CN111813627A - 应用审计方法、装置、终端、系统及可读存储介质 - Google Patents
应用审计方法、装置、终端、系统及可读存储介质 Download PDFInfo
- Publication number
- CN111813627A CN111813627A CN202010641206.8A CN202010641206A CN111813627A CN 111813627 A CN111813627 A CN 111813627A CN 202010641206 A CN202010641206 A CN 202010641206A CN 111813627 A CN111813627 A CN 111813627A
- Authority
- CN
- China
- Prior art keywords
- application
- auditing
- terminal
- target
- target application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000012550 audit Methods 0.000 claims abstract description 80
- 230000006870 function Effects 0.000 claims description 27
- 238000004590 computer program Methods 0.000 claims description 12
- 238000004891 communication Methods 0.000 claims description 10
- 230000003993 interaction Effects 0.000 claims description 4
- 238000002347 injection Methods 0.000 claims description 3
- 239000007924 injection Substances 0.000 claims description 3
- 230000000694 effects Effects 0.000 abstract description 2
- 230000006399 behavior Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 7
- 239000000243 solution Substances 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 3
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000008094 contradictory effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3051—Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Human Computer Interaction (AREA)
- Mathematical Physics (AREA)
- Computer Hardware Design (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种应用审计方法、装置、终端、系统及可读存储介质。本申请公开的方法应用于终端,包括:若目标应用启动,则将HOOK工具注入目标应用,以利用HOOK工具获取系统接口;HOOK工具和目标应用安装于终端;在系统接口被目标应用中的目标函数调用时,控制调用逻辑跳转至HOOK工具中,以捕获目标函数对应的文件路径信息;根据文件路径信息确定审计数据,并利用审计数据对目标应用进行审计。由于系统接口及相关函数的调用逻辑不会随着应用的更新而更新,因此本申请在应用更新后仍然适用,具有良好的通用性,也降低了审计工作量,提高了审计效率。相应地,本申请提供的一种应用审计装置、终端、系统及可读存储介质,也同样具有上述技术效果。
Description
技术领域
本申请涉及计算机技术领域,特别涉及一种应用审计方法、装置、终端、系统及可读存储介质。
背景技术
目前,一般通过应用中的函数地址来获取用于审计应用的相关数据,但由于应用中的函数地址会随着应用的更新而更新,因此审计数据的获取逻辑也需要随之更新,故目前审计应用的方案通用性有待提高,由于需要频繁更新会增加审计工作量,降低审计效率。其中,应用指手机、电脑等终端中安装的应用程序(Application),如:邮箱客户端等。
因此,如何提高应用审计方案的通用性和审计效率,是本领域技术人员需要解决的问题。
发明内容
有鉴于此,本申请的目的在于提供一种应用审计方法、装置、终端、系统及可读存储介质,以提高应用审计方案的通用性和审计效率。其具体方案如下:
第一方面,本申请提供了一种应用审计方法,应用于终端,包括:
若目标应用启动,则将HOOK工具注入所述目标应用,以利用所述HOOK工具获取系统接口;所述HOOK工具和所述目标应用安装于所述终端;
在所述系统接口被所述目标应用中的目标函数调用时,控制调用逻辑跳转至所述HOOK工具中,以捕获所述目标函数对应的文件路径信息;
根据所述文件路径信息确定审计数据,并利用所述审计数据对所述目标应用进行审计。
优选地,所述将HOOK工具注入所述目标应用之前,还包括:
判断所述目标应用是否符合预设的审计策略;所述审计策略包括:需审计的应用名称和文件类型;
若是,则执行所述将HOOK工具注入所述目标应用的步骤。
优选地,所述根据所述文件路径信息确定审计数据,包括:
从所述文件路径信息中选择符合所述审计策略的目标数据作为所述审计数据。
优选地,所述审计策略由网关设备发送至所述终端,所述网关设备与多个终端具有通信连接。
优选地,所述利用所述审计数据对所述目标应用进行审计,包括:
将所述审计数据以密文形式传输至所述网关设备,以使所述网关设备利用所述审计数据对所述目标应用进行审计。
优选地,还包括:
接收所述网关设备发送的网络准入策略;
若所述终端不符合所述网络准入策略,则返回网络违规消息至所述网关设备,并断开所述网关设备与所述终端的通信连接。
优选地,所述终端中安装有与所述网关设备对应的用户客户端,所述HOOK工具、所述审计策略和所述网络准入策略设置于所述用户客户端。
第二方面,本申请提供了一种应用审计装置,应用于终端,包括:
注入模块,用于若目标应用启动,则将HOOK工具注入所述目标应用,以利用所述HOOK工具获取系统接口;所述HOOK工具和所述目标应用安装于所述终端;
捕获模块,用于在所述系统接口被所述目标应用中的目标函数调用时,控制调用逻辑跳转至所述HOOK工具中,以捕获所述目标函数对应的文件路径信息;
审计模块,用于根据所述文件路径信息确定审计数据,并利用所述审计数据对所述目标应用进行审计。
第三方面,本申请提供了一种应用审计终端,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以实现前述公开的应用审计方法。
第四方面,本申请提供了一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的应用审计方法。
第五方面,本申请提供了一种应用审计系统,包括:网关设备和如上所述的终端。
优选地,所述网关设备具体用于:
获取并存储用户利用人机交互界面配置的审计策略和网络准入策略;
将所述审计策略和所述网络准入策略发送至所述终端。
通过以上方案可知,本申请提供了一种应用审计方法,应用于终端,包括:若目标应用启动,则将HOOK工具注入所述目标应用,以利用所述HOOK工具获取系统接口;所述HOOK工具和所述目标应用安装于所述终端;在所述系统接口被所述目标应用中的目标函数调用时,控制调用逻辑跳转至所述HOOK工具中,以捕获所述目标函数对应的文件路径信息;根据所述文件路径信息确定审计数据,并利用所述审计数据对所述目标应用进行审计。
可见,本申请在目标应用启动时,将HOOK工具注入目标应用,从而可利用HOOK工具获取系统接口,这样在系统接口被目标应用中的任一个目标函数调用时,就可以控制相应的调用逻辑跳转到HOOK工具内部运行,从而可以捕获相应的文件路径信息;最后根据文件路径信息确定审计数据,便可利用审计数据对目标应用进行审计。由于系统接口及相关函数的调用逻辑不会随着应用的更新而更新,因此本申请在应用更新后仍然适用,无需进行其他修改,故而具有良好的通用性,也降低了审计工作量,提高了审计效率。
相应地,本申请提供的一种应用审计装置、终端、系统及可读存储介质,也同样具有上述技术效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种应用审计方法流程图;
图2为本申请公开的一种配置审计策略的示意图;
图3为本申请公开的另一种配置审计策略的示意图;
图4为本申请公开的一种监管终端上网行为的过程示意图;
图5为本申请公开的一种应用审计装置示意图;
图6为本申请公开的一种应用审计终端示意图;
图7为本申请公开的另一种应用审计终端示意图;
图8为本申请公开的另一种应用审计方法流程图;
图9为本申请公开的一种用户客户端架构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,一般通过应用中的函数地址来获取用于审计应用的相关数据,但由于应用中的函数地址会随着应用的更新而更新,因此审计数据的获取逻辑也需要随之更新,故目前审计应用的方案通用性有待提高,由于需要频繁更新会增加审计工作量,降低审计效率。为此,本申请提供了一种应用审计方案,能够提高应用审计方案的通用性和审计效率。
参见图1所示,本申请实施例公开了一种应用审计方法,应用于终端,包括:
S101、若目标应用启动,则将HOOK工具注入目标应用,以利用HOOK工具获取系统接口。
其中,HOOK工具和目标应用安装于终端。HOOK工具为基于HOOK(钩子)函数编写的软件工具,能够在系统级对所有消息、事件进行过滤。
在一种具体实施方式中,将HOOK工具注入目标应用之前,还包括:判断目标应用是否符合预设的审计策略;审计策略包括:需审计的应用名称和文件类型;若是,则执行将HOOK工具注入目标应用的步骤,即加载HOOK工具至目标应用中;若否,则不将HOOK工具注入目标应用,也就是不对目标应用进行审计,以避免HOOK工具干扰目标应用的正常运行。其中,需审计的文件类型一般为由当前网络发送至外网的文件的类型。
在一种具体实施方式中,审计策略由网关设备发送至终端,网关设备与多个终端具有通信连接。其中,终端中安装有与网关设备对应的用户客户端(即用户客户端),HOOK工具、审计策略和网络准入策略设置于用户客户端中。
审计策略和网络准入策略由网关管理员基于网关的管理客户端配置获得,审计策略的配置具体可参见图2。如图2所示,基于管理客户端,网关设备的管理员可以选择客户端应用审计策略,并且可以在右侧选择添加多条客户端应用审计策略。
其中,所述审计策略还可以包括:审计生效时间、是否审计的标志位、在网审计或离网审计的标志位,具体可参见图3。如图3所示,所有支持审计的应用以列表形式显示,管理员可根据实际场景选择需要审计的应用,对于每个审计的应用,可以选择相应的审计策略配置,如:审计生效时间、是否审计、在网审计或离网审计等。在网审计指需要审计的应用所在的终端与当前网关设备建立有直接通信连接,离网审计指需要审计的应用所在的终端与当前网关设备没有连接,但能访问外网。审计策略配置完成后,网关设备会下发审计策略至终端上的用户客户端,终端通过用户客户端中的审计策略进行应用审计。如图3所示,需要审计的应用包括IM类、邮件类、远程类、运维类等客户端,满足终端防泄密需求。
S102、在系统接口被目标应用中的目标函数调用时,控制调用逻辑跳转至HOOK工具中,以捕获目标函数对应的文件路径信息。
具体的,当目标应用触发关键行为(这些行为的触发标示着目标应用中的相关函数调用系统接口),如:触发剪贴板粘贴文件、拖拉文件、文件/文件夹选择等,HOOK工具可以自动捕获这些行为,从而控制相应的调用逻辑跳转至HOOK工具内部运行,这样HOOK工具就可以监测到整个运行过程中涉及的函数地址,从而可获得相关文件在终端中的文件路径信息。基于文件路径信息可确定具体的文件。
其中,系统接口为目标应用与当前终端进行交互的操作系统接口。文件选择发送时会调用系统API-GetOpenFileName,文件粘贴时会调用系统API-GetClipboardData等。
S103、根据文件路径信息确定审计数据,并利用审计数据对目标应用进行审计。
具体的,可以在终端本地完成目标应用的审计工作,并将相应审计结果存储至用户客户端,以便网关设备对所有终端上的应用审计结果进行收集。当然,也可以在网关完成目标应用的审计工作,即:将审计数据以密文形式传输至网关设备,以使网关设备利用审计数据对目标应用进行审计。如此一来,终端负责收集审计数据,网关设备负责对审计数据进行处理,二者相互合作,共同完成应用审计工作,有利于对当前网关下的所有终端进行全局监管和审计。还减轻了网关的审计压力和性能要求。其中,审计数据可以以特定数据包格式发送至网关设备,数据包中可以包括:当前审计的应用的名称、文件类型等信息。
需要说明的是,终端中安装的各个应用可能涉及隐私或保密,故其会采用一些私有协议与相应的服务端进行通信。若在网关设备处抓取应用与其服务端之间的通信数据包来对应用进行审计,可能会由于无法解析私有协议导致审计工作无法正常进行。按照本实施例提供的终端和网关设备的相互配合方案,可以解决上述问题。
其中,审计策略包括需审计的应用名称和文件类型,也就是需要审计的相关数据已提前设定好,故可以从文件路径信息中选择符合审计策略的目标数据作为审计数据。
在一种具体实施方式中,本实施例还可以对终端的上网行为进行监管和检测。网关管理员基于网关的管理客户端配置网络准入策略,该网络准入策略由网关设备发送至用户客户端,这样终端就可以依据此网络准入策略对自身的上网行为进行检测,若终端不符合网络准入策略,则表明终端违规上网,因此返回网络违规消息至网关设备,并断开网关设备与终端的通信连接。其中,所述网络准入策略用于检测终端的操作系统、进程、文件、注册表等相关操作行为。
具体的,对终端的上网行为进行监管和检测的过程示意图请参见图4。在图4中,准入客户端(如:以ingress.exe为首的一系列exe及dll)即终端上安装的用户客户端,准入服务端即网关设备,准入驱动(ingressdrv.o)为用于监管终端上网行为的驱动。准入服务端向准入用户客户端下发网络准入策略,用户客户端就可以对相应终端的上网行为进行实时监控,并按照网络准入策略将违规行为进行上报或者直接禁止用户上网,从而使网关设备对终端上网行为进行实时监控和管理。用户可以在用户客户端设置是否开启网络准入策略。
可见,本申请实施例在目标应用启动时,将HOOK工具注入目标应用,从而可利用HOOK工具获取系统接口,这样在系统接口被目标应用中的任一个目标函数调用时,就可以控制相应的调用逻辑跳转到HOOK工具内部运行,从而可以捕获相应的文件路径信息;最后根据文件路径信息确定审计数据,便可利用审计数据对目标应用进行审计。由于系统接口及相关函数的调用逻辑不会随着应用的更新而更新,因此本实施例在应用更新后仍然适用,无需进行其他修改,故而具有良好的通用性,也降低了审计工作量,提高了审计效率。
