軟件行為監(jiān)控方法和終端的制作方法
【專利摘要】本發(fā)明提供了一種軟件行為監(jiān)控方法和一種終端,其中軟件行為監(jiān)控方法包括記錄軟件的違規(guī)操作數(shù);判斷所述違規(guī)操作數(shù)是否大于閾值;在所述違規(guī)操作數(shù)大于閾值時,提醒用戶是否卸載所述軟件。本發(fā)明在終端上移植安全增強式Linux子系統(tǒng)能夠根據(jù)設置的權(quán)限策略監(jiān)控軟件的違規(guī)操作行為,并在違規(guī)操作數(shù)超出閾值時,能夠提示該軟件行為,實現(xiàn)對流氓軟件的預警和收集,提高終端的安全性能。
【專利說明】軟件行為監(jiān)控方法和終端
【技術領域】
[0001]本發(fā)明涉及通信【技術領域】,具體而言,涉及一種軟件行為監(jiān)控方法和一種終端。
【背景技術】
[0002]SELinux (安全增強型Linux)安全子系統(tǒng)最開始是由NSA (國家安全局)啟動并加入到Linux子系統(tǒng)中的一套核心組件及用戶工具,可以讓應用程序運行在其所需的最低權(quán)限上。目前很少有終端集成了 seLinux技術,即便集成了 seLinux技術,也只是固定的監(jiān)控方案,當檢測到某應用軟件一直進行違規(guī)操作,也只是禁止該當前的操作,不會向用戶提示該軟件的行為以及所存在的風險,也不能靈活修改seLinux系統(tǒng)中有關于該軟件的屬性,對存在風險的軟件不能進行完全的隔離和預警。
[0003]因此,如何實現(xiàn)危險軟件的預警并進一步提高終端的安全性能,成為亟待解決的問題。
【發(fā)明內(nèi)容】
[0004]本發(fā)明正是基于上述問題,提出了一種新的軟件行為監(jiān)控技術,可實現(xiàn)危險軟件的預警。
[0005]有鑒于此,根據(jù)本發(fā)明的一個方面,提出了一種軟件行為監(jiān)控方法,包括:記錄軟件的違規(guī)操作數(shù);判斷所述違規(guī)操作數(shù)是否大于閾值;在所述違規(guī)操作數(shù)大于閾值時,提醒用戶是否卸載所述軟件。
[0006]通過上述技術方案,能夠發(fā)現(xiàn)并記錄軟件的違規(guī)操作,并當違規(guī)操作數(shù)達到設定的極限時,提醒用戶該軟件存在風險并提示相關違規(guī)行為以及是否卸載該軟件,當然,也可以一旦發(fā)現(xiàn)軟件的違規(guī)行為,就進行風險提示,使用戶能夠注意到該軟件狀態(tài),及時預防軟件的惡意行為,從而提高終端的安全性能。
[0007]在上述技術方案中,優(yōu)選的,通過安全增強式Linux子系統(tǒng)將所述軟件的違規(guī)操作記錄在日志中;根據(jù)所述日志統(tǒng)計所述軟件的違規(guī)操作數(shù)。
[0008]移植安全增強式Linux子系統(tǒng)到終端中,利用安全增強式Linux子系統(tǒng)來實現(xiàn)違規(guī)操作的監(jiān)視以及行為記錄。
[0009]在上述任一技術方案中,優(yōu)選的,根據(jù)預設的權(quán)限策略判斷所述軟件的行為是否屬于違規(guī)操作,所述權(quán)限策略包括所述軟件可操作的數(shù)據(jù)范圍。
[0010]可根據(jù)需要設置安全增強式Linux子系統(tǒng)中的權(quán)限策略,來限定各軟件所能訪問或操作的數(shù)據(jù)范圍,監(jiān)視軟件的行為,當發(fā)現(xiàn)軟件訪問的數(shù)據(jù)不屬于該設置的權(quán)限范圍內(nèi)時,就認為該軟件存在違規(guī)操作,目前集成seLinux技術的終端不能隨意配置權(quán)限策略,所有策略都是固定的。
