【技术实现步骤摘要】
安全威胁检测方法及终端
本申请涉及移动终端安全领域,尤其涉及安全威胁检测方法及终端。
技术介绍
目前手机越来越智能,集成了金融支付、身份认证等很多高安全业务,对智能手机的攻击手段也日益复杂,近年来,网络安全事件层出不穷,种类、手段多样化,使得终端设备安全监管变得极其困难。一旦安全漏洞被不法分子利用且不能及时发现并修复,将会给客户及公司带来很大安全风险和损失。目前安全威胁检测的方法有基于root关键特征检测和基于行为的威胁检测。基于root的关键特征检测,是指检测是否有su文件、关键的prop(ro.debuggable/ro.secure等)是否符合预期、是否解锁、是否有提权操作、是否有root相关app安装等,这些检测手段均是基于已发生root机器的检测,并不能预测威胁发生,从而提前做出防御措施拦截手机被root攻击。基于行为威胁检测是指基于系统调用的顺序等操作预测威胁发生,能够预测手机的安全威胁,但是这类检测方式一般是在系统调用等关键节点进行监控,增加了系统调用的时间,严重影响用户性能体验。专利技...
【技术保护点】
1.一种安全威胁检测方法,其特征在于,包括:/n开启对终端的全栈的潜在威胁检测;/n若检测到所述终端的全栈存在潜在威胁,开启对终端的全栈的活动威胁检测;/n若检测到所述终端的全栈存在活动威胁,开启对终端的全栈的root检测。/n
【技术特征摘要】
1.一种安全威胁检测方法,其特征在于,包括:
开启对终端的全栈的潜在威胁检测;
若检测到所述终端的全栈存在潜在威胁,开启对终端的全栈的活动威胁检测;
若检测到所述终端的全栈存在活动威胁,开启对终端的全栈的root检测。
2.根据权利要求1所述的安全威胁检测方法,其特征在于,所述终端的全栈包括:调制解调Modem子系统、传感器子系统、安全元件SE侧、可信执行环境TEE侧、内核空间、用户空间、框架层和APP。
3.根据权利要求1或2所述的安全威胁检测方法,其特征在于,在所述开启对终端的全栈的潜在威胁检测前,所述方法还包括:
对安全启动程序进行root检测。
4.根据权利要求1-3任一项所述的安全威胁检测方法,其特征在于,在所述开启对终端的全栈的活动威胁检测后,所述方法还包括:
若所述终端的全栈未检测到活动威胁且潜在威胁消失,关闭活动威胁检测。
5.根据权利要求1-4任一项所述的安全威胁检测方法,其特征在于,在所述开启对终端的全栈的root检测后,所述方法还包括:
若所述终端的全栈没有发生root且活动威胁消失,关闭root检测。
6.根据权利要求1-5任一项所述的安全威胁检测方法,其特征在于,所述方法还包括:支持第三方应用查询所述终端的安全威胁状态。
7.根据权利要求1-6任一项所述的安全威胁检测方法,其特征在于,所述方法还包括:若检测到所述终端的全栈存在第一安全威胁,将第一安全威胁信息和/或安全应用列表发送云端。
8.根据权利要求1-7任一项所述的安全威胁检测方法,其特征在于,所述方法还包括:
从云端接收安全威胁修复策略或安全威胁修复包;
通过所述安全威胁修复策略或安全威胁修复包修复所述终端的系统。
9.根据权利要求1-8任一项所述的安全威胁检测方法,其特征在于,所述方法还包括:
从云端接收安全检测策略更新信息;
通过所述安全检测策略更新信息更新所述终端的安全检测策略。
10.根据权利要求1-9任一项所述的安全威胁检测方法,其特征在于,所述方法还包括:从云端接收第二安全威胁信息,所述第二安全威胁信息包括其他终端检测到的安全威胁的信息。
11.一种终端,其特征在于,包括:开启模块和检测模块;
所述开启模块,用于开启对终端的全栈的潜在威胁检测;
所述检测模块,用于若检测到所述终端的全栈存在潜在威胁,开启对终端的全栈的活动威胁检测;
所述检测模块,还用于若检测到所述终端的全栈存在活动威胁,开启对终端的全栈...
【专利技术属性】
技术研发人员:滕辉,肖福洲,王宁宇,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。