[发明专利]一种静动态结合的恶意安卓应用自动检测系统

说明书

技术领域

发明专利涉及软件安全，安卓应用，静态分析，自动化动态测试等领域，尤其涉及针对安卓应用的静态敏感API分析以及动态自动执行收集行为信息。

背景技术

安卓应用已经成为人们日常生活不可缺少的部分，与此同时，恶意制造者利用安卓应用来达到他们的目的，在安卓应用中插入恶意代码形成恶意安卓应用，当前常见的恶意行为有恶意扣费、隐私窃取、资费消耗等。

针对恶意安卓应用的检测，传统工作一般采取静态分析反编译代码，从敏感API调用、控制流程图、系统调用等角度检测安卓应用中是否包含恶意行为，但这种方式准确率比较低，因为现在的恶意制造者会采取比较狡猾的方式(反射调用等)加入恶意代码来逃避常规的静态检测，所以会漏报大量的恶意安卓应用。为了避免恶意应用躲避静态检测，技术人员提出动态执行安卓应用收集运行时刻信息来确认其中是否包含恶意行为，这种方式能大大提高准确率，但是这种方式代价比较高，动态测试相对而言需要大量的时间，尤其是大型应用。

为此，当前急需准确而又高效的方法来自动检测恶意安卓应用。

发明内容

针对现有技术中存在的问题，本发明主要是提供一种针对恶意安卓应用的自动检测系统，首先用户对恶意行为模型进行配置，确定需要检测的恶意行为类型，其次从敏感API调用的角度静态分析待测应用的反编译代码，其中包含针对反射调用的检测，若应用中包含相关恶意行为的敏感API调用，则将应用视为疑似恶意应用，最后基于底层测试工具动态自动执行疑似恶意应用，利用监测工具收集运行时刻信息，根据这些行为信息最终确认其是否为恶意应用。本技术对于动态测试是自动的，同时对用户提供恶意行为模型配置，可以检测不同类型的恶意应用。

本发明通过以下技术方案实现：

一种静动态结合的恶意安卓应用自动检测框架，它包含一个恶意行为模型配置模块，一个静态恶意特征检测模块以及一个动态恶意行为确认模块。其中：

所述恶意安卓应用是指可在安卓平台上安装、运行以达到不正当目的,或具有违反国家相关法律法规行为的移动应用。

所述静动态结合是指静态代码分析和动态应用测试两种方法相结合。

所述恶意行为模型配置模块是指待检测的恶意行为类型输入。

所述静态恶意特征检测模块是对安卓应用反编译代码进行分析，检测是否存在对应敏感API的调用。

所述动态恶意行为确认模块是指在动态测试工具支持下，利用测试脚本自动执行安卓应用，收集行为信息，确认过程中是否存在相关恶意行为。

所述自动检测框架提供恶意行为模型配置文件，用户根据需要检测的恶意应用类型，完成配置(指定对应恶意类型的敏感API)。

所述自动检测框架根据不同的配置检测不同类型的恶意安卓应用，不局限于某一种固定类型的恶意安卓应用，有较强的灵活性。

所述静态恶意特征检测模块中加入了对于反射调用的检测，能够检测隐蔽类型的恶意安卓应用，降低漏报率。当前的恶意应用制作者通过分析传统检测工具，改变恶意代码插入方式来躲避检测，目前比较流行的方式就是通过反射机制调用敏感API，这导致传统检测工具出现大量漏报。

所述自动检测框架将静动态方式结合，在提高准确率的同时又提高了检测效率。如果只利用静态代码分析方式，则由于缺少运行时刻信息往往会出现漏报或误报；如果直接采取动态运行安卓应用，收集行为信息的方式，则将耗费大量时间。所以所述自动检测框架首先通过静态恶意特征检测模块筛选出疑似恶意安卓应用，然后利用动态恶意行为确认模块，确认其运行过程中是否确认发生恶意行为。这种方式将显著提高效率，尤其是针对所检测应用不是恶意安卓应用时。

所述自动检测框架有效解决了传统恶意安卓应用检测工作的弊端。

所述静态恶意特征检测不仅仅需要扫描应用代码中是否调用了敏感API，还需要考虑到反射调用，所以基于现有工具DroidRA检测安卓应用中是否利用了反射机制调用API，但是DroidRA存在一个弊端，它无法检测到通过数组赋值的反射调用，所以所述静态恶意特征检测模块增加了对于数组赋值类型的反射调用的检测。

所述静态恶意特征检测模块结果决定动态恶意行为确认模块是否执行，只有静态检测到敏感API的调用，才会利用动态执行进行进一步确认。所述静态恶意特征检测模块将敏感API调用的方式考虑齐全，大大减少了漏报情况。

所述静态恶意特征检测模块中的对于反射机制的考虑也是所述自动检测框架的价值以及创新点所在。