技術領域

本發明涉及應用程序檢測技術，尤其涉及一種惡意應用程序的快速過濾方法。

背景技術

Android（安卓）系統作為一種應用廣泛的開源的智能手機操作系統，其吸引了大量應用程序開發者基于Android系統進行應用程序的開發。

由于智能手機中通常存在大量的用戶隱私信息，導致大量的惡意應用程序爭相涌入。Android系統中的惡意應用程序通常會在未明確提示用戶或未經用戶許可的情況下，獲取用戶手機上的隱私信息，侵犯用戶合法權益。相應的惡意應用程序的主要惡意行為包括：惡意扣費、隱私竊取、遠程控制、惡意傳播、資費消耗、系統破壞、誘騙欺詐、流氓行為等。

針對上述惡意行為若不采用相應的檢測手段加以限制，則將導致Android應用程序的使用者蒙受損失。

目前，針對惡意應用程序的分析方式主要包括：動態分析與靜態分析兩種。下面將分別對兩種分析方式進行說明，其中：

動態分析方法主要通過修改Android模擬器內核對安裝的應用程序進行實時檢測或者使用符號執行的方法使應用程序按照指定的路徑運行，從而得到應用程序的惡意行為。

靜態分析方法主要是通過分析APK（Android應用程序包）中的有關文件，將有關文件進行反匯編處理以獲得應用程序的字節碼信息，再將其與預定的惡意應用程序文件特征信息進行比對，若符合，則確定為惡意程序。

可見，上述現有的惡意程序分析方法均需要對每個應用程序進行復雜的分析操作，因此，相應的分析方法在面對海量的Android應用程序的情況下，其根本無法達到快速高效過濾掉明顯沒有惡意行為的應用程序的目的，從而減少后期分析可能存在惡意行為應用程序的代價。

發明內容

本發明的目的是提供一種惡意應用程序的快速過濾方法，從而可以快速高效地過濾出明顯沒有惡意行為的應用，篩選出可能存在惡意行為的應用程序。

本發明的目的是通過以下技術方案實現的：

一種惡意應用程序的快速過濾方法，包括：

獲取應用程序申請的權限信息；

將所述權限信息與預定的危險權限庫中記載的權限信息進行匹配；

當匹配成功時，則對匹配成功的權限信息進行應用程序是否應用過匹配成功的權限信息對應的函數的惡意行為篩查操作。

所述惡意行為篩查操作包括：

根據所述匹配成功的權限信息構建危險權限對應函數；

將所述危險權限對應函數與應用程序調用的隱私數據權限對應函數庫及與外界交互權限對應函數庫進行匹配；

當所述危險權限對應函數與所述應用程序調用的隱私數據權限對應函數庫及與外界交互權限對應函數庫中信息分別均匹配成功時，確定該應用程序存在惡意行為或者存在執行惡意行為的風險。

所述應用程序包括：基于Android系統創建的Android應用程序。

所述獲取應用程序申請的權限信息的操作具體包括：

解壓Android系統的應用程序文件，從中獲取全局變量描述AndroidManifest.xml文件，并進行解密，獲取非加密的原始AndroiManifest.xml文件；

掃描AndroidManifest.xml中的權限描述部分，獲取應用程序所申請的權限列表，獲得所述應用程序申請的權限信息。

所述構建危險權限對應函數包括：

根據所述匹配成功的權限信息，從獲取的危險權限對應函數庫中，確定所述匹配成功的權限信息對應的函數，構建與該匹配成功的權限信息對應的危險權限對應函數。

獲取所述危險權限對應函數庫的步驟具體包括：

掃描Android應用程序開發文檔，確定每個權限信息在系統中對應的函數，根據確定每個權限信息在系統中對應的函數生成所述危險權限對應函數庫；其中，該危險權限對應函數庫包括：隱私數據權限對應函數庫和與外界交互權限對應函數庫。

該方法還包括獲取應用程序調用的隱私數據權限對應函數庫及與外界交互權限對應函數庫的過程，且該過程包括：

從Android應用程序包APK文件中獲取文件名后綴為DEX的文件，在該后綴為DEX的文件中包含了應用程序的字節碼信息；

對獲取的后綴為DEX的文件進行反匯編，獲取應用程序調用的系統函數列表；

根據應用程序調用的系統函數列表生成所述應用程序調用的隱私數據權限對應函數庫及與外界交互權限對應函數庫。