CN103369532B - 一种移动终端恶意软件行为的黑盒检测方法 - Google Patents
一种移动终端恶意软件行为的黑盒检测方法 Download PDFInfo
- Publication number
- CN103369532B CN103369532B CN201210099310.4A CN201210099310A CN103369532B CN 103369532 B CN103369532 B CN 103369532B CN 201210099310 A CN201210099310 A CN 201210099310A CN 103369532 B CN103369532 B CN 103369532B
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- test
- software
- record
- test operation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种移动终端恶意软件行为的黑盒检测方法,所述检测方法步骤如下:步骤1,将待测软件安装到标准移动终端测试样机中,用测试样机进行测试操作,并记录各项测试操作;步骤2,打开移动运营商提供的用户业务报告记录,对照本次基本功能测试操作记录;步骤3,检查用户业务报告记录是否与测试操作记录相符,如果是则进入步骤4,如果否,则判定该软件有恶意软件行为;步骤4,连接登录到标准移动互联网测试网页,进行上网测试,记录下测试操作;步骤5,打开移动运营商提供的用户业务报告记录,对照本次上网测试操作记录;步骤6,检查用户业务报告记录中业务行为是否和测试操作相符。
Description
技术领域
本发明涉及通信领域一种移动终端信息安全的测试检测方法,特别是涉及一种移动终端恶意软件行为的黑盒检测方法。
背景技术
近年来移动终端安全事件层出不穷,移动终端的恶意软件的危害已经受到全社会普遍的高度重视。恶意软件危害最大的特点是,会窃取用户的重要信息,如个人电话号码、银行股票账号密码、个人通讯录、地理位置信息、重要文件、短信记录、通话记录、私密照片和图片等等,由于这些重要信息的泄露从而使用户巨大的经济、名誉的损失成为可能。
现有的软件测试技术中,对移动终端软件恶意软件行为的测试,共有白盒、灰盒与黑盒测试法三种技术。白盒与灰盒测试法都需要应用软件开发商或操作系统软件开发商提供软件源代码,通过对软件代码的排查,找出其中的恶意代码,这种方法工作量巨大,检测人员稍有疏忽就会遗漏关键代码。并且由于市场竞争等种种原因软件开发商往往不能提供软件源代码,同时,通过反向编译手段获得的程序并不能保证和原程序的一致性,通常反编译出来的程序与原程序会存在许多不同,虽然执行效果相同,但程序代码会发生很大的变化,非编程高手很难读懂,所以白盒与灰盒测试法并不能充分有效地检测恶意软件。目前的黑盒测试法,基本都停留在普通功能测试的层次,而且由于操作系统和应用软件的种类功能繁多,以及恶意软件常常会有隐藏拨号、发信、上网传数据的功能,目前现有的黑盒测试方法不能有效准确地检测和判别恶意软件。
另外还有开发其他工具软件对应用软件进行单独运行检测的方法,则走入了另一个误区,例如
中国专利数据库中公开的CN201010292928.3发明申请,发明名称为《 一种信息安全检测方法及移动终端》。该方案通过下载完成目标软件后,在动态虚拟机中模拟运行该目标软件;根据恶意软件知识库中的恶意行为规则判定所述目标软件是否为恶意软件;该技术方案存在有如下的不足:忽略了目标软件在安装入移动终端时,可能另外生成隐藏的其他恶意软件以及恶意行为并不伴随目标软件的运行来触发等黑客手段,所以不能根本、彻底地检测出恶意软件。
发明内容
本发明的目的在于克服现有技术的不足,提供一种移动终端恶意软件行为的黑盒检测方法,针对移动终端的应用软件,甚至移动终端自带的操作系统中可能隐藏的,非用户自愿的信息窃取恶意程序行为,进行根本性的彻底检测。以判定被检测的应用软件或者移动终端自带的操作系统本身,是否具有恶意窃取用户信息的行为,是否为恶意软件。测试效率、准确性和通用性较高,简单方便,易于实施。
为了达到上述目的,本发明采用的技术方案是,一种移动终端恶意软件行为的黑盒检测方法,它包括一台与被测应用软件或操作系统相对应的标准移动终端测试样机。该检测方法通过在标准移动终端测试样机上进行功能测试操作(手动或者自动测试操作)后,应用对比该终端在移动运营商的业务报告记录与测试端的功能测试操作记录的差异来判断被测软件是否有恶意软件行为,差异明显则判断被测软件为恶意软件,没有差异或差异微小可以忽略则判断被测软件没有恶意行为。所述检测方法步骤如下:
步骤1,将待测软件安装到标准移动终端测试样机中,用标准移动终端测试样机进行基本功能测试操作,并记录各项测试操作及其开始与结束时间;
步骤2,打开移动运营商提供的用户业务报告记录,对照本次基本功能测试操作记录;
步骤3,检查用户业务报告记录中业务行为(拨打电话、发送短信/彩信、上网的行为记录)的时间段和测试操作目标号码是否与测试操作记录相符,如果是则进入步骤4,如果否,则判定该软件为恶意软件,有恶意软件行为;
步骤4,连接登录到标准移动互联网测试网页,等待该测试网页完全打开后,退出测试网页,并断开上网连接,记录下测试操作及其开始和结束时间;
