CN110941825A - 一种应用监控方法及装置 - Google Patents
一种应用监控方法及装置 Download PDFInfo
- Publication number
- CN110941825A CN110941825A CN201911285295.0A CN201911285295A CN110941825A CN 110941825 A CN110941825 A CN 110941825A CN 201911285295 A CN201911285295 A CN 201911285295A CN 110941825 A CN110941825 A CN 110941825A
- Authority
- CN
- China
- Prior art keywords
- target application
- trusted
- application
- content
- standard
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
Abstract
本说明书公开了一种应用监控方法及装置,针对任一需要保持运行状态的待监控的目标应用,在可信执行环境中执行以下操作:获取目标设备当前运行的应用进程列表;从预设的可信存储区域中,获取该目标应用的标准进程名称;判断所获取的应用进程列表中,是否包含该目标应用的标准进程名称;在判断结果为否的情况下,确定该目标应用异常。利用本方案可以通过监控目标应用是否异常,防止目标应用无法执行对应的操作,也可以防止目标应用中的私有数据被篡改。
Description
技术领域
本说明书实施例涉及网络安全技术领域,尤其涉及一种应用监控方法及装置。
背景技术
目前,在设备上存在一些需要在设备运行时保持运行状态的应用。例如,为了保护数据安全,设备上存在用于执行安全操作的安全应用,例如查杀病毒或监控上网行为的应用,这些安全应用对应的进程需要在设备运行时保持运行状态,以便于监测设备状态和实时反馈信息。
然而,攻击者可能通过某些漏洞,停止需要保持运行状态的应用对应的进程,以使该应用无法执行对应的操作。
发明内容
为了防止需要保持运行状态的应用无法执行对应的操作,本说明书公开了一种应用监控方法及装置。技术方案如下:
一种应用监控方法,针对任一需要保持运行状态的待监控的目标应用,在可信执行环境中执行以下操作:
获取目标设备当前运行的应用进程列表;以及
从预设的可信存储区域中,获取该目标应用的标准进程名称;
判断所获取的应用进程列表中,是否包含该目标应用的标准进程名称;
在判断结果为否的情况下,确定所述目标应用异常。
一种应用监控装置,所述装置包括的每个功能单元都用于针对任一需要保持运行状态的待监控的目标应用,在可信执行环境中执行操作:
所述装置包括:
获取单元,用于获取目标设备当前运行的应用进程列表;以及
从预设的可信存储区域中,获取该目标应用的标准进程名称;
判断单元,用于判断所获取的应用进程列表中,是否包含该目标应用的标准进程名称,在判断结果为否的情况下,确定所述目标应用异常;
其中,每个需要保持运行状态的待监控应用的标准进程名称预先存储于所述预设的可信存储区域中。
上述方案通过在设备的可信执行环境中监控该设备上全部进程列表中是否包含每个待监控的应用对应的进程名,以此判断每个待监控应用对应的进程是否被停止。由于可信执行环境中的内容无法被不可信进程访问或篡改,攻击者无法入侵可信执行环境,因此通过本方案可以准确判断每个待监控应用对应的进程是否被停止。利用本方案,当攻击者停止需要保持运行状态的应用对应的进程时,能够直接发现该进程停止,从而采取相应的措施防止该应用无法执行对应的操作。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本说明书实施例提供的一种包括可信执行环境的设备的结构示意图;
图2是本说明书实施例提供的一种应用监控方法的流程示意图;
图3是本说明书实施例提供的一种可信存储区域的更新方法的原理示意图;
图4是本说明书实施例提供的另一种应用监控方法的流程示意图;
图5是本说明书实施例提供的另一种应用监控方法的流程示意图;
图6是本说明书实施例提供的一种应用监控方法的原理示意图;
图7是本说明书实施例提供的一种应用监控装置的结构示意图;
图8是本说明书实施例提供的另一种应用监控装置的结构示意图;
图9是本说明书实施例提供的另一种应用监控装置的结构示意图;
图10是用于配置本说明书实施例方法的一种设备的结构示意图。
具体实施方式
目前,在设备上存在一些需要在设备运行时保持运行状态的应用。
例如,为了保护数据安全,尤其是隐私数据,可以在设备上安装安全应用,用于执行安全操作,例如查杀病毒或监控上网行为,防止外部攻击者和内部攻击者对数据进行攻击。这些安全应用对应的进程需要在设备运行时保持运行状态,以便于监测设备状态和实时反馈信息,从而保护设备上的数据。
然而,攻击者可能通过某些漏洞,停止需要保持运行状态的应用对应的进程,以使该应用无法执行对应的操作。
例如,外部攻击者通过木马程序对用于查杀病毒的安全应用进程进行攻击,停止该安全应用进程,从而使得该设备无法查杀病毒,设备上的数据可能被攻击;或者内部攻击者通过攻击权限设置的程序,将用于监控上网行为的安全应用进程强行停止,从而使得该设备的上网行为不受监控,设备上的数据可能被攻击。
根据本说明书提供的技术方案,为了防止上述情况的发生,可以利用监控程序监视设备上每个需要保持运行状态的应用的进程,实时或周期性查看该进程是否被停止。但监控程序也可能被攻击者攻击,进行修改或停止对应的进程,从而使得监控程序无法执行监控操作。
为解决以上技术问题,可以利用可信执行环境保护设备不被攻击者攻击。
首先对可信执行环境(TEE,Trusted Execution Environment)相关技术进行介绍:可信执行环境可以保证加载到该环境内部的代码和数据的安全性、机密性以及完整性。可信执行环境提供一个隔离的执行环境,提供的安全特征包含:隔离执行、可信应用的完整性、可信数据的机密性、安全存储等。总体来说,可信执行环境可以提供比操作系统更高级别的安全性。可信执行环境目前的应用场景已经不仅限于移动领域。常见可信执行环境实现方案包括AMD的PSP(Platform Security Processor)、ARM的TrustZone、Intel的SGX(Software Guard Extensions)等等。
具体而言,对于配置了可信执行环境的设备,可信执行环境中的内容可以包含代码和数据,可信执行环境能够在硬件层面防止不可信进程访问或修改可信执行环境中的内容,因此大大减少了可能被不可信进程突破的漏洞,即攻击者难以访问或修改可信执行环境中的内容。可信执行环境中的代码还可以在可信执行环境下运行,可以访问其他数据并进行计算,得到计算结果,从而保证安全区域内的代码可以安全执行,不被攻击。
根据可信执行环境的特性,可以直接将设备上需要保护的数据放在可信执行环境中,或者可以直接将设备上的需要保持运行状态的应用放在可信执行环境中运行,保证不会被攻击者随意篡改和访问。但由于可信执行环境的内存较小,不能将设备上所有的数据或较多应用放入可信执行环境。
根据上述情况,本说明书提供的技术方案是:可以将监控程序放在可信执行环境中进行,从而保证监控程序不会被攻击者篡改和访问,监控程序对应的进程也不会被攻击者停止,因此在可信执行环境中执行的监控程序得到的监视结果一定是正确的,可以在受保护的环境下执行监控操作。可以看出,上述方案的实质是基于可信执行环境的特性,使可信执行环境中的监控程序不被篡改,且监控程序对应的进程不被停止,从而使得监控程序的结果是可信的。
当攻击者停止需要保持运行状态的应用对应的进程时,可信执行环境中正在执行的监控程序能够直接发现该进程停止,从而采取相应的措施防止该应用无法执行对应的操作。
为了使本领域技术人员更好地理解本说明书实施例中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行详细地描述,显然,所描述的实施例仅仅是本说明书的一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于保护的范围。
如图1所示,为本说明书实施例提供的一种包括可信执行环境的设备的结构示意图。为便于区分,后续将该设备称为目标设备,目标设备上可以包含有可信执行环境和至少一个应用。
在应用中存在一些应用需要在设备运行时保持运行状态,即进程位于进程列表中,例如安全应用,将需要保持运行状态的每个应用确定为待监控的目标应用。为了防止目标应用停止运行,可信执行环境中可以运行用于执行监控操作的程序,该程序可以对比设备上当前正在运行的应用进程列表和目标应用的标准进程名称,进程列表中包含了设备上每个正在运行的应用对应的进程名称。若进程列表中没有标准进程名称,则认为对应的目标应用进程停止,目标应用没有保持运行状态。
其中,标准进程名称可以是应用运行时创建的进程对应的准确名称;一个应用运行时可以创建多个进程,即每个目标应用可以对应至少一个进程,可以对应至少一个标准进程名称。
由于攻击者可能并不停止进程,而是篡改目标应用的私有数据,即目标应用的内容,例如篡改目标应用的代码。因此为了防止攻击者篡改目标应用内容,可信执行环境中的程序还可以对比正在运行的应用的当前内容特征和标准内容特征,若当前内容特征与标准内容特征不同,则对应的应用内容被篡改。
其中,标准内容特征是指目标应用未被篡改的准确内容对应的特征;内容特征是根据预设的特征提取算法,提取内容对应的特征得到的。这里的“特征”泛指能够唯一标识“内容”的一种信息,可以通过对“内容”使用预设的特征提取算法(例如摘要算法等)得到。即内容特征唯一对应于内容。
根据本说明书提供的方案,可以配置可信存储区域,该区域可以用于存储每个目标应用的标准进程名称,还可以用于存储每个目标应用的标准内容特征。可信存储区域被设备信任。可信存储区域可以位于可信执行环境内部,也可以是目标应用所在设备之外的可信存储设备。
根据本说明书的方案,还可以进一步配置可信验证设备,用于验证每个目标应用的当前内容特征与标准内容特征是否一致,即验证每个目标应用的内容是否被篡改。其中,可信验证设备被目标应用所在的设备信任,且至少存储有每个目标应用的标准内容特征。其中,可信存储设备与可信验证设备可以是相同的物理设备,也可以是不同的物理设备。
