基于智能手机无线电接口层的恶意行为检测方法及系统

摘要

本发明涉及一种基于智能手机无线电接口层的恶意行为检测方法及系统，当操作系统与底层无线电硬件进行数据交换通讯时，监控其数据指令并对指令进行解码分析，精确地从底层获知操作系统应用层是否正在进行拨号、语音通讯、数据通信、短信通信等与无线电硬件数据通讯的相关信息，弥补智能手机操作系统架构无法从底层全局获知当前手机数据通信状态的系统缺陷，并将获取到的相关应用程序与底层无线电硬件通讯状态数据信息与智能手机操作系统用户层的相关应用程序进行智能行为匹配，区分出哪些应用程序是合法的数据通讯行为，哪些应用程序是非法数据通信行为，从而针对各种恶意软件行为能够提供及时有力的保护，提高智能手机用户的安全性。

说明书

技术领域

本发明属于移动通信技术领域，具体地说，涉及到一种基于智能手机无线电接口层的恶意行为检测方法及系统，能够对智能手机应用程序恶意通讯行为进行有效的防护。

背景技术

随着手机操作系统技术的不断发展越来越多的手机厂商在自己新推出的产品中选择使用主流的智能手机操作系统，智能手机操作系统在软件的安装及应用方面与传统手机有很大的区别。传统的手机只有预制的几种单一软件功能，不能满足用户的各种需求，而在主流的智能手机操作系统中可以方便的使用一种“软件市场”的概念，通过互联网，直接使用手机从上万种应用中挑选自己需要的应用程序并安装至手机中。但是在当人们享受智能手机众多应用所带来的各种便利时，却隐然不知在众多软件中隐藏着诸多恶意功能，如：某画图应用软件其中暗藏着偷发短信功能，即在正常使用软件的时候偷偷地将某些信息发送至扣费号码中，导致用户产生高额的话费。或者，有的间谍软件将用户的个人隐私如联系人信息、短信息内容、通话记录等等传送至特定服务器上，导致用户的所有信息被泄露。虽然智能手机操作系统厂商在这些应用软件进入软件市场时有相关的审核，但是往往总有漏网之鱼通过各种方式避开软件厂商的审查。而智能手机操作系统在对于恶意通讯行为检测时受制于整体系统框架结构，导致无法提供关于通讯行为的检测函数或方法。

如以Google开发的Android举例：

Android操作系统所有的应用程序都独立运行在DalvikVM虚拟机中，其虚拟机的特点是针对每一个应用程序都提供虚拟的运行环境，所有的通讯操作都直接通过虚拟机与硬件直接交互，而通常开发人员能够通过Application Framework(应用程序框架)开发出的应用程序也是运行于DalvikVM虚拟机中，DalvikVM虚拟机的特性只能获取与自己程序有关的数据通讯操作，并不能获取操作系统中其它正在运行应用程序的通讯数据操作，由于DalvikVM虚拟机的这种特性导致很多知名的安全产品开发商都未能成功的开发出一款能够监控手机通讯行为的应用软件，包括Google自己也未开发出相应的产品。

发明内容

针对智能手机操作系统对于通讯监控存在的上述缺点和不足，本发明的目的在于提供一种基于无线电接口层进行通讯行为检测的方法，从而能够快速的对软件恶意行为做出准确判断，达到保护智能手机用户的目的。

具体地说，一种基于智能手机无线电接口层的恶意行为检测方法，包括如下步骤：

A.智能手机操作系统用户应用层监控模块通过实时监控，收集用户以交互式应用方式进行的相关通讯操作的信息，并将相关通讯操作的信息提交至中央处理单元；

B.无线电接口层监控模块实时监控智能手机操作系统与无线电硬件设备之间的数据通讯接口层，当智能手机操作系统与无线电硬件设备通讯时，无线电接口层监控模块捕获操作系统与无线电接口层之间的原始数据编码；当无线电接口层监控模块捕获到原始数据编码时，进入步骤C，否则，将继续循环，等待通讯时捕获到原始数据编码；

C.根据不同的数据指令类型，数据解码模块将无线电接口层监控模块捕获的原始数据编码进行数据解码，将解码后的原始数据编码提交至中央处理单元；当中央处理单元完成其中的内部核心模块数据流处理操作流程后，将相关数据信息及各个模块结果数据提交至数据统计模块，数据统计模块将相关数据信息及各个模块结果数据保存在数据库中。其中，相关数据信息是指的来至监控模块的数据信息以及其它输入数据。模块结果数据是指的各个模块的计算输出数据。

智能手机操作系统的电话应用层只是单一的指通话范围，用户应用层包括短信、电话、数据通信等。

进一步地，所述步骤C还包括如下步骤：

C1.中央处理单元将数据解码模块解码后的原始数据编码与用户应用层监控模块收集的相关操作信息提交至智能分析模块；

C2.智能分析模块将来自无线电底层的通讯行为特征与操作系统层之间的同类型通讯行为特征进行比对，若操作系统层的通讯行为特征与无线电底层的通讯特征行为相匹配，则进入步骤C3，若通讯行为特征不匹配或通讯行为特征符合相关设定规则限制，则将相关信息提交至用户提示模块，并进入步骤C4；

C3.将相关通讯信息提交至数据统计模块，数据统计模块将相关通讯信息保存在数据库中；

C4.用户提示模块将检查提示信息类型，根据不同信息类型在智能手机用户交互界面产生不同的提示方法：信息类型为通讯行为特征不匹配，则提示当前正在操作的用户有非正常数据通讯行为特征，并提示用户阻断通讯还是放行；如信息类型为本系统设定规则限制，则自动阻断该通讯并提示用户；

C5.通讯阻断模块将根据本监控系统用户的选择对当前正在进行的通讯行为特征进行阻断，中央处理单元将相关数据信息及各模块结果数据提交至数据统计模块，数据统计模块将相关数据信息保存在数据库中。

在步骤A中，所述相关通讯操作包括：拨打电话、发送短信、访问网络。

在步骤B中，所述从无线电接口层捕获原始数据编码包括以下至少一种：SIM PIN、IO、IMSI/IMEI、电话状态、网络状态查询、网络设置、短信、PDP连接、电源和复位、辅助服务、供应商定义及其支持主动请求指令、网络状态改变、新短信通知、新USSD通知、信号强度和时间改变被动请求指令。其中，SIM PIN是客户识别模块(SIM，Subscriber Identity Model)个人识别码(PIN，Personal Identification Number)，IO为输入输出，IMSI/IMEI为国际移动用户识别码(IMSI，International Mobile Subscriber Identity)/国际移动装备识别码(IMEI，International Mobile Equipment Identity)，PDP连接为分组数据协议连接(PDP，Packet Data Protocol)，新USSD通知为非结构化补充数据业务(USSD，Unstructured Supplementary Service Data)。

所述电话状态包括拨号或应答或静音。

所述网络设置为禁止、转发、选择中的至少一种。

在步骤C中，所述不同的数据指令类型包括：客户识别模块个人识别码、输入输出、国际移动用户识别码、国际移动装备识别码、电话状态和动作、网络状态查询、网络设置、短信、PDP连接分组数据协议、电源和复位、辅助服务、供应商定义及其支持等主动请求指令，以及网络状态改变、新短信通知、新USSD通知、信号强度和时间改变等被动请求指令。

在步骤C中，内部核心模块包括智能分析模块、用户提示模块、通讯阻断模块和数据统计模块。所述数据信息及各模块结果数据包括：解码后的无线电接口层的原始数据编码及相关数据统计结果。

在步骤C1中，所述解码后的原始数据编码指将编码后的指令还原为与主动及被动指令相同的原始指令。

在步骤C2中，所述通讯行为特征不匹配为用户层无通讯但接口层有通讯或接口层无通讯但应用层有通讯；设定限制规则包括以下至少一种：限制程序、限制次数、限制方式、限制时间、本系统默认限制或用户自定义限制。

在步骤C5中，所述各模块结果数据包括拦截结果记录及相关信息。

本发明的目的还在于提供一种基于智能手机无线电接口层的恶意行为检测系统，包括用户应用层监控模块、无线电接口层监控模块、数据解码模块、中央处理单元，所述用户应用层监控模块实时收集用户以交互式应用方式进行的相关通讯操作的信息，并将相关通讯操作的信息提交至中央处理单元；

所述无线电接口层监控模块通过监控智能手机操作系统与无线电硬件设备之间的数据通讯接口层，实时捕获智能手机操作系统与手机无线电硬件设备的相关指令信息及内容的原始数据编码，并将原始数据编码提交至数据解码模块；

所述数据解码模块将对无线电接口层监控模块获取的智能手机操作系统与手机无线电设备的相关指令信息及内容的原始数据编码进行编码还原及解码，还原操作系统应用层对应的操作指令及相关数据，数据解码模块将解码后的原始数据编码提交至中央处理单元。

所述中央处理单元包括：智能分析模块、用户提示模块、通讯阻断模块和数据统计模块，其中，所述智能分析模块，用于将来自所述数据解码模块的解码后的原始编码及用户应用层监控模块的数据进行智能比对分析，根据分析结果调用用户提示模块；

所述用户提示模块，与所述智能分析模块相连，用于根据不同提示信息智能手机的操作系统用户应用层生成不同的提示方式，并且根据用户选择或本系统相关限制规则，对当前检测到的通讯行为进行控制操作，当用户或本系统选择阻断当前通讯时，则会调用通讯阻断模块；

所述通讯阻断模块，与所述用户提示模块相连，用于根据用户或本系统的选择结果，对当前正在进行的数据通讯应用程序特定数据连接进行阻断操作，阻止正在进行的数据操作；

所述数据统计模块，与智能分析模块和所述中央处理单元中的其他各个模块相连，用于将中央处理单元中的其他各个模块中的信息及结果数据收集整理，并将所收集到的信息保存到数据库。

其中，中央处理单元中的其他各个模块中的信息及结果数据与前述的相关数据信息及各个模块结果数据是一致的。

不同提示信息或不同的提示方式包括提示已经阻止、提示操作、用户选择允许或阻止。

手机无线电硬件设备的相关指令信息及内容是指短信或电话或网络操作。

所述数据信息及结果数据包括拨打电话的总时间、发送短信的总次数、网络连接的流量、已阻止的连接数、用户定义限制规则。

本发明通过对智能手机操作系统的无线电接口层进行数据监控，当智能手机操作系统与底层无线电硬件(baseband基带)进行数据交换通讯时，监控其数据指令并对指令进行解码分析，精确地从底层(基带，baseband)获知图1中的电话应用层(Phone Application)是否正在进行拨号、语音通讯、数据通信、短信通信等与底层无线电硬件数据通讯相关详细信息，弥补智能手机操作系统架构无法从底层无线电硬件获知当前手机数据通信状态的系统缺陷，并将获取到的相关应用程序与底层无线电硬件通讯状态数据信息与智能手机操作系统用户层的相关应用程序进行智能行为匹配，区分出哪些应用程序是合法的数据通讯行为，哪些应用程序是非法数据通信行为，从而针对各种恶意软件行为能够提供及时有力的保护，提高智能手机用户的整体安全性。

附图说明

下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性、劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明基于无线电接口层的恶意行为检测系统流程图

图2是本发明基于无线电接口层的恶意行为检测系统结构图；

图3是本发明实基于无线电接口层的恶意行为检测方法流程图。

附图标记：

201.用户应用层监控模块 202.无线电接口层监控模块

203.数据解码模块       204.中央处理单元

2041.智能分析模块      2042.用户提示模块

2043.通讯阻断模块      2044.数据统计模块

具体实施方式

本发明提供一种基于智能手机无线电接口层通讯行为的检测方法及系统，从而能够快速的对恶意行为做出准确判断，达到保护智能手机用户的目的。检测方法的主要步骤包括同时监控用户应用层通讯及智能手机无线电接口层通讯，使用两种数据区分出正常用户通讯或非正常用户通讯，并提示用户选择阻断还是放行或按照系统规则处理当前正在进行的通讯连接，随后将处理结果保存至数据库。

图1为本发明基于无线电接口层的恶意行为检测系统流程图，详述如下：常规的智能手机操作系统中，电话应用层提供几种常用的应用程序数据通讯接口类型，这几种应用程序数据通讯接口类型通过电话应用层调用操作系统层，与电话应用层对应的数据通讯接口，将通讯请求从电话应用层传递至操作系统层。

在本发明实施例中，智能手机操作系统中的电话应用层负责统一处理用户应用程序与通讯有关的常规应用通讯，其中包括：拨打电话、发送短消息、通讯服务、数据传输，电话应用层将这类请求按照顺序提交至操作系统层与电话应用有关的无线电接口层(RIL，Radio Interface Layer)。无线电接口层将上层指令请求按照特定数据格式封装后提交至无线电守护进程(Radio Daemon)，守护进程将指令(即按照特定数据格式封装后的上层指令)发送至厂商无线电接口层(Vendor RIL)，当厂商无线电接口层获取到请求后将对应不同请求生成AT指令直接调用基带(BaseBand)。本发明则通过监控无线电接口层RIL与基带BaseBand之间的数据调用，直接从底层获取调用指令及参数，从而获知上层操作系统是否有数据通讯行为，当监控到底层产生通讯请求后，再与智能手机操作系统应用层(根据指令不同，有可能指操作系统层和用户应用层)通讯操作进行比对，即能区分出哪些通讯操作是人为产生的，哪些通讯操作是恶意软件产生的。如检测到当前连接是由恶意软件产生的，则提示用户是否需要切断连接，或由本监控系统动切断当前正在进行的恶意连接。

下面以Android智能手机操作系统的短信发送为例，详细说明本发明的检测系统是如何从底层检测获取通讯数据并进行行为判断。

如图1所示，当用户应用层需要发送短信的时候将调用操作系统层中的程序框架中的相关短信发送方法，程序框架中的短信方法负责调用操作系统层中的用户空间类库中的无线守护进程，操作系统层中的用户空间中的无线守护进程负责将上层(用户应用层或应用程序框架)调用参数传递给厂商无线电接口层RIL接口，厂商无线电接口层RIL接口负责与基带通讯。在操作系统层中的守护进程与厂商RIL进行数据传递时，监控数据方法与调用参数就可以获知操作系统层是否正在进行发送短信的操作，并且可以将捕获数据还原，可得知与短信相关的通信内容，如：短信内容、短信接收号码等信息。在Android操作系统中，系统自带的短信发送程序发送短信时是使用应用程序框架中的短信发送方法，第三方应用程序也是使用该发送方法。但不同的是操作系统自带的短信发送程序每次发送短信时会在操作系统自带的短信数据库中记录刚才已经发送的短信内容，包括号码信息等，但第三方的应用程序并不会将已发送的短信记录进入短信数据库。当监控系统层获取发送短信的相关信息后，将信息与系统短信记录数据库中的记录进行对比，如果短信记录数据库中存在该条短信记录，那么这次短信是由用户发送的，反之，此条短信是由程序发送的。通过以上方法，可以准确的对通信应用程序进行判断，区分出用户操作或应用程序操作，达到行为检测的目的。

图2为本发明基于无线电接口层的恶意行为检测系统结构图，为便于说明，仅示出与本发明实施例相关的部分，该检测系统可以集成在移动终端内，例如移动电话、个人数字助理PDA(Personal Digital Assistant)、平板电脑等，实现对恶意行为的检测。

用户应用层监控模块201，用于监控智能手机操作系统用户正常的通讯行为特征，其中通讯行为特征包括拨打电话，发送短信，接收短信，数据传送等。如当用户通过操作系统自带的短信发送程序进行短信发送时会产生发件的特定事件，当监控到产生该事件后可以读取到与短信相关内容，包括：短信内容，接收者等信息。用户应用层监控模块201将及时的把监控到的用户通讯内容传递至中央处理单元204。

无线电接口层监控模块202，用于在智能手机操作系统无线电接口层监控操作系统与通讯设备之间的有关无线电通讯的原始数据通讯，例如，当应用程序在发送短信内容abc到电话号码10086时，会通过无线电接口层RIL调用与底层的无线电硬件设备进行的通讯，由于历史原因，大多数底层通讯设备都采用AT指令集进行通讯。指令为：

AT＞AT+CMGS＝13

AT＞00010005810180f600000341f118

AT＜+CMGS：0

当无线电接口层监控模块202捕获到指令请求后会将指令请求发送至数据解码模块203。

数据解码模块203根据接收到的不同数据指令集对接收到的数据进行编码解码，将编码通过对应算法还原成为通信内容。如当接收到指令为AT+CMGS＝13时，可以判断当前接收到的指令为发送ASCII格式的短信息，并将附带的00010005810180f600000341f118数据使用协议数据单元PDU(Protocol Data Unit)编码进行解码。通过协议数据单元PDU数据算法解码后数据还为发送内容abc，接收者电话号码10086，将解码后的相关信息发送至中央处理单元204。

如图2所示，在本发明实施例中，中央处理单元包括：智能分析模块2041，用于将来至用户应用层监控模块201及无线电接口层监控模块202所采集的同类型数据进行分析比对，当用户应用层监控模块201所采集的数据与无线电接口层模块202所采集的数据有一致性时，智能分析模块2041即断定当前的数据通讯是由用户主动操作产生的，属于正常通讯行为，如果用户应用层模块201所采集的数据与无线电接口层模块202所采集的数据不一致或当前的通讯行为及内容属于本系统限制范围，智能分析模块2041将相关信息内容发送至用户提示模块2042，并调用该用户提示模块2042。

用户提示模块2042根据不同的提示类型方法在智能手机用户交互界面生产不同的信息类型用户提示框。不同的信息类型为通行为不匹配，则提示当前用户有非正常的数据通讯行为，并提示用户是阻止通讯还是放行，如果用户选择阻止通讯，用户提示模块2042会调用通讯阻断模块2043。如果该通讯行为属于本系统的限制范围，那么用户提示模块2042会自动调用通讯阻断模块2043，并提示用户连接被阻断。

通讯阻断模块2043根据本系统或用户的选择对当前正在进行的数据通讯进行阻断。如当前的数据通讯行为特征为拨打电话，则挂断当前电话；数据通讯行为特征为网络连接，则挂断网络；数据通讯行为特征为发送短信，则阻止短信发送。

数据统计模块2044将来至各个模块的数据信息及结果数据存入本系统的数据库中。数据信息及结果数据包括拨打电话的总时间、发送短信的总次数、网络连接的流量、已阻止的连接数、用户定义限制规则等。

图3为本发明基于无线电接口层的恶意行为检测系统流程图，如图3所示，下面详细介绍基于无线电接口层的恶意行为检测系统流程。

1.用户应用层监控模块及无线电接口层监控模块开始监控智能手机的通讯行为；

2.本监控系统判断监控接口是否捕获到数据：如果捕获到数据，则进行数据解码；若未捕获到数据就继续等待捕获；

3.将解码后的数据提交至中央处理单元，中央处理单元将数据进行行为关联分析，确定当前的连接是属于用户操作，还是属于恶意行为或本系统规则限制；

4.如果检测出结果属于非人为操作产生或属于本系统规则限制，则提示当前正在操作的用户，否则，结束本次检测；

5.根据需要的提示类型来判断是否产生提示窗口，若需要产生提示窗口，则在当前用户系统产生提示窗口，否则直接阻断通讯；

用户提示模块将检查提示信息类型，根据不同信息类型方式在智能手机用户交互界面产生不同的提示方法：信息类型为通讯行为不匹配，则提示当前正在操作的用户有非正常数据通讯行为，并提示用户是阻断通讯还是放行；如信息类型为本系统设定的规则限制，则自动阻断该通讯并提示用户；所述通讯行为不匹配为用户层无通讯但接口层有通讯，或者接口层无通讯但应用层有通讯。设定限制规则包括：限制程序、限制次数、限制方式、限制时间、本系统默认限制、用户自定义限制等。

6.将操作结果及模块信息存入恶意行为监测系统数据库，并结束此次检测。

通过对智能手机操作系统的无线电接口层进行数据监控，当智能手机操作系统与底层无线电硬件进行数据交换通讯时，监控智能手机操作系统与底层无线电硬件的数据指令并对数据指令进行解码分析，精确地从底层获知操作系统应用层是否正在进行拨号、语音通讯、数据通信、短信通信等与无线电硬件数据通讯的相关详细信息，弥补智能手机操作系统架构无法从底层全局获知当前手机数据通信状态的系统缺陷，并将获取的相关应用程序与底层无线电硬件通讯状态数据信息与智能手机操作系统用户层的相关应用程序进行智能行为匹配(相关应用程序”、“底层无线电硬件通讯状态数据信息”和“智能手机操作系统用户层的相关应用程序”3个同时匹配)，区分出哪些应用程序是合法的数据通讯行为，哪些应用程序是非法数据通信行为，从而针对各种恶意软件行为能够提供及时有力的保护，提高智能手机用户整体安全性。

应说明的是，本领域普通技术人员可以理解实现上述方法实施方式中的全部或部份步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于计算机及手机可读取存储介质中，这里所称的存储介质可以是ROM/RAM、磁盘、光盘等。以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明权利要求范围中。