CN103369520B - 移动终端的应用程序可疑行为的意图预判系统及方法 - Google Patents
移动终端的应用程序可疑行为的意图预判系统及方法 Download PDFInfo
- Publication number
- CN103369520B CN103369520B CN201210084812.XA CN201210084812A CN103369520B CN 103369520 B CN103369520 B CN 103369520B CN 201210084812 A CN201210084812 A CN 201210084812A CN 103369520 B CN103369520 B CN 103369520B
- Authority
- CN
- China
- Prior art keywords
- data
- application
- user
- module
- questionable conduct
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提出一种移动终端的应用程序可疑行为的意图预判系统,包括:云服务器,用于采集用户的应用经验数据和/或移动平台生态系统的应用经验数据,并对用户的应用经验数据和/或所述移动平台生态系统的应用经验数据进行分析以得到统计经验数据;移动终端,用于从云服务器下载指定应用程序的统计经验数据,并根据指定应用程序的统计经验数据对所述指定应用程序进行可疑行为的预判。本发明还提出了一种恶意行为检测及判定方法、云服务器及移动终端。本发明可以提高对恶意程序的监测和拦截能力,提升移动终端的安全性。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种移动终端的应用程序可疑行为的意图预判系统及方法。
背景技术
随着智能手机等移动智能终端功能的日益强大,移动智能终端应用软件数量激增,移动智能终端用户数量快速增多。但随之而来的是,带有恶意行为的应用程序也越来越多,令人防不胜防。这些应用程序的恶意行为主要有:恶意扣费或消耗套餐,窃取用户隐私资料,无提示联网下载软件,大量传播恶意软件等。如何防范这些恶意程序已经成为亟待解决的问题。
各手机操作系统平台对现有的用程序进行资源访问控制的技术具体包括以下几种:
(1)Android平台的资源访问控制机制:
在应用安装时,向用户展示应用程序所声明其所需要的权限,用户确定安装该应用则说明用户允许该应用程序使用这些权限,允许应用程序访问这些权限相对应的资源,应用安装成功后,其应用程序信息中就包含了其所声明的权限;
应用程序运行时,访问敏感资源时,系统会去判断该应用程序信息中是否包含有相应的权限,若有相应的权限则直接允许应用程序访问该资源,若没有相应的权限则系统抛出安全异常迫使应用程序停止运行来禁止应用程序访问该资源。
(2)Symbian系统通过对系统中的敏感资源进行分类,相对应的定义一些能力来控制敏感资源的访问,应用程序通过声明一些能力来请求用户赋予其访问某些敏感信息的能力。这些敏感资源的分类比较粗略,相应的能力指代的可访问资源的范围较广。
以上各平台都无法避免以下的技术缺陷:
(1)Android暴露给用户应用程序能力信息太粗略,用户只能通过这些暴露出来的应用程序信息对应用程序可能发生的恶意行为进行预判,然而预判的难度非常大并且精确度极低。Android系统只提供了一种方式,让用户大致了解应用程序的能力,就是应用程序安装包中包含声明需要使用某些权限,并且在安装成功之后可以查看应用程序使用了哪些权限。然而用户很难从粗略的权限描述上了解到应用程序的可疑行为意图。用户在安装应用是和运行应用程序之前很难知道该应用程序是否有可能发生恶意行为。
(2)Symbian系统的应用程序能力控制模型与android的类似,同样是暴露给用户应用程序能力信息太粗略,用户只能通过这些暴露出来的应用程序信息对应用程序可能发生的恶意行为进行预判,然而预判的难度非常大并且精确度极低。
也就是说,现有的手机终端系统,存在着在应用程序执行恶意行为并且被用户发现之前,未能获知应用程序存在恶意行为意图的问题。
发明内容
本发明的目的旨在至少解决上述技术缺陷之一。
为此,本发明的第一个目的在于提出一种移动终端的应用程序可疑行为的意图预判系统,可以使用户可以在应用程序执行之前,提前获知应用程序的可疑行为信息,并对应用程序进行预判断,提高对恶意程序的监测和拦截能力,提升移动终端的安全性。本发明的第二个目的在于提出一种移动终端的应用程序可疑行为的意图预判方法。本发明的第三个目的在于提出一种云服务器。本发明的第四个目的在于提出一种移动终端。
为达到上述目的,本发明第一方面的实施例提出一种移动终端的应用程序可疑行为的意图预判系统,包括:云服务器,用于采集用户的应用经验数据和/或移动平台生态系统的应用经验数据,并对所述用户的应用经验数据和/或所述移动平台生态系统的应用经验数据进行分析以得到统计经验数据;移动终端,用于从所述云服务器下载指定应用程序的统计经验数据,并根据所述指定应用程序的统计经验数据对所述指定应用程序进行可疑行为的预判。
根据本发明实施例的移动终端的应用程序可疑行为的意图预判系统,可使用户可以在应用程序执行之前,提前获知应用程序的可疑行为信息,并对应用程序进行预判断,提高对恶意程序的监测和拦截能力,提升移动终端的安全性。另一方面,利用云服务器采集应用程序的应用行为数据,并通过对应用行为数据的分析获取可疑行为特征数据,并且实现云服务器和移动终端的数据同步,从而为移动终端判断应用程序的敏感行为是否为可疑行为提供更充分的依据,提高了移动终端的恶意行为预防和监测能力。
本发明第二方面的实施例还提出了一种移动终端的应用程序可疑行为的意图预判方法,包括如下步骤:
云服务器采集用户的应用经验数据和/或移动平台生态系统的应用经验数据,并对用户的应用经验数据和/或移动平台生态系统的应用经验数据进行分析以得到统计经验数据;
移动终端向云服务器发送指定应用程序的数据请求信号;
云服务器根据接收的数据请求信号向所述移动终端推送所述指定应用程序的统计经验数据,其中,统计经验数据为用户的应用经验数据或移动平台生态系统的应用经验数据;
移动终端接收指定应用程序的统计经验数据;以及
移动终端根据指定应用程序的固有信息和/或统计经验数据对指定应用程序进行可疑行为的意图预判以判断可疑行为是否为恶意行为。
根据本发明实施例的移动终端的应用程序可疑行为的意图预判方法,可使用户可以在应用程序执行之前,提前获知应用程序的可疑行为信息,并对应用程序进行预判断,提高对恶意程序的监测和拦截能力,提升移动终端的安全性。另一方面,利用云服务器采集应用程序的应用行为数据,并通过对应用行为数据的分析获取可疑行为特征数据,并且实现云服务器和移动终端的数据同步,从而为移动终端判断应用程序的敏感行为是否为可疑行为提供更充分的依据,提高了移动终端的恶意行为预防和监测能力。
本发明第三方面的实施例提出一种云服务器,包括:提取模块,用于提取移动平台生态系统的应用经验数据和所述用户的应用经验数据,其中,所述移动平台生态系统的应用经验数据包括平台经验数据和平台数据可靠度,所述用户的应用经验数据包括用户经验数据和用户数据可靠度;比较模块,用于对所述平台数据可靠度和所述用户数据可靠度进行比较;以及输出模块,用于输出可靠度高的应用经验数据作为所述统计经验数据。
根据本发明实施例的云服务器,采集应用程序的应用行为数据,并通过对应用行为数据的分析获取可疑行为特征数据,并且实现云服务器和移动终端的数据同步,从而为移动终端判断应用程序的敏感行为是否为可疑行为提供更充分的依据。
本发明第四方面的实施例提出一种移动终端,包括:存储模块,用于存储应用程序的固有信息;获取模块,用于向所述云服务器发送指定应用程序的数据请求信号,以及接收来自所述云服务器的所述指定应用程序的统计经验数据;展示模块,用于向所述用户展示所述指定应用程序的固有信息和/或统计经验数据;预判模块,用于根据所述指定应用程序的固有信息和/或统计经验数据对所述指定应用程序进行可疑行为的意图预判以判断所述可疑行为是否为恶意行为;设置模块,用于根据意图判断结果设置所述指定应用程序对可疑行为的执行许可或执行警告。
根据本发明实施例的移动终端,可使用户可以在应用程序执行之前,提前获知应用程序的可疑行为信息,并对应用程序进行预判断,提高对恶意程序的监测和拦截能力,提升移动终端的安全性。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明实施例的移动终端的应用程序可疑行为的意图预判系统的示意图;
图2为本发明实施例的移动终端的应用程序可疑行为的意图预判方法的流程图;
图3为本发明实施例的云服务器统计经验数据的流程图;
图4为本发明实施例的云服务器向移动终端推送统计经验数据的流程图;
图5为本发明实施例的移动终端向云服务器查询应用程序可疑行为的意图并进行预判的流程图;
图6为本发明实施的云服务器的示意图;以及
图7为本发明实施例的移动终端的示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。当然,它们仅仅为示例,并且目的不在于限制本发明。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。此外,本发明提供了的各种特定的工艺和材料的例子,但是本领域普通技术人员可以意识到其他工艺的可应用于性和/或其他材料的使用。另外,以下描述的第一特征在第二特征之“上”的结构可以包括第一和第二特征形成为直接接触的实施例,也可以包括另外的特征形成在第一和第二特征之间的实施例,这样第一和第二特征可能不是直接接触。
参照下面的描述和附图,将清楚本发明的实施例的这些和其他方面。在这些描述和附图中,具体公开了本发明的实施例中的一些特定实施方式,来表示实施本发明的实施例的原理的一些方式,但是应当理解,本发明的实施例的范围不受此限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
下面参照附图详细描述根据本发明实施例的移动终端的应用程序可疑行为的意图预判系统。
如图1所示,本发明实施例的移动终端的应用程序可疑行为的意图预判系统,包括:云服务器100和移动终端200。其中,云服务器100用于采集用户的应用经验数据和/或移动平台生态系统的应用经验数据,并对用户的应用经验数据和/或移动平台生态系统的应用经验数据进行分析以得到统计经验数据。移动终端200用于从云服务器100下载指定应用程序的统计经验数据,并根据指定应用程序的统计经验数据对该指定应用程序进行可疑行为的预判。
如图1所示,云服务器100包括:提取模块101、比较模块102和输出模块103。其中,提取模块101用于提取移动平台生态系统的应用经验数据和用户的应用经验数据。具体地,云服务器100提取应用经验数据包括以下两个来源:
(1)移动终端应用程序的审核团队对最新产生的应用进行审核时,对应用程序的安全进行着重审核时,也会得到能够带来安全保障的设置和判定数据,这是数据可以作为移动平台生态系统的应用经验数据。其中,移动平台生态系统的应用经验数据可以包括移动平台生态系统经验数据e1和平台数据可靠度t1。移动平台生态系统经验数据为审核团队在使用应用程序过程中的经验数据,平台数据可靠度为移动生态系统提供的应用经验数据的可靠性程度。
(2)其它用户在使用应用程序过程中做出的设置和判定数据,然后这些设置和判定数据作为用户的应用经验数据被同步到云服务器100上。其中,用户的应用经验数据可以包括用户经验数据e2和用户数据可靠度t2。用户经验数据为用户在使用应用程序过程中的经验数据,用户数据可靠度为用户提供的应用经验数据的可靠性程度。
在本发明的一个实施例中,云服务器100还进一步包括:判断模块104,用于判断用户的应用经验数据和移动平台生态系统的应用数据是否为空。如果判断模块104判断用户的应用经验数据e2为空且移动平台生态系统的应用数据e1不为空时,即云服务器100仅接收到来自移动平台生态系统的应用数据e1,则输出模块103将移动平台生态系统的应用数据e1作为统计经验数据输出。
如果判断模块104判断移动平台生态系统的应用经验数据e1为空且用户的应用数据e2不为空时,即云服务器100仅接收到来自用户的应用经验数据e2,将输出模块103用户的应用数据e2作为所述统计经验数据输出。
如果用户的应用经验数据e2和移动平台生态系统的应用数据e1均不为空,则由比较模块102对平台数据可靠度t1和用户数据可靠度t2进行比较。输出模块103根据比较结果输出可靠度高的应用经验数据作为统计经验数据。
在本发明的一个实施例中,云服务器100还进一步包括检测模块105,检测模块105用于检测统计经验数据是否发生变化,在检测到某个应用程序的统计经验数据变化时获取变化的统计经验数据对应的应用程序,并查询对应的应用程序的用户列表。然后由输出模块103向用户列表中的用户推送变化后的统计经验数据。移动终端200在接收到上述统计经验数据后,可以直接应用云服务器100推送的数据到系统中,也可以将上述统计经验数据显示给用户,由用户判断是否需要应用该统计经验数据。
由此,云服务器100可以在检测到应用程序的统计经验数据变化时,主动向使用该应用程序的用户推送更新信息。便于用户的手机终端可以实时的更新到最新的恶意行为信息,及时地对手机上的应用程序的恶意行为进行判断以及修正。
如图1所示,移动终端200包括:存储模块201、获取模块202、展示模块203、预判模块204和设置模块205。其中,存储模块201用于存储应用程序的固有信息。在本发明的一个示例中,固有信息包括应用程序的名称、版本号、简介等。获取模块202用于向云服务器100发送指定应用程序的数据请求信号,以及接收来自云服务器100的指定应用程序的统计经验数据。展示模块203用于向用户展示指定应用程序的固有信息和/或统计经验数据。其中,如果云服务器100中未存储有该指定应用程序的统计经验数据,则只向用户展示应用程序的固有信息。
预判模块204根据指定应用程序的固有信息和/或统计经验数据对指定应用程序进行可疑行为的意图预判以判断可疑行为是否为恶意行为。设置模块205根据意图判断结果设置指定应用程序对可疑行为的执行许可或执行警告。
在本发明的一个实施例中,设置模块205在预判模块204判断可疑行为为恶意行为时,设置指定应用程序对该可疑行为的执行警告;在预判模块204判断可疑行为为非恶意行为时,设置指定应用程序对该可疑行为的执行许可。
在本发明的一个实施例中,移动终端还进一步包括:恶意行为特征模型库、敏感资源监控模块、行为采集模块、应用行为数据库、应用行为分析中心和应用安全中心。其中,恶意行为特征模型库用于存储恶意行为模型。敏感资源监控模块用于监控应用程序对敏感资源的访问以获得应用程序的行为数据。行为采集模块用于对敏感资源监控模块监控到的行为数据获得应用程序对敏感资源的可疑行为。应用行为数据库用于存储行为采集模块检测的可疑行为。应用行为分析中心用于接收来自行为采集模块的可疑行为,并调用恶意行为特征模型库中的恶意行为模型,以及将可疑行为与恶意行为模型进行匹配以判断可疑行为对应的行为是否为恶意行为。应用安全中心用于查询应用行为数据库中存储的可疑行为,以及当判断可疑行为为恶意行为后,按照恶意程度对该可疑行为所对应的应用程序访问进行排序,并设置该应用程序访问的警告级别。
其中,预判模块204可以集成于应用行为分析中心,根据指定应用程序的固有信息和/或统计经验数据对指定应用程序进行可疑行为的意图预判以判断可疑行为是否为恶意行为。设置模块205可以集成于应用安全中心,根据意图判断结果设置指定应用程序对可疑行为的执行许可或执行警告。
根据本发明实施例的移动终端的应用程序可疑行为的意图预判系统,可使用户可以在应用程序执行之前,提前获知应用程序的可疑行为信息,并对应用程序进行预判断,提高对恶意程序的监测和拦截能力,提升移动终端的安全性。另一方面,利用云服务器采集应用程序的应用行为数据,并通过对应用行为数据的分析获取可疑行为特征数据,并且实现云服务器和移动终端的数据同步,从而为移动终端判断应用程序的敏感行为是否为可疑行为提供更充分的依据,提高了移动终端的恶意行为预防和监测能力。
参见图2,本发明实施例提出了一种移动终端的应用程序可疑行为的意图预判方法,包括如下步骤:
S101:云服务器采集用户的应用经验数据和/或移动平台生态系统的应用经验数据,并对用户的应用经验数据和/或所述移动平台生态系统的应用经验数据进行分析以得到统计经验数据。
具体地,云服务器提取应用经验数据包括以下两个来源:
(1)移动终端应用程序的审核团队对最新产生的应用进行审核时,对应用程序的安全进行着重审核时,也会得到能够带来安全保障的设置和判定数据,这是数据可以作为移动平台生态系统的应用经验数据。其中,移动平台生态系统的应用经验数据可以包括移动平台生态系统经验数据e1和平台数据可靠度t1。移动平台生态系统经验数据为审核团队在使用应用程序过程中的经验数据,平台数据可靠度为移动生态系统提供的应用经验数据的可靠性程度。
(2)其它用户在使用应用程序过程中做出的设置和判定数据,然后这些设置和判定数据作为用户的应用经验数据被同步到云服务器上。其中,用户的应用经验数据可以包括用户经验数据e2和用户数据可靠度t2。用户经验数据为用户在使用应用程序过程中的经验数据,用户数据可靠度为用户提供的应用经验数据的可靠性程度。
下面参考图3对云服务器获取统计经验数据的过程进行描述。
S301:判断是否有来自移动平台生态系统的应用经验数据,如果有,则执行步骤S302,否则执行步骤S303。
S302,提取来自移动平台生态系统的应用经验数据,包括移动平台生态系统经验数据e1和平台数据可靠度t1。
S303:如果没有来自移动平台生态系统的应用经验数据,则判断移动平台生态系统经验数据e1为空,然后执行步骤S304。
S304:判断是否有来自用户的设置和判定,如果有,则执行步骤S305,否则执行S307。
S305:提取出现几率最高的设置和判断数据,作为来自用户的应用经验数据。
S306:提取来自用户的应用经验数据,包括:用户经验数据e2和用户数据可靠度t2。
S307:如果判断没有来自用户的设置和判定,则判断用户经验数据e2为空。
S308:判断移动平台生态系统经验数据e1是否不为空,如果是,则执行S309,否则执行S313。
S309:判断用户经验数据e2是否不为空,如果是,则执行S310,否则执行S311。
S310:判断平台数据可靠度t1是否高于用户数据可靠度t2,如果是,则执行S311,否则执行S313。
S311:将e1作为统计经验数据。
S312:将e2作为统计经验数据。
S313:输出统计经验数据。
如图4所示,云服务器还可以在检测到统计经验数据发生变化时,主动向对应的移动终端推送变化的统计经验数据。
S401:云服务器检测统计经验数据是否发生变化,如果检测到某个应用程序的统计经验数据发生了变化,继续向下执行S402。
S402:云服务器获取变化的统计经验数据对应的应用程序,并查询对应的应用程序的用户列表。
S403:云服务器向用户列表中的指定用户推送变化后的统计经验数据。
S404:用户终端接收变化后的统计经验数据。
S405:检查用户设置是否设置为:默认许可云服务器直接将统计经验数据推送至移动终端,如果是,则执行S407,否则执行S406。
S406:移动终端直接对应用程序的指定行为作出预判。
S407:将指定应用程序的统计经验数据和/或指定应用程序的固有信息向用户展示。
S408:用户查看收到的统计经验数据和/或固有信息,并对应用程序的指定行为作出预判。
由此,云服务器可以在检测到应用程序的统计经验数据变化时,主动向使用该应用程序的用户推送更新信息。便于用户的手机终端可以实时的更新到最新的恶意行为信息,及时地对手机上的应用程序的恶意行为进行判断以及修正。
S102:移动终端向云服务器发送指定应用程序的数据请求信号。
移动终端在应用程序安装时和用户通过系统软件主动发起请求时,会向云服务器发送应用程序可疑行为的统计经验数据的查询请求,请求获取当前最新的应用程序可疑行为的统计经验数据,便于立即对应用程序潜在的恶意行为进行预判。
S103:云服务器根据接收的数据请求信号向移动终端推送指定应用程序的统计经验数据。其中,统计经验数据为用户的应用经验数据或移动平台生态系统的应用经验数据。
S104:移动终端接收指定应用程序的统计经验数据。
S105:移动终端根据指定应用程序的固有信息和/或统计经验数据对指定应用程序进行可疑行为的意图预判,以判断该可疑行为是否为恶意行为。
下面参考图5对移动终端根据统计经验数据进行安全控制的过程进行说明。
S501:移动终端向云服务器请求获取指定应用程序的所有统计经验数据。
S502:判断统计经验数据是否不为空,如果是,则执行S503,否则执行S504。
S503:向用户展示上述统计经验数据和应用程序的固有信息。
S504:向用户展示应用程序的固有信息。
S505:对应用程序进行可疑行为意图预判。
S506:设置应用程序对可疑行为的执行操作。
移动终端在判断可疑行为为恶意行为时,设置指定应用程序对所述可疑行为的执行警告;在判断可疑行为为非恶意行为时,设置指定应用程序对所述可疑行为的执行许可。
在本发明的一个实施例中的移动终端的应用程序可疑行为的意图预判方法,还进一步包括:云服务器收集应用程序的应用行为数据,根据应用行为数据获取恶意行为特征数据并更新至移动终端。移动终端监控应用程序对敏感资源的访问以获得应用程序的行为数据并根据行为数据获得应用程序对应的可疑行为,以及将可疑行为与预设的恶意行为模型进行匹配以判断所述可疑行为是否为恶意行为。其中,敏感资源为恶意行为对应的应用程序访问的资源,恶意行为模型根据所述恶意行为特征数据建立。移动终端在判断可疑行为为恶意行为后,以恶意程度对可疑行为所对应的应用程序访问进行排序,并设置应用程序访问的警告级别。
根据本发明实施例的可疑行为检测及判定方法,可使用户可以在应用程序执行之前,提前获知应用程序的可疑行为信息,并对应用程序进行预判断,监测和拦截能力,提升移动终端的安全性。另一方面,利用云服务器采集应用程序的应用行为数据,并通过对应用行为数据的分析获取可疑行为特征数据,并且实现云服务器和移动终端的数据同步,从而为移动终端判断应用程序的敏感行为是否为可疑行为提供依据,提高了移动终端的恶意行为预防和监测能力。
下面参考图6描述根据本发明实施例的云服务器。
如图6所示,本发明实施例的云服务器100包括:提取模块101、比较模块102和输出模块103。其中,提取模块101用于提取移动平台生态系统的应用经验数据和用户的应用经验数据。具体地,云服务器100提取应用经验数据包括以下两个来源:
(1)移动终端应用程序的审核团队对最新产生的应用进行审核时,对应用程序的安全进行着重审核时,也会得到能够带来安全保障的设置和判定数据,这是数据可以作为移动平台生态系统的应用经验数据。其中,移动平台生态系统的应用经验数据可以包括移动平台生态系统经验数据e1和平台数据可靠度t1。移动平台生态系统经验数据为审核团队在使用应用程序过程中的经验数据,平台数据可靠度为移动生态系统提供的应用经验数据的可靠性程度。
(2)其它用户在使用应用程序过程中做出的设置和判定数据,然后这些设置和判定数据作为用户的应用经验数据被同步到云服务器100上。其中,用户的应用经验数据可以包括用户经验数据e2和用户数据可靠度t2。用户经验数据为用户在使用应用程序过程中的经验数据,用户数据可靠度为用户提供的应用经验数据的可靠性程度。
在本发明的一个实施例中,云服务器100还进一步包括:判断模块104,用于判断用户的应用经验数据和移动平台生态系统的应用数据是否为空。如果判断模块104判断用户的应用经验数据e2为空且移动平台生态系统的应用数据e1不为空时,即云服务器100仅接收到来自移动平台生态系统的应用数据e1,则输出模块103将移动平台生态系统的应用数据e1作为统计经验数据输出。
如果判断模块104判断移动平台生态系统的应用经验数据e1为空且用户的应用数据e2不为空时,即云服务器100仅接收到来自用户的应用经验数据e2,将输出模块103用户的应用数据e2作为所述统计经验数据输出。
如果用户的应用经验数据e2和移动平台生态系统的应用数据e1均不为空,则由比较模块102对平台数据可靠度t1和用户数据可靠度t2进行比较。输出模块103根据比较结果输出可靠度高的应用经验数据作为统计经验数据。
在本发明的一个实施例中,云服务器100还进一步包括检测模块105,检测模块105用于检测统计经验数据是否发生变化,在检测到某个应用程序的统计经验数据变化时获取变化的统计经验数据对应的应用程序,并查询对应的应用程序的用户列表。然后由输出模块103向用户列表中的用户推送变化后的统计经验数据。移动终端200在接收到上述统计经验数据后,可以直接应用云服务器100推送的数据到系统中,也可以将上述统计经验数据显示给用户,由用户判断是否需要应用该统计经验数据。
由此,云服务器100可以在检测到应用程序的统计经验数据变化时,主动向使用该应用程序的用户推送更新信息。便于用户的手机终端可以实时的更新到最新的恶意行为信息,及时地对手机上的应用程序的恶意行为进行判断以及修正。
根据本发明实施例的云服务器,采集应用程序的应用行为数据,并通过对应用行为数据的分析获取可疑行为特征数据,并且实现云服务器和移动终端的数据同步,从而为移动终端判断应用程序的敏感行为是否为可疑行为提供更充分的依据。
下面参考图7描述根据本发明实施例的移动终端。
如图7所示,本发明实施例的移动终端200包括:存储模块201、获取模块202、展示模块203、预判模块204和设置模块205。其中,存储模块201用于存储应用程序的固有信息。在本发明的一个示例中,固有信息包括应用程序的名称、版本号、简介等。获取模块202用于向云服务器100发送指定应用程序的数据请求信号,以及接收来自云服务器100的指定应用程序的统计经验数据。展示模块203用于向用户展示指定应用程序的固有信息和/或统计经验数据。其中,如果云服务器100中未存储有该指定应用程序的统计经验数据,则只向用户展示应用程序的固有信息。
预判模块204根据指定应用程序的固有信息和/或统计经验数据对指定应用程序进行可疑行为的意图预判以判断可疑行为是否为恶意行为。设置模块205根据意图判断结果设置指定应用程序对可疑行为的执行许可或执行警告。
在本发明的一个实施例中,设置模块205在预判模块204判断可疑行为为恶意行为时,设置指定应用程序对该可疑行为的执行警告;在预判模块204判断可疑行为为非恶意行为时,设置指定应用程序对该可疑行为的执行许可。
在本发明的一个实施例中,移动终端还进一步包括:恶意行为特征模型库、敏感资源监控模块、行为采集模块、应用行为数据库、应用行为分析中心和应用安全中心。其中,恶意行为特征模型库用于存储恶意行为模型。敏感资源监控模块用于监控应用程序对敏感资源的访问以获得应用程序的行为数据。行为采集模块用于对敏感资源监控模块监控到的行为数据获得应用程序对敏感资源的可疑行为。应用行为数据库用于存储行为采集模块检测的可疑行为。应用行为分析中心用于接收来自行为采集模块的可疑行为,并调用恶意行为特征模型库中的恶意行为模型,以及将可疑行为与恶意行为模型进行匹配以判断可疑行为对应的行为是否为恶意行为。应用安全中心用于查询应用行为数据库中存储的可疑行为,以及当判断可疑行为为恶意行为后,按照恶意程度对该可疑行为所对应的应用程序访问进行排序,并设置该应用程序访问的警告级别。
其中,预判模块204可以集成于应用行为分析中心,根据指定应用程序的固有信息和/或统计经验数据对指定应用程序进行可疑行为的意图预判以判断可疑行为是否为恶意行为。设置模块205可以集成于应用安全中心,根据意图判断结果设置指定应用程序对可疑行为的执行许可或执行警告。
根据本发明实施例的移动终端,可使用户可以在应用程序执行之前,提前获知应用程序的可疑行为信息,并对应用程序进行预判断,提高对恶意程序的监测和拦截能力,提升移动终端的安全性。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,″计算机可读介质″可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同限定。
Claims (21)
1.一种移动终端的应用程序可疑行为的意图预判系统,其特征在于,包括:
云服务器,所述云服务器包括:提取模块,用于提取移动平台生态系统的应用经验数据和用户的应用经验数据,其中,所述移动平台生态系统的应用经验数据包括平台经验数据和平台数据可靠度,所述用户的应用经验数据包括用户经验数据和用户数据可靠度;比较模块,用于对所述平台数据可靠度和所述用户数据可靠度进行比较;输出模块,用于输出可靠度高的应用经验数据作为统计经验数据;以及
移动终端,用于从所述云服务器下载指定应用程序的统计经验数据,并根据所述指定应用程序的统计经验数据对所述指定应用程序进行可疑行为的预判。
2.如权利要求1所述的意图预判系统,其特征在于,所述云服务器还包括判断模块,所述判断模块用于判断所述用户的应用经验数据和所述移动平台生态系统的应用数据是否为空。
3.如权利要求2所述的意图预判系统,其特征在于,所述输出模块还用于在所述用户的应用经验数据为空且所述移动平台生态系统的应用数据不为空时,将所述移动平台生态系统的应用数据作为所述统计经验数据输出,以及在所述移动平台生态系统的应用经验数据为空且所述用户的应用数据不为空时,将所述用户的应用数据作为所述统计经验数据输出。
4.如权利要求1-3中任一项所述的意图预判系统,其特征在于,所述云服务器还包括:
检测模块,用于检测所述统计经验数据是否发生变化,以及在检测到变化时获取变化的统计经验数据对应的应用程序,并查询所述对应的应用程序的用户列表;
所述输出模块向所述用户列表中的用户推送变化后的统计经验数据。
5.如权利要求1所述的意图预判系统,其特征在于,所述移动终端包括:
存储模块,用于存储应用程序的固有信息;
获取模块,用于向所述云服务器发送指定应用程序的数据请求信号,以及接收来自所述云服务器的所述指定应用程序的统计经验数据;
展示模块,用于向所述用户展示所述指定应用程序的固有信息和/或统计经验数据;
预判模块,用于根据所述指定应用程序的固有信息和/或统计经验数据对所述指定应用程序进行可疑行为的意图预判以判断所述可疑行为是否为恶意行为;
设置模块,用于根据意图判断结果设置所述指定应用程序对可疑行为的执行许可或执行警告。
6.如权利要求5所述的意图预判系统,其特征在于,所述设置模块在所述预判模块判断所述可疑行为为恶意行为时,设置所述指定应用程序对所述可疑行为的执行警告;以及在所述预判模块判断所述可疑行为为非恶意行为时,设置所述指定应用程序对所述可疑行为的执行许可。
7.如权利要求5-6中任一项所述的意图预判系统,其特征在于,所述移动终端还包括:
恶意行为特征模型库,用于存储恶意行为模型;
敏感资源监控模块,用于监控应用程序对敏感资源的访问以获得所述应用程序的行为数据;
行为采集模块,用于对所述敏感资源监控模块监控到的所述行为数据获得所述应用程序对所述敏感资源的可疑行为;
应用行为数据库,用于存储所述行为采集模块检测的所述可疑行为;
应用行为分析中心,用于接收来自所述行为采集模块的所述可疑行为,并调用所述恶意行为特征模型库中的恶意行为模型,以及将所述可疑行为与所述恶意行为模型进行匹配以判断所述可疑行为对应的行为是否为恶意行为;以及
应用安全中心,用于查询所述应用行为数据库中存储的所述可疑行为,以及当判断所述可疑行为为恶意行为后,以恶意程度对所述可疑行为所对应的应用程序访问进行排序,并设置所述应用程序访问的警告级别。
8.一种移动终端的应用程序可疑行为的意图预判方法,其特征在于,包括如下步骤:
云服务器采集用户的应用经验数据和/或移动平台生态系统的应用经验数据,并对所述用户的应用经验数据和/或所述移动平台生态系统的应用经验数据进行分析以得到统计经验数据;
移动终端向所述云服务器发送指定应用程序的数据请求信号;
所述云服务器根据接收的数据请求信号向所述移动终端推送所述指定应用程序的统计经验数据,其中,所述统计经验数据为用户的应用经验数据或移动平台生态系统的应用经验数据,其中,所述移动平台生态系统的应用经验数据包括平台经验数据和平台数据可靠度,所述用户的应用经验数据包括用户经验数据和用户数据可靠度;
所述移动终端接收所述指定应用程序的统计经验数据;以及
所述移动终端根据所述指定应用程序的固有信息和/或统计经验数据对所述指定应用程序进行可疑行为的意图预判以判断所述可疑行为是否为恶意行为。
9.如权利要求8所述的意图预判方法,其特征在于,所述对所述用户的应用经验数据和/或所述移动平台生态系统的应用经验数据进行分析得到统计经验数据,还包括如下步骤:
判断所述用户的应用经验数据和所述移动平台生态系统的应用数据是否为空;
当所述用户的应用经验数据和所述移动平台生态系统的应用数据均不为空时,对所述移动平台数据可靠度和所述用户数据可靠度进行比较;
输出可靠度高的应用经验数据作为统计经验数据。
10.如权利要求9所述的意图预判方法,其特征在于,在所述用户的应用经验数据为空且所述移动平台生态系统的应用数据不为空时,所述云服务器将所述移动平台生态系统的应用数据作为所述统计经验数据输出,
在所述移动平台生态系统的应用经验数据为空且所述用户的应用数据不为空时,所述云服务器将所述用户的应用数据作为所述统计经验数据输出。
11.如权利要求8-10中任一项所述的意图预判方法,其特征在于,还包括如下步骤:
检测所述统计经验数据是否发生变化;
在检测到变化时,所述云服务器获取变化的统计经验数据对应的应用程序,并查询所述对应的应用程序的用户列表;
所述云服务器向所述用户列表中的用户推送变化后的统计经验数据。
12.如权利要求8所述的意图预判方法,其特征在于,所述移动终端接收所述指定应用程序的统计经验数据后,还包括如下步骤
将所述指定应用程序的统计经验数据和/或所述指定应用程序的固有信息向用户展示。
13.如权利要求8所述的意图预判方法,其特征在于,所述移动终端在判断所述可疑行为为恶意行为时,设置所述指定应用程序对所述可疑行为的执行警告;
在所述预判模块判断所述可疑行为为非恶意行为时,设置所述指定应用程序对所述可疑行为的执行许可。
14.如权利要求12-13中任一项所述的意图预判方法,其特征在于,还包括如下步骤:
所述云服务器收集应用程序的应用行为数据,根据所述应用行为数据获取恶意行为特征数据并更新至移动终端;
所述移动终端监控应用程序对敏感资源的访问以获得所述应用程序的行为数据并根据所述行为数据获得所述应用程序对应的可疑行为,以及将所述可疑行为与预设的恶意行为模型进行匹配以判断所述可疑行为是否为恶意行为,其中,所述敏感资源为恶意行为对应的应用程序访问的资源,所述恶意行为模型根据所述恶意行为特征数据建立;以及
所述移动终端在判断所述可疑行为为恶意行为后,以恶意程度对所述可疑行为所对应的应用程序访问进行排序,并设置所述应用程序访问的警告级别。
15.一种云服务器,其特征在于,包括:
提取模块,用于提取移动平台生态系统的应用经验数据和用户的应用经验数据,其中,所述移动平台生态系统的应用经验数据包括平台经验数据和平台数据可靠度,所述用户的应用经验数据包括用户经验数据和用户数据可靠度;
比较模块,用于对所述平台数据可靠度和所述用户数据可靠度进行比较;以及
输出模块,用于输出可靠度高的应用经验数据作为统计经验数据。
16.如权利要求15所述的云服务器,其特征在于,还包括:
判断模块,用于判断所述用户的应用经验数据和所述移动平台生态系统的应用数据是否为空。
17.如权利要求16所述的云服务器,其特征在于,所述输出模块还用于在所述用户的应用经验数据为空且所述移动平台生态系统的应用数据不为空时,将所述移动平台生态系统的应用数据作为所述统计经验数据输出,以及在所述移动平台生态系统的应用经验数据为空且所述用户的应用数据不为空时,将所述用户的应用数据作为所述统计经验数据输出。
18.如权利要求15-17中任一项所述的云服务器,其特征在于,还包括:
检测模块,用于检测所述统计经验数据是否发生变化,以及在检测到变化时获取变化的统计经验数据对应的应用程序,并查询所述对应的应用程序的用户列表,且所述输出模块向所述用户列表中的用户推送变化后的统计经验数据。
19.一种移动终端,其特征在于,包括:
存储模块,用于存储应用程序的固有信息;
获取模块,用于向云服务器发送指定应用程序的数据请求信号,以及接收来自所述云服务器的所述指定应用程序的统计经验数据,其中,所述云服务器提取移动平台生态系统的应用经验数据和用户的应用经验数据,并对所述平台数据可靠度和所述用户数据可靠度进行比较,以及输出可靠度高的应用经验数据作为所述统计经验数据,其中所述移动平台生态系统的应用经验数据包括平台经验数据和平台数据可靠度,所述用户的应用经验数据包括用户经验数据和用户数据可靠度;
展示模块,用于向用户展示所述指定应用程序的固有信息和/或统计经验数据;
预判模块,用于根据所述指定应用程序的固有信息和/或统计经验数据对所述指定应用程序进行可疑行为的意图预判以判断所述可疑行为是否为恶意行为;
设置模块,用于根据意图判断结果设置所述指定应用程序对可疑行为的执行许可或执行警告。
20.如权利要求19所述的移动终端,其特征在于,所述设置模块还用于在所述预判模块判断所述可疑行为为恶意行为时,设置所述指定应用程序对所述可疑行为的执行警告,以及在所述预判模块判断所述可疑行为为非恶意行为时,设置所述指定应用程序对所述可疑行为的执行许可。
21.如权利要求19或20所述的移动终端,其特征在于,所述移动终端还包括:
恶意行为特征模型库,用于存储恶意行为模型;
敏感资源监控模块,用于监控应用程序对敏感资源的访问以获得所述应用程序的行为数据;
行为采集模块,用于对所述敏感资源监控模块监控到的所述行为数据获得所述应用程序对所述敏感资源的可疑行为;
应用行为数据库,用于存储所述行为采集模块检测的所述可疑行为;
应用行为分析中心,用于接收来自所述行为采集模块的所述可疑行为,并调用所述恶意行为特征模型库中的恶意行为模型,以及将所述可疑行为与所述恶意行为模型进行匹配以判断所述可疑行为对应的行为是否为恶意行为;以及
应用安全中心,用于查询所述应用行为数据库中存储的所述可疑行为,以及当判断所述可疑行为为恶意行为后,以恶意程度对所述可疑行为所对应的应用程序访问进行排序,并设置所述应用程序访问的警告级别。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210084812.XA CN103369520B (zh) | 2012-03-27 | 2012-03-27 | 移动终端的应用程序可疑行为的意图预判系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210084812.XA CN103369520B (zh) | 2012-03-27 | 2012-03-27 | 移动终端的应用程序可疑行为的意图预判系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103369520A CN103369520A (zh) | 2013-10-23 |
| CN103369520B true CN103369520B (zh) | 2016-12-14 |
Family
ID=49369844
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210084812.XA Active CN103369520B (zh) | 2012-03-27 | 2012-03-27 | 移动终端的应用程序可疑行为的意图预判系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103369520B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103632089A (zh) * | 2013-12-16 | 2014-03-12 | 北京网秦天下科技有限公司 | 应用安装包的安全检测方法、装置和系统 |
| CN105740715A (zh) * | 2016-01-29 | 2016-07-06 | 广东欧珀移动通信有限公司 | 一种安全评估方法及终端设备 |
| CN105975861A (zh) * | 2016-05-27 | 2016-09-28 | 百度在线网络技术(北京)有限公司 | 应用检测方法和装置 |
| CN107563187A (zh) * | 2017-08-30 | 2018-01-09 | 广东欧珀移动通信有限公司 | 访问操作监控方法、装置、移动终端及可读存储介质 |
| CN111538815B (zh) * | 2020-04-27 | 2023-09-22 | 北京百度网讯科技有限公司 | 一种文本查询方法、装置、设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102160048A (zh) * | 2008-09-22 | 2011-08-17 | 微软公司 | 收集和分析恶意软件数据 |
| CN102195992A (zh) * | 2010-11-01 | 2011-09-21 | 卡巴斯基实验室封闭式股份公司 | 用于对从网络下载的数据进行反病毒扫描的系统及方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060236390A1 (en) * | 2005-04-18 | 2006-10-19 | Research In Motion Limited | Method and system for detecting malicious wireless applications |
| US8881283B2 (en) * | 2006-10-06 | 2014-11-04 | Juniper Networks, Inc. | System and method of malware sample collection on mobile networks |
-
2012
- 2012-03-27 CN CN201210084812.XA patent/CN103369520B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102160048A (zh) * | 2008-09-22 | 2011-08-17 | 微软公司 | 收集和分析恶意软件数据 |
| CN102195992A (zh) * | 2010-11-01 | 2011-09-21 | 卡巴斯基实验室封闭式股份公司 | 用于对从网络下载的数据进行反病毒扫描的系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103369520A (zh) | 2013-10-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103368904B (zh) | 移动终端、可疑行为检测及判定系统和方法 | |
| CN102752730B (zh) | 消息处理的方法及装置 | |
| KR101558715B1 (ko) | 서버 결합된 멀웨어 방지를 위한 시스템 및 방법 | |
| CN103369520B (zh) | 移动终端的应用程序可疑行为的意图预判系统及方法 | |
| CN103366116B (zh) | 移动终端的应用程序潜在威胁的预判系统、方法及装置 | |
| CN104484617B (zh) | 一种基于多策略融合的数据库访问控制方法 | |
| CN103368987B (zh) | 云服务器、应用程序的审核认证及管理系统和方法 | |
| CN101542446B (zh) | 用于系统分析和管理的方法和装置 | |
| CN104376266B (zh) | 应用软件安全级别的确定方法及装置 | |
| CN109660502A (zh) | 异常行为的检测方法、装置、设备及存储介质 | |
| CN108804912A (zh) | 一种基于权限集差异的应用程序越权检测方法 | |
| CN104517054B (zh) | 一种检测恶意apk的方法、装置、客户端和服务器 | |
| CN107688933A (zh) | 资源转移方法、装置及存储介质 | |
| CN105874463A (zh) | 用于恶意软件检测的方法和装置 | |
| CN108377241A (zh) | 基于访问频率的监测方法、装置、设备和计算机存储介质 | |
| CN107229854B (zh) | 应用程序的注册方法、装置、电子设备和存储介质 | |
| CN104361285B (zh) | 移动设备应用程序的安全检测方法及装置 | |
| Sellwood et al. | Sleeping android: The danger of dormant permissions | |
| CN109885037B (zh) | 一种车辆诊断的方法及相关设备 | |
| CN104809390A (zh) | 系统安全运行的方法及装置 | |
| CN112330355B (zh) | 消费券交易数据处理方法、装置、设备及存储介质 | |
| CN105825129A (zh) | 一种融合通信中恶意软件鉴别方法和系统 | |
| CN105653946A (zh) | 基于组合事件行为触发的Android恶意行为检测系统及其检测方法 | |
| CN107888604A (zh) | 一种互联网数据获取方法及获取装置 | |
| CN109727027A (zh) | 账户识别方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |