一种安卓应用虚拟化环境中的文件隔离优化增强方法与流程

本发明属于文件隔离领域，涉及隔离优化技术，具体是一种安卓应用虚拟化环境中的文件隔离优化增强方法。

背景技术：

公开号为cn103971051a的专利公开了一种文件隔离方法、装置和系统，以方法的实现为例，包括：通过输入/输出对象管理器接收来自第一进程对文件系统下的卷设备的更改操作请求；确定所述第一进程是否为沙箱内的进程，若是，则将所述更改操作请求重定向到与所述更改操作请求指向的卷设备对应的虚拟卷设备，并将所述重定向后的更改操作请求发送给所述输入/输出对象管理器。以上方案利用i/o对象管理器的重定向能力及卷虚拟技术，在i/o请求到达卷设备之前确定i/o请求的发起者是否为沙箱内的进程，使得在卷设备这一层可以确定i/o请求的最初发起者是否是沙箱内的进程，从而可以实现卷设备级别的文件隔离。

但是，针对该方法过于简单，完全借助于沙箱来实施，这对沙箱需要检验的文件过多，没有初步的过滤步骤；基于此，现提供一种全面的技术方案。

技术实现要素：

本发明的目的在于提供一种安卓应用虚拟化环境中的文件隔离优化增强方法。

本发明的目的可以通过以下技术方案实现：

一种安卓应用虚拟化环境中的文件隔离优化增强方法，该方法包括下述步骤：

步骤1)：在接收到新的文件之后，会将其标记为目标文件；

步骤2)：之后对目标文件进行初步存疑判定；

当经过初步存疑判定得到目标文件为常规文件，则不做处理，将文件存储在正常位置；

若产生存疑信号时将其标记为存疑文件，进行存疑处理操作，在虚拟环境中对目标文件进行实时操作。

进一步地，初步存疑判定具体方法为：

s1：建立一个隔离空间，该空间独立运行且具备文件存储、读取功能，所有进程独立运行；

s2：将目标文件首先存储在对应的隔离空间内，进行读取操作；

s3：在进行目标文件的读取操作之前首先获取到该隔离空间所需cpu的算力，将该算力标记为基础算力；

s4：之后在读取文件时，进行算力跟踪，并根据跟踪结果产生一号预警信号；

s5：在读取文件进行算力跟踪的同时，还展开文件异增分析，并根据分析结果产生二号预警信号；

s6：在读取文件时，还对隔离空间内的所有文件进行扫面，包括隐藏文件，得到新增的文件数，标记为新增数；

s7：当新增数大于x5时，产生三号预警信号；

s8：当同时产生一号预警信号、二号预警信号、三号预警信号中任意两者时产生存疑信号。

进一步地，步骤s4中的算力跟踪具体步骤为：

s41：实时获取到隔离空间的实时占用cpu的算力，将其标记为占用算力；

s42：每间隔t1时间获取一次占用算力，得到占用算力组zi，i＝1...n；其中t1为预设值，具体取值可为10秒；

s43：得到占用算力组之后，将其减去基础算力，得到算力增值组li，i＝1...n；其中li与zi一一对应；

s44：当n取值大于等于x1时，自动计算li的均值，将其标记为p；x1为预设数值，具体可取值为10；

s45：根据公式计算算力增值组的稳定值wd，具体计算公式为：

式中，|*|表示为取括号内数值的绝对值；

s46：当wd超过预设值x2时，产生一号预警信号；否则不做任何处理。

进一步地，步骤s5中的文件异增分析的具体步骤为：

s51：当进行读取文件时，自动对隔离控件内的所有进程文件分析，监控新增进程文件的个数；

s52：每间隔t1时间获取一次新增进程文件的个数，将其标记为新增数组hj，j＝1...m，m为正整数；

s53：当m≥x3时，x3为预设值，具体可取值为10；自动计算此时新增数组的平均值，将其标记为po；

s54：自动进入新增平值pz计算，具体计算公式为：

s55：之后每间隔t1时间则会计算一次新增平值，当新增平值超过x4时，自动产生二号预警信号。

进一步地，步骤2)中的存疑处理操作步骤具体为：

步骤一：应用在虚拟环境中进行启动时，运行在应用中的文件检查模块被加载模块被初始化，然后进行缓存，文件检查模块从文件管理模块中获取并缓存一份文件访问规则表；

步骤二：文件管理模块通过文件策略模块收集文件权限策略，文件权限策略为管理员预设；

步骤三：文件检查模块收到后进行缓存；

步骤四：进行文件读写操作，具体为：

当应用进行文件读写操作时，文件检查模块将根据缓存的文件访问规则表检查本次读写文件是否合法，合法则允许继续读写，跳转至步骤五；非法则禁止本次读写；

步骤五：在进行读写时，应用调用文件读写接口，代理层拦截并将读写操作类型和路径传给文件检查模块；

步骤六：文件检查模块根据路径和读写操作类型去文件访问规则表中进行匹配，具体为：

如果表中没有该路径，默认不可读写；

如果表中有该路径，但是表中读写类型和传入的读写类型不匹配，则禁止本次读写操作；

如果路径和读写类型都匹配，则允许继续执行读写操作。

进一步地，步骤一中的文件检查模块和虚拟服务层的文件管理模块通信，请求一份文件访问规则表，文件访问规则表是一个序列化实体类集合，记录了正确路径，正确路径为受允许读写路径。

进一步地，步骤二中的文件权限策略包括：

严格沙盒模式，该模式下应用只允许读写自己的沙盒目录，包括私有数据沙盒目录和虚拟内置存储沙盒目录；

还包括普通模式，该模式下应用除了可以访问私有数据目录，还可以读写整个虚拟内置存储，但不能读写其中别的应用的数据目录，收集到文件权限策略后，会统计生成一份文件访问规则表并返回给文件检查模块。

本发明的有益效果：

本发明首先在接收到新的文件之后，会将其标记为目标文件；之后对目标文件进行初步存疑判定；当经过初步存疑判定得到目标文件为常规文件，则不做处理，将文件存储在正常位置；经过此处的判定之后，在隔离空间内对目标文件的试运行，借助相关的数据表现，判定对应数据是否会存疑，之后根据判定结果进行细致判定；

之后若产生存疑信号时将其标记为存疑文件，进行存疑处理操作，在虚拟环境中对目标文件进行实时操作；借助相关模式进一步验证目标文件的合理性，避免大量借由沙箱来进行文件隔离。本发明简单有效，且易于实用。

具体实施方式

一种安卓应用虚拟化环境中的文件隔离优化增强方法，该方法具体包括下述步骤：

步骤1)：在接收到新的文件之后，会将其标记为目标文件；

步骤2)：之后对目标文件进行初步存疑判定；当经过初步存疑判定得到目标文件为常规文件，则不做处理，将文件存储在正常位置；若产生存疑信号时将其标记为存疑文件，进行存疑处理操作；

初步存疑判定具体方法为：

s1：建立一个隔离空间，该空间独立运行且具备文件存储、读取功能，所有进程独立运行；

s2：将目标文件首先存储在对应的隔离空间内，进行读取操作；

s3：在进行目标文件的读取操作之前首先获取到该隔离空间所需cpu的算力，将该算力标记为基础算力；

s4：之后在读取文件时，进行算力跟踪，算力跟踪具体步骤为：

s41：实时获取到隔离空间的实时占用cpu的算力，将其标记为占用算力；

s42：每间隔t1时间获取一次占用算力，得到占用算力组zi，i＝1...n；其中t1为预设值，具体取值可为10秒；

s43：得到占用算力组之后，将其减去基础算力，得到算力增值组li，i＝1...n；其中li与zi一一对应；

s44：当n取值大于等于x1时，自动计算li的均值，将其标记为p；x1为预设数值，具体可取值为10；

s45：根据公式计算算力增值组的稳定值wd，具体计算公式为：

式中，|*|表示为取括号内数值的绝对值；

s46：当wd超过预设值x2时，产生一号预警信号；否则不做任何处理；

s5：在读取文件进行算力跟踪的同时，还展开文件异增分析，具体分析步骤为：

s51：当进行读取文件时，自动对隔离控件内的所有进程文件分析，监控新增进程文件的个数；

s52：每间隔t1时间获取一次新增进程文件的个数，将其标记为新增数组hj，j＝1...m，m为正整数；

s53：当m≥x3时，x3为预设值，具体可取值为10；自动计算此时新增数组的平均值，将其标记为po；

s54：自动进入新增平值pz计算，具体计算公式为：

s55：之后每间隔t1时间则会计算一次新增平值，当新增平值超过x4时，自动产生二号预警信号；

s6：在读取文件时，还对隔离空间内的所有文件进行扫面，包括隐藏文件，得到新增的文件数，标记为新增数；

s7：当新增数大于x5时，产生三号预警信号；

s8：当同时产生一号预警信号、二号预警信号、三号预警信号中任意两者时产生存疑信号；

存疑处理操作步骤具体为：

步骤一：应用在虚拟环境中进行启动时，运行在应用中的文件检查模块被加载模块被初始化，然后进行缓存，文件检查模块从文件管理模块中获取并缓存一份文件访问规则表；

文件检查模块和虚拟服务层的文件管理模块通信，请求一份文件访问规则表，该表是一个序列化实体类集合，记录了哪些路径可以读写；

步骤二：文件管理模块通过文件策略模块收集文件权限策略，策略可定制，默认包括严格沙盒模式，该模式下应用只允许读写自己的沙盒目录，包括私有数据沙盒目录和虚拟内置存储沙盒目录；

还包括普通模式，该模式下应用除了可以访问私有数据目录，还可以读写整个虚拟内置存储，但不能读写其中别的应用的数据目录，收集到文件权限策略后，会统计生成一份文件访问规则表并返回给文件检查模块。

步骤三：文件检查模块收到后进行缓存；

步骤四：进行文件读写操作，具体为：

当应用进行文件读写操作时，文件检查模块将根据缓存的文件访问规则表检查本次读写文件是否合法，合法则允许继续读写，跳转至步骤五；非法则禁止本次读写。

步骤五：在进行读写时，应用调用文件读写接口，代理层拦截并将读写操作类型和路径传给文件检查模块；

步骤六：文件检查模块根据路径和读写操作类型去文件访问规则表中进行匹配，具体为：

如果表中没有该路径，默认不可读写；

如果表中有该路径，但是表中读写类型和传入的读写类型不匹配，则禁止本次读写操作；

如果路径和读写类型都匹配，则允许继续执行读写操作。

一种安卓应用虚拟化环境中的文件隔离优化增强方法，该方法首先在接收到新的文件之后，会将其标记为目标文件；之后对目标文件进行初步存疑判定；当经过初步存疑判定得到目标文件为常规文件，则不做处理，将文件存储在正常位置；经过此处的判定之后，在隔离空间内对目标文件的试运行，借助相关的数据表现，判定对应数据是否会存疑，之后根据判定结果进行细致判定；

之后若产生存疑信号时将其标记为存疑文件，进行存疑处理操作，在虚拟环境中对目标文件进行实时操作；借助相关模式进一步验证目标文件的合理性，避免大量借由沙箱来进行文件隔离。本发明简单有效，且易于实用。

以上内容仅仅是对本发明结构所作的举例和说明，所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，只要不偏离发明的结构或者超越本权利要求书所定义的范围，均应属于本发明的保护范围。