[发明专利]一种Android恶意软件的自动化检测方法

说明书

技术领域

本发明属于系统安全技术领域，涉及一种恶意软件检测方法，特别涉及一种Android恶意软件自动化检测方法。

背景技术

随着移动互联网的快速发展和智能手机的逐渐普及，各种各样的智能手机应用软件已开始影响到人们工作和生活的方方面面，例如：手机游戏软件，移动SNS软件，移动IM软件，移动支付软件和移动定位服务软件等等。目前，智能手机操作系统主要的两大阵营是Apple公司的iOS系统和Google公司的Android系统，iOS系统由于其封闭性，iOS应用软件都需要从其官方的App Store中下载，并且所有的应用软件在投放到App Store之前，需要经过了Apple公司的严格审查，很大程度上可以确保用户下载的iOS应用软件的安全性。Android系统由于其开放性和其相对低廉的终端价格，市场份额已经超过了iOS系统，并且Android应用软件数量在过去的一年里高速增长，德国移动研究机构research2guidance报告显示，2011年10月Android市场增加了4.6万多个新应用程序，每周约新增1.1万个新应用，截至10月底，Android市场应用程序总数达36.5404万个。随着移动互联网的持续发展，将会有越来越多的Android应用软件投放到Android电子市场中供用户下载使用。

Android系统的开放性使得除了一个官方的Android Market电子市场外，还存在着许多其他的非官方电子市场，仅在中国就有几十家大大小小的电子市场。现在，所有Android电子市场都不会像Apple Store在应用上架之前去审查它的安全性，使得其相对封闭的iOS系统而言安全性问题更加严峻。由于几乎没有入驻门槛，木马制作者可以通过篡改正常软件的方式，随意将捆绑了木马的恶意软件应用在Android电子市场中发布。目前，Android恶意软件已经开始在电子市场中泛滥了，特别是非官方电子市场更加严重，大量Android恶意软件具有偷取用户隐私、恶意扣费等恶意行为，因此，Android平台安全性问题日益凸显，Android恶意软件正严重威胁着终端用户的隐私和利益。

当前，企业界和科研院所已经开始研究应对Android恶意软件的措施，主要集中在Android恶意软件的检测方法上，以对电子市场中的应用软件进行检测为主，从而从源头上防止Android恶意软件扩散到终端用户中去。检测方法主要分为静态检测和动态检测两个方面，静态检测主要是把Android应用软件反汇编和反编译以后分析代码，找到一些隐私泄露和恶意扣费等恶意行为的代码块和敏感API(由Android系统提供的可被用来完成恶意功能的API，例如：发送短信的API和读取地理位置的API)，以及敏感API被调用的函数执行路径，但不能够完全确定程序实际执行时是否会真正调用这些敏感API来完成恶意行为。动态检测主要是把Android应用软件安装到Android沙箱上运行，并观察应用软件在沙箱中是否会实际调用这些敏感API来表现出恶意行为。Android沙箱是在Android模拟器的基础上，对一些系统敏感API进行劫持，如果应用软件运行过程中调用这些敏感API时，就会被实时记录下来，证实该软件具有相应的恶意行为。静态检测和动态检测虽然都是通过判断软件是否会调用到敏感API来判定其是否具有相应的恶意行为，但它们各有优缺点，静态检测效率高并且发现软件潜在的恶意行为的能力强，可以覆盖所有的敏感API的函数调用路径，但检测结果不可靠，不能够确定发现的疑似恶意行为在软件实际运行中是否一定会触发。动态检测的结果准确，可以证明软件具有的恶意行为，但很难覆盖所有的敏感API的函数调用路径。

Android恶意软件动态检测方法目前所面临的另一个重要问题是如何自动触发Android沙箱中正在运行的软件的恶意行为。因为许多Android恶意软件的恶意行为都是通过用户对屏幕上的一些控件的操作来触发的，例如：用户点击按钮控件、触摸屏幕中的图片控件，所以动态检测时就需要人工参与进来，手工对屏幕上的控件进行操作。但是，我们面对的是电子市场中几万或几十万个应用软件，大规模的检测使得人工参与变得不现实，需要自动化地触发恶意行为。然而，自动化触发动态检测沙箱中的软件的恶意行为比较困难，至今还没有人提出一种有效的自动化触发方法。目前，大家采用的解决方法是生成随机的用户操作事件，然后将其发送到沙箱中来操作被检软件的控件，相当于随机模拟用户对屏幕操作。但是，因为是随机对屏幕中的任意位置进行操作，所以经常不能生成能够触发恶意行为的用户事件，导致效率比较低。因此，非常有必要设计出一种自动触发恶意行为的方法，建立一个Android恶意软件的自动化检测系统。