CN105956474B - Android平台软件异常行为检测*** - Google Patents
Android平台软件异常行为检测*** Download PDFInfo
- Publication number
- CN105956474B CN105956474B CN201610323750.1A CN201610323750A CN105956474B CN 105956474 B CN105956474 B CN 105956474B CN 201610323750 A CN201610323750 A CN 201610323750A CN 105956474 B CN105956474 B CN 105956474B
- Authority
- CN
- China
- Prior art keywords
- hook
- software
- module
- data
- software action
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种Android平台软件异常行为检测***,属于智能移动终端技术领域。本***包括相互连通的Android移动终端和软件行为监测数据库;Android移动终端包括内核Hook模块、数据分析模块和Hook日志模块;内核Hook模块包括依次交互的System_server进程、libbind.so库和ioctl函数,实现内核Hook信息的提取;数据分析模块包括资源监测进程、状态监测进程、数据分析引擎和数据处理进程,对软件行为异常的界定写入。本发明具有超前性、准确性和综合性,不仅结合动态检测和静态检测的优点,通过对敏感API接口函数的Hook,有效的检测app软件的异常行为,有效统计软件的操作***行为特征。
Description
技术领域
本发明属于智能移动终端技术领域,尤其涉及一种Android平台软件异常行为检测***。
背景技术
近年来,随着移动互联网的快速发展和智能手机生产成本的下降,很多PC功能也慢慢往手机端迁移,智能手机功能变得更强大,如移动办公、电子支付、车载导航等,智能移动终端软件的数量已远远超出传统PC上应用软件的数量。相对于PC来说,智能终端更贴近用户,渐渐成为人们工作、生活中不可或缺的一部分。Android和iOS占据了移动智能终端操作***的重要的份额。
与iOS上的应用软件相比较,目前Android应用软件的数量和用户数量已占据了绝对优势。由于Android阵营通过采用开放性策略,在其普及率越来越高的同时,也成为了黑客和恶意软件攻击的重要目标,Android平台安全问题不容忽视。
软件检测是Android平台安全防护最重要的手段,目前智能终端软件检测技术大致可分为静态检测和动态检测:
静态检测在不运行目标软件的情况下,需要通过反编译等手段抽取程序的代码片段、API函数、语义逻辑等静态特征进行检测。该方法的特点是检测速度快、误报率低,检测效果取决于恶意软件特征码库的全面性。当恶意软件数量大、变种多时,将使征码库迅速膨胀,在占据较大存储空间的同时,也会增大检索的复杂度。而且容易受程序加壳等因素影响,无法应对经过混淆和多态技术处理的恶意软件,无法检测未知恶意软件。
动态检测是指先将待检测的软件在终端上安装并运行,然后通过使用软件的各个功能来检测该软件对***资源的使用情况。这些资源可以包括是否有擅自联网情况、是否有包括联系人等敏感信息的获取、是否未经提示请求发送短信内容、是否未经提示请求上传和下载文件等通过软件运行来检测软件是否符窃密、吸费、非法内容传播等异常行为。但动态监测过程需要在移动终端不断运行一个监测程序,将造成移动终端电量等资源的迅速耗尽,在一定程度上影响用户体验。另一方面,也在一定程度上造成用户对隐私泄露等方面的担忧。
发明内容
本发明的目的就在于克服现有技术的存在的缺点和不足,提出了一种Android平台软件异常行为检测***,为Android平台上软件运行环境提供了安全保证。
实现本发明目的的技术方案是:
结合静态检测和动态检测的特点,结合数据分析、行为监测和Hook日志等信息有效地识别软件异常行为,并支持异常行为提供有效的查询及界定,为Android智能终端使用提供安全保障。
具体地说,Android平台软件异常行为检测***(简称***)
本***包括相互连通的Android移动终端和软件行为监测数据库;
Android移动终端包括内核Hook模块、数据分析模块和Hook日志模块;
内核Hook模块包括依次交互的System_server进程、libbind.so库和ioctl函数,实现内核hook信息的提取;
数据分析模块包括资源监测进程、状态监测进程、数据分析引擎和数据处理进程;资源监测进程和状态监测进程分别与数据分析引擎交互,数据分析引擎和数据处理进程交互,对软件行为异常的界定写入;
ioctl函数和数据分析模块交互,完成数据传输;
数据分析引擎分别与Hook日志模块和监测数据库交互,完成软件行为特征的查询及日志写入;
数据处理进程分别与Hook日志模块和软件行为监测数据库交互,对软件行为特征进行界定,将软件行为写入Hook日志模块,将界定的软件行为写入软件行为监测数据库中。
本发明具有下列优点和积极效果:
①超前性:本发明是Hook敏感API检测的方法相结合的方法,提高软件异常检测的效率。
②准确性:越来越多的app恶意软件不仅仅停留在应用层面,更多的开始在应用框架层甚至内核层做一些恶意操作;这些新出现的恶意软件对病毒分析***提出了新的需求;对敏感API函数接口Hook,能够监测出app软件的恶意行为操作。
③综合性:本发明不仅结合动态检测和静态检测的优点,通过对敏感API接口函数的Hook,有效的检测app软件的异常行为,通过对软件的异常行为的处理;用户可以通过检测Hook日志的方法或查询行为特征数据库,有效统计软件的操作***行为特征。
附图说明
图1是本***的结构方框图;
图2是Android binder通信机制示意图。
其中:
100—Android移动终端,
110—内核Hook模块,
111—System_server进程,
112—libbind.so库,
113—ioctl函数;
120—数据分析模块,
121—资源监测进程,
122—状态监测进程,
123—数据分析引擎,
124—数据处理进程;
130—Hook日志模块。
200—软件行为监测数据库。
英译汉
1、Hook技术:钩子技术,实际上是一种处理消息的程序段,通过调用,将其载入***。
2、Android:是一种基于Linux的自由及开放源代码的操作***,主要使用于移动设备,如智能手机和平板电脑,由Google公司和开放手机联盟领导及开发。
3、iOS:由苹果公司开发的移动操作***,是一个与硬件分离的软件体系结构。
具体实施方式
下面结合附图和实施例详细说明:
1、总体
如图1,本***包括相互连通的Android移动终端100和软件行为监测数据库200;
Android移动终端100包括内核Hook模块110、数据分析模块120和Hook日志模块130;
内核Hook模块110包括依次交互的System_server进程111、libbind.so库112和ioctl函数113,实现内核hook信息的提取;
数据分析模块120包括资源监测进程121、状态监测进程122、数据分析引擎123和数据处理进程124;资源监测进程121和状态监测进程122分别与数据分析引擎123交互,数据分析引擎123和数据处理进程124交互,对软件行为异常的界定写入;
ioctl函数113和数据分析模块120交互,完成数据传输;
数据分析引擎123分别与Hook日志模块130和监测数据库200交互,完成软件行为特征的查询及日志写入;
数据处理进程124分别与Hook日志模块130和软件行为监测数据库200交互,对软件行为特征进行界定,将软件行为写入Hook日志模块130,将界定的软件行为写入软件行为监测数据库200中。
2、功能块
1)Android移动终端100
(1)内核Hook模块110
内核Hook模块110的工作流程:
①利用ptrace***函数,将Shellcode程序注入到System_server进程111,ptrace提供了一种父进程可以控制子进程运行,它主要用于实现断点调试;
②利用ptrace***函数,执行Shellcode中的代码:
Shellcode实际是一段代码(也可以是填充数据),是利用了***的特定漏洞的代码,可以获取更高的权限;Shellcode经常是作为数据发送给受攻击***的;
③Shellcode的代码在System_server进程111中运行,功能是调用Hook共享库;
④Hook共享库的功能是对System_server进程111中的libbind.so库112中调用的ioctl函数113进行功能劫持,将劫持数据进行输出重定向,输出至数据分析模块120进行数据解析,并将处理结果写入Hook日志模块130和软件行为监测数据库200。
内核Hook模块110工作机理:
近来手机恶意软件不仅仅停留在应用层的操作,已经开始向应用框架层甚至内核层做一些恶意操作,这样对于检测软件难度提出了更高的挑战;内核Hook模块110就是通过Hook内核层驱动函数的API接口,对***进程进行监测;利用ptrace***函数,将Shellcode程序注入到System_server进程111;执行Shellcode中的代码,Shellcode的代码在System_server进程111中运行,功能是调用Hook共享库;Hook共享库将劫持数据进行输出重定向,输出至数据分析模块120进行数据解析,并将处理结果写入Hook日志模块130和软件行为监测数据库200。
(2)数据分析模块120
数据分析模块120的工作流程:
①接收内核Hook模块110发送的数据;
②数据分析模块120对步骤①中所接收的数据进行分类解析,***资源:读取IMEI或IMSI、发送短信、拨打电话、读取GPS信息、连接摄像头服务和连接录音服务;***状态:读写***数据库信息;
③数据分析引擎123对步骤②解析的数据与软件行为监测数据库200中app的权限做对比,将处理数据处理后,按app名称、操作时间、类型、次数及内容写入Hook日志模块130和软件行为监测数据库200;
④根据操作的过程形成行为特征数据库,在app软件的操作中,数据处理进程124对软件行为做处理统计,并对软件行为与软件行为监测数据库200的数据做对比,如在统计时间内有明显异常,生成异常报告写入Hook日志模块130中;
⑤根据操作的过程形成行为特征数据库,在app软件的操作中,数据处理进程(124)对软件行为做处理统计,并对软件行为与软件行为监测数据库200的数据做对比,如在统计时间内,没有明显异常,生成日志报告写入Hook日志模块130中。
数据分析模块120的工作机理:
数据分析模块120主要是对接收的软件操作***Hook数据进行解析的作用;接数据分析模块120对数据进行分类解析,按***资源和***状态解析分类;***资源包括读取IMEI或IMSI、发送短信、拨打电话、读取GPS信息、连接摄像头服务和连接录音服务;***状态包括读写***数据库信息;数据分析引擎123对数据行为监测数据库200中app的权限做对比,将处理数据处理后,按app名称、操作时间、类型、次数及内容解析,并将处理结果写入Hook日志模块130和行为监测数据库200;根据操作的形成行为特征数据库,在app软件的操作中,数据处理进程124对软件行为做处理统计,并对软件行为与软件行为监测数据库(200)的数据做对比,如在统计时间内有明显异常,生成异常报告写入Hook日志130中;根据操作的形成行为特征数据库,在app软件的操作中,数据处理进程124对软件行为做处理统计,并对软件行为与数据分析模块120的数据做对比,如在统计时间内没有明显异常,生成日志报告写入Hook日志130中。
(3)Hook日志模块130
Hook日志模块130的工作流程:
选用本地日志,主要是数据处理进程124完成对软件行为界定后,基于统计结论,如果软件行为异常,则将异常信息生成异常报告写入Hook日志模块130中;如果软件行为正常,则将软件行为生成日志报告写入Hook日志模块130中。
Hook日志模块130的工作机理:
Hook日志模块130和行为监测数据库200为***行为记录模块,主要是在完成数据处理后,将按app名称、操作时间、类型、次数及内容写到数据库中,统计某些时段用户使用某种协议的次数、流量、安全统计和界定的目的;对界定后的结果,如果软件行为异常,则将异常信息生成异常报告写入Hook日志模块130中;如果软件行为正常,则将软件行为生成日志报告写入Hook日志模块130中。
2)软件行为监测数据库200
软件行为监测数据库200的工作流程:
软件行为监测数据库200为数据库模块,主要是完成数据的存储,将按app名称、操作时间、类型、次数及内容写到数据库中,统计某些时段用户使用某种协议的次数、流量,达到安全统计和界定的目的。
软件行为监测数据库200的工作机理:
对软件的异常行为特征做了界定,当android移动终端对软件行为特征,结合Hook日志模块130做分析时,为数据库提供实时查询,并支持数据分析模块120的处理结果的实时写回。
3、工作原理
1)***原理
***的目的是从Android***获取软件操作信息,识别app软件异常行为。
Android移动终端100的内核Hook模块110,在获取权限的情况下,将Shellcode代码注入System_server进程111,通过Hook的动态链接库libbind.so库112中导入ioctl函数113,将Android的***操作信息发送至数据分析模块120;数据分析模块120对应用程序行为的监控包括:读取IMEI或IMSI、发送短信、拨打电话、读取或者写入***数据库、读取GPS信息、连接摄像头服务和连接录音服务;***操作信息经由资源监测进程121和状态监测进程122分析处理,发送至数据分析引擎123,数据处理进程124,结合软件行为监测数据库200,对***状态信息进行处理,并写入Hook日志模块130。
2)Android binder通信机制原理:
如图2,Android Binder是一种进程间通信机制。***的各个远程service对象都是以Binder的形式存在的,而这些Binder有一个管理者,那就ServiceManager,要Hook这些服务,当然要从ServiceManager下手。在Android***的Binder机制中,由一***组件组成,分别是Client、Server、Service Manager和Binder驱动程序,其中Client、Server和Service Manager运行在用户空间,Binder驱动程序运行内核空间。Binder就是一种把这四个组件粘合在一起的粘结剂了,其中,核心组件便是Binder驱动程序了,Service Manager提供了辅助管理的功能,Client和Server正是在Binder驱动和Service Manager提供的基础设施上,进行Client-Server之间的通信。把这种Hook***服务的机制称之为BinderHook,因为本质上这些服务提供者都是存在于***各个进程的Binder对象。
(1)Client、Server和Service Manager实现在用户空间中,Binder驱动程序实现在内核空间中;
(2)Binder驱动程序和Service Manager在Android平台中已经实现,开发者只需要在用户空间实现自己的Client和Server;
(3)Binder驱动程序提供设备文件与用户空间交互,Client、Server和ServiceManager通过ioctl文件操作函数与Binder驱动程序进行通信;
(4)Client和Server之间的进程间通信通过Binder驱动程序间接实现;
(5)Service Manager是一个守护进程,用来管理Server,并向Client提供查询Server接口的能力。
Claims (1)
1.一种Android平台软件异常行为检测***,包括相互连通的Android移动终端(100)和软件行为监测数据库(200);
Android移动终端(100)包括内核Hook模块(110)、数据分析模块(120)和Hook日志模块(130);
内核Hook模块(110)包括依次交互的System_server进程(111)、libbind.so库(112)和ioctl函数(113),实现内核hook信息的提取;
数据分析模块(120)包括资源监测进程(121)、状态监测进程(122)、数据分析引擎(123)和数据处理进程(124);资源监测进程(121)和状态监测进程(122)分别与数据分析引擎(123)交互,数据分析引擎(123)和数据处理进程(124)交互,对软件行为异常的界定写入;
ioctl函数(113)和数据分析模块(120)交互,完成数据传输;
数据分析引擎(123)分别与Hook日志模块(130)和监测数据库(200)交互,完成软件行为特征的查询及日志写入;
数据处理进程(124)分别与Hook日志模块(130)和软件行为监测数据库(200)交互,对软件行为特征进行界定,将软件行为写入Hook日志模块(130),将界定的软件行为写入软件行为监测数据库(200)中;
所述的内核Hook模块(110)的工作流程:
A、利用ptrace***函数,将Shellcode程序注入到System_server进程(111),ptrace提供了一种父进程可以控制子进程运行,它主要用于实现断点调试;
B、利用ptrace***函数,执行Shellcode中的代码:
Shellcode实际是一段代码,是利用了***的特定漏洞的代码,可以获取更高的权限;Shellcode经常是作为数据发送给受攻击***的;
C、Shellcode的代码在System_server进程(111)中运行,功能是调用Hook共享库;
D、Hook共享库的功能是对System_server进程(111)中的libbind.so库(112)中调用的ioctl函数(113)进行功能劫持,将劫持数据进行输出重定向,输出至数据分析模块(120)进行数据解析,并将处理结果写入Hook日志模块(130)和软件行为监测数据库(200);
所述的Hook日志模块(130)的工作流程是:
选用本地日志,主要是数据处理进程(124)完成对软件行为界定后,基于统计结论,如果软件行为异常,则将异常信息生成异常报告写入Hook日志模块(130)中;如果软件行为正常,则将软件行为生成日志报告写入Hook日志模块(130)中;
所述的软件行为监测数据库(200)的工作流程是:
软件行为监测数据库(200)为数据库模块,主要是完成数据的存储,将按app名称、操作时间、类型、次数及内容写到数据库中,统计某些时段用户使用某种协议的次数、流量,达到安全统计和界定的目的;
其特征在于:
所述的数据分析模块(120)的工作流程是:
①接收内核Hook模块(110)发送的数据;
②数据分析模块(120)对步骤①中所接收的数据进行分类解析,***资源:读取IMEI或IMSI、发送短信、拨打电话、读取GPS信息、连接摄像头服务和连接录音服务;***状态:读写***数据库信息;
③数据分析引擎(123)对步骤②解析的数据与软件行为监测数据库(200)中app的权限做对比,将处理数据处理后,按app名称、操作时间、类型、次数及内容写入Hook日志模块(130)和软件行为监测数据库(200);
④根据操作的过程形成行为特征数据库,在app软件的操作中,数据处理进程(124)对软件行为做处理统计,并对软件行为与软件行为监测数据库(200)的数据做对比,如在统计时间内有明显异常,生成异常报告写入Hook日志模块(130)中;
⑤根据操作的过程形成行为特征数据库,在app软件的操作中,数据处理进程(124)对软件行为做处理统计,并对软件行为与软件行为监测数据库(200)的数据做对比,如在统计时间内,没有明显异常,生成日志报告写入Hook日志模块(130)中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610323750.1A CN105956474B (zh) | 2016-05-17 | 2016-05-17 | Android平台软件异常行为检测*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610323750.1A CN105956474B (zh) | 2016-05-17 | 2016-05-17 | Android平台软件异常行为检测*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105956474A CN105956474A (zh) | 2016-09-21 |
CN105956474B true CN105956474B (zh) | 2018-12-25 |
Family
ID=56911666
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610323750.1A Active CN105956474B (zh) | 2016-05-17 | 2016-05-17 | Android平台软件异常行为检测*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105956474B (zh) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107967155B (zh) * | 2016-10-18 | 2022-01-07 | 腾讯科技(深圳)有限公司 | 基于Hook共享库实现程序运行的方法、装置、服务器及介质 |
CN106709357A (zh) * | 2016-12-14 | 2017-05-24 | 武汉虹旭信息技术有限责任公司 | Android平台基于内核内存监控的漏洞防护*** |
CN106844182B (zh) * | 2017-02-07 | 2021-07-09 | 网易(杭州)网络有限公司 | 用于记录用户行为的方法、***及移动终端 |
CN108804278A (zh) * | 2017-05-04 | 2018-11-13 | 苏州睿途网络科技有限公司 | 一种软件监测***及其商业模式 |
CN107239698A (zh) * | 2017-05-27 | 2017-10-10 | 北京洋浦伟业科技发展有限公司 | 一种基于信号处理机制的反调试方法和装置 |
CN109508245A (zh) * | 2017-09-15 | 2019-03-22 | 西安中兴新软件有限责任公司 | 一种实现异常分析的方法及终端 |
CN107635011B (zh) * | 2017-10-17 | 2021-01-15 | 四川智魔王智能科技股份有限公司 | 一种Android平台实现应用内网络透明代理的***及方法 |
CN108256320B (zh) * | 2017-12-27 | 2020-04-28 | 北京梆梆安全科技有限公司 | 微分域动态检测方法及装置、设备和存储介质 |
CN108959923B (zh) * | 2018-05-31 | 2022-05-17 | 深圳壹账通智能科技有限公司 | 综合安全感知方法、装置、计算机设备和存储介质 |
CN109740345A (zh) * | 2018-12-26 | 2019-05-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种监控进程的方法及装置 |
CN110046502B (zh) * | 2019-04-08 | 2020-12-04 | 中国科学院软件研究所 | 一种基于虚拟化高效hash的可配置函数api监测方法 |
CN110457140B (zh) * | 2019-07-02 | 2022-11-11 | 福建新大陆通信科技股份有限公司 | 一种基于binder机制的client server快速调用方法及*** |
CN110334523B (zh) * | 2019-07-18 | 2021-06-01 | 北京智游网安科技有限公司 | 一种漏洞检测方法、装置、智能终端及存储介质 |
CN111209007B (zh) * | 2020-01-17 | 2023-03-31 | 山东浪潮科学研究院有限公司 | 一种基于移动环境监控可控设备软件实现方法 |
CN115563614B (zh) * | 2022-10-27 | 2023-08-04 | 艾德领客(上海)数字技术有限公司 | 一种应用于人工智能的软件异常行为文件溯源方法 |
CN117201072B (zh) * | 2023-07-31 | 2024-06-14 | 北京天融信网络安全技术有限公司 | 用户密码获取方法、装置、设备及存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103136472A (zh) * | 2011-11-29 | 2013-06-05 | 腾讯科技(深圳)有限公司 | 一种防应用程序窃取隐私的方法及移动设备 |
CN103136471A (zh) * | 2011-11-25 | 2013-06-05 | 中国科学院软件研究所 | 一种恶意Android应用程序检测方法和*** |
CN103198255A (zh) * | 2013-04-03 | 2013-07-10 | 武汉大学 | 一种Android软件敏感行为监控与拦截方法及*** |
CN104217164A (zh) * | 2014-09-11 | 2014-12-17 | 工业和信息化部电子第五研究所 | 智能移动终端恶意软件的检测方法与装置 |
CN104751052A (zh) * | 2013-12-30 | 2015-07-01 | 南京理工大学常熟研究院有限公司 | 基于svm算法的移动智能终端软件的动态行为分析方法 |
CN104766012A (zh) * | 2015-04-09 | 2015-07-08 | 广东电网有限责任公司信息中心 | 基于动态污点追踪的数据安全动态检测方法及*** |
CN105427096A (zh) * | 2015-12-25 | 2016-03-23 | 北京奇虎科技有限公司 | 支付安全沙箱实现方法及***与应用程序监控方法及*** |
CN106156628A (zh) * | 2015-04-16 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种用户行为分析方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8930940B2 (en) * | 2011-08-19 | 2015-01-06 | Yongyong Xu | Online software execution platform |
-
2016
- 2016-05-17 CN CN201610323750.1A patent/CN105956474B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103136471A (zh) * | 2011-11-25 | 2013-06-05 | 中国科学院软件研究所 | 一种恶意Android应用程序检测方法和*** |
CN103136472A (zh) * | 2011-11-29 | 2013-06-05 | 腾讯科技(深圳)有限公司 | 一种防应用程序窃取隐私的方法及移动设备 |
CN103198255A (zh) * | 2013-04-03 | 2013-07-10 | 武汉大学 | 一种Android软件敏感行为监控与拦截方法及*** |
CN104751052A (zh) * | 2013-12-30 | 2015-07-01 | 南京理工大学常熟研究院有限公司 | 基于svm算法的移动智能终端软件的动态行为分析方法 |
CN104217164A (zh) * | 2014-09-11 | 2014-12-17 | 工业和信息化部电子第五研究所 | 智能移动终端恶意软件的检测方法与装置 |
CN104766012A (zh) * | 2015-04-09 | 2015-07-08 | 广东电网有限责任公司信息中心 | 基于动态污点追踪的数据安全动态检测方法及*** |
CN106156628A (zh) * | 2015-04-16 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种用户行为分析方法及装置 |
CN105427096A (zh) * | 2015-12-25 | 2016-03-23 | 北京奇虎科技有限公司 | 支付安全沙箱实现方法及***与应用程序监控方法及*** |
Non-Patent Citations (1)
Title |
---|
面向Android应用程序行为的安全监控***设计与实现;阙斌生;《中国优秀硕士学位论文全文数据库信息科技辑(月刊)》;20150415(第4期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN105956474A (zh) | 2016-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105956474B (zh) | Android平台软件异常行为检测*** | |
US11924230B2 (en) | Individual device response options from the monitoring of multiple devices | |
Di Cerbo et al. | Detection of malicious applications on android os | |
Pan et al. | Dark hazard: Large-scale discovery of unknown hidden sensitive operations in Android apps | |
US20150163121A1 (en) | Distributed monitoring, evaluation, and response for multiple devices | |
CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
US9781143B1 (en) | Systems and methods for detecting near field communication risks | |
CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
CN105531712A (zh) | 移动设备上的基于数据流的行为分析 | |
CN104484599A (zh) | 一种基于应用程序的行为处理方法和装置 | |
CN105874463A (zh) | 用于恶意软件检测的方法和装置 | |
CN111835756B (zh) | App隐私合规检测方法、装置、计算机设备及存储介质 | |
KR20110128632A (ko) | 스마트폰 응용프로그램의 악성행위 탐지 방법 및 장치 | |
CN103268448B (zh) | 动态检测移动应用的安全性的方法和*** | |
CN113177205B (zh) | 一种恶意应用检测***及方法 | |
Wang et al. | Leakdoctor: Toward automatically diagnosing privacy leaks in mobile applications | |
Bhatia et al. | Tipped Off by Your Memory Allocator: Device-Wide User Activity Sequencing from Android Memory Images. | |
Liccardi et al. | Improving mobile app selection through transparency and better permission analysis | |
Saad et al. | Android spyware disease and medication | |
CN113904828B (zh) | 接口的敏感信息检测方法、装置、设备、介质和程序产品 | |
CN115828256A (zh) | 一种越权与未授权逻辑漏洞检测方法 | |
CN113486335B (zh) | 一种基于rasp零规则的jni恶意攻击检测方法及装置 | |
Almotairy et al. | B-droid: a static taint analysis framework for android applications | |
CN113132346A (zh) | 一种移动应用信息窃取回传主控地址的检测方法及*** | |
CN115398431A (zh) | 用户信息违规获取检测方法及相关设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |