[发明专利]一种移动终端恶意软件行为的黑盒检测方法

说明书

本发明公开了一种移动终端恶意软件行为的黑盒检测方法，所述检测方法步骤如下：步骤1，将待测软件安装到标准移动终端测试样机中，用测试样机进行测试操作，并记录各项测试操作；步骤2，打开移动运营商提供的用户业务报告记录，对照本次基本功能测试操作记录；步骤3，检查用户业务报告记录是否与测试操作记录相符，如果是则进入步骤4，如果否，则判定该软件有恶意软件行为；步骤4，连接登录到标准移动互联网测试网页，进行上网测试，记录下测试操作；步骤5，打开移动运营商提供的用户业务报告记录，对照本次上网测试操作记录；步骤6，检查用户业务报告记录中业务行为是否和测试操作相符。

技术领域

本发明涉及通信领域一种移动终端信息安全的测试检测方法，特别是涉及一种移动终端恶意软件行为的黑盒检测方法。

背景技术

近年来移动终端安全事件层出不穷，移动终端的恶意软件的危害已经受到全社会普遍的高度重视。恶意软件危害最大的特点是，会窃取用户的重要信息，如个人电话号码、银行股票账号密码、个人通讯录、地理位置信息、重要文件、短信记录、通话记录、私密照片和图片等等，由于这些重要信息的泄露从而使用户巨大的经济、名誉的损失成为可能。

现有的软件测试技术中，对移动终端软件恶意软件行为的测试，共有白盒、灰盒与黑盒测试法三种技术。白盒与灰盒测试法都需要应用软件开发商或操作系统软件开发商提供软件源代码，通过对软件代码的排查，找出其中的恶意代码，这种方法工作量巨大，检测人员稍有疏忽就会遗漏关键代码。并且由于市场竞争等种种原因软件开发商往往不能提供软件源代码，同时，通过反向编译手段获得的程序并不能保证和原程序的一致性，通常反编译出来的程序与原程序会存在许多不同，虽然执行效果相同，但程序代码会发生很大的变化，非编程高手很难读懂，所以白盒与灰盒测试法并不能充分有效地检测恶意软件。目前的黑盒测试法，基本都停留在普通功能测试的层次，而且由于操作系统和应用软件的种类功能繁多，以及恶意软件常常会有隐藏拨号、发信、上网传数据的功能，目前现有的黑盒测试方法不能有效准确地检测和判别恶意软件。

另外还有开发其他工具软件对应用软件进行单独运行检测的方法，则走入了另一个误区，例如

中国专利数据库中公开的CN201010292928.3发明申请，发明名称为《 一种信息安全检测方法及移动终端》。该方案通过下载完成目标软件后，在动态虚拟机中模拟运行该目标软件；根据恶意软件知识库中的恶意行为规则判定所述目标软件是否为恶意软件；该技术方案存在有如下的不足：忽略了目标软件在安装入移动终端时，可能另外生成隐藏的其他恶意软件以及恶意行为并不伴随目标软件的运行来触发等黑客手段，所以不能根本、彻底地检测出恶意软件。

发明内容

本发明的目的在于克服现有技术的不足，提供一种移动终端恶意软件行为的黑盒检测方法，针对移动终端的应用软件，甚至移动终端自带的操作系统中可能隐藏的，非用户自愿的信息窃取恶意程序行为，进行根本性的彻底检测。以判定被检测的应用软件或者移动终端自带的操作系统本身，是否具有恶意窃取用户信息的行为，是否为恶意软件。测试效率、准确性和通用性较高，简单方便，易于实施。

为了达到上述目的，本发明采用的技术方案是，一种移动终端恶意软件行为的黑盒检测方法，它包括一台与被测应用软件或操作系统相对应的标准移动终端测试样机。该检测方法通过在标准移动终端测试样机上进行功能测试操作（手动或者自动测试操作）后，应用对比该终端在移动运营商的业务报告记录与测试端的功能测试操作记录的差异来判断被测软件是否有恶意软件行为，差异明显则判断被测软件为恶意软件，没有差异或差异微小可以忽略则判断被测软件没有恶意行为。所述检测方法步骤如下：

步骤1，将待测软件安装到标准移动终端测试样机中，用标准移动终端测试样机进行基本功能测试操作，并记录各项测试操作及其开始与结束时间；

步骤2，打开移动运营商提供的用户业务报告记录，对照本次基本功能测试操作记录；