针对企业级移动应用的安全监测溯源管控方法及系统与流程

1.本发明属于信息安全领域，具体涉及一种针对企业级移动应用的安全监测溯源管控方法及系统。


背景技术：

2.伴随着5g技术的大面积推广和应用，传统的互联网时代开始迈入了万物互联的智能化、移动化时代。而随着智能化终端的普及以及移动应用种类、数量的激增，越来越多的行业和领域开始向移动化的市场进军，不断研发、设计移动应用来满足日益增长的移动化的业务需求。而这当中，尤以企业移动化办公的需求最为突出，例如移动办公所涉及的在线办公、电子签章、通讯交流、通知公告、目标管理、目标考核等。
3.移动化应用的出现，虽然在很大程度上助力了企业的转型和发展，但是其潜在的风险和安全隐患却在某种程度上给企业造成了极大的损失，比如企业机密数据的丢失，商业核心资料的泄露等。这都给企业的生存和发展带来了严重的安全风险。
4.但是，目前针对企业级移动应用的安全监测溯源管控，往往可靠性不高，而且实用性较差，已经不再适用于现今的应用场合。


技术实现要素：

5.本发明的目的之一在于提供一种适用于现今应用场合，而且可靠性高、实用性好的针对企业级移动应用的安全监测溯源管控方法。
6.本发明的目的之二在于提供一种实现所述针对企业级移动应用的安全监测溯源管控方法的系统。
7.本发明提供的这种针对企业级移动应用的安全监测溯源管控方法，包括如下步骤：
8.s1.构建安全监测溯源管控的sdk探针；
9.s2.将步骤s1构建的sdk探针，集成到待监测的企业级移动应用中，得到具有安全监测溯源管控的移动应用；
10.s3.将步骤s2得到的移动应用在安全运行模式下运行，并开启实时安全监测溯源管控；
11.s4.实时上报步骤s3中的安全监测溯源管控数据，并进行移动应用的安全监测和溯源管控；
12.s5.对步骤s4获取的安全监测溯源管控数据进行处理和展示。
13.步骤s1所述的构建安全监测溯源管控的sdk探针，具体包括如下步骤：
14.a.针对安卓系统，构建安全监测溯源管控的安卓系统sdk探针，并提供对外调用的监测接口服务、溯源信息接口服务和管控策略下发接口服务；
15.b.针对ios系统，构建安全监测溯源管控的ios系统sdk探针，并提供对外调用的监测接口服务、溯源信息接口服务和管控策略下发接口服务；
16.c.针对微应用，构建具有安全功能的沙箱平台。
17.步骤s2所述的将步骤s1构建的sdk探针，集成到待监测的企业级移动应用中，得到具有安全监测溯源管控的移动应用，具体包括如下步骤：
18.a.将构建的安卓系统sdk探针与安卓应用源代码进行融合，并调用安卓系统sdk探针所提供的监测接口服务、溯源信息接口服务和管控策略下发接口服务；
19.b.将构建的ios系统sdk探针与ios应用源代码进行融合，并调用ios系统sdk探针所提供的监测接口服务、溯源信息接口服务和管控策略下发接口服务；
20.c.针对微应用程序，将构建的安卓系统sdk探针和ios系统sdk探针融入到构建的沙箱平台。
21.步骤s4所述的进行移动应用的安全监测和溯源管控，具体包括如下步骤：
22.(1)sdk探针调用移动应用的内核程序，进行对运行环境的安全监测；
23.(2)sdk探针调用移动应用的接口程序，进行移动应用的行为监测；
24.(3)当移动应用受到可疑攻击或采取可疑行为时，进行溯源管控。
25.所述的运行环境的安全监测，具体包括移动设备的越狱监测、模拟器运行监测、地理位置伪造监测和攻击框架监测。
26.所述的移动应用的行为监测，具体包括攻击行为监测和敏感行为监测；所述的攻击行为监测包括综合框架攻击、注入攻击、host文件伪造攻击、usb调试攻击、反编译攻击、远程代码执行攻击、越权访问和敏感信息泄露；所述的敏感行为监测包括外设越权使用行为、隐私数据越权使用行为、企业机密数据越权使用行为和应用启动越权行为。
27.所述的溯源管控，具体包括终端溯源和终端管控；所述的终端溯源包括移动应用受到攻击时，sdk探针会记录终端本机及互联网的ip地址、应用包名及业务用户名，同时配合安全接入网关识别报文协议，并将http报文的xff字段修改为终端的本机及互联网ip地址，最终形成溯源日志；所述的终端管控包括移动应用受到攻击时，sdk探针与安全接入网关进行联动，对终端实行强制下线，应用强制退出，访问权限调整或关闭，以及加入黑名单，并形成管控日志。
28.所述的终端溯源，具体包括安全监测sdk提供应用与终端基础溯源信息接口，包括终端本机ipv4/ipv6地址、终端互联网ipv4/ipv6地址、应用包名、业务用户名；安全接入sdk在建立安全通道前，调用监测sdk接口获取基础溯源信息，存放在“终端扫描信息”中并上报网关；网关截获业务应用报文，识别应用层报文类型，修改报文xff内容为“终端本机ipv4/ipv6地址，终端互联网ipv4/ipv6地址”；记录终端上线、终端下线状态，并配置按需记录报文溯源信息，其中规约化日志格式：日志类型标识符|毫秒级时间|终端唯一识别码|appid|终端本机ipv4/ipv6地址|终端互联网ipv4/ipv6地址|应用包名|业务用户名|报文协议类型|。
29.步骤s5所述的对步骤s4获取的安全监测溯源管控数据进行处理和展示，具体包括如下步骤：
30.1)将监测数据进行分类收取，并存储到数据库；
31.2)将溯源日志和管控日志分类收取，并存储到数据库；
32.3)将步骤1)和步骤2)存储的数据进行分析，并将分析结果展示到服务器前端；
33.4)当安全监测溯源管控处理完成后，解除移动应用的管控限制。
34.本发明还公开了一种实现所述针对企业级移动应用的安全监测溯源管控方法的系统，包括客户端模块、数据采集端模块、服务端模块和展示端模块；客户端模块、数据采集端模块、服务端模块和展示端模块依次连接；客户端模块用于融合构建的sdk探针，并上报各类信息数据；数据采集端模块用于接收客户端模块上传的信息数据，并上传服务端模块；服务端模块用于对接收的数据信息进行处理并形成综合分析结果，同时也用于下发安全监测溯源管控策略从而对客户端进行安全监测和溯源管控；展示端模块用于所述系统的数据展示。
35.本发明提供的这种针对企业级移动应用的安全监测溯源管控方法及系统，为企业级的移动应用提供了一整套完整的运行期间的安全监测、溯源及管控的方案，大幅度提升了企业的移动应用安全风险管控能力，同时引入了全局的分析监测和管控意识，实现了应用和对应终端的监控的全方位覆盖；而且本发明实现了安全监测sdk一次嵌入，全方位、多应用的监测，适用于现今应用场合，而且可靠性高、实用性好。
附图说明
36.图1为本发明方法的方法流程示意图。
37.图2为本发明系统的功能模块图。
具体实施方式
38.如图1所示为本发明方法的方法流程示意图：本发明提供的这种针对企业级移动应用的安全监测溯源管控方法，包括如下步骤：
39.s1.构建安全监测溯源管控的sdk探针；具体包括如下步骤：
40.a.针对安卓系统，构建安全监测溯源管控的安卓系统sdk探针，并提供对外调用的监测接口服务、溯源信息接口服务和管控策略下发接口服务；
41.b.针对ios系统，构建安全监测溯源管控的ios系统sdk探针，并提供对外调用的监测接口服务、溯源信息接口服务和管控策略下发接口服务；
42.c.针对微应用，构建具有安全功能的沙箱平台；
43.s2.将步骤s1构建的sdk探针，集成到待监测的企业级移动应用中，得到具有安全监测溯源管控的移动应用；具体包括如下步骤：
44.a.将构建的安卓系统sdk探针与安卓应用源代码进行融合，并调用安卓系统sdk探针所提供的监测接口服务、溯源信息接口服务和管控策略下发接口服务；
45.b.将构建的ios系统sdk探针与ios应用源代码进行融合，并调用ios系统sdk探针所提供的监测接口服务、溯源信息接口服务和管控策略下发接口服务；
46.c.针对微应用程序，将构建的安卓系统sdk探针和ios系统sdk探针融入到构建的沙箱平台；
47.s3.将步骤s2得到的移动应用在安全运行模式下运行，并开启实时安全监测溯源管控；
48.s4.实时上报步骤s3中的安全监测溯源管控数据，并进行移动应用的安全监测和溯源管控；移动应用的安全监测和溯源管控具体包括如下步骤：
49.(1)sdk探针调用移动应用的内核程序，进行对运行环境的安全监测；运行环境的
安全监测具体包括移动设备的越狱监测(通过对su系统文件的可执行权限进行检测，判断是否发生root运行事件)、模拟器运行监测(获取系统特征值判断当前移动应用是否处于模拟器运行环境)、地理位置伪造监测和攻击框架监测；
50.(2)sdk探针调用移动应用的接口程序，进行移动应用的行为监测；移动应用的行为监测具体包括攻击行为监测和敏感行为监测；所述的攻击行为监测包括综合框架攻击、注入攻击、host文件伪造攻击、usb调试攻击、反编译攻击、远程代码执行攻击、越权访问和敏感信息泄露；所述的敏感行为监测包括外设越权使用行为、隐私数据越权使用行为、企业机密数据越权使用行为和应用启动越权行为；
51.(3)当移动应用受到可疑攻击或采取可疑行为时，进行溯源管控；溯源管控具体包括终端溯源和终端管控；所述的终端溯源包括移动应用受到攻击时，sdk探针会记录终端本机及互联网的ip地址、应用包名及业务用户名，同时配合安全接入网关识别报文协议，并将http报文的xff字段修改为终端的本机及互联网ip地址，最终形成溯源日志；所述的终端管控包括移动应用受到攻击时，sdk探针与安全接入网关进行联动，对终端实行强制下线，应用强制退出，访问权限调整或关闭，以及加入黑名单，并形成管控日志；
