[发明专利]窃听行为侦测方法及装置

说明书

技术领域

本发明涉及移动通信技术领域，特别涉及一种窃听行为侦测方法及装置。

背景技术

随着智能终端的普及，智能终端上的窃听与反窃听技术也越来越受到人们重视。目前的窃听技术从功能上主要分为两类，一类是环境窃听，另一类是环境录音。前者是在目标终端上安装恶意软件，使终端在用户没有察觉的情况下自动与远程设备进行通话，使得当前用户终端周围的声音被不法分子窃听。后者是指终端被植入恶意程序之后，通过麦克风录制终端周围声音，在条件允许情况下上传到远端设备，从而造成用户信息泄露。

窃听和反窃听技术一直是相辅相成，矛盾统一。随着防范技术手段发展，窃听手段和恶意软件也不断升级，很多木马和病毒通过漏洞被植入到系统框架层甚至操作系统内核。目前针对智能终端窃听防护的手段主要有如下三种：杀毒软件、外接设备和定制系统。

目前移动终端杀毒软件防窃听技术主要包括三个方面：应用程序扫描、进程监控及可疑来电去电拦截。应用程序扫描主要是对当前移动终端安装的软件进行扫描和分析，根据已有的恶意软件库进行匹配，对符合条件的软件进行提醒和删除。进程监控主要指的监控终端中具有录音或者接入麦克风功能的进程，在通话期间对这类进程进行行为监测，对符合监测条件的程序进程进行判别、告警和截断，比如某些进程在终端通话过程中读取麦克风，并进行大量文件读写，该进程就存在较大嫌疑。可疑来去电拦截主要是对来去电的对方号码进行数据库匹配，对被纳入数据库黑名单的通话进行拦截，对可疑来电或者去电进行用户提醒。

由于杀毒软件防窃听功能实现依赖特征库，恶意软件扫描判别、进程检测都需要匹配一定的特征码，而这些特征码需要后台服务器提供。特征码的产生是根据已经被识别的木马或者恶意软件产生的，新的木马或者恶意软件的识别往往在其大规模传播之后。虽然云查杀技术能在一定程度上减少识别时间，但是仍解决不了实时性问题。另外，杀毒软件对窃听的防护往往基于应用层，即仅对于应用程序进行扫描和判别，对框架层和操作系统层的注入攻击往往无能为力。

外接设备窃听防护手段主要是指在不改变移动终端原有结构的基础上，通过增加便携的外接设备实现的。外接设备主要分为信号流监控和语音信号再处理两类。有些外接设备提供信号流的监控情况，比如通过信号采集源的转换，提供语音采集指示信号来标识通信状态，从而确定移动终端的麦克风是否被使用或者采集语音；有的外设是给移动终端提供特定的语音保密装置，对语音信号进行重新采集、处理、加噪等，为窃听增加障碍，但外接设备会增加防护成本，且不利于携带，在实际使用中比较难推广。

定制系统防护方式有的涉及硬件重新定制，有的则是操作系统定制。主要针对智能终端操作系统语音流处理、麦克风、电话子系统模块等进行重新设计，对终端通话相关的硬件调用进行监控，为通话窃听提供防护功能，这类设计破坏原生操作系统的完整性，不利于智能终端统一生态圈的健康发展；在引入防护机制的同时可能造成新的缺陷；并且窃听防护的定制性较强，只能针对特定机型，无法进行大规模推广。

发明内容

为了防止通话被窃听，同时保证终端的正常功能不受影响，本发明提供了一种窃听行为侦测方法，所述方法包括：

S1、获取当前来电的第一状态参数，根据获取的第一状态参数建立第一状态矩阵，计算所述第一状态矩阵的第一特征值；

S2、将所述第一特征值与预先设置的黑名单及白名单进行比对，在所述第一特征值存在于所述黑名单中时，阻断所述当前来电；在所述第一特征值存在于所述白名单中时，继续接听所述当前来电。

其中，步骤S2中，在所述第一特征值不存在于所述黑名单及白名单中时，执行步骤S3；

S3、判断所述第一特征值是否存在于状态模型中，若所述第一特征值存在所述状态模型中，则将所述第一特征值对应的权重与预设范围进行比对，在所述第一特征值大于等于所述预设范围的上限值时，则继续接听所述当前来电，并结束流程；在所述第一特征值小于等于所述预设范围的下限值时，则阻断所述当前来电，并结束流程；在所述第一特征值满足所述预设范围时，执行步骤S4；若所述第一特征值不存在所述状态模型中，将所述第一特征值添加至所述状态模型中，并将所述第一特征值对应的权重设置为初始值，执行步骤S4；

S4、提示用户是否继续接听所述当前来电，并接收用户的选择指令，若用户选择继续接听，则继续接听所述当前来电，并增加所述第一特征值对应的权重，若用户选择不继续接听，则阻断所述当前来电，并减少所述第一特征值对应的权重。