安全威胁检测方法及终端[发明专利]

(12)发明专利申请

(10)申请公布号 CN 111385791 A(43)申请公布日 2020.07.07

(21)申请号 201811628262.7(22)申请日 2018.12.28

(71)申请人 华为技术有限公司

地址 518129 广东省深圳市龙岗区坂田华

为总部办公楼(72)发明人 滕辉　肖福洲　王宁宇　(74)专利代理机构 北京中博世达专利商标代理

有限公司 11274

代理人 申健(51)Int.Cl.

H04W 12/00(2009.01)H04L 29/06(2006.01)

权利要求书2页 说明书9页 附图9页

(54)发明名称

安全威胁检测方法及终端(57)摘要

本申请实施例提供一种安全威胁检测方法及终端，涉及移动终端安全领域，通过三级安全威胁检测可以提前发现安全威胁，并且系统性能开销小。该方法包括：开启对终端的全栈的潜在威胁检测；若检测到所述终端的全栈存在潜在威胁，开启对终端的全栈的活动威胁检测；若检测到所述终端的全栈存在活动威胁，开启对终端的全栈的root检测。

CN 111385791 ACN 111385791 A

权　利　要　求　书

1/2页

1.一种安全威胁检测方法，其特征在于，包括：开启对终端的全栈的潜在威胁检测；

若检测到所述终端的全栈存在潜在威胁，开启对终端的全栈的活动威胁检测；若检测到所述终端的全栈存在活动威胁，开启对终端的全栈的root检测。2.根据权利要求1所述的安全威胁检测方法，其特征在于，所述终端的全栈包括：调制解调Modem子系统、传感器子系统、安全元件SE侧、可信执行环境TEE侧、内核空间、用户空间、框架层和APP。

3.根据权利要求1或2所述的安全威胁检测方法，其特征在于，在所述开启对终端的全栈的潜在威胁检测前，所述方法还包括：

对安全启动程序进行root检测。

4.根据权利要求1-3任一项所述的安全威胁检测方法，其特征在于，在所述开启对终端的全栈的活动威胁检测后，所述方法还包括：

若所述终端的全栈未检测到活动威胁且潜在威胁消失，关闭活动威胁检测。5.根据权利要求1-4任一项所述的安全威胁检测方法，其特征在于，在所述开启对终端的全栈的root检测后，所述方法还包括：

若所述终端的全栈没有发生root且活动威胁消失，关闭root检测。6.根据权利要求1-5任一项所述的安全威胁检测方法，其特征在于，所述方法还包括：支持第三方应用查询所述终端的安全威胁状态。

7.根据权利要求1-6任一项所述的安全威胁检测方法，其特征在于，所述方法还包括：若检测到所述终端的全栈存在第一安全威胁，将第一安全威胁信息和/或安全应用列表发送云端。

8.根据权利要求1-7任一项所述的安全威胁检测方法，其特征在于，所述方法还包括：从云端接收安全威胁修复策略或安全威胁修复包；

通过所述安全威胁修复策略或安全威胁修复包修复所述终端的系统。9.根据权利要求1-8任一项所述的安全威胁检测方法，其特征在于，所述方法还包括：从云端接收安全检测策略更新信息；

通过所述安全检测策略更新信息更新所述终端的安全检测策略。10.根据权利要求1-9任一项所述的安全威胁检测方法，其特征在于，所述方法还包括：从云端接收第二安全威胁信息，所述第二安全威胁信息包括其他终端检测到的安全威胁的信息。

11.一种终端，其特征在于，包括：开启模块和检测模块；所述开启模块，用于开启对终端的全栈的潜在威胁检测；所述检测模块，用于若检测到所述终端的全栈存在潜在威胁，开启对终端的全栈的活动威胁检测；

所述检测模块，还用于若检测到所述终端的全栈存在活动威胁，开启对终端的全栈的root检测。

12.根据权利要求11所述的终端，其特征在于，所述终端的全栈包括：安全元件SE侧、可信执行环境TEE侧、内核空间、用户空间、框架层和APP。

13.根据权利要求11或12所述的终端，其特征在于，

2

CN 111385791 A

权　利　要　求　书

2/2页

所述检测模块，还用于对安全启动程序进行root检测。14.根据权利要求11-13任一项所述的终端，其特征在于，所述终端还包括：关闭模块；所述关闭模块，用于若所述终端的全栈未检测到活动威胁且潜在威胁消失，关闭活动威胁检测。

15.根据权利要求11-14任一项所述的终端，其特征在于，所述关闭模块：还用于若所述终端的全栈没有发生root且活动威胁消失，关闭root检测。

16.根据权利要求11-15任一项所述的终端，其特征在于，所述终端还包括：支持模块；所述支持模块，用于支持第三方应用查询所述终端的安全威胁状态。17.根据权利要求11-16任一项所述的终端，其特征在于，所述终端还包括：发送模块；所述发送模块，用于若检测到所述终端的全栈存在第一安全威胁，将第一安全威胁信息和/或安全应用列表发送云端。

18.根据权利要求11-17任一项所述的终端，其特征在于，所述终端还包括：接收模块和修复模块；

所述接收模块，用于从云端接收安全威胁修复策略或安全威胁修复包；所述修复模块，用于通过所述安全威胁修复策略或安全威胁修复包修复所述终端的系统。

19.根据权利要求11-18任一项所述的终端，其特征在于，所述接收模块，还用于从云端接收安全检测策略更新信息；所述终端还包括：更新模块；所述更新模块，用于通过所述安全检测策略更新信息更新所述终端的安全检测策略。20.根据权利要求11-19任一项所述的终端，其特征在于，所述接收模块：还用于从云端接收第二安全威胁信息，所述第二安全威胁信息包括其他终端检测到的安全威胁的信息。

21.一种终端，包括：至少一个处理器，至少一个存储器以及通信接口，其特征在于，所述通信接口、所述至少一个存储器与所述至少一个处理器耦合；所述终端通过所述通信接口与其他设备通信，所述至少一个存储器用于存储计算机程序，使得所述计算机程序被所述至少一个处理器执行时实现如权利要求1-10中任一项所述的安全威胁检测方法。

22.一种计算机可读存储介质，其特征在于，包括计算机程序，当所述计算机程序在至少一个存储节点上运行时，所述至少一个存储节点执行权利要求1-10中任一项所述的安全威胁检测方法。

3

CN 111385791 A

说　明　书

安全威胁检测方法及终端

1/9页

技术领域

[0001]本申请涉及移动终端安全领域，尤其涉及安全威胁检测方法及终端。

背景技术

[0002]目前手机越来越智能，集成了金融支付、身份认证等很多高安全业务，对智能手机的攻击手段也日益复杂，近年来，网络安全事件层出不穷，种类、手段多样化，使得终端设备安全监管变得极其困难。一旦安全漏洞被不法分子利用且不能及时发现并修复，将会给客户及公司带来很大安全风险和损失。

[0003]目前安全威胁检测的方法有基于root关键特征检测和基于行为的威胁检测。基于root的关键特征检测，是指检测是否有su文件、关键的prop(ro.debuggable/ro.secure等)是否符合预期、是否解锁、是否有提权操作、是否有root相关app安装等，这些检测手段均是基于已发生root机器的检测，并不能预测威胁发生，从而提前做出防御措施拦截手机被root攻击。基于行为威胁检测是指基于系统调用的顺序等操作预测威胁发生，能够预测手机的安全威胁，但是这类检测方式一般是在系统调用等关键节点进行监控，增加了系统调用的时间，严重影响用户性能体验。发明内容

[0004]本申请实施例提供一种安全威胁检测方法及终端，通过三级安全威胁检测可以提前发现安全威胁，并且系统性能开销小。[0005]为达到上述目的，本申请的实施例采用如下技术方案：[0006]第一方面，本申请实施例提供一种安全威胁检测方法，该方法包括：终端开启对该终端的全栈的潜在威胁检测；若检测到该终端的全栈存在潜在威胁，开启对终端的全栈的活动威胁检测；若检测到该终端的全栈存在活动威胁，开启对终端的全栈的root检测。基于本方案，该终端可以通过潜在威胁检测、活动威胁检测或者root检测提前发现安全威胁。[0007]结合第一方面，在一种可能的实现方式中，该终端的全栈包括：安全元件SE侧、可信执行环境TEE侧、内核空间、用户空间、框架层和APP。基于本方案，该终端可以提前发现安全元件SE侧、可信执行环境TEE侧、内核空间、用户空间、框架层和APP的安全威胁。[0008]结合第一方面和上述可能的实现方式，在另一种可能的实现方式中，在开启对终端的全栈的潜在威胁检测前，该终端可以对安全启动程序进行root检测。基于本方案，该终端可以先对安全启动程序进行root检测，再开启对终端的全栈的潜在威胁检测，可以先确定终端系统环境的安全，再对来自外部安全威胁进行检测。[0009]结合第一方面和上述可能的实现方式，在另一种可能的实现方式中，在开启对终端的全栈的活动威胁检测后，若终端的全栈未检测到活动威胁且潜在威胁消失，该终端关闭活动威胁检测。基于本方案，终端在未检测到活动威胁且潜在威胁消失时关闭活动威胁检测，可以减小系统开销。

[0010]结合第一方面和上述可能的实现方式，在另一种可能的实现方式中，在开启对终

4

CN 111385791 A

说　明　书

2/9页

端的全栈的root检测后，若终端的全栈没有发生root且活动威胁消失，该终端关闭root检测。基于本方案，终端在没有发生root且活动威胁消失时关闭root检测，可以减小系统开销。

[0011]结合第一方面和上述可能的实现方式，在另一种可能的实现方式中，终端支持第三方应用查询所述终端的安全威胁状态。基于本方案，第三方应用可以根据终端的安全威胁状态确定是否继续提供安全服务。

[0012]结合第一方面和上述可能的实现方式，在另一种可能的实现方式中，若检测到终端的全栈存在第一安全威胁，将第一安全威胁信息和/或安全应用列表发送云端。基于本方案，可以在云端查看每个终端的安全状态和详细攻击路径，还可以通过云端实时预警当前有多少设备收到了攻击，哪种攻击类型的威胁最多，还可以分析出哪些应用有安全风险，并通知应用市场将其应用下架。

[0013]结合第一方面和上述可能的实现方式，在另一种可能的实现方式中，终端从云端接收安全威胁修复策略或安全威胁修复包；通过所述安全威胁修复策略或安全威胁修复包修复所述终端的系统。基于本方案，可以提高终端系统的防御能力。[0014]结合第一方面和上述可能的实现方式，在另一种可能的实现方式中，终端从云端接收安全检测策略更新信息；通过所述安全检测策略更新信息更新所述终端的安全检测策略。基于本方案，终端可以及时更新安全检测策略，提高安全防御能力。[0015]结合第一方面和上述可能的实现方式，在另一种可能的实现方式中，从云端接收第二安全威胁信息，所述第二安全威胁信息包括其他终端检测到的安全威胁的信息。基于本方案，该终端可以提前拦截第二安全威胁。[0016]第二方面，本申请实施例提供了一种终端，该终端具有实现上述第一方面所述的方法和功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。[0017]本申请实施例还提供了一种终端，包括：至少一个处理器、至少一个存储器以及通信接口，该通信接口、该至少一个存储器与该至少一个处理器耦合；该终端通过该通信接口与其他设备通信，该至少一个存储器用于存储计算机程序，使得该计算机程序被该至少一个处理器执行时实现如第一方面及其各种可能的实现方式所述的安全威胁检测方法。[0018]本申请实施例还提供了一种计算机可读存储介质，如计算机非瞬态的可读存储介质。其上储存有计算机程序，当该计算机程序在计算机上运行时，使得计算机执行上述第一方面的任一种可能的方法。例如，该计算机可以是至少一个存储节点。[0019]本申请实施例还提供了一种计算机程序产品，当其在计算机上运行时，使得第一方面提供的任一方法被执行。例如，该计算机可以是至少一个存储节点。[0020]可以理解的，上述提供的任一种终端或计算机存储介质或计算机程序产品等均用于执行上文所提供的对应的方法，因此，其所能达到的有益效果可参考对应的方法中的有益效果，此处不再赘述。附图说明

[0021]图1为本申请实施例提供的通信系统架构示意图；

[0022]图2为本申请实施例提供的通信设备的硬件结构示意图；

5

CN 111385791 A[0023][0024][0025][0026][0027][0028][0029][0030][0031][0032][0033]

说　明　书

3/9页

图3为本申请实施例提供的安全威胁检测方法的流程示意图一；图4为本申请实施例提供的安全威胁检测方法的流程示意图二；图5为本申请实施例提供的安全威胁检测方法的流程示意图三；图6为本申请实施例提供的安全威胁检测方法的流程示意图四；图7为本申请实施例提供的安全威胁检测方法的流程示意图五；图8为本申请实施例提供的终端的结构示意图一；图9为本申请实施例提供的终端的结构示意图二；图10为本申请实施例提供的终端的结构示意图三；图11为本申请实施例提供的终端的结构示意图四；图12为本申请实施例提供的终端的结构示意图五；图13为本申请实施例提供的终端的结构示意图六。

具体实施方式

[0034]下面将结合附图对本申请实施例的实施方式进行详细描述。[0035]如图1所示，为本申请实施例提供的通信系统100的架构示意图。图1中，通信系统100包括终端101和云端102。[0036]可选的，本申请实施例提供的终端101可以为便携式计算机(如手机)、笔记本电脑、个人计算机(personal computer，PC)、可穿戴电子设备(如智能手表)、平板电脑、增强现实(augmented reality，AR)\\虚拟现实(virtual reality，VR)设备、车辆、车载模组、车载电脑、车载芯片、车载通信系统、工业控制中的无线终端等，以下实施例对该终端101的具体形式不做特殊限制。[0037]可选的，云端102可以与多个终端通信，例如，云端102还可以与终端103通信。通过云端102可以查看与云端102通信的终端的安全状态、详细攻击路径等。通过云端102还可以查看有多少终端受到了攻击，受到哪种类型的威胁最多。若受到攻击的终端的数量超过预设阈值，云端102还可以向后台管理员发送告警邮件，所述告警邮件用于通知后台管理员对当前的攻击进行处理。[0038]可选的，本申请实施例图1中的终端101可以由一个设备实现，也可以由多个设备共同实现，还可以是一个设备内的一个功能模块，本申请实施例对此不作具体限定。可以理解的是，上述功能既可以是硬件设备中的网络元件，也可以是在专用硬件上运行的软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。[0039]例如，本申请实施例图1中的终端101可以通过图2中的通信设备来实现。图2所示为本申请实施例提供的通信设备的硬件结构示意图。该通信设备200包括处理器201，通信线路202，存储器203以及至少一个通信接口204(图2中仅是示例性的以包括通信接口204为例进行说明)。

[0040]处理器201可以是一个通用中央处理器(central processing unit，CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制本申请方案程序执行的集成电路。[0041]通信线路202可包括一通路，在上述组件之间传送信息。[0042]通信接口204，使用任何收发器一类的装置，用于与其他设备或通信网络通信，如

6

CN 111385791 A

说　明　书

4/9页

以太网，无线接入网(radio access network，RAN)，无线局域网(wireless local area networks，WLAN)等。

[0043]存储器203可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过通信线路202与处理器相连接。存储器也可以和处理器集成在一起。

[0044]其中，存储器203用于存储执行本申请方案的计算机执行指令，并由处理器201来控制执行。处理器201用于执行存储器203中存储的计算机执行指令，从而实现本申请下述实施例提供的安全威胁检测方法。[0045]可选的，本申请实施例中的计算机执行指令也可以称之为应用程序代码，本申请实施例对此不作具体限定。[0046]在具体实现中，作为一种实施例，处理器201可以包括一个或多个CPU，例如图2中的CPU0和CPU1。

[0047]在具体实现中，作为一种实施例，通信设备200可以包括多个处理器，例如图2中的处理器201和处理器205。这些处理器中的每一个可以是一个单核(single-CPU)处理器，也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

[0048]上述的通信设备200可以是一个通用设备或者是一个专用设备。在具体实现中，通信设备200可以是台式机、便携式电脑、网络服务器、掌上电脑(personal digital assistant，PDA)、移动手机、平板电脑、无线终端设备、嵌入式设备或有图2中类似结构的设备。本申请实施例不限定通信设备200的类型。

[0049]下面将结合图1至图2对本申请实施例提供的安全威胁检测方法进行具体阐述。[0050]需要说明的是，本申请下述实施例中各个网元之间的消息名字或消息中各参数的名字等只是一个示例，具体实现中也可以是其他的名字，本申请实施例对此不作具体限定。[0051]如图3所示，为本申请实施例提供的一种安全威胁检测方法，所述安全威胁检测方法包括以下步骤：[0052]步骤301、终端开启对所述终端的全栈的潜在威胁检测。[0053]可选的，终端可以在开机时对安全启动程序进行root检测，用于确定终端系统环境的安全。

[0054]可选的，终端可以在开机后，开启对所述终端的全栈的潜在威胁检测，其中，所述终端的全栈包括：调制解调Modem子系统、传感器子系统、安全元件SE侧、可信执行环境TEE侧、内核空间、用户空间、框架层和APP。潜在威胁可以是可能存在风险的行为，例如：打开usb debug调试、恶意APP安装或者连接恶意链接。本领域技术人员可以理解，潜在威胁还可以是其他形式的威胁，本申请对此不进行具体限制。

7

CN 111385791 A[0055]

说　明　书

5/9页

步骤302、终端若检测到所述终端的全栈存在潜在威胁，开启对所述终端的全栈的

活动威胁检测。[0056]可选的，终端若检测到所述终端的全栈存在潜在威胁，可以开启对终端的全栈的活动威胁检测，终端还可以将潜在威胁信息发送到云端。潜在威胁信息可以包括每个潜在威胁区别于其他潜在威胁的特定特征信息，例如：恶意APP的包名、恶意APP包名的哈希值、恶意链接等。活动威胁可以是对终端进行攻击的行为，例如：通过堆喷射、面向返回的编程(Return-oriented Programming，ROP)或跳转导向编程(Jump-oriented Programming，JOP)等攻击手段进行的攻击。本领域技术人员可以理解，活动威胁还可以是其他形式的威胁，本申请对此不进行具体限制。[0057]示例性的，终端若检测到恶意APP的安装，此时还没有进一步的攻击动作，终端可以开启对所述终端的全栈的活动威胁检测，终端还可以将所述恶意APP信息发送到云端，云端可以通知应用市场将该恶意APP下架，并更新病毒库，在其他终端安装该恶意APP时阻止其安装。所述恶意APP信息可以包括APP的包名、APP包名的哈希值。[0058]可选的，若所述终端的全栈未检测到活动威胁且潜在威胁消失，终端关闭活动威胁检测。

[0059]示例性的，若所述终端的全栈未检测到活动威胁且终端卸载了所述恶意APP，所述终端可以关闭活动威胁检测。[0060]步骤303、终端若检测到所述终端的全栈存在活动威胁，开启对终端的全栈的root检测。

[0061]可选的，终端若检测到所述终端的全栈存在活动威胁，开启对终端的全栈的root检测。终端还可以将所述活动威胁信息发送到云端。所述活动威胁信息可以包括每个活动威胁区别于其他活动威胁的特定特征信息，例如：活动威胁的攻击方式以及攻击路径等。Root可以指对终端攻击成功，或者指对终端造成了实际影响，例如：终端发生root后用户的隐私数据被窃取。[0062]示例性的，终端若检测到堆溢出，所述终端可以开启对所述终端的全栈的root检测，所述终端还可以向云端上报所述终端被以堆溢出的方式攻击以及攻击的路径。[0063]可选的，若所述终端的全栈没有发生root且活动威胁消失，终端关闭root检测。[0064]示例性的，若所述终端的全栈没有发生root且堆溢出的情况消失，关闭root检测。[0065]可选的，若所述终端的全栈发生root，终端可以将root信息和/或安全应用列表发送到云端。所述root信息可以包括root方式，例如：提高权限和修改系统文件等。[0066]示例性的，若终端的系统文件被修改，所述终端可以将root方式发送到云端，所述root方式可以包括被修改的系统文件的位置信息，所述终端还可以将所述终端的安全应用列表发送到云端，云端可以根据多个终端发送的安全应用列表分析哪些应用有安全风险，可以通知应用市场将有安全风险的应用下架，还可以更新病毒库，可以阻止其他终端安装所述有安全风险的应用。[0067]进一步的，如图4所示，所述安全威胁检测方法还包括步骤404。[0068]步骤404、终端支持三方应用查询所述终端的安全威胁状态。[0069]可选的，终端可以通过北向能力安全状态接口支持第三方应用查询所述终端的安全威胁状态，所述第三应用包括高安全级别的应用，例如支付类应用、包含个人隐私数据的

8

CN 111385791 A

说　明　书

6/9页

相关应用或者与云服务有关的应用。第三方应用可以根据所述安全威胁状态确定是否继续提供安全服务。[0070]进一步的，如图5所示，所述安全威胁检测方法还包括步骤505-506。[0071]步骤505、终端从云端接收安全威胁修复策略或安全威胁修复包。[0072]步骤506、终端通过所述安全威胁修复策略或安全威胁修复包修复所述终端的系统。

[0073]进一步的，如图6所示，所述安全威胁检测方法还包括步骤607-608。[0074]步骤607、终端从云端接收安全检测策略更新信息。[0075]步骤608、终端通过所述安全检测策略更新信息更新所述终端的安全检测策略。[0076]进一步的，如图7所示，所述安全威胁检测方法还包括步骤709。[0077]步骤709、终端从云端接收第二安全威胁信息，所述第二安全威胁信息包括其他终端检测到的安全威胁的信息。[0078]可选的，终端可以从云端接收第二安全威胁信息，可以提前对所述第二安全威胁进行拦截。所述第二安全威胁信息包括其他终端检测到的安全威胁的信息，所述安全威胁信息包括潜在威胁信息、活动威胁信息和root信息。[0079]可以理解的是，上述终端101为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

[0080]本申请实施例可以根据上述方法示例对终端101进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。[0081]比如，以采用集成的方式划分各个功能模块的情况下，图8示出了一种终端80的结构示意图。该终端80包括：开启模块801和检测模块802。该开启模块801，用于开启对终端的全栈的潜在威胁检测；该检测模块802，用于若检测到所述终端的全栈存在潜在威胁，开启对终端的全栈的活动威胁检测；该检测模块802，还用于若检测到所述终端的全栈存在活动威胁，开启对终端的全栈的root检测。[0082]需要说明的是，终端可以在开机后，开启对所述终端的全栈的潜在威胁检测，其中，潜在威胁可以是可能存在风险的行为，例如：打开usb debug调试、恶意APP安装或者连接恶意链接。本领域技术人员可以理解，潜在威胁还可以是其他形式的威胁，本申请对此不进行具体限制。

[0083]需要说明的是，终端若检测到所述终端的全栈存在潜在威胁，可以开启对终端的全栈的活动威胁检测，终端还可以将潜在威胁信息发送到云端。活动威胁可以是对终端进行攻击的行为，例如：通过堆喷射、ROP或JOP等攻击手段进行的攻击。本领域技术人员可以理解，活动威胁还可以是其他形式的威胁，本申请对此不进行具体限制。

9

CN 111385791 A[0084]

说　明　书

7/9页

需要说明的是，终端若检测到所述终端的全栈存在活动威胁，开启对终端的全栈

的root检测。终端还可以将所述活动威胁信息发送到云端。Root可以指对终端攻击成功，或者指对终端造成了实际影响，例如：终端发生root后用户的隐私数据被窃取。若所述终端的全栈发生root，终端可以将root信息和/或安全应用列表发送到云端。[0085]可选的，所述终端的全栈包括：调制解调Modem子系统、传感器子系统、安全元件SE侧、可信执行环境TEE侧、内核空间、用户空间、框架层和APP。[0086]可选的，该检测模块802，还用于对安全启动程序进行root检测。[0087]需要说明的是，终端可以在开机时对安全启动程序进行root检测，用于确定终端系统环境的安全。[0088]可选的，如图9所示，终端80还包括关闭模块803，该关闭模块803，用于若所述终端的全栈未检测到活动威胁且潜在威胁消失，关闭活动威胁检测。[0089]可选的，该关闭模块803：还用于若所述终端的全栈没有发生root且活动威胁消失，关闭root检测。[0090]可选的，如图10所示，终端80还包括支持模块804，该支持块804，用于支持第三方应用查询所述终端的安全威胁状态。[0091]需要说明的是，终端可以通过北向能力安全状态接口支持第三方应用查询所述终端的安全威胁状态，所述第三应用包括高安全级别的应用，例如支付类应用、包含个人隐私数据的相关应用或者与云服务有关的应用。第三方应用可以根据所述安全威胁状态确定是否继续提供安全服务。[0092]可选的，如图11所示，终端80还包括发送模块805，该发送模块805，用于若检测到所述终端的全栈存在第一安全威胁，将第一安全威胁信息和/或安全应用列表发送云端。[0093]需要说明的是，所述第一安全威胁包括潜在威胁、活动威胁和root威胁。[0094]可选的，终端80若检测到该终端80的全栈存在潜在威胁，将潜在威胁信息发送云端。该潜在威胁信息可以包括每个潜在威胁区别于其他潜在威胁的特定特征信息，例如：恶意APP的包名、恶意APP包名的哈希值、恶意链接等。[0095]可选的，终端80若检测到该终端80的全栈存在活动威胁，将活动威胁信息发送云端。该活动威胁信息可以包括每个活动威胁区别于其他活动威胁的特定特征信息，例如：活动威胁的攻击方式以及攻击路径等。[0096]可选的，终端80若检测到该终端80的全栈发生root，将root信息和/或终端的安全应用列表发送到云端。云端可以根据多个终端发送的安全应用列表分析哪些应用有安全风险，可以通知应用市场将有安全风险的应用下架，还可以更新病毒库，可以阻止其他终端安装所述有安全风险的应用。该root信息可以包括root方式，例如：提高权限和修改系统文件等。

[0097]可选的，如图12所示，终端80还包括接收模块806和修复模块807，该接收模块806，用于从云端接收安全威胁修复策略或安全威胁修复包；该修复模块806，用于通过所述安全威胁修复策略或安全威胁修复包修复所述终端的系统。[0098]可选的，该接收模块806，还用于从云端接收安全检测策略更新信息。如图13所示，终端80还包括更新模块808，该更新模块808，用于通过所述安全检测策略更新信息更新所述终端的安全检测策略。

10

CN 111385791 A[0099]

说　明　书

8/9页

可选的，该接收模块806：还用于从云端接收第二安全威胁信息，所述第二安全威

胁信息包括其他终端检测到的安全威胁的信息。[0100]需要说明的是，终端可以从云端接收第二安全威胁信息，可以提前对所述第二安全威胁进行拦截。所述第二安全威胁信息包括其他终端检测到的安全威胁的信息，所述安全威胁信息包括潜在威胁信息、活动威胁信息和root信息。[0101]其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。[0102]在本实施例中，该终端80以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC，电路，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。在一个简单的实施例中，本领域的技术人员可以想到该终端80可以采用图2所示的形式。[0103]比如，图2中的处理器201可以通过调用存储器203中存储的计算机执行指令，使得终端80执行上述方法实施例中的安全威胁检测方法。[0104]示例性的，图13中的开启模块801、检测模块802、关闭模块803、支持模块804、发送模块805、接收模块806、修复模块807和更新模块808的功能/实现过程可以通过图2中的处理器201调用存储器203中存储的计算机执行指令来实现。或者，图13中的开启模块801、检测模块802、关闭模块803、支持模块804、修复模块807和更新模块808的功能/实现过程可以通过图2中的处理器201调用存储器203中存储的计算机执行指令来实现，图13中的发送模块805和接收模块806的功能/实现过程可以通过图2中的通信接口204来实现。[0105]由于本实施例提供的终端80可执行上述的安全威胁检测方法，因此其所能获得的技术效果可参考上述方法实施例，在此不再赘述。[0106]可选的，本申请实施例还提供了一种装置(例如，该装置可以是芯片系统)，该装置包括处理器，用于支持终端80实现上述安全威胁检测方法，例如开启对终端的全栈的潜在威胁检测；若检测到所述终端的全栈存在潜在威胁，开启对终端的全栈的活动威胁检测；若检测到所述终端的全栈存在活动威胁，开启对终端的全栈的root检测。在一种可能的设计中，该装置还包括存储器。该存储器，用于保存第一用户设备必要的程序指令和数据。当然，存储器也可以不在该装置中。该装置是芯片系统时，可以由芯片构成，也可以包含芯片和其他分立器件，本申请实施例对此不作具体限定。[0107]在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，DVD)、

11

CN 111385791 A

说　明　书

9/9页

或者半导体介质(例如固态硬盘(solid state disk，SSD))等。[0108]尽管在此结合各实施例对本申请进行了描述，然而，在实施所要求保护的本申请过程中，本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书，可理解并实现所述公开实施例的其他变化。在权利要求中，“包括”(comprising)一词不排除其他组成部分或步骤，“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施，但这并不表示这些措施不能组合起来产生良好的效果。

[0109]尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，在不脱离本申请的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明，且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

12

CN 111385791 A

说　明　书　附　图

1/9页

图1

图2

13

CN 111385791 A

说　明　书　附　图

2/9页

图3

图4

14

CN 111385791 A

说　明　书　附　图

3/9页

图5

15

CN 111385791 A

说　明　书　附　图

4/9页

图6

16

CN 111385791 A

说　明　书　附　图

5/9页

图7

17

CN 111385791 A

说　明　书　附　图

6/9页

图8

图9

18

CN 111385791 A

说　明　书　附　图

7/9页

图10

图11

19

CN 111385791 A

说　明　书　附　图

8/9页

图12

20

CN 111385791 A

说　明　书　附　图

9/9页

图13

21