CN112565274A - 一种智能识别恶意app的方法及系统 - Google Patents
一种智能识别恶意app的方法及系统 Download PDFInfo
- Publication number
- CN112565274A CN112565274A CN202011434278.1A CN202011434278A CN112565274A CN 112565274 A CN112565274 A CN 112565274A CN 202011434278 A CN202011434278 A CN 202011434278A CN 112565274 A CN112565274 A CN 112565274A
- Authority
- CN
- China
- Prior art keywords
- apk
- app
- malicious
- address
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title abstract description 9
- 244000035744 Hura crepitans Species 0.000 claims abstract description 20
- 238000000605 extraction Methods 0.000 claims abstract description 20
- 230000001902 propagating effect Effects 0.000 abstract description 2
- 239000000284 extract Substances 0.000 abstract 1
- 230000000903 blocking effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000007789 sealing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Abstract
一种智能识别恶意APP的方法及系统涉及信息技术领域。本发明由信安系统数据采集器、DPI旁路系统数据采集器、APK地址过滤器、APK文件获取器、APP文件提取分析器、APP沙箱和fiddler工具组成,本发明通过网络流量提取APK下载地址,通过对APK的文件分析判断恶意APK,并将恶意APK发送给APP沙箱;在APP沙箱中自动安装APK和通过脚本模拟点击运行APK;在APP沙箱中使用fiddler工具提取网络地址,将网络地址中属于谷歌服务地址外的其他地址进行提取生成APP后台管理地址,将APP后台管理地址提交给信息管理部门进行网络封堵,从而从源头切断恶意APP被下载和传播的路径。
Description
技术领域
本发明涉及信息技术领域。
背景技术
当前社会正在朝网络化、数字化、智能化不断迈进和高速发展,以智能手机为代表,几乎人手一部智能手机,手机中能安装各种不同的应用,来满足大家的需求。不法分子看准了这个渠道,通过网络分发平台发布和推送各种涉诈app,诱导客户进行安装,从而获取敏感信息,或者直接通过仿冒官方app进行诈骗,受害者往往难以区分真假,当诈骗发生时,app可能已经无法正常提现使用。
一般有防范欺诈意识的人只从手机自带应用市场安装app,但大多数普通人对此没有警觉性,在浏览网页时误点广告下载了应用,且无法将下载一个应用和后续可能发生的诈骗事件联系在一起,从而遭遇诈骗。手机app五花八门,怎样提前防御是关键,即使是各种系统提示非官方app谨慎安装,可能也会遭到用户的忽略。
现有技术中并没有有效的方法防范恶意APP被下载和传播,而本发明的一种智能识别恶意APP的方法及系统适合安装于信息管理部门从源头切断恶意APP的下载和传播,本发明通过信安系统数据采集器和DPI旁路系统数据采集器采集运营商的网络流量;并通过APK地址过滤器对流量中出现APK下载地址进行提取;通过APK文件获取器将网络流量中的APK下载和存储;使用APP文件提取分析器对下载和存储的APK进行解压和文件内容分析,对解压后的APK文件的内容中包含黑名单中关键字的APK判断为恶意APK,并将恶意APK发送给APP沙箱;在APP沙箱中自动安装APK和通过脚本模拟点击运行APK;在APP沙箱中使用fiddler工具提取网络地址,将网络地址中属于谷歌服务地址外的其他地址进行提取生成APP后台管理地址,将APP后台管理地址提交给信息管理部门进行网络封堵,从而从源头切断恶意APP被下载和传播的路径。
现有技术说明
fiddler工具是一款免费的互联网调试代理工具,是一款国外软件,原版软件无中文版,但有汉化版。它可以抓取电脑甚至手机与互联网的各种http通讯。
信安系统也叫IDC/ISP信息安全管理系统通过先进的技术手段对运营商、业务经营者的业务监控管理进行有效的测试检查,可以实现对网络接入的托管用户业务内容主动性审查、从文字到图片的全方位过滤识别、对接入用户的内容安全违规行为进行排名、告警、堵截等,从而实现主动对网络内容安全监管。系统可扩展实现对非经营性网站报备的自动监测检查,可大大提高违规网站发现及审核效率。
DPI旁路系统简称DPI系统,其流量是通过在运营商部署dpi旁路设备,来获取分光器分流的流量。
APP沙箱是在Window或者Linux环境下搭建的安卓环境,Window上有各种安卓模拟器可以使用,Linux可以直接将Android发布版镜像进行编译,即可正常使用。在安卓环境下,可以使用基于像素的脚本程序安装APP,并通过脚本进行模拟点击效果,通过脚本导出Fiddler工具抓取的APP请求的后台地址。
发明内容
鉴于现有技术的不足,本发明的一种智能识别恶意APP的方法及系统由信安系统数据采集器、DPI旁路系统数据采集器、APK地址过滤器、APK文件获取器、APP文件提取分析器、APP沙箱和fiddler工具组成;
信安系统数据采集器负责从信安系统采集网络流量日志,网络流量日志包括:网址、源ip、目的ip和访问时间;信安系统数据采集器将网络流量发送给APK地址过滤器;
DPI旁路系统数据采集器负责从DPI旁路设备采集网络流量日志,将网络流量发送给APK地址过滤器;
APK地址过滤器将网络流量日志中包含后缀为.apk的链接筛选保存并发送给APK文件获取器;
APK文件获取器根据后缀为.apk的连接下载并保存APK文件,并将APK文件发送给APK文件提取分析器;
APK文件提取分析器解压缩APK文件得到组成APK的所有文件,APK文件提取分析器对照关键字黑名单遍历APK的所有文件,当APK的所有文件中出现关键字黑名单中的短语时,APK文件提取分析器判断该APK文件为恶意APK文件,APK文件提取分析器将恶意APK发送给APP沙箱;关键字黑名单的基础数据包括:无需抵押、无需担保、无需面签、传真合同、超低息贷款、工本费、解冻费、保证金、担保金、低投入高回报;关键字黑名单支持增添短语;
APP沙箱运行有fiddler工具,APP沙箱收到恶意APK后通过脚本进行自动安装,恶意APK安装完成后通过基于像素的脚本对恶意APK生成的APP进行点击动作,点击动作会激活恶意APK生成的APP对APP后台管理地址的访问;由fiddler工具将恶意APK生成的APP的所有网络请求记录成APP网络请求文本,删除APP网络请求文本中有关谷歌服务的网址后生成APP后台管理地址,将APP后台管理地址发送给网络阻断设备即可彻底阻断恶意APP的传播。
有益效果
本发明能从流量中智能识别涉诈app,获取app下载链接及最终的后台管理地址提供给封堵设备处理,大多数情况下,网民再也不用担心下载到涉诈app了。
附图说明
图1是本发明的结构示意图。
具体实施方式
参看图1,实现本发明的一种智能识别恶意APP的方法及系统由信安系统数据采集器1、DPI旁路系统数据采集器2、APK地址过滤器3、APK文件获取器4、APP文件提取分析器5、APP沙箱6和fiddler工具7组成;
信安系统数据采集器1负责从信安系统采集网络流量日志,网络流量日志包括:网址、源ip、目的ip和访问时间;信安系统数据采集器1将网络流量发送给APK地址过滤器3;
DPI旁路系统数据采集器2负责从DPI旁路设备采集网络流量日志,将网络流量发送给APK地址过滤器3;
APK地址过滤器3将网络流量日志中包含后缀为.apk的链接筛选保存并发送给APK文件获取器4;
APK文件获取器4根据后缀为.apk的连接下载并保存APK文件,并将APK文件发送给APK文件提取分析器5;
APK文件提取分析器5解压缩APK文件得到组成APK的所有文件,APK文件提取分析器5对照关键字黑名单遍历APK的所有文件,当APK的所有文件中出现关键字黑名单中的短语时,APK文件提取分析器5判断该APK文件为恶意APK文件,APK文件提取分析器5将恶意APK发送给APP沙箱6;关键字黑名单的基础数据包括:无需抵押、无需担保、无需面签、传真合同、超低息贷款、工本费、解冻费、保证金、担保金、低投入高回报;关键字黑名单支持增添短语;
APP沙箱6运行有fiddler工具7,APP沙箱6收到恶意APK后通过脚本进行自动安装,恶意APK安装完成后通过基于像素的脚本对恶意APK生成的APP进行点击动作,点击动作会激活恶意APK生成的APP对APP后台管理地址的访问;由fiddler工具7将恶意APK生成的APP的所有网络请求记录成APP网络请求文本,删除APP网络请求文本中有关谷歌服务的网址后生成APP后台管理地址70,将APP后台管理地址70发送给网络阻断设备即可彻底阻断恶意APP的传播。
Claims (1)
1.一种智能识别恶意APP的系统,其特征在于由信安系统数据采集器、DPI旁路系统数据采集器、APK地址过滤器、APK文件获取器、APP文件提取分析器、APP沙箱和fiddler工具组成;
信安系统数据采集器负责从信安系统采集网络流量日志,网络流量日志包括:网址、源ip、目的ip和访问时间;信安系统数据采集器将网络流量发送给APK地址过滤器;
DPI旁路系统数据采集器负责从DPI旁路设备采集网络流量日志,将网络流量发送给APK地址过滤器;
APK地址过滤器将网络流量日志中包含后缀为.apk的链接筛选保存并发送给APK文件获取器;
APK文件获取器根据后缀为.apk的连接下载并保存APK文件,并将APK文件发送给APK文件提取分析器;
APK文件提取分析器解压缩APK文件得到组成APK的所有文件,APK文件提取分析器对照关键字黑名单遍历APK的所有文件,当APK的所有文件中出现关键字黑名单中的短语时,APK文件提取分析器判断该APK文件为恶意APK文件,APK文件提取分析器将恶意APK发送给APP沙箱;关键字黑名单的基础数据包括:无需抵押、无需担保、无需面签、传真合同、超低息贷款、工本费、解冻费、保证金、担保金、低投入高回报;关键字黑名单支持增添短语;
APP沙箱运行有fiddler工具,APP沙箱收到恶意APK后通过脚本进行自动安装,恶意APK安装完成后通过基于像素的脚本对恶意APK生成的APP进行点击动作,点击动作会激活恶意APK生成的APP对APP后台管理地址的访问;由fiddler工具将恶意APK生成的APP的所有网络请求记录成APP网络请求文本,删除APP网络请求文本中有关谷歌服务的网址后生成APP后台管理地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011434278.1A CN112565274A (zh) | 2020-12-11 | 2020-12-11 | 一种智能识别恶意app的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011434278.1A CN112565274A (zh) | 2020-12-11 | 2020-12-11 | 一种智能识别恶意app的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112565274A true CN112565274A (zh) | 2021-03-26 |
Family
ID=75060156
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011434278.1A Pending CN112565274A (zh) | 2020-12-11 | 2020-12-11 | 一种智能识别恶意app的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112565274A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114706662A (zh) * | 2022-06-08 | 2022-07-05 | 杭州比智科技有限公司 | 基于jvm沙箱实现动态模拟业务操作和数据的方法及系统 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130007870A1 (en) * | 2011-06-28 | 2013-01-03 | The Go Daddy Group, Inc. | Systems for bi-directional network traffic malware detection and removal |
| CN103685251A (zh) * | 2013-12-04 | 2014-03-26 | 电子科技大学 | 一种面向移动互联网的Android恶意软件检测平台 |
| CN104182688A (zh) * | 2014-08-26 | 2014-12-03 | 北京软安科技有限公司 | 基于动态激活及行为监测的Android恶意代码检测装置和方法 |
| CN104246788A (zh) * | 2012-04-18 | 2014-12-24 | 迈克菲公司 | 检测并防止恶意移动应用程序的安装 |
| US8959643B1 (en) * | 2013-08-09 | 2015-02-17 | Narus, Inc. | Detecting malware infestations in large-scale networks |
| WO2015056885A1 (ko) * | 2013-10-16 | 2015-04-23 | (주)이스트소프트 | 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법 |
| CN105187390A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 主动式移动终端恶意软件网络流量数据集获取方法及系统 |
| US20150381644A1 (en) * | 2014-06-26 | 2015-12-31 | Samsung Electronics Co., Ltd | Apparatus and method for preventing malicious code in electronic device |
| US9483644B1 (en) * | 2015-03-31 | 2016-11-01 | Fireeye, Inc. | Methods for detecting file altering malware in VM based analysis |
| US20170230388A1 (en) * | 2016-02-10 | 2017-08-10 | Cisco Technology, Inc. | Identifying malicious executables by analyzing proxy logs |
| CN108768934A (zh) * | 2018-04-11 | 2018-11-06 | 北京立思辰新技术有限公司 | 恶意程序发布检测方法、装置以及介质 |
| CN109583157A (zh) * | 2017-09-29 | 2019-04-05 | 卓望数码技术(深圳)有限公司 | 一种app远程追踪保护方法和系统 |
| US20190238566A1 (en) * | 2018-01-31 | 2019-08-01 | Palo Alto Networks, Inc. | Context profiling for malware detection |
| US20200356661A1 (en) * | 2019-05-10 | 2020-11-12 | Clean.io, Inc. | Detecting malicious code received from malicious client side injection vectors |
-
2020
- 2020-12-11 CN CN202011434278.1A patent/CN112565274A/zh active Pending
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130007870A1 (en) * | 2011-06-28 | 2013-01-03 | The Go Daddy Group, Inc. | Systems for bi-directional network traffic malware detection and removal |
| US20160006757A1 (en) * | 2012-04-18 | 2016-01-07 | Mcafee, Inc. | Detection and prevention of installation of malicious mobile applications |
| CN104246788A (zh) * | 2012-04-18 | 2014-12-24 | 迈克菲公司 | 检测并防止恶意移动应用程序的安装 |
| US8959643B1 (en) * | 2013-08-09 | 2015-02-17 | Narus, Inc. | Detecting malware infestations in large-scale networks |
| WO2015056885A1 (ko) * | 2013-10-16 | 2015-04-23 | (주)이스트소프트 | 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법 |
| CN103685251A (zh) * | 2013-12-04 | 2014-03-26 | 电子科技大学 | 一种面向移动互联网的Android恶意软件检测平台 |
| US20150381644A1 (en) * | 2014-06-26 | 2015-12-31 | Samsung Electronics Co., Ltd | Apparatus and method for preventing malicious code in electronic device |
| CN104182688A (zh) * | 2014-08-26 | 2014-12-03 | 北京软安科技有限公司 | 基于动态激活及行为监测的Android恶意代码检测装置和方法 |
| US9483644B1 (en) * | 2015-03-31 | 2016-11-01 | Fireeye, Inc. | Methods for detecting file altering malware in VM based analysis |
| CN105187390A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 主动式移动终端恶意软件网络流量数据集获取方法及系统 |
| US20170230388A1 (en) * | 2016-02-10 | 2017-08-10 | Cisco Technology, Inc. | Identifying malicious executables by analyzing proxy logs |
| CN109583157A (zh) * | 2017-09-29 | 2019-04-05 | 卓望数码技术(深圳)有限公司 | 一种app远程追踪保护方法和系统 |
| US20190238566A1 (en) * | 2018-01-31 | 2019-08-01 | Palo Alto Networks, Inc. | Context profiling for malware detection |
| CN108768934A (zh) * | 2018-04-11 | 2018-11-06 | 北京立思辰新技术有限公司 | 恶意程序发布检测方法、装置以及介质 |
| US20200356661A1 (en) * | 2019-05-10 | 2020-11-12 | Clean.io, Inc. | Detecting malicious code received from malicious client side injection vectors |
Non-Patent Citations (2)
| Title |
|---|
| 吴威;: "利用逆向分析法基于Android的恶意APK分析" * |
| 胡文君;赵双;陶敬;马小博;陈亮;: "一种针对Android平台恶意代码的检测方法及系统实现" * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114706662A (zh) * | 2022-06-08 | 2022-07-05 | 杭州比智科技有限公司 | 基于jvm沙箱实现动态模拟业务操作和数据的方法及系统 |
| CN114706662B (zh) * | 2022-06-08 | 2022-09-02 | 杭州比智科技有限公司 | 基于jvm沙箱实现动态模拟业务操作和数据的方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
| CN104486140B (zh) | 一种检测网页被劫持的装置及其检测方法 | |
| US10652274B2 (en) | Identifying and responding to security incidents based on preemptive forensics | |
| CN106357689B (zh) | 威胁数据的处理方法及系统 | |
| CN111931166B (zh) | 基于代码注入和行为分析的应用程序防攻击方法和系统 | |
| CN107295021B (zh) | 一种基于集中管理的主机的安全检测方法及系统 | |
| EP3726410A1 (en) | Interpretation device, interpretation method and interpretation program | |
| US20150150128A1 (en) | Method and apparatus for intercepting or cleaning-up plugins | |
| CN103279706A (zh) | 拦截在移动终端中安装安卓应用程序的方法和装置 | |
| CN103825888A (zh) | 网络威胁处理方法及设备 | |
| CN112491864A (zh) | 检测网络诈骗的深度受害用户的方法、装置、设备及介质 | |
| CN101127638A (zh) | 一种具有主动性的病毒自动防控系统和方法 | |
| CN113177205B (zh) | 一种恶意应用检测系统及方法 | |
| Chen et al. | Revisiting mobile advertising threats with madlife | |
| CN104080058A (zh) | 信息处理方法及装置 | |
| CN111464526A (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
| Seo et al. | Analysis on maliciousness for mobile applications | |
| CN112560090A (zh) | 一种数据检测方法和装置 | |
| CN108647517A (zh) | 一种Android混合应用代码注入的漏洞检测系统及方法 | |
| CN112565274A (zh) | 一种智能识别恶意app的方法及系统 | |
| CN111404937A (zh) | 一种服务器漏洞的检测方法和装置 | |
| CN110502892A (zh) | 一种异常测试进程的确定方法、装置及系统 | |
| CN112685255A (zh) | 一种接口监控方法、装置、电子设备及存储介质 | |
| CN110287722B (zh) | iOS应用中用于隐私条例检查的敏感权限提取方法 | |
| CN112953896A (zh) | 日志报文的回放方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20231208 |