对异常系统操作的处理方法及处理装置、电子设备与流程

本发明涉及信息安全，具体而言，涉及一种对异常系统操作的处理方法及处理装置、电子设备。

背景技术：

1、目前对传统的计算机设备、服务器设备的可信安全防护工作，普遍已经较为完善。但随着移动通信技术的成熟，其方便性、便捷性较传统计算机设备有极大的飞跃，已经逐步渗透进入人们工作生活的方方面面。当前，可运行不同的操作系统、不同应用程序的移动终端覆盖范围越来越广，但是移动终端的安全防护能力并没有及时的预置匹配。移动终端作为信息系统的重要成员承载着大量的工作信息、个人信息、甚至是工作秘密等，且存在发现操作系统内允许的系统应用、可执行程序等有超越其应有权限的行为异常时，建立一套针对不同系统、不同应用、不同可执行程序超权限异常行为响应机制变得尤为重要。

2、现有的移动终端在识别用户异常行为时，存在如下弊端：

3、1.一般是对安卓系统中已授权应用的处理策略，缺乏针对应用的越权行为的有效解决办法。

4、2.现有技术中对移动终端的异常行为有一些识别方案，但是无法针对异常行为进行有效限制，保障移动终端的安全解决方案。

5、针对上述的问题，目前尚未提出有效的解决方案。

技术实现思路

1、本发明实施例提供了一种对异常系统操作的处理方法及处理装置、电子设备，以至少解决相关技术中无法对异常操作行为进行有效限制的技术问题。

2、根据本发明实施例的一个方面，提供了一种对异常系统操作的处理方法，包括：在确认出现异常系统操作的情况下，获取所述异常系统操作的目标终端和行为信息，其中，所述异常系统操作包括：对系统应用的非授权操作、对系统内可执行程序的非授权操作、对系统内代码的非授权操作；将所述行为信息以及终端信息发送至目标服务器；接收所述目标服务器反馈的定制安全策略；执行所述定制安全策略，限制操作主体对象的操作行为和/或访问权限。

3、可选地，确认出现异常系统操作的步骤，包括：获取程序权限表，其中，所述程序权限表中包含各个终端内已安装的所有系统应用、可执行程序以及系统内代码的授权权限；采集所述操作主体对象对目标终端的操作行为以及行为权限；检索所述行为权限是否属于所述程序权限表内关联所述目标终端的授权权限集合，得到检索结果；在所述检索结果指示所述行为权限不属于所述程序权限表中关联所述目标终端的授权权限集合的情况下，确认出现所述异常系统操作。

4、可选地，在获取程序权限表之前，还包括：目标服务器获取终端内已安装的所有系统应用、可执行程序以及系统内代码；所述目标服务器提取每个所述系统应用、所述可执行程序以及所述系统内代码在历史过程申报的使用权限；所述目标服务器基于所有所述使用权限生成可读权限文件，将所述可读权限文件发送至管理终端；所述目标服务器接收所述管理终端对所述可读权限文件进行签名后的签名文件；所述目标服务器基于所述签名文件，生成所述程序权限表。

5、可选地，在将所述行为信息以及终端信息发送至目标服务器之后，还包括：所述目标服务器分析所述行为信息，得到行为威胁程度和行为影响设备数量；基于所述行为威胁程度、所述行为影响设备数量以及所述终端信息，确认行为限制策略和防火墙策略；基于所述行为限制策略和所述防火墙策略，生成所述定制安全策略。

6、可选地，在接收所述目标服务器反馈的定制安全策略之后，还包括：将所述定制安全策略传输至所述目标终端的策略储存空间。

7、可选地，执行所述定制安全策略，限制操作主体对象的操作行为和/或访问权限的步骤，包括：加载所述定制安全策略，并将所述定制安全策略在所述目标终端内运行，以限制操作主体对象的操作行为和/或访问权限。

8、根据本发明实施例的另一方面，还提供了一种对异常系统操作的处理装置，包括：获取单元，用于在确认出现异常系统操作的情况下，获取所述异常系统操作的目标终端和行为信息，其中，所述异常系统操作包括：对系统应用的非授权操作、对系统内可执行程序的非授权操作、对系统内代码的非授权操作；发送单元，用于将所述行为信息以及终端信息发送至目标服务器；接收单元，用于接收所述目标服务器反馈的定制安全策略；执行单元，用于执行所述定制安全策略，限制操作主体对象的操作行为和/或访问权限。

9、可选地，对异常系统操作的处理装置还包括：第一获取模块，用于获取程序权限表，其中，所述程序权限表中包含各个终端内已安装的所有系统应用、可执行程序以及系统内代码的授权权限；采集模块，用于采集所述操作主体对象对目标终端的操作行为以及行为权限；检索模块，用于检索所述行为权限是否属于所述程序权限表内关联所述目标终端的授权权限集合，得到检索结果；确认模块，用于在所述检索结果指示所述行为权限不属于所述程序权限表中关联所述目标终端的授权权限集合的情况下，确认出现所述异常系统操作。

10、可选地，确认模块包括：第一获取子模块，用于获取程序权限表，其中，所述程序权限表中包含各个终端内已安装的所有系统应用、可执行程序以及系统内代码的授权权限；第一采集子模块，用于采集所述操作主体对象对目标终端的操作行为以及行为权限；第一检索子模块，用于检索所述行为权限是否属于所述程序权限表内关联所述目标终端的授权权限集合，得到检索结果；第一确认子模块，用于在所述检索结果指示所述行为权限不属于所述程序权限表中关联所述目标终端的授权权限集合的情况下，确认出现所述异常系统操作。

11、可选地，对异常系统操作的处理装置还用于：在获取程序权限表之前，目标服务器获取终端内已安装的所有系统应用、可执行程序以及系统内代码；所述目标服务器提取每个所述系统应用、所述可执行程序以及所述系统内代码在历史过程申报的使用权限；所述目标服务器基于所有所述使用权限生成可读权限文件，将所述可读权限文件发送至管理终端；所述目标服务器接收所述管理终端对所述可读权限文件进行签名后的签名文件；所述目标服务器基于所述签名文件，生成所述程序权限表。

12、可选地，对异常系统操作的处理装置还用于：在将所述行为信息以及终端信息发送至目标服务器之后，所述目标服务器分析所述行为信息，得到行为威胁程度和行为影响设备数量；基于所述行为威胁程度、所述行为影响设备数量以及所述终端信息，确认行为限制策略和防火墙策略；基于所述行为限制策略和所述防火墙策略，生成所述定制安全策略。

13、可选地，对异常系统操作的处理装置还包括：传输单元，用于在接收所述目标服务器反馈的定制安全策略之后，将所述定制安全策略传输至所述目标终端的策略储存空间。

14、可选地，所述执行单元包括：加载模块，用于加载所述定制安全策略，并将所述定制安全策略在所述目标终端内运行，以限制操作主体对象的操作行为和/或访问权限。

15、根据本发明实施例的另一方面，还提供了一种电子设备，包括：处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的对异常系统操作的处理方法。

16、根据本发明实施例的另一方面，还提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述任意一项所述的对异常系统操作的处理方法。

17、本公开中，采用可以在确认出现异常系统操作的情况下，获取异常系统操作的目标终端和行为信息，将行为信息以及终端信息发送至目标服务器，接收目标服务器反馈的定制安全策略，执行定制安全策略，以限制操作主体对象的操作行为和/或访问权限，其中，异常系统操作包括：对系统应用的非授权操作、对系统内可执行程序的非授权操作、对系统内代码的非授权操作。

18、本公开中，可以有效检测操作系统内的应用程序或可执行程序等目标存在超越其应有权限的行为异常的情况下，自行定制安全策略，通过该定制安全策略限制可执行程序超越其应有权限的异常行为，并进行告警，从而解决相关技术中无法对异常操作行为进行有效限制的技术问题。