移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)系統(tǒng)及方法
【專利摘要】本發(fā)明提供一種移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)系統(tǒng)及方法�,該系統(tǒng)包括:軟件行為提取模塊,動(dòng)態(tài)提取所述移動(dòng)終端上運(yùn)行的應(yīng)用程序的軟件行為���;動(dòng)態(tài)污點(diǎn)跟蹤模塊���,接收所述軟件行為并監(jiān)控所述軟件行為中的數(shù)據(jù)傳播行為,以判定所述數(shù)據(jù)傳播行為是否為惡意行為���;動(dòng)態(tài)行為識(shí)別模塊�,接收所述軟件行為并識(shí)別所述軟件行為中的軟件系統(tǒng)調(diào)用行為�,以判定所述軟件系統(tǒng)調(diào)用行為是否為惡意行為;以及驅(qū)動(dòng)模塊���,接收所述動(dòng)態(tài)污點(diǎn)跟蹤模塊和所述動(dòng)態(tài)行為識(shí)別模塊的判斷結(jié)果并進(jìn)行處理����。本發(fā)明提供了一種對(duì)應(yīng)用程序運(yùn)行時(shí)的動(dòng)態(tài)檢測(cè)技術(shù)����,提高了系統(tǒng)對(duì)惡意軟件的檢測(cè)能力��,保證用戶的信息安全��。
【專利說(shuō)明】移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種應(yīng)用程序領(lǐng)域��,特別是涉及一種移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)系統(tǒng)及方法��。
【背景技術(shù)】
[0002]在移動(dòng)終端帶來(lái)便攜和高質(zhì)量用戶體驗(yàn)的同時(shí)�����,大量涌現(xiàn)的惡意軟件行為使智能移動(dòng)終端的使用備受挑戰(zhàn)���,主要問(wèn)題集中如下幾點(diǎn):
[0003]在當(dāng)前智能移動(dòng)終端發(fā)展模式下,傳統(tǒng)移動(dòng)終端的市場(chǎng)份額日漸縮小��,如黑莓�、塞班操作系統(tǒng),正漸漸淡出公眾的視線�,而安卓���、1s���、Windows Phone等系統(tǒng)卻成為當(dāng)前市場(chǎng)的主流產(chǎn)品����。這些智能移動(dòng)終端應(yīng)用都可從相關(guān)的應(yīng)用市場(chǎng)下載安裝��,而導(dǎo)致安全問(wèn)題大量出現(xiàn)�����,下載的應(yīng)用程序中有些具有高危害性�����,如波及全國(guó)的“**神器”�,導(dǎo)致的問(wèn)題如:快速傳播、自動(dòng)群發(fā)好友���、竊取通訊錄和短信��、攔截網(wǎng)銀等動(dòng)態(tài)密碼�,短短幾天感染約50萬(wàn)臺(tái)手機(jī)����。
[0004]惡意軟件發(fā)展數(shù)量成上升趨勢(shì),其中又以安卓系統(tǒng)為主,據(jù)有關(guān)單位統(tǒng)計(jì)2013年����,97%的惡意軟件是android應(yīng)用軟件。
[0005]惡意軟件成多樣性發(fā)展趨勢(shì)��,目前已知的軟件惡意行為已經(jīng)擴(kuò)展到包括隱私竊取�、惡意收費(fèi)、權(quán)限濫用�����、系統(tǒng)破壞等多種行為模式��,其惡意行為模式日趨增加���。
[0006]傳統(tǒng)的移動(dòng)終端惡意軟件是通過(guò)安裝時(shí)提供權(quán)限列表讓用戶選擇安裝�,用戶一般不會(huì)進(jìn)行細(xì)致的分析��,只有出現(xiàn)問(wèn)題時(shí)才會(huì)處理���,且在安裝后��,一般用戶也不容易發(fā)現(xiàn)問(wèn)題�。
[0007]以上問(wèn)題可以看出��,智能移動(dòng)終端面臨的問(wèn)題很突出���,安裝有惡意行為的軟件會(huì)導(dǎo)致用戶的安全和利益受到侵害��,如何在軟件和安裝和使用過(guò)程中檢測(cè)出是惡意軟件顯的尤其重要��。
[0008]現(xiàn)有的一種Android惡意軟件的自動(dòng)化檢測(cè)方法��,主要是將若干API函數(shù)設(shè)為敏感API�,將待檢測(cè)軟件反匯編并解析出反匯編代碼中的所有敏感API和函數(shù)調(diào)用路徑�����;判斷每一敏感API的觸發(fā)方式��,若為用戶觸發(fā)方式��,則解析出觸發(fā)該敏感API的控件信息�,并將其輸入到動(dòng)態(tài)檢測(cè)沙箱中,執(zhí)行該控件自動(dòng)觸發(fā)惡意行為�;動(dòng)態(tài)檢測(cè)沙箱監(jiān)測(cè)并記錄該軟件調(diào)用敏感API的情況及操作的數(shù)據(jù),如果確實(shí)有敏感API的調(diào)用及該調(diào)用所操作的數(shù)據(jù)�����,則將該軟件判定為惡意軟件。但是上述方法對(duì)惡意軟件的防護(hù)有限且單一�����,是對(duì)安裝時(shí)進(jìn)行惡意軟件的檢測(cè)�,對(duì)于惡意軟件在終端安裝后的惡意行為無(wú)法處理,并且很多惡意軟件是在后臺(tái)靜默運(yùn)行�,使得用戶無(wú)法知道系統(tǒng)是否已經(jīng)被入侵或正在運(yùn)行惡意軟件,容易造成用戶在不知情的情況下利益受到損害或個(gè)人信息數(shù)據(jù)丟失����。
【發(fā)明內(nèi)容】
[0009]鑒于以上所述現(xiàn)有技術(shù)的缺點(diǎn),本發(fā)明的目的在于提供一種移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)系統(tǒng)及方法�����,用于解決現(xiàn)有的檢測(cè)方法無(wú)法對(duì)安裝后的惡意行為進(jìn)行檢測(cè)�����,且對(duì)于在后頭靜默運(yùn)行的惡意軟件無(wú)法檢測(cè)而給用戶帶來(lái)?yè)p失或信息數(shù)據(jù)丟失等問(wèn)題��。為實(shí)現(xiàn)上述目的及其他相關(guān)目的�����,本發(fā)明提供一種移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)系統(tǒng),包括:
[0010]軟件行為提取模塊����,動(dòng)態(tài)提取所述移動(dòng)終端上運(yùn)行的應(yīng)用程序的軟件行為�����;
[0011]動(dòng)態(tài)污點(diǎn)跟蹤模塊�����,與所述軟件行為提取模塊連接��,接收所述軟件行為并監(jiān)控所述軟件行為中的數(shù)據(jù)傳播行為����,以判定所述數(shù)據(jù)傳播行為是否為惡意行為;
[0012]動(dòng)態(tài)行為識(shí)別模塊�,設(shè)于移動(dòng)終端的應(yīng)用框架層,與所述軟件行為提取模塊連接�,接收所述軟件行為并識(shí)別所述軟件行為中的軟件系統(tǒng)調(diào)用行為,以判定所述軟件系統(tǒng)調(diào)用行為是否為惡意行為����;以及
[0013]驅(qū)動(dòng)模塊�����,與所述軟件行為提取模塊���、所述動(dòng)態(tài)污點(diǎn)跟蹤模塊、以及動(dòng)態(tài)行為識(shí)別模塊連接�����,引導(dǎo)所述動(dòng)態(tài)污點(diǎn)跟蹤模塊的監(jiān)控過(guò)程和所述動(dòng)態(tài)行為識(shí)別模塊的識(shí)別過(guò)程��,接收所述動(dòng)態(tài)污點(diǎn)跟蹤模塊和所述動(dòng)態(tài)行為識(shí)別模塊的判斷結(jié)果并進(jìn)行處理���。
[0014]可選地��,所述動(dòng)態(tài)污點(diǎn)跟蹤模塊標(biāo)記應(yīng)用程序中的敏感信息�,通過(guò)所述軟件行為提取模塊動(dòng)態(tài)提取所述敏感信息的數(shù)據(jù)傳播行為�����,以獲取所述敏感信息的數(shù)據(jù)傳播途徑�����,根據(jù)預(yù)設(shè)的安全規(guī)則對(duì)所述數(shù)據(jù)傳播途徑進(jìn)行判斷,若不符合所述安全規(guī)則���,則判斷為惡意行為�����。
[0015]可選地,所述動(dòng)態(tài)行為識(shí)別模塊通過(guò)所述軟件行為提取模塊跟蹤軟件運(yùn)行時(shí)行為而識(shí)別應(yīng)用程序在運(yùn)行過(guò)程中資源使用的動(dòng)態(tài)行為�,以獲取軟件系統(tǒng)調(diào)用行為,根據(jù)預(yù)設(shè)的惡意行為數(shù)據(jù)庫(kù)判斷所述軟件系統(tǒng)調(diào)用行為��,并在得到所述軟件系統(tǒng)調(diào)用行為與所述惡意行為數(shù)據(jù)庫(kù)中的惡意行為相匹配的情形下��,判斷所述軟件系統(tǒng)調(diào)用行為為惡意行為����。
[0016]可選地,還包括與所述驅(qū)動(dòng)模塊連接的反饋模塊����,接收所述驅(qū)動(dòng)模塊根據(jù)所述判斷結(jié)果形成的反饋信息,并將所述反饋信息通知用戶����。
[0017]可選地��,所述驅(qū)動(dòng)模塊對(duì)所述判斷結(jié)果進(jìn)行處理包括:
[0018]當(dāng)所述動(dòng)態(tài)污點(diǎn)跟蹤模塊的判斷結(jié)果為惡意行為時(shí)�����,所述驅(qū)動(dòng)模塊將所述惡意行為反饋給用戶��,由用戶進(jìn)行惡意行為的處理或獲取用戶的授權(quán)對(duì)所述惡意行為進(jìn)行攔截�����;
[0019]當(dāng)所述動(dòng)態(tài)行為識(shí)別模塊的判斷結(jié)果為惡意行為時(shí)���,所述驅(qū)動(dòng)模塊將所述惡意行為反饋給用戶,由用戶進(jìn)行惡意行為的處理�����。
[0020]本發(fā)明一種移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)方法��,包括:
[0021]獲取移動(dòng)終端中運(yùn)行的應(yīng)用程序的軟件行為�;
[0022]監(jiān)控所述軟件行為中的數(shù)據(jù)傳播行為,在判斷所述數(shù)據(jù)傳播行為是惡意行為時(shí)形成監(jiān)控結(jié)果���;
[0023]識(shí)別所述軟件行為中的軟件系統(tǒng)調(diào)用行為�,在判斷所述軟件系統(tǒng)調(diào)用行為是惡意行為時(shí)形成識(shí)別結(jié)果;
[0024]對(duì)所述監(jiān)控結(jié)果和所述識(shí)別結(jié)果進(jìn)行處理�����。
[0025]可選地���,監(jiān)控所述軟件行為中的數(shù)據(jù)傳播行為包括:
[0026]標(biāo)記所述應(yīng)用程序中的敏感信息�;
[0027]跟蹤所述敏感信息的數(shù)據(jù)傳播行為��,以獲取所述敏感信息的數(shù)據(jù)傳播途徑����;
[0028]根據(jù)預(yù)設(shè)的安全規(guī)則對(duì)所述數(shù)據(jù)傳播途徑進(jìn)行判斷��,若不符合所述安全規(guī)則�����,則判斷為惡意行為���。
[0029]可選地���,識(shí)別所述軟件行為中的軟件系統(tǒng)調(diào)用行為包括:
[0030]跟蹤軟件運(yùn)行時(shí)的行為����,識(shí)別應(yīng)用程序在運(yùn)行過(guò)程中資源使用的動(dòng)態(tài)行為�,以獲取軟件系統(tǒng)調(diào)用行為;
[0031]根據(jù)預(yù)設(shè)的惡意行為數(shù)據(jù)庫(kù)判斷所述軟件系統(tǒng)調(diào)用行為���,若所述軟件系統(tǒng)調(diào)用行為與所述惡意行為數(shù)據(jù)庫(kù)中的惡意行為相匹配�����,則判斷為惡意形為�。
[0032]可選地���,對(duì)所述監(jiān)控結(jié)果和所述識(shí)別結(jié)果進(jìn)行處理包括:將所述監(jiān)控結(jié)果和所述識(shí)別結(jié)果反饋通知用戶�����。
[0033]可選地���,對(duì)所述監(jiān)控結(jié)果和所述識(shí)別結(jié)果進(jìn)行處理還包括:
[0034]將所述監(jiān)控結(jié)果反饋通知用戶后由用戶進(jìn)行惡意行為的處理或在獲得用戶的授權(quán)后對(duì)所述惡意行為進(jìn)攔截;
[0035]將所述識(shí)別結(jié)果反饋給用戶,由用戶進(jìn)行惡意行為的處理��。
[0036]如上所述����,本發(fā)明的移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)系統(tǒng)及方法,具有以下有益效果:
[0037]本發(fā)明是一種針對(duì)移動(dòng)終端檢測(cè)惡意應(yīng)用程序的技術(shù)�����,提供一種對(duì)應(yīng)用程序運(yùn)行時(shí)的動(dòng)態(tài)檢測(cè)技術(shù)����,提高了系統(tǒng)對(duì)惡意軟件的檢測(cè)能力,保證用戶的信息安全�。本發(fā)明技術(shù)方案實(shí)現(xiàn)了從軟硬件級(jí)保護(hù)系統(tǒng)的完整性,在啟動(dòng)階段和運(yùn)行階段都可以對(duì)系統(tǒng)的完整性運(yùn)行可信衡量�;本發(fā)明技術(shù)方案在啟動(dòng)過(guò)程中啟動(dòng)完整性通過(guò)檢測(cè)的程序�����,對(duì)系統(tǒng)程序被惡意修改過(guò)和程序?qū)嵤┎粏?dòng)和報(bào)告操作�����;本發(fā)明技術(shù)方案實(shí)現(xiàn)了對(duì)移動(dòng)終端進(jìn)入系統(tǒng)時(shí)作了安全防護(hù)技術(shù),提高了系統(tǒng)的抗攻擊性����;本發(fā)明技術(shù)方案實(shí)現(xiàn)了在系統(tǒng)運(yùn)行階段實(shí)現(xiàn)的檢測(cè)系統(tǒng)的安全性,對(duì)關(guān)鍵參數(shù)和代碼作完整性度量��。
【專利附圖】
【附圖說(shuō)明】
[0038]圖1顯示為本發(fā)明移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)系統(tǒng)的系統(tǒng)圖��。
[0039]圖2顯示為本發(fā)明中動(dòng)態(tài)污點(diǎn)跟蹤架構(gòu)圖���。
[0040]圖3顯示為本發(fā)明移動(dòng)終端中應(yīng)用框架原理圖�����。
[0041]圖4顯示為本發(fā)明中動(dòng)態(tài)行為識(shí)別模塊的識(shí)別流程圖��。
[0042]元件標(biāo)號(hào)說(shuō)明
[0043]11軟件行為提取模塊
[0044]12動(dòng)態(tài)污點(diǎn)跟蹤模塊
[0045]13動(dòng)態(tài)行為識(shí)別模塊
[0046]14驅(qū)動(dòng)模塊
[0047]15反饋模塊
【具體實(shí)施方式】
[0048]以下通過(guò)特定的具體實(shí)例說(shuō)明本發(fā)明的實(shí)施方式��,本領(lǐng)域技術(shù)人員可由本說(shuō)明書(shū)所揭露的內(nèi)容輕易地了解本發(fā)明的其他優(yōu)點(diǎn)與功效�����。本發(fā)明還可以通過(guò)另外不同的【具體實(shí)施方式】加以實(shí)施或應(yīng)用�,本說(shuō)明書(shū)中的各項(xiàng)細(xì)節(jié)也可以基于不同觀點(diǎn)與應(yīng)用��,在沒(méi)有背離本發(fā)明的精神下進(jìn)行各種修飾或改變。需說(shuō)明的是�����,在不沖突的情況下�,以下實(shí)施例及實(shí)施例中的特征可以相互組合。
[0049]需要說(shuō)明的是����,以下實(shí)施例中所提供的圖示僅以示意方式說(shuō)明本發(fā)明的基本構(gòu)想,遂圖式中僅顯示與本發(fā)明中有關(guān)的組件而非按照實(shí)際實(shí)施時(shí)的組件數(shù)目��、形狀及尺寸繪制�����,其實(shí)際實(shí)施時(shí)各組件的型態(tài)��、數(shù)量及比例可為一種隨意的改變���,且其組件布局型態(tài)也可能更為復(fù)雜��。
[0050]本發(fā)明提供一種移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)系統(tǒng)及方法,用于對(duì)移動(dòng)終端應(yīng)用程序的惡意行為測(cè)試技術(shù)�����,使用此技術(shù)的操作系統(tǒng)在對(duì)應(yīng)用程序進(jìn)行安全性分析時(shí),可以及時(shí)的檢測(cè)出惡意軟件�����,以此來(lái)避免用戶移動(dòng)終端受到惡意軟件的攻擊�����,可解決了當(dāng)前移動(dòng)終端面臨日漸增加的安全威脅問(wèn)題����。主要實(shí)現(xiàn)方法是采用動(dòng)態(tài)污點(diǎn)跟蹤技術(shù)和動(dòng)態(tài)行為識(shí)別技術(shù),其中動(dòng)態(tài)污點(diǎn)跟蹤技術(shù)�,是跟蹤敏感信息在程序中的傳播,并檢測(cè)報(bào)告違反安全傳播規(guī)則的數(shù)據(jù)傳播�����;動(dòng)態(tài)行為識(shí)別技術(shù)通過(guò)對(duì)軟件系統(tǒng)調(diào)用進(jìn)行采樣����,跟蹤軟件運(yùn)行時(shí)行為,并根據(jù)預(yù)設(shè)的配置信息��,對(duì)系統(tǒng)調(diào)用信息進(jìn)行篩選和進(jìn)一步分析,通過(guò)篩選結(jié)果識(shí)別不同的惡意程序行為����。本發(fā)明采用的策略需要覆蓋隱私泄露、惡意扣費(fèi)����、系統(tǒng)破壞等行為。檢測(cè)系統(tǒng)可支持多種智能終端��,具有良好可擴(kuò)展性�,同時(shí)檢測(cè)系統(tǒng)支持自動(dòng)惡意行為檢測(cè),可大幅減少人工介入的需要�。動(dòng)態(tài)惡意行為檢測(cè)技術(shù)采用軟件行為模擬引擎驅(qū)動(dòng)動(dòng)態(tài)軟件行為跟蹤過(guò)程,通過(guò)跟蹤軟件數(shù)據(jù)流向建立惡意軟件行為表�,提供軟件惡意行為的運(yùn)行時(shí)信息。
[0051]參閱圖1�,顯示了本發(fā)明移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)系統(tǒng)的系統(tǒng)圖。下面結(jié)合圖1����,對(duì)本發(fā)明移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)系統(tǒng)進(jìn)行說(shuō)明。
[0052]如圖1所述�����,本發(fā)明移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)系統(tǒng)包括軟件行為提取模塊11�、動(dòng)態(tài)污點(diǎn)跟蹤模塊12、動(dòng)態(tài)行為識(shí)別模塊13���、驅(qū)動(dòng)模塊14���、以及反饋模塊15,其中:軟件行為提取模塊11與動(dòng)態(tài)污點(diǎn)跟蹤模塊12�、動(dòng)態(tài)行為識(shí)別模塊13、以及驅(qū)動(dòng)模塊14連接��,驅(qū)動(dòng)模塊14與動(dòng)態(tài)污點(diǎn)跟蹤模塊12���、動(dòng)態(tài)行為識(shí)別模塊13���、以及反饋模塊15連接。
[0053]軟件行為提取模塊11用于動(dòng)態(tài)提取移動(dòng)終端上運(yùn)行的應(yīng)用程序的軟件行為�,實(shí)施監(jiān)控獲取移動(dòng)終端上運(yùn)行的應(yīng)用程序的軟件行為,該軟件行為包括數(shù)據(jù)傳播行為和軟件系統(tǒng)調(diào)用行為����。
[0054]動(dòng)態(tài)污點(diǎn)跟蹤模塊12,接收軟件行為提取模塊11動(dòng)態(tài)提取的軟件行為���,并監(jiān)控軟件行為中的數(shù)據(jù)傳播行為��,以判斷該數(shù)據(jù)傳播行為是否為惡意行為����。較佳地,動(dòng)態(tài)污點(diǎn)跟蹤模塊12標(biāo)記應(yīng)用程序中的敏感信息�����,通過(guò)軟件提取模塊11提取標(biāo)記的敏感信息的數(shù)據(jù)傳播行為�,以獲取敏感信息的數(shù)據(jù)傳播途徑,根據(jù)預(yù)設(shè)的安全規(guī)則對(duì)數(shù)據(jù)傳播途徑進(jìn)行判斷�����,若不符合安全規(guī)則��,則判斷為惡意行為�。
[0055]動(dòng)態(tài)行為識(shí)別模塊13設(shè)于移動(dòng)終端的應(yīng)用框架層,接收軟行為提取模塊11動(dòng)態(tài)提取的軟件行為�����,識(shí)別軟件行為中的軟件系統(tǒng)調(diào)用行為,以判定軟件系統(tǒng)調(diào)用行為是否為惡意行為�。較佳地,動(dòng)態(tài)行為識(shí)別模塊13通過(guò)軟件行為提取模塊11跟蹤軟件運(yùn)行時(shí)行為而識(shí)別應(yīng)用程序在運(yùn)行過(guò)程中資源使用的動(dòng)態(tài)行為�,以獲取軟件系統(tǒng)調(diào)用行為,根據(jù)預(yù)設(shè)的惡意行為數(shù)據(jù)庫(kù)判斷軟件系統(tǒng)調(diào)用行為�����,在得到該軟件系統(tǒng)調(diào)用行為與惡意行為數(shù)據(jù)庫(kù)中惡意行為相匹配的情形下�,判斷軟件系統(tǒng)調(diào)用行為為惡意行為���。
[0056]驅(qū)動(dòng)模塊14����,用于引導(dǎo)動(dòng)態(tài)污點(diǎn)跟蹤模塊12的監(jiān)控過(guò)程和動(dòng)態(tài)行為識(shí)別模塊13的識(shí)別過(guò)程�,接收動(dòng)態(tài)污點(diǎn)跟蹤模塊12和動(dòng)態(tài)行為識(shí)別模塊13的判斷結(jié)果并進(jìn)行處理。驅(qū)動(dòng)模塊14對(duì)判斷結(jié)果進(jìn)行處理包括:
[0057]當(dāng)動(dòng)態(tài)污點(diǎn)跟蹤模塊12的判斷結(jié)果為惡意行為時(shí)�,驅(qū)動(dòng)模塊15將惡意行為通過(guò)反饋模塊15反饋給用戶,由用戶進(jìn)行惡意行為的處理或獲取用戶的授權(quán)由驅(qū)動(dòng)模塊15自動(dòng)對(duì)惡意行為進(jìn)行攔截�����;
[0058]當(dāng)動(dòng)態(tài)行為識(shí)別模塊13的判斷結(jié)果為惡意行為時(shí)�����,驅(qū)動(dòng)模塊15將惡意行為反饋給用戶,由用戶進(jìn)行惡意行為的處理�。
[0059]反饋模塊15接收驅(qū)動(dòng)模塊14根據(jù)判斷結(jié)構(gòu)形成的反饋信息,將反饋信息通知用戶���,反饋模塊15用于將惡意行為的檢測(cè)結(jié)果反饋給用戶��,以供用戶進(jìn)行后續(xù)的處理�。
[0060]參閱圖2,顯示了本發(fā)明中動(dòng)態(tài)污點(diǎn)跟蹤架構(gòu)圖��。下面結(jié)合圖2,對(duì)本發(fā)明中的動(dòng)態(tài)污點(diǎn)跟蹤模塊12的工作原理進(jìn)行說(shuō)明���。
[0061]如圖2所示����,本發(fā)明動(dòng)態(tài)污點(diǎn)跟蹤膜12采用動(dòng)態(tài)標(biāo)記程序敏感信息�����,跟蹤敏感信息在程序中的傳播�,并檢測(cè)違反安全傳播規(guī)則的數(shù)據(jù)傳播。本發(fā)明中的動(dòng)態(tài)污點(diǎn)跟蹤技術(shù)可以全方位監(jiān)控軟件中的數(shù)據(jù)傳播��,在檢測(cè)軟件惡意行為時(shí)不僅能檢測(cè)系統(tǒng)層的軟件行為,還能對(duì)應(yīng)用軟件內(nèi)部行為進(jìn)行檢測(cè)��。
[0062]其中標(biāo)記的程序敏感信息包括:短信/彩信��、通話日志����、聯(lián)系人語(yǔ)言信箱、財(cái)務(wù)應(yīng)用�����、個(gè)人郵件����、web瀏覽搜索記錄�����、地理位置��、認(rèn)證證書(shū)等���。
[0063]安全傳播規(guī)則存儲(chǔ)于動(dòng)態(tài)污點(diǎn)跟蹤模塊12內(nèi)�,是動(dòng)態(tài)污點(diǎn)跟蹤模塊12預(yù)設(shè)的敏感信息的正常傳播途徑,動(dòng)態(tài)污點(diǎn)跟蹤模塊12接收含有標(biāo)識(shí)的敏感信息在傳播過(guò)程中���,實(shí)際的傳播途徑信息���,與預(yù)定安全傳播規(guī)則作比較,如果此傳播途徑不符合預(yù)定的規(guī)則�,就可以判斷是惡意傳播行為。
[0064]對(duì)所有的敏感信息動(dòng)態(tài)的加入標(biāo)識(shí)后綴�����,以標(biāo)記此敏感信息在程序中的傳播途徑�����,當(dāng)含有此標(biāo)識(shí)的數(shù)據(jù)在程序中進(jìn)行傳播時(shí)�����,此信息會(huì)把傳播途徑與安全規(guī)則中的傳播途徑進(jìn)行比較��,違反規(guī)則的傳播途徑會(huì)被判斷為惡意傳播行為�����。動(dòng)態(tài)污點(diǎn)跟蹤檢測(cè)技術(shù)共跟蹤四個(gè)層級(jí)的信息傳播,四個(gè)層級(jí)分別為應(yīng)用層��、虛擬機(jī)層���、系統(tǒng)層和存儲(chǔ)層��。動(dòng)態(tài)惡意行為檢測(cè)在應(yīng)用層跟蹤敏感信息通過(guò)程序變量的傳播途徑����,在虛擬機(jī)層跟蹤敏感信息通過(guò)內(nèi)存的傳播途徑����,在系統(tǒng)層跟蹤敏感信息通過(guò)本地代碼的傳播途徑,并在存儲(chǔ)層跟蹤敏感信息通過(guò)文件的傳播途徑���,同時(shí)在存儲(chǔ)層監(jiān)控敏感信息向第三方用戶的發(fā)送。在跟蹤到惡意行為時(shí)��,及時(shí)的把信息反饋到用戶����,用戶可自己處理,同時(shí)用戶也可制授權(quán)讓動(dòng)態(tài)污點(diǎn)跟蹤模塊在檢測(cè)到惡意行為是自行處理�,減少用戶的操作��。
[0065]例如:在應(yīng)用層��,某個(gè)應(yīng)用程序要使用撥打電話功能��,首先要調(diào)用聯(lián)系人列表�����,從中把某個(gè)聯(lián)系人取出���,使用此聯(lián)系人的電話號(hào)碼信息,撥打電話�。在此過(guò)程中,聯(lián)系人標(biāo)識(shí)污點(diǎn)會(huì)把他在內(nèi)存中的傳播途徑發(fā)送到動(dòng)態(tài)污點(diǎn)跟蹤模塊12進(jìn)行分析��,如果是正常撥打電話��,則識(shí)別此行為是正常行為�����,如果在撥打過(guò)程中��,把聯(lián)系人信息通過(guò)網(wǎng)絡(luò)向外傳輸�,在此聯(lián)系人標(biāo)識(shí)污點(diǎn)同樣會(huì)把此傳輸路徑發(fā)送到動(dòng)態(tài)污點(diǎn)跟蹤模塊12進(jìn)行分析����,因此傳輸是不正常行為���,則會(huì)判斷此行為為惡意行為�。
[0066]參閱圖3��,顯示為本發(fā)明移動(dòng)終端中應(yīng)用框架原理圖����。如圖3所示,在移動(dòng)終端上用戶操作一個(gè)軟件的時(shí)候��,其實(shí)中間還隔了一層��,那就是系統(tǒng)�,例如,用戶點(diǎn)擊了屏幕上的一個(gè)按鈕����,就會(huì)對(duì)屏幕產(chǎn)生物理感應(yīng)����,屏幕將這種物理感應(yīng)交給系統(tǒng)os處理�,系統(tǒng)產(chǎn)生相應(yīng)的事件對(duì)象�,交給框架處理,框架交給相應(yīng)的程序����,進(jìn)行相應(yīng)的處理,然后逆向的將對(duì)事件的動(dòng)作反映在屏幕上�。
[0067]如圖4所示,本發(fā)明的動(dòng)態(tài)行為識(shí)別模塊13中的動(dòng)態(tài)行為識(shí)別技術(shù)���,是基于應(yīng)用框架原理上開(kāi)發(fā)的一種技術(shù)��,在框架中加入預(yù)設(shè)的配置信息�����,識(shí)別應(yīng)用軟件在運(yùn)行過(guò)程中的資源使用等動(dòng)態(tài)行為����,并報(bào)告給軟件安全測(cè)評(píng)平臺(tái)���,即驅(qū)動(dòng)模塊14�。
[0068]動(dòng)態(tài)行為識(shí)別技術(shù)通過(guò)對(duì)軟件系統(tǒng)調(diào)用進(jìn)行采樣���,跟蹤軟件運(yùn)行時(shí)行為��,此行為標(biāo)記可根據(jù)軟件運(yùn)行時(shí)從系統(tǒng)權(quán)限中獲取�,如軟件申請(qǐng)的發(fā)送短信、發(fā)送短信���、打電話�����、獲取地理位置信息���、讀取聯(lián)系人等,并根據(jù)預(yù)設(shè)的配置信息��,對(duì)系統(tǒng)調(diào)用信息進(jìn)行篩選和進(jìn)一步分析�,通過(guò)篩選結(jié)果識(shí)別不同的惡意程序行為。
[0069]預(yù)設(shè)的配置信息主要是對(duì)軟件行為進(jìn)行識(shí)別�����,此配置信息須要收集大量的惡意軟件行為類別�,建立一個(gè)惡意行為數(shù)據(jù)庫(kù)的形式存在�����,且可以動(dòng)態(tài)更新。應(yīng)用程序的信息��、行為要進(jìn)行相關(guān)操作時(shí)須與此配置信息進(jìn)行對(duì)比���,如果與此惡意行為數(shù)據(jù)庫(kù)預(yù)設(shè)的行為的相同�,即可判斷此軟件為有惡意行為的程序����,并通知用戶此軟件含有惡意行為,如果軟件行為與預(yù)設(shè)的配置信息無(wú)相同的行為�,則判斷此軟件為正常程序,此應(yīng)用程序正常運(yùn)行���。
[0070]其中用戶隱私信息包括:短信/彩信����、通話日志��、聯(lián)系人�����、語(yǔ)言信箱、財(cái)務(wù)應(yīng)用����、個(gè)人郵件、web瀏覽/搜索記錄���、地理位置�����、安全認(rèn)證證書(shū)等��。
[0071]例如�����,通過(guò)對(duì)軟件接收短信和顯示短信接口進(jìn)行采樣�,分析軟件在接收短信和顯示短信間的不一致行為���,可以識(shí)別軟件進(jìn)行短信屏蔽的惡意操作���;通過(guò)檢測(cè)軟件調(diào)用用戶隱私信息讀取和信息發(fā)送的系統(tǒng)調(diào)用,并對(duì)前后系統(tǒng)調(diào)用之間的信息流進(jìn)行跟蹤,可以識(shí)別軟件進(jìn)行隱私泄露的惡意行為嫌疑��。
[0072]下面對(duì)本發(fā)明移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)方法進(jìn)行說(shuō)明��。
[0073]本發(fā)明移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)方法包括:
[0074]獲取移動(dòng)終端中運(yùn)行的應(yīng)用程序的軟件行為�����;
[0075]監(jiān)控軟件行為中的數(shù)據(jù)傳播行為��,在判斷數(shù)據(jù)傳播行為是惡意行為時(shí)形成監(jiān)控結(jié)果;
[0076]識(shí)別軟件行為中的軟件系統(tǒng)調(diào)用行為���,在判斷軟件系統(tǒng)調(diào)用行為是惡意行為時(shí)形成識(shí)別結(jié)果;
[0077]對(duì)監(jiān)控結(jié)果和識(shí)別結(jié)果進(jìn)行處理�����。
[0078]實(shí)現(xiàn)了在移動(dòng)終端的啟動(dòng)階段和運(yùn)行階段的惡意行為檢測(cè)��,對(duì)移動(dòng)終端實(shí)現(xiàn)全面保護(hù)�,提高移動(dòng)終端的抗攻擊性。
[0079]其中的監(jiān)控軟件行為中的數(shù)據(jù)傳播行為包括:
[0080]標(biāo)記應(yīng)用程序中的敏感信息���;標(biāo)記的程序敏感信息包括:短信/彩信�����、通話日志���、聯(lián)系人語(yǔ)言信箱����、財(cái)務(wù)應(yīng)用���、個(gè)人郵件�、web瀏覽搜索記錄����、地理位置、認(rèn)證證書(shū)等�。
[0081]跟蹤敏感信息的數(shù)據(jù)傳播行為,以獲取敏感信息的數(shù)據(jù)傳播途徑����;對(duì)所有的敏感信息動(dòng)態(tài)的加入標(biāo)識(shí)后綴,以標(biāo)記此敏感信息在程序中的傳播途徑���。
[0082]根據(jù)預(yù)設(shè)的安全規(guī)則對(duì)所述數(shù)據(jù)傳播途徑進(jìn)行判斷�����,若不符合所述安全規(guī)則���,則判斷為惡意行為�����。當(dāng)含有標(biāo)識(shí)的數(shù)據(jù)在程序中進(jìn)行傳播時(shí),此信息會(huì)把傳播途徑與安全規(guī)則中的傳播途徑進(jìn)行比較����,違反規(guī)則的傳播途徑會(huì)被判斷為惡意傳播行為。
[0083]其中的識(shí)別軟件行為中的軟件系統(tǒng)調(diào)用行為包括:
[0084]跟蹤軟件運(yùn)行時(shí)的行為���,識(shí)別應(yīng)用程序在運(yùn)行過(guò)程中資源使用的動(dòng)態(tài)行為����,以獲取軟件系統(tǒng)調(diào)用行為�;此行為標(biāo)記可根據(jù)軟件運(yùn)行時(shí)從系統(tǒng)權(quán)限中獲取,如軟件申請(qǐng)的發(fā)送短信�����、發(fā)送短信、打電話���、獲取地理位置信息�����、讀取聯(lián)系人等��,并根據(jù)預(yù)設(shè)的配置信息��,
[0085]根據(jù)預(yù)設(shè)的惡意行為數(shù)據(jù)庫(kù)判斷所述軟件系統(tǒng)調(diào)用行為��,若所述軟件系統(tǒng)調(diào)用行為與所述惡意行為數(shù)據(jù)庫(kù)中的惡意行為相匹配�����,則判斷為惡意形為�����。預(yù)設(shè)的配置信息主要是對(duì)軟件行為進(jìn)行識(shí)別��,此配置信息須要收集大量的惡意軟件行為類別��,建立一個(gè)惡意行為數(shù)據(jù)庫(kù)的形式存在���,且可以動(dòng)態(tài)更新��。
[0086]對(duì)監(jiān)控結(jié)果和識(shí)別結(jié)果進(jìn)行處理包括:將監(jiān)控結(jié)果和識(shí)別結(jié)果反饋通知用戶�,將所述監(jiān)控結(jié)果反饋通知用戶后由用戶進(jìn)行惡意行為的處理或在獲得用戶的授權(quán)后對(duì)所述惡意行為進(jìn)攔截���;將所述識(shí)別結(jié)果反饋給用戶�,由用戶進(jìn)行惡意行為的處理��。
[0087]綜上所述��,本發(fā)明移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)系統(tǒng)及方法���,實(shí)現(xiàn)了從軟硬
[0088]件級(jí)保護(hù)系統(tǒng)的完整性,在啟動(dòng)階段和運(yùn)行階段都可以對(duì)系統(tǒng)的完整性運(yùn)行可信衡量��;對(duì)系統(tǒng)程序被惡意修改過(guò)和程序?qū)嵤┎粏?dòng)和報(bào)告操作���;實(shí)現(xiàn)了對(duì)移動(dòng)終端進(jìn)入系統(tǒng)時(shí)作了安全防護(hù)技術(shù)�����,提高了系統(tǒng)的抗攻擊性�����;實(shí)現(xiàn)了在系統(tǒng)運(yùn)行階段實(shí)現(xiàn)的檢測(cè)系統(tǒng)的安全性��,對(duì)關(guān)鍵參數(shù)和代碼作完整性度量�。所以,本發(fā)明有效克服了現(xiàn)有技術(shù)中的種種缺點(diǎn)而具高度產(chǎn)業(yè)利用價(jià)值�����。
[0089]上述實(shí)施例僅例示性說(shuō)明本發(fā)明的原理及其功效���,而非用于限制本發(fā)明����。任何熟悉此技術(shù)的人士皆可在不違背本發(fā)明的精神及范疇下�,對(duì)上述實(shí)施例進(jìn)行修飾或改變。因此�,舉凡所屬【技術(shù)領(lǐng)域】中具有通常知識(shí)者在未脫離本發(fā)明所揭示的精神與技術(shù)思想下所完成的一切等效修飾或改變,仍應(yīng)由本發(fā)明的權(quán)利要求所涵蓋�����。
【權(quán)利要求】
1.一種移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)系統(tǒng)��,其特征在于,包括: 軟件行為提取模塊����,動(dòng)態(tài)提取所述移動(dòng)終端上運(yùn)行的應(yīng)用程序的軟件行為; 動(dòng)態(tài)污點(diǎn)跟蹤模塊�����,與所述軟件行為提取模塊連接���,接收所述軟件行為并監(jiān)控所述軟件行為中的數(shù)據(jù)傳播行為�,以判定所述數(shù)據(jù)傳播行為是否為惡意行為����; 動(dòng)態(tài)行為識(shí)別模塊�����,設(shè)于移動(dòng)終端的應(yīng)用框架層���,與所述軟件行為提取模塊連接�,接收所述軟件行為并識(shí)別所述軟件行為中的軟件系統(tǒng)調(diào)用行為����,以判定所述軟件系統(tǒng)調(diào)用行為是否為惡意行為�����;以及 驅(qū)動(dòng)模塊�����,與所述軟件行為提取模塊��、所述動(dòng)態(tài)污點(diǎn)跟蹤模塊����、以及動(dòng)態(tài)行為識(shí)別模塊連接����,引導(dǎo)所述動(dòng)態(tài)污點(diǎn)跟蹤模塊的監(jiān)控過(guò)程和所述動(dòng)態(tài)行為識(shí)別模塊的識(shí)別過(guò)程,接收所述動(dòng)態(tài)污點(diǎn)跟蹤模塊和所述動(dòng)態(tài)行為識(shí)別模塊的判斷結(jié)果并進(jìn)行處理����。
2.根據(jù)權(quán)利要求1所述的移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)系統(tǒng),其特征在于:所述動(dòng)態(tài)污點(diǎn)跟蹤模塊標(biāo)記應(yīng)用程序中的敏感信息�,通過(guò)所述軟件行為提取模塊動(dòng)態(tài)提取所述敏感信息的數(shù)據(jù)傳播行為,以獲取所述敏感信息的數(shù)據(jù)傳播途徑,根據(jù)預(yù)設(shè)的安全規(guī)則對(duì)所述數(shù)據(jù)傳播途徑進(jìn)行判斷�,若不符合所述安全規(guī)則,則判斷為惡意行為�。
3.根據(jù)權(quán)利要求1所述的移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)系統(tǒng),其特征在于:所述動(dòng)態(tài)行為識(shí)別模塊通過(guò)所述軟件行為提取模塊跟蹤軟件運(yùn)行時(shí)行為而識(shí)別應(yīng)用程序在運(yùn)行過(guò)程中資源使用的動(dòng)態(tài)行為��,以獲取軟件系統(tǒng)調(diào)用行為����,根據(jù)預(yù)設(shè)的惡意行為數(shù)據(jù)庫(kù)判斷所述軟件系統(tǒng)調(diào)用行為,并在得到所述軟件系統(tǒng)調(diào)用行為與所述惡意行為數(shù)據(jù)庫(kù)中的惡意行為相匹配的情形下��,判斷所述軟件系統(tǒng)調(diào)用行為為惡意行為��。
4.根據(jù)權(quán)利要求1所述的移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)系統(tǒng)��,其特征在于:還包括與所述驅(qū)動(dòng)模塊連接的反饋模塊��,接收所述驅(qū)動(dòng)模塊根據(jù)所述判斷結(jié)果形成的反饋信息���,并將所述反饋信息通知用戶。
5.根據(jù)權(quán)利要求4所述的移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)系統(tǒng)����,其特征在于:所述驅(qū)動(dòng)模塊對(duì)所述判斷結(jié)果進(jìn)行處理包括: 當(dāng)所述動(dòng)態(tài)污點(diǎn)跟蹤模塊的判斷結(jié)果為惡意行為時(shí),所述驅(qū)動(dòng)模塊將所述惡意行為反饋給用戶,由用戶進(jìn)行惡意行為的處理或獲取用戶的授權(quán)對(duì)所述惡意行為進(jìn)行攔截���; 當(dāng)所述動(dòng)態(tài)行為識(shí)別模塊的判斷結(jié)果為惡意行為時(shí)�����,所述驅(qū)動(dòng)模塊將所述惡意行為反饋給用戶�����,由用戶進(jìn)行惡意行為的處理����。
6.一種移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)方法�,其特征在于:包括: 獲取移動(dòng)終端中運(yùn)行的應(yīng)用程序的軟件行為; 監(jiān)控所述軟件行為中的數(shù)據(jù)傳播行為�����,在判斷所述數(shù)據(jù)傳播行為是惡意行為時(shí)形成監(jiān)控結(jié)果�; 識(shí)別所述軟件行為中的軟件系統(tǒng)調(diào)用行為,在判斷所述軟件系統(tǒng)調(diào)用行為是惡意行為時(shí)形成識(shí)別結(jié)果�����; 對(duì)所述監(jiān)控結(jié)果和所述識(shí)別結(jié)果進(jìn)行處理。
7.根據(jù)權(quán)利要求6所述的移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)方法�,其特征在于:監(jiān)控所述軟件行為中的數(shù)據(jù)傳播行為包括: 標(biāo)記所述應(yīng)用程序中的敏感信息; 跟蹤所述敏感信息的數(shù)據(jù)傳播行為��,以獲取所述敏感信息的數(shù)據(jù)傳播途徑����; 根據(jù)預(yù)設(shè)的安全規(guī)則對(duì)所述數(shù)據(jù)傳播途徑進(jìn)行判斷,若不符合所述安全規(guī)則�����,則判斷為惡意行為�。
8.根據(jù)權(quán)利要求6所述的移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)方法,其特征在于:識(shí)別所述軟件行為中的軟件系統(tǒng)調(diào)用行為包括: 跟蹤軟件運(yùn)行時(shí)的行為�����,識(shí)別應(yīng)用程序在運(yùn)行過(guò)程中資源使用的動(dòng)態(tài)行為��,以獲取軟件系統(tǒng)調(diào)用行為�; 根據(jù)預(yù)設(shè)的惡意行為數(shù)據(jù)庫(kù)判斷所述軟件系統(tǒng)調(diào)用行為,若所述軟件系統(tǒng)調(diào)用行為與所述惡意行為數(shù)據(jù)庫(kù)中的惡意行為相匹配�,則判斷為惡意形為。
9.根據(jù)權(quán)利要求6所述的移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)方法���,其特征在于:對(duì)所述監(jiān)控結(jié)果和所述識(shí)別結(jié)果進(jìn)行處理包括:將所述監(jiān)控結(jié)果和所述識(shí)別結(jié)果反饋通知用戶�。
10.根據(jù)權(quán)利要求7所述移動(dòng)終端中應(yīng)用程序的動(dòng)態(tài)惡意行為檢測(cè)方法�����,其特征在于:對(duì)所述監(jiān)控結(jié)果和所述識(shí)別結(jié)果進(jìn)行處理還包括: 將所述監(jiān)控結(jié)果反饋通知用戶后由用戶進(jìn)行惡意行為的處理或在獲得用戶的授權(quán)后對(duì)所述惡意行為進(jìn)攔截�����; 將所述識(shí)別結(jié)果反饋給用戶�����,由用戶進(jìn)行惡意行為的處理����。
【文檔編號(hào)】G06F21/56GK104462973SQ201410803734
【公開(kāi)日】2015年3月25日 申請(qǐng)日期:2014年12月18日 優(yōu)先權(quán)日:2014年12月18日
【發(fā)明者】朱為朋, 王贊 申請(qǐng)人:上海斐訊數(shù)據(jù)通信技術(shù)有限公司