• / 8
  • 下載費用:30 金幣  

基于INTENTSNIFFER的監測方法及系統.pdf

摘要
申請專利號:

CN201410501515.X

申請日:

2014.09.27

公開號:

CN104992116A

公開日:

2015.10.21

當前法律狀態:

授權

有效性:

有權

法律詳情: 授權|||著錄事項變更IPC(主分類):G06F 21/56變更事項:申請人變更前:武漢安天信息技術有限責任公司變更后:武漢安天信息技術有限責任公司變更事項:地址變更前:430000 湖北省武漢市東湖開發區光谷創業街6棟2樓變更后:430014 湖北省武漢市東湖新技術開發區花城大道8號武漢軟件新城產業三期C20號樓|||實質審查的生效IPC(主分類):G06F 21/56申請日:20140927|||公開
IPC分類號: G06F21/56(2013.01)I; G06F21/53(2013.01)I 主分類號: G06F21/56
申請人: 武漢安天信息技術有限責任公司
發明人: 李梓源; 潘宣辰
地址: 430000湖北省武漢市東湖開發區光谷創業街6棟2樓
優先權:
專利代理機構: 代理人:
PDF完整版下載: PDF下載
法律狀態
申請(專利)號:

CN201410501515.X

授權公告號:

|||||||||

法律狀態公告日:

2018.10.23|||2018.09.28|||2015.11.25|||2015.10.21

法律狀態類型:

授權|||著錄事項變更|||實質審查的生效|||公開

摘要

本發明公開了基于intent sniffer的監測方法及系統,首先,建立intent sniffer框架,獲取應用程序的隱式調用intent信息;解析所述intent信息,保留與敏感行為相關的數據;基于所述與敏感行為相關的數據識別應用程序的行為類型;獲取已知惡意軟件的行為特征,生成檢測規則并投入規則庫;與所述規則庫進行匹配,判斷所述行為類型是否與已知惡意軟件相關,若是,則通知用戶,否則結束。本發明給出的方法和系統,對于android平臺的應用程序進行動態的監測,及時發現惡意行為并通知用戶,克服了傳統方式的檢出率不高并且需要在root情況下才能執行等缺點。

權利要求書

權利要求書
1.  基于intent sniffer的監測方法,其特征在于,包括:
建立intent sniffer框架,獲取應用程序的隱式調用intent信息;
解析所述intent信息,保留與敏感行為相關的數據;
基于所述與敏感行為相關的數據識別應用程序的行為類型;
獲取已知惡意軟件的行為特征,生成檢測規則并投入規則庫;
與所述規則庫進行匹配,判斷所述行為類型是否與已知惡意軟件相關,若是,則通知用戶,否則結束。

2.  如權利要求1所述的方法,其特征在于,所述解析所述intent信息為:獲取action、data、category和/或type值。

3.  如權利要求1所述的方法,其特征在于,所述與敏感行為相關的數據包括:與電話、短信或者聯網行為相關的數據。

4.  如權利要求1所述的方法,其特征在于,所述已知惡意軟件包括:惡意扣費、隱私竊取、遠程控制、惡意傳播、資費消耗、系統破壞、誘騙軟件或者流氓行為。

5.  如權利要求1所述的方法,其特征在于,所述通知用戶包括:通過彈窗的形式將監測到的惡意軟件行為告知用戶,并提供安全操作供用戶選擇,所述安全操作包括:卸載應用,禁止發送短信或者禁止下載。

6.  基于intent sniffer的監測系統,其特征在于,包括:
intent sniffer服務模塊,用于建立intent sniffer框架,獲取應用程序的隱式調用intent信息;
intent信息解析模塊,用于解析所述intent信息,保留與敏感行為相關的數據;
行為類型識別模塊,用于基于所述與敏感行為相關的數據識別應用程序的行為類型;
檢測規則生成模塊,用于獲取已知惡意軟件的行為特征,生成檢測規則并投入規則庫;
規則庫,用于存儲檢測規則;
判定模塊,用于與所述規則庫進行匹配,判斷所述行為類型是否與已知惡意軟件相關,若是,則通知用戶,否則結束。

7.  如權利要求6所述的系統,其特征在于,所述解析所述intent信息為:獲取action、data、category和/或type值。

8.  如權利要求6所述的系統,其特征在于,所述與敏感行為相關的數據包括:與電話、短信或者聯網行為相關的數據。

9.  如權利要求6所述的系統,其特征在于,所述已知惡意軟件包括:惡意扣費、隱私竊取、遠程控制、惡意傳播、資費消耗、系統破壞、誘騙軟件或者流氓行為。

10.  如權利要求6所述的系統,其特征在于,所述通知用戶包括:通過彈窗的形式將監測到的惡意軟件行為告知用戶,并提供安全操作供用戶選擇,所述安全操作包括:卸載應用,禁止發送短信或者禁止下載。

說明書

說明書基于intent sniffer的監測方法及系統
技術領域
本發明涉及網絡安全技術領域,尤其涉及基于intent sniffer的監測方法及系統。
背景技術
近年來,隨著移動技術的蓬勃發展,以及用戶對移動設備需求的提高,以手機為代表的移動設備逐漸向智能化、多元化、高性能等方向發展。這其中,基于Linux內核的Android智能手機操作系統發展最為迅速。2007 年 11 月,Google 公布了基于 Linux 平臺的開源智能手機操作系統 Android;至 2014 年 1 月的統計,在 2013 年里 Android 手機的全球銷量為 7.812 億,占據了全球智能手機 78.9%的市場份額。
由于Android 操作系統具有PC 機的性能和開放性,傳統PC 機和因特網的安全威脅也轉移到Android 平臺上。近年來,專門針對Android 平臺的惡意軟件和間諜軟件急劇增多,其中惡意扣費、隱私竊取、系統破壞成為惡意軟件的主要危害。2010 年 8月,卡巴斯基檢測到了第一個 Android 平臺下的病毒;2014 年 3 月, F-Secure 的《2013 年下半年安全威脅》報告顯示,2013 年 Android 平臺上的惡意軟件數量占整體移動惡意軟件數量的 97%這一駭人數字。
    因此,開發一套行之有效的專門針對第三方應用程序的安全缺陷檢測方法十分必要。目前已有的安全檢測方法,主要是基于規則庫的靜態惡意應用掃描,以及Root情況下基于Hook技術的動態行為監測方法。已知的方法中,基于規則的靜態惡意應用掃描,很難發現未知的惡意應用,而且通過加密加殼等對抗手段處理過的惡意應用也能一定程度的達到免殺效果;而基于Hook技術的動態行為監測方法,必須在Root情況下才能執行,而Root本身卻極大的降低了設備的安全性,給系統安全帶來嚴重的損失。
發明內容
針對上述技術問題,本發明提供了基于intent sniffer的監測方法及系統,該發明利用intent sniffer技術的嗅探服務獲取隱式調用intent信息,通過對intent信息的解析和過濾,并進一步與規則庫進行匹配判斷應用程序的行為類型是否與惡意軟件相關,從而有效監控應用程序的行為,保護系統的安全性。
本發明采用如下方法來實現:基于intent sniffer的監測方法,包括:
建立intent sniffer框架,獲取應用程序的隱式調用intent信息;
解析所述intent信息,保留與敏感行為相關的數據;
基于所述與敏感行為相關的數據識別應用程序的行為類型;
獲取已知惡意軟件的行為特征,生成檢測規則并投入規則庫;
與所述規則庫進行匹配,判斷所述行為類型是否與已知惡意軟件相關,若是,則通知用戶,否則結束。
進一步地,所述解析所述intent信息為:獲取action、data、category和/或type值。
進一步地,所述與敏感行為相關的數據包括:與電話、短信或者聯網行為相關的數據。
進一步地,所述已知惡意軟件包括:惡意扣費、隱私竊取、遠程控制、惡意傳播、資費消耗、系統破壞、誘騙軟件或者流氓行為。
進一步地,所述通知用戶包括:通過彈窗的形式將監測到的惡意軟件行為告知用戶,并提供安全操作供用戶選擇,所述安全操作包括:卸載應用,禁止發送短信或者禁止下載。
本發明采用如下系統來實現:基于intent sniffer的監測系統,包括:
intent sniffer服務模塊,用于建立intent sniffer框架,獲取應用程序的隱式調用intent信息;
intent信息解析模塊,用于解析所述intent信息,保留與敏感行為相關的數據;
行為類型識別模塊,用于基于所述與敏感行為相關的數據識別應用程序的行為類型;
檢測規則生成模塊,用于獲取已知惡意軟件的行為特征,生成檢測規則并投入規則庫;
規則庫,用于存儲檢測規則;
判定模塊,用于與所述規則庫進行匹配,判斷所述行為類型是否與已知惡意軟件相關,若是,則通知用戶,否則結束。
進一步地,所述解析所述intent信息為:獲取action、data、category和/或type值。
進一步地,所述與敏感行為相關的數據包括:與電話、短信或者聯網行為相關的數據。
進一步地,所述已知惡意軟件包括:惡意扣費、隱私竊取、遠程控制、惡意傳播、資費消耗、系統破壞、誘騙軟件或者流氓行為。
進一步地,所述通知用戶包括:通過彈窗的形式將監測到的惡意軟件行為告知用戶,并提供安全操作供用戶選擇,所述安全操作包括:卸載應用,禁止發送短信或者禁止下載。
綜上所述,本發明提供了基于intent sniffer的監測方法及系統,利用intent sniffer框架獲取android系統內的所有應用程序的隱式調用intent信息,并過濾掉與敏感操作無關的數據,對處理后的intent信息進行行為類型識別,并與預先設置的規則庫進行匹配,若該應用程序存在與惡意軟件相關的行為,則及時通知用戶;并可以進一步征求用戶意見選擇后續操作。該發明所提供的技術方案是一種模式識別系統,可以在非root情況下進行,能夠在不損害設備系統安全性的前提下,解決由于android安全機制本身的局限性導致的部分未知應用程序給用戶造成的危害,并且使得用戶可以及時發現并處理惡意威脅。
附圖說明
為了更清楚地說明本發明的技術方案,下面將對實施例中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明中記載的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。
圖1為本發明提供的一種基于intent sniffer的監測方法實施例流程圖;
圖2為本發明提供的一種基于intent sniffer的監測系統實施例結構圖。
具體實施方式
本發明給出了基于intent sniffer的監測方法及系統,為了使本技術領域的人員更好地理解本發明實施例中的技術方案,并使本發明的上述目的、特征和優點能夠更加明顯易懂,下面結合附圖對本發明中技術方案作進一步詳細的說明:
Intent是一種運行時綁定(run-time binding)機制,用于Android程序運行過程中連接兩個不同的組件。通過Intent,程序可以向Android表達某種請求或者意愿,Android會根據意愿的內容選擇適當的組件來完成請求。
例如,有一個Activity希望打開網頁瀏覽器查看某一網頁的內容,那么這個Activity只需要發出WEB_SEARCH_ACTION給Android,Android就會根據Intent的請求內容,查詢各組件注冊時聲明的IntentFilter,找到網頁瀏覽器的Activity來瀏覽網頁。
Intent主要用于信息傳遞,Intent如果使用隱式方式(setaction)來標識Intent消息,接收方通過此Action來接收信息。如果Intent沒有明確指定哪些接收方有權限接收,則通過Intent Sniffer技術即可獲取Intent內容,獲取應用程序相關行為數據。
本發明首先提供了基于intent sniffer的監測方法實施例,如圖1所示,包括:
S101建立intent sniffer框架,獲取應用程序的隱式調用intent信息;
S102解析所述intent信息,保留與敏感行為相關的數據;
S103基于所述與敏感行為相關的數據識別應用程序的行為類型;
S104獲取已知惡意軟件的行為特征,生成檢測規則并投入規則庫;
S105與所述規則庫進行匹配,判斷所述行為類型是否與已知惡意軟件相關,若是,則通知用戶,否則結束。
優選地,所述解析所述intent信息為:獲取action、data、category和/或type值。
優選地,所述與敏感行為相關的數據包括:與電話、短信或者聯網行為相關的數據。
優選地,所述已知惡意軟件包括:惡意扣費、隱私竊取、遠程控制、惡意傳播、資費消耗、系統破壞、誘騙軟件或者流氓行為。
其中,針對不同的已知惡意軟件的種類,定制不同的安全策略,并依據這些惡意軟件的行為特征生成檢測規則,并存入規則庫,為應用程序的安全性判斷提供匹配依據。
優選地,所述通知用戶包括:通過彈窗的形式將監測到的惡意軟件行為告知用戶,并提供安全操作供用戶選擇,所述安全操作包括:卸載應用,禁止發送短信或者禁止下載。
其中,監控并實時處理應用程序使用過程中存在的安全問題,并生成安全報告,為用戶安全的安裝和運行應用程序提供信息支持,從而使得用戶可以及時發現并處理惡意應用程序。
本發明還提供了基于intent sniffer的監測系統實施例,如圖2所示,包括:
intent sniffer服務模塊201,用于建立intent sniffer框架,獲取應用程序的隱式調用intent信息;
intent信息解析模塊202,用于解析所述intent信息,保留與敏感行為相關的數據;
行為類型識別模塊203,用于基于所述與敏感行為相關的數據識別應用程序的行為類型;
檢測規則生成模塊204,用于獲取已知惡意軟件的行為特征,生成檢測規則并投入規則庫205;
規則庫205,用于存儲檢測規則;
判定模塊206,用于與所述規則庫205進行匹配,判斷所述行為類型是否與已知惡意軟件相關,若是,則通知用戶,否則結束。
優選地,所述解析所述intent信息為:獲取action、data、category和/或type值。
優選地,所述與敏感行為相關的數據包括:與電話、短信或者聯網行為相關的數據。
優選地,所述已知惡意軟件包括:惡意扣費、隱私竊取、遠程控制、惡意傳播、資費消耗、系統破壞、誘騙軟件或者流氓行為。
其中,針對不同的已知惡意軟件的種類,定制不同的安全策略,并依據這些惡意軟件的行為特征生成檢測規則,并存入規則庫,為應用程序的安全性判斷提供匹配依據。
優選地,所述通知用戶包括:通過彈窗的形式將監測到的惡意軟件行為告知用戶,并提供安全操作供用戶選擇,所述安全操作包括:卸載應用,禁止發送短信或者禁止下載。
其中,監控并實時處理應用程序使用過程中存在的安全問題,并生成安全報告,為用戶安全的安裝和運行應用程序提供信息支持,從而使得用戶可以及時發現并處理惡意應用程序。
如上所述,本發明給出了基于intent sniffer的監測方法及系統,對于傳統方法來說,為了檢測應用程序是否存在安全缺陷通常采用兩種方式來完成:一種是靜態檢測方式,另一種是root情況下基于hook技術的動態行為監測方法。而靜態檢測方式很難發現未知惡意應用,動態行為監測本身就會給系統安全帶來嚴重損失。而上述實施例所公開的方法和系統,完全克服了上述缺點,可以在應用程序使用過程中對其進行實時監控,根據intent sniffer捕獲到的信息判斷是否存在惡意行為,并將例如私自發送短信、后臺靜默下載等行為及時反饋給用戶,從而在正常應用程序的功能得到保障的情況下保證系統的安全性。
以上實施例用以說明而非限制本發明的技術方案。不脫離本發明精神和范圍的任何修改或局部替換,均應涵蓋在本發明的權利要求范圍當中。

關 鍵 詞:
基于 INTENTSNIFFER 監測 方法 系統
  專利查詢網所有資源均是用戶自行上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作他用。
關于本文
本文標題:基于INTENTSNIFFER的監測方法及系統.pdf
鏈接地址:http://www.rgyfuv.icu/p-6353409.html
關于我們 - 網站聲明 - 網站地圖 - 資源地圖 - 友情鏈接 - 網站客服客服 - 聯系我們

[email protected] 2017-2018 zhuanlichaxun.net網站版權所有
經營許可證編號:粵ICP備17046363號-1 
 


收起
展開
山东11选5中奖结果走势图