智能移動(dòng)終端惡意軟件的檢測方法與裝置制造方法
【專利摘要】本發(fā)明公開了一種智能移動(dòng)終端惡意軟件的檢測方法與裝置,將用戶操作與軟件行為進(jìn)行對比��,根據(jù)行為特征識別出惡意軟件��。面對不斷涌現(xiàn)的新病毒或病毒變種�����,與傳統(tǒng)檢測方法相比�����,本方法與裝置不依賴于惡意代碼區(qū)段特征庫和惡意函數(shù)調(diào)用序列特征庫����,也不局限于已知的惡意軟件,所以具有較好的通用性和較高的檢出率���,可以很好地識別惡意吸費(fèi)�����、隱私竊取���、遠(yuǎn)程控制等惡意行為,為智能移動(dòng)終端的安全使用提供了可靠保證�。
【專利說明】智能移動(dòng)終端惡意軟件的檢測方法與裝置
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及智能移動(dòng)終端【技術(shù)領(lǐng)域】,特別是涉及一種智能移動(dòng)終端惡意軟件的檢 測方法與裝置���。
【背景技術(shù)】
[0002] 近年來����,伴隨著移動(dòng)互聯(lián)網(wǎng)的飛速發(fā)展��,智能移動(dòng)終端軟件已滲透到人們生產(chǎn)生 活的各個(gè)關(guān)鍵領(lǐng)域,如移動(dòng)辦公���、電子支付���、車載導(dǎo)航等,智能移動(dòng)終端軟件的數(shù)量已遠(yuǎn)遠(yuǎn) 超出傳統(tǒng)PC上應(yīng)用軟件的數(shù)量����。在眾多智能移動(dòng)終端軟件中,以Google為首的Android 陣營通過采用開放性策略�����,使該平臺(tái)上的應(yīng)用軟件數(shù)量呈現(xiàn)出爆發(fā)式的增長�,與i〇S、WP上 的應(yīng)用軟件相比較����,目前Android應(yīng)用軟件的數(shù)量和用戶數(shù)量已占據(jù)了絕對優(yōu)勢。
[0003] 在Android平臺(tái)上應(yīng)用軟件不斷普及的同時(shí)��,在多種因素的驅(qū)動(dòng)下���,該平臺(tái)上的 惡意軟件也極速增多����。根據(jù)美國網(wǎng)絡(luò)安全公司趨勢科技最新發(fā)布的統(tǒng)計(jì)數(shù)據(jù)顯示,2013年 Android引了惡意軟件的80%�,這其中很大一部分原因是因?yàn)樗且豢铋_源系統(tǒng),惡意軟 件很容易藏匿其中���。與之相比較,蘋果的iOS有0.7%的惡意軟件����,而WP僅有0.3%。因此�����, Android平臺(tái)已成為惡意軟件的重災(zāi)區(qū)����,垃圾短信、惡意扣費(fèi)���、隱私竊取�、系統(tǒng)破壞等現(xiàn)象層 出不窮。這些現(xiàn)象不僅影響了人們正常的日常生活�����,同時(shí)也給人們的財(cái)產(chǎn)安全��、國家安全帶 來了嚴(yán)重威脅�����。Android應(yīng)用軟件的安全問題已引起了普遍關(guān)注���,相應(yīng)的惡意軟件檢測技術(shù) 也較多���,以下分別對主流的檢測技術(shù)進(jìn)行介紹。
[0004] 1.現(xiàn)有惡意軟件靜態(tài)檢測技術(shù)
[0005] 1. 1現(xiàn)有惡意軟件靜態(tài)檢測技術(shù)原理
[0006] 現(xiàn)有的惡意軟件靜態(tài)檢測技術(shù)一般采用逆向工程的技術(shù)手段���,主要原理是檢測程 序中是否存在已知惡意代碼段的二進(jìn)制序列�、操作碼序列和函數(shù)調(diào)用序列等特征序列����,如 果出現(xiàn)了這樣的序列,那么該軟件就極有可能被判斷為惡意軟件���,反之該軟件則會(huì)被判定 為正常軟件��。
[0007] 1. 2現(xiàn)有惡意軟件靜態(tài)檢測技術(shù)的缺點(diǎn)
[0008] 現(xiàn)有的惡意軟件靜態(tài)檢測技術(shù)的檢測能力很大程度上依賴惡意軟件的特征庫����,并 且只能針對已出現(xiàn)的病毒、木馬進(jìn)行查殺����,不能檢測未知惡意移動(dòng)應(yīng)用。此外��,對于已加固 后的惡意移動(dòng)應(yīng)用����,由于其已經(jīng)過了加密和混淆處理�����,惡意軟件靜態(tài)檢測技術(shù)較難適用��。
[0009] 2.現(xiàn)有惡意軟件動(dòng)態(tài)檢測技術(shù) [0010] 2. 1現(xiàn)有惡意軟件動(dòng)態(tài)檢測技術(shù)原理
[0011] 現(xiàn)有惡意軟件動(dòng)態(tài)檢測技術(shù)主要通過分析程序運(yùn)行過程中調(diào)用的軟件行為特征 來檢測惡意軟件���,也有研究人員根據(jù)分析程序運(yùn)行時(shí)調(diào)用的系統(tǒng)核心函數(shù)的序列特征來檢 測惡意軟件����。
[0012] 2. 2現(xiàn)有惡意軟件動(dòng)態(tài)檢測技術(shù)的缺點(diǎn)
[0013] 現(xiàn)有通過分析API函數(shù)和系統(tǒng)核心函數(shù)調(diào)用的檢測方法的抽象程度不高,惡意 API調(diào)用序列特征過于細(xì)節(jié)化���,因此���,對于惡意行為模式相同,但軟件實(shí)現(xiàn)不同的惡意移動(dòng) 應(yīng)用檢出率不高���。此外�����,動(dòng)態(tài)檢測技術(shù)由于需要?jiǎng)?chuàng)建單獨(dú)的函數(shù)調(diào)用監(jiān)測進(jìn)程�,其系統(tǒng)資源 占用率較高����,從而影響會(huì)正常軟件的運(yùn)行。
【發(fā)明內(nèi)容】
[0014] 基于上述情況�����,本發(fā)明提出了一種智能移動(dòng)終端惡意軟件的檢測方法與裝置��,以 提高惡意軟件的檢出率。為此�����,采用的方案如下����。
[0015] 一種智能移動(dòng)終端惡意軟件的檢測方法,包括如下步驟:
[0016] 確定屏幕上當(dāng)前顯示的頁面�����,并記錄用戶在當(dāng)前頁面上的各項(xiàng)操作�����;
[0017] 對當(dāng)前頁面對應(yīng)的應(yīng)用程序進(jìn)行行為監(jiān)控��;
[0018] 判斷同一時(shí)間下應(yīng)用程序的行為與用戶在該應(yīng)用程序頁面上的操作是否對應(yīng)����,若 不對應(yīng)則將該應(yīng)用程序判定為可疑的惡意軟件�����。
[0019] 智能移動(dòng)終端惡意軟件的檢測裝置,包括如下模塊:
[0020] 用戶操作行為監(jiān)測模塊����,用于確定屏幕上當(dāng)前顯示的頁面,并記錄用戶在當(dāng)前頁 面上的各項(xiàng)操作��;
[0021] 軟件行為監(jiān)測模塊�,用于對當(dāng)前頁面對應(yīng)的應(yīng)用程序進(jìn)行行為監(jiān)控;
[0022] 惡意行為特征識別模塊���,用于判斷同一時(shí)間下應(yīng)用程序的行為與用戶在該應(yīng)用程 序頁面上的操作是否對應(yīng)���,若不對應(yīng)則將該應(yīng)用程序判定為可疑的惡意軟件。
[0023] 本發(fā)明的智能移動(dòng)終端惡意軟件的檢測方法與裝置���,將用戶操作與軟件行為進(jìn)行 對比�,根據(jù)行為特征識別出惡意軟件����。面對不斷涌現(xiàn)的新病毒或病毒變種,與傳統(tǒng)檢測方法 相比��,本方法與裝置不依賴于惡意代碼區(qū)段特征庫和惡意函數(shù)調(diào)用序列特征庫�,也不局限 于已知的惡意軟件���,所以具有較好的通用性和較高的檢出率,可以很好地識別惡意吸費(fèi)����、隱 私竊取、遠(yuǎn)程控制等惡意行為�,為智能移動(dòng)終端的安全使用提供了可靠保證。
【專利附圖】
【附圖說明】
[0024] 圖1為本發(fā)明智能移動(dòng)終端惡意軟件的檢測方法的流程示意圖�;
[0025] 圖2為Android Binder機(jī)制不意圖;
[0026] 圖3為本發(fā)明智能移動(dòng)終端惡意軟件的檢測方法中軟件行為監(jiān)控的實(shí)現(xiàn)原理示 意圖����;
[0027] 圖4為本發(fā)明智能移動(dòng)終端惡意軟件的檢測方法中基于行為對比的惡意軟件識 別方法示意圖;
[0028] 圖5為本發(fā)明智能移動(dòng)終端惡意軟件的檢測裝置的結(jié)構(gòu)示意圖�����。
【具體實(shí)施方式】
[0029] 為了使本發(fā)明的目的�����、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白��,以下結(jié)合附圖及實(shí)施例�,對 本發(fā)明進(jìn)行進(jìn)一步的詳細(xì)說明。應(yīng)當(dāng)理解�,此處所描述的【具體實(shí)施方式】僅僅用以解釋本發(fā) 明,并不限定本發(fā)明的保護(hù)范圍��。
[0030] 本發(fā)明的智能移動(dòng)終端惡意軟件的檢測方法�����,如圖1所示���,包括以下步驟:
[0031] 步驟S101����、確定屏幕上當(dāng)前顯示的頁面���,并記錄用戶在當(dāng)前頁面上的各項(xiàng)操作�����。
[0032] 對于智能移動(dòng)終端軟件��,用戶的操作行為主要集中在智能移動(dòng)終端屏幕上��。本方 法采用基于屏幕操作和狀態(tài)的智能移動(dòng)終端軟件用戶行為監(jiān)測方法實(shí)現(xiàn)對用戶行為的監(jiān) 測��。
[0033] 在Android機(jī)制中����,AndroidOnTouchListener接口用于處理手機(jī)屏幕操作事件, 當(dāng)用戶在手機(jī)屏幕范圍內(nèi)進(jìn)行觸摸�����、按下�、抬起或滑動(dòng)等動(dòng)作時(shí),該接口事件均會(huì)被觸發(fā)�, 因此本方法優(yōu)選地采用該接口記錄用戶當(dāng)前在屏幕上的各項(xiàng)操作。
[0034] Activity 代表 Android 界面的狀態(tài)����,Android 中 ActivityActivityManager 管理著 Android系統(tǒng)中所有Activity的狀態(tài)。本方法優(yōu)選地通過建立ActivityActivityManager 對象�,并使用getRunningTasksO. get〇. topActivity接口可獲取屏幕當(dāng)前的狀態(tài),即確 定智能移動(dòng)終端當(dāng)前正在運(yùn)行什么軟件����,正在顯示哪個(gè)頁面。
[0035] 通過將以上屏幕操作信息與界面狀態(tài)信息結(jié)合起來��,形成用戶操作行為映射����,其 具體形式如表1所示。
[0036] 表1用戶操作行為映射表
[0037]
【權(quán)利要求】
1. 一種智能移動(dòng)終端惡意軟件的檢測方法����,其特征在于,包括如下步驟: 確定屏幕上當(dāng)前顯示的頁面�����,并記錄用戶在當(dāng)前頁面上的各項(xiàng)操作�; 對當(dāng)前頁面對應(yīng)的應(yīng)用程序進(jìn)行行為監(jiān)控; 判斷同一時(shí)間下應(yīng)用程序的行為與用戶在該應(yīng)用程序頁面上的操作是否對應(yīng)���,若不對 應(yīng)則將該應(yīng)用程序判定為可疑的惡意軟件����。
2. 根據(jù)權(quán)利要求1所述的智能移動(dòng)終端惡意軟件的檢測方法��,其特征在于���, 當(dāng)應(yīng)用于八11(11'〇丨(1操作系統(tǒng)的智能移動(dòng)終端時(shí)�����,建立4〇1:;^;^5^〇1:;^;^5^31^861'對象�, 并使用getRunningTasksO. get〇. topActivity接口確定屏幕上當(dāng)前顯示的頁面。
3. 根據(jù)權(quán)利要求2所述的智能移動(dòng)終端惡意軟件的檢測方法�����,其特征在于�, 當(dāng)應(yīng)用于Android操作系統(tǒng)的智能移動(dòng)終端時(shí),采用AndroidOnTouchListener接口記 錄用戶在當(dāng)前頁面上的各項(xiàng)操作���。
4. 根據(jù)權(quán)利要求1或2或3所述的智能移動(dòng)終端惡意軟件的檢測方法�����,其特征在于�����, 當(dāng)應(yīng)用于Android操作系統(tǒng)的智能移動(dòng)終端時(shí)����,在Android的Service中加入Hook函 數(shù)�����,根據(jù)所加入的Hook函數(shù)的被調(diào)用情況,完成對應(yīng)用程序的行為監(jiān)控���。
5. 根據(jù)權(quán)利要求4所述的智能移動(dòng)終端惡意軟件的檢測方法,其特征在于����, 對應(yīng)用程序監(jiān)控的行為包括:讀取頂EI或頂SI、發(fā)送短信��、撥打電話�����、讀取或者寫入系 統(tǒng)數(shù)據(jù)庫����、讀取GPS信息、連接攝像頭服務(wù)和連接錄音服務(wù)��。
6. 智能移動(dòng)終端惡意軟件的檢測裝置���,其特征在于�,包括如下模塊: 用戶操作行為監(jiān)測模塊,用于確定屏幕上當(dāng)前顯示的頁面���,并記錄用戶在當(dāng)前頁面上 的各項(xiàng)操作�; 軟件行為監(jiān)測模塊��,用于對當(dāng)前頁面對應(yīng)的應(yīng)用程序進(jìn)行行為監(jiān)控��; 惡意行為特征識別模塊����,用于判斷同一時(shí)間下應(yīng)用程序的行為與用戶在該應(yīng)用程序頁 面上的操作是否對應(yīng),若不對應(yīng)則將該應(yīng)用程序判定為可疑的惡意軟件�����。
7. 根據(jù)權(quán)利要求6所述的智能移動(dòng)終端惡意軟件的檢測裝置�,其特征在于, 當(dāng)應(yīng)用于Android操作系統(tǒng)的智能移動(dòng)終端時(shí)���,所述用戶操作行為監(jiān)測模塊用于通過 建立 ActivityActivityManager 對象�����,并使用 getRunningTasks () · get () · topActivity 接 口確定屏幕上當(dāng)前顯示的頁面��。
8. 根據(jù)權(quán)利要求7所述的智能移動(dòng)終端惡意軟件的檢測裝置��,其特征在于���, 當(dāng)應(yīng)用于Android操作系統(tǒng)的智能移動(dòng)終端時(shí)��,所述用戶操作行為監(jiān)測模塊還用于采 用AndroidOnTouchListener接口記錄用戶在當(dāng)前頁面上的各項(xiàng)操作�。
9. 根據(jù)權(quán)利要求6或7或8所述的智能移動(dòng)終端惡意軟件的檢測裝置����,其特征在于��, 當(dāng)應(yīng)用于Android操作系統(tǒng)的智能移動(dòng)終端時(shí)����,所述軟件行為監(jiān)測模塊用于在 Android的Service中加入Hook函數(shù),根據(jù)所加入的Hook函數(shù)的被調(diào)用情況���,完成對應(yīng)用 程序的行為監(jiān)控���。
10. 根據(jù)權(quán)利要求9所述的智能移動(dòng)終端惡意軟件的檢測裝置,其特征在于���, 所述軟件行為監(jiān)測模塊對應(yīng)用程序監(jiān)控的行為包括:讀取頂EI或頂SI�、發(fā)送短信、撥 打電話����、讀取或者寫入系統(tǒng)數(shù)據(jù)庫、讀取GPS信息�����、連接攝像頭服務(wù)和連接錄音服務(wù)�。
【文檔編號】G06F21/56GK104217164SQ201410462352
【公開日】2014年12月17日 申請日期:2014年9月11日 優(yōu)先權(quán)日:2014年9月11日
【發(fā)明者】林軍, 楊春暉, 劉奕宏, 馮曉榮 申請人:工業(yè)和信息化部電子第五研究所