[发明专利]基于完整性验证的Android权限提升攻击安全防御方法和装置

说明书

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于完整性验证的Android权限提升攻击安全防御方法和装置。

背景技术

本部分向读者介绍可能与本发明的各个方面相关的背景技术，相信能够向读者提供有用的背景信息，从而有助于读者更好地理解本发明的各个方面。因此，可以理解，本部分的说明是用于上述目的，而并非构成对现有技术的承认。

权限提升攻击是一种利用Android系统漏洞非法提升应用程序运行权限的攻击方式。利用Android系统中的权限提升漏洞，恶意程序可以绕过Android平台的权限保护机制，将应用程序的运行权限从普通用户权限非法提升到更高级别的权限——系统用户权限或Root用户权限。通过权限提升攻击，恶意程序可以进一步实施恶意行为，例如窃取隐私、恶意扣费、远程控制等，严重威胁了用户的隐私与财产安全。现有的权限提升攻击防御技术主要有如下几种：源代码恶意特征匹配和基于策略的内核级防御机制。

源代码恶意特征匹配防御方法过程是这样的：对应用程序进行反编译，获得程序源代码，与已知的权限提升攻击源码进行相似度计算，判断该应用程序是否存在权限提升攻击行为。源代码恶意特征匹配防御方法需要反编译以还原程序源代码。如果应用程序采用了混淆技术对源代码进行混淆，或者采用应用加固技术来对抗反编译，都会对该方法的实现产生干扰和影响。依赖于已知的权限提升攻击源码，不能防御新出现的、未知的权限提升攻击。

基于策略的内核级防御机制过程是这样的：在Android内核层引入新的安全策略，设置Root特权程序白名单和关键资源列表。在Android系统运行期间，监视进程与服务对系统资源的访问请求，并根据安全策略选择拦截或放行：只允许Root特权程序白名单中的进程对关键资源列表内指定的资源进行操作，其余的一律拦截。由此限制非法获得Root权限的恶意进程访问受保护的系统资源，从而约束该进程的其它恶意行为。上述方法是在恶意进程已经非法获得Root权限后、试图访问关键资源时进行防御，而不是在进程尝试获得Root权限的过程中进行防御，因此防御效果具有一定的滞后性，不够及时。

发明内容

要解决的技术问题是如何提供一种基于完整性验证的Android权限提升攻击安全防御方法和装置。

针对现有技术中的缺陷，本发明提供一种基于完整性验证的Android权限提升攻击安全防御方法和装置，可以增强内核层和整个Android系统的安全性。

第一方面，本发明提供了一种基于完整性验证的Android权限提升攻击安全防御方法，包括：

实时检测应用程序是否正在执行与敏感内核函数相关的系统调用；

对系统调用要执行的敏感内核函数进行完整性验证；

检测所述敏感内核函数相对应的内核函数指针的准确性和可靠性；

判断所述内核函数指针所指向的内存区域是否存在具备权限提升攻击特征的指令；

对检测到的应用程序权限提升攻击行为进行告警和拦截。

可选地，所述对系统调用要执行的敏感内核函数进行完整性验证包括：

获取敏感内核函数对应的内核函数指针，然后进行空值判断；

如果内核函数指针为空，则通过完整性验证，允许直接执行内核函数，访问硬件设备；

否则，将内核函数指针作为参数，检测该内核函数指针的准确性和可靠性，实现完整性验证。

可选地，所述检测敏感内核函数相对应的内核函数指针的准确性和可靠性包括：

按照攻击特征库进行匹配，判断该内核函数指针所指向的内存区域是否存在具备权限提升攻击特征的指令，并将判断结果返回。

可选地，所述判断内核函数指针所指向的内存区域是否存在具备权限提升攻击特征的指令包括：

如果内核函数指针指向了用户空间，说明该指针遭遇非法篡改，应用程序存在权限提升攻击行为；或

如果内核函数指针指向了堆内存空间，说明该指针遭遇非法篡改，应用程序存在权限提升攻击行为；或

如果内核函数指针指向的内存区域包含修改进程权限证书的指令，应用程序存在权限提升攻击行为。

可选地，还包括：新的权限提升攻击行为出现时，提取新的攻击特征，添加到特征库中更新攻击特征库。

另一方面，本发明还提供一种基于完整性验证的Android权限提升攻击安全防御装置，包括：

系统调用实时监测单元，用于实时检测应用程序是否正在执行与敏感内核函数相关的系统调用；