基于intent sniffer的监测方法及系统的制作方法
【技术领域】
[0001]本发明涉及网络安全技术领域,尤其涉及基于intent sniffer的监测方法及系统。
【背景技术】
[0002]近年来,随着移动技术的蓬勃发展,以及用户对移动设备需求的提高,以手机为代表的移动设备逐渐向智能化、多元化、高性能等方向发展。这其中,基于Linux内核的Android智能手机操作系统发展最为迅速。2007年11月,Google公布了基于Linux平台的开源智能手机操作系统Android ;至2014年I月的统计,在2013年里Android手机的全球销量为7.812亿,占据了全球智能手机78.9%的市场份额。
[0003]由于Android操作系统具有PC机的性能和开放性,传统PC机和因特网的安全威胁也转移到Android平台上。近年来,专门针对Android平台的恶意软件和间谍软件急剧增多,其中恶意扣费、隐私窃取、系统破坏成为恶意软件的主要危害。2010年8月,卡巴斯基检测到了第一个Android平台下的病毒;2014年3月,F-Secure的《2013年下半年安全威胁》报告显示,2013年Android平台上的恶意软件数量占整体移动恶意软件数量的97%这一骇人数字。
[0004]因此,开发一套行之有效的专门针对第三方应用程序的安全缺陷检测方法十分必要。目前已有的安全检测方法,主要是基于规则库的静态恶意应用扫描,以及Root情况下基于Hook技术的动态行为监测方法。已知的方法中,基于规则的静态恶意应用扫描,很难发现未知的恶意应用,而且通过加密加壳等对抗手段处理过的恶意应用也能一定程度的达到免杀效果;而基于Hook技术的动态行为监测方法,必须在Root情况下才能执行,而Root本身却极大的降低了设备的安全性,给系统安全带来严重的损失。
【发明内容】
[0005]针对上述技术问题,本发明提供了基于intent sniffer的监测方法及系统,该发明利用intent sniffer技术的嗅探服务获取隐式调用intent信息,通过对intent信息的解析和过滤,并进一步与规则库进行匹配判断应用程序的行为类型是否与恶意软件相关,从而有效监控应用程序的行为,保护系统的安全性。
[0006]本发明采用如下方法来实现:基于intent sniffer的监测方法,包括:
建立intent sniffer框架,获取应用程序的隐式调用intent信息;
解析所述intent信息,保留与敏感行为相关的数据;
基于所述与敏感行为相关的数据识别应用程序的行为类型;
获取已知恶意软件的行为特征,生成检测规则并投入规则库;
与所述规则库进行匹配,判断所述行为类型是否与已知恶意软件相关,若是,则通知用户,否则结束。
[0007]进一步地,所述解析所述intent信息为:获取act1n、data、category和/或type值。
[0008]进一步地,所述与敏感行为相关的数据包括:与电话、短信或者联网行为相关的数据。
[0009]进一步地,所述已知恶意软件包括:恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗软件或者流饭行为。
[0010]进一步地,所述通知用户包括:通过弹窗的形式将监测到的恶意软件行为告知用户,并提供安全操作供用户选择,所述安全操作包括:卸载应用,禁止发送短信或者禁止下载。
[0011]本发明采用如下系统来实现:基于intent sniffer的监测系统,包括:
intent sniffer服务模块,用于建立intent sniffer框架,获取应用程序的隐式调用intent 信息;
intent信息解析模块,用于解析所述intent信息,保留与敏感行为相关的数据;
行为类型识别模块,用于基于所述与敏感行为相关的数据识别应用程序的行为类型; 检测规则生成模块,用于获取已知恶意软件的行为特征,生成检测规则并投入规则库;
规则库,用于存储检测规则;
判定模块,用于与所述规则库进行匹配,判断所述行为类型是否与已知恶意软件相关,若是,则通知用户,否则结束。
[0012]进一步地,所述解析所述intent信息为:获取act1n、data、category和/或type值。
[0013]进一步地,所述与敏感行为相关的数据包括:与电话、短信或者联网行为相关的数据。
[0014]进一步地,所述已知恶意软件包括:恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗软件或者流饭行为。
[0015]进一步地,所述通知用户包括:通过弹窗的形式将监测到的恶意软件行为告知用户,并提供安全操作供用户选择,所述安全操作包括:卸载应用,禁止发送短信或者禁止下载。
[0016]综上所述,本发明提供了基于intent sniffer的监测方法及系统,利用intentsniffer框架获取android系统内的所有应用程序的隐式调用intent信息,并过滤掉与敏感操作无关的数据,对处理后的intent信息进行行为类型识别,并与预先设置的规则库进行匹配,若该应用程序存在与恶意软件相关的行为,则及时通知用户;并可以进一步征求用户意见选择后续操作。该发明所提供的技术方案是一种模式识别系统,可以在非root情况下进行,能够在不损害设备系统安全性的前提下,解决由于android安全机制本身的局限性导致的部分未知应用程序给用户造成的危害,并且使得用户可以及时发现并处理恶意威胁。
【附图说明】
[0017]为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0018]图1为本发明提供的一种基于intent sniffer的监测方法实施例流程图;
图2为本发明提供的一种基于intent sniffer的监测系统实施例结构图。
【具体实施方式】
[0019]本发明给出了基于intent sniffer的监测方法及系统,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
Intent是一种运行时绑定(run-time binding)机制,用于Android程序运行过程中连接两个不同的组件。通过Intent,程序可以向Android表达某种请求或者意愿,Android会根据意愿的内容选择适当的组件来完成请求。
[0020]例如,有一个Activity希望打开网页浏览器查看某一网页的内容,那么这个Activity 只需要发出 WEB_SEARCH_ACT1N 给 Android, Android 就会根据 Intent 的请求内容,查询各组件注册时声明的IntentFilter,找到网页浏览器的Activity来浏览网页。
[0021]Intent主要用于信息传递,Intent如果使用隐式方式(setact1n)来标识Intent消息,接收方通过此Act1n来接收信息。如果Intent没有明确指定哪些接收方有权限接收,贝1J通过Intent Sniffer技术即可获取Intent内容,获取应用程序相关行为数据。
[0022]本发明首先提供了基于intent sniffer的监测方法实施例,如图1所示,包括: SlOl建立intent sniffer框架,获取应用程序的隐式调用intent信