[发明专利]软件行为监控方法和终端

说明书

技术领域

本发明涉及通信技术领域，具体而言，涉及一种软件行为监控方法和一种终端。

背景技术

SELinux（安全增强型Linux）安全子系统最开始是由NSA（国家安全局）启动并加入到Linux子系统中的一套核心组件及用户工具，可以让应用程序运行在其所需的最低权限上。目前很少有终端集成了seLinux技术，即便集成了seLinux技术，也只是固定的监控方案，当检测到某应用软件一直进行违规操作，也只是禁止该当前的操作，不会向用户提示该软件的行为以及所存在的风险，也不能灵活修改seLinux系统中有关于该软件的属性，对存在风险的软件不能进行完全的隔离和预警。

因此，如何实现危险软件的预警并进一步提高终端的安全性能，成为亟待解决的问题。

发明内容

本发明正是基于上述问题，提出了一种新的软件行为监控技术，可实现危险软件的预警。

有鉴于此，根据本发明的一个方面，提出了一种软件行为监控方法，包括：记录软件的违规操作数；判断所述违规操作数是否大于阈值；在所述违规操作数大于阈值时，提醒用户是否卸载所述软件。

通过上述技术方案，能够发现并记录软件的违规操作，并当违规操作数达到设定的极限时，提醒用户该软件存在风险并提示相关违规行为以及是否卸载该软件，当然，也可以一旦发现软件的违规行为，就进行风险提示，使用户能够注意到该软件状态，及时预防软件的恶意行为，从而提高终端的安全性能。

在上述技术方案中，优选的，通过安全增强式Linux子系统将所述软件的违规操作记录在日志中；根据所述日志统计所述软件的违规操作数。

移植安全增强式Linux子系统到终端中，利用安全增强式Linux子系统来实现违规操作的监视以及行为记录。

在上述任一技术方案中，优选的，根据预设的权限策略判断所述软件的行为是否属于违规操作，所述权限策略包括所述软件可操作的数据范围。

可根据需要设置安全增强式Linux子系统中的权限策略，来限定各软件所能访问或操作的数据范围，监视软件的行为，当发现软件访问的数据不属于该设置的权限范围内时，就认为该软件存在违规操作，目前集成seLinux技术的终端不能随意配置权限策略，所有策略都是固定的。

在上述任一技术方案中，优选的，在所述违规操作数大于阈值并确定所述软件为恶意软件时，通过安全增强式Linux子系统修改所述软件的安全上下文属性，将所述安全上下文赋值为不可信，并将所述软件归入黑名单列表中。

如果某一软件的违规操作数很多，则确定该软件为恶意软件，在判断出软件属于恶意软件时，为了实现对该软件的隔离，可修改安全增强式Linux子系统中该软件的安全上下文，并将该软件纳入黑名单中，作为其他终端安装软件或本终端下次安装软件时的判断依据，如果发现该软件在黑名单列表中，就可禁止安装该软件。目前集成seLinux子系统的终端仅仅是禁止当前的违规操作行为，并不能实现软件的隔离，以及恶意软件信息的收集。

在上述任一技术方案中，优选的，所述软件的行为被分为多类，监视所述软件的多类行为中被指定的一类或多类行为，生成针对所述被指定的一类或多类行为的日志信息。

软件行为有很多种类型，例如访问、删除、修改、增加等等，删除或修改是比较关键的操作类型，因此可以设置那些比较关键的操作类型需要被监控并生成相应的日志信息。

根据本发明的另一方面，还提供了一种终端，包括：记录单元，用于记录软件的违规操作数；判断单元，连接至所述记录单元，用于判断所述违规操作数是否大于阈值；提醒单元，连接至所述判断单元，在所述违规操作数大于阈值时，提醒用户是否卸载所述软件。

通过上述技术方案，能够发现并记录软件的违规操作，并当违规操作数达到设定的极限时，提醒用户该软件存在风险并提示相关违规行为以及是否卸载该软件，当然，也可以一旦发现软件的违规行为，就进行风险提示，使用户能够注意到该软件状态，及时预防软件的恶意行为，从而提高终端的安全性能。

在上述技术方案中，优选的，所述记录单元包括：安全增强式Linux子系统，用于将所述软件的违规操作记录在日志中；统计单元，用于根据所述日志统计所述软件的违规操作数。移植安全增强式Linux子系统到终端中，利用安全增强式Linux子系统来实现违规操作的监视以及行为记录。