[0011]在上述任一技術方案中,優(yōu)選的,在所述違規(guī)操作數(shù)大于閾值并確定所述軟件為惡意軟件時,通過安全增強式Linux子系統(tǒng)修改所述軟件的安全上下文屬性,將所述安全上下文賦值為不可信,并將所述軟件歸入黑名單列表中。[0012]如果某一軟件的違規(guī)操作數(shù)很多,則確定該軟件為惡意軟件,在判斷出軟件屬于惡意軟件時,為了實現(xiàn)對該軟件的隔離,可修改安全增強式Linux子系統(tǒng)中該軟件的安全上下文,并將該軟件納入黑名單中,作為其他終端安裝軟件或本終端下次安裝軟件時的判斷依據(jù),如果發(fā)現(xiàn)該軟件在黑名單列表中,就可禁止安裝該軟件。目前集成seLinux子系統(tǒng)的終端僅僅是禁止當前的違規(guī)操作行為,并不能實現(xiàn)軟件的隔離,以及惡意軟件信息的收集。
[0013]在上述任一技術方案中,優(yōu)選的,所述軟件的行為被分為多類,監(jiān)視所述軟件的多類行為中被指定的一類或多類行為,生成針對所述被指定的一類或多類行為的日志信息。
[0014]軟件行為有很多種類型,例如訪問、刪除、修改、增加等等,刪除或修改是比較關鍵的操作類型,因此可以設置那些比較關鍵的操作類型需要被監(jiān)控并生成相應的日志信息。
[0015]根據(jù)本發(fā)明的另一方面,還提供了一種終端,包括:記錄單元,用于記錄軟件的違規(guī)操作數(shù);判斷單元,連接至所述記錄單元,用于判斷所述違規(guī)操作數(shù)是否大于閾值;提醒單元,連接至所述判斷單元,在所述違規(guī)操作數(shù)大于閾值時,提醒用戶是否卸載所述軟件。
[0016]通過上述技術方案,能夠發(fā)現(xiàn)并記錄軟件的違規(guī)操作,并當違規(guī)操作數(shù)達到設定的極限時,提醒用戶該軟件存在風險并提示相關違規(guī)行為以及是否卸載該軟件,當然,也可以一旦發(fā)現(xiàn)軟件的違規(guī)行為,就進行風險提示,使用戶能夠注意到該軟件狀態(tài),及時預防軟件的惡意行為,從而提高終端的安全性能。
[0017]在上述技術方案中,優(yōu)選的,所述記錄單元包括:安全增強式Linux子系統(tǒng),用于將所述軟件的違規(guī)操作記錄在日志中;統(tǒng)計單元,用于根據(jù)所述日志統(tǒng)計所述軟件的違規(guī)操作數(shù)。移植安全增強式Linux子系統(tǒng)到終端中,利用安全增強式Linux子系統(tǒng)來實現(xiàn)違規(guī)操作的監(jiān)視以及行為記錄。
[0018]可根據(jù)需要設置安全增強式Linux子系統(tǒng)中的權(quán)限策略,來限定各軟件所能訪問或操作的數(shù)據(jù)范圍,監(jiān)視軟件的行為,當發(fā)現(xiàn)軟件訪問的數(shù)據(jù)不屬于該設置的權(quán)限范圍內(nèi)時,就認為該軟件存在違規(guī)操作,目前集成seLinux技術的終端不能隨意配置權(quán)限策略,所有策略都是固定的。
[0019]在上述任一技術方案中,優(yōu)選的,還可以包括:違規(guī)操作確定單元,連接至所述記錄單元,用于根據(jù)預設的權(quán)限策略判斷所述軟件的行為是否屬于違規(guī)操作,所述權(quán)限策略包括所述軟件可操作的數(shù)據(jù)范圍。
[0020]如果某一軟件的違規(guī)操作數(shù)很多,則確定該軟件為惡意軟件,在判斷出軟件屬于惡意軟件時,為了實現(xiàn)對該軟件的隔離,可修改安全增強式Linux子系統(tǒng)中該軟件的安全上下文,并將該軟件納入黑名單中,作為其他終端安裝軟件或本終端下次安裝軟件時的判斷依據(jù),如果發(fā)現(xiàn)該軟件在黑名單列表中,就可禁止安裝該軟件。目前集成seLinux子系統(tǒng)的終端僅僅是禁止當前的違規(guī)操作行為,并不能實現(xiàn)軟件的隔離,以及惡意軟件信息的收集。
[0021]在上述任一技術方案中,優(yōu)選的,還可以包括:屬性修改單元,連接至所述記錄單元,用于在所述違規(guī)操作數(shù)大于閾值并確定所述軟件為惡意軟件時,通過安全增強式Linux子系統(tǒng)修改所述軟件的安全上下文屬性,將所述安全上下文賦值為不可信,并將所述軟件歸入黑名單列表中。
[0022]在上述任一技術方案中,優(yōu)選的,所述軟件的行為被分為多類,所述違規(guī)操作確定單元具體用于監(jiān)視軟件的多類行為中被指定的一類或多類行為,供所述記錄單元生成針對所述被指定的一類或多類行為的日志信息。
[0023]軟件行為有很多種類型,例如訪問、刪除、修改、增加等等,刪除或修改是比較關鍵的操作類型,因此可以設置那些比較關鍵的操作類型需要被監(jiān)控并生成相應的日志信息。
[0024]本發(fā)明能夠?qū)崿F(xiàn)在移植有seLinux子系統(tǒng)的終端上,在軟件行為違規(guī)操作次數(shù)大于設定的次數(shù)時,提示用戶軟件的惡意行為。通過該方案能夠很好地實現(xiàn)對惡意軟件的收集和發(fā)布、提醒預防的措施,提高終端的安全性能。
【專利附圖】
【附圖說明】
[0025]圖1示出了根據(jù)本發(fā)明的一個實施例的軟件行為監(jiān)控方法的流程圖;
[0026]圖2示出了根據(jù)本發(fā)明的另一實施例的軟件行為監(jiān)控方法的流程圖;
[0027]圖3示出了根據(jù)本發(fā)明的實施例的軟件行為監(jiān)控提示示意圖;
[0028]圖4示出了根據(jù)本發(fā)明的實施例的終端的框圖。
【具體實施方式】
[0029]為了能夠更清楚地理解本發(fā)明的上述目的、特征和優(yōu)點,下面結(jié)合附圖和【具體實施方式】對本發(fā)明進行進一步的詳細描述。需要說明的是,在不沖突的情況下,本申請的實施例及實施例中的特征可以相互組合。
[0030]在下面的描述中闡述了很多具體細節(jié)以便于充分理解本發(fā)明,但是,本發(fā)明還可以采用其他不同于在此描述的其他方式來實施,因此,本發(fā)明的保護范圍并不受下面公開的具體實施例的限制。
[0031]圖1示出了根據(jù)本發(fā)明的一個實施例的軟件行為監(jiān)控方法的流程圖。
[0032]如圖1所示,根據(jù)本發(fā)明的實施例的軟件行為監(jiān)控方法可以包括以下步驟:步驟102,記錄軟件的違規(guī)操作數(shù),判斷違規(guī)操作數(shù)是否大于閾值;步驟104,在違規(guī)操作數(shù)大于閾值時,提醒用戶是否卸載軟件。
[0033]通過上述技術方案,能夠發(fā)現(xiàn)并記錄軟件的違規(guī)操作,并當違規(guī)操作數(shù)達到設定的極限時,提醒用戶該軟件存在風險并提示相關違規(guī)行為以及是否卸載該軟件,當然,也可以一旦發(fā)現(xiàn)軟件的違規(guī)行為,就進行風險提示,使用戶能夠注意到該軟件狀態(tài),及時預防軟件的惡意行為,從而提高終端的安全性能。
[0034]在上述技術方案中,優(yōu)選的,通過安全增強式Linux子系統(tǒng)將所述軟件的違規(guī)操作記錄在日志中;根據(jù)所述日志統(tǒng)計所述軟件的違規(guī)操作數(shù)。
[0035]移植安全增強式Linux子系統(tǒng)到終端中,利用安全增強式Linux子系統(tǒng)來實現(xiàn)違規(guī)操作的監(jiān)視以及行為記錄。
[0036]在上述任一技術方案中,優(yōu)選的,根據(jù)預設的權(quán)限策略判斷所述軟件的行為是否屬于違規(guī)操作,所述權(quán)限策略包括所述軟件可操作的數(shù)據(jù)范圍。
[0037]可根據(jù)需要設置安全增強式Linux子系統(tǒng)中的權(quán)限策略,來限定各軟件所能訪問或操作的數(shù)據(jù)范圍,監(jiān)視軟件的行為,當發(fā)現(xiàn)軟件訪問的數(shù)據(jù)不屬于該設置的權(quán)限范圍內(nèi)時,就認為該軟件存在違規(guī)操作,目前集成seLinux技術的終端不能隨意配置權(quán)限策略,所有策略都是固定的。[0038]在上述任一技術方案中,優(yōu)選的,在所述違規(guī)操作數(shù)大于閾值并確定所述軟件為惡意軟件時,通過安全增強式Linux子系統(tǒng)修改所述軟件的安全上下文屬性,將所述安全上下文賦值為不可信,并將所述軟件歸入黑名單列表中。
[0039]如果某一軟件的違規(guī)操作數(shù)很多,則確定該軟件為惡意軟件,在判斷出軟件屬于惡意軟件時,為了實現(xiàn)對該軟件的隔離,可修改安全增強式Linux子系統(tǒng)中該軟件的安全上下文,并將該軟件納入黑名單中,作為其他終端安裝軟件或本終端下次安裝軟件時的判斷依據(jù),如果發(fā)現(xiàn)該軟件在黑名單列表中,就可禁止安裝該軟件。目前集成seLinux子系統(tǒng)的終端僅僅是禁止當前的違規(guī)操作行為,并不能實現(xiàn)軟件的隔離,以及惡意軟件信息的收集。
[0040]在上述任一技術方案中,優(yōu)選的,所述軟件的行為被分為多類,監(jiān)視所述軟件的多類行為中被指定的一類或多類行為,生成針對所述被指定的一類或多類行為的日志信息。
[0041]軟件行為有很多種類型,例如訪問、刪除、修改、增加等等,刪除或修改是比較關鍵的操作類型,因此可以設置那些比較關鍵的操作類型需要被監(jiān)控并生成相應的日志信息。
[0042]下面結(jié)合圖2進一步說明根據(jù)本發(fā)明的軟件行為監(jiān)控方法。
[0043]seLinux使得系統(tǒng)的操作都處于限制狀態(tài),任何具體的訪問操作都需要經(jīng)過授權(quán)才可以被允許。系統(tǒng)所能進行操作都是明確的,最小權(quán)限集的。如果移植了 seLinux,系統(tǒng)所有違規(guī)的操作都是會被記錄下來的日志,存放到misc/audit目錄下的日志中。
[0044]由于日志中存儲了應用或者進程的違規(guī)操作,因此可統(tǒng)計違規(guī)操作的次數(shù),當某個應用或者進程的違規(guī)操作次數(shù)大于某閾值時,就提示用戶該應用或者進程全部的違規(guī)訪問數(shù),提示用戶注意或者卸載該應用。具體處理過程參見圖2。
[0045]如圖2所示,步驟202,判斷軟件的行為是否屬于違規(guī)操作,如果是,則進入步驟204,否則結(jié)束該流程。
[0046]設置seLinux子系統(tǒng)中的權(quán)限策略,即設置了每個軟件的可操作、訪問的數(shù)據(jù)范圍。監(jiān)視軟件的行為,判斷該軟件的行為是否屬于該權(quán)限范圍內(nèi),如果不是,說明軟件行為是惡意的,屬于違規(guī)行為。
[0047]步驟204,將該軟件行為記錄在日志中,記錄的信息包括軟件信息、試圖訪問、操作的數(shù)據(jù)、時間等。
[0048]步驟206,判斷軟件的違規(guī)次數(shù)是否超出閾值,如果是,則進入步驟208,否則回到步驟202。該閾值可以根據(jù)需要設置。
[0049]步驟208,在判斷該軟件的違規(guī)次數(shù)超出閾值時,確定該軟件屬于惡意軟件,并提醒用戶,該軟件的信息,違規(guī)次數(shù)以及相關的違規(guī)行為,是否卸載該軟件,如圖3所示,提示中有提供卸載鏈接,通過點擊該卸載鏈接,可直接進入卸載該應用的界面。除此之外,還在seLinux子系統(tǒng)中,將該軟件的安全上下文屬性(mac_permission.xml)修改為不可信的域。
[0050]步驟210,將該軟件納入黑名單中??梢詫⒃摵诿麊紊蟼髦猎品掌髦?,當其他終端或本終端安裝該軟件時,可根據(jù)該黑名單判斷是否可安裝該軟件,當發(fā)現(xiàn)該軟件是惡意軟件時,可提醒用戶并提示是否阻止該軟件的安裝。
[0051]上述處理機制的實現(xiàn)需要根據(jù)配置的權(quán)限策略來打開selinux子系統(tǒng)中的權(quán)限訪問信息??梢源蜷_某些關鍵操作(例如修改操作、刪除操作)的權(quán)限信息,然后專門監(jiān)控該信息的生成。一旦出現(xiàn)相關信息就提示用戶的操作。例如,可以檢測應用或進程刪除安裝文件的操作,當發(fā)現(xiàn)該違規(guī)操作時,生成selinux提示信息。
[0052]因此,根據(jù)本發(fā)明的處理機制需要能夠配置相關的權(quán)限策略,能夠?qū)ο到y(tǒng)中的關鍵操作進行管理和監(jiān)控。能夠?qū)θ罩拘畔⑦M行檢測。另外,當檢測到某應用是流氓軟件時,修改相關mac_permission.xml信息,并將該應用歸到黑名單當中,使得該應用不能被安裝。如果已經(jīng)安裝了該應用,則可以將該應用的安全上下文修改為不可信的域。在selinux系統(tǒng)中,需要將該涉及修改的服務變成單獨的域,只有這兩個服務(mac_permission.xml屬性修改和不可信屬性修改)的域才進行修改。
[0053]圖4示出了根據(jù)本發(fā)明的實施例的終端的框圖。
[0054]如圖4所示,根據(jù)本發(fā)明的實施例的終端400可以包括:記錄單元402,用于記錄軟件的違規(guī)操作數(shù);判斷單元404,連接至記錄單元402,用于判斷違規(guī)操作數(shù)是否大于閾值;提醒單元406,連接至判斷單元404,在違規(guī)操作數(shù)大于閾值時,提醒用戶是否卸載軟件。
[0055]通過上述技術方案,能夠發(fā)現(xiàn)并記錄軟件的違規(guī)操作,并當違規(guī)操作數(shù)達到設定的極限時,提醒用戶該軟件存在風險并提示相關違規(guī)行為以及是否卸載該軟件,當然,也可以一旦發(fā)現(xiàn)軟件的違規(guī)行為,就進行風險提示,使用戶能夠注意到該軟件狀態(tài),及時預防軟件的惡意行為,從而提高終端的安全性能。
[0056]在上述技術方案中,優(yōu)選的,記錄單元402包括:安全增強式Linux子系統(tǒng)4022,用于將軟件的違規(guī)操作記錄在日志中;統(tǒng)計單元4024,用于根據(jù)日志統(tǒng)計軟件的違規(guī)操作數(shù)。移植安全增強式Linux子系統(tǒng)到終端中,利用安全增強式Linux子系統(tǒng)來實現(xiàn)違規(guī)操作的監(jiān)視以及行為記錄。
[0057]可根據(jù)需要設置安全增強式Linux子系統(tǒng)中的權(quán)限策略,來限定各軟件所能訪問或操作的數(shù)據(jù)范圍,監(jiān)視軟件的行為,當發(fā)現(xiàn)軟件訪問的數(shù)據(jù)不屬于該設置的權(quán)限范圍內(nèi)時,就認為該軟件存在違規(guī)操作,目前集成seLinux技術的終端不能隨意配置權(quán)限策略,所有策略都是固定的。
[0058]在上述任一技術方案中,優(yōu)選的,還可以包括:違規(guī)操作確定單元408,連接至記錄單元402,用于根據(jù)預設的權(quán)限策略判斷軟件的行為是否屬于違規(guī)操作,權(quán)限策略包括軟件可操作的數(shù)據(jù)范圍。
[0059]如果某一軟件的違規(guī)操作數(shù)很多,則確定該軟件為惡意軟件,在判斷出軟件屬于惡意軟件時,為了實現(xiàn)對該軟件的隔離,可修改安全增強式Linux子系統(tǒng)中該軟件的安全上下文,并將該軟件納入黑名單中,作為其他終端安裝軟件或本終端下次安裝軟件時的判斷依據(jù),如果發(fā)現(xiàn)該軟件在黑名單列表中,就可禁止安裝該軟件。目前集成seLinux子系統(tǒng)的終端僅僅是禁止當前的違規(guī)操作行為,并不能實現(xiàn)軟件的隔離,以及惡意軟件信息的收集。
[0060]在上述任一技術方案中,優(yōu)選的,還可以包括:屬性修改單元410,連接至記錄單元402,用于在違規(guī)操作數(shù)大于閾值并確定所述軟件為惡意軟件時,通過安全增強式Linux子系統(tǒng)修改所述軟件的安全上下文屬性,將所述安全上下文賦值為不可信,并將所述軟件歸入黑名單列表中。
[0061]在上述任一技術方案中,優(yōu)選的,所述軟件的行為被分為多類,所述違規(guī)操作確定單元具體用于監(jiān)視軟件的多類行為中被指定的一類或多類行為,供所述記錄單元生成針對所述被指定的一類或多類行為的日志信息。
[0062]軟件行為有很多種類型,例如訪問、刪除、修改、增加等等,刪除或修改是比較關鍵的操作類型,因此可以設置那些比較關鍵的操作類型需要被監(jiān)控并生成相應的日志信息。
[0063]上述終端包括但不限于手機、平板電腦、筆記本電腦、智能電視。
[0064]根據(jù)本發(fā)明的技術方案,能夠?qū)崿F(xiàn)在移植有seLinux子系統(tǒng)的終端上,在軟件行為違規(guī)操作次數(shù)大于設定的次數(shù)時,提示用戶軟件的惡意行為。通過該方案能夠很好地實現(xiàn)對惡意軟件的收集和發(fā)布、提醒預防的措施,提高終端的安全性能。
[0065]以上所述僅為本發(fā)明的優(yōu)選實施例而已,并不用于限制本發(fā)明,對于本領域的技術人員來說,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進等,均應包含在本發(fā)明的保護范圍之內(nèi)。
【權(quán)利要求】
1.一種軟件行為監(jiān)控方法,其特征在于,包括: 記錄軟件的違規(guī)操作數(shù); 判斷所述違規(guī)操作數(shù)是否大于閾值; 在所述違規(guī)操作數(shù)大于閾值時,提醒用戶是否卸載所述軟件。
2.根據(jù)權(quán)利要求1所述的軟件行為監(jiān)控方法,其特征在于,通過安全增強式Linux子系統(tǒng)將所述軟件的違規(guī)操作記錄在日志中; 根據(jù)所述日志統(tǒng)計所述軟件的違規(guī)操作數(shù)。
3.根據(jù)權(quán)利要求1或2所述的軟件行為監(jiān)控方法,其特征在于,根據(jù)預設的權(quán)限策略判斷所述軟件的行為是否屬于違規(guī)操作,所述權(quán)限策略包括所述軟件可操作的數(shù)據(jù)范圍。
4.根據(jù)權(quán)利要求3所述的軟件行為監(jiān)控方法,其特征在于,在所述違規(guī)操作數(shù)大于閾值并確定所述軟件為惡意軟件時,通過安全增強式Linux子系統(tǒng)修改所述軟件的安全上下文屬性,將所述安全上下文賦值為不可信,并將所述軟件歸入黑名單列表中。
5.根據(jù)權(quán)利要求3所述的軟件行為監(jiān)控方法,其特征在于,所述軟件的行為被分為多類,監(jiān)視所述軟件的多類行為中被指定的一類或多類行為,生成針對所述被指定的一類或多類行為的日志信息。
6.一種終端,其特征在于,包括: 記錄單元,用于記錄軟件的違規(guī)操作數(shù); 判斷單元,連接至所述記錄單元,用于判斷所述違規(guī)操作數(shù)是否大于閾值; 提醒單元,連接至所述判斷單元,在所述違規(guī)操作數(shù)大于閾值時,提醒用戶是否卸載所述軟件。
7.根據(jù)權(quán)利要求6所述的終端,其特征在于,所述記錄單元包括:安全增強式Linux子系統(tǒng),用于將所述軟件的違規(guī)操作記錄在日志中; 統(tǒng)計單元,用于根據(jù)所述日志統(tǒng)計所述軟件的違規(guī)操作數(shù)。
8.根據(jù)權(quán)利要求6或7所述的終端,其特征在于,還包括: 違規(guī)操作確定單元,連接至所述記錄單元,用于根據(jù)預設的權(quán)限策略判斷所述軟件的行為是否屬于違規(guī)操作,所述權(quán)限策略包括所述軟件可操作的數(shù)據(jù)范圍。
9.根據(jù)權(quán)利要求8所述的終端,其特征在于,還包括: 屬性修改單元,連接至所述記錄單元,用于在所述違規(guī)操作數(shù)大于閾值并確定所述軟件為惡意軟件時,通過安全增強式Linux子系統(tǒng)修改所述軟件的安全上下文屬性,將所述安全上下文賦值為不可信,并將所述軟件歸入黑名單列表中。
10.根據(jù)權(quán)利要求8所述的終端,其特征在于,所述軟件的行為被分為多類,所述違規(guī)操作確定單元具體用于監(jiān)視軟件的多類行為中被指定的一類或多類行為,供所述記錄單元生成針對所述被指定的一類或多類行為的日志信息。
【文檔編號】G06F21/56GK103679028SQ201310656847
【公開日】2014年3月26日 申請日期:2013年12月6日 優(yōu)先權(quán)日:2013年12月6日
【發(fā)明者】劉惠盛 申請人:深圳酷派技術有限公司, 宇龍計算機通信科技(深圳)有限公司