本发明涉及网络安全技术领域,具体涉及在一种移动终端异常行为检测方法与系统。
背景技术:
随着通信网与互联网的快速融合,网络结构正朝着云管端方向发展,云端提供高性能计算、大数据存储的网络应用服务,移动终端逐步成为人们利用网络应用服务的主要平台,以完成工作、生活、沟通与娱乐活动,同时,由于移动终端中保存有用户的个人信息,比如身份信息,通信信息、密码信息、银行帐户信息,使得追逐利益的黑客将目光盯上移动终端,从而影响了用户的上网体验。
在本发明的移动终端异常行为检测方法与系统中主要涉及以下技术:恶意app中马行为检测技术、恶意app提权行为检测技术、恶意app隐藏行为检测技术、恶意app通信行为检测技术、恶意app窃密行为检测技术。
移动终端异常行为检测技术的发展有两个方向,一是基于白名单检测技术;二是特征检测技术。对于这两个方向的技术,它们的优点是技术比较成熟,能够准确检测app异常行为;缺陷是存在较大的漏报率、性能较低。本发明采用恶意app中马行为检测技术、恶意app提权行为检测技术、恶意app隐藏行为检测技术、恶意app通信行为检测技术、恶意app窃密行为检测技术,克服了以上两个方向的方法中存在的缺点,能够快速、精确、全面检测app异常行为。
技术实现要素:
本发明的目的是克服现有技术的缺点,提供一种移动终端异常行为检测方法与系统,使得能够快速、精确、全面地检测恶意app的异常行为,有效地保障移动终端中信息的机密性与完整性、移动终端中os与app的可用性,为网络用户提供一个安全、可用的移动互联网终端平台。
本发明的目的是通过以下技术方案实现的:
一种移动终端异常行为检测方法,包括以下步骤:
a、基于app行为白名单,检测恶意app中马行为;
b、基于app行为白名单,检测恶意app提权行为;
c、针对关键挂钩入口点,检测恶意app隐藏行为;
d、基于发送与接收的流量比值,检测恶意app通信行为;
e、根据语音与触摸驱动特征以及授权情况,检测恶意app窃密行为。
优选地,所述步骤a包括:
a1、读取app行为白名单中的app名称、版本号、文件名与散列值;
a2、若app与版本号在白名单中,则开始安装app;
a3、若安装文件在白名单中,且其散列值与白名单中相应文件散列值相同,则复制app安装文件。
app行为白名单信息包括app名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称、文件散列值。
优选地,所述步骤b包括:
b1、读取app行为白名单中的app名称、版本号、帐号、权限、根目录;
b2、若app在自己的根目录内实施读写执行权限、对系统配置目录中的用户与口令文件实施读写权限、对系统库文件目录实施读权限,则放行,否则告警。
优选地,所述步骤c包括:
c1、读取并比较内存进程视图与app行为白名单中app名称与进程名称;
c2、若内存进程视图中的进程名称不在白名单中,则告警;
c3、读取并比较app进程中库文件函数的输入地址与检测引擎库文件函数的输入地址;
c4、若两个输入地址不相同,则告警;
c5、读取并比较内存中断调度表与引擎的中断服务例程名称;
c6、若同一中断的中断服务例程名称不相同,则告警;
c7、读取比较内存驱动请求调度例程与注册的驱动请求调度例程;
c8、若驱动请求调度例程没有注册,则告警。
优选地,所述步骤d包括:
d1、采集、解析并统计每个app确定时间段内的流量;
d2、若输出字节数多于输入字节数,则;
d3、判定该行为为恶意app的异常通信行为。
优选地,所述步骤e包括:
e1、分析app挂钩入口点的二进制代码特征;
e2、若有语音或触摸驱动特征,则告警;
e3、检测读取通信录与密码信息行为;
e3、若超出app的权限,则告警。
一种移动终端异常行为检测系统,其特征在于包括:
恶意app异常行为检测引擎,包括恶意app中马行为检测、恶意app提权行为检测、恶意app隐藏行为检测、恶意app通信行为检测、恶意app窃密行为检测,其中恶意app中马行为检测包括恶意app安装检测与恶意app注入检测,恶意app隐藏行为检测包括用户模式隐藏行为检测与内核模式隐藏行为检测,恶意app窃密行为检测包括窃取语音行为检测、窃取信息行为检测与窃取触摸行为检测;app行为白名单数据库包括app名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称、文件散列值。
app行为白名单数据库记录app名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称与文件散列值信息;恶意app异常行为检测引擎针对不同的异常行为进行检测,包括恶意app中马行为、恶意app提权行为、恶意app隐藏行为、恶意app通信行为、恶意app窃密行为。
由以上本发明提供的技术方案可以看出,本发明克服了现有技术的缺点,提供一种移动终端异常行为检测方法与系统,使得能够快速、精确、全面地检测恶意app的异常行为,有效地保障移动终端中信息的机密性与完整性、移动终端中os与app的可用性,为网络用户提供一个安全、可用的移动互联网终端平台。
附图说明
图1是移动终端异常行为检测系统的组网示意图;
图2是本发明方法的系统结构示意图;
图3是本发明方法的主流程图;
图4是本发明方法恶意app中马行为检测的流程图;
图5是本发明方法恶意app隐藏行为检测的流程图;
图6是本发明方法恶意app窃密行为检测的流程图。