52.具体实施时，具体包括安全监测sdk提供应用与终端基础溯源信息接口，包括终端本机ipv4/ipv6地址、终端互联网ipv4/ipv6地址、应用包名、业务用户名；安全接入sdk在建立安全通道前，调用监测sdk接口获取基础溯源信息，存放在“终端扫描信息”中并上报网关；网关截获业务应用报文，识别应用层报文类型，修改报文xff内容为“终端本机ipv4/ipv6地址，终端互联网ipv4/ipv6地址”；记录终端上线、终端下线状态，并配置按需记录报文溯源信息，其中规约化日志格式：日志类型标识符|毫秒级时间|终端唯一识别码|appid|终端本机ipv4/ipv6地址|终端互联网ipv4/ipv6地址|应用包名|业务用户名|报文协议类型|；
53.终端溯源具体包括(1)sdk探针获取到的终端数据信息，1)安全监测sdk扫描获取的终端信息，其中终端信息包括终端唯一识别码(终端信息哈希值)、应用包名、应用名称、应用版本号、系统版本号、终端名称、安全监测sdk版本号、业务用户名、密码、终端互联网ipv4/ipv6地址；2)安全接入sdk获取的终端信息，其中终端信息包括数字证书appid(应用id，来源于数字证书)、终端唯一识别码(终端信息哈希值)；(2)网关溯源、管控所需的终端基础信息，1)网关溯源信息包括毫秒级时间、终端唯一识别码、appid、终端互联网ipv4/ipv6地址、终端本机ipv4/ipv6地址、应用包名、业务用户名、报文协议类型；2)终端在线、离线统计所需信息，其中终端在线包括终端上线标识、毫秒级时间、终端唯一识别码、appid、终端互联网ipv4/ipv6地址、终端本机ipv4/ipv6地址、应用包名；终端离线包括终端下线标识、毫秒级时间、终端唯一识别码、appid、终端互联网ipv4/ipv6地址、终端本机ipv4/ipv6地址、应用包名；
54.s5.对步骤s4获取的安全监测溯源管控数据进行处理和展示；具体包括如下步骤：
55.1)将监测数据进行分类收取，并存储到数据库；
56.2)将溯源日志和管控日志分类收取，并存储到数据库；
57.3)将步骤1)和步骤2)存储的数据进行分析，并将分析结果展示到服务器前端；
58.4)当安全监测溯源管控处理完成后，解除移动应用的管控限制。
59.如图2所示为本发明系统的功能模块图：本发明提供的这种实现所述针对企业级
移动应用的安全监测溯源管控方法的系统，包括客户端模块、数据采集端模块、服务端模块和展示端模块；客户端模块、数据采集端模块、服务端模块和展示端模块依次连接；客户端模块用于融合构建的sdk探针，并上报各类信息数据；数据采集端模块用于接收客户端模块上传的信息数据，并上传服务端模块；服务端模块用于对接收的数据信息进行处理并形成综合分析结果，同时也用于下发安全监测溯源管控策略从而对客户端进行安全监测和溯源管控；展示端模块用于所述系统的数据展示。
60.具体实施时，系统数据库采用开源的mysql存储系统的各类数据，包括安全策略数据、设备信息数据、应用运行和监测数据、以及情报数据。数据库和webservice之间通过redis非关系型数据做作为缓存的桥梁，提升数据的读、存效率。webservice为本系统架构中最为重要的一个部分，一方面为安全监测sdk和系统集成模块提供交互接口，及数据的采集、传递，另一方面对采集的数据进行去重、清洗、装换、统计等处理后向web可视化服务输出。
61.sdk探针自动采集并上报安全和运行两大类数据。其中安全数据主要包括出发安全条件上报的告警信息和存储的安全策略信息；运行数据包括应用和设备自身的基础信息和日常运行的状态及环境信息；然后将获取的数据存入数据库持久化保存，同时数据库的安全策略信息根据安全环境的变化出发条件，对sdk探针下达策略执行，保护移动应用的安全运行。
62.数据采集模块获取的设备基础数据包括操作系统的类型、版本号、地理位置等信息；应用运行数据包括应用包名、版本号、加固情况、应用运行环境信息等；安全告警信息包括攻击行为的类别、危险程度(高、中、低三级)、攻击的时间、攻击的ip、敏感行为的类型(截屏、录屏、复制粘贴)等。
63.服务端模块安全策略包括黑名单配置、攻击特征匹配、安全事件配置和封禁策略配置；综合分析包括情报关联、安全事件关联、业务运行行为关联和设备画像；情报库包括黑产的设备、应用、sim卡、ip和wifi。