[发明专利]一种基于云平台的Android权限提升攻击检测系统和方法

说明书

技术领域

本发明属于计算机安全和移动安全领域，更具体地，涉及一种基于云平台的Android权限提升攻击检测系统和方法。

背景技术

近年来，智能终端在全球范围内广泛普及，尤其是以Google的Android系统和Apple的iOS系统为代表的智能终端。据Gartner公司报告，2012年第一季度Android和iOS系统手机占全球智能手机总市场的79%，其中Android系统手机占56%。由于Android市场占有率高、系统开放源码等特性，本专利针对目前较流行的Android系统移动终端。随着Android智能终端的流行，针对Android系统的恶意代码也日益增多，据最新卡巴斯基公司报告，2012年第二季度超过14,900个新增的恶意代码样本被添加到卡巴斯基的数据库中，这些恶意代码主要是吸费程序和远程控制的木马。此外，虽然目前Android系统的安全机制（主要包括虚拟机隔离和基于权限的访问控制策略）能够尽可能地保证应用程序间的隔离性，然而最近的研究表明，Android系统中间层存在权限提升攻击，该攻击能够在未经用户许可的情况下获得特权权限从而绕过Android系统的安全机制。

目前，针对Android中间层的权限提升攻击，已经存在一些解决方案来检测这种攻击，其中IPCInspection、Quire和XmanDroid是3种主要的方法，这些方法要么通过减少接收程序的权限，要么通过构造组件间通信（Inter-component communication，简称ICC）调用图来防止或检测该攻击。然而，目前这些方案均部署在移动终端，由于智能手机的低运算能力、低电池容量等特性，导致以上这些方法在实际部署过程可能存在耗时和耗资源的问题，此外上述方案均无法实现检测信息的共享。

发明内容

针对现有技术的缺陷，本发明的目的在于提供一种基于云平台的Android权限提升攻击检测系统，其利用云平台的强大计算能力来解决终端能力不足的问题，根据管理员定义的策略预先对应用软件进行分类，从而避免终端在每次ICC（组件间通信）调用时均进行耗时、耗资源的检测操作。此外，由于众多终端接入云平台，当一个终端检测到安全威胁时云平台可以方便地通知到其他终端以实现信息共享。

为实现上述目的，本发明提供了一种基于云平台的Android权限提升攻击检测系统，包括程序收集和策略制定模块、程序分类模块、第一判断模块、决策模块、ICC拒绝执行模块、ICC允许执行模块、第二判断模块、应用程序安装模块、应用程序更新服务模块、数据库更新模块，程序手机和策略制定模块设置于云端，用于利用爬虫程序从应用市场下载应用程序，应用市场包括官方市场和第三方市场，并且根据已知的权限提升攻击样本制定安全策略，程序分类模块设置于云端，用于根据安全策略对应用程序进行分类，第一判断模块设置于移动终端，用于对其已分类应用程序数据库进行初始化，并判断应用程序是否有更新操作，如果有则转入第二判断模块，否则转入决策模块，决策模块设置于移动终端，用于截获ICC通信，并判断ICC通信的发送方和接收方是否处于本地已分类应用程序数据库中，如果是则进入ICC拒绝执行模块，否则进入ICC允许执行模块，ICC拒绝执行模块设置于移动终端，用于拒绝执行ICC通信，并将发送程序和接收程序信息上报到云端，ICC允许执行模块设置于移动终端，用于允许执行ICC通信，第二判断模块设置于移动终端，用于判断更新操作的类型是安装操作，还是卸载操作，如果是安装操作，则进入应用程序安装模块，如果是卸载操作，则进入数据库更新模块，应用程序安装模块设置于移动终端，用于向云端发出更新操作请求，应用程序更新服务模块设置于云端，用于根据更新操作请求对移动终端的已分类应用程序数据库执行更新，并将结果发送到移动终端，数据库更新模块设置于移动终端，用于根据云端发送的结果或直接更新其已分类应用程序数据库和程序权限数据库。

程序分类模块包括数据库操作子模块、分类操作子模块，数据库分类子模块用于读取应用程序信息数据库，并传入到分类操作子模块，并在分类操作子模块处理完数据后，通知本子模块将数据写入已分类应用程序数据库，分类操作子模块用于根据安全策略对应用程序信息进行分类。