[发明专利]一种移动应用信息窃取回传主控地址的检测方法及系统

说明书

本发明是关于一种移动应用信息窃取回传主控地址的检测方法及系统，对移动应用程序逆向反编译后用静态分析法得到应用申请的所有操作行为、操作行为的权限许可状态、程序中各函数的调用逻辑、程序外连的静态I P及URL地址，用动态监测法得到应用程序运行时外联的动态I P及URL地址，用关联分析法将得到的外连地址和黑名单地址情报库进行碰撞得到主控地址和攻击者信息，并检测出移动应用是否具有应用信息窃取行为，是否具有应用信息回传主控地址行为以及应用程序回传应用信息时机。多种方法的结合，有效提高应用信息窃取行为发现的准确性，解决了传统检测方法的不足。用加固应用脱壳技术扩大了检测范围，使其能适用于非加固类和加固类移动应用的检测。

技术领域

本发明涉及一种信息安全领域的移动应用信息窃取行为检测方法，特别是涉及一种移动应用信息窃取回传主控地址的检测方法及系统。

背景技术

移动通信技术的发展和移动智能终端设备的出现催生了移动应用程序，移动通信技术的升级和移动智能终端设备的普及进一步推动了移动应用程序的快速发展。时至今日，人们已习惯于通过智能手机等移动终端使用通信媒介、工作工具、行程管理、事项提醒等各类移动应用软件解决生活及工作中各类场景的多种需求。在移动应用给人们提供各种便利的同时，用户的敏感数据、隐私信息也面临着被不良分子非法窃取的风险。

主流的移动应用信息窃取行为检测方法主要是通过对应用程序的操作权限进行分析，确定应用程序是否具有调用隐私信息的操作权限来实现。当应用程序具有隐私信息操作权限时进一步确定隐私信息的操作许可状态，如果操作许可状态为禁止则表示禁止应用程序对隐私信息进行获取，如果操作许可状态为允许则表示允许应用程序对隐私信息进行获取。

现有的移动应用信息窃取行为检测技术，存在以下缺点：

(1)无法确定移动应用是否真的会执行应用信息操作行为

现有移动应用信息窃取行为检测方法，只是简单检测了移动应用是否具有隐私信息操作权限及操作权限的许可状态，只能简单判定应用具有可疑的隐私信息窃取行为，无法获取到移动应用是否会执行、以及何时执行隐私信息操作行为。

(2)无法追溯窃取应用信息的主控地址及攻击者

现有移动应用信息窃取行为检测方法，并没有对应用信息被获取后进行更进一步的分析，无法得知应用信息将被传递到哪里，以及谁将获取到这些信息。

(3)无法对加固类移动应用进行检测

现有移动应用信息窃取行为检测方法，适用于常规的非加固类移动应用，对加固类移动应用并不适用。

有鉴于上述现有的移动应用信息窃取行为检测方法存在的缺陷，本发明人经过不断的研究、设计，并经反复试作及改进后，终于创设出确具实用价值的本发明。

发明内容

本发明的主要目的在于，克服现有的移动应用信息窃取行为检测方法存在的缺陷，而提供一种新的一种移动应用信息窃取回传主控地址的检测方法及系统，所要解决的是现有技术方案无法获知移动应用何时执行应用信息回传操作以及无法适用于加固类移动应用检测的问题，使其实现对移动应用信息回传主控地址的检测及主控地址关联的攻击者的发现，非常适于实用。

本发明的另一目的在于，提供一种新的一种移动应用信息窃取回传主控地址的检测方法及系统，解决了传统检测方法的不足，使其采用多种方法的结合，有效提高应用信息窃取行为发现的准确性，用加固应用脱壳技术扩大了检测范围，使其能适用于非加固类和加固类移动应用的检测。