[发明专利]一种基于运行时验证的恶意行为监测方法

说明书

本发明公开了一种基于运行时验证的恶意行为监测方法，涉及计算机技术领域，该方法包括：当软件活动请求敏感信息时，在处理这个请求之前，它必须通过Linux内核的系统调用，该方法在内核空间中拦截系统调用并进行数据解析，由监控器根据解析后的调用数据检测应用程序实时执行的应用程序行为是否属于恶意行为，若属于恶意行为时，则向用户发送报警信息；该方法可以在运行时访问Android应用程序的实际执行行为来监测应用程序有无恶意行为，是一种轻量级的动态监测方法，且不需要对Android系统进行太多修改，监测方法更准确、部署效率更高、成本更低。

技术领域

本发明涉及计算机技术领域，尤其是一种基于运行时验证的恶意行为监测方法。

背景技术

随着Android(安卓)系统以及智能手机的快速发展，Android应用程序呈现爆炸式的增长，随之而来的是Android系统的安全性问题，恶意应用程序对移动终端的恶意攻击、对用户隐私信息的窃取等问题日益严重。

很多正常的应用程序会被嵌入恶意代码成为恶意应用程序并重新打包上传至Android市场，现有的Android内置的安全机制通常无法拦截这一类恶意应用程序的恶意请求，为了解决这一安全性问题，目前安卓系统比较主流的恶意程序检测方法主要包括静态检测和动态检测。静态检测的一个典型是Saint框架，Saint框架的中心组件是一个经过修改的Android应用程序安装程序和AppPolicy Provider，自定义安装程序可以确保在安装时只安装不违反AppPolicy Provider中存储的策略的应用程序，其大多基于为第三方应用程序静态分配权限来决定应用程序在运行时可能执行或不执行的操作，依赖性较强，当出现新的恶意程序时，通常无法准确识别。动态检测的一个典型是TaintDroid，TaintDroid是对整个Android堆栈的一个广泛的修改，跟踪敏感数据流运行时的第三方应用程序，这些修改允许TaintDroid以任何形式或者直接上传文件来检测何时泄露敏感数据，但TaintDroid为了在整个系统中跟踪敏感数据的使用情况，其实际上污染了敏感数据，同时也会带来高达27％的运行时间开销。

发明内容

本发明人针对上述问题及技术需求，提出了一种基于运行时验证的恶意行为监测方法，该方法基于运行时验证，是一种轻量级的动态监测方法，可以在运行时访问Android应用程序的实际执行行为来监测应用程序有无恶意行为，监测方法更准确、部署效率更高、成本更低。

本发明的技术方案如下：

一种基于运行时验证的恶意行为监测方法，该方法包括：

在系统运行过程中，当检测到应用程序请求敏感信息时，在内核空间中拦截处理其信息的系统调用；

建立内核空间与用户空间之间的双向通信连接；

在用户空间中对拦截到的系统调用的调用数据进行解析得到解析后的调用数据；

将解析后的调用数据传给监控器，通过监控器检测应用程序实时执行的应用程序行为是否属于恶意行为；

当检测到应用程序行为属于恶意行为时，则向用户发出警报信息。

其进一步的技术方案为，该方法还包括：

以预设描述语言描述预设恶意行为，得到各个预设恶意行为对应的描述数据；

检测应用程序实时执行的应用程序行为是否属于恶意行为，包括：

将所述解析后的调用数据与各个预设恶意行为对应的描述数据进行对比；

若对比成功，则确定应用程序行为属于恶意行为。

其进一步的技术方案为，当检测到应用程序请求敏感信息时，在内核空间中拦截处理其信息的系统调用，包括：

在预设系统调用中插入kprobes；