基于導(dǎo)向性符號(hào)的移動(dòng)終端惡意行為的檢測方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種惡意行為搜索方法及系統(tǒng)�,特別是涉及一種基于導(dǎo)向性符號(hào)的移 動(dòng)終端惡意行為的檢測方法及系統(tǒng)。
【背景技術(shù)】
[0002] 隨著移動(dòng)終端的不斷發(fā)展與普及�����,其已經(jīng)成為人們?nèi)粘I畈豢苫蛉钡牟糠?���。?們通過移動(dòng)終端進(jìn)行網(wǎng)絡(luò)連接的操作越來越頻繁。與此同時(shí)��,一些惡意分子開發(fā)自動(dòng)訪問 程序來自動(dòng)地在移動(dòng)終端上進(jìn)行惡意扣費(fèi)�、隱私竊取、遠(yuǎn)程控制、惡意傳播���、資費(fèi)消耗��、系統(tǒng) 破壞、誘騙欺詐���、流氓行為等自動(dòng)化惡意行為��。因此��,針對(duì)惡意行為的檢測越來越迫在眉睫�����。
[0003] 現(xiàn)有技術(shù)中��,如申請?zhí)枮?01310394868.X����、發(fā)明名稱為《一種檢測惡意行為的方法 及裝置》的中國發(fā)明專利公開一種檢測惡意行為的方法��,所述方法包括:接收終端待執(zhí)行的 操作的操作請求消息���,所述操作請求消息中攜帶用戶的用戶標(biāo)識(shí)和所述待執(zhí)行的操作的操 作標(biāo)識(shí)����;根據(jù)所述用戶標(biāo)識(shí),從已存儲(chǔ)的用戶標(biāo)識(shí)與操作路徑的對(duì)應(yīng)關(guān)系中獲取對(duì)應(yīng)的操 作路徑�����,所述操作路徑是由所述終端在離當(dāng)前時(shí)間最近的預(yù)設(shè)時(shí)間段之內(nèi)已執(zhí)行的操作的 操作標(biāo)識(shí)構(gòu)成的��;在所述操作路徑包括的最后一個(gè)操作標(biāo)識(shí)之后串聯(lián)所述待執(zhí)行的操作的 操作標(biāo)識(shí)���,構(gòu)成所述待執(zhí)行的操作當(dāng)前所在的操作路徑���;根據(jù)已存儲(chǔ)的惡意操作路徑集合 和所述待執(zhí)行的操作當(dāng)前所在的操作路徑,判斷所述待執(zhí)行的操作是否為惡意行為��。
[0004] 然而���,現(xiàn)有的惡意行為檢測方法操作較為復(fù)雜���,導(dǎo)致檢測時(shí)間過長,且檢測結(jié)果的 準(zhǔn)確度不高��。
[0005] 符號(hào)執(zhí)行(SymbolicExecution)是一種程序分析技術(shù),其通過將程序?qū)嶋H輸入替 換為符號(hào)輸入��,將程序運(yùn)行狀態(tài)表示為符號(hào)輸入的約束條件����,并利用該約束條件遍歷軟件 所有執(zhí)行路徑。由于符號(hào)執(zhí)行技術(shù)具有最大遍歷軟件行為的能力��、以及代碼覆蓋面大等特 點(diǎn)����,因此能夠用于檢測軟件惡意行為����。
[0006] 但是,符號(hào)執(zhí)行技術(shù)具有可擴(kuò)展性差���、執(zhí)行時(shí)間長等制約����,不能快速的分析應(yīng)用行 為��。因此需要對(duì)該技術(shù)進(jìn)行改進(jìn)以滿足移動(dòng)終端應(yīng)用程序分析的需要�。
【發(fā)明內(nèi)容】
[0007] 鑒于以上所述現(xiàn)有技術(shù)的缺點(diǎn),本發(fā)明的目的在于提供一種基于導(dǎo)向性符號(hào)的移 動(dòng)終端惡意行為的檢測方法及系統(tǒng),對(duì)移動(dòng)終端上應(yīng)用程序進(jìn)行基于導(dǎo)向性符號(hào)的惡意行 為搜索���,從而能夠快速的對(duì)應(yīng)用程序行為進(jìn)行分析�,將遺漏應(yīng)用程序惡意行為的風(fēng)險(xiǎn)降到 最低��。
[0008] 為實(shí)現(xiàn)上述目的及其他相關(guān)目的����,本發(fā)明提供一種基于導(dǎo)向性符號(hào)的移動(dòng)終端惡 意行為的檢測方法及系統(tǒng),包括應(yīng)用程序預(yù)處理模塊��、應(yīng)用程序依賴圖構(gòu)建模塊��、敏感信息 標(biāo)記模塊���、敏感信息傳播模塊����、導(dǎo)引信息提取模塊����、符號(hào)化執(zhí)行模塊和檢測模塊;所述應(yīng)用 程序預(yù)處理模塊用于在應(yīng)用程序安裝時(shí)�����,對(duì)應(yīng)用程序進(jìn)行預(yù)處理,以獲取應(yīng)用程序的相關(guān) 信息����;所述應(yīng)用程序依賴圖構(gòu)建模塊用于構(gòu)建應(yīng)用程序權(quán)限的依賴關(guān)系;所述敏感信息標(biāo) 記模塊用于標(biāo)記應(yīng)用程序行為的敏感信息�����;所述敏感信息傳播模塊用于傳播應(yīng)用程序的敏 感信息���;所述導(dǎo)引信息提取模塊用于將傳播的敏感信息按類引導(dǎo)到相應(yīng)的特征和行為權(quán) 限����;所述符號(hào)化執(zhí)行模塊用于將傳播的敏感信息與惡意節(jié)點(diǎn)二叉樹中的相似節(jié)點(diǎn)進(jìn)行對(duì) 比�,并分析此惡意節(jié)點(diǎn)下的所有子類��,其中惡意節(jié)點(diǎn)二叉樹通過二叉樹的形式對(duì)惡意行為 進(jìn)行逐層描述����,每個(gè)惡意節(jié)點(diǎn)表示惡意行為的系統(tǒng)預(yù)配置的信息;檢測模塊用于在應(yīng)用程 序行為的敏感信息與系統(tǒng)預(yù)配置的信息相同時(shí)�,判斷應(yīng)用程序行為是惡意行為�。
[0009] 根據(jù)上述的基于導(dǎo)向性符號(hào)的移動(dòng)終端惡意行為的檢測系統(tǒng)�,其中:通過活動(dòng)管 理服務(wù)和包管理服務(wù)對(duì)應(yīng)用程序進(jìn)行預(yù)處理;所述應(yīng)用程序的相關(guān)信息包括應(yīng)用程序的交 互信息����、活動(dòng)組件、服務(wù)組件����、接收器組件和內(nèi)容提供組件。
[0010] 根據(jù)上述的基于導(dǎo)向性符號(hào)的移動(dòng)終端惡意行為的檢測系統(tǒng)�,其中:所述敏感信 息包括隱私信息、惡意扣費(fèi)信息和系統(tǒng)破壞信息����。
[0011] 根據(jù)上述的基于導(dǎo)向性符號(hào)的移動(dòng)終端惡意行為的檢測系統(tǒng),其中:所述惡意節(jié) 點(diǎn)二叉樹的惡意節(jié)點(diǎn)的系統(tǒng)預(yù)配置的信息包括惡意行為的特征和行為權(quán)限��。
[0012] 進(jìn)一步地���,根據(jù)上述的基于導(dǎo)向性符號(hào)的移動(dòng)終端惡意行為的檢測系統(tǒng)�,其中:所 述惡意行為的特征包括移動(dòng)終端的IMEI�、電話號(hào)碼、設(shè)備序列號(hào)�����、短信、圖片����、位置信息、通 訊記錄���、錄音和聊天記錄�;所述惡意行為的行為權(quán)限包括申請移動(dòng)終端的上網(wǎng)權(quán)限�����、文件讀 寫權(quán)限���、位置權(quán)限�����、打開移動(dòng)數(shù)據(jù)流量權(quán)限。
[0013] 同時(shí)����,本發(fā)明還提供一種基于導(dǎo)向性符號(hào)的移動(dòng)終端惡意行為的檢測方法����,包括 以下步驟:
[0014] 步驟S1���、在應(yīng)用程序安裝時(shí)����,對(duì)應(yīng)用程序進(jìn)行預(yù)處理�,以獲取應(yīng)用程序的相關(guān)信 息;
[0015] 步驟S2���、構(gòu)建應(yīng)用程序權(quán)限的依賴關(guān)系��;
[0016] 步驟S3�����、標(biāo)記應(yīng)用程序行為的敏感信息��;
[0017] 步驟S4����、傳播應(yīng)用程序的敏感信息�;
[0018] 步驟S5�����、將傳播的敏感信息按類引導(dǎo)到相應(yīng)的特征和行為權(quán)限��;
[0019] 步驟S6�����、將傳播的敏感信息與惡意節(jié)點(diǎn)二叉樹中的相似節(jié)點(diǎn)進(jìn)行對(duì)比���,并分析此 惡意節(jié)點(diǎn)下的所有子類,其中惡意節(jié)點(diǎn)二叉樹通過二叉樹的形式對(duì)惡意行為進(jìn)行逐層描 述��,每個(gè)惡意節(jié)點(diǎn)表示惡意行為的系統(tǒng)預(yù)配置的信息���;
[0020] 步驟S7����、在應(yīng)用程序行為的敏感信息與系統(tǒng)預(yù)配置的信息相同時(shí)����,判斷應(yīng)用程序 行為是惡意行為�����。
[0021] 根據(jù)上述的基于導(dǎo)向性符號(hào)的移動(dòng)終端惡意行為的檢測方法,其中:所述步驟S1 中�,通過活動(dòng)管理服務(wù)和包管理服務(wù)對(duì)應(yīng)用程序進(jìn)行預(yù)處理;所述應(yīng)用程序的相關(guān)信息包 括應(yīng)用程序的交互信息���、活動(dòng)組件�����、服務(wù)組件�����、接收器組件和內(nèi)容提供組件�。
[0022] 根據(jù)上述的基于導(dǎo)向性符號(hào)的移動(dòng)終端惡意行為的檢測方法�,其中:所述敏感信 息包括隱私信息、惡意扣費(fèi)信息和系統(tǒng)破壞信息���。
[0023] 根據(jù)上述的基于導(dǎo)向性符號(hào)的移動(dòng)終端惡意行為的檢測方法���,其中:所述步驟S6 中,所述惡意節(jié)點(diǎn)二叉樹的惡意節(jié)點(diǎn)的系統(tǒng)預(yù)配置的信息包括惡意行為的特征和行為權(quán) 限。
[0024] 進(jìn)一步地����,根據(jù)上述的基于導(dǎo)向性符號(hào)的移動(dòng)終端惡意行為的檢測方法,其中:所 述惡意行為的特征包括移動(dòng)終端的IMEI��、電話號(hào)碼�、設(shè)備序列號(hào)、短信�����、圖片�����、位置信息���、通 訊記錄����、錄音和聊天記錄��;所述惡意行為的行為權(quán)限包括申請移動(dòng)終端的上網(wǎng)權(quán)限�����、文件讀 寫權(quán)限���、位置權(quán)限�����、打開移動(dòng)數(shù)據(jù)流量權(quán)限�����。
[0025] 如上所述�,本發(fā)明的基于導(dǎo)向性符號(hào)的移動(dòng)終端惡意行為的檢測方法及系統(tǒng)��,具 有以下有益效果:
[0026] (1)對(duì)符號(hào)執(zhí)行技術(shù)進(jìn)行改進(jìn)�,引入導(dǎo)向性符號(hào)執(zhí)行技術(shù),使符號(hào)執(zhí)行技術(shù)有很大 的擴(kuò)展性����;
