[发明专利]软件行为分析方法和装置

说明书

技术领域

本发明涉及通信技术领域，具体涉及一种软件行为分析方法和一种软件行为分析装置。

背景技术

近几年来以来，随着移动互联网技术的快速发展以及智能手机的普及，移动互联和智能手机给人们的生活带来了很大方便。智能手机除了具有传统非智能手机的通话功能及短信功能的特点外，还具有上网，支付(SP计费及NFC)等特点。由于能够联网，使得智能手机不可避免地会遭受到恶意软件的攻击。

由于AndroidOS占据着移动操作系统一半以上的市场份额，使得AndroidOS更受病毒软件开发者的“青睐”。自从2010年6月某移动安全厂商截获了全球首款Android病毒以来，已经累积查杀到数万款恶意软件。由此可见，Android系统面临的安全问题越来越严重，使得应用Android系统的智能手机与传统的非智能手机相比，面临的安全问题更为严峻。

一般地，软件的恶意行为主要表现为联网、获取系统通讯录、删除短信，以及获取地理位置等信息。随着移动互联网的发展，软件种类越来越多，部分软件开发商会在软件文件中植入恶意代码以从中非法获利，因此需要针对这些软件的恶意行为进行快速、有效地分析。

现有技术中，大都采用分析二进制文件或在源代码中分析特征码的方式来找到代码恶意区，再对代码恶意区进行静态分析，从而找出软件的恶意行为，进而可以为其划分恶意等级(危险等级)。但是，这种方法效率低，覆盖性不高。

发明内容

本发明所要解决的技术问题是针对现有技术中所存在的上述缺陷，提供一种软件行为分析方法和一种软件行为分析装置，能够高效、全面地识别出软件的恶意行为，并准确、细致地划分其安全等级。

解决本发明技术问题所采用的技术方案是：

本发明提供一种软件行为分析方法，包括如下步骤：

静态分析软件文件的结构；

基于软件文件的结构分析结果采用轮询的方式捕获软件应用程序在运行过程中与预设敏感行为对应的函数调用序列；

将与预设敏感行为对应的函数调用序列和与预设恶意行为对应的函数调用序列进行对比，识别出软件的恶意行为，所述恶意行为包括至少两个特定敏感行为的组合，根据预设的安全等级列表确定软件恶意行为的安全等级，并依据所述安全等级下发安全等级预警。

本发明还提供一种软件行为分析装置，包括：

静态分析模块，用于静态分析软件文件的结构；

动态分析模块，用于基于软件文件的结构分析结果采用轮询的方式捕获软件应用程序在运行过程中与预设敏感行为对应的函数调用序列；

行为分析模块，用于将与预设敏感行为对应的函数调用序列和与预设恶意行为对应的函数调用序列进行对比，识别出软件的恶意行为，所述恶意行为包括至少两个特定敏感行为的组合，根据预设的安全等级列表确定软件恶意行为的安全等级，并依据所述安全等级下发安全等级预警。

有益效果：

本发明通过对软件文件进行静态分析和动态分析，得出软件应用程序在运行过程中与预设敏感行为对应的函数调用序列，再对比与预设恶意行为对应的函数调用序列，从而识别出软件的恶意行为，本发明与现有技术采用分析二进制文件或在源代码中分析特征码的方式相比，能快速、高效、全面地识别出软件的恶意行为，并能提高软件行为分析的准确率。

此外，本发明还通过安全等级预警机制划分软件恶意行为的安全等级(恶意等级)，其中，软件恶意行为并不是单个的敏感行为，而是至少两个特定敏感行为的组合，从而能更加准确、细致地划分软件恶意行为的安全等级。

附图说明

图1为本发明实施例1提供的一种软件行为分析方法的流程示意图；

图2为本发明实施例1提供的另一种软件行为分析方法的流程示意图；

图3为本发明实施例2提供的一种软件行为分析装置的结构示意图；

图4为本发明实施例2提供的静态分析模块的结构示意图；

图5为本发明实施例2提供的动态分析模块的结构示意图；

图6为本发明实施例2提供的行为分析模块的结构示意图；以及，

图7为本发明实施例2提供的另一种软件行为分析装置的结构示意图。