專利名稱:基于智能手機(jī)無(wú)線電接口層的惡意行為檢測(cè)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于移動(dòng)通信技術(shù)領(lǐng)域��,具體地說(shuō)��,涉及到一種基于智能手機(jī)無(wú)線電接口層的惡意行為檢測(cè)方法及系統(tǒng)����,能夠?qū)χ悄苁謾C(jī)應(yīng)用程序惡意通訊行為進(jìn)行有效的防護(hù)�����。
背景技術(shù):
隨著手機(jī)操作系統(tǒng)技術(shù)的不斷發(fā)展越來(lái)越多的手機(jī)廠商在自己新推出的產(chǎn)品中選擇使用主流的智能手機(jī)操作系統(tǒng)�,智能手機(jī)操作系統(tǒng)在軟件的安裝及應(yīng)用方面與傳統(tǒng)手機(jī)有很大的區(qū)別。傳統(tǒng)的手機(jī)只有預(yù)制的幾種單一軟件功能����,不能滿足用戶的各種需求,而在主流的智能手機(jī)操作系統(tǒng)中可以方便的使用一種“軟件市場(chǎng)”的概念���,通過(guò)互聯(lián)網(wǎng)��,直接使用手機(jī)從上萬(wàn)種應(yīng)用中挑選自己需要的應(yīng)用程序并安裝至手機(jī)中�����。但是在當(dāng)人們享受智能手機(jī)眾多應(yīng)用所帶來(lái)的各種便利時(shí)��,卻隱然不知在眾多軟件中隱藏著諸多惡意功能���,如 某畫(huà)圖應(yīng)用軟件其中暗藏著偷發(fā)短信功能��,即在正常使用軟件的時(shí)候偷偷地將某些信息發(fā)送至扣費(fèi)號(hào)碼中��,導(dǎo)致用戶產(chǎn)生高額的話費(fèi)����?����;蛘?,有的間諜軟件將用戶的個(gè)人隱私如聯(lián)系人信息、短信息內(nèi)容���、通話記錄等等傳送至特定服務(wù)器上���,導(dǎo)致用戶的所有信息被泄露��。雖然智能手機(jī)操作系統(tǒng)廠商在這些應(yīng)用軟件進(jìn)入軟件市場(chǎng)時(shí)有相關(guān)的審核����,但是往往總有漏網(wǎng)之魚(yú)通過(guò)各種方式避開(kāi)軟件廠商的審查���。而智能手機(jī)操作系統(tǒng)在對(duì)于惡意通訊行為檢測(cè)時(shí)受制于整體系統(tǒng)框架結(jié)構(gòu)��,導(dǎo)致無(wú)法提供關(guān)于通訊行為的檢測(cè)函數(shù)或方法���。如以Google開(kāi)發(fā)的Android舉例Android操作系統(tǒng)所有的應(yīng)用程序都獨(dú)立運(yùn)行在DalvikVM虛擬機(jī)中,其虛擬機(jī)的特點(diǎn)是針對(duì)每一個(gè)應(yīng)用程序都提供虛擬的運(yùn)行環(huán)境����,所有的通訊操作都直接通過(guò)虛擬機(jī)與硬件直接交互��,而通常開(kāi)發(fā)人員能夠通過(guò)Application Framework(應(yīng)用程序框架)開(kāi)發(fā)出的應(yīng)用程序也是運(yùn)行于DalvikVM虛擬機(jī)中���,DalvikVM虛擬機(jī)的特性只能獲取與自己程序有關(guān)的數(shù)據(jù)通訊操作�,并不能獲取操作系統(tǒng)中其它正在運(yùn)行應(yīng)用程序的通訊數(shù)據(jù)操作���,由于DalvikVM虛擬機(jī)的這種特性導(dǎo)致很多知名的安全產(chǎn)品開(kāi)發(fā)商都未能成功的開(kāi)發(fā)出一款能夠監(jiān)控手機(jī)通訊行為的應(yīng)用軟件����,包括Google自己也未開(kāi)發(fā)出相應(yīng)的產(chǎn)品。
發(fā)明內(nèi)容
針對(duì)智能手機(jī)操作系統(tǒng)對(duì)于通訊監(jiān)控存在的上述缺點(diǎn)和不足���,本發(fā)明的目的在于提供一種基于無(wú)線電接口層進(jìn)行通訊行為檢測(cè)的方法�����,從而能夠快速的對(duì)軟件惡意行為做出準(zhǔn)確判斷����,達(dá)到保護(hù)智能手機(jī)用戶的目的���。具體地說(shuō)��,一種基于智能手機(jī)無(wú)線電接口層的惡意行為檢測(cè)方法���,包括如下步驟A.智能手機(jī)操作系統(tǒng)用戶應(yīng)用層監(jiān)控模塊通過(guò)實(shí)時(shí)監(jiān)控,收集用戶以交互式應(yīng)用方式進(jìn)行的相關(guān)通訊操作的信息��,并將相關(guān)通訊操作的信息提交至中央處理單元���;B.無(wú)線電接口層監(jiān)控模塊實(shí)時(shí)監(jiān)控智能手機(jī)操作系統(tǒng)與無(wú)線電硬件設(shè)備之間的數(shù)據(jù)通訊接口層��,當(dāng)智能手機(jī)操作系統(tǒng)與無(wú)線電硬件設(shè)備通訊時(shí)�,無(wú)線電接口層監(jiān)控模塊捕獲操作系統(tǒng)與無(wú)線電接口層之間的原始數(shù)據(jù)編碼;當(dāng)無(wú)線電接口層監(jiān)控模塊捕獲到原始數(shù)據(jù)編碼時(shí)����,進(jìn)入步驟C,否則�,將繼續(xù)循環(huán),等待通訊時(shí)捕獲到原始數(shù)據(jù)編碼���;C.根據(jù)不同的數(shù)據(jù)指令類型��,數(shù)據(jù)解碼模塊將無(wú)線電接口層監(jiān)控模塊捕獲的原始數(shù)據(jù)編碼進(jìn)行數(shù)據(jù)解碼�,將解碼后的原始數(shù)據(jù)編碼提交至中央處理單元�����;當(dāng)中央處理單元完成其中的內(nèi)部核心模塊數(shù)據(jù)流處理操作流程后����,將相關(guān)數(shù)據(jù)信息及各個(gè)模塊結(jié)果數(shù)據(jù)提交至數(shù)據(jù)統(tǒng)計(jì)模塊�����,數(shù)據(jù)統(tǒng)計(jì)模塊將相關(guān)數(shù)據(jù)信息及各個(gè)模塊結(jié)果數(shù)據(jù)保存在數(shù)據(jù)庫(kù)中。 