[0027] (2)大幅縮短惡意行為檢測過程的耗時(shí);
[0028] (3)將遺漏應(yīng)用程序惡意行為的風(fēng)險(xiǎn)降到最低�。
【附圖說明】
[0029]圖1顯示為本發(fā)明的基于導(dǎo)向性符號(hào)的移動(dòng)終端惡意行為的搜索系統(tǒng)的結(jié)構(gòu)示 意圖;
[0030] 圖2顯示為本發(fā)明的惡意節(jié)點(diǎn)二叉樹的一個(gè)優(yōu)選實(shí)施例的結(jié)構(gòu)示意圖����;
[0031] 圖3顯示為本發(fā)明的惡意節(jié)點(diǎn)二叉樹的另一個(gè)優(yōu)選實(shí)施例的結(jié)構(gòu)示意圖���;
[0032] 圖4顯示為本發(fā)明的基于導(dǎo)向性符號(hào)的移動(dòng)終端惡意行為的搜索方法的流程圖。
[0033] 元件標(biāo)號(hào)說明
[0034] 1 應(yīng)用程序預(yù)處理模塊
[0035] 2 應(yīng)用程序依賴圖構(gòu)建模塊
[0036] 3 敏感信息標(biāo)記模塊
[0037] 4 敏感信息傳播模塊
[0038]5 導(dǎo)引信息提取模塊
[0039] 6 符號(hào)化執(zhí)行模塊
[0040] 7 檢測模塊
【具體實(shí)施方式】
[0041] 以下通過特定的具體實(shí)例說明本發(fā)明的實(shí)施方式���,本領(lǐng)域技術(shù)人員可由本說明書 所揭露的內(nèi)容輕易地了解本發(fā)明的其他優(yōu)點(diǎn)與功效���。本發(fā)明還可以通過另外不同的具體實(shí) 施方式加以實(shí)施或應(yīng)用,本說明書中的各項(xiàng)細(xì)節(jié)也可以基于不同觀點(diǎn)與應(yīng)用���,在沒有背離 本發(fā)明的精神下進(jìn)行各種修飾或改變�����。
[0042] 需要說明的是�,本實(shí)施例中所提供的圖示僅以示意方式說明本發(fā)明的基本構(gòu)想�����, 遂圖式中僅顯示與本發(fā)明中有關(guān)的組件而非按照實(shí)際實(shí)施時(shí)的組件數(shù)目�、形狀及尺寸繪 制,其實(shí)際實(shí)施時(shí)各組件的型態(tài)�����、數(shù)量及比例可為一種隨意的改變,且其組件布局型態(tài)也可 能更為復(fù)雜����。
[0043] 需要說明的是��,本發(fā)明中所涉及的移動(dòng)終端包括并不限于智能手機(jī)�����、平板電腦��、 PDA�,以及其他具有數(shù)據(jù)處理功能的終端設(shè)備。通常��,移動(dòng)終端是指具有獨(dú)立的操作系統(tǒng)��,可 以由用戶自行安裝軟件�����、游戲等第三方服務(wù)商提供的程序��,通過此類程序來不斷對(duì)終端設(shè) 備的功能進(jìn)行擴(kuò)充,并可以通過移動(dòng)通訊網(wǎng)絡(luò)來實(shí)現(xiàn)無線網(wǎng)絡(luò)接入的這樣一類終端設(shè)備�����。 [0044] 本發(fā)明的基于導(dǎo)向性符號(hào)的移動(dòng)終端惡意行為的搜索系統(tǒng)及方法采用導(dǎo)向性符 號(hào)優(yōu)化符號(hào)執(zhí)行過程�����,通過導(dǎo)向性方案�,使得在對(duì)標(biāo)記信息進(jìn)行符號(hào)化搜索時(shí),能夠限制遍 歷的空間�,從而減少搜索路徑。在Linux系統(tǒng)內(nèi)核層��,構(gòu)建導(dǎo)向二叉樹模型��,對(duì)