移動應(yīng)用的安全性檢測方法及移動終端的制作方法
【專利摘要】本發(fā)明提供了一種用于檢測移動終端上的移動應(yīng)用的安全性的方法以及相應(yīng)的移動終端。該方法包括：監(jiān)控移動應(yīng)用針對遠(yuǎn)程網(wǎng)絡(luò)訪問的會話；抓取與該會話有關(guān)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文；從抓取的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中恢復(fù)出原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文；檢測原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中是否包含新的應(yīng)用安裝包；如果原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中包含新的應(yīng)用安裝包，則對新的應(yīng)用安裝包進(jìn)行安全性掃描檢測。
【專利說明】移動應(yīng)用的安全性檢測方法及移動終端
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及移動終端安全領(lǐng)域，更具體地涉及ー種用于檢測移動終端上的移動應(yīng)用的安全性的方法，以及實(shí)現(xiàn)該方法的移動終端。
【背景技術(shù)】
[0002]在當(dāng)今的移動通信領(lǐng)域中，移動終端已在世界范圍內(nèi)被廣泛應(yīng)用。移動終端的示例包括(但不限干):移動電話、個(gè)人數(shù)字助理(PDA)、手持計(jì)算機(jī)、膝上型計(jì)算機(jī)、平板電腦
坐寸o
[0003]隨著移動終端的迅速普及，伴隨而來的安全性問題日益突出，尤其是可在移動終端上運(yùn)行的各種各樣的移動應(yīng)用所帯來的安全性問題。當(dāng)前，針對未知移動應(yīng)用的安全性檢測技術(shù)主要使用傳統(tǒng)的靜態(tài)檢測技術(shù)(例如，特征碼匹配技術(shù)和靜態(tài)掃描技木)來進(jìn)行安全性檢測。特征碼匹配技術(shù)主要在事先積累的大量樣本(即，移動應(yīng)用)的基礎(chǔ)上通過提取特征串的方式建立豐富的特征碼庫，然后在此基礎(chǔ)上通過安全策略設(shè)定和打分機(jī)制對未知移動應(yīng)用進(jìn)行解析和特征匹配，以判斷該未知移動應(yīng)用是否為惡意應(yīng)用。靜態(tài)掃描技術(shù)通常對未知移動應(yīng)用采取反向過程或源代碼掃描方式，從代碼的角度對未知移動應(yīng)用進(jìn)行安全性掃描，以發(fā)現(xiàn)現(xiàn)有代碼或邏輯中可能存在的安全性問題，并將此作為未知移動應(yīng)用是否安全的依據(jù)。
[0004]傳統(tǒng)的基于特征碼的掃描和檢測技術(shù)在面對新出現(xiàn)且具備隱秘特性的惡意移動應(yīng)用吋，已經(jīng)面臨無法進(jìn)行實(shí)時(shí)和有效的檢測所帶來的挑戰(zhàn)。現(xiàn)有的惡意移動應(yīng)用在面對特征碼匹配技術(shù)和靜態(tài)掃描技術(shù)等現(xiàn)有的靜態(tài)檢測技術(shù)時(shí)，可以通過混淆或隱藏等手段來逃避這些現(xiàn)有的靜態(tài)檢測技術(shù)，并且只在運(yùn)行狀態(tài)時(shí)，在遠(yuǎn)程控制命令觸發(fā)條件下，才會產(chǎn)生惡意應(yīng)用下載的情況，并帶來相關(guān)的遠(yuǎn)程惡意行為。所以，需要解決這種未知移動應(yīng)用只有和遠(yuǎn)程惡意源相互配合才會產(chǎn)生的安全威脅。

【發(fā)明內(nèi)容】

[0005]因此，本發(fā)明針對這種未知移動應(yīng)用只有和遠(yuǎn)程惡意源相互配合才會產(chǎn)生的安全威脅，提出一種面向移動應(yīng)用的遠(yuǎn)程惡意行為的分析方法，用于彌補(bǔ)傳統(tǒng)的靜態(tài)檢測方法在面對此類安全威脅檢測時(shí)的不足，提高對未知移動應(yīng)用的惡意遠(yuǎn)程行為的安全性檢測的準(zhǔn)確性。
[0006]具體地，根據(jù)本發(fā)明的第一方案，提供了一種用于檢測移動終端上的移動應(yīng)用的安全性的方法。該方法包括以下步驟:監(jiān)控移動應(yīng)用針對遠(yuǎn)程網(wǎng)絡(luò)訪問的會話；抓取與該會話有關(guān)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文；從抓取的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中恢復(fù)出原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文；檢測原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中是否包含新的應(yīng)用安裝包；如果原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中包含新的應(yīng)用安裝包，則對新的應(yīng)用安裝包進(jìn)行安全性掃描檢測。
[0007]在一些實(shí)施例中，監(jiān)控移動應(yīng)用針對遠(yuǎn)程網(wǎng)絡(luò)訪問的會話的步驟包括:監(jiān)控移動應(yīng)用針對遠(yuǎn)程網(wǎng)絡(luò)訪問的會話的請求和響應(yīng)。[0008]在一些實(shí)施例中，在抓取與該會話有關(guān)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文之后，所述方法還包括:存儲所抓取的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文。
[0009]在一些實(shí)施例中，對新的應(yīng)用安裝包進(jìn)行安全性掃描檢測的步驟包括:調(diào)用病毒或惡意應(yīng)用掃描接ロ對新的應(yīng)用安裝包進(jìn)行安全性掃描檢測。
[0010]在一些實(shí)施例中，所述新的應(yīng)用安裝包是Android PacKage (APK)安裝包。
[0011 ] 在一些實(shí)施例中，所述方法是在系統(tǒng)內(nèi)核中實(shí)現(xiàn)的。
[0012]根據(jù)本發(fā)明的第二方案，提供了一種移動終端，用于檢測該移動終端上的移動應(yīng)用的安全性。該移動終端包括:監(jiān)控單元，用于監(jiān)控移動應(yīng)用針對遠(yuǎn)程網(wǎng)絡(luò)訪問的會話；抓取単元，用于抓取與該會話有關(guān)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文；恢復(fù)單元，用于從抓取的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中恢復(fù)出原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文；檢測單元，用于檢測原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中是否包含新的應(yīng)用安裝包；安全性掃描檢測單元，用于在原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中包含新的應(yīng)用安裝包的情況下，對新的應(yīng)用安裝包進(jìn)行安全性掃描檢測。
[0013]在一些實(shí)施例中，所述監(jiān)控単元用于:監(jiān)控移動應(yīng)用針對遠(yuǎn)程網(wǎng)絡(luò)訪問的會話的請求和響應(yīng)。
[0014]在一些實(shí)施例中，該移動終端還包括:存儲單元，用于存儲抓取単元所抓取的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文。
[0015]在一些實(shí)施例中，安全性掃描檢測單元用于:調(diào)用病毒或惡意應(yīng)用掃描接ロ對新的應(yīng)用安裝包進(jìn)行安全性掃描檢測。
[0016]在一些實(shí)施例中，所述新的應(yīng)用安裝包是APK安裝包。
[0017]本發(fā)明提供的方法和移動終端為用戶提供了動態(tài)監(jiān)測移動應(yīng)用的遠(yuǎn)程控制行為的手段。通過本發(fā)明的方法，可以對未知移動應(yīng)用是否存在惡意遠(yuǎn)程行為進(jìn)行安全性檢測和分析，從而提高了移動終端的安全性。
【專利附圖】

【附圖說明】
[0018]通過下面結(jié)合【專利附圖】

【附圖說明】本發(fā)明的優(yōu)選實(shí)施例，將使本發(fā)明的上述及其它目的、特征和優(yōu)點(diǎn)更加清楚，其中:
[0019]圖1是示出了根據(jù)本發(fā)明的一些實(shí)施例的移動終端100中的示例網(wǎng)絡(luò)協(xié)議棧的框圖。
[0020]圖2是示出了根據(jù)本發(fā)明的一些實(shí)施例的安全檢測機(jī)制的示意框圖。
[0021]圖3是示出了根據(jù)本發(fā)明的一些實(shí)施例的檢測策略配置的一個(gè)示意結(jié)構(gòu)。
[0022]圖4是示出了根據(jù)本發(fā)明的一些實(shí)施例的惡意應(yīng)用檢測模塊的處理流程。
[0023]圖5是示出了根據(jù)本發(fā)明的一些實(shí)施例的檢測移動應(yīng)用的安全性的方法500的流程圖。
[0024]圖6是示出了根據(jù)本發(fā)明的一些實(shí)施例的移動終端600的框圖。
[0025]在本發(fā)明的所有附圖中，相同或相似的結(jié)構(gòu)均以相同或相似的附圖標(biāo)記來標(biāo)識。
【具體實(shí)施方式】
[0026]下面參照附圖對本發(fā)明的優(yōu)選實(shí)施例進(jìn)行詳細(xì)說明，在描述過程中省略了對于本發(fā)明來說是不必要的細(xì)節(jié)和功能，以防止對本發(fā)明的理解造成混淆。以下，以本發(fā)明應(yīng)用于無線移動通信系統(tǒng)的場景為例，對本發(fā)明進(jìn)行了詳細(xì)描述。但本發(fā)明并不局限于此，本發(fā)明也可以應(yīng)用于固定通信系統(tǒng)、有線通信系統(tǒng)，或者應(yīng)用于無線移動通信系統(tǒng)、固定通信系統(tǒng)、有線通信系統(tǒng)等的任意混合結(jié)構(gòu)。就移動通信系統(tǒng)而言，本發(fā)明并不局限于所涉及的各個(gè)移動通信終端的具體通信協(xié)議，可以包括(但不限于)2G、3G、4G、5G網(wǎng)絡(luò)，WCDMA,CDMA2000、TD-SCDMA系統(tǒng)等，不同的移動終端可以采用相同的通信協(xié)議，也可以采用不同的通信協(xié)議。本發(fā)明并不局限于移動終端的具體操作系統(tǒng)，可以包括(但不限干)iOS、Windows Mobile、Symbian、安卓(Android)等,不同的移動終端可以采用相同的操作系統(tǒng)，也可以采用不同的操作系統(tǒng)。
[0027]首先，參考圖1來說明根據(jù)本發(fā)明的一些示例實(shí)施例的移動終端100中的示例網(wǎng)絡(luò)協(xié)議棧的框圖。如圖1所示，移動終端100中具有用于處理數(shù)據(jù)報(bào)文的網(wǎng)絡(luò)協(xié)議棧110。在開放式系統(tǒng)互聯(lián)(Open System Interconnection,下文中簡稱為0SI) 7層參考模型下,該協(xié)議棧110也相應(yīng)地包括7個(gè)協(xié)議層，S卩:物理層111、數(shù)據(jù)鏈路層112、網(wǎng)絡(luò)層113、傳輸層114、會話層115、表示層116和應(yīng)用層117。
[0028]在本實(shí)施例中，假設(shè)移動終端100是基于安卓平臺開發(fā)的，而安卓平臺是類Linux系統(tǒng)，其通?？杀环譃閮?nèi)核空間(kernel space)和用戶空間(user space)。數(shù)據(jù)鏈路層
112、網(wǎng)絡(luò)層113、傳輸層114、會話層115等層的操作主要是在內(nèi)核空間中實(shí)現(xiàn)的，用戶通過系統(tǒng)調(diào)用(system calls)來調(diào)用內(nèi)核空間中的函數(shù)接ロ，進(jìn)而處理這些層的事務(wù)，而表示層116和應(yīng)用層117的操作基本上是在用戶空間中由用戶自己實(shí)現(xiàn)的，用戶需要自行編寫處理函數(shù)來處理這兩個(gè)層中的事務(wù)。當(dāng)然，在其他實(shí)施例中，可以采用針對處理操作的其它內(nèi)核空間/用戶空間分布方式，本發(fā)明不限于上述分布方式。例如，會話層115的相關(guān)處理可以由用戶在用戶空間通過調(diào)用安卓系統(tǒng)的底層系統(tǒng)調(diào)用來自行實(shí)現(xiàn)。在本發(fā)明中，我們主要關(guān)注的是內(nèi)核空間以及應(yīng)用層117。
[0029]網(wǎng)絡(luò)層113對應(yīng)于OSI參考模型中的第3層(層3)，其介于傳輸層114和數(shù)據(jù)鏈路層112之間?；跀?shù)據(jù)鏈路層112提供的在兩個(gè)相鄰端點(diǎn)之間傳輸數(shù)據(jù)幀的功能，網(wǎng)絡(luò)層113進(jìn)ー步管理網(wǎng)絡(luò)中的數(shù)據(jù)通信，將數(shù)據(jù)設(shè)法從源節(jié)點(diǎn)經(jīng)過若干個(gè)中間節(jié)點(diǎn)傳送到目標(biāo)節(jié)點(diǎn)，從而向傳輸層114提供最基本的端到端的數(shù)據(jù)傳輸服務(wù)。
[0030]傳輸層114對應(yīng)于OSI參考模型中相對重要和關(guān)鍵的ー層，其是唯一負(fù)責(zé)總體數(shù)據(jù)傳輸和數(shù)據(jù)控制的ー層。傳輸層114提供用于端到端的交換數(shù)據(jù)的機(jī)制。傳輸層114為會話層115、表示層116和應(yīng)用層117等上三層提供可靠的傳輸服務(wù)，向網(wǎng)絡(luò)層113提供可靠的目標(biāo)節(jié)點(diǎn)信息。由于世界上各種通信網(wǎng)絡(luò)在性能上存在著很大差異(例如，電話交換網(wǎng)、分組交換網(wǎng)、公用數(shù)據(jù)交換網(wǎng)、局域網(wǎng)等通信網(wǎng)絡(luò)都可互連，但它們提供的呑吐量、傳輸速率、數(shù)據(jù)延遲、通信費(fèi)用等各不相同)，因此對于會話層115等高層來說，要求具有性能穩(wěn)定的接ロ。傳輸層114就承擔(dān)了這一功能。它采用分流/合流、復(fù)用/解復(fù)用等技術(shù)來調(diào)節(jié)上述通信網(wǎng)絡(luò)的差異，使會話層115感受不到這種差別。此外，傳輸層114還要具備差錯(cuò)恢復(fù)、流量控制等功能，以向會話層115屏蔽通信網(wǎng)絡(luò)在這些方面的細(xì)節(jié)與差異。傳輸層114面對的數(shù)據(jù)對象不是網(wǎng)絡(luò)地址和主機(jī)地址，而是和會話層115的界面端ロ。
[0031]應(yīng)用層117對應(yīng)于OSI參考模型的第7層。應(yīng)用層117直接和應(yīng)用程序的本地進(jìn)程交互并提供常見的網(wǎng)絡(luò)應(yīng)用服務(wù)。應(yīng)用層117也向表示層116發(fā)出請求。應(yīng)用層117是OSI參考模型的最高層，其是直接為應(yīng)用進(jìn)程提供服務(wù)的。其作用是在實(shí)現(xiàn)多個(gè)系統(tǒng)應(yīng)用進(jìn)程相互通信的同時(shí)，完成一系列業(yè)務(wù)處理所需的服務(wù)。
[0032]本發(fā)明的主要思路在于，通過在內(nèi)核(例如圖1所示的數(shù)據(jù)鏈路層112、網(wǎng)絡(luò)層
113、傳輸層114或會話層115)和應(yīng)用層(例如圖1所示的應(yīng)用層117)執(zhí)行安全檢測來實(shí)現(xiàn)針對移動應(yīng)用的遠(yuǎn)程控制行為的動態(tài)行為分析。具體地，首先采集指定未知移動應(yīng)用的運(yùn)行生命周期內(nèi)的網(wǎng)絡(luò)行為相關(guān)數(shù)據(jù)，然后采用在內(nèi)核中實(shí)現(xiàn)惡意應(yīng)用檢測模塊和在應(yīng)用層中實(shí)現(xiàn)檢測分析管理相結(jié)合的安全檢測機(jī)制，來對未知移動應(yīng)用是否存在惡意遠(yuǎn)程行為進(jìn)行安全性檢測和分析。
[0033]下面將主要以圖2為例來說明本發(fā)明的總的發(fā)明構(gòu)思。圖2是示出了根據(jù)本發(fā)明的一些實(shí)施例的安全檢測機(jī)制200的示意框圖。
[0034]如圖2所示，根據(jù)本發(fā)明的安全檢測機(jī)制200由檢測分析管理模塊210和惡意應(yīng)用檢測模塊220這兩部分組成。
[0035]檢測分析管理模塊210是在應(yīng)用層采取移動應(yīng)用的方式實(shí)現(xiàn)的，主要包括以下功倉泛:
[0036]1、對惡意應(yīng)用檢測ホ吳塊應(yīng)用檢測策略配直；
[0037]2、監(jiān)控惡意應(yīng)用檢測模塊的運(yùn)行狀態(tài)；
[0038]3、管理未知移動應(yīng)用的遠(yuǎn)程行為的檢測分析結(jié)果，例如，這可以使用JAVA語言設(shè)計(jì)來實(shí)現(xiàn)；
[0039]4、模塊及應(yīng)用狀態(tài)監(jiān)控:實(shí)現(xiàn)檢測功能的實(shí)時(shí)運(yùn)行狀態(tài)監(jiān)控和異常狀態(tài)告警設(shè)置；
[0040]5、檢測結(jié)果管理，對未知移動應(yīng)用已檢測行為的分析結(jié)果進(jìn)行管理，包括檢測報(bào)告產(chǎn)生、檢測結(jié)果導(dǎo)出和檢測結(jié)果歸檔整理，例如配置管理產(chǎn)生的配置結(jié)果可以通過明文方式存儲在SQLite數(shù)據(jù)庫中。
[0041]圖3示出了根據(jù)本發(fā)明的一些實(shí)施例的檢測策略配置的一個(gè)示意結(jié)構(gòu)。
[0042]如圖3所示，檢測策略配置規(guī)定了在時(shí)間范圍“2013/08/01:00:00-2013/08/02:23:59” 內(nèi)，在協(xié)議范圍“HTTP/HTTPS/FTP/SMTP/SNMP” 內(nèi)，啟動針對待檢樣本“20130808001,apk”(即，未知移動應(yīng)用)的惡意應(yīng)用檢測。此外，圖3所示的檢測策略配置還指定了數(shù)據(jù)存儲位置。
[0043]惡意應(yīng)用檢測模塊是在內(nèi)核中通過系統(tǒng)模塊的方式實(shí)現(xiàn)的。
[0044]圖4是示出了根據(jù)本發(fā)明的一些實(shí)施例的惡意應(yīng)用檢測模塊的處理流程。
[0045]首先，在移動終端100的操作系統(tǒng)啟動后，初始化設(shè)置功能410通過系統(tǒng)啟動鏡像加載惡意應(yīng)用檢測模塊，然后從SQLite數(shù)據(jù)庫的指定表中讀取惡意應(yīng)用檢測的所有相關(guān)配置信息，并將這些信息動態(tài)存儲在內(nèi)存中，從而完成惡意應(yīng)用檢測模塊的初始化過程。
[0046]接下來，惡意應(yīng)用檢測模塊啟用監(jiān)聽功能420。例如，監(jiān)聽功能420可以通過代理方式運(yùn)行。監(jiān)聽功能420可以對未知移動應(yīng)用的遠(yuǎn)程網(wǎng)絡(luò)訪問中的會話的請求和響應(yīng)進(jìn)行監(jiān)控。監(jiān)聽功能420可以抓取與其相關(guān)的所有網(wǎng)絡(luò)數(shù)據(jù)報(bào)文，并將所抓取的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文通過ー個(gè)會話ー個(gè)文件的方式以明文存儲在移動終端100的指定存儲位置(例如，如圖3所示的數(shù)據(jù)存儲位置)。已經(jīng)記錄成功的數(shù)據(jù)報(bào)文可以放行通過。
[0047]當(dāng)新的會話文件產(chǎn)生并完成記錄過程后，惡意應(yīng)用檢測模塊啟動會話文件分析功能430。會話文件分析功能430可以對會話文件中的原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文內(nèi)容進(jìn)行恢復(fù)操作。[0048]在內(nèi)容恢復(fù)操作完成后，惡意應(yīng)用檢測模塊啟用安全分析功能440。安全分析功能440檢測恢復(fù)內(nèi)容中是否包含有新的APK安裝包。如果不存在，則安全分析功能440將檢測基本信息記錄到SQLite數(shù)據(jù)庫的檢測結(jié)果數(shù)據(jù)表中，隨后結(jié)束本次檢測工作。如果存在，則安全分析功能440將調(diào)用病毒或惡意應(yīng)用掃描接ロ 450 (由安全掃描引擎提供)對該APK文件進(jìn)行安全性掃描檢測，并將安全檢測結(jié)果(安全或惡意)、原始報(bào)文對應(yīng)的會話文件信息、通過網(wǎng)絡(luò)遠(yuǎn)程下載的APK信息、調(diào)用掃描引擎等信息記錄到SQLite數(shù)據(jù)庫中對應(yīng)的檢測結(jié)果數(shù)據(jù)表。
[0049]圖5是示出了根據(jù)本發(fā)明的一些實(shí)施例的檢測移動應(yīng)用的安全性的方法500的流程圖，該方法500是在系統(tǒng)內(nèi)核中實(shí)現(xiàn)的。如圖5所示，方法500可以包括步驟S510、S520、S530、S540、S550和S560，其中步驟S530是可選的。根據(jù)本發(fā)明，方法500的一些步驟可以單獨(dú)執(zhí)行或組合執(zhí)行，以及可以并行執(zhí)行或順序執(zhí)行，并不局限于圖5所示的具體操作順序。在一些實(shí)施例中，方法500可以由圖6所不的移動終端600來執(zhí)行。在另ー些實(shí)施例中，方法500可以由圖1所示的移動終端100或圖2所示的惡意應(yīng)用檢測模塊220來執(zhí)行。
[0050]圖6是示出了根據(jù)本發(fā)明的一些實(shí)施例的移動終端600的方框圖，該移動終端600可以檢測其上的移動應(yīng)用的安全性。如圖6所示，移動終端600可以包括監(jiān)控單元610、抓取單元620、恢復(fù)單元630、檢測單元640和安全性掃描檢測單元650。
[0051]監(jiān)控單元610用于監(jiān)控移動應(yīng)用針對遠(yuǎn)程網(wǎng)絡(luò)訪問的會話。監(jiān)控單元610可以是移動終端600的中央處理單元(CPU)、數(shù)字信號處理器(DSP)、微處理器、微控制器等等，其可以與移動終端600的收發(fā)信機(jī)之類的通信接ロ等等相配合，以監(jiān)控移動應(yīng)用針對遠(yuǎn)程網(wǎng)絡(luò)訪問的會話。根據(jù)本發(fā)明的一些實(shí)施例，監(jiān)控單元610可以監(jiān)控移動應(yīng)用針對遠(yuǎn)程網(wǎng)絡(luò)訪問的會話的請求和響應(yīng)。
[0052]抓取単元620用于抓取與該會話有關(guān)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文。抓取単元620可以是移動終端600的中央處理單元(CPU)、數(shù)字信號處理器(DSP)、微處理器、微控制器等等，其可以與移動終端600的存儲設(shè)備(例如、硬盤、軟盤、光盤、磁帶等)等相配合，以抓取與該會話有關(guān)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文。
[0053]恢復(fù)單元630用于從抓取的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中恢復(fù)出原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文。恢復(fù)單元630可以是移動終端600的中央處理單元(CPU)、數(shù)字信號處理器(DSP)、微處理器、微控制器等等，其可以與移動終端600的存儲設(shè)備(例如、硬盤、軟盤、光盤、磁帶等)等相配合，以從抓取的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中恢復(fù)出原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文。
[0054]檢測單元640用于檢測原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中是否包含新的應(yīng)用安裝包。檢測單元640可以是移動終端600的中央處理單元(CPU)、數(shù)字信號處理器(DSP)、微處理器、微控制器等等，其可以與移動終端600的存儲設(shè)備(例如、硬盤、軟盤、光盤、磁帶等)等相配合，以檢測原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中是否包含新的應(yīng)用安裝包。例如，該新的應(yīng)用安裝包可以是APK安裝包。
[0055]安全性掃描檢測單元650用于在原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中包含新的應(yīng)用安裝包的情況下，對新的應(yīng)用安裝包進(jìn)行安全性掃描檢測。安全性掃描檢測單元650可以是移動終端600的中央處理單元(CPU)、數(shù)字信號處理器(DSP)、微處理器、微控制器等等，其可以與移動終端600的存儲設(shè)備(例如、硬盤、軟盤、光盤、磁帶等)等相配合，以在原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中包含新的應(yīng)用安裝包的情況下，對新的應(yīng)用安裝包進(jìn)行安全性掃描檢測。根據(jù)本發(fā)明的一些實(shí)施例，安全性掃描檢測單元650可以調(diào)用病毒或惡意應(yīng)用掃描接ロ(例如殺毒軟件等)對新的應(yīng)用安裝包進(jìn)行安全性掃描檢測。根據(jù)本發(fā)明的一些實(shí)施例，安全性掃描檢測單元650還可以將安全檢測結(jié)果(安全或惡意)、原始報(bào)文對應(yīng)的會話文件信息、通過網(wǎng)絡(luò)遠(yuǎn)程下載的APK信息、調(diào)用掃描引擎等信息記錄到SQLite數(shù)據(jù)庫中對應(yīng)的檢測結(jié)果數(shù)據(jù)表中。
[0056]如果原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中不包含新的應(yīng)用安裝包，安全性掃描檢測單元650可以將檢測基本信息記錄到SQLite數(shù)據(jù)庫檢測結(jié)果數(shù)據(jù)表中，隨后結(jié)束本次安全代理檢測エ作。
[0057]移動終端600還可以包括存儲單元660，用于存儲抓取単元620所抓取的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文。例如，存儲單元660可以將抓取到的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文存儲在如圖3所示的數(shù)據(jù)存儲位置處。數(shù)據(jù)存儲位置可以通過圖2所示的檢測分析管理模塊來設(shè)置。此外，存儲單元660可以利用一個(gè)會話一個(gè)文件的方式結(jié)合明文存儲的方式來存儲抓取到的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文。
[0058]應(yīng)注意，移動終端600中的兩個(gè)或多個(gè)不同単元可以在邏輯上或物理上組合在一起。例如，監(jiān)控單元610、抓取単元620和存儲單元660可以組合成ー個(gè)單元，例如監(jiān)控單元610、抓取単元620和存儲單元660可以由圖2所示的監(jiān)聽功能來統(tǒng)ー實(shí)現(xiàn)。
[0059]以下將結(jié)合圖1?6，對根據(jù)本發(fā)明實(shí)施例的檢測移動應(yīng)用的安全性的方法500和移動終端600進(jìn)行詳細(xì)的描述。應(yīng)當(dāng)注意，本發(fā)明實(shí)施例的方法500和移動終端600可以在圖1所示的移動終端100中實(shí)現(xiàn)，但本發(fā)明并不局限于此。
[0060]在步驟S510，移動終端600的監(jiān)控單元610監(jiān)控移動應(yīng)用針對遠(yuǎn)程網(wǎng)絡(luò)訪問的會話。根據(jù)本發(fā)明的一些實(shí)施例，監(jiān)控單元610可以監(jiān)控移動應(yīng)用針對遠(yuǎn)程網(wǎng)絡(luò)訪問的會話的請求和響應(yīng)。
[0061]在步驟S520，移動終端600的抓取單元620抓取與該會話有關(guān)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文。
[0062]在步驟S530，移動終端600的存儲單元660存儲所抓取的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文。例如，存儲單元660可以將抓取到的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文存儲在如圖3所示的數(shù)據(jù)存儲位置處。數(shù)據(jù)存儲位置可以通過圖2所示的檢測分析管理模塊來設(shè)置。此外，存儲單元660可以利用ー個(gè)會話ー個(gè)文件的方式結(jié)合明文存儲的方式來存儲抓取到的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文。
[0063]在步驟S540，移動終端600的恢復(fù)單元630從抓取的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中恢復(fù)出原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文。
[0064]在步驟S550，移動終端600的檢測單元640檢測原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中是否包含新的應(yīng)用安裝包(例如，新的APK安裝包)。如果否，則方法500回到步驟S510，由移動終端600的監(jiān)控單元610繼續(xù)監(jiān)控移動應(yīng)用針對遠(yuǎn)程網(wǎng)絡(luò)訪問的會話。在這種情況下，例如，還可以將檢測基本信息記錄到SQLite數(shù)據(jù)庫的檢測結(jié)果數(shù)據(jù)表中，隨后結(jié)束本次安全代理檢測工作。
[0065]在步驟S560(即，步驟S550的判斷結(jié)果為‘是’)，即，在原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中包含新的安裝包的情況下，移動終端600的安全性掃描檢測單元650對新的應(yīng)用安裝包進(jìn)行安全性掃描檢測。根據(jù)本發(fā)明的一些實(shí)施例，安全性掃描檢測單元650可以調(diào)用病毒或惡意應(yīng)用掃描接ロ(例如殺毒軟件等)對新的應(yīng)用安裝包進(jìn)行安全性掃描檢測。根據(jù)本發(fā)明的一些實(shí)施例，安全性掃描檢測單元650還可以將安全檢測結(jié)果(安全或惡意)、原始報(bào)文對應(yīng)的會話文件信息、通過網(wǎng)絡(luò)遠(yuǎn)程下載的APK信息、調(diào)用掃描引擎等信息記錄到SQLite數(shù)據(jù)庫中對應(yīng)的檢測結(jié)果數(shù)據(jù)表。
[0066] 至此已經(jīng)結(jié)合優(yōu)選實(shí)施例對本發(fā)明進(jìn)行了描述。應(yīng)該理解，本領(lǐng)域技術(shù)人員在不脫離本發(fā)明的精神和范圍的情況下，可以進(jìn)行各種其它的改變、替換和添加。因此，本發(fā)明的范圍不局限于上述特定實(shí)施例，而應(yīng)由所附權(quán)利要求所限定。
【權(quán)利要求】
1.一種用于檢測移動終端上的移動應(yīng)用的安全性的方法，包括以下步驟: 監(jiān)控移動應(yīng)用針對遠(yuǎn)程網(wǎng)絡(luò)訪問的會話； 抓取與該會話有關(guān)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文； 從抓取的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中恢復(fù)出原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文； 檢測原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中是否包含新的應(yīng)用安裝包； 如果原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中包含新的應(yīng)用安裝包，則對新的應(yīng)用安裝包進(jìn)行安全性掃描檢測。
2.根據(jù)權(quán)利要求1所述的方法，其中，監(jiān)控移動應(yīng)用針對遠(yuǎn)程網(wǎng)絡(luò)訪問的會話的步驟包括: 監(jiān)控移動應(yīng)用針對遠(yuǎn)程網(wǎng)絡(luò)訪問的會話的請求和響應(yīng)。
3.根據(jù)權(quán)利要求1所述的方法，其中，在抓取與該會話有關(guān)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文之后，所述方法還包括: 存儲所抓取的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文。
4.根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的方法，其中，對新的應(yīng)用安裝包進(jìn)行安全性掃描檢測的步驟包括: 調(diào)用病毒或惡意應(yīng)用掃描接ロ對新的應(yīng)用安裝包進(jìn)行安全性掃描檢測。
5.根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的方法,其中，所述新的應(yīng)用安裝包是AndroidPacKage (APK)安裝包。
6.根據(jù)權(quán)利要求1至5中任一項(xiàng)所述的方法，其中，所述方法是在系統(tǒng)內(nèi)核中實(shí)現(xiàn)的。
7.一種移動終端，用于檢測所述移動終端上的移動應(yīng)用的安全性，所述移動終端包括: 監(jiān)控單元，用于監(jiān)控移動應(yīng)用針對遠(yuǎn)程網(wǎng)絡(luò)訪問的會話； 抓取単元，用于抓取與該會話有關(guān)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文； 恢復(fù)單元，用于從抓取的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中恢復(fù)出原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文； 檢測單元，用于檢測原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中是否包含新的應(yīng)用安裝包； 安全性掃描檢測單元，用于在原始網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中包含新的應(yīng)用安裝包的情況下，對新的應(yīng)用安裝包進(jìn)行安全性掃描檢測。
8.根據(jù)權(quán)利要求7所述的移動終端，其中，所述監(jiān)控単元用于: 監(jiān)控移動應(yīng)用針對遠(yuǎn)程網(wǎng)絡(luò)訪問的會話的請求和響應(yīng)。
9.根據(jù)權(quán)利要求7所述的移動終端，還包括: 存儲單元，用于存儲抓取単元所抓取的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文。
10.根據(jù)權(quán)利要求7至9中任一項(xiàng)所述的移動終端，其中，安全性掃描檢測單元用于: 調(diào)用病毒或惡意應(yīng)用掃描接ロ對新的應(yīng)用安裝包進(jìn)行安全性掃描檢測。
11.根據(jù)權(quán)利要求7至10中任一項(xiàng)所述的移動終端，其中，所述新的應(yīng)用安裝包是Android PacKage (APK)安裝包。
【文檔編號】H04W12/12GK103442360SQ201310407150
【公開日】2013年12月11日 申請日期:2013年9月9日 優(yōu)先權(quán)日:2013年9月9日
【發(fā)明者】陳繼 申請人:北京網(wǎng)秦天下科技有限公司