[发明专利]一种基于内核的应用程序获取超级权限行为检测方法与系统

权利要求书

1.一种基于内核的应用程序获取超级权限行为检测方法，其特征在于，包括如下步骤：

1)采集待检测安卓应用程序运行中产生的内核系统调用日志，所述内核系统调用日志是由经过特定修改的安卓系统产生的，该待检测应用程序使用的系统调用记录包括：系统调用时间戳、系统调用的进程UID、系统调用名、系统调用参数、系统调用返回值，所述特定修改的安卓系统是指修改安卓系统的内核，使其能够监控所有系统调用，并输出所述的内核系统调用日志；

2)通过内核系统调用日志，判断系统是否已被获取超级权限，如果是则继续执行，否则结束分析，所述判断系统是否已被获取超级权限是通过UID检测或系统目录检测实现的：

所述UID检测指，遍历日志，若发现存在UID为0的记录，则判断系统已被获取超级权限；

所述系统目录检测指，遍历日志，若发现存在对/system目录进行写入操作的记录，则判断系统已被获取超级权限；

3)将内核系统调用日志与CVE漏洞的特征比对，分析出该安卓应用使用的获取超级权限方法。

2.根据权利要求1所述基于内核的应用程序获取超级权限行为检测方法，其特征在于，所述步骤3)中，收集公开的CVE漏洞的POC，提取POC特征点，与内核系统调用日志做匹配，如果匹配成功，说明待检测应用程序使用了相应CVE作为获取超级权限的方法，其中，所述POC特征点指，POC中重复出现的系统调用的顺序、POC中重复出现的系统调用的数量以及POC中系统调用使用的特殊参数中的任意一种或者多种组合。

3.一种基于内核的应用程序获取超级权限行为检测装置，其特征在于，包括：

交互接口，用于用户输入需要分析的内核系统调用日志，所述内核系统调用日志是由经过特定修改的安卓系统产生的，该待检测应用程序使用的系统调用记录包括：系统调用时间戳、系统调用的进程UID、系统调用名、系统调用参数、系统调用返回值，所述特定修改的安卓系统是指修改安卓系统的内核，使其能够监控所有系统调用，并输出所述的内核系统调用日志；

超级权限判断单元，用于判断输入的内核系统调用日志是否存在获取超级权限行为；

CVE检测单元，用于将内核系统调用日志与从CVE漏洞的POC中提取到的POC特征点比对，输出日志中使用的CVE方法；

其中所述超级权限判断单元包括：

UID检测模块，用于检测日志中是否存在UID为0的记录；

系统目录检测模块，用于检测日志中是否存在写系统目录行为的记录

4.根据权利要求3所述基于内核的应用程序获取超级权限行为检测装置，其特征在于，所述CVE检测单元包括：

系统调用顺序检测模块，用于检测日志中系统调用的顺序，是否包含CVE特征的顺序；

系统调用数量统计模块，用于统计日志中每种系统调用的数量，是否与CVE特征中的系统调用数量在一个数量级；

系统调用参数检测模块，用于检测日志中系统调用的参数，是否使用了CVE特征中的特殊参数。