CN116055202A - 风险设备的识别方法、装置、设备以及存储介质 - Google Patents
风险设备的识别方法、装置、设备以及存储介质 Download PDFInfo
- Publication number
- CN116055202A CN116055202A CN202310072179.0A CN202310072179A CN116055202A CN 116055202 A CN116055202 A CN 116055202A CN 202310072179 A CN202310072179 A CN 202310072179A CN 116055202 A CN116055202 A CN 116055202A
- Authority
- CN
- China
- Prior art keywords
- key file
- information
- core layer
- result
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 116
- 239000012792 core layer Substances 0.000 claims abstract description 81
- 238000012795 verification Methods 0.000 claims abstract description 35
- 230000008569 process Effects 0.000 claims description 64
- 230000002159 abnormal effect Effects 0.000 claims description 25
- 239000010410 layer Substances 0.000 claims description 15
- 238000012986 modification Methods 0.000 claims description 14
- 230000004048 modification Effects 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 13
- 238000004891 communication Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 8
- 230000009471 action Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012954 risk control Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本公开提供了一种风险设备的识别方法、装置、设备以及存储介质,涉及计算机技术领域,尤其涉及移动安全技术领域。具体实现方案为:针对终端设备的操作系统,确定操作系统的核心层信息;确定与核心层信息对应的目标关键文件信息;根据目标关键文件信息,对终端设备中的关键文件进行校验,得到关键文件校验结果;以及根据关键文件校验结果,对终端设备进行识别风险,得到第一识别结果。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及移动安全技术领域。
背景技术
网络黑色产业链简称网络黑产,是指利用互联网技术实施网络违法行为。例如,网络违法行为可以包括网络诈骗、抢票屯号、恶意抢券、虚假流量营销等。黑产设备是指不法分子进行网络黑产时使用的电子设备。不法分子会将黑产设备伪装成普通用户的终端设备,向服务器发送用户请求,以便实施网络违法行为。基于此,如何对这些黑产设备进行识别是一个亟需解决的问题。
发明内容
本公开提供了一种风险设备的识别方法、装置、设备、存储介质以及程序产品。
根据本公开的一方面,提供了一种风险设备的识别方法,包括:针对终端设备的操作系统,确定所述操作系统的核心层信息;确定与所述核心层信息对应的目标关键文件信息;根据所述目标关键文件信息,对所述终端设备中的关键文件进行校验,得到关键文件校验结果;以及根据所述关键文件校验结果,对所述终端设备进行识别风险,得到第一识别结果。
根据本公开的另一方面,提供了一种风险设备的识别装置,包括:核心层信息确定模块,用于针对终端设备的操作系统,确定所述操作系统的核心层信息;关键文件信息确定模块,用于确定与所述核心层信息对应的目标关键文件信息;关键文件校验模块,用于根据所述目标关键文件信息,对所述终端设备中的关键文件进行校验,得到关键文件校验结果;以及第一风险识别模块,用于根据所述关键文件校验结果,对所述终端设备进行识别风险,得到第一识别结果。
本公开的另一个方面提供了一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本公开实施例所示的方法。
根据本公开实施例的另一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行本公开实施例所示的方法。
根据本公开实施例的另一方面,提供了一种计算机程序产品,包括计算机程序/指令,其特征在于,该计算机程序/指令被处理器执行时实现本公开实施例所示方法的步骤。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1示意性示出了根据本公开实施例的可以应用风险设备的识别方法和装置的示例性系统架构;
图2示意性示出了根据本公开的实施例的风险设备的识别方法的流程图;
图3示意性示出了根据本公开的实施例的确定与核心层信息对应的目标关键文件信息的方法的流程图;
图4示意性示出了根据本公开的实施例的对终端设备的关键文件进行校验的方法的流程图;
图5示意性示出了根据本公开的实施例的操作系统的示意图;
图6示意性示出了根据本公开的实施例的风险设备的识别方法的示意图;
图7示意性示出了根据本公开实施例的风险设备的识别装置的框图;
图8示意性示出了可以用来实施本公开的实施例的示例电子设备的框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
以下将结合图1对本公开提供的风险设备的识别方法和装置的系统架构进行描述。
图1示意性示出了根据本公开实施例的可以应用风险设备的识别方法和装置的示例性系统架构100。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,根据该实施例的系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如地图类应用、网盘类应用、购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对用户利用终端设备101、102、103所浏览的网站或使用的应用提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
服务器105可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务(″Virtual Private Server″,或简称″VPS″)中,存在的管理难度大,业务扩展性弱的缺陷。服务器105也可以为分布式系统的服务器,或者是结合了区块链的服务器。
需要说明的是,本公开实施例所提供的风险设备的识别方法一般可以由服务器105执行。相应地,本公开实施例所提供的风险设备的识别装置一般可以设置于服务器105中。本公开实施例所提供的风险设备的识别方法也可以由不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的风险设备的识别装置也可以设置于不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
在本公开的技术方案中,所涉及的用户个人信息的收集、存储、使用、加工、传输、提供、公开和应用等处理,均符合相关法律法规的规定,采取了必要保密措施,且不违背公序良俗。
在本公开的技术方案中,在获取或采集用户个人信息之前,均获取了用户的授权或同意。
本公开提供的风险设备的识别方法和装置,可以应用于风险控制、反爬虫、人脸识别、数据搜索等领域。
以下将结合图2对本公开提供的风险设备的识别方法进行描述。
图2示意性示出了根据本公开的实施例的风险设备的识别方法的流程图。
如图2所示,该风险设备的识别方法200包括操作S210~S240。
其中,在操作S210,针对终端设备的操作系统,确定操作系统的核心层信息。
根据本公开的实施例,核心层信息例如可以包括与核心层相关的信息,例如可以包括核心层的版本信息。示例性地,本实施例中,操作系统例如可以包括Android系统。核心层例如可以包括Kernel。
然后,在操作S220,确定与核心层信息对应的目标关键文件信息。
根据本公开的实施例,目标关键文件信息可以包括与关键文件相关的信息,例如可以包括关键文件的标识和存储目录等。关键文件例如可以包括操作系统的SO文件,例如libc.so、libandroid.so、libart.so等。其中,SO文件为操作系统的动态链接库文件。
在操作S230,根据目标关键文件信息,对终端设备中的关键文件进行校验,得到关键文件校验结果。
根据本公开的实施例,通过对终端设备中的关键文件进行校验,可以确定终端设备中的关键文件是否异常,得到关键文件校验结果。关键文件校验结果可以用于表示终端设备中的关键文件是否异常。
在操作S240,根据关键文件校验结果,对终端设备进行识别风险,得到第一识别结果。
根据本公开的实施例,如果关键文件校验结果表示关键文件异常,则表示终端设备的风险较高,因此可以确定第一识别结果为:终端设备属于风险设备。如果关键文件校验结果表示关键文件正常,则表示终端设备的风险较低,因此可以确定第一识别结果为:终端设备不属于风险设备。
不法分子会修改黑产设备的操作系统,利用修改后的操作系统来实施网络违法行为。根据本公开的实施例,通过对终端设备操作系统的关键文件进行校验,可以实现对黑产设备等风险设备的识别,识别率较高。
根据本公开的另一实施例,例如可以在终端设备中配置目标应用程序,目标应用程序可以包括原生层(native层)。基于此,可以通过目标应用程序的原生层,获取核心层信息。
以下将结合图3对本公开提供的确定与核心层信息对应的目标关键文件信息的方法进行描述。
图3示意性示出了根据本公开的实施例的确定目标关键文件信息的方法的流程图。
如图3所示,该确定目标关键文件信息的方法320包括操作S321~操作S322。
其中,在操作S321,获取白名单数据。
根据本公开的实施例,白名单数据可以包括至少一个参考核心层信息,以及与至少一个参考核心层信息中每个参考核心层信息对应的参考关键文件信息。
在操作S322,确定白名单数据中与目标核心层信息对应的参考关键文件信息,作为目标关键文件信息。
根据本公开的实施例,白名单数据可以包括多个子数据,每个子数据包括键(key)和至少一个值(value)。其中,可以以参考核心层信息作为键,以参考核心层信息对应的参考关键文件信息作为对应的值。基于此,可以在白名单数据中查找目标核心层信息作为键的子数据,然后根据该子数据中的值,确定目标关键文件信息。
以下将结合图4对本公开提供的对终端设备的关键文件进行校验的方法进行描述。
图4示意性示出了根据本公开的实施例的对终端设备的关键文件进行校验的方法的流程图。
如图4所示,该对终端设备的关键文件进行校验的方法430包括操作S431~操作S434。
其中,在操作S431,根据至少一个参考关键文件的参考存储目录,确定终端设备中目标关键文件的存储目录是否异常,得到第一判断结果。
根据本公开的实施例,例如可以检查终端设备中,目标关键文件的存储目录与参考存储目录是否一致,如果不一致,则可以确定第一判断结果为异常。如果一致,则可以进一步检查存储目录的大小相比对应的参考存储目录是否发生变化。如果大小发生变化,则可以确定第一判断结果为异常。另外,可以检查存储目录的修改时间与参考存储目录是否一致,如果不一致,则可以确定第一判断结果为异常。如果上述检查均通过,则可以确定第一判断结果为正常。
在操作S432,根据至少一个参考关键文件,确定终端设备中的目标关键文件是否有增加,得到第二判断结果。
根据本公开的实施例,可以确定终端设备的存储器中是否有除至少一个参考关键文件之外的其他关键文件,如果有,则可以确定第二判断结果为异常。另外,可以在终端设备的内存中查找是否有除至少一个参考关键文件之外的其他关键文件,如果有,则可以确定第二判断结果为异常。如果均未查找到其他关键文件,则可以确定第二判断结果为正常。
在操作S433,根据至少一个参考关键文件,确定终端设备中的目标关键文件是否被篡改,得到第三判断结果。
根据本公开的实施例,例如可以获取目标关键文件的时间信息、MD5信息等信息。其中,MD5为一种信息摘要算法。确定目标关键文件的时间信息与对应参考关键文件的时间信息相比是否被篡改,如果被篡改,则确定第三判断结果为异常,并且确定目标关键文件的MD5信息与对应参考关键文件的MD5信息相比是否被篡改,如果被篡改,则确定第三判断结果为异常。如果均没有被篡改,则确定第三判断结果为正常。
在操作S434,根据第一判断结果、第二判断结果和第三判断结果,确定关键文件校验结果。
根据本公开的实施例,可以在第一判断结果、第二判断结果和第三判断结果均为正常的情况下,确定关键文件校验结果为:通过校验。在第一判断结果、第二判断结果和第三判断结果中至少一个为异常的情况下,确定关键文件校验结果为:未通过校验。
相关技术难以识别对操作系统底层进行过修改的风险设备。而根据本公开的实施例,通过对关键文件进行校验,可以分析操作系统的底层是否被篡改,进而可以对操作系统底层进行过修改的风险设备进行识别,提高了对风险设备的识别能力。
根据本公开另一实施例,例如还可以获取参考启动进程信息与参考核心层信息之间的对应关系,其中,参考核心层信息为参考设备的核心层信息,参考启动进程信息可以包括启动进程的进程标识和修改时间等。然后,可以根据对应关系,确定与参考核心层信息对应的参考启动进程信息,作为目标启动进程信息。接下来,可以根据目标启动进程信息,校验终端设备中的启动进程的文件标识和修改时间,得到启动进程校验结果。接着,可以根据启动进程校验结果,确定第二识别结果。如果启动进程的文件标识和修改时间与目标启动进程信息不一致,则可以确定第二识别结果为:终端设备为风险设备。示例性地,例如可以收集多个参考设备的核心层信息和启动进程信息,通过统计这些参考设备的核心层信息和启动进程信息在同一个设备中出现的次数,确定核心层信息和启动进程信息同时出现的出现频率,确定同时出现频率高于第一出现频率阈值的核心层信息和启动进程信息,作为参考启动进程信息与参考核心层信息,并记录该参考启动进程信息与该参考核心层信息之间的对应关系。其中,第一出现频率阈值可以根据实际需要设置。
根据本公开另一实施例,例如还可以获取终端设备的应用权限信息。其中,应用权限信息表示应用程序可以获取的权限,例如摄像头权限、位置信息获取权限、存储器读写权限等。然后可以确定与核心层信息对应的标准应用权限信息。标准应用权限信息可以用于表示正常操作系统提供给应用程序的权限。接下来可以根据终端设备的应用权限信息和标准应用权限信息,对终端设备进行识别风险,得到第三识别结果。例如,如果终端设备的应用权限信息显示应用程序可获取的权限超出标准应用权限信息所表示的权限,则表示有人通过修改该终端设备的操作系统进行了提权操作,基于此可以确定第三识别结果为:终端设备为风险设备。
根据本公开另一实施例,例如还可以获取终端设备的设备厂商信息。其中,设备厂商信息可以用于表示终端设备的生产厂商,例如可以包括厂商标识。根据厂商与核心层信息之间的对应关系,确定设备厂商信息与核心层信息是否匹配,得到匹配结果。然后根据匹配结果,对终端设备进行识别风险,得到第四识别结果。如果设备厂商信息与核心层信息不匹配,则可以确定第四识别结果为:终端设备为风险设备。厂商与操作系统具有相对固定的对应关系,例如,厂商往往会使用自行开发或定制的操作系统,而不会使用竞争对手开发或定制的操作系统。基于此,可以统计大量终端设备的设备厂商信息和核心层信息,记录出现频率高于第二出现频率阈值的设备厂商信息和核心层信息的组合,得到对应关系,其中,第二出现频率阈值可以根据实际需要设置。
下面参考图5~图6,结合具体实施例对上文所示的风险设备的识别方法做进一步说明。本领域技术人员可以理解,以下示例实施例仅用于理解本公开,本公开并不局限于此。
图5示意性示出了根据本公开的实施例的操作系统的示意图。示例性地,本实施例中操作系统可以为Android系统。
在图5中示出了,操作系统可以包括应用部分、核心部分和底层部分。
根据本公开的实施例,应用部分可以包括应用层,应用层可以包括各种应用程序,例如搜索应用、地图应用、网盘应用等等。
根据本公开的实施例,核心部分可以包括架构层(Application Framework)、孵化器(Zygote)和核心类库(Libraies)。其中,架构层可以包括组件管理、窗口管理、系统数据、控件框架等模块。孵化器可以包括虚拟机,例如DVM(Dalvik Virtual Machine)、Java核心类库等。核心类库可以包括libc.so、libandroid.so、libart.so、SQLite、OpenGL等数据。其中,libc.so、libandroid.so、libart.so为操作系统的动态链接库文件,SQLite是一种轻型数据库,OpenGL是一种三维图形软件包。
根据本公开的实施例,底层部分可以包括硬件抽象层(Hardware AbstractLayer)和Linux内核(Kernel)。其中,硬件抽象层可以包括音视频接口、通话接口、WiFi接口等。Linux内核可以包括进程、线程、电源管理、驱动等。
图6示意性示出了根据本公开的实施例的风险设备的识别方法的示意图。
根据本公开的实施例,可以在对应关系库中存储至少一个核心层信息和与每个核心层信息对应的启动进程信息。
在图6中示出了,应用程序在启动时,会创建对应的启动进程,其中,启动进程例如可以包括zygote进程以及由zygote进程启动的其他子进程。本实施例中,可以对启动进程进行保护。例如可以获取终端设备操作系统的核心层信息。核心层信息例如可以包括Kernel版本信息。然后,可以在对应关系库中,以核心层信息为主键,查找对应的启动进程信息,得到至少一个目标启动进程信息。接着,在终端设备中查找是否存在与至少一个目标启动进程信息不匹配的启动进程文件,若不存在,则表示终端设备风险较低。若存在,则表示终端设备风险较高,可以确定对应识别结果为:终端设备为风险设备。在终端设备的内存中查找是否存在与至少一个目标启动进程信息不匹配的启动进程,若不存在,则表示终端设备风险较低。若存在,则表示终端设备风险较高,可以确定对应识别结果为:终端设备为风险设备。另外,目标启动进程信息包括启动进程的修改时间,可以确定终端设备中启动进程的修改时间是否与目标启动进程信息匹配,若匹配,则表示终端设备风险较低。若不匹配,则表示终端设备风险较高,可以确定对应识别结果为:终端设备为风险设备。接着,将风险较高的终端设备记录在黑设备库中。后续可以根据黑设备库中的记录,对风险设备进行识别。
根据本公开的实施例,还可以对操作系统的关键文件进行保护。其中,关键文件例如可以包括SO文件。
根据本公开的实施例,白名单库中存储有至少一个白名单,每个白名单包括至少一个参考核心层信息和与至少一个参考核心层信息中每个参考核心层信息对应的参考关键文件信息。示例性地,白名单中可以以参考核心层信息为主键,以参考关键文件信息为值。基于此,可以在白名单库中查找与核心层信息对应的目标关键文件信息。例如,可以查找白名单中核心层信息对应的值,得到目标关键文件信息。
根据本公开的实施例,目标关键文件信息例如可以包括至少一个参考关键文件和与至少一个参考关键文件的标准存储目录。
根据本公开的实施例,可以根据至少一个参考关键文件的标准存储目录,确定终端设备中目标关键文件的存储目录是否异常,得到第一判断结果。例如,可以检查目标关键文件的存储目录与参考存储目录是否一致,如果不一致,则可以确定第一判断结果为异常。如果一致,则可以进一步检查存储目录的大小相比对应的参考存储目录是否发生变化。如果大小发生变化,则可以确定第一判断结果为异常。另外,还可以检查存储目录的修改时间与参考存储目录是否一致,如果不一致,则可以确定第一判断结果为异常。如果上述检查均通过,则可以确定第一判断结果为正常。
根据本公开的实施例,可以根据至少一个参考关键文件,确定终端设备中的目标关键文件是否有增加或者是否存在可疑关键文件,得到第二判断结果。例如,确定终端设备的存储器中是否有除至少一个参考关键文件之外的其他关键文件,如果有,则可以确定第二判断结果为异常。另外,可以在终端设备的内存中查找是否有除至少一个参考关键文件之外的其他关键文件,如果有,则该其他关键文件为可疑关键文件,可以确定第二判断结果为异常。如果均未查找到其他关键文件,则可以确定第二判断结果为正常。
根据本公开的实施例,可以根据至少一个参考关键文件,确定终端设备中的目标关键文件是否被篡改,得到第三判断结果。例如,可以分别针对存储目录中的目标关键文件和正在运行中的目标关键文件,获取目标关键文件的时间信息、MD5信息等信息。确定目标关键文件的时间信息与对应参考关键文件的时间信息相比是否被篡改,如果被篡改,则确定第三判断结果为异常,并且确定目标关键文件的MD5信息与对应参考关键文件的MD5信息相比是否被篡改,如果被篡改,则确定第三判断结果为异常。如果均没有被篡改,则确定第三判断结果为正常。
在得到第一判断结果、第二判断结果和第三判断结果之后,可以根据第一判断结果、第二判断结果和第三判断结果,确定关键文件校验结果。例如,如果第一判断结果、第二判断结果和第三判断结果中至少有一个为异常,则确定关键文件校验结果为:未通过校验,并将该目标关键文件记录在黑文件库中。如果第一判断结果、第二判断结果和第三判断结果均为正常,则则确定关键文件校验结果为:通过校验,并将该目标关键文件记录在白文件库中。后续可以直接根据黑文件库和白文件库中的记录,来识别操作系统的关键文件,从而判断操作系统是否异常,进而识别出风险设备。
接下来,还可以将风险设备的操作系统进行分类,分类的类型例如可以包括修改厂商信息、修改系统参数、异常刷脸行为等。然后可以将分类后的操作系统和对应的类型记录在操作系统标签库中。后续可以根据操作系统标签库中的记录,确定操作系统的类型。
以下将结合图7对本公开提供的风险设备的识别装置进行描述。
图7示意性示出了根据本公开实施例的风险设备的识别装置的框图。
如图7所示,风险设备的识别装置700包括核心层信息确定模块710、关键文件信息确定模块720、关键文件校验模块730和第一风险识别模块740。
核心层信息确定模块710,用于针对终端设备的操作系统,确定操作系统的核心层信息。
关键文件信息确定模块720,用于确定与核心层信息对应的目标关键文件信息。
关键文件校验模块730,用于根据目标关键文件信息,对终端设备中的关键文件进行校验,得到关键文件校验结果。
第一风险识别模块740,用于根据关键文件校验结果,对终端设备进行识别风险,得到第一识别结果。
根据本公开的实施例,目标关键文件信息可以包括至少一个参考关键文件和与至少一个参考关键文件的参考存储目录。关键文件校验模块可以包括:第一判断子模块,用于根据至少一个参考关键文件的参考存储目录,确定终端设备中目标关键文件的存储目录是否异常,得到第一判断结果;第二判断子模块,用于根据至少一个参考关键文件,确定终端设备中的目标关键文件是否有增加,得到第二判断结果;第三判断子模块,用于根据至少一个参考关键文件,确定终端设备中的目标关键文件是否被篡改,得到第三判断结果;以及关键文件检验子模块,用于根据第一判断结果、第二判断结果和第三判断结果,确定关键文件校验结果。
根据本公开的实施例,关键文件信息确定模块可以包括:白名单获取子模块,用于获取白名单数据,其中,白名单数据包括至少一个参考核心层信息和与至少一个参考核心层信息中每个参考核心层信息对应的参考关键文件信息;以及目标关键文件信息确定子模块,用于确定白名单数据中与目标核心层信息对应的参考关键文件信息,作为目标关键文件信息。
根据本公开的实施例,终端设备中可以配置有目标应用程序,目标应用程序可以包括原生层。核心层信息确定模块可以包括:核心层信息获取子模块,用于通过目标应用程序的原生层,获取核心层信息。
根据本公开的实施例,上述装置还可以包括:原始信息获取模块,用于获取多个原始设备的原始核心层信息和原始关键文件信息;统计模块,用于对多个原始设备的原始核心层信息和原始关键文件信息进行统计,得到统计结果;以及白名单确定模块,用于根据统计结果,确定白名单数据。
根据本公开的实施例,上述装置还可以包括:对应关系获取模块,用于获取参考启动进程信息与参考核心层信息之间的对应关系,其中,参考启动进程信息包括启动进程的进程标识和修改时间;启动进程确定模块,用于根据对应关系,确定与参考核心层信息对应的参考启动进程信息,作为目标启动进程信息;以及启动进程校验模块,用于根据目标启动进程信息,校验终端设备中的启动进程的文件标识和修改时间,得到启动进程校验结果;以及第二识别模块,用于根据启动进程校验结果,确定第二识别结果。
根据本公开的实施例,上述装置还可以包括:权限获取模块,用于获取终端设备的应用权限信息;标准权限获取模块,用于确定与目标操作系统信息对应的标准应用权限信息;以及第三识别模块,用于根据终端设备的应用权限信息和标准应用权限信息,对终端设备进行识别风险,得到第三识别结果。
根据本公开的实施例,上述装置还可以包括:厂商信息获取模块,用于获取终端设备的设备厂商信息;匹配模块,用于根据厂商与操作系统的对应关系,确定设备厂商信息与操作系统信息是否匹配,得到匹配结果;以及第四识别模块,用于根据匹配结果,对终端设备进行识别风险,得到第四识别结果。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图8示意性示出了可以用来实施本公开的实施例的示例电子设备800的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图8所示,设备800包括计算单元801,其可以根据存储在只读存储器(ROM)802中的计算机程序或者从存储单元808加载到随机访问存储器(RAM)803中的计算机程序,来执行各种适当的动作和处理。在RAM 803中,还可存储设备800操作所需的各种程序和数据。计算单元801、ROM 802以及RAM 803通过总线804彼此相连。输入/输出(I/O)接口805也连接至总线804。
设备800中的多个部件连接至I/O接口805,包括:输入单元806,例如键盘、鼠标等;输出单元807,例如各种类型的显示器、扬声器等;存储单元808,例如磁盘、光盘等;以及通信单元809,例如网卡、调制解调器、无线通信收发机等。通信单元809允许设备800通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元801可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元801的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元801执行上文所描述的各个方法和处理,例如风险设备的识别方法。例如,在一些实施例中,风险设备的识别方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元808。在一些实施例中,计算机程序的部分或者全部可以经由ROM 802和/或通信单元809而被载入和/或安装到设备800上。当计算机程序加载到RAM803并由计算单元801执行时,可以执行上文描述的风险设备的识别方法的一个或多个步骤。备选地,在其他实施例中,计算单元801可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行风险设备的识别方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (12)
1.一种风险设备的识别方法,包括:
针对终端设备的操作系统,确定所述操作系统的核心层信息;
确定与所述核心层信息对应的目标关键文件信息;
根据所述目标关键文件信息,对所述终端设备中的关键文件进行校验,得到关键文件校验结果;以及
根据所述关键文件校验结果,对所述终端设备进行识别风险,得到第一识别结果。
2.根据权利要求1所述的方法,其中,所述目标关键文件信息包括至少一个参考关键文件和与所述至少一个参考关键文件的参考存储目录;所述根据所述目标关键文件信息,对所述终端设备中的关键文件进行校验,得到关键文件校验结果,包括:
根据所述至少一个参考关键文件的参考存储目录,确定所述终端设备中目标关键文件的存储目录是否异常,得到第一判断结果;
根据所述至少一个参考关键文件,确定所述终端设备中的目标关键文件是否有增加,得到第二判断结果;
根据所述至少一个参考关键文件,确定所述终端设备中的目标关键文件是否被篡改,得到第三判断结果;以及
根据所述第一判断结果、第二判断结果和所述第三判断结果,确定所述关键文件校验结果。
3.根据权利要求1所述的方法,其中,所述确定与所述核心层信息对应的目标关键文件信息包括:
获取白名单数据,其中,所述白名单数据包括至少一个参考核心层信息和与所述至少一个参考核心层信息中每个参考核心层信息对应的参考关键文件信息;以及
确定所述白名单数据中与所述目标核心层信息对应的参考关键文件信息,作为所述目标关键文件信息。
4.根据权利要求3所述的方法,其中,所述终端设备中配置有目标应用程序,所述目标应用程序包括原生层;所述确定所述操作系统的核心层信息包括:
通过所述目标应用程序的原生层,获取所述核心层信息。
5.根据权利要求3所述的方法,其中,所述白名单数据是根据以下操作生成的:
获取多个原始设备的原始核心层信息和原始关键文件信息;
对多个原始设备的原始核心层信息和原始关键文件信息进行统计,得到统计结果;以及
根据所述统计结果,确定所述白名单数据。
6.根据权利要求1所述的方法,还包括:
获取参考启动进程信息与参考核心层信息之间的对应关系,其中,所述参考启动进程信息包括启动进程的进程标识和修改时间;
根据所述对应关系,确定与所述参考核心层信息对应的参考启动进程信息,作为目标启动进程信息;
根据所述目标启动进程信息,校验所述终端设备中的启动进程的文件标识和修改时间,得到启动进程校验结果;以及
根据所述启动进程校验结果,确定第二识别结果。
7.根据权利要求1所述的方法,还包括:
获取所述终端设备的应用权限信息;
确定与所述核心层信息对应的标准应用权限信息;以及
根据所述终端设备的应用权限信息和所述标准应用权限信息,对所述终端设备进行识别风险,得到第三识别结果。
8.根据权利要求1所述的方法,还包括:
获取所述终端设备的设备厂商信息;
根据厂商与核心层信息的对应关系,确定所述设备厂商信息与所述核心层信息是否匹配,得到匹配结果;以及
根据所述匹配结果,对所述终端设备进行识别风险,得到第四识别结果。
9.一种风险设备的识别装置,包括:
核心层信息确定模块,用于针对终端设备的操作系统,确定所述操作系统的核心层信息;
关键文件信息确定模块,用于确定与所述核心层信息对应的目标关键文件信息;
关键文件校验模块,用于根据所述目标关键文件信息,对所述终端设备中的关键文件进行校验,得到关键文件校验结果;以及
第一风险识别模块,用于根据所述关键文件校验结果,对所述终端设备进行识别风险,得到第一识别结果。
10.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-8中任一项所述的方法。
11.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据权利要求1-8中任一项所述的方法。
12.一种计算机程序产品,包括计算机程序/指令,其特征在于,该计算机程序/指令被处理器执行时实现权利要求1-8中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310072179.0A CN116055202A (zh) | 2023-01-13 | 2023-01-13 | 风险设备的识别方法、装置、设备以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310072179.0A CN116055202A (zh) | 2023-01-13 | 2023-01-13 | 风险设备的识别方法、装置、设备以及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116055202A true CN116055202A (zh) | 2023-05-02 |
Family
ID=86132954
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310072179.0A Pending CN116055202A (zh) | 2023-01-13 | 2023-01-13 | 风险设备的识别方法、装置、设备以及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116055202A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150186296A1 (en) * | 2013-09-06 | 2015-07-02 | Michael Guidry | Systems And Methods For Security In Computer Systems |
| CN107995148A (zh) * | 2016-10-27 | 2018-05-04 | 中国电信股份有限公司 | 文件防篡改的方法、系统、终端和可信云平台 |
| CN114124583A (zh) * | 2022-01-27 | 2022-03-01 | 杭州海康威视数字技术股份有限公司 | 基于零信任的终端控制方法、系统及装置 |
| CN115033848A (zh) * | 2022-06-30 | 2022-09-09 | 北京奇艺世纪科技有限公司 | 设备识别方法、装置、电子设备及存储介质 |
-
2023
- 2023-01-13 CN CN202310072179.0A patent/CN116055202A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150186296A1 (en) * | 2013-09-06 | 2015-07-02 | Michael Guidry | Systems And Methods For Security In Computer Systems |
| CN107995148A (zh) * | 2016-10-27 | 2018-05-04 | 中国电信股份有限公司 | 文件防篡改的方法、系统、终端和可信云平台 |
| CN114124583A (zh) * | 2022-01-27 | 2022-03-01 | 杭州海康威视数字技术股份有限公司 | 基于零信任的终端控制方法、系统及装置 |
| CN115033848A (zh) * | 2022-06-30 | 2022-09-09 | 北京奇艺世纪科技有限公司 | 设备识别方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110290522B (zh) | 用于移动设备的风险识别方法、装置和计算机系统 | |
| US11762979B2 (en) | Management of login information affected by a data breach | |
| US9934310B2 (en) | Determining repeat website users via browser uniqueness tracking | |
| CN110070360B (zh) | 一种事务请求处理方法、装置、设备及存储介质 | |
| WO2019019356A1 (zh) | 应用程序测试方法、装置、计算机设备和存储介质 | |
| CN112073374B (zh) | 信息拦截方法、装置及设备 | |
| WO2024169388A1 (zh) | 基于stride模型的安全需求生成方法、装置、电子设备及介质 | |
| KR102541888B1 (ko) | 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템 | |
| CN116028917A (zh) | 权限检测方法及装置、存储介质及电子设备 | |
| CN116055202A (zh) | 风险设备的识别方法、装置、设备以及存储介质 | |
| CN115310096A (zh) | 一种安全漏洞的处理方法、装置、设备及介质 | |
| CN114462030A (zh) | 隐私政策的处理、取证方法、装置、设备及存储介质 | |
| CN108810230B (zh) | 一种获取来电提示信息的方法、装置及设备 | |
| EP4160454A1 (en) | Computer-implemented systems and methods for application identification and authentication | |
| CN112528330B (zh) | 日志扫描方法、装置和设备 | |
| US11777959B2 (en) | Digital security violation system | |
| US20230094066A1 (en) | Computer-implemented systems and methods for application identification and authentication | |
| CN115190008B (zh) | 故障处理方法、故障处理装置、电子设备及存储介质 | |
| CN117852043A (zh) | 异常设备的确定方法、装置、电子设备以及存储介质 | |
| CN108256320B (zh) | 微分域动态检测方法及装置、设备和存储介质 | |
| CN116318968A (zh) | 目标操作执行方法、装置、设备及存储介质 | |
| CN117235725A (zh) | 软件包名的获取方法、装置、电子设备以及存储介质 | |
| CN118036002A (zh) | 安全文件识别方法、装置、安全业务系统、设备及介质 | |
| CN118427836A (zh) | 一种终端残余风险检测方法、装置、电子设备和存储介质 | |
| CN117077199A (zh) | 一种文件的访问控制方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |