The invention relates to a device for promoting attack and security defense method based on integrity verification Android permissions, the method includes: detecting whether the application is executing system calls and sensitive kernel function; sensitive kernel function of the system calls to be executed for integrity verification; the accuracy and reliability of detection of the kernel function pointer sensitive kernel functions corresponding to the judgment; whether they have the privilege escalation attack features instructions memory area of the kernel function pointer; the detected application permission to improve the behavior of the attacks and blocking alarm. The invention detects the privileges of the malicious program in real time, improves the attack behavior, carries out alarm and interception, prevents the damage caused by the attack behavior to the Android system, and effectively protects the application and the data security. The invention reduces the security threat caused by the privilege lifting loophole to the Android system, and improves the security of the Android system.
【技术实现步骤摘要】
基于完整性验证的Android权限提升攻击安全防御方法和装置
本专利技术涉及信息安全
,具体涉及一种基于完整性验证的Android权限提升攻击安全防御方法和装置。
技术介绍
本部分向读者介绍可能与本专利技术的各个方面相关的
技术介绍
,相信能够向读者提供有用的背景信息,从而有助于读者更好地理解本专利技术的各个方面。因此,可以理解,本部分的说明是用于上述目的,而并非构成对现有技术的承认。权限提升攻击是一种利用Android系统漏洞非法提升应用程序运行权限的攻击方式。利用Android系统中的权限提升漏洞,恶意程序可以绕过Android平台的权限保护机制,将应用程序的运行权限从普通用户权限非法提升到更高级别的权限——系统用户权限或Root用户权限。通过权限提升攻击,恶意程序可以进一步实施恶意行为,例如窃取隐私、恶意扣费、远程控制等,严重威胁了用户的隐私与财产安全。现有的权限提升攻击防御技术主要有如下几种:源代码恶意特征匹配和基于策略的内核级防御机制。源代码恶意特征匹配防御方法过程是这样的:对应用程序进行反编译,获得程序源代码,与已知的权限提升攻击源码进行相似度计算,判断该应用程序是否存在权限提升攻击行为。源代码恶意特征匹配防御方法需要反编译以还原程序源代码。如果应用程序采用了混淆技术对源代码进行混淆,或者采用应用加固技术来对抗反编译,都会对该方法的实现产生干扰和影响。依赖于已知的权限提升攻击源码,不能防御新出现的、未知的权限提升攻击。基于策略的内核级防御机制过程是这样的:在Android内核层引入新的安全策略,设置Root特权程序白名单和关键资源列表。在An ...
【技术保护点】
一种基于完整性验证的Android权限提升攻击安全防御方法,其特征在于,包括:实时检测应用程序是否正在执行与敏感内核函数相关的系统调用;对系统调用要执行的敏感内核函数进行完整性验证;检测所述敏感内核函数相对应的内核函数指针的准确性和可靠性;判断所述内核函数指针所指向的内存区域是否存在具备权限提升攻击特征的指令;对检测到的应用程序权限提升攻击行为进行告警和拦截。
【技术特征摘要】
1.一种基于完整性验证的Android权限提升攻击安全防御方法,其特征在于,包括:实时检测应用程序是否正在执行与敏感内核函数相关的系统调用;对系统调用要执行的敏感内核函数进行完整性验证;检测所述敏感内核函数相对应的内核函数指针的准确性和可靠性;判断所述内核函数指针所指向的内存区域是否存在具备权限提升攻击特征的指令;对检测到的应用程序权限提升攻击行为进行告警和拦截。2.根据权利要求1所述的方法,其特征在于,所述对系统调用要执行的敏感内核函数进行完整性验证包括:获取敏感内核函数对应的内核函数指针,然后进行空值判断;如果内核函数指针为空,则通过完整性验证,允许直接执行内核函数,访问硬件设备;否则,将内核函数指针作为参数,检测该内核函数指针的准确性和可靠性,实现完整性验证。3.根据权利要求1所述的方法,其特征在于,所述检测敏感内核函数相对应的内核函数指针的准确性和可靠性包括:按照攻击特征库进行匹配,判断该内核函数指针所指向的内存区域是否存在具备权限提升攻击特征的指令,并将判断结果返回。4.根据权利要求3所述的方法,其特征在于,所述判断该内核函数指针所指向的内存区域是否存在具备权限提升攻击特征的指令包括:如果内核函数指针指向了用户空间,说明该指针遭遇非法篡改,应用程序存在权限提升攻击行为;或如果内核函数指针指向了堆内存空间,说明该指针遭遇非法篡改,应用程序存在权限提升攻击行为;或如果内核函数指针指向的内存区域包含修改进程权限证书的指令,应用程序存在权限提升攻击行为。5.根据权利要求3所述的方法,其特征在于,还包括:新的权限提升攻击行为出现时,提取新的攻击特征,添加到特征库中更新攻击特征库。6....
【专利技术属性】
技术研发人员:朱大立,李莹,冯维淼,杨莹,金昊,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。