CN107346389B - 移动终端异常行为的检测方法与系统 - Google Patents

移动终端异常行为的检测方法与系统 Download PDF

Info

Publication number
CN107346389B
CN107346389B CN201710468859.9A CN201710468859A CN107346389B CN 107346389 B CN107346389 B CN 107346389B CN 201710468859 A CN201710468859 A CN 201710468859A CN 107346389 B CN107346389 B CN 107346389B
Authority
CN
China
Prior art keywords
app
behavior
malicious
file
directory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710468859.9A
Other languages
English (en)
Other versions
CN107346389A (zh
Inventor
何华
张洁
何中天
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Eastern Prism Technology Corp ltd
Original Assignee
Beijing Eastern Prism Technology Corp ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Eastern Prism Technology Corp ltd filed Critical Beijing Eastern Prism Technology Corp ltd
Priority to CN201710468859.9A priority Critical patent/CN107346389B/zh
Publication of CN107346389A publication Critical patent/CN107346389A/zh
Application granted granted Critical
Publication of CN107346389B publication Critical patent/CN107346389B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Alarm Systems (AREA)

Abstract

本发明公开了一种移动终端异常行为的检测方法与系统,所述方法包括:将移动终端目录分为系统目录与APP目录,其中系统目录包括系统启动目录、系统配置目录、系统可执行命令目录、系统库文件目录、系统日志目录与系统临时目录,除了用户与口令文件,只有系统管理员拥有读写执行系统目录文件的权限,每个APP除了拥有读写用户与口令文件以及读库文件目录外,只拥有对自己目录读写执行的权限。基于云端构建APP行为白名单,通过行为白名单检测APP异常行为。利用本发明,可以快速、准确、全面检测移动终端异常行为,为网络用户提供一个安全、可用的移动互联网终端平台。

Description

移动终端异常行为的检测方法与系统
技术领域
本发明涉及网络安全技术领域,具体涉及在一种移动终端异常行为检测方法与系统。
背景技术
随着通信网与互联网的快速融合,网络结构正朝着云管端方向发展,云端提供高性能计算、大数据存储的网络应用服务,移动终端逐步成为人们利用网络应用服务的主要平台,以完成工作、生活、沟通与娱乐活动,同时,由于移动终端中保存有用户的个人信息,比如身份信息,通信信息、密码信息、银行帐户信息,使得追逐利益的黑客将目光盯上移动终端,从而影响了用户的上网体验。
在本发明的移动终端异常行为检测方法与系统中主要涉及以下技术:恶意APP中马行为检测技术、恶意APP提权行为检测技术、恶意APP隐藏行为检测技术、恶意APP通信行为检测技术、恶意APP窃密行为检测技术。
移动终端异常行为检测技术的发展有两个方向,一是基于白名单检测技术;二是特征检测技术。对于这两个方向的技术,它们的优点是技术比较成熟,能够准确检测APP异常行为;缺陷是存在较大的漏报率、性能较低。本发明采用恶意APP中马行为检测技术、恶意APP提权行为检测技术、恶意APP隐藏行为检测技术、恶意APP通信行为检测技术、恶意APP窃密行为检测技术,克服了以上两个方向的方法中存在的缺点,能够快速、精确、全面检测APP异常行为。
发明内容
本发明的目的是克服现有技术的缺点,提供一种移动终端异常行为检测方法与系统,使得能够快速、精确、全面地检测恶意APP的异常行为,有效地保障移动终端中信息的机密性与完整性、移动终端中OS与APP的可用性,为网络用户提供一个安全、可用的移动互联网终端平台。
本发明的目的是通过以下技术方案实现的:
一种移动终端异常行为检测方法,包括以下步骤:
A、基于APP行为白名单,检测恶意APP中马行为;
B、基于APP行为白名单,检测恶意APP提权行为;
C、针对关键挂钩入口点,检测恶意APP隐藏行为;
D、基于发送与接收的流量比值,检测恶意APP通信行为;
E、根据语音与触摸驱动特征以及授权情况,检测恶意APP窃密行为。
优选地,所述步骤A包括:
A1、读取APP行为白名单中的APP名称、版本号、文件名与散列值;
A2、若APP与版本号在白名单中,则开始安装APP;
A3、若安装文件在白名单中,且其散列值与白名单中相应文件散列值相同,则复制APP安装文件。
APP行为白名单信息包括APP名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称、文件散列值。
优选地,所述步骤B包括:
B1、读取APP行为白名单中的APP名称、版本号、帐号、权限、根目录;
B2、若APP在自己的根目录内实施读写执行权限、对系统配置目录中的用户与口令文件实施读写权限、对系统库文件目录实施读权限,则放行,否则告警。
优选地,所述步骤C包括:
C1、读取并比较内存进程视图与APP行为白名单中APP名称与进程名称;
C2、若内存进程视图中的进程名称不在白名单中,则告警;
C3、读取并比较APP进程中库文件函数的输入地址与检测引擎库文件函数的输入地址;
C4、若两个输入地址不相同,则告警;
C5、读取并比较内存中断调度表与引擎的中断服务例程名称;
C6、若同一中断的中断服务例程名称不相同,则告警;
C7、读取比较内存驱动请求调度例程与注册的驱动请求调度例程;
C8、若驱动请求调度例程没有注册,则告警。
优选地,所述步骤D包括:
D1、采集、解析并统计每个APP确定时间段内的流量;
D2、若输出字节数多于输入字节数,则;
D3、判定该行为为恶意APP的异常通信行为。
优选地,所述步骤E包括:
E1、分析APP挂钩入口点的二进制代码特征;
E2、若有语音或触摸驱动特征,则告警;
E3、检测读取通信录与密码信息行为;
E3、若超出APP的权限,则告警。
一种移动终端异常行为检测系统,其特征在于包括:
恶意APP异常行为检测引擎,包括恶意APP中马行为检测、恶意APP提权行为检测、恶意APP隐藏行为检测、恶意APP通信行为检测、恶意APP窃密行为检测,其中恶意APP中马行为检测包括恶意APP安装检测与恶意APP注入检测,恶意APP隐藏行为检测包括用户模式隐藏行为检测与内核模式隐藏行为检测,恶意APP窃密行为检测包括窃取语音行为检测、窃取信息行为检测与窃取触摸行为检测;APP行为白名单数据库包括APP名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称、文件散列值。
APP行为白名单数据库记录APP名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称与文件散列值信息;恶意APP异常行为检测引擎针对不同的异常行为进行检测,包括恶意APP中马行为、恶意APP提权行为、恶意APP隐藏行为、恶意APP通信行为、恶意APP窃密行为。
由以上本发明提供的技术方案可以看出,本发明克服了现有技术的缺点,提供一种移动终端异常行为检测方法与系统,使得能够快速、精确、全面地检测恶意APP的异常行为,有效地保障移动终端中信息的机密性与完整性、移动终端中OS与APP的可用性,为网络用户提供一个安全、可用的移动互联网终端平台。
附图说明
图1是移动终端异常行为检测系统的组网示意图;
图2是本发明方法的系统结构示意图;
图3是本发明方法的主流程图;
图4是本发明方法恶意APP中马行为检测的流程图;
图5是本发明方法恶意APP隐藏行为检测的流程图;
图6是本发明方法恶意APP窃密行为检测的流程图。
具体实施方式
本发明方法的核心在于克服现有技术的缺点,提供一种移动终端异常行为检测方法与系统,使得能够快速、精确、全面地检测恶意APP的异常行为,有效地保障移动终端中信息的机密性与完整性、移动终端中OS与APP的可用性,为网络用户提供一个安全、可用的移动互联网终端平台。
移动终端异常行为检测的通用工作流程为:
基于APP行为白名单,检测恶意APP中马行为;
基于APP行为白名单,检测恶意APP提权行为;
针对关键挂钩入口点,检测恶意APP隐藏行为;
基于发送与接收的流量比值,检测恶意APP通信行为;
根据语音与触摸驱动特征以及授权情况,检测恶意APP窃密行为。
移动终端异常行为检测系统组网结构如图1所示。其中,
云平台,包括虚拟服务器、虚拟交换机、虚拟防火墙;
移动终端异常行为检测系统,用于检测恶意APP中马行为、恶意APP提权行为、恶意APP隐藏行为、恶意APP通信行为、恶意APP窃密行为;
互联网,包括路由器与交换机,可以传送和路由网络流量。
下面参照图2对本发明方法的系统结构作详细说明:
恶意APP异常行为检测引擎,包括恶意APP中马行为检测、恶意APP提权行为检测、恶意APP隐藏行为检测、恶意APP通信行为检测、恶意APP窃密行为检测,其中
恶意APP中马行为检测包括恶意APP安装检测行为与恶意APP注入行为检测,恶意APP隐藏行为检测包括用户模式隐藏行为检测与内核模式隐藏行为检测,恶意APP窃密行为检测包括窃取语音行为检测、窃取信息行为检测与窃取触摸行为检测;
APP行为白名单数据库包括APP名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称、文件散列值。
为了使本技术领域的人员更好地理解本发明,下面结合图3所示的流程图对本发明作进一步的详细说明。包括以下步骤:
步骤301:基于APP行为白名单,检测恶意APP安装行为;
步骤302:基于APP行为白名单,检测恶意APP注入行为;
步骤303:基于APP行为白名单,检测恶意APP提权行为;
步骤304:针对关键挂钩入口点,检测恶意APP用户模式隐藏行为;
步骤305:针对关键挂钩入口点,检测恶意APP内核模式隐藏行为;
步骤306:基于发送与接收的流量比值,检测恶意APP通信行为;
步骤307:根据语音驱动特征,检测恶意APP窃密行为。
步骤308:根据触摸驱动特征,检测恶意APP窃密行为。
步骤309:根据授权情况,检测恶意APP窃密行为。
下面结合图4所示的流程图对本发明作进一步的详细说明。包括以下步骤:
步骤401:读取APP行为白名单中的APP名称、版本号、文件名与散列值;
步骤402:若APP与版本号在白名单中,则;
步骤403:开始安装APP;
步骤404:若安装文件在白名单中,则;
步骤405:若安装文件的散列值与白名单中相应文件散列值相同,则;
步骤406:复制APP安装文件。
APP行为白名单信息包括APP名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称、文件散列值。
下面结合图5所示的流程图对本发明作进一步的详细说明。包括以下步骤:
步骤501:读取并比较内存进程视图与APP行为白名单中APP名称与进程名称;
步骤502:若内存进程视图中的进程名称不在白名单中,则告警;
步骤503:读取并比较APP进程中库文件函数的输入地址与检测引擎库文件函数的输入地址;
步骤504:若两个输入地址不相同,则告警;
步骤505:读取并比较内存中断调度表与引擎的中断服务例程名称;
步骤506:若同一中断的中断服务例程名称不相同,则告警;
步骤507:读取比较内存驱动请求调度例程与注册的驱动请求调度例程;
步骤508:若驱动请求调度例程没有注册,则告警。
下面结合图6所示的流程图对本发明作进一步的详细说明。包括以下步骤:
步骤601:分析APP挂钩入口点的二进制代码特征;
步骤602:若有语音驱动特征,则告警;
步骤603:若有触摸驱动特征,则告警;
步骤604:检测读取通信录与密码信息行为;
步骤605:若超出APP的权限,则告警。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (3)

