CN103279708A - 一种移动终端恶意代码行为监控和分析的方法及系统 - Google Patents
一种移动终端恶意代码行为监控和分析的方法及系统 Download PDFInfo
- Publication number
- CN103279708A CN103279708A CN2012105809600A CN201210580960A CN103279708A CN 103279708 A CN103279708 A CN 103279708A CN 2012105809600 A CN2012105809600 A CN 2012105809600A CN 201210580960 A CN201210580960 A CN 201210580960A CN 103279708 A CN103279708 A CN 103279708A
- Authority
- CN
- China
- Prior art keywords
- monitoring
- software program
- behavior
- terminal device
- malicious code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种移动终端恶意代码行为监控和分析的方法及系统,首先,将数据库中的软件程序分发至各终端设备中;在各终端设备中安装并运行软件程序,模拟用户常用操作触发恶意代码敏感行为,并在各终端设备中设置监视点,若存在敏感行为触发监视点,则记录所述敏感行为并生成行为日志;收集各终端设备中的行为日志;对于同属一个软件程序的行为日志进行关联分析,判断所述软件程序的危害程度。从而,可以快速处理海量的软件程序样本,进行动态行为监控和分析。
Description
技术领域
本发明涉及移动终端安全技术领域,尤其涉及一种移动终端恶意代码行为监控和分析的方法及系统。
背景技术
随着移动终端的日趋复杂化、智能化和联网化,移动终端在信息安全上所面临的问题也逐渐凸现出来。目前,移动终端结构比较松散,没有提供措施对内部器件进行统一管理和认证,并且,在操作系统设计上缺乏有效的安全策略。移动终端在进行业务应用时将面临多种形式的威胁,例如:病毒、机密信息的泄露、代码的非法篡改、关键器件的恶意替换等。
由于移动终端具备极强的可移动性、硬件和操作系统的封闭性,当突发的移动终端安全事件或新的恶意代码家族出现时,现有的恶意代码分析技术和系统难以快速确定恶意程序的主要恶意行为,同时难以自动筛选包含恶意代码的软件程序。
发明内容
针对上述技术问题,本发明提供了一种移动终端恶意代码行为监控和分析的方法及系统,该方法通过将海量软件程序同时分发至各终端设备中,通过运行各软件程序,并监控软件程序的动态行为,快速判断软件程序是否是恶意代码程序。
本发明采用如下方法来实现:一种移动终端恶意代码行为监控和分析的方法,包括:
将数据库中的软件程序分发至各终端设备中;
在各终端设备中安装并运行软件程序,模拟用户常用操作触发恶意代码敏感行为,并在各终端设备中设置监视点,若存在敏感行为触发监视点,则记录所述敏感行为并生成行为日志;
收集各终端设备中的行为日志;
对于同属一个软件程序的行为日志进行关联分析,判断所述软件程序的危害程度。
方法中,各终端设备依照设定的流程同时处理软件程序。
方法中,所述将数据库中的软件程序分发至各终端设备中包括,根据终端设备的负载情况进行软件程序的分发。
方法中,所述安装并运行软件程序包括:手动运行或者自动运行软件程序,触发软件程序的恶意行为。
方法中,所述监视点包括:短信/wap推送信息监控,数据库操作监控,定位信息监控,网络连接监控,底层操作监控,敏感文件监控;
其中,短信/wap推送信息监控为:若软件程序存在拦截短息或wap推送信息行为,则记录,并同时记录被拦截信息或者短信号码或者短信内容;
数据库操作监控为:若软件程序存在对短信数据库、联系人数据库等个人隐私信息数据库的查询、删除等操作,则记录该行为;
定位信息监控为:若软件程序存在获取移动设备当前定位信息,更新当前定位信息和获取历史定位信息的操作时,则记录该行为;
网络连接监控为:若软件程序存在联网行为,则记录相关URL连接及连接参数等网络行为;
底层操作监控为:若软件程序存在调用底层命令,实现更底层、更隐蔽的操作,则记录该行为;
敏感文件操作为:若软件程序存在在敏感目录下进行文件的创建、删除、修改或者执行等操作,则记录该行为;
其他监控包括:若软件程序存在获取设备硬件信息,账号信息等操作,则记录该行为。
方法中,所述终端设备包括:真实移动终端设备或者设备模拟器。
一种移动终端恶意代码行为监控和分析的系统,包括:
分发模块,用于将数据库中的软件程序分发至各终端设备中;
控制模块,在各终端设备中安装并运行软件程序,模拟用户常用操作触发恶意代码敏感行为,并在各终端设备中设置监视点,若存在敏感行为触发监视点,则记录所述敏感行为并生成行为日志;
回收模块,用于收集各终端设备中的行为日志;
检测模块,对于同属一个软件程序的行为日志进行关联分析,判断所述软件程序的危害程度。
系统中,所述分发模块根据终端设备的负载情况进行软件程序的分发。
系统中,控制模块中所述安装并运行软件程序包括:手动运行或者自动运行软件程序,触发软件程序的恶意行为。
系统中,控制模块中所述监视点包括:短信/wap推送信息监控,数据库操作监控,定位信息监控,网络连接监控,底层操作监控,敏感文件监控;
其中,短信/wap推送信息监控为:若软件程序存在拦截短息或wap推送信息行为,则记录,并同时记录被拦截信息或者短信号码或者短信内容;
数据库操作监控为:若软件程序存在对短信数据库、联系人数据库等个人隐私信息数据库的查询、删除等操作,则记录该行为;
定位信息监控为:若软件程序存在获取移动设备当前定位信息,更新当前定位信息和获取历史定位信息的操作时,则记录该行为;
网络连接监控为:若软件程序存在联网行为,则记录相关URL连接及连接参数等网络行为;
底层操作监控为:若软件程序存在调用底层命令,实现更底层、更隐蔽的操作,则记录该行为;
敏感文件操作为:若软件程序存在在敏感目录下进行文件的创建、删除、修改或者执行等操作,则记录该行为;
其他监控包括:若软件程序存在获取设备硬件信息,账号信息等操作,则记录该行为。
系统中,所述终端设备包括:真实移动终端设备或者设备模拟器。
综上所述,本发明提供了一种移动终端恶意代码行为监控和分析的方法及系统,首先将海量待检测软件程序分发至各终端设备中,安装并运行软件程序,通过在敏感文件或者敏感位置设置监视点的方法,对于软件程序进行动态行为监控,若出现敏感行为则记录,根据各终端设备返回的行为日志,判断软件程序的危害程度。上述方案可以快速完成海量软件程序的行为监控和是否恶意代码程序的定性,使得移动终端恶意代码检测效率大幅提高。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种移动终端恶意代码行为监控和分析的方法流程图;
图2为本发明提供的一种移动终端恶意代码行为监控和分析的系统结构图。
具体实施方式
本发明给出了一种移动终端恶意代码行为监控和分析的方法及系统,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种移动终端恶意代码行为监控和分析的方法,如图1所示,包括:
S101将数据库中的软件程序分发至各终端设备中;
S102在各终端设备中安装并运行软件程序,模拟用户常用操作触发恶意代码敏感行为,并在各终端设备中设置监视点,若存在敏感行为触发监视点,则记录所述敏感行为并生成行为日志;
S103收集各终端设备中的行为日志;
S104对于同属一个软件程序的行为日志进行关联分析,判断所述软件程序的危害程度;例如,采用代价敏感的贝叶斯决策算法分析行为序列,最终判断软件程序是否恶意。
优选地,所述将数据库中的软件程序分发至各终端设备中为,根据终端设备的负载情况进行软件程序的分发。
优选地,所述安装并运行软件程序包括:手动运行或者自动运行软件程序,触发软件程序的恶意行为。
其中,触发恶意行为的方式包括:模拟系统广播消息、模拟短信接收或者模拟用户常用操作。
优选地,所述监视点包括:短信/wap推送信息监控,数据库操作监控,定位信息监控,网络连接监控,底层操作监控,敏感文件监控。
优选地,所述终端设备包括:真实移动终端设备或者设备模拟器;例如,移动通信设备(手持电话,智能电话)、便携式娱乐设备(ipad、GALAXY、PS等)、或者相关的设备模拟器等。
本发明还提供了一种移动终端恶意代码行为监控和分析的系统,如图2所示,包括:
分发模块201,用于将数据库中的软件程序分发至各终端设备中;
控制模块202,在各终端设备中安装并运行软件程序,模拟用户常用操作触发恶意代码敏感行为,并在各终端设备中设置监视点,若存在敏感行为触发监视点,则记录所述敏感行为并生成行为日志;
回收模块203,用于收集各终端设备中的行为日志;
检测模块204,对于同属一个软件程序的行为日志进行关联分析,判断所述软件程序的危害程度;例如,采用代价敏感的贝叶斯决策算法分析行为序列,最终判断软件程序是否恶意。
优选地,所述分发模块根据终端设备的负载情况进行软件程序的分发。
优选地,控制模块中所述安装并运行软件程序包括:手动运行或者自动运行软件程序,触发软件程序的恶意行为。
其中,触发恶意行为的方式包括:模拟系统广播消息、模拟短信接收或者模拟用户常用操作。
优选地,控制模块中所述监视点包括:短信/wap推送信息监控,数据库操作监控,定位信息监控,网络连接监控,底层操作监控,敏感文件监控。
优选地,所述终端设备包括:真实移动终端设备或者设备模拟器;例如,移动通信设备(手持电话,智能电话)、便携式娱乐设备(ipad、GALAXY、PS等)、或者相关的设备模拟器等。
如上所述,本发明给出了一种移动终端恶意代码行为监控和分析的方法及系统,其与传统方法的区别在于,对于传统方法来说,其对于移动终端恶意代码检测存在很大的滞后性,检测速度过慢,而本发明所提供的技术方案,通过将海量的软件程序同时分发至各终端设备中,安装并运行,同时模拟用户常用操作,对敏感行为进行动态行为监控,存在敏感行为则记录并分析,从而快速完成软件程序的养殖和行为监控,生成行为日志供专业人员使用。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (8)
1.一种移动终端恶意代码行为监控和分析的方法,其特征在于,包括:
将数据库中的软件程序分发至各终端设备中;
在各终端设备中安装并运行软件程序,模拟用户常用操作触发恶意代码敏感行为,并在各终端设备中设置监视点,若存在敏感行为触发监视点,则记录所述敏感行为并生成行为日志;
收集各终端设备中的行为日志;
对于同属一个软件程序的行为日志进行关联分析,判断所述软件程序的危害程度。
2.如权利要求1所述的方法,其特征在于,所述将数据库中的软件程序分发至各终端设备中包括,根据终端设备的负载情况进行软件程序的分发。
3.如权利要求1所述的方法,其特征在于,所述安装并运行软件程序包括:手动运行或者自动运行软件程序。
4.如权利要求1所述的方法,其特征在于,所述监视点包括:短信/wap推送信息监控,数据库操作监控,定位信息监控,网络连接监控,底层操作监控,敏感文件监控。
5.一种移动终端恶意代码行为监控和分析的系统,其特征在于,包括:
分发模块,用于将数据库中的软件程序分发至各终端设备中;
控制模块,在各终端设备中安装并运行软件程序,模拟用户常用操作触发恶意代码敏感行为,并在各终端设备中设置监视点,若存在敏感行为触发监视点,则记录所述敏感行为并生成行为日志;
回收模块,用于收集各终端设备中的行为日志;
检测模块,对于同属一个软件程序的行为日志进行关联分析,判断所述软件程序的危害程度。
6.如权利要求5所述的系统,其特征在于,所述分发模块根据终端设备的负载情况进行软件程序的分发。
7.如权利要求5所述的系统,其特征在于,控制模块中所述安装并运行软件程序包括:手动运行或者自动运行软件程序。
8.如权利要求5所述的系统,其特征在于,控制模块中所述监视点包括:短信/wap推送信息监控,数据库操作监控,定位信息监控,网络连接监控,底层操作监控,敏感文件监控。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012105809600A CN103279708A (zh) | 2012-12-28 | 2012-12-28 | 一种移动终端恶意代码行为监控和分析的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012105809600A CN103279708A (zh) | 2012-12-28 | 2012-12-28 | 一种移动终端恶意代码行为监控和分析的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103279708A true CN103279708A (zh) | 2013-09-04 |
Family
ID=49062223
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012105809600A Pending CN103279708A (zh) | 2012-12-28 | 2012-12-28 | 一种移动终端恶意代码行为监控和分析的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103279708A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103268448A (zh) * | 2013-05-24 | 2013-08-28 | 北京网秦天下科技有限公司 | 动态检测移动应用的安全性的方法和系统 |
| CN103902907A (zh) * | 2013-12-25 | 2014-07-02 | 武汉安天信息技术有限责任公司 | 一种基于行为分析模板的动态分析优化方法及系统 |
| CN106453320A (zh) * | 2016-10-14 | 2017-02-22 | 北京奇虎科技有限公司 | 恶意样本的识别方法及装置 |
| CN108573147A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 一种恶意样本的筛选装置及方法 |
| CN109711151A (zh) * | 2017-10-25 | 2019-05-03 | 武汉安天信息技术有限责任公司 | 一种应用程序不良行为的预测方法、系统及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020194474A1 (en) * | 2001-01-31 | 2002-12-19 | Takeshi Natsuno | Method and apparatus for delivering program to storage module of mobile terminal |
| CN1760883A (zh) * | 2005-11-10 | 2006-04-19 | 上海交通大学 | 支持大规模多用户并发控制的计算机病毒实验方法 |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
| US20100154056A1 (en) * | 2008-12-17 | 2010-06-17 | Symantec Corporation | Context-Aware Real-Time Computer-Protection Systems and Methods |
| CN101959193A (zh) * | 2010-09-26 | 2011-01-26 | 宇龙计算机通信科技(深圳)有限公司 | 一种信息安全检测方法及移动终端 |
| CN102082802A (zh) * | 2011-03-01 | 2011-06-01 | 陈彪 | 一种基于行为的移动终端的安全防护系统和方法 |
| CN102354352A (zh) * | 2011-09-23 | 2012-02-15 | 宇龙计算机通信科技(深圳)有限公司 | 监控应用软件安全的方法及装置 |
-
2012
- 2012-12-28 CN CN2012105809600A patent/CN103279708A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020194474A1 (en) * | 2001-01-31 | 2002-12-19 | Takeshi Natsuno | Method and apparatus for delivering program to storage module of mobile terminal |
| CN1760883A (zh) * | 2005-11-10 | 2006-04-19 | 上海交通大学 | 支持大规模多用户并发控制的计算机病毒实验方法 |
| US20100154056A1 (en) * | 2008-12-17 | 2010-06-17 | Symantec Corporation | Context-Aware Real-Time Computer-Protection Systems and Methods |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
| CN101959193A (zh) * | 2010-09-26 | 2011-01-26 | 宇龙计算机通信科技(深圳)有限公司 | 一种信息安全检测方法及移动终端 |
| CN102082802A (zh) * | 2011-03-01 | 2011-06-01 | 陈彪 | 一种基于行为的移动终端的安全防护系统和方法 |
| CN102354352A (zh) * | 2011-09-23 | 2012-02-15 | 宇龙计算机通信科技(深圳)有限公司 | 监控应用软件安全的方法及装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103268448A (zh) * | 2013-05-24 | 2013-08-28 | 北京网秦天下科技有限公司 | 动态检测移动应用的安全性的方法和系统 |
| CN103268448B (zh) * | 2013-05-24 | 2016-04-20 | 北京网秦天下科技有限公司 | 动态检测移动应用的安全性的方法和系统 |
| CN103902907A (zh) * | 2013-12-25 | 2014-07-02 | 武汉安天信息技术有限责任公司 | 一种基于行为分析模板的动态分析优化方法及系统 |
| CN106453320A (zh) * | 2016-10-14 | 2017-02-22 | 北京奇虎科技有限公司 | 恶意样本的识别方法及装置 |
| CN106453320B (zh) * | 2016-10-14 | 2019-06-18 | 北京奇虎科技有限公司 | 恶意样本的识别方法及装置 |
| CN108573147A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 一种恶意样本的筛选装置及方法 |
| CN109711151A (zh) * | 2017-10-25 | 2019-05-03 | 武汉安天信息技术有限责任公司 | 一种应用程序不良行为的预测方法、系统及装置 |
| CN109711151B (zh) * | 2017-10-25 | 2021-08-20 | 武汉安天信息技术有限责任公司 | 一种应用程序不良行为的预测方法、系统及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104462970B (zh) | 一种基于进程通信的Android应用程序权限滥用检测方法 | |
| CN108133139B (zh) | 一种基于多运行环境行为比对的安卓恶意应用检测系统 | |
| CN104376266B (zh) | 应用软件安全级别的确定方法及装置 | |
| CN106599709B (zh) | 一种防隐私信息泄露的方法、装置及终端 | |
| CN110933103B (zh) | 反爬虫方法、装置、设备和介质 | |
| CN103473509A (zh) | Android平台恶意软件自动检测方法 | |
| CN103905423A (zh) | 一种基于动态行为分析的有害广告件检测方法及系统 | |
| CN103279708A (zh) | 一种移动终端恶意代码行为监控和分析的方法及系统 | |
| CN105117544A (zh) | 基于移动云计算的Android平台App风险评估方法与装置 | |
| CN103927485A (zh) | 基于动态监控的Android应用程序风险评估方法 | |
| CN103368904A (zh) | 移动终端、可疑行为检测及判定系统和方法 | |
| CN102831021A (zh) | 插件拦截或清理的方法及装置 | |
| CN105825129B (zh) | 一种融合通信中恶意软件鉴别方法和系统 | |
| CN107766728A (zh) | 移动应用安全管理装置、方法及移动作业安全防护系统 | |
| CN104809397A (zh) | 一种基于动态监控的Android恶意软件的检测方法及系统 | |
| CN102508768B (zh) | 应用程序监控方法及装置 | |
| CN104392160A (zh) | 身份认证方法及装置 | |
| CN106156611A (zh) | 智能手机应用程序的动态分析方法及系统 | |
| CN104462973A (zh) | 移动终端中应用程序的动态恶意行为检测系统及方法 | |
| CN104123496B (zh) | 一种流氓软件的拦截方法及装置、终端 | |
| CN105872762A (zh) | 智能云电视应用程序的安装方法及装置 | |
| CN103679028A (zh) | 软件行为监控方法和终端 | |
| CN112565278A (zh) | 一种捕获攻击的方法及蜜罐系统 | |
| CN106357919A (zh) | 一种骚扰电话拦截方法和装置 | |
| CN107644165A (zh) | 安全防护平台以及安全防护方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130904 |
|
| RJ01 | Rejection of invention patent application after publication |