CN103023871A - 一种基于云平台的Android权限提升攻击检测系统和方法 - Google Patents
一种基于云平台的Android权限提升攻击检测系统和方法 Download PDFInfo
- Publication number
- CN103023871A CN103023871A CN2012104643519A CN201210464351A CN103023871A CN 103023871 A CN103023871 A CN 103023871A CN 2012104643519 A CN2012104643519 A CN 2012104643519A CN 201210464351 A CN201210464351 A CN 201210464351A CN 103023871 A CN103023871 A CN 103023871A
- Authority
- CN
- China
- Prior art keywords
- application program
- module
- clouds
- database
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Stored Programmes (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于云平台的Android权限提升攻击检测方法,包括:云端利用爬虫程序从应用市场下载应用程序并加入到应用程序信息数据库,应用市场包括官方市场和第三方市场,并根据已知的权限提升攻击样本制定安全策略,云端根据安全策略对应用程序进行分类,移动终端对其已分类应用程序数据库进行初始化,并判断应用程序是否有更新操作,如果有则移动终端判断更新操作的类型是安装操作,还是卸载操作,如果是卸载操作,则移动终端根据云端发送的结果或直接更新其已分类应用程序数据库和程序权限数据库。本发明能避免终端在每次ICC调用时均进行耗时、耗资源的检测操作。
Description
技术领域
本发明属于计算机安全和移动安全领域,更具体地,涉及一种基于云平台的Android权限提升攻击检测系统和方法。
背景技术
近年来,智能终端在全球范围内广泛普及,尤其是以Google的Android系统和Apple的iOS系统为代表的智能终端。据Gartner公司报告,2012年第一季度Android和iOS系统手机占全球智能手机总市场的79%,其中Android系统手机占56%。由于Android市场占有率高、系统开放源码等特性,本专利针对目前较流行的Android系统移动终端。随着Android智能终端的流行,针对Android系统的恶意代码也日益增多,据最新卡巴斯基公司报告,2012年第二季度超过14,900个新增的恶意代码样本被添加到卡巴斯基的数据库中,这些恶意代码主要是吸费程序和远程控制的木马。此外,虽然目前Android系统的安全机制(主要包括虚拟机隔离和基于权限的访问控制策略)能够尽可能地保证应用程序间的隔离性,然而最近的研究表明,Android系统中间层存在权限提升攻击,该攻击能够在未经用户许可的情况下获得特权权限从而绕过Android系统的安全机制。
目前,针对Android中间层的权限提升攻击,已经存在一些解决方案来检测这种攻击,其中IPCInspection、Quire和XmanDroid是3种主要的方法,这些方法要么通过减少接收程序的权限,要么通过构造组件间通信(Inter-component communication,简称ICC)调用图来防止或检测该攻击。然而,目前这些方案均部署在移动终端,由于智能手机的低运算能力、低电池容量等特性,导致以上这些方法在实际部署过程可能存在耗时和耗资源的问题,此外上述方案均无法实现检测信息的共享。
发明内容
针对现有技术的缺陷,本发明的目的在于提供一种基于云平台的Android权限提升攻击检测系统,其利用云平台的强大计算能力来解决终端能力不足的问题,根据管理员定义的策略预先对应用软件进行分类,从而避免终端在每次ICC(组件间通信)调用时均进行耗时、耗资源的检测操作。此外,由于众多终端接入云平台,当一个终端检测到安全威胁时云平台可以方便地通知到其他终端以实现信息共享。
为实现上述目的,本发明提供了一种基于云平台的Android权限提升攻击检测系统,包括程序收集和策略制定模块、程序分类模块、第一判断模块、决策模块、ICC拒绝执行模块、ICC允许执行模块、第二判断模块、应用程序安装模块、应用程序更新服务模块、数据库更新模块,程序手机和策略制定模块设置于云端,用于利用爬虫程序从应用市场下载应用程序,应用市场包括官方市场和第三方市场,并且根据已知的权限提升攻击样本制定安全策略,程序分类模块设置于云端,用于根据安全策略对应用程序进行分类,第一判断模块设置于移动终端,用于对其已分类应用程序数据库进行初始化,并判断应用程序是否有更新操作,如果有则转入第二判断模块,否则转入决策模块,决策模块设置于移动终端,用于截获ICC通信,并判断ICC通信的发送方和接收方是否