CN107169350A - 一种针对移动应用使用异常权限的检测和阻断方法 - Google Patents
一种针对移动应用使用异常权限的检测和阻断方法 Download PDFInfo
- Publication number
- CN107169350A CN107169350A CN201710325228.1A CN201710325228A CN107169350A CN 107169350 A CN107169350 A CN 107169350A CN 201710325228 A CN201710325228 A CN 201710325228A CN 107169350 A CN107169350 A CN 107169350A
- Authority
- CN
- China
- Prior art keywords
- authority
- application
- classification
- abnormal
- measured
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种针对移动应用使用异常权限的检测和阻断方法:获取待测应用申请权限中的异常权限,在这些异常权限调用***框架层提供的方法时,查询方法对应的安全行为模式表,如果调用过程不满足安全行为模式表中定义的安全行为模式序列,则阻断此次调用,如果满足,则不做任何操作。本发明对移动应用的权限申请以及运行过程中的权限使用情况进行分析,对应用的危险调用行为进行及时的阻断,从而防止由于权限使用不当而造成的敏感信息泄露问题。
Description
技术领域
本发明涉及一种针对移动应用使用异常权限的检测和阻断方法,属于移动信息安全技术领域。
背景技术
如今,移动设备在人们的日常生活中扮演着越来越重要的角色,移动设备的安全问题也越发突出。恶意程序往往通过手机上的漏洞来提升自身权限,从而访问***的敏感数据和方法,最终实施恶意行为。
为了限制恶意应用程序的行为,Samlley等人提出了运用强制访问控制策略保护Android中***资源的方法。为了保护Android智能手机安全,在深入分析Android***安全机制的基础上,乜聚虎等人提出了一个基于强制访问控制的安全加固技术。Shebaro等人提出了基于上下文环境的访问控制模型,让应用程序只在特定的环境下使用敏感数据。杨欢等人设计了基于权限频繁模式的挖掘算法,用来挖掘应用程序权限之间的关联性。通过挖掘权限之间的关联性,找出程序申请权限的特点,利用机器学***台下恶意软件的高效检测,李挺等人提出了一种基于Dalvik指令的Android恶意代码特征形式化描述和分析方法,能够在无需反编译应用程序的基础上,快速检测样本的恶意特征。
上述方法都是基于对应用程序或者***本身的访问动作的限制和检测来达到确保隐私数据安全的目的。除此之外,还有一类方法是通过对***中的数据流或者指令流的分析和追踪入手来分析***安全的。例如,FlowDroid通过静态分析法构造控制或数据流图,来分析数据流的走向,并给出隐私数据是否被泄露的结论。经过修改,传统的静态程序检测技术可以应用到Android应用程序的检测上,并能够准确地检测出程序中存在的隐私数据泄露问题。为提高Android移动平台的安全性,白鸽等人提出一种基于Dalvik指令的静态检测方法,通过分析应用程序的虚拟机代码,找出敏感信息的数据流,包括跟踪敏感信息、函数调用,从而判断出该应用程序是否有恶意行为。
上述的静态的数据流或者指令流的分析方法存在其局限性,它无法实时的确保检测和分析当前***的隐私数据走向,只能对某个现阶段的***进行分析来评估其安全性,无法动态的检测***的安全。
发明内容
为了解决上述技术问题,本发明提供了一种针对移动应用使用异常权限的检测和阻断方法。
为了达到上述目的,本发明所采用的技术方案是:
一种针对移动应用使用异常权限的检测和阻断方法,获取待测应用申请权限中的异常权限,在这些异常权限调用***框架层提供的方法时,查询方法对应的安全行为模式表,如果调用过程不满足安全行为模式表中定义的安全行为模式序列,则阻断此次调用,如果满足,则不做任何操作;安全行为模式序列为调用方法的正确过程。
获取待测应用申请权限中的异常权限的过程为,
采集若干已知的应用作为标准样本;
分析作为标准样本的各应用所属的类别,分析各应用申请的权限,构建类别-权限表;其中类别-权限表中存储有各种类别应用以及申请的对应权限;
根据欧氏距离判断待测应用所属的类别,从类别-权限表中获取待测应用所属类别对应的权限,并将这些权限放入标准权限集A中;
获取待测应用申请的权限,并与标准权限集A中的权限进行比较,如果申请的权限中有若干不属于标准权限集A,则这些申请权限为异常权限。
采用网络爬虫爬取各大应用网站中的应用,作为标准样本。
根据欧氏距离判断待测应用所属类别的过程为,
对于待测应用,首先查询类别-权限表,对于类别-权限表中的每一条目,可以构建特征向量其中,vik的值为0或1,当vik=1时,则表示第i个类别应用申请了第k个权限,n为第i个类别应用申请的权限总数,1≤k≤n;
分析待测应用权限信息,构建权限向量再将所有的特征向量和权限向量进行归一化,然后计算欧式距离,欧式距离最小时所对应的类别即为待测应用所属的类别。
构建安全行为模式表的过程为,
将***框架层提供的所有方法和权限进行匹配对应,构建权限-方法表;权限-方法表中存储有各种权限以及调用的对应方法;
对每一个方法调用构建安全行为模式表,每一个方法的调用对应一个或若干个的安全行为模式序列。
利用TLCK时序逻辑描述语言的时序表达能力,以应用的方法调用和相关的***事件为变量,对特定的***资源访问定义安全行为模式。
本发明所达到的有益效果:本发明提供了一种较为全面和完整的针对恶意软件获取和使用异常权限时的检测和阻断方法,对移动应用的权限申请以及运行过程中的权限使用情况进行分析,对应用的危险调用行为进行及时的阻断,从而防止由于权限使用不当而造成的敏感信息泄露问题。
附图说明
图1为本发明的流程图。
图2为***的调用说明。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
如图1所示,一种针对移动应用使用异常权限的检测和阻断方法,具体为:获取待测应用申请权限中的异常权限,在这些异常权限调用***(安卓***)框架层提供的方法时,查询方法对应的安全行为模式表,如果调用过程不满足安全行为模式表中定义的安全行为模式序列,则阻断此次调用,如果满足,则不做任何操作。安全行为模式序列为调用方法的正确过程,例如拨打电话,安全行为模式序列应该是“输入号码/选取联系人号码”->“点击拨打”,而恶意过程则是直接在后台进行拨打恶意电话。
获取待测应用申请权限中的异常权限的过程为:
S11,采集若干已知的应用作为标准样本;采用网络爬虫爬取各大应用网站中的应用,作为标准样本。
S12,分析作为标准样本的各应用所属的类别,分析各应用申请的权限,构建类别-权限表;其中类别-权限表中存储有各种类别应用以及申请的对应权限。
S13,根据欧氏距离判断待测应用所属的类别,从类别-权限表中获取待测应用所属类别对应的权限,并将这些权限放入标准权限集A中。
根据欧氏距离判断待测应用所属类别的过程为:
对于待测应用,首先查询类别-权限表,对于类别-权限表中的每一条目,可以构建特征向量其中,vik的值为0或1,当vik=1时,则表示第i个类别应用申请了第k个权限,n为第i个类别应用申请的权限总数,1≤k≤n;分析待测应用权限信息,构建权限向量再将所有的特征向量和权限向量进行归一化,然后计算欧式距离,欧式距离最小时所对应的类别即为待测应用所属的类别。
S14,获取待测应用申请的权限,并与标准权限集A中的权限进行比较,如果申请的权限中有若干不属于标准权限集A,则这些申请权限为异常权限。
构建安全行为模式表的过程为:
S21,将***框架层提供的所有方法和权限进行匹配对应,构建权限-方法表;权限-方法表中存储有各种权限以及调用的对应方法。
S22,对每一个方法调用构建安全行为模式表,每一个方法的调用对应一个或若干个的安全行为模式序列。
利用TLCK时序逻辑描述语言的时序表达能力,以应用的方法调用和相关的***事件为变量,对特定的***资源访问定义安全行为模式。
上述的阻断过程在原生***的内核层进行,通过对调用方法的行为进行监视,在验证权限的基础上,添加对程序行为模式的分析,一旦不满足安全行为模式序列,阻断其方法调用并剥夺其获得的权限,提醒用户重新授权。与大部分安全软件在应用层面检测和阻断恶意软件行为的方式不同,如图2所示,***中的每个线程都会维护一个InterpretedStack,调用方法信息会事先被压入Interpreted Stack,然后由Dalvik进行解释执行,执行完再从Interpreted Stack弹出,因此,方法在Interpreted Stack中的位置关系表示了方法间的调用关系,并且方法的调用信息,如参数等,也可以通过解析Interpreted Stack中的信息获取,因此通过监视Interpreted Stack的压栈操作,即可获得应用的方法调用信息,我们在其调用这些方法的时候添加上述的监视代码,即可完成动态监控和阻断。
本发明提供了一种较为全面和完整的针对恶意软件获取和使用异常权限时的检测和阻断方法,对移动应用的权限申请以及运行过程中的权限使用情况进行分析,对应用的危险调用行为进行及时的阻断,从而防止由于权限使用不当而造成的敏感信息泄露问题。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (6)
1.一种针对移动应用使用异常权限的检测和阻断方法,其特征在于:获取待测应用申请权限中的异常权限,在这些异常权限调用***框架层提供的方法时,查询方法对应的安全行为模式表,如果调用过程不满足安全行为模式表中定义的安全行为模式序列,则阻断此次调用,如果满足,则不做任何操作;安全行为模式序列为调用方法的正确过程。
2.根据权利要求1所述的一种针对移动应用使用异常权限的检测和阻断方法,其特征在于:获取待测应用申请权限中的异常权限的过程为,
采集若干已知的应用作为标准样本;
分析作为标准样本的各应用所属的类别,分析各应用申请的权限,构建类别-权限表;其中类别-权限表中存储有各种类别应用以及申请的对应权限;
根据欧氏距离判断待测应用所属的类别,从类别-权限表中获取待测应用所属类别对应的权限,并将这些权限放入标准权限集A中;
获取待测应用申请的权限,并与标准权限集A中的权限进行比较,如果申请的权限中有若干不属于标准权限集A,则这些申请权限为异常权限。
3.根据权利要求2所述的一种针对移动应用使用异常权限的检测和阻断方法,其特征在于:采用网络爬虫爬取各大应用网站中的应用,作为标准样本。
4.根据权利要求2所述的一种针对移动应用使用异常权限的检测和阻断方法,其特征在于:根据欧氏距离判断待测应用所属类别的过程为,
对于待测应用,首先查询类别-权限表,对于类别-权限表中的每一条目,可以构建特征向量其中,vik的值为0或1,当vik=1时,则表示第i个类别应用申请了第k个权限,n为第i个类别应用申请的权限总数,1≤k≤n;
分析待测应用权限信息,构建权限向量再将所有的特征向量和权限向量进行归一化,然后计算欧式距离,欧式距离最小时所对应的类别即为待测应用所属的类别。
5.根据权利要求1所述的一种针对移动应用使用异常权限的检测和阻断方法,其特征在于:构建安全行为模式表的过程为,
将***框架层提供的所有方法和权限进行匹配对应,构建权限-方法表;权限-方法表中存储有各种权限以及调用的对应方法;
对每一个方法调用构建安全行为模式表,每一个方法的调用对应一个或若干个的安全行为模式序列。
6.根据权利要求5所述的一种针对移动应用使用异常权限的检测和阻断方法,其特征在于:利用TLCK时序逻辑描述语言的时序表达能力,以应用的方法调用和相关的***事件为变量,对特定的***资源访问定义安全行为模式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710325228.1A CN107169350A (zh) | 2017-05-10 | 2017-05-10 | 一种针对移动应用使用异常权限的检测和阻断方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710325228.1A CN107169350A (zh) | 2017-05-10 | 2017-05-10 | 一种针对移动应用使用异常权限的检测和阻断方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107169350A true CN107169350A (zh) | 2017-09-15 |
Family
ID=59813652
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710325228.1A Pending CN107169350A (zh) | 2017-05-10 | 2017-05-10 | 一种针对移动应用使用异常权限的检测和阻断方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107169350A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107832590A (zh) * | 2017-11-06 | 2018-03-23 | 珠海市魅族科技有限公司 | 终端控制方法及装置、终端及计算机可读存储介质 |
| CN112417449A (zh) * | 2020-11-12 | 2021-02-26 | 北京鸿腾智能科技有限公司 | 异常行为检测方法、设备、存储介质及装置 |
| CN113949514A (zh) * | 2020-07-16 | 2022-01-18 | 中国电信股份有限公司 | 应用越权检测方法、装置和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8769676B1 (en) * | 2011-12-22 | 2014-07-01 | Symantec Corporation | Techniques for identifying suspicious applications using requested permissions |
| CN104376266A (zh) * | 2014-11-21 | 2015-02-25 | 工业和信息化部电信研究院 | 应用软件安全级别的确定方法及装置 |
| CN104462889A (zh) * | 2013-09-12 | 2015-03-25 | 腾讯科技(深圳)有限公司 | 一种应用权限管理方法及装置 |
| CN104866763A (zh) * | 2015-05-28 | 2015-08-26 | 天津大学 | 基于权限的Android恶意软件混合检测方法 |
-
2017
- 2017-05-10 CN CN201710325228.1A patent/CN107169350A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8769676B1 (en) * | 2011-12-22 | 2014-07-01 | Symantec Corporation | Techniques for identifying suspicious applications using requested permissions |
| CN104462889A (zh) * | 2013-09-12 | 2015-03-25 | 腾讯科技(深圳)有限公司 | 一种应用权限管理方法及装置 |
| CN104376266A (zh) * | 2014-11-21 | 2015-02-25 | 工业和信息化部电信研究院 | 应用软件安全级别的确定方法及装置 |
| CN104866763A (zh) * | 2015-05-28 | 2015-08-26 | 天津大学 | 基于权限的Android恶意软件混合检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 雷灵光 等: "一种基于行为的Android***资源访问控制方案", 《计算机研究与发展》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107832590A (zh) * | 2017-11-06 | 2018-03-23 | 珠海市魅族科技有限公司 | 终端控制方法及装置、终端及计算机可读存储介质 |
| CN113949514A (zh) * | 2020-07-16 | 2022-01-18 | 中国电信股份有限公司 | 应用越权检测方法、装置和存储介质 |
| CN113949514B (zh) * | 2020-07-16 | 2024-01-26 | 中国电信股份有限公司 | 应用越权检测方法、装置和存储介质 |
| CN112417449A (zh) * | 2020-11-12 | 2021-02-26 | 北京鸿腾智能科技有限公司 | 异常行为检测方法、设备、存储介质及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106203113B (zh) | 安卓应用文件的隐私泄露监控方法 | |
| Chaba et al. | Malware detection approach for android systems using system call logs | |
| CN103699844B (zh) | 安全保护***及方法 | |
| CN104376262A (zh) | 一种基于Dalvik指令和权限组合的安卓恶意软件检测方法 | |
| CN107766728A (zh) | 移动应用安全管理装置、方法及移动作业安全防护*** | |
| CN109413047B (zh) | 行为模拟的判定方法、***、服务器及存储介质 | |
| CN111859394A (zh) | 基于tee的软件行为主动度量方法及*** | |
| CN109558726A (zh) | 一种基于动态分析的控制流劫持攻击检测技术与*** | |
| CN109726601A (zh) | 违规行为的识别方法及装置、存储介质、计算机设备 | |
| Khaled et al. | Assessing the severity of smart attacks in industrial cyber-physical systems | |
| CN107169350A (zh) | 一种针对移动应用使用异常权限的检测和阻断方法 | |
| CN105608349A (zh) | 终端模式切换方法及装置、终端 | |
| CN106845235B (zh) | 一种基于机器学***台回调函数检测方法 | |
| WO2023015783A1 (zh) | 基于漏洞情报的智能终端操作***漏洞修复方法及*** | |
| CN107644165A (zh) | 安全防护平台以及安全防护方法和装置 | |
| CN106682493A (zh) | 一种防止进程被恶意结束的方法、装置及电子设备 | |
| CN117579395B (zh) | 一种应用人工智能进行网络安全漏洞扫描的方法及*** | |
| CN108509796B (zh) | 一种风险性的检测方法及服务器 | |
| CN107122664B (zh) | 安全防护方法及装置 | |
| WO2014168406A1 (ko) | 메모리 보호기능 우회 공격 진단 장치 및 방법 | |
| Jia et al. | A framework for privacy information protection on Android | |
| CN103902330A (zh) | 一种判定移动终端应用程序申请未使用权限的方法及*** | |
| CN109684826A (zh) | 应用程序沙箱反逃逸方法和电子设备 | |
| CN106709359A (zh) | 一种Android应用漏洞检测方法 | |
| CN114298714A (zh) | 账户身份认证方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170915 |