本發明提供一種安卓系統中應用程序惡意行為檢測方法和設備用于解決通過疊加窗口的盜取用戶信息的惡意程序的檢測問題。其中若檢測到輸入指令，則檢測是否存在窗口覆蓋，若存在，則根據預設的檢測內容，檢測頂層顯示的窗口W及所述頂層顯示的窗口W所對應的應用程序X；根據檢測結果判斷窗口覆蓋是否是惡意的。根據窗口W和應用程序X的屬性和行為判斷窗口W的出現是否是惡意的，從而解決通過疊加窗口的盜取用戶信息的惡意程序的檢測問題。

技術領域

本發明涉及計算機技術，具體涉及一種安卓系統中應用程序惡意行為檢測方法和設備。

背景技術

Android的system Overlay可以在應用當前view的前面疊加一個view，view可以分為可見和不可見兩種，如果在疊加View的時候如果人為將疊加的View不設置任何內容，并將背景透明，這些View就能成為一個不可見的對象，這樣的不可見View可以通過添加另外一些屬性而具備一定的功能，比如說可以為它添加一個永遠前置的type屬性而讓其處于當前Android系統的所有應用窗口之前；同樣也可以為其添加一個捕獲其界面以外事件的flag屬性而讓其可以捕獲用戶在屏幕上的點擊事件等等。

于是在目前流行的Android系統中，存在著這樣一種關于Overlay的安全隱患，顯示界面的Overlay與接收事件的Overlay相互配合可以影響用戶對當前正在前臺交互應用程序的判斷，從而造成用戶的一些誤操作，而惡意程序可以利用用戶的誤操作打開一些敏感權限和功能從而竊取用戶隱私，甚至是達到騙取用戶錢財的目的。

因此需要提供一種檢測方法，解決通過惡意窗口盜取用戶信息的惡意程序檢測問題。

發明內容

鑒于上述問題，本發明提出了克服上述問題或者至少部分地解決上述問題的一種安卓系統中應用程序惡意行為檢測方法和設備。

為此目的，第一方面，本發明提出一種安卓系統中應用程序惡意行為檢測方法，包括：

若檢測到輸入指令，則檢測是否存在窗口覆蓋，若存在，則根據預設的檢測內容，檢測頂層顯示的窗口W及所述頂層顯示的窗口W所對應的應用程序X；根據檢測結果判斷窗口覆蓋是否是惡意的。

可選的，所述預設的檢測內容至少包括下述的一個或多個內容：

a、系統是否已經root；

b、應用程序X是否在root的手機上獲得了root權限；

c、應用程序X是否調用截屏接口；

d、應用程序X是否調用無障礙功能服務；

e、應用程序X是否查看應用程序活動歷史記錄；

f、頂層顯示的窗口W覆蓋顯示屏幕的情況。

可選的，在若檢測到輸入指令，則檢測是否存在窗口覆蓋之前，包括步驟：

判斷是否開啟安卓系統中應用程序惡意行為檢測方法，若開啟則執行下一步。

可選的，在根據預設的檢測內容，檢測頂層顯示的窗口W及所述頂層顯示的窗口W所對應的應用程序X之前，包括：

根據預設的白名單，判斷應用程序X是否屬于白名單，若不屬于白名單，則執行下一步。

可選的，所述根據預設的檢測內容，檢測頂層顯示的窗口W及所述頂層顯示的窗口W所對應的應用程序X，包括：

可選的，在根據檢測結果判斷窗口覆蓋是否是惡意的之后，還包括：

對樣本庫中的樣本運用隨機森林或者GBDT進行目標為0或者1的分類建模，使用訓練好的模型判斷當前需要預測的頂層顯示窗口是否惡意的；