1.一种移动终端异常行为检测方法,其特征在于包括以下步骤:
A、基于APP行为白名单,检测恶意APP中马行为;
B、基于APP行为白名单,检测恶意APP提权行为;
C、针对关键挂钩入口点,检测恶意APP隐藏行为;
D、基于发送与接收的流量比值,检测恶意APP通信行为;
E、根据语音与触摸驱动特征以及授权情况,检测恶意APP窃密行为;
所述步骤A包括:
A1、读取APP行为白名单中的APP名称、版本号、文件名与散列值;
A2、若APP与版本号在白名单中,则开始安装APP;
A3、若安装文件在白名单中,且其散列值与白名单中相应文件散列值相同,则复制APP安装文件;
APP行为白名单信息包括APP名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称、文件散列值;
所述步骤B包括:
B1、读取APP行为白名单中的APP名称、版本号、帐号、权限、根目录;
B2、若APP在自己的根目录内实施读写执行权限、对系统配置目录中的用户与口令文件实施读写权限、对系统库文件目录实施读权限,则放行,否则告警;
所述步骤C包括:
C1、读取并比较内存进程视图与APP行为白名单中APP名称与进程名称;
C2、若内存进程视图中的进程名称不在白名单中,则告警;
C3、读取并比较APP进程中库文件函数的输入地址与检测引擎库文件函数的输入地址;
C4、若两个输入地址不相同,则告警;
C5、读取并比较内存中断调度表与引擎的中断服务例程名称;
C6、若同一中断的中断服务例程名称不相同,则告警;
C7、读取比较内存驱动请求调度例程与注册的驱动请求调度例程;
C8、若驱动请求调度例程没有注册,则告警;
所述步骤E包括:
E1、分析APP挂钩入口点的二进制代码特征;
E2、若有语音或触摸驱动特征,则告警;
E3、检测读取通信录与密码信息行为;
E4、若超出APP的权限,则告警。
2.根据权利要求1所述的一种移动终端异常行为检测方法,其特征在于,所述步骤D包括:
D1、采集、解析并统计每个APP确定时间段内的流量;
D2、若发送字节数多于接收字节数,则;
D3、判定该行为为恶意APP的异常通信行为。
3.一种移动终端异常行为检测系统,其特征在于,执行如权利要求1或2所述的一种移动终端异常行为检测方法,包括:
恶意APP异常行为检测引擎,包括恶意APP中马行为检测、恶意APP提权行为检测、恶意APP隐藏行为检测、恶意APP通信行为检测、恶意APP窃密行为检测,其中恶意APP中马行为检测包括恶意APP安装检测与恶意APP注入检测,恶意APP隐藏行为检测包括用户模式隐藏行为检测与内核模式隐藏行为检测,恶意APP窃密行为检测包括窃取语音行为检测、窃取信息行为检测与窃取触摸行为检测;
APP行为白名单数据库包括APP名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称、文件散列值;
APP行为白名单数据库记录APP名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称与文件散列值信息;恶意APP异常行为检测引擎针对不同的异常行为进行检测,包括恶意APP中马行为、恶意APP提权行为、恶意APP隐藏行为、恶意APP通信行为、恶意APP窃密行为;
所述系统还用于:
读取APP行为白名单中的APP名称、版本号、帐号、权限、根目录;
若APP在自己的根目录内实施读写执行权限、对系统配置目录中的用户与口令文件实施读写权限、对系统库文件目录实施读权限,则放行,否则告警。
CN201710468859.9A 2017-06-20 2017-06-20 移动终端异常行为的检测方法与系统 Active CN107346389B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710468859.9A CN107346389B (zh) 2017-06-20 2017-06-20 移动终端异常行为的检测方法与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710468859.9A CN107346389B (zh) 2017-06-20 2017-06-20 移动终端异常行为的检测方法与系统

Publications (2)

Publication Number Publication Date
CN107346389A CN107346389A (zh) 2017-11-14
CN107346389B true CN107346389B (zh) 2021-02-19

Family

ID=60253416

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710468859.9A Active CN107346389B (zh) 2017-06-20 2017-06-20 移动终端异常行为的检测方法与系统

Country Status (1)

Country Link
CN (1) CN107346389B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101382984A (zh) * 2007-09-05 2009-03-11 江启煜 一种扫描检测广义未知病毒的方法
CN103150511A (zh) * 2013-03-18 2013-06-12 珠海市君天电子科技有限公司 一种安全防护系统
CN104573435A (zh) * 2013-10-15 2015-04-29 北京网秦天下科技有限公司 用于终端权限管理的方法和终端
CN105912925A (zh) * 2016-04-05 2016-08-31 周奇 一种禁止移动终端自动安装相关应用的方法及系统
CN106790020A (zh) * 2016-12-14 2017-05-31 北京东方棱镜科技有限公司 一种基于攻击范式的互联网异常行为检测方法与系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101382984A (zh) * 2007-09-05 2009-03-11 江启煜 一种扫描检测广义未知病毒的方法
CN103150511A (zh) * 2013-03-18 2013-06-12 珠海市君天电子科技有限公司 一种安全防护系统
CN104573435A (zh) * 2013-10-15 2015-04-29 北京网秦天下科技有限公司 用于终端权限管理的方法和终端
CN105912925A (zh) * 2016-04-05 2016-08-31 周奇 一种禁止移动终端自动安装相关应用的方法及系统
CN106790020A (zh) * 2016-12-14 2017-05-31 北京东方棱镜科技有限公司 一种基于攻击范式的互联网异常行为检测方法与系统

Also Published As

Publication number Publication date
CN107346389A (zh) 2017-11-14

Similar Documents

Publication Publication Date Title
RU2595511C2 (ru) Система и способ ограничения работы доверенных приложений при наличии подозрительных приложений
WO2015169158A1 (zh) 信息保护的方法和系统
CN101833621B (zh) 终端安全审计方法及系统
CN110417778B (zh) 访问请求的处理方法和装置
CN103077345B (zh) 基于虚拟机的软件授权方法及系统
CN103294950A (zh) 一种基于反向追踪的高威窃密恶意代码检测方法及系统
CN103246849A (zh) 一种Windows下基于增强型ROST的安全运行方法
CN104102878A (zh) 一种Linux平台下的恶意代码分析方法及系统
CN111125688B (zh) 一种进程控制方法、装置及电子设备和存储介质
CN114374566B (zh) 一种攻击检测方法及装置
CN112422581B (zh) JVM中的Webshell网页检测方法、装置及设备
KR102180098B1 (ko) 악성코드 모니터링 및 사용자 단말 제어 기능을 수행하는 악성코드 탐지 시스템
JP5478390B2 (ja) ログ抽出システムおよびプログラム
WO2019037521A1 (zh) 安全检测的方法、装置、系统以及服务器
CN108256351B (zh) 文件处理方法和装置、存储介质及终端
CN116611066B (zh) 勒索病毒识别方法、装置、设备及存储介质
CN107346389B (zh) 移动终端异常行为的检测方法与系统
CN108989298B (zh) 一种设备安全监控方法、装置及计算机可读存储介质
CN115906184B (zh) 一种控制进程访问文件的方法、装置、介质及电子设备
CN105791221B (zh) 规则下发方法及装置
CN110674499A (zh) 一种识别计算机威胁的方法、装置及存储介质
CN113596600A (zh) 直播嵌入程序的安全管理方法、装置、设备及存储介质
Park et al. An enhanced security framework for reliable Android operating system
CN114186222A (zh) 一种勒索病毒的防护方法及系统
CN109271781B (zh) 一种基于内核的应用程序获取超级权限行为检测方法与系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant