窃听行为侦测方法及装置的制造方法
【技术领域】
[0001] 本发明涉及移动通信技术领域,特别涉及一种窃听行为侦测方法及装置。
【背景技术】
[0002] 随着智能终端的普及,智能终端上的窃听与反窃听技术也越来越受到人们重视。 目前的窃听技术从功能上主要分为两类,一类是环境窃听,另一类是环境录音。前者是在目 标终端上安装恶意软件,使终端在用户没有察觉的情况下自动与远程设备进行通话,使得 当前用户终端周围的声音被不法分子窃听。后者是指终端被植入恶意程序之后,通过麦克 风录制终端周围声音,在条件允许情况下上传到远端设备,从而造成用户信息泄露。
[0003] 窃听和反窃听技术一直是相辅相成,矛盾统一。随着防范技术手段发展,窃听手 段和恶意软件也不断升级,很多木马和病毒通过漏洞被植入到系统框架层甚至操作系统内 核。目前针对智能终端窃听防护的手段主要有如下三种:杀毒软件、外接设备和定制系统。 [0004]目前移动终端杀毒软件防窃听技术主要包括三个方面:应用程序扫描、进程监控 及可疑来电去电拦截。应用程序扫描主要是对当前移动终端安装的软件进行扫描和分析, 根据已有的恶意软件库进行匹配,对符合条件的软件进行提醒和删除。进程监控主要指的 监控终端中具有录音或者接入麦克风功能的进程,在通话期间对这类进程进行行为监测, 对符合监测条件的程序进程进行判别、告警和截断,比如某些进程在终端通话过程中读取 麦克风,并进行大量文件读写,该进程就存在较大嫌疑。可疑来去电拦截主要是对来去电的 对方号码进行数据库匹配,对被纳入数据库黑名单的通话进行拦截,对可疑来电或者去电 进行用户提醒。
[0005]由于杀毒软件防窃听功能实现依赖特征库,恶意软件扫描判别、进程检测都需要 匹配一定的特征码,而这些特征码需要后台服务器提供。特征码的产生是根据已经被识别 的木马或者恶意软件产生的,新的木马或者恶意软件的识别往往在其大规模传播之后。虽 然云查杀技术能在一定程度上减少识别时间,但是仍解决不了实时性问题。另外,杀毒软件 对窃听的防护往往基于应用层,即仅对于应用程序进行扫描和判别,对框架层和操作系统 层的注入攻击往往无能为力。
[0006] 外接设备窃听防护手段主要是指在不改变移动终端原有结构的基础上,通过增加 便携的外接设备实现的。外接设备主要分为信号流监控和语音信号再处理两类。有些外接 设备提供信号流的监控情况,比如通过信号采集源的转换,提供语音采集指示信号来标识 通信状态,从而确定移动终端的麦克风是否被使用或者采集语音;有的外设是给移动终端 提供特定的语音保密装置,对语音信号进行重新采集、处理、加噪等,为窃听增加障碍,但外 接设备会增加防护成本,且不利于携带,在实际使用中比较难推广。
[0007] 定制系统防护方式有的涉及硬件重新定制,有的则是操作系统定制。主要针对智 能终端操作系统语音流处理、麦克风、电话子系统模块等进行重新设计,对终端通话相关的 硬件调用进行监控,为通话窃听提供防护功能,这类设计破坏原生操作系统的完整性,不利 于智能终端统一生态圈的健康发展;在引入防护机制的同时可能造成新的缺陷;并且窃听 防护的定制性较强,只能针对特定机型,无法进行大规模推广。
【发明内容】
[0008] 为了防止通话被窃听,同时保证终端的正常功能不受影响,本发明提供了一种窃 听行为侦测方法,所述方法包括:
[0009] S1、获取当前来电的第一状态参数,根据获取的第一状态参数建立第一状态矩阵, 计算所述第一状态矩阵的第一特征值;
