本發明屬于移動惡意軟件檢測技術領域，公開了一種具有隱私保護的移動惡意軟件檢測方法、系統、存儲介質及應用。在特征訓練階段，惡意軟件檢測服務提供商MDSP的半可信部分在模擬器中運行已知屬性的軟件，通過分析運行時數據得到惡意特征集MS和正常特征集NS，建立相應有效的Bloom過濾器和Sketch數據結構以待檢測使用；移動設備收集位置屬性軟件的運行時數據后將其加密發送給MDSP；MDSP將Bloom過濾器，Sketch及接收的加密數據加載到它的可信部分后執行檢測程序；收集到新確認屬性的軟件后將其加入到訓練集，更新MS和NS。本發明允許將移動惡意軟件檢測以高效的移動用戶隱私保護方式外包給云以實現作為服務的惡意軟件檢測，適用于各種特征匹配的惡意軟件檢測算法。

技術領域

本發明屬于移動惡意軟件檢測技術領域，尤其涉及一種隱私保護移動惡意軟件檢測方法、系統、存儲介質及應用。

背景技術

目前，最接近的現有技術：人類社會已進入移動互聯網時代，物聯網時代也即將來臨，各種各樣的移動智能設備在人們的日常生活中起著不可或缺的作用。移動操作系統可以運行任何第三方提供的應用程序服務于人們的日常生活，移動應用也涉及用戶各方面的隱私(例如生活習慣，醫療數據，甚至與財產有關的帳戶密碼)，同時由于移動操作系統的開放性，嚴重威脅人們的隱私甚至財產安全的移動惡意軟件也因此迅速發展。

當前惡意軟件檢測方法主要包括靜態分析和動態分析。靜態分析主要通過反編譯技術分析源代碼中的惡意特征或可疑代碼段。它不需要運行應用程序即可檢測具有已知相關特征的惡意應用程序。但是，靜態分析方法無法提取所有惡意特征。動態分析方法可以通過在運行時分析應用程序的行為以提取惡意特征來彌補靜態分析方法的缺點。然而，動態分析方法通常需要巨大的性能開銷，因此可將動態分析方法外包給高能效站點，例如云服務器。但是，上傳到云服務提供商的數據包含私有信息，例如用戶的使用習慣。由于無法完全信任云，盡管它可以執行預期的設計協議，算法和功能，但它可能會對用戶隱私產生好奇。通過簡單的數據分析，云服務提供商有可能獲得一些有用的私人信息，從而獲得更多好處。顯然，將移動惡意軟件檢測外包，特別是將移動設備收集的數據外包到云中可能會泄露移動用戶的行為信息，從而侵犯他們的隱私。因此，提供保護隱私的移動惡意軟件檢測對于云環境中的檢測即服務至關重要。使用密碼技術(例如，同態加密)的現有工作具有高計算復雜性，低靈活性和低效率的困擾，因此不能實際應用和部署。

Intel SGX是2013年所提出來的一種Intel處理器指令集的拓展，它也在2016年正式集成到Intel的處理器中，這為解決云計算安全問題提供了新的思路。SGX提供一個受保護的內存，用戶的隱私數據及相關代碼運行在這個受保護的內存中，通過處理器強制執行的訪問控制可以保護受保護內存中的數據免受來自更高權限級別的代碼的攻擊，包括操作系統，Hypervisor，BIOS，SMM等。在受保護內存不超過128MB的限制的情況下可以高效地處理用戶的數據。

現有文獻中已經提出了許多用于檢測惡意軟件的技術。現在，主流方法包括靜態分析和靜態分析。靜態分析主要是通過反匯編技術對Android源代碼中的已知惡意代碼簽名進行高精度和高效的分析。但是它不能防止零日漏洞，例如代碼運行時發生的攻擊行為。但是動態分析可以通過收集運行時數據來檢測應用程序的惡意行為。