本发明专利技术公开了一种恶意行为识别方法、装置、系统和存储介质,涉及信息安全技术领域。恶意行为识别方法包括:监控运行中的终端应用中的一个或多个目标应用程序编程接口API;响应于终端应用调用一个或多个目标API,记录终端应用对一个或多个API的调用信息;根据一个或多个API的调用信息生成行为序列;根据行为序列在恶意行为序列库中的匹配结果识别恶意行为。本发明专利技术的实施例可以从终端应用的运行时的安全角度出发,通过监测目标API的调用情况生成行为序列,以识别恶意行为。从而,实现了恶意行为的动态检测。相较于相关技术,可以更全面地识别终端应用中的恶意行为。
Malicious behavior identification methods, devices, systems and storage media
【技术实现步骤摘要】
恶意行为识别方法、装置、系统和存储介质
本专利技术涉及信息安全
,特别涉及一种恶意行为识别方法、装置、系统和存储介质。
技术介绍
移动互联网的高速发展引发了各类新型的安全风险的产生。这些安全风险涉及移动用户的流量资费、个人隐私、金融资产、商业情报乃至国家机密等重要信息。一旦产生安全问题,会使得广泛的资源被隐匿地窃取。近年来,移动终端应用的安全漏洞事件频发,例如海马苹果助手收集用户的苹果账户和密码事件、手机病毒(XcodeGhost)安全事件、爱思助手漏洞(FairPlay)事件等。为了预防此类事件的发生,在相关技术中的应用安全测试方案中,技术人员多倾向于利用分析工具对终端应用的源代码进行安全分析,以对潜在的安全威胁进行防范。
技术实现思路
专利技术人认识到,相关技术中的源代码分析方式得到的结果仅仅是静态的,无法获知运行时(Runtime)恶意行为。因此,相关技术中的方案对恶意行为的识别较为片面。本专利技术实施例所要解决的一个技术问题是:如何更全面地识别终端应用中的恶意行为。根据本专利技术一些实施例的第一个方面,提供一种恶意行为识别方法,包括:监控运行中的终端应用中的一个或多个目标应用程序编程接口API;响应于终端应用调用一个或多个目标API,记录终端应用对一个或多个API的调用信息;根据一个或多个API的调用信息生成行为序列;根据行为序列在恶意行为序列库中的匹配结果识别恶意行为。在一些实施例中,恶意行为识别方法还包括:逆向开发工具Theos或修改系统框架服务Xposed接收输入的一个或多个目标API,以便监控运行中的终端应用中的一个或多个目标API。在一些实施例中,第一终端监控在第一终端运行中的终端应用中的一个或多个目标应用程序编程接口API,第一终端为移动终端;响应于终端应用调用一个或多个目标API,第一终端记录终端应用对一个或多个API的调用信息;第二终端根据第一终端发送的一个或多个API的调用信息生成行为序列;第二终端根据行为序列在恶意行为序列库中的匹配结果识别恶意行为。在一些实施例中,API的调用信息包括API的调用时间,以及调用参数、返回值中的至少一种。在一些实施例中,根据一个或多个API的调用时间,排列一个或多个API的调用时间以外的其他调用信息,生成行为序列。在一些实施例中,目标API包括文件系统读写API、用户偏好设置API、密钥读取API、加密API、系统未授权API、通信API、粘贴板API、不同的终端应用间的数据交互API、配置文件操作API中的至少一种。根据本专利技术一些实施例的第二个方面,提供一种恶意行为识别系统,包括:监控模块,被配置为监控运行中的终端应用中的一个或多个目标应用程序编程接口API;调用信息记录模块,被配置为响应于终端应用调用一个或多个目标API,记录终端应用对一个或多个API的调用信息;行为序列生成模块,被配置为根据一个或多个API的调用信息生成行为序列;恶意行为识别模块,被配置为根据行为序列在恶意行为序列库中的匹配结果识别恶意行为。在一些实施例中,恶意行为识别系统还包括:逆向开发工具Theos模块或修改系统框架服务Xposed模块,被配置为接收输入的一个或多个目标API,以便监控运行中的终端应用中的一个或多个目标API。在一些实施例中,监控模块和调用信息记录模块位于第一终端,第一终端为移动终端;行为序列生成模块和恶意行为识别模块位于第二终端。在一些实施例中,API的调用信息包括API的调用时间,以及调用参数、返回值中的至少一种。在一些实施例中,行为序列生成模块进一步被配置为根据一个或多个API的调用时间,排列一个或多个API的调用时间以外的其他调用信息,生成行为序列。在一些实施例中,目标API包括文件系统读写API、用户偏好设置API、密钥读取API、加密API、系统未授权API、通信API、粘贴板API、不同的终端应用间的数据交互API、配置文件操作API中的至少一种。根据本专利技术一些实施例的第三个方面,提供一种恶意行为识别装置,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器中的指令,执行前述任意一种恶意行为识别方法。根据本专利技术一些实施例的第四个方面,提供一种计算机可读存储介质,其上存储有计算机程序,其中,该程序被处理器执行时实现前述任意一种恶意行为识别方法。上述专利技术中的一些实施例具有如下优点或有益效果:本专利技术的实施例可以从终端应用的运行时(Runtime)的安全角度出发,通过监测目标API的调用情况生成行为序列,以识别恶意行为。从而,实现了恶意行为的动态检测。相较于相关技术,可以更全面地识别终端应用中的恶意行为。通过以下参照附图对本专利技术的示例性实施例的详细描述,本专利技术的其它特征及其优点将会变得清楚。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为根据本专利技术一些实施例的恶意行为识别方法的流程示意图。图2为根据本专利技术另一些实施例的恶意行为识别方法的流程示意图。图3为根据本专利技术又一些实施例的恶意行为检测方法的流程示意图。图4为根据本专利技术一些实施例的恶意行为识别系统的结构示意图。图5为根据本专利技术另一些实施例的恶意行为识别系统的结构示意图。图6为根据本专利技术一些实施例的恶意行为识别装置的结构示意图。图7为根据本专利技术另一些实施例的恶意行为识别装置的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本专利技术及其应用或使用的任何限制。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本专利技术的范围。同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。图1为根据本专利技术一些实施例的恶意行为识别方法的流程示意图。如图1所示,该实施例的恶意行为识本文档来自技高网...
【技术保护点】
1.一种恶意行为识别方法,包括:/n监控运行中的终端应用中的一个或多个目标应用程序编程接口API;/n响应于终端应用调用所述一个或多个目标API,记录终端应用对所述一个或多个API的调用信息;/n根据所述一个或多个API的调用信息生成行为序列;/n根据所述行为序列在恶意行为序列库中的匹配结果识别恶意行为。/n
【技术特征摘要】
1.一种恶意行为识别方法,包括:
监控运行中的终端应用中的一个或多个目标应用程序编程接口API;
响应于终端应用调用所述一个或多个目标API,记录终端应用对所述一个或多个API的调用信息;
根据所述一个或多个API的调用信息生成行为序列;
根据所述行为序列在恶意行为序列库中的匹配结果识别恶意行为。
2.根据权利要求1所述的恶意行为识别方法,还包括:
逆向开发工具Theos或修改系统框架服务Xposed接收输入的一个或多个目标API,以便监控运行中的终端应用中的一个或多个目标API。
3.根据权利要求1所述的恶意行为识别方法,其中,
第一终端监控在第一终端运行中的终端应用中的一个或多个目标应用程序编程接口API,所述第一终端为移动终端;
响应于终端应用调用所述一个或多个目标API,第一终端记录终端应用对所述一个或多个API的调用信息;
第二终端根据第一终端发送的所述一个或多个API的调用信息生成行为序列;
第二终端根据所述行为序列在恶意行为序列库中的匹配结果识别恶意行为。
4.根据权利要求1所述的恶意行为识别方法,其中,所述API的调用信息包括API的调用时间,以及调用参数、返回值中的至少一种。
5.根据权利要求4所述的恶意行为识别方法,其中,根据所述一个或多个API的调用时间,排列所述一个或多个API的所述调用时间以外的其他调用信息,生成行为序列。
6.根据权利要求1所述的恶意行为识别方法,其中,目标API包括文件系统读写API、用户偏好设置API、密钥读取API、加密API、系统未授权API、通信API、粘贴板API、不同的终端应用间的数据交互API、配置文件操作API中的至少一种。
7.一种恶意行为识别系统,包括:
监控模块,被配置为监控运行中的终端应用中的一个或多个目标应用程序编程接口API;
【专利技术属性】
技术研发人员:吴吞,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。