本发明涉及一种用户隐私信息保护方法,包括以下步骤:步骤1:钩取模块接收接口调用操作,获取基本接口信息,采用重定向过滤方法,对可能访问敏感信息操作进行过滤分析;步骤2:解析模块接收终端设备发送的运行日志数据信息,并调用接口调用数据库中的信息,记录敏感操作的操作日志;步骤3:检测模块对可疑行为操作数据库中的信息进行处理,基于黑名单数据库中的信息,筛选出窃密操作,并将所述窃密操作行为信息存储到黑名单数据库中;步骤4:根据黑名单数据库中的窃密操作行为信息处理窃密操作。本发明能够监控窃密行为,发现潜在的窃密威胁,并阻断其操作;监测敏感信息流转;能够全面监控、保护用户隐私数据。
1.一种用户隐私信息保护方法,其应用于移动智能终端,其特征在于,具体包括以下步骤:步骤1:发生调用操作,钩取模块获取基本接口信息,通过基本接口信息获取调用操作相关信息,采用重定向过滤方法,对可能访问敏感信息的调用操作相关信息进行过滤分析,记录调用操作相关信息到接口调用数据库;
步骤2:解析模块接收终端设备发送的运行日志数据信息,并基于运行日志数据信息,从接口调用数据库中的调用操作相关信息中对比得到敏感操作,对存在窃密操作的敏感操作生成窃密操作摘要,将窃密操作摘要记录到可疑行为操作数据库中;
步骤3:检测模块对可疑行为操作数据库中的窃密操作摘要进行处理,基于黑名单数据库中的信息,从可疑行为操作数据库中筛选出窃密操作行为信息,并将其中首次检测到的窃密操作行为信息存储到黑名单数据库中;
步骤4:根据黑名单数据库中的窃密操作行为信息处理窃密操作;
所述重定向过滤方法是对特定的API应用程序编程接口调用的入口地址进行重置,加入过滤分析的过程,对调用行为进行检测,以确认该调用行为是否在其权限范围内。
2.根据权利要求1所述的一种用户隐私信息保护方法,其特征在于,所述步骤1具体包括以下步骤:步骤1.1:发生调用操作,钩取模块获取基本接口信息;
步骤1.2:判断API应用程序编程接口调用是否正常,如果是,进行下一步,否则,跳转至步骤1.1;
步骤1.3:对敏感信息相关接口进行钩取重定向,实时监测API应用程序编程接口的被调用情况,并对可能访问敏感信息的调用操作相关信息进行过滤分析;
步骤1.4:将调用操作相关信息写入接口调用数据库。
3.根据权利要求2所述的一种用户隐私信息保护方法,其特征在于,所述步骤2具体包括以下步骤:步骤2.1:根据终端设备操作系统类型,获取终端设备的日志文件,从大量日志文件中提取程序调用系统操作的日志数据信息,并将日志数据信息进行格式化存储;
步骤2.2:检测日志子模块接收格式化的日志数据信息,检测日志操作行为是否敏感;
步骤2.3:检测日志子模块调用接口调用数据库中的调用操作相关信息,判断是否存在窃密操作;如果是,进行下一步;否则,跳转至步骤2.1;
步骤2.4:解析可疑子模块解析窃密操作,生成窃密操作摘要,并将窃密操作摘要存入可疑行为数据库中。
4.根据权利要求1-3任一项所述的一种用户隐私信息保护方法,其特征在于,所述步骤
步骤3.1:可疑行为处理子模块调用可疑行为数据库中的窃密操作摘要,并对所述窃密操作摘要进行去重、合并相似摘要;
步骤3.2:恶意行为监测子模块调用黑名单数据库中的信息,对可疑行为处理子模块处理后的摘要快速筛选,筛选出已知窃密操作,并将所述窃密操作存入黑名单数据库。
5.根据权利要求4所述的一种用户隐私信息保护方法,其特征在于,所述步骤4具体包括以下步骤:步骤4.1:通过用户交互模块查看和监控黑名单数据库中的数据信息,并根据用户设定判断进行报警或卸载;如报警,进行下一步;如卸载,进行步骤4.3;
步骤4.2:窃密报警子模块发出报警信号,并根据预先设定进行阻断操作或放行,结束;
步骤4.3:恶意代码处理子模块根据预先设定,卸载恶意程序,删除恶意代码文件。
6.一种用户隐私信息保护系统,其应用于移动智能终端,其特征在于,包括:钩取模块、解析模块、检测模块和管理模块;
所述钩取模块获取基本接口信息,通过基本接口信息获取调用操作相关信息,采用重定向过滤方法,对可能访问敏感信息的调用操作相关信息进行过滤分析,记录调用操作相关信息到接口调用数据库;
所述解析模块接收终端设备发送的运行日志数据信息,并基于运行日志数据信息,从接口调用数据库中的调用操作相关信息中对比得到敏感操作,对存在窃密操作的敏感操作生成窃密操作摘要,将窃密操作摘要记录到可疑行为操作数据库中;
所述检测模块对可疑行为操作数据库中的窃密操作摘要进行处理,基于黑名单数据库中的信息,从可疑行为操作数据库中筛选出窃密操作行为信息,并将其中首次检测到的窃密操作行为信息存储到黑名单数据库中;
所述管理模块用于根据黑名单数据库中的窃密操作行为信息处理窃密操作;
所述重定向过滤方法是对特定的API应用程序编程接口调用的入口地址进行重置,加入过滤分析的过程,对调用行为进行检测,以确认该调用行为是否在其权限范围内。
7.根据权利要求6所述的一种用户隐私信息保护系统,其特征在于,所述钩取模块包括获取接口信息子模块、检测接口子模块、实时检测子模块和接口调用数据库;
判断API应用程序编程接口调用是否正常,如果是,对敏感信息相关接口进行钩取重定向,实时监测API应用程序编程接口的被调用情况;
所述实时检测子模块用于对可能访问敏感信息的调用操作相关信息进行过滤分析,将调用操作相关信息写入接口调用数据库。
8.根据权利要求7所述的一种用户隐私信息保护系统,其特征在于,所述解析模块包括获取日志子模块、检测日志子模块、解析可疑子模块和可疑行为数据库;
所述获取日志子模块根据终端设备操作系统类型,获取终端设备的日志文件,从大量日志文件中提取程序调用系统操作的日志数据信息,并将日志数据信息进行格式化存储;
所述检测日志子模块接收格式化的日志数据信息,检测日志操作行为是否敏感;如果敏感,检测日志子模块调用接口调用数据库中的调用操作相关信息,判断是否存在窃密操作;如果存在窃密操作,将所述调用操作相关信息发送到解析可疑子模块;
所述解析可疑子模块解析窃密操作,生成窃密操作摘要,并将窃密操作摘要存入可疑行为数据库中。
9.根据权利要求6-8任一项所述的一种用户隐私信息保护系统,其特征在于,所述检测模块包括归并处理子模块、恶意行为监测子模块和黑名单数据库;
所述归并处理子模块调用可疑行为数据库中的窃密操作摘要,并对所述窃密操作摘要进行去重、合并相似摘要;
所述恶意行为监测子模块调用黑名单数据库中的信息,对可疑行为处理子模块处理后的摘要快速筛选,筛选出已知窃密操作,并将所述窃密操作存入黑名单数据库。
10.根据权利要求9所述的一种用户隐私信息保护系统,其特征在于所述管理模块包括用户交互模块、窃密报警子模块和恶意代码处理子模块;
用户交互模块用于查看和监控黑名单数据库中的数据信息,并根据用户设定判断进行报警或卸载;如报警,发送信息至窃密报警子模块;如卸载,发送信息至恶意代码处理子模块;
所述窃密报警子模块发出报警信号,并根据预先设定进行阻断操作或放行;
所述恶意代码处理子模块根据预先设定,卸载恶意程序,删除恶意代码文件。
一种用户隐私信息保护方法及系统
技术领域
[0001] 本发明涉及一种用户隐私信息保护方法及系统,属于网络与信息安全技术领域。
背景技术
[0002] 随着移动互联网的快速发展与移动智能终端服务应用的不断增加,移动智能终端成为人们生活工作中越来越重要的工具。与台式机电脑、笔记本电脑等终端相比,移动智能终端更适于人们随身携带使用,可能存放更多的隐私信息,并且长期实时在线。这些特征对攻击者更加有利,他们通过网络钓鱼、恶意代码等非法手段,诱骗用户安装手机木马或间谍软件,在用户不知情的情况下收集其隐私数据(包括联系人、短信、通话录音,甚至是当前位置信息、实时音视频信息等),严重侵犯了个人隐私,许多商业机密或政府情报也由此泄露。现有的移动智能终端安全防护方法能较好地发现一些已知的安全漏洞和恶意代码,而对于高级、复杂的窃密攻击,尚缺乏有效的检测能力。近些年来,窃取、侵犯用户隐私的安全事件频频出现、见诸报端,为我们敲响了警钟,研究面向移动智能终端的用户隐私信息保护技术非常重要,势在必行。
[0003] 对于隐私信息保护,信息流监控手段发挥着重要作用,现有方法大致可分为三种:日志监控、系统调用监控和访问控制。日志监控技术是指对系统行为日志、程序行为日志、用户操作日志等多类数据组成的日志信息进行记录与分析,从中发现异常行为。系统调用监控技术是指通过改变应用程序编程接口(Application Programming Interface,API)的入口点,插入监控模块,钩取(Hook)监控程序的相关API函数与参数,通过行为序列与数据特征匹配监控敏感数据的流转。访问控制技术是指通过加载过滤驱动程序,对存储介质的读写访问实施加解密、异常阻断等控制手段,进而保证敏感数据的机密性与安全性。
[0004] 然而,现有的用户隐私信息保护技术有以下不足:1)对于敏感信息的监控种类有限,尤其对音视频类动态敏感信息缺乏有效防护;2)往往基于已有的安全案例配置检测规则,缺乏主动发现窃密攻击的能力;3)不能够对潜在窃密行为有效阻断、及时预警。
发明内容
[0005] 本发明所要解决的技术问题是,针对现有移动智能终端用户隐私信息保护技术监控数据种类有限、难以主动发现、无法有效阻断等问题,提供一种基于日志信息主动检测与应用程序编程接口钩取监控相结合的用户隐私信息保护方法。
[0006] 本发明解决上述技术问题的技术方案如下:一种用户隐私信息保护方法,具体包括以下步骤:
[0007] 步骤1:发生调用操作,钩取模块获取基本接口信息,通过基本接口信息获取调用操作相关信息,采用重定向过滤方法,对可能访问敏感信息的调用操作相关信息进行过滤分析,记录调用操作相关信息到接口调用数据库;
[0008] 步骤2:解析模块接收终端设备发送的运行日志数据信息,并基于运行日志数据信息,从接口调用数据库中的调用操作相关信息中对比得到敏感操作,产生对应窃密操作摘要,将窃密操作摘要记录到可疑行为操作数据库中;
[0009] 步骤3:检测模块对可疑行为操作数据库中的窃密操作摘要进行处理,基于黑名单数据库中的信息,从可疑行为操作数据库中筛选出窃密操作行为信息,并将所述窃密操作行为信息存储到黑名单数据库中;
[0010] 步骤4:根据黑名单数据库中的窃密操作行为信息处理窃密操作。
[0011] 本发明的有益效果是:本发明能够利用应用程序编程接口重定向过滤技术监控窃密行为,该技术能够通过监控、分析程序函数调用、参数内容等信息,进而及时发现潜在的窃密威胁,并阻断其操作;能够利用交互式日志解析技术有效监测敏感信息流转,该技术能够动态采集敏感信息流相关的常规日志数据与自定义日志数据,弥补了误用检测与异常检测的不足;能够全面监控、保护用户隐私数据,保护对象不仅包括联系人、短信、上网记录、地理位置、图片、音视频等数据信息,还包括屏幕显示、录音摄像等硬件模块。
[0012] 在上述技术方案的基础上,本发明还可以做如下改进。
[0013] 进一步,所述重定向过滤方法是对特定的API应用程序编程接口调用的入口地址进行重置,加入过滤分析的过程,对调用行为进行检测,以确认该调用行为是否在其权限范围内。
[0014] 进一步,所述步骤1具体包括以下步骤:
[0015] 步骤1.1:发生调用操作,钩取模块获取基本接口信息;
[0016] 步骤1.2:判断API应用程序编程接口调用是否正常,如果是,进行下一步,否则,跳转至步骤1.1;
[0017] 步骤1.3:对敏感信息相关接口进行钩取重定向,实时监测API应用程序编程接口的被调用情况,并对可能访问敏感信息的调用操作相关信息进行过滤分析;
[0018] 步骤1.4:将调用操作相关信息写入接口调用数据库。
[0019] 进一步,所述步骤2具体包括以下步骤:
[0020] 步骤2.1:根据终端设备操作系统类型,获取终端设备的日志文件,从大量日志文件中提取程序调用系统操作的日志数据信息,并将日志数据信息进行格式化存储;
[0021] 步骤2.2:检测日志子模块接收格式化的日志数据信息,检测日志操作行为是否敏感;如果是,进行下一步;否则,跳转至步骤2.1;
[0022] 步骤2.3:检测日志子模块调用接口调用数据库中的调用操作相关信息,判断是否存在窃密操作;如果是,进行下一步;否则,跳转至步骤2.1;
[0023] 步骤2.4:解析可疑子模块解析窃密操作,生成窃密操作摘要,并将窃密操作摘要存入可疑行为数据库中。
[0024] 进一步,所述步骤3具体包括以下步骤:
[0025] 步骤3.1:可疑行为处理子模块调用可疑行为数据库中的窃密操作摘要,并对所述窃密操作摘要进行去重、合并相似摘要;
[0026] 步骤3.2:恶意行为监测子模块调用黑名单数据库中的信息,对可疑行为处理子模块处理后的摘要快速筛选,筛选出已知窃密操作,并将所述窃密操作存入黑名单数据库。
[0027] 进一步,所述步骤4具体包括以下步骤:
[0028] 步骤4.1:通过用户交互模块查看和监控黑名单数据库中的数据信息,并根据用户设定判断进行报警或卸载;如报警,进行下一步;如卸载,进行步骤4.3;
[0029] 步骤4.2:窃密报警子模块发出报警信号,并根据预先设定进行阻断操作或放行等处理,结束;
[0030] 步骤4.3:恶意代码处理子模块根据预先设定,卸载恶意程序,删除恶意代码文件。
[0031] 本发明所要解决的技术问题是,针对现有移动智能终端用户隐私信息保护技术监控数据种类有限、难以主动发现、无法有效阻断等问题,提供一种基于日志信息主动检测与应用程序编程接口钩取监控相结合的用户隐私信息保护系统。
[0032] 本发明解决上述技术问题的技术方案如下:一种用户隐私信息保护系统,包括:钩取模块、解析模块、检测模块和管理模块;
[0033] 所述钩取模块获取基本接口信息,通过基本接口信息获取调用操作相关信息,采用重定向过滤方法,对可能访问敏感信息的调用操作相关信息进行过滤分析,记录调用操作相关信息到接口调用数据库;
[0034] 所述解析模块接收终端设备发送的运行日志数据信息,并基于运行日志数据信息,从接口调用数据库中的调用操作相关信息中对比得到敏感操作,产生对应窃密操作摘要,将窃密操作摘要记录到可疑行为操作数据库中;
[0035] 所述检测模块对可疑行为操作数据库中的窃密操作摘要进行处理,基于黑名单数据库中的信息,从可疑行为操作数据库中筛选出窃密操作行为信息,并将所述窃密操作行为信息存储到黑名单数据库中;
[0036] 所述管理模块用于根据黑名单数据库中的窃密操作行为信息处理窃密操作。
[0037] 本发明的有益效果是:本发明能够利用应用程序编程接口重定向过滤技术监控窃密行为,该技术能够通过监控、分析程序函数调用、参数内容等信息,进而及时发现潜在的窃密威胁,并阻断其操作;能够利用交互式日志解析技术有效监测敏感信息流转,该技术能够动态采集敏感信息流相关的常规日志数据与自定义日志数据,弥补了误用检测与异常检测的不足;能够全面监控、保护用户隐私数据,保护对象不仅包括联系人、短信、上网记录、地理位置、图片、音视频等数据信息,还包括屏幕显示、录音摄像等硬件模块。
[0038] 在上述技术方案的基础上,本发明还可以做如下改进。
[0039] 进一步,所述重定向过滤方法是对特定的API应用程序编程接口调用的入口地址进行重置,加入过滤分析的过程,对调用行为进行检测,以确认该调用行为是否在其权限范围内。
[0040] 进一步,所述钩取模块包括获取接口信息子模块、检测接口子模块、实时检测子模块和接口调用数据库;
[0041] 所述获取接口信息子模块用于获取基本接口信息;
[0042] 判断API应用程序编程接口调用是否正常,如果是,对敏感信息相关接口进行钩取重定向,实时监测API应用程序编程接口的被调用情况;
[0043] 所述实时检测子模块用于对可能访问敏感信息的调用操作相关信息进行过滤分析,将调用操作相关信息写入接口调用数据库。
[0044] 进一步,所述解析模块包括获取日志子模块、检测日志子模块、解析可疑子模块和可疑行为数据库;
[0045] 所述获取日志子模块根据终端设备操作系统类型,获取终端设备的日志文件,从大量日志文件中提取程序调用系统操作的日志数据信息,并将日志数据信息进行格式化存储;
[0046] 所述检测日志子模块接收格式化的日志数据信息,检测日志操作行为是否敏感;如果敏感,检测日志子模块调用接口调用数据库中的调用操作相关信息,判断是否存在窃密操作;如果存在窃密操作,将所述调用操作相关信息发送到解析可疑子模块;
[0047] 所述解析可疑子模块解析窃密操作,生成窃密操作摘要,并将窃密操作摘要存入可疑行为数据库中。
[0048] 进一步,所述检测模块包括归并处理子模块、恶意行为监测子模块和黑名单数据库;
[0049] 所述归并处理子模块调用可疑行为数据库中的窃密操作摘要,并对所述窃密操作摘要进行去重、合并相似摘要;
[0050] 所述恶意行为监测子模块调用黑名单数据库中的信息,对可疑行为处理子模块处理后的摘要快速筛选,筛选出已知窃密操作,并将所述窃密操作存入黑名单数据库。
[0051] 进一步,所述管理模块包括用户交互模块、窃密报警子模块和恶意代码处理子模块;
[0052] 用户交互模块用于查看和监控黑名单数据库中的数据信息,并根据用户设定判断进行报警或卸载;如报警,发送信息至窃密报警子模块;如卸载,发送信息至恶意代码处理子模块;
[0053] 所述窃密报警子模块发出报警信号,并根据预先设定进行阻断操作或放行等处理;
[0054] 所述恶意代码处理子模块根据预先设定,卸载恶意程序,删除恶意代码文件。
附图说明
[0055] 图1为本发明具体实施例1所述的一种用户隐私信息保护方法流程图;
[0056] 图2为本发明具体实施例2所述的一种用户隐私信息保护系统结构框图。
[0057] 附图中,各标号所代表的部件列表如下:
[0058] 1、钩取模块,2、解析模块,3、检测模块,4、管理模块,11、获取接口信息子模块,12、检测接口子模块,13、实时检测子模块,14、接口调用数据库,21、获取日志子模块,22、检测日志子模块,23、解析可疑子模块,24、可疑行为数据库,31、归并处理子模块,32、恶意行为监测子模块,33、黑名单数据库,41、用户交互模块,42、窃密报警子模块,43、恶意代码处理子模块。
具体实施方式
[0059] 以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
[0060] 如图1所示,为本发明具体实施例1所述的一种用户隐私信息保护方法,具体包括以下步骤:
[0061] 步骤1:发生调用操作,钩取模块获取基本接口信息;
[0062] 步骤2:判断API应用程序编程接口调用是否正常,如果是,进行下一步,否则,跳转至步骤1;
[0063] 步骤3:对敏感信息相关接口进行钩取重定向,实时监测API应用程序编程接口的被调用情况,并对可能访问敏感信息的调用操作相关信息进行过滤分析;
[0064] 步骤4:将调用操作相关信息写入接口调用数据库;
[0065] 步骤5:根据终端设备操作系统类型,获取终端设备的日志文件,从大量日志文件中提取程序调用系统操作的日志数据信息,并将日志数据信息进行格式化存储;
[0066] 步骤6:检测日志子模块接收格式化的日志数据信息,检测日志操作行为是否敏感;如果是,进行下一步;否则,跳转至步骤5;
[0067] 步骤7:检测日志子模块调用接口调用数据库中的调用操作相关信息,判断是否存在窃密操作;如果是,进行下一步;否则,跳转至步骤5;
[0068] 步骤8:解析可疑子模块解析窃密操作,生成窃密操作摘要,并将窃密操作摘要存入可疑行为数据库中;
[0069] 步骤9:可疑行为处理子模块调用可疑行为数据库中的窃密操作摘要,并对所述窃密操作摘要进行去重、合并相似摘要;
[0070] 步骤10:恶意行为监测子模块调用黑名单数据库中的信息,对可疑行为处理子模块处理后的摘要快速筛选,筛选出已知窃密操作,并将所述窃密操作存入黑名单数据库;
[0071] 步骤11:通过用户交互模块查看和监控黑名单数据库中的数据信息,并根据用户设定判断进行报警或卸载;如报警,进行下一步;如卸载,进行步骤13;
[0072] 步骤12:窃密报警子模块发出报警信号,并根据预先设定进行阻断操作或放行等处理,结束;
[0073] 步骤13:恶意代码处理子模块根据预先设定,卸载恶意程序,删除恶意代码文件。
[0074] 所述重定向过滤方法是对特定的API(Application Programming Interface)应用程序编程接口调用的入口地址进行重置,加入过滤分析的过程,对调用行为进行检测,以确认该调用行为是否在其权限范围内。
[0075] 本发明公开的面向移动智能终端的用户隐私信息保护系统主要根据本方法的上述三个部分部署实施,使用C/C++、Python语言开发后台程序,使用Java语言开发前台界面,使用SQLite或其他数据库搭建相关数据库,并使用自定义文件存储方式存放相关相关数据信息。本系统涉及到三个数据库,分别是:接口调用数据库、可疑行为数据库和黑名单数据库。
[0076] 本发明所述的“重定向过滤”是对特定程序API调用的入口地址进行重置,加入过滤分析模块。
[0077] 本发明所述的“误用检测”是根据已知的系统或应用程序漏洞建立异常行为模型,然后将可疑程序行为与之进行匹配,相同则为恶意行为。
[0078] 本发明所述的“异常检测”是通过构建正常的行为模型,把当前主体的活动与其进行对比,如果相异度超过了预设的阈值,则判定为恶意行为。
[0079] 本发明公开的面向移动智能终端的用户隐私信息保护方法具体内容如下:
[0080] (1)基于敏感信息相关的应用程序编程接口列表,采用重定向过滤方法,对可能访问敏感信息的程序进行过滤分析,记录其函数调用、参数内容等信息,并根据用户设置的阈值,进行报警阻断;
[0081] (2)基于移动智能终端操作系统的运行日志数据,根据敏感信息的流转逻辑,以程序为主体记录文件读写、网络收发等日志数据,并与用户主动交互,根据用户对敏感信息源、日志类型等的设置,进行分析检测;
[0082] (3)根据(1),(2)生成的两类检测记录,进行融合分析,根据事件序列重现可疑程序的窃密过程,并可根据需求展现相关程序的历史行为,通过结构化存储上述数据,帮助用户确认窃密事件。
[0083] 基于API钩取的重定向过滤具体实施步骤如下:
[0084] 步骤1.根据移动智能终端操作系统类型,获得其应用程序基本接口信息,并定义敏感操作接口,可分为三类:读写接口(指读写用户隐私信息的API,例如读写短信、读写联系人名单等),通信接口(通过运营商进行传输操作的API,例如收发短信、收发彩信、拨打电话等),网络接口(通过移动智能终端自带的模块接入局域网或广域网的API,例如无线接入、蓝牙接入等);
[0085] 步骤2.在API调用正常的情况下,对于其敏感信息流相关接口进行钩取重定向,实现对关键API的实时监测,当有程序调用关键API时,提取其传入的参数内容,分析是否含有敏感信息,或访问敏感信息源;
[0086] 步骤3.对于通过敏感操作接口,调用关键API的可疑程序,进行标定并存入窃密行为样本(黑名单)数据库,达到报警阈值时,通知用户处理,处理操作包括放行、阻止、删除目标程序等。
[0087] 结合系统日志数据的解析处理的具体实施步骤如下:
[0088] 步骤1.根据移动智能终端操作系统类型,获取其日志文件,从大量日志文件中提取程序调用系统操作的日志信息;
[0089] 步骤2.对日志信息进行格式化存储,便于解析模块扫描处理,对于敏感操作相关的日志条目,结合API钩取信息进行关联分析;
[0090] 步骤3.对于敏感信息非法流转相关的日志条目(如偷发短信,读取图片,在用户无感情况下开启摄像头等操作的日志条目),进行标定并存入数据库,达到报警阈值时,通知用户处理。
[0091] 针对窃密行为的检测判断的具体实施步骤如下:
[0092] 步骤1.从移动智能终端可疑行为数据集中获取程序事件序列,操作日志等基本数据,并对其进行归并处理;
[0093] 步骤2.利用黑名单对步骤1得到的数据做初步筛选,标定出已知的窃密行为,对于剩余的可疑行为,使用基于事件序列的分析方法进行判断,对于无法判断的可疑行为,重现其场景,交予专家系统进行由人工参与的分析判断;
[0094] 步骤3.基于步骤2,若判断为窃密行为,则标定存储并通知用户,对于首次检测到的新型窃密程序,则加入黑名单。
[0095] 如图2所示,为本发明具体实施例2所述的一种用户隐私信息保护系统,本系统由钩取模块1、解析模块2、检测模块3与管理模块4组成;
[0096] 钩取模块1基于应用程序接口钩取方法,能够对移动智能终端上运行的非白名单程序进行实时监控,记录敏感信息内容流转相关的API操作与参数,并提供用户操作接口,支持窃密行为报警阻断阈值的调节;
[0097] 解析模块2能够记录系统生成的相关日志数据,结合钩取模块得到的程序API操作与参数信息,通过解析与初步判断,在保证准确率的情况下进行标定,排除正常程序产生的记录;
[0098] 检测模块3通过行为关联分析与操作逻辑判断,能够对解析模块标定为异常的记录进行检测,检测结果分为三种:正常,可疑,窃密。对于窃密记录,将其存入黑名单(窃密行为样本)数据库;对于可疑记录,进行场景还原,在人工参与的情况下分析标定;
[0099] 管理模块4管理本系统其他模块以及相关数据库,并提供用户交互功能,对可疑行为进行报警,支持用户对其的阻止、放行等操作。
[0100] 本发明所公开的方法及系统旨在保护移动智能终端上的用户隐私信息免受非法窃取,提升移动互联网信息安全防护能力。根据模块划分,其工作原理可分为四部分来进行描述。
[0101] 钩取模块1:该模块涉及API接口信息处理和接口调用数据库14,可分为获取接口信息子模块11、检测接口子模块12和实时监测子模块13。其中,获取接口信息子模块11主要用于获取API重定向过滤的一些基本信息,包括调用时间、函数名称、参数内容等;检测接口子模块12主要用于检测接口被调用的情况是否安全,是否存在窃密操作隐患,并将接口调用情况写入接口调用数据库14;实时检测子模块13主要用于实时的监控系统接口被调用的情况,并将接口调用情况写入接口调用数据库14。
[0102] 解析模块2:该模块涉及日志数据信息处理和接口调用数据库14,可分为获取日志数据子模块21、检测日志子模块22和解析可疑行为子模块23。其中,获取日志子模块21主要用于从系统生成的大量日志文件中过滤出所需的程序操作相关日志信息;检测日志子模块22主要用于检测日志记录中的程序操作行为是否敏感,并综合接口调用数据库中提供的API调用信息,判断其是否存在窃密行为;解析可疑行为子模23主要用于具体解析可疑行为,生成程序操作行为摘要,并存储至可疑行为信息数据库24。
[0103] 检测模块3:该模块涉及可疑行为信息数据库24和黑名单数据库33,可分为归并处理子模块31和恶意行为检测子模块32。其中,归并处理子模块31主要用于对可疑行为信息进行去重、合并相似摘要等;恶意行为检测子模块32主要基于黑名单数据库33的可疑行为检测,快速筛选已知窃密行为,并将筛选出的已知窃密行为存入黑名单数据库33;还可以包括专家系统分析处理子模块,专家系统分析处理子模块主要用于针对自动化程序无法判断的可疑行为进行人工参与的检测与分析,并将确认的新型窃密程序信息写入黑名单数据库。
[0104] 管理模块4:该模块涉及黑名单数据库33,可分为用户交互处理子模块41、窃密报警阻断子模块42和恶意代码处理子模块43。其中,用户交互处理子模块41提供与用户交互的操作接口,展示相关窃密行为监控流程与结果;窃密报警阻断子模块42提供提示框、邮件、短信等多种报警方案,并根据用户操作进行阻断、放行等处理;恶意代码处理子模块43根据用户操作,卸载恶意程序,删除恶意代码文件。
[0105] 以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
