移动应用安全监测平台V2.docx

《移动应用安全监测平台V2.docx》由会员分享，可在线阅读，更多相关《移动应用安全监测平台V2.docx（76页珍藏版）》请在课桌文档上搜索。

1、梆梆安全IBANGCLE北京梆梆安全科技有限公司移动应用安全监测平台V4.9.2用户使用手册2023年7月7日北京梆梆安全科技有限公司1 .概述32 .不同用户账号登录说明33 .平台使用说明33.1. 用户登录332密码修改43.3. 退出系统53.4. 菜单简介53.5. 综合态势53.5.1. 威胁实时监测63.6. 安全分析73.6.1. 应用安全概览73.6.2. 应用威胁分析83.6.3. 环境风险分析12364.安全事件分析153.6.4. 设备分析183.6.6. 封禁实施分析183.7. 运彳诊析193.7.1. 运行分析193.7.2. 终端设备信息223.7.3. 终端应

2、用信息243.8. 策略配置说明253.8.1. 安全事件配置253.8.2. 监测策略配置323.8.3. 威胁指数配置453.8.4. 封禁策略配置463.8.5. 白名单配置483.8.6. 敏感度配置.513.9. 单个设备详情523.9.1. 设备详情523.10. 报表功能563.10.1. 报表管理563.10.2. 数据导出583.11. 系统配置603.11.1. 证书管理.603.11.2. 用户管理623.11.3. 应用管理633.11.4. 系统管理653.11.5. 日志693.11.6. 升级管理703.12. 全局搜索714 .产品名称和产品LOGO配置73关于

3、梆梆安全731.概述梆梆安全移动应用安全监测系统是梆梆安全自主研发的，基于前端信息采集与后台大数据研判相结合的移动应用发布后安全监控与运行监测平台。本手册为用户使用手册，重点介绍产品使用方法。,不同用户账号登录说明1.运维管理员：系统运维配置专用账号，无新增审计员、操作员权限。2、管理员账号：具备系统正常使用的所有权限；具备增加审计员、操作员权限；3、操作员账号：无法进行系统配置操作，支持其他所有操作；4、审计员账号：无法进行系统配置、策略配置操作，仅支持数据查看相关操作；2 .平台使用说明2.1. 用户登录登录网站，输入网址，例如:9990/,在登录界面中输入账户、密码以及验证码，输入完成后

4、点击【登录】按钮完成用户登入。如下图所示：图3-1登录页面2.2. 密码修改点击系统菜单图标，出现下拉菜单，点击修改密码，用户可以自行修改密码。图3-2修改密码2.3. 退出系统点击系统菜单图标，出现下拉菜单，点击退出按钮可退出系统，如需再次操作系统，请重新登录。Q修改密码。退出登录图3-3退出登录2.4. 菜单简介 综合态势：展示应用整体运行过程的安全及运行状况。 安全分析：展示应用运行时安全相关分析统计和详情数据。 运行分析：展示应用运行时启动相关统计和详情数据。 报表功能：支持自动化生成安全报告、下载导出数据报表等。 策略配置：支持配置监测相关策略。 系统配置：支持配置系统相关策略。2.

5、5. 综合态势单击”综合态势，进入综合态势页面，如下图所示，综合态势页面可展示今天、昨天、最近7天、最近一个月四个时间维度下的安全事件总数、事件设备总数、安全事件统计、启动趋势、崩溃趋势、威胁分类统计、威胁影响地域前五、威胁影中国地图和世界地图的切换，默认展示中国地图，当在该页面选择中国地图时，切换到除综合态势页面下的其他页面会携带国家为中国的过滤条件。响设备前五、威胁实时监测、中国地图显示各省、直辖市的威胁次数。点击1世界1进行图3-4综合态势2.5.1. 威胁实时监测通过时间、地域、UDIDx威胁类型，展示时事最新出现的五条威胁事件数据。威胁实时监测时间2021-01-1413:40:52