下面对本申请实施例提供的一种应用审计装置进行介绍,下文描述的一种应用审计装置与上文描述的一种应用审计方法可以相互参照。
参见图5所示,本申请实施例公开了一种应用审计装置,应用于终端,包括:
注入模块501,用于若目标应用启动,则将HOOK工具注入目标应用,以利用HOOK工具获取系统接口;HOOK工具和目标应用安装于终端;
捕获模块502,用于在系统接口被目标应用中的目标函数调用时,控制调用逻辑跳转至HOOK工具中,以捕获目标函数对应的文件路径信息;
审计模块503,用于根据文件路径信息确定审计数据,并利用审计数据对目标应用进行审计。
在一种具体实施方式中,还包括:
判断模块,用于判断目标应用是否符合预设的审计策略;审计策略包括:需审计的应用名称和文件类型;
执行模块,用于若目标应用符合预设的审计策略,则执行将HOOK工具注入目标应用的步骤。
在一种具体实施方式中,审计模块具体用于:
从文件路径信息中选择符合审计策略的目标数据作为审计数据。
在一种具体实施方式中,审计策略由网关设备发送至终端,网关设备与多个终端具有通信连接。
在一种具体实施方式中,审计模块具体用于:
将审计数据以密文形式传输至网关设备,以使网关设备利用审计数据对目标应用进行审计。
在一种具体实施方式中,还包括:
接收模块,用于接收网关设备发送的网络准入策略;
返回模块,用于若终端不符合网络准入策略,则返回网络违规消息至网关设备,并断开网关设备与终端的通信连接。
在一种具体实施方式中,终端中安装有与网关设备对应的用户客户端,HOOK工具、审计策略和网络准入策略设置于用户客户端。
其中,关于本实施例中各个模块、单元更加具体的工作过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
可见,本实施例提供了一种应用审计装置,该装置不会随着应用的更新而更新,具有良好的通用性,也降低了审计工作量,提高了审计效率。
下面对本申请实施例提供的一种应用审计终端进行介绍,下文描述的一种应用审计终端与上文描述的一种应用审计方法及装置可以相互参照。
参见图6所示,本申请实施例公开了一种应用审计终端,包括:
存储器601,用于保存计算机程序;
处理器602,用于执行所述计算机程序,以实现上述任意实施例公开的方法。
请参考图7,图7为本实施例提供的另一种应用审计终端示意图,该应用审计终端可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(centralprocessing units,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在应用审计终端301上执行存储介质330中的一系列指令操作。
应用审计终端301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。例如,Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
在图7中,应用程序342可以是执行应用审计方法的程序,数据344可以是执行应用审计方法所需的或产生的数据。
上文所描述的应用审计方法中的步骤可以由应用审计终端的结构实现。
下面对本申请实施例提供的一种可读存储介质进行介绍,下文描述的一种可读存储介质与上文描述的一种应用审计方法、装置及设备可以相互参照。
一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述实施例公开的应用审计方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
下面对本申请实施例提供的一种应用审计系统进行介绍,下文描述的一种应用审计系统与上文描述的一种应用审计方法、装置及终端可以相互参照。
本申请实施例公开了一种应用审计系统,包括:网关设备和如上实施例所述的终端。其中,终端上安装有用户客户端,用户客户端中设置有HOOK工具、审计策略和网络准入策略。
在一种具体实施方式中,所述网关设备具体用于:获取并存储用户利用人机交互界面配置的审计策略和网络准入策略;将所述审计策略和所述网络准入策略发送至所述终端。
本实施例公开的应用审计系统对应的审计流程请参见图8。在图8中,终端准入插件即用户客户端,HOOK模块即HOOK工具。
图8所示的具体流程包括:由管理员配置应用审计策略并下发。终端准入插件负责接收并解析应用审计策略,安装HOOK模块。终端中的目标应用运行后,由于已经安装了HOOK模块,此时终端操作系统自动加载HOOK模块到目标应用中。其中,若当前目标应用不是需要审计的应用,则不加载HOOK模块到目标应用中,从而防止干扰应用的正常运行。目标应用加载业务模块后,目标应用进行初始化工作,HOOK模块开始HOOK系统API(即系统接口)。若目标应用触发关键行为,如触发剪贴板粘贴文件、拖拉文件、文件/文件夹选择等,HOOK模块内部会自动捕获到这些行为,调用系统API时,会跳转到HOOK模块内部函数,此时就可以提取到相关的文件路径信息。HOOK模块提取到文件路径信息后,构造应用审计数据包,由终端准入插件负责将应用审计数据包加密传输到安全网关对应的准入后台服务器。
其中,用户客户端架构图请参见图9,图9中的本地HTTP服务器即网关设备,ingress、ingress Mgr、APS(Application Status)、IMM(Instant Messaging Monitor)、MISC(Miscellaneous)和NLD(Net Link Detect)均设置于用户客户端。其中,用户客户端负责寻找网关、获取策略、进行终端合法性检测(操作系统、注册表、进程、文件等)、应用审计、提交违规/审计报告、用户客户端自动升级等。其中APS负责应用时长审计、IMM负责应用内容审计、MISC为封装的基础功能库、NLD负责组织外上网线路检测。
可见,本实施例弥补了网关设备对部分应用无法审计的缺陷,同时将审计数据的收集工作交由用户客户端执行,减轻了网关设备的压力,且具有良好的可扩展性及兼容性,不依赖应用的更新。
本申请涉及的“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法或设备固有的其它步骤或单元。
需要说明的是,在本申请中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的可读存储介质中。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (12)
1.一种应用审计方法,其特征在于,应用于终端设备,包括:
若目标应用启动,则将HOOK工具注入所述目标应用,以利用所述HOOK工具获取系统接口;所述HOOK工具和所述目标应用安装于所述终端;
在所述系统接口被所述目标应用中的目标函数调用时,控制调用逻辑跳转至所述HOOK工具中,以捕获所述目标函数对应的文件路径信息;
根据所述文件路径信息确定审计数据,并利用所述审计数据对所述目标应用进行审计。
2.根据权利要求1所述的应用审计方法,其特征在于,所述将HOOK工具注入所述目标应用之前,还包括:
判断所述目标应用是否符合预设的审计策略;所述审计策略包括:需审计的应用名称和文件类型;
若是,则执行所述将HOOK工具注入所述目标应用的步骤。
3.根据权利要求2所述的应用审计方法,其特征在于,所述根据所述文件路径信息确定审计数据,包括:
从所述文件路径信息中选择符合所述审计策略的目标数据作为所述审计数据。
4.根据权利要求2或3所述的应用审计方法,其特征在于,所述审计策略由网关设备发送至所述终端,所述网关设备与多个终端具有通信连接。
5.根据权利要求4所述的应用审计方法,其特征在于,所述利用所述审计数据对所述目标应用进行审计,包括:
将所述审计数据以密文形式传输至所述网关设备,以使所述网关设备利用所述审计数据对所述目标应用进行审计。
6.根据权利要求4所述的应用审计方法,其特征在于,还包括:
接收所述网关设备发送的网络准入策略;
若所述终端不符合所述网络准入策略,则返回网络违规消息至所述网关设备,并断开所述网关设备与所述终端的通信连接。
7.根据权利要求6所述的应用审计方法,其特征在于,所述终端中安装有与所述网关设备对应的用户客户端,所述HOOK工具、所述审计策略和所述网络准入策略设置于所述用户客户端。
8.一种应用审计装置,其特征在于,应用于终端,包括:
注入模块,用于若目标应用启动,则将HOOK工具注入所述目标应用,以利用所述HOOK工具获取系统接口;所述HOOK工具和所述目标应用安装于所述终端;
捕获模块,用于在所述系统接口被所述目标应用中的目标函数调用时,控制调用逻辑跳转至所述HOOK工具中,以捕获所述目标函数对应的文件路径信息;
审计模块,用于根据所述文件路径信息确定审计数据,并利用所述审计数据对所述目标应用进行审计。
9.一种应用审计终端,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的应用审计方法。
10.一种可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的应用审计方法。
11.一种应用审计系统,其特征在于,包括:网关设备和如权利要求9所述的终端。
12.根据权利要求11所述的应用审计系统,其特征在于,所述网关设备具体用于:
获取并存储用户利用人机交互界面配置的审计策略和网络准入策略;
将所述审计策略和所述网络准入策略发送至所述终端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010641206.8A CN111813627A (zh) | 2020-07-06 | 2020-07-06 | 应用审计方法、装置、终端、系统及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010641206.8A CN111813627A (zh) | 2020-07-06 | 2020-07-06 | 应用审计方法、装置、终端、系统及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111813627A true CN111813627A (zh) | 2020-10-23 |
Family
ID=72841653
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010641206.8A Pending CN111813627A (zh) | 2020-07-06 | 2020-07-06 | 应用审计方法、装置、终端、系统及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111813627A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113360728A (zh) * | 2021-07-02 | 2021-09-07 | 南方电网数字电网研究院有限公司 | 用户操作审计方法、装置、计算机设备和存储介质 |
CN113505367A (zh) * | 2021-06-29 | 2021-10-15 | 杭州华橙软件技术有限公司 | 安全审计方法、装置、系统、电子装置和可读存储介质 |
CN117459765A (zh) * | 2023-12-20 | 2024-01-26 | 杭州海康威视数字技术股份有限公司 | 一种基于存储服务的多媒体安全保护方法、装置和系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101043374A (zh) * | 2007-02-28 | 2007-09-26 | 北京和源沐泽科技发展有限公司 | 一种自保护网络系统的装置和方法 |
US20130104041A1 (en) * | 2011-10-21 | 2013-04-25 | International Business Machines Corporation | Capturing application workflow |
CN103269343A (zh) * | 2013-05-21 | 2013-08-28 | 福建畅云安鼎信息科技有限公司 | 业务数据安全管控平台 |
CN104753887A (zh) * | 2013-12-31 | 2015-07-01 | 中国移动通信集团黑龙江有限公司 | 安全管控实现方法、系统及云桌面系统 |
CN108924106A (zh) * | 2018-06-21 | 2018-11-30 | 上海鹏越惊虹信息技术发展有限公司 | 一种基于网卡抓包的终端上网审计方法及系统 |
CN111107054A (zh) * | 2019-11-21 | 2020-05-05 | 深信服科技股份有限公司 | 数据审计方法、装置、设备及存储介质 |
CN111209256A (zh) * | 2020-01-07 | 2020-05-29 | 深信服科技股份有限公司 | 一种文件监控方法、装置、电子设备及存储介质 |
-
2020
- 2020-07-06 CN CN202010641206.8A patent/CN111813627A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101043374A (zh) * | 2007-02-28 | 2007-09-26 | 北京和源沐泽科技发展有限公司 | 一种自保护网络系统的装置和方法 |
US20130104041A1 (en) * | 2011-10-21 | 2013-04-25 | International Business Machines Corporation | Capturing application workflow |
CN103269343A (zh) * | 2013-05-21 | 2013-08-28 | 福建畅云安鼎信息科技有限公司 | 业务数据安全管控平台 |
CN104753887A (zh) * | 2013-12-31 | 2015-07-01 | 中国移动通信集团黑龙江有限公司 | 安全管控实现方法、系统及云桌面系统 |
CN108924106A (zh) * | 2018-06-21 | 2018-11-30 | 上海鹏越惊虹信息技术发展有限公司 | 一种基于网卡抓包的终端上网审计方法及系统 |
CN111107054A (zh) * | 2019-11-21 | 2020-05-05 | 深信服科技股份有限公司 | 数据审计方法、装置、设备及存储介质 |
CN111209256A (zh) * | 2020-01-07 | 2020-05-29 | 深信服科技股份有限公司 | 一种文件监控方法、装置、电子设备及存储介质 |
Non-Patent Citations (1)
Title |
---|
张锦华著: "《网络信息安全监察与防御对策研究》", 北京工业大学出版社, pages: 253 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113505367A (zh) * | 2021-06-29 | 2021-10-15 | 杭州华橙软件技术有限公司 | 安全审计方法、装置、系统、电子装置和可读存储介质 |
CN113505367B (zh) * | 2021-06-29 | 2024-05-28 | 杭州华橙软件技术有限公司 | 安全审计方法、装置、系统、电子装置和可读存储介质 |
CN113360728A (zh) * | 2021-07-02 | 2021-09-07 | 南方电网数字电网研究院有限公司 | 用户操作审计方法、装置、计算机设备和存储介质 |
CN117459765A (zh) * | 2023-12-20 | 2024-01-26 | 杭州海康威视数字技术股份有限公司 | 一种基于存储服务的多媒体安全保护方法、装置和系统 |
CN117459765B (zh) * | 2023-12-20 | 2024-03-12 | 杭州海康威视数字技术股份有限公司 | 一种基于存储服务的多媒体安全保护方法、装置和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7979532B2 (en) | Systems and methods for using an access point for testing multiple devices and using several consoles | |
US8650277B2 (en) | Method, system, and computer readable medium for gathering usage statistics | |
EP3223159B1 (en) | Log information generation device and recording medium, and log information extraction device and recording medium | |
CN111813627A (zh) | 应用审计方法、装置、终端、系统及可读存储介质 | |
US7752671B2 (en) | Method and device for questioning a plurality of computerized devices | |
CN107704360B (zh) | 监控数据的处理方法、设备、服务器及存储介质 | |
US20120311562A1 (en) | Extendable event processing | |
US8661456B2 (en) | Extendable event processing through services | |
CN111107054B (zh) | 数据审计方法、装置、设备及存储介质 | |
CN111651754A (zh) | 入侵的检测方法和装置、存储介质、电子装置 | |
CN107862091B (zh) | 实现网页访问的控制方法及装置 | |
CN105550584A (zh) | 一种Android平台下基于RBAC的恶意程序拦截及处置方法 | |
CN111026581A (zh) | 应用程序的修复方法及装置、系统、存储介质、电子装置 | |
CN109831521B (zh) | 缓存实例管理方法、装置、计算机设备和存储介质 | |
CN112910868A (zh) | 企业网络安全管理方法、装置、计算机设备及存储介质 | |
CN114205169B (zh) | 网络安全防御方法、装置及系统 | |
CN115658221A (zh) | 状态检测方法、业务虚拟机、设备及介质 | |
CN110995756B (zh) | 调用服务的方法和装置 | |
CN110958267B (zh) | 一种虚拟网络内部威胁行为的监测方法及系统 | |
CN114039778A (zh) | 一种请求处理方法、装置、设备及可读存储介质 | |
CN111259383A (zh) | 一种安全管理中心系统 | |
CN116436668B (zh) | 信息安全管控方法、装置,计算机设备,存储介质 | |
CN114676100A (zh) | 文件打开事件处理方法、系统、计算机设备及存储介质 | |
CN116225819A (zh) | 一种挖矿行为检测方法、装置、设备及存储介质 | |
CN113761541A (zh) | 一种Linux命令的管理方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201023 |
|
RJ01 | Rejection of invention patent application after publication |