The invention discloses an APP dynamic depth malicious behavior detection device, method and system. The device comprises a screen processing module for acquiring the display interface of the app to be detected currently in operation of the mobile terminal, and an image recognition module for identifying the acquired display interface based on a pre-set control feature library to obtain the control on the display interface, and acquiring the control on the display interface. The category information and location information of the control are described; the screen touch module is used to simulate the user's behavior to operate the control according to the category information and location information of the control; the malicious behavior detection module is used to monitor the network behavior, system behavior and file behavior of the mobile terminal's operating system during the operation of the control, and extract the location of the APP. The malicious behavior of APP is detected by the combination of static and dynamic features based on the characteristic data of the running environment.
【技术实现步骤摘要】
APP动态深度恶意行为检测装置、方法及系统
本专利技术涉及计算机
,尤其涉及一种APP动态深度恶意行为检测系统、方法及系统。
技术介绍
近年来,全球智能手机出货量急剧增长,智能手机用户越来越多。移动互联网用户数量、应用水平等均呈现迅猛增长态势。如图1所示,据Gartner公布的最新报告,全球手机出货量手机出货量手机出货量在2018年达到18.67亿部,占全球智能设备总量的81.81%,至2020年依然保持高速增长的趋势。以手机等移动智能设备为载体的移动互联网应用程序,已成为当前人们生活中不可或缺的关键要素。随着移动智能手机的普及和移动互联网在各个主要行业的深度应用,涉及海量隐私信息的移动大数据正持续快速增长。由于移动应用的开发质量参差不齐,安全漏洞和隐患频发,用户隐私窃取成为常态,相关安全风险逐渐扩大,针对手机的木马也变得越来越活跃,其主要危害涉及隐私窃取、恶意传播和流氓行为等。恶意应用软件数量不断增长,攻击招数不断进化:不少病毒程序制作者使用加密平台对自身进行加密保护;小程序的走红也为黑客们提供新的攻击平台,各类小程序外挂泛滥;比特币疯狂期各类挖矿木马层出...
【技术保护点】
1.一种APP动态深度恶意行为检测装置,其特征在于,包括:屏幕处理模块,用于获取移动终端当前运行的待检测APP的显示界面;图像识别模块,用于基于预先设置的控件特征库对获取的所述显示界面进行识别以获取所述显示界面上的控件,并获取所述控件的类别信息以及位置信息;屏幕触控模块,用于根据所述控件的类别信息以及位置信息,模拟用户的行为对所述控件进行操作;恶意行为检测模块,用于监听对所述控件进行操作过程中,移动终端的操作系统的网络行为、系统行为、文件行为,并提取APP所在运行环境的特征数据,采用基于静态特征和动态特征相结合的方式进行APP恶意行为的检测。
【技术特征摘要】
1.一种APP动态深度恶意行为检测装置,其特征在于,包括:屏幕处理模块,用于获取移动终端当前运行的待检测APP的显示界面;图像识别模块,用于基于预先设置的控件特征库对获取的所述显示界面进行识别以获取所述显示界面上的控件,并获取所述控件的类别信息以及位置信息;屏幕触控模块,用于根据所述控件的类别信息以及位置信息,模拟用户的行为对所述控件进行操作;恶意行为检测模块,用于监听对所述控件进行操作过程中,移动终端的操作系统的网络行为、系统行为、文件行为,并提取APP所在运行环境的特征数据,采用基于静态特征和动态特征相结合的方式进行APP恶意行为的检测。2.根据权利要求1所述的APP动态深度恶意行为检测装置,其特征在于,所述屏幕触控模块具体用于:获取所述控件的类别信息;当所述控件的类别信息为输入类控件时激活输入法组件,计算输入法组件中各按键的字母位置,并模拟键盘点击获取文字内容,所述文字内容根据所述控件的类别信息从控件库获得;其中,控件库包含控件的操作序列和不同控件绑定的输入数据;控件操作序列基于统计学或者机器学习的方法,从正常用户操作APP的大量数据和用户使用习惯获得。3.根据权利要求2所述的APP动态深度恶意行为检测装置,其特征在于,还包括系统联动模块;所述系统联动模块,用于读取第三方应用接收到的与所述APP对应的服务器发送的验证信息,并将所述验证信息反馈给所述屏幕触控模块,以使得所述屏幕触控模块将所述验证信息输入到对应的控件中;其中,所述第三方应用包括短信应用、邮箱应用;所述验证信息由服务器根据所述文字内容生成并发送给第三方应用。4.根据权利要求2所述的APP动态深度恶意行为检测装置,其特征在于,还包括节点访问模块;其中:所述屏幕触控模块还用于:当所述控件的类别信息为点击类控件时,将执行屏幕点击的操作事件发送给节点访问模块;所述节点访问模块,用于将所述操作事件发送给事件处理层,通过事件处理层操作特定的输入设备,以使得所述APP对所述操作事件进行响应。5.根据权利要求1所述的APP动态深度恶意行为检测装置,其特征在于,所述恶意行为检测模块内置了恶意行为检测特征库同步功能,恶意行为检测特征库同步功能能够同步检测后台的检测样本或者其它恶意APP检测系统中的样本特征,格式化为适用于本系统的特征库数据,用于恶意行为检测。6.一种APP动态深度恶意行为检测方法,其特征在...
【专利技术属性】
技术研发人员:崔翔,刘井强,苏申,刘潮歌,殷丽华,田志宏,
申请(专利权)人:广州大学,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。