处于本地已分类应用程序数据库中,如果是则进入ICC拒绝执行模块,否则进入ICC允许执行模块,ICC拒绝执行模块设置于移动终端,用于拒绝执行ICC通信,并将发送程序和接收程序信息上报到云端,ICC允许执行模块设置于移动终端,用于允许执行ICC通信,第二判断模块设置于移动终端,用于判断更新操作的类型是安装操作,还是卸载操作,如果是安装操作,则进入应用程序安装模块,如果是卸载操作,则进入数据库更新模块,应用程序安装模块设置于移动终端,用于向云端发出更新操作请求,应用程序更新服务模块设置于云端,用于根据更新操作请求对移动终端的已分类应用程序数据库执行更新,并将结果发送到移动终端,数据库更新模块设置于移动终端,用于根据云端发送的结果或直接更新其已分类应用程序数据库和程序权限数据库。
程序分类模块包括数据库操作子模块、分类操作子模块,数据库分类子模块用于读取应用程序信息数据库,并传入到分类操作子模块,并在分类操作子模块处理完数据后,通知本子模块将数据写入已分类应用程序数据库,分类操作子模块用于根据安全策略对应用程序信息进行分类。
第一判断模块包括云端数据库操作子模块、云端初始化子模块、终端数据库操作子模块和终端初始化子模块,云端数据库操作子模块用于读取云端已分类应用程序数据库,并将读出的数据传入云端初始化子模块,云端初始化子模块用于从终端初始化子模块中获得终端发送的应用程序信息,并向云端数据库操作子模块获取已分类应用程序数据库中该终端对应的分类后程序列表,并将结果返回到终端初始化子模块,终端数据库操作子模块用于写入从终端初始化子模块发送的数据到本地已分类应用程序数据库中,终端初始化子模块用于向云端初始化子模块发出初始化请求,并等待结果返回后发送到终端数据库操作子模块中。
应用程序更新服务模块包括数据库操作子模块、程序安装子模块和通信模块,数据库操作子模块用于操作应用程序信息数据库和已分类应用程序数据库,读取应用程序信息数据库信息并将其发送给程序安装子模块,还用于在新应用程序不在应用程序信息数据库时,将新应用程序信息写入应用程序信息数据库和分类后信息写入已分类应用程序数据库,程序安装子模块用于接受终端程序安装请求,判断新应用程序是否已经存在应用程序信息数据库中,如果不存在,需要根据安全策略对该程序进行分类,并将分类后的信息存入已分类应用程序数据库和应用程序信息数据库,最后利用通信模块返回分类后信息给终端,通信模块用于对终端的通信,包括接受请求和返回数据等操作。
通过本发明所构思的以上技术方案,与现有技术相比,本发明具有以下的有益效果:
(1)Android权限提升攻击检测的有效性强
由于采用了程序收集和策略指定模块和决策模块,所以本系统能够截获应用程序间所有ICC通信,确保能够检测目前已知的中间层权限提升攻击。
(2)降低了Android权限提升攻击检测的成本
由于采用程序分类模块,所以利用云平台强大的计算能力对搜集到的应用程序预先进行分类,避免每次ICC调用时均需要进行复杂的判断流程,从而有效地降低Android权限提升攻击检测的成本。
(3)改进了Android权限提升攻击检测的共享性
由于采用了ICC拒绝执行模块、程序收集和策略制定模块和第一判断模块,所以如果某个终端检测到存在权限提升攻击,移动终端将发送程序信息和接收程序信息上报给云端,然后云端制定新策略并对其他终端的已分类应用程序数据库进行更新,这样确保新的安全威胁能够及时地被通报到各个终端。
本发明的另一目的在于提供一种基于云平台的Android权限提升攻击检测方法,其利用云平台的强大计算能力来解决终端能力不足的问题,根据管理员定义的策略预先对应用软件进行分类,从而避免终端在每次ICC(组件间通信)调用时均进行耗时、耗资源的检测操作。
为实现上述目的,本发明提供了一种基于云平台的Android权限提升攻击检测方法,包括以下步骤:
(1)云端利用爬虫程序从应用市场下载应用程序并加入到应用程序信息数据库,应用市场包括官方市场和第三方市场,并根据已知的权限提升攻击样本制定安全策略;
(2)云端根据安全策略对应用程序进行分类;
(3)移动终端对其已分类应用程序数据库进行初始化,并判断应用程序是否有更新操作,如果有则转入步骤(7),否则转入步骤(4);
(4)移动终端截获ICC通信,并判断ICC通信的发送方和接收方是否处于本地已分类应用程序数据库中,如果是则进入步骤(5),否则进入步骤(6);
(5)移动终端拒绝执行ICC通信,过程结束,并将发送程序和接收程序信息上报到云端;
(6)移动终端允许执行ICC通信,过程结束;
(7)移动终端判断更新操作的类型是安装操作,还是卸载操作,如果是安装操作,则进入步骤(8),如果是卸载操作,则进入步骤(10);
(8)移动终端向云端发出更新操作请求;
(9)云端根据更新操作请求对移动终端的已分类应用程序数据库执行更新,并将结果发送到移动终端;
(10)移动终端根据云端发送的结果或直接更新其已分类应用程序数据
库和程序权限数据库。
安全策略具体包括应用程序的权限、应用程序之间的通信、是否允许访问应用程序。
步骤(2)包括以下子步骤:
(2-1)从应用程序信息数据库中取出一条记录;
(2-2)取出这条记录请求的一个权限;
(2-3)从策略数据库中取出一条策略;
(2-4)如果该权限在这条策略中,则转入步骤(2-5),否则转入步骤(2-7);
(2-5)将该程序标记属于该策略并存入已分类应用程序数据库中;
(2-6)如果这是最后一条策略,则转入步骤(2-7),否则转入步骤(2-3);
(2-7)如果当前权限不是应用程序最后一个,则转入步骤(2-2),否则结束流程。
步骤(3)包括以下子步骤:
(3-1)移动终端获得本终端所有应用程序信息,包括应用程序名称,权限信息等;
(3-2)云端从移动终端发送的请求中获得应用程序信息;
(3-3)云端根据终端应用程序信息从其已分类应用程序数据库中获得与该终端对应的分类后的程序列表,并将结果发送到移动终端;
(3-4)终端获得云端返回的结果并将其存入分类程序列表数据库。
步骤(9)包括以下子步骤:
(9-1)云端从移动终端发送的请求中获得新应用程序的权限信息和hash值;
(9-2)根据hash值判断该应用程序是否在云端的应用程序信息数据库中,如果不在则转入步骤(9-3),否则过程结束;
(9-3)将该应用程序信息添加到云端应用程序信息数据库中,根据安全策略对该程序进行分类,最后更新已分类应用程序数据库;
(9-4)云端将该应用程序分类后的结果返回移动终端。
通过本发明所构思的以上技术方案,与现有技术相比,本发明具有以下的有益效果:
(1)Android权限提升攻击检测的有效性强
由于采用了步骤(1)和步骤(4),所以本系统能够截获应用程序间所有ICC通信,确保能够检测目前已知的中间层权限提升攻击。
(2)降低了Android权限提升攻击检测的成本
由于采用了步骤(2),所以利用云平台强大的计算能力对搜集到的应用程序预先进行分类,避免每次ICC调用时均需要进行复杂的判断流程,从而有效地降低Android权限提升攻击检测的成本。
(3)改进了Android权限提升攻击检测的共享性
由于采用了步骤(5)、步骤(1)和步骤(3),所以如果某个终端检测到存在权限提升攻击,移动终端将发送程序信息和接收程序信息上报给云端,然后云端制定新策略并对其他终端的已分类应用程序数据库进行更新,这样确保新的安全威胁能够及时地被通报到各个终端。
附图说明
图1为本发明基于云平台的Android权限提升攻击检测方法的流程图。
图2为本发明方法中步骤(2)的细化流程图。
图3为本发明方法中步骤(3)的细化流程图。
图4为本发明方法中步骤(9)的细化流程图。
图5为本发明基于云平台的Android权限提升攻击检测系统的示意框图。
图6为本发明系统中程序分类模块的示意框图。
图7为本发明系统中第一判断模块的示意框图。
图8为本发明系统中应用程序更新服务模块的示意框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,本发明基于云平台的Android权限提升攻击检测方法包括以下步骤:
(1)云端利用爬虫程序从应用市场下载应用程序并加入到应用程序信息数据库,应用市场包括官方市场和第三方市场,并根据已知的权限提升攻击样本制定安全策略;安全策略具体包括应用程序的权限、应用程序之间的通信、是否允许访问应用程序等;
(2)云端根据安全策略对应用程序进行分类;
(3)移动终端对其已分类应用程序数据库进行初始化,并判断应用程序是否有更新操作,如果有则转入步骤(7),否则转入步骤(4);
(4)移动终端截获应用程序组件间通信(Inter-componentcommunication,简称ICC),并判断ICC通信的发送方和接收方是否处于本地已分类应用程序数据库中,如果是则进入步骤(5),否则进入步骤(6);
(5)移动终端拒绝执行ICC通信,过程结束,并将发送程序和接收程序信息上报到云端;
(6)移动终端允许执行ICC通信,过程结束;
(7)移动终端判断更新操作的类型是安装操作,还是卸载操作,如果是安装操作,则进入步骤(8),如果是卸载操作,则进入步骤(10);
(8)移动终端向云端发出更新操作请求,具体而言,移动终端获得新应用程序的名称、权限信息和hash值等,并且将这些信息发送到云端;
(9)云端根据更新操作请求对移动终端的已分类应用程序数据库执行更新,并将结果发送到移动终端;
(10)移动终端根据云端发送的结果或直接更新其已分类应用程序数据库和程序权限数据库。
如图2所示,步骤(2)包括以下子步骤:
(2-1)从应用程序信息数据库中取出一条记录;
(2-2)取出这条记录请求的一个权限;
(2-3)从策略数据库中取出一条策略;
(2-4)如果该权限在这条策略中,则转入步骤(2-5),否则转入步骤(2-7);
(2-5)将该程序标记属于该策略并存入已分类应用程序数据库中;
(2-6)如果这是最后一条策略,则转入步骤(2-7),否则转入步骤(2-3);
(2-7)如果当前权限不是应用程序最后一个,则转入步骤(2-2),否则结束流程。
如图3所示,步骤(3)包括以下子步骤:
(3-1)移动终端获得本终端所有应用程序信息,包括应用程序名称,权限信息等;
(3-2)云端从移动终端发送的请求中获得应用程序信息;
(3-3)云端根据终端应用程序信息从其已分类应用程序数据库中获得与该终端对应的分类后的程序列表,并将结果发送到移动终端;
(3-4)终端获得云端返回的结果并将其存入分类程序列表数据库。
如图4所示,步骤(9)包括以下子步骤:
(9-1)云端从移动终端发送的请求中获得新应用程序的权限信息和hash值;
(9-2)根据hash值判断该应用程序是否在云端的应用程序信息数据库中,如果不在则转入步骤(9-3),否则过程结束;
(9-3)将该应用程序信息添加到云端应用程序信息数据库中,根据安全策略对该程序进行分类,最后更新已分类应用程序数据库;
(9-4)云端将该应用程序分类后的结果返回移动终端。
如图5所示,本发明基于云平台的Android权限提升攻击检测系统包括程序收集和策略制定模块1、程序分类模块2、第一判断模块3、决策模块4、ICC拒绝执行模块5、ICC允许执行模块6、第二判断模块7、应用程序安装模块8、应用程序更新服务模块9、数据库更新模块10。
程序手机和策略制定模块1设置于云端,用于利用爬虫程序从应用市场下载应用程序,应用市场包括官方市场和第三方市场,并且根据已知的权限提升攻击样本制定安全策略;
程序分类模块2设置于云端,用于根据安全策略对应用程序进行分类;
第一判断模块3设置于移动终端,用于对其已分类应用程序数据库进行初始化,并判断应用程序是否有更新操作,如果有则转入第二判断模块7,否则转入决策模块4;
决策模块4设置于移动终端,用于截获应用程序组件间通信(Inter-component communication,简称ICC),并判断ICC通信的发送方和接收方是否处于本地已分类应用程序数据库中,如果是则进入ICC拒绝执行模块5,否则进入ICC允许执行模块6;
ICC拒绝执行模块5设置于移动终端,用于拒绝执行ICC通信,并将发送程序和接收程序信息上报到云端;
ICC允许执行模块6设置于移动终端,用于允许执行ICC通信;
第二判断模块7设置于移动终端,用于判断更新操作的类型是安装操作,还是卸载操作,如果是安装操作,则进入应用程序安装模块8,如果是卸载操作,则进入数据库更新模块10;
应用程序安装模块8设置于移动终端,用于向云端发出更新操作请求,具体而言,移动终端获得新应用程序的名称、权限信息和hash值等,并且将这些信息发送到云端;
应用程序更新服务模块9设置于云端,用于根据更新操作请求对移动终端的已分类应用程序数据库执行更新,并将结果发送到移动终端;
数据库更新模块10设置于移动终端,用于根据云端发送的结果或直接更新其已分类应用程序数据库和程序权限数据库。
如图6所示,程序分类模块2包括数据库操作子模块21、分类操作子模块22。
数据库分类子模块21用于读取应用程序信息数据库,并传入到分类操作子模块22。此外,当分类操作子模块22处理完数据后,通知本子模块将数据写入已分类应用程序数据库。
分类操作子模块22用于根据安全策略对应用程序信息进行分类,比如一条安全策略“拥有访问短信权限的程序不能跟拥有网络权限的程序进行通信”,那么本模块找出分别找出拥有访问短信权限和拥有网络权限的程序列表并通知数据库操作子模块21。
如图7所示,第一判断模块3包括云端数据库操作子模块31、云端初始化子模块32、终端数据库操作子模块33和终端初始化子模块34。
云端数据库操作子模块31用于读取云端已分类应用程序数据库,并将读出的数据传入云端初始化子模块32。
云端初始化子模块32用于从终端初始化子模块34中获得终端发送的应用程序信息,并向云端数据库操作子模块31获取已分类应用程序数据库中该终端对应的分类后程序列表,并将结果返回到终端初始化子模块34。
终端数据库操作子模块33用于写入从终端初始化子模块34发送的数据到本地已分类应用程序数据库中。
终端初始化子模块34用于向云端初始化子模块32发出初始化请求,并等待结果返回后发送到终端数据库操作子模块33中。
如图8所示,应用程序更新服务模块9包括数据库操作子模块91、程序安装子模块92和通信模块93。
数据库操作子模块91用于操作应用程序信息数据库和已分类应用程序数据库,读取应用程序信息数据库信息并将其发送给程序安装子模块92,还用于在新应用程序不在应用程序信息数据库时,将新应用程序信息写入应用程序信息数据库和分类后信息写入已分类应用程序数据库。
程序安装子模块92用于接受终端程序安装请求,判断新应用程序是否已经存在应用程序信息数据库中,如果不存在,需要根据安全策略对该程序进行分类,并将分类后的信息存入已分类应用程序数据库和应用程序信息数据库,最后利用通信模块93返回分类后信息给终端。
通信模块93用于对终端的通信,包括接受请求和返回数据等操作。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种基于云平台的Android权限提升攻击检测方法,其特征在于,包括以下步骤:
(1)云端利用爬虫程序从应用市场下载应用程序并加入到应用程序信息数据库,应用市场包括官方市场和第三方市场,并根据已知的权限提升攻击样本制定安全策略;
(2)云端根据安全策略对应用程序进行分类;
(3)移动终端对其已分类应用程序数据库进行初始化,并判断应用程序是否有更新操作,如果有则转入步骤(7),否则转入步骤(4);
(4)移动终端截获ICC通信,并判断ICC通信的发送方和接收方是否处于本地已分类应用程序数据库中,如果是则进入步骤(5),否则进入步骤(6);
(5)移动终端拒绝执行ICC通信,过程结束,并将发送程序和接收程序信息上报到云端;
(6)移动终端允许执行ICC通信,过程结束;
(7)移动终端判断更新操作的类型是安装操作,还是卸载操作,如果是安装操作,则进入步骤(8),如果是卸载操作,则进入步骤(10);
(8)移动终端向云端发出更新操作请求;
(9)云端根据更新操作请求对移动终端的已分类应用程序数据库执行更新,并将结果发送到移动终端;
(10)移动终端根据云端发送的结果或直接更新其已分类应用程序数据库和程序权限数据库。
2.根据权利要求1所述的Android权限提升攻击检测方法,其特征在于,安全策略具体包括应用程序的权限、应用程序之间的通信、是否允许访问应用程序。
3.根据权利要求1所述的Android权限提升攻击检测方法,其特征在于,步骤(2)包括以下子步骤:
(2-1)从应用程序信息数据库中取出一条记录;
(2-2)取出这条记录请求的一个权限;
(2-3)从策略数据库中取出一条策略;
(2-4)如果该权限在这条策略中,则转入步骤(2-5),否则转入步骤(2-7);
(2-5)将该程序标记属于该策略并存入已分类应用程序数据库中;
(2-6)如果这是最后一条策略,则转入步骤(2-7),否则转入步骤(2-3);
(2-7)如果当前权限不是应用程序最后一个,则转入步骤(2-2),否则结束流程。
4.根据权利要求1所述的Android权限提升攻击检测方法,其特征在于,步骤(3)包括以下子步骤:
(3-1)移动终端获得本终端所有应用程序信息,包括应用程序名称,权限信息等;
(3-2)云端从移动终端发送的请求中获得应用程序信息;
(3-3)云端根据终端应用程序信息从其已分类应用程序数据库中获得与该终端对应的分类后的程序列表,并将结果发送到移动终端;
(3-4)终端获得云端返回的结果并将其存入分类程序列表数据库。
5.根据权利要求1所述的Android权限提升攻击检测方法,其特征在于,步骤(9)包括以下子步骤:
(9-1)云端从移动终端发送的请求中获得新应用程序的权限信息和hash值;
(9-2)根据hash值判断该应用程序是否在云端的应用程序信息数据库中,如果不在则转入步骤(9-3),否则过程结束;
(9-3)将该应用程序信息添加到云端应用程序信息数据库中,根据安全策略对该程序进行分类,最后更新已分类应用程序数据库;
(9-4)云端将该应用程序分类后的结果返回移动终端。
6.一种基于云平台的Android权限提升攻击检测系统,包括程序收集和策略制定模块、程序分类模块、第一判断模块、决策模块、ICC拒绝执行模块、ICC允许执行模块、第二判断模块、应用程序安装模块、应用程序更新服务模块、数据库更新模块,其特征在于,
程序手机和策略制定模块设置于云端,用于利用爬虫程序从应用市场下载应用程序,应用市场包括官方市场和第三方市场,并且根据已知的权限提升攻击样本制定安全策略;
程序分类模块设置于云端,用于根据安全策略对应用程序进行分类;
第一判断模块设置于移动终端,用于对其已分类应用程序数据库进行初始化,并判断应用程序是否有更新操作,如果有则转入第二判断模块,否则转入决策模块;
决策模块设置于移动终端,用于截获ICC通信,并判断ICC通信的发送方和接收方是否处于本地已分类应用程序数据库中,如果是则进入ICC拒绝执行模块,否则进入ICC允许执行模块;
ICC拒绝执行模块设置于移动终端,用于拒绝执行ICC通信,并将发送程序和接收程序信息上报到云端;
ICC允许执行模块设置于移动终端,用于允许执行ICC通信;
第二判断模块设置于移动终端,用于判断更新操作的类型是安装操作,还是卸载操作,如果是安装操作,则进入应用程序安装模块,如果是卸载操作,则进入数据库更新模块;
应用程序安装模块设置于移动终端,用于向云端发出更新操作请求;
应用程序更新服务模块设置于云端,用于根据更新操作请求对移动终端的已分类应用程序数据库执行更新,并将结果发送到移动终端;
数据库更新模块设置于移动终端,用于根据云端发送的结果或直接更新其已分类应用程序数据库和程序权限数据库。
7.根据权利要求6所述的Android权限提升攻击检测系统,其特征在于,
程序分类模块包括数据库操作子模块、分类操作子模块;
数据库分类子模块用于读取应用程序信息数据库,并传入到分类操作子模块,并在分类操作子模块处理完数据后,通知本子模块将数据写入已分类应用程序数据库;
分类操作子模块用于根据安全策略对应用程序信息进行分类。
8.根据权利要求6所述的Android权限提升攻击检测系统,其特征在于,
第一判断模块包括云端数据库操作子模块、云端初始化子模块、终端数据库操作子模块和终端初始化子模块;
云端数据库操作子模块用于读取云端已分类应用程序数据库,并将读出的数据传入云端初始化子模块;
云端初始化子模块用于从终端初始化子模块中获得终端发送的应用程序信息,并向云端数据库操作子模块获取已分类应用程序数据库中该终端对应的分类后程序列表,并将结果返回到终端初始化子模块;
终端数据库操作子模块用于写入从终端初始化子模块发送的数据到本地已分类应用程序数据库中;
终端初始化子模块用于向云端初始化子模块发出初始化请求,并等待结果返回后发送到终端数据库操作子模块中。
9.根据权利要求6所述的Android权限提升攻击检测系统,其特征在于,
应用程序更新服务模块包括数据库操作子模块、程序安装子模块和通信模块;
数据库操作子模块用于操作应用程序信息数据库和已分类应用程序数据库,读取应用程序信息数据库信息并将其发送给程序安装子模块,还用于在新应用程序不在应用程序信息数据库时,将新应用程序信息写入应用程序信息数据库和分类后信息写入已分类应用程序数据库;
程序安装子模块用于接受终端程序安装请求,判断新应用程序是否已经存在应用程序信息数据库中,如果不存在,需要根据安全策略对该程序进行分类,并将分类后的信息存入已分类应用程序数据库和应用程序信息数据库,最后利用通信模块返回分类后信息给终端;
通信模块用于对终端的通信,包括接受请求和返回数据操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210464351.9A CN103023871B (zh) | 2012-11-16 | 2012-11-16 | 一种基于云平台的Android权限提升攻击检测系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210464351.9A CN103023871B (zh) | 2012-11-16 | 2012-11-16 | 一种基于云平台的Android权限提升攻击检测系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103023871A true CN103023871A (zh) | 2013-04-03 |
| CN103023871B CN103023871B (zh) | 2015-05-20 |
Family
ID=47972002
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210464351.9A Expired - Fee Related CN103023871B (zh) | 2012-11-16 | 2012-11-16 | 一种基于云平台的Android权限提升攻击检测系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103023871B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104102880A (zh) * | 2014-06-30 | 2014-10-15 | 华中科技大学 | 一种检测Android权限提升攻击的应用程序重写方法和系统 |
| CN104346566A (zh) * | 2013-07-31 | 2015-02-11 | 腾讯科技(深圳)有限公司 | 检测隐私权限风险的方法、装置、终端、服务器及系统 |
| CN105224868A (zh) * | 2014-06-03 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 系统漏洞攻击的检测方法及装置 |
| CN103473504B (zh) * | 2013-09-25 | 2016-05-25 | 西安交通大学 | 一种基于类别分析的Android恶意代码检测方法 |
| CN103544447B (zh) * | 2013-05-30 | 2016-10-12 | Tcl集团股份有限公司 | 一种基于安卓系统的防止机密信息泄露的方法和终端 |
| CN107005565A (zh) * | 2014-12-11 | 2017-08-01 | 比特梵德知识产权管理有限公司 | 用于自动装置检测、装置管理及远程协助的系统及方法 |
| CN107070889A (zh) * | 2017-03-10 | 2017-08-18 | 中国电建集团成都勘测设计研究院有限公司 | 一种基于云平台的统一安全防御系统 |
| CN107133513A (zh) * | 2017-05-10 | 2017-09-05 | 中南大学 | 一种支持Android运行时权限机制的第三方应用间通信访问控制方法 |
| CN110659052A (zh) * | 2019-09-30 | 2020-01-07 | 深圳市九洲电器有限公司 | 网络设备中系统软件的更新方法、系统及可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030140253A1 (en) * | 2001-11-16 | 2003-07-24 | Mark Crosbie | Method of and apparatus for detecting creation of set user identification (setuid) files, and computer program for enabling such detection |
