CN109327433B - 基于运行场景分析的威胁感知方法及系统 - Google Patents
基于运行场景分析的威胁感知方法及系统 Download PDFInfo
- Publication number
- CN109327433B CN109327433B CN201811018588.8A CN201811018588A CN109327433B CN 109327433 B CN109327433 B CN 109327433B CN 201811018588 A CN201811018588 A CN 201811018588A CN 109327433 B CN109327433 B CN 109327433B
- Authority
- CN
- China
- Prior art keywords
- data
- client
- server
- control
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种基于运行场景分析的威胁感知方法,基于包含了至少一个客户端以及服务器的系统;该方法包括:服务器接收客户端上传的运行数据、应用匹配结果数据、和/或控件触发数据,对运行数据、应用匹配结果数据、和/或控件触发数据进行分析,确定是否存在与运行数据、应用匹配结果数据、和/或控件触发数据匹配的预设的运行场景,将匹配的运行场景作为目标运行场景,确定与目标运行场景对应的目标执行策略,通过运营辅助系统下发目标执行策略中包含的目标执行指令给客户端;客户端在接收到目标执行指令之后,执行目标执行指令包含的响应操作。采用本发明,可提高应用程序在使用过程中安全隐患的识别效率、提升对未知威胁的防御能力。
Description
技术领域
本发明涉及大数据技术领域和终端安全技术领域,尤其涉及一种基于运行场景分析的威胁感知方法及系统。
背景技术
随着互联网应用的普及和用户日常生活对互联网日渐依赖,互联网安全问题日益凸显。例如,越来越多的客户在手机、电脑等个人使用的终端上安装和使用各种应用程序,但是,在各种应用使用过程中,可能受到来自各方的安全威胁、业务威胁、运营威胁,而是否能检测到这些威胁以及安全隐患并进行相应的处理对于用户在使用过程中的使用体验是十分重要的一部分,这就对应用程序开发商提出了较高的要求。
在现有技术中,在对应用程序的使用过程中的安全隐患的监测仅停留在固定数据统计上,缺乏解决方案的应用能力,在应用程序存在安全隐患的情况下,除了更新版本之外暂时没有更好的处理方式。而对于应用程序开发商来讲,如何提前预知可能存在的安全隐患并且提前做好应对,可以提高对于安全隐患的识别,提高用户在使用过程中的使用体验,提高应用程序开发商在应用程序的开发过程中的安全隐患出现几率。
发明内容
基于此,为解决传统技术中在应用程序的使用过程中无法对存在的安全隐患进行有效的、预知性的识别的技术问题,特提出了一种基于运行场景分析的威胁感知方法。
一种基于运行场景分析的威胁感知方法,基于包含了至少一个客户端以及与所述至少一个客户端连接的服务器的威胁感知系统,在所述至少一个客户端上安装了目标应用;
所述方法包括:
所述服务器接收所述至少一个客户端上传的运行数据、应用匹配结果数据、和/或控件触发数据;
所述服务器对所述运行数据、应用匹配结果数据、和/或控件触发数据进行分析,根据预设的运行场景设置规则确定是否存在与运行数据、应用匹配结果数据、和/或控件触发数据匹配的预设的运行场景,若存在,将匹配的运行场景作为目标运行场景;
所述服务器确定与所述目标运行场景对应的目标执行策略,所述通过与所述服务器连接运营辅助系统下发所述目标执行策略中包含的目标执行指令给所述客户端;
所述客户端在接收到目标执行指令之后,执行所述目标执行指令包含的响应操作,所述响应操作包括响应方式、响应时长、和/或响应内容。
可选的,在其中一个实施例中,所述服务器对所述运行数据、应用匹配结果数据、和/或控件触发数据进行分析之后,还包括:
所述服务器将所述对运行数据、应用匹配结果数据、和/或控件触发数据进行分析的分析结果数据进行判断,确定与所述分析结果数据对应的存储方案,所述存储方案包括目标存储方式和目标存储区域;
将所述分析结果数据按照所述目标存储方式存储至与所述目标存储区域对应的存储区域。
可选的,在其中一个实施例中,所述将所述分析结果数据按照所述目标存储方式存储至与所述目标存储区域对应的存储区域之后,还包括:
所述服务器在接收到报告生成指令之后,读取所述目标存储区域中存储的分析结果数据,并根据所述读取到的分析结果数据按照预设的应用程序威胁识别规则生成对应的威胁感知报告,所述威胁感知报告。
可选的,在其中一个实施例中,所述所述服务器接收所述至少一个客户端上传的运行数据、应用匹配结果数据、和/或控件触发数据之前,还包括:
在所述客户端运行了所述目标应用之后,客户端获取所述客户端上的运行数据,所述运行数据包括但不限于设备识别码、设备类型、操作系统、运营商、联网方式、IP地址、和/或攻击行为数据等中的至少一个;
和/或,客户端从服务器获取预设监控应用名单列表,获取所述客户端的已安装应用程序列表,将所述已安装应用程序列表和所述监控应用名单列表进行匹配,并将应用匹配结果数据发送给所述服务器;
客户端从所述服务器获取预设的与所述目标应用对应的监控控件列表,根据所述监控控件列表中包含的控件信息对所述客户端中的控件触发信息进行监控,获取与所述监控控件列表对应的控件触发数据并将所述控件触发数据发送给所述服务器。
可选的,在其中一个实施例中,所述根据所述监控控件列表中包含的控件信息对所述客户端中的控件触发信息进行监控,还包括:
所述客户端通过监控所述客户端中触发的与所述监控控件列表中包含的控件相关的控件触发数据。
可选的,在其中一个实施例中,所述方法还包括:
在所述服务器展示与所述预设的监控控件列表对应的控件可视化界面;
所述客户端从服务器获取预设监控应用名单列表,获取所述客户端的已安装应用程序列表,将所述已安装应用程序列表和所述监控应用名单列表进行匹配,并将应用匹配结果数据发送给所述服务器之后,还包括:
所述服务器根据所述接收到的应用匹配结果数据对所述展示的控件可视化界面进行更新。
可选的,在其中一个实施例中,所述目标执行指令包含的响应方式包括弹窗提示、语音提示、震动提示、和/或强制退出目标应用。
可选的,在其中一个实施例中,所述服务器对所述运行数据、应用匹配结果数据、和/或控件触发数据进行分析,根据预设的运行场景设置规则确定是否存在与运行数据、应用匹配结果数据、和/或控件触发数据匹配的预设的运行场景,还包括:
所述服务器对所述运行数据、应用匹配结果数据、和/或控件触发数据进行分类,提取所述运行数据、应用匹配结果数据、和/或控件触发数据中的特征数据,根据所述特征数据按照预设的数据分类方式对所述运行数据、应用匹配结果数据、和/或控件触发数据进行分类;
根据预设的运行场景设置规则中的运行场景与数据之间的对应关系,查找与所述运行数据、应用匹配结果数据、和/或控件触发数据对应的运行场景作为目标运行场景。
可选的,在其中一个实施例中,所述服务器接收所述至少一个客户端上传的运行数据、应用匹配结果数据、和/或控件触发数据之后,还包括:
所述服务器收集所述客户端上传运行数据、应用匹配结果数据、和/或控件触发数据的日志文件;通过日志监听所述服务器收集的日志文件,并传送到大数据分析组件中;
所述服务器对所述运行数据、应用匹配结果数据、和/或控件触发数据进行分析,还包括:
所述服务器通过所述大数据分析组件对所述运行数据、应用匹配结果数据、和/或控件触发数据进行分析。
此外,为解决传统技术中在应用程序的使用过程中无法对存在的安全隐患进行有效的、预知性的识别的技术问题,还提出了一种基于运行场景分析的威胁感知系统。
一种基于运行场景分析的威胁感知系统,包括至少一个客户端以及与所述至少一个客户端连接的服务器,在所述至少一个客户端上安装了目标应用;
所述服务器用于接收所述至少一个客户端上传的运行数据、应用匹配结果数据、和/或控件触发数据;
所述服务器用于对所述运行数据、应用匹配结果数据、和/或控件触发数据进行分析,根据预设的运行场景设置规则确定是否存在与运行数据、应用匹配结果数据、和/或控件触发数据匹配的预设的运行场景,若存在,将匹配的运行场景作为目标运行场景;
所述服务器用于确定与所述目标运行场景对应的目标执行策略,所述通过与所述服务器连接运营辅助系统下发所述目标执行策略中包含的目标执行指令给所述客户端;
所述客户端用于在接收到目标执行指令之后,执行所述目标执行指令包含的响应操作,所述响应操作包括响应方式、响应时长、和/或响应内容。
实施本发明实施例,将具有如下有益效果:
采用了上述基于运行场景分析的威胁感知方法和系统之后,在应用程序中内嵌程序,在客户端中开启了应用程序之后,按照服务器的设置,获取客户端上的基础数据、攻击事件数据、运行或已安装应用程序相关的数据、控件触发情况等相关的数据,并将获取到的数据上传至服务器;服务器根据接收到的数据进行分析,确定与客户端上传的数据对应的可能存在安全隐患的运行场景,并根据预设的与该运行场景对应的响应策略下发指令给客户端,以使客户端根据该响应策略进行响应,提前获知安全隐患并进行处理;并且,服务器该将客户端上传的数据以及分析的结果进行存储,并且在后续的过程中根据存储的数据对应用程序的安全隐患进行分析。也就是说,在本实施例中,通过服务器中对客户端上传的数据进行大数据分析,提高对应用程序使用过程中的安全隐患的识别能力和预知能力,提前做好应对,降低应用程序开发过程中安全隐患出现的几率,提升用户体验。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
其中:
图1为一个实施例中威胁感知系统的组成示意图;
图2为一个实施例中一种基于运行场景分析的威胁感知方法的流程示意图;
图3为一个实施例中一种基于运行场景分析的威胁感知方法实现的数据交互示意图;
图4为一个实施例中大数据组件的结构示意图;
图5为一个实施例中数据库的结构示意图。
具体实施方式
为了便于理解本发明,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于发明的技术领域的技术人员通常理解的含义相同。本文中在发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在限制本发明。本文所使用的术语“和/或”包括一个或多个相关的所列项目的任意的和所有的组合。
具体的,在本实施例中,特提出了一种基于运行场景分析的威胁感知方法和系统,其中方法的实现可依赖于计算机程序,该计算机程序可运行于基于冯诺依曼体系的计算机系统之上。该计算机系统可以是运行上述计算机程序的例如智能手机、平板电脑、个人电脑等设备。
需要说明的是,在本实施例中,上述基于运行场景分析的威胁感知方法的实现是基于如图1所示包含了至少一个客户端以及与所述至少一个客户端连接的服务器的威胁感知系统,其中,在每一个客户端上均安装了目标应用,本方法以及系统的实现是基于目标应用对应的应用程序。例如,上述基于运行场景分析的威胁感知方法所基于的计算机程序是嵌于所述目标应用对应的应用程序中,在目标应用运行时,该计算机程序运行以实现相应的功能。在服务器端,集成了与基于运行场景分析的威胁感知方法对应的计算机程序,用以配合实现上述基于运行场景分析的威胁感知方法。
具体的,如图2所示,上述基于运行场景分析的威胁感知方法具体如图2所示的。也就是说,该方法基于服务器与客户端之间的数据交互以及命令执行。
步骤S1:客户端采集运行数据、应用匹配结果数据、和/或控件触发数据;
步骤S2:客户端将采集导的运行数据、应用匹配结果数据、和/或控件触发数据发送给服务器;
步骤S3:服务器对运行数据、应用匹配结果数据、和/或控件触发数据进行分析;
步骤S4:服务器根据预设的运行场景设置规则确定是否存在与运行数据、应用匹配结果数据、和/或控件触发数据匹配的预设的运行场景,若存在,将匹配的运行场景作为目标运行场景;
步骤S5:服务器确定与目标运行场景对应的目标执行策略;
步骤S6:服务器通过连接的运营辅助系统下发目标执行策略中包含的目标执行指令给客户端;
步骤S7:客户端执行目标执行指令包含的响应操作。
在客户端运行目标应用时,或者用户在客户端上开启了目标应用的情况下,因为目标应用的开启和运行会触发对于威胁感知的执行。在本实施例中,用户首先需要在系统中进行相关的配置,例如,客户端应该采集哪些数据、需要进行监控的监控应用名单列表以及目标应用在运行的过程中需要进行监控的控件所对应的监控控件列表等。
在客户端中开启了目标应用之后,客户端会采集与客户端以及目标应用的运行所对应的运行数据、应用匹配结果数据、和/或控件触发数据并发送给服务器进行进一步的数据分析和威胁感知。
上述步骤S1中,客户端采集运行数据、应用匹配结果数据、和/或控件触发数据的过程,是在客户端中运行目标应用的过程中完成的。
在一个具体的过程中,运行数据的采集如下:在所述客户端运行了所述目标应用之后,客户端获取所述客户端上的运行数据,所述运行数据包括设备识别码、设备类型、操作系统、运营商、联网方式、IP地址、和/或攻击行为数据等中的至少一个,且需要说明的是,运行数据不限于上述举出的设备识别码、设备类型、操作系统、运营商、联网方式、IP地址、和/或攻击行为数据,还可以包括客户端上的其他数据。
运行数据指的是客户端上对应的基本数据信息,例如,设备识别码(设备ID)、设备类型(或设备类型型号)、操作系统、运营商(运营商标识)、是否越狱、联网方式(WIFI、蜂窝网络等)、IP地址等,还包括客户端是否存在攻击行为数据等相关的信息(例如,是否存在攻击事件、与检测到的攻击事件对应的攻击类型、等具体信息和数据)。需要说明的是,运行数据为哪些具体数据的组合是由服务器预先进行设定的,也就是说,需要用户在服务器中预先对运行数据的具体包含的属性项进行设置。
另外,设备识别码(设备ID)、设备类型(或设备类型型号)、操作系统、运营商(运营商标识)、是否越狱、联网方式(WIFI、蜂窝网络等)、IP地址等数据是在客户端开启了目标应用(APP1)之后进行的,且为一次性操作;但是攻击行为数据数据是持续性对客户端进行检测在检测到了攻击事件之后出发的运行数据获取以及上传的过程。
在一个具体的过程中,应用匹配结果数据的采集如下:客户端从服务器获取预设监控应用名单列表,获取所述客户端的已安装应用程序列表,将所述已安装应用程序列表和所述监控应用名单列表进行匹配,并将应用匹配结果数据发送给所述服务器。
在服务器上设置了监控应用名单列表,其中包含的应用程序为目标应用对应的开发商设定的可能对当前的应用APP1产生影响或者应该进行监控的其他应用程序,或者称为黑名单应用列表。在客户端开启了APP1之后,通过客户端与服务器之间的通讯连接,从服务器中获取该监控应用名单列表。然后获取客户端当前所有的已安装应用程序列表,并确定在已安装的应用程序中是否存在黑名单应用列表中的应用,并将相应的结果作为应用匹配结果数据发送给服务器。在另一个可选的实施例中,还可以获取客户端当前运行的所有的应用程序中是否存在于黑名单应用列表中匹配的应用程序作为应用匹配结果数据发送给服务器。
在具体的应用程序匹配的过程中,黑名单应用列表中包含了应用名称、应用唯一标识或应用对应的包名,将其与已安装应用的应用唯一标识/包名、和或应用名称等进行对比,从而来确定其中是否存在匹配的应用程序,并据此生成应用匹配结果数据上传至服务器。
在一个具体的过程中,控件触发数据的采集如下:客户端从所述服务器获取预设的与所述目标应用对应的监控控件列表,根据所述监控控件列表中包含的控件信息对所述客户端中的控件触发信息进行监控,获取与所述监控控件列表对应的控件触发数据并将所述控件触发数据发送给所述服务器。
监控控件列表为在服务器端设置的需要进行监控的控件,例如,在目标应用APP1运行的过程中可能触发的所有控件等。客户端在开启了目标应用APP1之后,从服务器端获取监控控件列表,并根据监控控件列表中包含的所有的控件名称(控件ID)等对客户端的控件触发情况进行监控。具体的,客户端通过后台对监控控件列表中包含的控件信息进行监控,获取对应的控件触发数据,其中,包含了触发的控件名称、控件ID、控件触发时间、两次触发之间的间隔时间、或触发频率等控件触发数据,并将获取到的控件触发数据实时、或周期性的发送给服务器。
进一步的,上述在客户端监控控件的过程中,是通过监控所述客户端中触发的与所述监控控件列表中包含的控件相关的控件触发数据,其中,对于控件触发的监控,可以是通过hook钩子来进行监控的,且,采用hook钩子技术对控件触发信息进行监控是为了适配各种机型以及对应的应用场景。
在客户端将数据上传至服务器之后,服务器接收并将接收到的客户端上传的所有数据进行存储。然后对数据进行分类、数据挖掘、统计、分析,以确定当前客户端是否存在安全隐患。具体的,安全隐患的判断是通过客户端上传的时候是否是与预设的运行场景匹配的,例如,是否与预设的登录异常场景是匹配的等。预设的运行场景是在服务器中预先进行了设置的,其中,包含了运行场景与控件信息、运行数据、应用信息等之间的对应关系。也就是说,在服务器接收到了客户端上传的运行数据、应用匹配结果数据、控件触发信息之后,通过对接收到的数据进行分析,确定与该数据对应的运行场景。
一般来讲,除了正常运行场景之外,其他的运行场景均对应了需要客户端或者服务器进行不同的操作。也就是说,每一个运行场景,均对应了不同的响应操作,该响应操作包含客户端的,也包含服务器端的。在确定了目标运行场景之后,即可确定与该目标运行场景对应的执行策略,其中包含了客户端应该进行的响应操作,其中,响应操作包括响应方式、响应时长、和/或响应内容等,例如,弹窗提示、语音提示、震动提示、和/或强制退出目标应用等,当然,也不限于上述给出的响应方式。
例如,在一个具体的实施例中,在客户端上传的数据被判定为登录异常的运行场景,为了避免用户安全受到影响,可以在客户端展示弹窗提示,并在3秒之后强制退出应用,避免进一步的损失。
具体的,服务器在根据接收到的运行数据、应用匹配结果数据、和/或控件触发数据进行分析并确定匹配的运行场景的过程,具体可以是:服务器对所述运行数据、应用匹配结果数据、和/或控件触发数据进行分类,提取所述运行数据、应用匹配结果数据、和/或控件触发数据中的特征数据,根据所述特征数据按照预设的数据分类方式对所述运行数据、应用匹配结果数据、和/或控件触发数据进行分类;根据预设的运行场景设置规则中的运行场景与数据之间的对应关系,查找与所述运行数据、应用匹配结果数据、和/或控件触发数据对应的运行场景作为目标运行场景。
如图4所示,服务器在根据接收到的运行数据、应用匹配结果数据、和/或控件触发数据进行分析并确定匹配的运行场景的过程,为对数据的进行分析处理的过程,该过程可以是通过大数据组件完成的;具体的,flume对服务器接收客户端上传的数据进行监听,并且,在监听到新的数据或者日志文件的情况下,触发其他模块进行数据的处理。在大数据组件中,通过数据仓库工具、数据引擎、关系型数据库、分布式文件系统等,对庞大的数据进行处理、分类、挖掘和分析,以实现对客户端上传的数据的最大化的使用,以提高对数据的深度挖掘马蹄糕深度挖掘后的数据价值。
在另一个实施例中,对用户在使用目标应用的过程中采集的数据,不仅可以用来分析客户端当前是否存在安全隐患并提醒用户进行相应的处理,还需要将相应的数据存储在服务器中,以便服务器根据各个客户端采集的数据的分析结果进行进一步的分析和威胁的感知。
具体的,在一个具体的实施例中,上述服务器对所述运行数据、应用匹配结果数据、和/或控件触发数据进行分析之后,还包括:
所述服务器将所述对运行数据、应用匹配结果数据、和/或控件触发数据进行分析的分析结果数据进行判断,确定与所述分析结果数据对应的存储方案,所述存储方案包括目标存储方式和目标存储区域;
将所述分析结果数据按照所述目标存储方式存储至与所述目标存储区域对应的存储区域。
也就是说,对于客户端上传至服务器的数据,服务器不仅需要对相应的数据进行分析并根据匹配的运行场景对客户端进行提醒以及指示客户端做出对应的响应操作,还需要将客户端上传的数据进行存储,并且,存储的不仅包含了客户端上传的数据,还包括了对客户端上传的数据的分析结果。例如,在如图3所示的应用场景中,数据库模块中包含了多个子数据库,具体可如图5所示,数据库包含了多个子数据库,例如,临时数据库、内存数据库、永久数据库等;并且不同的数据库还可以对应不同的读写权限,具体可以根据其存储的数据的性质进行设置。
也就是说,对于客户端采集的数据以及对应的分析结果相关数据均存储在指定的数据库中,在需要进行分析时可以调用并进行分析。例如,在需要根据数据确定是否存在威胁的情况下,可以按照预定的规则对数据进行分析,并判断是否存在相应的未知的、预知的威胁,并生成相应的威胁感知报告。
具体的,在一个实施例中,上述将所述分析结果数据按照所述目标存储方式存储至与所述目标存储区域对应的存储区域之后,还包括:
所述服务器在接收到报告生成指令之后,读取所述目标存储区域中存储的分析结果数据,并根据所述读取到的分析结果数据按照预设的应用程序威胁识别规则生成对应的威胁感知报告。
服务器对于客户端上传的数据以及与该数据对应的分析结果不仅是进行了存储,存储的作用是为了后续对数据进行分析。在本实施例中,分析的对象可以是针对某一个客户端,也就是说,针对某一个客户端上传的所有的数据进行分析,并生成对应的分析报告。在另一个可选的实施例中,分析的对象还可以是针对目标应用APP1对应的所有的数据,生成与APP1在使用过程中可能存在的威胁对应的分析报告,以供APP1对应的开发商进行参考,以对APP1对应的版本或功能等进行更正,提前进行威胁的感知和处理。
一般来讲,对数据进行分析的报告的生成并不是实时进行操作的,而是根据用户指令的输入或者周期性的指令的触发(例如,每月进行一个报告的更新)进行的,或者,在进行大数据分析的过程中感知到了较大的威胁或者安全隐患的存在的情况下,进行触发的。在触发了分析报告的生成的情况下,会根据数据库中存储的数据进行分析,按照预设的报告生成的规则生成对应的威胁感知报告,以供应用程序开发的过程中进行参考。
进一步的,为了方便目标应用APP1对应的应用程序开发商对目标应用的使用情况进行监控、或对威胁感知的相关的情况进行监控,在本实施例中,还提供了对应的可视化界面。也就是说,在服务器或者与服务器连接的显示界面中展示相应的威胁感知的展示界面,例如,在一个可选的实施例中,在界面上展示的可以是控件数据的统计界面、或者在运行场景匹配并指示客户端进行相应响应操作的情况下的具体数据展示界面。
在一个具体的实施例中,上述基于运行场景分析的威胁感知方法还包括:在所述服务器展示与所述预设的监控控件列表对应的控件可视化界面;也就是说,在服务器接收到相关数据或者分析出相关数据之后会在可视化界面上进行展示。例如,在客户端从服务器获取预设监控应用名单列表,获取所述客户端的已安装应用程序列表,将所述已安装应用程序列表和所述监控应用名单列表进行匹配,并将应用匹配结果数据发送给所述服务器之后,服务器根据所述接收到的应用匹配结果数据对所述展示的控件可视化界面进行更新。也就是说,实时更新和展示数据分析发结果加快了APP1开发端对应用程序的判断和决策的时间,节省了面对安全隐患的感知时间,尽量做到了零损失。
在另一个具体的实施例中,如图3所示,展示了服务器中各个部分与客户端之间的数据、以及指令的交互关系。
具体的,服务器通过Ngnix反向代理服务器收集客户端上传运行数据、应用匹配结果数据、和/或控件触发数据的日志文件;通过Flume监听Ngnix反向代理服务器收集的日志文件,并传送到大数据分析组件中;服务器通过大数据分析组件对运行数据、应用匹配结果数据、和/或控件触发数据进行分析。对于数据分析,将相应的数据分别导入到不同的数据库中进行存储。在对数据进行分析的过程中,若有需要进行客户端进行相应操作的情况下,下发指令给运营辅助系统,并由运营辅助系统将指令转发给客户端,并由客户端进行响应。
实施本发明实施例,将具有如下有益效果:
采用了上述基于运行场景分析的威胁感知方法和系统之后,在应用程序中内嵌程序,在客户端中开启了应用程序之后,按照服务器的设置,获取客户端上的基础数据、攻击事件数据、运行或已安装应用程序相关的数据、控件触发情况等相关的数据,并将获取到的数据上传至服务器;服务器根据接收到的数据进行分析,确定与客户端上传的数据对应的可能存在安全隐患的运行场景,并根据预设的与该运行场景对应的响应策略下发指令给客户端,以使客户端根据该响应策略进行响应,提前获知安全隐患并进行处理;并且,服务器该将客户端上传的数据以及分析的结果进行存储,并且在后续的过程中根据存储的数据对应用程序的安全隐患进行分析。也就是说,在本实施例中,通过服务器中对客户端上传的数据进行大数据分析,提高对应用程序使用过程中的安全隐患的识别能力和预知能力,提前做好应对,降低应用程序开发过程中安全隐患出现的几率,提升用户体验。
在上述实施例中,可以全部或部分的通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程系统。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或者数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或半导体介质(例如固态硬盘Solid State Disk(SSD))等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (9)
1.一种基于运行场景分析的威胁感知方法,所述方法基于包含了至少一个客户端以及与所述至少一个客户端连接的服务器的威胁感知系统,在所述至少一个客户端上安装了目标应用;其特征在于,所述方法包括:
在所述客户端运行了所述目标应用之后,客户端获取所述客户端上的运行数据,所述运行数据包括设备识别码、设备类型、操作系统、运营商、联网方式、IP地址、和/或攻击行为数据中的至少一个;
客户端从所述服务器获取预设的与所述目标应用对应的监控控件列表,根据所述监控控件列表中包含的控件信息对所述客户端中的控件触发信息进行监控,获取与所述监控控件列表对应的控件触发数据并将所述控件触发数据发送给所述服务器;所述控件触发数据至少包含了触发的控件名称、控件ID、控件触发时间、两次触发之间的间隔时间、或触发频率中的一个;
所述服务器接收所述至少一个客户端上传的运行数据、应用匹配结果数据、和/或控件触发数据;
所述服务器对所述运行数据、应用匹配结果数据、和/或控件触发数据进行分析,根据预设的运行场景设置规则确定是否存在与所述运行数据、应用匹配结果数据、和/或控件触发数据匹配的预设的运行场景,若存在,将匹配的运行场景作为目标运行场景;其中,所述预设的运行场景是在所述服务器中预先设置的,包括运行场景与控件信息、运行数据以及应用信息之间的对应关系;
所述服务器确定与所述目标运行场景对应的目标执行策略,通过与所述服务器连接运营辅助系统下发所述目标执行策略中包含的目标执行指令给所述客户端;
所述客户端在接收到目标执行指令之后,执行所述目标执行指令包含的响应操作,所述响应操作包括响应方式、响应时长、和/或响应内容。
2.根据权利要求1所述的基于运行场景分析的威胁感知方法,其特征在于,所述服务器对所述运行数据、应用匹配结果数据、和/或控件触发数据进行分析之后,还包括:
所述服务器将所述对运行数据、应用匹配结果数据、和/或控件触发数据进行分析的分析结果数据进行判断,确定与所述分析结果数据对应的存储方案,所述存储方案包括目标存储方式和目标存储区域;
将所述分析结果数据按照所述目标存储方式存储至与所述目标存储区域对应的存储区域。
3.根据权利要求2所述的基于运行场景分析的威胁感知方法,其特征在于,所述将所述分析结果数据按照所述目标存储方式存储至与所述目标存储区域对应的存储区域之后,还包括:
所述服务器在接收到报告生成指令之后,读取所述目标存储区域中存储的分析结果数据,并根据所述读取到的分析结果数据按照预设的应用程序威胁识别规则生成对应的威胁感知报告,所述威胁感知报告。
4.根据权利要求1所述的基于运行场景分析的威胁感知方法,其特征在于,所述根据所述监控控件列表中包含的控件信息对所述客户端中的控件触发信息进行监控,还包括:
所述客户端通过监控所述客户端中触发的与所述监控控件列表中包含的控件相关的控件触发数据。
5.根据权利要求1所述的基于运行场景分析的威胁感知方法,其特征在于,所述方法还包括:
在所述服务器展示与所述预设的监控控件列表对应的控件可视化界面;
所述客户端从服务器获取预设监控应用名单列表,获取所述客户端的已安装应用程序列表,将所述已安装应用程序列表和所述监控应用名单列表进行匹配,并将应用匹配结果数据发送给所述服务器之后,还包括:
所述服务器根据所述接收到的应用匹配结果数据对所述展示的控件可视化界面进行更新。
6.根据权利要求1所述的基于运行场景分析的威胁感知方法,其特征在于,所述目标执行指令包含的响应方式包括弹窗提示、语音提示、震动提示、和/或强制退出目标应用。
7.根据权利要求1所述的基于运行场景分析的威胁感知方法,其特征在于,所述服务器对所述运行数据、应用匹配结果数据、和/或控件触发数据进行分析,根据预设的运行场景设置规则确定是否存在与运行数据、应用匹配结果数据、和/或控件触发数据匹配的预设的运行场景,还包括:
所述服务器对所述运行数据、应用匹配结果数据、和/或控件触发数据进行分类,提取所述运行数据、应用匹配结果数据、和/或控件触发数据中的特征数据,根据所述特征数据按照预设的数据分类方式对所述运行数据、应用匹配结果数据、和/或控件触发数据进行分类;
根据预设的运行场景设置规则中的运行场景与数据之间的对应关系,查找与所述运行数据、应用匹配结果数据、和/或控件触发数据对应的运行场景作为目标运行场景。
8.根据权利要求1所述的基于运行场景分析的威胁感知方法,其特征在于,所述服务器接收所述至少一个客户端上传的运行数据、应用匹配结果数据、和/或控件触发数据之后,还包括:
所述服务器收集所述客户端上传运行数据、应用匹配结果数据、和/或控件触发数据的日志文件;通过日志监听所述服务器收集的日志文件,并传送到大数据分析组件中;
所述服务器对所述运行数据、应用匹配结果数据、和/或控件触发数据进行分析,还包括:
所述服务器通过所述大数据分析组件对所述运行数据、应用匹配结果数据、和/或控件触发数据进行分析。
9.一种基于运行场景分析的威胁感知系统,其特征在于,包括至少一个客户端以及与所述至少一个客户端连接的服务器,在所述至少一个客户端上安装了目标应用;
在所述客户端运行了所述目标应用之后,客户端获取所述客户端上的运行数据,所述运行数据包括设备识别码、设备类型、操作系统、运营商、联网方式、IP地址、和/或攻击行为数据中的至少一个;
客户端从所述服务器获取预设的与所述目标应用对应的监控控件列表,根据所述监控控件列表中包含的控件信息对所述客户端中的控件触发信息进行监控,获取与所述监控控件列表对应的控件触发数据并将所述控件触发数据发送给所述服务器;所述控件触发数据至少包含了触发的控件名称、控件ID、控件触发时间、两次触发之间的间隔时间、或触发频率中的一个;
所述服务器用于接收所述至少一个客户端上传的运行数据、应用匹配结果数据、和/或控件触发数据;
所述服务器用于对所述运行数据、应用匹配结果数据、和/或控件触发数据进行分析,根据预设的运行场景设置规则确定是否存在与所述运行数据、应用匹配结果数据、和/或控件触发数据匹配的预设的运行场景,若存在,将匹配的运行场景作为目标运行场景;其中,所述预设的运行场景是在所述服务器中预先设置的,包括运行场景与控件信息、运行数据以及应用信息之间的对应关系;
所述服务器用于确定与所述目标运行场景对应的目标执行策略,通过与所述服务器连接运营辅助系统下发所述目标执行策略中包含的目标执行指令给所述客户端;
所述客户端用于在接收到目标执行指令之后,执行所述目标执行指令包含的响应操作,所述响应操作包括响应方式、响应时长、和/或响应内容。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811018588.8A CN109327433B (zh) | 2018-09-03 | 2018-09-03 | 基于运行场景分析的威胁感知方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811018588.8A CN109327433B (zh) | 2018-09-03 | 2018-09-03 | 基于运行场景分析的威胁感知方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109327433A CN109327433A (zh) | 2019-02-12 |
CN109327433B true CN109327433B (zh) | 2022-05-17 |
Family
ID=65263766
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811018588.8A Active CN109327433B (zh) | 2018-09-03 | 2018-09-03 | 基于运行场景分析的威胁感知方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109327433B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116049292B (zh) * | 2023-03-07 | 2023-05-30 | 千巡科技(深圳)有限公司 | 一种基于转换联动的环境感知方法、系统、装置以及介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102129550A (zh) * | 2011-02-17 | 2011-07-20 | 华南理工大学 | 场景感知方法 |
CN106506545A (zh) * | 2016-12-21 | 2017-03-15 | 深圳市深信服电子科技有限公司 | 一种网络安全威胁评估系统及方法 |
CN106686544A (zh) * | 2016-09-06 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 一种基于位置的信息预警方法、终端及系统 |
CN106953738A (zh) * | 2016-10-11 | 2017-07-14 | 阿里巴巴集团控股有限公司 | 风险控制方法及装置 |
CN107483438A (zh) * | 2017-08-15 | 2017-12-15 | 山东华诺网络科技有限公司 | 一种基于大数据的网络安全态势感知预警系统和方法 |
CN107995179A (zh) * | 2017-11-27 | 2018-05-04 | 深信服科技股份有限公司 | 一种未知威胁感知方法、装置、设备及系统 |
EP3340570A1 (en) * | 2013-12-06 | 2018-06-27 | Cyberlytic Limited | Profiling cyber threats detected in a target environment and automatically generating one or more rule bases for an expert system usable to profile cyber threats detected in a target environment |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107315952A (zh) * | 2016-04-26 | 2017-11-03 | 华为技术有限公司 | 用于确定应用程序可疑行为的方法和装置 |
CN107196910B (zh) * | 2017-04-18 | 2019-09-10 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
CN108182360B (zh) * | 2018-01-31 | 2023-09-19 | 腾讯科技(深圳)有限公司 | 一种风险识别方法及其设备、存储介质、电子设备 |
-
2018
- 2018-09-03 CN CN201811018588.8A patent/CN109327433B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102129550A (zh) * | 2011-02-17 | 2011-07-20 | 华南理工大学 | 场景感知方法 |
EP3340570A1 (en) * | 2013-12-06 | 2018-06-27 | Cyberlytic Limited | Profiling cyber threats detected in a target environment and automatically generating one or more rule bases for an expert system usable to profile cyber threats detected in a target environment |
CN106686544A (zh) * | 2016-09-06 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 一种基于位置的信息预警方法、终端及系统 |
CN106953738A (zh) * | 2016-10-11 | 2017-07-14 | 阿里巴巴集团控股有限公司 | 风险控制方法及装置 |
CN106506545A (zh) * | 2016-12-21 | 2017-03-15 | 深圳市深信服电子科技有限公司 | 一种网络安全威胁评估系统及方法 |
CN107483438A (zh) * | 2017-08-15 | 2017-12-15 | 山东华诺网络科技有限公司 | 一种基于大数据的网络安全态势感知预警系统和方法 |
CN107995179A (zh) * | 2017-11-27 | 2018-05-04 | 深信服科技股份有限公司 | 一种未知威胁感知方法、装置、设备及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN109327433A (zh) | 2019-02-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111092852B (zh) | 基于大数据的网络安全监控方法、装置、设备及存储介质 | |
CN109688097B (zh) | 网站防护方法、网站防护装置、网站防护设备及存储介质 | |
CN110417778B (zh) | 访问请求的处理方法和装置 | |
CN107704360B (zh) | 监控数据的处理方法、设备、服务器及存储介质 | |
CN108280346B (zh) | 一种应用防护监控方法、装置以及系统 | |
CN109672580A (zh) | 全链路监控方法、装置、终端设备及存储介质 | |
CN109543891B (zh) | 容量预测模型的建立方法、设备及计算机可读存储介质 | |
US11178160B2 (en) | Detecting and mitigating leaked cloud authorization keys | |
CN104598369A (zh) | 在移动设备中实现的软件监控方法和装置 | |
CN111740868A (zh) | 告警数据的处理方法和装置及存储介质 | |
CN112799925A (zh) | 数据采集方法、装置、电子设备和可读存储介质 | |
CN112685270A (zh) | 一种系统监控日志的采集方法、装置、电子设备及介质 | |
CN105553770B (zh) | 一种数据采集控制方法和装置 | |
CN113572757A (zh) | 服务器访问风险监测方法及装置 | |
CN113792341A (zh) | 应用程序的隐私合规自动化检测方法、装置、设备及介质 | |
CN115001967A (zh) | 一种数据采集方法、装置、电子设备及存储介质 | |
CN111177722A (zh) | webshell文件检测方法、装置、服务器以及存储介质 | |
CN109327433B (zh) | 基于运行场景分析的威胁感知方法及系统 | |
CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
CN112148545A (zh) | 嵌入式系统的安全基线检测方法以及安全基线检测系统 | |
US11075951B1 (en) | Query learning for automated incident investigation and remediation | |
CN116049822A (zh) | 应用程序的监管方法、系统、电子设备及存储介质 | |
CN114362980B (zh) | 协议挂登录账号识别方法、装置、计算机设备和存储介质 | |
CN114153641A (zh) | 基于拦截器技术的审计日志动态实现方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |