技術(shù)領(lǐng)域

本發(fā)明涉及一種Android應(yīng)用惡意行為的檢測技術(shù)，確切地說，涉及一種基于動態(tài)激活及行為監(jiān)測的Android惡意代碼檢測裝置和方法，屬于信息安全中的應(yīng)用安全的技術(shù)領(lǐng)域。

背景技術(shù)

目前，針對Android惡意應(yīng)用程序進(jìn)行檢測分析的技術(shù)，國內(nèi)外已經(jīng)研究多年，常見的檢測工具有：DroidRange、TaintDroid和AppInspector等，下面分別對這些工具進(jìn)行簡介：

DroidRanger總結(jié)了十種已知的Android惡意軟件的行為特征和兩種啟發(fā)式規(guī)則，用來檢測未知的應(yīng)用程序。該方法可以快速地檢測出已知惡意行為，但其對于新出現(xiàn)的應(yīng)用程序則大多采用人工分析方式，故檢測結(jié)果存在一定滯后。

TaintDroid是一個系統(tǒng)級的動態(tài)實時分析工具，采用動態(tài)數(shù)據(jù)流分析方法，監(jiān)控應(yīng)用程序的后臺數(shù)據(jù)流，以期發(fā)現(xiàn)應(yīng)用可能存在的惡意行為。

AppInspector是采用動態(tài)分析方法，可以自動生成輸入，并在程序執(zhí)行過程中記錄日志，通過分析記錄的日志信息來檢測應(yīng)用程序當(dāng)中是否存在惡意行為。該工具依賴于特定的觸發(fā)條件，但是其對于如何觸發(fā)邏輯較為復(fù)雜的應(yīng)用程序的惡意行為，存在明顯的不足。

目前，對Android應(yīng)用程序惡意行為的檢測方法主要有下述兩種：

(A)按照病毒查殺的方式進(jìn)行檢測：通過分析源程序或者反匯編后的程序的語法、結(jié)構(gòu)、過程和接口等，對關(guān)鍵函數(shù)、關(guān)鍵變量的控制流和數(shù)據(jù)流進(jìn)行追蹤，再與惡意應(yīng)用程序的行為規(guī)則進(jìn)行分析匹配，分析檢查程序中的敏感行為和惡意行為。該方法除了能夠發(fā)現(xiàn)已知的惡意應(yīng)用程序以外，還能通過一系列惡意特征行為發(fā)現(xiàn)可疑的惡意樣本，以供深度分析，進(jìn)一步研究確認(rèn)基于對象的智能識別技術(shù)。

按照病毒查殺的方式是對Android應(yīng)用程序可能存在的惡意行為進(jìn)行靜態(tài)檢測、提取特征，再與應(yīng)用程序的惡意行為規(guī)則進(jìn)行特征匹配。這種方法嚴(yán)重依賴于一個惡意行為規(guī)則庫：只有已經(jīng)被發(fā)現(xiàn)并加入該規(guī)則庫的惡意行為才能被檢測出來，而對于尚未添加入惡意行為規(guī)則庫的新型惡意行為，就無法使用特征匹配技術(shù)進(jìn)行甄別；只能根據(jù)已有的經(jīng)驗和知識，采用人工分析方式，因此檢測結(jié)果存在一定的滯后期。

(B)采用動態(tài)監(jiān)控的方法，動態(tài)、實時地監(jiān)控應(yīng)用程序的執(zhí)行，并對該應(yīng)用程序與外部環(huán)境的交互進(jìn)行檢測，然后，采用動態(tài)數(shù)據(jù)流的分析方法，監(jiān)控應(yīng)用程序的后臺數(shù)據(jù)流，以期發(fā)現(xiàn)該應(yīng)用可能存在的惡意行為。

采用動態(tài)監(jiān)控的方法是通過動態(tài)實時監(jiān)控應(yīng)用程序的執(zhí)行過程，以及檢測該應(yīng)用與其外部環(huán)境的交互。但應(yīng)用程序通常都是基于給定腳本執(zhí)行的，即程序的執(zhí)行順序步驟被寫進(jìn)腳本。然而，大多數(shù)惡意行為往往比較隱蔽，其執(zhí)行依賴于特定的觸發(fā)條件。如何發(fā)覺觸發(fā)邏輯較為復(fù)雜的惡意行為，該方法同樣存在明顯的不足。

目前Android應(yīng)用程序的安全問題得到越來越多的關(guān)注。Android應(yīng)用可能存在的安全威脅(包括后臺自動聯(lián)網(wǎng)、自動收發(fā)短信和訪問用戶隱私文件等)也非常多，嚴(yán)重?fù)p害了用戶利益。因此，業(yè)內(nèi)科技人員非常關(guān)心如何解決Android應(yīng)用程序的這些安全威脅，并將其作為一項研發(fā)的焦點(diǎn)課題。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的目的是提供一種基于動態(tài)激活及行為監(jiān)測的Android惡意代碼檢測裝置及其檢測方法，本發(fā)明是一種自動化的檢測工具，通過控制手機(jī)終端，能夠自動安裝與啟動準(zhǔn)備檢測的應(yīng)用，自動激活應(yīng)用的行為，同時對手機(jī)終端進(jìn)行實時監(jiān)控，并在應(yīng)用運(yùn)行的整個過程中，從文件訪問、短信發(fā)送、網(wǎng)絡(luò)連接及其流量、系統(tǒng)資源占用和硬件資源訪問等多方面信息進(jìn)行終端監(jiān)控，檢測發(fā)現(xiàn)惡意代碼進(jìn)行的惡意行為。

為了達(dá)到上述目的，本發(fā)明提供了一種基于動態(tài)激活及行為監(jiān)測的Android惡意代碼檢測裝置，其特征在于：所述檢測裝置控制手機(jī)終端自動安裝與啟動準(zhǔn)備檢測的應(yīng)用，自動激活應(yīng)用的行為；同時在應(yīng)用運(yùn)行的整個過程中，實時監(jiān)控該手機(jī)終端包括文件訪問、短信發(fā)送、網(wǎng)絡(luò)連接及其流量、系統(tǒng)資源占用和硬件資源訪問的信息，檢測惡意代碼進(jìn)行的惡意行為，并生成檢測報告提供給用戶，完成對所檢測的應(yīng)用的行為的動態(tài)檢測；設(shè)有應(yīng)用行為動態(tài)激活模塊、應(yīng)用行為實時監(jiān)控模塊和檢測結(jié)果分析處理模塊共三個組成模塊：其中：

應(yīng)用行為動態(tài)激活模塊，負(fù)責(zé)對待檢測的Android應(yīng)用自動完成應(yīng)用的安裝、啟動和運(yùn)行，乃至卸載；且在運(yùn)行過程中，自動激活應(yīng)用的操作行為，以便對其行為執(zhí)行后臺監(jiān)控，再將應(yīng)用的執(zhí)行結(jié)果發(fā)送給檢測結(jié)果分析處理模塊；設(shè)有：安裝啟動單元、自動化運(yùn)行單元和截圖分析單元共三個組件；