| 发明名称 | 一种基于文件访问动态监控的Android恶意应用检测方法及系统 | ||
| 摘要 | 本发明涉及一种基于文件访问动态监控的Android恶意应用检测方法及系统,利用动态加载内核模块技术修改Android内核;点击应用的不同组件,收集运行过程中的所有文件访问操作,形成原始文件访问记录INI及其属性值;以文件访问周期为单位做整理,形成整理后的文件PRE及其属性值;定制文件访问策略集S,Q,U,S表示无时序策略集,Q表示单文件时序策略集,U表示多文件时序策略集,判别是否触发敏感行为,最终判断是否为恶意应用。 | ||
| 申请公布号 | CN105956468A | 申请公布日期 | 2016.09.21 |
| 申请号 | CN201610256541.X | 申请日期 | 2016.04.22 |
| 申请人 | 中国科学院信息工程研究所 | 发明人 | 张妍;王雅哲 |
| 分类号 | G06F21/56(2013.01)I | 主分类号 | G06F21/56(2013.01)I |
| 代理机构 | 北京科迪生专利代理有限责任公司 11251 | 代理人 | 成金玉;卢纪 |
| 主权项 | 一种基于文件访问动态监控的Android恶意应用检测方法,其特征在于包括如下步骤:步骤S01:基于Android内核结构,利用动态加载内核模块技术(Loadable Kernel Module,LKM)加载修改过的文件系统,更改Android原生系统的系统调用列表,使待测应用在运行过程受到监控,得到修改过的Android内核;步骤S02:定制文件访问策略集S,Q,U,其中S表示无时序策略集,Q表示单文件访问时序策略集,U表示多文件访问时序策略集;步骤S03:在步骤S01修改过的Android内核上运行待测应用,点击应用的不同组件,收集运行过程中的所有文件访问操作,形成原始文件访问记录INI及其属性值;步骤S04:对形成的原始文件访问记录INI,进行初步的数据清洗,将无用的文件操作去除,得到去噪后的INI’文件,以保证文件系统的运行效率;步骤S05:将去噪后的INI’按照文件访问周期整理,形成整理后的记录文件PRE及其属性值;步骤S06:将步骤S05整理后的记录文件PRE与步骤S02制定的文件访问策略集S,Q,U匹配,判别是否触发敏感行为,最终判断是否为恶意应用,若判定文件PRE匹配文件访问策略集S,Q,U中的任意一条,则认为该应用触发了敏感行为,为恶意应用,否则认为该应用为安全应用。 | ||
| 地址 | 100093 北京市海淀区闵庄路甲89号 | ||