TWI606361B - APP Detection Unknown Pattern Acquisition and Judgment Method - Google Patents
APP Detection Unknown Pattern Acquisition and Judgment Method Download PDFInfo
- Publication number
- TWI606361B TWI606361B TW105127318A TW105127318A TWI606361B TW I606361 B TWI606361 B TW I606361B TW 105127318 A TW105127318 A TW 105127318A TW 105127318 A TW105127318 A TW 105127318A TW I606361 B TWI606361 B TW I606361B
- Authority
- TW
- Taiwan
- Prior art keywords
- analysis
- malicious
- analysis system
- security
- zone
- Prior art date
Links
Description
本發明係關於一種智慧型移動裝置其應用程式的安全檢定項目之條規與判讀的收斂方法。
絕大多數的行動APP惡意內容及相關安全檢測,產生的實際危害問題,就是所謂的「安全」議題與「惡意態樣」,在「真實世界」中,實際的惡意態樣或安全遠超過一般使用工具可以做到的驗測,或者說無法用人為單純設計一個檢驗工具就可以達到檢測出與「真實世界」相同風險危害的問題,也就是說,精確度其實面臨考驗並有待改善。
就先前所存在之技術而言,檢測APP安全的工具最多做到一部份接近真實世界的惡意數量或者只是其中一部分,所以,並沒有100%符合所有風險的驗測工具,以至於以現今而言,只能儘量猜測工具驗測能力的可靠度但無法確認。
有鑑於先前技術之問題,本發明者認為應有一種改善之裝置,為此設有一種APP檢測未知態樣採集及判斷方法,係以電腦設備與程式進行運作,亦即一種對於行動應用程式檢測判讀,根據判讀的多重線索進行交叉比對,並且產生收斂判斷確認度的檢測修正方法。
本發明設立一檢驗雙重通道模型,將同一APP做兩組不同檢
驗引擎,使其產出兩組結果,再將這兩組結果做交叉比對,找出可確認的可靠線索,判斷APP是否有惡意及安全問題等,藉由交叉比對找出確認線索,也藉由交叉比對,找出乖離線索,並且加以分析,確認其線索是否有參考價值,藉由本發明的系統建構,產生修正精確判讀之機制,形成持續收斂精確度的演算模式。本發明模型之運作為自動化過程以及持續式作業方式。
第一圖係本發明之方法流程之方塊示意圖
第二圖係本發明之作業定義示意圖
第三圖係本發明第一圖方塊6之細部示意圖
以下藉由圖式之輔助,說明本發明之內容、特點以及實施例,俾使 貴審對於本發明有更進一步之理解。
1.請參閱第一圖標示方塊1,將Android作業系統的APK應用程式或者iOS作業系統的IPA應用程式(合稱APP或應用程式)以傳輸或複製方式放入待測的工作區域或伺服器的特定儲存區域中,等待進行後續驗測分析之工作,本模組中所指之APK或IPA來源可以為下載、複製、自行儲存或受委託攜帶等來源且不限於前述的來源方式。
2.請參閱第一圖標示方塊2與方塊3,接收來自於步驟1的APK或IPA(APP或應用程式)指派工作,進行分析,分析方式採取以下方式進行:(A).被定義檢測之條規(RULE)A,代表一連串檢測原始程式內容之表頭
(Header)以及測試碼(Testing Code)或者以執行模擬環境進行執行的檢測被定義進行檔案拆解或者APP執行行為與結果,無論使用反組譯或者呼叫測試碼(Testing Code)方式以及模擬執行,均可視為拆解與判斷。
(B).根據拆解與判斷檔案內容做搜尋條規符合之處,進行吻合驗測(MatchQuery)確定惡意態樣。
(C).根據執行結果與判斷執行產生之記錄檔(log)內容做搜尋條規符合之處,進行吻合驗測(MatchQuery)確定惡意態樣。
(D).分析系統A以Service或者執行工具(Executive tool)方式被觸發(trigger)執行,且條規發展需要隔離於分析系統B以外之自然衍生的驗測規則與方法,在自然發展情況下產生無故意模仿的驗測規則。分析系統B以Service或者執行工具(Executive tool)執行工具方式被觸發(trigger)執行,且條規發展需要隔離於分析系統A以外之自然衍生的驗測規則與方法,在自然發展情況下產生無故意模仿的驗測規則。也就是分析系統A與B的分析方法、規則、條件各自發展且均為獨立分析系統,以作為後續篩選過濾惡意線索的一個重要比對依據。
請參閱第二圖所示,並配合第一圖標示方塊1、2已知標準或已知安全判別之技術累積,制定與建立驗測規則(條規),如第二圖標示方塊3。
根據驗測條規而定義惡意態樣的清單與關鍵控制碼,如第二圖標示方塊5。根據驗測條規建立拆解與判讀方法(檢測內容),如第二圖標示方塊4。根據定義的惡意態樣清單與拆解、判讀方法進行檢測與判讀,並確認是否有符合惡意清單,如第二圖標示方塊6、方塊7。分析安全線索條
規集合A與B接收來自於如第一圖標示方塊2、3的分析系統A與B拆解與分析條規吻合之結果,進行分析結果之安全線索條規集合,該集合可為檔案格式或者資料庫格式,並且具有單一安全線索明確吻合之對應惡意清單之判讀。靜態分析安全線索條規集合A之安全線索條規集合又稱為惡意樣態(MalPattern)之比對,該惡意樣態將會儲存作為進一步數位鑑識需要之索引,但尚未作為安全證據發布使用。
3. 接收來自步驟(2),請參閱第三圖所示,配合第一圖標示方塊4、5之分析結果之線索並進行以下判斷工作:(A).分析系統A與B所產生的分析安全線索條規集合A與B的(動態)惡意態樣吻合及原始受檢測程式之出處位置產生交集,也就是分析系統A與分析系統B以不同條規但均檢測出同一位置之同一安全問題,亦即落在a區,則視為「快篩條規可信度高之動態惡意判讀」;(B).分析系統A與B所產生的分析安全線索條規集合A與B的(靜態)關鍵控制碼吻合及原始受檢測程式之出處位置產生交集,也就是分析系統A與分析系統B以不同條規但均檢測出同一位置之同一安全問題,亦即落在b區,則視為「快篩條規可信度高之靜態惡意判讀」;(C).分析系統A與B所產生的分析安全線索條規集合A與B的(靜態)關鍵控制碼吻合且(動態)惡意態樣及原始受檢測程式之出處位置產生交集,也就是分析系統A與分析系統B以不同條規但均檢測出同一位置之同一安全問題,亦即落在e區,則視為「相依共同安全線索」之「移動應用安全檢測可信結果」;(D).以此類推,惡意態樣或關鍵控制碼不吻合時將分析安全線索條規集合A與B不吻合之線索如d區與c區,均被視為「未檢出」或條規定義
與驗測方法設計不良所致,將另以檔案或資料庫格式獨立儲存之,並標出原始驗測條規、該程式吻合條規之位置、以及程式名稱、檔案範本等,包含但不限於前述之足夠資訊以供後續比對判讀;(E).以此類推,惡意態樣及關鍵控制碼不吻合時將分析安全線索條規集合A與B不吻合之線索如f區,被視為「未檢出」且條規定義未符合,但幾何距離相近如第一圖標示方塊9、10、11,將另以檔案或資料庫格式獨立儲存之,並標出原始驗測條規、該程式吻合條規之位置、以及程式名稱、檔案範本等,並進行人工比對與重複驗測確認線索,並且在確認後納入條規與驗測方法,如第一圖標示方塊12、13。
綜上所述,本發明所提供之技術,當具有產業利用性、新穎性以及進步性而足以獲得專利之核准,惟上述所陳,僅為本發明於產業上較佳之實施例,舉凡依據本發明之揭露所為之均等變化,皆為本發明所欲涵蓋之範疇。
Claims (1)
- 一種APP檢測未知態樣採集及判斷方法,係以電腦設備與程式進行運作,以一檢驗雙重通道模型,將同一APP做兩組不同檢驗引擎,使其產出兩組結果,再將這兩組結果做交叉比對,找出可確認的可靠線索,包括以下步驟:(1).將APP以傳輸或複製方式放入待測的工作區域或伺服器的特定儲存區域中;(2).經由分析系統A所定義之規範與分析系統B所定義之規範分析是否吻合惡意態樣;(3).接收來自步驟(2)之分析結果之線索並進行以下判斷工作:(A).分析系統A與B所產生的分析安全線索條規集合A與B的動態惡意態樣吻合及原始受檢測程式之出處位置產生交集,也就是分析系統A與分析系統B以不同條規但均檢測出同一位置之同一安全問題,亦即落在a區,則視為快篩條規可信度高之動態惡意判讀;(B).分析系統A與B所產生的靜態分析安全線索條規集合A與B的關鍵控制碼吻合及原始受檢測程式之出處位置產生交集,也就是分析系統A與分析系統B以不同條規但均檢測出同一位置之同一安全問題,亦即落在b區,則視為快篩條規可信度高之惡意判讀;(C).分析系統A與B所產生的靜態分析安全線索條規集合A與B的關鍵控制碼吻合且動態檢測惡意態樣及原始受檢測程式之出處位置產生交集,也就是分析系統A與分析系統B以不同條規但均檢測出同一位置之同一安全問題,亦即落在e區,則視為相依共同安全線索之移動應用安全檢測可信結果;(D).以此類推,動態檢測惡意態樣或靜態檢測關鍵控制碼不吻合時將 分析安全線索條規集合A與B不吻合之線索如d區與e區,均被視為未檢出或條規定義與驗測方法設計不良所致,將另以檔案或資料庫格式獨立儲存之,並標出原始驗測條規、該程式吻合條規之位置、以及程式名稱、檔案範本等,包含但不限於前述之足夠資訊以供後續比對判讀;(E).以此類推,動態檢測惡意態樣及靜態檢測關鍵控制碼不吻合時將分析安全線索條規集合A與B不吻合之線索如f區,均被視為未檢出且條規定義未符合,但幾何距離相近,將另以檔案或資料庫格式獨立儲存之,並標出原始驗測條規、該程式吻合條規之位置、以及程式名稱、檔案範本等,並進行人工比對與重複驗測確認線索,並且在確認後納入條規與驗測方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW105127318A TWI606361B (zh) | 2016-08-25 | 2016-08-25 | APP Detection Unknown Pattern Acquisition and Judgment Method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW105127318A TWI606361B (zh) | 2016-08-25 | 2016-08-25 | APP Detection Unknown Pattern Acquisition and Judgment Method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI606361B true TWI606361B (zh) | 2017-11-21 |
| TW201807611A TW201807611A (zh) | 2018-03-01 |
Family
ID=61023479
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW105127318A TWI606361B (zh) | 2016-08-25 | 2016-08-25 | APP Detection Unknown Pattern Acquisition and Judgment Method |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI606361B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080148406A1 (en) * | 2003-07-29 | 2008-06-19 | International Business Machines Corporation | Automatically detecting malicious computer network reconnaissance by updating state codes in a histogram |
| TW201035795A (en) * | 2009-03-16 | 2010-10-01 | Chunghwa Telecom Co Ltd | System and method for detecting web malicious programs and behaviors |
| US20120331303A1 (en) * | 2011-06-23 | 2012-12-27 | Andersson Jonathan E | Method and system for preventing execution of malware |
-
2016
- 2016-08-25 TW TW105127318A patent/TWI606361B/zh not_active IP Right Cessation
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080148406A1 (en) * | 2003-07-29 | 2008-06-19 | International Business Machines Corporation | Automatically detecting malicious computer network reconnaissance by updating state codes in a histogram |
| TW201035795A (en) * | 2009-03-16 | 2010-10-01 | Chunghwa Telecom Co Ltd | System and method for detecting web malicious programs and behaviors |
| US20120331303A1 (en) * | 2011-06-23 | 2012-12-27 | Andersson Jonathan E | Method and system for preventing execution of malware |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201807611A (zh) | 2018-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107368417B (zh) | 一种漏洞挖掘技术测试模型的测试方法 | |
| US20150205966A1 (en) | Industrial Control System Emulator for Malware Analysis | |
| TWI541669B (zh) | Detection systems and methods for static detection applications, and computer program products | |
| CN112182588A (zh) | 基于威胁情报的操作系统漏洞分析检测方法及系统 | |
| Vale et al. | Defining metric thresholds for software product lines: a comparative study | |
| CN111881452A (zh) | 一种面向工控设备的安全测试系统及其工作方法 | |
| Jahangirova | Oracle problem in software testing | |
| CN110059010A (zh) | 基于动态符号执行与模糊测试的缓冲区溢出检测方法 | |
| Golagha et al. | Aletheia: a failure diagnosis toolchain | |
| TWI606361B (zh) | APP Detection Unknown Pattern Acquisition and Judgment Method | |
| JP6416588B2 (ja) | ソースコード検証システム | |
| CN111368362A (zh) | 基于区块链的建筑模型构件保护方法及系统 | |
| CN115952503A (zh) | 融合黑白灰安全检测技术的应用安全测试方法及系统 | |
| CN104572470B (zh) | 一种基于蜕变关系的整数溢出故障检测方法 | |
| CN107957954B (zh) | 一种Linux系统下提高测试数据安全性的方法和系统 | |
| US20060053400A1 (en) | Method for correcting layout errors | |
| CN102193556B (zh) | 汽车电子器件中断安全隐患检测系统及其检测方法 | |
| CN111934949A (zh) | 一种基于数据库注入测试的安全测试系统 | |
| CN106384046B (zh) | 兼具动静态检测行动应用程序的方法 | |
| CN116383031A (zh) | 一种基于场景数据的源代码安全漏洞自动化审计方法 | |
| Hui et al. | A runtime-testing method for integer overflow detection based on metamorphic relations | |
| CN106384047B (zh) | App检测未知行为采集及判断方法 | |
| TW201805803A (zh) | 兼具動靜態檢測行動應用程式之方法 | |
| Ding et al. | Towards a hybrid framework for detecting input manipulation vulnerabilities | |
| CN108710361B (zh) | 一种安全程序检查方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees | ||
| MM4A | Annulment or lapse of patent due to non-payment of fees |