CN104899514B - 基于导向性符号的移动终端恶意行为的检测方法及系统 - Google Patents

基于导向性符号的移动终端恶意行为的检测方法及系统 Download PDF

Info

Publication number
CN104899514B
CN104899514B CN201510335114.6A CN201510335114A CN104899514B CN 104899514 B CN104899514 B CN 104899514B CN 201510335114 A CN201510335114 A CN 201510335114A CN 104899514 B CN104899514 B CN 104899514B
Authority
CN
China
Prior art keywords
malicious
information
application program
behavior
mobile terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510335114.6A
Other languages
English (en)
Other versions
CN104899514A (zh
Inventor
朱为朋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huzhou YingLie Intellectual Property Operation Co.,Ltd.
Original Assignee
Shanghai Feixun Data Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Feixun Data Communication Technology Co Ltd filed Critical Shanghai Feixun Data Communication Technology Co Ltd
Priority to CN201510335114.6A priority Critical patent/CN104899514B/zh
Publication of CN104899514A publication Critical patent/CN104899514A/zh
Application granted granted Critical
Publication of CN104899514B publication Critical patent/CN104899514B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明提供一种基于导向性符号的移动终端恶意行为的检测方法及系统,包括应用程序预处理模块、应用程序依赖图构建模块、敏感信息标记模块、敏感信息传播模块、导引信息提取模块、符号化执行模块和检测模块;通过将应用程序行为的敏感信息与恶意节点二叉树中的相似节点进行对比,并分析此恶意节点下的所有子类,并在应用程序行为的敏感信息与系统预配置的信息相同时,判断应用程序行为是恶意行为。本发明的基于导向性符号的移动终端恶意行为的检测方法及系统对符号执行技术进行改进,引入导向性符号执行技术,使符号执行技术有很大的扩展性;大幅缩短恶意行为检测过程的耗时;将遗漏应用程序恶意行为的风险降到最低。

Description

基于导向性符号的移动终端恶意行为的检测方法及系统
技术领域
本发明涉及一种恶意行为搜索方法及系统,特别是涉及一种基于导向性符号的移动终端恶意行为的检测方法及系统。
背景技术
随着移动终端的不断发展与普及,其已经成为人们日常生活不可或缺的部分。人们通过移动终端进行网络连接的操作越来越频繁。与此同时,一些恶意分子开发自动访问程序来自动地在移动终端上进行恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓行为等自动化恶意行为。因此,针对恶意行为的检测越来越迫在眉睫。
现有技术中,如申请号为201310394868.X、发明名称为《一种检测恶意行为的方法及装置》的中国发明专利公开一种检测恶意行为的方法,所述方法包括:接收终端待执行的操作的操作请求消息,所述操作请求消息中携带用户的用户标识和所述待执行的操作的操作标识;根据所述用户标识,从已存储的用户标识与操作路径的对应关系中获取对应的操作路径,所述操作路径是由所述终端在离当前时间最近的预设时间段之内已执行的操作的操作标识构成的;在所述操作路径包括的最后一个操作标识之后串联所述待执行的操作的操作标识,构成所述待执行的操作当前所在的操作路径;根据已存储的恶意操作路径集合和所述待执行的操作当前所在的操作路径,判断所述待执行的操作是否为恶意行为。
然而,现有的恶意行为检测方法操作较为复杂,导致检测时间过长,且检测结果的准确度不高。
符号执行(Symbolic Execution)是一种程序分析技术,其通过将程序实际输入替换为符号输入,将程序运行状态表示为符号输入的约束条件,并利用该约束条件遍历软件所有执行路径。由于符号执行技术具有最大遍历软件行为的能力、以及代码覆盖面大等特点,因此能够用于检测软件恶意行为。
但是,符号执行技术具有可扩展性差、执行时间长等制约,不能快速的分析应用行为。因此需要对该技术进行改进以满足移动终端应用程序分析的需要。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种基于导向性符号的移动终端恶意行为的检测方法及系统,对移动终端上应用程序进行基于导向性符号的恶意行为搜索,从而能够快速的对应用程序行为进行分析,将遗漏应用程序恶意行为的风险降到最低。
为实现上述目的及其他相关目的,本发明提供一种基于导向性符号的移动终端恶意行为的检测方法及系统,包括应用程序预处理模块、应用程序依赖图构建模块、敏感信息标记模块、敏感信息传播模块、导引信息提取模块、符号化执行模块和检测模块;所述应用程序预处理模块用于在应用程序安装时,对应用程序进行预处理,以获取应用程序的相关信息;所述应用程序依赖图构建模块用于构建应用程序权限的依赖关系;所述敏感信息标记模块用于标记应用程序行为的敏感信息;所述敏感信息传播模块用于传播应用程序的敏感信息;所述导引信息提取模块用于将传播的敏感信息按类引导到相应的特征和行为权限;所述符号化执行模块用于将传播的敏感信息与恶意节点二叉树中的相似节点进行对比,并分析此恶意节点下的所有子类,其中恶意节点二叉树通过二叉树的形式对恶意行为进行逐层描述,每个恶意节点表示恶意行为的系统预配置的信息;检测模块用于在应用程序行为的敏感信息与系统预配置的信息相同时,判断应用程序行为是恶意行为。
根据上述的基于导向性符号的移动终端恶意行为的检测系统,其中:通过活动管理服务和包管理服务对应用程序进行预处理;所述应用程序的相关信息包括应用程序的交互信息、活动组件、服务组件、接收器组件和内容提供组件。
根据上述的基于导向性符号的移动终端恶意行为的检测系统,其中:所述敏感信息包括隐私信息、恶意扣费信息和系统破坏信息。
根据上述的基于导向性符号的移动终端恶意行为的检测系统,其中:所述恶意节点二叉树的恶意节点的系统预配置的信息包括恶意行为的特征和行为权限。
进一步地,根据上述的基于导向性符号的移动终端恶意行为的检测系统,其中:所述恶意行为的特征包括移动终端的IMEI、电话号码、设备序列号、短信、图片、位置信息、通讯记录、录音和聊天记录;所述恶意行为的行为权限包括申请移动终端的上网权限、文件读写权限、位置权限、打开移动数据流量权限。
同时,本发明还提供一种基于导向性符号的移动终端恶意行为的检测方法,包括以下步骤:
步骤S1、在应用程序安装时,对应用程序进行预处理,以获取应用程序的相关信息;
步骤S2、构建应用程序权限的依赖关系;
步骤S3、标记应用程序行为的敏感信息;
步骤S4、传播应用程序的敏感信息;
步骤S5、将传播的敏感信息按类引导到相应的特征和行为权限;
步骤S6、将传播的敏感信息与恶意节点二叉树中的相似节点进行对比,并分析此恶意节点下的所有子类,其中恶意节点二叉树通过二叉树的形式对恶意行为进行逐层描述,每个恶意节点表示恶意行为的系统预配置的信息;
步骤S7、在应用程序行为的敏感信息与系统预配置的信息相同时,判断应用程序行为是恶意行为。
根据上述的基于导向性符号的移动终端恶意行为的检测方法,其中:所述步骤S1中,通过活动管理服务和包管理服务对应用程序进行预处理;所述应用程序的相关信息包括应用程序的交互信息、活动组件、服务组件、接收器组件和内容提供组件。
根据上述的基于导向性符号的移动终端恶意行为的检测方法,其中:所述敏感信息包括隐私信息、恶意扣费信息和系统破坏信息。
根据上述的基于导向性符号的移动终端恶意行为的检测方法,其中:所述步骤S6中,所述恶意节点二叉树的恶意节点的系统预配置的信息包括恶意行为的特征和行为权限。
进一步地,根据上述的基于导向性符号的移动终端恶意行为的检测方法,其中:所述恶意行为的特征包括移动终端的IMEI、电话号码、设备序列号、短信、图片、位置信息、通讯记录、录音和聊天记录;所述恶意行为的行为权限包括申请移动终端的上网权限、文件读写权限、位置权限、打开移动数据流量权限。
如上所述,本发明的基于导向性符号的移动终端恶意行为的检测方法及系统,具有以下有益效果:
(1)对符号执行技术进行改进,引入导向性符号执行技术,使符号执行技术有很大的扩展性;
(2)大幅缩短恶意行为检测过程的耗时;
(3)将遗漏应用程序恶意行为的风险降到最低。
附图说明
图1显示为本发明的基于导向性符号的移动终端恶意行为的搜索系统的结构示意图;
图2显示为本发明的恶意节点二叉树的一个优选实施例的结构示意图;
图3显示为本发明的恶意节点二叉树的另一个优选实施例的结构示意图;
图4显示为本发明的基于导向性符号的移动终端恶意行为的搜索方法的流程图。
元件标号说明
1 应用程序预处理模块
2 应用程序依赖图构建模块
3 敏感信息标记模块
4 敏感信息传播模块
5 导引信息提取模块
6 符号化执行模块
7 检测模块
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。
需要说明的是,本实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
需要说明的是,本发明中所涉及的移动终端包括并不限于智能手机、平板电脑、PDA,以及其他具有数据处理功能的终端设备。通常,移动终端是指具有独立的操作系统,可以由用户自行安装软件、游戏等第三方服务商提供的程序,通过此类程序来不断对终端设备的功能进行扩充,并可以通过移动通讯网络来实现无线网络接入的这样一类终端设备。
本发明的基于导向性符号的移动终端恶意行为的搜索系统及方法采用导向性符号优化符号执行过程,通过导向性方案,使得在对标记信息进行符号化搜索时,能够限制遍历的空间,从而减少搜索路径。在Linux系统内核层,构建导向二叉树模型,对恶意行为传播途径进行行为约束;并根据恶意行为特点,设置导向恶意节点,对这个恶意节点再进行恶意行为二分,以此类推,把每个节点的恶意行为,全部用二叉树的形式进行表示出来。在应用程序的敏感信息标记行为传播过程中,通过对比内核中的相似节点,分析此节点下的所有子类,从而有效的减少遍历时间和检测重复度,以此减少恶意行为的分析时间,进而提高检测的效率,将遗漏应用程序的恶意行为风险降到最低。
具体地,内核的行为导向约束中,恶意节点为恶意行为分类的总节点,对不断出现的新的恶意行为,以行为划分,增加到不同的子类中,从而使恶意行为可以不断扩展细化。在进行恶意行为的定位时,如果不能直接定位到类似的恶意节点,则根据行为再定位上一层的恶意节点中,在这个恶意节点的下面所有子类进行恶意行为检测,以此达到全面快速有效的分析结果。
参照图1,本发明的基于导向性符号的移动终端恶意行为的检测系统包括应用程序预处理模块1、应用程序依赖图构建模块2、敏感信息标记模块3、敏感信息传播模块4、导引信息提取模块5、符号化执行模块6和检测模块7。
应用程序预处理模块1用于在应用程序安装时,对应用程序进行预处理,以获取应用程序的相关信息。具体地,对应用程序进行预处理,主要用到下面二个服务:活动管理服务(ActivityManagerService)和包管理服务(PackageMangerService)。在程序进行安装时,上述二个服务同时对程序进行检测,其中活动管理服务管理应用程序的交互信息,包管理服务主要收集应用程序的活动组件、服务组件、接收器组件、内容提供组件等,从而对收集到的应用程序的交互信息和其他信息等相关信息一起进行归类处理,即对信息进行行为约束预处理。
应用程序依赖图构建模块2用于构建应用程序权限的依赖关系。具体地,在应用程序安装时,活动管理服务会收集到应用程序的所有权限状态信息,并保存起来。在应用程序所使用的这些权限中,应用程序依赖图构建模块2主要是对收集的权限进行判断,构建应用程序权限的依赖关系。
具体地,应用程序要上网,依赖的权限包括如下:
android.permission.ACCESS_NETWORK_STATE,表示允许程序访问有关GSM网络信息;
android.permission.ACCESS_WIFI_STATE,表示允许程序访问Wi-Fi网络状态信息;
android.permission.CHANGE_NETWORK_STATE,表示允许程序改变网络连接状态;
android.permission.CHANGE_WIFI_STATE,表示允许程序改变Wi-Fi连接状态;
android.permission.INTERNET,表示允许程序打开网络套接字;
android.permission.WAKE_LOCK,表示允许使用PowerManager的WakeLocks保持进程在休眠时从屏幕消失;
android.permission.WRITE_EXTERNAL_STORAGE,表示往SDCard写入数据权限。
在这些权限中,有很多是共用的权利。例如,写入SD卡数据,在下载数据、在录音时、在拍照时等等都会用到。这些权限相互依赖,造就应用程序的依赖图。
敏感信息标记模块3用于标记应用程序行为的敏感信息。其中敏感信息包括有隐私信息,如短信、联系人、数字证书、密码、相册、密钥、位置定位等等;恶意扣费信息,如后台跑流量、自动打电话、自动发送短信等;系统破坏信息,如自动创建大量文件、修改系统源文件等等。
敏感信息传播模块4用于传播应用程序的敏感信息。例如,隐私信息通过网络进行扩散,通过后台进行网络传输,或者将隐私信息打包通过内置邮件发送等;通过程序发送扣费短信、后台自动打电话、自动下载应用等信息。
导引信息提取模块5用于将传播的敏感信息按类引导到相应的特征和行为权限。在应用程序安装时收集的应用程序的相关信息是按类处理,相应的权限依赖是按关系处理。提取引导信息主要由活动管理服务进行处理。
符号化执行模块6用于将传播的敏感信息与恶意节点二叉树中的相似节点进行对比,并分析此恶意节点下的所有子类,其中恶意节点二叉树通过二叉树的形式对恶意行为进行逐层描述,每个恶意节点表示恶意行为的系统预配置的信息。
具体地,本发明提出一种基于符号执行二叉树的概念。在Linux系统内核层,在Linux内核层构建符号二叉树模型监视器,对恶意传播途径进行行为约束、监视;并在framework层对,根据行为特点,设置导向恶意节点,对这个恶意节点再进行恶意行为二分,以此类推,把每个节点的恶意行为,全部用二叉树的形式进行所示出来。
如图2所示,在层数为k的二叉树中,恶意节点的个数最多为2k-1,其中每一个节点对应一个约束条件。设定第k层的第i个节点所对应的约束条件为nki
除第一层节点外,每个节点都有父节点。子节点为父节点的子类,包括左子节点和右子节点。在遍历时,根据父节点和子节点的关系,快速进行查找。
Linux系统framework层安装有一个恶意程序权限使用特征集,用于存放现有的恶意行为的特征和行为权限。如:移动终端的IMEI、电话号码、设备序列号、短信、图片、位置信息、通讯记录、录音、聊天记录等等特征;申请移动终端的上网权限、文件读写权限、位置权限、打开移动数据流量权限等行为权限。这些行为和特征一起作为系统预配置的信息。
检测模块7用于在应用程序行为的敏感信息与系统预配置的信息相同时,判断应用程序行为是恶意行为。
例如,在图3模型中,设定层数为4层。现有技术所采用的遍历执行顺序依次为:
n1->n21->n31->n41;
n1->n21->n31->n42;
n1->n21->n32->n44;
n1->n21->n32->n44;
……
n1->n22->n34->n48;
由上可知,遍历是在左子图中先一步步进行遍历扫描,扫描耗时长;但如果在一定的时间内进行遍历,左子图因数据多而不能遍历右子图,这样会导致遍历不全面,造成应用的行为分析不全面的问题。
使用本发明的基于导向性符号的移动终端恶意行为的检测方案时,将应用程序的每一步的行为都进行分类,根据相应的子类选择进行导向性遍历,如果应用的恶意行为与n34相类似,则可以直接选择到n34,则根据选择,遍历n34下面的所有子类,如果有一样的行为,则判断是恶意行为,如果没有一样的行为,则说明不是恶意行为。具体地,遍历的路径为:
n1->n22->n34->n47;
n1->n21->n34->n48;
因此,在现有的二叉树遍历方法中,要从左子图一步一步向右进行遍历,遍历的时间长,分析n34的行为,要一共进行8次;而利用导向性符号,只须要2步就可以对n34进行对应的分析,可以大幅度的减少耗时。
具体地,采用以下代码来实现本发明的基于导向性符号的移动终端恶意行为的搜索:
参照图4,本发明的基于导向性符号的移动终端恶意行为的搜索方法包括以下步骤:
步骤S1、在应用程序安装时,对应用程序进行预处理,以获取应用程序的相关信息。
具体地,对应用程序进行预处理,主要用到下面二个服务:活动管理服务(ActivityManagerService)和包管理服务(PackageMangerService)。在程序进行安装时,上述二个服务同时对程序进行检测,其中活动管理服务管理应用程序的交互信息,包管理服务主要收集应用程序的活动组件、服务组件、接收器组件、内容提供组件等,从而对收集到的应用程序的交互信息和其他信息等相关信息一起进行归类处理,即对信息进行行为约束预处理。
步骤S2、构建应用程序权限的依赖关系。
具体地,在应用程序安装时,活动管理服务会收集到应用程序的所有权限状态信息,并保存起来。在应用程序所使用的这些权限中,应用程序依赖图构建模块主要是对收集的权限进行判断,构建应用程序权限的依赖关系。
具体地,应用程序要上网,依赖的权限包括如下:
android.permission.ACCESS_NETWORK_STATE,表示允许程序访问有关GSM网络信息;
android.permission.ACCESS_WIFI_STATE,表示允许程序访问Wi-Fi网络状态信息;
android.permission.CHANGE_NETWORK_STATE,表示允许程序改变网络连接状态;
android.permission.CHANGE_WIFI_STATE,表示允许程序改变Wi-Fi连接状态;
android.permission.INTERNET,表示允许程序打开网络套接字;
android.permission.WAKE_LOCK,表示允许使用PowerManager的WakeLocks保持进程在休眠时从屏幕消失;
android.permission.WRITE_EXTERNAL_STORAGE,表示往SDCard写入数据权限。
在这些权限中,有很多是共用的权利。例如,写入SD卡数据,在下载数据、在录音时、在拍照时等等都会用到。这些权限相互依赖,造就应用程序的依赖图。
步骤S3、标记应用程序行为的敏感信息。
其中敏感信息包括有隐私信息,如短信、联系人、数字证书、密码、相册、密钥、位置定位等等;恶意扣费信息,如后台跑流量、自动打电话、自动发送短信等;系统破坏信息,如自动创建大量文件、修改系统源文件等等。
步骤S4、传播应用程序的敏感信息。
具体地,隐私信息通过网络进行扩散,通过后台进行网络传输,或者将隐私信息打包通过内置邮件发送等;通过程序发送扣费短信、后台自动打电话、自动下载应用等信息。
步骤S5、将传播的敏感信息按类引导到相应的特征和行为权限。
步骤S6、将传播的敏感信息与恶意节点二叉树中的相似节点进行对比,并分析此恶意节点下的所有子类,其中恶意节点二叉树通过二叉树的形式对恶意行为进行逐层描述,每个恶意节点表示恶意行为的系统预配置的信息。
具体地,本发明提出一种基于符号执行二叉树的概念。在Linux系统内核层,在Linux内核层构建符号二叉树模型监视器,对恶意传播途径进行行为约束、监视;并在framework层对,根据行为特点,设置导向恶意节点,对这个恶意节点再进行恶意行为二分,以此类推,把每个节点的恶意行为,全部用二叉树的形式进行所示出来。
在层数为k的二叉树中,恶意节点的个数最多为2k-1,其中每一个节点对应一个约束条件。设定第k层的第i个节点所对应的约束条件为nki
除第一层节点外,每个节点都有父节点。子节点为父节点的子类,包括左子节点和右子节点。在遍历时,根据父节点和子节点的关系,快速进行查找。
Linux系统framework层安装有一个恶意程序权限使用特征集,用于存放现有的恶意行为的特征和行为。如:移动终端的IMEI、电话号码、设备序列号、短信、图片、位置信息、通讯记录、录音、聊天记录等等特征;申请移动终端的上网权限、文件读写权限、位置权限、打开移动数据流量权限等行为权限。这些行为和特征一起作为系统预配置的信息。
步骤S7、在应用程序行为的敏感信息与系统预配置的信息相同时,判断应用程序行为是恶意行为。
综上所述,本发明的基于导向性符号的移动终端恶意行为的检测方法及系统对符号执行技术进行改进,引入导向性符号执行技术,使符号执行技术有很大的扩展性;大幅缩短恶意行为检测过程的耗时;将遗漏应用程序恶意行为的风险降到最低。所以,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。

