[发明专利]一种监测Android终端能量空耗攻击的方法及系统

权利要求书

1.一种监测Android终端能量空耗攻击的方法，其特征在于，包括：

在Android应用框架层的Intent处理模块中加入第一消息钩子，获取Intent消息；

在Android应用框架层的WindowManagerService模块中加入第二消息钩子，获取用户对手机点击事件操作；

接收并处理所述第一消息钩子传递过来的信息，生成第一数据包；

接收并处理所述第二消息钩子传递过来的信息，生成第二数据包；

匹配所述第一数据包和所述第二数据包，获得可疑第一数据包；

对所述可疑第一数据包进行分析，得到分析结果；

根据所述分析结果，发出警报；

所述“匹配所述第一数据包和所述第二数据包”具体为：

所述第一数据包，包括Intent消息发起者包名和第一数据包当前系统时间；

预设一时间段内的第一数据包形成第一队列，取出一第一数据包；

所述第二数据包，包括点击事件响应程序包名和第二数据包当前系统时间；

预设一时间段内的第二数据包形成第二队列，取出一第二数据包；

根据所述第二数据包当前系统时间，获得第二数据包时间窗口范围；

若所述第一数据包当前系统时间落在所述第二数据包时间窗口范围内，则：

比较所述一第一数据包的Intent消息发起者包名和所述一第二数据包的点击事件响应程序包名；

若所述一第一数据包的Intent消息发起者包名和所述一第二数据包的点击事件响应程序包名相同，则：

所述一第一数据包为可信第一数据包；

将所述可信第一数据包从第一队列中移除，否则：

所述一第一数据包为可疑第一数据包；

将所述可疑第一数据包保留在第一队列中。

2.根据权利要求1所述的一种监测Android终端能量空耗攻击的方法，其特征在于，所述“对所述可疑第一数据包进行分析”具体为：

获取可疑第一数据包的Intent消息发起者包名；

统计所述Intent消息发起者包名指代的进程的调用频率；

若所述Intent消息发起者包名指代的进程的调用频率大于1，则：

所述Intent消息发起者包名指代的进程为可疑能量空耗攻击进程，发出警报。

3.根据权利要求1所述的一种监测Android终端能量空耗攻击的方法，其特征在于，所述“取出一第一数据包”之前进一步包括：

预设时间窗口宽度；

所述第一数据包，还包括扫描过滤标记；

获得所述一第一数据包的扫描过滤标记；

若所述扫描过滤标记为未扫描状态，则：

取出所述一第一数据包。

4.根据权利要求1所述的一种监测Android终端能量空耗攻击的方法，其特征在于，所述“第二数据包时间窗口范围”具体为：

所述第二数据包时间窗口范围的上届为，第二数据包当前系统时间加时间窗口宽度的一半；

所述第二数据包时间窗口范围的下界为，第二数据包当前系统时间减时间窗口宽度的一半。

5.根据权利要求2所述的一种监测Android终端能量空耗攻击的方法，其特征在于，所述“统计所述Intent消息发起者包名指代的进程的调用频率”具体为：

单位时间内，所述Intent消息发起者包名在第一队列中出现的次数。