[发明专利]隐私保护移动恶意软件检测方法、系统、存储介质及应用

说明书

本发明属于移动恶意软件检测技术领域，公开了一种具有隐私保护的移动恶意软件检测方法、系统、存储介质及应用。在特征训练阶段，恶意软件检测服务提供商MDSP的半可信部分在模拟器中运行已知属性的软件，通过分析运行时数据得到恶意特征集MS和正常特征集NS，建立相应有效的Bloom过滤器和Sketch数据结构以待检测使用；移动设备收集位置属性软件的运行时数据后将其加密发送给MDSP；MDSP将Bloom过滤器，Sketch及接收的加密数据加载到它的可信部分后执行检测程序；收集到新确认属性的软件后将其加入到训练集，更新MS和NS。本发明允许将移动恶意软件检测以高效的移动用户隐私保护方式外包给云以实现作为服务的恶意软件检测，适用于各种特征匹配的恶意软件检测算法。

技术领域

本发明属于移动恶意软件检测技术领域，尤其涉及一种隐私保护移动恶意软件检测方法、系统、存储介质及应用。

背景技术

目前，最接近的现有技术：人类社会已进入移动互联网时代，物联网时代也即将来临，各种各样的移动智能设备在人们的日常生活中起着不可或缺的作用。移动操作系统可以运行任何第三方提供的应用程序服务于人们的日常生活，移动应用也涉及用户各方面的隐私(例如生活习惯，医疗数据，甚至与财产有关的帐户密码)，同时由于移动操作系统的开放性，严重威胁人们的隐私甚至财产安全的移动恶意软件也因此迅速发展。

当前恶意软件检测方法主要包括静态分析和动态分析。静态分析主要通过反编译技术分析源代码中的恶意特征或可疑代码段。它不需要运行应用程序即可检测具有已知相关特征的恶意应用程序。但是，静态分析方法无法提取所有恶意特征。动态分析方法可以通过在运行时分析应用程序的行为以提取恶意特征来弥补静态分析方法的缺点。然而，动态分析方法通常需要巨大的性能开销，因此可将动态分析方法外包给高能效站点，例如云服务器。但是，上传到云服务提供商的数据包含私有信息，例如用户的使用习惯。由于无法完全信任云，尽管它可以执行预期的设计协议，算法和功能，但它可能会对用户隐私产生好奇。通过简单的数据分析，云服务提供商有可能获得一些有用的私人信息，从而获得更多好处。显然，将移动恶意软件检测外包，特别是将移动设备收集的数据外包到云中可能会泄露移动用户的行为信息，从而侵犯他们的隐私。因此，提供保护隐私的移动恶意软件检测对于云环境中的检测即服务至关重要。使用密码技术(例如，同态加密)的现有工作具有高计算复杂性，低灵活性和低效率的困扰，因此不能实际应用和部署。

Intel SGX是2013年所提出来的一种Intel处理器指令集的拓展，它也在2016年正式集成到Intel的处理器中，这为解决云计算安全问题提供了新的思路。SGX提供一个受保护的内存，用户的隐私数据及相关代码运行在这个受保护的内存中，通过处理器强制执行的访问控制可以保护受保护内存中的数据免受来自更高权限级别的代码的攻击，包括操作系统，Hypervisor，BIOS，SMM等。在受保护内存不超过128MB的限制的情况下可以高效地处理用户的数据。

现有文献中已经提出了许多用于检测恶意软件的技术。现在，主流方法包括静态分析和静态分析。静态分析主要是通过反汇编技术对Android源代码中的已知恶意代码签名进行高精度和高效的分析。但是它不能防止零日漏洞，例如代码运行时发生的攻击行为。但是动态分析可以通过收集运行时数据来检测应用程序的恶意行为。