基于導(dǎo)向性符號的移動終端惡意行為的檢測方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種惡意行為搜索方法及系統(tǒng),特別是涉及一種基于導(dǎo)向性符號的移 動終端惡意行為的檢測方法及系統(tǒng)。
【背景技術(shù)】
[0002] 隨著移動終端的不斷發(fā)展與普及,其已經(jīng)成為人們?nèi)粘I畈豢苫蛉钡牟糠?。?們通過移動終端進(jìn)行網(wǎng)絡(luò)連接的操作越來越頻繁。與此同時,一些惡意分子開發(fā)自動訪問 程序來自動地在移動終端上進(jìn)行惡意扣費、隱私竊取、遠(yuǎn)程控制、惡意傳播、資費消耗、系統(tǒng) 破壞、誘騙欺詐、流氓行為等自動化惡意行為。因此,針對惡意行為的檢測越來越迫在眉睫。
[0003] 現(xiàn)有技術(shù)中,如申請?zhí)枮?01310394868.X、發(fā)明名稱為《一種檢測惡意行為的方法 及裝置》的中國發(fā)明專利公開一種檢測惡意行為的方法,所述方法包括:接收終端待執(zhí)行的 操作的操作請求消息,所述操作請求消息中攜帶用戶的用戶標(biāo)識和所述待執(zhí)行的操作的操 作標(biāo)識;根據(jù)所述用戶標(biāo)識,從已存儲的用戶標(biāo)識與操作路徑的對應(yīng)關(guān)系中獲取對應(yīng)的操 作路徑,所述操作路徑是由所述終端在離當(dāng)前時間最近的預(yù)設(shè)時間段之內(nèi)已執(zhí)行的操作的 操作標(biāo)識構(gòu)成的;在所述操作路徑包括的最后一個操作標(biāo)識之后串聯(lián)所述待執(zhí)行的操作的 操作標(biāo)識,構(gòu)成所述待執(zhí)行的操作當(dāng)前所在的操作路徑;根據(jù)已存儲的惡意操作路徑集合 和所述待執(zhí)行的操作當(dāng)前所在的操作路徑,判斷所述待執(zhí)行的操作是否為惡意行為。
[0004] 然而,現(xiàn)有的惡意行為檢測方法操作較為復(fù)雜,導(dǎo)致檢測時間過長,且檢測結(jié)果的 準(zhǔn)確度不高。
[0005] 符號執(zhí)行(SymbolicExecution)是一種程序分析技術(shù),其通過將程序?qū)嶋H輸入替 換為符號輸入,將程序運行狀態(tài)表示為符號輸入的約束條件,并利用該約束條件遍歷軟件 所有執(zhí)行路徑。由于符號執(zhí)行技術(shù)具有最大遍歷軟件行為的能力、以及代碼覆蓋面大等特 點,因此能夠用于檢測軟件惡意行為。
[0006] 但是,符號執(zhí)行技術(shù)具有可擴展性差、執(zhí)行時間長等制約,不能快速的分析應(yīng)用行 為。因此需要對該技術(shù)進(jìn)行改進(jìn)以滿足移動終端應(yīng)用程序分析的需要。
【發(fā)明內(nèi)容】
[0007] 鑒于以上所述現(xiàn)有技術(shù)的缺點,本發(fā)明的目的在于提供一種基于導(dǎo)向性符號的移 動終端惡意行為的檢測方法及系統(tǒng),對移動終端上應(yīng)用程序進(jìn)行基于導(dǎo)向性符號的惡意行 為搜索,從而能夠快速的對應(yīng)用程序行為進(jìn)行分析,將遺漏應(yīng)用程序惡意行為的風(fēng)險降到 最低。
[0008] 為實現(xiàn)上述目的及其他相關(guān)目的,本發(fā)明提供一種基于導(dǎo)向性符號的移動終端惡 意行為的檢測方法及系統(tǒng),包括應(yīng)用程序預(yù)處理模塊、應(yīng)用程序依賴圖構(gòu)建模塊、敏感信息 標(biāo)記模塊、敏感信息傳播模塊、導(dǎo)引信息提取模塊、符號化執(zhí)行模塊和檢測模塊;所述應(yīng)用 程序預(yù)處理模塊用于在應(yīng)用程序安裝時,對應(yīng)用程序進(jìn)行預(yù)處理,以獲取應(yīng)用程序的相關(guān) 信息;所述應(yīng)用程序依賴圖構(gòu)建模塊用于構(gòu)建應(yīng)用程序權(quán)限的依賴關(guān)系;所述敏感信息標(biāo) 記模塊用于標(biāo)記應(yīng)用程序行為的敏感信息;所述敏感信息傳播模塊用于傳播應(yīng)用程序的敏 感信息;所述導(dǎo)引信息提取模塊用于將傳播的敏感信息按類引導(dǎo)到相應(yīng)的特征和行為權(quán) 限;所述符號化執(zhí)行模塊用于將傳播的敏感信息與惡意節(jié)點二叉樹中的相似節(jié)點進(jìn)行對 比,并分析此惡意節(jié)點下的所有子類,其中惡意節(jié)點二叉樹通過二叉樹的形式對惡意行為 進(jìn)行逐層描述,每個惡意節(jié)點表示惡意行為的系統(tǒng)預(yù)配置的信息;檢測模塊用于在應(yīng)用程 序行為的敏感信息與系統(tǒng)預(yù)配置的信息相同時,判斷應(yīng)用程序行為是惡意行為。
[0009] 根據(jù)上述的基于導(dǎo)向性符號的移動終端惡意行為的檢測系統(tǒng),其中:通過活動管 理服務(wù)和包管理服務(wù)對應(yīng)用程序進(jìn)行預(yù)處理;所述應(yīng)用程序的相關(guān)信息包括應(yīng)用程序的交 互信息、活動組件、服務(wù)組件、接收器組件和內(nèi)容提供組件。
[0010] 根據(jù)上述的基于導(dǎo)向性符號的移動終端惡意行為的檢測系統(tǒng),其中:所述敏感信 息包括隱私信息、惡意扣費信息和系統(tǒng)破壞信息。
[0011] 根據(jù)上述的基于導(dǎo)向性符號的移動終端惡意行為的檢測系統(tǒng),其中:所述惡意節(jié) 點二叉樹的惡意節(jié)點的系統(tǒng)預(yù)配置的信息包括惡意行為的特征和行為權(quán)限。
[0012] 進(jìn)一步地,根據(jù)上述的基于導(dǎo)向性符號的移動終端惡意行為的檢測系統(tǒng),其中:所 述惡意行為的特征包括移動終端的IMEI、電話號碼、設(shè)備序列號、短信、圖片、位置信息、通 訊記錄、錄音和聊天記錄;所述惡意行為的行為權(quán)限包括申請移動終端的上網(wǎng)權(quán)限、文件讀 寫權(quán)限、位置權(quán)限、打開移動數(shù)據(jù)流量權(quán)限。
[0013] 同時,本發(fā)明還提供一種基于導(dǎo)向性符號的移動終端惡意行為的檢測方法,包括 以下步驟:
[0014] 步驟S1、在應(yīng)用程序安裝時,對應(yīng)用程序進(jìn)行預(yù)處理,以獲取應(yīng)用程序的相關(guān)信 息;
[0015] 步驟S2、構(gòu)建應(yīng)用程序權(quán)限的依賴關(guān)系;
[0016] 步驟S3、標(biāo)記應(yīng)用程序行為的敏感信息;
[0017] 步驟S4、傳播應(yīng)用程序的敏感信息;
[0018] 步驟S5、將傳播的敏感信息按類引導(dǎo)到相應(yīng)的特征和行為權(quán)限;
[0019] 步驟S6、將傳播的敏感信息與惡意節(jié)點二叉樹中的相似節(jié)點進(jìn)行對比,并分析此 惡意節(jié)點下的所有子類,其中惡意節(jié)點二叉樹通過二叉樹的形式對惡意行為進(jìn)行逐層描 述,每個惡意節(jié)點表示惡意行為的系統(tǒng)預(yù)配置的信息;
[0020] 步驟S7、在應(yīng)用程序行為的敏感信息與系統(tǒng)預(yù)配置的信息相同時,判斷應(yīng)用程序 行為是惡意行為。
[0021] 根據(jù)上述的基于導(dǎo)向性符號的移動終端惡意行為的檢測方法,其中:所述步驟S1 中,通過活動管理服務(wù)和包管理服務(wù)對應(yīng)用程序進(jìn)行預(yù)處理;所述應(yīng)用程序的相關(guān)信息包 括應(yīng)用程序的交互信息、活動組件、服務(wù)組件、接收器組件和內(nèi)容提供組件。
[0022] 根據(jù)上述的基于導(dǎo)向性符號的移動終端惡意行為的檢測方法,其中:所述敏感信 息包括隱私信息、惡意扣費信息和系統(tǒng)破壞信息。
[0023] 根據(jù)上述的基于導(dǎo)向性符號的移動終端惡意行為的檢測方法,其中:所述步驟S6 中,所述惡意節(jié)點二叉樹的惡意節(jié)點的系統(tǒng)預(yù)配置的信息包括惡意行為的特征和行為權(quán) 限。
[0024] 進(jìn)一步地,根據(jù)上述的基于導(dǎo)向性符號的移動終端惡意行為的檢測方法,其中:所 述惡意行為的特征包括移動終端的IMEI、電話號碼、設(shè)備序列號、短信、圖片、位置信息、通 訊記錄、錄音和聊天記錄;所述惡意行為的行為權(quán)限包括申請移動終端的上網(wǎng)權(quán)限、文件讀 寫權(quán)限、位置權(quán)限、打開移動數(shù)據(jù)流量權(quán)限。
[0025] 如上所述,本發(fā)明的基于導(dǎo)向性符號的移動終端惡意行為的檢測方法及系統(tǒng),具 有以下有益效果:
[0026] (1)對符號執(zhí)行技術(shù)進(jìn)行改進(jìn),引入導(dǎo)向性符號執(zhí)行技術(shù),使符號執(zhí)行技術(shù)有很大 的擴展性;
[0027] (2)大幅縮短惡意行為檢測過程的耗時;
[0028] (3)將遺漏應(yīng)用程序惡意行為的風(fēng)險降到最低。
【附圖說明】
[0029]圖1顯示為本發(fā)明的基于導(dǎo)向性符號的移動終端惡意行為的搜索系統(tǒng)的結(jié)構(gòu)示 意圖;
[0030] 圖2顯示為本發(fā)明的惡意節(jié)點二叉樹的一個優(yōu)選實施例的結(jié)構(gòu)示意圖;
[0031] 圖3顯示為本發(fā)明的惡意節(jié)點二叉樹的另一個優(yōu)選實施例的結(jié)構(gòu)示意圖;
[0032] 圖4顯示為本發(fā)明的基于導(dǎo)向性符號的移動終端惡意行為的搜索方法的流程圖。
[0033] 元件標(biāo)號說明
[0034] 1 應(yīng)用程序預(yù)處理模塊
[0035] 2 應(yīng)用程序依賴圖構(gòu)建模塊
[0036] 3 敏感信息標(biāo)記模塊
[0037] 4 敏感信息傳播模塊
[0038]5 導(dǎo)引信息提取模塊
[0039] 6 符號化執(zhí)行模塊
[0040] 7 檢測模塊
【具體實施方式】
[0041] 以下通過特定的具體實例說明本發(fā)明的實施方式,本領(lǐng)域技術(shù)人員可由本說明書 所揭露的內(nèi)容輕易地了解本發(fā)明的其他優(yōu)點與功效。本發(fā)明還可以通過另外不同的具體實 施方式加以實施或應(yīng)用,本說明書中的各項細(xì)節(jié)也可以基于不同觀點與應(yīng)用,在沒有背離 本發(fā)明的精神下進(jìn)行各種修飾或改變。
[0042] 需要說明的是,本實施例中所提供的圖示僅以示意方式說明本發(fā)明的基本構(gòu)想, 遂圖式中僅顯示與本發(fā)明中有關(guān)的組件而非按照實際實施時的組件數(shù)目、形狀及尺寸繪 制,其實際實施時各組件的型態(tài)、數(shù)量及比例可為一種隨意的改變,且其組件布局型態(tài)也可 能更為復(fù)雜。
[0043] 需要說明的是,本發(fā)明中所涉及的移動終端包括并不限于智能手機、平板電腦、 PDA,以及其他具有數(shù)據(jù)處理功能的終端設(shè)備。通常,移動終端是指具有獨立的操作系統(tǒng),可 以由用戶自行安裝軟件、游戲等第三方服務(wù)商提供的程序,通過此類程序來不斷對終端設(shè) 備的功能進(jìn)行擴充,并可以通過移動通訊網(wǎng)絡(luò)來實現(xiàn)無線網(wǎng)絡(luò)接入的這樣一類終端設(shè)備。 [0044] 本發(fā)明的基于導(dǎo)向性符號的移動終端惡意行為的搜索系統(tǒng)及方法采用導(dǎo)向性符 號優(yōu)化符號執(zhí)行過程,通過導(dǎo)向性方案,使得在對標(biāo)記信息進(jìn)行符號化搜索時,能夠限制遍 歷的空間,從而減少搜索路徑。在Linux系統(tǒng)內(nèi)核層,構(gòu)建導(dǎo)向二叉樹模型,對