[发明专利]一种基于运行时验证的恶意行为监测方法在审
| 申请号: | 201810313657.1 | 申请日: | 2018-04-10 |
| 公开(公告)号: | CN108595954A | 公开(公告)日: | 2018-09-28 |
| 发明(设计)人: | 殷萍;高翠芳 | 申请(专利权)人: | 江南大学 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 南京经纬专利商标代理有限公司 32200 | 代理人: | 张素卿 |
| 地址: | 214122 江苏*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 恶意行为 运行时 监测 应用程序 监控器 验证 计算机技术领域 应用程序行为 报警信息 调用数据 动态监测 活动请求 拦截系统 敏感信息 数据解析 系统调用 用户发送 调用 解析 检测 部署 访问 | ||
【权利要求书】:
1.一种基于运行时验证的恶意行为监测方法,其特征在于,所述方法包括:
在系统运行过程中,当检测到应用程序请求敏感信息时,在内核空间中拦截处理其信息的系统调用;
建立内核空间与用户空间之间的双向通信连接;
在用户空间中对拦截到的所述系统调用的调用数据进行解析得到解析后的调用数据;
将解析后的调用数据传给监控器,通过所述监控器检测所述应用程序实时执行的应用程序行为是否属于恶意行为;
当检测到所述应用程序行为属于恶意行为时,则向用户发出警报信息。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
以预设描述语言描述预设恶意行为,得到各个预设恶意行为对应的描述数据;
所述检测所述应用程序实时执行的应用程序行为是否属于恶意行为,包括:
将所述解析后的调用数据与各个预设恶意行为对应的描述数据进行对比;
若对比成功,则确定所述应用程序行为属于恶意行为。
3.根据权利要求1所述的方法,其特征在于,所述当检测到应用程序请求敏感信息时,在内核空间中拦截处理其信息的系统调用,包括:
在所述预设系统调用中插入kprobes;
当检测到应用程序执行的系统调用时,使用kprobes以非侵入方式拦截所述系统调用。
4.根据权利要求1所述的方法,其特征在于,所述建立内核空间与用户空间之间的双向通信连接,包括:
基于Netlink套接字建立内核空间与用户空间之间的双向通信连接。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于江南大学,未经江南大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810313657.1/1.html,转载请声明来源钻瓜专利网。
- 上一篇:对手机应用进行风险评估的方法
- 下一篇:一种安卓手机恶意应用检测系统及方法
