[发明专利]模拟用户行为的安卓软件恶意行为触发系统及方法

说明书

本发明公开了一种模拟用户行为的安卓软件恶意行为触发系统及方法，增加模拟真实用户手机环境变化的技术，对在动态检测技术中对恶意软件行为的触发更加有效率，并且对恶意软件在识别模拟器环境上造成困难；所述系统包括用户信息采集模块、用户数据挖掘模块、遍历引擎模块三大模块；具体步骤为：手机端收集用户行为特征量、服务器存储并分析用户行为特征量、生成行为特征量的关联数据组、用户上传待测APK文件、对APK文件进行预处理、利用软件进行应用控件分析、生成控件树遍历策略、利用遍历引擎开始进行控件树遍历、判断是否触发完毕、保存每个不同界面的截图。本发明遍历覆盖率更高，对恶意行为的触发更全面，遍历速度更高。

技术领域

本发明属于计算机技术领域，尤其涉及一种模拟用户行为的安卓软件恶意行为触发系统及方法。

背景技术

随着手机智能化的发展，各式各样的应用软件出现在各大应用商店中，而对应的手机操作系统也在不断的更新换代。如今，手机操作系统的全球市场份额几乎被安卓操作系统和IOS操作系统所占领，而安卓操作系统的使用率毫无疑问的位居榜首。安卓系统的开源性一直是各大用户和手机制造商所津津乐道的优点，但是正因为这种特性，安卓系统不得不面临比IOS系统严峻的多的安全性问题。据统计，如今每5到6台运行安卓操作系统的手机就有1台被感染了病毒，每年给用户造成的损失难以估计，为了检测出手机恶意软件的行为，国内外的研究者展开了系统而深入的研究。现今主流的手机软件恶意行为检测的方法有两种：静态分析方法和动态分析方法。静态分析方法主要通过逆向分析APK文件的源代码或者AndroidManifest文件的权限特征来检测恶意软件的行为，该方法的优点是分析速度快，适用于大规模的恶意软件分析。但是，随着代码混淆和加固技术的发展，获取APK文件的源代码或者特征变得越来越困难，同时市场上的绝大部分软件存在过度申请权限的行为，这造成了静态分析方法对恶意软件进行分析的困难。动态分析方法是一个还在发展中的恶意软件检测方法，主要通过一个沙盒来模拟软件的运行环境，监控和分析软件的行为，进而判断该软件是否为恶意软件。它包括三个方面的内容：软件恶意行为的触发，软件恶意行为的监控，软件恶意行为的分析。其中，软件恶意行为的触发是国内外研究较少的一个领域，大部分的触发方式停留在单纯的调用 MonkeyRunner工具生成的伪随机事件流，随机的点击操作无法有效的触发恶意软件的行为，所以如何能够更加全面和快速的对待测应用进行遍历是一个亟待解决的问题。北京奇虎科技有限公司申请的专利“一种安卓应用UI控件精准遍历方法和装置”(申请号CN201510940069.7申请公布号CN105468529A) 公开了一种基于Activity控件遍历的技术。该方法由测试进程在监控到目标应用启动后，获取Activity栈顶的Activity对象的Activity名称；根据所述Activity 名称，从策略库中获取对应所述Activity的点击条件策略；根据所述点击条件策略，对所述Activity对象中的各UI控件进行点击操作；根据所述点击操作记录测试结果并输出。该方法存在的不足之处是遍历操作发生在手机端，由于移动终端性能的影响导致遍历的效率不高。其次，该方法仅仅是单纯的UI控件遍历技术，并没有与移动安全这个特殊背景相结合。深圳数字电视国家工程实验室股份有限公司申请的专利“一种应用程序的自动化动态检测方法及装置”(申请号CN201410836820.4申请公布号CN104462979A)提供了一种应用程序的自动化动态检测方法及装置，利用软件分析当前窗口所包含的多个控件，并在多个控件中筛选出关键控件，及关键控件的位置坐标和关键属性，并自动在位置坐标处执行关键属性的输入操作，整个过程自动完成无需人工参与，从而降低了人工成本，并且仅对多个控件中较为重要的关键控件执行输入操作，对作用不大的其余控件，则不执行输入操作，因此大大提高了检测效率。该方法存在的不足之处是：(1)关键控件的数量太少导致遍历的覆盖率不高。(2)无法应对在测试过程中恶意软件对虚拟机环境的辨别。

综上，现有的动态检测技术对于恶意软件行为触发方面还存在有以下几点不足：

(1)控件的遍历覆盖率较低，某些特殊的控件无法进行有效的触发操作。

(2)控件的遍历效率较低。