CN109829300A - App动态深度恶意行为检测装置、方法及*** - Google Patents
App动态深度恶意行为检测装置、方法及*** Download PDFInfo
- Publication number
- CN109829300A CN109829300A CN201910007489.8A CN201910007489A CN109829300A CN 109829300 A CN109829300 A CN 109829300A CN 201910007489 A CN201910007489 A CN 201910007489A CN 109829300 A CN109829300 A CN 109829300A
- Authority
- CN
- China
- Prior art keywords
- control
- app
- malicious act
- input
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Telephone Function (AREA)
Abstract
本发明公开了一种APP动态深度恶意行为检测装置、方法及***,装置包括:屏幕处理模块,用于获取移动终端当前运行的待检测APP的显示界面;图像识别模块,用于基于预先设置的控件特征库对获取的所述显示界面进行识别以获取所述显示界面上的控件,并获取所述控件的类别信息以及位置信息;屏幕触控模块,用于根据所述控件的类别信息以及位置信息,模拟用户的行为对所述控件进行操作;恶意行为检测模块,用于监听对所述控件进行操作过程中,移动终端的操作***的网络行为、***行为、文件行为,并提取APP所在运行环境的特征数据,采用基于静态特征和动态特征相结合的方式进行APP恶意行为的检测。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种APP动态深度恶意行为检测***、方法及***。
背景技术
近年来,全球智能手机出货量急剧增长,智能手机用户越来越多。移动互联网用户数量、应用水平等均呈现迅猛增长态势。如图1所示,据Gartner公布的最新报告,全球手机出货量手机出货量手机出货量在2018年达到18.67亿部,占全球智能设备总量的81.81%,至2020年依然保持高速增长的趋势。以手机等移动智能设备为载体的移动互联网应用程序,已成为当前人们生活中不可或缺的关键要素。
随着移动智能手机的普及和移动互联网在各个主要行业的深度应用,涉及海量隐私信息的移动大数据正持续快速增长。由于移动应用的开发质量参差不齐,安全漏洞和隐患频发,用户隐私窃取成为常态,相关安全风险逐渐扩大,针对手机的木马也变得越来越活跃,其主要危害涉及隐私窃取、恶意传播和流氓行为等。恶意应用软件数量不断增长,攻击招数不断进化:不少病毒程序制作者使用加密平台对自身进行加密保护;小程序的走红也为黑客们提供新的攻击平台,各类小程序外挂泛滥;比特币疯狂期各类挖矿木马层出不穷,用户在不经意间手机已变成挖矿机。因此,研究手机恶意行为检测具有很高的应用价值。
《基于随机森林分类方法的Android平台恶意应用检测方法》公开了一种基于随机森林分类方法的Android平台恶意应用检测方法,通过获取APP样本,包括恶意和善意的APP样本,基于各APP样本的静态特征、权限集和API集构建样本库,基于样本库构建随机森林的每棵决策树,实现对恶意APP的高效检测,提高Android平台的安全性。
《一种Android应用中恶意行为的动态检测方法》对APK进行反编译,将获取的Java代码转换为中间表示进行插桩操作,分析软件恶意行为。
《一种基于多类特征的Android恶意应用检测方法》利用Android应用自身携带的应用特征,得到各种典型应用的特征,结合多种机器学习的方法对Android应用的特征进行快速检测。
《一种面向移动互联网的Android恶意软件检测平台》公开了一种面向移动互联网的Android恶意软件检测平台,实现Android恶意软件静态检测和动态检测的有机结合,通过把应用程序安装到Android沙盒中,自动启动并操纵Android应用程序,模拟用户对应用程序的各种实际操作,通过对应用程序运行情况的监视,可以获得应用程序的API调用信息以及各种动态行为,以此达到检测应用程序恶意行为的目的。
《基于安卓的APP安全检测***》基于Android的APP应用开始入手,对当前常见的几类安全问题进行了分析,提出了对这些安全问题的检测方法和思路。
《一种面向安卓应用的恶意代码检测方法》公开了一种面向安卓应用的恶意代码检测方法,服务器端通过随机森林算法对预先提取的应用特征值进行分析,由此建立应用和恶意代码关系数据库,上传应用代码样本,从数据库服务器中拿到数据进行匹配,得到检测结果。
《Android平台软件异常行为检测***》结合动态检测和静态检测的优点,通过对敏感API接口函数的Hook,有效的检测app软件的异常行为。
发明内容
发明人在实施本发明的过程中发现,上述手机APP恶意行为检测方法在一定程度上可以采用动态的方式调用一些组件,比如:Android APP可以通过解析Android Manifest文件调用Service和Activity组件,进而驱动Android APP启用相关控件,但是想从用户操作APP的使用习惯入手模拟用户行为,让AndroidAPP在抗逆向分析、抗检测分析中难以察觉还是无法做到的。另外,手机APP有一些组件是不需要在配置文件中声明的,比如AndroidManifest文件中就没有输入框的声明,在模拟用户输入的时候无法做到通过解析AndroidManifest文件进行用户输入行为的模拟。动静结合的检测方式中使用基于特征的检测方式,有的检测方式中应用了决策树等机器学习算法,使用这些方法进行检测的前提是能够有效触发恶意APP的行为,但手机APP在做过代码加密、混淆或者通过加壳的方式加固处理后,静态检测的方式无法做出有效检测,在动态检测方法中,一些恶意行为特征是在用户动态使用APP的过程中触发的,并非打开软件或者调用相关组件后会直接触发恶意行为,需要用户经过一定的正常使用过程或者达到特定的条件后才能触发,比如“逻辑炸弹”需要给定特定的条件后才能触发预先定义的恶意行为。综上所述,现有的解析Android Manifest文件模拟手机APP操作的方法、动静结合的方式进行恶意行为检测的方法仍然存在检测不充分的弊端,在特定条件下无法对手机APP进行有效的恶意行为检测。
有鉴于此,本发明的目的在于提供一种APP动态深度恶意行为检测装置、方法及***,能实现对手机APP进行有效的恶意行为检测。
本发明实施例提供了一种APP动态深度恶意行为检测装置,包括:
屏幕处理模块,用于获取移动终端当前运行的待检测APP的显示界面;
图像识别模块,用于基于预先设置的控件特征库对获取的所述显示界面进行识别以获取所述显示界面上的控件,并获取所述控件的类别信息以及位置信息;
屏幕触控模块,用于根据所述控件的类别信息以及位置信息,模拟用户的行为对所述控件进行操作;
恶意行为检测模块,用于监听对所述控件进行操作过程中,移动终端的操作***的网络行为、***行为、文件行为,并提取APP所在运行环境的特征数据,采用基于静态特征和动态特征相结合的方式进行APP恶意行为的检测。
优选地,所述屏幕触控模块具体用于:
获取所述控件的类别信息;
当所述控件的类别信息为输入类控件时激活输入法组件,计算输入法组件中各按键的字母位置,并模拟键盘点击获取文字内容,所述文字内容根据所述控件的类别信息从控件库获得;其中,控件库包含控件的操作序列和不同控件绑定的输入数据;控件操作序列基于统计学或者机器学习的方法,从正常用户操作APP的大量数据和用户使用习惯获得。
优选地,还包括***联动模块;
所述***联动模块,用于读取第三方应用接收到的与所述APP对应的服务器发送的验证信息,并将所述验证信息反馈给所述屏幕触控模块,以使得所述屏幕触控模块将所述验证信息输入到对应的控件中;其中,所述第三方应用包括短信应用、邮箱应用;所述验证信息由服务器根据所述文字内容生成并发送给第三方应用。
优选地,还包括节点访问模块;其中:
所述屏幕触控模块还用于:
当所述控件的类别信息为点击类控件时,将执行屏幕点击的操作事件发送给节点访问模块;
所述节点访问模块,用于将所述操作事件发送给事件处理层,通过事件处理层操作特定的输入设备,以使得所述APP对所述操作事件进行响应。
优选地,所述恶意行为检测模块内置了恶意行为检测特征库同步功能,恶意行为检测特征库同步功能能够同步检测后台的检测样本或者其它恶意APP检测***中的样本特征,格式化为适用于本***的特征库数据,用于恶意行为检测。
本发明实施例还提供了一种APP动态深度恶意行为检测方法,包括:
获取移动终端当前运行的待检测APP的显示界面;
基于预先设置的控件特征库对获取的所述显示界面进行识别以获取所述显示界面上的控件,并获取所述控件的类别信息以及位置信息;
根据所述控件的类别信息以及位置信息,模拟用户的行为对所述控件进行操作;
监听对所述控件进行操作过程中,移动终端的操作***的网络行为、***行为、文件行为,并提取APP所在运行环境的特征数据,采用基于静态特征和动态特征相结合的方式进行APP恶意行为的检测。
优选地,所述根据所述控件的类别信息以及位置信息,模拟用户的行为对所述控件进行操作具体包括:
获取所述控件的类别信息;
当所述控件的类别信息为输入类控件时激活输入法组件,计算输入法组件中各按键的字母位置,并模拟键盘点击获取文字内容,所述文字内容根据所述控件的类别信息从控件库获得;其中,控件库包含控件的操作序列和不同控件绑定的输入数据;控件操作序列基于统计学或者机器学习的方法,从正常用户操作APP的大量数据和用户使用习惯获得。
优选地,还包括:
读取第三方应用接收到的与所述APP对应的服务器发送的验证信息,并将所述验证信息输入到对应的控件中;其中,所述第三方应用包括短信应用、邮箱应用;所述验证信息由服务器根据所述文字内容生成并发送给第三方应用。
优选地,所述根据所述控件的类别信息以及位置信息,模拟用户的行为对所述控件进行操作还包括:
当所述控件的类别信息为点击类控件时,将执行屏幕点击的操作事件发送给事件处理层,通过事件处理层操作特定的输入设备,以使得所述APP对所述操作事件进行响应。
本发明实施例还提供了一种APP动态深度恶意行为检测***,包括设备驱动层、操作***内核层、事件处理层、用户空间;其中,所述用户空间包括如上述的APP动态深度恶意行为检测装置;其中:
设备驱动层包含触摸屏输入设备、按键输入设备以及其它输入设备;
操作***内核层包含输入输出的消息处理,将底层的硬件输入转化为统一事件形式,向输入核心汇报;
事件处理层将用户空间发送的消息传递给操作***内核层,包括针对特定输入设备的处理逻辑;
用户空间部署于以真实手机为宿主机的环境中或者以手机模拟器为宿主机的虚拟沙箱中。
上述一个实施例中,针对APP无法做到通过解析Android Manifest文件,或者采用已有的动态、静态、动静结合的方式模拟用户正常的操作行为,进而触发手机APP恶意行为这一问题,设计基于Linux内核事件消息机制和图像识别相结合的方式,通过获取用户操作手机APP的习惯,模拟用户点击屏幕操作手机APP的行为,在模拟过程中获取手机APP产生的数据及运行过程中的***环境数据,为后期恶意行为检测提供有效的特征数据,从而实现动态深度的APP恶意行为检测。
附图说明
图1是Gartner 2017-2020年度全球移动手机出货量趋势图。
图2是本发明第一实施例提供的APP动态深度恶意行为检测***的结构示意图;
图3是本发明第二实施例提供的APP动态深度恶意行为检测装置的结构示意图。
图4是本发明第三实施例提供的APP动态深度恶意行为检测方法的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种APP动态深度恶意行为检测装置、方法及***,能够实现动态深度的移动APP恶意行为检测。
为了便于对本发明的理解,以下先介绍本发明的APP动态深度恶意行为检测***。
请参阅图2,本发明第一实施例提供了一种APP动态深度恶意行为检测***,本实施例的***架构层次涉及设备驱动层、操作***内核层、事件处理层、用户空间四部分。其中:
设备驱动层10,包含触摸屏输入设备、按键输入设备以及其它输入设备;
操作***内核层20,包含输入输出的消息处理,将底层的硬件输入转化为统一事件形式,向输入核心汇报;
事件处理层30,将用户空间发送的消息传递给***内核层,是一些针对特定输入设备的处理逻辑;
用户空间40,部署于以真实手机为宿主机的环境中或者以手机模拟器为宿主机的虚拟沙箱中。
其中,在具体工作过程中,移动终端的操作***支持鼠标、键盘(按键)、触摸屏(单点、多点)、轨迹球等输入设备,这些输入设备所产生的输入事件InputEvent从设备驱动层开始,经过操作***内核层到达事件处理层,最终把事件传递到用户空间,然后由用户空间层获取这些事件进行分发、传递。
在本实施例中,用户空间包括有APP动态深度恶意行为检测装置,以进行事件的处理,以下详细描述APP动态深度恶意行为检测装置的工作过程。
请参阅图3,本发明第二实施例提供了一种APP动态深度恶意行为检测装置,其包括:
屏幕处理模块210,用于获取移动终端当前运行的待检测APP的显示界面。
在本实施例中,屏幕处理模块210负责对当前移动终端的显示界面进行截屏,并将截取后的内容以图片的方式提供给图像识别模块20进行控件识别分析。其中,在Android、IOS等智能手机操作***中,利用操作***预留的API可以实现对显示界面的屏幕截取,比如:使用IOKIT、IOMobileFramebuffer、IOSurface Framework、OpenGL、Surface、getWindow、UIView、硬件缓冲区抓取屏幕等方式获取手机屏幕内容,也可以利用Root权限通过底层设备获取到屏幕内容。
图像识别模块220,用于基于预先设置的控件特征库对获取的所述显示界面进行识别以获取所述显示界面上的控件,并获取所述控件的类别信息以及位置信息。
在本实施例中,图像识别模块220对获取的显示界面进行解析,利用预先通过机器学习算法获取的控件特征库,通过图像识别算法分类识别出显示界面中已有的控件,这些控件包含输入框、按钮等与用户交互的内容,对于包含可细分功能的控件内容,进行细分功能的识别,如:识别出按钮后,进一步识别该按钮是确认功能的按钮或者取消功能的按钮。控件识别完毕后,将控件的类别信息输入到控件库模块,然后计算控件在屏幕中的像素位置,将位置信息和类别信息提供给屏幕触控模块230。
屏幕触控模块230,用于根据所述控件的类别信息以及位置信息,模拟用户的行为对所述控件进行操作。
具体地,屏幕触控模块230负责接收图像识别模块220提供的控件的位置信息和类别信息,根据控件的类别信息决定是否调用输入法组件或者直接模拟用户点击屏幕,其中屏幕点击的具体操作交由节点访问模块250来执行。如果是输入类控件,需要先激活输入法组件,计算输入法组件中各按键的字母位置,然后选择是否切换中英文等语言的输入法,模拟键盘点击获取文字内容,具体获取的文字内容还需要根据控件库中存储的数据确定。如果是非输入类控件的内容,则根据控件库定义的操作序列进行屏幕点击。
其中,控件库包含控件的操作序列和不同控件绑定的输入数据。控件操作序列基于统计学或者机器学习的方法,基于正常用户操作APP的大量数据和用户使用习惯获得;控件绑定的输入数据只要是针对的输入类控件,比如一个控件被识别为账号输入框,账号输入框有使用邮箱注册,那么需要从绑定的输入数据中获取邮箱类的账号,对于要求使用邮箱验证码的输入框,需要借助***联动模块240获取回传的邮箱数据。
在本实施例中,***联动模块240的主要功能是获取APP使用过程中涉及的常用第三方应用中的交互的验证数据,如:手机验证码、邮箱验证码等数据,对于手机验证码的验证数据,只需要获取手机短信的读取权限即可得到验证码,对于邮箱验证码等非手机自身可获取的数据,需要开发第三方交互脚本,读取邮箱等第三方应用与APP交互的验证数据,并提供给屏幕触控模块230,以通过屏幕触控模块230将验证数据输入至对应的控件内。
在本实施例中,节点访问模块250负责将屏幕触控模块230发送的消息发送给事件处理层,通过事件处理层操作特定的输入设备。其中,输入设备的驱动文件一般位于操作***的/dev/input/目录,不同的文件对应不同的输入设备。移动终端的操作***提供了对触摸、按键事件的处理机制,如:手势移动、屏幕触摸、按键按下等,按键事件不同于触摸事件,必须先获得焦点,然后才能移动、选择。在Android操作***中,可以通过adb shell的方式使用getevent查看,如果芯片厂家提供input驱动的情况下,可以封装GPIO接口进行事件消息传递。输入事件通过Driver->Inputcore->Event handler->userspace的顺序到达用户控件的应用程序。
在本实施例中,通过节点访问模块250,可以使得APP对屏幕触控模块230所产生的模拟用户的行为进行相应的响应。
恶意行为检测模块260,用于监听对所述控件进行操作过程中,移动终端的操作***的网络行为、***行为、文件行为,并提取APP所在运行环境的特征数据,采用基于静态特征和动态特征相结合的方式进行APP恶意行为的检测。
进一步地,所述恶意行为检测模块260还内置了恶意行为检测特征库同步功能,恶意行为检测特征库同步功能能够同步检测后台的检测样本或者其它恶意APP检测***中的样本特征,格式化为适用于本***的特征库数据,用于恶意行为检测。
实施本发明,可产生如下有益效果:
1、自动化模拟用户行为的操作习惯,让模拟的APP操作如同真人操作一样,可以更充分的操作使用到APP的每一部分功能,防止一些深层次的行为无法触及到;
2、目前多数APP采用加密、加壳方式进行APP加固,难以通过逆向分析代码特征的方法分析APP的恶意行为,通过模型用户行为的方式触发恶意行为,不需要对APP进行逆向;
3、对于抗逆向分析的恶意软件,会检测自身的运行状况是否符合真实用户场景下的操作习惯,是否对APP自身有插桩、篡改等入侵行为,如果不符合,会避开敏感行为的执行逻辑,通过图像识别和屏幕触控的检测方式,对APP没有入侵行为,更符合用户操作APP习惯,使恶意行为在检测过程中暴露更彻底。
综上所述,本发明实施例提供的APP动态深度恶意行为检测装置,针对移动APP无法做到通过解析Android Manifest文件,或者采用已有的动态、静态、动静结合的方式模拟用户正常的操作行为,进而触发手机APP恶意行为这一问题,设计基于Linux内核事件消息机制和图像识别相结合的方式,通过获取用户操作手机APP的习惯,模拟用户点击屏幕操作手机APP的行为,在模拟过程中获取手机APP产生的数据及运行过程中的***环境数据,为后期恶意行为检测提供有效的特征数据。
请参阅图4,本发明第三实施例还提供了一种APP动态深度恶意行为检测方法,包括:
S301,获取移动终端当前运行的待检测APP的显示界面;
S302,基于预先设置的控件特征库对获取的所述显示界面进行识别以获取所述显示界面上的控件,并获取所述控件的类别信息以及位置信息;
S303,根据所述控件的类别信息以及位置信息,模拟用户的行为对所述控件进行操作;
S304,监听对所述控件进行操作过程中,移动终端的操作***的网络行为、***行为、文件行为,并提取APP所在运行环境的特征数据,采用基于静态特征和动态特征相结合的方式进行APP恶意行为的检测。
优选地,步骤S303具体包括:
获取所述控件的类别信息;
当所述控件的类别信息为输入类控件时激活输入法组件,计算输入法组件中各按键的字母位置,并模拟键盘点击获取文字内容,所述文字内容根据所述控件的类别信息从控件库获得;其中,控件库包含控件的操作序列和不同控件绑定的输入数据;控件操作序列基于统计学或者机器学习的方法,从正常用户操作APP的大量数据和用户使用习惯获得。
优选地,还包括:
读取第三方应用接收到的与所述APP对应的服务器发送的验证信息,并将所述验证信息输入到对应的控件中;其中,所述第三方应用包括短信应用、邮箱应用;所述验证信息由服务器根据所述文字内容生成并发送给第三方应用。
优选地,S303还包括:
当所述控件的类别信息为点击类控件时,将执行屏幕点击的操作事件发送给事件处理层,通过事件处理层操作特定的输入设备,以使得所述APP对所述操作事件进行响应。
本发明第四实施例还提供了一种移动终端,包括处理器以及存储在所述存储器内的计算机程序;所述处理器能够执行所述计算机程序,以实现如上述的APP动态深度恶意行为检测方法。
示例性的,所述计算机程序可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器中,并由所述处理器执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述移动终端中的执行过程。
所述移动终端可包括,但不仅限于,处理器、存储器。本领域技术人员可以理解,上述部件仅仅是移动终端的示例,并不构成对移动终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述移动终端还可以包括输入输出设备、网络接入设备、总线等。
所称处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述移动终端的控制中心,利用各种接口和线路连接整个移动终端的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述移动终端的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
其中,所述移动终端集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
Claims (10)
1.一种APP动态深度恶意行为检测装置,其特征在于,包括:
屏幕处理模块,用于获取移动终端当前运行的待检测APP的显示界面;
图像识别模块,用于基于预先设置的控件特征库对获取的所述显示界面进行识别以获取所述显示界面上的控件,并获取所述控件的类别信息以及位置信息;
屏幕触控模块,用于根据所述控件的类别信息以及位置信息,模拟用户的行为对所述控件进行操作;
恶意行为检测模块,用于监听对所述控件进行操作过程中,移动终端的操作***的网络行为、***行为、文件行为,并提取APP所在运行环境的特征数据,采用基于静态特征和动态特征相结合的方式进行APP恶意行为的检测。
2.根据权利要求1所述的APP动态深度恶意行为检测装置,其特征在于,
所述屏幕触控模块具体用于:
获取所述控件的类别信息;
当所述控件的类别信息为输入类控件时激活输入法组件,计算输入法组件中各按键的字母位置,并模拟键盘点击获取文字内容,所述文字内容根据所述控件的类别信息从控件库获得;其中,控件库包含控件的操作序列和不同控件绑定的输入数据;控件操作序列基于统计学或者机器学习的方法,从正常用户操作APP的大量数据和用户使用习惯获得。
3.根据权利要求2所述的APP动态深度恶意行为检测装置,其特征在于,还包括***联动模块;
所述***联动模块,用于读取第三方应用接收到的与所述APP对应的服务器发送的验证信息,并将所述验证信息反馈给所述屏幕触控模块,以使得所述屏幕触控模块将所述验证信息输入到对应的控件中;其中,所述第三方应用包括短信应用、邮箱应用;所述验证信息由服务器根据所述文字内容生成并发送给第三方应用。