6、黑龙江,哈尔滨南街区Ofafa2b程序外并2021-01-1413:40:51湖南,衡阳,石鼓区f262c57c程序外持2021-01-141340:45期,浦东新区ClIa2076内存复改2021-01-1413:40:36浙江,宁波d15ed9d9多开器2021-01-1413:40:09浙江I宁波d15ed9d9冬开器图3-5威胁实时监测入口点击”威胁实时监测，跳转到威胁实时监测页面，可以支持自定义条件实时滚动监控客户端的各类安全事件、威胁、环境风险、崩溃、启动信息。图3-6威胁实时监测页面2.6. 安全分析3.6.1,应用安全概览应用安全概览是展示所有应用数据变化情况的特征，可以在页面

7、上端的部分一选项中选择之前我们通过策略配置产生的应用分组，应用名称、地域和时间。点击“部分二可以快速分别转到所有应用维度的安全事件分析事件统计、威胁分析威胁统计、环境分析环境统计。点击部分三会快速转到单个应用维度的事件统计，点击部分四会转到单个应用维度的威胁统计，点击部分五会转到单个应用维度的环境统计。图3-7应用安全概览2.6.1. 应用威胁分析3621威胁统计威胁统计用于全局上对威胁进行统计分析，以图形化的方式向用户展现设备上发生威胁的整体情况。单击安全分析应用威胁分析威胁统计进入威胁统计页面，如下图所示:图3-8威胁统计页面顶部可以按应用分组、应用名称、时间（今天、昨天、最近7天、最近1

8、4天、最近1个月、最近3个月、最近6个月、最近1年、全部、自定义时间）、设备类型、关注设备、地域、系统版本、威胁类型筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击重置按键一键撤销。威胁总数：显示系统监测到的威胁总数。 影响设备数：显示监测到威胁事件的设备数量。 活跃设备数：显示监测到的活跃设备数量（活跃设备指启动过应用的设备数量）。 影响设备率：影响设备数与活跃设备数的比值。（点击以上任意一个会转到地域排行、设备类型排行、系统版本排行、应用版本排行详情。）威胁总体趋势以拆线图的形式展示所选数据类型（威胁趋势、影响设备趋势、活跃设备趋势、影响设备率趋势）的统计数据。横坐标

9、为时间，纵坐标为所选数据类型。当点击威胁趋势按键时，鼠标移到折线图上会显示筛选后的展示数据在鼠标选中日期的威胁发生总次数及各类威胁发生的次数。当点击影响设备趋势按键时，鼠标移到折线图上会显示筛选后的展示数据在鼠标选中日期的威胁影响设备总数及各类威胁影响的设备数。当点击活跃设备趋势按键时，鼠标移到折线图上会显示筛选后的展示数据在鼠标选中日期的活跃设备数。当点击影响设备率趋势按键时，鼠标移到折线图上会显示筛选后的展示数据在鼠标选中日期的影响设备率。威胁分类统计威胁发生次数：以饼图形式展示各类型威胁发生的次数和占比。威胁影响设备数：以条形图式展示各类型威胁影响的设备数。威胁分布威胁发生次数：从设备分

10、布、地域分布、系统版本分布、应用版本分布四个维度显示威胁发生次数及占比。威胁影响设备数：从设备分布、地域分布、系统版本分布、应用版本分布四个维度显示威胁影响设备数及占比。3622威胁详情威胁详情用于列出威胁的详细情况。单击安全分析应用威胁分析威胁详情进入威胁详情页面，如下图所示：图3-9威胁详情页面顶部可以按时间（今天、昨天、最近7天、最近14天、最近1个月、最近3个月、最近6个月、最近1年、全部、自定义时间）、设备类型、关注设备、省级地域、市级地域、系统版本、应用版本、威胁类型筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击重置按钮一键撤销。除默认展示字段信息外，可通过

11、列表显示选择下拉列表对展示字段进行调整，修改展示信息，并且可以点击通过右上角的数据导出导出选择的列表展示内容，并在报表功能数据导出导出列表中点击下载，报表就会被下载到本地。搜索框支持分析结果、IP、WlFL用户信息关键字模糊检索，默认选择全部搜索字段，可支持单独对分析结果或IP或WIFI进行指定检索。3.6.3.环境风险分析?6?1环境统计环境统计用于全局上对设备的运行环境进行统计分析，以图形化的方式向用户展现整体的环境情况。单击安全分析环境风险分析环境统计进入环境统计页面，如下图所示：图3-10环境统计页面顶部可以按应用分组、应用名称、时间（今天、昨天、最近7天、最近14天、最近1个月、最近

12、3个月、最近6个月、最近1年、全部、自定义时间）、设备类型、关注设备、地域、系统版本、威胁类型筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击重置按钮一键撤销。 异常设备数：监测到有环境安全问题的活跃设备数。 活跃设备数：显示监测到的活跃设备数量（活跃设备指启动过应用的设备数量）。 异常设备率：异常设备数与活跃设备数的比值。 （点击以上任意一个会转到地域排行、设备类型排行、系统版本排行、应用版本排行详情。）异常环境趋势以拆线图的形式展示所选数据类型（异常设备趋势、活跃设备趋势、异常设备率趋势）的统计数据。横坐标为时间，纵坐标为所选数据类型。异常环境分类统计 异常设备数：以

13、柱状图形式展示各类型异常环境的设备数。异常环境分布 异常设备数：从设备分布、地域分布、系统版本分布、应用版本分布四个维度显示异常设备数及占比。3.6.32环境详情环境详情用于列出环境的详细情况。单击安全分析环境风险分析环境详情进入环境详情页面，如下图所示：安全分析淅出UOOmis。？加 13)616 1627,g 7 QVrtR2021-044)6160647WtRm 18。22021-044)6160065e socwM1-044)615545172160214U4)15W31VrtR17218022021M)615806t3 m OWjMIVrtR172 1&02Nolg) 14 筑 MC

14、SSJ m Qwin172 1802Wjee1721&022(0IaO 103 toca g Qvimm 1802XV.*B9C图3-11环境详情页面顶部可以按应用分组、应用名称、时间（今天、昨天、最近7天、最近14天、最近1个月、最近3个月、最近6个月、最近1年、全部、自定义时间）、设备类型、关注设备、地域、系统版本、威胁类型筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击重置按钮一键撤销。除默认展示字段信息外，可通过列表显示选择下拉列表对展示字段进行调整，修改展示信息，并且可以点击通过右上角的数据导出导出选择的列表展示内容，并在报表功能数据导出导出列表中点击下载，报表

15、就会被下载到本地。搜索框支持分析结果、IP、WIFL用户信息关键字模糊检索，默认选择全部搜索字段，可支持单独对分析结果或IP或WIFI进行指定检索。3.6.4,安全事件分析3641事件统计事件统计用于全局上对安全事件进行统计分析，以图形化的方式向用户展现安全事件整体情况。单击”安全分析安全事件分析事件统计进入事件统计页面，如下图所示：图372事件统计页面顶部可以按应用分组、应用名称、时间（今天、昨天、最近7天、最近14天、最近1个月、最近3个月、最近6个月、最近1年、全部、自定义时间）、设备类型、关注设备、地域、系统版本、威胁类型筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，

16、可点击重置按钮一键撤销。安全事件数：筛选范围内发生的安全事件总数。事件设备数：筛选范围内安全事件涉及的设备数。（点击以上任意一个会转到地域排行、设备类型排行、系统版本排行、应用版本排行详情。）安全事件总体趋势折线图形式显示安全事件数及事件设备数的发展趋势，鼠标移至图中可显示鼠标所在时间范围内的安全事件数或事件设备数。安全事件地域分布条形图形式显示安全事件发生次数最多的前5个城市及在其它城市发生的安全事件数量。安全事件攻击源分布饼图形式显示攻击源最多的前5个城市及在其它城市的攻击源数量。&6.4.Z事件详情事件详情用于列出安全事件的详细情况。单击安全分析安全事件分析事件详情进入事件详情页面，如下

