[发明专利]一种基于函数流关键点监控的安卓恶意软件检测方法

说明书

技术领域

本发明涉及一种基于函数流关键点监控的安卓恶意软件检测方法。

背景技术

随着智能手机的快速发展和大量普及,移动互联网的安全已是当今主流安全威胁之一。Android是目前市场占有量最大的移动智能设备平台,它也成为众多恶意代码攻击的目标。近几年来，Android平台已经成为了一个非常流行的手机操作系统平台，并且占据了世界上超过一半的手机操作系统市场份额。渗透到各个行业，给我们的生活，工作和学习带来了巨大的变化。随着Android智能手机与Android平板电脑的普及，基于Android恶意软件也发展迅猛，因此基于Android平台的恶意代码检测技术开始被提出。尽管Android智能系统相比苹果的IOS系统更年轻，一些Android平台上的安全检测技术研究已经发布，如系统访问控制机制、恶意软件检测、应用权限分析、内核加固等。大量的Android平台需要提出更加稳健的安全检测技术。安卓恶意软件检测是对终端上的应用进行静态和动态行为监控，现在传统的一般都是利用静态和动态结合的方式进行分析以及利用安全团队累积的经验对软件的行为进行分析，分析出相应的行为信息，包括文件、网络、Android的四大组件及权限等内容。该平台上的恶意软件的数量不断增多，Android成为了恶意软件主要的攻击目标。根据趋势科技统计Android恶意大致分为七类，几乎有一半都是会滥用增值服务的恶意软件，它们会替用户订阅并不需要的服务。广告软件最近也增多了，这类软件会不停地发布伪装成紧急通知的广告，位居第二。数据窃取软件、恶意下载软件、恶意破解软件、点击诈骗软件，以及间谍工具都紧随其后。这些移动软件会带来个人和金融数据被窃的危险。

目前国内对Android应用恶意检测主要使用杀毒软件特征查杀和基于框架层(Framework)函数挂钩(API Hook)的方法技术，通常恶意应用通过利用加壳、加密等方法改变自身特征逃避杀毒软件检测。

发明内容

为了克服现有技术的缺点，本发明提供了一种基于函数流关键点监控的安卓恶意软件检测方法，通过对apk文件进行解压，对其中的dex进行分析得到函数流的调用序列树状结构,并对清单文件进行静态分析；动态执行还原后应用程序，跟踪记录执行流程行为信息；综合静态分析和动态分析提取出应用函数关键流调用序列。本发明可以很好解决现有技术不能对整个应用的函数流调用序列进行细粒度的监控问题，包含了自定义函数和Framework层函数的监控，可以对应用行为进行更细粒度的分析，避免了行为的漏分析情况，提高了应用行为分析的准确度。

传统分析通常提取应用程序组件、权限、网络、资源文件、配置文件、设备信息、Content Observers、Content Queries、用户账号等静态信息进行简单分析；或者对Intent、Uri、File IO、Network IO、Database、ContentResolver、SMS、电话管理器、Digest、Cipher等动态行为进行拦截监控，进行恶意行为发现。本发明采用的是一种基于函数流关键点监控技术的安卓恶意软件检测方法，通过分析程序和静态资源，重建并执行应用程序，分析关键的函数流的调用序列，然后对关键流的函数调用序列进行细粒度的监控检测和日志存储和分析，根据规则库生成相应的详细行为分析报告。程序执行流的监控范围从对框架层函数流的监控，扩展到了对系统层以上的每层函数流的监控。

本发明所采用的技术方案是：一种基于函数流关键点监控的安卓恶意软件检测方法，包括如下步骤：

步骤一、静态行为分析模块对apk文件进行解压，对其中的dex进行分析得到一个函数流的调用序列树状结构，并对清单文件进行静态分析；

步骤二、动态执行重建还原应用程序，跟踪记录执行行为；

步骤三、综合静态行为分析和应用动态行为得到函数关键流调用序列；

步骤四、对函数关键流调用序列进行细粒度的监控检测和日志存储及分析，生成详细行为分析报告。

与现有技术相比，本发明的积极效果是：

1.本发明是通过函数控制流调用序列进行静态和动态分析相结合对函数流进行监控，此方法解决了传统监控系统孤立调用点的分析，提高恶意程序行为准确性和详细行为分析。

2.本发明对应用的整个函数流中调用序列进行细粒度的详细监控，生成更详细的函数流函数调用信息，为复杂挖掘更多有价值的恶意代码行为信息提供数据基础。