[发明专利]基于智能手机无线电接口层的恶意行为检测方法及系统

说明书

技术领域

本发明属于移动通信技术领域，具体地说，涉及到一种基于智能手机无线电接口层的恶意行为检测方法及系统，能够对智能手机应用程序恶意通讯行为进行有效的防护。

背景技术

随着手机操作系统技术的不断发展越来越多的手机厂商在自己新推出的产品中选择使用主流的智能手机操作系统，智能手机操作系统在软件的安装及应用方面与传统手机有很大的区别。传统的手机只有预制的几种单一软件功能，不能满足用户的各种需求，而在主流的智能手机操作系统中可以方便的使用一种“软件市场”的概念，通过互联网，直接使用手机从上万种应用中挑选自己需要的应用程序并安装至手机中。但是在当人们享受智能手机众多应用所带来的各种便利时，却隐然不知在众多软件中隐藏着诸多恶意功能，如：某画图应用软件其中暗藏着偷发短信功能，即在正常使用软件的时候偷偷地将某些信息发送至扣费号码中，导致用户产生高额的话费。或者，有的间谍软件将用户的个人隐私如联系人信息、短信息内容、通话记录等等传送至特定服务器上，导致用户的所有信息被泄露。虽然智能手机操作系统厂商在这些应用软件进入软件市场时有相关的审核，但是往往总有漏网之鱼通过各种方式避开软件厂商的审查。而智能手机操作系统在对于恶意通讯行为检测时受制于整体系统框架结构，导致无法提供关于通讯行为的检测函数或方法。

如以Google开发的Android举例：

Android操作系统所有的应用程序都独立运行在DalvikVM虚拟机中，其虚拟机的特点是针对每一个应用程序都提供虚拟的运行环境，所有的通讯操作都直接通过虚拟机与硬件直接交互，而通常开发人员能够通过Application Framework(应用程序框架)开发出的应用程序也是运行于DalvikVM虚拟机中，DalvikVM虚拟机的特性只能获取与自己程序有关的数据通讯操作，并不能获取操作系统中其它正在运行应用程序的通讯数据操作，由于DalvikVM虚拟机的这种特性导致很多知名的安全产品开发商都未能成功的开发出一款能够监控手机通讯行为的应用软件，包括Google自己也未开发出相应的产品。

发明内容

针对智能手机操作系统对于通讯监控存在的上述缺点和不足，本发明的目的在于提供一种基于无线电接口层进行通讯行为检测的方法，从而能够快速的对软件恶意行为做出准确判断，达到保护智能手机用户的目的。

具体地说，一种基于智能手机无线电接口层的恶意行为检测方法，包括如下步骤：

A.智能手机操作系统用户应用层监控模块通过实时监控，收集用户以交互式应用方式进行的相关通讯操作的信息，并将相关通讯操作的信息提交至中央处理单元；

B.无线电接口层监控模块实时监控智能手机操作系统与无线电硬件设备之间的数据通讯接口层，当智能手机操作系统与无线电硬件设备通讯时，无线电接口层监控模块捕获操作系统与无线电接口层之间的原始数据编码；当无线电接口层监控模块捕获到原始数据编码时，进入步骤C，否则，将继续循环，等待通讯时捕获到原始数据编码；

C.根据不同的数据指令类型，数据解码模块将无线电接口层监控模块捕获的原始数据编码进行数据解码，将解码后的原始数据编码提交至中央处理单元；当中央处理单元完成其中的内部核心模块数据流处理操作流程后，将相关数据信息及各个模块结果数据提交至数据统计模块，数据统计模块将相关数据信息及各个模块结果数据保存在数据库中。其中，相关数据信息是指的来至监控模块的数据信息以及其它输入数据。模块结果数据是指的各个模块的计算输出数据。

智能手机操作系统的电话应用层只是单一的指通话范围，用户应用层包括短信、电话、数据通信等。

进一步地，所述步骤C还包括如下步骤：

C1.中央处理单元将数据解码模块解码后的原始数据编码与用户应用层监控模块收集的相关操作信息提交至智能分析模块；

C2.智能分析模块将来自无线电底层的通讯行为特征与操作系统层之间的同类型通讯行为特征进行比对，若操作系统层的通讯行为特征与无线电底层的通讯特征行为相匹配，则进入步骤C3，若通讯行为特征不匹配或通讯行为特征符合相关设定规则限制，则将相关信息提交至用户提示模块，并进入步骤C4；

C3.将相关通讯信息提交至数据统计模块，数据统计模块将相关通讯信息保存在数据库中；

C4.用户提示模块将检查提示信息类型，根据不同信息类型在智能手机用户交互界面产生不同的提示方法：信息类型为通讯行为特征不匹配，则提示当前正在操作的用户有非正常数据通讯行为特征，并提示用户阻断通讯还是放行；如信息类型为本系统设定规则限制，则自动阻断该通讯并提示用户；