專利名稱:用于安卓手機(jī)的基于入侵檢測(cè)的主動(dòng)響應(yīng)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種手機(jī)安全保護(hù)領(lǐng)域��,具體涉及一種用于安卓手機(jī)的基于安卓入侵檢測(cè)的主動(dòng)響應(yīng)系統(tǒng)�����。
背景技術(shù):
伴隨著3G網(wǎng)絡(luò)的普及以及智能手機(jī)市場(chǎng)占有率的提升��,無線手機(jī)應(yīng)用種類及數(shù)目迅速增長,手機(jī)上的應(yīng)用涉及到音樂����、閱讀、手機(jī)游戲�、即時(shí)通信(頂)����、手機(jī)郵箱���、手機(jī)電視���、手機(jī)炒股��、社區(qū)����、航信通�、彩信照片沖洗�����、信息管家等���。隨著用戶對(duì)無線手機(jī)應(yīng)用使用率的提升����,與之相關(guān)的安全問題也隨之出現(xiàn)����。為檢測(cè)上述可能出現(xiàn)的安全問題���,科研人員開發(fā)出了具有針對(duì)性的入侵檢測(cè)系統(tǒng)。入侵檢測(cè)是面向計(jì)算資源和網(wǎng)絡(luò)資源惡意行為的識(shí)別及響應(yīng)����,即是對(duì)入侵行為的發(fā)覺�����。通過對(duì)網(wǎng)絡(luò)或系統(tǒng)中若干 關(guān)鍵點(diǎn)的信息收集����,并且對(duì)其進(jìn)行分類和分析,從而發(fā)現(xiàn)入侵的惡意行為。與傳統(tǒng)的預(yù)防性安全機(jī)制相比�,入侵檢測(cè)是一種事后處理方案��,具有智能監(jiān)控�����、實(shí)時(shí)探測(cè)����、動(dòng)態(tài)響應(yīng)、易于配置等特點(diǎn)�,能夠及時(shí)發(fā)現(xiàn)系統(tǒng)中入侵的惡意行為。
發(fā)明內(nèi)容
本發(fā)明目的在于提供一種用于安卓手機(jī)的基于入侵檢測(cè)的自動(dòng)響應(yīng)系統(tǒng)�����,其基于安卓入侵檢測(cè)系統(tǒng)的檢測(cè)系統(tǒng),結(jié)合前期建立的可疑行為庫��,對(duì)可疑程序做出主動(dòng)響應(yīng)���,提高安卓系統(tǒng)的安全性�。為了解決現(xiàn)有技術(shù)中的這些問題��,本發(fā)明提供的技術(shù)方案是
一種用于安卓手機(jī)的基于入侵檢測(cè)的主動(dòng)響應(yīng)系統(tǒng)�,所述主動(dòng)響應(yīng)系統(tǒng)基于安卓入侵檢測(cè)系統(tǒng)���,所述安卓入侵檢測(cè)系統(tǒng)采用客戶端-服務(wù)器端的系統(tǒng)架構(gòu)��,所述服務(wù)器端用于通信�����、檢測(cè)及數(shù)據(jù)庫操作���,所述客戶端運(yùn)行于安卓手機(jī)終端�����,用于后臺(tái)掃描手機(jī)設(shè)備以獲取用來檢測(cè)的設(shè)備信息并且將所獲得的監(jiān)測(cè)信息發(fā)送至服務(wù)器端進(jìn)行檢測(cè),經(jīng)服務(wù)器端檢測(cè)后生成檢測(cè)結(jié)果信息�����,所述檢測(cè)結(jié)果信息出現(xiàn)異常時(shí)會(huì)發(fā)回至安卓手機(jī)終端���,所述主動(dòng)響應(yīng)系統(tǒng)基于入侵檢測(cè)系統(tǒng)的檢測(cè)結(jié)果�,所述主動(dòng)響應(yīng)系統(tǒng)采用客戶端-服務(wù)器端的系統(tǒng)架構(gòu),所述客戶端的組成單元包括接口模塊、初始化模塊、行為匹配模塊�、主動(dòng)響應(yīng)模塊���、通信模塊�����,所述服務(wù)器端的組成單元包括通信模塊����、靜態(tài)分析模塊����,初始化模塊用于獲取系統(tǒng)所在手機(jī)終端中用戶安裝的應(yīng)用程序信息并建立可疑程序集���,所述主動(dòng)響應(yīng)系統(tǒng)通過接口模塊調(diào)用入侵檢測(cè)系統(tǒng)的檢測(cè)結(jié)果����,所得到的異常檢測(cè)結(jié)果發(fā)送至行為匹配模塊�,行為匹配模塊將安卓入侵檢測(cè)系統(tǒng)檢測(cè)到的異常行為與可疑程序集中的行為做匹配,主動(dòng)響應(yīng)模塊根據(jù)匹配信息中的惡意等級(jí)決定相應(yīng)類型,若無匹配結(jié)果客戶端通過通信模塊連接服務(wù)器端��,將可疑程序交由服務(wù)器端進(jìn)行靜態(tài)分析靜兒指導(dǎo)客戶端主動(dòng)響應(yīng)模塊做出進(jìn)一步的響應(yīng)類型�,所述靜態(tài)分析模塊用于對(duì)安卓應(yīng)用程序可執(zhí)行文件的靜態(tài)分析�����。對(duì)于上述技術(shù)方案,發(fā)明人還有進(jìn)一步的優(yōu)化措施�。作為優(yōu)化,主動(dòng)響應(yīng)系統(tǒng)的客戶端還設(shè)有操作權(quán)限判定模塊,操作權(quán)限判定模塊從用戶安裝的應(yīng)用程序中取出含有開機(jī)自啟動(dòng)權(quán)限的應(yīng)用程序�����,以通知界面的形式將這些應(yīng)用程序信息顯示給用戶�,并讓用戶選擇信任為安全的程序,然后將用戶選擇的安全程序從可疑程序集中刪除��,不再進(jìn)行以后的判定��,當(dāng)手機(jī)中有新的應(yīng)用程序被安裝時(shí),也會(huì)進(jìn)行操作權(quán)限判定進(jìn)一步�����,主動(dòng)響應(yīng)系統(tǒng)的客戶端還設(shè)有數(shù)據(jù)庫模塊�����,用于為系統(tǒng)建立數(shù)據(jù)庫以及提供數(shù)據(jù)庫操作功能的函數(shù)接口���。作為優(yōu)化�,所述主動(dòng)響應(yīng)系統(tǒng)第一次啟動(dòng)時(shí)��,初始化模塊則開始執(zhí)行�,初始化模塊用于獲取系統(tǒng)所在手機(jī)終端中用戶安裝的應(yīng)用程序信息,并且調(diào)用數(shù)據(jù)庫模塊將所得到的應(yīng)用程序信息存入數(shù)據(jù)表中同時(shí)將已經(jīng)分類的惡意行為通過數(shù)據(jù)庫操作建立可疑程序集����。更進(jìn)一步,所述行為匹配模塊將入侵檢測(cè)系統(tǒng)檢測(cè)到的異常行為與初始化模塊在初始化階段已經(jīng)完成的可疑程序集中的行為做匹配���,得到該異常行為涉及到的操作權(quán)限后�����,再將這些操作權(quán)限所對(duì)應(yīng)的程序從可疑程序集中取出��,最后根據(jù)得到的程序數(shù)目的差異將信息發(fā)送到對(duì)應(yīng)的處理模塊�,如果得到僅一個(gè)程序被匹配為可疑程序則直接作為惡意程序進(jìn)入主動(dòng)響應(yīng)模塊執(zhí)行相應(yīng)操作���,否則則通過通信模塊將可疑程序信息發(fā)送至服務(wù)器端進(jìn)行進(jìn)一步判定����。更進(jìn)一步���,所述靜態(tài)分析模塊是由一個(gè)線程類來控制實(shí)現(xiàn)的���,線程處于運(yùn)行狀態(tài),當(dāng)消息隊(duì)列中有客戶端請(qǐng)求靜態(tài)分析的消息時(shí)����,靜態(tài)分析模塊便開始執(zhí)行,首先從消息中獲取可執(zhí)行文件�,然后調(diào)用靜態(tài)分析函數(shù)對(duì)可執(zhí)行文件進(jìn)行分析,分析時(shí)用到已經(jīng)創(chuàng)建完成的正常程序調(diào)用函數(shù)庫及異常程序調(diào)用函數(shù)庫���,最后根據(jù)分析函數(shù)返回的結(jié)果設(shè)置服務(wù)器端向客戶端的返回消息�����。相對(duì)于現(xiàn)有技術(shù)中的方案�����,本發(fā)明的優(yōu)點(diǎn)是
該系統(tǒng)是在安卓入侵檢測(cè)系統(tǒng)的異常檢測(cè)結(jié)果基礎(chǔ)之上完成的���,入侵檢測(cè)系統(tǒng)所檢測(cè)的異常行為是其得以運(yùn)行的條件之一����。本發(fā)明采用與安卓入侵檢測(cè)系統(tǒng)相同的系統(tǒng)架構(gòu)�����,即客戶端-服務(wù)器端模式���,結(jié)構(gòu)簡單易實(shí)現(xiàn)�?�?蛻舳素?fù)責(zé)從用戶手機(jī)中獲取用戶安裝的應(yīng)用程序信息�����,在收到IDSA檢測(cè)到的異常信息時(shí)結(jié)合異常行為對(duì)應(yīng)用程序做出初步判斷,將不確定的可疑程序信息發(fā)往服務(wù)器端�,并且等待接收服務(wù)器端進(jìn)行分析后的反饋信息,客戶端根據(jù)最終反饋結(jié)果采取合適的主動(dòng)響應(yīng)措施��;服務(wù)器端主要負(fù)責(zé)接收客戶端的關(guān)于可疑程序再分析的請(qǐng)求信息��,對(duì)信息中的可執(zhí)行文件進(jìn)行靜態(tài)分析�����,結(jié)合數(shù)據(jù)及方法給出最終分析結(jié)果�����,再將結(jié)果發(fā)送給客戶端��。本發(fā)明能夠及時(shí)有效地阻止手機(jī)惡意軟件的惡意行為��,提高手機(jī)安全性��。本發(fā)明可以對(duì)手機(jī)上的惡意行為做出主動(dòng)響應(yīng)�,及時(shí)阻止惡意行為的進(jìn)一步危害���,并讓手機(jī)用戶能夠及時(shí)了解情況��。
下面結(jié)合附圖及實(shí)施例對(duì)本發(fā)明作進(jìn)一步描述
圖I為本發(fā)明實(shí)施例的系統(tǒng)總體結(jié)構(gòu) 圖2為本發(fā)明實(shí)施例初始化模塊的結(jié)構(gòu) 圖3為本發(fā)明實(shí)施例操作權(quán)限判定模塊的工作流程 圖4為本發(fā)明實(shí)施例行為匹配模塊的工作流程圖�����;圖5為本發(fā)明實(shí)施例主動(dòng)響應(yīng)模塊的工作流程 圖6為本發(fā)明實(shí)施例靜態(tài)分析模塊的工作流程 圖7為本發(fā)明實(shí)施例的系統(tǒng)處理流程圖�。
具體實(shí)施例方式以下結(jié)合具體實(shí)施例對(duì)上述方案做進(jìn)一步說明。應(yīng)理解���,這些實(shí)施例是用于說明本發(fā)明而不限于限制本發(fā)明的范圍����。實(shí)施例中采用的實(shí)施條件可以根據(jù)具體廠家的條件做進(jìn)一步調(diào)整�,未注明的實(shí)施條件通常為常規(guī)實(shí)驗(yàn)中的條件。實(shí)施例
本實(shí)施例描述了一種用于安卓手機(jī)的主動(dòng)響應(yīng)系統(tǒng)�,所述主動(dòng)響應(yīng)系統(tǒng)是基于安卓入侵檢測(cè)系統(tǒng)而建立的。所述安卓入侵檢測(cè)系統(tǒng)采用客戶端-服務(wù)器端的系統(tǒng)架構(gòu)���,所述服務(wù)器端用于通信���、檢測(cè)及數(shù)據(jù)庫操作,所述客戶端運(yùn)行于安卓手機(jī)終端�����,用于后臺(tái)掃描手機(jī)設(shè)備以獲取用來檢測(cè)的設(shè)備信息并且將所獲得的監(jiān)測(cè)信息發(fā)送至服務(wù)器端進(jìn)行檢測(cè),經(jīng)服務(wù)器端檢測(cè)后生成檢測(cè)結(jié)果信息���,所述檢測(cè)結(jié)果信息出現(xiàn)異常時(shí)會(huì)發(fā)回至安卓手機(jī)終端�,所述主動(dòng)響應(yīng)系統(tǒng)基于入侵檢測(cè)系統(tǒng)的檢測(cè)結(jié)果�����。本發(fā)明所描述的主動(dòng)響應(yīng)系統(tǒng)的總體結(jié)構(gòu)如圖I所示���,其系統(tǒng)架構(gòu)與入侵檢測(cè)系統(tǒng)相同,均為客戶端-服務(wù)器端的系統(tǒng)架構(gòu)�����。主動(dòng)響應(yīng)系統(tǒng)客戶端的組成單元包括接口模塊����、初始化模塊、行為匹配模塊�、主動(dòng)響應(yīng)模塊、通信模塊���、操作權(quán)限判定模塊�����、數(shù)據(jù)庫模塊����,所述服務(wù)器端的組成單元包括通信模塊、靜態(tài)分析模塊�。在客戶端中數(shù)據(jù)庫模塊用于為系統(tǒng)建立數(shù)據(jù)庫以及提供數(shù)據(jù)庫操作功能的函數(shù)接口。初始化模塊用于獲取系統(tǒng)所在手機(jī)終端中用戶安裝的應(yīng)用程序信息并建立可疑程序集�,而操作權(quán)限判定模塊則用于提取具有開機(jī)自啟動(dòng)權(quán)限的應(yīng)用程序信息顯示給用戶并且由用戶逐一設(shè)定程序權(quán)限,所述主動(dòng)響應(yīng)系統(tǒng)通過接口模塊調(diào)用入侵檢測(cè)系統(tǒng)的檢測(cè)結(jié)果�,所得到的異常檢測(cè)結(jié)果發(fā)送至行為匹配模塊,行為匹配模塊將安卓入侵檢測(cè)系統(tǒng)檢測(cè)到的異常行為與可疑程序集中的行為做匹配����,主動(dòng)響應(yīng)模塊根據(jù)匹配信息中的惡意等級(jí)決定相應(yīng)類型,若無匹配結(jié)果客戶端通過通信模塊連接服務(wù)器端����,將可疑程序交由服務(wù)器端進(jìn)行靜態(tài)分析進(jìn)而指導(dǎo)客戶端主動(dòng)響應(yīng)模塊做出進(jìn)一步的響應(yīng)類型,所述靜態(tài)分析模塊用于對(duì)安卓應(yīng)用程序可執(zhí)行文件的靜態(tài)分析���。初始化模塊在主動(dòng)響應(yīng)系統(tǒng)第一次啟動(dòng)時(shí)便被執(zhí)行����,其結(jié)構(gòu)如圖2所示,本系統(tǒng)通過初始化構(gòu)造函數(shù)啟動(dòng)初始化模塊��,初始化模塊執(zhí)行獲取應(yīng)用程序的功能以獲取應(yīng)用程序信息�,然后再調(diào)用數(shù)據(jù)庫模塊的接口,通過數(shù)據(jù)庫操作存儲(chǔ)信息��,并且將已經(jīng)分類的惡意行為也通過數(shù)據(jù)庫操作存入數(shù)據(jù)庫中��,建立可疑程序集����。數(shù)據(jù)庫模塊系統(tǒng)建立數(shù)據(jù)庫并提供基本的創(chuàng)建表、刪除表����、插入數(shù)據(jù)��、刪除數(shù)據(jù)�����、查詢數(shù)據(jù)等數(shù)據(jù)庫操作功能的函數(shù)接口���,以方便系統(tǒng)其它模塊調(diào)用數(shù)據(jù)庫實(shí)現(xiàn)對(duì)數(shù)據(jù)的存儲(chǔ)和獲取��。
操作權(quán)限判定模塊的工作流程圖如圖3所示��,初始化模塊在系統(tǒng)第一次啟動(dòng)時(shí)將客戶端中的用戶所安裝的應(yīng)用程序均初步認(rèn)為是初始可疑程序集A����,操作權(quán)限判定模塊即是將A中含有開機(jī)自啟動(dòng)權(quán)限的應(yīng)用程序取出,其余不具有開機(jī)自啟動(dòng)權(quán)限的應(yīng)用程序仍作為可疑程序集����,可稱呼為可疑程序集B。所提取處的具有開機(jī)自啟動(dòng)權(quán)限的應(yīng)用程序以界面形式將信息顯示給用戶���,并提供給用戶選擇功能��,讓用戶選擇其信任的程序����,被用戶選定為信任的程序即認(rèn)為是安全程序����,從A中被刪除,否則����,程序即要進(jìn)入后面模塊的進(jìn)一步判定���,即同樣放置于可疑程序集B中。行為匹配模塊的工作流程圖如圖4所示���,行為匹配模塊將入侵檢測(cè)系統(tǒng)檢測(cè)到的異常行為與初始化模塊在初始化階段已經(jīng)完成的可疑程序集中的行為做匹配����,若匹配失敗則通知用戶��,否則得到該異常行為涉及到的操作權(quán)限后�,再將這些操作權(quán)限所對(duì)應(yīng)的程序從可疑程序集中取出,最后根據(jù)得到的程序數(shù)目的差異將信息發(fā)送到對(duì)應(yīng)的處理模塊�����,如果得到僅一個(gè)程序被匹配為可疑程序則直接作為惡意程序進(jìn)入主動(dòng)響應(yīng)模塊執(zhí)行相應(yīng)操作����,否則則通過通信模塊將可疑程序信息發(fā)送至服務(wù)器端進(jìn)行進(jìn)一步分析判定�����。主動(dòng)響應(yīng)模塊的工作流程如圖5所示,主動(dòng)響應(yīng)模塊從行為匹配模塊的最終判定結(jié)果中獲得異常行為的惡意等級(jí)����,根據(jù)惡意等級(jí)執(zhí)行不同等級(jí)的措施,所述執(zhí)行措施包括 發(fā)出警告����、終止程序進(jìn)程、卸載應(yīng)用程序���、刪除程序安裝文件等����。而服務(wù)器端的靜態(tài)分析模塊是對(duì)Android應(yīng)用程序可執(zhí)行文件(dex格式)進(jìn)行的靜態(tài)分析�����,可更為全面的分析可疑程序�����,對(duì)可疑程序的可靠性可做更細(xì)致的檢測(cè)�。靜態(tài)分析模塊是由一個(gè)線程類來控制實(shí)現(xiàn)的,其結(jié)構(gòu)流程如圖6所示,線程處于運(yùn)行狀態(tài)�,當(dāng)消息隊(duì)列中有客戶端請(qǐng)求靜態(tài)分析的消息時(shí),靜態(tài)分析模塊便開始執(zhí)行����,靜態(tài)分析模塊首先從客戶端請(qǐng)求消息中獲取可疑應(yīng)用程序的可執(zhí)行文件,然后調(diào)用靜態(tài)分析函數(shù)對(duì)可執(zhí)行文件進(jìn)行分析�,分析時(shí)用到已經(jīng)創(chuàng)建完成的正常程序調(diào)用函數(shù)庫及異常程序調(diào)用函數(shù)庫(即圖I中行為函數(shù)庫內(nèi)容),最后根據(jù)分析函數(shù)返回的結(jié)果設(shè)置服務(wù)器端向客戶端的返回消息����,客戶端再根據(jù)所得到的返回信息由主動(dòng)響應(yīng)模塊判斷實(shí)行何種等級(jí)的措施。綜上��,本實(shí)施例所描述的主動(dòng)響應(yīng)系統(tǒng)的處理流程如圖7所示���,首先是在系統(tǒng)第一次啟動(dòng)時(shí)通過初始化模塊將手機(jī)上用戶安裝的應(yīng)用程序信息存入相應(yīng)的數(shù)據(jù)表中���,入侵檢測(cè)系統(tǒng)提供的結(jié)果作為系統(tǒng)的一個(gè)輸入條件,檢測(cè)到的惡意行為被分類����,根據(jù)其所屬的行為類與數(shù)據(jù)表中程序的信息作匹配,針對(duì)匹配的不同結(jié)果�,則分情況進(jìn)入不同的階段;靜態(tài)分析功能是在服務(wù)器端完成的;最終都會(huì)得到一個(gè)結(jié)果�����,即發(fā)生惡意行為的應(yīng)用程序信息����,最后便是根據(jù)結(jié)果的主動(dòng)響應(yīng)措施���,在反饋給用戶信息的同時(shí)也要求用戶參與以使響應(yīng)措施更加合理���。上述實(shí)例只為說明本發(fā)明的技術(shù)構(gòu)思及特點(diǎn),其目的在于讓熟悉此項(xiàng)技術(shù)的人是能夠了解本發(fā)明的內(nèi)容并據(jù)以實(shí)施���,并不能以此限制本發(fā)明的保護(hù)范圍���。凡根據(jù)本發(fā)明精神實(shí)質(zhì)所做的等效變換或修飾,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)���。
權(quán)利要求
1.一種用于安卓手機(jī)的基于入侵檢測(cè)的主動(dòng)響應(yīng)系統(tǒng)���,所述主動(dòng)響應(yīng)系統(tǒng)基于安卓入侵 檢測(cè)系統(tǒng),所述安卓入侵檢測(cè)系統(tǒng)采用客戶端-服務(wù)器端的系統(tǒng)架構(gòu),所述服務(wù)器端用于通信�、檢測(cè)及數(shù)據(jù)庫操作,所述客戶端運(yùn)行于安卓手機(jī)終端����,用于后臺(tái)掃描手機(jī)設(shè)備以獲取用來檢測(cè)的設(shè)備信息并且將所獲得的監(jiān)測(cè)信息發(fā)送至服務(wù)器端進(jìn)行檢測(cè),經(jīng)服務(wù)器端檢測(cè)后生成檢測(cè)結(jié)果信息�����,所述檢測(cè)結(jié)果信息出現(xiàn)異常時(shí)會(huì)發(fā)回至安卓手機(jī)終端����,其特征在于,所述主動(dòng)響應(yīng)系統(tǒng)基于入侵檢測(cè)系統(tǒng)的檢測(cè)結(jié)果�����,所述主動(dòng)響應(yīng)系統(tǒng)采用客戶端-服務(wù)器端的系統(tǒng)架構(gòu) �,所述客戶端的組成單元包括接口模塊、初始化模塊�、行為匹配模塊、主動(dòng)響應(yīng)模塊���、通信模塊����,所述服務(wù)器端的組成單元包括通信模塊、靜態(tài)分析模塊�����,初始化模塊用于獲取系統(tǒng)所在手機(jī)終端中用戶安裝的應(yīng)用程序信息并建立可疑程序集���,所述主動(dòng)響應(yīng)系統(tǒng)通過接口模塊調(diào)用入侵檢測(cè)系統(tǒng)的檢測(cè)結(jié)果,所得到的異常檢測(cè)結(jié)果發(fā)送至行為匹配模塊��,行為匹配模塊將安卓入侵檢測(cè)系統(tǒng)檢測(cè)到的異常行為與可疑程序集中的行為做匹配�,主動(dòng)響應(yīng)模塊根據(jù)匹配信息中的惡意等級(jí)決定相應(yīng)類型,若無匹配結(jié)果客戶端通過通信模塊連接服務(wù)器端�,將可疑程序交由服務(wù)器端進(jìn)行靜態(tài)分析靜」L指導(dǎo)客戶端主動(dòng)響應(yīng)模塊做出進(jìn)一步的響應(yīng)類型,所述靜態(tài)分析模塊用于對(duì)安卓應(yīng)用程序可執(zhí)行文件的靜態(tài)分析��。
2.根據(jù)權(quán)利要求I所述的用于安卓手機(jī)的基于入侵檢測(cè)的主動(dòng)響應(yīng)系統(tǒng)�����,其特征在于�,主動(dòng)響應(yīng)系統(tǒng)的客戶端還設(shè)有操作權(quán)限判定模塊,操作權(quán)限判定模塊從用戶安裝的應(yīng)用程序中取出含有開機(jī)自啟動(dòng)權(quán)限的應(yīng)用程序����,以通知界面的形式將這些應(yīng)用程序信息顯示給用戶��,并讓用戶選擇信任為安全的程序�����,然后將用戶選擇的安全程序從可疑程序集中刪除�,不再進(jìn)行以后的判定�����,當(dāng)手機(jī)中有新的應(yīng)用程序被安裝時(shí)���,也會(huì)進(jìn)行操作權(quán)限判定��。
3.根據(jù)權(quán)利要求I所述的用于安卓手機(jī)的基于入侵檢測(cè)的主動(dòng)響應(yīng)系統(tǒng)���,其特征在于,主動(dòng)響應(yīng)系統(tǒng)的客戶端還設(shè)有數(shù)據(jù)庫模塊�����,用于為系統(tǒng)建立數(shù)據(jù)庫以及提供數(shù)據(jù)庫操作功能的函數(shù)接口��。
4.根據(jù)權(quán)利要求I或3所述的用于安卓手機(jī)的基于入侵檢測(cè)的主動(dòng)響應(yīng)系統(tǒng),其特征在于�����,所述主動(dòng)響應(yīng)系統(tǒng)第一次啟動(dòng)時(shí)����,初始化模塊則開始執(zhí)行,初始化模塊用于獲取系統(tǒng)所在手機(jī)終端中用戶安裝的應(yīng)用程序信息��,并且調(diào)用數(shù)據(jù)庫模塊將所得到的應(yīng)用程序信息存入數(shù)據(jù)表中同時(shí)將已經(jīng)分類的惡意行為通過數(shù)據(jù)庫操作建立可疑程序集����。
5.根據(jù)權(quán)利要求I或2所述的用于安卓手機(jī)的基于入侵檢測(cè)的主動(dòng)響應(yīng)系統(tǒng)�����,其特征在于��,所述行為匹配模塊將入侵檢測(cè)系統(tǒng)檢測(cè)到的異常行為與初始化模塊在初始化階段已經(jīng)完成的可疑程序集中的行為做匹配��,得到該異常行為涉及到的操作權(quán)限后�,再將這些操作權(quán)限所對(duì)應(yīng)的程序從可疑程序集中取出,最后根據(jù)得到的程序數(shù)目的差異將信息發(fā)送到對(duì)應(yīng)的處理模塊����,如果得到僅一個(gè)程序被匹配為可疑程序則直接作為惡意程序進(jìn)入主動(dòng)響應(yīng)模塊執(zhí)行相應(yīng)操作�,否則則通過通信模塊將可疑程序信息發(fā)送至服務(wù)器端進(jìn)行進(jìn)一步判定�。
6.根據(jù)權(quán)利要求I所述的用于安卓手機(jī)的基于入侵檢測(cè)的主動(dòng)響應(yīng)系統(tǒng),其特征在于��,所述靜態(tài)分析模塊是由一個(gè)線程類來控制實(shí)現(xiàn)的��,線程處于運(yùn)行狀態(tài)�����,當(dāng)消息隊(duì)列中有客戶端請(qǐng)求靜態(tài)分析的消息時(shí)��,靜態(tài)分析模塊便開始執(zhí)行���,首先從消息中獲取可執(zhí)行文件���,然后調(diào)用靜態(tài)分析函數(shù)對(duì)可執(zhí)行文件進(jìn)行分析,分析時(shí)用到已經(jīng)創(chuàng)建完成的正常程序調(diào)用函數(shù)庫及異常程序調(diào)用函數(shù)庫��,最后根據(jù)分析函數(shù)返回的結(jié)果設(shè)置服務(wù)器端向客戶端的返回消息�����。
全文摘要
本發(fā)明公開了一種用于安卓手機(jī)的基于入侵檢測(cè)的主動(dòng)響應(yīng)系統(tǒng),本發(fā)明采用與安卓入侵檢測(cè)系統(tǒng)相同的系統(tǒng)架構(gòu)�����,即客戶端-服務(wù)器端模式��,結(jié)構(gòu)簡單易實(shí)現(xiàn)�����?��?蛻舳素?fù)責(zé)從用戶手機(jī)中獲取用戶安裝的應(yīng)用程序信息���,在收到IDSA檢測(cè)到的異常信息時(shí)結(jié)合異常行為對(duì)應(yīng)用程序做出初步判斷�,將不確定的可疑程序信息發(fā)往服務(wù)器端,并且等待接收服務(wù)器端進(jìn)行分析后的反饋信息����,客戶端根據(jù)最終反饋結(jié)果采取合適的主動(dòng)響應(yīng)措施;服務(wù)器端主要負(fù)責(zé)接收客戶端的關(guān)于可疑程序再分析的請(qǐng)求信息���,對(duì)信息中的可執(zhí)行文件進(jìn)行靜態(tài)分析�,結(jié)合數(shù)據(jù)及方法給出最終分析結(jié)果,再將結(jié)果發(fā)送給客戶端����。
文檔編號(hào)H04M1/725GK102638617SQ201210089878
公開日2012年8月15日 申請(qǐng)日期2012年3月30日 優(yōu)先權(quán)日2012年3月30日
發(fā)明者代棟, 余艷瑋, 侯振靖, 劉吉, 周學(xué)海, 唐長城, 孫明明, 楊峰, 王超, 王雅楠, 趙偉, 陳瑩 申請(qǐng)人:中國科學(xué)技術(shù)大學(xué)蘇州研究院