CN112685737A - 一种app的检测方法、装置、设备及存储介质 - Google Patents
一种app的检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112685737A CN112685737A CN202011550192.5A CN202011550192A CN112685737A CN 112685737 A CN112685737 A CN 112685737A CN 202011550192 A CN202011550192 A CN 202011550192A CN 112685737 A CN112685737 A CN 112685737A
- Authority
- CN
- China
- Prior art keywords
- app
- detection
- behavior
- firmware
- detection result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 467
- 238000004458 analytical method Methods 0.000 claims abstract description 130
- 244000035744 Hura crepitans Species 0.000 claims abstract description 116
- 238000000034 method Methods 0.000 claims abstract description 59
- 238000012544 monitoring process Methods 0.000 claims abstract description 47
- 230000006870 function Effects 0.000 claims abstract description 21
- 230000006399 behavior Effects 0.000 claims description 159
- 230000003068 static effect Effects 0.000 claims description 65
- 238000004422 calculation algorithm Methods 0.000 claims description 29
- 238000011161 development Methods 0.000 claims description 18
- 230000002787 reinforcement Effects 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 13
- 238000012549 training Methods 0.000 claims description 8
- 238000013527 convolutional neural network Methods 0.000 claims description 7
- 238000012216 screening Methods 0.000 claims description 7
- 238000013135 deep learning Methods 0.000 claims description 6
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 5
- 238000013528 artificial neural network Methods 0.000 claims description 5
- 238000001914 filtration Methods 0.000 claims description 5
- 238000007635 classification algorithm Methods 0.000 claims description 4
- 238000002347 injection Methods 0.000 abstract description 5
- 239000007924 injection Substances 0.000 abstract description 5
- 238000012795 verification Methods 0.000 abstract description 5
- 238000007689 inspection Methods 0.000 abstract description 3
- 238000012360 testing method Methods 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 17
- 238000005065 mining Methods 0.000 description 16
- 230000006854 communication Effects 0.000 description 14
- 238000004891 communication Methods 0.000 description 13
- 230000009471 action Effects 0.000 description 9
- 230000003993 interaction Effects 0.000 description 9
- 238000009826 distribution Methods 0.000 description 8
- 241000700605 Viruses Species 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 7
- 238000012098 association analyses Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 238000000605 extraction Methods 0.000 description 6
- 238000007726 management method Methods 0.000 description 6
- 238000012015 optical character recognition Methods 0.000 description 6
- 238000009395 breeding Methods 0.000 description 5
- 230000001488 breeding effect Effects 0.000 description 5
- 238000003909 pattern recognition Methods 0.000 description 5
- 238000013475 authorization Methods 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000003014 reinforcing effect Effects 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 208000001613 Gambling Diseases 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000007619 statistical method Methods 0.000 description 3
- 238000012351 Integrated analysis Methods 0.000 description 2
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000004880 explosion Methods 0.000 description 2
- 238000003064 k means clustering Methods 0.000 description 2
- 238000007637 random forest analysis Methods 0.000 description 2
- 238000009877 rendering Methods 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- GKSPIZSKQWTXQG-UHFFFAOYSA-N (2,5-dioxopyrrolidin-1-yl) 4-[1-(pyridin-2-yldisulfanyl)ethyl]benzoate Chemical compound C=1C=C(C(=O)ON2C(CCC2=O)=O)C=CC=1C(C)SSC1=CC=CC=N1 GKSPIZSKQWTXQG-UHFFFAOYSA-N 0.000 description 1
- 102000041248 APP family Human genes 0.000 description 1
- 108091061431 APP family Proteins 0.000 description 1
- 102000042836 Class-4 family Human genes 0.000 description 1
- 108091082588 Class-4 family Proteins 0.000 description 1
- 208000025865 Ulcer Diseases 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 238000009412 basement excavation Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000000740 bleeding effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000007621 cluster analysis Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 230000009193 crawling Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000005553 drilling Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000002194 synthesizing effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000036269 ulceration Effects 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明实施例公开了一种APP的检测方法、装置、设备及存储介质。该方法包括:获取沙箱内的检测固件上报的沙箱内运行的APP的运行行为;其中,沙箱的***架构中的至少一层包括检测固件,检测固件用于实时监控运行行为;检测运行行为,得到运行行为对应的第一检测结果,发送第一检测结果给态势分析***;通过态势分析***对APP进行动态分析。本发明实施例通过在沙箱的***架构中的至少一层加入检测固件,使所有功能已编译在***固件中,不需要后期注入,提高了沙箱的稳定性和运行效率。同时通过检测固件作为各层级的检测点,实现更加广泛的检测点覆盖。还通过对APP的动态检测并将检测结果发送给态势分析***进行动态分析,提高APP安全检测的效率和准确度。
Description
技术领域
本发明实施例涉及软件检测技术,尤其涉及一种APP的检测方法、装置、设备及存储介质。
背景技术
近年来,移动互联网应用程序(Application,APP)得到广泛应用,在促进经济社会发展和服务民生等方面发挥了不可替代的作用。
但是,众多的开发性平台以及软件开发工具包(Software Development Kit,SDK)不仅给开发者带来广阔的开发空间,同时也增加了更多的安全隐患。各类移动安全问题不断涌现,例如APP强制授权、过度索权、安全漏洞问题、恶意程序问题、超范围采集用户信息事件、诈骗事件、逆向反编译、恶意代码注入、应用盗版、界面劫持和短信劫持等频繁出现。
因此,如何提高APP安全检测的效率和准确度成为亟待解决的问题。
发明内容
本发明实施例提供一种APP的检测方法、装置、设备及存储介质,可以实现提高APP安全检测的效率和准确度。
第一方面,本发明实施例提供了一种APP的检测方法,包括:
获取沙箱内的检测固件上报的所述沙箱内运行的APP的运行行为;其中,所述沙箱的***架构中的至少一层包括所述检测固件,所述检测固件用于实时监控所述运行行为;
检测所述运行行为,得到所述运行行为对应的第一检测结果,发送所述第一检测结果给态势分析***;
通过所述态势分析***对所述APP进行动态分析。
第二方面,本发明实施例还提供了一种APP的检测装置,包括:
行为获取模块,用于获取沙箱内的检测固件上报的所述沙箱内运行的APP的运行行为;其中,所述沙箱的***架构中的至少一层包括所述检测固件,所述检测固件用于实时监控所述运行行为;
第一检测结果发送模块,用于检测所述运行行为,得到所述运行行为对应的第一检测结果,发送所述第一检测结果给态势分析***;
应用分析模块,用于通过所述态势分析***对所述APP进行动态分析。
第三方面,本发明实施例还提供了一种APP的检测设备,所述APP的检测设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明任意实施例提供的APP的检测方法。
第四方面,本发明实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如本发明任意实施例提供的APP的检测方法。
本发明实施例通过获取沙箱内的检测固件上报的所述沙箱内运行的APP的运行行为,并对运行行为进行检测,得到对应的第一检测结果,发送第一检测结果给态势分析***,通过态势分析***对APP进行动态分析。本发明实施例通过在沙箱的***架构中的至少一层加入检测固件,使得所有功能已编译在***固件中,不需要后期注入,提高了沙箱的稳定性和运行效率。同时通过检测固件作为各层级的检测点,实现了更加广泛的检测点覆盖。本发明实施例还通过对APP的动态检测并将检测结果发送给态势分析***进行动态分析,提高了APP安全检测的效率和准确度。
附图说明
图1是本发明实施例一提供的一种APP的检测方法的流程图;
图2是本发明实施例一提供的一种APP的检测方法的工作流程图;
图3是本发明实施例一提供的一种手机端与服务器端网络交互的示意图;
图4是本发明实施例一提供的一种网络数据包解析方法的工作流程图;
图5是本发明实施例二提供的另一种APP的检测方法的流程图;
图6是本发明实施例二提供的一种加固APP的检测方法的工作流程图;
图7是本发明实施例二提供的一种恶意程序检测模型训练方法的工作流程图;
图8是本发明实施例二提供的一种组合式特征启发式检测方法的工作流程图;
图9是本发明实施例二提供的一种通过沙箱检测引擎进行超范围收集用户信息检测方法的工作流程图;
图10是本发明实施例三提供的一种APP全景态势与情报挖掘平台的服务架构图;
图11是本发明实施例三提供的一种关联分析方法的流程图;
图12是本发明实施例三提供的一致全网实时监控流程图;
图13是本发明实施例三提供的一种APP全景态势与情报挖掘平台中各***的程序逻辑流程图;
图14是本发明实施例三提供的另一种APP全景态势与情报挖掘平台针对不同数据来源的程序逻辑流程图;
图15是本发明实施例三提供的一种APP全景态势与情报挖掘平台中数据流转的程序逻辑流程图;
图16是本发明实施例三提供的一种APP全景态势与情报挖掘平台中检测结果调度的程序逻辑流程图;
图17是本发明实施例四提供的一种APP的检测装置的结构示意图;
图18是本发明实施例五提供的一种APP的检测设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1是本发明实施例一提供的一种APP的检测方法的流程图,本实施例可适用于检测APP并根据检测结果分析APP的情况,该方法可以由APP的检测装置来执行,该装置可以采用软件和/或硬件的方式实现。该装置可配置于APP的检测设备中。如图1所示,该方法包括:
步骤S110、获取沙箱内的检测固件上报的所述沙箱内运行的APP的运行行为。
其中,所述沙箱的***架构中的至少一层包括所述检测固件,所述检测固件用于实时监控所述运行行为。例如,检测固件可以通过检测代码的形式分布于在沙箱的各层***架构中,以对沙箱内运行的APP的运行行为进行全面的检测。若检测固件是短信操作检测固件,短信操作检测固件可以实时监控沙箱中APP的发短信行为,在监控到APP的发短信行为时,获取该发短信行为并上报。
运行行为可以是APP在沙箱内运行时的行为。例如,运行行为可以包括隐私行为、网络行为、文件操作和短信操作等。
沙箱可以是通过修改核心源码,分别在***架构中的至少一层添加检测固件而编译成完整的***固件,可以是具有行为检测功能的原生***。沙箱可以用于为沙箱内运行的APP提供***镜像以使APP能够在沙箱内全天动态运行。例如,沙箱可以通过对Android核心源码的修改,分别在应用层(Applications)、框架层(Framework)、库(Libraries)、运行环境(Runtime)和Linux内核层(Linux kernel)加入检测代码,编译成完整的***固件,实现了具有行为检测功能的原生***。由于各检测固件的监控功能已编译在***固件中,不需要后期注入,提高了沙箱的稳定性和运行效率。同时通过检测固件作为各层级的检测点,实现了更加广泛的检测点覆盖。
示例性地,图2是本发明实施例一提供的一种APP的检测方法的工作流程图。如图2所示,开发人员可以修改***应用层源码、框架层源码、运行环境源码和内核源码,并通过编译生成***镜像,得到沙箱,将沙箱写入虚拟机和/或真机中。APP可以在沙箱中运行,APP的应用信息可以在沙箱中加载。例如,通过过滤爬虫爬到的APP商店的信息以及APP的信息,如APP商店的名称、APP的名称、APP的应用类型和APP的安装包等。通过沙箱内的检测固件对APP的运行行为进行监控。
沙箱养殖是通过沙箱监控APP运行行为的一个具体的实现方式。沙箱养殖根据设备的不同,可以分为虚拟机养马场养殖和专有养马场设备养殖。
虚拟机养马场养殖可以针对指定的APP,提供24小时长时间的动态运行,使APP尽可能多的展现出自身的行为,有助于研究移动终端APP的传播特点和运行机理等,并据此形成对移动终端APP的文件行为、网络行为、通信行为和***行为等的动态监控。传统的沙箱钩子(Hook)技术通过在***架构的Applications、Framework、Libraries和Runtime中插桩,以Hook需要检测的关键点,在关键点调用时,通过钩子获取运行日志后将日志输出并返回***源代码流程。然而,这种方式会导致沙箱在***代码和钩子代码之间反复跳转,导致沙箱的稳定性和检测效率很低。区别于传统的沙箱Hook技术,本实施例使用编译后的沙箱能够在Applications、Framework、Libraries、Runtime和Linux kernel中设置至少一个检测固件,以实时监控沙箱内APP的运行行为。其中,Linux kernel可以包括内存管理(memorymanagement,MM)、文件管理(File)和驱动(Driver)等。当检测固件检测到APP的运行行为时,获取该运行行为并进行检测,或者直接对该运行行为进行检测。并且沙箱可以直接输出检测结果并发送给态势分析***,省去了***代码和钩子代码的跳转,提高了沙箱的稳定性和检测效率,提高了APP的运行稳定性,并且提高了对APP检测的全面性。本实施例通过在虚拟机养马场养殖中集成沙箱,可以适用于多种真实需求,提供高效的各类安全检测能力。
另外,由于某些APP的恶意行为需要运行一定时间才能表现出来,因此,可以设置对沙箱支持的APP持续养殖时间为24小时。由于对APP运行行为的检测固件越多,则捕获APP恶意行为的能力越强,所以可以设置沙箱对APP运行的检测固件不小于预设数量,如140项。由于有些APP在触发某些运行行为时需要一定的界面操作,沙箱可以具备多种模式的模拟点击能力以触发不同的界面操作,例如,模拟点击方式可以不少于2种。沙箱还可以对APP的运行日志进行综合分析,按照工信部对恶意程序的分类定义,对运行日志中数据的检测分析结果可以不少于8种。沙箱还可以获取超文本传输安全协议(Hyper Text TransferProtocol over Secure Socket Layer,HTTPS)协议的通信内容。虚拟机养马场养殖最大养殖持续时间可以超过100天。
专有养马场设备养殖可以通过预设个数开发板集成至一个服务器中,并在服务器中配置计算机主板作为控制硬件设备得到。例如,专有养马场设备养殖所在服务器可以通过12块高性能RK3399开发板集成至一个2U服务器机箱内得到,再在服务器机箱内其配置一个个人计算机(Personal Computer,PC)主板作为控制硬件设备。在开发板中集成沙箱,可以适用于多种真实需求,且12路并行,可以提供高效的各类安全检测能力。开发板可以包括各类硬件及接口,实现真实模拟手机运行时的各类硬件信息情况。本实施例通过硬件配置专有养马场设备养殖,可以为专有设备提供3G网络环境、4G环境、Wifi环境和有线模式网络环境。由于对APP运行行为的监测固件越多,则捕获APP恶意行为的能力越强,则专有养马场设备养殖中沙箱对APP运行的监测固件可以不小于预设个数,如140项。沙箱还可以支持3D渲染。由于APP的画面渲染因技术架构不同有2D及3D两种形式,例如游戏等都需要沙箱支持的渲染方式兼容2D和3D,传统的沙箱由于是虚拟机,通常会由于画面渲染不支持导致该类APP在运行时会奔溃或者退出,导致不能够全面的监控的问题,本实施例通过专有养马场设备养殖中的沙箱能够解决该问题。由于有些APP在触发某些运行行为时需要一定的界面操作,沙箱可以具备多种模式的模拟点击能力以触发不同的界面操作,例如,模拟点击方式可以不少于2种。沙箱还可以对APP的运行日志进行综合分析,按照工信部对恶意程序的分类定义,对运行日志中数据的检测分析结果可以不少于8种。沙箱还可以获取HTTPS协议的通信内容。专有养马场设备养殖最大养殖持续时间可以超过100天。
本实施例通过硬件设备实现专有养马场设备养殖,解决了APP因为版本不同和开发框架不同等因素,而导致的APP在传统的沙箱中运行时产生奔溃、退出等问题,以及很多APP具有模拟器检测机制,而导致在模拟器中运行会自动退出的问题。本实施例通过更加真实的环境对APP进行检测,确保APP正常运行,触发更多的行为,实现了对APP进行全面检测。本实施例的专有养马场设备养殖摈弃了传统手机沙箱的通用串行总线(Universal SerialBus,USB)链接模式和专用手机机架等,连接方式更加简洁。作为集成式机箱设备,不存在单台服务器无法连接过多手机设备(通常不超过15台)的不足。专有养马场设备养殖可以直接安装在机房,不存在火灾安全隐患,解决了传统手机沙箱有电池的原因,存在电池***等风险,无法安装在机房的问题。并且安装在机房,不存在数据交互问题,解决了传统的手机沙箱只能放在机房之外,由于数据机房数据保密的原则,会导致传统手机沙箱和机房服务器数据交互困难,需要恶意开发兼容的问题。
步骤S120、检测所述运行行为,得到所述运行行为对应的第一检测结果,发送所述第一检测结果给态势分析***。
具体地,在沙箱检测引擎中设置有各运行行为的检测规则,当获取到检测固件上报的APP运行行为后,采用对应的检测规则对检测固件上报的APP的运行行为进行检测,得到该运行行为对应的第一检测结果,将第一检测结果发送给态势分析***。例如,可以将第一检测结果通过报告的形式进行输出,并发送给态势分析***。
可选地,通过沙箱内的检测固件采集所述沙箱内运行的APP的运行行为,并通过检测固件对所述运行行为进行检测,得到所述运行行为对应的第一检测结果,发送所述第一检测结果给态势分析***。通过将检测规则内置于检测固件,通过检测固件实现APP运行行为采集和检测。
沙箱内的检测固件可以在采集到APP的运行行为时,由该检测固件对该运行行为进行直接检测,并由检测固件将检测结果发送给态势分析***。本实施例通过沙箱内的检测固件对APP的运行行为进行直接检测,提高了APP的检测效率,并且由于输出的是检测结果而不是APP运行行为,达到减少传输数据量的效果。
可选地,所述检测固件包括隐私行为检测固件、网络行为检测固件、文件操作检测固件、短信操作检测固件、命令行检测固件、音视频录制和摄像头检测固件和用户数据读取检测固件中的至少一种;
其中,所述隐私行为检测固件用于实时监控所述APP获取到的用户隐私信息。例如,隐私行为检测固件可以实时监控APP获取用户的串号、地理位置、通讯录、通话记录、短信信息、照片和浏览器书签等行为。
所述网络行为检测固件用于实时监控所述APP访问的目的网际互联协议地址(IP)和目的端口。例如,网络行为检测固件可以实时监控APP访问了哪些IP以及访问的端口信息等。
所述文件操作检测固件用于实时监控所述APP的文件操作。例如,文件操作检测固件可以实时监控APP的文件操作,如创建文件、读写文件、删除文件、创建目录和删除目录等。
所述短信操作检测固件用于实时监控所述APP的发送短信行为、发送彩信行为以及短信被拦截行为。
所述命令行检测固件用于实时监控所述APP的与所述命令行对应的工具的调用行为。例如,命令行检测固件可以实时监控APP调用了哪些工具,如切换用户(Switch user,SU)提权工具和包管理(package manager,PM)包管理工具等。
所述音视频录制和摄像头检测固件用于实时监控所述APP是否存在打开摄像头和录制音视频的行为。音视频录制和摄像头检测固件可以监控APP是否有打开摄像头和录制音视频的行为。
所述用户数据读取检测固件用于实时监控所述APP对用户数据的动态读取状态,以检测所述用户数据是否被窃取。
可选地,沙箱还可以实时监测APP的运行状态,截取并存储APP运行界面。
可选地,沙箱还可以对模拟器检测屏蔽进行检测。例如,某些APP运行时会检测***环境,发现是在模拟器下运行时,则自动退出。通过基于***镜像构成的沙箱,***的各个参数硬件环境可以模拟真机的运行环境,有效解决该类APP无法在模拟器运行的问题。
可选地,对于所述检测固件是用户数据读取检测固件的情况,检测所述运行行为,得到第一检测结果,发送所述第一检测结果给态势分析***固件,可以包括:
基于修改后的开源项目***从输入输出(Input/Output,IO)函数中获取网络数据包;其中,所述修改后的开源项目***用于在所述网络数据包经过隧道加密之前截获所述网络数据包;
识别所述网络数据包的类型,根据所述类型识别所述网络数据包的报文数据;
检测所述报文数据中是否存在敏感数据;
将检测结果作为所述运行行为对应的第一检测结果,发送所述第一检测结果给态势分析***。
其中,修改后的开源项目***可以是通过开发人员修改开源项目***的源码得到。例如,开发人员可以修改安卓开放源代码项目(Android Open-Source Project,AOSP)***的源码,使得AOSP***能够从数据流上游,即网络数据包经过隧道加密之前截获应用层下发的明文数据,以实现网络数据包的获取。
示例性地,图3是本发明实施例一提供的一种手机端与服务器端网络交互的示意图。如图3所示,AOSP***可以修改超文本传输协议(Hyper Text Transfer Protocol,HTTP)层到安全传输层协议(Transport Layer Security,TLS)层之间的代码,以直接从IO函数中获取网络数据包的原始明文数据。通过获取HTTPS数据交互明文,识别APP是否存在敏感数据获取,以及具体获取了哪些敏感数据。
网络数据包的类型可以基于网络数据包的协议确定。例如,网络数据包的协议可以包括HTTP协议、简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)协议、文件传输协议(File Transfer Protocol,FTP)协议和远程终端协议(TELNET)协议等。网络数据包的类型的识别可以通过分析网络数据包中协议包含的端口,例如,SMTP协议的网络数据包中的端口通常使用25,HTTP协议的网络数据包中的端口通常使用80。或者,在识别HTTP协议的网络数据包时,可以分析传输控制协议(Transmission Control Protocol,TCP)的状态是否是在三次握手之后,若是,则可以确定网络数据包为HTTP协议的网络数据包。或者,还可以分析网络数据包的应用层的关键字,根据关键字确定网络数据包的类型,例如,关键字中可以包括HTTP或SMTP的字符。
网络数据包的报文数据可以是通过解析网络数据包得到的报文数据。例如,解析HTTP协议的网络数据包可以得到HTTP报文数据,解析SMTP协议的网络数据包可以得到SMTP报文数据。
示例性地,图4是本发明实施例一提供的一种网络数据包解析方法的工作流程图。如图4所示,输入带解析的网络数据包,例如过程特性分析软件包(pcap)格式的数据包,通过加载网络数据包捕获函数包(libpcap)库,判断网络数据包的类型。若网络数据包为HTTP协议的网络数据包,根据HTTP协议解析该网络数据包,得到HTTP报文数据。若网络数据包为SMTP协议的网络数据包,根据SMTP协议解析该网络数据包,得到SMTP报文数据。
当前在对APP动态检测中,APP是否对用户敏感数据有获取行为,以及具体获取哪些敏感数据,是对APP监管的一个重要检测指标,而应用执行这些行为的数据传输,绝大多数情况下都会使用HTTP/HTTPS网络协议实现。因此APP对网络数据包的监控,主要是针对APP在运行过程中网络数据流的监控,在APP完成套接字(Socket)连接之后,通过监测网络链接输出流的APP编程接口(Application Programming Interface,API),捕获APP向服务器端上传的网络数据包。还可以自动标记网络数据包的统一资源定位***(uniformresource locator,URL)地址以及数据类型。
现有的网络通信通常使用HTTPS加密信道替代HTTP明文传输,且敏感或重要的数据传输大多数均通过HTTPS加密信道传输。然而,从TCP包中只能获取加密后的无意义的二进制串。因此,针对HTTPS数据监控,绕过中间人攻击策略,绕过HTTPS协议的握手流程(如证书认证和密钥协商等),直接从数据流程方面,即在数据流上游直接捕获原始的网络数据包,且以直接明文的形式呈现。解决了在双向认证场景下的功能失效问题,从而实现了HTTPS数据的监控。本实施例通过对APP捕获到其通信的网络数据包,对网络数据包进行解析获取关键数据,之后进行敏感信息检测,其中,敏感信息可以包括手机号码、短信、通讯录、通话记录、IMEI、IMSI和地址等,检测APP的网络数据包中是否包含敏感信息,从而判定APP是否存在违法违规获取用户信息的高风险行为。
可选地,基于报文数据检测网络数据包对应的网络连接属性,以根据网络连接属性确定网络数据包是否属于第三方软件开发工具包(Software Development Kit,SDK)。
在识别网络数据包的类型时,例如第三方SDK可以自定义协议,自定义协议中包括该第三方SDK的唯一标识,在确定网络数据包中的协议后可以确定该网络数据包是否来自第三方SDK。
步骤S130、通过所述态势分析***对所述APP进行动态分析。
具体地,在态势分析***获取到第一检测结果后,通过态势分析***根据该第一检测结果对APP的运行行为进行动态分析。其中,态势分析***可以是具有对APP进行态势分析的***。例如,态势分析***可以根据APP备案地市绘制全国分布图,还可以对APP进行整体态势、恶意程序态势、违法违规风险态势和安全漏洞态势等方面的趋势、分布等态势进行展示分析。
可选地,所述通过所述态势分析***对所述APP进行动态分析,包括以下至少一个:
根据第一检测结果以及各所述APP的地市信息,通过所述态势分析***对各地市的APP进行地市安全态势分析;
根据第一检测结果以及各所述APP的开发信息,通过所述态势分析***对所有在各沙箱内运行的APP进行开发态势分析;
对于第一检测结果中的风险检测结果,通过所述态势分析***确定所述风险检测结果对应的风险APP,对所述风险APP进行风险态势分析。
示例性地,根据第一检测结果以及各APP的地市信息,按照地市统计,对各地市的APP进行安全全景态势分析。还可以根据各APP的开发信息对全网APP进行整体态势分析。其中开发信息用于指示APP中与开发相关的信息。例如,可以包括开发者数量、整体通联地址和备案地等。还可以对APP进行基础信息态势分析,包括APP行业分布、各省APP分布、威胁元数据统计、加固厂商统计和全量及恶意APP按天的趋势等。还可以对APP进行恶意程序态势分析,包括危险等级占比、恶意程序APP行业分布、APP应用商店分布、恶意程序类型占比、APP家族统计以及恶意APP趋势等统计。还可以对APP进行安全风险漏洞态势分析,包括安全风险APP行业分析、各省APP分布、APP漏洞趋势、漏洞统计和安全风险类型统计等。还可以对APP进行违法违规风险态势分析,包括违法违规APP行业分布、外联服务器归属地统计、违法违规风险趋势、风险类型统计和SDK类型统计等。
本发明实施例通过获取沙箱内的检测固件上报的所述沙箱内运行的APP的运行行为,并对运行行为进行检测,得到对应的第一检测结果,发送第一检测结果给态势分析***,通过态势分析***对APP进行动态分析。本发明实施例通过在沙箱的***架构中的至少一层加入检测固件,使得所有功能已编译在***固件中,不需要后期注入,提高了沙箱的稳定性和运行效率。同时通过检测固件作为各层级的检测点,实现了更加广泛的检测点覆盖。本发明实施例还通过对APP的动态检测并将检测结果发送给态势分析***进行动态分析,提高了APP安全检测的效率和准确度。
实施例二
图5是本发明实施例二提供的另一种APP的检测方法的流程图,本实施例在上述实施例的基础上进行优化,如图5所示,该方法可以由APP的检测引擎来执行。其中,检测引擎用于对APP进行多维度检测。例如,检测引擎可以包括动态检测引擎、恶意程序检测引擎、组合式特征启发式检测引擎、文本检测引擎、图像检测引擎以及其他检测引擎等等。其中,动态检测引擎可以包括沙箱检测引擎,该沙箱检测引擎可以用于执行实施例一中的检测步骤。本实施例提供的APP的检测方法包括:
步骤S201、获取沙箱内的检测固件上报的所述沙箱内运行的APP的运行行为。
其中,所述沙箱的***架构中的至少一层包括所述检测固件,所述检测固件用于实时监控所述运行行为。
步骤S202、检测所述运行行为,得到所述运行行为对应的第一检测结果,发送所述第一检测结果给态势分析***。
步骤S203、获取APP的APP包。
APP包可以用于分发和安装APP以及中间件。例如,对于安卓***上的APP,APP包可以是安卓APP包(Android Application Package,APK)。
步骤S204、检测所述APP的APP包中是否存在加固字段,若是,执行步骤S205,否则,执行步骤S208。
其中,所述加固字段用于标识所述APP被加固处理过。加固字段可以通过分析各个加固厂商的加固方法对相关固定的加固特征进行分析和提炼得到。通过扫描APP包中是否存在加固字段可以准确的判定和输出加固方式。加固保护的目的是保护APP不被非法修改或反编译,APP在进行逆向分析时只能获取这段负责保护的程序,而获取看到APP源码。同时很多恶意APP也会通过加固的方式进行安全软件免杀,防止安全分析人员分析,因此通过对APP进行自动化脱壳,能够获取APP源码进行分析。
步骤S205、对所述APP包进行脱壳操作,生成脱壳后的APP包。
脱壳操作可以是通过脱壳沙箱对APP包进行脱壳。其中,脱壳沙箱可以用于在沙箱内对加固的APP进行脱壳处理。例如,在APP运行时可以在某一阶段解密执行原始dex文件或还原原始的类方法,脱壳沙箱此时可以转储(dump)关键的dex文件结构以及关键的类代码数据,然后经过一定的修补还原为原始的dex文件。鉴于APP可能进行多次加固处理,因此,脱壳后的APP包中可能并未脱壳完全,可以同时或在进行脱壳操作之后,记录步骤S205的执行次数。
步骤S206、判断步骤S205的执行次数是否满足预设条件,若是,执行步骤S207,否则,返回执行步骤S204。
预设条件可以根据APP的加固经验进行不同的设置。例如,统计常见的APP的加固方式,进而根据各APP的常见加固方式预设不同的执行次数。例如,对于两次加固的APP,可以设置预设条件为超过2次。
步骤S207、对于所述执行次数满足预设条件时生成的目标APP包,当接收到所述目标APP包的解析指令时,解析所述目标APP包的dex文件,以根据解析结果对所述dex文件进行检测,得到第二检测结果,发送所述第二检测结果给态势分析***。
其中,可执行二进制(dex)文件可以是在对APP包进行至少一次脱壳操作后得到的可执行文件。
解析目标APP包的dex文件可以是通过启发式子引擎、病毒子引擎和敏感词子引擎等对dex文件的执行逻辑进行解析。其中,启发式子引擎可以用于检测APP的行为特征。病毒子引擎可以用于检测APP是否为病毒APP。敏感词子引擎可以用于检测APP中是否含有敏感词。
步骤S208、检测APP包,得到第二检测结果,发送所述第二检测结果给态势分析***。
示例性地,图6是本发明实施例二提供的一种加固APP的检测方法的工作流程图。如图6所示,为实现脱壳全自动化处理,静态检测引擎在发现加固APP后,一方面会执行原有解析和检测流程,并将结果返回态势分析***;另一方面,可以将APP自动转发动态检测引擎,并触发脱壳任务。动态检测引擎接收到脱壳任务后,对APP执行脱壳操作,并将生成的脱壳文件返回态势分析***。态势分析***在收到动态检测引擎返回的脱壳文件后,创建新的任务,再次下发给静态检测引擎的dex扫描子引擎。静态检测引擎的dex扫描子引擎解析脱壳文件中所有dex文件,通过启发式子引擎、病毒子引擎和敏感词子引擎对dex文件的执行逻辑进行检测,并将结果返回态势分析***。态势分析***整合两次检测任务的检测结果,生成完整报告。其中,静态检测引擎可以用于解析和检测APP的静态特征,动态检测引擎可以用于解析和检测APP的动态特征和/或静态特征。
其中,步骤S201至步骤S208可以通过动态检测引擎执行。步骤S201至步骤S202可以通过动态检测引擎中的沙箱检测引擎执行。
步骤S209、提取所述APP的静态特征和/或动态特征,根据所述静态特征和/或动态特征构建待检测特征向量。
其中,所述静态特征基于所述APP的APP包提取得到,所述动态特征基于所述第一检测结果提取得到。静态特征可以是APP中的稳定性特征。例如,静态特征可以包括行为特征、家族特征、病毒常见字符串特征和权限特征等。其中,行为特征用于指示APP的运行行为中稳定的行为特征,例如,可以包括55个行为特征。家族特征用于指示APP所属家族的特征,例如,可以包括常见的4类家族特征。病毒常见字符串特征用于指示病毒程序携带的字符串特征,例如,可以包括手机号码等15类字符串特征。权限特征用于指示APP中使用的权限相关的特征,例如,可以包括申请、使用和是否隐私权限等128×3个权限特征。动态特征可以是APP在运行过程中会发生变化的特征。
示例性地,提取的458个静态特征以及77个动态特征,构建一个包含535个特征的特征向量,其中前458个是代表静态信息的静态特征,后77个是代表动态信息的动态特征。
现有的恶意APP分析方式主要是依赖静态、动态沙箱提取已有应用信息的代码和行为特征,依据经验确定识别规则,规则的有效性缺乏论证。然而,先验规则只能检测特征库已收录的恶意程序,无法识别未知的恶意应用信息。因此使用机器学习和深度学习有助于海量APP的自动化识别,有助于发现现有APP检测引擎无法识别的未知恶意APP。
步骤S210、输入所述待检测特征向量至恶意程序检测模型,通过所述恶意程序检测模型判断所述APP是否为恶意程序,将判断结果作为第三检测结果,发送所述第三检测结果给态势分析***。
其中,所述恶意程序检测模型基于静态特征样本、动态特征样本和恶意特征样本通过二分类算法、神经网络算法、聚类算法和异常检测算法训练得到。二分类算法用于判断是否为恶意程序。例如,二分类算法可以包括随机森林算法或极端梯度提升(eXtremeGradient Boosting,XGBOOST)算法等。神经网络算法和聚类算法用于识别确定特征样本所属家族。例如,神经网络算法可以包括卷积神经网络(Convolutional Neural Networks,CNN)算法等。聚类算法用于对特征样本进行聚类。例如,聚类算法可以包括K均值聚类(k-means)算法等。异常检测算法用于检测特征样本中是否存在未知类型的恶意应用样本。
示例性地,图7是本发明实施例二提供的一种恶意程序检测模型训练方法的工作流程图。如图7所示,从样本库中采集正常应用样本集和恶意应用样本集,分别提取正常应用样本集和恶意应用样本集中的敏感权限、敏感API函数调用序列、文件名字符串、SO文件名称、恶意程序常用字符串向量和文件大小等特征,通过随机森林和XGBOOST进行二分类判断黑白,通过卷积神经网络和K-means聚类进行多分类识别家族,通过异常检测发现未知类型的黑样本,多种算法的结果互相印证,最终根据识别结果更新样本集。
本实施例提出的在线机器学习和深度学习方法,可以解决恶意程序样本因为升级换代、受到管控打击等原因更新太快,特征变化太大,离线训练的模型失效较快的问题,还可以基于恶意程序检测引擎和其他第三方检测引擎反馈的样本检测结果,每当模型偏差效果达到预设的条件,则会将误差样本自动化加入训练集,在线重新启动训练并升级模型。其中,预设的条件可以为设定的阈值。
其中,步骤S209至步骤S210可以通过恶意程序检测引擎执行。
本实施例通过综合APP包的多类特征统一建立特征向量,采用多种方式提取可以反映恶意程序行为的特征,能够自动化识别APP是否为恶意程序,且便于识别未知恶意APP。
步骤S211、对所述APP包的可执行文件进行格式筛选,得到满足预设文件格式条件的待检测可执行文件。
其中,可执行文件是可以由***进行加载执行的文件。满足预设文件格式条件的待检测可执行文件可以是包括API信息的可执行文件。
步骤S212、对所述待检测可执行文件进行静态逆向分析,得到接口静态参数信息和接口调用序列。
静态逆向分析可以用于解析待检测可执行文件,并从中解析出与接口相关的信息。例如,可以解析出API调用信息、API静态参数信息和API调用序列等。
步骤S213、根据预设的恶意字符串规则对所述接口静态参数信息进行敏感参数识别,得到第一识别结果。
图8是本发明实施例二提供的一种组合式特征启发式检测方法的工作流程图。如图8所示,将API静态参数信息输入敏感参数识别模块,根据恶意字符串规则识别该API静态参数信息,得到第一识别结果。
步骤S214、识别所述接口静态参数信息中的细粒度行为参数,根据预设的正常细粒度行为模式规则和预设的恶意行为模式规则分别对所述细粒度行为参数和接口调用序列进行行为模式识别,得到第二识别结果。
如图8所示,将API静态参数信息输入细粒度行为参数识别模块后再输入行为模式识别模块,将API调用序列输入行为模式识别模块,根据预设的正常细粒度行为模式规则和预设的恶意行为模式规则在行为模式识别模块中分别对细粒度行为参数和API调用序列进行模式识别,得到第二识别结果。
步骤S215、将所述第一识别结果和第二识别结果作为第四检测结果,发送所述第四检测结果给态势分析***。
其中,步骤S211至步骤S215可以通过组合式特征启发式检测引擎执行。
本实施例通过组合式特征启发式检测,即通过根据APP的API函数调用信息、API调用参数和API调用序列等为基础,结合权限申请情况和常见恶意程序的行为特征,对待检测样本进行恶意行为模式的检测,可以有效检测出未知样本中的高风险样本。
步骤S216、提取所述APP的运行过程中未显示文本的文本信息,提取所述APP的运行截图中的文本信息,通过快速正则匹配、关键词过滤和异常行为识别中的至少一种方式对所述文本信息进行文本检测,以检测所述文本信息中是否存在敏感词,将文本检测结果作为第五检测结果,发送所述第五检测结果给态势分析***。
具体地,通过文本检测提取APP的运行过程中未显示文本以及运行截图中的文本信息。其中,文本检测主要是基于文本检测引擎通过对快速正则匹配、关键词过滤和异常行为识别等方式对APP提取的文本信息、光学字符识别(Optical Character Recognition,OCR)提取运行截图的文本信息进行检测。检测APP是否包含涉黄、涉赌、涉暴、涉政的敏感词,如果存在违规,则展示违规类型及违规未知。其中,关键词可以基于各类敏感词库进行比对识别。OCR图片文字提取技术可以利用机器学习技术,使用大量的基础数据对模型进行训练,生成专门针对APP运行内容的OCR算法模型,并通过图像OCR算法,对APP页面中的文字内容进行OCR识别提取。快速正则匹配检索可以使用基于正则表达式匹配库(Hyperscan)的高性能正则表达式进行关键信息的匹配。异常行为识别可以基于对用户身份标识号(Identity document,ID)、IP、联系方式、身份信息等可进行自由的组合,识别出文件或数据中的各类敏感信息组合。本实施例还可以利用自然语言处理算法模型对文本信息进行预处理,能够提高识别效率与检测精准度。本实施例还可以对命名实体进行识别,例如,可以识别联系方式、QQ、手机号、微信和网址等,同时可对联系方式结合关键词、行为等进行复合判断。
其中,步骤S216可以通过文本检测引擎执行。
步骤S217、通过深度学习的卷积神经网络算法模型对所述APP的运行截图进行图像内容检测,以检测所述运行截图中是否存在违规内容,将图像内容检测结果作为第六检测结果,发送所述第六检测结果给态势分析***。
本实施例可以检测APP是否包含涉黄、涉赌、涉暴、涉政的图片或视频,如果存在违规,则展示违规类型及违规位置。可以将APP在沙箱中运行过程中的页面截图送入图像检测引擎,实现对违规图片的检测。识别图片的类型可以包括赌博、色情、涉政、暴力等类型。同时图像检测引擎可以具备机器学习的能力,以针对新类违规图片具备检测能力。
示例性地,采用深度学习的卷积神经网络算法对获取到的APP界面截图进行黄色内容检测识别、***内容检测识别、政治敏感词、政治人物以及反动信息检测识别以及***、***、流血以及恐怖组织标志检测识别等。
其中,步骤S217可以通过图像检测引擎执行。
步骤S218、通过所述态势分析***对所述APP进行动态分析。
本发明实施例可以根据接收到的各个检测结果对APP分别从各个角度进行动态分析,还可以基于多个检测结果对APP进行综合动态分析。
本发明实施例通过对APP进行动态检测、恶意程序检测、组合式特征启发式检测、文本检测和图像检测等多维度的检测,能够保证APP的全方位安全性,覆盖当前APP安全趋势的全方位主流检测问题,通过对全网APP的信息收集以及检测,并提供APP的安全态势分析,提高了APP安全检测的效率和准确度。
可选地,还可以通过基于广谱特征的静态检测引擎对APP的各个特征进行直接检测。例如,通过基于广谱特征的静态检测引擎进行签名指纹检测、类文件特征检测、字符串特征检测、代码执行序列扫描检测、SO文件特征检测和自定义特征检测等。其中,签名指纹检测可以准确快速判定APP是否为恶意程序,可以对各大应用商城的APP有效过滤,提升了确认非恶意程序的能力,降低疑似恶意程序的概率。类文件特征检测可以检测classes.dex或resources.arsc中典型的未经混淆的、非安卓、非java标准API、非广告SDK的类名,例如病毒特征中的类方法和类成员。字符串特征检测可以检测classex.dex或resources.arsc中典型的字符串,如电话号码、邮箱、sql语句、网址(非广告URL)等可能包含恶意字符串的特征。代码执行序列扫描检测可以通过对恶意行为的关键函数代码的执行序列进行取样,形成特征库,作为恶意代码模板。这种扫描方式将APP样本扫描的粒度降低,由包、类、方法级别降低到方法内执行代码的行级别。SO文件特征检测可以检测只读节中可见的典型字符串。自定义特征检测可以是根据样本大小、包名和签名进行组合计算,进而对APP进行检测,提升检测效率。本实施例通过对APP的广谱特征进行直接检测,可以对后续的检测提供先验检测,提高了检测精度。
可选地,可以通过沙箱检测引擎提取APP隐私政策,通过基于广谱特征的静态检测引擎或组合式特征启发式检测引擎提取APP权限,最后基于语义分析对隐私政策、权限进行对比检测以确定APP是否申请权限越权或超范围收集信息。同时,还可以通过沙箱检测引擎检测APP是否存在数据处境的问题。
示例性地,图9是本发明实施例二提供的一种通过沙箱检测引擎进行超范围收集用户信息检测方法的工作流程图。如图9所示,基于沙箱检测引擎自动提取隐私政策文件技术,例如,可以通过模拟点击和数据包解析等技术自动化提取APP隐私政策文本。沙箱可以提供多种模式的模拟点击能力以触发不同的动作。基于人工沙箱的人机交互可以理解为在提取隐私政策时,可以通过人工参与到沙箱的操作中,有利于更加准确的点击,提升隐私政策文本的提取准确率。基于语义分析的隐私政策文本解析,可以是通过对隐私政策文本的分析,提取隐私政策中声明的有关公民个人信息、各类信息针对的不同业务、第三方数据共享和数据处境等声明情况。基于APP权限声明和隐私政策检测技术,检测APP实际声明的权限是否超出了隐私政策声明所需的个人信息权限,APP实际联网地址是否存在处境情况,结合APP回传数据监控判断是否上传用户数据到第三方等。还可以基于沙箱回传数据监控,自动化确认APP是否存在实际超范围采集用户信息和数据处境的风险。
可选地,还可以从程序代码安全、组件安全、通信安全、数据存储安全、内部数据交互安全、业务交互安全、安全策略和漏洞检测八大方面,对待检测的APP进行安全风险评估,以评估APP抵御敏感信息泄露、抵御恶意程序入侵和抵御被黑客恶意利用的安全能力。
示例性地,针对Android应用,为企业、监管部门等用户提供基于9大类检测项目,涉及79个监测点,分别确定不同检测的风险等级以及不同风险的风险等级。
可选地,还可以对APP进行代码安全检测。具体可以包括程序文件及进程权限检测、组件权限安全检测、组件权限安全检测、隐式请求消息(Intent)检测和代码混淆检测。
其中,程序文件及进程权限检测可以是检测APP是否限制程序目录的权限或者禁止其被第三方软件私自访问,以及检测应用是否遵循“最低授权原则”,避免权限被恶意滥。组件权限安全检测可以是检测APP使用的组件,存在可以被外部程序任意调用的问题,导致拒绝服务、钓鱼欺骗和信息泄露风险。隐式Intent检测可以是检测APP是否使用隐式Intent,隐式Intent是否有明确指定接收方,防止其他程序通过指定标识后,窃取Intent内容,导致数据泄露的风险。代码混淆检测可以是计算源码的混淆程度。
可选地,还可以对APP进行数据安检检测。具体可以包括敏感信息明文保存检测、第三方安全库检测、日志信息检测、备份标识配置风险检测和硬编码检测。
其中,敏感信息明文保存检测可以检测APP是否在本地存储的XML文件、缓存信息文件,是否加密保护,防止应用数据信息泄露。第三方安全库检测可以检测APP是否使用了第三方SDK,第三方SDK是否存在恶意行为,信息泄露等风险。日志信息检测可以检测APP是否调用***日志接口。备份标识配置风险检测可以检测APP是否在AndroidManifest.xml中设置android:allowBackup=true。当这个标志被设置为true或不设置该标志时APP数据可以备份和恢复,安卓调试桥(Android Debug Bridge,ADB)调试备份允许恶意攻击者复制APP数据。硬编码检测可以检测源代码中是否存在硬编码问题(简单的判断逻辑)、固定的字符串信息、加密的键和方法等,解决了容易泄露代码逻辑思想的问题。
可选地,还可以对APP进行漏洞安检检测。具体可以包括安卓***签名(Janus)漏洞检测、网页视图(WebView)组件远程代码执行漏洞检测、安卓签名漏洞、中间人攻击漏洞和内容提供商(Content Provider)文件目录遍历漏洞等主流漏洞检测。漏洞安检检测可以基于国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD)漏洞库规则。目前包含16万条漏洞,其中移动互联网漏洞20000多条。还可以支持开放式WebAPP安全项目(Open Web Application Security Project,OWASP)前10移动互联网安全漏洞的检测、支持人工录入漏洞检测规则,漏洞特征支持.smali文件中的字符串特征(方法调用也可归为字符串)和Manifest.xml中的字符串特征,支持正则表达式。漏洞的类型可以包括***漏洞、服务端漏洞和应用漏洞。例如,Android***签名漏洞、Intent scheme url漏洞、文件(File)任意读写漏洞、轻量级的存储类(SharedPreferences)任意读写漏洞、压缩(zip)文件目录遍历漏洞和WebView远程代码执行漏洞等等。
可选地,还可以对APP进行交互与通信安全检测。具体可以包括SSL通信检测、网络数据传输检测、业务接口恶意调用检测、业务数据篡改检测和业务授权安全检测。
其中,SSL通信检测可以是检测APP通信是否使用SSL/TLS或IPSec,其他等安全协议加密,确保通信的安全性和完整性。网络数据传输检测可以是检测客户端和服务器通信过程,传输的数据是否加密、加密算法难易程度以及是否存在敏感信息泄露,确保通信的安全性和完整性。业务接口恶意调用检测可以是检测APP对敏感的业务接口,是否预先有身份认证机制。查看此类可能被恶意大规模调用的业务接口,如用户登录模块、密码找回和密码重置等等。对于具有查询展示办理功能的业务接口,如果不需要身份认证是否有强制验证码机制防止机器人程序等自动化大规模的恶意调用。业务数据篡改检测可以是检测APP针对于业务过程中用户端传递至服务器端的字段是否可以进行篡改,是否存在数据包校验。业务授权安全检测可以是检测APP是否存在非授权情况下访问一些授权用户才能访问的页面,或进行授权用户的操作。
可选地,通过爬虫对应用商店的APP按照类别进行爬取,对爬取的APP提取应用的申请权限和使用权限,按照类别对申请权限和使用权限进行统计分析,根据统计分析结果确定各类别应用的推荐权限,通过人工对统计比例少的推荐权限进行进一步分析确认,根据进一步的统计分析结果确定各类别应用的推荐权限。
示例性地,Android***的权限的安全级别可以分为:正常、危险、极危险和***微信四种。因此在对APP权限滥用检测的同时,可以结合应用不同类别的推荐权限,组合自动化分类功能,通过对APP所申请的权限,根据不同的安全级别及安全行为进行聚类来对APP进行恶意性评估、权限滥用评估。
实施例三
图10是本发明实施例三提供的一种APP全景态势与情报挖掘平台的服务架构图,本实施例在上述实施例的基础上进行优化,如图10所示,该平台的服务架构包括数据源接入层、元数据筛选层、安全与威胁检测归类层、APP全景态势与情报溯源挖掘层和解决方案层。
其中,第一层是数据源接入层,通过大范围、深层次的数据收集,构建APP全景态势与情报挖掘平台的数据基础。一是通过应用商城数据接入,采集APP应用信息和开发者等基本信息。二是实时数据接入,通过流量还原APP的来源,并实现数据云端平台集成。三是运营商话单数据或流量数据接入和自动爬取APP等。第二层是元数据筛选层,主要是将APP格式解析、验证进行前置处理,对输入应用信息、URL等数据进行基础验证筛选。第三层是安全与威胁检测归类,通过本发明实施例提供的动态检测引擎、恶意程序检测引擎、组合式特征启发式检测引擎、文本检测引擎、图像检测引擎以及其他检测引擎等,对APP进行恶意程序检测、安全风险检测、漏洞检测、仿冒应用检测、情报钻取和内容检测等。第四层是数据挖掘与关联分析,基于积累的APP威胁情报数据,提供秒级大数据检索,根据检索规则的关联分析等,形成满足不同行业、不同场景可视化态势、关联分析、情报溯源挖掘能力等。
该***还提供了解决方案层,可以实现APP安全风险评估、APP恶意软件检测、AAP违法违规检测、APP信息安全检测、仿冒诈骗应用检测、APP城市画像、案件情报扩线、高级木马检测、关联分析、历史溯源和黑产情报等。
基于以上核心架构,形成APP全景态势与情报挖掘平台的最终价值。为APP整个体系提供了全套的解决方案,同时可以使开发者基于平台数据、微服务、SaaS云服务功能实现应用创新。
APP全景态势与情报溯源挖掘平台具有六大特征:私有化部署、SaaS云化服务、威胁元数据积累、线索扩展、深度关联分析、沙箱养殖。
图11是本发明实施例三提供的一种关联分析方法的流程图。如图11所示,本实施例通过对商店开发者、应用签名、MD5、URL、IP地址、邮箱和手机号码等强关联线索的管理分析,能够对样本家族进行更加细化、精准化的聚类分析,并且能够将具有同源性的APP进行可视化呈现。还能够支持样本时间轨迹展现,可以清楚的了同源样本的历史轨迹,或者黑产的发展历程。还能够支持外联地址归属地、应用名称和开发者等各类基础数据统计。
图12是本发明实施例三提供的一致全网实时监控流程图。如图12所示,APP全景态势与情报挖掘平台可以对全网APP进行实时监控,用户可以根据自己关注的样本全维度1500多特征进行全网的实时监控,包括文件MD5、文件SHA1、应用名称、包名、证书开发者、通联URL、通联IP、邮箱、手机号码、恶意程序名称、恶意程序家族、SDK名称、回传数据、证书拥有者、证书MD5、证书SHA1、证书序列号、内嵌文件名、类名、Activity、Receiver、Provider、Service、权限名称、漏洞名称、字符串、获取发送短信(静态代码或动态行为)、获取地理位置(静态代码或动态行为)、获取通讯录(静态代码或动态行为)、获取短信(静态代码或动态行为)、获取通话记录(静态代码或动态行为)、获取手机号码(静态代码或动态行为)、获取IMEI(静态代码或动态行为)、获取IMSI(静态代码或动态行为)、获取方法名(静态代码或动态行为)、版本号、静态通联URL、静态通联IP、恶意属性、安全等级(恶意程序)、通联省份、通联属性(境内、境外)、SDK类型、回传方式(HTTPS、HTTP或SMPT)、时间范围或恶意程序描述。
图13是本发明实施例三提供的一种APP全景态势与情报挖掘平台中各***的程序逻辑流程图。图14是本发明实施例三提供的另一种APP全景态势与情报挖掘平台针对不同数据来源的程序逻辑流程图。图15是本发明实施例三提供的一种APP全景态势与情报挖掘平台中数据流转的程序逻辑流程图。图16是本发明实施例三提供的一种APP全景态势与情报挖掘平台中检测结果调度的程序逻辑流程图。如图13-14所示,任务状态可以包括半完成或全完成。其中,下发的检测任务包含动、静态引擎,当所有的静态引擎返回扫描结果(例如,静态API、静态病毒、静态敏感词或静态元数据)且动态检测为完成时,称为半完成。所有引擎扫描结果都返回检测结果时称为全完成(例如,静态API、静态病毒、静态敏感词、静态元数据或动态引擎)。当下发的检测任务处于半完成或全完成状态时,会将检测结果推送到ES中,存储在ES中的检测结果称为报告。
本实施例提供的APP全景态势与情报挖掘平台能够通过对各个渠道定期收集更新,保证平台APP信息持续性更新,并实时对APP进行检测,保证威胁情报数据的及时更新和积累。
实施例四
图17是本发明实施例四提供的一种APP的检测装置的结构示意图。该装置可由软件和/或硬件实现,一般可集成在APP的检测设备中,可以通过执行APP的检测方法实现提高APP安全检测的效率和准确度。如图17所示,该装置包括:
行为获取模块310,用于获取沙箱内的检测固件上报的所述沙箱内运行的APP的运行行为;其中,所述沙箱的***架构中的至少一层包括所述检测固件,所述检测固件用于实时监控所述运行行为;
第一检测结果发送模块320,用于检测所述运行行为,得到所述运行行为对应的第一检测结果,发送所述第一检测结果给态势分析***;
应用分析模块330,用于通过所述态势分析***对所述APP进行动态分析。
可选地,所述检测固件包括隐私行为检测固件、网络行为检测固件、文件操作检测固件、短信操作检测固件、命令行检测固件、音视频录制和摄像头检测固件和用户数据读取检测固件中的至少一种;
其中,所述隐私行为检测固件用于实时监控所述APP获取到的用户隐私信息;
所述网络行为检测固件用于实时监控所述APP访问的目的网际互联协议地址和目的端口;
所述文件操作检测固件用于实时监控所述APP的文件操作;
所述短信操作检测固件用于实时监控所述APP的发送短信行为、发送彩信行为以及短信被拦截行为;
所述命令行检测固件用于实时监控所述APP的与所述命令行对应的工具的调用行为;
所述音视频录制和摄像头检测固件用于实时监控所述APP是否存在打开摄像头和录制音视频的行为;
所述用户数据读取检测固件用于实时监控所述APP对用户数据的动态读取状态,以检测所述用户数据是否被窃取。
可选地,对于所述检测固件是用户数据读取检测固件的情况,所述第一检测结果发送模块320,具体用于:
基于修改后的开源项目***从输入输出函数中获取网络数据包;其中,所述修改后的开源项目***用于在所述网络数据包经过隧道加密之前截获所述网络数据包;
识别所述网络数据包的类型,根据所述类型识别所述网络数据包的报文数据;
检测所述报文数据中是否存在敏感数据;
将检测结果作为所述运行行为对应的第一检测结果,发送所述第一检测结果给态势分析***。
可选地,所述装置还包括:
加固字段检测模块,用于在通过所述态势分析***对所述APP进行动态分析之前,检测所述APP的APP包中是否存在加固字段;其中,所述加固字段用于标识所述APP被加固处理过;
应用脱壳模块,用于若是,对所述APP包进行脱壳操作,生成脱壳后的APP包,返回执行检测所述APP的APP包中是否存在加固字段的步骤,记录所述步骤的执行次数;
第二检测结果发送模块,用于对于所述执行次数满足预设条件时生成的目标APP包,当接收到所述目标APP包的解析指令时,解析所述目标APP包的可执行二进制dex文件,以根据解析结果对所述dex文件进行检测,得到第二检测结果,发送所述第二检测结果给态势分析***。
可选地,所述装置还包括:
特征提取模块,用于在通过所述态势分析***对所述APP进行动态分析之前,提取所述APP的静态特征和/或动态特征,根据所述静态特征和/或动态特征构建待检测特征向量;其中,所述静态特征基于所述APP的APP包提取得到,所述动态特征基于所述第一检测结果提取得到;
第三检测结果发送模块,用于输入所述待检测特征向量至恶意程序检测模型,通过所述恶意程序检测模型判断所述APP是否为恶意程序,将判断结果作为第三检测结果,发送所述第三检测结果给态势分析***;
其中,所述恶意程序检测模型基于静态特征样本、动态特征样本和恶意特征样本通过二分类算法、神经网络算法、聚类算法和异常检测算法训练得到。
可选地,所述装置还包括:
格式筛选模块,用于在通过所述态势分析***对所述APP进行动态分析之前,对所述APP包的可执行文件进行格式筛选,得到满足预设文件格式条件的待检测可执行文件;
文件分析模块,用于对所述待检测可执行文件进行静态逆向分析,得到接口静态参数信息和接口调用序列;
参数识别模块,用于根据预设的恶意字符串规则对所述接口静态参数信息进行敏感参数识别,得到第一识别结果;
模式识别模块,用于识别所述接口静态参数信息中的细粒度行为参数,根据预设的正常细粒度行为模式规则和预设的恶意行为模式规则分别对所述细粒度行为参数和接口调用序列进行行为模式识别,得到第二识别结果;
第四检测结果发送模块,用于将所述第一识别结果和第二识别结果作为第四检测结果,发送所述第四检测结果给态势分析***。
可选地,所述装置还包括:
第五检测结果发送模块,用于在通过所述态势分析***对所述APP进行动态分析之前,提取所述APP的运行过程中未显示文本的文本信息,提取所述APP的运行截图中的文本信息,通过快速正则匹配、关键词过滤和异常行为识别中的至少一种方式对所述文本信息进行文本检测,以检测所述文本信息中是否存在敏感词,将文本检测结果作为第五检测结果,发送所述第五检测结果给态势分析***;
第六检测结果发送模块,用于通过深度学习的卷积神经网络算法模型对所述APP的运行截图进行图像内容检测,以检测所述运行截图中是否存在违规内容,将图像内容检测结果作为第六检测结果,发送所述第六检测结果给态势分析***。
可选地,所述应用分析模块330,具体用于以下至少一个:
根据第一检测结果以及各所述APP的地市信息,通过所述态势分析***对各地市的APP进行地市安全态势分析;
根据第一检测结果以及各所述APP的开发信息,通过所述态势分析***对所有在各沙箱内运行的APP进行开发态势分析;
对于第一检测结果中的风险检测结果,通过所述态势分析***确定所述风险检测结果对应的风险APP,对所述风险APP进行风险态势分析。
本发明实施例所提供的APP的检测装置可执行本发明任意实施例所提供的APP的检测方法,具备执行方法相应的功能模块和有益效果。
实施例五
图18是本发明实施例五提供的一种APP的检测设备的结构示意图,如图18所示,该APP的检测设备包括处理器400、存储器410、输入装置420和输出装置430;APP的检测设备中处理器400的数量可以是一个或多个,图18中以一个处理器400为例;APP的检测设备中的处理器400、存储器410、输入装置420和输出装置430可以通过总线或其他方式连接,图18中以通过总线连接为例。
存储器410作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的APP的检测方法对应的程序指令和/或模块(例如,APP的检测装置中的行为获取模块310、第一检测结果发送模块320和应用分析模块330)。处理器400通过运行存储在存储器410中的软件程序、指令以及模块,从而执行APP的检测设备的各种功能应用以及数据处理,即实现上述的APP的检测方法。
存储器410可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的APP;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器410可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器410可进一步包括相对于处理器400远程设置的存储器,这些远程存储器可以通过网络连接至APP的检测设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置420可用于接收输入的数字或字符信息,以及产生与APP的检测设备的用户设置以及功能控制有关的键信号输入。输出装置430可包括显示屏等显示设备。
实施例六
本发明实施例六还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种APP的检测方法,该方法包括:
获取沙箱内的检测固件上报的所述沙箱内运行的APP的运行行为;其中,所述沙箱的***架构中的至少一层包括所述检测固件,所述检测固件用于实时监控所述运行行为;
检测所述运行行为,得到所述运行行为对应的第一检测结果,发送所述第一检测结果给态势分析***;
通过所述态势分析***对所述APP进行动态分析。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的APP的检测方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述APP的检测装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (11)
1.一种APP的检测方法,其特征在于,包括:
获取沙箱内的检测固件上报的所述沙箱内运行的应用程序APP的运行行为;其中,所述沙箱的***架构中的至少一层包括所述检测固件,所述检测固件用于实时监控所述运行行为;
检测所述运行行为,得到所述运行行为对应的第一检测结果,发送所述第一检测结果给态势分析***;
通过所述态势分析***对所述APP进行动态分析。
2.根据权利要求1所述的方法,其特征在于,所述检测固件包括隐私行为检测固件、网络行为检测固件、文件操作检测固件、短信操作检测固件、命令行检测固件、音视频录制和摄像头检测固件和用户数据读取检测固件中的至少一种;
其中,所述隐私行为检测固件用于实时监控所述APP获取到的用户隐私信息;
所述网络行为检测固件用于实时监控所述APP访问的目的网际互联协议地址和目的端口;
所述文件操作检测固件用于实时监控所述APP的文件操作;
所述短信操作检测固件用于实时监控所述APP的发送短信行为、发送彩信行为以及短信被拦截行为;
所述命令行检测固件用于实时监控所述APP的与所述命令行对应的工具的调用行为;
所述音视频录制和摄像头检测固件用于实时监控所述APP是否存在打开摄像头和录制音视频的行为;
所述用户数据读取检测固件用于实时监控所述APP对用户数据的动态读取状态,以检测所述用户数据是否被窃取。
3.根据权利要求2所述的方法,其特征在于,对于所述检测固件是用户数据读取检测固件的情况,检测所述运行行为,得到第一检测结果,发送所述第一检测结果给态势分析***固件,包括:
基于修改后的开源项目***从输入输出函数中获取网络数据包;其中,所述修改后的开源项目***用于在所述网络数据包经过隧道加密之前截获所述网络数据包;
识别所述网络数据包的类型,根据所述类型识别所述网络数据包的报文数据;
检测所述报文数据中是否存在敏感数据;
将检测结果作为所述运行行为对应的第一检测结果,发送所述第一检测结果给态势分析***。
4.根据权利要求1所述的方法,其特征在于,在通过所述态势分析***对所述APP进行动态分析之前,还包括:
检测所述APP的APP包中是否存在加固字段;其中,所述加固字段用于标识所述APP被加固处理过;
若是,对所述APP包进行脱壳操作,生成脱壳后的APP包,返回执行检测所述APP的APP包中是否存在加固字段的步骤,记录所述步骤的执行次数;
对于所述执行次数满足预设条件时生成的目标APP包,当接收到所述目标APP包的解析指令时,解析所述目标APP包的可执行二进制dex文件,以根据解析结果对所述dex文件进行检测,得到第二检测结果,发送所述第二检测结果给态势分析***。
5.根据权利要求1所述的方法,其特征在于,在通过所述态势分析***对所述APP进行动态分析之前,还包括:
提取所述APP的静态特征和/或动态特征,根据所述静态特征和/或动态特征构建待检测特征向量;其中,所述静态特征基于所述APP的APP包提取得到,所述动态特征基于所述第一检测结果提取得到;
输入所述待检测特征向量至恶意程序检测模型,通过所述恶意程序检测模型判断所述APP是否为恶意程序,将判断结果作为第三检测结果,发送所述第三检测结果给态势分析***;
其中,所述恶意程序检测模型基于静态特征样本、动态特征样本和恶意特征样本通过二分类算法、神经网络算法、聚类算法和异常检测算法训练得到。
6.根据权利要求1所述的方法,其特征在于,在通过所述态势分析***对所述APP进行动态分析之前,还包括:
对所述APP包的可执行文件进行格式筛选,得到满足预设文件格式条件的待检测可执行文件;
对所述待检测可执行文件进行静态逆向分析,得到接口静态参数信息和接口调用序列;
根据预设的恶意字符串规则对所述接口静态参数信息进行敏感参数识别,得到第一识别结果;
识别所述接口静态参数信息中的细粒度行为参数,根据预设的正常细粒度行为模式规则和预设的恶意行为模式规则分别对所述细粒度行为参数和接口调用序列进行行为模式识别,得到第二识别结果;
将所述第一识别结果和第二识别结果作为第四检测结果,发送所述第四检测结果给态势分析***。
7.根据权利要求1所述的方法,其特征在于,在通过所述态势分析***对所述APP进行动态分析之前,还包括:
提取所述APP的运行过程中未显示文本的文本信息,提取所述APP的运行截图中的文本信息,通过快速正则匹配、关键词过滤和异常行为识别中的至少一种方式对所述文本信息进行文本检测,以检测所述文本信息中是否存在敏感词,将文本检测结果作为第五检测结果,发送所述第五检测结果给态势分析***;
通过深度学习的卷积神经网络算法模型对所述APP的运行截图进行图像内容检测,以检测所述运行截图中是否存在违规内容,将图像内容检测结果作为第六检测结果,发送所述第六检测结果给态势分析***。
8.根据权利要求1所述的方法,其特征在于,所述通过所述态势分析***对所述APP进行动态分析,包括以下至少一个:
根据第一检测结果以及各所述APP的地市信息,通过所述态势分析***对各地市的APP进行地市安全态势分析;
根据第一检测结果以及各所述APP的开发信息,通过所述态势分析***对所有在各沙箱内运行的APP进行开发态势分析;
对于第一检测结果中的风险检测结果,通过所述态势分析***确定所述风险检测结果对应的风险APP,对所述风险APP进行风险态势分析。
9.一种APP的检测装置,其特征在于,包括:
行为获取模块,用于获取沙箱内的检测固件上报的所述沙箱内运行的APP的运行行为;其中,所述沙箱的***架构中的至少一层包括所述检测固件,所述检测固件用于实时监控所述运行行为;
第一检测结果发送模块,用于检测所述运行行为,得到所述运行行为对应的第一检测结果,发送所述第一检测结果给态势分析***;
应用分析模块,用于通过所述态势分析***对所述APP进行动态分析。
10.一种APP的检测设备,其特征在于,所述APP的检测设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-8中任一所述的APP的检测方法。
11.一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-8中任一所述的APP的检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011550192.5A CN112685737A (zh) | 2020-12-24 | 2020-12-24 | 一种app的检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011550192.5A CN112685737A (zh) | 2020-12-24 | 2020-12-24 | 一种app的检测方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112685737A true CN112685737A (zh) | 2021-04-20 |
Family
ID=75452260
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011550192.5A Pending CN112685737A (zh) | 2020-12-24 | 2020-12-24 | 一种app的检测方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112685737A (zh) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113177205A (zh) * | 2021-04-27 | 2021-07-27 | 国家计算机网络与信息安全管理中心 | 一种恶意应用检测***及方法 |
CN113206850A (zh) * | 2021-04-30 | 2021-08-03 | 北京恒安嘉新安全技术有限公司 | 恶意样本的报文信息获取方法、装置、设备及存储介质 |
CN113254932A (zh) * | 2021-06-16 | 2021-08-13 | 百度在线网络技术(北京)有限公司 | 应用程序的风险检测方法、装置、电子设备和介质 |
CN113505374A (zh) * | 2021-07-12 | 2021-10-15 | 恒安嘉新(北京)科技股份公司 | 一种信息采集范围检测方法、装置、电子设备和介质 |
CN113672907A (zh) * | 2021-07-29 | 2021-11-19 | 济南浪潮数据技术有限公司 | 基于JVM沙箱与黑白名单的Java安全防范方法、装置及介质 |
CN113987485A (zh) * | 2021-09-28 | 2022-01-28 | 奇安信科技集团股份有限公司 | 应用程序样本检测方法及装置 |
CN113987496A (zh) * | 2021-11-04 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 恶意攻击检测的方法、装置、电子设备及可读存储介质 |
CN114285627A (zh) * | 2021-12-21 | 2022-04-05 | 安天科技集团股份有限公司 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
CN114297700A (zh) * | 2021-11-11 | 2022-04-08 | 北京邮电大学 | 动静态结合的移动应用隐私协议提取方法及相关设备 |
CN114510717A (zh) * | 2022-01-25 | 2022-05-17 | 上海斗象信息科技有限公司 | 一种elf文件的检测方法、装置、存储介质 |
CN114666143A (zh) * | 2022-03-29 | 2022-06-24 | 杭州安恒信息安全技术有限公司 | 应用程序溯源调证方法、装置、设备及介质 |
CN114884717A (zh) * | 2022-04-28 | 2022-08-09 | 浙江大学 | 一种面向物联网设备的用户数据深层取证分析方法及*** |
CN115659337A (zh) * | 2022-10-24 | 2023-01-31 | 国网山东省电力公司 | 一种计算机网络防御方法以及*** |
CN116107912A (zh) * | 2023-04-07 | 2023-05-12 | 石家庄学院 | 一种基于应用软件的安全检测方法及*** |
CN117079211A (zh) * | 2023-08-16 | 2023-11-17 | 广州腾方科技有限公司 | 一种网络机房的安全监控***及其方法 |
CN117521087A (zh) * | 2024-01-04 | 2024-02-06 | 江苏通付盾科技有限公司 | 一种设备风险行为检测方法、***及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102034050A (zh) * | 2011-01-25 | 2011-04-27 | 四川大学 | 基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法 |
CN106341282A (zh) * | 2016-11-10 | 2017-01-18 | 广东电网有限责任公司电力科学研究院 | 一种恶意代码行为分析装置 |
CN107688743A (zh) * | 2017-08-14 | 2018-02-13 | 北京奇虎科技有限公司 | 一种恶意程序的检测分析方法及*** |
CN108133139A (zh) * | 2017-11-28 | 2018-06-08 | 西安交通大学 | 一种基于多运行环境行为比对的安卓恶意应用检测*** |
-
2020
- 2020-12-24 CN CN202011550192.5A patent/CN112685737A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102034050A (zh) * | 2011-01-25 | 2011-04-27 | 四川大学 | 基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法 |
CN106341282A (zh) * | 2016-11-10 | 2017-01-18 | 广东电网有限责任公司电力科学研究院 | 一种恶意代码行为分析装置 |
CN107688743A (zh) * | 2017-08-14 | 2018-02-13 | 北京奇虎科技有限公司 | 一种恶意程序的检测分析方法及*** |
CN108133139A (zh) * | 2017-11-28 | 2018-06-08 | 西安交通大学 | 一种基于多运行环境行为比对的安卓恶意应用检测*** |
Cited By (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113177205A (zh) * | 2021-04-27 | 2021-07-27 | 国家计算机网络与信息安全管理中心 | 一种恶意应用检测***及方法 |
CN113177205B (zh) * | 2021-04-27 | 2023-09-15 | 国家计算机网络与信息安全管理中心 | 一种恶意应用检测***及方法 |
CN113206850B (zh) * | 2021-04-30 | 2022-09-16 | 北京恒安嘉新安全技术有限公司 | 恶意样本的报文信息获取方法、装置、设备及存储介质 |
CN113206850A (zh) * | 2021-04-30 | 2021-08-03 | 北京恒安嘉新安全技术有限公司 | 恶意样本的报文信息获取方法、装置、设备及存储介质 |
CN113254932B (zh) * | 2021-06-16 | 2024-02-27 | 百度在线网络技术(北京)有限公司 | 应用程序的风险检测方法、装置、电子设备和介质 |
CN113254932A (zh) * | 2021-06-16 | 2021-08-13 | 百度在线网络技术(北京)有限公司 | 应用程序的风险检测方法、装置、电子设备和介质 |
CN113505374A (zh) * | 2021-07-12 | 2021-10-15 | 恒安嘉新(北京)科技股份公司 | 一种信息采集范围检测方法、装置、电子设备和介质 |
CN113672907B (zh) * | 2021-07-29 | 2023-12-22 | 济南浪潮数据技术有限公司 | 基于JVM沙箱与黑白名单的Java安全防范方法、装置及介质 |
CN113672907A (zh) * | 2021-07-29 | 2021-11-19 | 济南浪潮数据技术有限公司 | 基于JVM沙箱与黑白名单的Java安全防范方法、装置及介质 |
CN113987485A (zh) * | 2021-09-28 | 2022-01-28 | 奇安信科技集团股份有限公司 | 应用程序样本检测方法及装置 |
CN113987496A (zh) * | 2021-11-04 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 恶意攻击检测的方法、装置、电子设备及可读存储介质 |
CN114297700B (zh) * | 2021-11-11 | 2022-09-23 | 北京邮电大学 | 动静态结合的移动应用隐私协议提取方法及相关设备 |
CN114297700A (zh) * | 2021-11-11 | 2022-04-08 | 北京邮电大学 | 动静态结合的移动应用隐私协议提取方法及相关设备 |
CN114285627B (zh) * | 2021-12-21 | 2023-12-22 | 安天科技集团股份有限公司 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
CN114285627A (zh) * | 2021-12-21 | 2022-04-05 | 安天科技集团股份有限公司 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
CN114510717A (zh) * | 2022-01-25 | 2022-05-17 | 上海斗象信息科技有限公司 | 一种elf文件的检测方法、装置、存储介质 |
CN114666143A (zh) * | 2022-03-29 | 2022-06-24 | 杭州安恒信息安全技术有限公司 | 应用程序溯源调证方法、装置、设备及介质 |
CN114666143B (zh) * | 2022-03-29 | 2024-04-09 | 杭州安恒信息安全技术有限公司 | 应用程序溯源调证方法、装置、设备及介质 |
CN114884717B (zh) * | 2022-04-28 | 2023-08-25 | 浙江大学 | 一种面向物联网设备的用户数据深层取证分析方法及*** |
CN114884717A (zh) * | 2022-04-28 | 2022-08-09 | 浙江大学 | 一种面向物联网设备的用户数据深层取证分析方法及*** |
CN115659337B (zh) * | 2022-10-24 | 2023-04-11 | 国网山东省电力公司 | 一种计算机网络防御方法以及*** |
CN115659337A (zh) * | 2022-10-24 | 2023-01-31 | 国网山东省电力公司 | 一种计算机网络防御方法以及*** |
CN116107912A (zh) * | 2023-04-07 | 2023-05-12 | 石家庄学院 | 一种基于应用软件的安全检测方法及*** |
CN117079211A (zh) * | 2023-08-16 | 2023-11-17 | 广州腾方科技有限公司 | 一种网络机房的安全监控***及其方法 |
CN117079211B (zh) * | 2023-08-16 | 2024-06-04 | 广州腾方科技有限公司 | 一种网络机房的安全监控***及其方法 |
CN117521087A (zh) * | 2024-01-04 | 2024-02-06 | 江苏通付盾科技有限公司 | 一种设备风险行为检测方法、***及存储介质 |
CN117521087B (zh) * | 2024-01-04 | 2024-03-15 | 江苏通付盾科技有限公司 | 一种设备风险行为检测方法、***及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
US10762206B2 (en) | Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security | |
Spreitzenbarth et al. | Mobile-Sandbox: combining static and dynamic analysis with machine-learning techniques | |
CN111931166B (zh) | 基于代码注入和行为分析的应用程序防攻击方法和*** | |
Spreitzenbarth et al. | Mobile-sandbox: having a deeper look into android applications | |
Tien et al. | KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches | |
CN105956474B (zh) | Android平台软件异常行为检测*** | |
US20180357446A1 (en) | Privacy detection of a mobile application program | |
US10547626B1 (en) | Detecting repackaged applications based on file format fingerprints | |
CN104484599A (zh) | 一种基于应用程序的行为处理方法和装置 | |
CN107092830A (zh) | 基于流量分析的ios恶意软件预警和检测***及其方法 | |
US11777961B2 (en) | Asset remediation trend map generation and utilization for threat mitigation | |
CN113177205B (zh) | 一种恶意应用检测***及方法 | |
US11762991B2 (en) | Attack kill chain generation and utilization for threat analysis | |
CN116340943A (zh) | 应用程序保护方法、装置、设备、存储介质和程序产品 | |
Chen et al. | Detection, traceability, and propagation of mobile malware threats | |
KR20160090566A (ko) | 유효마켓 데이터를 이용한 apk 악성코드 검사 장치 및 방법 | |
CN116932381A (zh) | 小程序安全风险自动化评估方法及相关设备 | |
CN116415300A (zh) | 基于eBPF的文件保护方法、装置、设备和介质 | |
Spreitzenbarth | Dissecting the Droid: Forensic analysis of android and its malicious applications | |
Cheng et al. | Static detection of dangerous behaviors in android apps | |
Alashjaee | An Integrated Framework for Android Based Mobile Device Malware Forensics | |
Ning | Analysis of the Latest Trojans on Android Operating System | |
Changsan et al. | Log4shell Investigate Based On Generic Computer Forensic Investigation Model | |
Mao et al. | A function-level behavior model for anomalous behavior detection in hybrid mobile applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |