本發明提供了一種聚合多維的Android平臺隱私竊取類應用自動識別方法，包括：對待檢測的應用程序進行反編譯，獲取待檢測的應用程序的源代碼；利用代碼檢測規則對源代碼進行代碼維過濾，篩選出疑似隱私竊取類應用；利用行為檢測規則對疑似隱私竊取類應用進行行為維分析，若疑似隱私竊取類應用符合行為檢測規則中的任意一條規則，則確定疑似隱私竊取類應用為隱私竊取類應用。本發明通過代碼檢測規則過濾出疑似竊取隱私惡意應用，通過行為檢測規則進行分析確定應用屬性，從而實現大規模樣本的自動篩選，改進了Android惡意應用檢測的方法，根據規則進行全自動掃描識別，實現大規模樣本的自動分析。

技術領域

本發明涉及移動互聯網安全領域，尤其涉及一種聚合多維的Android平臺隱私竊取類應用自動識別方法。

背景技術

目前，絕大部分Android隱私竊取類應用都是基于“隱私獲取+發送”的模式，其中由隱私獲取方法和發送方式的不同而衍生出多種不同的竊取方式。部分此類應用在此基礎上演變為“隱私獲取+發送+遠程控制”的模式，造成更嚴重的安全隱患。

目前對Android應用隱私竊取的檢測分為三種檢測方式：人工檢測、靜態檢測和動態檢測。

人工檢測是由技術人員在運行程序的條件下，通過運行惡意程序時所監測到此應用觸發的異常行為，從而對隱私竊取的表現有具體了解。人工檢測一般配合靜態檢測或動態檢測作為輔助檢測。

靜態檢測是在不執行程序的條件下，將惡意程序還原為Java源碼進行分析，由于靜態檢測不依賴程序的執行并對整個程序代碼進行掃描，所以檢測的覆蓋率要高于動態檢測，漏報率也低于動態檢測。

動態檢測通過將惡意程序在可監控環境下運行，并對其應用操作進行監控。動態檢測可以有效繞過代碼動態加密解密、代碼混淆等干擾手段，并且檢測時間短。

現有技術中的人工檢測消耗時間較多，而且通常會嚴重依賴于技術人員的個人能力，無法做到快速、高效、全面的分析。動態檢測的結果依賴于程序的具體執行，沒有在檢測中執行到的功能無法被檢測到，這使得動態檢測會有漏報的情況發生。

發明內容

本發明的目的在于提供一種聚合多維的Android平臺隱私竊取類應用自動識別方法以自動識別應用程序是否有隱私竊取的惡意行為。

一方面，本發明實施例提供一種聚合多維的Android平臺隱私竊取類應用自動識別方法，包括以下步驟：

步驟S1：對待檢測的應用程序進行反編譯，獲取所述待檢測的應用程序的源代碼；

步驟S2：利用代碼檢測規則對所述源代碼進行代碼維過濾，篩選出疑似隱私竊取類應用；

步驟S3：利用行為檢測規則對所述疑似隱私竊取類應用進行行為維分析，若所述疑似隱私竊取類應用符合所述行為檢測規則中的任意一條規則，則確定所述疑似隱私竊取類應用為隱私竊取類應用。

優選地，在所述步驟S3之后還包括：

步驟S4：利用數據特征對所述隱私竊取類應用進行數據維匹配，確定所述隱私竊取類應用的病毒族群類型。

優選地，所述數據特征包括郵箱帳號、登錄密碼、遠程控制端地址、遠程控制手機號碼。

優選地，在所述步驟S4之后還包括：

步驟S5：生成檢測結果報告，所述檢測結果報告包括代碼維度匹配到的代碼檢測規則、行為維度匹配到的行為檢測規則、數據維度匹配到數據特征、代碼文件位置以及匹配規則的代碼片段。

優選地，所述步驟S2包括：

判斷所述待檢測的應用程序的所述源代碼的特定屬性字段中是否包含敏感權限獲取代碼和敏感API代碼，如果包含，則判定所述待檢測的應用程序為所述疑似隱私竊取類應用。