CN113177205B - 一种恶意应用检测系统及方法 - Google Patents
一种恶意应用检测系统及方法 Download PDFInfo
- Publication number
- CN113177205B CN113177205B CN202110460211.3A CN202110460211A CN113177205B CN 113177205 B CN113177205 B CN 113177205B CN 202110460211 A CN202110460211 A CN 202110460211A CN 113177205 B CN113177205 B CN 113177205B
- Authority
- CN
- China
- Prior art keywords
- detection
- application program
- application
- sample
- samples
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
Abstract
本发明实施例公开了一种恶意应用检测系统及方法。该系统包括:采集模块,用于采集用户访问应用程序的行为记录,并从行为记录中提取与各应用程序相关的URL;用户为订购应用检测业务的用户;样本筛选模块,用于获取与各应用程序的URL匹配的应用程序样本,并从应用程序样本中筛选出待测应用程序样本;样本检测模块,用于对各应用程序的待测应用程序样本进行静态检测和/或动态检测;推送模块,用于根据静态检测结果和/或动态检测结果生成各应用程序的检测报告,并将各应用程序的检测报告通过运营商的客户管理平台推送至用户。本实施例的技术方案,可以实现无需下载额外的移动终端应用,即可有效提醒用户及时卸载已安装的恶意应用。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种恶意应用检测系统及方法。
背景技术
近年来,随着移动互联网的快速发展和智能终端的普及,终端的恶意应用数量迅速增长,用户面临的终端安全威胁与日俱增。目前,主要使用运营商移动恶意程序监测系统、手机终端健康体检应用和APP检测系统对移动用户使用的应用程序进行监测。
现有技术中,对于运营商移动恶意程序监测系统,虽然可以对恶意应用程序的传播源进行阻断,能有效的防止更多用户受感染,但是该系统仅能经过研判对恶意传播事件进行阻断,不能有效提醒用户主动加强应用程序的使用防范。对于手机终端健康体检应用,用户必须下载移动终端应用并对其开放较多权限后才能使用。对于APP检测系统,虽然可以对市面上存在的应用程序进行分析,但无法与用户进行联动,无法向用户提供权威的检测报告。
发明内容
本发明提供一种恶意应用检测系统及方法,以实现无需下载额外的移动终端应用,即可有效提醒用户及时卸载已安装的恶意应用。
第一方面,本发明实施例提供了一种恶意应用检测系统,包括:采集模块,样本筛选模块,样本检测模块以及推送模块;
采集模块,用于采集用户访问应用程序的行为记录,并从行为记录中提取与各应用程序相关的统一资源定位符(Uniform Resource Locator,URL);用户为订购应用检测业务的用户;
样本筛选模块,用于获取与各应用程序的URL匹配的应用程序样本,并从应用程序样本中筛选出待测应用程序样本;
样本检测模块,用于对各应用程序的待测应用程序样本进行静态检测和/或动态检测;
推送模块,用于根据静态检测结果和/或动态检测结果生成各应用程序的检测报告,并将各应用程序的检测报告通过运营商的客户管理平台推送至用户。
可选的,样本筛选模块,用于:
获取与各应用程序的URL匹配的应用程序样本,并将各应用程序样本与应用样本库中的样本进行匹配;
如果应用样本库中存在与应用程序样本匹配的目标样本,则将检测结果库中与目标样本对应的检测结果作为应用程序样本的检测结果;
如果应用样本库中不存在与应用程序样本匹配的目标样本,则将应用程序样本作为待测应用程序样本。
可选的,样本检测模块,包括:
静态检测单元,用于对各应用程序的待测应用程序样本进行签名特征检测、SO文件特征检测、指定函数代码的执行序列检测、类文件特征检测、字符串特征检测、启发式检测、第三方SDK检测、权限滥用检测、隐私应用程序接口(Application ProgrammingInterface,API)检测、高危API检测以及漏洞风险检测中的至少一项。
可选的,样本检测模块,包括:
动态检测单元,用于使用动态沙箱对各应用程序的待测应用程序样本进行隐私政策检测、行为日志采集、文件操作监控、API操作监控、网络行为监控以及本地行为监控中的至少一项。
可选的,动态检测单元,具体用于:
使用动态沙箱提取与各应用程序对应的隐私政策文件;
对各隐私政策文件进行解析,得到各应用程序的合法用户信息;
将各应用程序的合法用户信息与对应的待测应用程序样本中包括的相关用户信息进行比对,检测待测应用程序样本中是否包括除合法用户信息之外的其他用户信息。
可选的,推送模块,包括:
报告生成单元,用于获取与静态检测结果和/或动态检测结果中的各项检测指标对应的权重值;
针对各待测应用程序样本,根据权重值对静态检测结果和/或动态检测结果中的各项检测指标进行加权求和,得到与待测应用程序样本匹配的检测值;
如果检测值大于预设检测阈值,则生成应用程序为健康应用的检测报告;
如果检测值小于预设检测阈值,则生成应用程序为恶意应用的检测报告。
可选的,推送模块,还用于:
获取第三方信息库中包括的其他应用程序样本,并从所述样本检测模块中获取所述其他应用程序样本的静态检测结果和/或动态检测结果;
对待测应用程序样本和其他应用程序样本的静态检测结果和/或动态检测结果进行统计,获取各种应用程序的健康状态以及恶意应用的整体态势。
可选的,还包括:
管理模块,用于在生成各应用程序的检测报告之后,将检测报告以及与检测报告对应的待测应用程序样本,分别存储至样本筛选模块中的应用样本库和检测结果库中;
将与恶意应用检测报告对应的待测应用程序样本以及恶意特征,分别存储至样本筛选模块中的恶意样本库和恶意特征库中;
其中,恶意样本库和恶意特征库用于辅助对各应用程序的待测应用程序样本进行静态检测和/或动态检测。
可选的,推送模块,还用于:
响应于用户对目标应用程序的健康状态查看请求,从样本筛选模块中获取目标应用程序的检测报告,并通过运营商的客户管理平台推送至用户。
第二方面,本发明实施例还提供了一种恶意应用检测方法,应用于本发明任一实施例提供的恶意应用检测系统,包括:
通过采集模块,采集用户访问应用程序的行为记录,并从所述行为记录中提取与各应用程序相关的URL;所述用户为订购应用检测业务的用户;
通过样本筛选模块,获取与各应用程序的URL匹配的应用程序样本,并从所述应用程序样本中筛选出待测应用程序样本;
通过样本检测模块,对各应用程序的待测应用程序样本进行静态检测和/或动态检测;
通过推送模块,根据静态检测结果和/或动态检测结果生成各应用程序的检测报告,并将各应用程序的检测报告通过运营商的客户管理平台推送至所述用户。
本发明实施例的技术方案,恶意应用检测系统的采集模块采集用户访问应用程序的行为记录,并从行为记录中提取与各应用程序相关的URL;用户为订购应用检测业务的用户;样本筛选模块获取与各应用程序的URL匹配的应用程序样本,并从应用程序样本中筛选出待测应用程序样本;样本检测模块对各应用程序的待测应用程序样本进行静态检测和/或动态检测;推送模块根据静态检测结果和/或动态检测结果生成各应用程序的检测报告,并将各应用程序的检测报告通过运营商的客户管理平台推送至用户,解决了现有技术不能有效提醒用户主动加强应用程序的使用防范的问题,实现了无需下载额外的移动终端应用,即可有效提醒用户及时卸载已安装的恶意应用。
附图说明
图1a是本发明实施例一中的一种恶意应用检测系统的结构示意图;
图1b是本发明实施例一中的一种应用检测业务的订购流程图;
图1c是本发明实施例一中的一种恶意应用的检测流程图;
图1d是本发明实施例一中的一种恶意应用检测系统的结构示意图;
图1e是本发明实施例一中的一种动态检测流程图;
图1f是本发明实施例一中的一种违法应用检测流程图;
图1g是本发明实施例一中的一种应用程序健康状态评估结果;
图1h是本发明实施例一中的一种应用程序健康状态评估结果;
图1i是本发明实施例一中的一种恶意应用程序示意图;
图1j是本发明实施例一中的一种应用程序的检测报告示意图;
图2是本发明实施例二中的一种恶意应用检测方法的流程图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1a是本发明实施例一中的一种恶意应用检测系统的结构示意图,本实施例可适用于检测应用程序的健康状态,并将检测结果通知用户的情况。如图1a所示,恶意应用检测系统包括:采集模块110,样本筛选模块120,样本检测模块130以及推送模块140;
采集模块110,用于采集用户访问应用程序的行为记录,并从行为记录中提取与各应用程序相关的统一资源定位符URL;用户为订购应用检测业务的用户;
样本筛选模块120,用于获取与各应用程序的URL匹配的应用程序样本,并从应用程序样本中筛选出待测应用程序样本;
样本检测模块130,用于对各应用程序的待测应用程序样本进行静态检测和/或动态检测;
推送模块140,用于根据静态检测结果和/或动态检测结果生成各应用程序的检测报告,并将各应用程序的检测报告通过运营商的客户管理平台推送至用户。
本实施例中,用户访问应用程序的行为记录中可以包括用户使用的移动终端的IP地址、手机号码、访问应用程序的时间戳、访问页面的URL、业务类型等信息。其中,用户指的是通过运营商微信公众号、小程序、手机营业厅等方式订购了应用检测业务的运营商用户,具体的业务订购流程如图1b所示。
也就是说,用户无需下载用于应用检测的应用程序,也不需要借助其他监测设备,只需订购应用检测的增值业务即可查询其所使用的应用程序是否是恶意应用,甚至可以查询应用商城中的任意应用程序是否是恶意应用程序。这样既方便运营商用户,又可以增加运营商的经济收益。
本实施例中,如图1c所示,为了针对各个应用程序分别检测应用程序的健康状态,需要从采集模块110实时采集的用户访问应用程序的行为记录中提取与各应用程序分别关联的URL。将各URL还原成应用程序样本,即根据URL恢复出对应的应用程序的程序安装包文件等。通过样本筛选模块120对各应用程序的应用程序样本进行去重筛选,得到待检测应用程序样本。进而,通过样本检测模块130对各待检测应用程序样本进行动静态检测,实现对应用程序的自动化研判分析,同时按照研判策略对应用程序进行可疑度打分,并按照疑似程序筛选评判机制生成应用程序的检测报告。然后通过推送模块140将各应用程序的检测报告推送至运营商的客户管理平台CRM/BSS,例如,推送至运营商微信公众号、小程序、手机营业厅等进行展示,以使用户可以通过客户管理平台获取到相应的检测报告。
可选的,样本筛选模块120,可以用于:获取与各应用程序的URL匹配的应用程序样本,并将各应用程序样本与应用样本库中的样本进行匹配;如果应用样本库中存在与应用程序样本匹配的目标样本,则将检测结果库中与目标样本对应的检测结果作为应用程序样本的检测结果;如果应用样本库中不存在与应用程序样本匹配的目标样本,则将应用程序样本作为待测应用程序样本。
本实施例中,如图1d所示,考虑到同一个应用程序的不同应用程序样本对应的恶意应用检测结果应该是相同的,因此,为了避免对同一个应用程序进行重复检测,可以在获取各应用程序的应用程序样本之后,将各应用程序样本与应用样本库中的样本进行匹配。如果应用样本库中存在与应用程序样本匹配的目标样本,则说明该应用程序样本已经被检测过,此时,可以从检测结果库中获取与目标样本对应的检测结果作为应用程序样本的检测结果。如果应用样本库中不存在与应用程序样本匹配的目标样本,则说明该应用程序样本尚未被检测过,可将应用程序样本作为待测应用程序样本进行恶意应用检测。
本实施例中,为了对应用程序的网络安全项进行全面检测,可以综合使用APP爬虫引擎、恶意样本分析引擎、个人隐私研判引擎等多种APP安全分析引擎,对应用程序样本进行静态检测和动态检测,如图1d所示。其中,检测类型包括:恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓行为。
可选的,样本检测模块130,可以包括:静态检测单元,用于对各应用程序的待测应用程序样本进行签名特征检测、SO文件特征检测、指定函数代码的执行序列检测、类文件特征检测、字符串特征检测、启发式检测、第三方SDK检测、权限滥用检测、隐私应用程序接口API检测、高危API检测以及漏洞风险检测中的至少一项。
其中,签名特征检测指的是:根据总结得到的恶意应用程序和健康应用程序的签名特征,对待测应用程序样本的签名特征进行判断,从而提升确认白名单的能力,降低疑似样本率。
SO文件特征检测指的是:解析SO文件,提取其中的典型字符串、导出函数、函数字节码作为SO文件特征,并进行相关网络安全项的检测。其中,SO文件是终端的运行库文件,用于运行系统软件。
指定函数代码的执行序列检测指的是:对恶意行为的关键函数代码的执行序列进行取样作为恶意代码模板,扫描待测应用程序样本中是否有与恶意代码模板匹配的代码。这种方式可以将应用程序样本扫描的粒度降低,由包、类、方法级别降低到方法内执行代码的行级别。
类文件特征检测指的是:检测classes.dex文件或resources.arsc文件中是否包括病毒特征,例如,典型的未经混淆的、非安卓/java标准API、非广告SDK的类名,包括类方法和类成员。
字符串特征检测指的是:检测classex.dex文件或resources.arsc文件中是否包括恶意程序特征,例如,典型的字符串,如电话号码、邮箱、sql语句、网址(非广告URL)等。
启发式检测指的是:通过对恶意应用程序涉及的行为调用关系进行建模,提炼敏感字符串,匹配出可能的恶意行为。支持APK文件的声明权限提取,同时结合权限对应API的实际使用情况,获取APK文件中声明的权限和实际使用的权限,对APK的行为进行验证和确认。
第三方SDK检测指的是:检测待测应用程序样本是否使用了第三方SDK,第三方SDK是否存在恶意行为以及信息泄露等风险。
权限滥用检测指的是:Android系统中权限分为普通级别(Normal),危险级别(dangerous),签名级别(signature)和系统/签名级别(signature or system)。因此,在对应用程序权限滥用检测的同时,可以结合不同类别应用程序的推荐权限,对不同的安全级别及安全行为进行聚类来对应用程序进行恶意性评估、权限滥用评估。
漏洞风险检测指的是:对系统漏洞、应用漏洞和服务端漏洞进行检测。
可选的,样本检测模块130,可以包括:动态检测单元,用于使用动态沙箱对各应用程序的待测应用程序样本进行隐私政策检测、行为日志采集、文件操作监控、API操作监控、网络行为监控以及本地行为监控中的至少一项。
本实施例中,可以使用动态沙箱对各应用程序的待测应用程序样本进行隐私行为监控,即实时监控应用程序获取用户的电话号码、地理位置、通讯录、通话记录、短信信息、照片和浏览器书签等行为;进行网络行为监控,即实时监控应用程序访问的IP地址、端口信息等;进行文件操作监控,即实时监控应用程序创建文件、读写文件、删除文件、创建/删除目录等行为;进行短信操作监控,即实时监控应用程序发送短信、彩信行为,并对拦截的短信内容进行监控;进行命令行监控,即实时监控应用程序调用的工具,如su提权工具、pm包管理工具等;进行音视频录制和摄像头监控,即实时监控应用程序是否有打开摄像头、录制音视频的行为;实时检测APP运行过程的截图;进行系统环境监控,即通过定制的安卓系统镜像,系统的各个参数硬件环境模拟真机,在应用程序运行时检测系统环境,如图1e所示。
可选的,动态检测单元,可以具体用于:使用动态沙箱提取与各应用程序对应的隐私政策文件;对各隐私政策文件进行解析,得到各应用程序的合法用户信息;将各应用程序的合法用户信息与对应的待测应用程序样本中包括的相关用户信息进行比对,检测待测应用程序样本中是否包括除合法用户信息之外的其他用户信息。
本实施例中,可以通过动态沙箱自动提取隐私政策文件,或者通过动态沙箱人机交互提取隐私政策文件,然后对隐私政策文件进行解析,检测隐私政策中所涉及的合法用户信息与待测应用程序样本以及权限涉及的用户信息是否对应,从而判断待测应用程序样本是否获取用户隐私政策之外的用户信息。
可选的,推送模块140,可以包括:报告生成单元,用于获取与静态检测结果和/或动态检测结果中的各项检测指标对应的权重值;针对各待测应用程序样本,根据权重值对静态检测结果和/或动态检测结果中的各项检测指标进行加权求和,得到与待测应用程序样本匹配的检测值;如果检测值大于预设检测阈值,则生成应用程序为健康应用的检测报告;如果检测值小于预设检测阈值,则生成应用程序为恶意应用的检测报告。
本实施例中,通过对待测应用程序样本进行静态检测和动态检测,可以从代码安全、数据安全、漏洞检测、交互与通信安全以及专项违法检测等方面确定待测应用程序样本的各项检测指标,全面评估应用程序的健康状态。
其中,代码安全方面的检测指标可以包括:程序文件及进程权限检测、组件权限安全检测、隐式Intent检测、代码混淆检测、代码加固检测。
程序文件及进程权限检测:检测应用程序是否限制程序目录的权限,禁止其被第三方软件私自访问;以及检测应用程序是否遵循“最低授权原则”,避免权限被恶意滥。
组件权限安全检测:检测应用程序使用的组件,是否存在可以被外部程序任意调用,导致拒绝服务、钓鱼欺骗、信息泄露风险。
隐式Intent检测:检测应用程序是否使用隐式Intent,隐式Intent是否有明确指定接收方,防止其他程序通过指定action标识后,窃取Intent内容,导致数据泄露的风险。
代码混淆检测:主要计算源码的混淆程度。
代码加固检测:检测应用程序是否使用了加固保护,以及加固类型。
其中,数据安全方面的检测指标可以包括:敏感信息明文保存检测、第三方安全库检测、logcat日志信息检测、备份标识配置风险、硬编码检测。
敏感信息明文保存检测:检测应用程序是否在本地存储的XML文件、缓存信息文件,是否加密保护,防止应用数据信息泄露。
第三方安全库检测:检测应用程序是否使用了第三方SDK,第三方SDK是否存在恶意行为,信息泄露等风险。
logcat日志信息检测:检测应用程序是否调用系统log日志接口。
备份标识配置风险:检测应用程序是否在AndroidManifest.xml中设置android:allowBackup=true。当这个标志被设置为true或不设置该标志时,应用程序数据可以备份和恢复,adb调试备份允许恶意攻击者复制应用程序数据。
硬编码检测:源代码中是否存在硬编码问题(简单的判断逻辑)、固定的字符串信息、加密的Key、方法等,导致容易泄露代码逻辑思想。
其中,漏洞检测指的是对系统漏洞、应用漏洞和服务端漏洞进行检测。可以基于CNVD漏洞库规则检测,也可以基于OWASP TOP10移动互联网安全漏洞检测,或者基于人工录入的漏洞检测规则检测,漏洞特征支持.smali文件中的字符串特征(方法调用也可归为字符串)和Manifest.xml中的字符串特征,支持正则表达式。
其中,交互与通信安全方面的检测指标可以包括:SSL通信检测(安全协议加密)、网络数据传输检测、业务接口恶意调用检测、业务数据篡改检测、业务授权安全。
SSL通信检测:检测应用程序通信是否使用SSL/TLS、IPSec或者其他安全协议加密,确保通信的安全性和完整性。
网络数据传输检测:检测客户端和服务器通信过程,传输的数据是否加密;加密算法难易程度,是否存在敏感信息泄露,确保通信的安全性和完整性。
业务接口恶意调用检测:检测应用程序对敏感的业务接口,是否预先有身份认证机制。查看此类可能被大规模恶意调用的业务接口,如用户登录模块,密码找回,密码重置等等。对于具有查询展示办理功能的业务接口,如果不需要身份认证是否有强制验证码机制防止机器人程序等自动化大规模的恶意调用。
业务数据篡改检测:检测应用程序针对于业务过程中用户端传递至服务器端的字段是否可以进行篡改,是否存在数据包校验。
业务授权安全:检测应用程序是否存在非授权情况下访问一些授权用户才能访问的页面,或进行授权用户的操作。
其中,专项违法检测指的是:对贷款类应用程序进行违法应用检测。如图1f所示,首先根据贷款类应用名进行搜索;进而通过应用名、涉及用户权限的相关搜索条件进行组合搜索,例如,使用组合搜索条件appName:"贷款"and permissionsName:"READ_CONTACTS"and permissionsName:"READ_SMS"and permissionsName:"READ_CALL_LOG"进一步搜索,在搜索结果中确定违规上传用户隐私的应用程序,对这类应用程序进行代码分析,确定违规代码。
可选的,推送模块140,还可以用于:获取第三方信息库中包括的其他应用程序样本,并从所述样本检测模块中获取所述其他应用程序样本的静态检测结果和/或动态检测结果;对待测应用程序样本和其他应用程序样本的静态检测结果和/或动态检测结果进行统计,获取各种应用程序的健康状态以及恶意应用的整体态势。
本实施例中,为了针对各种应用程序都能生成检测报告,查看所有应用程序的健康状态趋势,可以通过推送模块获取第三方信息库中包括的其他应用程序样本,并通过样本检测模块对其他应用程序样本以及用户使用的待测应用程序样本进行静态检测和/或动态检测,通过对所有应用程序样本的检测结果进行统计,确定每种应用程序的健康状态,用户使用的应用程序的健康状态以及所有恶意应用的整体态势。
可选的,还可以包括:管理模块,用于在生成各应用程序的检测报告之后,将检测报告以及与检测报告对应的待测应用程序样本,分别存储至样本筛选模块中的应用样本库和检测结果库中;将与恶意应用检测报告对应的待测应用程序样本以及恶意特征,分别存储至样本筛选模块中的恶意样本库和恶意特征库中;其中,恶意样本库和恶意特征库用于辅助对各应用程序的待测应用程序样本进行静态检测和/或动态检测。
本实施例中,如图1d所示,为了避免对已经检测过的应用程序重复检测,在生成各应用程序的检测报告之后,可以通过管理模块将待测应用程序样本及其检测报告分别进行存储。同时,如果检测出恶意应用程序,为了优化提高恶意应用的检测,可以从恶意应用程序样本中提取相关恶意特征进行存储,以辅助对各应用程序的待测应用程序样本进行静态检测和/或动态检测。
可选的,推送模块140,还可以用于:响应于用户对目标应用程序的健康状态查看请求,从样本筛选模块中获取目标应用程序的检测报告,并通过运营商的客户管理平台推送至用户。
本实施例中,推送模块既可以通过运营商的客户管理平台向用户推送用户使用的应用程序的检测报告,应用程序的整体健康情况等,也可以提供查询服务,使用户可以通过客户管理平台查询任意一款应用程序的检测报告。
本实施例中,推送模块可以向用户推送:用户使用恶意应用程序的情况,例如,以地市维度展现用户连接恶意应用程序的次数,并按恶意通联次数进行排名。可以展示检测到的恶意应用程序的数量,恶意应用程序的态势分类,用户使用活跃恶意应用程序排名,统计的应用程序存在的漏洞数量,恶意应用程序的类型和风险情况分布。
本实施例中,推送模块可以向订购恶意应用检测业务的用户推送应用程序的态势和检测报告。如图1g所示,若用户有使用恶意应用程序行为,则向用户提示“您使用的移动应用中有XX款为违法有害移动应用”;如图1h所示,若用户无使用恶意应用程序行为,则向用户提示“您使用的移动应用健康状况良好”。推送模块还可以向用户提供恶意应用程序查询服务,如图1i所示,用户通过选择时间段标签(近一周,近一个月,近三个月),显示用户该时间段内使用恶意应用程序的名称。当用户点击某应用程序时,可以返回该应用程序的检测报告,如图1j所示,包括应用程序的基础信息和评估信息。
本实施例中,通过推送模块,用户可以按条件检索省内用户使用的各类应用程序的检测报告。可以事件为维度展示用户使用恶意应用程序的详情,展示时间、地市、手机号、病毒中文名称、危害类型、病毒类型、应用程序样本md5、URL等字段,并设置多条件筛选查询。
本发明实施例的技术方案,恶意应用检测系统的采集模块采集用户访问应用程序的行为记录,并从行为记录中提取与各应用程序相关的统一资源定位符URL;用户为订购应用检测业务的用户;样本筛选模块获取与各应用程序的URL匹配的应用程序样本,并从应用程序样本中筛选出待测应用程序样本;样本检测模块对各应用程序的待测应用程序样本进行静态检测和/或动态检测;推送模块根据静态检测结果和/或动态检测结果生成各应用程序的检测报告,并将各应用程序的检测报告通过运营商的客户管理平台推送至用户,解决了现有技术不能有效提醒用户主动加强应用程序的使用防范的问题,实现了无需下载额外的移动终端应用,即可有效提醒用户及时卸载已安装的恶意应用。
实施例二
图2是本发明实施例二中的一种恶意应用检测方法的流程图,本实施例可适用于检测应用程序的健康状态,并将检测结果通知用户的情况。该方法可以由恶意应用检测系统来执行,如图2所示,该方法包括:
步骤210、通过采集模块,采集用户访问应用程序的行为记录,并从行为记录中提取与各应用程序相关的URL。
其中,用户为订购应用检测业务的用户。
步骤220、通过样本筛选模块,获取与各应用程序的URL匹配的应用程序样本,并从应用程序样本中筛选出待测应用程序样本。
可选的,通过样本筛选模块,获取与各应用程序的URL匹配的应用程序样本,并从应用程序样本中筛选出待测应用程序样本,可以包括:获取与各应用程序的URL匹配的应用程序样本,并将各应用程序样本与应用样本库中的样本进行匹配;如果应用样本库中存在与应用程序样本匹配的目标样本,则将检测结果库中与目标样本对应的检测结果作为应用程序样本的检测结果;如果应用样本库中不存在与应用程序样本匹配的目标样本,则将应用程序样本作为待测应用程序样本。
步骤230、通过样本检测模块,对各应用程序的待测应用程序样本进行静态检测和/或动态检测。
可选的,对各应用程序的待测应用程序样本进行静态检测,可以包括:对各应用程序的待测应用程序样本进行签名特征检测、SO文件特征检测、指定函数代码的执行序列检测、类文件特征检测、字符串特征检测、启发式检测、第三方SDK检测、权限滥用检测、隐私应用程序接口API检测、高危API检测以及漏洞风险检测中的至少一项。
可选的,对各应用程序的待测应用程序样本进行动态检测,可以包括:使用动态沙箱对各应用程序的待测应用程序样本进行隐私政策检测、行为日志采集、文件操作监控、API操作监控、网络行为监控以及本地行为监控中的至少一项。
可选的,使用动态沙箱对各应用程序的待测应用程序样本进行隐私政策检测,可以包括:使用动态沙箱提取与各应用程序对应的隐私政策文件;对各隐私政策文件进行解析,得到各应用程序的合法用户信息;将各应用程序的合法用户信息与对应的待测应用程序样本中包括的相关用户信息进行比对,检测待测应用程序样本中是否包括除合法用户信息之外的其他用户信息。
步骤240、通过推送模块,根据静态检测结果和/或动态检测结果生成各应用程序的检测报告,并将各应用程序的检测报告通过运营商的客户管理平台推送至用户。
可选的,根据静态检测结果和/或动态检测结果生成各应用程序的检测报告,可以包括:获取与静态检测结果和/或动态检测结果中的各项检测指标对应的权重值;针对各待测应用程序样本,根据权重值对静态检测结果和/或动态检测结果中的各项检测指标进行加权求和,得到与待测应用程序样本匹配的检测值;如果检测值大于预设检测阈值,则生成应用程序为健康应用的检测报告;如果检测值小于预设检测阈值,则生成应用程序为恶意应用的检测报告。
可选的,还可以包括:获取第三方信息库中包括的其他应用程序样本,并从所述样本检测模块中获取所述其他应用程序样本的静态检测结果和/或动态检测结果;对待测应用程序样本和其他应用程序样本的静态检测结果和/或动态检测结果进行统计,获取各种应用程序的健康状态以及恶意应用的整体态势。
可选的,还可以包括:在生成各应用程序的检测报告之后,将检测报告以及与检测报告对应的待测应用程序样本,分别存储至样本筛选模块中的应用样本库和检测结果库中;将与恶意应用检测报告对应的待测应用程序样本以及恶意特征,分别存储至样本筛选模块中的恶意样本库和恶意特征库中;其中,恶意样本库和恶意特征库用于辅助对各应用程序的待测应用程序样本进行静态检测和/或动态检测。
可选的,还可以包括:响应于用户对目标应用程序的健康状态查看请求,从样本筛选模块中获取目标应用程序的检测报告,并通过运营商的客户管理平台推送至用户。
本发明实施例的技术方案,恶意应用检测系统的采集模块采集用户访问应用程序的行为记录,并从行为记录中提取与各应用程序相关的统一资源定位符URL;用户为订购应用检测业务的用户;样本筛选模块获取与各应用程序的URL匹配的应用程序样本,并从应用程序样本中筛选出待测应用程序样本;样本检测模块对各应用程序的待测应用程序样本进行静态检测和/或动态检测;推送模块根据静态检测结果和/或动态检测结果生成各应用程序的检测报告,并将各应用程序的检测报告通过运营商的客户管理平台推送至用户,解决了现有技术不能有效提醒用户主动加强应用程序的使用防范的问题,实现了无需下载额外的移动终端应用,即可有效提醒用户及时卸载已安装的恶意应用。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (9)
1.一种恶意应用检测系统,其特征在于,包括:采集模块,样本筛选模块,样本检测模块以及推送模块;
所述采集模块,用于采集用户访问应用程序的行为记录,并从所述行为记录中提取与各应用程序相关的统一资源定位符URL;所述用户为订购应用检测业务的用户;所述用户无需下载用于应用检测的应用程序,也不需要借助其他监测设备;
所述样本筛选模块,用于获取与各应用程序的URL匹配的应用程序样本,并从所述应用程序样本中筛选出待测应用程序样本;
所述样本检测模块,用于对各应用程序的待测应用程序样本进行静态检测和/或动态检测;
所述推送模块,用于根据静态检测结果和/或动态检测结果生成各应用程序的检测报告,并将各应用程序的检测报告通过运营商的客户管理平台推送至所述用户;
其中,所述样本筛选模块,用于:
获取与各应用程序的URL匹配的应用程序样本,并将各所述应用程序样本与应用样本库中的样本进行匹配;
如果所述应用样本库中存在与所述应用程序样本匹配的目标样本,则将检测结果库中与所述目标样本对应的检测结果作为所述应用程序样本的检测结果;
如果所述应用样本库中不存在与所述应用程序样本匹配的目标样本,则将所述应用程序样本为待测应用程序样本。
2.根据权利要求1所述的系统,其特征在于,所述样本检测模块,包括:
静态检测单元,用于对各应用程序的待测应用程序样本进行签名特征检测、SO文件特征检测、指定函数代码的执行序列检测、类文件特征检测、字符串特征检测、启发式检测、第三方SDK检测、权限滥用检测、隐私应用程序接口API检测、高危API检测以及漏洞风险检测中的至少一项。
3.根据权利要求1所述的系统,其特征在于,所述样本检测模块,包括:
动态检测单元,用于使用动态沙箱对各应用程序的待测应用程序样本进行隐私政策检测、行为日志采集、文件操作监控、API操作监控、网络行为监控以及本地行为监控中的至少一项。
4.根据权利要求3所述的系统,其特征在于,所述动态检测单元,具体用于:
使用动态沙箱提取与各应用程序对应的隐私政策文件;
对各所述隐私政策文件进行解析,得到各所述应用程序的合法用户信息;
将各应用程序的合法用户信息与对应的待测应用程序样本中包括的相关用户信息进行比对,检测所述待测应用程序样本中是否包括除所述合法用户信息之外的其他用户信息。
5.根据权利要求1所述的系统,其特征在于,所述推送模块,包括:
报告生成单元,用于获取与静态检测结果和/或动态检测结果中的各项检测指标对应的权重值;
针对各待测应用程序样本,根据所述权重值对静态检测结果和/或动态检测结果中的各项检测指标进行加权求和,得到与所述待测应用程序样本匹配的检测值;
如果所述检测值大于预设检测阈值,则生成所述应用程序为健康应用的检测报告;
如果所述检测值小于预设检测阈值,则生成所述应用程序为恶意应用的检测报告。
6.根据权利要求1所述的系统,其特征在于,所述推送模块,还用于:
获取第三方信息库中包括的其他应用程序样本,并从所述样本检测模块中获取所述其他应用程序样本的静态检测结果和/或动态检测结果;
对待测应用程序样本和其他应用程序样本的静态检测结果和/或动态检测结果进行统计,获取各种应用程序的健康状态以及恶意应用的整体态势。
7.根据权利要求1所述的系统,其特征在于,还包括:
管理模块,用于在生成各应用程序的检测报告之后,将所述检测报告以及与所述检测报告对应的待测应用程序样本,分别存储至所述样本筛选模块中的应用样本库和检测结果库中;
将与恶意应用检测报告对应的待测应用程序样本以及恶意特征,分别存储至所述样本筛选模块中的恶意样本库和恶意特征库中;
其中,所述恶意样本库和恶意特征库用于辅助对各应用程序的待测应用程序样本进行静态检测和/或动态检测。
8.根据权利要求6所述的系统,其特征在于,所述推送模块,还用于:
响应于用户对目标应用程序的健康状态查看请求,从所述样本筛选模块中获取所述目标应用程序的检测报告,并通过运营商的客户管理平台推送至所述用户。
9.一种恶意应用检测方法,其特征在于,应用于如权利要求1-8中任一项所述的恶意应用检测系统,包括:
通过采集模块,采集用户访问应用程序的行为记录,并从所述行为记录中提取与各应用程序相关的URL;所述用户为订购应用检测业务的用户;所述用户无需下载用于应用检测的应用程序,也不需要借助其他监测设备;
通过样本筛选模块,获取与各应用程序的URL匹配的应用程序样本,并从所述应用程序样本中筛选出待测应用程序样本;
通过样本检测模块,对各应用程序的待测应用程序样本进行静态检测和/或动态检测;
通过推送模块,根据静态检测结果和/或动态检测结果生成各应用程序的检测报告,并将各应用程序的检测报告通过运营商的客户管理平台推送至所述用户;
其中,所述获取与各应用程序的URL匹配的应用程序样本,并从所述应用程序样本中筛选出待测应用程序样本,包括:
获取与各应用程序的URL匹配的应用程序样本,并将各所述应用程序样本与应用样本库中的样本进行匹配;
如果所述应用样本库中存在与所述应用程序样本匹配的目标样本,则将检测结果库中与所述目标样本对应的检测结果作为所述应用程序样本的检测结果;
如果所述应用样本库中不存在与所述应用程序样本匹配的目标样本,则将所述应用程序样本为待测应用程序样本。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110460211.3A CN113177205B (zh) | 2021-04-27 | 2021-04-27 | 一种恶意应用检测系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110460211.3A CN113177205B (zh) | 2021-04-27 | 2021-04-27 | 一种恶意应用检测系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113177205A CN113177205A (zh) | 2021-07-27 |
| CN113177205B true CN113177205B (zh) | 2023-09-15 |
Family
ID=76926687
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110460211.3A Active CN113177205B (zh) | 2021-04-27 | 2021-04-27 | 一种恶意应用检测系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113177205B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113704102A (zh) * | 2021-08-24 | 2021-11-26 | 国家计算机网络与信息安全管理中心 | 应用程序合规检测方法、装置、设备和介质 |
| CN113987485A (zh) * | 2021-09-28 | 2022-01-28 | 奇安信科技集团股份有限公司 | 应用程序样本检测方法及装置 |
| CN114297700B (zh) * | 2021-11-11 | 2022-09-23 | 北京邮电大学 | 动静态结合的移动应用隐私协议提取方法及相关设备 |
| CN114417396B (zh) * | 2021-12-13 | 2023-03-24 | 奇安盘古(上海)信息技术有限公司 | 隐私政策文本数据提取方法、装置、电子设备及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102938040A (zh) * | 2012-09-29 | 2013-02-20 | 中兴通讯股份有限公司 | Android恶意应用程序检测方法、系统及设备 |
| CN104378345A (zh) * | 2014-06-24 | 2015-02-25 | 腾讯科技(深圳)有限公司 | 移动客户端url的安全检测方法及系统 |
| CN106453320A (zh) * | 2016-10-14 | 2017-02-22 | 北京奇虎科技有限公司 | 恶意样本的识别方法及装置 |
| CN106528805A (zh) * | 2016-11-15 | 2017-03-22 | 广东华仝九方科技有限公司 | 基于用户的移动互联网恶意程序url智能分析挖掘方法 |
| CN106997436A (zh) * | 2017-04-14 | 2017-08-01 | 努比亚技术有限公司 | 应用程序的检测装置及方法 |
| CN108108616A (zh) * | 2017-12-19 | 2018-06-01 | 努比亚技术有限公司 | 恶意行为检测方法、移动终端及存储介质 |
| CN111460445A (zh) * | 2020-03-04 | 2020-07-28 | 奇安信科技集团股份有限公司 | 样本程序恶意程度自动识别方法及装置 |
| CN112685737A (zh) * | 2020-12-24 | 2021-04-20 | 恒安嘉新(北京)科技股份公司 | 一种app的检测方法、装置、设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9081959B2 (en) * | 2011-12-02 | 2015-07-14 | Invincea, Inc. | Methods and apparatus for control and detection of malicious content using a sandbox environment |
-
2021
- 2021-04-27 CN CN202110460211.3A patent/CN113177205B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102938040A (zh) * | 2012-09-29 | 2013-02-20 | 中兴通讯股份有限公司 | Android恶意应用程序检测方法、系统及设备 |
| CN104378345A (zh) * | 2014-06-24 | 2015-02-25 | 腾讯科技(深圳)有限公司 | 移动客户端url的安全检测方法及系统 |
| CN106453320A (zh) * | 2016-10-14 | 2017-02-22 | 北京奇虎科技有限公司 | 恶意样本的识别方法及装置 |
| CN106528805A (zh) * | 2016-11-15 | 2017-03-22 | 广东华仝九方科技有限公司 | 基于用户的移动互联网恶意程序url智能分析挖掘方法 |
| CN106997436A (zh) * | 2017-04-14 | 2017-08-01 | 努比亚技术有限公司 | 应用程序的检测装置及方法 |
| CN108108616A (zh) * | 2017-12-19 | 2018-06-01 | 努比亚技术有限公司 | 恶意行为检测方法、移动终端及存储介质 |
| CN111460445A (zh) * | 2020-03-04 | 2020-07-28 | 奇安信科技集团股份有限公司 | 样本程序恶意程度自动识别方法及装置 |
| CN112685737A (zh) * | 2020-12-24 | 2021-04-20 | 恒安嘉新(北京)科技股份公司 | 一种app的检测方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113177205A (zh) | 2021-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113177205B (zh) | 一种恶意应用检测系统及方法 | |
| Grover | Android forensics: Automated data collection and reporting from a mobile device | |
| Chen et al. | Uncovering the face of android ransomware: Characterization and real-time detection | |
| Ab Rahman et al. | Cloud incident handling and forensic‐by‐design: cloud storage as a case study | |
| CN108304704B (zh) | 权限控制方法、装置、计算机设备和存储介质 | |
| CN105956474B (zh) | Android平台软件异常行为检测系统 | |
| CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
| CN104217164B (zh) | 智能移动终端恶意软件的检测方法与装置 | |
| CN112217835B (zh) | 报文数据的处理方法、装置、服务器和终端设备 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| CN107154939B (zh) | 一种数据追踪的方法及系统 | |
| CN101483658B (zh) | 浏览器输入内容保护的系统和方法 | |
| CN112149123B (zh) | 一种应用程序的安全检查系统及方法 | |
| CN111274046A (zh) | 服务调用的合法性检测方法、装置、计算机设备及计算机存储介质 | |
| CN112416730A (zh) | 一种用户上网行为分析方法、装置、电子设备及存储介质 | |
| CN114024764A (zh) | 数据库异常访问的监控方法、监控系统、设备和存储介质 | |
| CN111404937B (zh) | 一种服务器漏洞的检测方法和装置 | |
| Bahl et al. | Vulnerability disclosure and cybersecurity awareness campaigns on twitter during COVID‐19 | |
| KR101345740B1 (ko) | 활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템 | |
| Kim et al. | A study on the digital forensic investigation method of clever malware in IoT devices | |
| Wangchuk et al. | Forensic and behavior analysis of free android VPNs | |
| Bhardwaj et al. | Sql injection attack detection, evidence collection, and notifying system using standard intrusion detection system in network forensics | |
| Varshney et al. | Detecting spying and fraud browser extensions: Short paper |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |