对异常系统操作的处理方法及处理装置、电子设备

技术领域

本发明涉及信息安全技术领域，具体而言，涉及一种对异常系统操作的处理方法及处理装置、电子设备。

背景技术

目前对传统的计算机设备、服务器设备的可信安全防护工作，普遍已经较为完善。但随着移动通信技术的成熟，其方便性、便捷性较传统计算机设备有极大的飞跃，已经逐步渗透进入人们工作生活的方方面面。当前，可运行不同的操作系统、不同应用程序的移动终端覆盖范围越来越广，但是移动终端的安全防护能力并没有及时的预置匹配。移动终端作为信息系统的重要成员承载着大量的工作信息、个人信息、甚至是工作秘密等，且存在发现操作系统内允许的系统应用、可执行程序等有超越其应有权限的行为异常时，建立一套针对不同系统、不同应用、不同可执行程序超权限异常行为响应机制变得尤为重要。

现有的移动终端在识别用户异常行为时，存在如下弊端：

1.一般是对安卓系统中已授权应用的处理策略，缺乏针对应用的越权行为的有效解决办法。

2.现有技术中对移动终端的异常行为有一些识别方案，但是无法针对异常行为进行有效限制，保障移动终端的安全解决方案。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种对异常系统操作的处理方法及处理装置、电子设备，以至少解决相关技术中无法对异常操作行为进行有效限制的技术问题。

根据本发明实施例的一个方面，提供了一种对异常系统操作的处理方法，包括：在确认出现异常系统操作的情况下，获取所述异常系统操作的目标终端和行为信息，其中，所述异常系统操作包括：对系统应用的非授权操作、对系统内可执行程序的非授权操作、对系统内代码的非授权操作；将所述行为信息以及终端信息发送至目标服务器；接收所述目标服务器反馈的定制安全策略；执行所述定制安全策略，限制操作主体对象的操作行为和/或访问权限。

可选地，确认出现异常系统操作的步骤，包括：获取程序权限表，其中，所述程序权限表中包含各个终端内已安装的所有系统应用、可执行程序以及系统内代码的授权权限；采集所述操作主体对象对目标终端的操作行为以及行为权限；检索所述行为权限是否属于所述程序权限表内关联所述目标终端的授权权限集合，得到检索结果；在所述检索结果指示所述行为权限不属于所述程序权限表中关联所述目标终端的授权权限集合的情况下，确认出现所述异常系统操作。

可选地，在获取程序权限表之前，还包括：目标服务器获取终端内已安装的所有系统应用、可执行程序以及系统内代码；所述目标服务器提取每个所述系统应用、所述可执行程序以及所述系统内代码在历史过程申报的使用权限；所述目标服务器基于所有所述使用权限生成可读权限文件，将所述可读权限文件发送至管理终端；所述目标服务器接收所述管理终端对所述可读权限文件进行签名后的签名文件；所述目标服务器基于所述签名文件，生成所述程序权限表。

可选地，在将所述行为信息以及终端信息发送至目标服务器之后，还包括：所述目标服务器分析所述行为信息，得到行为威胁程度和行为影响设备数量；基于所述行为威胁程度、所述行为影响设备数量以及所述终端信息，确认行为限制策略和防火墙策略；基于所述行为限制策略和所述防火墙策略，生成所述定制安全策略。

可选地，在接收所述目标服务器反馈的定制安全策略之后，还包括：将所述定制安全策略传输至所述目标终端的策略储存空间。

可选地，执行所述定制安全策略，限制操作主体对象的操作行为和/或访问权限的步骤，包括：加载所述定制安全策略，并将所述定制安全策略在所述目标终端内运行，以限制操作主体对象的操作行为和/或访问权限。

根据本发明实施例的另一方面，还提供了一种对异常系统操作的处理装置，包括：获取单元，用于在确认出现异常系统操作的情况下，获取所述异常系统操作的目标终端和行为信息，其中，所述异常系统操作包括：对系统应用的非授权操作、对系统内可执行程序的非授权操作、对系统内代码的非授权操作；发送单元，用于将所述行为信息以及终端信息发送至目标服务器；接收单元，用于接收所述目标服务器反馈的定制安全策略；执行单元，用于执行所述定制安全策略，限制操作主体对象的操作行为和/或访问权限。

可选地，对异常系统操作的处理装置还包括：第一获取模块，用于获取程序权限表，其中，所述程序权限表中包含各个终端内已安装的所有系统应用、可执行程序以及系统内代码的授权权限；采集模块，用于采集所述操作主体对象对目标终端的操作行为以及行为权限；检索模块，用于检索所述行为权限是否属于所述程序权限表内关联所述目标终端的授权权限集合，得到检索结果；确认模块，用于在所述检索结果指示所述行为权限不属于所述程序权限表中关联所述目标终端的授权权限集合的情况下，确认出现所述异常系统操作。

可选地，确认模块包括：第一获取子模块，用于获取程序权限表，其中，所述程序权限表中包含各个终端内已安装的所有系统应用、可执行程序以及系统内代码的授权权限；第一采集子模块，用于采集所述操作主体对象对目标终端的操作行为以及行为权限；第一检索子模块，用于检索所述行为权限是否属于所述程序权限表内关联所述目标终端的授权权限集合，得到检索结果；第一确认子模块，用于在所述检索结果指示所述行为权限不属于所述程序权限表中关联所述目标终端的授权权限集合的情况下，确认出现所述异常系统操作。

可选地，对异常系统操作的处理装置还用于：在获取程序权限表之前，目标服务器获取终端内已安装的所有系统应用、可执行程序以及系统内代码；所述目标服务器提取每个所述系统应用、所述可执行程序以及所述系统内代码在历史过程申报的使用权限；所述目标服务器基于所有所述使用权限生成可读权限文件，将所述可读权限文件发送至管理终端；所述目标服务器接收所述管理终端对所述可读权限文件进行签名后的签名文件；所述目标服务器基于所述签名文件，生成所述程序权限表。

可选地，对异常系统操作的处理装置还用于：在将所述行为信息以及终端信息发送至目标服务器之后，所述目标服务器分析所述行为信息，得到行为威胁程度和行为影响设备数量；基于所述行为威胁程度、所述行为影响设备数量以及所述终端信息，确认行为限制策略和防火墙策略；基于所述行为限制策略和所述防火墙策略，生成所述定制安全策略。

可选地，对异常系统操作的处理装置还包括：传输单元，用于在接收所述目标服务器反馈的定制安全策略之后，将所述定制安全策略传输至所述目标终端的策略储存空间。

可选地，所述执行单元包括：加载模块，用于加载所述定制安全策略，并将所述定制安全策略在所述目标终端内运行，以限制操作主体对象的操作行为和/或访问权限。

根据本发明实施例的另一方面，还提供了一种电子设备，包括：处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的对异常系统操作的处理方法。

根据本发明实施例的另一方面，还提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述任意一项所述的对异常系统操作的处理方法。

本公开中，采用可以在确认出现异常系统操作的情况下，获取异常系统操作的目标终端和行为信息，将行为信息以及终端信息发送至目标服务器，接收目标服务器反馈的定制安全策略，执行定制安全策略，以限制操作主体对象的操作行为和/或访问权限，其中，异常系统操作包括：对系统应用的非授权操作、对系统内可执行程序的非授权操作、对系统内代码的非授权操作。

本公开中，可以有效检测操作系统内的应用程序或可执行程序等目标存在超越其应有权限的行为异常的情况下，自行定制安全策略，通过该定制安全策略限制可执行程序超越其应有权限的异常行为，并进行告警，从而解决相关技术中无法对异常操作行为进行有效限制的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的一种可选的对异常系统操作的处理方法的流程图；

图2是根据本发明实施例的一种可选的对终端内异常操作行为的处理系统的示意图；

图3是根据本发明实施例的一种可选的对异常系统操作的处理装置的示意图；

图4是根据本发明实施例的一种基于移动终端的应用安装方法的电子设备(或移动设备)的硬件结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

为便于本领域技术人员理解本发明，下面对本发明各实施例中涉及的部分术语或者名词做出解释：

可信软件：经过检测、认证处理后的来源合法的软件。

可信终端：安装可信安全防护软件的移动终端。

动态度量：在操作系统运行时，通过定时触发、条件触发等机制周期性度量操作系统完整性方法。

可信白名单：在操作系统初始时进行安全扫描，扫描系统的可执行系统应用、可执行程序以及系统内代码记录到白名单库，安全扫描后的可执行系统应用、可执行程序以及系统内代码即白名单。

可信报告：可信服务总系统定期向移动终端的可信安全防护系统发送终端动态度量的可信报告，移动终端可信安全防护系统根据可信基准值检测终端的运行状态是否正常。

本公开可应用于信息安全领域在对移动终端中运行的应用程序进行操作时，检测是否存在超越权限或者其他异常行为的场景中，也可用于除信息安全领域在对移动中的应用程序检测是否存在超越权限或者其他异常行为的情况下。

需要说明的是，本公开所涉及的相关信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。例如，本系统和相关用户或机构间设置有接口，在获取相关信息之前，需要通过接口向前述的用户或机构发送获取请求，并在接收到前述的用户或机构反馈的同意信息后，获取相关信息。

本公开所涉及的移动终端可以是指可信终端，其类型包括但不限于：手机、平板、面板、IPAD、笔记本和移动虚拟机(如VR机或者AR机)。

本公开提及的对异常系统操作的处理方法，是通过部署于移动终端的底层可信组件以及可信服务端的对移动终端的可信安全防护系统完成的，该可信安全防护系统与终端的可信配置管理系统共同为终端提供应用软件安装、应用程序操作异常检测、终端问题收集，形成系统级防护，共同建立对移动终端的安全体系。本公开中，为了保障移动终端的终端信息安全和应用软件安全。

本公开中，对移动终端的可信安全防护系统能够为移动终端建立主动免疫的防御机制，结合移动终端网络架构和应用需求，在可信计算理论研究基础之上帮助移动终端建立系统化的安全防护机制。从终端应用程序中提权该应用申报被授权使用的权限，根据授权权限生成可读文件并由管理终端确认后建立独立签名文件，签名文件中包含该应用程序特性及其所使用的所有权限信息。将应用及对应签名文件包下发至移动终端，终端侧代理软件验证签名来源并对签名包进行解析，获得应用所对应的使用的权限，将权限报送至终端可信组件。

本公开中，通过可信安全防护系统在检测到操作系统内应用程序或可执行程序等目标存在超越其应有权限的行为异常，限制可执行程序超越其应有权限的异常行为，并进行告警。

下面结合各个实施例来详细说明本发明。

实施例一

根据本发明实施例，提供了一种对异常系统操作的处理方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1是根据本发明实施例的一种可选的对异常系统操作的处理方法的流程图，如图1所示，该方法包括如下步骤：

步骤S102，在确认出现异常系统操作的情况下，获取异常系统操作的目标终端和行为信息，其中，异常系统操作包括：对系统应用的非授权操作、对系统内可执行程序的非授权操作、对系统内代码的非授权操作；

步骤S104，将行为信息以及终端信息发送至目标服务器；

步骤S106，接收目标服务器反馈的定制安全策略；

步骤S108，执行定制安全策略，限制操作主体对象的操作行为和/或访问权限。

通过上述步骤，可以在确认出现异常系统操作的情况下，获取异常系统操作的目标终端和行为信息，将行为信息以及终端信息发送至目标服务器，接收目标服务器反馈的定制安全策略，执行定制安全策略，以限制操作主体对象的操作行为和/或访问权限，其中，异常系统操作包括：对系统应用的非授权操作、对系统内可执行程序的非授权操作、对系统内代码的非授权操作。在该实施例中，可以有效检测操作系统内的应用程序或可执行程序等目标存在超越其应有权限的行为异常的情况下，自行定制安全策略，通过该定制安全策略限制可执行程序超越其应有权限的异常行为，并进行告警，从而解决相关技术中无法对异常操作行为进行有效限制的技术问题。

本实施例中的执行主体可以为部署于移动终端的操作系统底层的可信组件，其在接收到应用程序以及与应用程序对应的签名文件后，进行验签处理，验签通过后，会记录与应用程序对应的所有授权权限集合，在操作主体对象(如，应用程序)进行相关操作时，会比对其操作行为权限是否属于授权权限集合中。其中，移动终端的操作系统中可以安装多个应用程序。

下面结合上述各实施步骤来详细说明本发明。

对于步骤S102，本实施例中的异常系统操作包括下述至少之一：对系统应用的非授权操作、对系统内可执行程序的非授权操作、对系统内代码的非授权操作。

可选的，确认出现异常系统操作的步骤，包括：获取程序权限表，其中，程序权限表中包含各个终端内已安装的所有系统应用、可执行程序以及系统内代码的授权权限；采集操作主体对象对目标终端的操作行为以及行为权限；检索行为权限是否属于程序权限表内关联目标终端的授权权限集合，得到检索结果；在检索结果指示行为权限不属于程序权限表中关联目标终端的授权权限集合的情况下，确认出现异常系统操作。

上述系统应用是指操作系统内安装的应用程序的简称。

需要说明的是，在获取程序权限表之前，还包括：目标服务器获取终端内已安装的所有系统应用、可执行程序以及系统内代码；目标服务器提取每个系统应用、可执行程序以及系统内代码在历史过程申报的使用权限；目标服务器基于所有使用权限生成可读权限文件，将可读权限文件发送至管理终端；目标服务器接收管理终端对可读权限文件进行签名后的签名文件；目标服务器基于签名文件，生成程序权限表。

服务器从系统应用、可执行程序以及系统内代码中提取历史申报权限，根据申报权限生成可读权限文件，并由管理终端确认后建立独立签名文件，签名文件中包含该所有系统应用、可执行程序以及系统内代码的特性及其所使用的所有授权权限集合；将所有系统应用、可执行程序以及系统内代码及对应签名文件包下发至移动终端。

其中，目标服务器基于签名文件，生成程序权限表的步骤，可以包括：以每个系统应用、可执行程序以及系统内代码为单一主体，确认主体标识，以所述主体标识作为索引项，每个索引项添加其所有授权权限、签名文件，得到程序权限表。

移动终端在得到获取签名文件后，通过终端侧代理软件验证签名来源并对签名包(对签名文件的传输数据包)进行解析，获得应用程序所对应的所有授权权限集合，解析得到程序权限表。将程序权限表中所有系统应用、可执行程序以及系统内代码的授权权限集合报送至终端可信组件。

需要说明的是，终端可信组件在发现异常系统操作的情况，尤其是系统应用、可执行程序或代码存在超越其权限的异常行为时，将执行对补丁和异常行为的分析判断。

对于步骤S104，其将行为信息以及终端信息发送至目标服务器。可选的，在将行为信息以及终端信息发送至目标服务器之后，还包括：目标服务器分析行为信息，得到行为威胁程度和行为影响设备数量；基于行为威胁程度、行为影响设备数量以及终端信息，确认行为限制策略和防火墙策略；基于行为限制策略和防火墙策略，生成定制安全策略。

图2是根据本发明实施例的一种可选的对终端内异常操作行为的处理系统的示意图，如图2所示，该处理系统包括移动终端与服务端(对应上述的目标服务器)，服务端在接收到异常操作行为以及终端信息之后，对该异常操作行为的行为信息进行分析判定，服务端对补丁和异常操作行为的分析判断将通过系统应用、可执行程序或代码存在超越其权限的异常行为的危害或影响，服务端将生成/定制安全策略，然后将生成的安全策略存储在数据库中(图2中以策略存储示意说明，即服务端生成响应的安全策略，将其交给策略管理模块)，服务端支持对指定终端的策略下发功能(图2中以策略管理进行示意说明，能够将生成/定制安全策略下发至与终端信息对应的目标移动终端中)，便于验证策略的效果后再进行大规模的下发。

如图2所示，在移动终端接收到定制安全策略后，会先保存安全策略，然后执行该定制安全策略。

步骤S106，接收目标服务器反馈的定制安全策略。

本实施例中，目标服务器在生成/定制安全策略时，为出现异常操作行为的系统应用/可执行程序/系统内代码生成“权限看门狗”-即权限挂钩，通过该“权限看门狗”对未来指定时间段的关联该系统应用/可执行程序/系统内代码的所有操作行为以及操作行为对应的权限进行读取，并在权限为非授权权限时，输出警告弹窗。

同时，目标服务器在生成/定制安全策略时，还会为出现异常操作行为的系统应用/可执行程序/系统内代码生成行为标定器，通过该行为标定器记录所述异常操作行为的行为特征和可能产生的相同或类似行为特征，然后在未来指定时间段中，通过行为标定器对重复出现所述行为特征、所述相同或类似行为特征的其他行为同样进行限制，输出警告弹窗。

可选的，在接收目标服务器反馈的定制安全策略之后，还包括：将定制安全策略传输至目标终端的策略储存空间。

对于步骤S108，其需要执行定制安全策略，限制操作主体对象的操作行为和/或访问权限。可选的，步骤S108可以包括：加载定制安全策略，并将定制安全策略在目标终端内运行，以限制操作主体对象的操作行为和/或访问权限。

通过目标终端内的策略储存空间加载定制安全策略，并执行该定制安全策略，控制定制安全策略在目标终端内执行，限制操作主体对象的行为或访问等权限，从而在缓解系统内的应用、可执行程序或代码存在超越其权限的异常行为在系统产生的安全风险的情况下，尽可能保证目标终端的各个目标功能不受到影响。

需要说明的是，本实施例的目标终端/移动终端，会定期生成可信报告，若是某一段时间内(例如，每间隔3天、间隔24h或者间隔一个月等)未监测到出现系统异常操作，在可信报告中会生成终端无异常操作的动态度量报告，此时无需调整终端内的授权权限，根据已部署的系统应用、可执行程序以及系统内代码，重新生成白名单。通过白名单，可以验证下一时间段的授权权限和操作行为是否出现异常。

通过上述实施例，可以从系统应用、可执行程序、系统代码中提取该终端应用、可执行程序、系统代码申报所使用的权限，根据申报权限生成可读文件并由管理终端确认后建立独立签名文件，签名文件中包含该系统应用、可执行程序、系统代码特性及其所使用的所有授权权限集合；将系统应用、可执行程序、系统代码及对应签名文件包下发至终端，终端侧代理软件验证签名来源并对签名包进行解析，获得系统应用、可执行程序、系统代码所对应的所有授权权限集合，将所有授权权限集合报送至终端可信组件，从而为后续检测应用程序的操作是否超出权限做铺垫，在检测存在异常系统操作的情况下，服务端能够为终端定制安全策略，通过该安全策略限制操作主体对象的操作行为和/或访问权限，保护终端的功能安全，保障终端正常运行。

下面通过另一种可选的实施例来说明本发明。

实施例二

本实施例提供了一种对异常系统操作的处理装置，该处理装置中包含有多个实施单元，每个实施单元对应于上述实施例一中的各个实施步骤。

图3是根据本发明实施例的一种可选的对异常系统操作的处理装置的示意图，如图3所示，该异常系统操作的处理装置可以包括：获取单元31、发送单元33、接收单元35、执行单元37，其中，

获取单元31，用于在确认出现异常系统操作的情况下，获取异常系统操作的目标终端和行为信息，其中，异常系统操作包括：对系统应用的非授权操作、对系统内可执行程序的非授权操作、对系统内代码的非授权操作；

发送单元33，用于将行为信息以及终端信息发送至目标服务器；

接收单元35，用于接收目标服务器反馈的定制安全策略；

执行单元37，用于执行定制安全策略，限制操作主体对象的操作行为和/或访问权限。

上述对异常系统操作的处理装置，可以通过获取单元31在确认出现异常系统操作的情况下，获取异常系统操作的目标终端和行为信息，通过发送单元33将行为信息以及终端信息发送至目标服务器，通过接收单元35接收目标服务器反馈的定制安全策略，通过执行单元37执行定制安全策略，以限制操作主体对象的操作行为和/或访问权限，其中，异常系统操作包括：对系统应用的非授权操作、对系统内可执行程序的非授权操作、对系统内代码的非授权操作。在该实施例中，可以有效检测操作系统内的应用程序或可执行程序等目标存在超越其应有权限的行为异常的情况下，自行定制安全策略，通过该定制安全策略限制可执行程序超越其应有权限的异常行为，并进行告警，从而解决相关技术中无法对异常操作行为进行有效限制的技术问题。

可选地，对异常系统操作的处理装置还包括：第一获取模块，用于获取程序权限表，其中，程序权限表中包含各个终端内已安装的所有系统应用、可执行程序以及系统内代码的授权权限；采集模块，用于采集操作主体对象对目标终端的操作行为以及行为权限；检索模块，用于检索行为权限是否属于程序权限表内关联目标终端的授权权限集合，得到检索结果；确认模块，用于在检索结果指示行为权限不属于程序权限表中关联目标终端的授权权限集合的情况下，确认出现异常系统操作。

可选地，确认模块包括：第一获取子模块，用于获取程序权限表，其中，程序权限表中包含各个终端内已安装的所有系统应用、可执行程序以及系统内代码的授权权限；第一采集子模块，用于采集操作主体对象对目标终端的操作行为以及行为权限；第一检索子模块，用于检索行为权限是否属于程序权限表内关联目标终端的授权权限集合，得到检索结果；第一确认子模块，用于在检索结果指示行为权限不属于程序权限表中关联目标终端的授权权限集合的情况下，确认出现异常系统操作。

可选地，对异常系统操作的处理装置还用于：在获取程序权限表之前，目标服务器获取终端内已安装的所有系统应用、可执行程序以及系统内代码；目标服务器提取每个系统应用、可执行程序以及系统内代码在历史过程申报的使用权限；目标服务器基于所有使用权限生成可读权限文件，将可读权限文件发送至管理终端；目标服务器接收管理终端对可读权限文件进行签名后的签名文件；目标服务器基于签名文件，生成程序权限表。

可选地，对异常系统操作的处理装置还用于：在将行为信息以及终端信息发送至目标服务器之后，目标服务器分析行为信息，得到行为威胁程度和行为影响设备数量；基于行为威胁程度、行为影响设备数量以及终端信息，确认行为限制策略和防火墙策略；基于行为限制策略和防火墙策略，生成定制安全策略。

可选地，对异常系统操作的处理装置还包括：传输单元，用于在接收目标服务器反馈的定制安全策略之后，将定制安全策略传输至目标终端的策略储存空间。

可选地，执行单元包括：加载模块，用于加载定制安全策略，并将定制安全策略在目标终端内运行，以限制操作主体对象的操作行为和/或访问权限。

上述的对异常系统操作的处理装置还可以包括处理器和存储器，上述获取单元31、发送单元33、接收单元35、执行单元37等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。

上述处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来在确认出现异常系统操作的情况下，将行为信息以及终端信息发送至目标服务器，并接收目标服务器反馈的定制安全策略，执行定制安全策略，限制操作主体对象的操作行为和/或访问权限。

上述存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)，存储器包括至少一个存储芯片。

根据本发明实施例的另一方面，还提供了一种电子设备，包括：处理器；以及存储器，用于存储处理器的可执行指令；其中，处理器配置为经由执行可执行指令来执行上述任意一项的对异常系统操作的处理方法。

图4是根据本发明实施例的一种基于移动终端的应用安装方法的电子设备(或移动设备)的硬件结构框图。如图4所示，电子设备可以包括一个或多个(图中采用402a、402b，……，402n来示出)处理器402(处理器402可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器404。除此以外，还可以包括：显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、键盘、电源和/或相机。本领域普通技术人员可以理解，图4所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，电子设备还可包括比图4中所示更多或者更少的组件，或者具有与图4所示不同的配置。

根据本发明实施例的另一方面，还提供了一种计算机可读存储介质，计算机可读存储介质包括存储的计算机程序，其中，在计算机程序运行时控制计算机可读存储介质所在设备执行上述任意一项的对异常系统操作的处理方法。

本申请还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序：在确认出现异常系统操作的情况下，获取异常系统操作的目标终端和行为信息，其中，异常系统操作包括：对系统应用的非授权操作、对系统内可执行程序的非授权操作、对系统内代码的非授权操作；将行为信息以及终端信息发送至目标服务器；接收目标服务器反馈的定制安全策略；执行定制安全策略，限制操作主体对象的操作行为和/或访问权限。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。