[发明专利]移动应用的安全性检测方法及移动终端

说明书

技术领域

本发明涉及移动终端安全领域，更具体地涉及一种用于检测移动终端上的移动应用的安全性的方法，以及实现该方法的移动终端。

背景技术

在当今的移动通信领域中，移动终端已在世界范围内被广泛应用。移动终端的示例包括(但不限于)：移动电话、个人数字助理(PDA)、手持计算机、膝上型计算机、平板电脑等。

随着移动终端的迅速普及，伴随而来的安全性问题日益突出，尤其是可在移动终端上运行的各种各样的移动应用所带来的安全性问题。当前，针对未知移动应用的安全性检测技术主要使用传统的静态检测技术(例如，特征码匹配技术和静态扫描技术)来进行安全性检测。特征码匹配技术主要在事先积累的大量样本(即，移动应用)的基础上通过提取特征串的方式建立丰富的特征码库，然后在此基础上通过安全策略设定和打分机制对未知移动应用进行解析和特征匹配，以判断该未知移动应用是否为恶意应用。静态扫描技术通常对未知移动应用采取反向过程或源代码扫描方式，从代码的角度对未知移动应用进行安全性扫描，以发现现有代码或逻辑中可能存在的安全性问题，并将此作为未知移动应用是否安全的依据。

传统的基于特征码的扫描和检测技术在面对新出现且具备隐秘特性的恶意移动应用时，已经面临无法进行实时和有效的检测所带来的挑战。现有的恶意移动应用在面对特征码匹配技术和静态扫描技术等现有的静态检测技术时，可以通过混淆或隐藏等手段来逃避这些现有的静态检测技术，并且只在运行状态时，在远程控制命令触发条件下，才会产生恶意应用下载的情况，并带来相关的远程恶意行为。所以，需要解决这种未知移动应用只有和远程恶意源相互配合才会产生的安全威胁。

发明内容

因此，本发明针对这种未知移动应用只有和远程恶意源相互配合才会产生的安全威胁，提出一种面向移动应用的远程恶意行为的分析方法，用于弥补传统的静态检测方法在面对此类安全威胁检测时的不足，提高对未知移动应用的恶意远程行为的安全性检测的准确性。

具体地，根据本发明的第一方案，提供了一种用于检测移动终端上的移动应用的安全性的方法。该方法包括以下步骤：监控移动应用针对远程网络访问的会话；抓取与该会话有关的网络数据报文；从抓取的网络数据报文中恢复出原始网络数据报文；检测原始网络数据报文中是否包含新的应用安装包；如果原始网络数据报文中包含新的应用安装包，则对新的应用安装包进行安全性扫描检测。

在一些实施例中，监控移动应用针对远程网络访问的会话的步骤包括：监控移动应用针对远程网络访问的会话的请求和响应。

在一些实施例中，在抓取与该会话有关的网络数据报文之后，所述方法还包括：存储所抓取的网络数据报文。

在一些实施例中，对新的应用安装包进行安全性扫描检测的步骤包括：调用病毒或恶意应用扫描接口对新的应用安装包进行安全性扫描检测。

在一些实施例中，所述新的应用安装包是Android PacKage(APK)安装包。

在一些实施例中，所述方法是在系统内核中实现的。

根据本发明的第二方案，提供了一种移动终端，用于检测该移动终端上的移动应用的安全性。该移动终端包括：监控单元，用于监控移动应用针对远程网络访问的会话；抓取单元，用于抓取与该会话有关的网络数据报文；恢复单元，用于从抓取的网络数据报文中恢复出原始网络数据报文；检测单元，用于检测原始网络数据报文中是否包含新的应用安装包；安全性扫描检测单元，用于在原始网络数据报文中包含新的应用安装包的情况下，对新的应用安装包进行安全性扫描检测。

在一些实施例中，所述监控单元用于：监控移动应用针对远程网络访问的会话的请求和响应。

在一些实施例中，该移动终端还包括：存储单元，用于存储抓取单元所抓取的网络数据报文。

在一些实施例中，安全性扫描检测单元用于：调用病毒或恶意应用扫描接口对新的应用安装包进行安全性扫描检测。

在一些实施例中，所述新的应用安装包是APK安装包。

本发明提供的方法和移动终端为用户提供了动态监测移动应用的远程控制行为的手段。通过本发明的方法，可以对未知移动应用是否存在恶意远程行为进行安全性检测和分析，从而提高了移动终端的安全性。

附图说明

通过下面结合附图说明本发明的优选实施例，将使本发明的上述及其它目的、特征和优点更加清楚，其中：

图1是示出了根据本发明的一些实施例的移动终端100中的示例网络协议栈的框图。

图2是示出了根据本发明的一些实施例的安全检测机制的示意框图。