| US20060265231A1 (en) * | 2005-05-18 | 2006-11-23 | Microsoft Corporation | Aggregation-based management of a distributed business process application |
| CN101222317A (zh) * | 2007-11-29 | 2008-07-16 | 哈尔滨工程大学 | 一种深度优先的攻击图生成方法 |
| CN101695033A (zh) * | 2009-09-25 | 2010-04-14 | 上海交通大学 | 基于权限提升的网络脆弱性分析系统 |
| US20120233699A1 (en) * | 2011-01-11 | 2012-09-13 | Sushil Jajodia | K-zero day safety |
-
2012
- 2012-11-16 CN CN201210464351.9A patent/CN103023871B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030140253A1 (en) * | 2001-11-16 | 2003-07-24 | Mark Crosbie | Method of and apparatus for detecting creation of set user identification (setuid) files, and computer program for enabling such detection |
| US20060265231A1 (en) * | 2005-05-18 | 2006-11-23 | Microsoft Corporation | Aggregation-based management of a distributed business process application |
| CN101222317A (zh) * | 2007-11-29 | 2008-07-16 | 哈尔滨工程大学 | 一种深度优先的攻击图生成方法 |
| CN101695033A (zh) * | 2009-09-25 | 2010-04-14 | 上海交通大学 | 基于权限提升的网络脆弱性分析系统 |
| US20120233699A1 (en) * | 2011-01-11 | 2012-09-13 | Sushil Jajodia | K-zero day safety |
Non-Patent Citations (2)
| Title |
|---|
| GIOVANNI RUSSELLO CREATE-NET TRENTO等: "《YAASE: Yet Another Android Security Extension》", 《2011 IEEE INTERNATIONAL CONFERENCE ON PRIVACY, SECURITY, RISK, AND TRUST, AND IEEE INTERNATIONAL CONFERENCE ON SOCIAL COMPUTING》 * |
| 沈才樑等: "《Android权限提升漏洞攻击的检测》", 《电信科学》 * |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103544447B (zh) * | 2013-05-30 | 2016-10-12 | Tcl集团股份有限公司 | 一种基于安卓系统的防止机密信息泄露的方法和终端 |
| CN104346566A (zh) * | 2013-07-31 | 2015-02-11 | 腾讯科技(深圳)有限公司 | 检测隐私权限风险的方法、装置、终端、服务器及系统 |
| CN103473504B (zh) * | 2013-09-25 | 2016-05-25 | 西安交通大学 | 一种基于类别分析的Android恶意代码检测方法 |
| CN105224868B (zh) * | 2014-06-03 | 2019-07-23 | 腾讯科技(深圳)有限公司 | 系统漏洞攻击的检测方法及装置 |
| CN105224868A (zh) * | 2014-06-03 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 系统漏洞攻击的检测方法及装置 |
| CN104102880B (zh) * | 2014-06-30 | 2016-10-05 | 华中科技大学 | 一种检测Android权限提升攻击的应用程序重写方法和系统 |
| CN104102880A (zh) * | 2014-06-30 | 2014-10-15 | 华中科技大学 | 一种检测Android权限提升攻击的应用程序重写方法和系统 |
| CN107005565A (zh) * | 2014-12-11 | 2017-08-01 | 比特梵德知识产权管理有限公司 | 用于自动装置检测、装置管理及远程协助的系统及方法 |
| CN107005565B (zh) * | 2014-12-11 | 2020-11-03 | 比特梵德知识产权管理有限公司 | 用于自动装置检测、装置管理及远程协助的系统及方法 |
| CN107070889A (zh) * | 2017-03-10 | 2017-08-18 | 中国电建集团成都勘测设计研究院有限公司 | 一种基于云平台的统一安全防御系统 |
| CN107070889B (zh) * | 2017-03-10 | 2020-04-07 | 中国电建集团成都勘测设计研究院有限公司 | 一种基于云平台的统一安全防御系统 |
| CN107133513A (zh) * | 2017-05-10 | 2017-09-05 | 中南大学 | 一种支持Android运行时权限机制的第三方应用间通信访问控制方法 |
| CN107133513B (zh) * | 2017-05-10 | 2019-09-17 | 中南大学 | 一种支持Android运行时权限机制的第三方应用间通信访问控制方法 |
| CN110659052A (zh) * | 2019-09-30 | 2020-01-07 | 深圳市九洲电器有限公司 | 网络设备中系统软件的更新方法、系统及可读存储介质 |
| CN110659052B (zh) * | 2019-09-30 | 2023-03-10 | 深圳市九洲电器有限公司 | 网络设备中系统软件的更新方法、系统及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103023871B (zh) | 2015-05-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103023871B (zh) | 一种基于云平台的Android权限提升攻击检测系统和方法 | |
| Li et al. | FBS-Radar: Uncovering Fake Base Stations at Scale in the Wild. | |
| CN101335920B (zh) | 基于主叫号码位置和发送内容的垃圾短消息识别系统及方法 | |
| CN103927485A (zh) | 基于动态监控的Android应用程序风险评估方法 | |
| CN102413076A (zh) | 基于行为分析的垃圾邮件判定系统 | |
| CN108183900B (zh) | 一种挖矿脚本检测的方法、服务器、系统、终端设备及存储介质 | |
| CN103514397A (zh) | 一种服务器、终端及权限管理、许可方法 | |
| CN104410700A (zh) | 下发骚扰电话列表的方法、骚扰电话拦截方法及系统 | |
| CN103875003A (zh) | 用于在移动网络环境中把应用列入白名单的系统和方法 | |
| CN105323261A (zh) | 数据检测方法及装置 | |
| CN104506644A (zh) | 一种进行网络数据接入的方法、装置和移动终端 | |
| CN203165218U (zh) | 一种车辆核查监控系统 | |
| CN102708309A (zh) | 恶意代码自动分析方法及系统 | |
| CN104376263A (zh) | 应用程序行为拦截的方法和装置 | |
| CN102790752A (zh) | 一种基于特征识别的欺诈信息过滤系统及方法 | |
| CN103607705A (zh) | 垃圾短信过滤方法及引擎 | |
| CN104683984A (zh) | 无线通信信号实时监测处理方法和系统 | |
| CN104317741B (zh) | 缓存目录的识别、清理方法和系统 | |
| CN104462285A (zh) | 一种移动服务查询系统的隐私保护方法 | |
| CN110995745B (zh) | 一种物联网非法机卡分离识别的方法及装置 | |
| CN102801817A (zh) | 基于用户上下文的推送方法及装置 | |
| CN105825129A (zh) | 一种融合通信中恶意软件鉴别方法和系统 | |
| CN103297267A (zh) | 一种网络行为的风险评估方法和系统 | |
| CN1869927A (zh) | 设备控制器、控制设备的方法及其程序 | |
| CN103402195A (zh) | 企业级移动终端的应用处理方法和企业级移动应用平台 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150520 Termination date: 20211116 |