公开(公告)号：CN111831395B

公开(公告)日：2024-01-09

申请号：CN202010655805.5

申请日：2020-07-09

申请人： 西安交通大学

发明人： 陶敬 ,  李熇桢 ,  李佳璇

IPC分类号： G06F9/455 ,  G06F11/30

摘要： 本发明公开了一种行为监控分析方法与系统，在宿主机建立虚拟客户机候选系统集合，根据用户从该集合中所选系统，启动对应虚拟客户机；虚拟客户机启动完毕后，用户通过宿主机控制虚拟客户机初始化函数监控功能；初始化完毕后，控制虚拟客户机进行行为触发，并监控虚拟客户机的运行情况，输出监控日志。系统包括虚拟客户机系统镜像维护模块、虚拟客户机行为监控初始化模块以及虚拟客户机行为监控模块。本发明基于二进制指令翻译虚拟化技术进行虚拟客户机行为监控；并通过修改虚拟化流程，不需要修改客户机系统源码，克服了在操作系统版本不断更新迭代，市场上操作系统繁多的环境下，传统动态监控系统不够灵活、无法随意变更所监控系统的缺点。

公开(公告)号：CN109344028B

公开(公告)日：2020-09-15

申请号：CN201811066049.1

申请日：2018-09-13

申请人： 西安交通大学

发明人： 陶敬 ,  王平辉 ,  韩婷 ,  李佳璇 ,  王铮 ,  郑宁 ,  栾庆鑫 ,  白云鹏 ,  孙立远 ,  柳哲 ,  林杰

IPC分类号： G06F11/30

摘要： 本发明设计了一种免超级用户权限的进程行为监控装置与方法，用以解决现有技术中内核层进程行为监控的问题。该方法包括：修改系统配置文件，使监控装置不需要超级用户权限即可正常运行；启动监控装置，指定监控目标并操作目标，触发行为；监控装置采集监控目标的进程行为信息，生成监控日志。与现有技术相比，本发明的有益效果是：1)监控范围较传统监控系统更大；2)监控系统更加隐蔽；3)监控更加高效稳定。

公开(公告)号：CN109388538A

公开(公告)日：2019-02-26

申请号：CN201811066041.5

申请日：2018-09-13

申请人： 西安交通大学

发明人： 陶敬 ,  王平辉 ,  韩婷 ,  栾庆鑫 ,  王铮 ,  李佳璇 ,  郑宁 ,  白云鹏 ,  孙立远 ,  柳哲 ,  林杰

IPC分类号： G06F11/30

摘要： 本发明提供一种基于内核的文件操作行为监控方法及装置，通过对文件系统的目录进行监控，结合文件操作行为系统调用监控组成对文件操作行为的监控装置。包括对指定路径的监控、移动应用程序的文件操作行为监控两个模块；以app作为输入，可以从内核中监控app的采取的文件操作行为并输入日志；以文件路径作为输入可以监控该目录下的文件改动。本发明可用于对恶意app文件操作行为的监控。

公开(公告)号：CN109344028A

公开(公告)日：2019-02-15

申请号：CN201811066049.1

申请日：2018-09-13

申请人： 西安交通大学

发明人： 陶敬 ,  王平辉 ,  韩婷 ,  李佳璇 ,  王铮 ,  郑宁 ,  栾庆鑫 ,  白云鹏 ,  孙立远 ,  柳哲 ,  林杰

IPC分类号： G06F11/30

摘要： 本发明设计了一种免超级用户权限的进程行为监控装置与方法，用以解决现有技术中内核层进程行为监控的问题。该方法包括：修改系统配置文件，使监控装置不需要超级用户权限即可正常运行；启动监控装置，指定监控目标并操作目标，触发行为；监控装置采集监控目标的进程行为信息，生成监控日志。与现有技术相比，本发明的有益效果是：1)监控范围较传统监控系统更大；2)监控系统更加隐蔽；3)监控更加高效稳定。

公开(公告)号：CN112346946B

公开(公告)日：2022-06-21

申请号：CN202011273420.9

申请日：2020-11-13

申请人： 西安交通大学

发明人： 陶敬 ,  蔡梦 ,  李佳璇 ,  李熇桢 ,  栾庆鑫 ,  白云鹏

IPC分类号： G06F11/34 ,  G06F11/30

摘要： 本发明为一种基于控件定位的用户软件操作行为监控方法，重点是监控用户对软件程序的软件操作行为，同时记录操作信息。本发明通过采用基于控件定位的方法，可以获取准确丰富的信息。该方法包括UIAutomation监控方法和Java监控方法两个部分。通过本发明的方法，解决了传统方法中监控信息不灵活，系统环境要求高和适用软件种类不全等的问题，为进一步的操作提供了丰富、准确的信息。

公开(公告)号：CN109344616A

公开(公告)日：2019-02-15

申请号：CN201811066029.4

申请日：2018-09-13

申请人： 西安交通大学

发明人： 陶敬 ,  王平辉 ,  韩婷 ,  白云鹏 ,  王铮 ,  李佳璇 ,  郑宁 ,  栾庆鑫 ,  孙立远 ,  柳哲 ,  林杰

IPC分类号： G06F21/56 ,  G06F21/53

摘要： 本发明提供一种移动应用程序动态加载行为监控方法及装置，重点对Android应用程序的动态加载行为进行监控。本发明通过对Android系统的Native层API进行监控，在记录监控日志的同时对应用程序动态加载的文件进行备份。该方法包括监控控制、动态加载行为监控和监控日志生成三个部分；对32位和64位的Android应用程序均提出相应的监控方法；对用户指定的应用程序或PID进程及其子进程进行监控。通过本发明的方法，解决了传统方法对Android应用程序的动态加载行为监控不全的问题，为进一步的恶意软件检测以及代码分析工作提供了方法基础和技术支持。同时，本发明提出的方法，只要稍作修改，即可以实现对Android Native层任意系统函数调用的监控。

公开(公告)号：CN112346946A

公开(公告)日：2021-02-09

申请号：CN202011273420.9

申请日：2020-11-13

申请人： 西安交通大学

发明人： 陶敬 ,  蔡梦 ,  李佳璇 ,  李熇桢 ,  栾庆鑫 ,  白云鹏

IPC分类号： G06F11/34 ,  G06F11/30

摘要： 本发明为一种基于控件定位的用户软件操作行为监控方法，重点是监控用户对软件程序的软件操作行为，同时记录操作信息。本发明通过采用基于控件定位的方法，可以获取准确丰富的信息。该方法包括UIAutomation监控方法和Java监控方法两个部分。通过本发明的方法，解决了传统方法中监控信息不灵活，系统环境要求高和适用软件种类不全等的问题，为进一步的操作提供了丰富、准确的信息。

公开(公告)号：CN109271781B

公开(公告)日：2020-11-17

申请号：CN201811066101.3

申请日：2018-09-13

申请人： 西安交通大学

发明人： 陶敬 ,  王平辉 ,  韩婷 ,  王铮 ,  李佳璇 ,  郑宁 ,  栾庆鑫 ,  白云鹏 ,  孙立远 ,  柳哲 ,  林杰

IPC分类号： G06F21/55 ,  G06F21/57

摘要： 本发明提供一种基于内核的应用程序获取超级权限行为检测方法，其步骤为：1)采集待检测安卓应用运行中产生的内核系统调用日志；2)通过日志，判断待检测安卓应用是否已获取超级权限，如果成立则继续执行，否则结束分析；3)通过日志，分析系统调用呈现的顺序关系、频度关系以及参数的特殊赋值情况，与4个CVE特征比对，分析出待检测安卓应用使用的获取超级权限方法。

公开(公告)号：CN109271781A

公开(公告)日：2019-01-25

申请号：CN201811066101.3

申请日：2018-09-13

申请人： 西安交通大学

发明人： 陶敬 ,  王平辉 ,  韩婷 ,  王铮 ,  李佳璇 ,  郑宁 ,  栾庆鑫 ,  白云鹏 ,  孙立远 ,  柳哲 ,  林杰

IPC分类号： G06F21/55 ,  G06F21/57

摘要： 本发明提供一种基于内核的应用程序获取超级权限行为检测方法，其步骤为：1)采集待检测安卓应用运行中产生的内核系统调用日志；2)通过日志，判断待检测安卓应用是否已获取超级权限，如果成立则继续执行，否则结束分析；3)通过日志，分析系统调用呈现的顺序关系、频度关系以及参数的特殊赋值情况，与4个CVE特征比对，分析出待检测安卓应用使用的获取超级权限方法。

公开(公告)号：CN109388538B

公开(公告)日：2020-12-08

申请号：CN201811066041.5

申请日：2018-09-13

申请人： 西安交通大学

发明人： 陶敬 ,  王平辉 ,  韩婷 ,  栾庆鑫 ,  王铮 ,  李佳璇 ,  郑宁 ,  白云鹏 ,  孙立远 ,  柳哲 ,  林杰

IPC分类号： G06F11/30

摘要： 本发明提供一种基于内核的文件操作行为监控方法及装置，通过对文件系统的目录进行监控，结合文件操作行为系统调用监控组成对文件操作行为的监控装置。包括对指定路径的监控、移动应用程序的文件操作行为监控两个模块；以app作为输入，可以从内核中监控app的采取的文件操作行为并输入日志；以文件路径作为输入可以监控该目录下的文件改动。本发明可用于对恶意app文件操作行为的监控。