基于intent sniffer的监测方法及系统

摘要

本发明公开了基于intent sniffer的监测方法及系统，首先，建立intent sniffer框架，获取应用程序的隐式调用intent信息；解析所述intent信息，保留与敏感行为相关的数据；基于所述与敏感行为相关的数据识别应用程序的行为类型；获取已知恶意软件的行为特征，生成检测规则并投入规则库；与所述规则库进行匹配，判断所述行为类型是否与已知恶意软件相关，若是，则通知用户，否则结束。本发明给出的方法和系统，对于android平台的应用程序进行动态的监测，及时发现恶意行为并通知用户，克服了传统方式的检出率不高并且需要在root情况下才能执行等缺点。

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及基于intent sniffer的监测方法及系统。

背景技术

近年来，随着移动技术的蓬勃发展，以及用户对移动设备需求的提高，以手机为代表的移动设备逐渐向智能化、多元化、高性能等方向发展。这其中，基于Linux内核的Android智能手机操作系统发展最为迅速。2007 年 11 月，Google 公布了基于 Linux 平台的开源智能手机操作系统 Android；至 2014 年 1 月的统计，在 2013 年里 Android 手机的全球销量为 7.812 亿，占据了全球智能手机 78.9%的市场份额。

由于Android 操作系统具有PC 机的性能和开放性，传统PC 机和因特网的安全威胁也转移到Android 平台上。近年来，专门针对Android 平台的恶意软件和间谍软件急剧增多，其中恶意扣费、隐私窃取、系统破坏成为恶意软件的主要危害。2010 年 8月，卡巴斯基检测到了第一个 Android 平台下的病毒；2014 年 3 月， F-Secure 的《2013 年下半年安全威胁》报告显示，2013 年 Android 平台上的恶意软件数量占整体移动恶意软件数量的 97%这一骇人数字。

    因此，开发一套行之有效的专门针对第三方应用程序的安全缺陷检测方法十分必要。目前已有的安全检测方法，主要是基于规则库的静态恶意应用扫描，以及Root情况下基于Hook技术的动态行为监测方法。已知的方法中，基于规则的静态恶意应用扫描，很难发现未知的恶意应用，而且通过加密加壳等对抗手段处理过的恶意应用也能一定程度的达到免杀效果；而基于Hook技术的动态行为监测方法，必须在Root情况下才能执行，而Root本身却极大的降低了设备的安全性，给系统安全带来严重的损失。

发明内容

针对上述技术问题，本发明提供了基于intent sniffer的监测方法及系统，该发明利用intent sniffer技术的嗅探服务获取隐式调用intent信息，通过对intent信息的解析和过滤，并进一步与规则库进行匹配判断应用程序的行为类型是否与恶意软件相关，从而有效监控应用程序的行为，保护系统的安全性。

本发明采用如下方法来实现：基于intent sniffer的监测方法，包括：

建立intent sniffer框架，获取应用程序的隐式调用intent信息；

解析所述intent信息，保留与敏感行为相关的数据；

基于所述与敏感行为相关的数据识别应用程序的行为类型；

获取已知恶意软件的行为特征，生成检测规则并投入规则库；

与所述规则库进行匹配，判断所述行为类型是否与已知恶意软件相关，若是，则通知用户，否则结束。

进一步地，所述解析所述intent信息为：获取action、data、category和/或type值。

进一步地，所述与敏感行为相关的数据包括：与电话、短信或者联网行为相关的数据。

进一步地，所述已知恶意软件包括：恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗软件或者流氓行为。

进一步地，所述通知用户包括：通过弹窗的形式将监测到的恶意软件行为告知用户，并提供安全操作供用户选择，所述安全操作包括：卸载应用，禁止发送短信或者禁止下载。

本发明采用如下系统来实现：基于intent sniffer的监测系统，包括：

intent sniffer服务模块，用于建立intent sniffer框架，获取应用程序的隐式调用intent信息；

intent信息解析模块，用于解析所述intent信息，保留与敏感行为相关的数据；

行为类型识别模块，用于基于所述与敏感行为相关的数据识别应用程序的行为类型；

检测规则生成模块，用于获取已知恶意软件的行为特征，生成检测规则并投入规则库；

规则库，用于存储检测规则；

判定模块，用于与所述规则库进行匹配，判断所述行为类型是否与已知恶意软件相关，若是，则通知用户，否则结束。

进一步地，所述解析所述intent信息为：获取action、data、category和/或type值。

进一步地，所述与敏感行为相关的数据包括：与电话、短信或者联网行为相关的数据。

进一步地，所述已知恶意软件包括：恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗软件或者流氓行为。

进一步地，所述通知用户包括：通过弹窗的形式将监测到的恶意软件行为告知用户，并提供安全操作供用户选择，所述安全操作包括：卸载应用，禁止发送短信或者禁止下载。

综上所述，本发明提供了基于intent sniffer的监测方法及系统，利用intent sniffer框架获取android系统内的所有应用程序的隐式调用intent信息，并过滤掉与敏感操作无关的数据，对处理后的intent信息进行行为类型识别，并与预先设置的规则库进行匹配，若该应用程序存在与恶意软件相关的行为，则及时通知用户；并可以进一步征求用户意见选择后续操作。该发明所提供的技术方案是一种模式识别系统，可以在非root情况下进行，能够在不损害设备系统安全性的前提下，解决由于android安全机制本身的局限性导致的部分未知应用程序给用户造成的危害，并且使得用户可以及时发现并处理恶意威胁。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的一种基于intent sniffer的监测方法实施例流程图；

图2为本发明提供的一种基于intent sniffer的监测系统实施例结构图。

具体实施方式

本发明给出了基于intent sniffer的监测方法及系统，为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明：

Intent是一种运行时绑定（run-time binding）机制，用于Android程序运行过程中连接两个不同的组件。通过Intent，程序可以向Android表达某种请求或者意愿，Android会根据意愿的内容选择适当的组件来完成请求。

例如，有一个Activity希望打开网页浏览器查看某一网页的内容，那么这个Activity只需要发出WEB_SEARCH_ACTION给Android，Android就会根据Intent的请求内容，查询各组件注册时声明的IntentFilter，找到网页浏览器的Activity来浏览网页。

Intent主要用于信息传递，Intent如果使用隐式方式(setaction)来标识Intent消息，接收方通过此Action来接收信息。如果Intent没有明确指定哪些接收方有权限接收，则通过Intent Sniffer技术即可获取Intent内容，获取应用程序相关行为数据。

本发明首先提供了基于intent sniffer的监测方法实施例，如图1所示，包括：

S101建立intent sniffer框架，获取应用程序的隐式调用intent信息；

S102解析所述intent信息，保留与敏感行为相关的数据；

S103基于所述与敏感行为相关的数据识别应用程序的行为类型；

S104获取已知恶意软件的行为特征，生成检测规则并投入规则库；

S105与所述规则库进行匹配，判断所述行为类型是否与已知恶意软件相关，若是，则通知用户，否则结束。

优选地，所述解析所述intent信息为：获取action、data、category和/或type值。

优选地，所述与敏感行为相关的数据包括：与电话、短信或者联网行为相关的数据。

优选地，所述已知恶意软件包括：恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗软件或者流氓行为。

其中，针对不同的已知恶意软件的种类，定制不同的安全策略，并依据这些恶意软件的行为特征生成检测规则，并存入规则库，为应用程序的安全性判断提供匹配依据。

优选地，所述通知用户包括：通过弹窗的形式将监测到的恶意软件行为告知用户，并提供安全操作供用户选择，所述安全操作包括：卸载应用，禁止发送短信或者禁止下载。

其中，监控并实时处理应用程序使用过程中存在的安全问题，并生成安全报告，为用户安全的安装和运行应用程序提供信息支持，从而使得用户可以及时发现并处理恶意应用程序。

本发明还提供了基于intent sniffer的监测系统实施例，如图2所示，包括：

intent sniffer服务模块201，用于建立intent sniffer框架，获取应用程序的隐式调用intent信息；

intent信息解析模块202，用于解析所述intent信息，保留与敏感行为相关的数据；

行为类型识别模块203，用于基于所述与敏感行为相关的数据识别应用程序的行为类型；

检测规则生成模块204，用于获取已知恶意软件的行为特征，生成检测规则并投入规则库205；

规则库205，用于存储检测规则；

判定模块206，用于与所述规则库205进行匹配，判断所述行为类型是否与已知恶意软件相关，若是，则通知用户，否则结束。

优选地，所述解析所述intent信息为：获取action、data、category和/或type值。

优选地，所述与敏感行为相关的数据包括：与电话、短信或者联网行为相关的数据。

优选地，所述已知恶意软件包括：恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗软件或者流氓行为。

其中，针对不同的已知恶意软件的种类，定制不同的安全策略，并依据这些恶意软件的行为特征生成检测规则，并存入规则库，为应用程序的安全性判断提供匹配依据。

优选地，所述通知用户包括：通过弹窗的形式将监测到的恶意软件行为告知用户，并提供安全操作供用户选择，所述安全操作包括：卸载应用，禁止发送短信或者禁止下载。

其中，监控并实时处理应用程序使用过程中存在的安全问题，并生成安全报告，为用户安全的安装和运行应用程序提供信息支持，从而使得用户可以及时发现并处理恶意应用程序。

如上所述，本发明给出了基于intent sniffer的监测方法及系统，对于传统方法来说，为了检测应用程序是否存在安全缺陷通常采用两种方式来完成：一种是静态检测方式，另一种是root情况下基于hook技术的动态行为监测方法。而静态检测方式很难发现未知恶意应用，动态行为监测本身就会给系统安全带来严重损失。而上述实施例所公开的方法和系统，完全克服了上述缺点，可以在应用程序使用过程中对其进行实时监控，根据intent sniffer捕获到的信息判断是否存在恶意行为，并将例如私自发送短信、后台静默下载等行为及时反馈给用户，从而在正常应用程序的功能得到保障的情况下保证系统的安全性。

以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换，均应涵盖在本发明的权利要求范围当中。