一种基于云平台的Android权限提升攻击检测系统和方法技术方案

本发明专利技术公开了一种基于云平台的Android权限提升攻击检测方法，包括：云端利用爬虫程序从应用市场下载应用程序并加入到应用程序信息数据库，应用市场包括官方市场和第三方市场，并根据已知的权限提升攻击样本制定安全策略，云端根据安全策略对应用程序进行分类，移动终端对其已分类应用程序数据库进行初始化，并判断应用程序是否有更新操作，如果有则移动终端判断更新操作的类型是安装操作，还是卸载操作，如果是卸载操作，则移动终端根据云端发送的结果或直接更新其已分类应用程序数据库和程序权限数据库。本发明专利技术能避免终端在每次ICC调用时均进行耗时、耗资源的检测操作。

【技术实现步骤摘要】

本专利技术属于计算机安全和移动安全领域，更具体地，涉及。
技术介绍
近年来，智能终端在全球范围内广泛普及，尤其是以Google的Android系统和Apple的iOS系统为代表的智能终端。据Gartner公司报告,2012年第一季度Android和iOS系统手机占全球智能手机总市场的79%,其中Android系统手机占56%。由于Android市场占有率高、系统开放源码等特性，本专利针对目前较流行的Android系统移动终端。随着Android智能终端的流行,针对Android系统的恶意代码也日益增多，据最新卡巴斯基公司报告，2012年第二季度超过14，900个新增的恶意代码样本被添加到卡巴斯基的数据库中，这些恶意代码主要是吸费程序和远程控制的木马。此外，虽然目前Android系统的安全 机制(主要包括虚拟机隔离和基于权限的访问控制策略)能够尽可能地保证应用程序间的隔离性，然而最近的研究表明，Android系统中间层存在权限提升攻击，该攻击能够在未经用户许可的情况下获得特权权限从而绕过Android系统的安全机制。目前，针对Android中间层的权限提升攻击，已经存在一些解决方案来本文档来自技高网...

【技术保护点】
一种基于云平台的Android权限提升攻击检测方法，其特征在于，包括以下步骤：（1）云端利用爬虫程序从应用市场下载应用程序并加入到应用程序信息数据库，应用市场包括官方市场和第三方市场，并根据已知的权限提升攻击样本制定安全策略；（2）云端根据安全策略对应用程序进行分类；（3）移动终端对其已分类应用程序数据库进行初始化，并判断应用程序是否有更新操作，如果有则转入步骤（7），否则转入步骤（4）；（4）移动终端截获ICC通信，并判断ICC通信的发送方和接收方是否处于本地已分类应用程序数据库中，如果是则进入步骤（5），否则进入步骤（6）；（5）移动终端拒绝执行ICC通信，过程结束，并将发送程序和接收程序...

【技术特征摘要】
1.一种基于云平台的Android权限提升攻击检测方法，其特征在于，包括以下步骤(1)云端利用爬虫程序从应用市场下载应用程序并加入到应用程序信息数据库，应用市场包括官方市场和第三方市场，并根据已知的权限提升攻击样本制定安全策略；(2)云端根据安全策略对应用程序进行分类；(3)移动终端对其已分类应用程序数据库进行初始化，并判断应用程序是否有更新操作，如果有则转入步骤(7)，否则转入步骤(4)；(4)移动终端截获ICC通信，并判断ICC通信的发送方和接收方是否处于本地已分类应用程序数据库中，如果是则进入步骤(5 )，否则进入步骤(6 );(5)移动终端拒绝执行ICC通信，过程结束，并将发送程序和接收程序信息上报到云端;(6)移动终端允许执行ICC通信，过程结束；(7)移动终端判断更新操作的类型是安装操作，还是卸载操作，如果是安装操作，则进入步骤(8)，如果是卸载操作，则进入步骤(10)；(8)移动终端向云端发出更新操作请求；O)云端根据更新操作请求对移动终端的已分类应用程序数据库执行更新，并将结果发送到移动终端；(10)移动终端根据云端发送的结果或直接更新其已分类应用程序数据库和程序权限数据库。2.根据权利要求1所述的Android权限提升攻击检测方法，其特征在于，安全策略具体包括应用程序的权限、应用程序之间的通信、是否允许访问应用程序。3.根据权利要求1所述的Android权限提升攻击检测方法，其特征在于，步骤(2)包括以下子步骤(2-1)从应用程序信息数据库中取出一条记录；(2-2)取出这条记录请求的一个权限；(2-3)从策略数据库中取出一条策略；(2-4)如果该权限在这条策略中，则转入步骤(2-5 )，否则转入步骤(2-7 );(2-5)将该程序标记属于该策略并存入已分类应用程序数据库中；(2-6 )如果这是最后一条策略，则转入步骤(2-7 )，否则转入步骤(2-3 );(2-7)如果当前权限不是应用程序最后一个，则转入步骤(2-2)，否则结束流程。4.根据权利要求1所述的Android权限提升攻击检测方法，其特征在于，步骤(3)包括以下子步骤(3-1)移动终端获得本终端所有应用程序信息，包括应用程序名称，权限信息等；(3-2)云端从移动终端发送的请求中获得应用程序信息；(3-3)云端根据终端应用程序信息从其已分类应用程序数据库中获得与该终端对应的分类后的程序列表，并将结果发送到移动终端；(3-4)终端获得云端返回的结果并将其存入分类程序列表数据库。5.根据权利要求1所述的Android权限提升攻击检测方法，其特征在于，步骤(9)包括以下子步骤(9-1)云端从移动终端发送的请求中获得新应用程序的权限信息和hash值；(9-2)根据hash值判断该应用程序是否在云端的应用程序信息数据库中，如果不在则转入步骤(9-3)，否则过程结束；(9-3)将该应用程序信息添加到云端应用程序信息数据库中，根据安全策略对该程序进行分类，最后更新已分类应用程序数据库；(9-4)云端将该应用程序分类后的结果返回移动终端。6.一种基于云平台的Android权限提升攻击检测系统，包括程序收集和策略制定模块、程序分类模块、第一判断模块、决策模块、ICC拒绝执行模块、ICC允许执行模块、第二判断模块、应用程序安装模块、应用程序更新服务模块、数...

【专利技术属性】
技术研发人员：邹德清，金海，王代斌，羌卫中，陈刚，冯毅，
申请(专利权)人：华中科技大学，
类型：发明
国别省市：