17、图所示：图3T3事件详情页面顶部可以按应用分组、应用名称、时间（今天、昨天、最近7天、最近14天、最近1个月、最近3个月、最近6个月、最近1年、全部、自定义时间）、设备类型、关注设备、地域、系统版本、威胁类型筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击重置按钮一键撤销。除默认展示字段信息外，可通过列表显示选择下拉列表对展示字段进行调整，修改展示信息，并且可以点击通过右上角的数据导出导出选择的列表展示内容，并在报表功能数据导出导出列表中点击下载，报表就会被下载到本地。搜索框支持分析结果、IP、WIFL用户信息关键字模糊检索，默认选择全部搜索字段，可支持单独对分析结果或I

18、P或WIFI进行指定检索。3.6.5. 风险设备分析风险设备分析统计并展示风险设备列表。支持从应用版本、设备类型、威胁指数、UDID.时间等维度对风险设备进行查询，支持查看单个设备详情，支持按照设备威胁指数、应用威胁指数进行排序。图3-14风险设备分析3.6.6. 封禁实施分析封禁实施分析统计并展示已实施封禁记录。从应用版本、封禁类型、策略名称、封禁策略、时间等维度对已实施封禁进行查询，支持通过UDID、IMEl查询单个设备的全部封禁情况，支持查看触发封禁的封禁策略的详细配置。图3-15封禁实施分析通过左下角的数据导出导出选择的列表展示内容，并在报表功能数据导出导出列表中点击“下载，报表就会被

19、下载到本地。3.7.运行分析运行分析模块用于统计、分析、展示终端运行相关信息，主要包含三个层面的信息：运行（启动）信息、设备信息、终端安装应用信息。其中运行信息展现终端启动应用的情况统计；设备信息用于统计所有已运行应用的设备信息，这些信息为探针从终端直接采集所得；终端应用信息用于统计终端上安装的其他应用的情况。3.7.1. 运行分析3711运行统计运行统计用于全局上对启动情况进行统计分析，以图形化的方式向用户展现设备上启动应用的情况。单击运行分析运行分析运行统计进入运行统计页面，如下图所示：封禁实施分析KcnQ.QKS0.刖98图376运行统计CajecMMt:MXaeralK4运行分析运行详

20、情进入运行详情页面，如下图所示：图377运行详情页面顶部可以按应用分组、应用名称、时间（今天、昨天、最近7天、最近14天、最近1个月、最近3个月、最近6个月、最近1年、全部、自定义时间）、设备类型、关注设备、地域、系统版本、威胁类型筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击重置按钮一键撤销。除默认展示字段信息外，可通过列表显示选择下拉列表对展示字段进行调整，修改展示信息，并且可以点击通过右上角的数据导出导出选择的列表展示内容，并在报表功能数据导出导出列表中点击下载，报表就会被下载到本地。3.7.2. 终端设备信息3.7.21. 设备统计设备统计用于全局上对设备数情况

21、进行统计分析，以图形化的方式向用户展现设备数量情况。单击”运行分析终端设备信息设备统计进入设备统计页面，如下图所示：图378设备统计页面顶部可以按应用分组、应用名称、时间（今天、昨天、最近7天、最近14天、最近1个月、最近3个月、最近6个月、最近1年、全部、自定义时间）、设备类型、关注设备、地域、系统版本、威胁类型筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击重置按钮一键撤销。 设备总数：显示安装应用的设备总数。 活跃设备数：显示监测到的活跃设备数量。 设备活跃率：活跃设备数/设备总数的比值。设备数趋势折线图形式显示指定筛选范围内的设备总数（当前安装应用的设备数）和新增

22、设备数（首次安装应用的设备数）变化趋势。鼠标移到折线图上，可以显示该时间段内的设备总数和新增设备数。设备分布 设备总数：从设备分布、地域分布、系统版本分布、应用版本分布四个维度显示设备总数及占比。 新增设备数：从设备分布、地域分布、系统版本分布、应用版本分布四个维度显示新增设备数及占比。3722设备列表单击运行分析终端设备信息设备列表进入设备列表页面，如下图所示：移动J卡金分析MvMiIVA69MCftJI帙及配Ql*tmWMMeMM图3-19设备列表页面顶部可以按应用分组、应用名称、时间（今天、昨天、最近7天、最近14天、最近1个月、最近3个月、最近6个月、最近1年、全部、自定义时间）、设备

23、类型、关注设备、地域、系统版本、威胁类型筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击重置按钮一键撤销。除默认展示字段信息外，可通过列表显示选择下拉列表对展示字段进行调整，修改展示信息，并且可以点击通过右上角的数据导出导出选择的列表展示内容，并在报表功能数据导出导出列表中点击下载，报表就会被下载到本地。3.73.终端应用信息?7?1应用统计应用统计用于全局上对设备上安装应用情况进行统计分析，以图形化的方式向用户展现设备上应用安装情况。单击运行分析终端应用信息应用统计进入应用统计页面，如下图所示:图3-20应用统计页面顶部可以按应用分组、应用名称、排序、时间筛选展示数据，

24、选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击重置按钮一键撤销。3.8.策略配置说明3.8.1,安全事件配置安全事件的定义可以为用户筛选出来高危、持续攻击事件，多用于攻击发生次数多的情况。定义并管理安全事件。单击策略配置安全事件配置菜单，进入安全事件定义页面，如下图所示:图3-21安全事件目录安全事件定义列表字段说明如下：选项说明事件名称显示定义的事件名称。威胁程度根据具体情况展示的安全性等级分类适用应用想要配置事件的目标应用创建时间显示安全事件创建时间。停用/启用配置停用/启用安全事件匹配策略。新建的安全事件默认为停用状态。操作对安全事件进行查看、删除。事件描述输入事件描述监控周期

25、同一次启动：同一次启动过程作为一个监测周期，在同一次启动中满足指定规则及维度时生成一个安全事件。每天固定时间段：指定每天的固定时间段作为一个监测周期，在此时间段内满足指定规则及维度时生成一个安全事件。时间周期：配置未来某时间段作为一个监测周期，在此时间段内满足指定规则及维度时生成一个安全事件。表3-1安全事件定义列表字段说明单击新增事件按钮，弹出事件定义窗口，再点击添加规则添加事件的规则（可添加多个事件规则），配置完一个规则后点击保存，配置完整个事件后如下图所示：RHWMfr2Q22-11-M移动应用安全监海平铉年一Q ll*Jt- MBKfiER sea9 aa SMMB SOKZw1图3-

26、23新建安全事件2图3-25新建安全事件4各字段说明如下：字段名称详细含义事件名称录入事件名称，长度0-20字符。事件描述输入事彳S述监控周期同一次启动：同一次启动过程作为一个监测周期，在同一次启动中满足指定规则及维度时生成一个安全事件。每天固定时间段：指定每天的固定时间段作为一个监测周期，在此时间段内满足指定规则及维度时生成一个安全事件。时间周期：配置未来某时间段作为一个监测周期，在此时间段内满足指定规则及维度时生成一个安全事件。使用方式满足任一勾选条件：满足任意一个条件会被记录为一个安全事件满足全部勾选条件：必须满足全部条件才会被记录为一个安全事件安全事件生效时间以日为单位，在规定日期内触

