CN103746992A - 基于逆向的入侵检测系统及其方法 - Google Patents
基于逆向的入侵检测系统及其方法 Download PDFInfo
- Publication number
- CN103746992A CN103746992A CN201410005098.XA CN201410005098A CN103746992A CN 103746992 A CN103746992 A CN 103746992A CN 201410005098 A CN201410005098 A CN 201410005098A CN 103746992 A CN103746992 A CN 103746992A
- Authority
- CN
- China
- Prior art keywords
- module
- intrusion
- behavior
- reverse
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种基于逆向的入侵检测系统及其方法,涉及网络加密协议领域。本系统包括数据提取模块、逆向分析模块、入侵规则模块、响应模块和数据管理模块。本方法是:①数据提取模块捕获所有流经安卓手机的网络数据包,发送给逆向分析引擎,数据提取模块获取网络进程以及用户行为,生成系统日志和网络日志发送给数据管理模块;②逆向分析引擎通过TCP/IP协议分析技术和apk反编译逆向技术,结合系统日志和网络日志识别入侵行为;③响应模块对逆向分析引擎识别出来的入侵行为进行警告以及记录;④用户所有的信息都会存放在数据管理模块中,方便以后取证查找。本发明具有安全性、时效性、可扩展性和超前性。
Description
技术领域
本发明涉及网络加密协议领域,尤其涉及一种基于逆向的入侵检测系统及其方法,具有可扩展性和高时效性的优势。
背景技术
根据专业手机杀毒软件企业安全管家发布的《2013年上半年度手机安全行业分析报告》显示,2013年上半年,共发现手机恶意软件33930款,其中基于安卓平台的恶意软件就有26580款,增长非常迅猛。26580款恶意软件中,其中有12%存在盗取用户的隐私信息如地理位置信息、通讯录、短信及设备信息等的现象。入侵检测系统能识别入侵行为,对盗取用户隐私信息的危险进行有效抑制,对维护网络安全具有很大的实用价值。
复旦大学计算机科学技术学院研究团队对移动智能终端用户隐私泄露问题也进行了相应的研究。研究结果显示在该团队抽样33个热门的安卓应用程序中,58%的程序存在隐私泄露行为,其中有25%的应用程序对用户的隐私信息进行加密后上传至服务器,加大了审查认证的难度。
发明内容
本发明的目的就在于克服现有技术存在的缺点和不足,针对隐私信息的加密操作,提供一种基于逆向的入侵检测系统及其方法,实现对加密入侵行为的识别。
实现本发明目的技术方案是:
本发明主要检测用户隐私泄露的问题,遵从网络信息安全的保密性,从手机侧获得用户的行为特征,实现对危险行为的预警以及隐私泄露的警告,为维护网络安全奠定了理论基础。
本发明通过对当今安卓手机入侵行为,尤其是泄露用户隐私这个危险较大的行为进行详细研究,通过以下3种方式实现入侵行为的检测:
1、利用TCP/IP(Transmission Control Protocol / Internet Protocol,传输控制/网络通讯)协议对未加密入侵行为产生的网络数据包进行分析,获取特征字写到入侵规则模块中,在此之后的用户数据包,一旦命中入侵规则模块,则被识别成已知的入侵行为。
2、根据网络日志判断入侵行为,分析入侵行为和手机正常应用程序行为特征在相关日志的具体表现形式与差异性,总结归纳出手机入侵行为检测规则,比如浏览一些HTTP(Hyper Text Transport Protocol,超文本传输协议)的网站,其访问地址中不会带有用户IMSI(International Mobile Subscriber Identity,国际移动用户识别码)、IMEI(International Mobile Equipment Identity,国际移动电话设备)、ICCID(Integrate Circuit Card Identity,成电路卡识别码)和MSISDN(Mobile Subscriber International ISDN/PSTN number ,移动用户号码),一旦发现带有用户隐私信息,则被识别为入侵行为。
3、根据系统日志判断入侵行为,通过对涉及入侵的代码进行分析,获取一些统计的和静态的信息;通过对程序文件进行反编译后,利用逆向技术,查看反编译后的代码,从而判断程序是否具有入侵行为的意图。
一旦被识别为入侵行为,系统将会产生警告,这些规则可以由用户自己设定;而与之相关的记录都会存储在数据管理模块中,方便日后取证。
一、基于逆向的入侵检测系统(简称系统)
本系统包括数据提取模块、逆向分析模块、入侵规则模块、响应模块和数据管理模块;
其交互关系是:
数据提取模块、逆向分析模块和响应模块依次交互,实现网络数据包的提取、逆向分析以及对入侵行为的响应;
逆向分析模块分别与入侵规则模块和数据管理模块交互,实现入侵行为规则的积累和存储;
数据提取模块和响应模块分别与数据管理模块交互,实现系统日志和网络日志的生成,从而识别入侵行为。
二、基于逆向的入侵检测方法(简称方法)
本方法的研究思路是通过当今安卓手机入侵行为,尤其是泄露用户隐私这种危害较大的行为进行详细研究,通过逆向技术和协议分析技术,结合系统日志和网络日志实现对入侵行为的检测,并且对入侵行为进行警告以及记录。
本方法包括下列步骤:
①数据提取模块捕获所有流经安卓手机的网络数据包,发送给逆向分析引擎,数据提取模块获取网络进程以及用户行为,生成系统日志和网络日志发送给数据管理模块;
②逆向分析引擎通过TCP/IP协议分析技术和apk反编译逆向技术,结合系统日志和网络日志识别入侵行为;
③响应模块对逆向分析引擎识别出来的入侵行为进行警告以及记录;
④用户所有的信息都会存放在数据管理模块中,方便以后取证查找。
本发明具有下列优点和积极效果:
①安全性:本发明在保障系统安全策略措施的实施,引入的前提是不妨碍安卓系统的正常运行;
②时效性:将入侵行为特征转换为系统行为和网络行为的日志特征,通过对日志的分析来检测入侵行为,其检测范围要比传统实时行为检测要少,检测规则也相对简单,也降低了对系统资源的开销;
③可扩展性:在不对系统的结构进行修改的前提下,对检测手段进行调整,以此来保证可以检测新的攻击;
④超前性:目前入侵检测系统可以识别未加密的带有用户隐私信息的入侵行为,本发明基于结合逆向技术和协议分析技术可以识别加密用户隐私信息的入侵行为。
附图说明
图1是本系统的结构方框图;
其中:
100—数据提取模块;
200—逆向分析引擎;
300—入侵规则模块;
400—响应模块;
500—数据管理模块。
英译汉
1、TCP/IP:Transmission Control Protocol / Internet Protocol,传输控制/网络通讯。
2、HTTP:Hyper Text Transport Protocol,超文本传输协议;
3、IMSI:International Mobile Subscriber Identity,国际移动用户识
别码;
4、IMEI:International Mobile Equipment Identity,国际移动电话设备识别码;
5、ICCID:Integrate Circuit Card Identity,成电路卡识别码;
6、MSISDN:Mobile Subscriber International ISDN/PSTN number ,移动用户号码;
7、libpcap:Lib Packet Capture,数据包捕获函数库。
具体实施方式
下面结合附图和实施例详细说明:
一、系统
1、总体
如图1,本系统包括数据提取模块100、逆向分析模块200、入侵规则模块300、响应模块400和数据管理模块500;
其交互关系是:
数据提取模块100、逆向分析模块200和响应模块400依次交互,实现网络数据包的提取、逆向分析以及对入侵行为的响应;
逆向分析模块200分别与入侵规则模块300和数据管理模块500交互,实现入侵行为规则的积累和存储;
数据提取模块100和响应模块400分别与数据管理模块500交互,实现系统日志和网络日志的生成,从而识别入侵行为。
2、功能模块
①数据提取模块100
数据提取模块100是一种数据采集方法;
采用libpcap函数库;
截获网络数据包发给逆向分析引擎200,并且把系统日志和网络日志发给数据管理模块500。
②逆向分析引擎200
逆向分析引擎200是一种协议还原方法;
采用TCP/IP协议规则抽取其特征码到入侵规则模块300;
通过系统日志和网络日志结合逆向技术识别入侵行为。
③入侵规则模块300
入侵规则模块300是一种配置文件,里面存放唯一识别入侵行为的特征码;
通过逆向分析引擎200分析大量的已知入侵行为的样本,找到入侵行为的特征码,存储到入侵规则模块。
④响应模块400
响应模块400是一种对入侵行为响应的选项;
当网络数据包命中入侵规则模块300,或者系统调用以及用户行为命中系统网络日志时,也就是检测到这些动作为入侵动作,响应模块400则对其进行警报,并且记录到数据管理模块500中。
⑤数据管理模块500
数据管理模块500是一种sqlite3数据库;
存放系统日志、网络日志以及入侵行为的处理日志,以供用户日后查证;
数据库采用安卓平台内置的sqlite3轻量级数据库实现,由于安卓系统存储空间有限,当数据量达到到一定大小时,可以转存在PC机上或者定时清理。
3、本系统的工作机理:
当网络数据包流经数据提取模块100时,采用libpcap函数库实现网络数据包的采集,数据提取模块100根据网络进程和用户行为生成系统日志和网络日志,逆向分析引擎200采用TCP/IP协议分析技术扫描网络数据包,一旦命中入侵规则库中的特征码,则被识别为入侵行为;根据网络日志、分析入侵行为和手机正常应用程序行为特征在相关日志的具体表现形式与差异性,识别入侵行为;根据系统日志结合逆向技术判断入侵行为意图,同样可以被识别为入侵行为。接着响应模块400会对入侵行为进行报警,最后用户的所有信息都会存储到数据管理模块,方便日后取证。
二、方法
1、步骤①:
所述的网络数据包是对用户行为过程的描述,发给逆向分析引擎;
所述的系统日志是对网络上所有的进程进行监控,记录调用的系统函数,发给数据管理模块;
所述的网络日志是对用户的行为进行监测,包括进程号码,用户浏览的网址,操作的软件以及流量信息发给数据管理模块。
2、步骤②:
A、通过TCP/IP协议分析技术实现网络数据包的还原,获取ip、端口和特征码,以及任何可以识别该入侵行为的标志,这些标志都是通过大量的分析已知入侵行为获取的,存到入侵规则模块中,当对手机网络数据包进行检测时,扫描其中是否会命中入侵规则模块中的特征码,一旦命中则可以判定该行为为入侵行为,并且可以判断是哪种入侵行为;
B、结合逆向技术,参看系统日志,入侵行为一般都会具有某个相同或者相似的行为,而这些行为具有一定的特征,因此对特定的程序指令序列或多种程序指令系列的组合为规则进行扫描,就可以判断为入侵行为;
其中找到特定的程序指令序列的方式采用逆向技术,它是在现有软件的基础上经过逆向反编译,对二进制代码进行分析总结出程序内部数据结构,逻辑关系来实现apk软件程序流程的分析。破解一个完整的apk程序的过程如下:将apk文件利用ApkTool反编译,生成Smail格式的反汇编代码,阅读Smail文件的代码来理解程序的运行机制,参看系统日志,参看程序调用的系统函数,找到程序的突破口进行修改,最后使用ApkTool重新编译生成apk文件并签名,测试运行,如此循环,直到程序被成功破解。在破解一个加密协议的过程中,有时候我们并不需要了解整个协议的运行机制,只需知道在哪个环节造成了用户信息的泄露,形成了入侵行为。比如用户浏览网站的时候,恶意插件私下上传用户的通讯录信息,那么通过系统日志找到上传时调用的函数,通过查看反编译代码找到之间的关联,从而确定特定的程序指令序列,一旦系统函数调用这个特定的程序指令序列,则被识别为入侵行为;
C、通过查看网络日志,确定入侵行为;
网络日志是对用户的行为进行监测,包括进程号码,用户浏览的网址,操作的软件以及流量信息。比如,通过HTTP请求访问方式进行用户隐私信息的泄露,其访问地址必然带有参数,且参数信息中含有IMSI,IMEI,ICCID或者MSISDN用户信息。而对于普通正常的应用程序访问网络的行为,访问网址不会带有这么多的用户隐私信息。因此在网络日志中对HTTP访问连接进行记录,检测其连接地址是否含有用户隐私信息,就能够识别出这种泄露用户隐私的入侵行为。
3、步骤③:
a、采用TCP/IP协议分析技术,命中入侵规则模块的行为,响应模块实现警告以及记录;
b、采用逆向技术,结合系统日志,判断出入侵行为,响应模块实现警告以及记录;
c、结合网络日志,判断出入侵行为,响应模块实现警告以及记录。
4、步骤④:
a、破解管理模块接收数据提取模块的系统日志和网络日志,里面包括丰富实时的系统信息,网络信息;
b、系统日志和网络日志提供给逆向分析引擎分析研究;
c、破解管理模块接收响应模块提供的警报信息,详细的记录了现场数据,以便日后需要取证时重建某些网络事件。
5、数据提取模块100的工作流程包括下列步骤:
a、数据提取模块100采用开源的libpcap函数库实现数据包的截获,发送给逆向分析引擎200;
b、数据提取模块100对网络上所有的进程进行监控,记录下进程号码,用户浏览的网址,操作的软件,流量信息,以网络日志的形式发送给数据管理模块500;
c、数据提取模块100通过观察用户操作,记录下这些操作对应的系统日志,发给数据管理模块500。
6、逆向分析引擎200的工作流程包括下列步骤:
a、逆向分析引擎200收到数据提取模块100发送的数据包,根据TCP/IP协议分析方法,获取端口,ip,url,以及标识协议的16进制串信息与入侵规则模块中的关键字进行对比,一旦命中,则被识别为入侵行为;
b、逆向分析引擎200从数据管理模块500获取系统日志,利用逆向技术,对程序文件进行反编译后,对程序指令序列进行分析,判断出程序是否具有入侵的行为意图;
c、逆向分析引擎200从数据管理模块500获取网络日志,分析入侵行为和手机正常应用程序行为特征在相关日志的具体表现形式与差异性,识别入侵行为。
7、入侵规则模块300的工作流程包括下列步骤:
入侵规则模块300中积累了很多已知入侵行为的样本关键字,每一个流经的数据包都会和入侵规则模块中的特征码进行匹配,匹配成功的则可以判断是哪一种入侵行为。
8、响应模块400的工作流程同方法步骤③。
9、数据管理模块500的工作流程同方法步骤④。
三、应用
智能手机在短短的几十年中有着飞速的发展,期间在智能手机的平台上主要流行着五大操作系统:诺基亚的Symbian平台,微软的WindowsMobile平台,linux平台,Google的Android平台以及苹果iphone的Mac平台。2013年2月数据显示,Android已经占据全球智能手机操作系统市场62.5%的份额,中国市场占有率78.4%。考虑到Android系统在手机平台举足轻重的地位以及开源的特性,本发明选择了在该平台上做入侵检测的研究。
该发明选在Android手机侧获取网络数据包,Android的SDK为开发者提供了四个非常重要的开发组件,分别为Activity,Service,Intent和ContentProvider。Activity用于开发应用程序界面,Service用来开发后台服务器程序,Intent用于在应用程序之间传递数据,ContentProvider为应用程序提供数据接口。作为一款手机的软件,入侵检测系统离不开这四个组件。首先用户和手机进行交互,开启入侵检测服务,交互界面通过Activity组件完成,用户点击开启按钮,打开入侵检测系统,该服务为后台运行的服务,对应于一个IDService。入侵检测系统对用户的输入,进程信息和网络信息进行监控,生成系统日志和网络日志,存放于sqlite3数据库中,通过Android提供的接口,完成对数据库的操作。逆向分析引擎是在检测到产生网络连接的情况下才进行分析,对网络数据包进行分析,命中入侵规则库,识别为入侵行为,结合系统日志,网络日志识别入侵行为,响应模块则对入侵行为进行警告以及记录,最后用户的所有信息存放在Android的sqlite3数据库,当数据量达到到一定大小时,可以转存在PC机上或者定时清理。
Claims (9)
1.一种基于逆向的入侵检测系统,其特征在于:
包括数据提取模块(100)、逆向分析模块(200)、入侵规则模块(300)、响应模块(400)和数据管理模块(500);
其交互关系是:
数据提取模块(100)、逆向分析模块(200)和响应模块(400)依次交互,实现网络数据包的提取、逆向分析以及对入侵行为的响应;
逆向分析模块(200)分别与入侵规则模块(300)和数据管理模块(500)交互,实现入侵行为规则的积累和存储;
数据提取模块(100)和响应模块(400)分别与数据管理模块(500)交互,实现系统日志和网络日志的生成,从而识别入侵行为;
所述的数据提取模块(100)是一种数据采集方法;
所述的逆向分析模块(200)是一种协议还原方法;
所述的入侵规则模块(300)是一种配置文件;
所述的响应模块(400)是一种入侵行为响应的选项;
所述的数据管理模块500是一种数据库。
2.基于权利要求1所述系统的基于逆向的入侵检测方法,其特征在于:
①数据提取模块捕获所有流经安卓手机的网络数据包,发送给逆向分析引擎,数据提取模块获取网络进程以及用户行为,生成系统日志和网络日志发送给数据管理模块;
②逆向分析引擎通过TCP/IP协议分析技术和apk反编译逆向技术,结合系统日志,网络日志识别入侵行为;
③响应模块对逆向分析引擎识别出来的入侵行为进行警告以及记录;
④用户所有的信息都会存放在数据管理模块中,方便以后取证查找。
3.按权利要求2所述基于逆向的入侵检测方法,其特征在于步骤①:
所述的网络数据包是对用户行为过程的描述,发给逆向分析引擎;
所述的系统日志是对网络上所有的进程进行监控,记录调用的系统函数,发给数据管理模块;
所述的网络日志是对用户的行为进行监测,包括进程号码,用户浏览的网址,操作的软件以及流量信息发给数据管理模块。
4.按权利要求2所述基于逆向的入侵检测方法,其特征在于步骤②:
A、逆向分析引擎采用TCP/IP协议分析技术扫描网络数据包,一旦命中入侵规则库中的特征码,则被识别为入侵行为;
B、结合逆向技术,参看系统日志,入侵行为一般都会具有某个相同或者相似的行为,而这些行为具有一定的特征,其中找到特定的程序指令序列的方式采用逆向技术,它是在现有软件的基础上经过逆向反编译,对二进制代码进行分析总结出程序内部数据结构,逻辑关系来实现apk软件程序流程的分析;因此对特定的程序指令序列或多种程序指令系列的组合为规则进行扫描,就可以判断为入侵行为;
C、根据网络日志,分析入侵行为和手机正常应用程序行为特征在相关日志的具体表现形式与差异性,识别入侵行为。
5.按权利要求2所述基于逆向的入侵检测方法,其特征在于步骤③:
a、采用TCP/IP协议分析技术,命中入侵规则模块的行为,响应模块实现警告以及记录;
b、采用逆向技术,结合系统日志,判断出入侵行为,响应模块实现警告以及记录;
c、结合网络日志,判断出入侵行为,响应模块实现警告以及记录。
6.按权利要求2所述基于逆向的入侵检测方法,其特征在于步骤④:
a、破解管理模块接收数据提取模块的系统日志和网络日志,里面包括丰富实时的系统信息,网络信息;
b、系统日志和网络日志提供给逆向分析引擎分析研究;
c、破解管理模块接收响应模块提供的警报信息,详细的记录了现场数据,以便日后需要取证时重建某些网络事件。
7.按权利要求2所述基于逆向的入侵检测方法,其特征在于数据提取模块(100)的工作流程包括下列步骤:
a、数据提取模块(100)采用开源的libpcap函数库实现数据包的截获,发送给逆向分析引擎(200);
b、数据提取模块(100)对网络上所有的进程进行监控,记录下进程号码,用户浏览的网址,操作的软件,流量信息,以网络日志的形式发送给数据管理模块(500);
c、数据提取模块(100)通过观察用户操作,记录下这些操作对应的系统日志,发给数据管理模块(500)。
8.按权利要求2所述基于逆向的入侵检测方法,其特征在于逆向分析引擎(200)的工作流程包括下列步骤:
a、逆向分析引擎(200)收到数据提取模块(100)发送的数据包,根据TCP/IP协议分析方法,获取端口,ip,url,以及标识协议的16进制串信息与入侵规则模块中的关键字进行对比,一旦命中,则被识别为入侵行为;
b、逆向分析引擎(200)从数据管理模块(500)获取系统日志,利用逆向技术,对程序文件进行反编译后,对程序指令序列进行分析,判断出程序是否具有入侵的行为意图;
c、逆向分析引擎(200)从数据管理模块(500)获取网络日志,分析入侵行为和手机正常应用程序行为特征在相关日志的具体表现形式与差异性,识别入侵行为。
9.按权利要求2所述基于逆向的入侵检测方法,其特征在于入侵规则模块(300)的工作流程包括下列步骤:
入侵规则模块(300)中积累了很多已知入侵行为的样本关键字,每一个流经的数据包都会和入侵规则模块中的特征码进行匹配,匹配成功的则可以判断是哪一种入侵行为。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410005098.XA CN103746992B (zh) | 2014-01-06 | 2014-01-06 | 基于逆向的入侵检测系统及其方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410005098.XA CN103746992B (zh) | 2014-01-06 | 2014-01-06 | 基于逆向的入侵检测系统及其方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103746992A true CN103746992A (zh) | 2014-04-23 |
CN103746992B CN103746992B (zh) | 2016-07-13 |
Family
ID=50503979
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410005098.XA Active CN103746992B (zh) | 2014-01-06 | 2014-01-06 | 基于逆向的入侵检测系统及其方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103746992B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104408337A (zh) * | 2014-11-18 | 2015-03-11 | 刘鹏 | 一种apk文件防逆向的加固方法 |
CN106506263A (zh) * | 2016-10-20 | 2017-03-15 | 广州爱九游信息技术有限公司 | 应用程序信息获取系统、设备、装置及方法 |
CN106921671A (zh) * | 2017-03-22 | 2017-07-04 | 杭州迪普科技股份有限公司 | 一种网络攻击的检测方法及装置 |
CN106982147A (zh) * | 2016-01-15 | 2017-07-25 | 阿里巴巴集团控股有限公司 | 一种Web通讯应用的通讯监控方法和装置 |
CN106993162A (zh) * | 2017-04-14 | 2017-07-28 | 深圳市清大鹏城电子科技有限公司 | 一种视频与移动数据感知识别管理装置及管理方法 |
CN108337238A (zh) * | 2017-12-28 | 2018-07-27 | 广州华夏职业学院 | 一种用于教学网络的信息安全检测系统 |
CN108337237A (zh) * | 2017-12-28 | 2018-07-27 | 广州华夏职业学院 | 一种基于云计算机的远程教学系统接口安全检测系统 |
CN109871704A (zh) * | 2019-03-19 | 2019-06-11 | 北京智游网安科技有限公司 | 基于Hook的Android资源文件防护方法、设备和存储介质 |
CN111552872A (zh) * | 2020-04-15 | 2020-08-18 | 携程旅游网络技术(上海)有限公司 | 还原用户行为的方法及系统、电子设备及存储介质 |
CN113569234A (zh) * | 2021-06-17 | 2021-10-29 | 南京大学 | 一种用于安卓攻击场景重建的可视化取证系统及实现方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101656634B (zh) * | 2008-12-31 | 2012-06-06 | 暨南大学 | 基于IPv6网络环境的入侵检测方法 |
CN102546638B (zh) * | 2012-01-12 | 2014-07-09 | 冶金自动化研究设计院 | 一种基于场景的混合入侵检测方法及系统 |
CN102594620B (zh) * | 2012-02-20 | 2014-06-04 | 南京邮电大学 | 一种基于行为描述的可联动分布式网络入侵检测方法 |
-
2014
- 2014-01-06 CN CN201410005098.XA patent/CN103746992B/zh active Active
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104408337A (zh) * | 2014-11-18 | 2015-03-11 | 刘鹏 | 一种apk文件防逆向的加固方法 |
CN106982147A (zh) * | 2016-01-15 | 2017-07-25 | 阿里巴巴集团控股有限公司 | 一种Web通讯应用的通讯监控方法和装置 |
CN106506263A (zh) * | 2016-10-20 | 2017-03-15 | 广州爱九游信息技术有限公司 | 应用程序信息获取系统、设备、装置及方法 |
CN106921671A (zh) * | 2017-03-22 | 2017-07-04 | 杭州迪普科技股份有限公司 | 一种网络攻击的检测方法及装置 |
CN106993162A (zh) * | 2017-04-14 | 2017-07-28 | 深圳市清大鹏城电子科技有限公司 | 一种视频与移动数据感知识别管理装置及管理方法 |
CN108337238A (zh) * | 2017-12-28 | 2018-07-27 | 广州华夏职业学院 | 一种用于教学网络的信息安全检测系统 |
CN108337237A (zh) * | 2017-12-28 | 2018-07-27 | 广州华夏职业学院 | 一种基于云计算机的远程教学系统接口安全检测系统 |
CN108337238B (zh) * | 2017-12-28 | 2021-04-20 | 广州华夏职业学院 | 一种用于教学网络的信息安全检测系统 |
CN109871704A (zh) * | 2019-03-19 | 2019-06-11 | 北京智游网安科技有限公司 | 基于Hook的Android资源文件防护方法、设备和存储介质 |
CN111552872A (zh) * | 2020-04-15 | 2020-08-18 | 携程旅游网络技术(上海)有限公司 | 还原用户行为的方法及系统、电子设备及存储介质 |
CN113569234A (zh) * | 2021-06-17 | 2021-10-29 | 南京大学 | 一种用于安卓攻击场景重建的可视化取证系统及实现方法 |
CN113569234B (zh) * | 2021-06-17 | 2023-11-03 | 南京大学 | 一种用于安卓攻击场景重建的可视化取证系统及实现方法 |
Also Published As
Publication number | Publication date |
---|---|
CN103746992B (zh) | 2016-07-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103746992B (zh) | 基于逆向的入侵检测系统及其方法 | |
US10721245B2 (en) | Method and device for automatically verifying security event | |
CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
Zaman et al. | Malware detection in Android by network traffic analysis | |
US10257222B2 (en) | Cloud checking and killing method, device and system for combating anti-antivirus test | |
CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
KR101266037B1 (ko) | 휴대단말에서 악성행위 처리 방법 및 장치 | |
CN103401845B (zh) | 一种网址安全性的检测方法、装置 | |
CN107332804B (zh) | 网页漏洞的检测方法及装置 | |
Kumari et al. | An insight into digital forensics branches and tools | |
WO2017071148A1 (zh) | 基于云计算平台的智能防御系统 | |
CN112003838A (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
Luoshi et al. | A3: automatic analysis of android malware | |
CN113014549B (zh) | 基于http的恶意流量分类方法及相关设备 | |
US10701087B2 (en) | Analysis apparatus, analysis method, and analysis program | |
CN110880983A (zh) | 基于场景的渗透测试方法及装置、存储介质、电子装置 | |
CN107666464B (zh) | 一种信息处理方法及服务器 | |
CN104182681A (zh) | 基于hook的iOS系统关键行为检测装置和方法 | |
CN103442361A (zh) | 移动应用的安全性检测方法及移动终端 | |
Seo et al. | Analysis on maliciousness for mobile applications | |
CN113177205A (zh) | 一种恶意应用检测系统及方法 | |
CN113810408A (zh) | 网络攻击组织的探测方法、装置、设备及可读存储介质 | |
CN104486320A (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
Bhardwaj et al. | Sql injection attack detection, evidence collection, and notifying system using standard intrusion detection system in network forensics |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |