一种手机恶意扣费的检测方法

一种手机恶意扣费的检测方法
【专利摘要】本发明公开了一种手机恶意扣费的检测方法，该方法包括：组合增值计费代码规则库；注入底层函数代码；对手机待测应用进行敏感行为监测及网络流量抓包；判定手机恶意扣费行为。实施本发明的有益效果是，通过整理计费代码规则库，并基于动态行为监测日志的手机恶意软件吸费行为，可准确判定手机恶意扣费的手段，同时对敏感行为日志及网络流量抓包的方式可全面分析手机恶意扣费的行为。
【专利说明】
一种手机恶意扣费的检测方法
技术领域
[0001]本发明涉及移动通信应用技术领域，尤其涉及一种手机恶意扣费的检测方法。
【背景技术】
[0002]进入移动互联网时代，智能手机日益普及，各种手机应用令人眼花缭乱。然而，部分不法分子通过二次打包等方式在正常手机应用中植入恶意代码，再通过部分管理不严的第三方市场或手机论坛诱导用户下载安装。当用户安装了这些植入恶意代码的手机应用后，恶意代码在后台偷偷地订购或使用各种增值业务，不法分子从中攫取巨额利润。如何在无以计数的手机应用中发现这些被植入恶意代码的手机恶意软件，成为了一个移动互联网安全领域的难题。
[0003]参见图1，图1是现有的手机恶意软件通过梦网短信业务进行吸费的流程图，在现有技术中，针对恶意扣费行为，各安全厂商对手机恶意软件的恶意扣费行为检测手段主要包括静态代码检测和动态行为检测。静态代码检测，主要是通过对手机应用软件进行反汇编，然后分析反汇编的代码中是否存在恶意扣费代码；动态行为检测，则是通过对操作系统底层函数注入代码，获取手机应用调用操作系统底层函数的日志，判断是否有异常短信行为、异常上网行为或异常拨打电话行为。上述做法存在以下缺点:
[0004]1、安全厂商缺乏对增值业务的了解，无法整理对应的增值业务计费代码规则库，导致其检测行为存在漏报或者误报的问题。
[0005]2、由于不法分子提高了警惕性，恶意代码中对涉及到计费代码部分进行加密，导致静态代码检测很难发现恶意扣费代码。

【发明内容】

[0006]有鉴于此，本发明的目的在于提供一种手机恶意扣费的检测方法，旨在解决现有技术中对增值业务计费代码规则库的检测行为存在漏报或者误报、静态代码检测很难发现恶意扣费代码的技术问题。
[0007]本发明的技术方案实现如下:
[0008]提供一种手机恶意扣费的检测方法，包括:
[0009]组合包括短信计费代码、WAP计费URL以及语音业务计费代码的增值计费代码规则库；
[0010]注入手机操作系统与所述短信计费代码、WAP计费URL以及语音业务计费代码相应的底层函数代码；
[0011]对手机待测应用进行敏感行为监测及网络流量抓包，从而监测所述手机待测应用的动态行为，依据所述短信计费代码及语音业务计费代码相应的底层函数代码生成动态行为日志，依据所获取的网络流量抓包及所述WAP计费URL相应的底层函数代码判定WAP扣费行为；
[0012]依据所述动态行为日志及所述WAP扣费行为，判定手机恶意扣费行为。
[0013]在本发明所述的监测方法中，在组合包括短信计费代码、WAP计费URL以及语音业务计费代码的增值计费代码规则库的步骤中，包括:
[0014]组合所述短信计费代码的名称、运营商类型、业务类型、短信接入号及企业代码；
[0015]组合所述WAP计费URL的名称、运营商类型、业务类型、计费URL地址及企业代码；
[0016]组合所述语音业务计费代码的名称、运营商类型、业务类型、语音接入号及企业代码。
[0017]在本发明所述的监测方法中，在对手机待测应用进行敏感行为监测的步骤包括:
[0018]将所述手机待测应用安装于已注入所述底层函数代码的手机中；
[0019]执行预设的自动化测试脚本，从而对所述手机待测应用调用手机操作系统的所述短信计费代码及语音业务计费代码对应的底层函数代码的行为生成动态行为日志；
[0020]其中，所述动态行为日志包括发送短信日志、删除短信日志及语音业务日志:
[0021]所述发送短信日志包括记录发送内容、发送目标号码及发送时间；
[0022]所述删除短信日志包括记录下发端口、下发内容及下发时间；
[0023]所述语音业务日志包括记录拨打号码、拨打时间及拨打时长。
[0024]在本发明所述的监测方法中，在对手机待测应用进行网络流量抓包的步骤包括:
[0025]对手机待测应用进行敏感行为监测时，记录所述手机待测应用的所有网络流量数据。
[0026]在本发明所述的监测方法中，在判定手机恶意扣费行为的步骤中，包括:
[0027]获取恶意注册行为信息；
[0028]获取后台更新计费代码行为信息；
[0029]获取后台扣费行为信息；
[0030]获取屏蔽用户短信行为信息；
[0031]依据所获取的信息判定手机恶意扣费行为。
[0032]在本发明所述的监测方法中，在获取恶意注册行为信息的步骤中，根据所述手机待测应用所产生的动态行为日志，判断所述手机待测应用是否向特定的手机号码发送包含待测手机的頂EIAMSI信息的点对点短信，若发送所述点对点短信，则判定为手机恶意注册行为。
[0033]在本发明所述的监测方法中，在获取后台更新计费代码行为信息的步骤中，根据所述手机待测应用的网络流量抓包，判断所述网络流量抓包中是否存在所述增值计费代码规则库中的短信计费代码、WAP计费URL以及语音业务计费代码，若存在，则判定为后台更新计费代码行为。
[0034]在本发明所述的监测方法中，在获取后台扣费行为信息的步骤中，根据所述手机待测应用的动态行为日志，判断所述手机待测应用是否存在发送短信至所述增值计费代码规则库中的短信计费接入号和/或WAP计费URL和/或语音接入号，若存在，则判定为后台恶意扣费行为。
[0035]在本发明所述的监测方法中，在获取屏蔽用户短信行为信息的步骤中，根据所述手机待测应用的动态行为日志，判断所述手机待测应用是否存在三种恶意行为之一时，判定所述手机待测应用存在屏蔽用户短信行为；
[0036]其中，所述三种恶意行为包括:
[0037]删除所述增值计费代码规则库中的短信接入号下发短信的行为；
[0038]所述手机待测应用删除二次确认短信的行为；
[0039]所述手机待测应用删除扣费提醒短信的行为。
[0040]在本发明所述的监测方法中，在依据所获取的信息判定手机恶意扣费行为的步骤中，根据所获取的获取恶意注册行为信息、后台更新计费代码行为信息、后台扣费行为信息及屏蔽用户短信行为信息，采用预设的判定规则判定手机是否存在手机恶意扣费行为。
[0041]因此，本发明的有益效果是，通过整理计费代码规则库，并基于动态行为监测日志的手机恶意软件吸费行为，可准确判定手机恶意扣费的手段，同时对敏感行为日志及网络流量抓包的方式可全面分析手机恶意扣费的行为。
【附图说明】
[0042]下面将结合附图及实施例对本发明作进一步说明，附图中:
[0043]图1为现有的手机恶意软件通过梦网短信业务进行吸费的流程图；
[0044]图2为本发明提供的一种手机恶意扣费的检测方法的流程图。
【具体实施方式】
[0045]为了对本发明的技术特征、目的和效果有更加清楚的理解，以下将对照附图详细说明本发明的【具体实施方式】。应当理解，以下说明仅为本发明实施例的具体阐述，不应以此限制本发明的保护范围。
[0046]本发明提供一种手机恶意扣费的检测方法，主要包括四个部分:1、计费代码规则库整理；2、手机操作系统底层函数代码注入；3、手机终端上待测应用的动态行为检测；4、手机恶意软件吸费行为的判断分析。
[0047]参见图2，图2为本发明提供的一种手机恶意扣费的检测方法的流程图，该检测方法包括以下步骤:
[0048]S1、组合包括短信计费代码、WAP (Wireless Applicat1n Protocol，无线应用通信协议)计费URL以及语音业务计费代码的增值计费代码规则库；该步骤主要为整理运营商的各类增值业务计费代码信息库，以供动态行为监测结果分析使用。需要整理的计费代码包括短信计费代码、WAP计费URL、语音业务计费代码，如IVR业务(IVR，InteractiveVoice Response,即无线语音业务增值服务，手机用户拨打指定号码，获得所需信息或者参与互动式的服务，例如聊天室或者交友等等)、声讯电话等。步骤SI包括以下子步骤，即各类计费代码的属性字段包括:
[0049]S11、组合所述短信计费代码的名称、运营商类型、业务类型(梦网业务、一 / 二 /三类自有业务等)、短信接入号及企业代码；
[0050]S12、组合所述WAP计费URL的名称、运营商类型、业务类型(梦网业务、一/二/三类自有业务等)、计费URL地址及企业代码；
[0051]S13、组合所述语音业务计费代码的名称、运营商类型、业务类型(IVR、声讯电话等)、语音接入号及企业代码。
[0052]S2、注入手机操作系统与所述短信计费代码、WAP计费URL以及语音业务计费代码相应的底层函数代码；该步骤修改需要监测的手机操作系统底层系统函数，以实现对待测应用恶意扣费行为的动态监测。为了有效监测待测应用的动态行为，就必须对手机操作系统底层函数进行代码注入。这样，只要当手机恶意软件调用系统函数发送计费短信、访问计费URL或者拨打语音增值业务时，注入代码就可以记录手机恶意软件的动态行为日志，以供后面的恶意扣费行为取证分析所用。
[0053]S3、对手机待测应用进行敏感行为监测及网络流量抓包，从而监测所述手机待测应用的动态行为，依据所述短信计费代码及语音业务计费代码相应的底层函数代码生成动态行为日志，依据所获取的网络流量抓包及所述WAP计费URL相应的底层函数代码判定WAP扣费行为；该步骤通过上面的注入代码，记录手机终端上待测应用的敏感行为(发送短信、删除短信、异常上网、异常拨打电话)日志；通过手机上的抓包软件，对手机终端上待测应用的网络流行进行抓包。
[0054]其中，在对手机待测应用进行敏感行为监测的步骤包括以下子步骤:
[0055]S31、将所述手机待测应用安装于已注入所述底层函数代码的手机中；
[0056]S32、执行预设的自动化测试脚本，从而对所述手机待测应用调用手机操作系统的所述短信计费代码及语音业务计费代码对应的底层函数代码的行为生成动态行为日志；
[0057]其中，所述动态行为日志包括发送短信日志、删除短信日志及语音业务日志:所述发送短信日志包括记录发送内容、发送目标号码及发送时间；所述删除短信日志包括记录下发端口、下发内容及下发时间；所述语音业务日志包括记录拨打号码、拨打时间及拨打时长。
[0058]在对手机待测应用进行网络流量抓包的步骤包括:对手机待测应用进行敏感行为监测时，记录所述手机待测应用的所有网络流量数据。
[0059]综上，敏感行为监测是指待测应用安装在已经注入监测代码的手机中，然后执行自动化测试脚本，期间对待测应用调用手机操作系统的敏感底层函数(如发送短信、删除短信、联网通信、拨打电话等)行为记录日志。记录的内容包括:针对发送短信，记录发送内容、发送目标号码、发送时间；针对删除短信，记录下发端口、下发内容、下发时间；针对联网通信，记录访问URL、访问时间；针对语音业务，记录拨打号码、拨打时间、拨打时长。
[0060]网络流量抓包是指在对待测应用进行敏感行为监测的同时，在手机终端上通过抓包工具软件进行抓包，记录待测应用的所有网络流量数据，以供后续的吸费行为判定分析使用。
[0061]S4、依据所述动态行为日志及所述WAP扣费行为，判定手机恶意扣费行为。该步骤基于配置规则，根据动态行为监测记录的敏感行为日志和网络流量抓包结果，结合计费代码规则库数据，分析判断待测应用是否存在吸费行为。步骤S4包括以下子步骤:
[0062]S41、获取恶意注册行为信息；该步骤根据所述手机待测应用所产生的动态行为日志，判断所述手机待测应用是否向特定的手机号码发送包含待测手机的頂EIAMSI信息的点对点短信，若发送所述点对点短信，则判定为手机恶意注册行为。该步骤分析待测应用产生的敏感行为日志，如果发现待测应用向特定手机号码发送包含待测手机MEI/1MSI信息的点对点短信，贝lJ可以判定待测应用存在恶意注册行为。其中，IMEI (Internat1nalMobile Equipment Identity)是移动设备国际身份码的缩写，移动设备国际辨识码，是由15位数字组成的"电子串号"，它与每台手机一一对应，而且该码是全世界唯一的。每一部手机在组装完成后都将被赋予一个全球唯一的一组号码，这个号码从生产到交付使用都将被制造生产的厂商所记录。国际移动用户识别码(IMS1-1nternat1nal MobileSubscriber Identificat1n Number)是区别移动用户的标志，储存在SIM卡中，可用于区别移动用户的有效信息。其总长度不超过15位，同样使用O?9的数字。其中MCC是移动用户所属国家代号，占3位数字，如中国的MCC规定为460 ;MNC是移动网号码，由两位或者三位数字组成，如中国移动的移动网络编码(MNC)为00;用于识别移动用户所归属的移动通信网；MSIN是移动用户识别码，用以识别某一移动通信网中的移动用户。
[0063]S42、获取后台更新计费代码行为信息；该步骤根据所述手机待测应用的网络流量抓包，判断所述网络流量抓包中是否存在所述增值计费代码规则库中的短信计费代码、WAP计费URL以及语音业务计费代码，若存在，则判定为后台更新计费代码行为。该步骤分析待测应用的网络流量抓包中，是否存在计费代码规则库中的计费代码(短信接入号、计费URL、语音接入号)。如果存在，则可以判定待测应用存在后台更新计费代码行为。
[0064]S43、获取后台扣费行为信息；该步骤根据所述手机待测应用的动态行为日志，判断所述手机待测应用是否存在发送短信至所述增值计费代码规则库中的短信计费接入号和/或WAP计费URL和/或语音接入号，若存在，则判定为后台恶意扣费行为。该步骤分析待测应用产生的敏感行为日志，如果发现待测应用有后台扣费行为(发送短信到计费代码库中的短信接入号、联网访问计费代码库中的WAP计费URL、拨打计费代码库中的语音接入号)，则可以判定待测应用存在后台吸费行为。
[0065]S44、获取屏蔽用户短信行为信息；该步骤根据所述手机待测应用的动态行为日志，判断所述手机待测应用是否存在三种恶意行为之一时，判定所述手机待测应用存在屏蔽用户短信行为；其中，所述三种恶意行为包括:删除所述增值计费代码规则库中的短信接入号下发短信的行为；所述手机待测应用删除二次确认短信的行为；所述手机待测应用删除扣费提醒短信的行为。
[0066]该步骤分析待测应用产生的敏感行为日志，如果发现待测应用有删除计费代码库中短信接入号下发短信的行为，或者发现待测应用有删除二次确认短信(10658166下发或者10086下发)或扣费提醒短信(10086下发)的行为，则可以判定待测应用存在屏蔽用户短信行为。
[0067]S45、依据所获取的信息判定手机恶意扣费行为。该步骤根据所获取的获取恶意注册行为信息、后台更新计费代码行为信息、后台扣费行为信息及屏蔽用户短信行为信息，采用预设的判定规则判定手机是否存在手机恶意扣费行为。
[0068]本发明虽然以较佳实施例公开如上，但其并不是用来限定本发明，任何本领域技术人员在不脱离本发明的精神和范围内，都可以做出可能的变动和修改，因此本发明的保护范围应当以本发明权利要求所界定的范围为准。
【主权项】
1.一种手机恶意扣费的检测方法，其特征在于，包括: 组合包括短信计费代码、WAP计费URL以及语音业务计费代码的增值计费代码规则库；注入手机操作系统与所述短信计费代码、WAP计费URL以及语音业务计费代码相应的底层函数代码； 对手机待测应用进行敏感行为监测及网络流量抓包，从而监测所述手机待测应用的动态行为，依据所述短信计费代码及语音业务计费代码相应的底层函数代码生成动态行为日志，依据所获取的网络流量抓包及所述WAP计费URL相应的底层函数代码判定WAP扣费行为； 依据所述动态行为日志及所述WAP扣费行为，判定手机恶意扣费行为。2.根据权利要求1所述的监测方法，其特征在于，在组合包括短信计费代码、WAP计费URL以及语音业务计费代码的增值计费代码规则库的步骤中，包括: 组合所述短信计费代码的名称、运营商类型、业务类型、短信接入号及企业代码； 组合所述WAP计费URL的名称、运营商类型、业务类型、计费URL地址及企业代码； 组合所述语音业务计费代码的名称、运营商类型、业务类型、语音接入号及企业代码。3.根据权利要求1所述的检测方法，其特征在于，在对手机待测应用进行敏感行为监测的步骤包括: 将所述手机待测应用安装于已注入所述底层函数代码的手机中； 执行预设的自动化测试脚本，从而对所述手机待测应用调用手机操作系统的所述短信计费代码及语音业务计费代码对应的底层函数代码的行为生成动态行为日志； 其中，所述动态行为日志包括发送短信日志、删除短信日志及语音业务日志: 所述发送短信日志包括记录发送内容、发送目标号码及发送时间； 所述删除短信日志包括记录下发端口、下发内容及下发时间； 所述语音业务日志包括记录拨打号码、拨打时间及拨打时长。4.根据权利要求1所述的检测方法，其特征在于，在对手机待测应用进行网络流量抓包的步骤包括: 对手机待测应用进行敏感行为监测时，记录所述手机待测应用的所有网络流量数据。5.根据权利要求1所述的检测方法，其特征在于，在判定手机恶意扣费行为的步骤中，包括: 获取恶意注册行为信息； 获取后台更新计费代码行为信息； 获取后台扣费行为信息； 获取屏蔽用户短信行为信息； 依据所获取的信息判定手机恶意扣费行为。6.根据权利要求5所述的检测方法，其特征在于，在获取恶意注册行为信息的步骤中，根据所述手机待测应用所产生的动态行为日志，判断所述手机待测应用是否向特定的手机号码发送包含待测手机的MEIAMSI信息的点对点短信，若发送所述点对点短信，则判定为手机恶意注册行为。7.根据权利要求5所述的检测方法，其特征在于，在获取后台更新计费代码行为信息的步骤中，根据所述手机待测应用的网络流量抓包，判断所述网络流量抓包中是否存在所述增值计费代码规则库中的短信计费代码、WAP计费URL以及语音业务计费代码，若存在，则判定为后台更新计费代码行为。8.根据权利要求5所述的检测方法，其特征在于，在获取后台扣费行为信息的步骤中，根据所述手机待测应用的动态行为日志，判断所述手机待测应用是否存在发送短信至所述增值计费代码规则库中的短信计费接入号和/或WAP计费URL和/或语音接入号，若存在，则判定为后台恶意扣费行为。9.根据权利要求5所述的检测方法，其特征在于，在获取屏蔽用户短信行为信息的步骤中，根据所述手机待测应用的动态行为日志，判断所述手机待测应用是否存在三种恶意行为之一时，判定所述手机待测应用存在屏蔽用户短信行为； 其中，所述三种恶意行为包括: 删除所述增值计费代码规则库中的短信接入号下发短信的行为； 所述手机待测应用删除二次确认短信的行为； 所述手机待测应用删除扣费提醒短信的行为。10.根据权利要求5所述的检测方法，其特征在于，在依据所获取的信息判定手机恶意扣费行为的步骤中，根据所获取的获取恶意注册行为信息、后台更新计费代码行为信息、后台扣费行为信息及屏蔽用户短信行为信息，采用预设的判定规则判定手机是否存在手机恶意扣费行为。
【文档编号】H04W12/12GK105992212SQ201510076804
【公开日】2016年10月5日
【申请日】2015年2月13日
【发明人】邱勤, 胡铁
【申请人】卓望数码技术（深圳）有限公司