4.根据权利要求2所述的APP动态深度恶意行为检测装置,其特征在于,还包括节点访问模块;其中:
所述屏幕触控模块还用于:
当所述控件的类别信息为点击类控件时,将执行屏幕点击的操作事件发送给节点访问模块;
所述节点访问模块,用于将所述操作事件发送给事件处理层,通过事件处理层操作特定的输入设备,以使得所述APP对所述操作事件进行响应。
5.根据权利要求1所述的APP动态深度恶意行为检测装置,其特征在于,所述恶意行为检测模块内置了恶意行为检测特征库同步功能,恶意行为检测特征库同步功能能够同步检测后台的检测样本或者其它恶意APP检测***中的样本特征,格式化为适用于本***的特征库数据,用于恶意行为检测。
6.一种APP动态深度恶意行为检测方法,其特征在于,包括:
获取移动终端当前运行的待检测APP的显示界面;
基于预先设置的控件特征库对获取的所述显示界面进行识别以获取所述显示界面上的控件,并获取所述控件的类别信息以及位置信息;
根据所述控件的类别信息以及位置信息,模拟用户的行为对所述控件进行操作;
监听对所述控件进行操作过程中,移动终端的操作***的网络行为、***行为、文件行为,并提取APP所在运行环境的特征数据,采用基于静态特征和动态特征相结合的方式进行APP恶意行为的检测。
7.根据权利要求6所述的APP动态深度恶意行为检测方法,其特征在于,
所述根据所述控件的类别信息以及位置信息,模拟用户的行为对所述控件进行操作具体包括:
获取所述控件的类别信息;
当所述控件的类别信息为输入类控件时激活输入法组件,计算输入法组件中各按键的字母位置,并模拟键盘点击获取文字内容,所述文字内容根据所述控件的类别信息从控件库获得;其中,控件库包含控件的操作序列和不同控件绑定的输入数据;控件操作序列基于统计学或者机器学习的方法,从正常用户操作APP的大量数据和用户使用习惯获得。
8.根据权利要求7所述的APP动态深度恶意行为检测方法,其特征在于,还包括:
读取第三方应用接收到的与所述APP对应的服务器发送的验证信息,并将所述验证信息输入到对应的控件中;其中,所述第三方应用包括短信应用、邮箱应用;所述验证信息由服务器根据所述文字内容生成并发送给第三方应用。
9.根据权利要求7所述的APP动态深度恶意行为检测方法,其特征在于,
所述根据所述控件的类别信息以及位置信息,模拟用户的行为对所述控件进行操作还包括:
当所述控件的类别信息为点击类控件时,将执行屏幕点击的操作事件发送给事件处理层,通过事件处理层操作特定的输入设备,以使得所述APP对所述操作事件进行响应。
10.一种APP动态深度恶意行为检测***,其特征在于,包括设备驱动层、操作***内核层、事件处理层、用户空间;其中,所述用户空间包括如权利要求1至5所述的APP动态深度恶意行为检测装置;其中:
设备驱动层包含触摸屏输入设备、按键输入设备以及其它输入设备;
操作***内核层包含输入输出的消息处理,将底层的硬件输入转化为统一事件形式,向输入核心汇报;
事件处理层将用户空间发送的消息传递给操作***内核层,包括针对特定输入设备的处理逻辑;
用户空间部署于以真实手机为宿主机的环境中或者以手机模拟器为宿主机的虚拟沙箱中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910007489.8A CN109829300A (zh) | 2019-01-02 | 2019-01-02 | App动态深度恶意行为检测装置、方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910007489.8A CN109829300A (zh) | 2019-01-02 | 2019-01-02 | App动态深度恶意行为检测装置、方法及*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109829300A true CN109829300A (zh) | 2019-05-31 |
Family
ID=66861582
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910007489.8A Pending CN109829300A (zh) | 2019-01-02 | 2019-01-02 | App动态深度恶意行为检测装置、方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109829300A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110322289A (zh) * | 2019-06-28 | 2019-10-11 | 百度在线网络技术(北京)有限公司 | 一种反作弊检测方法、装置、服务器、终端和存储介质 |
CN110399191A (zh) * | 2019-06-28 | 2019-11-01 | 奇安信科技集团股份有限公司 | 一种程序图形用户界面自动交互处理方法及装置 |
CN110610089A (zh) * | 2019-08-16 | 2019-12-24 | 阿里巴巴集团控股有限公司 | 用户行为模拟方法、装置及计算机设备 |
CN111859370A (zh) * | 2020-06-30 | 2020-10-30 | 百度在线网络技术(北京)有限公司 | 识别服务的方法、装置、电子设备和计算机可读存储介质 |
WO2021098327A1 (zh) * | 2019-11-22 | 2021-05-27 | 支付宝(杭州)信息技术有限公司 | 基于隐私数据保护的异常采集行为识别方法和装置 |
CN114443467A (zh) * | 2021-12-20 | 2022-05-06 | 奇安信科技集团股份有限公司 | 基于沙箱的界面交互方法、装置、电子设备、介质及产品 |
CN114579455A (zh) * | 2022-03-09 | 2022-06-03 | 广州市智通利电子有限公司 | 一种安卓软件检测方法和*** |
CN115329331A (zh) * | 2022-08-12 | 2022-11-11 | 中国电信股份有限公司 | 应用程序的入侵检测方法及装置、存储介质和电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104598287A (zh) * | 2013-10-30 | 2015-05-06 | 贝壳网际(北京)安全技术有限公司 | 恶意程序的检测方法、装置和客户端 |
WO2015080871A1 (en) * | 2013-11-26 | 2015-06-04 | Qualcomm Incorporated | Pre-identifying probable malicious rootkit behavior using behavioral contracts |
CN106874763A (zh) * | 2017-01-16 | 2017-06-20 | 西安电子科技大学 | 模拟用户行为的安卓软件恶意行为触发***及方法 |
CN108073810A (zh) * | 2016-11-07 | 2018-05-25 | 长沙云昊信息科技有限公司 | 一种Android平台下恶意软件动态检测技术实现 |
-
2019
- 2019-01-02 CN CN201910007489.8A patent/CN109829300A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104598287A (zh) * | 2013-10-30 | 2015-05-06 | 贝壳网际(北京)安全技术有限公司 | 恶意程序的检测方法、装置和客户端 |
WO2015080871A1 (en) * | 2013-11-26 | 2015-06-04 | Qualcomm Incorporated | Pre-identifying probable malicious rootkit behavior using behavioral contracts |
CN108073810A (zh) * | 2016-11-07 | 2018-05-25 | 长沙云昊信息科技有限公司 | 一种Android平台下恶意软件动态检测技术实现 |
CN106874763A (zh) * | 2017-01-16 | 2017-06-20 | 西安电子科技大学 | 模拟用户行为的安卓软件恶意行为触发***及方法 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110322289A (zh) * | 2019-06-28 | 2019-10-11 | 百度在线网络技术(北京)有限公司 | 一种反作弊检测方法、装置、服务器、终端和存储介质 |
CN110399191A (zh) * | 2019-06-28 | 2019-11-01 | 奇安信科技集团股份有限公司 | 一种程序图形用户界面自动交互处理方法及装置 |
CN110610089A (zh) * | 2019-08-16 | 2019-12-24 | 阿里巴巴集团控股有限公司 | 用户行为模拟方法、装置及计算机设备 |
CN110610089B (zh) * | 2019-08-16 | 2023-02-28 | 创新先进技术有限公司 | 用户行为模拟方法、装置及计算机设备 |
WO2021098327A1 (zh) * | 2019-11-22 | 2021-05-27 | 支付宝(杭州)信息技术有限公司 | 基于隐私数据保护的异常采集行为识别方法和装置 |
CN111859370A (zh) * | 2020-06-30 | 2020-10-30 | 百度在线网络技术(北京)有限公司 | 识别服务的方法、装置、电子设备和计算机可读存储介质 |
CN111859370B (zh) * | 2020-06-30 | 2024-05-17 | 百度在线网络技术(北京)有限公司 | 识别服务的方法、装置、电子设备和计算机可读存储介质 |
CN114443467A (zh) * | 2021-12-20 | 2022-05-06 | 奇安信科技集团股份有限公司 | 基于沙箱的界面交互方法、装置、电子设备、介质及产品 |
CN114579455A (zh) * | 2022-03-09 | 2022-06-03 | 广州市智通利电子有限公司 | 一种安卓软件检测方法和*** |
CN115329331A (zh) * | 2022-08-12 | 2022-11-11 | 中国电信股份有限公司 | 应用程序的入侵检测方法及装置、存储介质和电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109829300A (zh) | App动态深度恶意行为检测装置、方法及*** | |
US10951647B1 (en) | Behavioral scanning of mobile applications | |
US9306889B2 (en) | Method and device for processing messages | |
CN103186740B (zh) | 一种Android恶意软件的自动化检测方法 | |
CN103679031B (zh) | 一种文件病毒免疫的方法和装置 | |
CN106326113B (zh) | 一种游戏数据监控方法和装置 | |
CN105512045B (zh) | 一种应用程序的测试方法、装置及测试设备 | |
CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
CN108121914A (zh) | 一种文档泄密防护追踪*** | |
CN109271780A (zh) | 机器学习恶意软件检测模型的方法、***和计算机可读介质 | |
Berthome et al. | Repackaging android applications for auditing access to private data | |
CN107092830A (zh) | 基于流量分析的ios恶意软件预警和检测***及其方法 | |
CN112084497A (zh) | 嵌入式Linux***恶意程序检测方法及装置 | |
CN110399720A (zh) | 一种文件检测的方法以及相关装置 | |
CN103268448B (zh) | 动态检测移动应用的安全性的方法和*** | |
CN107644161A (zh) | 样本的安全测试方法、装置和设备 | |
EP3460704A1 (en) | Virus database acquisition method and device, equipment, server and system | |
CN104598287B (zh) | 恶意程序的检测方法、装置和客户端 | |
CN112717417A (zh) | 一种人机识别方法及装置 | |
Irolla et al. | Glassbox: dynamic analysis platform for malware android applications on real devices | |
CN109583192A (zh) | 一种基于仿真的移动终端应用固定保全***及方法 | |
CN104965701A (zh) | 获取应用信息的方法及装置 | |
CN114697079B (zh) | 一种应用客户端非法用户检测方法和*** | |
CN115238252A (zh) | 用户身份验证方法及装置 | |
CN108460269A (zh) | 验证方法及装置、验证终端设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190531 |