CN102638617B - 用于安卓手机的基于入侵检测的主动响应系统 - Google Patents
用于安卓手机的基于入侵检测的主动响应系统 Download PDFInfo
- Publication number
- CN102638617B CN102638617B CN 201210089878 CN201210089878A CN102638617B CN 102638617 B CN102638617 B CN 102638617B CN 201210089878 CN201210089878 CN 201210089878 CN 201210089878 A CN201210089878 A CN 201210089878A CN 102638617 B CN102638617 B CN 102638617B
- Authority
- CN
- China
- Prior art keywords
- module
- active response
- information
- client
- suspicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种用于安卓手机的基于入侵检测的主动响应系统,本发明采用与安卓入侵检测系统相同的系统架构,即客户端-服务器端模式,结构简单易实现。客户端负责从用户手机中获取用户安装的应用程序信息,在收到IDSA检测到的异常信息时结合异常行为对应用程序做出初步判断,将不确定的可疑程序信息发往服务器端,并且等待接收服务器端进行分析后的反馈信息,客户端根据最终反馈结果采取合适的主动响应措施;服务器端主要负责接收客户端的关于可疑程序再分析的请求信息,对信息中的可执行文件进行静态分析,结合数据及方法给出最终分析结果,再将结果发送给客户端。
Description
技术领域
本发明涉及一种手机安全保护领域,具体涉及一种用于安卓手机的基于安卓入侵检测的主动响应系统。
背景技术
伴随着3G网络的普及以及智能手机市场占有率的提升,无线手机应用种类及数目迅速增长,手机上的应用涉及到音乐、阅读、手机游戏、即时通信(IM)、手机邮箱、手机电视、手机炒股、社区、航信通、彩信照片冲洗、信息管家等。随着用户对无线手机应用使用率的提升,与之相关的安全问题也随之出现。为检测上述可能出现的安全问题,科研人员开发出了具有针对性的入侵检测系统。入侵检测是面向计算资源和网络资源恶意行为的识别及响应,即是对入侵行为的发觉。通过对网络或系统中若干关键点的信息收集,并且对其进行分类和分析,从而发现入侵的恶意行为。与传统的预防性安全机制相比,入侵检测是一种事后处理方案,具有智能监控、实时探测、动态响应、易于配置等特点,能够及时发现系统中入侵的恶意行为。
发明内容
本发明目的在于提供一种用于安卓手机的基于入侵检测的自动响应系统,其基于安卓入侵检测系统的检测系统,结合前期建立的可疑行为库,对可疑程序做出主动响应,提高安卓系统的安全性。
为了解决现有技术中的这些问题,本发明提供的技术方案是:
一种用于安卓手机的基于入侵检测的主动响应系统,所述主动响应系统基于安卓入侵检测系统,所述安卓入侵检测系统采用客户端-服务器端的系统架构,所述服务器端用于通信、检测及数据库操作,所述客户端运行于安卓手机终端,用于后台扫描手机设备以获取用来检测的设备信息并且将所获得的监测信息发送至服务器端进行检测,经服务器端检测后生成检测结果信息,所述检测结果信息出现异常时会发回至安卓手机终端,所述主动响应系统基于入侵检测系统的检测结果,所述主动响应系统采用客户端-服务器端的系统架构,所述客户端的组成单元包括接口模块、初始化模块、行为匹配模块、主动响应模块、通信模块,所述服务器端的组成单元包括通信模块、静态分析模块,初始化模块用于获取系统所在手机终端中用户安装的应用程序信息并建立可疑程序集,所述主动响应系统通过接口模块调用入侵检测系统的检测结果,所得到的异常检测结果发送至行为匹配模块,行为匹配模块将安卓入侵检测系统检测到的异常行为与可疑程序集中的行为做匹配,主动响应模块根据匹配信息中的恶意等级决定相应类型,若无匹配结果客户端通过通信模块连接服务器端,将可疑程序交由服务器端进行静态分析进而指导客户端主动响应模块做出进一步的响应类型,所述静态分析模块用于对安卓应用程序可执行文件的静态分析。
