[发明专利]一种基于云平台的Android权限提升攻击检测系统和方法

权利要求书

1.一种基于云平台的Android权限提升攻击检测方法，其特征在于，包括以下步骤：

（1）云端利用爬虫程序从应用市场下载应用程序并加入到应用程序信息数据库，应用市场包括官方市场和第三方市场，并根据已知的权限提升攻击样本制定安全策略；

（2）云端根据安全策略对应用程序进行分类；

（3）移动终端对其已分类应用程序数据库进行初始化，并判断应用程序是否有更新操作，如果有则转入步骤（7），否则转入步骤（4）；

（4）移动终端截获ICC通信，并判断ICC通信的发送方和接收方是否处于本地已分类应用程序数据库中，如果是则进入步骤（5），否则进入步骤（6）；

（5）移动终端拒绝执行ICC通信，过程结束，并将发送程序和接收程序信息上报到云端；

（6）移动终端允许执行ICC通信，过程结束；

（7）移动终端判断更新操作的类型是安装操作，还是卸载操作，如果是安装操作，则进入步骤（8），如果是卸载操作，则进入步骤（10）；

（8）移动终端向云端发出更新操作请求；

（9）云端根据更新操作请求对移动终端的已分类应用程序数据库执行更新，并将结果发送到移动终端；

（10）移动终端根据云端发送的结果或直接更新其已分类应用程序数据库和程序权限数据库。

2.根据权利要求1所述的Android权限提升攻击检测方法，其特征在于，安全策略具体包括应用程序的权限、应用程序之间的通信、是否允许访问应用程序。

3.根据权利要求1所述的Android权限提升攻击检测方法，其特征在于，步骤（2）包括以下子步骤：

（2-1）从应用程序信息数据库中取出一条记录；

（2-2）取出这条记录请求的一个权限；

（2-3）从策略数据库中取出一条策略；

（2-4）如果该权限在这条策略中，则转入步骤（2-5），否则转入步骤（2-7）；

（2-5）将该程序标记属于该策略并存入已分类应用程序数据库中；

（2-6）如果这是最后一条策略，则转入步骤（2-7），否则转入步骤（2-3）；

（2-7）如果当前权限不是应用程序最后一个，则转入步骤（2-2），否则结束流程。

4.根据权利要求1所述的Android权限提升攻击检测方法，其特征在于，步骤（3）包括以下子步骤：

（3-1）移动终端获得本终端所有应用程序信息，包括应用程序名称，权限信息等；

（3-2）云端从移动终端发送的请求中获得应用程序信息；

（3-3）云端根据终端应用程序信息从其已分类应用程序数据库中获得与该终端对应的分类后的程序列表，并将结果发送到移动终端；

（3-4）终端获得云端返回的结果并将其存入分类程序列表数据库。

5.根据权利要求1所述的Android权限提升攻击检测方法，其特征在于，步骤（9）包括以下子步骤：

（9-1）云端从移动终端发送的请求中获得新应用程序的权限信息和hash值；

（9-2）根据hash值判断该应用程序是否在云端的应用程序信息数据库中，如果不在则转入步骤（9-3），否则过程结束；

（9-3）将该应用程序信息添加到云端应用程序信息数据库中，根据安全策略对该程序进行分类，最后更新已分类应用程序数据库；

（9-4）云端将该应用程序分类后的结果返回移动终端。