CN104992116B - 基于intent sniffer的监测方法及系统 - Google Patents
基于intent sniffer的监测方法及系统 Download PDFInfo
- Publication number
- CN104992116B CN104992116B CN201410501515.XA CN201410501515A CN104992116B CN 104992116 B CN104992116 B CN 104992116B CN 201410501515 A CN201410501515 A CN 201410501515A CN 104992116 B CN104992116 B CN 104992116B
- Authority
- CN
- China
- Prior art keywords
- behavior
- intent
- sniffer
- relevant data
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了基于intent sniffer的监测方法及系统,首先,建立intent sniffer框架,获取应用程序的隐式调用intent信息;解析所述intent信息,保留与敏感行为相关的数据;基于所述与敏感行为相关的数据识别应用程序的行为类型;获取已知恶意软件的行为特征,生成检测规则并投入规则库;与所述规则库进行匹配,判断所述行为类型是否与已知恶意软件相关,若是,则通知用户,否则结束。本发明给出的方法和系统,对于android平台的应用程序进行动态的监测,及时发现恶意行为并通知用户,克服了传统方式的检出率不高并且需要在root情况下才能执行等缺点。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及基于intent sniffer的监测方法及系统。
背景技术
近年来,随着移动技术的蓬勃发展,以及用户对移动设备需求的提高,以手机为代表的移动设备逐渐向智能化、多元化、高性能等方向发展。这其中,基于Linux内核的Android智能手机操作系统发展最为迅速。2007 年 11 月,Google 公布了基于 Linux 平台的开源智能手机操作系统 Android;至 2014 年 1 月的统计,在 2013 年里 Android手机的全球销量为 7.812 亿,占据了全球智能手机 78.9%的市场份额。
由于Android 操作系统具有PC 机的性能和开放性,传统PC 机和因特网的安全威胁也转移到Android 平台上。近年来,专门针对Android 平台的恶意软件和间谍软件急剧增多,其中恶意扣费、隐私窃取、系统破坏成为恶意软件的主要危害。2010 年 8月,卡巴斯基检测到了第一个 Android 平台下的病毒;2014 年 3 月, F-Secure 的《2013 年下半年安全威胁》报告显示,2013 年 Android 平台上的恶意软件数量占整体移动恶意软件数量的 97%这一骇人数字。
因此,开发一套行之有效的专门针对第三方应用程序的安全缺陷检测方法十分必要。目前已有的安全检测方法,主要是基于规则库的静态恶意应用扫描,以及Root情况下基于Hook技术的动态行为监测方法。已知的方法中,基于规则的静态恶意应用扫描,很难发现未知的恶意应用,而且通过加密加壳等对抗手段处理过的恶意应用也能一定程度的达到免杀效果;而基于Hook技术的动态行为监测方法,必须在Root情况下才能执行,而Root本身却极大的降低了设备的安全性,给系统安全带来严重的损失。
发明内容
针对上述技术问题,本发明提供了基于intent sniffer的监测方法及系统,该发明利用intent sniffer技术的嗅探服务获取隐式调用intent信息,通过对intent信息的解析和过滤,并进一步与规则库进行匹配判断应用程序的行为类型是否与恶意软件相关,从而有效监控应用程序的行为,保护系统的安全性。
本发明采用如下方法来实现:基于intent sniffer的监测方法,包括:
建立intent sniffer框架,获取应用程序的隐式调用intent信息;
解析所述intent信息,保留与敏感行为相关的数据;
基于所述与敏感行为相关的数据识别应用程序的行为类型;
获取已知恶意软件的行为特征,生成检测规则并投入规则库;
与所述规则库进行匹配,判断所述行为类型是否与已知恶意软件相关,若是,则通知用户,否则结束。
进一步地,所述解析所述intent信息为:获取action、data、category和/或type值。
进一步地,所述与敏感行为相关的数据包括:与电话、短信或者联网行为相关的数据。
进一步地,所述已知恶意软件包括:恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗软件或者流氓行为。
进一步地,所述通知用户包括:通过弹窗的形式将监测到的恶意软件行为告知用户,并提供安全操作供用户选择,所述安全操作包括:卸载应用,禁止发送短信或者禁止下载。
本发明采用如下系统来实现:基于intent sniffer的监测系统,包括:
intent sniffer服务模块,用于建立intent sniffer框架,获取应用程序的隐式调用intent信息;
intent信息解析模块,用于解析所述intent信息,保留与敏感行为相关的数据;
行为类型识别模块,用于基于所述与敏感行为相关的数据识别应用程序的行为类型;
检测规则生成模块,用于获取已知恶意软件的行为特征,生成检测规则并投入规则库;
规则库,用于存储检测规则;
判定模块,用于与所述规则库进行匹配,判断所述行为类型是否与已知恶意软件相关,若是,则通知用户,否则结束。
进一步地,所述解析所述intent信息为:获取action、data、category和/或type值。
进一步地,所述与敏感行为相关的数据包括:与电话、短信或者联网行为相关的数据。
进一步地,所述已知恶意软件包括:恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗软件或者流氓行为。
进一步地,所述通知用户包括:通过弹窗的形式将监测到的恶意软件行为告知用户,并提供安全操作供用户选择,所述安全操作包括:卸载应用,禁止发送短信或者禁止下载。
综上所述,本发明提供了基于intent sniffer的监测方法及系统,利用intentsniffer框架获取android系统内的所有应用程序的隐式调用intent信息,并过滤掉与敏感操作无关的数据,对处理后的intent信息进行行为类型识别,并与预先设置的规则库进行匹配,若该应用程序存在与恶意软件相关的行为,则及时通知用户;并可以进一步征求用户意见选择后续操作。该发明所提供的技术方案是一种模式识别系统,可以在非root情况下进行,能够在不损害设备系统安全性的前提下,解决由于android安全机制本身的局限性导致的部分未知应用程序给用户造成的危害,并且使得用户可以及时发现并处理恶意威胁。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种基于intent sniffer的监测方法实施例流程图;
图2为本发明提供的一种基于intent sniffer的监测系统实施例结构图。
具体实施方式
本发明给出了基于intent sniffer的监测方法及系统,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
Intent是一种运行时绑定(run-time binding)机制,用于Android程序运行过程中连接两个不同的组件。通过Intent,程序可以向Android表达某种请求或者意愿,Android会根据意愿的内容选择适当的组件来完成请求。
例如,有一个Activity希望打开网页浏览器查看某一网页的内容,那么这个Activity只需要发出WEB_SEARCH_ACTION给Android,Android就会根据Intent的请求内容,查询各组件注册时声明的IntentFilter,找到网页浏览器的Activity来浏览网页。
Intent主要用于信息传递,Intent如果使用隐式方式(setaction)来标识Intent消息,接收方通过此Action来接收信息。如果Intent没有明确指定哪些接收方有权限接收,则通过Intent Sniffer技术即可获取Intent内容,获取应用程序相关行为数据。
本发明首先提供了基于intent sniffer的监测方法实施例,如图1所示,包括:
S101建立intent sniffer框架,获取应用程序的隐式调用intent信息;
S102解析所述intent信息,保留与敏感行为相关的数据;
S103基于所述与敏感行为相关的数据识别应用程序的行为类型;
S104获取已知恶意软件的行为特征,生成检测规则并投入规则库;
S105与所述规则库进行匹配,判断所述行为类型是否与已知恶意软件相关,若是,则通知用户,否则结束。
优选地,所述解析所述intent信息为:获取action、data、category和/或type值。
优选地,所述与敏感行为相关的数据包括:与电话、短信或者联网行为相关的数据。
优选地,所述已知恶意软件包括:恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗软件或者流氓行为。
其中,针对不同的已知恶意软件的种类,定制不同的安全策略,并依据这些恶意软件的行为特征生成检测规则,并存入规则库,为应用程序的安全性判断提供匹配依据。
优选地,所述通知用户包括:通过弹窗的形式将监测到的恶意软件行为告知用户,并提供安全操作供用户选择,所述安全操作包括:卸载应用,禁止发送短信或者禁止下载。
其中,监控并实时处理应用程序使用过程中存在的安全问题,并生成安全报告,为用户安全的安装和运行应用程序提供信息支持,从而使得用户可以及时发现并处理恶意应用程序。
本发明还提供了基于intent sniffer的监测系统实施例,如图2所示,包括:
intent sniffer服务模块201,用于建立intent sniffer框架,获取应用程序的隐式调用intent信息;
intent信息解析模块202,用于解析所述intent信息,保留与敏感行为相关的数据;
行为类型识别模块203,用于基于所述与敏感行为相关的数据识别应用程序的行为类型;
检测规则生成模块204,用于获取已知恶意软件的行为特征,生成检测规则并投入规则库205;
规则库205,用于存储检测规则;
判定模块206,用于与所述规则库205进行匹配,判断所述行为类型是否与已知恶意软件相关,若是,则通知用户,否则结束。
优选地,所述解析所述intent信息为:获取action、data、category和/或type值。
优选地,所述与敏感行为相关的数据包括:与电话、短信或者联网行为相关的数据。
优选地,所述已知恶意软件包括:恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗软件或者流氓行为。
其中,针对不同的已知恶意软件的种类,定制不同的安全策略,并依据这些恶意软件的行为特征生成检测规则,并存入规则库,为应用程序的安全性判断提供匹配依据。
优选地,所述通知用户包括:通过弹窗的形式将监测到的恶意软件行为告知用户,并提供安全操作供用户选择,所述安全操作包括:卸载应用,禁止发送短信或者禁止下载。
其中,监控并实时处理应用程序使用过程中存在的安全问题,并生成安全报告,为用户安全的安装和运行应用程序提供信息支持,从而使得用户可以及时发现并处理恶意应用程序。
如上所述,本发明给出了基于intent sniffer的监测方法及系统,对于传统方法来说,为了检测应用程序是否存在安全缺陷通常采用两种方式来完成:一种是静态检测方式,另一种是root情况下基于hook技术的动态行为监测方法。而静态检测方式很难发现未知恶意应用,动态行为监测本身就会给系统安全带来严重损失。而上述实施例所公开的方法和系统,完全克服了上述缺点,可以在应用程序使用过程中对其进行实时监控,根据intent sniffer捕获到的信息判断是否存在恶意行为,并将例如私自发送短信、后台静默下载等行为及时反馈给用户,从而在正常应用程序的功能得到保障的情况下保证系统的安全性。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.基于intent sniffer的监测方法,其特征在于,包括:
建立intent sniffer框架,获取应用程序的隐式调用intent信息;
解析所述intent信息,保留与敏感行为相关的数据;
基于所述与敏感行为相关的数据识别应用程序的行为类型;
获取已知恶意软件的行为特征,生成检测规则并投入规则库;
与所述规则库进行匹配,判断所述行为类型是否与已知恶意软件相关,若是,则通知用户,否则结束。
2.如权利要求1所述的方法,其特征在于,所述解析所述intent信息为:获取action、data、category和/或type值。
3.如权利要求1所述的方法,其特征在于,所述与敏感行为相关的数据包括:与电话、短信或者联网行为相关的数据。
4.如权利要求1所述的方法,其特征在于,所述已知恶意软件包括:恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗软件或者流氓行为。
5.如权利要求1所述的方法,其特征在于,所述通知用户包括:通过弹窗的形式将监测到的恶意软件行为告知用户,并提供安全操作供用户选择,所述安全操作包括:卸载应用,禁止发送短信或者禁止下载。
6.基于intent sniffer的监测系统,其特征在于,包括:
intent sniffer服务模块,用于建立intent sniffer框架,获取应用程序的隐式调用intent信息;
intent信息解析模块,用于解析所述intent信息,保留与敏感行为相关的数据;
行为类型识别模块,用于基于所述与敏感行为相关的数据识别应用程序的行为类型;
检测规则生成模块,用于获取已知恶意软件的行为特征,生成检测规则并投入规则库;
规则库,用于存储检测规则;
判定模块,用于与所述规则库进行匹配,判断所述行为类型是否与已知恶意软件相关,若是,则通知用户,否则结束。
7.如权利要求6所述的系统,其特征在于,所述解析所述intent信息为:获取action、data、category和/或type值。
8.如权利要求6所述的系统,其特征在于,所述与敏感行为相关的数据包括:与电话、短信或者联网行为相关的数据。
9.如权利要求6所述的系统,其特征在于,所述已知恶意软件包括:恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗软件或者流氓行为。
10.如权利要求6所述的系统,其特征在于,所述通知用户包括:通过弹窗的形式将监测到的恶意软件行为告知用户,并提供安全操作供用户选择,所述安全操作包括:卸载应用,禁止发送短信或者禁止下载。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410501515.XA CN104992116B (zh) | 2014-09-27 | 2014-09-27 | 基于intent sniffer的监测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410501515.XA CN104992116B (zh) | 2014-09-27 | 2014-09-27 | 基于intent sniffer的监测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104992116A CN104992116A (zh) | 2015-10-21 |
| CN104992116B true CN104992116B (zh) | 2018-10-23 |
Family
ID=54303929
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410501515.XA Active CN104992116B (zh) | 2014-09-27 | 2014-09-27 | 基于intent sniffer的监测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104992116B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105635459A (zh) * | 2015-12-29 | 2016-06-01 | 努比亚技术有限公司 | 一种信息传输方法和移动终端 |
| CN108241802A (zh) * | 2016-12-27 | 2018-07-03 | 卓望数码技术(深圳)有限公司 | 一种聚合多维的Android平台隐私窃取类应用自动识别方法 |
| CN108399336B (zh) * | 2018-02-11 | 2020-08-28 | 侯殿君 | 一种安卓应用恶意行为的检测方法及装置 |
| CN109697360A (zh) * | 2018-12-24 | 2019-04-30 | 珠海海鸟科技有限公司 | 一种防监控方法及相关设备 |
| CN111783092B (zh) * | 2020-06-22 | 2023-08-22 | 湖南大学 | 面向安卓应用程序间通信机制的恶意攻击检测方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103593605A (zh) * | 2013-10-24 | 2014-02-19 | 复旦大学 | 一种基于权限使用行为的安卓平台应用程序动态分析系统 |
| CN103853982A (zh) * | 2012-12-05 | 2014-06-11 | 国际商业机器公司 | 检测计算装置上的安全性弱点 |
| CN103996007A (zh) * | 2014-05-29 | 2014-08-20 | 诸葛建伟 | Android应用权限泄露漏洞的测试方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140215614A1 (en) * | 2013-01-30 | 2014-07-31 | Samsung Electronics Co., Ltd. | System and method for a security assessment of an application uploaded to an appstore |
-
2014
- 2014-09-27 CN CN201410501515.XA patent/CN104992116B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103853982A (zh) * | 2012-12-05 | 2014-06-11 | 国际商业机器公司 | 检测计算装置上的安全性弱点 |
| CN103593605A (zh) * | 2013-10-24 | 2014-02-19 | 复旦大学 | 一种基于权限使用行为的安卓平台应用程序动态分析系统 |
| CN103996007A (zh) * | 2014-05-29 | 2014-08-20 | 诸葛建伟 | Android应用权限泄露漏洞的测试方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104992116A (zh) | 2015-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11368432B2 (en) | Network containment of compromised machines | |
| CN104992116B (zh) | 基于intent sniffer的监测方法及系统 | |
| Dini et al. | MADAM: a multi-level anomaly detector for android malware | |
| US9210182B2 (en) | Behavioral-based host intrusion prevention system | |
| CN111433775B (zh) | 安全性增强方法及其电子设备 | |
| US7698548B2 (en) | Communications traffic segregation for security purposes | |
| WO2019158915A1 (en) | Managing virtual machine security resources | |
| EP2766846B1 (en) | System and method for profile based filtering of outgoing information in a mobile environment | |
| US11438349B2 (en) | Systems and methods for protecting devices from malware | |
| US11444960B2 (en) | Stateful rule generation for behavior based threat detection | |
| US11042633B2 (en) | Methods for protecting software hooks, and related computer security systems and apparatus | |
| US20210303658A1 (en) | Hardware-Assisted System and Method for Detecting and Analyzing System Calls Made to an Operating System Kernel | |
| CN101959193A (zh) | 一种信息安全检测方法及移动终端 | |
| EP3455773A1 (en) | Inferential exploit attempt detection | |
| CN107957905A (zh) | 限制应用自启动的方法、装置、存储介质及智能终端 | |
| CN106325993A (zh) | 一种应用程序的冻结方法以及终端 | |
| Ritzdorf | Analyzing covert channels on mobile devices | |
| CN106682493B (zh) | 一种防止进程被恶意结束的方法、装置及电子设备 | |
| CN104252388A (zh) | 移动设备中的非可信环境与可信环境之间的切换 | |
| CN108776633A (zh) | 监控进程运行的方法、终端设备及计算机可读存储介质 | |
| EP3831031B1 (en) | Listen mode for application operation whitelisting mechanisms | |
| CN109784054B (zh) | 行为堆栈信息获取方法及装置 | |
| CN105611046A (zh) | 一种策略定制的安卓手机安全保护系统及其保护方法 | |
| CN105844148A (zh) | 一种保护操作系统的方法、装置及电子设备 | |
| CN103294590A (zh) | 应用程序运行中的处理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 430014 Wuhan Donghu New Technology Development Zone, Hubei Province Applicant after: Wuhan Antian Information Technology Co., Ltd. Address before: 430000 2 building, 6 Chuang Chuang street, East Lake Development Zone, Wuhan, Hubei. Applicant before: Wuhan Antian Information Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |