本發(fā)明屬于計(jì)算機(jī)技術(shù)領(lǐng)域，尤其涉及一種模擬用戶行為的安卓軟件惡意行為觸發(fā)系統(tǒng)及方法。

背景技術(shù)：

隨著手機(jī)智能化的發(fā)展，各式各樣的應(yīng)用軟件出現(xiàn)在各大應(yīng)用商店中，而對(duì)應(yīng)的手機(jī)操作系統(tǒng)也在不斷的更新?lián)Q代。如今，手機(jī)操作系統(tǒng)的全球市場(chǎng)份額幾乎被安卓操作系統(tǒng)和IOS操作系統(tǒng)所占領(lǐng)，而安卓操作系統(tǒng)的使用率毫無疑問的位居榜首。安卓系統(tǒng)的開源性一直是各大用戶和手機(jī)制造商所津津樂道的優(yōu)點(diǎn)，但是正因?yàn)檫@種特性，安卓系統(tǒng)不得不面臨比IOS系統(tǒng)嚴(yán)峻的多的安全性問題。據(jù)統(tǒng)計(jì)，如今每5到6臺(tái)運(yùn)行安卓操作系統(tǒng)的手機(jī)就有1臺(tái)被感染了病毒，每年給用戶造成的損失難以估計(jì)，為了檢測(cè)出手機(jī)惡意軟件的行為，國(guó)內(nèi)外的研究者展開了系統(tǒng)而深入的研究?，F(xiàn)今主流的手機(jī)軟件惡意行為檢測(cè)的方法有兩種：靜態(tài)分析方法和動(dòng)態(tài)分析方法。靜態(tài)分析方法主要通過逆向分析APK文件的源代碼或者AndroidManifest文件的權(quán)限特征來檢測(cè)惡意軟件的行為，該方法的優(yōu)點(diǎn)是分析速度快，適用于大規(guī)模的惡意軟件分析。但是，隨著代碼混淆和加固技術(shù)的發(fā)展，獲取APK文件的源代碼或者特征變得越來越困難，同時(shí)市場(chǎng)上的絕大部分軟件存在過度申請(qǐng)權(quán)限的行為，這造成了靜態(tài)分析方法對(duì)惡意軟件進(jìn)行分析的困難。動(dòng)態(tài)分析方法是一個(gè)還在發(fā)展中的惡意軟件檢測(cè)方法，主要通過一個(gè)沙盒來模擬軟件的運(yùn)行環(huán)境，監(jiān)控和分析軟件的行為，進(jìn)而判斷該軟件是否為惡意軟件。它包括三個(gè)方面的內(nèi)容：軟件惡意行為的觸發(fā)，軟件惡意行為的監(jiān)控，軟件惡意行為的分析。其中，軟件惡意行為的觸發(fā)是國(guó)內(nèi)外研究較少的一個(gè)領(lǐng)域，大部分的觸發(fā)方式停留在單純的調(diào)用MonkeyRunner工具生成的偽隨機(jī)事件流，隨機(jī)的點(diǎn)擊操作無法有效的觸發(fā)惡意軟件的行為，所以如何能夠更加全面和快速的對(duì)待測(cè)應(yīng)用進(jìn)行遍歷是一個(gè)亟待解決的問題。北京奇虎科技有限公司申請(qǐng)的專利“一種安卓應(yīng)用UI控件精準(zhǔn)遍歷方法和裝置”(申請(qǐng)?zhí)朇N201510940069.7申請(qǐng)公布號(hào)CN105468529A)公開了一種基于Activity控件遍歷的技術(shù)。該方法由測(cè)試進(jìn)程在監(jiān)控到目標(biāo)應(yīng)用啟動(dòng)后，獲取Activity棧頂?shù)腁ctivity對(duì)象的Activity名稱；根據(jù)所述Activity名稱，從策略庫(kù)中獲取對(duì)應(yīng)所述Activity的點(diǎn)擊條件策略；根據(jù)所述點(diǎn)擊條件策略，對(duì)所述Activity對(duì)象中的各UI控件進(jìn)行點(diǎn)擊操作；根據(jù)所述點(diǎn)擊操作記錄測(cè)試結(jié)果并輸出。該方法存在的不足之處是遍歷操作發(fā)生在手機(jī)端，由于移動(dòng)終端性能的影響導(dǎo)致遍歷的效率不高。其次，該方法僅僅是單純的UI控件遍歷技術(shù)，并沒有與移動(dòng)安全這個(gè)特殊背景相結(jié)合。深圳數(shù)字電視國(guó)家工程實(shí)驗(yàn)室股份有限公司申請(qǐng)的專利“一種應(yīng)用程序的自動(dòng)化動(dòng)態(tài)檢測(cè)方法及裝置”(申請(qǐng)?zhí)朇N201410836820.4申請(qǐng)公布號(hào)CN104462979A)提供了一種應(yīng)用程序的自動(dòng)化動(dòng)態(tài)檢測(cè)方法及裝置，利用軟件分析當(dāng)前窗口所包含的多個(gè)控件，并在多個(gè)控件中篩選出關(guān)鍵控件，及關(guān)鍵控件的位置坐標(biāo)和關(guān)鍵屬性，并自動(dòng)在位置坐標(biāo)處執(zhí)行關(guān)鍵屬性的輸入操作，整個(gè)過程自動(dòng)完成無需人工參與，從而降低了人工成本，并且僅對(duì)多個(gè)控件中較為重要的關(guān)鍵控件執(zhí)行輸入操作，對(duì)作用不大的其余控件，則不執(zhí)行輸入操作，因此大大提高了檢測(cè)效率。該方法存在的不足之處是：(1)關(guān)鍵控件的數(shù)量太少導(dǎo)致遍歷的覆蓋率不高。(2)無法應(yīng)對(duì)在測(cè)試過程中惡意軟件對(duì)虛擬機(jī)環(huán)境的辨別。

綜上，現(xiàn)有的動(dòng)態(tài)檢測(cè)技術(shù)對(duì)于惡意軟件行為觸發(fā)方面還存在有以下幾點(diǎn)不足：

(1)控件的遍歷覆蓋率較低，某些特殊的控件無法進(jìn)行有效的觸發(fā)操作。

(2)控件的遍歷效率較低。

(3)不能抵御惡意軟件對(duì)模擬器環(huán)境的檢測(cè)，有可能在軟件觸發(fā)過程中無法有效的激活軟件的惡意行為。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于提供一種模擬用戶行為的安卓軟件惡意行為觸發(fā)系統(tǒng)及方法，旨在解決現(xiàn)有移動(dòng)終端用戶身份認(rèn)證系統(tǒng)存在控件的遍歷覆蓋率較低，不能抵御惡意軟件對(duì)虛擬機(jī)環(huán)境的檢測(cè)，單純的進(jìn)行控件點(diǎn)擊來觸發(fā)軟件的惡意行為，容易導(dǎo)致檢測(cè)失敗的問題。

本發(fā)明是這樣實(shí)現(xiàn)的，一種模擬用戶行為的安卓軟件惡意行為觸發(fā)方法，該方法預(yù)先收集用戶的行為信息來建立一個(gè)模擬用戶行為的模型，該模型用于在動(dòng)態(tài)分析過程中抵御惡意軟件對(duì)模擬器環(huán)境的檢測(cè)；同時(shí)，該方法針對(duì)不同類型的控件采取不同的觸發(fā)策略來提高遍歷覆蓋率，比如對(duì)于TextView類型的控件將會(huì)填入預(yù)先設(shè)定好的文本內(nèi)容，對(duì)于ListView類型的控件將會(huì)補(bǔ)充滑動(dòng)操作，對(duì)于視頻播放或WebView等無法有效操作的控件采取忽略等。

所述改進(jìn)的模擬用戶行為的安卓軟件惡意行為觸發(fā)方法增加模擬真實(shí)用戶手機(jī)環(huán)境變化，本發(fā)明中手機(jī)環(huán)境變化因素具體為應(yīng)用啟動(dòng)時(shí)間、手機(jī)定位信息、手機(jī)所處的網(wǎng)絡(luò)環(huán)境這三點(diǎn)。具體步驟如下：手機(jī)端收集用戶行為特征量，當(dāng)應(yīng)用啟動(dòng)時(shí)，在用戶手機(jī)上收集啟動(dòng)應(yīng)用的基本信息，應(yīng)用的啟動(dòng)時(shí)間，手機(jī)的定位信息，手機(jī)所處的網(wǎng)絡(luò)環(huán)境；服務(wù)器存儲(chǔ)并分析用戶行為特征量，將收集到的信息上傳至服務(wù)器進(jìn)行存儲(chǔ)，利用FP-Growth算法進(jìn)行數(shù)據(jù)分析并比對(duì)已存儲(chǔ)的數(shù)據(jù)，找出不同種類的應(yīng)用所對(duì)應(yīng)的啟動(dòng)時(shí)間-定位信息改變量制定用戶行為模擬策略；生成行為特征量的關(guān)聯(lián)數(shù)據(jù)組。

進(jìn)一步，所述生成行為特征量的關(guān)聯(lián)數(shù)據(jù)組之后：

步驟一，用戶上傳待測(cè)APK文件，用戶將需要進(jìn)行惡意檢測(cè)的軟件上傳至指定服務(wù)器；

步驟二，對(duì)APK文件進(jìn)行預(yù)處理，服務(wù)器利用軟件對(duì)APK文件中的XML類型文件進(jìn)行分析，提取出應(yīng)用名信息；

步驟三，利用軟件進(jìn)行應(yīng)用控件分析，服務(wù)器利用軟件對(duì)上傳的應(yīng)用進(jìn)行界面分析，生成界面樹和對(duì)應(yīng)的控件樹；界面樹中每一個(gè)界面為一個(gè)樹節(jié)點(diǎn)，控件樹中每一個(gè)控件為一個(gè)樹節(jié)點(diǎn)；

步驟四，生成控件樹遍歷策略，對(duì)于不同的控件需要有不同的觸發(fā)策略，同時(shí)需要添加所生成的關(guān)聯(lián)數(shù)據(jù)組進(jìn)行遍歷；

步驟五，利用遍歷引擎開始進(jìn)行控件樹遍歷，在模擬器中開啟模擬用戶行為進(jìn)程，按照策略進(jìn)行用戶行為模擬；樹的遍歷方式采用廣度遍歷；

步驟六，判斷是否觸發(fā)完畢，如果控件觸發(fā)完畢，則進(jìn)行步驟七；若程序中斷或者崩潰，則進(jìn)行步驟五；

步驟七，保存每個(gè)不同界面的截圖。

進(jìn)一步，所述生成行為特征量的關(guān)聯(lián)數(shù)據(jù)組的關(guān)聯(lián)數(shù)據(jù)組應(yīng)為一組數(shù)組，包括應(yīng)用使用時(shí)間，應(yīng)用種類，使用應(yīng)用時(shí)手機(jī)的位置信息變化量，網(wǎng)絡(luò)狀態(tài)。位置信息變化量的計(jì)算方法為：設(shè)位置1的經(jīng)度為M₁，緯度為N₁，位置2的經(jīng)度為M₂，緯度為N₂，則位置信息變化為：T²＝N₂²+M₂²-(N₁²+M₁²)。

本發(fā)明的另一目的在于提供一種所述模擬用戶行為的安卓軟件惡意行為觸發(fā)方法的安卓軟件惡意行為觸發(fā)系統(tǒng)，所述安卓軟件惡意行為觸發(fā)系統(tǒng)包括：用戶信息采集模塊、用戶數(shù)據(jù)挖掘模塊、遍歷引擎模塊。

進(jìn)一步，所述用戶信息采集模塊包括：

應(yīng)用上傳子模塊：用于上傳待測(cè)應(yīng)用APK文件；

應(yīng)用監(jiān)聽子模塊：用于獲取用戶在使用不同種類應(yīng)用時(shí)的手機(jī)狀態(tài)信息；

結(jié)果反饋?zhàn)幽K：用于將檢測(cè)結(jié)果反饋給用戶。

進(jìn)一步，所述用戶數(shù)據(jù)挖掘模塊包括：

用戶數(shù)據(jù)存儲(chǔ)子模塊：用于存儲(chǔ)采集到的用戶數(shù)據(jù)；

用戶數(shù)據(jù)分析子模塊：用于分析用戶數(shù)據(jù)，得到模擬用戶行為的特征量。

進(jìn)一步，所述遍歷引擎模塊包括：

應(yīng)用界面分析子模塊：用于分析應(yīng)用的界面和控件信息；

應(yīng)用控件觸發(fā)策略生成子模塊：用于生成控件的觸發(fā)策略，包括但不限于對(duì)特殊控件進(jìn)行處理；

控件遍歷子模塊：用于進(jìn)行控件遍歷算法的實(shí)現(xiàn)。

本發(fā)明的另一目的在于提供一種利用所述模擬用戶行為的安卓軟件惡意行為觸發(fā)方法的手機(jī)。

本發(fā)明的另一目的在于提供一種利用所述模擬用戶行為的安卓軟件惡意行為觸發(fā)方法的平板電腦。

本發(fā)明提供的模擬用戶行為的安卓軟件惡意行為觸發(fā)系統(tǒng)及方法，在傳統(tǒng)的GUI遍歷技術(shù)基礎(chǔ)上增加了模擬真實(shí)用戶環(huán)境變化的技術(shù)，使得動(dòng)態(tài)檢測(cè)技術(shù)中對(duì)惡意軟件行為的觸發(fā)更加有效率，并且使得惡意軟件在動(dòng)態(tài)檢測(cè)模擬器環(huán)境的識(shí)別上造成困難。本發(fā)明安全可靠、系統(tǒng)開銷小，用戶體驗(yàn)性好；遍歷覆蓋率更高；對(duì)惡意行為的觸發(fā)更全面；遍歷速度更高。

具體數(shù)據(jù)對(duì)比表格如下：

上表說明所述方法相對(duì)于傳統(tǒng)方法而言遍歷覆蓋率更高，速度更快；針對(duì)上述的某些惡意軟件可以檢測(cè)模擬器環(huán)境的特點(diǎn)，本發(fā)明選取了一款惡意軟件iproject進(jìn)行檢測(cè)結(jié)果對(duì)比。該軟件存在惡意扣費(fèi)的行為，但是該軟件的惡意行為的觸發(fā)條件比較隱蔽，只有當(dāng)用戶在使用該應(yīng)用程序時(shí)手機(jī)的位置信息變化才會(huì)觸發(fā)惡意扣費(fèi)的行為。所述方法成功的檢測(cè)到了該軟件的惡意行為，但是傳統(tǒng)方法并未能成功檢測(cè)出來。

附圖說明

圖1是本發(fā)明實(shí)施例提供的模擬用戶行為的安卓軟件惡意行為觸發(fā)系統(tǒng)的結(jié)構(gòu)示意圖；

圖2是本發(fā)明實(shí)施例提供的模擬用戶行為的安卓軟件惡意行為觸發(fā)方法流程圖樣式1。

圖3是本發(fā)明實(shí)施例提供的模擬用戶行為的安卓軟件惡意行為觸發(fā)方法流程圖樣式2。

具體實(shí)施方式

為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下結(jié)合實(shí)施例，對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

下面結(jié)合附圖對(duì)本發(fā)明的應(yīng)用原理作詳細(xì)的描述。

如圖1所示，本發(fā)明實(shí)施例提供的模擬用戶行為的安卓軟件惡意行為觸發(fā)系統(tǒng)包括：用戶信息采集模塊1、用戶數(shù)據(jù)挖掘模塊2、遍歷引擎模塊3。

用戶信息采集模塊1包括：應(yīng)用上傳子模塊，應(yīng)用監(jiān)聽子模塊，結(jié)果反饋?zhàn)幽K；其中：

應(yīng)用上傳子模塊：用于上傳待測(cè)應(yīng)用APK文件。

應(yīng)用監(jiān)聽子模塊：用于獲取用戶在使用不同種類應(yīng)用時(shí)的手機(jī)狀態(tài)信息。

結(jié)果反饋?zhàn)幽K：用于將檢測(cè)結(jié)果反饋給用戶。

用戶數(shù)據(jù)挖掘模塊2包括：用戶數(shù)據(jù)存儲(chǔ)子模塊，用戶數(shù)據(jù)分析子模塊；其中：

用戶數(shù)據(jù)存儲(chǔ)子模塊：用于存儲(chǔ)采集到的用戶數(shù)據(jù)。

用戶數(shù)據(jù)分析子模塊：用于分析用戶數(shù)據(jù)，得到模擬用戶行為的特征量。

遍歷引擎模塊3包括：應(yīng)用界面分析子模塊，應(yīng)用控件觸發(fā)策略生成子模塊，控件遍歷子模塊；其中：

應(yīng)用界面分析子模塊：用于分析應(yīng)用的界面和控件信息。

應(yīng)用控件觸發(fā)策略生成子模塊：用于生成控件的觸發(fā)策略，包括但不限于對(duì)特殊控件進(jìn)行處理。

控件遍歷子模塊：用于進(jìn)行控件遍歷算法的實(shí)現(xiàn)。

如圖2所示，本發(fā)明實(shí)施例提供的模擬用戶行為的安卓軟件惡意行為觸發(fā)方法包括以下步驟：

S101：手機(jī)端收集用戶行為特征量，當(dāng)應(yīng)用啟動(dòng)時(shí)，在用戶手機(jī)上收集啟動(dòng)應(yīng)用的基本信息，應(yīng)用的啟動(dòng)時(shí)間，手機(jī)的定位信息，手機(jī)所處的網(wǎng)絡(luò)環(huán)境；

S102：服務(wù)器存儲(chǔ)并分析用戶行為特征量，將收集到的信息上傳至服務(wù)器進(jìn)行存儲(chǔ)，利用FP-Growth算法進(jìn)行數(shù)據(jù)分析并比對(duì)已存儲(chǔ)的數(shù)據(jù)，找出不同種類的應(yīng)用所對(duì)應(yīng)的啟動(dòng)時(shí)間-定位信息改變量制定用戶行為模擬策略；

S103：生成行為特征量的關(guān)聯(lián)數(shù)據(jù)組；

S104：用戶上傳待測(cè)APK文件，用戶將需要進(jìn)行惡意檢測(cè)的軟件上傳至指定服務(wù)器；

S105：對(duì)APK文件進(jìn)行預(yù)處理，服務(wù)器利用軟件對(duì)APK文件中的XML類型文件進(jìn)行分析，提取出應(yīng)用名等信息；

S106：利用軟件進(jìn)行應(yīng)用控件分析，服務(wù)器利用軟件對(duì)上傳的應(yīng)用進(jìn)行界面分析，生成界面樹和對(duì)應(yīng)的控件樹。界面樹中每一個(gè)界面為一個(gè)樹節(jié)點(diǎn)，控件樹中每一個(gè)控件為一個(gè)樹節(jié)點(diǎn)；

S107：生成控件樹遍歷策略，對(duì)于不同的控件需要有不同的觸發(fā)策略，同時(shí)需要添加所生成的關(guān)聯(lián)數(shù)據(jù)組進(jìn)行遍歷；

S108：利用遍歷引擎開始進(jìn)行控件樹遍歷，在模擬器中開啟模擬用戶行為進(jìn)程，按照策略進(jìn)行用戶行為模擬。樹的遍歷方式采用廣度遍歷；

S109：判斷是否觸發(fā)完畢，如果控件觸發(fā)完畢，則進(jìn)行步驟S110；若程序中斷或者崩潰，則進(jìn)行步驟S108；

S110：保存每個(gè)不同界面的截圖。

下面結(jié)合附圖對(duì)本發(fā)明的應(yīng)用原理作進(jìn)一步的描述。

本發(fā)明實(shí)施例提供的模擬用戶行為的安卓軟件惡意行為觸發(fā)方法包括以下步驟：

步驟1，手機(jī)端收集用戶行為特征量

手機(jī)端的軟件將會(huì)監(jiān)測(cè)用戶在使用不同種類的應(yīng)用時(shí)的手機(jī)狀態(tài)信息，包括應(yīng)用使用時(shí)間(以小時(shí)為單位)，使用的應(yīng)用種類(如工具類，游戲類等)，使用應(yīng)用時(shí)手機(jī)的位置信息變化(位置的變動(dòng)量)，網(wǎng)絡(luò)狀態(tài)變化(移動(dòng)網(wǎng)絡(luò)或wifi)特征量。

步驟2，服務(wù)器存儲(chǔ)并分析用戶行為特征量

手機(jī)端軟件將收集到的特征量上傳至服務(wù)器，采用FP-Growth算法進(jìn)行數(shù)據(jù)關(guān)聯(lián)性分析，找到頻繁項(xiàng)集來模擬用戶行為。

步驟3，生成行為特征量的關(guān)聯(lián)數(shù)據(jù)組

關(guān)聯(lián)數(shù)據(jù)組應(yīng)為一組數(shù)組，包括應(yīng)用使用時(shí)間，應(yīng)用種類，使用應(yīng)用時(shí)手機(jī)的位置信息變化量，網(wǎng)絡(luò)狀態(tài)。位置信息變化量的計(jì)算方法為：設(shè)位置1的經(jīng)度為M₁，緯度為N₁，位置2的經(jīng)度為M₂，緯度為N₂，則位置信息變化為：

T²＝N₂²+M₂²-(N₁²+M₁²)。

步驟4，上傳待測(cè)APK文件

用戶通過手機(jī)上傳該待測(cè)應(yīng)用的APK安裝包至服務(wù)器進(jìn)行分析。

步驟5，對(duì)APK文件進(jìn)行預(yù)處理

分析APK文件中的AndroidManifest.xml文件，提取出應(yīng)用包名等信息，服務(wù)器為該包名創(chuàng)建數(shù)據(jù)組，用于存儲(chǔ)已檢測(cè)過的應(yīng)用結(jié)果。

步驟6，利用軟件進(jìn)行應(yīng)用控件布局分析

利用軟件生成界面布局樹和控件布局樹。

步驟7，生成控件樹遍歷策略

對(duì)于特殊控件如WebView，采取的策略是禁止觸發(fā)；ListView采取的策略是滑動(dòng)和隨機(jī)點(diǎn)擊觸發(fā)；對(duì)于特殊的應(yīng)用如游戲或視頻類的應(yīng)用采取的策略是禁止觸發(fā)。對(duì)于TextView等需要進(jìn)行輸入的控件，利用預(yù)先設(shè)置的數(shù)據(jù)來進(jìn)行填充。

步驟8，利用遍歷引擎開始進(jìn)行控件樹遍歷。

利用步驟3生成的關(guān)聯(lián)數(shù)據(jù)組有規(guī)律的改變模擬器的狀態(tài)信息。同時(shí)按照廣度遍歷的方式進(jìn)行控件樹和界面樹的遍歷。

步驟9，判斷控件是否觸發(fā)完畢

判斷是否將樹遍歷完成，若完成則進(jìn)行下一步；若程序崩潰或中斷則進(jìn)行狀態(tài)存儲(chǔ)，重新開始程序時(shí)從存儲(chǔ)的界面開始執(zhí)行步驟8。

步驟10，保存界面截圖。

以上所述僅為本發(fā)明的較佳實(shí)施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。