技術領域

本發明涉及一種Android應用惡意行為的檢測技術，確切地說，涉及一種基于動態激活及行為監測的Android惡意代碼檢測裝置和方法，屬于信息安全中的應用安全的技術領域。

背景技術

目前，針對Android惡意應用程序進行檢測分析的技術，國內外已經研究多年，常見的檢測工具有：DroidRange、TaintDroid和AppInspector等，下面分別對這些工具進行簡介：

DroidRanger總結了十種已知的Android惡意軟件的行為特征和兩種啟發式規則，用來檢測未知的應用程序。該方法可以快速地檢測出已知惡意行為，但其對于新出現的應用程序則大多采用人工分析方式，故檢測結果存在一定滯后。

TaintDroid是一個系統級的動態實時分析工具，采用動態數據流分析方法，監控應用程序的后臺數據流，以期發現應用可能存在的惡意行為。

AppInspector是采用動態分析方法，可以自動生成輸入，并在程序執行過程中記錄日志，通過分析記錄的日志信息來檢測應用程序當中是否存在惡意行為。該工具依賴于特定的觸發條件，但是其對于如何觸發邏輯較為復雜的應用程序的惡意行為，存在明顯的不足。

目前，對Android應用程序惡意行為的檢測方法主要有下述兩種：

(A)按照病毒查殺的方式進行檢測：通過分析源程序或者反匯編后的程序的語法、結構、過程和接口等，對關鍵函數、關鍵變量的控制流和數據流進行追蹤，再與惡意應用程序的行為規則進行分析匹配，分析檢查程序中的敏感行為和惡意行為。該方法除了能夠發現已知的惡意應用程序以外，還能通過一系列惡意特征行為發現可疑的惡意樣本，以供深度分析，進一步研究確認基于對象的智能識別技術。

按照病毒查殺的方式是對Android應用程序可能存在的惡意行為進行靜態檢測、提取特征，再與應用程序的惡意行為規則進行特征匹配。這種方法嚴重依賴于一個惡意行為規則庫：只有已經被發現并加入該規則庫的惡意行為才能被檢測出來，而對于尚未添加入惡意行為規則庫的新型惡意行為，就無法使用特征匹配技術進行甄別；只能根據已有的經驗和知識，采用人工分析方式，因此檢測結果存在一定的滯后期。

(B)采用動態監控的方法，動態、實時地監控應用程序的執行，并對該應用程序與外部環境的交互進行檢測，然后，采用動態數據流的分析方法，監控應用程序的后臺數據流，以期發現該應用可能存在的惡意行為。

采用動態監控的方法是通過動態實時監控應用程序的執行過程，以及檢測該應用與其外部環境的交互。但應用程序通常都是基于給定腳本執行的，即程序的執行順序步驟被寫進腳本。然而，大多數惡意行為往往比較隱蔽，其執行依賴于特定的觸發條件。如何發覺觸發邏輯較為復雜的惡意行為，該方法同樣存在明顯的不足。

目前Android應用程序的安全問題得到越來越多的關注。Android應用可能存在的安全威脅(包括后臺自動聯網、自動收發短信和訪問用戶隱私文件等)也非常多，嚴重損害了用戶利益。因此，業內科技人員非常關心如何解決Android應用程序的這些安全威脅，并將其作為一項研發的焦點課題。

發明內容

有鑒于此，本發明的目的是提供一種基于動態激活及行為監測的Android惡意代碼檢測裝置及其檢測方法，本發明是一種自動化的檢測工具，通過控制手機終端，能夠自動安裝與啟動準備檢測的應用，自動激活應用的行為，同時對手機終端進行實時監控，并在應用運行的整個過程中，從文件訪問、短信發送、網絡連接及其流量、系統資源占用和硬件資源訪問等多方面信息進行終端監控，檢測發現惡意代碼進行的惡意行為。

為了達到上述目的，本發明提供了一種基于動態激活及行為監測的Android惡意代碼檢測裝置，其特征在于：所述檢測裝置控制手機終端自動安裝與啟動準備檢測的應用，自動激活應用的行為；同時在應用運行的整個過程中，實時監控該手機終端包括文件訪問、短信發送、網絡連接及其流量、系統資源占用和硬件資源訪問的信息，檢測惡意代碼進行的惡意行為，并生成檢測報告提供給用戶，完成對所檢測的應用的行為的動態檢測；設有應用行為動態激活模塊、應用行為實時監控模塊和檢測結果分析處理模塊共三個組成模塊：其中：

應用行為動態激活模塊，負責對待檢測的Android應用自動完成應用的安裝、啟動和運行，乃至卸載；且在運行過程中，自動激活應用的操作行為，以便對其行為執行后臺監控，再將應用的執行結果發送給檢測結果分析處理模塊；設有：安裝啟動單元、自動化運行單元和截圖分析單元共三個組件；