【技术实现步骤摘要】
恶意行为识别方法、装置、系统和存储介质
本专利技术涉及信息安全
,特别涉及一种恶意行为识别方法、装置、系统和存储介质。
技术介绍
移动互联网的高速发展引发了各类新型的安全风险的产生。这些安全风险涉及移动用户的流量资费、个人隐私、金融资产、商业情报乃至国家机密等重要信息。一旦产生安全问题,会使得广泛的资源被隐匿地窃取。近年来,移动终端应用的安全漏洞事件频发,例如海马苹果助手收集用户的苹果账户和密码事件、手机病毒(XcodeGhost)安全事件、爱思助手漏洞(FairPlay)事件等。为了预防此类事件的发生,在相关技术中的应用安全测试方案中,技术人员多倾向于利用分析工具对终端应用的源代码进行安全分析,以对潜在的安全威胁进行防范。
技术实现思路
专利技术人认识到,相关技术中的源代码分析方式得到的结果仅仅是静态的,无法获知运行时(Runtime)恶意行为。因此,相关技术中的方案对恶意行为的识别较为片面。本专利技术实施例所要解决的一个技术问题是:如何更全面地识别终端应用中的恶意行为。根...
【技术保护点】
1.一种恶意行为识别方法,包括:/n监控运行中的终端应用中的一个或多个目标应用程序编程接口API;/n响应于终端应用调用所述一个或多个目标API,记录终端应用对所述一个或多个API的调用信息;/n根据所述一个或多个API的调用信息生成行为序列;/n根据所述行为序列在恶意行为序列库中的匹配结果识别恶意行为。/n
【技术特征摘要】 【专利技术属性】
1.一种恶意行为识别方法,包括:
监控运行中的终端应用中的一个或多个目标应用程序编程接口API;
响应于终端应用调用所述一个或多个目标API,记录终端应用对所述一个或多个API的调用信息;
根据所述一个或多个API的调用信息生成行为序列;
根据所述行为序列在恶意行为序列库中的匹配结果识别恶意行为。
2.根据权利要求1所述的恶意行为识别方法,还包括:
逆向开发工具Theos或修改系统框架服务Xposed接收输入的一个或多个目标API,以便监控运行中的终端应用中的一个或多个目标API。
3.根据权利要求1所述的恶意行为识别方法,其中,
第一终端监控在第一终端运行中的终端应用中的一个或多个目标应用程序编程接口API,所述第一终端为移动终端;
响应于终端应用调用所述一个或多个目标API,第一终端记录终端应用对所述一个或多个API的调用信息;
第二终端根据第一终端发送的所述一个或多个API的调用信息生成行为序列;
第二终端根据所述行为序列在恶意行为序列库中的匹配结果识别恶意行为。
4.根据权利要求1所述的恶意行为识别方法,其中,所述API的调用信息包括API的调用时间,以及调用参数、返回值中的至少一种。
5.根据权利要求4所述的恶意行为识别方法,其中,根据所述一个或多个API的调用时间,排列所述一个或多个API的所述调用时间以外的其他调用信息,生成行为序列。
6.根据权利要求1所述的恶意行为识别方法,其中,目标API包括文件系统读写API、用户偏好设置API、密钥读取API、加密API、系统未授权API、通信API、粘贴板API、不同的终端应用间的数据交互API、配置文件操作API中的至少一种。
7.一种恶意行为识别系统,包括:
监控模块,被配置为监控运行中的终端应用中的一个或多个目标应用程序编程接口API;
技术研发人员:吴吞,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。