[发明专利]批量安卓恶意软件检测方法及装置

说明书

技术领域

本发明涉及一种批量安卓恶意软件检测方法及装置，属于安卓平台应用安全分析技术领域。

技术背景

随着移动互联网的迅速发展，具有移动操作系统的智能手机得到了大范围应用。不再局限于普通的通讯功能，智能手机拥有独立的操作系统，因而人们可以使用智能手机随时随地进行收发邮件、购物、交易等，移动互联网市场已经显露出它巨大的价值。而在此背景下的安全风险也随之而来：恶意软件、钓鱼网站越来越多，公共wifi之类的风险应用场景也越来越多。相比于其他操作系统，随着基于linux内核的安卓智能手机操作系统的市场份额越来越多，安卓手机已经成为当前恶意软件最重要的攻击目标。

安卓系统是一种开源的操作系统，开发人员可以将应用程序直接上传到市场供用户使用而无需经过任何审查。方便快捷的开发方式激发了各种功能的应用程序的涌现，也进一步促进了安卓操作系统的发展和普及，但也使它面临着更大的风险。移动设备存储量的增长，使其存储了大量的个人信息和商业数据；智能手机可以支持支付业务，供应商，销售商，批发商，内容提供商，移动操作者以及银行都在创建新的移动支付业务。这些都使移动设备等成为了攻击者们的众矢之的。越来越多的恶意程序利用移动设备来获取用户资料，进行恶意扣费和系统破坏。恶意程序利用移动设备来恶意拨打电话，发送垃圾短信，泄露用户证书，和破坏手机软硬件的事例已经屡见不鲜。

对安卓设备上的恶意软件检测方法主要分为静态检测和动态检测两种方法。静态分析的目标主要是如下几点，apk文件列表，Manifest文件，dex文件，二进制文件，资源文件，权限，四大组件，敏感API，尤其是LoadLibrary，dexClassLoader，Reflection等。安卓应用程序的文件签名也经常被用来作为检测特征。静态检测是在不运行应用程序的前提下，通过分析反编译应用程序，获取程序的源代码，或者分析程序的外部特征如文件签名等对恶意软件进行检测。而动态检测则是将应用程序运行在沙箱或者安卓系统中，在程序运行的过程中，分析程序的运行轨迹，查看程序对系统敏感资源的通信情况和使用情况，检测出程序对用户资料或者系统敏感资源的泄露来判定为恶意软件或者病毒。

系统权限是安卓恶意软件检测的一个重要元素。在安卓系统中，应用程序需要申请权限来访问重要资源。当应用程序申请比其所需更多的权限时将有可能引起特权提升攻击。而由于一些开发人员的不良习惯，应用程序申请过多权限的情况也经常发生，因此单纯使用权限不足以作为恶意软件检测的唯一检测特征。

程序控制流程图显示了应用程序的所有执行路径，同一个病毒家族的恶意程序在程序控制流程图的结构上具有极大的相似性，因此程序控制流程图也被经常用来作为检测恶意软件变种的依据。

系统调用反映了应用程序在实际运行过程中所进行的实际操作，追踪系统调用可以实时反映恶意程序的恶意行为。而传统的污点标记方法需要在应用程序内部添加污点标记，并定义污点的传播方法，修改android源码，复杂度过高，不能对大批量的恶意软件进行检测。

静态分析方便迅速，可以隔离使用环境进行分析，但是无法检测出其模型库以外的恶意软件攻击。而动态分析可以实时抓取应用程序的恶意行为，但是无法覆盖程序的所有执行路径，对于未执行恶意行为的恶意程序可能会误判为正常软件。因此，将静态特征和动态特征相结合来对恶意软件进行检测的方法可以解决上述问题，提高恶意程序的检测率。

几个典型的现有技术：

现有技术一的方案以及现有技术一的缺点：专利201310388742.1所述方案，通过解析apk文件样本中的可执行文件并提取出解析文本中的特征字符串，利用特征字符串构建恶意程序特征码列表和非恶意程序特征码列表，将apk文件样本对应的特征字符串与恶意程序特征码列表和非恶意程序特征码列表进行比对，得到该apk文件样本的字符串特征向量，并根据字符串特征向量和该apk文件样本向系统申请的权限生成该apk文件的识别特征向量，对多个apk文件样本的识别特征向量进行训练，生成用于识别恶意apk文件的分类模型，利用该分类模型对未知类型的apk文件进行识别。然而，在该检测模型中，主要是以应用程序中出现的字符串为基础模型创建特征去进行检测，对恶意程序的检测不够直接和准确。