CN110516444B - 基于kernel的跨终端跨版本Root攻击检测与防护*** - Google Patents
基于kernel的跨终端跨版本Root攻击检测与防护*** Download PDFInfo
- Publication number
- CN110516444B CN110516444B CN201910664335.6A CN201910664335A CN110516444B CN 110516444 B CN110516444 B CN 110516444B CN 201910664335 A CN201910664335 A CN 201910664335A CN 110516444 B CN110516444 B CN 110516444B
- Authority
- CN
- China
- Prior art keywords
- root
- attack
- module
- monitoring
- subsystem
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了基于kernel的跨终端跨版本Root攻击检测与防护***,该***包括对Root攻击进行监控和检测的Root监控子***,与Root监控子***连接并对Root攻击通过***治理进行终止的Root防护子***,以及与Root防护子***连接并对恶意程序想要读取的隐私数据进行隐藏的隐私数据保护模块;所述Root监控子***包括用于监控Root攻击的监控控制模块,分别与监控控制模块连接的文件操作监控模块、进程操作监控模块和内存操作监控模块。通过上述方案,本发明达到了在恶意程序Root攻击时对Android***的保护的目的,具有很高的实用价值和推广价值。
Description
技术领域
本发明属于Android技术领域,具体地讲,是涉及基于kernel的跨终端跨版本Root攻击检测与防护***。
背景技术
随着科学技术的不断发展,智能手机已经深入人们的生活当中。作为手机操作***的代表,截至2017年第一季度,Android***已经占据中国智能手机市场份额的86.4%。但与此同时,针对Android***的Root攻击与日俱增,被Root攻击的Android***往往存在信息泄露,这其中不乏银行账户、工作内容、私人照片等信息,这些信息的泄露对使用者来说都是一个非常糟糕的事情,并且同款Android***同品牌手机如果其中一款手机被Root攻击成功,其他的同款手机则被攻击的可能性很大,这样无论是对使用者还是手机生厂商都是一种损失,因此如何实现对Root攻击进行检测以提醒其他Android***用户并且对阻止恶意程序的Root攻击进行防护是本领域技术人员亟需解决的问题。
发明内容
本发明的目的在于提供基于kernel的跨终端跨版本Root攻击检测与防护***,主要解决现有技术中存在的恶意程序的Root攻击对Android用户和开发商造成损失的问题。
为了实现上述目的,本发明采用的技术方案如下:
基于kernel的跨终端跨版本Root攻击检测与防护***,包括对Root攻击进行监控和检测的Root监控子***,与Root监控子***连接并对Root攻击通过***治理进行终止的Root防护子***,以及与Root防护子***连接并对恶意程序想要读取的隐私数据进行隐藏的隐私数据保护模块;所述Root监控子***包括用于监控Root攻击的监控控制模块,分别与监控控制模块连接的文件操作监控模块、进程操作监控模块和内存操作监控模块,其中,Root防护子***进程操作监控模块连接。
进一步地,所述Root防护子***包括对Root攻击进行记录的攻击行为记录模块,用于接收Root监控子***监控情况的攻击模式接收模块,分别用于接收手机端攻击行为记录模块和攻击模式接收模块反馈信息的位于云端的攻击模式提取模块和攻击模式数据库,用于对攻击模式接收模块进行接收的攻击模式对比模块,以及与攻击模式对比模块连接的攻击模式拦截模块。
与现有技术相比,本发明具有以下有益效果:
(1)本发明立足于Android kernel,在内核层面检测和拦截Root攻击,通过对Root攻击行为进行分析,挖掘其行为特征,提取其攻击模式,将该攻击模式上传到云端,更新Root攻击模式数据库,供其他Android手机用户下载使用,以保证及时辨识该模式并进行防护;Root Defender提供了隐私数据保护功能,采用主动应答的方式,通过伪造和隐藏用户隐私数据的方式,为不法分子提供虚假的数据,从而最大限度地保护隐私数据。本发明对现有的Root攻击行为进行检测、拦截与防护,有效地保护了用户信息安全;对未知的Root行为进行学习,有效地避免了其进一步危害更多用户的信息安全;对已被Root攻击的用户,***还能预防并保护用户信息安全,并且Root Defender支持跨终端、跨版本防护Root攻击,对Android***起到了很好的保护。
(2)本发明通过Root监控子***对Root攻击进行检测,通过带有Root功能的监控控制模块APK对手机进行Root行为检测,能够有效地检测出该Root行为,并展示Root攻击行为记录。本发明的Root防护子***中的Root攻击行为记录模块在Root监控子***检测到攻击行为后将检测到的Root攻击行为进行记录,并上传至云端以待分析与提取;Root攻击模式提取模块分析Root攻击的核心行为,并提取该攻击模式,能够对Root攻击行为进行分析与提取,并记录下来;Root攻击模式数据库:在云端汇总的已知Root攻击模式的数据库,可以包含已知的所有的Root攻击模式;Root攻击模式接收模块将Root攻击行为的新的数据库下载到不同的客户端,并对旧的数据库进行更新;Root攻击模式拦截,当出现已知攻击模式的Root行为时,可以有效地进行拦截;
(3)本发明Root Defender为每一个Android移动终端提供了一整套检测恶意Root攻击程序、拦截恶意Root攻击程序以及隐私数据防护的“保姆式服务”,既识别出恶意Root程序的攻击行为并提示给用户,又为每一个使用这套***的用户提供了防止恶意Root程序对隐私数据的操作的保护。
(4)本发明的隐私数据保护模块当前期的Root监控子***检测到有Root攻击行为后,把恶意程序想要读取的隐私数据进行隐藏,并对其恶意程序进行无应答保护,或者将伪造的数据展示给恶意程序,即可达到对Android***的保护。
附图说明
图1为本发明的***结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明,本发明的实施方式包括但不限于下列实施例。
实施例
如图1所示,基于kernel的跨终端跨版本Root攻击检测与防护***,包括对Root攻击进行监控和检测的Root监控子***,与Root监控子***连接并对Root攻击通过***治理进行终止的Root防护子***,以及与Root防护子***连接并对恶意程序想要读取的隐私数据进行隐藏的隐私数据保护模块。
本发明在实现Root攻击检测与防护***时分为检测和防护两个步骤,其中,进行Root攻击检测的具体步骤为:
前期准备:在Root监控子***中的监控控制模块中配置文件monitor.cfg得到需要监控的APK的uid以及维护由此uid所产生进程的pid组成的动态链表,过滤不需要监控的内容。
第一步:监控控制模块操作之后,进行文件操作监控模块,首先用户调用sys_ioctl***获取当前进程uid、pid。若uid是执行uid,则记录操作时间戳,调用d_path函数由文件描述符fd找到文件路径并记录,记录由参数cmd得到的程序对设备的控制命令打开日志file.log,若成功则写入日志file.log并执行orig_sys_ioctl,保存返回值,cred完整性检查返回orig_sys_ioctl返回值,结束执行。
第二步:若上述uid不是指定uid,pid却是在监控列表中,则可正常完成执行。若pid不在监控列表汇总,则执行orig_sys_ioctl,保存返回值,返回orig_sys_ioctl返回值,结束执行。
第三步:若第一步中所述打开日志file.log失败,则要创建日志file.log再写入日志file.log并完成执行。
第四步:用户再调用sys_fchmodat***调用获取当前进程uid、pid,若是指定uid,则记录操作时间戳,记录由参数mode得到的改变后的读写执行属性,若pathname是绝对路径,则进行记录目标文件或文件夹的文件路径,打开日志file.log成功,则写入日志file.log,执行orig_sys_fchmodat,保存返回值,cred完整性检查,返回orig_sys_fchmodat返回值。
第五步:若不是制定uid,但pid在监控列表中,则记录操作时间戳,并如上所述完成执行。若pid不在监控列表中,执行orig_sys_fchmodat,保存返回值,返回orig_sys_fchmodat返回值,完成执行。
第六步:若第四步中所述的pathname不是绝对路径,则调用dirfd函数由文件路径描述符dfd寻找文件路径,记录目标文件或文件夹的文件路径再打开日志file.log完成执行。
第七步:若第四步中所述的打开日志file.log失败,则需创建日志file.log,再写入日志file.log,并完成执行。
第八步:用户再调用sys_lseek***调用获取当前进程的uid、pid,若是指定uid,则记录操作时间戳,记录由参数offset得到的文件内偏移,记录由参数whence得到的文件偏移方式调用d_path函数由文件描述符fd找到文件路径并记录。打开日志file.log,若成功则写入file.log,执行orig_sys_lseek,保存返回值,cred完整性检查,返回orig_sys_lseek返回值,结束执行。
第九步:如第二步中,第三步中所述,其中文件名为orig_sys_lseek。
第十步:完成上述监控控制主模块操作及文件操作监控模块操作之后,进行进程操作监控模块操作,用户首先调用sys_execve,获取当前进程uid、pid,若是指定的uid,则记录操作时间戳,记录由参数filename得到的文件路径,记录由参数argv得到的执行参数,记录由参数envp得到的执行环境变量,并打开日志proc.log。若打开日志成功,则写入日志proc.log,执行orig_sys_execve,保存返回值,结束执行。
第十一步:若第十步中,uid不为指定的uid,且pid在监控列表中,则可正常完成执行。若pid不在监控执行列表中,则执行orig_sys_execve,并返回orig_sys_execve返回值,结束执行。
第十二步:若第十步中,打开日志proc.log失败,则创建日志proc.log完成执行。
第十三步:用户调用sys_setuid***调用之后,获取并保存当前进程uid、pid,并执行orig_sys_setuid,保存返回值,若为制定uid,则记录操作时间戳,记录当前进程远uid,记录新uid,并打开日志proc.log,若成功,则进行cred完整性监控,并返回orig_sys_setuid返回值。
第十四步:若不为指定uid,且pid在监控列表中,则完成正常执行。若不为指定uid,且pid不在监控列表中,则直接返回orig_sys_setuid返回值,结束执行。
第十五步:用户调用了sys_mmap***调用之后,内核空间获取当前进程uid、pid,执行orig_sys_mmap,保存返回值,并指定uid,若为指定uid,则记录操作时间戳,记录由参数addr得到的开始地址,记录由参数prot、flages得到的内存保护标志、映射对象类型,记录由参数fd、offset得到的文件路径、文件中开始映射的起始位置,然后打开日志memory.log,若成功则写入日志memory.log,cred完整性监控,返回orig_sys_mmap返回值,结束执行。
第十六步:若不为指定uid,且pid存在在监控列表中,则正常完成执行。若不为指定uid,且pid不存在在监控列表中,则直接返回orig_sys_mmap返回值,结束执行。若打开日志memory.log失败,则创建日志memory.log,完成执行。
第十七步:用户调用sys_mprotect***调用,获取当前进程uid、pid,执行orig_sys_mprotect,保存返回值,并指定uid,若为指定uid,则记录操作时间戳,记录由调用参数start得到的内存区开始地址,记录由调用参数len、prot得到的内存区长度、内存保护标志,并能成功打开日志memory.log,写入日志memory.log,且cred完整性监控,返回orig_sys_mprotect返回值,完成执行。
第十八步:若不为指定uid,且pid在监控列表中,则正常完成执行。若不为指定uid,且pid不在监控列表中,则直接返回orig_sys_mprotect返回值,结束执行。
Root防护子***实现防护的具体步骤为:
第一步:Root检测子***检测的信息由Root攻击模式的上传模块进行记录并上传(攻击行为记录模块实际实现的是记录和上传的行为)。Root攻击模块的上传模块是本地完成,把Root程序的“.so”文件的特征进行提取并且记录下Root攻击行为上传。调用dlopen(xxx.so)来运行so文件,将使用的so文件保存上传至云端。
第二步:Root攻击行为记录模块记录上传的信息由攻击模式提取模块提取攻击特征。一个恶意软件进行了文件操作中的随机访问文件的操作,首先修改了时间戳,接下来随机修改了文件的路径,并进行了文件内偏移的操作,最后进行了网络操作,把文件传输了出去。这一系列的行为会被***监控并记录。然后记录下的攻击行为上传到云端,供所有的移动终端连接后的调用与比对。检测到该应用进程是个恶意Root软件后,会对该软件的“.elf”文件中的内容进行提取。在“.elf”文件中提取Section header table这一部分,这一部分存储的是应用进程的文件节区的信息,把其中关于节区名称、节区大小等可以作为一种恶意进程的识别的特征的部分进行提取。把提取到的一系列的关于“.elf”文件的特征上传到云端,也供所有的移动终端连接后的调用与比对。
第三步:攻击模式提取模块提取的攻击特征由攻击模式对比模块进行比对拦截。攻击模式对比模块中的Root Defender可以对恶意Root软件攻击进行拦截。Root Defender在把当前正在运行的软件的每一步的攻击行为进行记录,并进行攻击模式的提取,在某一特定的时刻,该时刻该软件还为完成所有的恶意行为,把云端的模式与本模式在本地进行比对,把“.elf”中Section header table中的特征信息进行比对,如果相似度很高,则马上对这个程序进行拦截,终止这个程序。如果在该软件一安装就把“.elf”文件中Sectionheader table中的特征信息与云端的相应的信息进行比对,并且相似度极高,则直接清理该软件,不会让其进行任何的恶意行为。
第四步:隐私数据保护模块属于隐私保护子***,但和Root防护子***一起运行。攻击行为记录模块在记录攻击行为的同时,还会同时通知位于framework层的隐私数据保护模块。隐私保护模块会修改相应的关键函数,以对关键的隐私数据进行伪造,令攻击方无法读取或者读取伪造的隐私数据,从而实现了对Root攻击的保护。
上述实施例仅为本发明的优选实施例,并非对本发明保护范围的限制,但凡采用本发明的设计原理,以及在此基础上进行非创造性劳动而做出的变化,均应属于本发明的保护范围之内。
Claims (1)
1.基于kernel的跨终端跨版本Root攻击检测与防护***,其特征在于,包括对Root攻击进行监控和检测的Root监控子***,与Root监控子***连接并对Root攻击通过***治理进行终止的Root防护子***,以及与Root防护子***连接并对恶意程序想要读取的隐私数据进行隐藏的隐私数据保护模块;所述Root监控子***包括用于监控Root攻击的监控控制模块,分别与监控控制模块连接的文件操作监控模块、进程操作监控模块和内存操作监控模块,其中,Root防护子***进程操作监控模块连接;
所述Root防护子***包括对Root攻击进行记录的攻击行为记录模块,用于接收Root监控子***监控情况的攻击模式接收模块,分别用于接收手机端攻击行为记录模块和攻击模式接收模块反馈信息的位于云端的攻击模式提取模块和攻击模式数据库,用于对攻击模式接收模块进行接收的攻击模式对比模块,以及与攻击模式对比模块连接的攻击模式拦截模块;
所述Root防护子***实现防护的具体步骤为:
第一步:Root监控子***检测的信息由攻击行为记录模块进行记录并上传至云端;
第二步:攻击行为记录模块记录上传的信息由攻击模式提取模块提取攻击特征;
第三步:攻击模式提取模块提取的攻击特征由攻击模式对比模块进行对比拦截;
第四步:隐私数据保护模块与Root防护子***一起运行,攻击行为记录模块在记录攻击行为的同时,还会通知位于framework层的隐私数据保护模块,隐私数据保护模块修改相应的关键函数,以对关键的隐私数据进行伪造,令攻击方无法读取或读取伪造的隐私数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910664335.6A CN110516444B (zh) | 2019-07-23 | 2019-07-23 | 基于kernel的跨终端跨版本Root攻击检测与防护*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910664335.6A CN110516444B (zh) | 2019-07-23 | 2019-07-23 | 基于kernel的跨终端跨版本Root攻击检测与防护*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110516444A CN110516444A (zh) | 2019-11-29 |
| CN110516444B true CN110516444B (zh) | 2023-04-07 |
Family
ID=68623861
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910664335.6A Active CN110516444B (zh) | 2019-07-23 | 2019-07-23 | 基于kernel的跨终端跨版本Root攻击检测与防护*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110516444B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111797067B (zh) * | 2020-09-10 | 2020-12-08 | 北京志翔科技股份有限公司 | 针对文件读写操作的文件路径的获取方法及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9825989B1 (en) * | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101877039A (zh) * | 2009-11-23 | 2010-11-03 | 浪潮电子信息产业股份有限公司 | 一种服务器操作***的故障检测技术 |
| CN102222194A (zh) * | 2011-07-14 | 2011-10-19 | 哈尔滨工业大学 | Linux主机计算环境安全保护的模块及方法 |
| CN103561004B (zh) * | 2013-10-22 | 2016-10-12 | 西安交通大学 | 基于蜜网的协同式主动防御*** |
| CN103973700A (zh) * | 2014-05-21 | 2014-08-06 | 成都达信通通讯设备有限公司 | 移动终端预设联网地址防火墙隔离应用*** |
| CN107016283B (zh) * | 2017-02-15 | 2019-09-10 | 中国科学院信息工程研究所 | 基于完整性验证的Android权限提升攻击安全防御方法和装置 |
| CN106921666B (zh) * | 2017-03-06 | 2020-10-02 | 中山大学 | 一种基于协同理论的DDoS攻击防御***及方法 |
| CN107204982B (zh) * | 2017-06-13 | 2019-02-05 | 成都四方伟业软件股份有限公司 | 交互式数据***通用安全防护*** |
| CN108347430B (zh) * | 2018-01-05 | 2021-01-12 | 国网山东省电力公司济宁供电公司 | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 |
| CN108197468A (zh) * | 2018-01-25 | 2018-06-22 | 郑州云海信息技术有限公司 | 一种移动存储介质的内网攻击智能防护*** |
-
2019
- 2019-07-23 CN CN201910664335.6A patent/CN110516444B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9825989B1 (en) * | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110516444A (zh) | 2019-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108133139B (zh) | 一种基于多运行环境行为比对的安卓恶意应用检测*** | |
| CN103198255B (zh) | 一种Android软件敏感行为监控与拦截方法及*** | |
| CN103294950B (zh) | 一种基于反向追踪的高威窃密恶意代码检测方法及*** | |
| CN111931166B (zh) | 基于代码注入和行为分析的应用程序防攻击方法和*** | |
| CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| CN104182688A (zh) | 基于动态激活及行为监测的Android恶意代码检测装置和方法 | |
| CN107766728A (zh) | 移动应用安全管理装置、方法及移动作业安全防护*** | |
| WO2017071148A1 (zh) | 基于云计算平台的智能防御*** | |
| CN103442361B (zh) | 移动应用的安全性检测方法及移动终端 | |
| CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
| CN104239797B (zh) | 主动防御方法及装置 | |
| CN109783316B (zh) | ***安全日志篡改行为的识别方法及装置、存储介质、计算机设备 | |
| CN104361281B (zh) | 一种安卓平台钓鱼攻击的解决方法 | |
| CN109800577B (zh) | 一种识别逃逸安全监控行为的方法及装置 | |
| CN103428212A (zh) | 一种恶意代码检测及防御的方法 | |
| CN110688653A (zh) | 客户端的安全防护方法及装置、终端设备 | |
| CN111191243A (zh) | 一种漏洞检测方法、装置和存储介质 | |
| CN111241545A (zh) | 一种软件的处理方法、***、设备以及介质 | |
| CN110516444B (zh) | 基于kernel的跨终端跨版本Root攻击检测与防护*** | |
| CN112565278A (zh) | 一种捕获攻击的方法及蜜罐*** | |
| CN111967044A (zh) | 一种适用于云环境的被泄漏隐私数据的追踪方法及*** | |
| CN106682493B (zh) | 一种防止进程被恶意结束的方法、装置及电子设备 | |
| CN105550573B (zh) | 拦截捆绑软件的方法和装置 | |
| CN105243328A (zh) | 一种基于行为特征的摆渡木马防御方法 | |
| CN114595178A (zh) | 一种用于hid键鼠设备防护的外接式防护设备和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |