[发明专利]一种安卓平台下勒索应用的检测方法及系统

说明书

本发明公开了一种安卓平台下勒索应用的检测方法，通过对大量勒索应用安装包文件的详细分析，采用了指定权限及指定代码段参数的方式进行检测，与传统检测方法相比，本发明提出的方法和系统占用内存小、消耗资源少，能够满足批量检测要求，有效地提高了检测效率和检出率。本发明还公开了一种安卓平台下勒索应用的检测系统。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种安卓平台下勒索应用的检测方法及系统。

背景技术

随着Android系统等智能手机平台的兴起，移动终端的恶意代码逐渐成为信息安全领域的又一重大威胁。近几年恶意代码形态的种类急剧增加导致在恶意代码检测方面面临较大的压力，多样化精准化的检测方式将成为新的选择。

目前，手机勒索应用成为一大新的安全威胁，勒索软件会诱导用户安装运行，运行后的状态就是某一个勒索界面置顶手机屏幕，用户按手机的任何按键均无法正常操作，导致手机功能失效用户无法正常使用手机。现有技术多是通过检测Activity置顶来检测勒索应用，该检测方法针对性强，但是随着技术的进步很多新型勒索软件巧妙的避开了这种勒索的方式，使用了Android组件WindowManager.LayoutParams的一种自定义界面的方式覆盖屏幕可以屏蔽关机等操作，导致不可拆卸电池的手机无法通过拆电池关机通过其他方式清除勒索软件，只能等待电池耗尽。

发明内容

本发明的目的在于提供一种安卓平台下勒索应用的检测方法及系统，其能有效地提高检测效率和检出率。

为了实现上述目的，本发明公开了一种安卓平台下勒索应用的检测方法，包括：

获取所述安装包文件的特征信息，所述特征信息包括函数信息、权限信息；

根据特征信息判断相应安装包文件是否包含指定权限，若不包含，则判断相应安装包文件不具备勒索性；否则，判断相应安装包文件是否包含预设函数的指定代码段参数，若不包含，则判断相应安装包文件不具备勒索性。

进一步地，所述安装包特征信息包括：安装包格式、文件信息、函数信息、包含权限信息等静态信息。

进一步地，所述指定权限包括：显示系统窗口权限、请求系统管理员接收者receiver权限等。其中，显示系统窗口权限标注在android.permission.SYSTEM_ALERT_WINDOW属性中，该权限能够实现窗口布局的设置，比如悬浮窗口、窗口置顶等；请求系统管理员接收者receiver权限标注在android.permission.BIND_DEVICE_ADMIN属性中，理论上该权限只有系统才能使用，或者经用户授权后才能使用，该权限可以实现锁屏密码、清除密码、清除系统数据等功能的设置。

进一步地，所述指定代码段参数包括按规则提取LayoutParams函数中的代码段及其相应的参数值。攻击者可利用LayoutParams函数自定义界面，并覆盖系统的其他界面，并借助自定义界面中用户可见或可触发的信息交互实现勒索的目的；LayoutParams函数是否被攻击者恶意利用可通过该函数中的代码及其参数值看出。

进一步地，若相应安装包文件包含预设的指定代码段参数，则判断相应安装包文件备勒索性并产生报警信息。

进一步地，还包括将视为不具备勒索性的安装包文件投入病毒检测机制进行进一步检测。为了更大程度的保障用户信息安全，将未检出勒索性的安装包文件投入杀毒软件等病毒检测机制中进行进一步检测。

为了实现上述目的，本发明还提供了一种安卓平台下勒索应用的检测系统，包括：

信息获取模块，用于获取所述安装包文件的特征信息，所述特征信息包括函数信息、权限信息；