CN107346389B - 移动终端异常行为的检测方法与系统 - Google Patents
移动终端异常行为的检测方法与系统 Download PDFInfo
- Publication number
- CN107346389B CN107346389B CN201710468859.9A CN201710468859A CN107346389B CN 107346389 B CN107346389 B CN 107346389B CN 201710468859 A CN201710468859 A CN 201710468859A CN 107346389 B CN107346389 B CN 107346389B
- Authority
- CN
- China
- Prior art keywords
- app
- behavior
- malicious
- file
- directory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了一种移动终端异常行为的检测方法与系统,所述方法包括:将移动终端目录分为系统目录与APP目录,其中系统目录包括系统启动目录、系统配置目录、系统可执行命令目录、系统库文件目录、系统日志目录与系统临时目录,除了用户与口令文件,只有系统管理员拥有读写执行系统目录文件的权限,每个APP除了拥有读写用户与口令文件以及读库文件目录外,只拥有对自己目录读写执行的权限。基于云端构建APP行为白名单,通过行为白名单检测APP异常行为。利用本发明,可以快速、准确、全面检测移动终端异常行为,为网络用户提供一个安全、可用的移动互联网终端平台。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及在一种移动终端异常行为检测方法与系统。
背景技术
随着通信网与互联网的快速融合,网络结构正朝着云管端方向发展,云端提供高性能计算、大数据存储的网络应用服务,移动终端逐步成为人们利用网络应用服务的主要平台,以完成工作、生活、沟通与娱乐活动,同时,由于移动终端中保存有用户的个人信息,比如身份信息,通信信息、密码信息、银行帐户信息,使得追逐利益的黑客将目光盯上移动终端,从而影响了用户的上网体验。
在本发明的移动终端异常行为检测方法与系统中主要涉及以下技术:恶意APP中马行为检测技术、恶意APP提权行为检测技术、恶意APP隐藏行为检测技术、恶意APP通信行为检测技术、恶意APP窃密行为检测技术。
移动终端异常行为检测技术的发展有两个方向,一是基于白名单检测技术;二是特征检测技术。对于这两个方向的技术,它们的优点是技术比较成熟,能够准确检测APP异常行为;缺陷是存在较大的漏报率、性能较低。本发明采用恶意APP中马行为检测技术、恶意APP提权行为检测技术、恶意APP隐藏行为检测技术、恶意APP通信行为检测技术、恶意APP窃密行为检测技术,克服了以上两个方向的方法中存在的缺点,能够快速、精确、全面检测APP异常行为。
发明内容
本发明的目的是克服现有技术的缺点,提供一种移动终端异常行为检测方法与系统,使得能够快速、精确、全面地检测恶意APP的异常行为,有效地保障移动终端中信息的机密性与完整性、移动终端中OS与APP的可用性,为网络用户提供一个安全、可用的移动互联网终端平台。
本发明的目的是通过以下技术方案实现的:
一种移动终端异常行为检测方法,包括以下步骤:
A、基于APP行为白名单,检测恶意APP中马行为;
B、基于APP行为白名单,检测恶意APP提权行为;
C、针对关键挂钩入口点,检测恶意APP隐藏行为;
D、基于发送与接收的流量比值,检测恶意APP通信行为;
E、根据语音与触摸驱动特征以及授权情况,检测恶意APP窃密行为。
优选地,所述步骤A包括:
A1、读取APP行为白名单中的APP名称、版本号、文件名与散列值;
A2、若APP与版本号在白名单中,则开始安装APP;
A3、若安装文件在白名单中,且其散列值与白名单中相应文件散列值相同,则复制APP安装文件。
APP行为白名单信息包括APP名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称、文件散列值。
优选地,所述步骤B包括:
B1、读取APP行为白名单中的APP名称、版本号、帐号、权限、根目录;
B2、若APP在自己的根目录内实施读写执行权限、对系统配置目录中的用户与口令文件实施读写权限、对系统库文件目录实施读权限,则放行,否则告警。
优选地,所述步骤C包括:
C1、读取并比较内存进程视图与APP行为白名单中APP名称与进程名称;
C2、若内存进程视图中的进程名称不在白名单中,则告警;
C3、读取并比较APP进程中库文件函数的输入地址与检测引擎库文件函数的输入地址;
C4、若两个输入地址不相同,则告警;
C5、读取并比较内存中断调度表与引擎的中断服务例程名称;
C6、若同一中断的中断服务例程名称不相同,则告警;
C7、读取比较内存驱动请求调度例程与注册的驱动请求调度例程;
C8、若驱动请求调度例程没有注册,则告警。
优选地,所述步骤D包括:
D1、采集、解析并统计每个APP确定时间段内的流量;
D2、若输出字节数多于输入字节数,则;
D3、判定该行为为恶意APP的异常通信行为。
优选地,所述步骤E包括:
E1、分析APP挂钩入口点的二进制代码特征;
E2、若有语音或触摸驱动特征,则告警;
E3、检测读取通信录与密码信息行为;
E3、若超出APP的权限,则告警。
一种移动终端异常行为检测系统,其特征在于包括:
恶意APP异常行为检测引擎,包括恶意APP中马行为检测、恶意APP提权行为检测、恶意APP隐藏行为检测、恶意APP通信行为检测、恶意APP窃密行为检测,其中恶意APP中马行为检测包括恶意APP安装检测与恶意APP注入检测,恶意APP隐藏行为检测包括用户模式隐藏行为检测与内核模式隐藏行为检测,恶意APP窃密行为检测包括窃取语音行为检测、窃取信息行为检测与窃取触摸行为检测;APP行为白名单数据库包括APP名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称、文件散列值。
APP行为白名单数据库记录APP名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称与文件散列值信息;恶意APP异常行为检测引擎针对不同的异常行为进行检测,包括恶意APP中马行为、恶意APP提权行为、恶意APP隐藏行为、恶意APP通信行为、恶意APP窃密行为。
由以上本发明提供的技术方案可以看出,本发明克服了现有技术的缺点,提供一种移动终端异常行为检测方法与系统,使得能够快速、精确、全面地检测恶意APP的异常行为,有效地保障移动终端中信息的机密性与完整性、移动终端中OS与APP的可用性,为网络用户提供一个安全、可用的移动互联网终端平台。
附图说明
图1是移动终端异常行为检测系统的组网示意图;
图2是本发明方法的系统结构示意图;
图3是本发明方法的主流程图;
图4是本发明方法恶意APP中马行为检测的流程图;
图5是本发明方法恶意APP隐藏行为检测的流程图;
图6是本发明方法恶意APP窃密行为检测的流程图。
具体实施方式
本发明方法的核心在于克服现有技术的缺点,提供一种移动终端异常行为检测方法与系统,使得能够快速、精确、全面地检测恶意APP的异常行为,有效地保障移动终端中信息的机密性与完整性、移动终端中OS与APP的可用性,为网络用户提供一个安全、可用的移动互联网终端平台。
移动终端异常行为检测的通用工作流程为:
基于APP行为白名单,检测恶意APP中马行为;
基于APP行为白名单,检测恶意APP提权行为;
针对关键挂钩入口点,检测恶意APP隐藏行为;
基于发送与接收的流量比值,检测恶意APP通信行为;
根据语音与触摸驱动特征以及授权情况,检测恶意APP窃密行为。
移动终端异常行为检测系统组网结构如图1所示。其中,
云平台,包括虚拟服务器、虚拟交换机、虚拟防火墙;
移动终端异常行为检测系统,用于检测恶意APP中马行为、恶意APP提权行为、恶意APP隐藏行为、恶意APP通信行为、恶意APP窃密行为;
互联网,包括路由器与交换机,可以传送和路由网络流量。
下面参照图2对本发明方法的系统结构作详细说明:
恶意APP异常行为检测引擎,包括恶意APP中马行为检测、恶意APP提权行为检测、恶意APP隐藏行为检测、恶意APP通信行为检测、恶意APP窃密行为检测,其中
恶意APP中马行为检测包括恶意APP安装检测行为与恶意APP注入行为检测,恶意APP隐藏行为检测包括用户模式隐藏行为检测与内核模式隐藏行为检测,恶意APP窃密行为检测包括窃取语音行为检测、窃取信息行为检测与窃取触摸行为检测;
APP行为白名单数据库包括APP名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称、文件散列值。
为了使本技术领域的人员更好地理解本发明,下面结合图3所示的流程图对本发明作进一步的详细说明。包括以下步骤:
步骤301:基于APP行为白名单,检测恶意APP安装行为;
步骤302:基于APP行为白名单,检测恶意APP注入行为;
步骤303:基于APP行为白名单,检测恶意APP提权行为;
步骤304:针对关键挂钩入口点,检测恶意APP用户模式隐藏行为;
步骤305:针对关键挂钩入口点,检测恶意APP内核模式隐藏行为;
步骤306:基于发送与接收的流量比值,检测恶意APP通信行为;
步骤307:根据语音驱动特征,检测恶意APP窃密行为。
步骤308:根据触摸驱动特征,检测恶意APP窃密行为。
步骤309:根据授权情况,检测恶意APP窃密行为。
下面结合图4所示的流程图对本发明作进一步的详细说明。包括以下步骤:
步骤401:读取APP行为白名单中的APP名称、版本号、文件名与散列值;
步骤402:若APP与版本号在白名单中,则;
步骤403:开始安装APP;
步骤404:若安装文件在白名单中,则;
步骤405:若安装文件的散列值与白名单中相应文件散列值相同,则;
步骤406:复制APP安装文件。
APP行为白名单信息包括APP名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称、文件散列值。
下面结合图5所示的流程图对本发明作进一步的详细说明。包括以下步骤:
步骤501:读取并比较内存进程视图与APP行为白名单中APP名称与进程名称;
步骤502:若内存进程视图中的进程名称不在白名单中,则告警;
步骤503:读取并比较APP进程中库文件函数的输入地址与检测引擎库文件函数的输入地址;
步骤504:若两个输入地址不相同,则告警;
步骤505:读取并比较内存中断调度表与引擎的中断服务例程名称;
步骤506:若同一中断的中断服务例程名称不相同,则告警;
步骤507:读取比较内存驱动请求调度例程与注册的驱动请求调度例程;
步骤508:若驱动请求调度例程没有注册,则告警。
下面结合图6所示的流程图对本发明作进一步的详细说明。包括以下步骤:
步骤601:分析APP挂钩入口点的二进制代码特征;
步骤602:若有语音驱动特征,则告警;
步骤603:若有触摸驱动特征,则告警;
步骤604:检测读取通信录与密码信息行为;
步骤605:若超出APP的权限,则告警。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (3)
1.一种移动终端异常行为检测方法,其特征在于包括以下步骤:
A、基于APP行为白名单,检测恶意APP中马行为;
B、基于APP行为白名单,检测恶意APP提权行为;
C、针对关键挂钩入口点,检测恶意APP隐藏行为;
D、基于发送与接收的流量比值,检测恶意APP通信行为;
E、根据语音与触摸驱动特征以及授权情况,检测恶意APP窃密行为;
所述步骤A包括:
A1、读取APP行为白名单中的APP名称、版本号、文件名与散列值;
A2、若APP与版本号在白名单中,则开始安装APP;
A3、若安装文件在白名单中,且其散列值与白名单中相应文件散列值相同,则复制APP安装文件;
APP行为白名单信息包括APP名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称、文件散列值;
所述步骤B包括:
B1、读取APP行为白名单中的APP名称、版本号、帐号、权限、根目录;
B2、若APP在自己的根目录内实施读写执行权限、对系统配置目录中的用户与口令文件实施读写权限、对系统库文件目录实施读权限,则放行,否则告警;
所述步骤C包括:
C1、读取并比较内存进程视图与APP行为白名单中APP名称与进程名称;
C2、若内存进程视图中的进程名称不在白名单中,则告警;
C3、读取并比较APP进程中库文件函数的输入地址与检测引擎库文件函数的输入地址;
C4、若两个输入地址不相同,则告警;
C5、读取并比较内存中断调度表与引擎的中断服务例程名称;
C6、若同一中断的中断服务例程名称不相同,则告警;
C7、读取比较内存驱动请求调度例程与注册的驱动请求调度例程;
C8、若驱动请求调度例程没有注册,则告警;
所述步骤E包括:
E1、分析APP挂钩入口点的二进制代码特征;
E2、若有语音或触摸驱动特征,则告警;
E3、检测读取通信录与密码信息行为;
E4、若超出APP的权限,则告警。
2.根据权利要求1所述的一种移动终端异常行为检测方法,其特征在于,所述步骤D包括:
D1、采集、解析并统计每个APP确定时间段内的流量;
D2、若发送字节数多于接收字节数,则;
D3、判定该行为为恶意APP的异常通信行为。
3.一种移动终端异常行为检测系统,其特征在于,执行如权利要求1或2所述的一种移动终端异常行为检测方法,包括:
恶意APP异常行为检测引擎,包括恶意APP中马行为检测、恶意APP提权行为检测、恶意APP隐藏行为检测、恶意APP通信行为检测、恶意APP窃密行为检测,其中恶意APP中马行为检测包括恶意APP安装检测与恶意APP注入检测,恶意APP隐藏行为检测包括用户模式隐藏行为检测与内核模式隐藏行为检测,恶意APP窃密行为检测包括窃取语音行为检测、窃取信息行为检测与窃取触摸行为检测;
APP行为白名单数据库包括APP名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称、文件散列值;
APP行为白名单数据库记录APP名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称与文件散列值信息;恶意APP异常行为检测引擎针对不同的异常行为进行检测,包括恶意APP中马行为、恶意APP提权行为、恶意APP隐藏行为、恶意APP通信行为、恶意APP窃密行为;
所述系统还用于:
读取APP行为白名单中的APP名称、版本号、帐号、权限、根目录;
若APP在自己的根目录内实施读写执行权限、对系统配置目录中的用户与口令文件实施读写权限、对系统库文件目录实施读权限,则放行,否则告警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710468859.9A CN107346389B (zh) | 2017-06-20 | 2017-06-20 | 移动终端异常行为的检测方法与系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710468859.9A CN107346389B (zh) | 2017-06-20 | 2017-06-20 | 移动终端异常行为的检测方法与系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107346389A CN107346389A (zh) | 2017-11-14 |
CN107346389B true CN107346389B (zh) | 2021-02-19 |
Family
ID=60253416
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710468859.9A Active CN107346389B (zh) | 2017-06-20 | 2017-06-20 | 移动终端异常行为的检测方法与系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107346389B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101382984A (zh) * | 2007-09-05 | 2009-03-11 | 江启煜 | 一种扫描检测广义未知病毒的方法 |
CN103150511A (zh) * | 2013-03-18 | 2013-06-12 | 珠海市君天电子科技有限公司 | 一种安全防护系统 |
CN104573435A (zh) * | 2013-10-15 | 2015-04-29 | 北京网秦天下科技有限公司 | 用于终端权限管理的方法和终端 |
CN105912925A (zh) * | 2016-04-05 | 2016-08-31 | 周奇 | 一种禁止移动终端自动安装相关应用的方法及系统 |
CN106790020A (zh) * | 2016-12-14 | 2017-05-31 | 北京东方棱镜科技有限公司 | 一种基于攻击范式的互联网异常行为检测方法与系统 |
-
2017
- 2017-06-20 CN CN201710468859.9A patent/CN107346389B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101382984A (zh) * | 2007-09-05 | 2009-03-11 | 江启煜 | 一种扫描检测广义未知病毒的方法 |
CN103150511A (zh) * | 2013-03-18 | 2013-06-12 | 珠海市君天电子科技有限公司 | 一种安全防护系统 |
CN104573435A (zh) * | 2013-10-15 | 2015-04-29 | 北京网秦天下科技有限公司 | 用于终端权限管理的方法和终端 |
CN105912925A (zh) * | 2016-04-05 | 2016-08-31 | 周奇 | 一种禁止移动终端自动安装相关应用的方法及系统 |
CN106790020A (zh) * | 2016-12-14 | 2017-05-31 | 北京东方棱镜科技有限公司 | 一种基于攻击范式的互联网异常行为检测方法与系统 |
Also Published As
Publication number | Publication date |
---|---|
CN107346389A (zh) | 2017-11-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2595511C2 (ru) | Система и способ ограничения работы доверенных приложений при наличии подозрительных приложений | |
WO2015169158A1 (zh) | 信息保护的方法和系统 | |
CN101833621B (zh) | 终端安全审计方法及系统 | |
CN110417778B (zh) | 访问请求的处理方法和装置 | |
CN103077345B (zh) | 基于虚拟机的软件授权方法及系统 | |
CN103294950A (zh) | 一种基于反向追踪的高威窃密恶意代码检测方法及系统 | |
CN103246849A (zh) | 一种Windows下基于增强型ROST的安全运行方法 | |
CN104102878A (zh) | 一种Linux平台下的恶意代码分析方法及系统 | |
CN111125688B (zh) | 一种进程控制方法、装置及电子设备和存储介质 | |
CN114374566B (zh) | 一种攻击检测方法及装置 | |
CN112422581B (zh) | JVM中的Webshell网页检测方法、装置及设备 | |
KR102180098B1 (ko) | 악성코드 모니터링 및 사용자 단말 제어 기능을 수행하는 악성코드 탐지 시스템 | |
JP5478390B2 (ja) | ログ抽出システムおよびプログラム | |
WO2019037521A1 (zh) | 安全检测的方法、装置、系统以及服务器 | |
CN108256351B (zh) | 文件处理方法和装置、存储介质及终端 | |
CN116611066B (zh) | 勒索病毒识别方法、装置、设备及存储介质 | |
CN107346389B (zh) | 移动终端异常行为的检测方法与系统 | |
CN108989298B (zh) | 一种设备安全监控方法、装置及计算机可读存储介质 | |
CN115906184B (zh) | 一种控制进程访问文件的方法、装置、介质及电子设备 | |
CN105791221B (zh) | 规则下发方法及装置 | |
CN110674499A (zh) | 一种识别计算机威胁的方法、装置及存储介质 | |
CN113596600A (zh) | 直播嵌入程序的安全管理方法、装置、设备及存储介质 | |
Park et al. | An enhanced security framework for reliable Android operating system | |
CN114186222A (zh) | 一种勒索病毒的防护方法及系统 | |
CN109271781B (zh) | 一种基于内核的应用程序获取超级权限行为检测方法与系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |