本發(fā)明涉及移動(dòng)設(shè)備制造
技術(shù)領(lǐng)域:
����,尤其涉及一種移動(dòng)終端的安全防御裝置、方法和移動(dòng)終端�。
背景技術(shù):
:隨著移動(dòng)終端(例如手機(jī)、平板電腦等)的大規(guī)模普及���,很多病毒�、木馬和惡意攻擊程序等開始入侵移動(dòng)終端的操作系統(tǒng),特別是像安卓Android的操作系統(tǒng)可被第三方應(yīng)用獲取root(操作系統(tǒng)中唯一的超級(jí)用戶)權(quán)限����,幾乎可以修改操作系統(tǒng)的任何數(shù)據(jù)。一旦移動(dòng)終端的操作系統(tǒng)被攻擊者破解�,攻擊者可以獲取到用戶的大量私人敏感信息�,對(duì)用戶危害巨大,給用戶的私人敏感信息的安全帶來了嚴(yán)峻的考驗(yàn)���。技術(shù)實(shí)現(xiàn)要素:本發(fā)明旨在至少解決上述技術(shù)問題之一���。為此,本發(fā)明的第一個(gè)目的在于提出一種移動(dòng)終端的安全防御裝置�。該裝置使整個(gè)移動(dòng)終端的操作系統(tǒng)可以主動(dòng)防御攻擊者的攻擊行為,給操作系統(tǒng)的安全防護(hù)帶來有效地保障��。本發(fā)明的第二個(gè)目的在于提出一種移動(dòng)終端的安全防御方法���。本發(fā)明的第三個(gè)目的在于提出一種移動(dòng)終端����。為了實(shí)現(xiàn)上述目的�����,本發(fā)明第一方面實(shí)施例的移動(dòng)終端的安全防御裝置包括:存儲(chǔ)模塊、開機(jī)管理模塊和防御模塊���,其中�����,所述存儲(chǔ)模塊���,所述存儲(chǔ)模塊設(shè)置在移動(dòng)終端的根文件系統(tǒng)之中,用于存儲(chǔ)所述防御模塊的可執(zhí)行文件�����;所述開機(jī)管理模塊����,用于在所述移動(dòng)終端開機(jī)啟動(dòng)時(shí)根據(jù)所述移動(dòng)終端的配置文件獲取并運(yùn)行所述可執(zhí)行文件;所述防御模塊����,用于根據(jù)運(yùn)行的所述可執(zhí)行文件生成常駐后臺(tái)的防御進(jìn)程,所述防御進(jìn)程用于監(jiān)測所述移動(dòng)終端的異常行為并根據(jù)所述異常行為進(jìn)行主動(dòng)防御。根據(jù)本發(fā)明實(shí)施例的移動(dòng)終端的安全防御裝置���,通過防御模塊根據(jù)運(yùn)行的可執(zhí)行文件生成常駐后臺(tái)的防御進(jìn)程���,并通過防御進(jìn)程監(jiān)測移動(dòng)終端的異常行為并根據(jù)異常行為進(jìn)行主動(dòng)防御,通過利用在操作系統(tǒng)的根文件系統(tǒng)中植入安全防護(hù)程序?qū)崿F(xiàn)了安全防護(hù)程序的不可卸載特性����,并且在操作系統(tǒng)層面實(shí)現(xiàn)了該安全防護(hù)程序的安全防護(hù)進(jìn)程的常駐內(nèi)存運(yùn)行和自動(dòng)啟動(dòng)管理,從而確?�?梢岳冒踩雷o(hù)進(jìn)程對(duì)移動(dòng)終端操作系統(tǒng)的應(yīng)用層和服務(wù)層進(jìn)行全面監(jiān)測防護(hù)和自我修復(fù)�����,使整個(gè)移動(dòng)終端的操作系統(tǒng)可以主動(dòng)防御攻擊者的攻擊行為����,給操作系統(tǒng)的安全防護(hù)帶來有效地保障��。為了實(shí)現(xiàn)上述目的��,本發(fā)明第二方面實(shí)施例的移動(dòng)終端的安全防御方法�,包括以下步驟:當(dāng)所述移動(dòng)終端啟動(dòng)時(shí),所述移動(dòng)終端根據(jù)配置文件獲取并運(yùn)行存儲(chǔ)在所述移動(dòng)終端的根文件系統(tǒng)之中的用于防御的可執(zhí)行文件;所述移動(dòng)終端根據(jù)運(yùn)行的所述可執(zhí)行文件生成常駐后臺(tái)的防御進(jìn)程�;以及所述移動(dòng)終端通過所述防御進(jìn)程監(jiān)測所述移動(dòng)終端的異常行為并根據(jù)所述異常行為進(jìn)行主動(dòng)防御。根據(jù)本發(fā)明實(shí)施例的移動(dòng)終端的安全防御方法��,移動(dòng)終端通過存儲(chǔ)在移動(dòng)終端的根文件系統(tǒng)之中的用于防御的可執(zhí)行文件生成常駐后臺(tái)的防御進(jìn)程�,并通過防御進(jìn)程監(jiān)測移動(dòng)終端的異常行為并根據(jù)異常行為進(jìn)行主動(dòng)防御,通過利用在操作系統(tǒng)的根文件系統(tǒng)中植入安全防護(hù)程序?qū)崿F(xiàn)了安全防護(hù)程序的不可卸載特性����,并且在操作系統(tǒng)層面實(shí)現(xiàn)了該安全防護(hù)程序的安全防護(hù)進(jìn)程的常駐內(nèi)存運(yùn)行和自動(dòng)啟動(dòng)管理,從而確?��?梢岳冒踩雷o(hù)進(jìn)程對(duì)移動(dòng)終端操作系統(tǒng)的應(yīng)用層和服務(wù)層進(jìn)行全面監(jiān)測防護(hù)和自我修復(fù)��,使整個(gè)移動(dòng)終端的操作系統(tǒng)可以主動(dòng)防御攻擊者的攻擊行為���,給操作系統(tǒng)的安全防護(hù)帶來有效地保障。為了實(shí)現(xiàn)上述目的�,本發(fā)明第三方面實(shí)施例的移動(dòng)終端,包括本發(fā)明第一方面實(shí)施例的移動(dòng)終端的安全防御裝置����。根據(jù)本發(fā)明實(shí)施例的移動(dòng)終端,通過防御模塊根據(jù)運(yùn)行的可執(zhí)行文件生成常駐后臺(tái)的防御進(jìn)程����,并通過防御進(jìn)程監(jiān)測移動(dòng)終端的異常行為并根據(jù)異常行為進(jìn)行主動(dòng)防御�,通過利用在操作系統(tǒng)的根文件系統(tǒng)中植入安全防護(hù)程序?qū)崿F(xiàn)了安全防護(hù)程序的不可卸載特性�,并且在操作系統(tǒng)層面實(shí)現(xiàn)了該安全防護(hù)程序的安全防護(hù)進(jìn)程的常駐內(nèi)存運(yùn)行和自動(dòng)啟動(dòng)管理,從而確?�?梢岳冒踩雷o(hù)進(jìn)程對(duì)移動(dòng)終端操作系統(tǒng)的應(yīng)用層和服務(wù)層進(jìn)行全面監(jiān)測防護(hù)和自我修復(fù)�����,使整個(gè)移動(dòng)終端的操作系統(tǒng)可以主動(dòng)防御攻擊者的攻擊行為����,給操作系統(tǒng)的安全防護(hù)帶來有效地保障。本發(fā)明附加的方面和優(yōu)點(diǎn)將在下面的描述中部分給出�����,部分將從下面的描述中變得明顯��,或通過本發(fā)明的實(shí)踐了解到�。附圖說明本發(fā)明上述的和/或附加的方面和優(yōu)點(diǎn)從下面結(jié)合附圖對(duì)實(shí)施例的描述中將變得明顯和容易理解����,其中,圖1是根據(jù)本發(fā)明一個(gè)實(shí)施例的移動(dòng)終端的安全防御裝置的結(jié)構(gòu)示意圖;圖2(a)�����、(b)是根據(jù)本發(fā)明一個(gè)實(shí)施例的移動(dòng)終端的安全防御裝置的示意圖����;以及圖3是根據(jù)本發(fā)明一個(gè)實(shí)施例的移動(dòng)終端的安全防御方法的流程圖。具體實(shí)施方式下面詳細(xì)描述本發(fā)明的實(shí)施例��,所述實(shí)施例的示例在附圖中示出��,其中自始至終相同或類似的標(biāo)號(hào)表示相同或類似的元件或具有相同或類似功能的元件���。下面通過參考附圖描述的實(shí)施例是示例性的���,僅用于解釋本發(fā)明,而不能理解為對(duì)本發(fā)明的限制���。相反�����,本發(fā)明的實(shí)施例包括落入所附加權(quán)利要求書的精神和內(nèi)涵范圍內(nèi)的所有變化����、修改和等同物。在本發(fā)明的描述中�,需要理解的是,術(shù)語“第一”�、“第二”等僅用于描述目的,而不能理解為指示或暗示相對(duì)重要性�。在本發(fā)明的描述中,需要說明的是�,除非另有明確的規(guī)定和限定,術(shù)語“相連”���、“連接”應(yīng)做廣義理解�,例如��,可以是固定連接���,也可以是可拆卸連接,或一體地連接��;可以是機(jī)械連接���,也可以是電連接���;可以是直接相連�����,也可以通過中間媒介間接相連�����。