移动终端异常行为的检测方法与系统与流程

本发明涉及网络安全技术领域，具体涉及在一种移动终端异常行为检测方法与系统。

背景技术：

随着通信网与互联网的快速融合，网络结构正朝着云管端方向发展，云端提供高性能计算、大数据存储的网络应用服务，移动终端逐步成为人们利用网络应用服务的主要平台，以完成工作、生活、沟通与娱乐活动，同时，由于移动终端中保存有用户的个人信息，比如身份信息，通信信息、密码信息、银行帐户信息，使得追逐利益的黑客将目光盯上移动终端，从而影响了用户的上网体验。

在本发明的移动终端异常行为检测方法与系统中主要涉及以下技术：恶意app中马行为检测技术、恶意app提权行为检测技术、恶意app隐藏行为检测技术、恶意app通信行为检测技术、恶意app窃密行为检测技术。

移动终端异常行为检测技术的发展有两个方向，一是基于白名单检测技术；二是特征检测技术。对于这两个方向的技术，它们的优点是技术比较成熟，能够准确检测app异常行为；缺陷是存在较大的漏报率、性能较低。本发明采用恶意app中马行为检测技术、恶意app提权行为检测技术、恶意app隐藏行为检测技术、恶意app通信行为检测技术、恶意app窃密行为检测技术，克服了以上两个方向的方法中存在的缺点，能够快速、精确、全面检测app异常行为。

技术实现要素：

本发明的目的是克服现有技术的缺点，提供一种移动终端异常行为检测方法与系统，使得能够快速、精确、全面地检测恶意app的异常行为，有效地保障移动终端中信息的机密性与完整性、移动终端中os与app的可用性，为网络用户提供一个安全、可用的移动互联网终端平台。

本发明的目的是通过以下技术方案实现的：

一种移动终端异常行为检测方法，包括以下步骤：

a、基于app行为白名单，检测恶意app中马行为；

b、基于app行为白名单，检测恶意app提权行为；

c、针对关键挂钩入口点，检测恶意app隐藏行为；

d、基于发送与接收的流量比值，检测恶意app通信行为；

e、根据语音与触摸驱动特征以及授权情况，检测恶意app窃密行为。

优选地，所述步骤a包括：

a1、读取app行为白名单中的app名称、版本号、文件名与散列值；

a2、若app与版本号在白名单中，则开始安装app；

a3、若安装文件在白名单中，且其散列值与白名单中相应文件散列值相同，则复制app安装文件。

app行为白名单信息包括app名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称、文件散列值。

优选地，所述步骤b包括：

b1、读取app行为白名单中的app名称、版本号、帐号、权限、根目录；

b2、若app在自己的根目录内实施读写执行权限、对系统配置目录中的用户与口令文件实施读写权限、对系统库文件目录实施读权限，则放行，否则告警。

优选地，所述步骤c包括：

c1、读取并比较内存进程视图与app行为白名单中app名称与进程名称；

c2、若内存进程视图中的进程名称不在白名单中，则告警；

c3、读取并比较app进程中库文件函数的输入地址与检测引擎库文件函数的输入地址；

c4、若两个输入地址不相同，则告警；

c5、读取并比较内存中断调度表与引擎的中断服务例程名称；

c6、若同一中断的中断服务例程名称不相同，则告警；

c7、读取比较内存驱动请求调度例程与注册的驱动请求调度例程；

c8、若驱动请求调度例程没有注册，则告警。

优选地，所述步骤d包括：

d1、采集、解析并统计每个app确定时间段内的流量；

d2、若输出字节数多于输入字节数，则；

d3、判定该行为为恶意app的异常通信行为。

优选地，所述步骤e包括：

e1、分析app挂钩入口点的二进制代码特征；

e2、若有语音或触摸驱动特征，则告警；

e3、检测读取通信录与密码信息行为；

e3、若超出app的权限，则告警。

一种移动终端异常行为检测系统，其特征在于包括：

恶意app异常行为检测引擎，包括恶意app中马行为检测、恶意app提权行为检测、恶意app隐藏行为检测、恶意app通信行为检测、恶意app窃密行为检测，其中恶意app中马行为检测包括恶意app安装检测与恶意app注入检测，恶意app隐藏行为检测包括用户模式隐藏行为检测与内核模式隐藏行为检测，恶意app窃密行为检测包括窃取语音行为检测、窃取信息行为检测与窃取触摸行为检测；app行为白名单数据库包括app名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称、文件散列值。

app行为白名单数据库记录app名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称与文件散列值信息；恶意app异常行为检测引擎针对不同的异常行为进行检测，包括恶意app中马行为、恶意app提权行为、恶意app隐藏行为、恶意app通信行为、恶意app窃密行为。

由以上本发明提供的技术方案可以看出，本发明克服了现有技术的缺点，提供一种移动终端异常行为检测方法与系统，使得能够快速、精确、全面地检测恶意app的异常行为，有效地保障移动终端中信息的机密性与完整性、移动终端中os与app的可用性，为网络用户提供一个安全、可用的移动互联网终端平台。

附图说明

图1是移动终端异常行为检测系统的组网示意图；

图2是本发明方法的系统结构示意图；

图3是本发明方法的主流程图；

图4是本发明方法恶意app中马行为检测的流程图；

图5是本发明方法恶意app隐藏行为检测的流程图；

图6是本发明方法恶意app窃密行为检测的流程图。

技术特征：

技术总结
本发明公开了一种移动终端异常行为的检测方法与系统，所述方法包括：将移动终端目录分为系统目录与APP目录，其中系统目录包括系统启动目录、系统配置目录、系统可执行命令目录、系统库文件目录、系统日志目录与系统临时目录，除了用户与口令文件，只有系统管理员拥有读写执行系统目录文件的权限，每个APP除了拥有读写用户与口令文件以及读库文件目录外，只拥有对自己目录读写执行的权限。基于云端构建APP行为白名单，通过行为白名单检测APP异常行为。利用本发明，可以快速、准确、全面检测移动终端异常行为，为网络用户提供一个安全、可用的移动互联网终端平台。

技术研发人员：何华;张洁;何中天
受保护的技术使用者：北京东方棱镜科技有限公司
技术研发日：2017.06.20
技术公布日：2017.11.14