的方法实施例中的步骤S201、S202，其具体内容请参见上述方法实施例的内容，此处不再赘述。

可选的，在本发明的另一个实施例中，参见图5所示，所述根据所述检测请求信息，对所述被检测系统的待检测系统资源进行异常检测，包括：

S502、根据所述检测请求信息，获取所述被检测系统的待检测系统资源；

具体的，在检测请求信息中，包含请求对系统的哪些分区的资源，或系统的哪些资源进行异常检测的信息，即包含被检测系统的待检测系统资源信息。当图3所示的安全系统TEE内部的受信任的应用程序Trusted Applicaton(即异常检测程序)接收到检测请求信息时，通过该请求信息确定需要对系统哪些分区的哪些资源进行异常检测，然后TrustedApplicaton获取相应的待检测系统资源，例如，获取系统boot分区、system分区系统属性文件和配置文件等。

需要说明的是，受信任的应用程序Trusted Applicaton(即异常检测程序)可以以主动请求获取的方式，从REE系统请求获取上述待检测系统资源，也可以由REE系统在向受信任的应用程序Trusted Applicaton(即异常检测程序)发送检测请求信息时，同步发送待检测系统资源。或者可以以其他任意形式使受信任的应用程序TrustedApplicaton(即异常检测程序)获取到待检测系统资源。

S503、对所述待检测系统资源进行编码处理；

具体的，在系统编译期，对于系统资源都是经过编码后进行存储的，例如通常对系统资源文件按照摘要算法编码为摘要进行保存。在系统编译期得到的系统资源编码，作为系统资源的标准编码。为了验证待检测系统的待检测系统资源是否发生异常，应当对待检测系统资源进行同样的编码处理，然后对比待检测系统资源的编码是否与编译期得到的系统资源编码相同，进而判断待检测系统资源是否发生异常。

上述进行编码处理的具体的编码方法，需要与系统编译期对系统资源进行编码时所采用的编码方法相同。需要说明的是，对待检测系统资源进行编码时所采用的编码方法，应当能够保证对系统资源进行编码得到的编码结果是唯一的。例如，可以采用sha256或MD5等摘要编码算法对待检测系统资源进行摘要编码处理，得到待检测系统资源的摘要。

S504、将所述待检测系统资源的编码与预设的所述待检测系统资源的标准编码进行对比；

如果所述待检测系统资源的编码与预设的所述待检测系统资源的标准编码相同，则执行步骤S505、确认所述待检测系统资源没有发生异常；

如果所述待检测系统资源的编码与预设的所述待检测系统资源的标准编码不同，则执行步骤S506、确认所述待检测系统资源发生异常。

具体的，在得到待检测系统资源的编码后，将其编码与预先存储到TEE系统的，上述待检测系统资源的标准编码进行对比，如果待检测系统资源的编码与待检测系统资源的标准编码相同，则说明待检测系统资源就是标准的待检测系统资源，则可以确认待检测系统资源没有发生异常，也就是说REE系统没有发生异常；相反，如果待检测系统资源的编码与待检测系统资源的标准编码不同，则说明待检测系统资源不是标准的待检测系统资源，则可以确认待检测系统资源发生了异常，也就是说REE系统发生了异常。

可以理解，由于对系统资源进行编码可以得到系统资源的唯一编码结果，因此，将系统资源的编码结果进行对比，就相当于将系统资源进行对比，系统资源的编码结果的对比结果，就表示了系统资源的对比结果。因此，通过对比待检测系统资源的编码与待检测系统资源的标准编码是否相同，可以确定待检测系统资源，与待检测系统资源的标准系统资源是否相同，从而确定待检测系统资源是否为标准的系统资源。如果是，则系统没有发生异常；如果不是，则说明系统资源被篡改，系统发生了异常。

本实施例中的步骤S501对应图1所示的方法实施例中的步骤S101，其具体内容请参见图1所示的方法实施例的内容，此处不再赘述。

本发明实施例还公开了一种检测系统异常的装置，该装置应用于与被检测系统并行运行的安全系统。

上述被检测系统，是指运行于智能设备的操作系统，例如Android、Linux、Windows、ios等操作系统，本领域将这些直接运行用户应用的操作系统称为富裕的执行环境(Rich Execution Environment，REE)系统。技术人员可以基于REE系统，开发自己的应用产品，开发出的应用产品可以运行于REE系统为用户提供服务。因此，上述被检测系统，是直接面向用户的系统，即直接与用户交互为用户提供服务的系统，该系统的安全运行是保证用户安全正常使用智能设备的关键。

上述安全系统，是指与上述被检测系统并行运行的，可信的执行环境(TrustedExecution Environment。TEE)系统，即安全的执行环境。参见图1所示，TEE在智能设备内部，是与设备的操作系统，即上述被检测系统同级别的并行运行的系统。TEE是一种概念，ARM公司遵循TEE基于硬件隔离实现了Trustzone技术，高通利用Trustzone技术实现了自己的TEE系统QSEE。以android手机为例，TEE和android系统是并行运行的，在高通平台上，也就是QSEE和android是并行的，并为android系统提供安全服务。相对于REE系统来说，TEE系统更加安全，黑客不能轻易的破坏TEE系统中的程序。

基于上述介绍的TEE系统的安全性，本发明实施例将检测系统异常的应用程序安装到智能设备的安全系统中，利用处于安全系统中的系统异常检测程序对被检测系统进行系统异常检测。这样，黑客无法轻易攻击智能设备的异常检测程序，而如果黑客攻击被检测系统，则会被处于安全系统中的异常检测程序准确识别。

参见图6所示，该装置包括：

请求接收单元100，用于接收检测请求信息，所述检测请求信息用于请求检测所述被检测系统是否存在系统异常；

异常检测单元110，用于根据所述检测请求信息，对所述被检测系统的待检测系统资源进行异常检测。

具体的，本实施例中的各个单元的具体工作内容，请参见上述方法实施例的内容，此处不再赘述。

可选的，在本发明的另一个实施例中，参见图7所示，该装置还包括：

信息反馈单元120，用于将检测结果发送给所述被检测系统中的用户应用程序。

具体的，本实施例中的信息反馈单元120的具体工作内容，请参见上述方法实施例的内容，此处不再赘述。

可选的，在本发明的另一个实施例中，参见图8所示，异常检测单元110包括：

资源获取单元1101，用于根据所述检测请求信息，获取所述被检测系统的待检测系统资源；

编码处理单元1102，用于对所述待检测系统资源进行编码处理；

对比处理单元1103，用于将所述待检测系统资源的编码与预设的所述待检测系统资源的标准编码进行对比；

如果所述待检测系统资源的编码与预设的所述待检测系统资源的标准编码相同，则确认所述待检测系统资源没有发生异常；

如果所述待检测系统资源的编码与预设的所述待检测系统资源的标准编码不同，则确认所述待检测系统资源发生异常。

其中，所述编码处理单元1102对所述待检测系统资源进行编码处理时，具体用于：

对所述待检测系统资源进行摘要编码处理。

具体的，上述实施例中的各个单元的具体工作内容，请参见上述方法实施例的内容，此处不再赘述。

可选的，在本发明的另一个实施例中，所述请求接收单元100接收检测请求信息时，具体用于：

接收所述被检测系统中的用户应用程序在任意时刻发送的检测请求信息。

具体的，本实施例中的请求接收单元100的具体工作内容，请参见上述方法实施例的内容，此处不再赘述。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种检测系统异常的方法，其特征在于，应用于与被检测系统并行运行的安全系统，所述方法包括：

接收检测请求信息，所述检测请求信息用于请求检测所述被检测系统是否存在系统异常；

根据所述检测请求信息，对所述被检测系统的待检测系统资源进行异常检测。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

将检测结果发送给所述被检测系统中的用户应用程序。

3.根据权利要求1或2所述的方法，其特征在于，所述根据所述检测请求信息，对所述被检测系统的待检测系统资源进行异常检测，包括：

根据所述检测请求信息，获取所述被检测系统的待检测系统资源；

对所述待检测系统资源进行编码处理；

将所述待检测系统资源的编码与预设的所述待检测系统资源的标准编码进行对比；

如果所述待检测系统资源的编码与预设的所述待检测系统资源的标准编码相同，则确认所述待检测系统资源没有发生异常；

如果所述待检测系统资源的编码与预设的所述待检测系统资源的标准编码不同，则确认所述待检测系统资源发生异常。

4.根据权利要求3所述的方法，其特征在于，所述对所述待检测系统资源进行编码处理，包括：

对所述待检测系统资源进行摘要编码处理。

5.根据权利要求1所述的方法，其特征在于，所述接收检测请求信息，包括：

接收所述被检测系统中的用户应用程序在任意时刻发送的检测请求信息。

6.一种检测系统异常的装置，其特征在于，应用于与被检测系统并行运行的安全系统，该装置包括：

请求接收单元，用于接收检测请求信息，所述检测请求信息用于请求检测所述被检测系统是否存在系统异常；

异常检测单元，用于根据所述检测请求信息，对所述被检测系统的待检测系统资源进行异常检测。

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：

信息反馈单元，用于将检测结果发送给所述被检测系统中的用户应用程序。

8.根据权利要求6或7所述的装置，其特征在于，所述异常检测单元包括：

资源获取单元，用于根据所述检测请求信息，获取所述被检测系统的待检测系统资源；

编码处理单元，用于对所述待检测系统资源进行编码处理；

对比处理单元，用于将所述待检测系统资源的编码与预设的所述待检测系统资源的标准编码进行对比；

如果所述待检测系统资源的编码与预设的所述待检测系统资源的标准编码相同，则确认所述待检测系统资源没有发生异常；

如果所述待检测系统资源的编码与预设的所述待检测系统资源的标准编码不同，则确认所述待检测系统资源发生异常。

9.根据权利要求8所述的装置，其特征在于，所述编码处理单元对所述待检测系统资源进行编码处理时，具体用于：

对所述待检测系统资源进行摘要编码处理。

10.根据权利要求6所述的装置，其特征在于，所述请求接收单元接收检测请求信息时，具体用于：

接收所述被检测系统中的用户应用程序在任意时刻发送的检测请求信息。