[0010] S2、将所述第一特征值与预先设置的黑名单及白名单进行比对,在所述第一特征 值存在于所述黑名单中时,阻断所述当前来电;在所述第一特征值存在于所述白名单中时, 继续接听所述当前来电。
[0011] 其中,步骤S2中,在所述第一特征值不存在于所述黑名单及白名单中时,执行步 骤S3;
[0012] S3、判断所述第一特征值是否存在于状态模型中,若所述第一特征值存在所述状 态模型中,则将所述第一特征值对应的权重与预设范围进行比对,在所述第一特征值大于 等于所述预设范围的上限值时,则继续接听所述当前来电,并结束流程;在所述第一特征值 小于等于所述预设范围的下限值时,则阻断所述当前来电,并结束流程;在所述第一特征值 满足所述预设范围时,执行步骤S4;若所述第一特征值不存在所述状态模型中,将所述第 一特征值添加至所述状态模型中,并将所述第一特征值对应的权重设置为初始值,执行步 骤S4 ;
[0013] S4、提示用户是否继续接听所述当前来电,并接收用户的选择指令,若用户选择继 续接听,则继续接听所述当前来电,并增加所述第一特征值对应的权重,若用户选择不继续 接听,则阻断所述当前来电,并减少所述第一特征值对应的权重。
[0014] 其中,所述第一状态参数包括:屏幕状态、屏幕界面、重力加速度、网络连接状态、 上行音量状态、内存状态和数据流量状态中的至少一种。
[0015] 其中,步骤S1中,所述获取当前来电的第一状态参数,具体包括:
[0016] 获取接听当前来电前、接听当前来电时及接听当前来电后的第一状态参数。
[0017] 其中,步骤S1之前,所述方法还包括:
[0018] 获取正常通话的第二状态参数,根据所述第二状态参数建立第二状态矩阵,计算 所述第二状态矩阵的第二特征值,并将所述第二特征值添加至所述白名单中;
[0019] 获取窃听通话的第三状态参数,根据所述第三状态参数建立第三状态矩阵,计算 所述第三状态矩阵的第三特征值,并将所述第三特征值添加至所述黑名单中。
[0020] 本发明还公开了一种窃听行为侦测装置,所述装置包括:
[0021] 特征计算单元,用于获取当前来电的第一状态参数,根据获取的第一状态参数建 立第一状态矩阵,计算所述第一状态矩阵的第一特征值;
[0022] 特征比对单元,用于将所述第一特征值与预先设置的黑名单及白名单进行比对, 在所述第一特征值存在于所述黑名单中时,阻断所述当前来电;在所述第一特征值存在于 所述白名单中时,继续接听所述当前来电。
[0023] 其中,所述特征比对单元,还用于在所述第一特征值不存在于所述黑名单及白名 单中时,调用模型判断单元;
[0024] 模型判断单元,用于判断所述第一特征值是否存在于状态模型中,若所述第一特 征值存在所述状态模型中,则将所述第一特征值对应的权重与预设范围进行比对,在所述 第一特征值大于等于所述预设范围的上限值时,则继续接听所述当前来电;在所述第一特 征值小于等于所述预设范围的下限值时,则阻断所述当前来电;在所述第一特征值满足所 述预设范围时,调用用户选择单元;若所述第一特征值不存在所述状态模型中,将所述第一 特征值添加至所述状态模型中,并将所述第一特征值对应的权重设置为初始值,调用用户 选择单元;
[0025] 用户选择单元,用于提示用户是否继续接听所述当前来电,并接收用户的选择指 令,若用户选择继续接听,则继续接听所述当前来电,并增加所述第一特征值对应的权重, 若用户选择不继续接听,则阻断所述当前来电,并减少所述第一特征值对应的权重。
[0026] 其中,所述第一状态参数包括:屏幕状态、屏幕界面、重力加速度、网络连接状态、 上行音量状态、内存状态和数据流量状态中的至少