[发明专利]移动终端异常行为的检测方法与系统

权利要求书

1.一种移动终端异常行为检测方法，其特征在于包括以下步骤：

A、基于APP行为白名单，检测恶意APP中马行为；

B、基于APP行为白名单，检测恶意APP提权行为；

C、针对关键挂钩入口点，检测恶意APP隐藏行为；

D、基于发送与接收的流量比值，检测恶意APP通信行为；

E、根据语音与触摸驱动特征以及授权情况，检测恶意APP窃密行为；

所述步骤A包括：

A1、读取APP行为白名单中的APP名称、版本号、文件名与散列值；

A2、若APP与版本号在白名单中，则开始安装APP；

A3、若安装文件在白名单中，且其散列值与白名单中相应文件散列值相同，则复制APP安装文件；

APP行为白名单信息包括APP名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称、文件散列值；

所述步骤B包括：

B1、读取APP行为白名单中的APP名称、版本号、帐号、权限、根目录；

B2、若APP在自己的根目录内实施读写执行权限、对系统配置目录中的用户与口令文件实施读写权限、对系统库文件目录实施读权限，则放行，否则告警；

所述步骤C包括：

C1、读取并比较内存进程视图与APP行为白名单中APP名称与进程名称；

C2、若内存进程视图中的进程名称不在白名单中，则告警；

C3、读取并比较APP进程中库文件函数的输入地址与检测引擎库文件函数的输入地址；

C4、若两个输入地址不相同，则告警；

C5、读取并比较内存中断调度表与引擎的中断服务例程名称；

C6、若同一中断的中断服务例程名称不相同，则告警；

C7、读取比较内存驱动请求调度例程与注册的驱动请求调度例程；

C8、若驱动请求调度例程没有注册，则告警；

所述步骤E包括：

E1、分析APP挂钩入口点的二进制代码特征；

E2、若有语音或触摸驱动特征，则告警；

E3、检测读取通信录与密码信息行为；

E4、若超出APP的权限，则告警。

2.根据权利要求1所述的一种移动终端异常行为检测方法，其特征在于，所述步骤D包括：

D1、采集、解析并统计每个APP确定时间段内的流量；

D2、若发送字节数多于接收字节数，则；

D3、判定该行为为恶意APP的异常通信行为。

3.一种移动终端异常行为检测系统，其特征在于，执行如权利要求1或2所述的一种移动终端异常行为检测方法，包括：

恶意APP异常行为检测引擎，包括恶意APP中马行为检测、恶意APP提权行为检测、恶意APP隐藏行为检测、恶意APP通信行为检测、恶意APP窃密行为检测，其中恶意APP中马行为检测包括恶意APP安装检测与恶意APP注入检测，恶意APP隐藏行为检测包括用户模式隐藏行为检测与内核模式隐藏行为检测，恶意APP窃密行为检测包括窃取语音行为检测、窃取信息行为检测与窃取触摸行为检测；

APP行为白名单数据库包括APP名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称、文件散列值；

APP行为白名单数据库记录APP名称、版本、进程名称、帐号、权限、根目录、文件个数、文件名称与文件散列值信息；恶意APP异常行为检测引擎针对不同的异常行为进行检测，包括恶意APP中马行为、恶意APP提权行为、恶意APP隐藏行为、恶意APP通信行为、恶意APP窃密行为；

所述系统还用于：

读取APP行为白名单中的APP名称、版本号、帐号、权限、根目录；

若APP在自己的根目录内实施读写执行权限、对系统配置目录中的用户与口令文件实施读写权限、对系统库文件目录实施读权限，则放行，否则告警。