对于上述技术方案,发明人还有进一步的优化措施。
作为优化,主动响应系统的客户端还设有操作权限判定模块,操作权限判定模块从用户安装的应用程序中取出含有开机自启动权限的应用程序,以通知界面的形式将这些应用程序信息显示给用户,并让用户选择信任为安全的程序,然后将用户选择的安全程序从可疑程序集中删除,不再进行以后的判定,当手机中有新的应用程序被安装时,也会进行操作权限判定。
进一步,主动响应系统的客户端还设有数据库模块,用于为系统建立数据库以及提供数据库操作功能的函数接口。
作为优化,所述主动响应系统第一次启动时,初始化模块则开始执行,初始化模块用于获取系统所在手机终端中用户安装的应用程序信息,并且调用数据库模块将所得到的应用程序信息存入数据表中同时将已经分类的恶意行为通过数据库操作建立可疑程序集。
更进一步,所述行为匹配模块将入侵检测系统检测到的异常行为与初始化模块在初始化阶段已经完成的可疑程序集中的行为做匹配,得到该异常行为涉及到的操作权限后,再将这些操作权限所对应的程序从可疑程序集中取出,最后根据得到的程序数目的差异将信息发送到对应的处理模块,如果得到仅一个程序被匹配为可疑程序则直接作为恶意程序进入主动响应模块执行相应操作,否则则通过通信模块将可疑程序信息发送至服务器端进行进一步判定。
更进一步,所述静态分析模块是由一个线程类来控制实现的,线程处于运行状态,当消息队列中有客户端请求静态分析的消息时,静态分析模块便开始执行,首先从消息中获取可执行文件,然后调用静态分析函数对可执行文件进行分析,分析时用到已经创建完成的正常程序调用函数库及异常程序调用函数库,最后根据分析函数返回的结果设置服务器端向客户端的返回消息。
相对于现有技术中的方案,本发明的优点是:
该系统是在安卓入侵检测系统的异常检测结果基础之上完成的,入侵检测系统所检测的异常行为是其得以运行的条件之一。本发明采用与安卓入侵检测系统相同的系统架构,即客户端-服务器端模式,结构简单易实现。客户端负责从用户手机中获取用户安装的应用程序信息,在收到IDSA检测到的异常信息时结合异常行为对应用程序做出初步判断,将不确定的可疑程序信息发往服务器端,并且等待接收服务器端进行分析后的反馈信息,客户端根据最终反馈结果采取合适的主动响应措施;服务器端主要负责接收客户端的关于可疑程序再分析的请求信息,对信息中的可执行文件进行静态分析,结合数据及方法给出最终分析结果,再将结果发送给客户端。
本发明能够及时有效地阻止手机恶意软件的恶意行为,提高手机安全性。本发明可以对手机上的恶意行为做出主动响应,及时阻止恶意行为的进一步危害,并让手机用户能够及时了解情况。
附图说明
下面结合附图及实施例对本发明作进一步描述:
图1为本发明实施例的系统总体结构图;
图2为本发明实施例初始化模块的结构图;
图3为本发明实施例操作权限判定模块的工作流程图;
图4为本发明实施例行为匹配模块的工作流程图;
图5为本发明实施例主动响应模块的工作流程图;
图6为本发明实施例静态分析模块的工作流程图;
图7为本发明实施例的系统处理流程图。
具体实施方式
以下结合具体实施例对上述方案做进一步说明。应理解,这些实施例是用于说明本发明而不限于限制本发明的范围。实施例中采用的实施条件可以根据具体厂家的条件做进一步调整,未注明的实施条件通常为常规实验中的条件。
实施例:
本实施例描述了一种用于安卓手机的主动响应系统,所述主动响应系统是基于安卓入侵检测系统而建立的。
所述安卓入侵检测系统采用客户端-服务器端的系统架构,所述服务器端用于通信、检测及数据库操作,所述客户端运行于安卓手机终端,用于后台扫描手机设备以获取用来检测的设备信息并且将所获得的监测信息发送至服务器端进行检测,经服务器端检测后生成检测结果信息,所述检测结果信息出现异常时会发回至安卓手机终端,所述主动响应系统基于入侵检测系统的检测结果。
本发明所描述的主动响应系统的总体结构如图1所示,其系统架构与入侵检测系统相同,均为客户端-服务器端的系统架构。
主动响应系统客户端的组成单元包括接口模块、初始化模块、行为匹配模块、主动响应模块、通信模块、操作权限判定模块、数据库模块,所述服务器端的组成单元包括通信模块、静态分析模块。在客户端中数据库模块用于为系统建立数据库以及提供数据库操作功能的函数接口。初始化模块用于获取系统所在手机终端中用户安装的应用程序信息并建立可疑程序集,而操作权限判定模块则用于提取具有开机自启动权限的应用程序信息显示给用户并且由用户逐一设定程序权限,所述主动响应系统通过接口模块调用入侵检测系统的检测结果,所得到的异常检测结果发送至行为匹配模块,行为匹配模块将安卓入侵检测系统检测到的异常行为与可疑程序集中的行为做匹配,主动响应模块根据匹配信息中的恶意等级决定相应类型,若无匹配结果客户端通过通信模块连接服务器端,将可疑程序交由服务器端进行静态分析进而指导客户端主动响应模块做出进一步的响应类型,所述静态分析模块用于对安卓应用程序可执行文件的静态分析。
初始化模块在主动响应系统第一次启动时便被执行,其结构如图2所示,本系统通过初始化构造函数启动初始化模块,初始化模块执行获取应用程序的功能以获取应用程序信息,然后再调用数据库模块的接口,通过数据库操作存储信息,并且将已经分类的恶意行为也通过数据库操作存入数据库中,建立可疑程序集。
数据库模块系统建立数据库并提供基本的创建表、删除表、插入数据、删除数据、查询数据等数据库操作功能的函数接口,以方便系统其它模块调用数据库实现对数据的存储和获取。
操作权限判定模块的工作流程图如图3所示,初始化模块在系统第一次启动时将客户端中的用户所安装的应用程序均初步认为是初始可疑程序集A,操作权限判定模块即是将A中含有开机自启动权限的应用程序取出,其余不具有开机自启动权限的应用程序仍作为可疑程序集,可称呼为可疑程序集B。所提取处的具有开机自启动权限的应用程序以界面形式将信息显示给用户,并提供给用户选择功能,让用户选择其信任的程序,被用户选定为信任的程序即认为是安全程序,从A中被删除,否则,程序即要进入后面模块的进一步判定,即同样放置于可疑程序集B中。
行为匹配模块的工作流程图如图4所示,行为匹配模块将入侵检测系统检测到的异常行为与初始化模块在初始化阶段已经完成的可疑程序集中的行为做匹配,若匹配失败则通知用户,否则得到该异常行为涉及到的操作权限后,再将这些操作权限所对应的程序从可疑程序集中取出,最后根据得到的程序数目的差异将信息发送到对应的处理模块,如果得到仅一个程序被匹配为可疑程序则直接作为恶意程序进入主动响应模块执行相应操作,否则则通过通信模块将可疑程序信息发送至服务器端进行进一步分析判定。
主动响应模块的工作流程如图5所示,主动响应模块从行为匹配模块的最终判定结果中获得异常行为的恶意等级,根据恶意等级执行不同等级的措施,所述执行措施包括发出警告、终止程序进程、卸载应用程序、删除程序安装文件等。
而服务器端的静态分析模块是对Android应用程序可执行文件(dex格式)进行的静态分析,可更为全面的分析可疑程序,对可疑程序的可靠性可做更细致的检测。静态分析模块是由一个线程类来控制实现的,其结构流程如图6所示,线程处于运行状态,当消息队列中有客户端请求静态分析的消息时,静态分析模块便开始执行,静态分析模块首先从客户端请求消息中获取可疑应用程序的可执行文件,然后调用静态分析函数对可执行文件进行分析,分析时用到已经创建完成的正常程序调用函数库及异常程序调用函数库(即图1中行为函数库内容),最后根据分析函数返回的结果设置服务器端向客户端的返回消息,客户端再根据所得到的返回信息由主动响应模块判断实行何种等级的措施。
综上,本实施例所描述的主动响应系统的处理流程如图7所示,首先是在系统第一次启动时通过初始化模块将手机上用户安装的应用程序信息存入相应的数据表中,入侵检测系统提供的结果作为系统的一个输入条件,检测到的恶意行为被分类,根据其所属的行为类与数据表中程序的信息作匹配,针对匹配的不同结果,则分情况进入不同的阶段;静态分析功能是在服务器端完成的;最终都会得到一个结果,即发生恶意行为的应用程序信息,最后便是根据结果的主动响应措施,在反馈给用户信息的同时也要求用户参与以使响应措施更加合理。
上述实例只为说明本发明的技术构思及特点,其目的在于让熟悉此项技术的人是能够了解本发明的内容并据以实施,并不能以此限制本发明的保护范围。凡根据本发明精神实质所做的等效变换或修饰,都应涵盖在本发明的保护范围之内。
Claims (6)
1.一种用于安卓手机的基于入侵检测的主动响应系统,所述主动响应系统基于安卓入侵检测系统,所述安卓入侵检测系统采用客户端-服务器端的系统架构,所述服务器端用于通信、检测及数据库操作,所述客户端运行于安卓手机终端,用于后台扫描手机设备以获取用来检测的设备信息并且将所获得的监测信息发送至服务器端进行检测,经服务器端检测后生成检测结果信息,所述检测结果信息出现异常时会发回至安卓手机终端,其特征在于,所述主动响应系统基于入侵检测系统的检测结果,所述主动响应系统采用客户端-服务器端的系统架构,所述客户端的组成单元包括接口模块、初始化模块、行为匹配模块、主动响应模块、通信模块,所述服务器端的组成单元包括通信模块、静态分析模块,初始化模块用于获取系统所在手机终端中用户安装的应用程序信息并建立可疑程序集,所述主动响应系统通过接口模块调用入侵检测系统的检测结果,所得到的异常检测结果发送至行为匹配模块,行为匹配模块将安卓入侵检测系统检测到的异常行为与可疑程序集中的行为做匹配,主动响应模块根据匹配信息中的恶意等级决定相应类型,若无匹配结果客户端通过通信模块连接服务器端,将可疑程序交由服务器端进行静态分析进而指导客户端主动响应模块做出进一步的响应类型,所述静态分析模块用于对安卓应用程序可执行文件的静态分析。
2.根据权利要求1所述的用于安卓手机的基于入侵检测的主动响应系统,其特征在于,主动响应系统的客户端还设有操作权限判定模块,操作权限判定模块从用户安装的应用程序中取出含有开机自启动权限的应用程序,以通知界面的形式将这些应用程序信息显示给用户,并让用户选择信任为安全的程序,然后将用户选择的安全程序从可疑程序集中删除,不再进行以后的判定,当手机中有新的应用程序被安装时,也会进行操作权限判定。
3.根据权利要求1所述的用于安卓手机的基于入侵检测的主动响应系统,其特征在于,主动响应系统的客户端还设有数据库模块,用于为系统建立数据库以及提供数据库操作功能的函数接口。
4.根据权利要求1或3所述的用于安卓手机的基于入侵检测的主动响应系统,其特征在于,所述主动响应系统第一次启动时,初始化模块则开始执行,初始化模块用于获取系统所在手机终端中用户安装的应用程序信息,并且调用数据库模块将所得到的应用程序信息存入数据表中同时将已经分类的恶意行为通过数据库操作建立可疑程序集。
5.根据权利要求1或2所述的用于安卓手机的基于入侵检测的主动响应系统,其特征在于,所述行为匹配模块将入侵检测系统检测到的异常行为与初始化模块在初始化阶段已经完成的可疑程序集中的行为做匹配,得到该异常行为涉及到的操作权限后,再将这些操作权限所对应的程序从可疑程序集中取出,最后根据得到的程序数目的差异将信息发送到对应的处理模块,如果得到仅一个程序被匹配为可疑程序则直接作为恶意程序进入主动响应模块执行相应操作,否则则通过通信模块将可疑程序信息发送至服务器端进行进一步判定。
6.根据权利要求1所述的用于安卓手机的基于入侵检测的主动响应系统,其特征在于,所述静态分析模块是由一个线程类来控制实现的,线程处于运行状态,当消息队列中有客户端请求静态分析的消息时,静态分析模块便开始执行,首先从消息中获取可执行文件,然后调用静态分析函数对可执行文件进行分析,分析时用到已经创建完成的正常程序调用函数库及异常程序调用函数库,最后根据分析函数返回的结果设置服务器端向客户端的返回消息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201210089878 CN102638617B (zh) | 2012-03-30 | 2012-03-30 | 用于安卓手机的基于入侵检测的主动响应系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201210089878 CN102638617B (zh) | 2012-03-30 | 2012-03-30 | 用于安卓手机的基于入侵检测的主动响应系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102638617A CN102638617A (zh) | 2012-08-15 |
CN102638617B true CN102638617B (zh) | 2013-12-18 |
Family
ID=46622854
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 201210089878 Active CN102638617B (zh) | 2012-03-30 | 2012-03-30 | 用于安卓手机的基于入侵检测的主动响应系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102638617B (zh) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102867143B (zh) * | 2012-08-22 | 2015-10-21 | 中国科学技术大学 | 一种恶意应用程序的快速过滤方法 |
CN103269335A (zh) * | 2013-04-24 | 2013-08-28 | 福建伊时代信息科技股份有限公司 | 一种移动终端合规审计方法及系统 |
CN103327492B (zh) * | 2013-06-04 | 2016-01-06 | 王天时 | 一种安卓手机入侵检测方法及其检测系统 |
CN103281334A (zh) * | 2013-06-17 | 2013-09-04 | 福建伊时代信息科技股份有限公司 | 终端处理方法、终端及服务器 |
CN103679003A (zh) * | 2013-06-25 | 2014-03-26 | 厦门密安信息技术有限责任公司 | 终端可信软件的度量和认证 |
CN104426710A (zh) * | 2013-08-27 | 2015-03-18 | 高金铎 | 监控取证方法及系统 |
CN103685251B (zh) * | 2013-12-04 | 2016-08-17 | 电子科技大学 | 一种面向移动互联网的Android恶意软件检测平台 |
EP3591552B1 (en) * | 2013-12-19 | 2022-03-30 | Intel Corporation | Protection system including machine learning snapshot evaluation |
CN104182681B (zh) * | 2014-08-28 | 2017-05-03 | 北京软安科技有限公司 | 基于hook的iOS系统关键行为检测装置和方法 |
CN105323247A (zh) * | 2015-10-13 | 2016-02-10 | 华中科技大学 | 一种用于移动终端的入侵检测系统 |
CN107145782B (zh) * | 2017-04-28 | 2020-04-24 | 维沃移动通信有限公司 | 一种异常应用程序的识别方法、移动终端及服务器 |
CN107911244A (zh) * | 2017-11-17 | 2018-04-13 | 华南理工大学 | 一种云网结合的多用户蜜罐终端系统及其实现方法 |
CN108052833A (zh) * | 2017-12-11 | 2018-05-18 | 北京明朝万达科技股份有限公司 | 一种可执行文件数据防泄漏扫描方法、系统及网关 |
CN108830075A (zh) * | 2018-06-13 | 2018-11-16 | 郑州云海信息技术有限公司 | 一种ssr集中管理平台的应用程序管控方法 |
CN111416724A (zh) * | 2019-01-04 | 2020-07-14 | 天津科技大学 | 一种服务器入侵检测报警设计方法 |
CN109992940B (zh) * | 2019-03-29 | 2021-03-12 | 北京金山云网络技术有限公司 | 身份验证方法、装置、系统及身份校验服务器 |
CN111107152A (zh) * | 2019-12-19 | 2020-05-05 | 浙江军盾信息科技有限公司 | 一种车联网终端入侵处理方法、装置、设备及存储介质 |
CN111462410A (zh) * | 2019-12-25 | 2020-07-28 | 哈尔滨理工大学 | 一种基于云安全的智能手机柜 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101257678A (zh) * | 2008-03-21 | 2008-09-03 | 宇龙计算机通信科技(深圳)有限公司 | 一种实现移动终端软件安全检测的方法、终端及系统 |
CN101754207B (zh) * | 2009-12-25 | 2012-11-07 | 中国科学技术大学苏州研究院 | 基于博弈论的智能手机入侵检测方法 |
US8844039B2 (en) * | 2010-06-30 | 2014-09-23 | F-Secure Corporation | Malware image recognition |
CN102123396B (zh) * | 2011-02-14 | 2014-08-13 | 恒安嘉新(北京)科技有限公司 | 基于通信网的手机病毒和恶意软件的云检测方法 |
-
2012
- 2012-03-30 CN CN 201210089878 patent/CN102638617B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN102638617A (zh) | 2012-08-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102638617B (zh) | 用于安卓手机的基于入侵检测的主动响应系统 | |
US11068587B1 (en) | Dynamic guest image creation and rollback | |
US9306889B2 (en) | Method and device for processing messages | |
EP3497609B1 (en) | Detecting scripted or otherwise anomalous interactions with social media platform | |
CN108881265B (zh) | 一种基于人工智能的网络攻击检测方法及系统 | |
CN102819713B (zh) | 一种检测弹窗安全性的方法和系统 | |
CN109981653B (zh) | 一种web漏洞扫描方法 | |
CN110933103B (zh) | 反爬虫方法、装置、设备和介质 | |
CN101751535A (zh) | 通过应用程序数据访问分类进行的数据损失保护 | |
KR20120096983A (ko) | 악성 프로그램 검출 방법 및 이를 구현하는 휴대 단말기 | |
CN109495467B (zh) | 拦截规则的更新方法、设备及计算机可读存储介质 | |
CN101345751A (zh) | 确定作为数据库活动的起源的应用程序用户 | |
CN111400357A (zh) | 一种识别异常登录的方法和装置 | |
CN103268448B (zh) | 动态检测移动应用的安全性的方法和系统 | |
CN107463839A (zh) | 一种管理应用程序的系统和方法 | |
CN102750476A (zh) | 鉴定文件安全性的方法和系统 | |
CN113010238A (zh) | 一种微应用调用接口的权限确定方法、装置和系统 | |
CN104937602B (zh) | 一种隐私保护的方法及电子设备 | |
CN111200583A (zh) | 骚扰电话处理方法、装置、设备及介质 | |
CN115714660A (zh) | 权限配置方法及装置 | |
CN102467622B (zh) | 一种监控已打开文件的方法及装置 | |
CN111209171B (zh) | 安全风险的闭环处置方法、装置及存储介质 | |
CN104715197B (zh) | 一种文件快速扫描方法和系统 | |
CN103106366A (zh) | 一种基于云的样本数据库动态维护方法 | |
CN112508569B (zh) | 支付环境监控方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |