基于导向性符号的移动终端恶意行为的检测方法及系统的制作方法
基于导向性符号的移动终端恶意行为的检测方法及系统的制作方法
【技术领域】
[0001] 本发明涉及一种恶意行为搜索方法及系统,特别是涉及一种基于导向性符号的移 动终端恶意行为的检测方法及系统。
【背景技术】
[0002] 随着移动终端的不断发展与普及,其已经成为人们日常生活不可或缺的部分。人 们通过移动终端进行网络连接的操作越来越频繁。与此同时,一些恶意分子开发自动访问 程序来自动地在移动终端上进行恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统 破坏、诱骗欺诈、流氓行为等自动化恶意行为。因此,针对恶意行为的检测越来越迫在眉睫。
[0003] 现有技术中,如申请号为201310394868.X、发明名称为《一种检测恶意行为的方法 及装置》的中国发明专利公开一种检测恶意行为的方法,所述方法包括:接收终端待执行的 操作的操作请求消息,所述操作请求消息中携带用户的用户标识和所述待执行的操作的操 作标识;根据所述用户标识,从已存储的用户标识与操作路径的对应关系中获取对应的操 作路径,所述操作路径是由所述终端在离当前时间最近的预设时间段之内已执行的操作的 操作标识构成的;在所述操作路径包括的最后一个操作标识之后串联所述待执行的操作的 操作标识,构成所述待执行的操作当前所在的操作路径;根据已存储的恶意操作路径集合 和所述待执行的操作当前所在的操作路径,判断所述待执行的操作是否为恶意行为。
[0004] 然而,现有的恶意行为检测方法操作较为复杂,导致检测时间过长,且检测结果的 准确度不高。
[0005] 符号执行(SymbolicExecution)是一种程序分析技术,其通过将程序实际输入替 换为符号输入,将程序运行状态表示为符号输入的约束条件,并利用该约束条件遍历软件 所有执行路径。由于符号执行技术具有最大遍历软件行为的能力、以及代码覆盖面大等特 点,因此能够用于检测软件恶意行为。
[0006] 但是,符号执行技术具有可扩展性差、执行时间长等制约,不能快速的分析应用行 为。因此需要对该技术进行改进以满足移动终端应用程序分析的需要。
【发明内容】
[0007] 鉴于以上所述现有技术的缺点,本发明的目的在于提供一种基于导向性符号的移 动终端恶意行为的检测方法及系统,对移动终端上应用程序进行基于导向性符号的恶意行 为搜索,从而能够快速的对应用程序行为进行分析,将遗漏应用程序恶意行为的风险降到 最低。
[0008] 为实现上述目的及其他相关目的,本发明提供一种基于导向性符号的移动终端恶 意行为的检测方法及系统,包括应用程序预处理模块、应用程序依赖图构建模块、敏感信息 标记模块、敏感信息传播模块、导引信息提取模块、符号化执行模块和检测模块;所述应用 程序预处理模块用于在应用程序安装时,对应用程序进行预处理,以获取应用程序的相关 信息;所述应用程序依赖图构建模块用于构建应用程序权限的依赖关系;所述敏感信息标 记模块用于标记应用程序行为的敏感信息;所述敏感信息传播模块用于传播应用程序的敏 感信息;所述导引信息提取模块用于将传播的敏感信息按类引导到相应的特征和行为权 限;所述符号化执行模块用于将传播的敏感信息与恶意节点二叉树中的相似节点进行对 比,并分析此恶意节点下的所有子类,其中恶意节点二叉树通过二叉树的形式对恶意行为 进行逐层描述,每个恶意节点表示恶意行为的系统预配置的信息;检测模块用于在应用程 序行为的敏感信息与系统预配置的信息相同时,判断应用程序行为是恶意行为。
[0009] 根据上述的基于导向性符号的移动终端恶意行为的检测系统,其中:通过活动管 理服务和包管理服务对应用程序进行预处理;所述应用程序的相关信息包括应用程序的交 互信息、活动组件、服务组件、接收器组件和内容提供组件。
[0010] 根据上述的基于导向性符号的移动终端恶意行为的检测系统,其中:所述敏感信 息包括隐私信息、恶意扣费信息和系统破坏信息。
[0011] 根据上述的基于导向性符号的移动终端恶意行为的检测系统,其中:所述恶意节 点二叉树的恶意节点的系统预配置的信息包括恶意行为的特征和行为权限。
[0012] 进一步地,根据上述的基于导向性符号的移动终端恶意行为的检测系统,其中:所 述恶意行为的特征包括移动终端的IMEI、电话号码、设备序列号、短信、图片、位置信息、通 讯记录、录音和聊天记录;所述恶意行为的行为权限包括申请移动终端的上网权限、文件读 写权限、位置权限、打开移动数据流量权限。
[0013] 同时,本发明还提供一种基于导向性符号的移动终端恶意行为的检测方法,包括 以下步骤:
[0014] 步骤S1、在应用程序安装时,对应用程序进行预处理,以获取应用程序的相关信 息;
[0015] 步骤S2、构建应用程序权限的依赖关系;
[0016] 步骤S3、标记应用程序行为的敏感信息;
[0017] 步骤S4、传播应用程序的敏感信息;
[0018] 步骤S5、将传播的敏感信息按类引导到相应的特征和行为权限;
[0019] 步骤S6、将传播的敏感信息与恶意节点二叉树中的相似节点进行对比,并分析此 恶意节点下的所有子类,其中恶意节点二叉树通过二叉树的形式对恶意行为进行逐层描 述,每个恶意节点表示恶意行为的系统预配置的信息;
[0020] 步骤S7、在应用程序行为的敏感信息与系统预配置的信息相同时,判断应用程序 行为是恶意行为。
[0021] 根据上述的基于导向性符号的移动终端恶意行为的检测方法,其中:所述步骤S1 中,通过活动管理服务和包管理服务对应用程序进行预处理;所述应用程序的相关信息包 括应用程序的交互信息、活动组件、服务组件、接收器组件和内容提供组件。
[0022] 根据上述的基于导向性符号的移动终端恶意行为的检测方法,其中:所述敏感信 息包括隐私信息、恶意扣费信息和系统破坏信息。
[0023] 根据上述的基于导向性符号的移动终端恶意行为的检测方法,其中:所述步骤S6 中,所述恶意节点二叉树的恶意节点的系统预配置的信息包括恶意行为的特征和行为权 限。
[0024] 进一步地,根据上述的基于导向性符号的移动终端恶意行为的检测方法,其中:所 述恶意行为的特征包括移动终端的IMEI、电话号码、设备序列号、短信、图片、位置信息、通 讯记录、录音和聊天记录;所述恶意行为的行为权限包括申请移动终端的上网权限、文件读 写权限、位置权限、打开移动数据流量权限。
[0025] 如上所述,本发明的基于导向性符号的移动终端恶意行为的检测方法及系统,具 有以下有益效果:
[0026] (1)对符号执行技术进行改进,引入导向性符号执行技术,使符号执行技术有很大 的扩展性;
[0027] (2)大幅缩短恶意行为检测过程的耗时;
[0028] (3)将遗漏应用程序恶意行为的风险降到最低。
【附图说明】
[0029]图1显示为本发明的基于导向性符号的移动终端恶意行为的搜索系统的结构示 意图;
[0030] 图2显示为本发明的恶意节点二叉树的一个优选实施例的结构示意图;
[0031] 图3显示为本发明的恶意节点二叉树的另一个优选实施例的结构示意图;
[0032] 图4显示为本发明的基于导向性符号的移动终端恶意行为的搜索方法的流程图。
[0033] 元件标号说明
[0034] 1 应用程序预处理模块
[0035] 2 应用程序依赖图构建模块
[0036] 3 敏感信息标记模块
[0037] 4 敏感信息传播模块
[0038]5 导引信息提取模块
[0039] 6 符号化执行模块
[0040] 7 检测模块
【具体实施方式】
[0041] 以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书 所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实 施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离 本发明的精神下进行各种修饰或改变。
[0042] 需要说明的是,本实施例中所提供的图示仅以示意方式说明本发明的基本构想, 遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘 制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可 能更为复杂。
[0043] 需要说明的是,本发明中所涉及的移动终端包括并不限于智能手机、平板电脑、 PDA,以及其他具有数据处理功能的终端设备。通常,移动终端是指具有独立的操作系统,可 以由用户自行安装软件、游戏等第三方服务商提供的程序,通过此类程序来不断对终端设 备的功能进行扩充,并可以通过移动通讯网络来实现无线网络接入的这样一类终端设备。 [0044] 本发明的基于导向性符号的移动终端恶意行为的搜索系统及方法采用导向性符 号优化符号执行过程,通过导向性方案,使得在对标记信息进行符号化搜索时,能够限制遍 历的空间,从而减少搜索路径。在Linux系统内核层,构建导向二叉树模型,对 恶意行为传 播途径进行行为约束;并根据恶意行为特点,设置导向恶意节点,对这个恶意节点再进行恶 意行为二分,以此类推,把每个节点的恶意行为,全部用二叉树的形式进行表示出来。在应 用程序的敏感信息标记行为传播过程中,通过对比内核中的相似节点,分析此节点下的所 有子类,从而有效的减少遍历时间和检测重复度,以此减少恶意行为的分析时间,进而提高 检测的效率,将遗漏应用程序的恶意行为风险降到最低。
[0045] 具体地,内核的行为导向约束中,恶意节点为恶意行为分类的总节点,对不断出现 的新的恶意行为,以行为划分,增加到不同的子类中,从而使恶意行为可以不断扩展细化。 在进行恶意行为的定位时,如果不能直接定位到类似的恶意节点,则根据行为再定位上一 层的恶意节点中,在这个恶意节点的下面所有子类进行恶意行为检测,以此达到全面快速 有效的分析结果。
[0046] 参照图1,本发明的基于导向性符号的移动终端恶意行为的检测系统包括应用程 序预处理模块1、应用程序依赖图构建模块2、敏感信息标记模块3、敏感信息传播模块4、导 引信息提取模块5、符号化执行模块6和检测模块7。
[0047] 应用程序预处理模块1用于在应用程序安装时,对应用程序进行预处理,以获取 应用程序的相关信息。具体地,对应用程序进行预处理,主要用到下面二个服务:活动管理 服务(ActivityManagerService)和包管理服务(PackageMangerService)。在程序进行安 装时,上述二个服务同时对程序进行检测,其中活动管理服务管理应用程序的交互信息,包 管理服务主要收集应用程序的活动组件、服务组件、接收器组件、内容提供组件等,从而对 收集到的应用程序的交互信息和其他信息等相关信息一起进行归类处理,即对信息进行行 为约束预处理。
[0048] 应用程序依赖图构建模块2用于构建应用程序权限的依赖关系。具体地,在应用 程序安装时,活动管理服务会收集到应用程序的所有权限状态信息,并保存起来。在应用程 序所使用的这些权限中,应用程序依赖图构建模块2主要是对收集的权限进行判断,构建 应用程序权限的依赖关系。
[0049] 具体地,应用程序要上网,依赖的权限包括如下:
[0050] android,permission.ACCESS_NETWORK_STATE,表示允许程序访问有关GSM网络 信息;
[0051] android,permission.ACCESS_WIFI_STATE,表示允许程序访问Wi-Fi网络状态信 息;
[0052] android,permission.CHANGE_NETTORK_STATE,表示允许程序改变网络连接状 态;
[0053] android,permission.CHANGE_WIFI_STATE,表示允许程序改变Wi-Fi连接状态;
[0054] android,permission.INTERNET,表示允许程序打开网络套接字;
[0055] android,permission.WAKE_L0CK,表不允许使用PowerManager的WakeLocks保持 进程在休眠时从屏幕消失;
[0056] android,permission.WRITE_EXTERNAL_STORAGE,表示往SDCard写入数据权限。
[0057] 在这些权限中,有很多是共用的权利。例如,写入SD卡数据,在下载数据、在录音 时、在拍照时等等都会用到。这些权限相互依赖,造就应用程序的依赖图。
[0058] 敏感信息标记模块3用于标记应用程序行为的敏感信息。其中敏感信息包括有隐 私信息,如短信、联系人、数字证书、密码、相册、密钥、位置定位等等;恶意扣费信息,如后台 跑流量、自动打电话、自动发送短信等;系统破坏信息,如自动创建大量文件、修改系统源文 件等等。
[0059] 敏感信息传播模块4用于传播应用程序的敏感信息。例如,隐私信息通过网络进 行扩散,通过后台进行网络传输,或者将隐私信息打包通过内置邮件发送等;通过程序发送 扣费短信、后台自动打电话、自动下载应用等信息。
[0060] 导引信息提取模块5用于将传播的敏感信息按类引导到相应的特征和行为权限。 在应用程序安装时收集的应用程序的相关信息是按类处理,相应的权限依赖是按关系处 理。提取引导信息主要由活动管理服务进行处理。
[0061] 符号化执行模块6用于将传播的敏感信息与恶意节点二叉树中的相似节点进行 对比,并分析此恶意节点下的所有子类,其中恶意节点二叉树通过二叉树的形式对恶意行 为进行逐层描述,每个恶意节点表示恶意行为的系统预配置的信息。
[0062] 具体地,本发明提出一种基于符号执行二叉树的概念。在Linux系统内核层, 在Linux内核层构建符号二叉树模型监视器,对恶意传播途径进行行为约束、监视;并在 framework层对,根据行为特点,设置导向恶意节点,对这个恶意节点再进行恶意行为二分, 以此类推,把每个节点的恶意行为,全部用二叉树的形式进行所示出来。
[0063] 如图2所示,在层数为k的二叉树中,恶意节点的个数最多为2k'其中每一个节点 对应一个约束条件。设定第k层的第i个节点所对应的约束条件为nki。
[0064] 除第一层节点外,每个节点都有父节点。子节点为父节点的子类,包括左子节点和 右子节点。在遍历时,根据父节点和子节点的关系,快速进行查找。
[0065] Linux系统framework层安装有一个恶意程序权限使用特征集,用于存放现有的 恶意行为的特征和行为权限。如:移动终端的IMEI、电话号码、设备序列号、短信、图片、位 置信息、通讯记录、录音、聊天记录等等特征;申请移动终端的上网权限、文件读写权限、位 置权限、打开移动数据流量权限等行为权限。这些行为和特征一起作为系统预配置的信息。
[0066] 检测模块7用于在应用程序行为的敏感信息与系统预配置的信息相同时,判断应 用程序行为是恶意行为。
[0067] 例如,在图3模型中,设定层数为4层。现有技术所采用的遍历执行顺序依次为:
[0068] nl->n21->n31->n41 ;
[0069] nl->n21->n31->n42 ;
[0070]nl->n21->n32->n44;
[0071]nl->n21->n32->n44;
[0072] ......
[0073]nl->n22->n34->n48;
[0074] 由上可知,遍历是在左子图中先一步步进行遍历扫描,扫描耗时长;但如果在一定 的时间内进行遍历,左子图因数据多而不能遍历右子图,这样会导致遍历不全面,造成应用 的行为分析不全面的问题。
[0075]使用本发明的基于导向性符号的移动终端恶意行为的检测方案时,将应用程序的 每一步的行为都进行分类,根据相应的子类选择进行导向性遍历,如果应用的恶意行为与n34相类似,则可以直接选择到n34,则根据选择,遍历n34下面的所有子类,如果有一样的行 为,则判断是恶意行为,如果没有一样的行为,则说明不是恶意行为。具体地,遍历的路径 为:
[0076] nl->n22->n34->n47 ;
[0077] nl->n21->n34->n48 ;
[0078] 因此,在现有的二叉树遍历方法中,要从左子图一步一步向右进行遍历,遍历的时 间长,分析n34的行为,要一共进行8次;而利用导向性符号,只须要2步就可以对n34进行 对应的分析,可以大幅度的减少耗时。
[0079] 具体地,采用以下代码来实现本发明的基于导向性符号的移动终端恶意行为的搜 索:
[0081]
[0082] 参照图4,本发明的基于导向性符号的移动终端恶意行为的搜索方法包括以下步 骤:
[0083] 步骤S1、在应用程序安装时,对应用程序进行预处理,以获取应用程序的相关信 息。
[0084] 具体地,对应用程序进行预处理,主要用到下面二个服务:活动管理服务 (ActivityManagerService)和包管理服务(PackageMangerService)。在程序进行安装时, 上述二个服务同时对程序进行检测,其中活动管理服务管理应用程序的交互信息,包管理 服务主要收集应用程序的活动组件、服务组件、接收器组件、内容提供组件等,从而对收集 到的应用程序的交互信息和其他信息等相关信息一起进行归类处理,即对信息进行行为约 束预处理。
[0085] 步骤S2、构建应用程序权限的依赖关系。
[0086] 具体地,在应用程序安装时,活动管理服务会收集到应用程序的所有权限状态信 息,并保存起来。在应用程序所使用的这些权限中,应用程序依赖图构建模块主要是对收集 的权限进行判断,构建应用程序权限的依赖关系。
[0087] 具体地,应用程序要上网,依赖的权限包括如下:
[0088] android,permission .ACCESS_NETTORK_STATE,表示允许程序访问有关GSM网络 信息;
[0089] android,permission.ACCESS_WIFI_STATE,表示允许程序访问Wi-Fi网络状态信 息;
[0090] android,permission.CHANGE_NETWORK_STATE,表示允许程序改变网络连接状 态;
[0091] android,permission.CHANGE_WIFI_STATE,表示允许程序改变Wi-Fi连接状态;
[0092] android,permission.INTERNET,表示允许程序打开网络套接字;
[0093] android,permission.WAKE_L0CK,表不允许使用PowerManager的WakeLocks保持 进程在休眠时从屏幕消失;
[0094] android,permission.WRITE_EXTERNAL_STORAGE,表示往SDCard写入数据权限。
[0095] 在这些权限中,有很多是共用的权利。例如,写入SD卡数据,在下载数据、在录音 时、在拍照时等等都会用到。这些权限相互依赖,造就应用程序的依赖图。
[0096] 步骤S3、标记应用程序行为的敏感信息。
[0097] 其中敏感信息包括有隐私信息,如短信、联系人、数字证书、密码、相册、密钥、位置 定位等等;恶意扣费信息,如后台跑流量、自动打电话、自动发送短信等;系统破坏信息,如 自动创建大量文件、修改系统源文件等等。
[0098] 步骤S4、传播应用程序的敏感信息。
[0099] 具体地,隐私信息通过网络进行扩散,通过后台进行网络传输,或者将隐私信息打 包通过内置邮件发送等;通过程序发送扣费短信、后台自动打电话、自动下载应用等信息。
[0100] 步骤S5、将传播的敏感信息按类引导到相应的特征和行为权限。
[0101] 步骤S6、将传播的敏感信息与恶意节点二叉树中的相似节点进行对比,并分析此 恶意节点下的所有子类,其中恶意节点二叉树通过二叉树的形式对恶意行为进行逐层描 述,每个恶意节点表示恶意行为的系统预配置的信息。
[0102] 具体地,本发明提出一种基于符号执行二叉树的概念。在Linux系统内核层, 在Linux内核层构建符号二叉树模型监视器,对恶意传播途径进行行为约束、监视;并在 framework层对,根据行为特点,设置导向恶意节点,对这个恶意节点再进行恶意行为二分, 以此类推,把每个节点的恶意行为,全部用二叉树的形式进行所示出来。
[0103] 在层数为k的二叉树中,恶意节点的个数最多为2k_i,其中每一个节点对应一个约 束条件。设定第k层的第i个节点所对应的约束条件为nki。
[0104] 除第一层节点外,每个节点都有父节点。子节点为父节点的子类,包括左子节点和 右子节点。在遍历时,根据父节点和子节点的关系,快速进行查找。
[0105] Linux系统framework层安装有一个恶意程序权限使用特征集,用于存放现有的 恶意行为的特征和行为。如:移动终端的IMEI、电话号码、设备序列号、短信、图片、位置信 息、通讯记录、录音、聊天记录等等特征;申请移动终端的上网权限、文件读写权限、位置权 限、打开移动数据流量权限等行为权限。这些行为和特征一起作为系统预配置的信息。
[0106] 步骤S7、在应用程序行为的敏感信息与系统预配置的信息相同时,判断应用程序 行为是恶意行为。
[0107] 综上所述,本发明的基于导向性符号的移动终端恶意行为的检测方法及系统对符 号执行技术进行改进,引入导向性符号执行技术,使符号执行技术有很大的扩展性;大幅缩 短恶意行为检测过程的耗时;将遗漏应用程序恶意行为的风险降到最低。所以,本发明有效 克服了现有技术中的种种缺点而具高度产业利用价值。
[0108] 上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟 悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因 此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完 成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
【主权项】
1. 一种基于导向性符号的移动终端恶意行为的检测系统,其特征在于:包括应用程序 预处理模块、应用程序依赖图构建模块、敏感信息标记模块、敏感信息传播模块、导引信息 提取模块、符号化执行模块和检测模块; 所述应用程序预处理模块用于在应用程序安装时,对应用程序进行预处理,以获取应 用程序的相关信息; 所述应用程序依赖图构建模块用于构建应用程序权限的依赖关系; 所述敏感信息标记模块用于标记应用程序行为的敏感信息; 所述敏感信息传播模块用于传播应用程序的敏感信息; 所述导引信息提取模块用于将传播的敏感信息按类引导到相应的特征和行为权限; 所述符号化执行模块用于将传播的敏感信息与恶意节点二叉树中的相似节点进行对 比,并分析此恶意节点下的所有子类,其中恶意节点二叉树通过二叉树的形式对恶意行为 进行逐层描述,每个恶意节点表示恶意行为的系统预配置的信息; 检测模块用于在应用程序行为的敏感信息与系统预配置的信息相同时,判断应用程序 行为是恶意行为。2. 根据权利要求1所述的基于导向性符号的移动终端恶意行为的检测系统,其特征在 于:通过活动管理服务和包管理服务对应用程序进行预处理;所述应用程序的相关信息包 括应用程序的交互信息、活动组件、服务组件、接收器组件和内容提供组件。3. 根据权利要求1所述的基于导向性符号的移动终端恶意行为的检测系统,其特征在 于:所述敏感信息包括隐私信息、恶意扣费信息和系统破坏信息。4. 根据权利要求1所述的基于导向性符号的移动终端恶意行为的检测系统,其特征 在于:所述恶意节点二叉树的恶意节点的系统预配置的信息包括恶意行为的特征和行为权 限。5. 根据权利要求4所述的基于导向性符号的移动终端恶意行为的检测系统,其特征在 于:所述恶意行为的特征包括移动终端的IMEI、电话号码、设备序列号、短信、图片、位置信 息、通讯记录、录音和聊天记录;所述恶意行为的行为权限包括申请移动终端的上网权限、 文件读写权限、位置权限、打开移动数据流量权限。6. -种基于导向性符号的移动终端恶意行为的检测方法,其特征在于:包括以下步 骤: 步骤S1、在应用程序安装时,对应用程序进行预处理,以获取应用程序的相关信息; 步骤S2、构建应用程序权限的依赖关系; 步骤S3、标记应用程序行为的敏感信息; 步骤S4、传播应用程序的敏感信息; 步骤S5、将传播的敏感信息按类引导到相应的特征和行为权限; 步骤S6、将传播的敏感信息与恶意节点二叉树中的相似节点进行对比,并分析此恶意 节点下的所有子类,其中恶意节点二叉树通过二叉树的形式对恶意行为进行逐层描述,每 个恶意节点表示恶意行为的系统预配置的信息; 步骤S7、在应用程序行为的敏感信息与系统预配置的信息相同时,判断应用程序行为 是恶意彳丁为。7. 根据权利要求6所述的基于导向性符号的移动终端恶意行为的检测方法,其特征 在于:所述步骤Si中,通过活动管理服务和包管理服务对应用程序进行预处理;所述应用 程序的相关信息包括应用程序的交互信息、活动组件、服务组件、接收器组件和内容提供组 件。8. 根据权利要求6所述的基于导向性符号的移动终端恶意行为的检测方法,其特征在 于:所述敏感信息包括隐私信息、恶意扣费信息和系统破坏信息。9. 根据权利要求6所述的基于导向性符号的移动终端恶意行为的检测方法,其特征在 于:所述步骤S6中,所述恶意节点二叉树的恶意节点的系统预配置的信息包括恶意行为的 特征和行为权限。10. 根据权利要求9所述的基于导向性符号的移动终端恶意行为的检测方法,其特征 在于:所述恶意行为的特征包括移动终端的IMEI、电话号码、设备序列号、短信、图片、位置 信息、通讯记录、录音和聊天记录;所述恶意行为的行为权限包括申请移动终端的上网权 限、文件读写权限、位置权限、打开移动数据流量权限。
【专利摘要】本发明提供一种基于导向性符号的移动终端恶意行为的检测方法及系统,包括应用程序预处理模块、应用程序依赖图构建模块、敏感信息标记模块、敏感信息传播模块、导引信息提取模块、符号化执行模块和检测模块;通过将应用程序行为的敏感信息与恶意节点二叉树中的相似节点进行对比,并分析此恶意节点下的所有子类,并在应用程序行为的敏感信息与系统预配置的信息相同时,判断应用程序行为是恶意行为。本发明的基于导向性符号的移动终端恶意行为的检测方法及系统对符号执行技术进行改进,引入导向性符号执行技术,使符号执行技术有很大的扩展性;大幅缩短恶意行为检测过程的耗时;将遗漏应用程序恶意行为的风险降到最低。
【IPC分类】G06F21/52, G06F21/56, G06F21/55
【公开号】CN104899514
【申请号】CN201510335114
【发明人】朱为朋
【申请人】上海斐讯数据通信技术有限公司
【公开日】2015年9月9日
【申请日】2015年6月17日
【技术领域】
[0001] 本发明涉及一种恶意行为搜索方法及系统,特别是涉及一种基于导向性符号的移 动终端恶意行为的检测方法及系统。
【背景技术】
[0002] 随着移动终端的不断发展与普及,其已经成为人们日常生活不可或缺的部分。人 们通过移动终端进行网络连接的操作越来越频繁。与此同时,一些恶意分子开发自动访问 程序来自动地在移动终端上进行恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统 破坏、诱骗欺诈、流氓行为等自动化恶意行为。因此,针对恶意行为的检测越来越迫在眉睫。
[0003] 现有技术中,如申请号为201310394868.X、发明名称为《一种检测恶意行为的方法 及装置》的中国发明专利公开一种检测恶意行为的方法,所述方法包括:接收终端待执行的 操作的操作请求消息,所述操作请求消息中携带用户的用户标识和所述待执行的操作的操 作标识;根据所述用户标识,从已存储的用户标识与操作路径的对应关系中获取对应的操 作路径,所述操作路径是由所述终端在离当前时间最近的预设时间段之内已执行的操作的 操作标识构成的;在所述操作路径包括的最后一个操作标识之后串联所述待执行的操作的 操作标识,构成所述待执行的操作当前所在的操作路径;根据已存储的恶意操作路径集合 和所述待执行的操作当前所在的操作路径,判断所述待执行的操作是否为恶意行为。
[0004] 然而,现有的恶意行为检测方法操作较为复杂,导致检测时间过长,且检测结果的 准确度不高。
[0005] 符号执行(SymbolicExecution)是一种程序分析技术,其通过将程序实际输入替 换为符号输入,将程序运行状态表示为符号输入的约束条件,并利用该约束条件遍历软件 所有执行路径。由于符号执行技术具有最大遍历软件行为的能力、以及代码覆盖面大等特 点,因此能够用于检测软件恶意行为。
[0006] 但是,符号执行技术具有可扩展性差、执行时间长等制约,不能快速的分析应用行 为。因此需要对该技术进行改进以满足移动终端应用程序分析的需要。
【发明内容】
[0007] 鉴于以上所述现有技术的缺点,本发明的目的在于提供一种基于导向性符号的移 动终端恶意行为的检测方法及系统,对移动终端上应用程序进行基于导向性符号的恶意行 为搜索,从而能够快速的对应用程序行为进行分析,将遗漏应用程序恶意行为的风险降到 最低。
[0008] 为实现上述目的及其他相关目的,本发明提供一种基于导向性符号的移动终端恶 意行为的检测方法及系统,包括应用程序预处理模块、应用程序依赖图构建模块、敏感信息 标记模块、敏感信息传播模块、导引信息提取模块、符号化执行模块和检测模块;所述应用 程序预处理模块用于在应用程序安装时,对应用程序进行预处理,以获取应用程序的相关 信息;所述应用程序依赖图构建模块用于构建应用程序权限的依赖关系;所述敏感信息标 记模块用于标记应用程序行为的敏感信息;所述敏感信息传播模块用于传播应用程序的敏 感信息;所述导引信息提取模块用于将传播的敏感信息按类引导到相应的特征和行为权 限;所述符号化执行模块用于将传播的敏感信息与恶意节点二叉树中的相似节点进行对 比,并分析此恶意节点下的所有子类,其中恶意节点二叉树通过二叉树的形式对恶意行为 进行逐层描述,每个恶意节点表示恶意行为的系统预配置的信息;检测模块用于在应用程 序行为的敏感信息与系统预配置的信息相同时,判断应用程序行为是恶意行为。
[0009] 根据上述的基于导向性符号的移动终端恶意行为的检测系统,其中:通过活动管 理服务和包管理服务对应用程序进行预处理;所述应用程序的相关信息包括应用程序的交 互信息、活动组件、服务组件、接收器组件和内容提供组件。
[0010] 根据上述的基于导向性符号的移动终端恶意行为的检测系统,其中:所述敏感信 息包括隐私信息、恶意扣费信息和系统破坏信息。
[0011] 根据上述的基于导向性符号的移动终端恶意行为的检测系统,其中:所述恶意节 点二叉树的恶意节点的系统预配置的信息包括恶意行为的特征和行为权限。
[0012] 进一步地,根据上述的基于导向性符号的移动终端恶意行为的检测系统,其中:所 述恶意行为的特征包括移动终端的IMEI、电话号码、设备序列号、短信、图片、位置信息、通 讯记录、录音和聊天记录;所述恶意行为的行为权限包括申请移动终端的上网权限、文件读 写权限、位置权限、打开移动数据流量权限。
[0013] 同时,本发明还提供一种基于导向性符号的移动终端恶意行为的检测方法,包括 以下步骤:
[0014] 步骤S1、在应用程序安装时,对应用程序进行预处理,以获取应用程序的相关信 息;
[0015] 步骤S2、构建应用程序权限的依赖关系;
[0016] 步骤S3、标记应用程序行为的敏感信息;
[0017] 步骤S4、传播应用程序的敏感信息;
[0018] 步骤S5、将传播的敏感信息按类引导到相应的特征和行为权限;
[0019] 步骤S6、将传播的敏感信息与恶意节点二叉树中的相似节点进行对比,并分析此 恶意节点下的所有子类,其中恶意节点二叉树通过二叉树的形式对恶意行为进行逐层描 述,每个恶意节点表示恶意行为的系统预配置的信息;
[0020] 步骤S7、在应用程序行为的敏感信息与系统预配置的信息相同时,判断应用程序 行为是恶意行为。
[0021] 根据上述的基于导向性符号的移动终端恶意行为的检测方法,其中:所述步骤S1 中,通过活动管理服务和包管理服务对应用程序进行预处理;所述应用程序的相关信息包 括应用程序的交互信息、活动组件、服务组件、接收器组件和内容提供组件。
[0022] 根据上述的基于导向性符号的移动终端恶意行为的检测方法,其中:所述敏感信 息包括隐私信息、恶意扣费信息和系统破坏信息。
[0023] 根据上述的基于导向性符号的移动终端恶意行为的检测方法,其中:所述步骤S6 中,所述恶意节点二叉树的恶意节点的系统预配置的信息包括恶意行为的特征和行为权 限。
[0024] 进一步地,根据上述的基于导向性符号的移动终端恶意行为的检测方法,其中:所 述恶意行为的特征包括移动终端的IMEI、电话号码、设备序列号、短信、图片、位置信息、通 讯记录、录音和聊天记录;所述恶意行为的行为权限包括申请移动终端的上网权限、文件读 写权限、位置权限、打开移动数据流量权限。
[0025] 如上所述,本发明的基于导向性符号的移动终端恶意行为的检测方法及系统,具 有以下有益效果:
[0026] (1)对符号执行技术进行改进,引入导向性符号执行技术,使符号执行技术有很大 的扩展性;
[0027] (2)大幅缩短恶意行为检测过程的耗时;
[0028] (3)将遗漏应用程序恶意行为的风险降到最低。
【附图说明】
[0029]图1显示为本发明的基于导向性符号的移动终端恶意行为的搜索系统的结构示 意图;
[0030] 图2显示为本发明的恶意节点二叉树的一个优选实施例的结构示意图;
[0031] 图3显示为本发明的恶意节点二叉树的另一个优选实施例的结构示意图;
[0032] 图4显示为本发明的基于导向性符号的移动终端恶意行为的搜索方法的流程图。
[0033] 元件标号说明
[0034] 1 应用程序预处理模块
[0035] 2 应用程序依赖图构建模块
[0036] 3 敏感信息标记模块
[0037] 4 敏感信息传播模块
[0038]5 导引信息提取模块
[0039] 6 符号化执行模块
[0040] 7 检测模块
【具体实施方式】
[0041] 以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书 所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实 施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离 本发明的精神下进行各种修饰或改变。
[0042] 需要说明的是,本实施例中所提供的图示仅以示意方式说明本发明的基本构想, 遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘 制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可 能更为复杂。
[0043] 需要说明的是,本发明中所涉及的移动终端包括并不限于智能手机、平板电脑、 PDA,以及其他具有数据处理功能的终端设备。通常,移动终端是指具有独立的操作系统,可 以由用户自行安装软件、游戏等第三方服务商提供的程序,通过此类程序来不断对终端设 备的功能进行扩充,并可以通过移动通讯网络来实现无线网络接入的这样一类终端设备。 [0044] 本发明的基于导向性符号的移动终端恶意行为的搜索系统及方法采用导向性符 号优化符号执行过程,通过导向性方案,使得在对标记信息进行符号化搜索时,能够限制遍 历的空间,从而减少搜索路径。在Linux系统内核层,构建导向二叉树模型,对 恶意行为传 播途径进行行为约束;并根据恶意行为特点,设置导向恶意节点,对这个恶意节点再进行恶 意行为二分,以此类推,把每个节点的恶意行为,全部用二叉树的形式进行表示出来。在应 用程序的敏感信息标记行为传播过程中,通过对比内核中的相似节点,分析此节点下的所 有子类,从而有效的减少遍历时间和检测重复度,以此减少恶意行为的分析时间,进而提高 检测的效率,将遗漏应用程序的恶意行为风险降到最低。
[0045] 具体地,内核的行为导向约束中,恶意节点为恶意行为分类的总节点,对不断出现 的新的恶意行为,以行为划分,增加到不同的子类中,从而使恶意行为可以不断扩展细化。 在进行恶意行为的定位时,如果不能直接定位到类似的恶意节点,则根据行为再定位上一 层的恶意节点中,在这个恶意节点的下面所有子类进行恶意行为检测,以此达到全面快速 有效的分析结果。
[0046] 参照图1,本发明的基于导向性符号的移动终端恶意行为的检测系统包括应用程 序预处理模块1、应用程序依赖图构建模块2、敏感信息标记模块3、敏感信息传播模块4、导 引信息提取模块5、符号化执行模块6和检测模块7。
[0047] 应用程序预处理模块1用于在应用程序安装时,对应用程序进行预处理,以获取 应用程序的相关信息。具体地,对应用程序进行预处理,主要用到下面二个服务:活动管理 服务(ActivityManagerService)和包管理服务(PackageMangerService)。在程序进行安 装时,上述二个服务同时对程序进行检测,其中活动管理服务管理应用程序的交互信息,包 管理服务主要收集应用程序的活动组件、服务组件、接收器组件、内容提供组件等,从而对 收集到的应用程序的交互信息和其他信息等相关信息一起进行归类处理,即对信息进行行 为约束预处理。
[0048] 应用程序依赖图构建模块2用于构建应用程序权限的依赖关系。具体地,在应用 程序安装时,活动管理服务会收集到应用程序的所有权限状态信息,并保存起来。在应用程 序所使用的这些权限中,应用程序依赖图构建模块2主要是对收集的权限进行判断,构建 应用程序权限的依赖关系。
[0049] 具体地,应用程序要上网,依赖的权限包括如下:
[0050] android,permission.ACCESS_NETWORK_STATE,表示允许程序访问有关GSM网络 信息;
[0051] android,permission.ACCESS_WIFI_STATE,表示允许程序访问Wi-Fi网络状态信 息;
[0052] android,permission.CHANGE_NETTORK_STATE,表示允许程序改变网络连接状 态;
[0053] android,permission.CHANGE_WIFI_STATE,表示允许程序改变Wi-Fi连接状态;
[0054] android,permission.INTERNET,表示允许程序打开网络套接字;
[0055] android,permission.WAKE_L0CK,表不允许使用PowerManager的WakeLocks保持 进程在休眠时从屏幕消失;
[0056] android,permission.WRITE_EXTERNAL_STORAGE,表示往SDCard写入数据权限。
[0057] 在这些权限中,有很多是共用的权利。例如,写入SD卡数据,在下载数据、在录音 时、在拍照时等等都会用到。这些权限相互依赖,造就应用程序的依赖图。
[0058] 敏感信息标记模块3用于标记应用程序行为的敏感信息。其中敏感信息包括有隐 私信息,如短信、联系人、数字证书、密码、相册、密钥、位置定位等等;恶意扣费信息,如后台 跑流量、自动打电话、自动发送短信等;系统破坏信息,如自动创建大量文件、修改系统源文 件等等。
[0059] 敏感信息传播模块4用于传播应用程序的敏感信息。例如,隐私信息通过网络进 行扩散,通过后台进行网络传输,或者将隐私信息打包通过内置邮件发送等;通过程序发送 扣费短信、后台自动打电话、自动下载应用等信息。
[0060] 导引信息提取模块5用于将传播的敏感信息按类引导到相应的特征和行为权限。 在应用程序安装时收集的应用程序的相关信息是按类处理,相应的权限依赖是按关系处 理。提取引导信息主要由活动管理服务进行处理。
[0061] 符号化执行模块6用于将传播的敏感信息与恶意节点二叉树中的相似节点进行 对比,并分析此恶意节点下的所有子类,其中恶意节点二叉树通过二叉树的形式对恶意行 为进行逐层描述,每个恶意节点表示恶意行为的系统预配置的信息。
[0062] 具体地,本发明提出一种基于符号执行二叉树的概念。在Linux系统内核层, 在Linux内核层构建符号二叉树模型监视器,对恶意传播途径进行行为约束、监视;并在 framework层对,根据行为特点,设置导向恶意节点,对这个恶意节点再进行恶意行为二分, 以此类推,把每个节点的恶意行为,全部用二叉树的形式进行所示出来。
[0063] 如图2所示,在层数为k的二叉树中,恶意节点的个数最多为2k'其中每一个节点 对应一个约束条件。设定第k层的第i个节点所对应的约束条件为nki。
[0064] 除第一层节点外,每个节点都有父节点。子节点为父节点的子类,包括左子节点和 右子节点。在遍历时,根据父节点和子节点的关系,快速进行查找。
[0065] Linux系统framework层安装有一个恶意程序权限使用特征集,用于存放现有的 恶意行为的特征和行为权限。如:移动终端的IMEI、电话号码、设备序列号、短信、图片、位 置信息、通讯记录、录音、聊天记录等等特征;申请移动终端的上网权限、文件读写权限、位 置权限、打开移动数据流量权限等行为权限。这些行为和特征一起作为系统预配置的信息。
[0066] 检测模块7用于在应用程序行为的敏感信息与系统预配置的信息相同时,判断应 用程序行为是恶意行为。
[0067] 例如,在图3模型中,设定层数为4层。现有技术所采用的遍历执行顺序依次为:
[0068] nl->n21->n31->n41 ;
[0069] nl->n21->n31->n42 ;
[0070]nl->n21->n32->n44;
[0071]nl->n21->n32->n44;
[0072] ......
[0073]nl->n22->n34->n48;
[0074] 由上可知,遍历是在左子图中先一步步进行遍历扫描,扫描耗时长;但如果在一定 的时间内进行遍历,左子图因数据多而不能遍历右子图,这样会导致遍历不全面,造成应用 的行为分析不全面的问题。
[0075]使用本发明的基于导向性符号的移动终端恶意行为的检测方案时,将应用程序的 每一步的行为都进行分类,根据相应的子类选择进行导向性遍历,如果应用的恶意行为与n34相类似,则可以直接选择到n34,则根据选择,遍历n34下面的所有子类,如果有一样的行 为,则判断是恶意行为,如果没有一样的行为,则说明不是恶意行为。具体地,遍历的路径 为:
[0076] nl->n22->n34->n47 ;
[0077] nl->n21->n34->n48 ;
[0078] 因此,在现有的二叉树遍历方法中,要从左子图一步一步向右进行遍历,遍历的时 间长,分析n34的行为,要一共进行8次;而利用导向性符号,只须要2步就可以对n34进行 对应的分析,可以大幅度的减少耗时。
[0079] 具体地,采用以下代码来实现本发明的基于导向性符号的移动终端恶意行为的搜 索:
[0081]
[0082] 参照图4,本发明的基于导向性符号的移动终端恶意行为的搜索方法包括以下步 骤:
[0083] 步骤S1、在应用程序安装时,对应用程序进行预处理,以获取应用程序的相关信 息。
[0084] 具体地,对应用程序进行预处理,主要用到下面二个服务:活动管理服务 (ActivityManagerService)和包管理服务(PackageMangerService)。在程序进行安装时, 上述二个服务同时对程序进行检测,其中活动管理服务管理应用程序的交互信息,包管理 服务主要收集应用程序的活动组件、服务组件、接收器组件、内容提供组件等,从而对收集 到的应用程序的交互信息和其他信息等相关信息一起进行归类处理,即对信息进行行为约 束预处理。
[0085] 步骤S2、构建应用程序权限的依赖关系。
[0086] 具体地,在应用程序安装时,活动管理服务会收集到应用程序的所有权限状态信 息,并保存起来。在应用程序所使用的这些权限中,应用程序依赖图构建模块主要是对收集 的权限进行判断,构建应用程序权限的依赖关系。
[0087] 具体地,应用程序要上网,依赖的权限包括如下:
[0088] android,permission .ACCESS_NETTORK_STATE,表示允许程序访问有关GSM网络 信息;
[0089] android,permission.ACCESS_WIFI_STATE,表示允许程序访问Wi-Fi网络状态信 息;
[0090] android,permission.CHANGE_NETWORK_STATE,表示允许程序改变网络连接状 态;
[0091] android,permission.CHANGE_WIFI_STATE,表示允许程序改变Wi-Fi连接状态;
[0092] android,permission.INTERNET,表示允许程序打开网络套接字;
[0093] android,permission.WAKE_L0CK,表不允许使用PowerManager的WakeLocks保持 进程在休眠时从屏幕消失;
[0094] android,permission.WRITE_EXTERNAL_STORAGE,表示往SDCard写入数据权限。
[0095] 在这些权限中,有很多是共用的权利。例如,写入SD卡数据,在下载数据、在录音 时、在拍照时等等都会用到。这些权限相互依赖,造就应用程序的依赖图。
[0096] 步骤S3、标记应用程序行为的敏感信息。
[0097] 其中敏感信息包括有隐私信息,如短信、联系人、数字证书、密码、相册、密钥、位置 定位等等;恶意扣费信息,如后台跑流量、自动打电话、自动发送短信等;系统破坏信息,如 自动创建大量文件、修改系统源文件等等。
[0098] 步骤S4、传播应用程序的敏感信息。
[0099] 具体地,隐私信息通过网络进行扩散,通过后台进行网络传输,或者将隐私信息打 包通过内置邮件发送等;通过程序发送扣费短信、后台自动打电话、自动下载应用等信息。
[0100] 步骤S5、将传播的敏感信息按类引导到相应的特征和行为权限。
[0101] 步骤S6、将传播的敏感信息与恶意节点二叉树中的相似节点进行对比,并分析此 恶意节点下的所有子类,其中恶意节点二叉树通过二叉树的形式对恶意行为进行逐层描 述,每个恶意节点表示恶意行为的系统预配置的信息。
[0102] 具体地,本发明提出一种基于符号执行二叉树的概念。在Linux系统内核层, 在Linux内核层构建符号二叉树模型监视器,对恶意传播途径进行行为约束、监视;并在 framework层对,根据行为特点,设置导向恶意节点,对这个恶意节点再进行恶意行为二分, 以此类推,把每个节点的恶意行为,全部用二叉树的形式进行所示出来。
[0103] 在层数为k的二叉树中,恶意节点的个数最多为2k_i,其中每一个节点对应一个约 束条件。设定第k层的第i个节点所对应的约束条件为nki。
[0104] 除第一层节点外,每个节点都有父节点。子节点为父节点的子类,包括左子节点和 右子节点。在遍历时,根据父节点和子节点的关系,快速进行查找。
[0105] Linux系统framework层安装有一个恶意程序权限使用特征集,用于存放现有的 恶意行为的特征和行为。如:移动终端的IMEI、电话号码、设备序列号、短信、图片、位置信 息、通讯记录、录音、聊天记录等等特征;申请移动终端的上网权限、文件读写权限、位置权 限、打开移动数据流量权限等行为权限。这些行为和特征一起作为系统预配置的信息。
[0106] 步骤S7、在应用程序行为的敏感信息与系统预配置的信息相同时,判断应用程序 行为是恶意行为。
[0107] 综上所述,本发明的基于导向性符号的移动终端恶意行为的检测方法及系统对符 号执行技术进行改进,引入导向性符号执行技术,使符号执行技术有很大的扩展性;大幅缩 短恶意行为检测过程的耗时;将遗漏应用程序恶意行为的风险降到最低。所以,本发明有效 克服了现有技术中的种种缺点而具高度产业利用价值。
[0108] 上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟 悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因 此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完 成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
【主权项】
1. 一种基于导向性符号的移动终端恶意行为的检测系统,其特征在于:包括应用程序 预处理模块、应用程序依赖图构建模块、敏感信息标记模块、敏感信息传播模块、导引信息 提取模块、符号化执行模块和检测模块; 所述应用程序预处理模块用于在应用程序安装时,对应用程序进行预处理,以获取应 用程序的相关信息; 所述应用程序依赖图构建模块用于构建应用程序权限的依赖关系; 所述敏感信息标记模块用于标记应用程序行为的敏感信息; 所述敏感信息传播模块用于传播应用程序的敏感信息; 所述导引信息提取模块用于将传播的敏感信息按类引导到相应的特征和行为权限; 所述符号化执行模块用于将传播的敏感信息与恶意节点二叉树中的相似节点进行对 比,并分析此恶意节点下的所有子类,其中恶意节点二叉树通过二叉树的形式对恶意行为 进行逐层描述,每个恶意节点表示恶意行为的系统预配置的信息; 检测模块用于在应用程序行为的敏感信息与系统预配置的信息相同时,判断应用程序 行为是恶意行为。2. 根据权利要求1所述的基于导向性符号的移动终端恶意行为的检测系统,其特征在 于:通过活动管理服务和包管理服务对应用程序进行预处理;所述应用程序的相关信息包 括应用程序的交互信息、活动组件、服务组件、接收器组件和内容提供组件。3. 根据权利要求1所述的基于导向性符号的移动终端恶意行为的检测系统,其特征在 于:所述敏感信息包括隐私信息、恶意扣费信息和系统破坏信息。4. 根据权利要求1所述的基于导向性符号的移动终端恶意行为的检测系统,其特征 在于:所述恶意节点二叉树的恶意节点的系统预配置的信息包括恶意行为的特征和行为权 限。5. 根据权利要求4所述的基于导向性符号的移动终端恶意行为的检测系统,其特征在 于:所述恶意行为的特征包括移动终端的IMEI、电话号码、设备序列号、短信、图片、位置信 息、通讯记录、录音和聊天记录;所述恶意行为的行为权限包括申请移动终端的上网权限、 文件读写权限、位置权限、打开移动数据流量权限。6. -种基于导向性符号的移动终端恶意行为的检测方法,其特征在于:包括以下步 骤: 步骤S1、在应用程序安装时,对应用程序进行预处理,以获取应用程序的相关信息; 步骤S2、构建应用程序权限的依赖关系; 步骤S3、标记应用程序行为的敏感信息; 步骤S4、传播应用程序的敏感信息; 步骤S5、将传播的敏感信息按类引导到相应的特征和行为权限; 步骤S6、将传播的敏感信息与恶意节点二叉树中的相似节点进行对比,并分析此恶意 节点下的所有子类,其中恶意节点二叉树通过二叉树的形式对恶意行为进行逐层描述,每 个恶意节点表示恶意行为的系统预配置的信息; 步骤S7、在应用程序行为的敏感信息与系统预配置的信息相同时,判断应用程序行为 是恶意彳丁为。7. 根据权利要求6所述的基于导向性符号的移动终端恶意行为的检测方法,其特征 在于:所述步骤Si中,通过活动管理服务和包管理服务对应用程序进行预处理;所述应用 程序的相关信息包括应用程序的交互信息、活动组件、服务组件、接收器组件和内容提供组 件。8. 根据权利要求6所述的基于导向性符号的移动终端恶意行为的检测方法,其特征在 于:所述敏感信息包括隐私信息、恶意扣费信息和系统破坏信息。9. 根据权利要求6所述的基于导向性符号的移动终端恶意行为的检测方法,其特征在 于:所述步骤S6中,所述恶意节点二叉树的恶意节点的系统预配置的信息包括恶意行为的 特征和行为权限。10. 根据权利要求9所述的基于导向性符号的移动终端恶意行为的检测方法,其特征 在于:所述恶意行为的特征包括移动终端的IMEI、电话号码、设备序列号、短信、图片、位置 信息、通讯记录、录音和聊天记录;所述恶意行为的行为权限包括申请移动终端的上网权 限、文件读写权限、位置权限、打开移动数据流量权限。
【专利摘要】本发明提供一种基于导向性符号的移动终端恶意行为的检测方法及系统,包括应用程序预处理模块、应用程序依赖图构建模块、敏感信息标记模块、敏感信息传播模块、导引信息提取模块、符号化执行模块和检测模块;通过将应用程序行为的敏感信息与恶意节点二叉树中的相似节点进行对比,并分析此恶意节点下的所有子类,并在应用程序行为的敏感信息与系统预配置的信息相同时,判断应用程序行为是恶意行为。本发明的基于导向性符号的移动终端恶意行为的检测方法及系统对符号执行技术进行改进,引入导向性符号执行技术,使符号执行技术有很大的扩展性;大幅缩短恶意行为检测过程的耗时;将遗漏应用程序恶意行为的风险降到最低。
【IPC分类】G06F21/52, G06F21/56, G06F21/55
【公开号】CN104899514
【申请号】CN201510335114
【发明人】朱为朋
【申请人】上海斐讯数据通信技术有限公司
【公开日】2015年9月9日
【申请日】2015年6月17日
最新回复(0)