技術領域

本發明涉及通信領域，尤其涉及一種檢測Android惡意軟件的方法、系統及設備。

背景技術

目前移動終端普遍采用Android系統，但Android系統的軟件發布渠道多樣且缺乏有效監督，用戶很容易安裝惡意軟件，導致用戶資費被惡意消耗、個人信息被惡意刪除，影響用戶體驗。

如此，迫切需要有效的檢測惡意軟件的方法，當前惡意軟件常見的檢測方法包括：以病毒查殺的方式進行檢測；動態實時監控軟件的運行及其與外部環境的交互，以確定該軟件是否為惡意軟件。

上述采用病毒查殺的方式來檢測惡意軟件的方法，依賴于病毒特征碼，對于新發布的軟件需要人工分析出病毒特征碼，因此檢測結果存在一定的滯后期；而動態實時檢測的方法依賴于特定的觸發條件，若軟件中隱藏的惡意行為觸發條件復雜，則可能長時間無法檢測出該軟件是否為惡意軟件。

發明內容

有鑒于此，本發明的主要目的在于提供一種檢測惡意軟件的方法、系統及設備，用戶無需病毒特征碼，即可利用本發明的方案對待檢測軟件中是否隱藏惡意行為，且不受軟件惡意行為觸發條件復雜與否的限制。

為達到上述目的，本發明的技術方案是這樣實現的：

本發明提供了一種檢測Android惡意軟件的方法，該方法包括：

服務器模擬執行待檢測軟件，將待檢測軟件調用的函數的敏感特征信息，與本地保存的敏感特征信息進行匹配，若匹配成功，則標識該函數調用為敏感行為；

將敏感行為中被調用函數的惡意特征信息，與本地保存的惡意特征信息進行匹配，若匹配成功，則標識該函數調用為惡意行為，以確定待檢測軟件為惡意軟件。

上述方案中，

所述敏感特征信息包括：函數名、函數類名、函數參數類型和函數參數個數；

所述惡意特征信息包括：函數名、函數參數常量值。

上述方案中，所述服務器模擬執行待檢測軟件之前，該方法還包括：

服務器接收用戶通過客戶端上傳的待檢測軟件的安裝包，對安裝包中的字節碼文件進行反匯編，根據反匯編出的程序代碼，構建程序結構并求解程序執行路徑。

上述方案中，該方法還包括：

服務器分析程序執行路徑中的指令，并在所述指令為常量值引入指令時，記錄引入的常量值并將常量值在程序執行路徑中向下傳播。

上述方案中，該方法還包括：

服務器評定被惡意行為的危險等級，結合惡意行為危險等級生成檢測結果并保存在本地，并在模擬執行完畢待檢測軟件后，將本地檢測結果通過客戶端用戶界面UI報告用戶。

本發明還提供了一種服務器，該服務器包括模擬執行單元，檢測規則存儲單元、標識單元、敏感行為匹配單元和惡意行為匹配單元；其中，

所述模擬執行單元，用于模擬執行待檢測軟件；

所述檢測規則存儲單元，用于存儲敏感特征信息和惡意特征信息；

所述敏感行為匹配單元，用于所述模擬執行單元調用函數時，將所述被調用函數的敏感特征信息與檢測規則存儲單元中的敏感特征信息進行匹配；

所述標識單元，用于在所述敏感行為匹配單元匹配敏感特征信息成功時，標識所述函數調用為敏感行為；

所述惡意行為匹配單元，用于在所述標識單元標識所述函數調用為敏感行為時，將所述函數調用中被調用函數的惡意特征信息與檢測規則存儲單元中的惡意特征信息進行匹配；

所述標識單元，還用于在所述惡意行為匹配單元匹配惡意特征信息成功時，標識所述函數調用為惡意行為，以確定待檢測軟件為惡意軟件。

上述方案中，

所述敏感特征信息包括：函數名、函數類名、函數參數類型和函數參數個數；

所述惡意特征信息包括：函數名、函數參數常量值。

上述方案中，該服務器還包括：預處理單元、程序結構構建單元、程序執行路徑求解單元和常量值分析單元；其中，

所述預處理單元，用于接收用戶通過客戶端上傳的待檢測軟件的安裝包，并對安裝包中的字節碼文件進行反匯編；

所述程序結構構建單元，用于在所述預處理單元根據字節碼文件反匯編出程序代碼后，根據所述程序代碼構建程序結構；

所述程序執行路徑求解單元，用于在所述程序結構構建單元構建出程序結構后，根據所述程序結構求解程序執行路徑；

所述模擬執行單元，具體用于根據所述程序執行路徑求解單元求解出的程序執行路徑，順序分析程序執行路徑中的指令；