對(duì)于本領(lǐng)域的普通技術(shù)人員而言��,可以具體情況理解上述術(shù)語在本發(fā)明中的具體含義�����。此外����,在本發(fā)明的描述中��,除非另有說明����,“多個(gè)”的含義是兩個(gè)或兩個(gè)以上。流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為��,表示包括一個(gè)或更多個(gè)用于實(shí)現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊、片段或部分�,并且本發(fā)明的優(yōu)選實(shí)施方式的范圍包括另外的實(shí)現(xiàn),其中可以不按所示出或討論的順序����,包括根據(jù)所涉及的功能按基本同時(shí)的方式或按相反的順序,來執(zhí)行功能�����,這應(yīng)被本發(fā)明的實(shí)施例所屬
技術(shù)領(lǐng)域:
的技術(shù)人員所理解����。下面參考附圖描述根據(jù)本發(fā)明實(shí)施例的移動(dòng)終端的安全防御裝置、方法和移動(dòng)終端��。一種移動(dòng)終端的安全防御裝置����,包括:存儲(chǔ)模塊、開機(jī)管理模塊和防御模塊���,其中��,存儲(chǔ)模塊���,存儲(chǔ)模塊設(shè)置在移動(dòng)終端的根文件系統(tǒng)之中,用于存儲(chǔ)防御模塊的可執(zhí)行文件����;開機(jī)管理模塊,用于在移動(dòng)終端開機(jī)啟動(dòng)時(shí)根據(jù)移動(dòng)終端的配置文件獲取并運(yùn)行可執(zhí)行文件��;防御模塊�,用于根據(jù)運(yùn)行的可執(zhí)行文件生成常駐后臺(tái)的防御進(jìn)程,防御進(jìn)程用于監(jiān)測移動(dòng)終端的異常行為并根據(jù)異常行為進(jìn)行主動(dòng)防御��。圖1是根據(jù)本發(fā)明一個(gè)實(shí)施例的移動(dòng)終端的安全防御裝置的結(jié)構(gòu)示意圖�。如圖1所示,移動(dòng)終端的安全防御裝置包括:存儲(chǔ)模塊100���、開機(jī)管理模塊200和防御模塊300�����。具體地���,存儲(chǔ)模塊100設(shè)置在移動(dòng)終端的根文件系統(tǒng)之中,用于存儲(chǔ)防御模塊300的可執(zhí)行文件�。在本發(fā)明的一個(gè)實(shí)施例中��,可執(zhí)行文件可為只讀�。例如,如圖2(a)所示,Android操作系統(tǒng)的移動(dòng)終端可以在移動(dòng)終端的根文件系統(tǒng)中設(shè)置存儲(chǔ)模塊100���,將防御模塊300的可執(zhí)行文件存儲(chǔ)在存儲(chǔ)模塊100中�����,然后將根文件系統(tǒng)以內(nèi)存盤ramdisk的gzip(GNUzip�,一種文件壓縮形式)形式打包到鏡像文件boot.img中����,其中,boot.img中還包括操作系統(tǒng)的內(nèi)核鏡像文件�。操作系統(tǒng)的內(nèi)核啟動(dòng)后,移動(dòng)終端可以將根文件系統(tǒng)放置在內(nèi)核內(nèi)存存儲(chǔ)區(qū)域的相鄰處���,并將該區(qū)域作為只讀區(qū)域��,即操作系統(tǒng)的任何進(jìn)程都不能修改根文件系統(tǒng)���,由此,可以保證根文件系統(tǒng)中存儲(chǔ)模塊100存儲(chǔ)的防御模塊300的可執(zhí)行文件的安全。應(yīng)理解���,任何操作系統(tǒng)的引導(dǎo)都需要內(nèi)核鏡像文件和類似的根文件系統(tǒng),因此本發(fā)明實(shí)施例中的裝置可以被應(yīng)用在多種操作系統(tǒng)平臺(tái)上(例如Android����、Linux等)。開機(jī)管理模塊200用于在移動(dòng)終端開機(jī)啟動(dòng)時(shí)根據(jù)移動(dòng)終端的配置文件獲取并運(yùn)行可執(zhí)行文件���。防御模塊300用于根據(jù)運(yùn)行的可執(zhí)行文件生成常駐后臺(tái)的防御進(jìn)程�����,防御進(jìn)程用于監(jiān)測移動(dòng)終端的異常行為并根據(jù)異常行為進(jìn)行主動(dòng)防御����。