27、发的规则事件会被记录下来适用应用有些客户会部署多个应用，我们可以选取目标应用加以关注。封禁策略静默监控：用户触发了此类事件后仅会被记录于平台中，不会对用户采取措施封禁：用户触发后不仅被记录于平台中，用户会被封禁。历史重算指定历史日期以后产生的满足规则的数据会展示到安全事件配置中威胁程度分类定义安全事件的威胁程度，有相应的高/中/低危进行定义。表3-2新增事件字段说明维度字段名称简介备注威胁维度威胁次数威胁次数里指定某些威胁种类发生指定次可以一次安全事件例如：模拟器威胁触发了两次，会记录一个安全事件威胁种类我们统计的共n个威胁种类多于发生设定值以上会触发一次安全事件例如：模拟器、注入攻击、位置欺

28、诈发生后，会记录一次安全事件包含威胁选取固定的种类发生一个或多个会触发一次安全事件例如：模拟器、注入攻击，包含一种发生1次，会记录安全事件。风险维度风险次数风险环境次数里指定风险环境种类发生多少次可以一次安全事件例如：Root/越狱触发了两次，会记录一个安全事件风险种类我们统计的共6个风险环境种类多于发生设定值以上会触发一次安全事件例如：风险进程、框架软件、敏感配置发生后，会记录一次安全事件包含风险选取固定的种类发生一个或多个会触发一次安全事件例如：风险进程、框架软件，包含其中一个，会记录一次安全事件WiFiiftSWIFI-SSId包含字符探针收集的WIFI-SSId字段包含设定值会记录一次

29、安全事件WIFI-MAC探针收集的WIFi-SSID字段是设定值会记录一次安全事件P械属于IP组探针收集的外网IP信息为设定值会记录一次安全事件账号维度登陆账号属于账号组探针收集的账号信息，检测到的账号言息为设定值时会记录一次安全事件应用维度应用个数定义应用个数区间，在定义区间内会触发一次安全事件应用列表中探针会探测每一台手机的应用安装列表，如果包含的关键字包含定义字段会触发一次安全事件应用列表中探针会探测每一台手机的应用安装列表，如果不包含关键字不包含定义字段会触发一次安全事件应用列表中探针会探测每一台手机的应用的签名，如果签应用签名包含关键字名包含定义字段会触发一次安全事件包含以上关在上述

30、关键字中，可以最多添加200个关键例如：某些手机使用键字时成立字，形成个关键字组。组内成立规定数目的关VirtuaIXposed”与键字数目以上会触发一次安全事件Xposed两个应用才能满足攻击条件，所以我们设此监测点具有重要意义。表3-3添加规则字段说明3.8.2.监测策略配置38.2.1域名欺诈配置域名欺诈的检测条件，单击策略配置监测策略配置域名欺诈菜单，点击”新增进入域名欺诈配置页面，如下图所示：8安全WMSRRsm*RKfiffl WMMm tfmey e nsftx S白名Mgig曲。赛全修*wwwsogou comWWWSOU90UCOm41 14 44 11H用用Sft62021

31、W2 14:35540包杰彭202103-10190413向62021-0M21101:16彭202IglO 19 04 400图3-26域名欺诈用户可以设置正确的域名和IP映射关系,当客户端检测到域名解析的IP不是用户设置的正确IP地址时，会判定为域名欺诈。在列表中展示的域名均已生效，点击删除按钮，可以删除该条域名内容。3822程序外挂平台内置了市场上面常见的各类外挂，同时针对部分行业的特殊性，外挂更新频率可能较为频繁。平台设计了外挂自定义的入口，通过自定义外挂的包名、特征，可以新增外挂识别条目。3.8.2.2.1.外挂应用定义通过应用包名、签名MD5识别外挂应用。外挂应用定义主要适用于An

32、droid5.1以下操作系统。新增外挂应用步骤：1 .单击策略配置监测策略配置程序外挂外挂应用定义菜单，点击新增进入新建外挂应用页面。安全nsS囱Ig匕9tewsHAlCT应附由W异M为WMmB SfiSW吩 海tSfr二一：外挂应用定义然WiBW阳Ig名口书MDS述阳应用我/别IWGJB1JHdemOCOn监测策略配置注入攻击菜单进行注入攻击自定义，根据威胁不同种类选择函数HOok或者so注入检测配置，再点击新增，在弹出框输入详细信息。如下图所示：函数Hook检测配置图3-32函数HOOK检测配置列表图3-33新增函数Hook特征aHonsHHt向刖ft三三fyj刖淅防方面劫持MSCk)Z为

33、亮MSB白幺华Aa图3-34So注入检测配置策略列表图3-36SC）注入开启/停用、删除3824应用破解单击“策略配置监测策略配置应用破解菜单，进入应用破解自定义页面，如下图所示：图3-37应用破解配置列表通过应用破解自定义页面，用户可以上传自己的对外发布的合法应用，用于平台作为基准包的检测（每个版本都需要上传）。如果用户不上传，则平台通过大数据技术自动学习提取安装包的特征。3825高频异常行为平台会默认检测：账号、IP、地域、设备等频繁变化的设备，超过配置阈值后会生成对应的高频威胁。eer诲脚，防界面的 G义B白名的改策略配置页面如下：EElViKaUUa应用行为此3t操作161，阳2向2硼

34、OEiftfe?61,阳2003i6M阳2004IfSSStJBM61，W200共4条QQK）条向BMMI图3-38高频异常行为策略目录如果我们想根据实际情况更改这个配置阈值，直接点击单个威胁类型操作中的编辑按钮进行重新配置。针对多应用用户，当不同应用对单个监测点的定义（阈值）不同时，点击“新增按钮，在适用应用选择对应的应用名称，针对单个应用建立不同的策略。*适用应全部应触21默认应用组可谢说I恩杰彭恩杰3.彭恩杰04测题用恩杰1.彭2.彭涛透报适用应用取消一定图3-39新增高频异常行为5S2fi风险应用应用安全监测平台内置了标准的风险应用检测样本库，用户自己可以定义其它关心的风险应用，如发现

35、一些新的钓鱼应用，可以将钓鱼应用配置为风险应用。单击策略配置监测策略配置风险应用菜单，进入风险应用页面，如下图所示:图3-40风险应用策略目录可依据应用名称、包名、Dylib库关键字等风险特征定义风险应用。单击“新增按钮,新增一个风险应用，如下图所示：新建风陵.风险名称.系统类SIIO AndroklQS全部应用组默认应用组可选应用testtest2test003est(Mtest005test006test007test008tesl9Iestoiolesiontestl2testl3test!4testO15test016提示：风险特征可以为应用名称，包名或Dylib盛关曜字.取消图3-4

36、1新增风险应用3.8.27.防界面劫持点击策略配置监测策略配置防界面劫持会看到针对于应用层面防止界面劫持的具体事项，点击关闭/开启可使选项是否生效，点击操作可以修改配置，在弹窗中会选择提示时长、提示位置、适用应用、提示语。And平台防加BS 第黄励开口砺的GGSl用的用W (W35Sffl;WSJWfth对禁期gB白福诩R图3-42防界面劫持策略3.8.3. 威胁指数配置支持针对不同的应用配置不同的威胁指数配分，可自定义为每个应用创建威胁指数策略。所有应用默认使用系统预置策略，可以点击新增策略，为单个或多个应用配置威胁指数策略，但每个应用只可以有一个威胁指数策略，以最后配置的策略为准。图3-43威胁指数策略列表每个策略支持对每一种威胁、环境定义了分值,有基础分，叠加分,封顶分,叠加分就是，每种威胁或环境，每发生一次加多少分,用户可以自定义设置分数，根据每台设备的当次启动上报消息情况,结合历史统计对设备进行打分。通过点击各种消息类型对应的风险等级对配置进行修改。图3-41威胁指数配置分析设备整体的风险状态，在风险设备分析、设备详情页面可以查看单个设备的设备