CN105069354A - 基于攻击树模型的Android软件混合检测方法 - Google Patents
基于攻击树模型的Android软件混合检测方法 Download PDFInfo
- Publication number
- CN105069354A CN105069354A CN201510468228.8A CN201510468228A CN105069354A CN 105069354 A CN105069354 A CN 105069354A CN 201510468228 A CN201510468228 A CN 201510468228A CN 105069354 A CN105069354 A CN 105069354A
- Authority
- CN
- China
- Prior art keywords
- software
- attack
- tree model
- detection
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种基于攻击树模型的Android软件混合检测方法,使用攻击树模型对各种恶意软件攻击类型进行分析,并针对每一条攻击路径制定一系列动态行为检测规则;然后,进行包含静态分析和动态分析的混合检测,所述静态分析实现待测软件攻击能力检测、动态分析中的模拟***事件触发程序的待测软件行为;所述动态分析根据待测软件攻击能力检测的结果选择软件运行时的检测点,加载及组合行为规则;根据组件信息模拟***事件触发程序的待测软件行为,强制待测软件充分运行,再根据行为规则进行待测软件行为检验,识别恶意软件。与现有技术相比,本发明有机结合了静态分析和动态分析方法实现有效的恶意软件威胁检测。
Description
技术领域
本发明涉及移动安全领域,特别是涉及一种软件静态检测和动态检测相结合的混合检测技术,以攻击树为基础可以检测出恶意软件。
背景技术
Android***是由Google公司基于Linux整合开发的开源手机操作***,该平台是第一个可以完全定制、免费、开放的手机平台。最近几年,Android***凭借良好的用户体验和较高的开放性,被越来越多的手机厂商所采用。最近的研究表明:Android***现在占据了智能手机市场75%的市场份额,在2013年保持了51.3%的高增长率。
智能手机的出现便利了人们的生活,但是随之而来的安全问题却也日益凸显,尤其是手机中往往存放着用户大量的个人及隐私信息,用户面临着越来越大的安全风险,个人隐私泄露以及病毒诈骗已经成为社会性问题。2013年被称为“恶意软件之年”,McAfee报告指出,2013年第一季度新增恶意软件数量达到14000例。近年来,移动终端恶意软件急剧增多。恶意软件往往会欺骗用户,让用户安装在手机上,并会获取手机上的数据、破坏手机设备或者造成恶意扣费等。恶意软件还经常窃取个人隐私信息,如手机所处的地理位置、短信内容和通讯录信息等。目前在AndroidMarket上发现的恶意软件有GIRLFRIENDTEXTMESSAGEVIEWER、SMSMESSAGESPYPRO/LITE、THEFTAWARE等。随着移动网络、Wi-Fi、以及SMS和MMS服务的使用,恶意软件的传播更加便利,给手机用户造成了很大的危害。
移动安全问题引起了广泛的关注,相关研究工作取得许多有益的进展,研究人员提出一些威胁检测方案并开发出检测工具。如Kirin工具根据安全规则检测存着威胁的权限组合;CrowDroid采用众包的方式从Android社区收集***调用日志,通过聚类算法分析检测恶意软件;TaintDroid在Dalvik虚拟机中设置标记,在运行时实时获取***调用情况,可以监测到调用参数和返回值。现有的Android恶意软件检测方案可以根据所选特征分为静态分析和动态分析两种类型,但是两种检测方法都有各自的不足,静态分析通过反向工程分析APK文件,执行效率高,但是难以覆盖所有运行时状态,无法分析运行时才能确定的程序行为;动态分析根据运行时特征进行检测,例如电量消耗和***调用等,动态分析相对准确,但是面临恶意代码段未执行的问题,同时全面的检测会造成很大的***开销。针对上述问题,提出新型的、有效的Android软件混合检测方法有很强实用价值和现实意义。
发明内容
为了克服上述现有技术的问题,本发明提出了一种基于攻击树模型的Android软件混合检测方法,通过研究Android平台恶意软件样本,划分攻击类型,并分析每种攻击类型的实现途径和检测方法;基于攻击树模型的、结合静态分析和动态分析方法的Android软件检测方案;实现恶意软件检测原型工具,通过实验验证方法的有效性。
本发明提出了一种基于攻击树模型的Android软件混合检测方法,该方法包含以下步骤:
首先,在实际检测之前建立攻击树模型,使用攻击树模型对各种恶意软件攻击类型进行分析,建立起攻击目标和软件基本能力之间的联系,并针对每一条攻击路径制定一系列动态行为检测规则;
然后,进行包含静态分析和动态分析的混合检测,其中:所述静态分析提取待分析软件的权限、API和组件信息,根据软件基本行为能力对攻击树进行标记,并依据标记情况实现过滤正常软件并确定可疑软件可能的攻击途径;所述动态分析根据待测软件攻击能力检测的结果选择软件运行时的检测点,加载及组合行为规则,通过组件信息模拟***事件触发程序的待测软件行为,强制待测软件充分运行,再依据行为规则进行待测软件行为检验,识别恶意软件。
所述待测软件攻击能力检测的步骤,具体包括以下处理:
首先使用基于Python的Androguard工具,将APK文件中的dex文件、类和方法等都映射为python的对象。然后通过大量的预定义的方法提取相关信息,例如将APK文件路径作为参数调用反向工程函数并将结果赋予一个变量,便可以通过该变量调用方法获取APK的大量信息;get_permissions()函数可以获取权限列表;get_activities()函数可以获取所有活动组件等。最后根据提取到的权限和API信息,借助攻击树模型,通过结点标记的方法确定攻击目标是否可以实现。对攻击树进行标记后,如果存在根结点被标记为“P”,则待检测软件存在潜在威胁,如果所有攻击树的根结点标记为“I”,则待检测软件为正常软件。
所述待测模拟***事件触发程序的待测软件行为的步骤,具体包括以下处理:
根据静态分析可以获得软件的组件信息,强制软件内所有组件都启动并运行所有的生命周期阶段以保证完备性,而组件的启动和运行可以通过命令或者事件触发。也就是说,使用“amstart”命令可以启动活动,服务并发送广播;使用telnet连接Android设备后可以通过命令模拟环境事件,例如使用“smssend136…TextContent”模拟发送短信,使用“geofix121.525.410”模拟位置变化,还可以模拟来去电,电量变化,硬件事件等;启动任何活动之后,生成屏幕点击事件和按键事件模拟用户操作。
1.如权利要求1所述的基于攻击树模型的Android软件混合检测方法,其特征在于,所述待测软件行为检测的步骤,具体包括以下处理:
首先,在实际动态检测之前需要确定软件对应的行为检测规则集合。即根据静态分析中记录的攻击路径编号,读取每一个编号对应的行为检测规则集合,将所有的行为检测规则并在一起。其次,安装软件到TaintDroid***中,根据LauncherActivity启动应用程序。然后,需要获取待检测软件的所有攻击路径以及涉及的组件作为输入,并根据攻击路径的编号为每其加载检测规则。最后根据规则的事件部分模拟***事件,根据规则的检测部分进行匹配,只要存在满足的检测项,则该软件为恶意软件,如果检测项都不匹配则为正常软件。
与现有技术相比,本发明给出了攻击树管理检测规则,实现细粒度动态配置。静态分析过滤掉正常的软件,识别出可能的攻击点,再由动态分析使用有针对性的约简后的规则集合,进行基于组件的行为触发来检测恶意软件。预期达到以下有益效果:
1、扩展了常规攻击树模型,使之适合Android恶意软件检测。攻击树建立攻击能力和程序基本行为能力之间的关系,并实现一种细粒度、可动态配置的规则管理模式。
2、有机结合了静态分析和动态分析方法。静态分析提取程序的权限、关键API和组件,根据权限和API将软件划分为正常软件和可疑软件;动态分析根据静态分析确定的程序攻击能力,选择相对应的规则集合进行运行时行为检测。
3、基于程序组件的运行时行为触发技术。Android***是事件驱动的,根据组件信息模拟***事件,强制程序充分执行,保证代码覆盖率。
附图说明
图1为混合检测方法的整体框架示意图;
图2为“隐私窃取”实施例的恶意攻击的攻击树模型结构示意图。
具体实施方式
下面将结合附图对本发明的具体实施方式进行详细描述,这些实施方式若存在示例性的内容,不应解释成对本发明的限制。
如图1所示,为本发明的基于攻击树模型的Android软件混合检测方法的整体框架。在实际检测之前建立攻击树模型,使用攻击树模型对各种恶意软件攻击类型进行分析,建立起攻击目标和软件基本能力之间的联系,并针对每一条攻击路径制定一系列动态行为检测规则;静态分析过程提取程序的权限、API和组件信息,前两者用于软件攻击能力检测,后者用于动态分析中的行为触发;动态分析根据软件的攻击能力选择运行时检测点,组合行为检测规则,根据软件组件信息模拟***事件,强制程序充分运行,再根据行为检测规则进行检验,识别恶意软件。
以下结合有关“隐私窃取的分析案例”具体描述本发明的技术方案:
(1)建立隐私窃取的攻击树模型
如图2所示,为本发明的隐私窃取恶意攻击类型的攻击树模型示意。因此攻击类型“隐私窃取PrivacyStealing”作为攻击树的根节点,表示攻击树的最终攻击目标为隐私窃取。为了实现隐私窃取的攻击目标,需要两个步骤,“获取隐私信息ObtainPrivacy”和“实现泄露方法LeakageMethod”,两者缺一不可,因此节点关系为“与AND”,将其加入做攻击树中,作为根节点的子节点,设置根节点为AND节点,接下来继续分解子目标“获取隐私信息”,获取的隐私信息可以分为“环境隐私(EnvironmentalPrivacy”和“存储隐私StoredPrivacy”种类型:前者包括“录音Recorder”、“拍照TakePhoto”、“位置信息ObtainLocation”;后者包括“设备信息DeviceInfo”和“用户信息UserInfo”,“用户信息UserInfo”包含了“联系人Contacts”、“短消息ReadSMS”、“通话记录CallLog”、“账户信息Accounts”和“SD卡信息ReadSDCard”等,这些隐私信息都是需要保护的,任何一种信息的非法窃取都是危险的,因此这些节点的关系为OR,只要有一种信息被获取则可以实现“获取隐私”的目标。信息泄露途径也包含了多种程序能力,例如发送短消息,访问网络,写SD卡等,当攻击目标不断分解直到实现途径为程序基本行为能力时,就如读取联系人或者访问网络,将其定义为叶节点。
(2)隐私窃取攻击树的配置文件
部分隐私窃取攻击树的配置文件代码摘录如下:
由于图2所示的攻击树模型结构较为复杂,因此这里只针对窃取用户位置ObtainLocation信息的过程进行分析。该过程主要通过获取并泄漏用户位置来完成,故首先定义三个类型为leaf的叶节点,然后定义普通节点leakage_method,其实现依赖于叶节点Send_sms和internet,最后定义根节点,其子节点为叶节点GPS和普通节点leakage_method。
(3)静态分析过程
首先需要对软件具备的有效行为能力进行计算,这一工作可以通过分析软件的权限及函数调用等情况后对攻击树叶节点进行标记来完成。具体的标记算法如表1中的算法1所示:
表1、静态分析过程中的软件有效行为能力计算算法
算法1的描述:应用程序的行为能力并不只是由权限和API确定,实际环境下存在权限提升(俗称Root)和动态加载的现象,这些特性会改***件在运行中实际具有的权限,动态加载使软件实际行为能力不受限于API,但是依然受到申请的权限列表的限制,而权限提升之后的软件不受任何限制,原则上具有最高权限,威胁性极高。因此,在标记节点时,首先要获得一些软件的基本参数:是否存在权限提升和动态加载的现象(DYNAMIC和ESCALATION)、该软件具备的权限组合(Permissions)和相关函数调用(APIs)的组合。然后针对不同情况采用不同的行为能力计算策略,当节点的属性与软件具备的属性相吻合时,将其标记为P,即表示软件具有此节点的行为能力,主要分为三类情况:第一类,软件不存在权限提升和动态加载的现象,且节点的权限和API调用都存在于此软件中,标记为P;第二类,软件动态加载但不存在权限提升现象,且节点的权限是软件拥有的权限的一部分,标记为P;第三类,软件存在权限提升现象时,节点标记为P。其余情况下节点均标记为I,表示软件不具备此节点的行为能力。
算法2的描述:在检测软件的潜在威胁时,如表2中的算法2(潜在威胁检测)所示,首先根据权限和API标记所有叶节点,标记过程为如表1所示的算法1(软件有效行为能力计算):然后对每个攻击森林中的每个攻击路径,根据叶节点的标记自底向上标记所有的节点,当节点的子节点完全标记之后,根据节点的“与”、“或”关系确定自身的标记(AND表示只有当所有子节点都被标记为P时,根节点才能标记为P,其余情况均被标记为I;OR表示只有当所有子节点都被标记为I时,根节点才能被标记为I,其余情况均被标记为P),重复此过程直到根节点被标记。如果存在根节点被标记为“P”,则待检测软件存在潜在威胁,如果所有攻击树的根节点标记为“I”,则待检测软件为正常软件。
表2、静态分析过程中的潜在威胁检测算法
根据图2所示的攻击树,如果软件读取用户的SD卡,并且具有访问Internet的权限,则根据上述算法自下而上标记两条节点线路:ReadSDcard(E_RSDC)→UserInfo→StoredPrivacy→ObtainedPrivacy→PrivacyStealting和Internet(E_inte)→LeakageMethod→PrivacyStealing。
这两条线路都标记到根节点PrivacyStealing,并通过相“与”判断将根节点标记为P,即存在潜在威胁的软件。
(4)动态分析过程
动态分析需要将软件安装包安装到Android***中,触发其运行,主要分为两个步骤:运行时软件行为特征获取和软件行为特征分析检测。
运行时,软件行为特征获取的具体处理包括:程序运行时的行为特征可以通过Log获得,本发明在TaintDroid工具基础上做了定制,对提取的函数信息通过配置文件进行管理,在以TaintDroid为***镜像的模拟器上运行Android程序时,通过logcat可以获取丰富的软件运行时信息,包括函数调用序列,函数的参数列表和返回值,这些就是动态行为检测的特征信息。
软件行为特征分析检测的具体处理包括:首先安装软件到TaintDroid***中,根据LauncherActivity启动应用程序,然后根据上一步骤中准备好的动态行为检测规则进行行为触发和行为检测,即根据规则的事件部分模拟***事件,获取此事件触发的行为日志。最后根据规则的检测部分进行匹配,只要存在满足的检测项(此案例中风险项是窃取用户私人信息并对其进行不正当操作)则为恶意软件,如果检测项都不匹配则为正常软件。行为特征分析检测的算法如表3中的算法3所示。
表3、动态分析行为检测算法
算法3的描述:在实际动态检测之前需要确定软件对应的行为检测规则集合。这个过程主要分为两个步骤,第一步根据静态分析中记录的攻击路径编号,读取每一个编号对应的行为检测规则集合,将所有的行为检测规则并在一起;第二步从所有行为规则中提取模拟事件相同的规则,将其合并,得到规则的集合rules。接下来,根据算法3,首先需要获取待检测软件的所有攻击路径AttackPaths以及涉及的组件Components。然后根据攻击路径的编号为每其加载检测规则,并模拟组件触发某事件。最后根据规则的事件部分模拟***事件,根据规则的检测部分进行匹配,只要check(rule.test)返回true,就表示存在满足的检测项,则该软件为恶意软件,如果检测项都不匹配则为正常软件。如此反复,直到所有攻击路径都被检测完为止。
(5)检验结果
由此可以得到,利用上述“静态分析”与“动态分析”混合的检测方法,检测方可以高效并准确地区分窃取用户隐私的恶意软件和正常软件,为避免隐私泄露和采取下一步措施提供了基础和前提。
Claims (4)
1.一种基于攻击树模型的Android软件混合检测方法,其特征在于,该方法包含以下步骤:
首先,在实际检测之前建立攻击树模型,使用攻击树模型对各种恶意软件攻击类型进行分析,建立起攻击目标和软件基本能力之间的联系,并针对每一条攻击路径制定一系列动态行为检测规则;
然后,进行包含静态分析和动态分析的混合检测,其中:所述静态分析提取待分析软件的权限、API和组件信息,根据软件基本行为能力对攻击树进行标记,并依据标记情况实现过滤正常软件并确定可疑软件可能的攻击途径;所述动态分析根据待测软件攻击能力检测的结果选择软件运行时的检测点,加载及组合行为规则,通过组件信息模拟***事件触发程序的待测软件行为,强制待测软件充分运行,再依据行为规则进行待测软件行为检验,识别恶意软件。
2.如权利要求1所述的基于攻击树模型的Android软件混合检测方法,其特征在于,所述待测软件攻击能力检测的步骤,具体包括以下处理:
首先使用基于Python的Androguard工具,将APK文件中的dex文件、类和方法等都映射为python的对象。然后通过大量的预定义的方法提取相关信息,例如将APK文件路径作为参数调用反向工程函数并将结果赋予一个变量,便可以通过该变量调用方法获取APK的大量信息;get_permissions()函数可以获取权限列表;get_activities()函数可以获取所有活动组件等。最后根据提取到的权限和API信息,借助攻击树模型,通过结点标记的方法确定攻击目标是否可以实现。对攻击树进行标记后,如果存在根结点被标记为“P”,则待检测软件存在潜在威胁,如果所有攻击树的根结点标记为“I”,则待检测软件为正常软件。
3.如权利要求1所述的基于攻击树模型的Android软件混合检测方法,其特征在于,所述待测模拟***事件触发程序的待测软件行为的步骤,具体包括以下处理:
根据静态分析可以获得软件的组件信息,强制软件内所有组件都启动并运行所有的生命周期阶段以保证完备性,而组件的启动和运行可以通过命令或者事件触发。也就是说,使用“amstart”命令可以启动活动,服务并发送广播;使用telnet连接Android设备后可以通过命令模拟环境事件,例如使用“smssend136…TextContent”模拟发送短信,使用“geofix121.525.410”模拟位置变化,还可以模拟来去电,电量变化,硬件事件等;启动任何活动之后,生成屏幕点击事件和按键事件模拟用户操作。
4.如权利要求1所述的基于攻击树模型的Android软件混合检测方法,其特征在于,所述待测软件行为检测的步骤,具体包括以下处理:
首先,在实际动态检测之前需要确定软件对应的行为检测规则集合。即根据静态分析中记录的攻击路径编号,读取每一个编号对应的行为检测规则集合,将所有的行为检测规则并在一起。其次,安装软件到TaintDroid***中,根据LauncherActivity启动应用程序。然后,需要获取待检测软件的所有攻击路径以及涉及的组件作为输入,并根据攻击路径的编号为每其加载检测规则。最后根据规则的事件部分模拟***事件,根据规则的检测部分进行匹配,只要存在满足的检测项,则该软件为恶意软件,如果检测项都不匹配则为正常软件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510468228.8A CN105069354A (zh) | 2015-07-31 | 2015-07-31 | 基于攻击树模型的Android软件混合检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510468228.8A CN105069354A (zh) | 2015-07-31 | 2015-07-31 | 基于攻击树模型的Android软件混合检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105069354A true CN105069354A (zh) | 2015-11-18 |
Family
ID=54498717
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510468228.8A Pending CN105069354A (zh) | 2015-07-31 | 2015-07-31 | 基于攻击树模型的Android软件混合检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105069354A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105787366A (zh) * | 2016-02-16 | 2016-07-20 | 上海交通大学 | 基于组件关系的安卓软件可视化安全分析方法 |
CN106875078A (zh) * | 2016-08-03 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 交易风险检测方法、装置及设备 |
CN107169351A (zh) * | 2017-05-11 | 2017-09-15 | 北京理工大学 | 结合动态行为特征的Android未知恶意软件检测方法 |
CN107577946A (zh) * | 2017-10-17 | 2018-01-12 | 江苏通付盾信息安全技术有限公司 | iOS应用程序的分析方法、装置、***及PC设备 |
CN108171053A (zh) * | 2017-12-28 | 2018-06-15 | 北京奇虎科技有限公司 | 一种规则发现的方法以及*** |
CN108229165A (zh) * | 2016-12-21 | 2018-06-29 | 武汉安天信息技术有限责任公司 | 一种恶意代码检测环境模拟方法及*** |
CN108363919A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种病毒专杀工具生成方法及*** |
CN108734010A (zh) * | 2017-04-17 | 2018-11-02 | 北京京东尚科信息技术有限公司 | 文件检测的方法、装置 |
CN110737891A (zh) * | 2018-07-19 | 2020-01-31 | 北京京东金融科技控股有限公司 | 一种主机入侵检测方法和装置 |
CN111143853A (zh) * | 2019-12-25 | 2020-05-12 | 支付宝(杭州)信息技术有限公司 | 一种应用安全的评估方法和装置 |
-
2015
- 2015-07-31 CN CN201510468228.8A patent/CN105069354A/zh active Pending
Non-Patent Citations (1)
Title |
---|
ZHAO SHUAI等: ""Attack Tree Based Android Malware Detection with Hybrid Analysis"", 《PROCEEDINGS OF 2014 IEEE 13TH INTERNATIONAL CONFERENCE ON TRUST, SECURITY AND PRIVACY IN COMPUTING AND COMMUNICATIONS》 * |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105787366B (zh) * | 2016-02-16 | 2019-01-25 | 上海交通大学 | 基于组件关系的安卓软件可视化安全分析方法 |
CN105787366A (zh) * | 2016-02-16 | 2016-07-20 | 上海交通大学 | 基于组件关系的安卓软件可视化安全分析方法 |
CN106875078A (zh) * | 2016-08-03 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 交易风险检测方法、装置及设备 |
CN106875078B (zh) * | 2016-08-03 | 2020-09-01 | 阿里巴巴集团控股有限公司 | 交易风险检测方法、装置及设备 |
CN108229165A (zh) * | 2016-12-21 | 2018-06-29 | 武汉安天信息技术有限责任公司 | 一种恶意代码检测环境模拟方法及*** |
CN108734010A (zh) * | 2017-04-17 | 2018-11-02 | 北京京东尚科信息技术有限公司 | 文件检测的方法、装置 |
CN107169351A (zh) * | 2017-05-11 | 2017-09-15 | 北京理工大学 | 结合动态行为特征的Android未知恶意软件检测方法 |
CN107577946A (zh) * | 2017-10-17 | 2018-01-12 | 江苏通付盾信息安全技术有限公司 | iOS应用程序的分析方法、装置、***及PC设备 |
CN108363919A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种病毒专杀工具生成方法及*** |
CN108363919B (zh) * | 2017-10-19 | 2021-04-20 | 北京安天网络安全技术有限公司 | 一种病毒专杀工具生成方法及*** |
CN108171053B (zh) * | 2017-12-28 | 2020-06-12 | 北京奇虎科技有限公司 | 一种规则发现的方法以及*** |
CN108171053A (zh) * | 2017-12-28 | 2018-06-15 | 北京奇虎科技有限公司 | 一种规则发现的方法以及*** |
CN110737891A (zh) * | 2018-07-19 | 2020-01-31 | 北京京东金融科技控股有限公司 | 一种主机入侵检测方法和装置 |
CN111143853A (zh) * | 2019-12-25 | 2020-05-12 | 支付宝(杭州)信息技术有限公司 | 一种应用安全的评估方法和装置 |
CN111143853B (zh) * | 2019-12-25 | 2023-03-07 | 支付宝(杭州)信息技术有限公司 | 一种应用安全的评估方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105069354A (zh) | 基于攻击树模型的Android软件混合检测方法 | |
CN109117250B (zh) | 一种模拟器识别方法、识别设备及计算机可读介质 | |
CN103186740B (zh) | 一种Android恶意软件的自动化检测方法 | |
CN103440456B (zh) | 一种应用程序安全评估的方法及装置 | |
CN104766012B (zh) | 基于动态污点追踪的数据安全动态检测方法及*** | |
CN104376266B (zh) | 应用软件安全级别的确定方法及装置 | |
CN106845240A (zh) | 一种基于随机森林的Android恶意软件静态检测方法 | |
CN105893848A (zh) | 一种基于代码行为相似度匹配的Android恶意应用程序防范方法 | |
CN105956468B (zh) | 一种基于文件访问动态监控的Android恶意应用检测方法及*** | |
EP2595423A1 (en) | Application security evaluation system and method | |
CN109062667B (zh) | 一种模拟器识别方法、识别设备及计算机可读介质 | |
CN109446817A (zh) | 一种大数据检测与审计*** | |
CN105825129B (zh) | 一种融合通信中恶意软件鉴别方法和*** | |
CN106570399B (zh) | 一种跨App组件间隐私泄露的检测方法 | |
CN106604362B (zh) | 一种无线保真Wi-Fi扫描方法及移动终端 | |
CN108446572A (zh) | 一种基于服务粒度的隐私权限管理方法 | |
CN104504337A (zh) | 一种安卓数据泄露的恶意应用检测方法 | |
CN105653947A (zh) | 一种评估应用数据安全风险的方法及装置 | |
CN103905423A (zh) | 一种基于动态行为分析的有害广告件检测方法及*** | |
CN105718792A (zh) | 一种基于沙箱的二维码检测方法及*** | |
CN106599688A (zh) | 一种基于应用类别的安卓恶意软件检测方法 | |
CN109815702B (zh) | 软件行为的安全检测方法、装置及设备 | |
CN108965251B (zh) | 一种云端结合的安全手机防护*** | |
CN108197476A (zh) | 一种智能终端设备的漏洞检测方法及装置 | |
CN108712253B (zh) | 一种基于手机传感器指纹的伪造移动端识别方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20151118 |