更具體地��,攻擊者可以使用攻擊程序?qū)σ苿?dòng)終端的操作系統(tǒng)進(jìn)行具有針對(duì)性和隱蔽性的攻擊�����,例如��,后臺(tái)進(jìn)程靜默凍結(jié)某些應(yīng)用程序的模塊使其不能運(yùn)行等。防御模塊300生成的常駐后臺(tái)的防御進(jìn)程可以監(jiān)測攻擊者惡意的異常行為并進(jìn)行主動(dòng)防御��。根據(jù)本發(fā)明實(shí)施例的移動(dòng)終端的安全防御裝置�����,通過防御模塊根據(jù)運(yùn)行的可執(zhí)行文件生成常駐后臺(tái)的防御進(jìn)程���,并通過防御進(jìn)程監(jiān)測移動(dòng)終端的異常行為并根據(jù)異常行為進(jìn)行主動(dòng)防御��,通過利用在操作系統(tǒng)的根文件系統(tǒng)中植入安全防護(hù)程序?qū)崿F(xiàn)了安全防護(hù)程序的不可卸載特性���,并且在操作系統(tǒng)層面實(shí)現(xiàn)了該安全防護(hù)程序的安全防護(hù)進(jìn)程的常駐內(nèi)存運(yùn)行和自動(dòng)啟動(dòng)管理,從而確?����?梢岳冒踩雷o(hù)進(jìn)程對(duì)移動(dòng)終端操作系統(tǒng)的應(yīng)用層和服務(wù)層進(jìn)行全面監(jiān)測防護(hù)和自我修復(fù)�����,使整個(gè)移動(dòng)終端的操作系統(tǒng)可以主動(dòng)防御攻擊者的攻擊行為�,給操作系統(tǒng)的安全防護(hù)帶來有效地保障。在本發(fā)明的一個(gè)實(shí)施例中�,開機(jī)管理模塊200還用于監(jiān)測防御進(jìn)程是否被關(guān)閉��,并在監(jiān)測防御進(jìn)程被關(guān)閉之后根據(jù)配置文件重新運(yùn)行可執(zhí)行文件以生成防御進(jìn)程����。例如����,在Android操作系統(tǒng)的移動(dòng)終端中�,開機(jī)管理模塊200中的init進(jìn)程可以監(jiān)測防御進(jìn)程的退出事件,并在防御進(jìn)程退出后可以重新啟動(dòng)一個(gè)新的防御進(jìn)程��,由此���,實(shí)現(xiàn)了對(duì)防御進(jìn)程的監(jiān)測和重啟��,使防御進(jìn)程具有不可關(guān)閉的特性�。在本發(fā)明的一個(gè)實(shí)施例中���,防御模塊300生成的防御進(jìn)程還用于執(zhí)行root權(quán)限的操作����。由此�,防御進(jìn)程可以對(duì)root權(quán)限進(jìn)行操作或修改�����,保證了root權(quán)限不能被攻擊者惡意修改�����。在本發(fā)明的一個(gè)實(shí)施例中�����,移動(dòng)終端的服務(wù)應(yīng)用程序調(diào)用防御模塊300生成的防御進(jìn)程完成root權(quán)限的操作�。例如����,防御模塊300生成的防御進(jìn)程可以刪除操作系統(tǒng)中的惡意攻擊程序等。在本發(fā)明的一個(gè)實(shí)施例中����,防御模塊300生成的防御進(jìn)程還用于掃描移動(dòng)終端中是否存在su(switchuser,切換用戶)執(zhí)行的應(yīng)用程序���,并在存在su執(zhí)行的應(yīng)用程序時(shí)�����,刪除su執(zhí)行的應(yīng)用程序���。具體地����,移動(dòng)終端操作系統(tǒng)被攻擊者破解后��,攻擊者會(huì)在移動(dòng)終端中放置一個(gè)su程序�����,之后安裝的應(yīng)用程序可以通過su程序來獲取root權(quán)限�����,因此�����,防御進(jìn)程監(jiān)測到su程序時(shí)可以直接刪除su程序�����,以使防御進(jìn)程對(duì)移動(dòng)終端操作系統(tǒng)進(jìn)行修復(fù)����,后安裝的應(yīng)用程序無法獲得root權(quán)限。在本發(fā)明的一個(gè)實(shí)施例中�����,防御模塊300生成的防御進(jìn)程還用于掃描移動(dòng)終端中是否存在網(wǎng)絡(luò)協(xié)議表iptables的異常行為�,并在iptables表中存在異常行為時(shí),凍結(jié)異常行為對(duì)應(yīng)的應(yīng)用程序���。具體地��,攻擊者破解移動(dòng)終端操作系統(tǒng)獲取了root權(quán)限后��,可以修改操作系統(tǒng)的網(wǎng)絡(luò)配置信息����,例如操作系統(tǒng)的iptables����,使得移動(dòng)終端不能連接某些網(wǎng)絡(luò)服務(wù)器,同時(shí)保持移動(dòng)終端與其它的網(wǎng)絡(luò)服務(wù)器連接正常�����,因此,防御進(jìn)程監(jiān)測到iptables表存在異常行為時(shí)可以凍結(jié)異常行為對(duì)應(yīng)的應(yīng)用程序����。在本發(fā)明的一個(gè)實(shí)施例中,防御模塊300還用于將防御進(jìn)程獲取的異常行為發(fā)送至服務(wù)應(yīng)用程序以對(duì)用戶進(jìn)行提醒�����。例如�����,防御模塊300生成的防御進(jìn)程在監(jiān)測到異常行為(例如惡意程序的攻擊行為等)后�,可以將異常行為上報(bào)至服務(wù)應(yīng)用程序,然后服務(wù)應(yīng)用程序通過在移動(dòng)終端界面中顯示的方式對(duì)用戶進(jìn)行預(yù)警��,例如����,如圖2(b)所示�����,防御進(jìn)程可以在移動(dòng)終端界面中彈出一個(gè)對(duì)話框�����,提醒用戶是哪個(gè)惡意程序修改了哪些操作系統(tǒng)的配置信息,然后引導(dǎo)用戶完成修復(fù)操作或者引導(dǎo)用戶刪除惡意攻擊程序��。在本發(fā)明的一個(gè)實(shí)施例中�,防御模塊300還用于將防御進(jìn)程獲取的異常行為發(fā)送至云端服務(wù)器,并接收云端服務(wù)器根據(jù)異常行為發(fā)送的執(zhí)行指令�����。具體地�,防御進(jìn)程監(jiān)測到異常行為(例如惡意程序的攻擊行為等)后,防御模塊300可以將異常行為上傳至云端服務(wù)器�����,云端服務(wù)器可以根據(jù)來自其他移動(dòng)終端的上傳信息分析出潛在的攻擊行為���,并形成自動(dòng)的預(yù)警機(jī)制���,更具體地,云端服務(wù)器可以生成一個(gè)可以自動(dòng)分析數(shù)據(jù)并且產(chǎn)生數(shù)據(jù)報(bào)表的分析應(yīng)用程序和管理平臺(tái)����,防御進(jìn)程監(jiān)測到異常行為后����,云端服務(wù)器可以通過例如推入信息wappush或者基于TCP(TransmissionControlProtocol�����,傳輸控制協(xié)議)長連接的推入信息wappush通道等發(fā)送特定的指令至防御模塊300�,然后防御模塊300生成的防御進(jìn)程在接收云端服務(wù)器發(fā)送的指令后執(zhí)行操作。其中�����,云端服務(wù)器發(fā)送指令的數(shù)據(jù)可以加密傳輸����、同時(shí)需要驗(yàn)證數(shù)據(jù)的完整性,由此可以防止數(shù)據(jù)在傳輸過程中被修改�,確保傳輸數(shù)據(jù)的安全。為了實(shí)現(xiàn)上述實(shí)施例�����,本發(fā)明還提出一種移動(dòng)終端的安全防御方法�。如果移動(dòng)終端可以在移動(dòng)終端操作系統(tǒng)中植入用于防御的可執(zhí)行文件����,并在操作系統(tǒng)層面通過防御的可執(zhí)行文件生成的防御進(jìn)程對(duì)操作系統(tǒng)的應(yīng)用層和服務(wù)層進(jìn)行全面監(jiān)測和自我修復(fù)�����,并利用防御進(jìn)程的不可卸載特性�,實(shí)現(xiàn)即使惡意程序獲取了移動(dòng)終端操作系統(tǒng)的root權(quán)限��,也不能繞過防御進(jìn)程����,不能修改防御進(jìn)程保護(hù)的操作系統(tǒng)。由此�����,本發(fā)明提出了一種移動(dòng)終端的安全防御方法����,包括以下步驟:當(dāng)移動(dòng)終端啟動(dòng)時(shí),移動(dòng)終端根據(jù)配置文件獲取并運(yùn)行存儲(chǔ)在移動(dòng)終端的根文件系統(tǒng)之中的用于防御的可執(zhí)行文件�;移動(dòng)終端根據(jù)運(yùn)行的可執(zhí)行文件生成常駐后臺(tái)的防御進(jìn)程;以及移動(dòng)終端通過防御進(jìn)程監(jiān)測移動(dòng)終端的異常行為并根據(jù)異常行為進(jìn)行主動(dòng)防御����。圖3是根據(jù)本發(fā)明一個(gè)實(shí)施例的移動(dòng)終端的安全防御方法的流程圖��。如圖3所示����,移動(dòng)終端的安全防御方法包括:S301�,當(dāng)移動(dòng)終端啟動(dòng)時(shí),移動(dòng)終端根據(jù)配置文件獲取并運(yùn)行存儲(chǔ)在移動(dòng)終端的根文件系統(tǒng)之中的用于防御的可執(zhí)行文件��。在本發(fā)明的一個(gè)實(shí)施例中����,可執(zhí)行文件可為只讀。例如,如圖2(a)所示,Android操作系統(tǒng)的移動(dòng)終端可以在移動(dòng)終端的根文件系統(tǒng)中存儲(chǔ)用于防御的可執(zhí)行文件�����,然后移動(dòng)終端將根文件系統(tǒng)以內(nèi)存盤ramdisk的gzip(GNUzip���,一種文件壓縮形式)形式打包到鏡像文件boot.img中�,其中�����,boot.img中還包括操作系統(tǒng)的內(nèi)核鏡像文件��。操作系統(tǒng)的內(nèi)核啟動(dòng)后���,移動(dòng)終端可以將根文件系統(tǒng)放置在內(nèi)核內(nèi)存存儲(chǔ)區(qū)域的相鄰處���,并將該區(qū)域作為只讀區(qū)域,即操作系統(tǒng)的任何進(jìn)程都不能修改根文件系統(tǒng)���,由此����,可以保證根文件系統(tǒng)中存儲(chǔ)的用于防御的可執(zhí)行文件的安全���。S302����,移動(dòng)終端根據(jù)運(yùn)行的可執(zhí)行文件生成常駐后臺(tái)的防御進(jìn)程�。在本發(fā)明的一個(gè)實(shí)施例中,移動(dòng)終端監(jiān)測防御進(jìn)程是否被關(guān)閉�����,并在監(jiān)測防御進(jìn)程被關(guān)閉之后根據(jù)配置文件重新運(yùn)行可執(zhí)行文件以生成防御進(jìn)程。例如�����,在Android操作系統(tǒng)的移動(dòng)終端中�,init進(jìn)程可以監(jiān)測防御進(jìn)程的退出事件,并在防御進(jìn)程退出后可以重新啟動(dòng)一個(gè)新的防御進(jìn)程��,由此��,實(shí)現(xiàn)了對(duì)防御進(jìn)程的監(jiān)測和重啟�,使防御進(jìn)程具有不可關(guān)閉的特性。S303�,移動(dòng)終端通過防御進(jìn)程監(jiān)測移動(dòng)終端的異常行為并根據(jù)異常行為進(jìn)行主動(dòng)防御。具體地�,攻擊者可以使用攻擊程序?qū)σ苿?dòng)終端的操作系統(tǒng)進(jìn)行具有針對(duì)性和隱蔽性的攻擊,例如��,后臺(tái)進(jìn)程靜默凍結(jié)某些應(yīng)用程序的模塊使其不能運(yùn)行等���,移動(dòng)終端生成的常駐后臺(tái)的防御進(jìn)程可以監(jiān)測攻擊者惡意的異常行為并進(jìn)行主動(dòng)防御��。在本發(fā)明的一個(gè)實(shí)施例中�,移動(dòng)終端將防御進(jìn)程獲取的異常行為發(fā)送至服務(wù)應(yīng)用程序以對(duì)用戶進(jìn)行提醒����。例如�,移動(dòng)終端生成的防御進(jìn)程在監(jiān)測到異常行為(例如惡意程序的攻擊行為等)后���,可以將異常行為上報(bào)至服務(wù)應(yīng)用程序,然后服務(wù)應(yīng)用程序通過在移動(dòng)終端界面中顯示的方式對(duì)用戶進(jìn)行預(yù)警�����,例如����,如圖2(b)所示,防御進(jìn)程可以在移動(dòng)終端界面中彈出一個(gè)對(duì)話框�,提醒用戶是哪個(gè)惡意程序修改了哪些操作系統(tǒng)的配置信息,然后引導(dǎo)用戶完成修復(fù)操作或者引導(dǎo)用戶刪除惡意攻擊程序���。在本發(fā)明的一個(gè)實(shí)施例中����,移動(dòng)終端將防御進(jìn)程獲取的異常行為發(fā)送至云端服務(wù)器�,并接收云端服務(wù)器根據(jù)異常行為發(fā)送的執(zhí)行指令。