其中��,相關(guān)數(shù)據(jù)信息是指的來(lái)至監(jiān)控模塊的數(shù)據(jù)信息以及其它輸入數(shù)據(jù)����。模塊結(jié)果數(shù)據(jù)是指的各個(gè)模塊的計(jì)算輸出數(shù)據(jù)。智能手機(jī)操作系統(tǒng)的電話應(yīng)用層只是單一的指通話范圍���,用戶應(yīng)用層包括短信����、 電話���、數(shù)據(jù)通信等����。進(jìn)一步地���,所述步驟C還包括如下步驟Cl.中央處理單元將數(shù)據(jù)解碼模塊解碼后的原始數(shù)據(jù)編碼與用戶應(yīng)用層監(jiān)控模塊收集的相關(guān)操作信息提交至智能分析模塊���;C2.智能分析模塊將來(lái)自無(wú)線電底層的通訊行為特征與操作系統(tǒng)層之間的同類型通訊行為特征進(jìn)行比對(duì),若操作系統(tǒng)層的通訊行為特征與無(wú)線電底層的通訊特征行為相匹配,則進(jìn)入步驟C3�����,若通訊行為特征不匹配或通訊行為特征符合相關(guān)設(shè)定規(guī)則限制��,則將相關(guān)信息提交至用戶提示模塊����,并進(jìn)入步驟C4 ;C3.將相關(guān)通訊信息提交至數(shù)據(jù)統(tǒng)計(jì)模塊����,數(shù)據(jù)統(tǒng)計(jì)模塊將相關(guān)通訊信息保存在數(shù)據(jù)庫(kù)中;C4.用戶提示模塊將檢查提示信息類型�����,根據(jù)不同信息類型在智能手機(jī)用戶交互界面產(chǎn)生不同的提示方法信息類型為通訊行為特征不匹配��,則提示當(dāng)前正在操作的用戶有非正常數(shù)據(jù)通訊行為特征�����,并提示用戶阻斷通訊還是放行���;如信息類型為本系統(tǒng)設(shè)定規(guī)則限制�����,則自動(dòng)阻斷該通訊并提示用戶���;C5.通訊阻斷模塊將根據(jù)本監(jiān)控系統(tǒng)用戶的選擇對(duì)當(dāng)前正在進(jìn)行的通訊行為特征進(jìn)行阻斷,中央處理單元將相關(guān)數(shù)據(jù)信息及各模塊結(jié)果數(shù)據(jù)提交至數(shù)據(jù)統(tǒng)計(jì)模塊���,數(shù)據(jù)統(tǒng)計(jì)模塊將相關(guān)數(shù)據(jù)信息保存在數(shù)據(jù)庫(kù)中�。在步驟A中���,所述相關(guān)通訊操作包括撥打電話��、發(fā)送短信����、訪問(wèn)網(wǎng)絡(luò)��。在步驟B中�,所述從無(wú)線電接口層捕獲原始數(shù)據(jù)編碼包括以下至少一種SIM PIN、10�、IMSI/IMEI�����、電話狀態(tài)�����、網(wǎng)絡(luò)狀態(tài)查詢�、網(wǎng)絡(luò)設(shè)置�����、短信���、PDP連接�、電源和復(fù)位�、輔助服務(wù)、供應(yīng)商定義及其支持主動(dòng)請(qǐng)求指令����、網(wǎng)絡(luò)狀態(tài)改變、新短信通知�����、新USSD通知、信號(hào)強(qiáng)度和時(shí)間改變被動(dòng)請(qǐng)求指令��。其中����,SIM PIN是客戶識(shí)別模塊(SIM�,Subscriber Identity Model)個(gè)人識(shí)別碼(PIN,Personal Identification Number), IO 為輸入輸出�����,IMSI/IMEI 為國(guó)際移動(dòng)用戶識(shí)別碼(IMSI, International Mobile Subscriber Identity)/ 國(guó)際移動(dòng)裝備識(shí)別碼(IMEI�����,hternational Mobile Equipment Identity)����,PDP 連接為分組數(shù)據(jù)協(xié)議連接(PDP,Packet Data Protocol)�,新USSD通知為非結(jié)構(gòu)化補(bǔ)充數(shù)據(jù)業(yè)務(wù)(USSD, Unstructured Supplementary Service Data)�����。所述電話狀態(tài)包括撥號(hào)或應(yīng)答或靜音。所述網(wǎng)絡(luò)設(shè)置為禁止���、轉(zhuǎn)發(fā)����、選擇中的至少一種�。在步驟C中,所述不同的數(shù)據(jù)指令類型包括客戶識(shí)別模塊個(gè)人識(shí)別碼���、輸入輸
6出���、國(guó)際移動(dòng)用戶識(shí)別碼、國(guó)際移動(dòng)裝備識(shí)別碼��、電話狀態(tài)和動(dòng)作���、網(wǎng)絡(luò)狀態(tài)查詢�、網(wǎng)絡(luò)設(shè)置����、短信、PDP連接分組數(shù)據(jù)協(xié)議����、電源和復(fù)位���、輔助服務(wù)、供應(yīng)商定義及其支持等主動(dòng)請(qǐng)求指令�����,以及網(wǎng)絡(luò)狀態(tài)改變��、新短信通知���、新USSD通知、信號(hào)強(qiáng)度和時(shí)間改變等被動(dòng)請(qǐng)求指令����。在步驟C中,內(nèi)部核心模塊包括智能分析模塊��、用戶提示模塊����、通訊阻斷模塊和數(shù)據(jù)統(tǒng)計(jì)模塊。所述數(shù)據(jù)信息及各模塊結(jié)果數(shù)據(jù)包括解碼后的無(wú)線電接口層的原始數(shù)據(jù)編碼及相關(guān)數(shù)據(jù)統(tǒng)計(jì)結(jié)果��。在步驟Cl中,所述解碼后的原始數(shù)據(jù)編碼指將編碼后的指令還原為與主動(dòng)及被動(dòng)指令相同的原始指令�。在步驟C2中,所述通訊行為特征不匹配為用戶層無(wú)通訊但接口層有通訊或接口層無(wú)通訊但應(yīng)用層有通訊�;設(shè)定限制規(guī)則包括以下至少一種限制程序、限制次數(shù)�、限制方式、限制時(shí)間�、本系統(tǒng)默認(rèn)限制或用戶自定義限制。在步驟C5中����,所述各模塊結(jié)果數(shù)據(jù)包括攔截結(jié)果記錄及相關(guān)信息。本發(fā)明的目的還在于提供一種基于智能手機(jī)無(wú)線電接口層的惡意行為檢測(cè)系統(tǒng)�, 包括用戶應(yīng)用層監(jiān)控模塊、無(wú)線電接口層監(jiān)控模塊�、數(shù)據(jù)解碼模塊、中央處理單元�����,所述用戶應(yīng)用層監(jiān)控模塊實(shí)時(shí)收集用戶以交互式應(yīng)用方式進(jìn)行的相關(guān)通訊操作的信息�,并將相關(guān)通訊操作的信息提交至中央處理單元;所述無(wú)線電接口層監(jiān)控模塊通過(guò)監(jiān)控智能手機(jī)操作系統(tǒng)與無(wú)線電硬件設(shè)備之間的數(shù)據(jù)通訊接口層�����,實(shí)時(shí)捕獲智能手機(jī)操作系統(tǒng)與手機(jī)無(wú)線電硬件設(shè)備的相關(guān)指令信息及內(nèi)容的原始數(shù)據(jù)編碼,并將原始數(shù)據(jù)編碼提交至數(shù)據(jù)解碼模塊�����;所述數(shù)據(jù)解碼模塊將對(duì)無(wú)線電接口層監(jiān)控模塊獲取的智能手機(jī)操作系統(tǒng)與手機(jī)無(wú)線電設(shè)備的相關(guān)指令信息及內(nèi)容的原始數(shù)據(jù)編碼進(jìn)行編碼還原及解碼���,還原操作系統(tǒng)應(yīng)用層對(duì)應(yīng)的操作指令及相關(guān)數(shù)據(jù)�,數(shù)據(jù)解碼模塊將解碼后的原始數(shù)據(jù)編碼提交至中央處理單元�����。所述中央處理單元包括智能分析模塊�、用戶提示模塊���、通訊阻斷模塊和數(shù)據(jù)統(tǒng)計(jì)模塊�,其中����,所述智能分析模塊,用于將來(lái)自所述數(shù)據(jù)解碼模塊的解碼后的原始編碼及用戶應(yīng)用層監(jiān)控模塊的數(shù)據(jù)進(jìn)行智能比對(duì)分析����,根據(jù)分析結(jié)果調(diào)用用戶提示模塊�����;所述用戶提示模塊�,與所述智能分析模塊相連����,用于根據(jù)不同提示信息智能手機(jī)的操作系統(tǒng)用戶應(yīng)用層生成不同的提示方式,并且根據(jù)用戶選擇或本系統(tǒng)相關(guān)限制規(guī)則����, 對(duì)當(dāng)前檢測(cè)到的通訊行為進(jìn)行控制操作,當(dāng)用戶或本系統(tǒng)選擇阻斷當(dāng)前通訊時(shí)����,則會(huì)調(diào)用通訊阻斷模塊;所述通訊阻斷模塊�����,與所述用戶提示模塊相連��,用于根據(jù)用戶或本系統(tǒng)的選擇結(jié)果��,對(duì)當(dāng)前正在進(jìn)行的數(shù)據(jù)通訊應(yīng)用程序特定數(shù)據(jù)連接進(jìn)行阻斷操作,阻止正在進(jìn)行的數(shù)據(jù)操作����;所述數(shù)據(jù)統(tǒng)計(jì)模塊,與智能分析模塊和所述中央處理單元中的其他各個(gè)模塊相連�����,用于將中央處理單元中的其他各個(gè)模塊中的信息及結(jié)果數(shù)據(jù)收集整理���,并將所收集到的信息保存到數(shù)據(jù)庫(kù)�����。其中����,中央處理單元中的其他各個(gè)模塊中的信息及結(jié)果數(shù)據(jù)與前述的相關(guān)數(shù)據(jù)信息及各個(gè)模塊結(jié)果數(shù)據(jù)是一致的���。
不同提示信息或不同的提示方式包括提示已經(jīng)阻止、提示操作����、用戶選擇允許或阻止。手機(jī)無(wú)線電硬件設(shè)備的相關(guān)指令信息及內(nèi)容是指短信或電話或網(wǎng)絡(luò)操作。所述數(shù)據(jù)信息及結(jié)果數(shù)據(jù)包括撥打電話的總時(shí)間�����、發(fā)送短信的總次數(shù)�、網(wǎng)絡(luò)連接的流量、已阻止的連接數(shù)��、用戶定義限制規(guī)則���。本發(fā)明通過(guò)對(duì)智能手機(jī)操作系統(tǒng)的無(wú)線電接口層進(jìn)行數(shù)據(jù)監(jiān)控�����,當(dāng)智能手機(jī)操作系統(tǒng)與底層無(wú)線電硬件(baseband基帶)進(jìn)行數(shù)據(jù)交換通訊時(shí)�,監(jiān)控其數(shù)據(jù)指令并對(duì)指令進(jìn)行解碼分析��,精確地從底層(基帶�,baseband)獲知圖1中的電話應(yīng)用層(Phone Application)是否正在進(jìn)行撥號(hào)、語(yǔ)音通訊����、數(shù)據(jù)通信、短信通信等與底層無(wú)線電硬件數(shù)據(jù)通訊相關(guān)詳細(xì)信息�����,彌補(bǔ)智能手機(jī)操作系統(tǒng)架構(gòu)無(wú)法從底層無(wú)線電硬件獲知當(dāng)前手機(jī)數(shù)據(jù)通信狀態(tài)的系統(tǒng)缺陷,并將獲取到的相關(guān)應(yīng)用程序與底層無(wú)線電硬件通訊狀態(tài)數(shù)據(jù)信息與智能手機(jī)操作系統(tǒng)用戶層的相關(guān)應(yīng)用程序進(jìn)行智能行為匹配����,區(qū)分出哪些應(yīng)用程序是合法的數(shù)據(jù)通訊行為,哪些應(yīng)用程序是非法數(shù)據(jù)通信行為����,從而針對(duì)各種惡意軟件行為能夠提供及時(shí)有力的保護(hù),提高智能手機(jī)用戶的整體安全性�����。
下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例���,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講���, 在不付出創(chuàng)造性��、勞動(dòng)性的前提下�,還可以根據(jù)這些附圖獲得其他的附圖。圖1是本發(fā)明基于無(wú)線電接口層的惡意行為檢測(cè)系統(tǒng)流程2是本發(fā)明基于無(wú)線電接口層的惡意行為檢測(cè)系統(tǒng)結(jié)構(gòu)圖����;圖3是本發(fā)明實(shí)基于無(wú)線電接口層的惡意行為檢測(cè)方法流程圖����。附圖標(biāo)記201.用戶應(yīng)用層監(jiān)控模塊202.無(wú)線電接口層監(jiān)控模塊203.數(shù)據(jù)解碼模塊204.中央處理單元2041.智能分析模塊 2042.用戶提示模塊2043.通訊阻斷模塊 2044.數(shù)據(jù)統(tǒng)計(jì)模塊
具體實(shí)施例方式本發(fā)明提供一種基于智能手機(jī)無(wú)線電接口層通訊行為的檢測(cè)方法及系統(tǒng)�,從而能夠快速的對(duì)惡意行為做出準(zhǔn)確判斷,達(dá)到保護(hù)智能手機(jī)用戶的目的�。檢測(cè)方法的主要步驟包括同時(shí)監(jiān)控用戶應(yīng)用層通訊及智能手機(jī)無(wú)線電接口層通訊,使用兩種數(shù)據(jù)區(qū)分出正常用戶通訊或非正常用戶通訊����,并提示用戶選擇阻斷還是放行或按照系統(tǒng)規(guī)則處理當(dāng)前正在進(jìn)行的通訊連接,隨后將處理結(jié)果保存至數(shù)據(jù)庫(kù)��。圖1為本發(fā)明基于無(wú)線電接口層的惡意行為檢測(cè)系統(tǒng)流程圖�����,詳述如下常規(guī)的智能手機(jī)操作系統(tǒng)中�����,電話應(yīng)用層提供幾種常用的應(yīng)用程序數(shù)據(jù)通訊接口類型����,這幾種應(yīng)用程序數(shù)據(jù)通訊接口類型通過(guò)電話應(yīng)用層調(diào)用操作系統(tǒng)層�,與電話應(yīng)用層對(duì)應(yīng)的數(shù)據(jù)通訊接口���,將通訊請(qǐng)求從電話應(yīng)用層傳遞至操作系統(tǒng)層���。在本發(fā)明實(shí)施例中,智能手機(jī)操作系統(tǒng)中的電話應(yīng)用層負(fù)責(zé)統(tǒng)一處理用戶應(yīng)用程序與通訊有關(guān)的常規(guī)應(yīng)用通訊�����,其中包括撥打電話����、發(fā)送短消息、通訊服務(wù)��、數(shù)據(jù)傳輸����,電話應(yīng)用層將這類請(qǐng)求按照順序提交至操作系統(tǒng)層與電話應(yīng)用有關(guān)的無(wú)線電接口層(RIL, Radio Interface Layer)���。無(wú)線電接口層將上層指令請(qǐng)求按照特定數(shù)據(jù)格式封裝后提交至無(wú)線電守護(hù)進(jìn)程(Radio Daemon)��,守護(hù)進(jìn)程將指令(即按照特定數(shù)據(jù)格式封裝后的上層指令)發(fā)送至廠商無(wú)線電接口層(Vendor RIL)�����,當(dāng)廠商無(wú)線電接口層獲取到請(qǐng)求后將對(duì)應(yīng)不同請(qǐng)求生成AT指令直接調(diào)用基帶(BaseBand)��。本發(fā)明則通過(guò)監(jiān)控?zé)o線電接口層RIL與基帶BaseBand之間的數(shù)據(jù)調(diào)用����,直接從底層獲取調(diào)用指令及參數(shù)��,從而獲知上層操作系統(tǒng)是否有數(shù)據(jù)通訊行為���,當(dāng)監(jiān)控到底層產(chǎn)生通訊請(qǐng)求后�,再與智能手機(jī)操作系統(tǒng)應(yīng)用層(根據(jù)指令不同��,有可能指操作系統(tǒng)層和用戶應(yīng)用層)通訊操作進(jìn)行比對(duì)�����,即能區(qū)分出哪些通訊操作是人為產(chǎn)生的�����,哪些通訊操作是惡意軟件產(chǎn)生的��。如檢測(cè)到當(dāng)前連接是由惡意軟件產(chǎn)生的,則提示用戶是否需要切斷連接�����,或由本監(jiān)控系統(tǒng)動(dòng)切斷當(dāng)前正在進(jìn)行的惡意連接�。下面以Android智能手機(jī)操作系統(tǒng)的短信發(fā)送為例,詳細(xì)說(shuō)明本發(fā)明的檢測(cè)系統(tǒng)是如何從底層檢測(cè)獲取通訊數(shù)據(jù)并進(jìn)行行為判斷���。如圖1所示����,當(dāng)用戶應(yīng)用層需要發(fā)送短信的時(shí)候?qū)⒄{(diào)用操作系統(tǒng)層中的程序框架中的相關(guān)短信發(fā)送方法��,程序框架中的短信方法負(fù)責(zé)調(diào)用操作系統(tǒng)層中的用戶空間類庫(kù)中的無(wú)線守護(hù)進(jìn)程��,操作系統(tǒng)層中的用戶空間中的無(wú)線守護(hù)進(jìn)程負(fù)責(zé)將上層(用戶應(yīng)用層或應(yīng)用程序框架)調(diào)用參數(shù)傳遞給廠商無(wú)線電接口層RIL接口����,廠商無(wú)線電接口層RIL接口負(fù)責(zé)與基帶通訊。在操作系統(tǒng)層中的守護(hù)進(jìn)程與廠商RIL進(jìn)行數(shù)據(jù)傳遞時(shí)��,監(jiān)控?cái)?shù)據(jù)方法與調(diào)用參數(shù)就可以獲知操作系統(tǒng)層是否正在進(jìn)行發(fā)送短信的操作���,并且可以將捕獲數(shù)據(jù)還原�����,可得知與短信相關(guān)的通信內(nèi)容����,如短信內(nèi)容�����、短信接收號(hào)碼等信息����。在Android操作系統(tǒng)中,系統(tǒng)自帶的短信發(fā)送程序發(fā)送短信時(shí)是使用應(yīng)用程序框架中的短信發(fā)送方法�����,第三方應(yīng)用程序也是使用該發(fā)送方法����。但不同的是操作系統(tǒng)自帶的短信發(fā)送程序每次發(fā)送短信時(shí)會(huì)在操作系統(tǒng)自帶的短信數(shù)據(jù)庫(kù)中記錄剛才已經(jīng)發(fā)送的短信內(nèi)容,包括號(hào)碼信息等�,但第三方的應(yīng)用程序并不會(huì)將已發(fā)送的短信記錄進(jìn)入短信數(shù)據(jù)庫(kù)。當(dāng)監(jiān)控系統(tǒng)層獲取發(fā)送短信的相關(guān)信息后,將信息與系統(tǒng)短信記錄數(shù)據(jù)庫(kù)中的記錄進(jìn)行對(duì)比�����,如果短信記錄數(shù)據(jù)庫(kù)中存在該條短信記錄�����,那么這次短信是由用戶發(fā)送的��,反之�����,此條短信是由程序發(fā)送的����。通過(guò)以上方法,可以準(zhǔn)確的對(duì)通信應(yīng)用程序進(jìn)行判斷�����,區(qū)分出用戶操作或應(yīng)用程序操作���,達(dá)到行為檢測(cè)的目的��。圖2為本發(fā)明基于無(wú)線電接口層的惡意行為檢測(cè)系統(tǒng)結(jié)構(gòu)圖�����,為便于說(shuō)明��,僅示出與本發(fā)明實(shí)施例相關(guān)的部分�����,該檢測(cè)系統(tǒng)可以集成在移動(dòng)終端內(nèi)����,例如移動(dòng)電話���、個(gè)人數(shù)字助理PDA (Personal Digital Assistant)���、平板電腦等,實(shí)現(xiàn)對(duì)惡意行為的檢測(cè)����。用戶應(yīng)用層監(jiān)控模塊201,用于監(jiān)控智能手機(jī)操作系統(tǒng)用戶正常的通訊行為特征�, 其中通訊行為特征包括撥打電話��,發(fā)送短信�,接收短信���,數(shù)據(jù)傳送等��。如當(dāng)用戶通過(guò)操作系統(tǒng)自帶的短信發(fā)送程序進(jìn)行短信發(fā)送時(shí)會(huì)產(chǎn)生發(fā)件的特定事件�,當(dāng)監(jiān)控到產(chǎn)生該事件后可以讀取到與短信相關(guān)內(nèi)容��,包括短信內(nèi)容����,接收者等信息。用戶應(yīng)用層監(jiān)控模塊201將及時(shí)的把監(jiān)控到的用戶通訊內(nèi)容傳遞至中央處理單元204�����。無(wú)線電接口層監(jiān)控模塊202�����,用于在智能手機(jī)操作系統(tǒng)無(wú)線電接口層監(jiān)控操作系統(tǒng)與通訊設(shè)備之間的有關(guān)無(wú)線電通訊的原始數(shù)據(jù)通訊��,例如�,當(dāng)應(yīng)用程序在發(fā)送短信內(nèi)容 abc到電話號(hào)碼10086時(shí)��,會(huì)通過(guò)無(wú)線電接口層RIL調(diào)用與底層的無(wú)線電硬件設(shè)備進(jìn)行的通訊�����,由于歷史原因��,大多數(shù)底層通訊設(shè)備都采用AT指令集進(jìn)行通訊���。指令為
AT > AT+CMGS = 13AT > 00010005810180f600000341fll8AT < +CMGS 0當(dāng)無(wú)線電接口層監(jiān)控模塊202捕獲到指令請(qǐng)求后會(huì)將指令請(qǐng)求發(fā)送至數(shù)據(jù)解碼模塊203。數(shù)據(jù)解碼模塊203根據(jù)接收到的不同數(shù)據(jù)指令集對(duì)接收到的數(shù)據(jù)進(jìn)行編碼解碼��, 將編碼通過(guò)對(duì)應(yīng)算法還原成為通信內(nèi)容���。如當(dāng)接收到指令為AT+CMGS= 13時(shí),可以判斷當(dāng)前接收到的指令為發(fā)送ASCII格式的短信息���,并將附帶的00010005810180f600000341fll8 數(shù)據(jù)使用協(xié)議數(shù)據(jù)單元PDU(ftx)t0C0l Data Unit)編碼進(jìn)行解碼�。通過(guò)協(xié)議數(shù)據(jù)單元PDU 數(shù)據(jù)算法解碼后數(shù)據(jù)還為發(fā)送內(nèi)容abc�,接收者電話號(hào)碼10086,將解碼后的相關(guān)信息發(fā)送至中央處理單元204����。如圖2所示�����,在本發(fā)明實(shí)施例中����,中央處理單元包括智能分析模塊2041���,用于將來(lái)至用戶應(yīng)用層監(jiān)控模塊201及無(wú)線電接口層監(jiān)控模塊202所采集的同類型數(shù)據(jù)進(jìn)行分析比對(duì)���,當(dāng)用戶應(yīng)用層監(jiān)控模塊201所采集的數(shù)據(jù)與無(wú)線電接口層模塊202所采集的數(shù)據(jù)有一致性時(shí),智能分析模塊2041即斷定當(dāng)前的數(shù)據(jù)通訊是由用戶主動(dòng)操作產(chǎn)生的�,屬于正常通訊行為,如果用戶應(yīng)用層模塊201所采集的數(shù)據(jù)與無(wú)線電接口層模塊202所采集的數(shù)據(jù)不一致或當(dāng)前的通訊行為及內(nèi)容屬于本系統(tǒng)限制范圍����,智能分析模塊2041將相關(guān)信息內(nèi)容發(fā)送至用戶提示模塊2042,并調(diào)用該用戶提示模塊2042�����。用戶提示模塊2042根據(jù)不同的提示類型方法在智能手機(jī)用戶交互界面生產(chǎn)不同的信息類型用戶提示框�����。不同的信息類型為通行為不匹配,則提示當(dāng)前用戶有非正常的數(shù)據(jù)通訊行為�,并提示用戶是阻止通訊還是放行,如果用戶選擇阻止通訊�����,用戶提示模塊2042 會(huì)調(diào)用通訊阻斷模塊2043�����。如果該通訊行為屬于本系統(tǒng)的限制范圍�����,那么用戶提示模塊 2042會(huì)自動(dòng)調(diào)用通訊阻斷模塊2043�,并提示用戶連接被阻斷。通訊阻斷模塊2043根據(jù)本系統(tǒng)或用戶的選擇對(duì)當(dāng)前正在進(jìn)行的數(shù)據(jù)通訊進(jìn)行阻斷�。如當(dāng)前的數(shù)據(jù)通訊行為特征為撥打電話�����,則掛斷當(dāng)前電話�����;數(shù)據(jù)通訊行為特征為網(wǎng)絡(luò)連接,則掛斷網(wǎng)絡(luò)���;數(shù)據(jù)通訊行為特征為發(fā)送短信�����,則阻止短信發(fā)送���。數(shù)據(jù)統(tǒng)計(jì)模塊2044將來(lái)至各個(gè)模塊的數(shù)據(jù)信息及結(jié)果數(shù)據(jù)存入本系統(tǒng)的數(shù)據(jù)庫(kù)中。數(shù)據(jù)信息及結(jié)果數(shù)據(jù)包括撥打電話的總時(shí)間�����、發(fā)送短信的總次數(shù)�、網(wǎng)絡(luò)連接的流量、已阻止的連接數(shù)���、用戶定義限制規(guī)則等�����。圖3為本發(fā)明基于無(wú)線電接口層的惡意行為檢測(cè)系統(tǒng)流程圖��,如圖3所示�����,下面詳細(xì)介紹基于無(wú)線電接口層的惡意行為檢測(cè)系統(tǒng)流程��。1.用戶應(yīng)用層監(jiān)控模塊及無(wú)線電接口層監(jiān)控模塊開(kāi)始監(jiān)控智能手機(jī)的通訊行為���;2.本監(jiān)控系統(tǒng)判斷監(jiān)控接口是否捕獲到數(shù)據(jù)如果捕獲到數(shù)據(jù)�����,則進(jìn)行數(shù)據(jù)解碼���;若未捕獲到數(shù)據(jù)就繼續(xù)等待捕獲;3.將解碼后的數(shù)據(jù)提交至中央處理單元����,中央處理單元將數(shù)據(jù)進(jìn)行行為關(guān)聯(lián)分析,確定當(dāng)前的連接是屬于用戶操作����,還是屬于惡意行為或本系統(tǒng)規(guī)則限制����;4.如果檢測(cè)出結(jié)果屬于非人為操作產(chǎn)生或?qū)儆诒鞠到y(tǒng)規(guī)則限制�,則提示當(dāng)前正在操作的用戶�����,否則���,結(jié)束本次檢測(cè)����;
10
5.根據(jù)需要的提示類型來(lái)判斷是否產(chǎn)生提示窗口�����,若需要產(chǎn)生提示窗口�����,則在當(dāng)前用戶系統(tǒng)產(chǎn)生提示窗口�����,否則直接阻斷通訊���;用戶提示模塊將檢查提示信息類型����,根據(jù)不同信息類型方式在智能手機(jī)用戶交互界面產(chǎn)生不同的提示方法信息類型為通訊行為不匹配,則提示當(dāng)前正在操作的用戶有非正常數(shù)據(jù)通訊行為���,并提示用戶是阻斷通訊還是放行����;如信息類型為本系統(tǒng)設(shè)定的規(guī)則限制�,則自動(dòng)阻斷該通訊并提示用戶;所述通訊行為不匹配為用戶層無(wú)通訊但接口層有通訊��, 或者接口層無(wú)通訊但應(yīng)用層有通訊���。設(shè)定限制規(guī)則包括限制程序�、限制次數(shù)�����、限制方式�、限制時(shí)間、本系統(tǒng)默認(rèn)限制�����、用戶自定義限制等����。6.將操作結(jié)果及模塊信息存入惡意行為監(jiān)測(cè)系統(tǒng)數(shù)據(jù)庫(kù),并結(jié)束此次檢測(cè)�����。通過(guò)對(duì)智能手機(jī)操作系統(tǒng)的無(wú)線電接口層進(jìn)行數(shù)據(jù)監(jiān)控���,當(dāng)智能手機(jī)操作系統(tǒng)與底層無(wú)線電硬件進(jìn)行數(shù)據(jù)交換通訊時(shí)����,監(jiān)控智能手機(jī)操作系統(tǒng)與底層無(wú)線電硬件的數(shù)據(jù)指令并對(duì)數(shù)據(jù)指令進(jìn)行解碼分析�����,精確地從底層獲知操作系統(tǒng)應(yīng)用層是否正在進(jìn)行撥號(hào)����、語(yǔ)音通訊、數(shù)據(jù)通信�、短信通信等與無(wú)線電硬件數(shù)據(jù)通訊的相關(guān)詳細(xì)信息�,彌補(bǔ)智能手機(jī)操作系統(tǒng)架構(gòu)無(wú)法從底層全局獲知當(dāng)前手機(jī)數(shù)據(jù)通信狀態(tài)的系統(tǒng)缺陷���,并將獲取的相關(guān)應(yīng)用程序與底層無(wú)線電硬件通訊狀態(tài)數(shù)據(jù)信息與智能手機(jī)操作系統(tǒng)用戶層的相關(guān)應(yīng)用程序進(jìn)行智能行為匹配(相關(guān)應(yīng)用程序”����、“底層無(wú)線電硬件通訊狀態(tài)數(shù)據(jù)信息”和“智能手機(jī)操作系統(tǒng)用戶層的相關(guān)應(yīng)用程序”3個(gè)同時(shí)匹配)��,區(qū)分出哪些應(yīng)用程序是合法的數(shù)據(jù)通訊行為���,哪些應(yīng)用程序是非法數(shù)據(jù)通信行為��,從而針對(duì)各種惡意軟件行為能夠提供及時(shí)有力的保護(hù)�, 提高智能手機(jī)用戶整體安全性�。應(yīng)說(shuō)明的是,本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施方式中的全部或部份步驟是可以通過(guò)程序來(lái)指令相關(guān)的硬件來(lái)完成��,所述的程序可以存儲(chǔ)于計(jì)算機(jī)及手機(jī)可讀取存儲(chǔ)介質(zhì)中�,這里所稱的存儲(chǔ)介質(zhì)可以是ROM/RAM、磁盤(pán)��、光盤(pán)等�����。以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案而非限制,盡管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說(shuō)明��,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解�����,可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換�,而不脫離本發(fā)明技術(shù)方案的精神和范圍�����,其均應(yīng)涵蓋在本發(fā)明權(quán)利要求范圍中�����。
權(quán)利要求
1.一種基于智能手機(jī)無(wú)線電接口層的惡意行為檢測(cè)方法�,其特征在于,包括如下步驟A.智能手機(jī)操作系統(tǒng)用戶應(yīng)用層監(jiān)控模塊通過(guò)實(shí)時(shí)監(jiān)控�,收集用戶以交互式應(yīng)用方式進(jìn)行的相關(guān)通訊操作的信息,并將相關(guān)通訊操作的信息提交至中央處理單元���;B.無(wú)線電接口層監(jiān)控模塊實(shí)時(shí)監(jiān)控智能手機(jī)操作系統(tǒng)與無(wú)線電硬件設(shè)備之間的數(shù)據(jù)通訊接口層�,當(dāng)智能手機(jī)操作系統(tǒng)與無(wú)線電硬件設(shè)備通訊時(shí)�,無(wú)線電接口層監(jiān)控模塊捕獲操作系統(tǒng)與無(wú)線電接口層之間的原始數(shù)據(jù)編碼�;當(dāng)無(wú)線電接口層監(jiān)控模塊捕獲到原始數(shù)據(jù)編碼時(shí)�����,進(jìn)入步驟C�,否則,將繼續(xù)循環(huán)����,等待通訊時(shí)捕獲到原始數(shù)據(jù)編碼;C.根據(jù)不同的數(shù)據(jù)指令類型����,數(shù)據(jù)解碼模塊將無(wú)線電接口層監(jiān)控模塊捕獲的原始數(shù)據(jù)編碼進(jìn)行數(shù)據(jù)解碼,將解碼后的原始數(shù)據(jù)編碼提交至中央處理單元�;當(dāng)中央處理單元完成其中的內(nèi)部核心模塊數(shù)據(jù)流處理操作流程后,將相關(guān)數(shù)據(jù)信息及各個(gè)模塊結(jié)果數(shù)據(jù)提交至數(shù)據(jù)統(tǒng)計(jì)模塊����,數(shù)據(jù)統(tǒng)計(jì)模塊將相關(guān)數(shù)據(jù)信息及各個(gè)模塊結(jié)果數(shù)據(jù)保存在數(shù)據(jù)庫(kù)中。
2.根據(jù)權(quán)利要求1所述的惡意行為檢測(cè)方法�����,其特征在于���,所述步驟C還包括如下步驟Cl.中央處理單元將數(shù)據(jù)解碼模塊解碼后的原始數(shù)據(jù)編碼與用戶應(yīng)用層監(jiān)控模塊收集的相關(guān)操作信息提交至智能分析模塊���;C2.智能分析模塊將來(lái)自無(wú)線電底層的通訊行為特征與操作系統(tǒng)層之間的同類型通訊行為特征進(jìn)行比對(duì)�,若操作系統(tǒng)層的通訊行為特征與無(wú)線電底層的通訊特征行為相匹配�, 則進(jìn)入步驟C3,若通訊行為特征不匹配或通訊行為特征符合相關(guān)設(shè)定規(guī)則限制�����,則將相關(guān)信息提交至用戶提示模塊�,并進(jìn)入步驟C4 �����;C3.將相關(guān)通訊信息提交至數(shù)據(jù)統(tǒng)計(jì)模塊�,數(shù)據(jù)統(tǒng)計(jì)模塊將相關(guān)通訊信息保存在數(shù)據(jù)庫(kù)中;C4.用戶提示模塊將檢查提示信息類型�����,根據(jù)不同信息類型方式在智能手機(jī)用戶交互界面產(chǎn)生不同的提示方法信息類型為通訊行為特征不匹配��,則提示當(dāng)前正在操作的用戶有非正常數(shù)據(jù)通訊行為特征�����,并提示用戶阻斷通訊還是放行;如信息類型為本系統(tǒng)設(shè)定規(guī)則限制�,則自動(dòng)阻斷該通訊并提示用戶;C5.通訊阻斷模塊將根據(jù)本監(jiān)控系統(tǒng)用戶的選擇對(duì)當(dāng)前正在進(jìn)行的通訊行為特征進(jìn)行阻斷��,中央處理單元將相關(guān)數(shù)據(jù)信息及各模塊結(jié)果數(shù)據(jù)提交至數(shù)據(jù)統(tǒng)計(jì)模塊����,數(shù)據(jù)統(tǒng)計(jì)模塊將相關(guān)數(shù)據(jù)信息保存在數(shù)據(jù)庫(kù)中。
3.根據(jù)權(quán)利要求1所述的惡意行為檢測(cè)方法���,其特征在于��,在步驟A中�,所述相關(guān)通訊操作包括撥打電話��、發(fā)送短信�����、訪問(wèn)網(wǎng)絡(luò)�;在步驟B中,所述從無(wú)線電接口層捕獲原始數(shù)據(jù)編碼包括以下至少一種SIM PIN、10����、IMSI/IMEI、電話狀態(tài)�����、網(wǎng)絡(luò)狀態(tài)查詢�、網(wǎng)絡(luò)設(shè)置、短信�����、PDP連接�、電源和復(fù)位����、輔助服務(wù)、供應(yīng)商定義及其支持主動(dòng)請(qǐng)求指令����、網(wǎng)絡(luò)狀態(tài)改變、新短信通知�、新USSD通知、信號(hào)強(qiáng)度和時(shí)間改變被動(dòng)請(qǐng)求指令;所述電話狀態(tài)包括撥號(hào)或應(yīng)答或靜音��;所述網(wǎng)絡(luò)設(shè)置為禁止����、轉(zhuǎn)發(fā)、選擇中的至少一種���;所述網(wǎng)絡(luò)設(shè)置為禁止�、轉(zhuǎn)發(fā)�����、選擇中的至少一種����。
4.根據(jù)權(quán)利要求1所述的惡意行為檢測(cè)方法,其特征在于��,在步驟C中��,所述不同的數(shù)據(jù)指令類型包括客戶識(shí)別模塊個(gè)人識(shí)別碼�����、輸入輸出、國(guó)際移動(dòng)用戶識(shí)別碼�、國(guó)際移動(dòng)裝備識(shí)別碼、電話狀態(tài)和動(dòng)作�����、網(wǎng)絡(luò)狀態(tài)查詢����、網(wǎng)絡(luò)設(shè)置、短信����、PDP連接分組數(shù)據(jù)協(xié)議、電源和復(fù)位���、輔助服務(wù)�、供應(yīng)商定義及其支持等主動(dòng)請(qǐng)求指令�,以及網(wǎng)絡(luò)狀態(tài)改變��、新短信通知��、新 USSD通知�����、信號(hào)強(qiáng)度和時(shí)間改變等被動(dòng)請(qǐng)求指令;內(nèi)部核心模塊包括智能分析模塊���、用戶提示模塊�����、通訊阻斷模塊和數(shù)據(jù)統(tǒng)計(jì)模塊�;所述數(shù)據(jù)信息及各模塊結(jié)果數(shù)據(jù)包括解碼后的無(wú)線電接口層的原始數(shù)據(jù)編碼及相關(guān)數(shù)據(jù)統(tǒng)計(jì)結(jié)果��。
5.根據(jù)權(quán)利要求2所述的惡意行為檢測(cè)方法�,其特征在于,在步驟Cl中����,所述解碼后的原始數(shù)據(jù)編碼指將編碼后的指令還原為與主動(dòng)及被動(dòng)指令相同的原始指令;在步驟C2中����, 所述通訊行為特征不匹配為用戶層無(wú)通訊但接口層有通訊或接口層無(wú)通訊但應(yīng)用層有通訊;設(shè)定限制規(guī)則包括以下至少一種限制程序�����、限制次數(shù)、限制方式�、限制時(shí)間、本系統(tǒng)默認(rèn)限制或用戶自定義限制���;在步驟C5中���,所述各模塊結(jié)果數(shù)據(jù)包括攔截結(jié)果記錄及相關(guān)信肩、ο
6.一種基于智能手機(jī)無(wú)線電接口層的惡意行為檢測(cè)系統(tǒng)�����,其特征在于�����,包括用戶應(yīng)用層監(jiān)控模塊����、無(wú)線電接口層監(jiān)控模塊、數(shù)據(jù)解碼模塊�����、中央處理單元�,所述用戶應(yīng)用層監(jiān)控模塊實(shí)時(shí)收集用戶以交互式應(yīng)用方式進(jìn)行的相關(guān)通訊操作的信息,并將相關(guān)通訊操作的信息提交至中央處理單元�;所述無(wú)線電接口層監(jiān)控模塊通過(guò)監(jiān)控智能手機(jī)操作系統(tǒng)與無(wú)線電硬件設(shè)備之間的數(shù)據(jù)通訊接口層,實(shí)時(shí)捕獲智能手機(jī)操作系統(tǒng)與手機(jī)無(wú)線電硬件設(shè)備的相關(guān)指令信息及內(nèi)容的原始數(shù)據(jù)編碼����,并將原始數(shù)據(jù)編碼提交至數(shù)據(jù)解碼模塊;所述數(shù)據(jù)解碼模塊將對(duì)無(wú)線電接口層監(jiān)控模塊獲取的智能手機(jī)操作系統(tǒng)與手機(jī)無(wú)線電設(shè)備的相關(guān)指令信息及內(nèi)容的原始數(shù)據(jù)編碼進(jìn)行編碼還原及解碼��,還原操作系統(tǒng)應(yīng)用層對(duì)應(yīng)的操作指令及相關(guān)數(shù)據(jù)���,數(shù)據(jù)解碼模塊將解碼后的原始數(shù)據(jù)編碼提交至中央處理單兀����。
7.根據(jù)權(quán)利要求6所述的惡意行為檢測(cè)系統(tǒng)�,其特征在于,所述中央處理單元包括智能分析模塊����、用戶提示模塊、通訊阻斷模塊和數(shù)據(jù)統(tǒng)計(jì)模塊����,其中,所述智能分析模塊��,用于將來(lái)自所述數(shù)據(jù)解碼模塊的解碼后的原始編碼及用戶應(yīng)用層監(jiān)控模塊的數(shù)據(jù)進(jìn)行智能比對(duì)分析,根據(jù)分析結(jié)果調(diào)用用戶提示模塊���;所述用戶提示模塊�,與所述智能分析模塊相連��,用于根據(jù)不同提示信息智能手機(jī)的操作系統(tǒng)用戶應(yīng)用層生成不同的提示方式���,并且根據(jù)用戶選擇或本系統(tǒng)相關(guān)限制規(guī)則�����,對(duì)當(dāng)前檢測(cè)到的通訊行為進(jìn)行控制操作�����,當(dāng)用戶或本系統(tǒng)選擇阻斷當(dāng)前通訊時(shí)��,則會(huì)調(diào)用通訊阻斷模塊��;所述通訊阻斷模塊�,與所述用戶提示模塊相連��,用于根據(jù)用戶或本系統(tǒng)的選擇結(jié)果, 對(duì)當(dāng)前正在進(jìn)行的數(shù)據(jù)通訊應(yīng)用程序特定數(shù)據(jù)連接進(jìn)行阻斷操作���,阻止正在進(jìn)行的數(shù)據(jù)操作;所述數(shù)據(jù)統(tǒng)計(jì)模塊�,與智能分析模塊和所述中央處理單元中的其他各個(gè)模塊相連,用于將中央處理單元中的其他各個(gè)模塊中的信息及結(jié)果數(shù)據(jù)收集整理����,并將所收集到的信息保存到數(shù)據(jù)庫(kù)。
8.根據(jù)權(quán)利要求7所述的惡意行為檢測(cè)系統(tǒng)���,其特征在于���,不同的提示方式包括提示已經(jīng)阻止、提示操作���、用戶選擇允許或阻止���。
9.根據(jù)權(quán)利要求6所述的惡意行為檢測(cè)系統(tǒng),其特征在于�,手機(jī)無(wú)線電硬件設(shè)備的相關(guān)指令信息及內(nèi)容包括短信或電話或網(wǎng)絡(luò)操作。
10.根據(jù)權(quán)利要求7至9任一項(xiàng)所述的惡意行為檢測(cè)系統(tǒng)�,其特征在于,所述數(shù)據(jù)信息及結(jié)果數(shù)據(jù)包括撥打電話的總時(shí)間����、發(fā)送短信的總次數(shù)����、網(wǎng)絡(luò)連接的流量�����、已阻止的連接數(shù)�、用戶定義限制規(guī)則。
全文摘要
本發(fā)明涉及一種基于智能手機(jī)無(wú)線電接口層的惡意行為檢測(cè)方法及系統(tǒng)�,當(dāng)操作系統(tǒng)與底層無(wú)線電硬件進(jìn)行數(shù)據(jù)交換通訊時(shí),監(jiān)控其數(shù)據(jù)指令并對(duì)指令進(jìn)行解碼分析��,精確地從底層獲知操作系統(tǒng)應(yīng)用層是否正在進(jìn)行撥號(hào)�����、語(yǔ)音通訊�����、數(shù)據(jù)通信����、短信通信等與無(wú)線電硬件數(shù)據(jù)通訊的相關(guān)信息��,彌補(bǔ)智能手機(jī)操作系統(tǒng)架構(gòu)無(wú)法從底層全局獲知當(dāng)前手機(jī)數(shù)據(jù)通信狀態(tài)的系統(tǒng)缺陷�����,并將獲取到的相關(guān)應(yīng)用程序與底層無(wú)線電硬件通訊狀態(tài)數(shù)據(jù)信息與智能手機(jī)操作系統(tǒng)用戶層的相關(guān)應(yīng)用程序進(jìn)行智能行為匹配,區(qū)分出哪些應(yīng)用程序是合法的數(shù)據(jù)通訊行為���,哪些應(yīng)用程序是非法數(shù)據(jù)通信行為����,從而針對(duì)各種惡意軟件行為能夠提供及時(shí)有力的保護(hù)��,提高智能手機(jī)用戶的安全性��。
文檔編號(hào)H04W88/02GK102209326SQ20111013313
公開(kāi)日2011年10月5日 申請(qǐng)日期2011年5月20日 優(yōu)先權(quán)日2011年5月20日
發(fā)明者蔡雪飛 申請(qǐng)人:北京中研瑞豐信息技術(shù)研究所(有限合伙)