一種通用的Android惡意行為檢測(cè)方法
【專利摘要】本發(fā)明公開(kāi)了一種通用的Android惡意行為檢測(cè)方法。本方法為:1)在手機(jī)上設(shè)置一守護(hù)進(jìn)程,并在該守護(hù)進(jìn)程與內(nèi)核Binder驅(qū)動(dòng)之間建立通信連接;2)在該手機(jī)上安裝并運(yùn)行多個(gè)第三方應(yīng)用程序,手機(jī)內(nèi)核驅(qū)動(dòng)將截獲的每一通信消息發(fā)送給該守護(hù)進(jìn)程;3)該守護(hù)進(jìn)程根據(jù)通信消息生成日志文件,記錄接收的通信消息;4)惡意行為檢測(cè)平臺(tái)將所述日志文件導(dǎo)入數(shù)據(jù)庫(kù),查找數(shù)據(jù)庫(kù)中包含目標(biāo)隱私數(shù)據(jù)的記錄,對(duì)于查找得到的記錄,進(jìn)行惡意行為檢測(cè):如果通信一方不具有訪問(wèn)權(quán)限,或者存在A→S,S→B且發(fā)生時(shí)間間隔小于設(shè)定閾值,則存在惡意行為。本發(fā)明收集的信息全面、普適、可重用,可做多種面向具體安全需求的安全分析方法設(shè)計(jì)。
【專利說(shuō)明】-種通用的Android惡意行為檢測(cè)方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于移動(dòng)終端安全領(lǐng)域,主要涉及Android惡意行為檢測(cè)分析,更確切的 是涉及一種基于對(duì)Android通信機(jī)制Binder消息流的采集和處理,檢測(cè)和分析Android應(yīng) 用惡意行為的通用方法。
【背景技術(shù)】
[0002] 移動(dòng)互聯(lián)網(wǎng)時(shí)代的來(lái)臨,使得大量的智能移動(dòng)終端涌入市場(chǎng)。根據(jù)Gartner的最 新報(bào)告顯示,預(yù)計(jì)在2014年度傳統(tǒng)個(gè)人PC、平板電腦以及智能手機(jī)的出貨量將達(dá)到24億 臺(tái)。在24億臺(tái)中,智能手機(jī)和平板電腦占據(jù)88%的份額,而這其中Android系統(tǒng)設(shè)備又占 據(jù)絕大多數(shù)。Android是Google和開(kāi)放手機(jī)聯(lián)盟創(chuàng)建的開(kāi)放的移動(dòng)平臺(tái),其開(kāi)放性使得開(kāi) 發(fā)人員可以很方便的進(jìn)行各種系統(tǒng)和應(yīng)用開(kāi)發(fā),從而催生了大量的第三方應(yīng)用,但Android 市場(chǎng)上的應(yīng)用程序管理混亂,導(dǎo)致Android系統(tǒng)上的惡意應(yīng)用頻發(fā)。智能手機(jī)上存儲(chǔ)了大 量的用戶隱私信息,包括通訊錄、短信、通話記錄、網(wǎng)銀密碼以及論壇賬號(hào)等,這些信息的泄 露都會(huì)給用戶造成巨大的損失。自從2004年第一個(gè)手機(jī)惡意程序開(kāi)始,手機(jī)上(尤其是 Android平臺(tái))的惡意應(yīng)用程序就迅猛發(fā)展,因此提出有效的方法對(duì)惡意應(yīng)用進(jìn)行檢測(cè)分 析是亟待解決的問(wèn)題。
[0003] 目前對(duì)惡意行為的檢測(cè)主要有靜態(tài)和動(dòng)態(tài)兩種方法。靜態(tài)方法主要使用反匯編反 編譯技術(shù)對(duì)應(yīng)用的源碼進(jìn)行控制流或數(shù)據(jù)流的分析。Enck等人實(shí)現(xiàn)了 Dalvik字節(jié)碼反匯 編工具ded,將字節(jié)碼轉(zhuǎn)換為源碼,通過(guò)現(xiàn)有的Java源碼分析工具,檢測(cè)分析應(yīng)用的惡意行 為。動(dòng)態(tài)方法是在運(yùn)行中收集應(yīng)用程序的行為信息,可以通過(guò)行為追蹤的方式,動(dòng)態(tài)捕獲程 序執(zhí)行的操作,分析程序的行為。TaintDroid,作為一種動(dòng)態(tài)污點(diǎn)分析工具,通過(guò)對(duì)敏感對(duì) 象打標(biāo)簽實(shí)現(xiàn)實(shí)時(shí)監(jiān)控與分析,檢測(cè)是否有惡意應(yīng)用向外發(fā)送敏感數(shù)據(jù),以及輔助對(duì)程序 行為的分析。Applnspector采用動(dòng)態(tài)分析方法,為程序自動(dòng)生成輸入并記錄程序運(yùn)行過(guò)程 中的日志,通過(guò)分析日志來(lái)檢測(cè)應(yīng)用中是否有泄露隱私的行為。
[0004] 上述的安全分析方法都是針對(duì)某類(lèi)具體安全需求而設(shè)計(jì)的,如TaintDroid和 Applnspector的目的都是隱私數(shù)據(jù)保護(hù),雖然具有目的性強(qiáng),信息量相對(duì)較小的優(yōu)點(diǎn),但收 集的信息不具有通用性,新安全需求的出現(xiàn)會(huì)導(dǎo)致信息的重新收集或安全分析方法的完全 重新設(shè)計(jì)。一種通用的分析方法是指收集的信息全面且通用,分析方法依據(jù)具體的安全需 求,利用收集的通用信息完成。在現(xiàn)有的移動(dòng)終端領(lǐng)域,還不存在一種通用的基于信息流的 惡意行為動(dòng)態(tài)檢測(cè)方法。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明致力于構(gòu)建一種基于Binder通信消息流的Android惡意行為檢測(cè)方法,以 Android底層通信機(jī)制Binder為切入點(diǎn),全面收集應(yīng)用之間、應(yīng)用與操作系統(tǒng)之間的交互 信息,收集的Binder日志信息導(dǎo)入數(shù)據(jù)庫(kù)中,這樣面向具體安全需求的分析就轉(zhuǎn)變?yōu)閷?duì)數(shù) 據(jù)庫(kù)的查詢、修改等操作,最終分析結(jié)果通過(guò)web頁(yè)面展示出來(lái)。
[0006] 所述Binder通信是Android系統(tǒng)上最主要的一種通信方式,Android上層的通信 方式如Intent以及匿名共享內(nèi)存等,對(duì)應(yīng)到底層都通過(guò)Binder方式實(shí)現(xiàn)。在實(shí)際的實(shí)現(xiàn) 中,Binder是作為一個(gè)特殊的字符型設(shè)備而存在的,其實(shí)現(xiàn)遵循Linux設(shè)備驅(qū)動(dòng)模型。
[0007] 本發(fā)明的惡意行為檢測(cè)分析方法主要涉及以下三個(gè)環(huán)節(jié):
[0008] (1)采集通信信息并生成日志文件。用戶空間設(shè)置守護(hù)進(jìn)程,守護(hù)進(jìn)程負(fù)責(zé)把內(nèi)核 Binder驅(qū)動(dòng)傳過(guò)來(lái)的Binder日志信息,寫(xiě)入到日志文件中??紤]到Binder通信日志的數(shù) 量級(jí)很大,實(shí)現(xiàn)了日志文件的自動(dòng)轉(zhuǎn)儲(chǔ)功能。
[0009] (2)處理并分析日志文件。把日志文件導(dǎo)入數(shù)據(jù)庫(kù),對(duì)采集到的Binder通信信息 進(jìn)行分析,面向具體安全需求的分析就轉(zhuǎn)變?yōu)閷?duì)數(shù)據(jù)庫(kù)的查詢、修改等操作。
[0010] (3)基本信息維護(hù)及分析結(jié)果展示。為用戶提供可視化、可編輯的前臺(tái)頁(yè)面顯示, 對(duì)后臺(tái)變化的數(shù)據(jù)進(jìn)行動(dòng)態(tài)顯示,分析已有的Binder通信信息,可以繪出手機(jī)的狀態(tài)圖, 狀態(tài)圖包含手機(jī)中的進(jìn)程信息,進(jìn)程間的通信關(guān)系。
[0011] 在上述采集信息并生成日志文件的環(huán)節(jié)中,守護(hù)進(jìn)程設(shè)置在Android的應(yīng)用程序 框架層,通過(guò)信號(hào)量機(jī)制與內(nèi)核層的Binder驅(qū)動(dòng)通信,Binder驅(qū)動(dòng)把截獲的Binder通信 消息傳給守護(hù)進(jìn)程,守護(hù)進(jìn)程根據(jù)其接收到的消息字段,生成日志文件??紤]到Binder通 信日志的數(shù)量級(jí)很大,過(guò)大的文件不適合分析,并且會(huì)占用過(guò)多的手機(jī)存儲(chǔ),因此實(shí)現(xiàn)了文 件的自動(dòng)轉(zhuǎn)儲(chǔ)功能。
[0012] 所述Binder通信消息包含的字段為:發(fā)送方應(yīng)用的進(jìn)程號(hào)、進(jìn)程名、應(yīng)用名、應(yīng) 用描述、接收方進(jìn)程的進(jìn)程號(hào)、進(jìn)程名、應(yīng)用名、應(yīng)用描述、通信的數(shù)據(jù)包大小、數(shù)據(jù)包內(nèi)容 (以二進(jìn)制形式存儲(chǔ))等。
[0013] 所述守護(hù)進(jìn)程與內(nèi)核Binder驅(qū)動(dòng)通信的方法為,內(nèi)核層的Binder驅(qū)動(dòng)和守護(hù)進(jìn) 程都維護(hù)了一個(gè)結(jié)構(gòu)體數(shù)組,數(shù)組大小為32,每個(gè)結(jié)構(gòu)體代表一條Binder通信消息,結(jié)構(gòu) 體中的成員變量即為Binder通信消息包含的字段。Binder驅(qū)動(dòng)每截獲一條Binder通信 消息,就把該條消息賦值到數(shù)組的一個(gè)結(jié)構(gòu)體中,當(dāng)數(shù)組的32個(gè)結(jié)構(gòu)體都被重新賦值后, Binder驅(qū)動(dòng)就通過(guò)信號(hào)量機(jī)制通知守護(hù)進(jìn)程。守護(hù)進(jìn)程利用設(shè)備控制接口函數(shù)ioctl訪 問(wèn)Binder驅(qū)動(dòng),由Binder驅(qū)動(dòng)把其維護(hù)的結(jié)構(gòu)體數(shù)組的內(nèi)容原樣拷貝到守護(hù)進(jìn)程維護(hù)的 結(jié)構(gòu)體數(shù)組中,數(shù)組中的信息然后被守護(hù)進(jìn)程寫(xiě)入到日志文件中。B i n d e r驅(qū)動(dòng)維護(hù)的結(jié) 構(gòu)體數(shù)組是可以重復(fù)賦值的,當(dāng)舊的值被拷貝到守護(hù)進(jìn)程中后,Binder驅(qū)動(dòng)會(huì)將新截獲的 Binder通信信息寫(xiě)入,覆蓋之前的值。
[0014] 所述日志文件的自動(dòng)轉(zhuǎn)儲(chǔ)功能為日志文件達(dá)到一定大小時(shí),將文件轉(zhuǎn)存到PC上 并刪除,然后繼續(xù)生成新的日志文件。
[0015] 在上述處理并分析日志文件的環(huán)節(jié)中,由于生成的日志文件是二進(jìn)制形式,不易 閱讀且操作復(fù)雜,因此把日志文件導(dǎo)入數(shù)據(jù)庫(kù),可直觀看到通信雙方的信息以及通信的數(shù) 據(jù)包等內(nèi)容。此時(shí)對(duì)Binder日志文件的分析就轉(zhuǎn)變?yōu)閷?duì)數(shù)據(jù)庫(kù)的查詢、修改等操作。
[0016] 所述日志文件導(dǎo)入數(shù)據(jù)庫(kù)為在數(shù)據(jù)庫(kù)中新建一個(gè)表,表中字段與日志文件中的字 段一一對(duì)應(yīng),對(duì)日志文件中的記錄逐字段分析,寫(xiě)到數(shù)據(jù)庫(kù)相應(yīng)的字段中。
[0017] 所述對(duì)Binder日志文件的分析為面向具體安全需求的分析,比如查找日志文件 中是否包含某類(lèi)隱私數(shù)據(jù),就轉(zhuǎn)變?yōu)閷?duì)數(shù)據(jù)庫(kù)中的字段進(jìn)行匹配查找操作,在找到包含目 標(biāo)隱私數(shù)據(jù)的內(nèi)容同時(shí),能直接得到通信雙方的信息,根據(jù)通信雙方的信息再進(jìn)行后續(xù)分 析。具體分析有如下幾種情況:
[0018] 1)通信雙方都是Android自帶的系統(tǒng)應(yīng)用,則該條通信路徑為可信路徑。
[0019] 2)通信雙方中的一方為第三方應(yīng)用,則查看該第三方應(yīng)用是否有相應(yīng)的權(quán)限(應(yīng) 用安裝時(shí)用戶授予的權(quán)限)訪問(wèn)目標(biāo)隱私數(shù)據(jù),如果有,則該條路徑為可信,否則說(shuō)明存在 惡意彳丁為。
[0020] 3)通信雙方都是第三方應(yīng)用,則查看兩者是否都有相應(yīng)的權(quán)限訪問(wèn)目標(biāo)隱私數(shù) 據(jù),如果兩者都有,則該條路徑為可信,否則說(shuō)明存在惡意行為。
[0021] 上述是發(fā)現(xiàn)單個(gè)應(yīng)用的惡意行為,根據(jù)所得到的查找結(jié)果,也可以分析應(yīng)用間的 惡意行為。如果找到的包含目標(biāo)隱私數(shù)據(jù)的通信路徑有如下兩條:A->S,S->B。其中S為系 統(tǒng)應(yīng)用,A與B是第三方應(yīng)用,每一條通信路徑的信息在存入到Binder驅(qū)動(dòng)維護(hù)的結(jié)構(gòu)體 數(shù)組時(shí),會(huì)生成一個(gè)ID,ID是遞增的。如果上面的兩條通信路徑的ID差值小于等于某個(gè)閾 值(該閾值根據(jù)實(shí)際情況設(shè)定,暫定為5),則說(shuō)明,包含相同目標(biāo)隱私數(shù)據(jù)的這兩條路徑的 發(fā)生時(shí)間很接近,即A與B之間存在惡意行為。
[0022] 在上述基本信息維護(hù)及分析結(jié)果展示的環(huán)節(jié)中,用戶可以通過(guò)前臺(tái)頁(yè)面查看靜態(tài) 信息,項(xiàng)目信息,以及顯示手機(jī)的狀態(tài)。
[0023] 所述靜態(tài)信息包括應(yīng)用程序信息和手機(jī)信息,應(yīng)用程序信息包含應(yīng)用程序名、版 本號(hào)、提供商、軟件功能描述;手機(jī)信息包含IMEI、手機(jī)型號(hào)、手機(jī)號(hào)碼、Android版本號(hào)。 [0024] 所述項(xiàng)目信息包括項(xiàng)目類(lèi)型、項(xiàng)目名稱、項(xiàng)目創(chuàng)建日期、創(chuàng)建人。項(xiàng)目類(lèi)型為該項(xiàng) 目的分析目標(biāo),目標(biāo)可定義為分析隱私數(shù)據(jù)泄露。一個(gè)項(xiàng)目中可以包含多個(gè)手機(jī),用戶可以 向項(xiàng)目中增加手機(jī)。
[0025] 所述顯示手機(jī)的狀態(tài)為對(duì)項(xiàng)目中包含的每個(gè)手機(jī)的狀態(tài)進(jìn)行顯示,手機(jī)狀態(tài)圖用 來(lái)動(dòng)態(tài)顯示數(shù)據(jù)庫(kù)中的手機(jī)狀態(tài)表。該表記錄了手機(jī)中的歷史及當(dāng)前進(jìn)程,以及進(jìn)程之間 的通信關(guān)系,手機(jī)狀態(tài)圖以有向圖的方式展示該表。
[0026] 與現(xiàn)有技術(shù)相比,本發(fā)明的積極效果為:
[0027] 傳統(tǒng)信息流分析方法通?;诰唧w安全問(wèn)題進(jìn)行應(yīng)用運(yùn)行信息收集,收集到的信 息不具有通用性,新的安全需求的出現(xiàn)會(huì)要求信息的重新收集。本發(fā)明的目的是提供一個(gè) 通用的信息收集分析方法,在信息收集階段不考慮具體的安全需求,盡量做到信息收集的 全面、普適、可重用?;谑占男畔⒃僮雒嫦蚓唧w安全需求的研究方法設(shè)計(jì),本發(fā)明以檢 測(cè)隱私數(shù)據(jù)的泄露為具體安全需求,設(shè)計(jì)的安全分析方法既可以發(fā)現(xiàn)單個(gè)應(yīng)用的惡意行 為,也可以通過(guò)通信路徑的關(guān)聯(lián),發(fā)掘應(yīng)用間的惡意行為。另外,也可以基于其他的安全需 求設(shè)計(jì)分析方法,該方法也是對(duì)前面已經(jīng)收集到的通信信息進(jìn)行分析,從而發(fā)現(xiàn)應(yīng)用的惡 意行為。這正是通用的信息收集方法的意義所在,當(dāng)安全需求發(fā)生變化時(shí),信息不需要重新 收集,只需要重新設(shè)計(jì)基于已經(jīng)收集的信息進(jìn)行分析的方法。為了實(shí)現(xiàn)更直觀的分析結(jié)果 展示,本發(fā)明還提供了 Web頁(yè)面展示部分,為用戶提供可視化、可編輯的前臺(tái)頁(yè)面展示,并 對(duì)后臺(tái)變化的數(shù)據(jù)做動(dòng)態(tài)展示,手機(jī)狀態(tài)圖以圖形化的形式展示了手機(jī)實(shí)時(shí)的安全狀態(tài)。
【專利附圖】
【附圖說(shuō)明】
[0028] 圖1為本發(fā)明方法的系統(tǒng)架構(gòu)圖。
[0029] 圖2為手機(jī)狀態(tài)圖。
【具體實(shí)施方式】
[0030] 下面通過(guò)實(shí)施例結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步描述。
[0031] 基于Binder消息流的Android惡意行為檢測(cè)分析方法,包括信息采集模塊,日志 分析模塊和展示模塊。其中信息采集模塊收集內(nèi)核Binder驅(qū)動(dòng)傳來(lái)的通信消息,并寫(xiě)入日 志文件中;日志分析模塊借助數(shù)據(jù)庫(kù),對(duì)已生成的日志文件作分析,生成手機(jī)狀態(tài)表;展示 模塊為用戶提供可視化的圖形界面,生成手機(jī)狀態(tài)圖。參見(jiàn)圖1。
[0032] 基于Binder消息流的Android惡意行為檢測(cè)分析方法用下述實(shí)施例來(lái)進(jìn)一步說(shuō) 明。
[0033] 實(shí)施例1
[0034] 本實(shí)例描述用戶獲取Binder通信日志文件,將日志文件導(dǎo)入數(shù)據(jù)庫(kù),基于具體的 安全需求對(duì)數(shù)據(jù)庫(kù)中的條目做分析,檢測(cè)是否有惡意行為,并把惡意行為通過(guò)狀態(tài)圖在前 端頁(yè)面展示出來(lái)。
[0035] 首先是生成Binder通信日志文件。生成并轉(zhuǎn)儲(chǔ)日志文件的過(guò)程是由系統(tǒng)完成的, 用戶只需要完成下面兩件事情:
[0036] 1)在PC上運(yùn)行一個(gè)客戶端程序,該程序通過(guò)socket連接手機(jī),并指定日志文件在 PC上的存放路徑,命令格式舉例如下
[0037] ./client 193.168.1.151 /home/zqh/google_nexus/client/binderlog〇
[0038] 2)安裝并運(yùn)行大量第三方應(yīng)用,如從豌豆莢下載安裝的100個(gè)應(yīng)用。此時(shí),在指定 存放路徑就會(huì)生成一個(gè)個(gè)大小固定的日志文件。
[0039] 隨后,把生成的日志文件導(dǎo)入到名為binderLog的數(shù)據(jù)庫(kù)表中,現(xiàn)截取一部分 binderLog的記錄如下表所示:
[0040]
【權(quán)利要求】
1. 一種通用的Android惡意行為檢測(cè)方法,其步驟為: 1) 在Android手機(jī)上設(shè)置一守護(hù)進(jìn)程,并在該守護(hù)進(jìn)程與內(nèi)核Binder驅(qū)動(dòng)之間建立通 信連接; 2) 在該手機(jī)上安裝并運(yùn)行多個(gè)第三方應(yīng)用程序,手機(jī)內(nèi)核Binder驅(qū)動(dòng)將截獲的每一 通信消息發(fā)送給該守護(hù)進(jìn)程; 3) 該守護(hù)進(jìn)程根據(jù)手機(jī)內(nèi)核Binder驅(qū)動(dòng)傳過(guò)來(lái)的通信消息生成日志文件,記錄接收 的通信消息; 4. Android惡意行為檢測(cè)平臺(tái)將所述日志文件導(dǎo)入數(shù)據(jù)庫(kù),查找數(shù)據(jù)庫(kù)中包含目標(biāo)隱 私數(shù)據(jù)的記錄,對(duì)于查找得到的記錄,進(jìn)行惡意行為檢測(cè): a) 如果該條記錄通信雙方中的一方為第三方應(yīng)用,則查看該第三方應(yīng)用是否有相應(yīng)的 權(quán)限訪問(wèn)目標(biāo)隱私數(shù)據(jù),如果有,則該條路徑為可信,否則存在惡意行為; b) 如果通信雙方都是第三方應(yīng)用,則查看兩者是否都有相應(yīng)的權(quán)限訪問(wèn)目標(biāo)隱私數(shù) 據(jù),如果兩者都有,則該條路徑為可信,否則說(shuō)明存在惡意行為; c) 如果找到的包含目標(biāo)隱私數(shù)據(jù)的通信路徑有如下兩條:A->S,S->B ;其中S為系統(tǒng)應(yīng) 用,A與B是第三方應(yīng)用,如果兩條路徑的發(fā)生時(shí)間間隔小于設(shè)定閾值,則第三方應(yīng)用A與B 之間存在惡意行為。
2. 如權(quán)利要求1所述的方法,其特征在于所述客戶端對(duì)所述日志文件進(jìn)行自動(dòng)轉(zhuǎn)存, 即當(dāng)日志文件達(dá)到設(shè)定大小時(shí),所述客戶端將其轉(zhuǎn)存到指定路徑并刪掉舊的日志文件,由 守護(hù)進(jìn)程重新生成新的日志文件;所述Android惡意行為檢測(cè)平臺(tái)從該指定路徑讀取日志 文件。
3. 如權(quán)利要求1或2所述的方法,其特征在于所述通信消息包含的字段為:發(fā)送方應(yīng) 用的進(jìn)程號(hào)、進(jìn)程名、應(yīng)用名和應(yīng)用描述,接收方進(jìn)程的進(jìn)程號(hào)、進(jìn)程名、應(yīng)用名、應(yīng)用描述、 通信的數(shù)據(jù)包大小和數(shù)據(jù)包內(nèi)容。
4. 如權(quán)利要求1或2所述的方法,其特征在于該守護(hù)進(jìn)程與手機(jī)內(nèi)核Binder驅(qū)動(dòng)之間 通信的方法為:在該內(nèi)核Binder驅(qū)動(dòng)和該守護(hù)進(jìn)程中分別維護(hù)一個(gè)結(jié)構(gòu)體數(shù)組,其中每個(gè) 結(jié)構(gòu)體存儲(chǔ)一條通信消息,結(jié)構(gòu)體中的成員變量即為通信消息包含的字段;內(nèi)核Binder每 截獲一條通信消息,則將其賦值到內(nèi)核Binder所維護(hù)的結(jié)構(gòu)體數(shù)組的一個(gè)結(jié)構(gòu)體中,當(dāng)結(jié) 構(gòu)體數(shù)組中的所有結(jié)構(gòu)體都被重新賦值后,內(nèi)核Binder通過(guò)信號(hào)量機(jī)制通知該守護(hù)進(jìn)程; 該守護(hù)進(jìn)程訪問(wèn)內(nèi)核Binder,由內(nèi)核Binder將其維護(hù)的結(jié)構(gòu)體數(shù)組的內(nèi)容拷貝到該守護(hù) 進(jìn)程維護(hù)的結(jié)構(gòu)體數(shù)組中。
5. 如權(quán)利要求1所述的方法,其特征在于所述Android惡意行為檢測(cè)平臺(tái)根據(jù)檢測(cè)結(jié) 果生成手機(jī)的狀態(tài)圖進(jìn)行展現(xiàn):狀態(tài)圖以有向圖的形式記錄了手機(jī)中的進(jìn)程以及進(jìn)程之間 的關(guān)系,狀態(tài)圖的節(jié)點(diǎn)是手機(jī)上的進(jìn)程,節(jié)點(diǎn)之間的連線代表進(jìn)程之間的通信關(guān)系,如果進(jìn) 程之間的通信是合法的,則邊為實(shí)線,否則邊為虛線。
【文檔編號(hào)】G06F21/56GK104281808SQ201410497824
【公開(kāi)日】2015年1月14日 申請(qǐng)日期:2014年9月25日 優(yōu)先權(quán)日:2014年9月25日
【發(fā)明者】周啟惠, 于愛(ài)民, 徐震, 汪丹 申請(qǐng)人:中國(guó)科學(xué)院信息工程研究所