CN116997891A - 行为监控方法、装置、终端设备及计算机可读存储介质 - Google Patents

Abstract

本申请实施例公开了一种行为监控方法、装置、终端设备及计算机可读存储介质。该方法，包括：在目标应用运行的过程中，通过钩子HOOK单元对所述目标应用的存储行为进行监控；在通过所述HOOK单元检测到所述目标应用进行存储行为时，获取所述存储行为对应的存储数据；将所述存储数据与敏感数据进行匹配，若匹配成功，则确定所述存储行为是敏感存储行为。上述的行为监控方法、装置、终端设备及计算机可读存储介质，能够准确检测出应用的敏感存储行为，改善敏感数据泄露的情况，提高了数据安全性。

Description

行为监控方法、装置、终端设备及计算机可读存储介质 技术领域

本申请涉及数据安全技术领域，尤其涉及一种行为监控方法、装置、终端设备及计算机可读存储介质。

背景技术

随着科学技术的高速发展，人们的生活越来越依赖各式的电子设备及互联网。电子设备及互联网在给用户带来便利的同时，也容易出现不同的组织对个人信息的非法收集、滥用、泄露等问题，个人信息安全面临严重威胁。如何提高互联网时代下数据信息的安全性成了亟需解决的问题。

发明内容

本申请实施例提供了一种行为监控方法、装置、终端设备及计算机可读存储介质，能够准确检测出应用的敏感存储行为，改善敏感数据泄露的情况，提高了数据安全性。

本申请实施例公开了一种行为监控方法，包括：

在目标应用运行的过程中，通过钩子HOOK单元对所述目标应用的存储行为进行监控；

在通过所述HOOK单元检测到所述目标应用进行存储行为时，获取所述存储行为对应的存储数据；

将所述存储数据与敏感数据进行匹配，若匹配成功，则确定所述存储行为是敏感存储行为。

本申请实施例公开了一种行为监控装置，包括：

监控模块，用于在目标应用运行的过程中，通过钩子HOOK单元对所述目标应用的存储行为进行监控；

数据获取模块，用于在通过所述HOOK单元检测到所述目标应用进行存储行为时，获取所述存储行为对应的存储数据；

匹配模块，用于将所述存储数据与敏感数据进行匹配，若匹配成功，则确定所述存储行为是敏感存储行为。

本申请实施例公开了一种终端设备，包括处理器和存储器，所述处理器和存储器耦合，所述存储器用于存储计算机程序，当所述计算机程序被所述处理器执行时，使得所述处理器执行如下步骤：

在目标应用运行的过程中，通过钩子HOOK单元对所述目标应用的存储行为进行监控；

在通过所述HOOK单元检测到所述目标应用进行存储行为时，获取所述存储行为对应的存储数据；

将所述存储数据与敏感数据进行匹配，若匹配成功，则确定所述存储行为是敏感存储行为。

本申请实施例公开了一种计算机可读存储介质，所述计算机存储介质中存储有程序指令，当所述程序指令被处理器执行时，使得所述处理器执行如下步骤：

在目标应用运行的过程中，通过钩子HOOK单元对所述目标应用的存储行为进行监控；

在通过所述HOOK单元检测到所述目标应用进行存储行为时，获取所述存储行为对应的存储数据；

将所述存储数据与敏感数据进行匹配，若匹配成功，则确定所述存储行为是敏感存储行为。

本申请实施例公开的行为监控方法、装置、终端设备及计算机可读存储介质，在目标 应用运行的过程中，通过钩子HOOK单元对目标应用的存储行为进行监控，在通过HOOK单元检测到目标应用进行存储行为时，获取存储行为对应的存储数据，并将存储数据与敏感数据进行匹配，若匹配成功，则确定存储行为是敏感存储行为，可准确识别出应用的敏感存储行为，改善敏感数据泄露的情况，提高了数据安全性。且通过HOOK单元对应用的存储行为进行监控，能够提高识别敏感存储行为的效率及准确性。

附图说明

为了更清楚地说明本申请实施例技术方案，下面将对实施例和现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，还可以根据这些附图获得其它的附图。

图1A为一个实施例中行为监控方法的应用场景图；

图1B为一个实施例中终端设备的系统架构图；

图2为一个实施例中行为监控方法的流程图；

图3为另一个实施例中行为监控方法的流程图；

图4为另一个实施例中行为监控方法的流程图；

图5A为一个实施例中可视化界面的示意图；

图5B为另为一个实施例中可视化界面的示意图；

图5C为一个实施例中进行存储行为的界面截图的示意图；

图6为一个实施例中行为监控装置的框图；

图7为一个实施例中终端设备的结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，都应当属于本申请保护的范围。

在相关的技术中，对于应用程序对敏感数据的存储检测通常是采用人工的方式，通过人工手动的方式对应用程序进行的存储行为进行排查搜索，并逐一判断是否存在违规的存储行为，检测成本高且效率低，且人工检测的方式容易出现漏检的情况，检测结果不够准确。

在本申请实施例中，提供一种行为监控方法、装置、终端设备及计算机可读存储介质，能够准确识别出应用的敏感存储行为，改善敏感数据泄露的情况，提高了数据安全性，且通过HOOK单元自动对应用的存储行为进行监控，提高了识别敏感存储行为的效率及准确性。

图1A为一个实施例中行为监控方法的应用场景图。如图1A所示，行为监控方法可应用于终端设备10，该终端设备10可包括但不限于手机、平板电板、智能可穿戴设备(如智能眼镜、智能手表等)、车载终端、笔记本电脑等，本申请实施例对此不作限定。终端设备10中可安装有一个或多个应用程序，并配置有HOOK(钩子)单元130。在目标应用110的运行过程中，HOOK单元130可对目标应用110的存储行为进行监控上，并在HOOK单元130检测到目标应用110进行存储行为时，可获取该存储行为对应的存储数据。作为一种实施方式，HOOK单元130可捕获目标应用110向存储器120传递的消息，并通过捕获的消息分析判断目标应用110是否进行向存储器120写入数据的动作，如果目标应用110是在进行向存储器120写入数据的动作，则可根据捕获的消息获取存储数据。

终端设备10可将目标应用110进行的存储行为的存储数据与敏感数据进行匹配，若匹配成功，则说明该存储数据为敏感数据，可确定目标应用110所进行的存储行为是敏感存 储行为。

图1B为一个实施例中终端设备的系统架构图。分层架构将终端设备的系统分成若干个层，每一层都有清晰的角色和分工。层与层之间通过软件接口通信。以终端设备内部的操作系统为Android系统为例，在一些实施例中，将Android系统分为四层，从上至下分别为应用程序层，应用程序框架层，安卓运行时(Android runtime)和系统库，以及内核层。

应用程序层可以包括一系列应用程序包。应用程序层可以包括相机，图库，日历，通话，地图，导航，WLAN，蓝牙，音乐，视频，短信息等应用程序，但不限于此。

应用程序框架层为应用程序层的应用程序提供应用编程接口(application programming interface，API)和编程框架。应用程序框架层包括一些预先定义的函数。可选地，应用程序框架层可以包括窗口管理器，内容提供器，视图系统，电话管理器，资源管理器，通知管理器等。

其中，窗口管理器用于管理窗口程序。窗口管理器可以获取显示屏大小，判断是否有状态栏，锁定屏幕，截取屏幕等。内容提供器用来存放和获取数据，并使这些数据可以被应用程序访问。该数据可以包括视频，图像，音频，拨打和接听的电话，浏览历史和书签，电话簿等。视图系统包括可视控件，例如显示文字的控件，显示图片的控件等。视图系统可用于构建应用程序。显示界面可以由一个或多个视图组成的。例如，包括短信通知图标的显示界面，可以包括显示文字的视图以及显示图片的视图。电话管理器用于提供电子设备100的通信功能。例如通话状态的管理(包括接通，挂断等)。资源管理器为应用程序提供各种资源，比如本地化字符串，图标，图片，布局文件，视频文件等等。通知管理器使应用程序可以在状态栏中显示通知信息，可以用于传达告知类型的消息，可以短暂停留后自动消失，无需用户交互。比如通知管理器被用于告知下载完成，消息提醒等。通知管理器还可以是以图表或者滚动条文本形式出现在系统顶部状态栏的通知，例如后台运行的应用程序的通知，还可以是以对话窗口形式出现在屏幕上的通知。例如在状态栏提示文本信息，发出提示音，电子设备振动，指示灯闪烁等。

Android Runtime包括核心库和虚拟机。Android runtime负责安卓系统的调度和管理。其中，核心库包含两部分：一部分是java语言需要调用的功能函数，另一部分是安卓的核心库。应用程序层和应用程序框架层运行在虚拟机中。虚拟机将应用程序层和应用程序框架层的java文件执行为二进制文件。虚拟机用于执行对象生命周期的管理，堆栈管理，线程管理，安全和异常的管理，以及垃圾回收等功能。

系统库可以包括多个功能模块。例如：表面管理器(surface manager)，媒体库(Media Libraries)，三维图形处理库(例如：OpenGL ES)，2D(2-Dimensiona，二维)图形引擎(例如：SGL)等。其中，表面管理器用于对显示子系统进行管理，并且为多个应用程序提供了2D和3D(3-Dimensiona，三维)图层的融合。媒体库支持多种常用的音频，视频格式回放和录制，以及静态图像文件等。媒体库可以支持多种音视频编码格式，例如：MPEG4(Moving Pictures Experts Group-4，动态影像专家组-4)，H.264，MP3(Moving Picture Experts Group Audio Layer III，动态影像专家压缩标准音频层面3)，AAC(Advanced Audio Coding，高级音频编码)，JPEG(Joint Photographic Experts Group，联合图像专家组)，PNG(Portable Network Graphics，便携式网络图形)等。三维图形处理库用于实现三维图形绘图，图像渲染，合成，和图层处理等。2D图形引擎是2D绘图的绘图引擎。

内核层是硬件和软件之间的层。内核层至少包含显示驱动，摄像头驱动，音频驱动，传感器驱动。

结合图1B中的软件架构，示例性地说明终端设备的工作流程。当应用程序层中的目标应用运行时，应用程序框架层可创建与该目标应用对应的Activity(活动)，目标应用可运 行在虚拟机中。当目标应用进行存储行为时，可通过应用程序框架层向下传递消息，并通过该消息调用系统库的存储函数，从而访问可进行数据存储的数据库。HOOK单元可安装在系统库层中，可对应用程序框架层和/或系统库中的存储函数的调用进行监控，在HOOK单元检测到目标应用调用存储函数时，则可确定目标应用进行存储行为，并获取该存储行为对应的存储数据。终端设备可进一步将该存储数据与敏感数据进行匹配，若匹配成功，则可确定目标应用所进行的存储行为是敏感存储行为。

需要说明的是，终端设备的操作系统并不仅限于上述的Android系统，也可以是其它操作系统，如IOS、Windows系统等，系统的架构也可以是其它架构，本申请实施例对此不作限定。

如图2所示，在一个实施例中，提供一种行为监控方法，可应用于上述的终端设备，该方法可包括以下步骤：

步骤210，在目标应用运行的过程中，通过钩子HOOK单元对目标应用的存储行为进行监控。

目标应用可指的是需要进行存储行为监控的应用程序。目标应用可以是终端设备中安装的所有应用程序，也可以是安装的应用程序中的一个或多个。可选地，该目标应用可以是用户选择进行监控的应用，可设置有选择监控界面，在该监控界面中可显示终端设备中安装的各个应用程序的信息，如可显示各个应用程序的应用名称、版本号、上一次使用时间、应用类型等。用户可在监控界面中选择需要进行监控的应用，终端设备可根据用户触发的选择操作确定选择的应用，并将选择的应用作为目标应用。通过用户选择的方式，可使得监控的目标应用更加贴合用户需求。

可选地，目标应用也可以是终端设备通过分析各个应用程序的应用信息，自主选择得到的需要进行监控的应用。该应用信息可包括但不限于应用厂商、应用类型、上一次使用时间等，该应用类型可包括但不限于娱乐应用、支付应用、社交应用、购物应用等。

在一些实施例中，服务器可预先采集大量不同用户的应用使用数据，以及每个用户出现信息泄露、恶意采集等数据不安全的情况，并通过大数据等数据分析方式分析每个用户使用的应用与数据不安全情况之间的关联性，从而得到会频繁出现数据不安全情况的应用特征。终端设备可从服务器获取该应用特征，并将安装的各个应用程序的应用信息与该应用特征进行比对，可将应用信息符合该应用特征的应用程序作为目标应用。通过应用信息分析的方式确定需要监控的目标应用，可使得监控的应用更具有针对性，且可避免无目标对所有应用程序进行监控从而造成终端设备的资源浪费的情况。

HOOK单元是以HOOK(钩子)技术配置的运行单元，HOOK单元可对系统事件及消息等进行拦截。在本申请实施例中，在目标应用运行的过程中，终端设备可通过HOOK单元对目标应用的存储行为进行监控，HOOK单元可拦截目标应用在运行过程中向数据库发送的消息，并解析该消息确定目标应用访问数据库是执行写入动作还是读出动作，若目标应用访问数据库是执行写入动作，则可确定目标应用进行存储行为。

步骤220，在通过HOOK单元检测到目标应用进行存储行为时，获取存储行为对应的存储数据。

在通过HOOK单元检测到目标应用进行存储行为时，HOOK单元可通过解析拦截的目标应用与数据库之间的消息，得到目标应用待写入数据库的数据，该待写入数据库的数据可作为存储行为对应的存储数据。

在一些实施例中，待写入数据库的数据可以是经过数据处理后的数据，如经过数据编码、数据加密等处理后的数据，则终端设备在获取待写入数据后，可对该待写入数据进行解析，得到在处理前的数据，例如，待写入数据为编码数据，则终端设备可对该待写入数 据进行解码，得到编码前的数据。由于处理前的数据是真实的数据，可能涉及到用户的敏感信息，则可将该处理前的数据作为存储行为对应的存储数据。

步骤230，将存储数据与敏感数据进行匹配，若匹配成功，则确定存储行为是敏感存储行为。

终端设备可预先存储有敏感数据，该敏感数据可包括用户的个人隐私数据，例如身份证号码、手机号码、通讯地址、邮箱等信息，但不限于此。可将存储数据与预先存储的敏感数据进行匹配，并判断二者是否匹配成功，若存在与该存储数据一致的敏感数据，则可确定匹配成功，并确定目标行为进行的存储行为是敏感存储行为。

在一些实施例中，敏感数据也可包括敏感数据格式，例如，敏感数据可包括手机号码的格式、邮箱地址的格式、身份证号码的格式等，该格式指的是数据组成的方式，如包含的特定字符、字符数量、字符类型、不同类型的字符所在的位置等，以手机号码为例，对应的格式可为11位的数字，以邮箱地址为例，对应的格式可以是包含字符“@”，及“.com”或“.cn”等，但不限于此。终端设备可将存储数据与敏感数据格式进行匹配，若存储数据的格式符合敏感数据格式，则可确定匹配成功，并定目标行为进行的存储行为是敏感存储行为。

在本申请实施例中，在目标应用运行的过程中，通过钩子HOOK单元对目标应用的存储行为进行监控，在通过HOOK单元检测到目标应用进行存储行为时，获取存储行为对应的存储数据，并将存储数据与敏感数据进行匹配，若匹配成功，则确定存储行为是敏感存储行为，可准确识别出应用的敏感存储行为，改善敏感数据泄露的情况，提高了数据安全性。且通过HOOK单元对应用的存储行为进行监控，能够提高识别敏感存储行为的效率及准确性。

如图3所示，在一个实施例中，提供另一种行为监控方法，可应用于上述的终端设备，该方法可包括以下步骤：

步骤302，获取当前运行的应用程序的应用标识信息。

在一些实施例中，在终端设备接收到应用程序的启动指令时，可根据该启动指令加载并运行选择启动的应用程序，并获取该运行的应用程序的应用标识信息，该应用标识信息可包括但不限于应用名称、应用编号、应用安装包的包名等信息。

步骤304，若HOOK单元中配置的监控应用信息包含应用标识信息，则确定当前运行的应用程序为目标应用。

终端设备在确定需要进行存储行为监控的应用程序后，也即确定目标应用后，可根据确定的各个目标应用对HOOK单元进行配置。可获取各个目标应用的应用标识信息，并根据各个目标应用的应用标识信息配置HOOK单元中的监控应用信息，从则使得HOOK单元根据监控应用信息对各个目标应用进行监控。

在终端设备获取到当前运行的应用程序的应用标识信息后，可将当前运行的应用程序的应用标识信息传递到HOOK单元。若HOOK单元中配置的监控应用信息中包含该当前运行的应用程序的应用标识信息，说明当前运行的应用程序为需要进行存储行为监控的目标应用，则HOOK单元对当前运行的应用程序进行监控。在本申请实施例中，在当前运行的应用为目标应用时，才触发HOOK单元进行监控，若当前运行的应用不为目标应用，则HOOK单元可不工作，能够节省终端设备的功耗。

步骤306，在目标应用运行的过程中，通过钩子HOOK单元对目标应用的存储行为进行监控。

在一个实施例中，在目标应用运行的过程中，终端设备可通过HOOK单元捕获目标应用传递的消息，并根据该消息确定目标应用调用的函数信息。进一步地，HOOK单元可捕 获取目标应用向数据库传递的消息，并根据该消息确定目标应用调用的函数信息，函数信息可包括函数名称、函数功能、调用函数所传递的数据等。HOOK单元可根据该函数信息，判断目标应用调用的函数是否为存储函数，若根据该函数信息确定目标应用调用存储函数，则可确定目标应用进行存储行为。

可选地，存储函数可以是应用程序框架层和/或系统库中的存储函数，可预先在HOOK单元的配置文件中写入监控的存储函数的函数信息，在HOOK单元确定目标应用调用的函数信息后，可根据配置文件，可将目标应用调用的函数信息与配置文件中包含的各个函数信息进行匹配，若匹配成功，则可确定目标应用调用存储函数。

通过HOOK单元能够准确捕获目标应用调用的存储函数，从而可准确、全面地对目标应用的存储行为进行监控，既提高了监控的准确性及效率，又降低了监控成本。

步骤308，在通过HOOK单元检测到目标应用进行存储行为时，获取该存储行为传输的原始存储数据。

原始存储数据指的是目标应用向数据库写入的数据，也即，目标应用要进行存储的数据，该原始存储数据可能是经过编码或是加密等处理后的数据。HOOK单元在确定目标应用调用存储函数后，可根据捕获的消息获取目标应用调用存储函数时向数据库传递的数据，即为原始存储数据。

步骤310，若原始存储数据为编码格式的数据，则对原始存储数据进行解码，得到明文格式的存储数据。

终端设备可对原始存储数据进行分析，并判断该原始存储数据是否为明文格式的存储数据，明文格式的数据是指没有经过编码或加密等处理的数据。若原始存储数据为明文格式的存储数据，则可直接将原始存储数据与敏感数据进行匹配。

若原始存储数据不是明文格式的存储数据，可进一步判断该原始存储数据是否为编码格式的数据，若原始存储数据为编码格式的数据，则可对原始存储数据进行解码，得到明文格式的存储数据。

在一些实施例中，终端设备中可预先定义有一类或多类编码格式，不同编码算法可分别对应不同的编码格式，编码算法可包括但不限于URL(uniform resource locator，统一资源定位系统)编码、Base64编码、ASCII(American Standard Code for Information Interchange，美国信息交换标准代码)编码、Unicode编码等。其中，URL编码是一种浏览器用来打包表单输入的格式，浏览器可从表单中获取数据，并将数据以特定的格式(如name/value)进行编码；Base64编码则是用于传输8Bit字节码的编码方式之一，可基于64个可打印字符来表示二进制数据；ASCII编码是基于拉丁字母的一套电脑编码系统，可使用指定的7位或8位二进制数组合来表示128或256种可能的字符；Unicode编码则为每种语言中的每个字符设定了统一并且唯一的二进制编码，以满足跨语言、跨平台进行文本转换、处理的要求。需要说明的是，编码算法也可以是目标应用的研发厂商所自行设定的编码方式，在此不作限定。

终端设备可根据定义的各类编码格式对原始存储数据进行识别，确定原始存储数据对应的编码方式，可将原始存储数据与定义的各类编码格式进行比对，判断原始存储数据的数据格式是否符合定义的编码格式。若原始存储数据的数据格式符合定义的编码格式，则可确定原始存储数据对应的编码方式为符合的编码格式所对应的编码方式。

终端设备可根据原始存储数据对应的编码方式对原始存储数据进行解码，得到明文格式的存储数据。通过定义的各类编码格式可准确识别出原始存储数据对应的编码方式，从而能够准确得到明文格式的存储数据，提高了敏感存储行为检测的准确性。

步骤312，将明文格式的存储数据与敏感数据进行匹配，若匹配成功，则确定该存储 行为是敏感存储行为。

若目标应用进行存储的原始存储数据为编码格式的数据，则终端设备无法直接判断原始存储数据是否为敏感数据，且编码格式的数据的安全性较弱。可先对原始存储数据进行解码，得到明文格式的存储数据，再将明文格式的存储数据与敏感数据进行匹配，若匹配成功，则可说明该明文格式的存储数据为敏感数据，可确定该存储行为是敏感存储行为。从而能够准确检测出敏感数据的不安全存储行为。

在一些实施例中，终端设备在确定目标行为进行的存储行为是敏感存储行为后，可按照制定的安全策略保护敏感数据的安全，该安全策略可包括但不限于HOOK单元在捕获消息后，不将存储数据写入数据库中、对敏感存储行为进行提示、对明文格式的存储数据进行加密后，再将加密后的存储数据写入数据库等，以提高数据的安全性。

在一些实施例中，若原始存储数据为密文格式的存储数据，说明该原始存储数据是经过加密算法进行加密后得到的数据，安全性高，因此，则可确定该存储行为不是敏感存储行为，对原始存储数据进行存储，不需要根据原始存储数据检测该存储行为是否为敏感存储行为，可提高检测的效率。

在本申请实施例中，终端设备可通过HOOK单元对目标应用运行过程中进行的存储行为进行监控，并在存储行为传输的原始存储数据为编码格式的数据时，先进行解码得到明文格式的存储数据，再判断明文格式的存储数据是否为敏感数据，能够准确检测出目标应用进行的存储敏感数据的不安全存储行为，改善敏感数据泄露的情况，提高了数据安全性。

如图4所示，在一个实施例中，提供另一种行为监控方法，可应用于上述的终端设备，该方法可包括以下步骤：

步骤402，获取当前运行的应用程序的应用标识信息。

在一个实施例中，终端设备可先配置对应用的存储行为进行监控的环境，终端设备中可安装Edxposed框架文件和能够实现hook能力等配置文件，Edxposed框架可提供一个新的应用平台，从而能够通过Edxposed框架搭建起的平台安装更多系统级的应用，可利用能够实现hook能力的配置文件配置HOOK单元，实现HOOK单元对目标应用的存储行为进行监控的功能。

可选地，还可向终端设备的系统库层中注入一系列.so文件，进一步适配配置。.so文件是Linux下的程序函数库，即编译好的可以供其他程序使用的代码和数据。可在.so文件中写入需要hook的存储函数，在目标应用运行的过程中，终端设备可执行.so文件，向zygote进程注入hook代码，实现对存储函数的hook功能，该zygote进程是系统启动时所创建的进程，该zygote进程可用于在应用运行前，共享已运行的虚拟机的代码与内存信息,缩短应用程序运行所耗费的时间，zygote进程可看作所有应用的父进程。

步骤404，若HOOK单元中配置的监控应用信息包含应用标识信息，则确定当前运行的应用程序为目标应用

步取404，在目标应用运行的过程中，通过钩子HOOK单元对目标应用的存储行为进行监控。

步骤410，在通过HOOK单元检测到目标应用进行存储行为时，获取该存储行为传输的原始存储数据。

步骤412，若原始存储数据为编码格式的数据，则对原始存储数据进行解码，得到明文格式的存储数据。

步骤402～412的描述可参照上述各实施例中的相关描述，在此不再重复赘述。

步骤414，通过可视化界面展示存储行为的行为相关信息。

存储行为的行为相关信息可包括以下几种信息中的一种或多种：

(1)目标应用的应用信息，应用信息可包括但不限于目标应用的应用名称、应用安装包的包名、版本号、研发厂商等。

(2)目标应用进行存储行为的进行时间。HOOK单元在捕获目标应用传递的消息时，可记录捕获该消息的时间，若根据捕获的消息确定目标应用进行存储行为，则可将记录的时间作为目标应用进行存储行为的进行时间。

(3)目标应用进行存储行为的界面截图。在终端设备检测到目标应用进行的存储行为是敏感存储行为时，可对目标应用当前的运行界面进行截图，得到目标应用进行存储行为的界面截图。

(4)存储行为对应的代码调用位置。该代码调用位置可用于表征目标应用调用存储函数的调用逻辑，终端设备可通过打印堆栈的方式获取目标应用调用的存储函数的调用位置，作为存储行为对应的代码调用位置，研发人员可通过该代码调用位置快速定位目标应用存在敏感存储为的问题/原因。

(5)存储行为的存储数据。可选地，该存储数据可以是明文格式的存储数据，从而可方便用户获知可能存在不安全问题的数据。

(6)目标应用调用的函数信息，如调用的存储函数的名称、传递的函数参数等。

作为一种实施方式，终端设备在确定目标应用进行敏感存储行为时，可直接通过可视化界面展示该敏感存储行为的行为相关信息，以提示用户当前运行的应用正在进行敏感存储行为，存在数据不安全的风险。

在一些实施例中，步骤通过可视化界面展示存储行为的行为相关信息，可包括：获取第一时间段内检测到的各个敏感存储行为的行为相关信息，对各个敏感存储行为的行为相关信息进行整合，并通过可视化界面展示整合后的行为相关信息。

第一时间段可根据实际需求进行设置，例如1天、1周、2周、1个月等，在此不作限定。终端设备可按照预设的规则对第一时间段内检测到的各个敏感存储行为的行为相关信息进行整合，例如，可按照敏感存储行为对应的应用标识信息对行为相关信息进行整合，将属于相同应用标识信息的敏感存储行为的行为相关信息整合在一起；也可以按照敏感存储行为对应的存储数据对行为相关信息进行整合，将对应相同存储行为的敏感存储行为的行为相关信息整合在一起等，在此不作限定。

图5A为一个实施例中可视化界面的示意图。如图5A所示，界面510中可展示有多条整合后的行为相关信息502，每条整合后的行为相关信息502可对应不同的应用，每条整合后的行为相关信息502中可包括应用名称、敏感存储行为的名称、检到的次数等信息。用户可触发界面510中的任一条整合后的行为相关信息502，查看具体的每次检测到的敏感存储行为的行为相关信息。

图5B为另一个实施例中可视化界面的示意图。如图5B所示，若终端设备检测到用户触发图5A的界面510中，第一条整合后的行为相关信息502，则可在界面520中展示显示第一条整合后的行为相关信息502包含的所有敏感存储行为的行为相关信息，例如，敏感存储行为的进行时间、应用安装包的包名、版本号、存储数据及进行存储行为的界面截图等信息。用户可通过触发查看图片的按钮522，点击查看进行存储行为的界面截图。

图5C为一个实施例中进行存储行为的界面截图的示意图。如图5C所示，当终端设备检测到用户触发图5B的界面520中的查看图片的按钮522，则可显示相应的界面截图，该界面截图为AA游戏的登录界面。

需要说明的是，图5A及图5B示出的可视化界面仅用于说明本申请实施例，并不用于对本申请实施例进行限定，可视化界面还可采用其它方式进行展示，也可包括比图5A及图5B示出的可视化界面中更多或更少的信息，在此不作限定。

在一些实施例中，上述行为监控方法，还可包括：获取目标应用在第二时间段内被检测到进行敏感存储行为的第一次数，根据该第一次数确定目标应用对应的安全级别，安全级别与次数呈负相关关系，在检测到目标应用的启动指令时，输出与安全级别对应的第一提示信息。

针对各个目标应用，终端设备可每隔第二时间段，获取各个目标应用在第二时间段内被检测到进行敏感存储行为的第一次数。可根据各个目标应用对应的第一次数设置各个目标应用的安全级别，安全级别可用于表示目标应用的可靠性，第一次数越多，安全级别可越低，说明该目标应用存在严重的数据安全风险问题。

在检测到任一目标应用的启动指令时，终端设备可输出与启动的目标应用的安全级别对应的第一提示信息，该第一提示信息可用于提示用户注意目标应用的安全级别。可选地，不同安全级别可对应不同的第一提示信息，例如，目标应用的安全级别较高时，可输出第一提示信息为“本应用的安全级别较高，请放心使用”；目标应用的安全级别较低时，可输出第一提示信息为“本应用的安全级别较低，请注意保护个人隐私信息”等，但不限于此。

终端设备输出第一提示信息的方式可包括但不限于界面显示、语音输出、震动提示等方式。通过在目标应用启动时，输出与目标应用的安全级别对应的第一提示信息，可方便用户获取目标应用的安全情况，从而提高用户在使用用应过程中对个人敏感信息的保护，提高了数据的安全性。

在一些实施例中，在根据第一次数确定目标应用对应的安全级别之后，终端设备还可根据安全等级配置目标应用对应的存储行为监控策略，该监控策略可包括存储行为监控策略包括监控频率、监控时间段、应用监控状态等中的至少一种。其中，监控频率可指的是HOOK单元监控目标应用进行存储行为的频率，例如，监控频率可以是2次/分钟、1次/分钟等，监控时间段则可的是HOOK单元监控目标应用进行存储行为的特定时间段，例如，对于目标应用A，仅在中午12：00～1：00对该目标应用A的存储行为进行监控。应用监控状态则可指的是目标应用需要进行存储行为监控的应用状态，例如，目标应用A处于游戏状态过程中，则不需要进行监控，目标应用A处于启动、进入游戏界面状态，则需要监控存储行为等。

不同安全等级的目标应用可配置不同的监控策略，例如，安全等级较高的，监控频率可较小，安全等级较低的，监控频率可较大等。通过配置不同目标应用的监控策略，可更加灵活地对目标应用的存储行为进行监控，使得监控更具有针对性，且可减小终端设备的功耗。

在一个实施例中，上述行为监控方法，还可包括：统计第一数据作为敏感存储行为的存储数据的第二次数，在第二次数大于次数阈值时，生成与第一数据对应的第二提示信息，该第二提示信息用于提示对第一数据进行数据安全保护。

终端设备在每次检测到目标应用进行的敏感存储行为时，可对该敏感存储行为的存储数据进行记录，并统计同一数据作为敏感存储行为的存储数据的第二次数。以第一数据为例，若第一数据的第二次数大于次数阈值，可说明该第一数据存在极大地泄露风险，可生成与第一数据对应的第二提示信息。例如，第一数据为用户的电话号码，若终端设备检测到用户的电话号码多次作为敏感存储行为的存储数据，则可通过第二提示信息对用户进行提示，提示用户注意电话号码的保护，减少将电话号码作为应用登录账号、在应用中填写电话号码等行为，有意识地提高对个人隐私数据的保护，从而可减少敏感数据泄露的情况。

终端设备输出第二提示信息的方式可包括但不限于界面显示、语音输出、震动提示等方式。

在本申请实施例中，通过可视化界面展示敏感存储行为的行为相关信息，可帮助用户 快速发现应用存在的敏感存储行为，用户可针对检测到的敏感存储行为作进一步的数据安全措施(例如删除应用程序、设置应用程序访问权限、更改数据等)，从而可改善敏感数据泄露的情况，提高了数据安全性。

如图6所示，在一个实施例中，提供一种行为监控装置600，可应用于上述的终端设备。该行为监控装置600，可包括监控模块610、数据获取模块620及匹配模块630。

监控模块610，用于在目标应用运行的过程中，通过钩子HOOK单元对目标应用的存储行为进行监控。

数据获取模块620，用于在通过HOOK单元检测到目标应用进行存储行为时，获取存储行为对应的存储数据。

匹配模块630，用于将存储数据与敏感数据进行匹配，若匹配成功，则确定存储行为是敏感存储行为。

在本申请实施例中，在目标应用运行的过程中，通过钩子HOOK单元对目标应用的存储行为进行监控，在通过HOOK单元检测到目标应用进行存储行为时，获取存储行为对应的存储数据，并将存储数据与敏感数据进行匹配，若匹配成功，则确定存储行为是敏感存储行为，可准确识别出应用的敏感存储行为，改善敏感数据泄露的情况，提高了数据安全性。且通过HOOK单元对应用的存储行为进行监控，能够提高识别敏感存储行为的效率及准确性。

在一个实施例中，上述行为监控装置600，除了包括监控模块610、数据获取模块620及匹配模块630，还包括标识获取模块及应用确定模块。

标识获取模块，用于获取当前运行的应用程序的应用标识信息。

应用确定模块，用于若HOOK单元中配置的监控应用信息包含该应用标识信息，则确定当前运行的应用程序为目标应用。

在一个实施例中，监控模块610，包括捕获单元、函数确定单元及行为确定单元。

捕获单元，用于通过HOOK单元捕获目标应用传递的消息。

函数确定单元，用于根据消息确定目标应用调用的函数信息。

行为确定单元，用于若根据函数信息确定目标应用调用存储函数，则确定目标应用进行存储行为。

在一个实施例中，数据获取模块620，包括数据获取单元及解码单元。

数据获取单元，用于获取存储行为传输的原始存储数据。

解码单元，用于若原始存储数据为编码格式的数据，则对原始存储数据进行解码，得到明文格式的存储数据。

在一个实施例中，解码单元，还用于根据定义的各类编码格式对原始存储数据进行识别，确定原始存储数据对应的编码方式，并根据该编码方式对原始存储数据进行解码，得到明文格式的存储数据。

匹配模块630，还用于将明文格式的存储数据与敏感数据进行匹配，若匹配成功，则确定存储行为是敏感存储行为。

在本申请实施例中，终端设备可通过HOOK单元对目标应用运行过程中进行的存储行为进行监控，并在存储行为传输的原始存储数据为编码格式的数据时，先进行解码得到明文格式的存储数据，再判断明文格式的存储数据是否为敏感数据，能够准确检测出目标应用进行的存储敏感数据的不安全存储行为，改善敏感数据泄露的情况，提高了数据安全性。

在一个实施例中，上述行为监控装置600，除了包括监控模块610、数据获取模块620、匹配模块630、标识获取模块及应用确定模块，还包括展示模块。

展示模块，用于通过可视化界面展示存储行为的行为相关信息，可选地，行为相关信 息包括目标应用的应用信息、目标应用进行存储行为的进行时间、目标应用进行存储行为的界面截图、存储行为对应的代码调用位置，以及存储行为的存储数据中的至少一种。

展示模块，还用于获取第一时间段内检测到的各个敏感存储行为的行为相关信息，对各个敏感存储行为的行为相关信息进行整合，并通过可视化界面展示整合后的行为相关信息。

在一个实施例中，上述行为监控装置600，还包括级别确定模块及提示模块。

级别确定模块，用于获取目标应用在第二时间段内被检测到进行敏感存储行为的第一次数，根据第一次数确定所述目标应用对应的安全级别，安全级别与所述第一次数呈负相关关系；

提示模块，用于在检测到目标应用的启动指令时，输出与安全级别对应的第一提示信息。

在一个实施例中，级别确定模块，还用于在根据第一次数确定目标应用对应的安全级别之后，根据安全等级配置目标应用对应的存储行为监控策略，存储行为监控策略包括监控频率、监控时间段、应用监控状态中的至少一种。

在一个实施例中，提示模块，还用于统计第一数据作为敏感存储行为的存储数据的第二次数，并在第二次数大于次数阈值时，生成与第一数据对应的第二提示信息，第二提示信息用于提示对第一数据进行数据安全保护。

在本申请实施例中，通过可视化界面展示敏感存储行为的行为相关信息，可帮助用户快速发现应用存在的敏感存储行为，用户可针对检测到的敏感存储行为作进一步的数据安全措施(例如删除应用程序、设置应用程序访问权限、更改数据等)，从而可改善敏感数据泄露的情况，提高了数据安全性。

图7为一个实施例中终端设备的结构框图。如图7所示，终端设备700可以包括一个或多个如下部件：处理器710、与处理器710耦合的存储器720，其中存储器720可存储有一个或多个计算机程序，一个或多个计算机程序可以被配置为由一个或多个处理器710执行时实现如上述各实施例描述的方法。

处理器710可以包括一个或者多个处理核。处理器710利用各种接口和线路连接整个终端设备700内的各个部分，通过运行或执行存储在存储器720内的指令、程序、代码集或指令集，以及调用存储在存储器720内的数据，执行终端设备700的各种功能和处理数据。可选地，处理器710可以采用数字信号处理(Digital Signal Processing，DSP)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)、可编程逻辑阵列(Programmable Logic Array，PLA)中的至少一种硬件形式来实现。处理器710可集成中央处理器(Central Processing Unit，CPU)、图像处理器(Graphics Processing Unit，GPU)和调制解调器等中的一种或几种的组合。其中，CPU主要处理操作系统、用户界面和应用程序等；GPU用于负责显示内容的渲染和绘制；调制解调器用于处理无线通信。可以理解的是，上述调制解调器也可以不集成到处理器710中，单独通过一块通信芯片进行实现。

存储器720可以包括随机存储器(Random Access Memory，RAM)，也可以包括只读存储器(Read-Only Memory，ROM)。存储器720可用于存储指令、程序、代码、代码集或指令集。存储器720可包括存储程序区和存储数据区，其中，存储程序区可存储用于实现操作系统的指令、用于实现至少一个功能的指令(比如触控功能、声音播放功能、图像播放功能等)、用于实现上述各个方法实施例的指令等。存储数据区还可以存储终端设备700在使用中所创建的数据等。

可以理解地，终端设备700可包括比上述结构框图中更多或更少的结构元件，例如，包括电源模块、物理按键、WiFi(Wireless Fidelity，无线保真)模块、扬声器、蓝牙模块、 传感器等，还可在此不进行限定。

本申请实施例公开一种计算机可读存储介质，其存储计算机程序，其中，该计算机程序被处理器执行时实现如上述实施例描述的方法。

本申请实施例公开一种计算机程序产品，该计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质，且该计算机程序可被处理器执行时实现如上述各实施例描述的方法。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一非易失性计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、ROM等。

如此处所使用的对存储器、存储、数据库或其它介质的任何引用可包括非易失性和/或易失性存储器。合适的非易失性存储器可包括ROM、可编程ROM(Programmable ROM，PROM)、可擦除PROM(Erasable PROM，EPROM)、电可擦除PROM(Electrically Erasable PROM，EEPROM)或闪存。易失性存储器可包括随机存取存储器(random access memory，RAM)，它用作外部高速缓冲存储器。作为说明而非局限，RAM可为多种形式，诸如静态RAM(Static RAM，SRAM)、动态RAM(Dynamic Random Access Memory，DRAM)、同步DRAM(synchronous DRAM，SDRAM)、双倍数据率SDRAM(Double Data Rate SDRAM，DDR SDRAM)、增强型SDRAM(Enhanced Synchronous DRAM，ESDRAM)、同步链路DRAM(Synchlink DRAM，SLDRAM)、存储器总线直接RAM(Rambus DRAM，RDRAM)及直接存储器总线动态RAM(Direct Rambus DRAM，DRDRAM)。

应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定特征、结构或特性可以以任意适合的方式结合在一个或多个实施例中。本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本申请所必须的。

在本申请的各种实施例中，应理解，上述各过程的序号的大小并不意味着执行顺序的必然先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

上述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物单元，即可位于一个地方，或者也可以分布到多个网络单元上。可根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本申请各实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

上述集成的单元若以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可获取的存储器中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或者部分，可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储器中，包括若干请求用以使得一台计算机设备(可以为个人计算机、服务器或者网络设备等，具体可以是计算机设备中的处理器)执行本申请的各个实施例上述方法的部分或全部步骤。

以上对本申请实施例公开的一种行为监控方法、装置、终端设备及计算机可读存储介质进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上 实施例的说明只是用于帮助理解本申请的方法及其核心思想。同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims (31)

1. 一种行为监控方法，其特征在于，包括：

   在目标应用运行的过程中，通过钩子HOOK单元对所述目标应用的存储行为进行监控；

   在通过所述HOOK单元检测到所述目标应用进行存储行为时，获取所述存储行为对应的存储数据；

   将所述存储数据与敏感数据进行匹配，若匹配成功，则确定所述存储行为是敏感存储行为。
2. 根据权利要求1所述的方法，其特征在于，所述在目标应用运行的过程中，通过HOOK单元对所述目标应用的存储行为进行监控之前，所述方法还包括：

   获取当前运行的应用程序的应用标识信息；

   若HOOK单元中配置的监控应用信息包含所述应用标识信息，则确定所述当前运行的应用程序为目标应用。
3. 根据权利要求1所述的方法，其特征在于，所述通过钩子HOOK单元对所述目标应用的存储行为进行监控，包括：

   通过HOOK单元捕获所述目标应用传递的消息；

   根据所述消息确定所述目标应用调用的函数信息；

   若根据所述函数信息确定所述目标应用调用存储函数，则确定所述目标应用进行存储行为。
4. 根据权利要求1所述的方法，其特征在于，所述获取所述存储行为对应的存储数据，包括：

   获取所述存储行为传输的原始存储数据；

   若所述原始存储数据为编码格式的数据，则对所述原始存储数据进行解码，得到明文格式的存储数据；

   所述将所述存储数据与敏感数据进行匹配，包括：

   将所述明文格式的存储数据与敏感数据进行匹配。
5. 根据权利要求4所述的方法，其特征在于，所述对所述原始存储数据进行解码，得到明文格式的存储数据，包括：

   根据定义的各类编码格式对所述原始存储数据进行识别，确定所述原始存储数据对应的编码方式；

   根据所述编码方式对所述原始存储数据进行解码，得到明文格式的存储数据。
6. 根据权利要求1-5任一所述的方法，其特征在于，在所述确定所述存储行为是敏感存储行为之后，所述方法还包括：

   通过可视化界面展示所述存储行为的行为相关信息，所述行为相关信息包括所述目标应用的应用信息、所述目标应用进行所述存储行为的进行时间、所述目标应用进行所述存储行为的界面截图、所述存储行为对应的代码调用位置，以及所述存储行为的存储数据中的至少一种。
7. 根据权利要求6所述的方法，其特征在于，所述通过可视化界面展示所述存储行为的行为相关信息，包括：

   获取第一时间段内检测到的各个敏感存储行为的行为相关信息；

   对所述各个敏感存储行为的行为相关信息进行整合，并通过可视化界面展示整合后的行为相关信息。
8. 根据权利要求1-5任一所述的方法，其特征在于，所述方法还包括：

   获取所述目标应用在第二时间段内被检测到进行敏感存储行为的第一次数；

   根据所述第一次数确定所述目标应用对应的安全级别，所述安全级别与所述第一次数呈负相关关系；

   在检测到所述目标应用的启动指令时，输出与所述安全级别对应的第一提示信息。
9. 根据权利要求8所述的方法，其特征在于，在所述根据所述第一次数确定所述目标应用对应的安全级别之后，所述方法还包括：

   根据所述安全等级配置所述目标应用对应的存储行为监控策略，所述存储行为监控策略包括监控频率、监控时间段、应用监控状态中的至少一种。
10. 根据权利要求1-5任一所述的方法，其特征在于，所述方法还包括：

    统计第一数据作为敏感存储行为的存储数据的第二次数；

    在所述第二次数大于次数阈值时，生成与所述第一数据对应的第二提示信息，所述第二提示信息用于提示对所述第一数据进行数据安全保护。
11. 一种行为监控装置，其特征在于，包括：

    监控模块，用于在目标应用运行的过程中，通过钩子HOOK单元对所述目标应用的存储行为进行监控；

    数据获取模块，用于在通过所述HOOK单元检测到所述目标应用进行存储行为时，获取所述存储行为对应的存储数据；

    匹配模块，用于将所述存储数据与敏感数据进行匹配，若匹配成功，则确定所述存储行为是敏感存储行为。
12. 一种终端设备，其特征在于，包括处理器和存储器，所述处理器和存储器耦合，所述存储器用于存储计算机程序，当所述计算机程序被所述处理器执行时，使得所述处理器执行如下步骤：

    在目标应用运行的过程中，通过钩子HOOK单元对所述目标应用的存储行为进行监控；

    在通过所述HOOK单元检测到所述目标应用进行存储行为时，获取所述存储行为对应的存储数据；

    将所述存储数据与敏感数据进行匹配，若匹配成功，则确定所述存储行为是敏感存储行为。
13. 根据权利要求12所述的终端设备，其特征在于，所述计算机程序被所述处理器执行时，还使得所述处理器在执行所述在目标应用运行的过程中，通过HOOK单元对所述目标应用的存储行为进行监控的步骤之前，执行如下步骤：

    获取当前运行的应用程序的应用标识信息；

    若HOOK单元中配置的监控应用信息包含所述应用标识信息，则确定所述当前运行的应用程序为目标应用。
14. 根据权利要求12所述的终端设备，其特征在于，所述通过钩子HOOK单元对所述目标应用的存储行为进行监控，包括：

    通过HOOK单元捕获所述目标应用传递的消息；

    根据所述消息确定所述目标应用调用的函数信息；

    若根据所述函数信息确定所述目标应用调用存储函数，则确定所述目标应用进行存储行为。
15. 根据权利要求12所述的终端设备，其特征在于，所述获取所述存储行为对应的存储数据，包括：

    获取所述存储行为传输的原始存储数据；

    若所述原始存储数据为编码格式的数据，则对所述原始存储数据进行解码，得到明文格式的存储数据；

    所述将所述存储数据与敏感数据进行匹配，包括：

    将所述明文格式的存储数据与敏感数据进行匹配。
16. 根据权利要求15所述的终端设备，其特征在于，所述对所述原始存储数据进行解码，得到明文格式的存储数据，包括：

    根据定义的各类编码格式对所述原始存储数据进行识别，确定所述原始存储数据对应的编码方式；

    根据所述编码方式对所述原始存储数据进行解码，得到明文格式的存储数据。
17. 根据权利要求12-16任一所述的终端设备，其特征在于，所述计算机程序被所述处理器执行时，还使得所述处理器在执行所述确定所述存储行为是敏感存储行为的步骤之后，还执行如下步骤：

    通过可视化界面展示所述存储行为的行为相关信息，所述行为相关信息包括所述目标应用的应用信息、所述目标应用进行所述存储行为的进行时间、所述目标应用进行所述存储行为的界面截图、所述存储行为对应的代码调用位置，以及所述存储行为的存储数据中的至少一种。
18. 根据权利要求17所述的终端设备，其特征在于，所述通过可视化界面展示所述存储行为的行为相关信息，包括：

    获取第一时间段内检测到的各个敏感存储行为的行为相关信息；

    对所述各个敏感存储行为的行为相关信息进行整合，并通过可视化界面展示整合后的行为相关信息。
19. 根据权利要求12-16任一所述的终端设备，其特征在于，所述计算机程序被所述处理器执行时，还使得所述处理器执行如下步骤：

    获取所述目标应用在第二时间段内被检测到进行敏感存储行为的第一次数；

    根据所述第一次数确定所述目标应用对应的安全级别，所述安全级别与所述第一次数呈负相关关系；

    在检测到所述目标应用的启动指令时，输出与所述安全级别对应的第一提示信息。
20. 根据权利要求19所述的终端设备，其特征在于，所述计算机程序被所述处理器执行时，还使得所述处理器在执行所述根据所述第一次数确定所述目标应用对应的安全级别的步骤之后，还执行如下步骤：

    根据所述安全等级配置所述目标应用对应的存储行为监控策略，所述存储行为监控策略包括监控频率、监控时间段、应用监控状态中的至少一种。
21. 根据权利要求12-16任一所述的终端设备，其特征在于，所述计算机程序被所述处理器执行时，还使得所述处理器执行如下步骤：

    统计第一数据作为敏感存储行为的存储数据的第二次数；

    在所述第二次数大于次数阈值时，生成与所述第一数据对应的第二提示信息，所述第二提示信息用于提示对所述第一数据进行数据安全保护。
22. 一种计算机可读存储介质，其特征在于，所述计算机存储介质中存储有程序指令，当所述程序指令被处理器执行时，使得所述处理器执行如下步骤：

    在目标应用运行的过程中，通过钩子HOOK单元对所述目标应用的存储行为进行监控；

    在通过所述HOOK单元检测到所述目标应用进行存储行为时，获取所述存储行为对应的存储数据；

    将所述存储数据与敏感数据进行匹配，若匹配成功，则确定所述存储行为是敏感存储行为。
23. 根据权利要求22所述的存储介质，其特征在于，所述程序指令被处理器执行时， 还使得所述处理器在执行所述在目标应用运行的过程中，通过HOOK单元对所述目标应用的存储行为进行监控的步骤之前，还执行如下步骤：

    获取当前运行的应用程序的应用标识信息；

    若HOOK单元中配置的监控应用信息包含所述应用标识信息，则确定所述当前运行的应用程序为目标应用。
24. 根据权利要求22所述的存储介质，其特征在于，所述通过钩子HOOK单元对所述目标应用的存储行为进行监控，包括：

    通过HOOK单元捕获所述目标应用传递的消息；

    根据所述消息确定所述目标应用调用的函数信息；

    若根据所述函数信息确定所述目标应用调用存储函数，则确定所述目标应用进行存储行为。
25. 根据权利要求22所述的存储介质，其特征在于，所述获取所述存储行为对应的存储数据，包括：

    获取所述存储行为传输的原始存储数据；

    若所述原始存储数据为编码格式的数据，则对所述原始存储数据进行解码，得到明文格式的存储数据；

    所述将所述存储数据与敏感数据进行匹配，包括：

    将所述明文格式的存储数据与敏感数据进行匹配。
26. 根据权利要求25所述的存储介质，其特征在于，所述对所述原始存储数据进行解码，得到明文格式的存储数据，包括：

    根据定义的各类编码格式对所述原始存储数据进行识别，确定所述原始存储数据对应的编码方式；

    根据所述编码方式对所述原始存储数据进行解码，得到明文格式的存储数据。
27. 根据权利要求22-26任一所述的存储介质，其特征在于，所述程序指令被处理器执行时，还使得所述处理器在执行所述确定所述存储行为是敏感存储行为的步骤之后，还执行如下步骤：

    通过可视化界面展示所述存储行为的行为相关信息，所述行为相关信息包括所述目标应用的应用信息、所述目标应用进行所述存储行为的进行时间、所述目标应用进行所述存储行为的界面截图、所述存储行为对应的代码调用位置，以及所述存储行为的存储数据中的至少一种。
28. 根据权利要求27所述的存储介质，其特征在于，所述通过可视化界面展示所述存储行为的行为相关信息，包括：

    获取第一时间段内检测到的各个敏感存储行为的行为相关信息；

    对所述各个敏感存储行为的行为相关信息进行整合，并通过可视化界面展示整合后的行为相关信息。
29. 根据权利要求22-26任一所述的存储介质，其特征在于，所述程序指令被处理器执行时，还使得所述处理器执行如下步骤：

    获取所述目标应用在第二时间段内被检测到进行敏感存储行为的第一次数；

    根据所述第一次数确定所述目标应用对应的安全级别，所述安全级别与所述第一次数呈负相关关系；

    在检测到所述目标应用的启动指令时，输出与所述安全级别对应的第一提示信息。
30. 根据权利要求29所述的存储介质，其特征在于，所述程序指令被处理器执行时，还使得所述处理器在执行所述根据所述第一次数确定所述目标应用对应的安全级别的步骤 之后，还执行如下步骤：

    根据所述安全等级配置所述目标应用对应的存储行为监控策略，所述存储行为监控策略包括监控频率、监控时间段、应用监控状态中的至少一种。
31. 根据权利要求22-26任一所述的存储介质，其特征在于，所述程序指令被处理器执行时，还使得所述处理器执行如下步骤：

    统计第一数据作为敏感存储行为的存储数据的第二次数；

    在所述第二次数大于次数阈值时，生成与所述第一数据对应的第二提示信息，所述第二提示信息用于提示对所述第一数据进行数据安全保护。