步骤5,打开移动运营商提供的用户业务报告记录,对照本次上网测试操作记录;
步骤6,检查用户业务报告记录中业务行为是否和测试操作的时间段以及标准流量相符,如果是,则本次检测通过,该软件不存在恶意软件行为,如果否,则判定该软件为恶意软件,有恶意软件行为。
上述步骤1到6的方法,同样适用于对移动终端的操作系统作检测,只是省掉将待测软件安装入移动终端这一步,其他步骤完全一样。
上述步骤1中所述的标准移动终端测试样机,可以是任何一种制式以及任何一种操作系统的移动终端,它不限于任何一家移动营运商以及使用任何一种SIM卡,并且其操作系统已经由本方法步骤检测通过,是无恶意软件行为的移动终端,同时关闭了自动新版本检测和升级的功能。
上述步骤1中的待测软件,如果有自动新版本检测和升级的功能,则需在安装到标准移动终端测试样机中后,立刻关闭该软件的自动检测新版本和升级的功能,之后再开始测试操作。
在步骤1中所述的基本功能测试操作,包括在标准移动终端测试样机中进行拨打接听电话、发送接收短信/彩信等除了连接移动互联网以外的标准移动终端测试样机使用手册中的基本功能测试操作,以及待测软件基本功能测试操作。
上述步骤4中所述的标准移动互联网测试网页,可以是专门制作的固定流量的移动互联网网页,也可以是比较测试时段内其流量大小没有改变的普通移动互联网网页。
与现有技术相比,本发明的有益效果是:第一、不需获得待测软件或操作系统的源代码,简单易操作,易实现;第二、适用于任何制式、任何移动移动营运商各种SIM卡的移动终端,以及任何操作系统,任何程序编写的软件或操作系统,通用性强;第三、针对黑客根本目的,从根源上进行检测,比现有技术都来得彻底和全面。
附图说明
图1为本发明的方法流程图。
具体实施方式
本发明的主旨在于克服现有技术的不足,提供一种移动终端恶意软件行为的黑盒检测方法,针对移动终端的应用软件,甚至移动终端自带的操作系统中可能隐藏的,非用户自愿的信息窃取恶意程序行为,进行根本性的彻底检测。以判定被检测的应用软件或者移动终端自带的操作系统本身,是否具有恶意窃取用户信息的行为,是否为恶意软件。测试效率、准确性和通用性高,简单方便,易于实施。
下面结合实施例参照附图进行详细说明,以便对本发明的技术特征及优点进行更深入的诠释。
本发明的方法流程图如图1所示,一种移动终端恶意软件行为的黑盒检测方法,所述检测方法步骤如下:
步骤1,将待测软件安装到标准移动终端测试样机中,用标准移动终端测试样机进行基本功能测试操作,并记录各项测试操作及其开始与结束时间;
步骤2,打开移动运营商提供的用户业务报告记录,对照本次基本功能测试操作记录;
步骤3,检查用户业务报告记录中业务行为(拨打电话、发送短信/彩信、上网的行为记录)的时间段和测试操作目标号码是否与测试操作记录相符,如果是则进入步骤4,如果否,则判定该软件为恶意软件,有恶意软件行为;
步骤4,连接登录到标准移动互联网测试网页,等待该测试网页完全打开后,退出测试网页,并断开上网连接,记录下测试操作及其开始和结束时间;
步骤5,打开移动运营商提供的用户业务报告记录,对照本次上网测试操作记录;
步骤6,检查用户业务报告记录中业务行为是否和测试操作的时间段以及标准流量相符,如果是,则本次检测通过,该软件不存在恶意软件行为,如果否,则判定该软件为恶意软件,有恶意软件行为。
上述步骤1到6的方法,同样适用于对移动终端的操作系统作检测,只是省掉将待测软件安装入移动终端这一步,其他步骤完全一样。
上述步骤1中所述的标准移动终端测试样机,可以是任何一种制式以及任何一种操作系统的移动终端,它不限于任何一家移动营运商以及使用任何一种SIM卡,并且其操作系统已经由本方法步骤检测通过,是无恶意软件行为的移动终端,同时关闭了自动新版本检测和升级的功能。
上述步骤1中的待测软件,如果有自动新版本检测和升级的功能,则需在安装到标准移动终端测试样机中后,立刻关闭该软件的自动检测新版本和升级的功能,之后再开始测试操作。
在步骤1中所述的基本功能测试操作,包括在标准移动终端测试样机中进行拨打接听电话、发送接收短信/彩信等除了连接移动互联网以外的标准移动终端测试样机使用手册中的基本功能测试操作,以及待测软件基本功能测试操作。
上述步骤4中所述的标准移动互联网测试网页,可以是专门制作的固定流量的移动互联网网页,也可以是比较测试时段内其流量大小没有改变的普通移动互联网网页。
不需获得待测软件或操作系统的源代码,简单易操作,易实现;适用于任何制式、任何移动移动营运商各种SIM卡的移动终端,以及任何操作系统,任何程序编写的软件或操作系统,通用性强;针对黑客根本目的,从根源上进行检测,比现有技术都来得彻底和全面。
以上内容是结合具体的优选实施方式对本发明所作的进一步的详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域技术人员来说,在不脱离本发明构思的前提下,做出简单的更改或优化,都应当视为本发明的保护范围。
Claims (6)
1.一种移动终端恶意软件行为的黑盒检测方法,所述检测方法步骤如下:
步骤1,将待测软件安装到标准移动终端测试样机中,用标准移动终端测试样机进行基本功能测试操作,并记录各项测试操作及其开始与结束时间;
步骤2,打开移动运营商提供的用户业务报告记录,对照本次基本功能测试操作记录;
步骤3,检查用户业务报告记录中业务行为的时间段和测试操作目标号码是否与测试操作记录相符,如果是则进入步骤4,如果否,则判定该软件为恶意软件,有恶意软件行为;
步骤4,连接登录到标准移动互联网测试网页,等待该测试网页完全打开后,退出测试网页,并断开上网连接,记录下测试操作及其开始和结束时间;
步骤5,打开移动运营商提供的用户业务报告记录,对照本次上网测试操作记录;
步骤6,检查用户业务报告记录中业务行为是否和测试操作的时间段以及标准流量相符,如果是,则本次检测通过,该软件不存在恶意软件行为,如果否,则判定该软件为恶意软件,有恶意软件行为。
2.根据权利要求1所述的移动终端恶意软件行为的黑盒检测方法,其特征在于:步骤1到6的方法,同样适用于对移动终端的操作系统作检测,只是省掉将待测软件安装入移动终端这一步,其他步骤完全一样。
3.根据权利要求2所述的移动终端恶意软件行为的黑盒检测方法,其特征在于:步骤1至6中所述的标准移动终端测试样机,可以是任何一种制式以及任何一种操作系统的移动终端,它不限于任何一家移动营运商以及使用任何一种SIM卡,并且其操作系统已经由本方法步骤检测通过,是无恶意软件行为的移动终端,同时关闭了自动新版本检测和升级的功能。
4.根据权利要求3所述的移动终端恶意软件行为的黑盒检测方法,其特征在于:步骤1至6中的待测软件,如果有自动新版本检测和升级的功能,则需在安装入标准移动终端测试样机后,立刻关闭该软件的自动检测新版本和升级的功能,之后再开始测试操作。
5.根据权利要求4所述的移动终端恶意软件行为的黑盒检测方法,其特征在于:所述的基本功能测试操作,包括在标准移动终端测试样机中进行基本功能测试操作,以及待测软件基本功能测试操作。
6.根据权利要求5所述的移动终端恶意软件行为的黑盒检测方法,其特征在于:所述的标准移动互联网测试网页,是专门制作的固定流量的移动互联网网页。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210099310.4A CN103369532B (zh) | 2012-04-09 | 2012-04-09 | 一种移动终端恶意软件行为的黑盒检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210099310.4A CN103369532B (zh) | 2012-04-09 | 2012-04-09 | 一种移动终端恶意软件行为的黑盒检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103369532A CN103369532A (zh) | 2013-10-23 |
| CN103369532B true CN103369532B (zh) | 2018-07-13 |
Family
ID=49369852
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210099310.4A Active CN103369532B (zh) | 2012-04-09 | 2012-04-09 | 一种移动终端恶意软件行为的黑盒检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103369532B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6188956B2 (ja) | 2013-12-30 | 2017-08-30 | ノキア テクノロジーズ オーユー | マルウェア検出検査方法及び装置 |
| CN103916291A (zh) * | 2014-04-14 | 2014-07-09 | 中国联合网络通信集团有限公司 | 上网日志留存系统测试方法和装置 |
| CN104217164B (zh) * | 2014-09-11 | 2018-02-02 | 工业和信息化部电子第五研究所 | 智能移动终端恶意软件的检测方法与装置 |
| CN108108615A (zh) * | 2016-11-24 | 2018-06-01 | 阿里巴巴集团控股有限公司 | 应用检测方法、装置及检测设备 |
| CN109347890B (zh) * | 2018-12-25 | 2021-06-29 | 中国移动通信集团江苏有限公司 | 伪终端检测的方法、装置、设备和介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1411706A1 (en) * | 2002-10-18 | 2004-04-21 | Lg Electronics Inc. | Integrated web browsing service system and method thereof |
| EP1672946A1 (en) * | 2004-12-17 | 2006-06-21 | Samsung Electronics Co., Ltd. | User identification method in mobile communication system and mobile station, and mobile communication system therefor |
| CN101482846A (zh) * | 2008-12-25 | 2009-07-15 | 上海交通大学 | 基于可执行代码逆向分析的漏洞挖掘方法 |
| CN101959193A (zh) * | 2010-09-26 | 2011-01-26 | 宇龙计算机通信科技(深圳)有限公司 | 一种信息安全检测方法及移动终端 |
-
2012
- 2012-04-09 CN CN201210099310.4A patent/CN103369532B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1411706A1 (en) * | 2002-10-18 | 2004-04-21 | Lg Electronics Inc. | Integrated web browsing service system and method thereof |
| EP1672946A1 (en) * | 2004-12-17 | 2006-06-21 | Samsung Electronics Co., Ltd. | User identification method in mobile communication system and mobile station, and mobile communication system therefor |
| CN101482846A (zh) * | 2008-12-25 | 2009-07-15 | 上海交通大学 | 基于可执行代码逆向分析的漏洞挖掘方法 |
| CN101959193A (zh) * | 2010-09-26 | 2011-01-26 | 宇龙计算机通信科技(深圳)有限公司 | 一种信息安全检测方法及移动终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103369532A (zh) | 2013-10-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106845236A (zh) | 一种针对iOS平台的应用程序多维度隐私泄露检测方法及系统 | |
| CN103309808B (zh) | 基于标签的安卓用户隐私泄露黑盒检测方法及系统 | |
| CN103369532B (zh) | 一种移动终端恶意软件行为的黑盒检测方法 | |
| CN103186740B (zh) | 一种Android恶意软件的自动化检测方法 | |
| KR102057565B1 (ko) | 멀웨어를 검출하기 위한 컴퓨팅 디바이스 | |
| CN102779255B (zh) | 判断恶意程序的方法及装置 | |
| CN103473509A (zh) | Android平台恶意软件自动检测方法 | |
| KR20110128632A (ko) | 스마트폰 응용프로그램의 악성행위 탐지 방법 및 장치 | |
| US20130117855A1 (en) | Apparatus for automatically inspecting security of applications and method thereof | |
| CN106570399B (zh) | 一种跨App组件间隐私泄露的检测方法 | |
| CN103279706A (zh) | 拦截在移动终端中安装安卓应用程序的方法和装置 | |
| CN103685251A (zh) | 一种面向移动互联网的Android恶意软件检测平台 | |
| CN102082802A (zh) | 一种基于行为的移动终端的安全防护系统和方法 | |
| CN105956474A (zh) | Android平台软件异常行为检测系统 | |
| CN105303109A (zh) | 一种恶意代码情报检测分析方法及系统 | |
| CN108804912A (zh) | 一种基于权限集差异的应用程序越权检测方法 | |
| CN103065090A (zh) | 一种应用程序恶意广告拦截方法及装置 | |
| Merlo et al. | Measuring and estimating power consumption in android to support energy-based intrusion detection | |
| CN104504337A (zh) | 一种安卓数据泄露的恶意应用检测方法 | |
| CN104640138B (zh) | 一种定位问题终端的方法及装置 | |
| CN105975856A (zh) | 一种移动终端病毒动态检测方法及系统 | |
| CN104462973A (zh) | 移动终端中应用程序的动态恶意行为检测系统及方法 | |
| CN105718792A (zh) | 一种基于沙箱的二维码检测方法及系统 | |
| CN109858250A (zh) | 一种基于级联分类器的安卓恶意代码检测模型方法 | |
| CN103870750A (zh) | 一种在浏览器中实现设备安全扫描的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |