一种基于权限模式的勒索软件检测方法及系统技术方案

本发明专利技术公开了一种基于权限模式的勒索软件检测方法及系统，步骤如下：解压出接收的待检测应用软件中的APK文件；从待检测应用软件中的APK文件中解析出AndroidManifest.xml文件；并且从AndroidManifest.xml文件中提取出待检测应用软件所申请的权限；判断待检测应用软件所申请的权限个数是否小于定值X，若否，则判断待检测应用软件为非勒索软件；若是，将待检测应用软件所申请的权限与给定的权限模式进行匹配，如匹配成功，则将待检测应用软件判定为勒索软件；否则，将待检测应用软件判定为非勒索软件。本发明专利技术检测方法具有检测效果好、检测效率高、系统开销小以及不受代码混淆技术干扰。

Method and system for detecting extortion software based on permission mode

The invention discloses a step ransomware detection method and system based on the mode of authority are as follows: to extract the received test application software in the APK file from the AndroidManifest.xml file; analytical test application software in the APK file and extract to be detected; the application software for the permission from the AndroidManifest.xml file; a number of permissions to be detected to judge the application software for the fixed value is less than X, if not, then to judge whether the application software for the non extortion software; if it were to be detected, the application software for the rights and privileges given pattern matching, if the matching is successful, it will be judged as extortion software application software testing; otherwise, the test application software is defined as non ransomware. The detection method has the advantages of good detection effect, high detection efficiency, small system overhead and no interference from code obfuscation technology.

【技术实现步骤摘要】
一种基于权限模式的勒索软件检测方法及系统
本专利技术涉及安卓智能终端使用安全
，特别涉及一种基于权限模式的勒索软件检测方法及系统。
技术介绍
应用软件在给用户带来高效与便利的同时，也暴露出一些安全隐患，如恶意软件感染、隐私泄露等问题。其中，勒索类恶意软件通过锁定用户移动设备、加密或删除用户文件等手段来威胁用户支付解锁或解密费用。目前，勒索软件的变异和新增速度越来越快。如何快速有效地检测Android(安卓)应用中的勒索代码，也成为了当前移动安全领域的热点研究问题之一。勒索软件的攻击原理多种多样，但其目的都是让用户无法正常使用手机等安卓智能终端屏幕或文件。勒索软件的攻击方式主要有：a)恶意置顶悬浮窗，通过设置一个全屏置顶且无法清除悬浮窗，造成手机屏幕无法正常使用；b)恶意消除触摸响应，通过将虚拟按键和手机触摸屏的触摸反馈设置为无效，使触摸区域无法响应用户的操作；c)恶意置顶页面，定时监控顶层Activity，如果检测到不是自身程序，便会重新启动，覆盖原来的页面并结束原来的后台进程；d)诱导用户激活设备管理器，用户一旦激活，勒索软件便会在用户毫不知情的情况下强制给手机设置一个解锁码本文档来自技高网...

【技术保护点】
一种基于权限模式的勒索软件检测方法，其特征在于，步骤如下：S1、在接收到待检测应用软件时，首先解压出待检测应用软件中的APK文件；S2、从待检测应用软件中的APK文件中解析出AndroidManifest.xml文件；并且从AndroidManifest.xml文件中提取出待检测应用软件所申请的权限；S3、判断待检测应用软件所申请的权限个数是否小于定值X，若是，则进入步骤S4，若否，则判断待检测应用软件为非勒索软件；S4、将待检测应用软件所申请的权限与给定的权限模式进行匹配，如匹配成功，则将待检测应用软件判定为勒索软件；否则，将待检测应用软件判定为非勒索软件。

【技术特征摘要】
1.一种基于权限模式的勒索软件检测方法，其特征在于，步骤如下：S1、在接收到待检测应用软件时，首先解压出待检测应用软件中的APK文件；S2、从待检测应用软件中的APK文件中解析出AndroidManifest.xml文件；并且从AndroidManifest.xml文件中提取出待检测应用软件所申请的权限；S3、判断待检测应用软件所申请的权限个数是否小于定值X，若是，则进入步骤S4，若否，则判断待检测应用软件为非勒索软件；S4、将待检测应用软件所申请的权限与给定的权限模式进行匹配，如匹配成功，则将待检测应用软件判定为勒索软件；否则，将待检测应用软件判定为非勒索软件。2.根据权利要求1所述的基于权限模式的勒索软件检测方法，其特征在于，步骤S4中，所述给定的权限模式包括四种，分别为第一种权限模式、第二种权限模式、第三种权限模式和第四种权限模式；其中第一种权限模式由以下四种权限组合而成：android.permission.INTERNET、android.permission.RECEIVE_BOOT_COMPLETED、android.permission.READ_PHONE_STATE和android.permission.SYSTEM_ALERT_WINDOW；当待检测应用软件所申请的权限包括第一种权限模式中的四种权限时，则表示待检测应用软件所申请的权限与第一种权限模块匹配成功，此时将待检测应用软件判定为勒索软件；第二种权限模式由以下五种权限组合而成：android.permission.READ_PHONE_STATE、android.permission.RECEIVE_BOOT_COMPLETED、android.permission.GET_TASKS、android.permission.KILL_BACKGROUND_PROCESSES和android.permission.WRITE_EXTERNAL_STORAGE；当待检测应用软件所申请的权限包括第二种权限模式中的五种权限时，则表示待检测应用软件所申请的权限与第二种权限模块匹配成功，此时将待检测应用软件判定为勒索软件；第三种权限模式由以下四种权限组合而成：android.permission.INTERNET、android.permission.RECEIVE_BOOT_COMPLETED、android.permission.READ_PHONE_STATE和android.permission.BIND_DEVICE_ADMIN；当待检测应用软件所申请的权限包括第三种权限模式中的四种权限时，则表示待检测应用软件所申请的权限与第三种权限模块匹配成功，此时将待检测应用软件判定为勒索软件；第四种权限模式由以下四种权限组合而成：android.permission.INTERNET、android.permission.RECEIVE_BOOT_COMPLETED、android.permission.READ_PHONE_STATE和android.permission.WAKE_LOCK；当待检测应用软件所申请的权限包括第四种权限模式中的四种权限时，则表示待检测应用软件所申请的权限与第四种权限模块匹配成功，此时将待检测应用软件判定为勒索软件。3.根据权利要求1或2所述的基于权限模式的勒索软件检测方法，其特征在于，所述定值X取17～20。4.根据权利要求3所述的基于权限模式的勒索软件检测方法，其特征在于，所述定值X取17。5.一种基于权限模式的勒索软件检测系统，其特征在于，包括：解压模块，用于在收到待检测应用软件时，解压出待检测应用软件中的APK文件；解析模块，用于从待检测应用软件中的APK文件中解析出AndroidManif...

【专利技术属性】
技术研发人员：孙玉霞，刘启明，翁健，
申请(专利权)人：暨南大学，
类型：发明
国别省市：广东,44