[发明专利]一种面向移动互联网的Android恶意软件检测平台

说明书

技术领域

本发明属于信息安全技术领域，更为具体地讲，涉及一种面向移动互联网的Android恶意软件检测平台。

背景技术

当前，在使用Android系统的移动设备中，恶意软件泛滥严重。这些应用程序包含各种恶意行为，引发用户的隐私泄漏、经济损失等安全问题。

腾讯移动安全实验室最新发布的《2013年第一季度手机安全报告》显示，从软件样本池中抽取了近470万个软件包进行代码扫描后发现，有读取用户隐私权限的相关操作的软件比例达到71%。其中，读取设备识别信息与手机号码的占61.75%与28.33%；读取地理位置信息的占28.27%；读取通讯录的占10.29%；读取短信的占4.22%；打开手机摄像头与录音器的分别占4.15%与3.75%的比例；读取通话记录的占2.86%；读取浏览器书签的占7.93%。

本平台旨在利用Android虚拟机沙盘实现自动化分析恶意软件。通过监控软件在运行时所调用的系统函数，判断待测软件是否含有恶意行为，帮助用户识别出恶意软件，避免损失。

发明内容

本发明的目的在于克服现有Android恶意软件检测缺少动态检测的不足，提供一种面向移动互联网的Android恶意软件检测平台，实现Android恶意软件静态检测和动态检测的有机结合，通过把应用程序安装到Android沙盒中，自动启动并操纵Android应用程序，模拟用户对应用程序的各种实际操作，通过对应用程序运行情况的监视，可以获得应用程序的API调用信息以及各种动态行为，以此达到检测应用程序恶意行为的目的。

为了实现上述目的，本发明面向移动互联网的Android恶意软件检测平台，其特征在于，包括：

—客户端任务接收和HTTP请求模块，该模块用于给用户提供一个可以设置任务URL和TIMEOUT的界面，用户可以输入待检测软件的下载地址，设置任务的超时时间，然后向服务端发起任务的HTTP请求；

—客户端结果解析和展示模块，该模块等待服务器端返回JSON格式的数据，涉及JSON格式的数据解析以及对数据的组织管理；

—服务器端任务处理模块，该模块响应客户端的HTTP任务请求，根据参数URL获取完整的APP，将APP文件传到服务器端控制台模块；

—服务器端控制台模块，该模块接收到任务之后，开启一个新的线程，设置任务的参数，启动Android虚拟机快照；

—服务器端自动化扫描模块，本模块解压APP包，获得AndroidManifest.xml文件，将反编译后获得的明文文件发送给APP静态分析模块处理；在解压后的APP包中插入监视代码使其在运行时可被监视并重新打包，新的APP包发送给APP动态分析模块处理；

—APP动态分析模块，在上一模块开启Android虚拟机之后，本模块实现对Android虚拟机的控制，使APP可在沙盘中自动安装和运行，最终得到APP运行的日志信息；

—APP静态分析模块，本模块通过分析AndroidManifest.xml文件，获得APP的应用权限、组件及敏感函数，以此来判断程序本身可能含有的恶意行为；

服务器端控制台模块对Android虚拟机进行控制，当任务被提交到服务器端后，控制台会创建一个线程，控制虚拟机的运行；控制台支持多线程，可以同时处理多个任务；控制台会记录虚拟机的实时运行信息，生成运行日志。

服务器端自动化扫描模块解压APP包，获得AndroidManifest.xml文件，将反编译后获得的明文文件发送给APP静态分析模块处理；在解压后的APP包中插入监视代码并重新打包，新的APP包发送给APP动态分析模块处理；

APP动态分析模块将APP安装到Android虚拟机沙盘环境中；模拟用户启动并操作APP，自动控制APP的运行，仿真用户的操作，来达到暴露APP的行为的目的；通过对APP运行情况的监视，可以获得APP的API调用信息，并保存为JSON格式的结果，供接下来对该APP行为的动态分析。

APP静态分析模块从AndroidManifest.xml明文文件中获取APP的基本信息，包括应用权限、组件、触发函数等，并保存为JSON格式的结果。

APP动态分析模块和APP静态分析模块的JSON格式结果最终都经过服务器端控制台模块发送给客户端结果解析和展示模块进行处理和展示。