CN107798242A - 一种静动态结合的恶意安卓应用自动检测系统 - Google Patents
一种静动态结合的恶意安卓应用自动检测系统 Download PDFInfo
- Publication number
- CN107798242A CN107798242A CN201711114266.9A CN201711114266A CN107798242A CN 107798242 A CN107798242 A CN 107798242A CN 201711114266 A CN201711114266 A CN 201711114266A CN 107798242 A CN107798242 A CN 107798242A
- Authority
- CN
- China
- Prior art keywords
- malice
- application
- android application
- dynamic
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 claims abstract description 74
- 230000003068 static effect Effects 0.000 claims abstract description 46
- 238000012360 testing method Methods 0.000 claims abstract description 30
- 238000004458 analytical method Methods 0.000 claims abstract description 17
- 230000003542 behavioural effect Effects 0.000 claims abstract description 13
- 238000012544 monitoring process Methods 0.000 claims abstract description 6
- 238000012790 confirmation Methods 0.000 claims abstract description 4
- 238000000034 method Methods 0.000 claims description 11
- 206010070834 Sensitisation Diseases 0.000 claims description 4
- 230000006399 behavior Effects 0.000 claims description 4
- 230000008313 sensitization Effects 0.000 claims description 4
- 235000013399 edible fruits Nutrition 0.000 claims 1
- 239000007787 solid Substances 0.000 claims 1
- 238000004422 calculation algorithm Methods 0.000 description 12
- 230000011514 reflex Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000007689 inspection Methods 0.000 description 3
- 230000035945 sensitivity Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种静动态结合的恶意安卓应用自动检测系统,它包含一个恶意行为模型配置模块,一个静态恶意特征检测模块和一个动态恶意行为确认模块。恶意行为模型配置模块供用户指定待检测的恶意行为类型;静态恶意特征检测模块针对特定恶意类型,静态分析安卓应用的反编译文件,检测其中是否存在对应敏感API的调用,以此确定待测安卓应用是否为疑似恶意应用;动态恶意行为确认模块基于底层测试工具自动执行疑似恶意应用,并且利用监测工具收集行为信息确认应用运行过程中是否存在恶意行为。所述自动检测系统灵活性大,根据用户配置可以检测不同类型恶意应用,此外所述自动检测系统采取静动态结合的方式在提高准确率的同时提高了检测效率。
Description
技术领域
发明专利涉及软件安全,安卓应用,静态分析,自动化动态测试等领域,尤其涉及针对安卓应用的静态敏感API分析以及动态自动执行收集行为信息。
背景技术
安卓应用已经成为人们日常生活不可缺少的部分,与此同时,恶意制造者利用安卓应用来达到他们的目的,在安卓应用中插入恶意代码形成恶意安卓应用,当前常见的恶意行为有恶意扣费、隐私窃取、资费消耗等。
针对恶意安卓应用的检测,传统工作一般采取静态分析反编译代码,从敏感API调用、控制流程图、系统调用等角度检测安卓应用中是否包含恶意行为,但这种方式准确率比较低,因为现在的恶意制造者会采取比较狡猾的方式(反射调用等)加入恶意代码来逃避常规的静态检测,所以会漏报大量的恶意安卓应用。为了避免恶意应用躲避静态检测,技术人员提出动态执行安卓应用收集运行时刻信息来确认其中是否包含恶意行为,这种方式能大大提高准确率,但是这种方式代价比较高,动态测试相对而言需要大量的时间,尤其是大型应用。
为此,当前急需准确而又高效的方法来自动检测恶意安卓应用。
发明内容
针对现有技术中存在的问题,本发明主要是提供一种针对恶意安卓应用的自动检测系统,首先用户对恶意行为模型进行配置,确定需要检测的恶意行为类型,其次从敏感API调用的角度静态分析待测应用的反编译代码,其中包含针对反射调用的检测,若应用中包含相关恶意行为的敏感API调用,则将应用视为疑似恶意应用,最后基于底层测试工具动态自动执行疑似恶意应用,利用监测工具收集运行时刻信息,根据这些行为信息最终确认其是否为恶意应用。本技术对于动态测试是自动的,同时对用户提供恶意行为模型配置,可以检测不同类型的恶意应用。
本发明通过以下技术方案实现:
一种静动态结合的恶意安卓应用自动检测框架,它包含一个恶意行为模型配置模块,一个静态恶意特征检测模块以及一个动态恶意行为确认模块。其中:
所述恶意安卓应用是指可在安卓平台上安装、运行以达到不正当目的,或具有违反国家相关法律法规行为的移动应用。
所述静动态结合是指静态代码分析和动态应用测试两种方法相结合。
所述恶意行为模型配置模块是指待检测的恶意行为类型输入。
所述静态恶意特征检测模块是对安卓应用反编译代码进行分析,检测是否存在对应敏感API的调用。
所述动态恶意行为确认模块是指在动态测试工具支持下,利用测试脚本自动执行安卓应用,收集行为信息,确认过程中是否存在相关恶意行为。
所述自动检测框架提供恶意行为模型配置文件,用户根据需要检测的恶意应用类型,完成配置(指定对应恶意类型的敏感API)。
所述自动检测框架根据不同的配置检测不同类型的恶意安卓应用,不局限于某一种固定类型的恶意安卓应用,有较强的灵活性。
所述静态恶意特征检测模块中加入了对于反射调用的检测,能够检测隐蔽类型的恶意安卓应用,降低漏报率。当前的恶意应用制作者通过分析传统检测工具,改变恶意代码插入方式来躲避检测,目前比较流行的方式就是通过反射机制调用敏感API,这导致传统检测工具出现大量漏报。
所述自动检测框架将静动态方式结合,在提高准确率的同时又提高了检测效率。如果只利用静态代码分析方式,则由于缺少运行时刻信息往往会出现漏报或误报;如果直接采取动态运行安卓应用,收集行为信息的方式,则将耗费大量时间。所以所述自动检测框架首先通过静态恶意特征检测模块筛选出疑似恶意安卓应用,然后利用动态恶意行为确认模块,确认其运行过程中是否确认发生恶意行为。这种方式将显著提高效率,尤其是针对所检测应用不是恶意安卓应用时。
所述自动检测框架有效解决了传统恶意安卓应用检测工作的弊端。
所述静态恶意特征检测不仅仅需要扫描应用代码中是否调用了敏感API,还需要考虑到反射调用,所以基于现有工具DroidRA检测安卓应用中是否利用了反射机制调用API,但是DroidRA存在一个弊端,它无法检测到通过数组赋值的反射调用,所以所述静态恶意特征检测模块增加了对于数组赋值类型的反射调用的检测。
所述静态恶意特征检测模块结果决定动态恶意行为确认模块是否执行,只有静态检测到敏感API的调用,才会利用动态执行进行进一步确认。所述静态恶意特征检测模块将敏感API调用的方式考虑齐全,大大减少了漏报情况。
所述静态恶意特征检测模块中的对于反射机制的考虑也是所述自动检测框架的价值以及创新点所在。
所述动态恶意行为确认模块只作用于疑似恶意应用,基于底层测试工具MonkeyRunner对疑似安卓应用进行自动化测试。
在自动化测试过程中基于运行时刻监测工具DroidBox,收集行为信息即在自动化执行过程中调用的API,如果其中包含待测恶意类型相关的敏感API,则确认为恶意安卓应用,如果直至整个自动化执行结束,都并未发现敏感API的调用,则判定该应用为正常应用。
所述安卓应用的字节码由反编译安卓应用得到,其中包含多个类文件。
所述安卓应用的反射调用是指动态获取信息以及动态调用对象的方法。
所述安卓应用的反射调用检测是指分析安卓应用的字节码,判定应用中是否利用了反射机制调用相关敏感API。
所述静态恶意特征检测模块是指对安卓应用进行字节码分析,检测其中是否调用了相关敏感API,其中需要利用反射调用检测。
所述动态恶意行为确认模块是指动态自动执行安卓应用,确认过程中是否存在相关恶意行为。
通过行为信息的收集来进一步确认是更加具有说服力的,因为只有运行时刻的行为信息才能表明应用的实际情况,静态分析结果仅仅是一种可能,为此通过动态恶意行为确认模块降低了检测结果的误报率,提高了正确率。
本发明的有益效果:
1、静态分析中增加了对反射调用的检测,大大降低了漏报率。
2、将静动态结合,首先通过静态分析筛选出潜在恶意应用,然后动态确认潜在恶意应用是否包含恶意行为,在提高准确率的同时有效降低了检测时间。
附图说明
图1为本发明实施例提供的静动态结合的恶意安卓应用自动检测系统的结构图。
图2为本发明实施例提供的静态恶意特征检测模块的流程图。
图3为本发明实施例提供的数组赋值反射调用检测算法的流程图。
图4为本发明实施例提供的动态恶意行为确认模块的结构图。
图5为本发明实施例提供的控件基于可疑度排序算法的结构图。
图6为本发明实施例提供的页面布局分析算法的结构图。
图7为本发明实施例提供的测试脚本生成算法的流程图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地的描述。
如图1所示,本发明实施例提供的静动态结合的恶意安卓应用自动检测系统,由一个恶意行为模型配置模块、一个静态恶意特征检测模块和一个动态恶意行为确认模块构成。首先用户根据要检测的恶意行为类型对模型进行配置即给定需要检测的敏感API,确定框架最终需要检测的恶意安卓应用类型;其次通过静态恶意特征检测模块,分析安卓应用的反编译代码,扫描其中是否包含相关恶意行为的敏感API的调用,其中考虑到恶意应用的隐蔽性,增加了对于敏感API反射调用的检测;最后,动态恶意行为确认模块根据静态恶意特征检测模块的结果,进一步对疑似恶意应用进行确认,基于底层测试工具(本发明实例中选定MonkeyRunner,也可以另选)动态自动化执行应用,同时利用行为信息收集工具(本发明实例中选定DroidBox,也可以根据实际情况另选)收集运行时刻信息,据此来确定应用在运行过程中是否存在恶意行为。
本框架对用户提供恶意行为模型配置,有较大灵活性,根据用户配置检测不同类型的恶意安卓应用。此外,静态恶意特征检测模块首先筛选出疑似恶意安卓应用,对于非疑似恶意安卓应用,则不进行动态恶意行为确认,大大提高了检测效率。
图2描述了静态恶意特征检测模块工作的流程图。对于一个安卓应用,根据用户的恶意行为模型配置,本模块可以检测出应用中是否存在相关恶意行为的敏感API调用。如果这个应用中包含敏感API的调用,则表明这个应用为疑似恶意安卓应用,需动态恶意行为模块进一步确认,反之,则直接判定这个应用为非恶意安卓应用,也无需动态恶意行为模块的工作。
一般的恶意应用会直接在应用中插入恶意代码,所以,静态恶意特征检测模块首先逐个扫描安卓应用的反编译代码文件,查看其中是否有敏感API的调用,如果存在,则判定应用为疑似恶意应用,退出本模块,反之则进一步检测。
由于现在的恶意软件制作者比较狡猾,他们会采取隐蔽的方式来躲过静态分析检测,例如利用反射机制,当前一般存在两种方式的反射调用,一种是通过变量赋值的反射调用,另一种是通过数组赋值的反射调用,所以,在静态检测时需要分别对这两种方式的反射调用进行检测。
变量赋值反射调用是反射调用中较为常见的方式,它的执行方式一般为首先取得被调用方法所在类,从而利用类初始化得到对象,然后通过变量来赋值API名称并且作为getMethod方法的实参来获取API,最后在对象上执行API。
数组赋值反射调用相对而言更隐蔽,和变量赋值反射调用相比,其调用过程是一致的,但它的区别主要在于通过数组来赋值API名称来获取对应的API,这种方式相比于普通变量赋值的反射调用更复杂,检测更困难。
当前已有相关工作检测安卓应用的变量赋值的反射调用,DroidRA是相对比较成熟的反射调用检测工具,本模块中调用这个工具,将待检测的安卓应用作为参数,如果这个工具检测到相关恶意敏感API的反射调用,则确定这个应用为疑似恶意安卓应用,退出本模块,反之则进一步检测。
由于DroidRA工具存在弊端,无法检测通过数组赋值的反射调用,为此,根据数组赋值的反射调用检测算法判断应用中是否存在这种方式的敏感API的调用,如果存在,则确定这个应用为疑似恶意安卓应用,反之,则重复上述过程直至所有反编译代码文件扫描结束。
图3描述了数组赋值反射调用检测算法的流程。当前没有相关工作来检测数组赋值反射调用,本框架首次提出算法检测数组赋值类型的反射调用。本算法仍然基于对反编译代码文件的全扫描,当检测到文件中存在关键字.array-data和.end array-data时,则进一步取出关键字之间的内容即数组内容,由于反编译代码文件中一般采用ASCII码表示字符,为此,需要将数组内容进行ASCII码解析,最终判断解析得到的数组内容是否匹配相关敏感API,若是,则表明应用中通过数组赋值的方式反射调用了敏感API,判定应用为疑似恶意应用,反之则不是。
图4描述了动态恶意行为确认模块的结构。动态恶意行为确认只针对静态检测模块得到的疑似恶意安卓应用,动态确认模块采取全自动的方式,技术人员首先根据可疑度分析算法将应用控件的可疑度进行分析,然后基于排完序的控件ID,利用脚本生成算法生成自动化测试脚本,其中脚本需要根据底层测试工具而定,本框架中暂定为MonkeyRunner;应用在自动化执行的过程中,利用行为监测工具收集行为信息直到整个测试脚本结束,在本框架中利用DroidBox来监测应用的运行过程,若行为信息中存在相关恶意行为,则确认应用为恶意的。
图5描述了控件基于可疑度排序算法的结构。为了得到排完序的控件ID,首先需要根据应用的页面布局分析算法得到应用的所有控件ID;为了方便后续处理,需要将所有UI控件ID进行规范化处理,如统一大小写等;然后技术人员需要对大量的已有恶意应用数据集进行分析,获取历史经验,得到不同类型恶意应用对应的敏感控件ID名称,以此对不同的UI控件ID赋予不同的可疑度值,例如一般来说UI控件ID中含有“Next”、“Accept”、“OK”等名称的控件都拥有较高的可疑度值,其他控件拥有相对较低的可疑度值,若多个控件的ID都包含相同的敏感单词,则按照控件在页面布局文件中出现顺序执行,这样便得到了依据可疑度排序的控件,从而保证最有可能触发恶意行为的控件优先执行。
图6描述了对于安卓应用的页面布局分析算法的结构,首先对疑似恶意安卓应用进行反编译,得到多个文件,从中获取AndroidManifest.xml和R.layout文件。然后根据AndroidManifest.xml,查找入口Activity,然后根据这个Activity的名字查找smali文件夹中对应的反编译文件;分析该smali代码,获取该Activity对应的布局文件的16进制表示;扫描R.layout文件,查找该16进制数对应页面布局XML文件,最后根据标签解析相应的XML文件,得到所有UI的ID,如需要找页面上所有按钮的ID,则找到“<Button>”标签,即可找到对应的ID。
图7描述了测试脚本生成算法的流程。测试脚本本质是对应用控件的操作,为此,所述测试脚本生成算法基于根据可疑度排完序的控件数组。而且,根据对大量已有恶意安卓应用的分析得出历史经验,恶意应用制作者一般在浅层次或者说用户比较容易接触的控件上插入恶意代码,所以所述测试脚本生成算法在操作完一个控件之后都会采取返回操作,然后再进行下一个控件的操作,直到所有控件遍历完成。
虽然本发明通过实施例进行了描述,但实施例并非用来限定本发明。本领域技术人员可在本发明的精神的范围内,做出各种变形和改进,如果这种变形后的效果是可预测的,则其同样在本发明的保护范围之内。因此本发明的保护范围应当以本申请的权利要求相同或等同的技术特征所界定的保护范围为准。
Claims (9)
1.一种静动态结合的恶意安卓应用自动检测系统,其特征在于:它包含一个恶意行为模型配置模块,一个静态恶意特征检测模块以及一个动态恶意行为确认模块;其中:
所述恶意安卓应用是指可在安卓平台上安装、运行以达到不正当目的,或具有违反国家相关法律法规行为的移动应用;
所述静动态结合是指静态代码分析和动态应用测试两种方法相结合;
所述恶意行为模型配置模块是指待检测的恶意行为类型输入;
所述静态恶意特征检测模块是对安卓应用反编译代码进行分析,检测是否存在对应敏感API的反射调用;
所述动态恶意行为确认模块是指在动态测试工具支持下,利用测试脚本自动执行安卓应用,收集行为信息,确认过程中是否存在相关恶意行为。
2.根据权利要求1所述的静动态结合的恶意安卓应用自动检测系统,其特征在于:
所述自动检测系统提供恶意行为模型配置文件,用户根据需要检测的恶意应用类型,完成配置(指定对应恶意类型的敏感API);
所述自动检测系统根据不同的配置检测不同类型的恶意安卓应用,不局限于某一种固定类型的恶意安卓应用,有较强的灵活性。
3.根据权利要求1所述的静动态结合的恶意安卓应用自动检测系统,其特征在于:
所述自动检测系统首先通过静态恶意特征检测模块筛选出疑似恶意安卓应用,然后利用动态恶意行为确认模块,确认其运行过程中是否确认发生恶意行为。
4.根据权利要求1所述的静动态结合的恶意安卓应用自动检测系统,其特征在于:
所述安卓应用的字节码由反编译安卓应用得到,其中包含多个类文件;
所述安卓应用的反射调用是指动态获取信息以及动态调用对象的方法;
所述安卓应用的反射调用检测是指分析安卓应用的字节码,判定应用中是否利用了反射机制调用相关敏感API;
所述静态恶意特征检测模块是指对安卓应用进行字节码分析,检测其中是否调用了相关敏感API,其中需要利用反射调用检测。
5.根据权利要求1至4之一所述的静动态结合的恶意安卓应用自动检测系统,其特征在于:
所述静态恶意特征检测模块中加入了对于反射调用的检测,能够检测隐蔽类型的恶意安卓应用,降低漏报率。
6.根据权利要求5所述的静动态结合的恶意安卓应用自动检测系统,其特征在于:
所述静态恶意特征检测模块增加了对于数组赋值类型的反射调用的检测;所述静态恶意特征检测不需要扫描应用代码中是否调用了敏感API,还需要考虑到反射调用;
所述静态恶意特征检测模块结果决定动态恶意行为确认模块是否执行,只有静态检测到敏感API的调用,才会利用动态执行进行进一步确认。
7.根据权利要求6所述的静动态结合的恶意安卓应用自动检测系统,其特征在于:
所述动态恶意行为确认模块只作用于疑似恶意应用,基于底层测试工具MonkeyRunner对疑似安卓应用进行自动化测试;
在自动化测试过程中基于运行时刻监测工具DroidBox,收集行为信息即在自动化执行过程中调用的API,如果其中包含待测恶意类型相关的敏感API,则确认为恶意安卓应用,如果直至整个自动化执行结束,都并未发现敏感API的调用,则判定该应用为正常应用。
8.一种静动态结合的恶意安卓应用自动检测方法,其特征在于:首先用户对恶意行为模型进行配置,确定需要检测的恶意行为类型,其次从敏感API调用的角度静态分析待测应用的反编译代码,其中包含针对反射调用的检测,若应用中包含相关恶意行为的敏感API调用,则将应用视为疑似恶意应用,最后基于底层测试工具动态自动执行疑似恶意应用,利用监测工具收集运行时刻信息,根据这些行为信息最终确认其是否为恶意应用。
9.根据权利要求8所述的静动态结合的恶意安卓应用自动检测方法,其特征在于:
所述安卓应用的字节码由反编译安卓应用得到,其中包含多个类文件;
所述安卓应用的反射调用是指动态获取信息以及动态调用对象的方法;
所述安卓应用的反射调用检测是指分析安卓应用的字节码,判定应用中是否利用了反射机制调用相关敏感API;
其中静态恶意特征检测是指对安卓应用进行字节码分析,检测其中是否调用了相关敏感API,其中需要利用反射调用检测。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711114266.9A CN107798242A (zh) | 2017-11-13 | 2017-11-13 | 一种静动态结合的恶意安卓应用自动检测系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711114266.9A CN107798242A (zh) | 2017-11-13 | 2017-11-13 | 一种静动态结合的恶意安卓应用自动检测系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107798242A true CN107798242A (zh) | 2018-03-13 |
Family
ID=61534987
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711114266.9A Pending CN107798242A (zh) | 2017-11-13 | 2017-11-13 | 一种静动态结合的恶意安卓应用自动检测系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107798242A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108681670A (zh) * | 2018-03-30 | 2018-10-19 | 中国科学院信息工程研究所 | 基于细粒度特征的Android恶意应用检测的方法及装置 |
| CN110110521A (zh) * | 2019-03-28 | 2019-08-09 | 江苏通付盾信息安全技术有限公司 | 一种基于iOS应用的安全检测方法、装置及系统 |
| CN110147654A (zh) * | 2019-03-28 | 2019-08-20 | 江苏通付盾信息安全技术有限公司 | 一种基于iOS应用的安全检测方法、装置及系统 |
| CN110781081A (zh) * | 2019-10-12 | 2020-02-11 | 南京信息职业技术学院 | 一种移动应用回调强制触发方法、系统及存储介质 |
| CN110795734A (zh) * | 2019-10-12 | 2020-02-14 | 南京信息职业技术学院 | 一种恶意移动应用检测方法 |
| CN110889115A (zh) * | 2019-11-07 | 2020-03-17 | 国家计算机网络与信息安全管理中心 | 恶意推送行为检测方法及装置 |
| CN111163065A (zh) * | 2019-12-13 | 2020-05-15 | 国家计算机网络与信息安全管理中心 | 异常用户检测方法及装置 |
| CN113792294A (zh) * | 2021-11-15 | 2021-12-14 | 北京升鑫网络科技有限公司 | 一种恶意类检测方法、系统、装置、设备及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104361285A (zh) * | 2014-11-20 | 2015-02-18 | 工业和信息化部电信研究院 | 移动设备应用程序的安全检测方法及装置 |
| CN105893848A (zh) * | 2016-04-27 | 2016-08-24 | 南京邮电大学 | 一种基于代码行为相似度匹配的Android恶意应用程序防范方法 |
-
2017
- 2017-11-13 CN CN201711114266.9A patent/CN107798242A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104361285A (zh) * | 2014-11-20 | 2015-02-18 | 工业和信息化部电信研究院 | 移动设备应用程序的安全检测方法及装置 |
| CN105893848A (zh) * | 2016-04-27 | 2016-08-24 | 南京邮电大学 | 一种基于代码行为相似度匹配的Android恶意应用程序防范方法 |
Non-Patent Citations (1)
| Title |
|---|
| 黄浩华等: "静动态结合的恶意Android 应用自动检测技术", 《信 息 安 全 学 报》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108681670A (zh) * | 2018-03-30 | 2018-10-19 | 中国科学院信息工程研究所 | 基于细粒度特征的Android恶意应用检测的方法及装置 |
| CN110110521A (zh) * | 2019-03-28 | 2019-08-09 | 江苏通付盾信息安全技术有限公司 | 一种基于iOS应用的安全检测方法、装置及系统 |
| CN110147654A (zh) * | 2019-03-28 | 2019-08-20 | 江苏通付盾信息安全技术有限公司 | 一种基于iOS应用的安全检测方法、装置及系统 |
| CN110147654B (zh) * | 2019-03-28 | 2021-11-26 | 江苏通付盾信息安全技术有限公司 | 一种基于iOS应用的安全检测方法、装置及系统 |
| CN110781081A (zh) * | 2019-10-12 | 2020-02-11 | 南京信息职业技术学院 | 一种移动应用回调强制触发方法、系统及存储介质 |
| CN110795734A (zh) * | 2019-10-12 | 2020-02-14 | 南京信息职业技术学院 | 一种恶意移动应用检测方法 |
| CN110781081B (zh) * | 2019-10-12 | 2024-04-09 | 南京信息职业技术学院 | 一种移动应用回调强制触发方法、系统及存储介质 |
| CN110889115A (zh) * | 2019-11-07 | 2020-03-17 | 国家计算机网络与信息安全管理中心 | 恶意推送行为检测方法及装置 |
| CN111163065A (zh) * | 2019-12-13 | 2020-05-15 | 国家计算机网络与信息安全管理中心 | 异常用户检测方法及装置 |
| CN113792294A (zh) * | 2021-11-15 | 2021-12-14 | 北京升鑫网络科技有限公司 | 一种恶意类检测方法、系统、装置、设备及介质 |
| CN113792294B (zh) * | 2021-11-15 | 2022-03-08 | 北京升鑫网络科技有限公司 | 一种恶意类检测方法、系统、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107798242A (zh) | 一种静动态结合的恶意安卓应用自动检测系统 | |
| CN106055980B (zh) | 一种基于规则的JavaScript安全性检测方法 | |
| CN106572117B (zh) | 一种WebShell文件的检测方法和装置 | |
| CN110245496A (zh) | 一种源代码漏洞检测方法及检测器和其训练方法及系统 | |
| CN103839005B (zh) | 移动操作系统的恶意软件检测方法和恶意软件检测系统 | |
| CN110266669A (zh) | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 | |
| CN109684840A (zh) | 基于敏感调用路径的Android恶意软件检测方法 | |
| CN106778268A (zh) | 恶意代码检测方法与系统 | |
| CN105516128B (zh) | 一种Web攻击的检测方法及装置 | |
| CN109271788B (zh) | 一种基于深度学习的Android恶意软件检测方法 | |
| CN106415507A (zh) | 日志分析装置、攻击检测装置、攻击检测方法以及程序 | |
| CN107103237A (zh) | 一种恶意文件的检测方法及装置 | |
| CN114077741B (zh) | 软件供应链安全检测方法和装置、电子设备及存储介质 | |
| CN106598866A (zh) | 一种基于smali中间语言的静态检测系统及方法 | |
| CN107103239B (zh) | 基于应用系统业务处理逻辑的源代码越权检测方法及装置 | |
| CN103810428B (zh) | 一种宏病毒检测方法及装置 | |
| KR101640479B1 (ko) | 소스코드기반 소프트웨어 취약점 공격행위 분석시스템 | |
| CN111447224A (zh) | web漏洞扫描方法及漏洞扫描器 | |
| CN109800569A (zh) | 程序鉴别方法及装置 | |
| CN111274149A (zh) | 测试数据的处理方法及装置 | |
| Bernardi et al. | A fuzzy-based process mining approach for dynamic malware detection | |
| CN108241802A (zh) | 一种聚合多维的Android平台隐私窃取类应用自动识别方法 | |
| KR102192196B1 (ko) | Ai 기반 머신러닝 교차 검증 기법을 활용한 악성코드 탐지 장치 및 방법 | |
| Kim et al. | Malicious behavior detection method using api sequence in binary execution path | |
| CN110458239A (zh) | 基于双通道卷积神经网络的恶意软件分类方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180313 |