智能移动终端恶意软件的检测方法与装置制造方法

智能移动终端恶意软件的检测方法与装置制造方法
【专利摘要】本发明公开了一种智能移动终端恶意软件的检测方法与装置，将用户操作与软件行为进行对比，根据行为特征识别出恶意软件。面对不断涌现的新病毒或病毒变种，与传统检测方法相比，本方法与装置不依赖于恶意代码区段特征库和恶意函数调用序列特征库，也不局限于已知的恶意软件，所以具有较好的通用性和较高的检出率，可以很好地识别恶意吸费、隐私窃取、远程控制等恶意行为，为智能移动终端的安全使用提供了可靠保证。
【专利说明】智能移动终端恶意软件的检测方法与装置

【技术领域】
[0001] 本发明涉及智能移动终端【技术领域】，特别是涉及一种智能移动终端恶意软件的检 测方法与装置。

【背景技术】
[0002] 近年来，伴随着移动互联网的飞速发展，智能移动终端软件已渗透到人们生产生 活的各个关键领域，如移动办公、电子支付、车载导航等，智能移动终端软件的数量已远远 超出传统PC上应用软件的数量。在众多智能移动终端软件中，以Google为首的Android 阵营通过采用开放性策略，使该平台上的应用软件数量呈现出爆发式的增长，与i〇S、WP上 的应用软件相比较，目前Android应用软件的数量和用户数量已占据了绝对优势。
[0003] 在Android平台上应用软件不断普及的同时，在多种因素的驱动下，该平台上的 恶意软件也极速增多。根据美国网络安全公司趋势科技最新发布的统计数据显示，2013年 Android引了恶意软件的80%，这其中很大一部分原因是因为它是一款开源系统，恶意软 件很容易藏匿其中。与之相比较，苹果的iOS有0.7%的恶意软件，而WP仅有0.3%。因此， Android平台已成为恶意软件的重灾区，垃圾短信、恶意扣费、隐私窃取、系统破坏等现象层 出不穷。这些现象不仅影响了人们正常的日常生活，同时也给人们的财产安全、国家安全带 来了严重威胁。Android应用软件的安全问题已引起了普遍关注，相应的恶意软件检测技术 也较多，以下分别对主流的检测技术进行介绍。
[0004] 1.现有恶意软件静态检测技术
[0005] 1. 1现有恶意软件静态检测技术原理
[0006] 现有的恶意软件静态检测技术一般采用逆向工程的技术手段，主要原理是检测程 序中是否存在已知恶意代码段的二进制序列、操作码序列和函数调用序列等特征序列，如 果出现了这样的序列，那么该软件就极有可能被判断为恶意软件，反之该软件则会被判定 为正常软件。
[0007] 1. 2现有恶意软件静态检测技术的缺点
[0008] 现有的恶意软件静态检测技术的检测能力很大程度上依赖恶意软件的特征库，并 且只能针对已出现的病毒、木马进行查杀，不能检测未知恶意移动应用。此外，对于已加固 后的恶意移动应用，由于其已经过了加密和混淆处理，恶意软件静态检测技术较难适用。
[0009] 2.现有恶意软件动态检测技术 [0010] 2. 1现有恶意软件动态检测技术原理
[0011] 现有恶意软件动态检测技术主要通过分析程序运行过程中调用的软件行为特征 来检测恶意软件，也有研究人员根据分析程序运行时调用的系统核心函数的序列特征来检 测恶意软件。
[0012] 2. 2现有恶意软件动态检测技术的缺点
[0013] 现有通过分析API函数和系统核心函数调用的检测方法的抽象程度不高，恶意 API调用序列特征过于细节化，因此，对于恶意行为模式相同，但软件实现不同的恶意移动 应用检出率不高。此外，动态检测技术由于需要创建单独的函数调用监测进程，其系统资源 占用率较高，从而影响会正常软件的运行。


【发明内容】

[0014] 基于上述情况，本发明提出了一种智能移动终端恶意软件的检测方法与装置，以 提高恶意软件的检出率。为此，采用的方案如下。
[0015] 一种智能移动终端恶意软件的检测方法，包括如下步骤：
[0016] 确定屏幕上当前显示的页面，并记录用户在当前页面上的各项操作；
[0017] 对当前页面对应的应用程序进行行为监控；
[0018] 判断同一时间下应用程序的行为与用户在该应用程序页面上的操作是否对应，若 不对应则将该应用程序判定为可疑的恶意软件。
[0019] 智能移动终端恶意软件的检测装置，包括如下模块：
[0020] 用户操作行为监测模块，用于确定屏幕上当前显示的页面，并记录用户在当前页 面上的各项操作；
[0021] 软件行为监测模块，用于对当前页面对应的应用程序进行行为监控；
[0022] 恶意行为特征识别模块，用于判断同一时间下应用程序的行为与用户在该应用程 序页面上的操作是否对应，若不对应则将该应用程序判定为可疑的恶意软件。
[0023] 本发明的智能移动终端恶意软件的检测方法与装置，将用户操作与软件行为进行 对比，根据行为特征识别出恶意软件。面对不断涌现的新病毒或病毒变种，与传统检测方法 相比，本方法与装置不依赖于恶意代码区段特征库和恶意函数调用序列特征库，也不局限 于已知的恶意软件，所以具有较好的通用性和较高的检出率，可以很好地识别恶意吸费、隐 私窃取、远程控制等恶意行为，为智能移动终端的安全使用提供了可靠保证。

【专利附图】

【附图说明】
[0024] 图1为本发明智能移动终端恶意软件的检测方法的流程示意图；
[0025] 图2为Android Binder机制不意图；
[0026] 图3为本发明智能移动终端恶意软件的检测方法中软件行为监控的实现原理示 意图；
[0027] 图4为本发明智能移动终端恶意软件的检测方法中基于行为对比的恶意软件识 别方法示意图；
[0028] 图5为本发明智能移动终端恶意软件的检测装置的结构示意图。

【具体实施方式】
[0029] 为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对 本发明进行进一步的详细说明。应当理解，此处所描述的【具体实施方式】仅仅用以解释本发 明，并不限定本发明的保护范围。
[0030] 本发明的智能移动终端恶意软件的检测方法，如图1所示，包括以下步骤：
[0031] 步骤S101、确定屏幕上当前显示的页面，并记录用户在当前页面上的各项操作。
[0032] 对于智能移动终端软件，用户的操作行为主要集中在智能移动终端屏幕上。本方 法采用基于屏幕操作和状态的智能移动终端软件用户行为监测方法实现对用户行为的监 测。
[0033] 在Android机制中，AndroidOnTouchListener接口用于处理手机屏幕操作事件， 当用户在手机屏幕范围内进行触摸、按下、抬起或滑动等动作时，该接口事件均会被触发， 因此本方法优选地采用该接口记录用户当前在屏幕上的各项操作。
[0034] Activity 代表 Android 界面的状态，Android 中 ActivityActivityManager 管理着 Android系统中所有Activity的状态。本方法优选地通过建立ActivityActivityManager 对象，并使用getRunningTasksO. get〇. topActivity接口可获取屏幕当前的状态，即确 定智能移动终端当前正在运行什么软件，正在显示哪个页面。
[0035] 通过将以上屏幕操作信息与界面状态信息结合起来，形成用户操作行为映射，其 具体形式如表1所示。
[0036] 表1用户操作行为映射表
[0037]

【权利要求】
1. 一种智能移动终端恶意软件的检测方法，其特征在于，包括如下步骤： 确定屏幕上当前显示的页面，并记录用户在当前页面上的各项操作； 对当前页面对应的应用程序进行行为监控； 判断同一时间下应用程序的行为与用户在该应用程序页面上的操作是否对应，若不对 应则将该应用程序判定为可疑的恶意软件。
2. 根据权利要求1所述的智能移动终端恶意软件的检测方法，其特征在于， 当应用于八11(11'〇丨(1操作系统的智能移动终端时，建立4〇1:;^;^5^〇1:;^;^5^31^861'对象， 并使用getRunningTasksO. get〇. topActivity接口确定屏幕上当前显示的页面。
3. 根据权利要求2所述的智能移动终端恶意软件的检测方法，其特征在于， 当应用于Android操作系统的智能移动终端时，采用AndroidOnTouchListener接口记 录用户在当前页面上的各项操作。
4. 根据权利要求1或2或3所述的智能移动终端恶意软件的检测方法，其特征在于， 当应用于Android操作系统的智能移动终端时，在Android的Service中加入Hook函 数，根据所加入的Hook函数的被调用情况，完成对应用程序的行为监控。
5. 根据权利要求4所述的智能移动终端恶意软件的检测方法，其特征在于， 对应用程序监控的行为包括：读取頂EI或頂SI、发送短信、拨打电话、读取或者写入系 统数据库、读取GPS信息、连接摄像头服务和连接录音服务。
6. 智能移动终端恶意软件的检测装置，其特征在于，包括如下模块： 用户操作行为监测模块，用于确定屏幕上当前显示的页面，并记录用户在当前页面上 的各项操作； 软件行为监测模块，用于对当前页面对应的应用程序进行行为监控； 恶意行为特征识别模块，用于判断同一时间下应用程序的行为与用户在该应用程序页 面上的操作是否对应，若不对应则将该应用程序判定为可疑的恶意软件。
7. 根据权利要求6所述的智能移动终端恶意软件的检测装置，其特征在于， 当应用于Android操作系统的智能移动终端时，所述用户操作行为监测模块用于通过 建立 ActivityActivityManager 对象，并使用 getRunningTasks () · get () · topActivity 接 口确定屏幕上当前显示的页面。
8. 根据权利要求7所述的智能移动终端恶意软件的检测装置，其特征在于， 当应用于Android操作系统的智能移动终端时，所述用户操作行为监测模块还用于采 用AndroidOnTouchListener接口记录用户在当前页面上的各项操作。
9. 根据权利要求6或7或8所述的智能移动终端恶意软件的检测装置，其特征在于， 当应用于Android操作系统的智能移动终端时，所述软件行为监测模块用于在 Android的Service中加入Hook函数，根据所加入的Hook函数的被调用情况，完成对应用 程序的行为监控。
10. 根据权利要求9所述的智能移动终端恶意软件的检测装置，其特征在于， 所述软件行为监测模块对应用程序监控的行为包括：读取頂EI或頂SI、发送短信、拨 打电话、读取或者写入系统数据库、读取GPS信息、连接摄像头服务和连接录音服务。
【文档编号】G06F21/56GK104217164SQ201410462352
【公开日】2014年12月17日 申请日期:2014年9月11日 优先权日:2014年9月11日
【发明者】林军, 杨春晖, 刘奕宏, 冯晓荣 申请人:工业和信息化部电子第五研究所