本發(fā)明公開了一種安卓應(yīng)用流氓行為的識別方法及系統(tǒng)，動態(tài)運行和遍歷待識別的安卓應(yīng)用，獲取安卓應(yīng)用運行時的界面狀態(tài)轉(zhuǎn)換圖后，通過對安卓應(yīng)用中流氓廣告的特點進(jìn)行分析，通過對攜帶有廣告的界面上各廣告中的文字進(jìn)行識別，判斷界面上的廣告是否為包含誘導(dǎo)點擊內(nèi)容的廣告；與此同時，基于界面狀態(tài)轉(zhuǎn)換圖，結(jié)合啟發(fā)式規(guī)則，實現(xiàn)了包含覆蓋可點擊組件的廣告的識別以及應(yīng)用退出時的廣告的識別，從而能夠精確的識別安卓應(yīng)用中的流氓廣告；另外，本發(fā)明訓(xùn)練基于隨機森林的界面分類器區(qū)分安卓應(yīng)用界面中的彈框界面和非彈框界面，根據(jù)識別到的彈框界面，基于啟發(fā)式規(guī)則，能夠精確的識別安卓應(yīng)用中的流氓彈框。

技術(shù)領(lǐng)域

本發(fā)明屬于安卓應(yīng)用安全技術(shù)領(lǐng)域，更具體地，涉及一種安卓應(yīng)用流氓行為的識別方法及系統(tǒng)。

背景技術(shù)

安卓系統(tǒng)是一個開源的用于移動設(shè)備的操作系統(tǒng)，安卓應(yīng)用是運行在安卓操作系統(tǒng)上的應(yīng)用，用戶可以選擇在第三方市場下載和安裝安卓應(yīng)用，安卓應(yīng)用第三方市場需要提高自己的應(yīng)用質(zhì)量來提升用戶滿意度，然而，當(dāng)前安卓應(yīng)用市場中的應(yīng)用依然廣泛存在流氓行為。根據(jù)通信行業(yè)標(biāo)準(zhǔn)YD/T2439-2012《移動互聯(lián)網(wǎng)惡意程序描述格式》，對于執(zhí)行后對系統(tǒng)沒有直接損害，也不對用戶個人信息、資費造成侵害的其它惡意行為統(tǒng)稱為流氓行為。流氓廣告和流氓彈框是兩種常見的流氓行為；其中，流氓廣告有三種，包括誘導(dǎo)點擊廣告，覆蓋可點擊組件廣告和應(yīng)用退出時廣告；而流氓彈框是指強制用戶升級且點擊安卓設(shè)備上回退按鍵無法退出的彈框。這些安卓應(yīng)用中的流氓行為在影響用戶使用體驗的同時，也存在著潛在的安全隱患，故研究一種面向安卓應(yīng)用流氓行為的識別方法及系統(tǒng)存在重要的意義。

現(xiàn)有的安卓應(yīng)用行為識別的方法主要有靜態(tài)分析方法和動態(tài)分析方法。其中，靜態(tài)方法分析速度快，但是目前應(yīng)用越來越多采用反射機制和混淆技術(shù)等，導(dǎo)致靜態(tài)分析無法進(jìn)行。動態(tài)分析是采用動態(tài)運行應(yīng)用，收集運行過程中的一些信息用于識別特定行為。目前的動態(tài)安卓應(yīng)用行為識別方法主要在應(yīng)用運行的過程中采集應(yīng)用運行過程中的CPU和內(nèi)存使用情況、網(wǎng)絡(luò)流量、函數(shù)調(diào)用、意圖以及數(shù)據(jù)流信息等，然后根據(jù)行為特征匹配的方式或提取特征采用機器學(xué)習(xí)等方法進(jìn)行特定行為的識別。這些行為識別方法能夠有效地識別具有泄露信息、竊取用戶資費等行為的惡意應(yīng)用。因為這些行為具有較為明顯的資源消耗異常、函數(shù)調(diào)用模式以及明確的數(shù)據(jù)流特征。然而，流氓行為執(zhí)行后對系統(tǒng)沒有直接損害，也不對用戶個人信息、資費造成侵害，危險后果主要表現(xiàn)為間接地對用戶手機造成影響，使用戶不能方便地使用手機。因而，大多數(shù)流氓行為并不具備一些特定的函數(shù)調(diào)用模式和數(shù)據(jù)流方面的特征，更適合從界面視圖的角度進(jìn)行分析和識別，上述方法均不適用。

另外，針對安卓應(yīng)用流氓行為中的流氓廣告的識別，識別并獲取安卓應(yīng)用中展示給用戶的廣告是十分關(guān)鍵的一個步驟。目前針對安卓應(yīng)用中廣告的獲取，主要采用流量分析技術(shù)，從流量中識別接收到的廣告，然而這種方法收集的廣告不能保證是展示給用戶的廣告，因為應(yīng)用接收到的廣告不一定會呈現(xiàn)給用戶。另一種安卓應(yīng)用中的廣告獲取方法不直接收集廣告，而是根據(jù)界面發(fā)出的請求中是否含有獲取和接收廣告的相關(guān)函數(shù)名，并結(jié)合界面組件特征識別廣告界面，然而這種方法僅僅能夠識別包含廣告的界面，不能將界面中的非全屏廣告提取出來，即只能夠檢測到應(yīng)用界面中包含廣告，但是不能檢測到廣告所在的位置，也不能把廣告從應(yīng)用界面上截取出來進(jìn)行分析，因而不適用于針對誘導(dǎo)用戶點擊廣告的識別。

發(fā)明內(nèi)容

針對現(xiàn)有技術(shù)的以上缺陷或改進(jìn)需求，本發(fā)明提供了一種安卓應(yīng)用流氓行為的識別方法及系統(tǒng)，其目的在于解決由于安卓應(yīng)用流氓行為不具備一些特定的函數(shù)調(diào)用模式和數(shù)據(jù)流方面的特征，而導(dǎo)致的現(xiàn)有技術(shù)不能精確識別影響用戶體驗的流氓行為的技術(shù)問題。

為實現(xiàn)上述目的，第一方面，本發(fā)明提供了一種安卓應(yīng)用流氓廣告的識別方法，包括以下步驟：

S11、動態(tài)運行和遍歷待識別的安卓應(yīng)用，獲取安卓應(yīng)用運行時的界面狀態(tài)轉(zhuǎn)換圖；其中，界面狀態(tài)轉(zhuǎn)換圖包括：安卓應(yīng)用運行過程中的界面、觸發(fā)界面狀態(tài)轉(zhuǎn)換的操作事件和界面組件樹信息；

S12、從界面狀態(tài)轉(zhuǎn)換圖中選取一個未識別的界面作為當(dāng)前界面；