具體地��,防御進(jìn)程監(jiān)測到異常行為(例如惡意程序的攻擊行為等)后,移動(dòng)終端可以將異常行為上傳至云端服務(wù)器��,云端服務(wù)器可以根據(jù)來自其他大量移動(dòng)終端的上傳信息分析出潛在的攻擊行為�����,并形成自動(dòng)的預(yù)警機(jī)制���,更具體地����,云端服務(wù)器可以生成一個(gè)自動(dòng)分析數(shù)據(jù)并且產(chǎn)生數(shù)據(jù)報(bào)表的分析應(yīng)用程序和管理平臺(tái)��,防御進(jìn)程監(jiān)測到異常行為后����,云端服務(wù)器可以通過例如推入信息wappush短信或者基于TCP(TransmissionControlProtocol,傳輸控制協(xié)議)長連接的推入信息wappush通道等發(fā)送特定的指令至移動(dòng)終端���,然后移動(dòng)終端生成的防御進(jìn)程在接收云端服務(wù)器發(fā)送的指令后執(zhí)行操作��。其中�,云端服務(wù)器發(fā)送指令的數(shù)據(jù)可以加密傳輸�����、同時(shí)需要驗(yàn)證數(shù)據(jù)的完整性,由此可以防止數(shù)據(jù)在傳輸過程中被修改�,確保傳輸數(shù)據(jù)的安全。根據(jù)本發(fā)明實(shí)施例的移動(dòng)終端的安全防御方法����,移動(dòng)終端通過存儲(chǔ)在移動(dòng)終端的根文件系統(tǒng)之中的用于防御的可執(zhí)行文件生成常駐后臺(tái)的防御進(jìn)程���,并通過防御進(jìn)程監(jiān)測移動(dòng)終端的異常行為并根據(jù)異常行為進(jìn)行主動(dòng)防御��,通過利用在操作系統(tǒng)的根文件系統(tǒng)中植入安全防護(hù)程序?qū)崿F(xiàn)了安全防護(hù)程序的不可卸載特性����,并且在操作系統(tǒng)層面實(shí)現(xiàn)了該安全防護(hù)程序的安全防護(hù)進(jìn)程的常駐內(nèi)存運(yùn)行和自動(dòng)啟動(dòng)管理��,從而確?�?梢岳冒踩雷o(hù)進(jìn)程對(duì)移動(dòng)終端操作系統(tǒng)的應(yīng)用層和服務(wù)層進(jìn)行全面監(jiān)測防護(hù)和自我修復(fù)�,使整個(gè)移動(dòng)終端的操作系統(tǒng)可以主動(dòng)防御攻擊者的攻擊行為,給操作系統(tǒng)的安全防護(hù)帶來有效地保障�����。在本發(fā)明的一個(gè)實(shí)施例中,移動(dòng)終端生成的防御進(jìn)程執(zhí)行root權(quán)限的操作�����。由此��,防御進(jìn)程可以對(duì)root權(quán)限進(jìn)行操作或修改����,保證了root權(quán)限不能被攻擊者惡意修改。在本發(fā)明的一個(gè)實(shí)施例中�����,移動(dòng)終端的服務(wù)應(yīng)用程序調(diào)用移動(dòng)終端生成的防御進(jìn)程完成root權(quán)限的操作�。例如,移動(dòng)終端生成的防御進(jìn)程可以執(zhí)行刪除操作系統(tǒng)分區(qū)域中的惡意攻擊程序等����。在本發(fā)明的一個(gè)實(shí)施例中,防御進(jìn)程還用于掃描移動(dòng)終端中是否存在su(switchuser��,切換用戶)執(zhí)行的應(yīng)用程序��,并在存在su執(zhí)行的應(yīng)用程序時(shí),刪除su執(zhí)行的應(yīng)用程序����。具體地,移動(dòng)終端操作系統(tǒng)被攻擊者破解后�,攻擊者會(huì)在移動(dòng)終端中放置一個(gè)su程序,之后安裝的應(yīng)用程序可以通過su程序來獲取root權(quán)限����,因此,防御進(jìn)程監(jiān)測到su程序時(shí)可以直接刪除su程序��,以使防御進(jìn)程對(duì)移動(dòng)終端操作系統(tǒng)進(jìn)行修復(fù)�����,后安裝的應(yīng)用程序無法獲得root權(quán)限����。在本發(fā)明的一個(gè)實(shí)施例中��,移動(dòng)終端生成的防御進(jìn)程掃描移動(dòng)終端中是否存在網(wǎng)絡(luò)協(xié)議表iptables表的異常行為����,并在iptables中存在異常行為時(shí),凍結(jié)異常行為對(duì)應(yīng)的應(yīng)用程序。具體地��,攻擊者破解移動(dòng)終端操作系統(tǒng)獲取了root權(quán)限后��,可以修改操作系統(tǒng)的網(wǎng)絡(luò)配置信息����,例如操作系統(tǒng)的iptables,使得移動(dòng)終端不能連接某些網(wǎng)絡(luò)服務(wù)器����,同時(shí)保持移動(dòng)終端與其它的網(wǎng)絡(luò)服務(wù)器連接正常,因此����,防御進(jìn)程監(jiān)測到iptables存在異常行為時(shí)可以凍結(jié)異常行為對(duì)應(yīng)的應(yīng)用程序。為了實(shí)現(xiàn)上述實(shí)施例����,本發(fā)明還提出一種移動(dòng)終端。一種移動(dòng)終端包括本發(fā)明任一項(xiàng)實(shí)施例所述的移動(dòng)終端的安全防御裝置���。根據(jù)本發(fā)明實(shí)施例的移動(dòng)終端���,通過防御模塊根據(jù)運(yùn)行的可執(zhí)行文件生成常駐后臺(tái)的防御進(jìn)程,并通過防御進(jìn)程監(jiān)測移動(dòng)終端的異常行為并根據(jù)異常行為進(jìn)行主動(dòng)防御,通過利用在操作系統(tǒng)的根文件系統(tǒng)中植入安全防護(hù)程序?qū)崿F(xiàn)了安全防護(hù)程序的不可卸載特性����,并且在操作系統(tǒng)層面實(shí)現(xiàn)了該安全防護(hù)程序的安全防護(hù)進(jìn)程的常駐內(nèi)存運(yùn)行和自動(dòng)啟動(dòng)管理,從而確??梢岳冒踩雷o(hù)進(jìn)程對(duì)移動(dòng)終端操作系統(tǒng)的應(yīng)用層和服務(wù)層進(jìn)行全面監(jiān)測防護(hù)和自我修復(fù),使整個(gè)移動(dòng)終端的操作系統(tǒng)可以主動(dòng)防御攻擊者的攻擊行為��,給操作系統(tǒng)的安全防護(hù)帶來有效地保障���。應(yīng)當(dāng)理解��,在本發(fā)明的實(shí)施例中�,移動(dòng)終端可以是手機(jī)�、平板電腦、個(gè)人數(shù)字助理�����、電子書等具有各種操作系統(tǒng)的硬件設(shè)備���。應(yīng)當(dāng)理解,本發(fā)明的各部分可以用硬件���、軟件����、固件或它們的組合來實(shí)現(xiàn)。在上述實(shí)施方式中���,多個(gè)步驟或方法可以用存儲(chǔ)在存儲(chǔ)器中且由合適的指令執(zhí)行系統(tǒng)執(zhí)行的軟件或固件來實(shí)現(xiàn)�����。例如���,如果用硬件來實(shí)現(xiàn),和在另一實(shí)施方式中一樣�,可用本領(lǐng)域公知的下列技術(shù)中的任一項(xiàng)或他們的組合來實(shí)現(xiàn):具有用于對(duì)數(shù)據(jù)信號(hào)實(shí)現(xiàn)邏輯功能的邏輯門電路的離散邏輯電路,具有合適的組合邏輯門電路的專用集成電路����,可編程門陣列(PGA),現(xiàn)場可編程門陣列(FPGA)等���。在本說明書的描述中�����,參考術(shù)語“一個(gè)實(shí)施例”��、“一些實(shí)施例”����、“示例”、“具體示例”���、或“一些示例”等的描述意指結(jié)合該實(shí)施例或示例描述的具體特征�����、結(jié)構(gòu)�����、材料或者特點(diǎn)包含于本發(fā)明的至少一個(gè)實(shí)施例或示例中�。在本說明書中�����,對(duì)上述術(shù)語的示意性表述不一定指的是相同的實(shí)施例或示例����。而且,描述的具體特征����、結(jié)構(gòu)、材料或者特點(diǎn)可以在任何的一個(gè)或多個(gè)實(shí)施例或示例中以合適的方式結(jié)合�。盡管已經(jīng)示出和描述了本發(fā)明的實(shí)施例,本領(lǐng)域的普通技術(shù)人員可以理解:在不脫離本發(fā)明的原理和宗旨的情況下可以對(duì)這些實(shí)施例進(jìn)行多種變化�����、修改��、替換和變型��,本發(fā)明的范圍由權(quán)利要求及其等同物限定�����。當(dāng)前第1頁1 2 3