[发明专利]对监控数据进行污染判断的方法及相应装置

说明书

本发明实施例公开了一种对监控数据进行污染判断的方法、装置、计算机设备和计算机存储介质，涉及系统监控技术领域。其中污染判断方法包括：对至少一个预监控敏感行为发生时调用的各个API对应设置主监控点，每个主监控点用于在API被调用时生成调用信息；当某个API被第一应用调用而触发与对应的主监控点时，获取该主监控点生成的调用信息；根据利用各个主监控点生成的调用信息确定出的第一应用触发各个主监控点的顺序和/或一定时间内触发各个主监控点的次数，判断第一应用的监控数据是否存在数据污染。本方法能准确判断主监控点的数据是否由恶意应用伪造而来，确保监控系统的监控质量，保证应用后续敏感行为判断的真实性，提前感知可能的异常和入侵。

技术领域

本发明涉及系统监控技术，具体涉及判断被监控的应用的监控数据是否被污染的方法及其装置、计算机设备和计算机存储介质。

背景技术

随着以手机为代表的移动终端的迅速普及和发展，移动终端已经成为人们生活和工作中不可或缺的一部分，因此人们对于手机的安全性的要求也越来越高，其中采用行为监控的动态防护方案越来越成为主流。

现有的行为监控方法都是在系统层加入一些监控点(也被称为hook点或者插桩点)，每个应用在运行过程中若触发对应的监控点，监控点会搜集该应用运行时的相关信息，这些应用运行相关信息包括触发该监控点的应用进程的UID(即用户标识，在Linux平台上每个用户都有唯一标示UID用于区别其他用户)和PID(即进程ID，在Linux平台上每个进程都有唯一标示PID用于区别其他进程)、监控点MID(即监控点标识，每个监控点都有唯一标识MID，知晓MID就能知晓是系统中哪处API、库函数、服务等被触发)、以及触发该监控点的应用在调用哪个API，调用哪个服务，以及调用这个服务的什么接口等信息。监控点将这些应用运行相关信息实时地通过异步或者同步方式发送给一个独立的监控模块。监控模块可以是一个服务，也可以是一个单独的应用，或者系统守护进程等。监控模块根据每个应用在运行过程中触发监控点时发送过来的应用运行相关信息，进行汇总、整理、统计、匹配，进而对该应用的行为进行判定，通常是对应用行为的恶意性或者病毒性进行判定，将判定结果发送给处理模块。然后处理模块可以根据监控模块的判定结果对应用进行处理，如果判定为非恶意，则不做任何处理；如果判定为恶意，则可以根据具体方案的实现进行后台静默处理、向用户弹出提示请求用户决策、或交由其他模块决策和处置，例如杀死恶意应用进程、禁用、卸载恶意应用等。。

然而上述现有的行为监控方案具有如下缺陷：

1)如果监控方案的实现被攻击者通过逆向工程而得知其细节，攻击者可以编写恶意应用来主动调用监控点处的代码逻辑，来产生虚假的监控事件，这些假信息会对监控模块产生干扰，甚至会让监控模块产生误判，最终做出错误的判定，错误的判定包括将好的应用判定为有恶意性的和将具有恶意性的应用判定为好的应用；

2)在某些设计存在缺陷的防护方案上，恶意应用可能会通过伪造自己的身份，例如伪造PID和UID信息，并将“陷害”应用对象的UID和PID替换为自己的UID和PID，然后构造监控事件，发送给监控模块，让监控模块误认为某正常应用正在执行恶意操作。

因此，如果监控点产生的监控数据已通过上述1)和2)方式虚假构造，则监控模块接收到的监控数据会存在虚假问题，致使后续所有基于监控数据的应用行为恶意性或者病毒性判定和处理都会发生异常，这至少表现在，不但无法识别异常的行为或是恶意的行为，还可能会将正常的行为判定为异常的。

因此，有必要提供一种判断被监控的应用的监控数据是否被污染的方法，确保监控系统的监控质量，提前感知可能的异常和入侵。

发明内容

本发明实施例提供了一种对监控数据进行污染判断的方法及其装置、计算机设备和计算机存储介质，用以解决现有技术中所存在的上述技术问题。

第一方面，本发明实施例提供了一种对监控数据进行污染判断的方法。