1.一种应用级窃听防护方法,其特征在于,包括:
获取移动终端上安装的第三方应用程序的权限标记;
利用预先根据窃听过程所需的权限标记所制定的安全权限规则,对所述第三方应用程序进行过滤,得到可疑应用程序;
对所述可疑应用程序进行监控,判断在所述移动终端处于通话状态时所述可疑应用程序是否对通话内容进行录音;
若判定在所述移动终端处于通话状态时所述可疑应用程序对通话内容进行录音,则根据侧信道信息,判断所述可疑应用程序是否为窃听应用程序;其中,所述侧信道信息包括在录音过程中的CPU使用率和录音结束后预设时间段内的网络数据流量信息;
若判定所述可疑应用程序为窃听应用程序,则停止所述窃听应用程序的所有进程,并在所述移动终端的显示界面上弹出用于提醒用户的报警窗。
2.根据权利要求1所述的方法,其特征在于,所述安全权限规则包括:
同时具有访问通话状态的权限标记、录音的权限标记和访问网络的权限标记的第三方应用程序为可疑应用程序;和/或
同时具有访问通话状态的权限标记、录音的权限标记、访问网络的权限标记和开机自动启动的权限标记的第三方应用程序为可疑应用程序;和/或
同时具有访问通话状态的权限标记、录音的权限标记和访问网络的权限标记,且注册具有访问通话状态的权限标记的广播接收器的第三方应用程序为可疑应用程序。
3.根据权利要求2所述的方法,其特征在于,所述安全权限规则还包括:
同时具有主动拨打电话的权限标记、录音的权限标记和访问网络的权限标记的第三方应用程序为可疑应用程序;和/或
同时具有主动接听电话的权限标记、录音的权限标记和访问网络的权限标记的第三方应用程序为可疑应用程序;和/或
具有主动拨打电话的权限标记的第三方应用程序为可疑应用程序;和/或
具有主动接听电话的权限标记的第三方应用程序为可疑应用程序;
同时具有主动接听电话的权限标记、录音的权限标记、访问网络的权限标记,且注册具有访问通话状态的权限标记的广播接收器的第三方应用程序为可疑应用程序;和/或
具有主动接听电话的权限标记的第三方应用程序,且注册具有访问通话状态的权限标记的广播接收器的第三方应用程序为可疑应用程序;和/或
同时具有主动接听电话的权限标记、录音的权限标记、访问网络的权限标记和开机自动启动的权限标记的第三方应用程序为可疑应用程序;和/或
同时具有主动接听电话的权限标记和开机自动启动的权限标记的第三方应用程序为可疑应用程序。
4.根据权利要求1所述的方法,其特征在于,所述根据侧信道信息,判断所述可疑应用程序是否为窃听应用程序,包括:
根据所述CPU使用率,判断所述可疑应用程序在录音过程中是否使用CPU资源;
若判定所述可疑应用程序在录音过程中使用CPU资源,则根据所述网络数据流量信息,判断在录音结束后预设时间段内网络数据流量的增加量是否超出预设值;
若所述网络数据流量的增加量超出预设值,则判定所述可疑应用程序为窃听应用程序。
5.根据权利要求1所述的方法,其特征在于,还包括:
若判定在所述移动终端处于通话状态时所述可疑应用程序未对通话内容进行录音,则在所述移动终端的通话状态改变时获取所述移动终端的行为特征信息,并根据所述行为特征信息,判断所述可疑应用程序是否为窃听应用程序;
其中,所述行为特征信息包括任务栈栈顶的界面信息、屏幕状态信息和移动终端的重力加速度信息。
6.根据权利要求5所述的方法,其特征在于,所述根据所述行为特征信息,判断所述可疑应用程序是否为窃听应用程序,包括:
若在所述移动终端的通话状态改变时,任务栈栈顶的应用包名与通话进程的包名不一致,所述移动终端的屏幕处于锁屏状态,且所述重力加速度小于所述预设加速度,则判定所述可疑应用程序为窃听应用程序。
7.根据权利要求5所述方法,其特征在于,所述根据所述行为特征信息,判断所述可疑应用程序是否为窃听应用程序,包括:
将所述行为特征信息输入至贝叶斯分类模型中,根据所述贝叶斯分类模型的输出值判断所述移动终端的通话是否为恶意通话;其中,所述贝叶斯分类模型为预先根据恶意通话样本对应的行为特征信息和安全通话样本对应的行为特征信息学习训练得到;
若判定所述移动终端的通话为恶意通话,则确定在通话过程中使用CPU资源的可疑应用程序为窃听应用程序。
8.根据权利要求7所述的方法,其特征在于,还包括:
若判定所述移动终端的通话为恶意通话,则挂断该通话,并获取对应的通话号码,将获得的通话号码存储至黑名单中。
9.一种应用级窃听防护装置,其特征在于,包括:
获取模块,用于获取移动终端上安装的第三方应用程序的权限标记;
过滤模块,用于利用预先根据窃听过程所需的权限标记所制定的安全权限规则,对所述第三方应用程序进行过滤,得到可疑应用程序;
第一判断模块,用于对所述可疑应用程序进行监控,判断在所述移动终端处于通话状态时所述可疑应用程序是否对通话内容进行录音;
第二判断模块,用于在判定在所述移动终端处于通话状态时所述可疑应用程序对通话内容进行录音时,根据侧信道信息,判断所述可疑应用程序是否为窃听应用程序;其中,所述侧信道信息包括在录音过程中的CPU使用率和录音结束后预设时间段内的网络数据流量信息;
阻断模块,用于在判定所述可疑应用程序为窃听应用程序时,停止所述窃听应用程序的所有进程,并在所述移动终端的显示界面上弹出用于提醒用户的报警窗。
10.根据权要求9所述的装置,其特征在于,所述第二判断模块具体用于:
根据所述CPU使用率,判断所述可疑应用程序在录音过程中是否使用CPU资源;
若判定所述可疑应用程序在录音过程中使用CPU资源,则根据所述网络数据流量信息,判断在录音结束后预设时间段内网络数据流量的增加量是否超出预设值;
若所述网络数据流量的增加量超出预设值,则判定所述可疑应用程序为窃听应用程序。