如图2所示,为本说明书实施例提供的一种应用监控方法的流程示意图。所述方法可以针对设备上任一需要保持运行状态的待监控的目标应用,在可信执行环境中执行操作。其中,所述方法可以由运行在可信执行环境中的程序执行。所述方法可以包含以下步骤:
S101:获取目标设备当前运行的应用进程列表。
运行在可信执行环境中的程序可以获取所在设备当前运行的应用进程列表,其中包含了设备上每个正在运行的应用对应的进程名称。
S102:从预设的可信存储区域中,获取该目标应用的标准进程名称。
可以针对设备上任一需要保持运行状态的待监控的目标应用,从预设的可信存储区域中获取该目标应用的标准进程名称,其中预设的可信存储区域可以存储有每个需要保持运行状态的目标应用的标准进程名称。
其中,预设的可信存储区域可以是所述目标设备之外的可信存储设备,也可以是所述可信执行环境。即每个需要保持运行状态的目标应用的标准进程名称可以存储当前设备的可信执行环境中,也可以存储在当前设备之外的可信存储设备中,所述可信存储设备可以是被当前设备信任的存储设备,例如服务器或被其他计算设备。
当预设的可信存储区域是所述目标设备之外的可信存储设备时,运行在可信执行环境中的程序可以接收可信存储设备发送的需要保持运行状态的目标应用的标准进程名称。
当预设的可信存储区域是所述可信执行环境时,运行在可信执行环境中的程序可以直接从该环境中获取需要保持运行状态的目标应用的标准进程名称。
对于应用而言,可能存在版本升级更新的情况,在更新之后应用对应的标准进程名称可能发生变化,因此预设的可信存储区域需要对存储的标准进程名称进行更新。
预设的可信存储区域在监测到需要保持运行状态的目标应用更新后,接收更新后的目标应用的新标准进程名称,将其中原本存储目标应用的标准进程名称替换成接收到的新标准进程名称。其中新标准进程名称可以是发起应用更新的设备发送到预设的可信存储区域的,也可以是存储有新标准进程名称的存储设备发送到预设的可信存储区域的。
当预设的可信存储区域是所述可信执行环境时,如图3所示,为本实施例提供的一种可信存储区域的更新方法的原理示意图,当目标应用更新后,运行在可信执行环境中的程序可以接收更新后的目标应用的新标准进程名称,将可信执行环境中原本存储目标应用的标准进程名称替换成接收到的新标准进程名称。其中,可以是可信存储设备将新标准进程名称发送到可信执行环境的,所述可信存储设备存储有每个需要保持运行状态的目标应用的最新版本的标准进程名称。
S103:判断所获取的应用进程列表中,是否包含该目标应用的标准进程名称,在判断结果为否的情况下,确定该目标应用异常。
运行在可信执行环境中的程序在获取到的应用进程列表中,查找该目标应用的标准进程名称。其中该目标应用的标准进程名称可以不止一个。若能够查找到该目标应用的所有标准进程名称,则确定该目标应用的进程在正常运行,该目标应用正常;若不能查找到该目标应用的任一标准进程名称,则确定该目标应用的至少一个进程没有正常运行,该目标应用异常。
其中,在确定了该目标应用的结果后,可以将结果发送到管理设备,例如管理目标应用所在设备的服务器或其他形式的管理设备,针对该目标应用的结果进行相应的操作。
上述步骤可以通过可信执行环境中运行的程序监视目标应用是否运行,从而确定目标应用是否存在异常。在本说明书提供的另一种实施方式中,还可以通过监视目标应用中的内容是否被篡改,从而确定目标应用是否存在异常。
如图4所示,为本说明书实施例提供的另一种应用监控方法的流程示意图。
S201:获取该目标应用的当前内容,并根据预设的特征提取算法,提取所述当前内容对应的当前特征。
运行在可信执行环境中的程序可以从指定的存储位置获取该目标应用的当前内容,所述内容至少包括该目标应用的运行代码,并根据预设的特征提取算法,提取当前内容对应的当前特征。其中根据预设的特征提取算法提取出的特征与内容唯一对应,预设的特征提取算法可以是哈希算法或摘要算法等。
S202:从预设的可信存储区域中,获取该目标应用的标准内容特征。
其中,预设的可信存储区域可以存储有每个需要保持运行状态的目标应用的标准内容特征。其中,提取标准内容特征使用的预设的特征提取算法与提取当前特征的算法一致。
预设的可信存储区域的相关情况在S101中已经解释过了,此处不再赘述。
当预设的可信存储区域是所述目标设备之外的可信存储设备时,运行在可信执行环境中的程序可以接收可信存储设备发送的需要保持运行状态的目标应用的标准内容特征。
当预设的可信存储区域是所述可信执行环境时,运行在可信执行环境中的程序可以直接从该环境中获取需要保持运行状态的目标应用的标准内容特征。
对于应用而言,可能存在版本升级更新的情况,在更新之后应用对应的标准内容特征可能发生变化,因此预设的可信存储区域需要对存储的标准内容特征进行更新。
预设的可信存储区域在监测到需要保持运行状态的目标应用更新后,接收更新后的目标应用的新标准内容特征,将其中原本存储目标应用的标准内容特征替换成接收到的新标准内容特征。其中新标准内容特征可以是发起应用更新的设备发送到预设的可信存储区域的,也可以是存储有新标准内容特征的存储设备发送到预设的可信存储区域的。
当预设的可信存储区域是所述可信执行环境时,当目标应用更新后,运行在可信执行环境中的程序可以接收更新后的目标应用的新标准内容特征,将可信执行环境中原本存储目标应用的标准内容特征替换成接收到的新标准内容特征。其中,可以是可信存储设备将新标准内容特征发送到可信执行环境的,所述可信存储设备存储有每个需要保持运行状态的目标应用的最新版本的标准内容特征。
S203:判断提取得到的当前特征与该目标应用的标准内容特征是否一致,在判断结果为否的情况下,确定该目标应用异常。
将提取得到的当前特征与该目标应用的标准内容特征进行比对,判断是否一致。若一致,则说明该目标应用的当前内容与未被篡改的准确内容一致,即该目标应用没有被篡改,该目标应用正常;若不一致,则该目标应用被篡改,该目标应用异常。
具体而言,可以将判断结果发送到管理设备,例如管理目标应用所在设备的服务器或计算机,以使管理设备根据判断结果进行相应的操作。
在本说明书提供的另一种实施方式中,还可以配置一个目标应用所在的设备以外的可信验证设备,例如服务器,用于验证每个目标应用的当前内容特征与标准内容特征是否一致,通过可信验证设备验证目标应用中的内容是否被篡改,从而确定目标应用是否存在异常。其中可信验证设备预先存储有每个需要保持运行状态的待监控的目标应用的标准内容特征,标准内容特征的更新在S202中已经描述过。
如图5所示,为本说明书实施例提供的另一种应用监控方法的流程示意图。
S301:获取该目标应用的当前内容,并根据预设的特征提取算法,提取所述当前内容对应的当前特征。
该步骤与S201相同,此处不再赘述。
S302:将提取得到的当前特征发送到可信验证设备。
将提取到的当前特征发送到可信验证设备后,所述可信验证设备判断提取得到的当前特征与该目标应用的标准内容特征是否一致,在判断结果为否的情况下,确定该目标应用异常。
如图6所示,为本实施例提供的一种应用监控方法的原理示意图。其中目标应用所在的设备利用可信验证设备帮助对目标应用的内容是否被篡改进行监控。
通过步骤S201至S203,或者步骤S301至S302,均可以通过运行在可信执行环境下的程序对需要保持运行状态的应用内容进行监控,防止被攻击者篡改目标应用的内容。
以上提供了3种对目标应用进行监控的技术方案,其中S101至S103是通过对比进程名称来确定是否存在异常目标应用。S201至S203及S301至S302是通过对比应用的内容特征来确定是否存在异常目标应用。上述3种方案可以分别独立执行,也可以结合执行。例如,先通过对比进程名称来确定是否存在异常目标应用,再通过对比应用的内容特征来确定是否存在异常目标应用,也就是说,被篡改内容但仍保持运行状态的目标应用被监控时,即使经过S101至S103无法确定该目标应用异常,通过S201至S203可以确定该目标应用异常。
上述实施例通过在设备的可信执行环境中监控该设备上全部进程列表中是否包含每个待监控的目标应用对应的进程名,以此判断每个待监控的目标应用对应的进程是否被停止;还通过监控每个待监控的目标应用对应的内容是否与未被篡改的准确内容一致,判断每个待监控的目标应用对应的内容是否被篡改。
由于可信执行环境中的内容无法被不可信进程访问或篡改,攻击者无法入侵可信执行环境对其中运行的程序进行篡改或停止进程,因此程序运行得到的结果一定是可信的。从而可以通过本说明书提供的技术方案准确判断每个待监控目标应用对应的进程是否被停止,或者每个目标应用的内容是否被篡改,即每个目标应用的私有数据是否被篡改。
利用本说明书提供的技术方案,可以在攻击者停止需要保持运行状态的应用的进程时,直接发现该进程被停止,从而采取相应的措施防止该应用无法执行对应的操作;也可以在攻击者篡改需要正确运行的目标应用的内容时,直接发现该内容被篡改,从而采取相应的措施防止该应用的内容被篡改,即防止该应用的私有数据被篡改。
本说明书还提供了一种装置实施例,如图7所示,为本说明书实施例提供的一种应用监控装置的结构示意图。所述装置用于针对任一需要保持运行状态的待监控的目标应用,在可信执行环境中执行操作。所述装置包括:
进程列表获取单元401,用于获取目标设备当前运行的应用进程列表;
标准进程名称获取单元402,用于从预设的可信存储区域中,获取该目标应用的标准进程名称;
第一异常确定单元403,用于判断所获取的应用进程列表中,是否包含该目标应用的标准进程名称,在判断结果为否的情况下,确定该目标应用异常。
为了监控目标应用中的内容不被篡改,如图8所示,为本说明书实施例提供的另一种应用监控装置的结构示意图,所述装置还包括:
特征提取单元501,用于获取该目标应用的当前内容,所述内容至少包括该目标应用的运行代码;根据预设的特征提取算法,提取所述当前内容对应的当前特征;
标准特征获取单元502,用于从预设的可信存储区域中,获取该目标应用的标准内容特征;
其中,标准特征获取单元可以具体用于:确定该目标应用更新时,接收更新后的目标应用的新标准内容特征,以便于根据所述新标准内容特征更新所述可信存储区域中存储的标准内容特征。
第二异常确定单元503,用于判断提取得到的当前特征与该目标应用的标准内容特征是否一致,在判断结果为否的情况下,确定该目标应用异常。
其中,上述两个装置实施例中的所述预设的可信存储区域具体可以是所述目标设备之外的可信存储设备或所述可信执行环境。
并且,上述两个装置实施例中的标准进程名称获取单元都可以具体用于:确定该目标应用更新时,接收更新后的目标应用的新标准进程名称,以便于根据所述新标准进程名称更新所述可信存储区域中存储的标准进程名称。
为了监控目标应用中的内容不被篡改,本说明书还提供了一种装置实施例,如图9所示,为本实施例提供的另一种应用监控装置的结构示意图,所述装置还包括:
特征提取单元501,用于获取该目标应用的当前内容,所述内容至少包括该目标应用的运行代码;根据预设的特征提取算法,提取所述当前内容对应的当前特征;
特征发送单元504,用于将提取得到的当前特征发送到预设的可信验证设备,以使所述可信验证设备判断提取得到的当前特征与该目标应用的标准内容特征是否一致,在判断结果为否的情况下,确定该目标应用异常。
其中,预设的可信验证设备与该装置通信连接,可以用于验证每个目标应用的当前内容特征与标准内容特征是否一致,即验证每个目标应用的内容是否被篡改。所述可信验证设备中预先存储有待监控应用的标准内容特征。
本说明书实施例还提供一种计算机设备,其至少包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,处理器执行所述程序时实现一种应用监控方法。
图10示出了本说明书实施例所提供的一种更为具体的实现一种应用监控方法,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
本说明书实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现一种应用监控方法。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本说明书实施例可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本说明书实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本说明书实施例各个实施例或者实施例的某些部分所述的方法。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,在实施本说明书实施例方案时可以把各模块的功能在同一个或多个软件和/或硬件中实现。也可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅是本说明书实施例的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本说明书实施例原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本说明书实施例的保护。
Claims (13)
1.一种应用监控方法,针对任一需要保持运行状态的待监控的目标应用,在可信执行环境中执行以下操作:
获取目标设备当前运行的应用进程列表;以及
从预设的可信存储区域中,获取该目标应用的标准进程名称;
判断所获取的应用进程列表中,是否包含该目标应用的标准进程名称;
在判断结果为否的情况下,确定该目标应用异常。
2.根据权利要求1所述的方法,所述方法还包括:
获取该目标应用的当前内容,所述内容至少包括该目标应用的运行代码;根据预设的特征提取算法,提取所述当前内容对应的当前特征;
从预设的可信存储区域中,获取该目标应用的标准内容特征;
判断提取得到的当前特征与该目标应用的标准内容特征是否一致,在判断结果为否的情况下,确定该目标应用异常。
3.根据权利要求1或2所述的方法,所述预设的可信存储区域具体为:
所述目标设备之外的可信存储设备;
或
所述可信执行环境。
4.根据权利要求1所述的方法,配置可信验证设备,所述可信验证设备中预先存储有待监控应用的标准内容特征;
所述方法还包括:
获取该目标应用的当前内容,所述内容至少包括该目标应用的运行代码;根据预设的特征提取算法,提取所述当前内容对应的当前特征;
将提取得到的当前特征发送到所述可信验证设备,以使所述可信验证设备判断提取得到的当前特征与该目标应用的标准内容特征是否一致,在判断结果为否的情况下,确定该目标应用异常。
5.根据权利要求2所述的方法,所述预设的可信存储区域为所述可信执行环境;
所述预设的可信存储区域中存储的标准内容特征,通过以下方式进行更新:
确定该目标应用更新时,接收更新后的目标应用的新标准内容特征,以便于根据所述新标准内容特征更新所述可信存储区域中存储的标准内容特征。
6.根据权利要求3所述的方法,所述预设的可信存储区域为所述可信执行环境;
所述预设的可信存储区域中存储的标准进程名称,通过以下方式进行更新:
确定该目标应用更新时,接收更新后的目标应用的新标准进程名称,以便于根据所述新标准进程名称更新所述可信存储区域中存储的标准进程名称。
7.一种应用监控装置,所述装置用于针对任一需要保持运行状态的待监控的目标应用,在可信执行环境中执行操作:
所述装置包括:
进程列表获取单元,用于获取目标设备当前运行的应用进程列表;
标准进程名称获取单元,用于从预设的可信存储区域中,获取该目标应用的标准进程名称;
第一异常确定单元,用于判断所获取的应用进程列表中,是否包含该目标应用的标准进程名称,在判断结果为否的情况下,确定该目标应用异常。
8.根据权利要求7所述的装置,所述装置还包括:
特征提取单元,用于获取该目标应用的当前内容,所述内容至少包括该目标应用的运行代码;根据预设的特征提取算法,提取所述当前内容对应的当前特征;
标准特征获取单元,用于从预设的可信存储区域中,获取该目标应用的标准内容特征;
第二异常确定单元,用于判断提取得到的当前特征与该目标应用的标准内容特征是否一致,在判断结果为否的情况下,确定该目标应用异常。
9.根据权利要求7或8所述的装置,所述预设的可信存储区域具体为:
所述目标设备之外的可信存储设备;
或
所述可信执行环境。
10.根据权利要求7所述的装置,所述装置还包括:
特征提取单元,用于获取该目标应用的当前内容,所述内容至少包括该目标应用的运行代码;根据预设的特征提取算法,提取所述当前内容对应的当前特征;
特征发送单元,用于将提取得到的当前特征发送到预设的可信验证设备,以使所述可信验证设备判断提取得到的当前特征与该目标应用的标准内容特征是否一致,在判断结果为否的情况下,确定该目标应用异常;
其中,所述预设的可信验证设备与所述装置通信连接,所述可信验证设备中预先存储有待监控应用的标准内容特征。
11.根据权利要求8所述的装置,所述预设的可信存储区域为所述可信执行环境;所述标准特征获取单元具体用于:
确定该目标应用更新时,接收更新后的目标应用的新标准内容特征,以便于根据所述新标准内容特征更新所述可信存储区域中存储的标准内容特征。
12.根据权利要求9所述的装置,所述预设的可信存储区域为所述可信执行环境;所述标准进程名称获取单元具体用于:
确定该目标应用更新时,接收更新后的目标应用的新标准进程名称,以便于根据所述新标准进程名称更新所述可信存储区域中存储的标准进程名称。
13.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现如权利要求1至6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911285295.0A CN110941825B (zh) | 2019-12-13 | 2019-12-13 | 一种应用监控方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911285295.0A CN110941825B (zh) | 2019-12-13 | 2019-12-13 | 一种应用监控方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110941825A true CN110941825A (zh) | 2020-03-31 |
| CN110941825B CN110941825B (zh) | 2022-05-27 |
Family
ID=69911248
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911285295.0A Active CN110941825B (zh) | 2019-12-13 | 2019-12-13 | 一种应用监控方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110941825B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112035829A (zh) * | 2020-07-27 | 2020-12-04 | 国家广播电视总局广播电视科学研究院 | 电视终端应用控制方法、装置、系统、设备及存储介质 |
| CN112181731A (zh) * | 2020-10-26 | 2021-01-05 | 江苏特思达电子科技股份有限公司 | 一种应用程序的保活方法、装置及计算机设备 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1904852A (zh) * | 2006-08-01 | 2007-01-31 | 西安西电捷通无线网络通信有限公司 | 一种计算机应用程序的监控及异常处理方法 |
| CN102193825A (zh) * | 2011-04-26 | 2011-09-21 | 北京思创银联科技股份有限公司 | 进程保护方法 |
| WO2013123563A1 (en) * | 2012-02-24 | 2013-08-29 | Remasys Pty Ltd | Router-based end-user performance monitoring |
| CN103383689A (zh) * | 2012-05-03 | 2013-11-06 | 阿里巴巴集团控股有限公司 | 一种服务进程故障检测方法、装置及服务节点 |
| CN103440189A (zh) * | 2013-08-13 | 2013-12-11 | 江苏华大天益电力科技有限公司 | 一种基于进程强制运行控制的软件抗死锁方法 |
| CN104077244A (zh) * | 2014-07-20 | 2014-10-01 | 湖南蓝途方鼎科技有限公司 | 基于进程隔离加密机制的安全保密盘模型及其生成方法 |
| CN104125216A (zh) * | 2014-06-30 | 2014-10-29 | 华为技术有限公司 | 一种提升可信执行环境安全性的方法、系统及终端 |
| CN104199772A (zh) * | 2014-09-02 | 2014-12-10 | 浪潮(北京)电子信息产业有限公司 | 一种监管进程的方法和装置 |
| CN104778141A (zh) * | 2015-02-10 | 2015-07-15 | 浙江大学 | 一种基于控制系统可信架构的tpcm模块及可信检测技术 |
| CN106296359A (zh) * | 2016-08-13 | 2017-01-04 | 深圳市樊溪电子有限公司 | 基于区块链技术的可信电力网络交易平台 |
| US20180107826A1 (en) * | 2016-10-18 | 2018-04-19 | Qualcomm Incorporated | Techniques for trusted application fuzzing mitigation |
| CN108280346A (zh) * | 2017-01-05 | 2018-07-13 | 腾讯科技(深圳)有限公司 | 一种应用防护监控方法、装置以及系统 |
| CN108776633A (zh) * | 2018-05-22 | 2018-11-09 | 深圳壹账通智能科技有限公司 | 监控进程运行的方法、终端设备及计算机可读存储介质 |
| CN109600392A (zh) * | 2019-01-15 | 2019-04-09 | 四川虹微技术有限公司 | 一种防止信息篡改的方法及装置 |
-
2019
- 2019-12-13 CN CN201911285295.0A patent/CN110941825B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1904852A (zh) * | 2006-08-01 | 2007-01-31 | 西安西电捷通无线网络通信有限公司 | 一种计算机应用程序的监控及异常处理方法 |
| CN102193825A (zh) * | 2011-04-26 | 2011-09-21 | 北京思创银联科技股份有限公司 | 进程保护方法 |
| WO2013123563A1 (en) * | 2012-02-24 | 2013-08-29 | Remasys Pty Ltd | Router-based end-user performance monitoring |
| CN103383689A (zh) * | 2012-05-03 | 2013-11-06 | 阿里巴巴集团控股有限公司 | 一种服务进程故障检测方法、装置及服务节点 |
| CN103440189A (zh) * | 2013-08-13 | 2013-12-11 | 江苏华大天益电力科技有限公司 | 一种基于进程强制运行控制的软件抗死锁方法 |
| CN104125216A (zh) * | 2014-06-30 | 2014-10-29 | 华为技术有限公司 | 一种提升可信执行环境安全性的方法、系统及终端 |
| CN104077244A (zh) * | 2014-07-20 | 2014-10-01 | 湖南蓝途方鼎科技有限公司 | 基于进程隔离加密机制的安全保密盘模型及其生成方法 |
| CN104199772A (zh) * | 2014-09-02 | 2014-12-10 | 浪潮(北京)电子信息产业有限公司 | 一种监管进程的方法和装置 |
| CN104778141A (zh) * | 2015-02-10 | 2015-07-15 | 浙江大学 | 一种基于控制系统可信架构的tpcm模块及可信检测技术 |
| CN106296359A (zh) * | 2016-08-13 | 2017-01-04 | 深圳市樊溪电子有限公司 | 基于区块链技术的可信电力网络交易平台 |
| US20180107826A1 (en) * | 2016-10-18 | 2018-04-19 | Qualcomm Incorporated | Techniques for trusted application fuzzing mitigation |
| CN108280346A (zh) * | 2017-01-05 | 2018-07-13 | 腾讯科技(深圳)有限公司 | 一种应用防护监控方法、装置以及系统 |
| CN108776633A (zh) * | 2018-05-22 | 2018-11-09 | 深圳壹账通智能科技有限公司 | 监控进程运行的方法、终端设备及计算机可读存储介质 |
| CN109600392A (zh) * | 2019-01-15 | 2019-04-09 | 四川虹微技术有限公司 | 一种防止信息篡改的方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112035829A (zh) * | 2020-07-27 | 2020-12-04 | 国家广播电视总局广播电视科学研究院 | 电视终端应用控制方法、装置、系统、设备及存储介质 |
| CN112181731A (zh) * | 2020-10-26 | 2021-01-05 | 江苏特思达电子科技股份有限公司 | 一种应用程序的保活方法、装置及计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110941825B (zh) | 2022-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11244044B1 (en) | Method to detect application execution hijacking using memory protection | |
| US20230066210A1 (en) | Method and system for preventing and detecting security threats | |
| EP3270318B1 (en) | Dynamic security module terminal device and method for operating same | |
| CN104751049A (zh) | 一种应用程序安装方法及移动终端 | |
| CN110334515B (zh) | 一种基于可信计算平台生成度量报告的方法及装置 | |
| CN110837644B (zh) | 一种系统渗透测试方法、装置及终端设备 | |
| CN110941825B (zh) | 一种应用监控方法及装置 | |
| CN113591159A (zh) | 一种可信度量方法和可信计算节点 | |
| CN112995236B (zh) | 一种物联网设备安全管控方法、装置和系统 | |
| JP2018509692A (ja) | 選択的なブロックベースの完全性保護技法 | |
| US8938805B1 (en) | Detection of tampering with software installed on a processing device | |
| CN109784051B (zh) | 信息安全防护方法、装置及设备 | |
| US20190121985A1 (en) | Detecting vulnerabilities in applications during execution | |
| US20230185921A1 (en) | Prioritizing vulnerabilities | |
| CN110008758B (zh) | 一种id获取方法、装置、电子设备及存储介质 | |
| US11698966B2 (en) | Systems and methods for code injection detection | |
| WO2020007249A1 (zh) | 一种操作系统安全主动防御方法及操作系统 | |
| CN115455414A (zh) | 一种安全检测方法和装置 | |
| US10637877B1 (en) | Network computer security system | |
| US20200244461A1 (en) | Data Processing Method and Apparatus | |
| CN110362983B (zh) | 一种保证双域系统一致性的方法、装置及电子设备 | |
| JP5955165B2 (ja) | 管理装置、管理方法及び管理プログラム | |
| US11886584B2 (en) | System and method for detecting potentially malicious changes in applications | |
| EP4095727A1 (en) | System and method for detecting potentially malicious changes in applications | |
| CN111382433B (zh) | 模块加载方法、装置、设备以及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |