CN110347550A - Android系统终端设备的安全监测处理方法及系统 - Google Patents
Android系统终端设备的安全监测处理方法及系统 Download PDFInfo
- Publication number
- CN110347550A CN110347550A CN201910497360.XA CN201910497360A CN110347550A CN 110347550 A CN110347550 A CN 110347550A CN 201910497360 A CN201910497360 A CN 201910497360A CN 110347550 A CN110347550 A CN 110347550A
- Authority
- CN
- China
- Prior art keywords
- message
- turning
- exception
- terminal equipment
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 72
- 238000003672 processing method Methods 0.000 title claims abstract description 24
- 238000005192 partition Methods 0.000 claims description 53
- 238000000034 method Methods 0.000 claims description 27
- 230000005059 dormancy Effects 0.000 claims description 8
- 230000008569 process Effects 0.000 claims description 8
- 230000007958 sleep Effects 0.000 claims description 4
- 238000001514 detection method Methods 0.000 claims 3
- 238000004590 computer program Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 238000003860 storage Methods 0.000 description 7
- 238000009434 installation Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 2
- BOJKULTULYSRAS-OTESTREVSA-N Andrographolide Chemical compound C([C@H]1[C@]2(C)CC[C@@H](O)[C@]([C@H]2CCC1=C)(CO)C)\C=C1/[C@H](O)COC1=O BOJKULTULYSRAS-OTESTREVSA-N 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000013256 coordination polymer Substances 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/321—Display for diagnostics, e.g. diagnostic result display, self-test user interface
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Abstract
本发明公开了一种Android系统终端设备的安全监测处理方法及系统,涉及Android系统终端技术领域,本发明通过在设定时间内,检测到异常报文超过设定数量、存在异常服务或存在分区异常时,生成报警消息,将生成的报警消息上传到管理平台,实时监测各种系统安全隐患并及时上报处理,避免这些安全隐患引发系统异常现象,适用于Android机顶盒、融合终端等Android系统的终端设备。
Description
技术领域
本发明涉及Android系统终端技术领域,具体涉及一种Android系统终端设备的安全监测处理方法及系统。
背景技术
基于Android系统的机顶盒、融合网关等终端设备广泛应用于国内三大运营商市场,提供了丰富的IPTV(交互式网络电视)、OTT(OverThe Top,通过互联网向用户提供各种应用服务)及周边业务服务。伴随越来越多的业务,出现了一系列系统安全隐患,Android系统由于这些系统安全隐患将引发各种系统异常现象,终端本身缺乏识别、预警和处置这些引发系统异常现象的安全隐患的机制。
发明内容
针对现有技术中存在的缺陷,本发明的目的在于提供一种Android系统终端设备的安全监测处理方法及系统,实时监测各种系统安全隐患并及时上报处理。
为达到以上目的,本发明采取的技术方案是:一种Android系统终端设备的安全监测处理方法,包括以下步骤:
周期性对系统监控,检测到设定类型报文的每秒发包数量超过预设的阈值、分区空间异常或异常服务开启时,生成报警消息。
在上述方案的基础上,所述方法还包括以下步骤:生成报警消息后,将所述报警消息在Android系统终端设备弹框提示、在系统信息中显示或上报至管理平台。
在上述方案的基础上,检测到设定类型报文的每秒发包数量超过预设的阈值时,生成报警消息,具体步骤包括:
S1、判断收到报文是否符合设定类型报文的特征值,若是,转S2;若否,转S6;
S2、判断该报文的计数器是否为0,若是,转S3;若否,转S4;
S3、将该报文的计数器加1,将当前系统时间记录为该报文的起始发包时间,转S6;
S4、该报文的计数器加1,转S5;
S5、判断该报文的计数器的个数是否大于等于设定的阈值,若是转S7,若否,转S6,
S6,后续流程按原生协议栈转发;
S7,判断当前系统时间与该报文的起始发包时间差是否在1秒内,若否,转S8,若是,转S9;
S8、该报文的计数器清0,报警通知标记重置为0,转S6;
S9、判断报警通知标记是否为0,若是,转S10,若否,转S11;
S10、将报警通知标记置为1,向用户通知告警,转S11;
S11、按原生协议栈转发报文或丢弃报文。
在上述方案的基础上,所述设定类型报文为ARP报文时,其特征值为:MAC帧的目的MAC为广播地址、源MAC为终端的MAC地址、且链路层协议的类型为0x0806。
在上述方案的基础上,所述设定类型报文为ARP报文时,该报文的设定的阈值不低于20个。
在上述方案的基础上,所述设定类型报文为DNS报文时,其特征值为:MAC帧的目的端口是为53。
在上述方案的基础上,所述设定类型报文为DNS报文时,该报文的设定的阈值不低于80个。
在上述方案的基础上,检测到分区空间异常时,生成报警消息,具体包括以下步骤:周期性判断目标分区的使用率,若目标分区的使用率超过阈值,则生产报警消息上报。
在上述方案的基础上,周期性判断目标分区的使用率,若目标分区的使用率超过阈值,则生产报警消息上报,具体包括以下步骤:
A1、获取目标分区原始大小,转A2;
A2、获取目标分区当前大小,转A3;
A3、判断目标分区使用率:目标分区当前大小/目标分区原始大小是否超过对应的阈值,若是转A4、否转A5;
A4、生成报警消息,转到A5;
A5、sleep休眠时间,转到A2。
10、如权利要求9所述的一种Android系统终端设备的安全监测处理方法,所述目标分区包括system分区和data分区;所述阈值不低于为85%;所述休眠时间不低于60分钟。
在上述方案的基础上,检测到异常服务开启时,生成报警消息,具体包括以下步骤:判断ADB服务或Telnet服务是否存在,存在则生成相应的报警消息上报。
在上述方案的基础上,所述方法还包括以下步骤:
用户收到存在ADB服务或Telnet服务的报警消息时,通过管理平台远程下发命令,关闭ADB服务或Telnet服务。
本发明还提供了一种Android系统终端设备的安全监测处理系统,包括异常监测模块和终端安全模块:
异常监测模块,其用于:周期性对系统监控,检测到设定类型报文的每秒发包数量超过预设的阈值、分区空间异常或异常服务开启时,生成报警消息,发送报警消息至终端安全模块;
终端安全模块,其用于:收到报警消息后,将所述报警消息在Android系统终端设备弹框提示、在系统信息中显示或上报至终端安全管理平台管理平台。
在上述方案的基础上,所述异常监测模块包括报文发包异常监测单元,所述报文发包异常监测单元用于检测到设定类型报文的每秒发包数量超过预设的阈值时,生成报警消息,具体步骤包括:
S1、判断收到报文是否符合设定类型报文的特征值,若是,转S2;若否,转S6;
S2、判断该报文的计数器是否为0,若是,转S3;若否,转S4;
S3、将该报文的计数器加1,将当前系统时间记录为该报文的起始发包时间,转S6;
S4、该报文的计数器加1,转S5;
S5、判断该报文的计数器的个数是否大于等于设定的阈值,若是转S7,若否,转S6,
S6,后续流程按原生协议栈转发;
S7,判断当前系统时间与该报文的起始发包时间差是否在1秒内,若否,转S8,若是,转S9;
S8、该报文的计数器清0,报警通知标记重置为0,转S6;
S9、判断报警通知标记是否为0,若是,转S10,若否,转S11;
S10、将报警通知标记置为1,向用户通知告警,转S11;
S11、按原生协议栈转发报文或丢弃报文。
在上述方案的基础上,所述设定类型报文为ARP报文时,其特征值为:MAC帧的目的MAC为广播地址、源MAC为终端的MAC地址、且链路层协议的类型为0x0806;该报文的设定的阈值不低于20个;所述设定类型报文为DNS报文时,其特征值为:MAC帧的目的端口是为53;该报文的设定的阈值不低于80个。
在上述方案的基础上,所述异常监测模块还包括分区异常监测单元,分区异常监测单元用于检测到分区空间异常时,生成报警消息,具体包括以下步骤:周期性判断目标分区的使用率,若目标分区的使用率超过阈值,则生产报警消息上报。
在上述方案的基础上,所述目标分区包括system分区和data分区;所述阈值不低于为85%;所述休眠时间不低于60分钟。
在上述方案的基础上,所述异常监测模块还包括服务异常监测单元,服务异常监测单元用于检测到异常服务开启时,生成报警消息,具体包括以下步骤:判断ADB服务或Telnet服务是否存在,存在则生成相应的报警消息上报。
在上述方案的基础上,所述终端安全模块还用于:收到存在ADB服务或Telnet服务的报警消息时,通过管理平台远程下发命令,关闭ADB服务或Telnet服务。
与现有技术相比,本发明的优点在于:
本发明通过在设定时间内,检测到异常报文超过设定数量、存在异常服务或存在分区异常时,生成报警消息,将生成的报警消息上传到管理平台,实时监测各种系统安全隐患并及时上报处理,避免这些安全隐患引发系统异常现象,适用于Android机顶盒、融合终端等Android系统的终端设备。
附图说明
图1为本发明实施例的Android系统终端设备的安全监测处理方法的报文发包异常监测的流程示意图;
图2为本发明实施例的Android系统终端设备的安全监测处理方法的分区异常监测的流程示意图;
图3为本发明实施例的Android系统终端设备的安全监测处理系统的结构示意图。
具体实施方式
术语说明:
ARP:(Address Resolution Protocol,地址解析协议),是根据IP地址获取物理地址的一个TCP/IP协议。
MAC地址:(MediaAccess ControlAddress,媒体访问控制地址),也称为局域网地址(LANAddress)。
DNS:(DomainName System,域名系统),是互联网的一项服务。
ADB:(Android Debug Bridge,Android的命令行调试工具)。
Telnet:Telnet协议是TCP/IP协议族中的一员,是Internet远程登陆服务的标准协议和主要方式。
system分区和data分区:system分区为系统文件分区,data分区为数据文件分区。
以下结合附图对本发明的实施例作进一步详细说明。
本发明实施例提供一种Android系统终端设备的安全监测处理方法,包括以下步骤:
周期性对系统监控,检测到设定类型报文的每秒发包数量超过预设的阈值、分区空间异常或异常服务开启时,生成报警消息。
作为优选的实施方式,生成报警消息后,将所述报警消息在Android系统终端设备弹框提示、在系统信息中显示或上报至管理平台。
优选的,参见图1所示,在设定时间内,检测到设定类型报文超过设定数量时,生成报警消息具体包括以下步骤:
S1、判断收到报文是否符合设定类型报文的特征值,若是,转S2;若否,转S6;
S2、判断该报文的计数器是否为0,若是,转S3;若否,转S4;
S3、将该报文的计数器加1,将当前系统时间记录为该报文的起始发包时间,转S6;
S4、该报文的计数器加1,转S5;
S5、判断该报文的计数器的个数是否大于等于设定的阈值,若是转S7,若否,转S6,
S6,后续流程按原生协议栈转发;
S7,判断当前系统时间与该报文的起始发包时间差是否在1秒内,若否,转S8,若是,转S9;
S8、该报文的计数器清0,报警通知标记重置为0,转S6;
S9、判断报警通知标记是否为0,若是,转S10,若否,转S11;
S10、将报警通知标记置为1,向用户通知告警,转S11;
S11、按原生协议栈转发报文或丢弃报文。
其中,设定类型报文包括ARP报文和DNS报文:
1、判断ARP报文是否大于20个包/秒,大于则生成ARP包报警消息上报。其特征值为:MAC帧的目的MAC为广播地址,源MAC为终端的MAC地址,协议的类型是0x0806。
2、判断DNS报文是否大于80个包/秒,大于则生成DNS包报警消息上报。其特征值为:MAC帧的目的端口为53。
优选的,检测到异常服务开启时,生成报警消息,具体包括以下步骤:周期性判断ADB服务或Telnet服务是否存在,存在则生成相应的报警消息上报。
1、判断ADB服务是否存在,存在则生成相应包报警消息上报。
判断方法:
每隔60分钟执行ps|grep adbd命令,返回结果包含adbd进程表示adb服务存在。具体代码如下:
root@Hi3798MV300:/#ps|grep adbd
root 1588 1 4588 4ffffffff0018c90S/sbin/adbd
返回结果不包含表示adb服务不存在。具体代码如下:
root@Hi3798MV300:/#ps|grep adbd
1|root@Hi3798MV300:/#
2、判断Telnet服务是否存在,存在则生成相应包报警消息上报
判断方法:
每隔60分钟执行netstat|busybox awk'{print$4}'|grep:::23命令,返回结果不为空表示telnet服务存在。具体代码如下:
root@Hi3798MV300:/#netstat|busybox awk'{print$4}'|grep:::23
:::23
返回结果为空表示telnet服务不存在。具体代码如下:
root@Hi3798MV300:/#netstat|busybox awk'{print$4}'|grep:::23
1|root@Hi3798MV300:/#
优选的,检测到分区空间异常时,生成报警消息,包括以下步骤:周期性判断目标分区的使用率,若目标分区的使用率超过阈值,则生产报警消息上报。
周期性判断目标分区的使用率,若目标分区的使用率超过阈值,则生产报警消息上报,参见图2所示,具体包括以下步骤:
A1、获取目标分区原始大小,转A2;
A2、获取目标分区当前大小,转A3;
A3、判断目标分区使用率:目标分区当前大小/目标分区原始大小是否超过对应的阈值,若是转A4、否转A5;
A4、生成报警消息,转到A5
A5、sleep休眠时间,转到A2。
目标分区包括system分区和data分区:
1、判断system分区使用率是否超过85%,是则生成相应包报警消息上报。
判断方法:
执行df|grep/system|busybox awk'{print$2}'命令获取system分区大小值A,具体代码如下:
root@Hi3798MV300:/#df|grep/system|busybox awk'{print$2}'
991.9M
System分区原始大小获取一次就可以了,后续不用再取。
每隔60分钟执行df|grep/system|busybox awk'{print$3}'命令获取system已使用大小值B,具体代码如下:
root@Hi3798MV300:/#df|grep/system|busybox awk'{print$3}'
465.2M
用B/A获得system分区使用率。如果使用率超过85%,生成相应包报警消息上报。
2、判断data分区使用率是否超过85%,是则生成相应包报警消息上报。
判断方法:
每隔60分钟执行df|grep/data|busybox awk'{print$2}'命令获取data分区大小值A。执行df|grep/data|busybox awk'{print$3}'命令获取data已使用大小值B。用B/A获得data分区使用率。如果使用率超过85%,生成相应包报警消息上报。
进一步的,所述方法还包括以下步骤:
用户收到存在ADB服务或Telnet服务的报警消息时,通过管理平台远程下发命令,关闭ADB服务或Telnet服务。
1、关闭ADB服务的具体步骤:
收到ADB报警后,关闭ADB服务分两个步骤:
A、第一次报警,平台下发执行:iptables-AINPUT-p tcp--dport5555-j DROP
该命令重启失效。
B、如果继续受到报警,平台下发命令,先执行A步骤,再把上述A步骤命令加入到开机脚本,每次开机执行。
iptables-AINPUT-p tcp--dport 5555-j DROP
mount-o remount,rw/system
echo"\n">>init.bigfish.sh
echo"iptables-A INPUT-p tcp--dport 5555-j DROP">>init.bigfish.sh
当然关闭ADB服务也可以直接执行步骤B。
2、关闭Telnet服务的具体步骤:
收到Telnet报警后,关闭Telnet服务分两个步骤:
A、第一次报警,平台下发执行:iptables-AINPUT-p tcp--dport23-j DROP
该命令重启失效。
B、如果继续受到报警,平台下发命令,先执行A步骤,再把上述A步骤命令加入到开机脚本,每次开机执行:
iptables-AINPUT-p tcp--dport 23-j DROP
mount-o remount,rw/system
echo"\n">>init.bigfish.sh
echo"iptables-A INPUT-p tcp--dport 23-j DROP">>init.bigfish.sh
当然关闭Telnet服务也可以直接执行步骤B。
本发明实施例还提供一种Android系统终端设备的安全监测处理系统,参见图3所示,该系统包括异常监测模块和终端安全模块:
异常监测模块,其用于:周期性对系统监控,检测到设定类型报文的每秒发包数量超过预设的阈值、分区空间异常或异常服务开启时,生成报警消息,发送报警消息至终端安全模块;
终端安全模块,其用于:收到报警消息后,将所述报警消息在Android系统终端设备弹框提示、在系统信息中显示或上报至管理平台。
其中,异常监测模块包括报文发包异常监测单元,用于:检测到设定类型报文的每秒发包数量超过预设的阈值时,生成报警消息,具体步骤包括:
S1、判断收到报文是否符合设定类型报文的特征值,若是,转S2;若否,转S6;
S2、判断该报文的计数器是否为0,若是,转S3;若否,转S4;
S3、将该报文的计数器加1,将当前系统时间记录为该报文的起始发包时间,转S6;
S4、该报文的计数器加1,转S5;
S5、判断该报文的计数器的个数是否大于等于设定的阈值,若是转S7,若否,转S6,
S6,后续流程按原生协议栈转发;
S7,判断当前系统时间与该报文的起始发包时间差是否在1秒内,若否,转S8,若是,转S9;
S8、该报文的计数器清0,报警通知标记重置为0,转S6;
S9、判断报警通知标记是否为0,若是,转S10,若否,转S11;
S10、将报警通知标记置为1,向用户通知告警,转S11;
S11、按原生协议栈转发报文或丢弃报文。
所述设定类型报文为ARP报文时,其特征值为:MAC帧的目的MAC为广播地址、源MAC为终端的MAC地址、且链路层协议的类型为0x0806;该报文的设定的阈值不低于20个。所述设定类型报文为DNS报文时,其特征值为:MAC帧的目的端口是为53;该报文的设定的阈值不低于80个。
异常监测模块还包括分区异常监测单元,用于:检测到分区空间异常时,生成报警消息,具体包括以下步骤:周期性判断目标分区的使用率,若目标分区的使用率超过阈值,则生产报警消息上报。
异常监测模块周期性判断目标分区的使用率,若目标分区的使用率超过阈值,则生产报警消息上报,具体包括以下步骤:
A1、获取目标分区原始大小,转A2;
A2、获取目标分区当前大小,转A3;
A3、判断目标分区使用率:目标分区当前大小/目标分区原始大小是否超过对应的阈值,若是转A4、否转A5;
A4、生成报警消息,转到A5
A5、sleep休眠时间,转到A2。
其中,所述目标分区包括system分区和data分区;所述阈值不低于为85%;所述休眠时间不低于60分钟。
异常监测模块还包括服务异常监测单元,用于:检测到异常服务开启时,生成报警消息,具体包括以下步骤:判断ADB服务或Telnet服务是否存在,存在则生成相应的报警消息上报。
进一步的,所述所述终端安全模块还用于:收到存在ADB服务或Telnet服务的报警消息时,通过管理平台远程下发命令,关闭ADB服务或Telnet服务。
基于同一发明构思,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现Andro id系统终端设备的安全监测处理方法的所有方法步骤或部分方法步骤。
本发明实现上述Android系统终端设备的安全监测处理方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,计算机程序包括计算机程序代码,计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括:能够携带计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Me mory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
基于同一发明构思,本申请实施例还提供一种电子设备,包括存储器和处理器,存储器上储存有在处理器上运行的计算机程序,处理器执行计算机程序时实现Android系统终端设备的安全监测处理方法中的所有方法步骤或部分方法步骤。
所称处理器可以是中央处理单元(Central Processing Unit,CP U),还可以是其他通用处理器、数字信号处理器(Digital Signal Proc essor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,处理器是计算机装置的控制中心,利用各种接口和线路连接整个计算机装置的各个部分。
存储器可用于存储计算机程序和/或模块,处理器通过运行或执行存储在存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现计算机装置的各种功能。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、视频数据等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、服务器或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、服务器和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (19)
1.一种Android系统终端设备的安全监测处理方法,其特征在于,包括以下步骤:
周期性对系统监控,检测到设定类型报文的每秒发包数量超过预设的阈值、分区空间异常或异常服务开启时,生成报警消息。
2.如权利要求1所述的Android系统终端设备的安全监测处理方法,其特征在于,所述方法还包括以下步骤:生成报警消息后,将所述报警消息在Android系统终端设备弹框提示、在系统信息中显示或上报至管理平台。
3.如权利要求1所述的Android系统终端设备的安全监测处理方法,其特征在于,检测到设定类型报文的每秒发包数量超过预设的阈值时,生成报警消息,具体步骤包括:
S1、判断收到报文是否符合设定类型报文的特征值,若是,转S2;若否,转S6;
S2、判断该报文的计数器是否为0,若是,转S3;若否,转S4;
S3、将该报文的计数器加1,将当前系统时间记录为该报文的起始发包时间,转S6;
S4、该报文的计数器加1,转S5;
S5、判断该报文的计数器的个数是否大于等于设定的阈值,若是转S7,若否,转S6,
S6,后续流程按原生协议栈转发;
S7,判断当前系统时间与该报文的起始发包时间差是否在1秒内,若否,转S8,若是,转S9;
S8、该报文的计数器清0,报警通知标记重置为0,转S6;
S9、判断报警通知标记是否为0,若是,转S10,若否,转S11;
S10、将报警通知标记置为1,向用户通知告警,转S11;
S11、按原生协议栈转发报文或丢弃报文。
4.如权利要求3所述的Android系统终端设备的安全监测处理方法,其特征在于,所述设定类型报文为ARP报文时,其特征值为:MAC帧的目的MAC为广播地址、源MAC为终端的MAC地址、且链路层协议的类型为0x0806。
5.如权利要求4所述的Android系统终端设备的安全监测处理方法,其特征在于,所述设定类型报文为ARP报文时,该报文的设定的阈值不低于20个。
6.如权利要求3所述的Android系统终端设备的安全监测处理方法,其特征在于,所述设定类型报文为DNS报文时,其特征值为:MAC帧的目的端口是为53。
7.如权利要求6所述的Android系统终端设备的安全监测处理方法,其特征在于,所述设定类型报文为DNS报文时,该报文的设定的阈值不低于80个。
8.如权利要求1所述的Android系统终端设备的安全监测处理方法,其特征在于,检测到分区空间异常时,生成报警消息,具体包括以下步骤:周期性判断目标分区的使用率,若目标分区的使用率超过阈值,则生产报警消息上报。
9.如权利要求8所述的Android系统终端设备的安全监测处理方法,其特征在于:周期性判断目标分区的使用率,若目标分区的使用率超过阈值,则生产报警消息上报,具体包括以下步骤:
A1、获取目标分区原始大小,转A2;
A2、获取目标分区当前大小,转A3;
A3、判断目标分区使用率:目标分区当前大小/目标分区原始大小是否超过对应的阈值,若是转A4、否转A5;
A4、生成报警消息,转到A5;
A5、sleep休眠时间,转到A2。
10.如权利要求9所述的一种Android系统终端设备的安全监测处理方法,所述目标分区包括system分区和data分区;所述阈值不低于为85%;所述休眠时间不低于60分钟。
11.如权利要求1所述的Android系统终端设备的安全监测处理方法,其特征在于,检测到异常服务开启时,生成报警消息,具体包括以下步骤:判断ADB服务或Telnet服务是否存在,存在则生成相应的报警消息上报。
12.如权利要求1或2所述的Android系统终端设备的安全监测处理方法,其特征在于:所述方法还包括以下步骤:
用户收到存在ADB服务或Telnet服务的报警消息时,通过管理平台远程下发命令,关闭ADB服务或Telnet服务。
13.一种Android系统终端设备的安全监测处理系统,其特征在于,包括异常监测模块和终端安全模块:
异常监测模块,其用于:周期性对系统监控,检测到设定类型报文的每秒发包数量超过预设的阈值、分区空间异常或异常服务开启时,生成报警消息,发送报警消息至终端安全模块;
终端安全模块,其用于:收到报警消息后,将所述报警消息在Android系统终端设备弹框提示、在系统信息中显示或上报至终端安全管理平台管理平台。
14.如权利要求13所述的Android系统终端设备的安全监测处理系统,其特征在于,所述异常监测模块包括报文发包异常监测单元,所述报文发包异常监测单元用于检测到设定类型报文的每秒发包数量超过预设的阈值时,生成报警消息,具体步骤包括:
S1、判断收到报文是否符合设定类型报文的特征值,若是,转S2;若否,转S6;
S2、判断该报文的计数器是否为0,若是,转S3;若否,转S4;
S3、将该报文的计数器加1,将当前系统时间记录为该报文的起始发包时间,转S6;
S4、该报文的计数器加1,转S5;
S5、判断该报文的计数器的个数是否大于等于设定的阈值,若是转S7,若否,转S6,
S6,后续流程按原生协议栈转发;
S7,判断当前系统时间与该报文的起始发包时间差是否在1秒内,若否,转S8,若是,转S9;
S8、该报文的计数器清0,报警通知标记重置为0,转S6;
S9、判断报警通知标记是否为0,若是,转S10,若否,转S11;
S10、将报警通知标记置为1,向用户通知告警,转S11;
S11、按原生协议栈转发报文或丢弃报文。
15.如权利要求14所述的Android系统终端设备的安全监测处理系统,其特征在于,所述设定类型报文为ARP报文时,其特征值为:MAC帧的目的MAC为广播地址、源MAC为终端的MAC地址、且链路层协议的类型为0x0806;该报文的设定的阈值不低于20个;所述设定类型报文为DNS报文时,其特征值为:MAC帧的目的端口是为53;该报文的设定的阈值不低于80个。
16.如权利要求14所述的Android系统终端设备的安全监测处理系统,其特征在于,所述异常监测模块还包括分区异常监测单元,分区异常监测单元用于检测到分区空间异常时,生成报警消息,具体包括以下步骤:周期性判断目标分区的使用率,若目标分区的使用率超过阈值,则生产报警消息上报。
17.如权利要求16所述的一种Android系统终端设备的安全监测处理系统,所述目标分区包括system分区和data分区;所述阈值不低于为85%;所述休眠时间不低于60分钟。
18.如权利要求16所述的Android系统终端设备的安全监测处理系统,其特征在于,所述异常监测模块还包括服务异常监测单元,服务异常监测单元用于检测到异常服务开启时,生成报警消息,具体包括以下步骤:判断ADB服务或Telnet服务是否存在,存在则生成相应的报警消息上报。
19.如权利要求13所述的Android系统终端设备的安全监测处理系统,其特征在于:所述终端安全模块还用于:收到存在ADB服务或Telnet服务的报警消息时,通过管理平台远程下发命令,关闭ADB服务或Telnet服务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910497360.XA CN110347550A (zh) | 2019-06-10 | 2019-06-10 | Android系统终端设备的安全监测处理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910497360.XA CN110347550A (zh) | 2019-06-10 | 2019-06-10 | Android系统终端设备的安全监测处理方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110347550A true CN110347550A (zh) | 2019-10-18 |
Family
ID=68181638
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910497360.XA Pending CN110347550A (zh) | 2019-06-10 | 2019-06-10 | Android系统终端设备的安全监测处理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110347550A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111918233A (zh) * | 2020-07-03 | 2020-11-10 | 西北工业大学 | 一种适用于无线航空网络的异常检测方法 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483515A (zh) * | 2009-02-26 | 2009-07-15 | 杭州华三通信技术有限公司 | Dhcp攻击防护方法和客户端设备 |
| CN103488575A (zh) * | 2013-08-12 | 2014-01-01 | 记忆科技(深圳)有限公司 | 动态调整固态硬盘预留空间的方法及其固态硬盘 |
| CN106406768A (zh) * | 2016-09-28 | 2017-02-15 | 努比亚技术有限公司 | 安卓系统用户数据分区调整方法及装置 |
| CN106603335A (zh) * | 2016-12-15 | 2017-04-26 | 上海斐讯数据通信技术有限公司 | 私有软件流量监控方法和设备 |
| CN106802854A (zh) * | 2017-02-22 | 2017-06-06 | 郑州云海信息技术有限公司 | 一种多控制器系统的故障监控系统 |
| CN107943270A (zh) * | 2017-11-21 | 2018-04-20 | 广东欧珀移动通信有限公司 | 应用服务的控制方法、装置及存储介质和移动终端 |
| CN107948157A (zh) * | 2017-11-24 | 2018-04-20 | 锐捷网络股份有限公司 | 一种报文处理方法及装置 |
| CN108121783A (zh) * | 2017-12-19 | 2018-06-05 | 深圳创维数字技术有限公司 | 一种存储数据的自动清理方法、装置、计算机和存储介质 |
| CN109413642A (zh) * | 2018-11-22 | 2019-03-01 | 中邮科通信技术股份有限公司 | 终端安全检测与监测体系化方法 |
| CN109787916A (zh) * | 2019-01-31 | 2019-05-21 | 南京国电南自电网自动化有限公司 | 一种流量控制方法及系统 |
| CN109842587A (zh) * | 2017-11-27 | 2019-06-04 | 北京京东尚科信息技术有限公司 | 监测系统安全的方法和装置 |
-
2019
- 2019-06-10 CN CN201910497360.XA patent/CN110347550A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483515A (zh) * | 2009-02-26 | 2009-07-15 | 杭州华三通信技术有限公司 | Dhcp攻击防护方法和客户端设备 |
| CN103488575A (zh) * | 2013-08-12 | 2014-01-01 | 记忆科技(深圳)有限公司 | 动态调整固态硬盘预留空间的方法及其固态硬盘 |
| CN106406768A (zh) * | 2016-09-28 | 2017-02-15 | 努比亚技术有限公司 | 安卓系统用户数据分区调整方法及装置 |
| CN106603335A (zh) * | 2016-12-15 | 2017-04-26 | 上海斐讯数据通信技术有限公司 | 私有软件流量监控方法和设备 |
| CN106802854A (zh) * | 2017-02-22 | 2017-06-06 | 郑州云海信息技术有限公司 | 一种多控制器系统的故障监控系统 |
| CN107943270A (zh) * | 2017-11-21 | 2018-04-20 | 广东欧珀移动通信有限公司 | 应用服务的控制方法、装置及存储介质和移动终端 |
| CN107948157A (zh) * | 2017-11-24 | 2018-04-20 | 锐捷网络股份有限公司 | 一种报文处理方法及装置 |
| CN109842587A (zh) * | 2017-11-27 | 2019-06-04 | 北京京东尚科信息技术有限公司 | 监测系统安全的方法和装置 |
| CN108121783A (zh) * | 2017-12-19 | 2018-06-05 | 深圳创维数字技术有限公司 | 一种存储数据的自动清理方法、装置、计算机和存储介质 |
| CN109413642A (zh) * | 2018-11-22 | 2019-03-01 | 中邮科通信技术股份有限公司 | 终端安全检测与监测体系化方法 |
| CN109787916A (zh) * | 2019-01-31 | 2019-05-21 | 南京国电南自电网自动化有限公司 | 一种流量控制方法及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111918233A (zh) * | 2020-07-03 | 2020-11-10 | 西北工业大学 | 一种适用于无线航空网络的异常检测方法 |
| CN111918233B (zh) * | 2020-07-03 | 2022-09-27 | 西北工业大学 | 一种适用于无线航空网络的异常检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9853862B2 (en) | Automatic configuration of a replacement camera | |
| US8798051B2 (en) | Information and communication processing system, method, and network node | |
| CN109391613A (zh) | 一种基于scd解析的智能变电站安全审计方法 | |
| CN100551050C (zh) | 基于串口的嵌入式智能视频处理设备的视频监控系统 | |
| CN107566163A (zh) | 一种用户行为分析关联的告警方法及装置 | |
| CN109361594A (zh) | 多功能杆的网关系统及多功能杆 | |
| CN116155694B (zh) | 物联设备的管理方法、设备和可读存储介质 | |
| CN106851226B (zh) | 基于用户行为识别的摄像头自动调整的监控方法及系统 | |
| CN110726233B (zh) | 空调控制方法、装置、存储介质以及存储器 | |
| CN104778042A (zh) | 一种基于事件流处理和插件式开发框架的流数据处理方法 | |
| CN101572609A (zh) | 检测拒绝服务攻击的方法及其装置 | |
| CN105099762B (zh) | 一种系统运维功能的自检方法及自检系统 | |
| TW201800959A (zh) | 用於物聯網的智能設備控制方法、裝置和設備 | |
| CN110347550A (zh) | Android系统终端设备的安全监测处理方法及系统 | |
| CN107328164A (zh) | 物品存储期限的监控方法、装置、电子设备和存储介质 | |
| CN109962827A (zh) | 设备链路检测方法、装置、设备及可读存储介质 | |
| CN206656471U (zh) | 空调以及基于空调的监控系统 | |
| CN109510803A (zh) | 一种调整防火墙防护策略的方法及设备 | |
| US20230171264A1 (en) | Method, Apparatus, System, Device, and Storage Medium for Implementing Terminal Verification | |
| CN106851224A (zh) | 智能型基于用户行为识别的视频监控方法及系统 | |
| CN111031000A (zh) | 一种业务风控系统的处理方法、装置、系统及存储介质 | |
| CN107517236B (zh) | 一种用于物联网的事件处理方法、装置和设备 | |
| CN110768934A (zh) | 网络访问规则的检查方法和装置 | |
| CN110047236B (zh) | 一种高风险等级区域安全管理方法及系统 | |
| CN115914010A (zh) | 网络监测方法、装置及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191018 |