Claims (8)

1.一种基于导向性符号的移动终端恶意行为的检测系统,其特征在于:包括应用程序预处理模块、应用程序依赖图构建模块、敏感信息标记模块、敏感信息传播模块、导引信息提取模块、符号化执行模块和检测模块;
所述应用程序预处理模块用于在应用程序安装时,对应用程序进行预处理,以获取应用程序的相关信息;
所述应用程序依赖图构建模块用于构建应用程序权限的依赖关系;
所述敏感信息标记模块用于标记应用程序行为的敏感信息;
所述敏感信息传播模块用于传播应用程序的敏感信息;
所述导引信息提取模块用于将传播的敏感信息按类引导到相应的特征和行为权限;
所述符号化执行模块用于将传播的敏感信息与恶意节点二叉树中的相似节点进行对比,并分析此恶意节点下的所有子类,其中恶意节点二叉树通过二叉树的形式对恶意行为进行逐层描述,每个恶意节点表示恶意行为的系统预配置的信息;所述恶意节点二叉树的恶意节点的系统预配置的信息包括恶意行为的特征和行为权限;
检测模块用于在应用程序行为的敏感信息与系统预配置的信息相同时,判断应用程序行为是恶意行为;检测时,将应用程序的每一步的行为进行分类,根据相应的子类选择进行导向性遍历。
2.根据权利要求1所述的基于导向性符号的移动终端恶意行为的检测系统,其特征在于:通过活动管理服务和包管理服务对应用程序进行预处理;所述应用程序的相关信息包括应用程序的交互信息、活动组件、服务组件、接收器组件和内容提供组件。
3.根据权利要求1所述的基于导向性符号的移动终端恶意行为的检测系统,其特征在于:所述敏感信息包括隐私信息、恶意扣费信息和系统破坏信息。
4.根据权利要求1所述的基于导向性符号的移动终端恶意行为的检测系统,其特征在于:所述恶意行为的特征包括移动终端的电话号码、设备序列号、短信、图片、位置信息、通讯记录、录音和聊天记录;所述恶意行为的行为权限包括申请移动终端的上网权限、文件读写权限、位置权限。
5.一种基于导向性符号的移动终端恶意行为的检测方法,其特征在于:包括以下步骤:
步骤S1、在应用程序安装时,对应用程序进行预处理,以获取应用程序的相关信息;
步骤S2、构建应用程序权限的依赖关系;
步骤S3、标记应用程序行为的敏感信息;
步骤S4、传播应用程序的敏感信息;
步骤S5、将传播的敏感信息按类引导到相应的特征和行为权限;
步骤S6、将传播的敏感信息与恶意节点二叉树中的相似节点进行对比,并分析此恶意节点下的所有子类,其中恶意节点二叉树通过二叉树的形式对恶意行为进行逐层描述,每个恶意节点表示恶意行为的系统预配置的信息;所述恶意节点二叉树的恶意节点的系统预配置的信息包括恶意行为的特征和行为权限;
步骤S7、在应用程序行为的敏感信息与系统预配置的信息相同时,判断应用程序行为是恶意行为;检测时,将应用程序的每一步的行为进行分类,根据相应的子类选择进行导向性遍历。
6.根据权利要求5所述的基于导向性符号的移动终端恶意行为的检测方法,其特征在于:所述步骤S1中,通过活动管理服务和包管理服务对应用程序进行预处理;所述应用程序的相关信息包括应用程序的交互信息、活动组件、服务组件、接收器组件和内容提供组件。
7.根据权利要求5所述的基于导向性符号的移动终端恶意行为的检测方法,其特征在于:所述敏感信息包括隐私信息、恶意扣费信息和系统破坏信息。
8.根据权利要求5所述的基于导向性符号的移动终端恶意行为的检测方法,其特征在于:所述恶意行为的特征包括移动终端的电话号码、设备序列号、短信、图片、位置信息、通讯记录、录音和聊天记录;所述恶意行为的行为权限包括申请移动终端的上网权限、文件读写权限、位置权限。
CN201510335114.6A 2015-06-17 2015-06-17 基于导向性符号的移动终端恶意行为的检测方法及系统 Active CN104899514B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510335114.6A CN104899514B (zh) 2015-06-17 2015-06-17 基于导向性符号的移动终端恶意行为的检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510335114.6A CN104899514B (zh) 2015-06-17 2015-06-17 基于导向性符号的移动终端恶意行为的检测方法及系统

Publications (2)

Publication Number Publication Date
CN104899514A CN104899514A (zh) 2015-09-09
CN104899514B true CN104899514B (zh) 2018-07-31

Family

ID=54032174

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510335114.6A Active CN104899514B (zh) 2015-06-17 2015-06-17 基于导向性符号的移动终端恶意行为的检测方法及系统

Country Status (1)

Country Link
CN (1) CN104899514B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112995110A (zh) * 2019-12-17 2021-06-18 深信服科技股份有限公司 一种恶意事件信息的获取方法、装置及电子设备
CN114417343A (zh) * 2020-10-28 2022-04-29 上海交通大学 二进制文件下的操作系统内核信息泄露漏洞检测方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1885224A (zh) * 2005-06-23 2006-12-27 福建东方微点信息安全有限责任公司 计算机反病毒防护系统和方法
CN104462973A (zh) * 2014-12-18 2015-03-25 上海斐讯数据通信技术有限公司 移动终端中应用程序的动态恶意行为检测系统及方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101051641B1 (ko) * 2010-03-30 2011-07-26 주식회사 안철수연구소 이동통신 단말 및 이를 이용한 행위기반 악성 코드 진단 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1885224A (zh) * 2005-06-23 2006-12-27 福建东方微点信息安全有限责任公司 计算机反病毒防护系统和方法
CN104462973A (zh) * 2014-12-18 2015-03-25 上海斐讯数据通信技术有限公司 移动终端中应用程序的动态恶意行为检测系统及方法

Also Published As

Publication number Publication date
CN104899514A (zh) 2015-09-09

Similar Documents

Publication Publication Date Title
KR102318884B1 (ko) 터치 감응형 디바이스 상의 관련 콘텐츠를 사전행동적으로 식별 및 표면화하기 위한 시스템 및 방법
US20190188007A1 (en) Method for Preloading Application, Storage Medium, and Terminal Device
CN105956474B (zh) Android平台软件异常行为检测系统
CN109479061A (zh) 遵从性违反检测
US20160241589A1 (en) Method and apparatus for identifying malicious website
CN105404585A (zh) 获取代码覆盖率的方法及装置
CN104077515A (zh) 终端装置和终端控制方法
CN105357204B (zh) 生成终端识别信息的方法及装置
CN110516173B (zh) 一种非法网站识别方法、装置、设备及介质
CN110472941A (zh) 基于通知消息的日程创建方法和装置、终端、存储介质
KR20110128632A (ko) 스마트폰 응용프로그램의 악성행위 탐지 방법 및 장치
CN110390493B (zh) 任务管理方法、装置、存储介质及电子设备
Okoshi et al. Attelia: Sensing user's attention status on smart phones
CN103118140A (zh) 将文件分享给关系圈外其他用户终端的方法、系统及装置
CN106569860A (zh) 一种应用管理方法及终端
CN104750760A (zh) 一种推荐应用软件的实现方法及装置
CN103577180A (zh) 数据处理方法及装置
CN104899514B (zh) 基于导向性符号的移动终端恶意行为的检测方法及系统
CN111596971A (zh) 应用清理方法、装置、存储介质及电子设备
CN112346758B (zh) 一种数字基建业务更新平台、更新方法及电子设备
CN106681884A (zh) 一种系统调用的监控方法和装置
Wadhwa Smart cities: toward the surveillance society?
CN109800019A (zh) 代码管理方法、系统、电子设备和计算机可读存储介质
CN112000875A (zh) 一种信息显示的方法、终端、服务器
CN108389039A (zh) 基于区块链的价值体系管理方法、装置及存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20201130

Address after: Room 10242, No. 260, Jiangshu Road, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province

Patentee after: Hangzhou Jiji Intellectual Property Operation Co., Ltd

Address before: 201616 Shanghai city Songjiang District Sixian Road No. 3666

Patentee before: Phicomm (Shanghai) Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20201218

Address after: 233000 3rd floor, Dong'an Market, Fengyang West Road, Longzihu District, Bengbu City, Anhui Province

Patentee after: Bengbu 309 Technology Consulting Co.,Ltd.

Address before: Room 10242, No. 260, Jiangshu Road, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province

Patentee before: Hangzhou Jiji Intellectual Property Operation Co., Ltd

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210203

Address after: 313001 room 1019, Xintiandi office building, Yishan street, Wuxing District, Huzhou, Zhejiang, China

Patentee after: Huzhou YingLie Intellectual Property Operation Co.,Ltd.

Address before: 233000 3rd floor, Dong'an Market, Fengyang West Road, Longzihu District, Bengbu City, Anhui Province

Patentee before: Bengbu 309 Technology Consulting Co.,Ltd.