一種基于動態(tài)監(jiān)控的Android惡意軟件的檢測方法及系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明涉及一種惡意軟件的檢測方法,特別是涉及一種基于動態(tài)監(jiān)控的Android惡意軟件的檢測方法及系統(tǒng)���。
【背景技術】
[0002]Android是一種以Linux為基礎的開源移動設備操作系統(tǒng)�,主要用於智能手機和平板電腦����,但其平臺開放性特點使得Android惡意軟件數(shù)量眾多,成為移動終端安全的重災區(qū)����。一方面,手機廠商可以靈活修改并定制針對自有品牌的手機操作系統(tǒng)����,不同廠商之間對系統(tǒng)安全做的處理互不一致���,使得惡意軟件有了可趁之機;另一方面�����,其開放性也使研宄Android惡意軟件的人數(shù)增加����,甚至催生了一些惡意軟件的開發(fā)者。
[0003]隨著智能手機���、平板電腦的普及����,針對手機的惡意代碼也陸續(xù)出現(xiàn)�����,并呈現(xiàn)爆炸式的增長�。惡意軟件主要為游戲類或工具類軟件��,如神廟逃亡、航班查詢等熱門軟件都曾被偽裝或修改過。通常來講�����,惡意軟件的危害包括:隱私竊取���、遠程控制���、病毒傳播、系統(tǒng)破壞��、誘騙欺詐���、惡意扣費以及流氓行為等等����。
[0004]然而���,現(xiàn)有技術中Android平臺并沒有對應用程序的行為監(jiān)控提供強有力的分析工具�。拒絕一些對用戶沒必要的軟件常駐后臺可以降低手機CPU和內(nèi)存的使用率��、降低耗電量��,對提升用戶體驗很有幫助�。因此�����,對惡意軟件的監(jiān)控和攔截成為一個項有意義的研宄�。
[0005]現(xiàn)有技術中��,典型的惡意軟件檢測技術包括基于簽名行為的檢測方法�,但是必須擁有一類惡意軟件的簽名庫后才能檢測該類惡意軟件,因此無法有效檢測未知的惡意應用�����。
[0006]基于行為的惡意代碼檢測目前主要采用動態(tài)和靜態(tài)兩種方法�����。靜態(tài)方法主要使用反匯編反編譯技術或者在中間層代碼上進行控制流和數(shù)據(jù)流分析技術�����,來進行惡意代碼檢測����。該方法的優(yōu)點是代碼覆蓋率高�����;缺點是無法檢測代碼混淆,在加密以及在動態(tài)執(zhí)行中才能解碼惡意代碼����。動態(tài)方法通過限制應用程序在運行時可訪問的系統(tǒng)資源、重打包應用程序�,修改應用程序入口,從而達到監(jiān)控應用程序的目的�����。但是����,修改應用程序必須對應用程序重新簽名,破壞了應用程序的完整性�。
[0007]綜上所述,現(xiàn)有的惡意軟件檢測方案存在以下問題:
[0008](I)安全模型的安全系數(shù)不高
[0009]目前的靜態(tài)檢測方法主要從應用程序的Manifest文件中提取請求權限等安全特征信息�����,再通過數(shù)據(jù)流分析應用軟件行為是否與安全特征相匹配���。但是���,一旦惡意軟件繞過權限申請便無法進行檢測��。
[0010]也有研宄者提出一些Android安全模型�����,其中一個重要的模型是基于許可的安全模型����。根據(jù)該模型����,每個應用軟件有不同的設備資源使用需求,由手機用戶同意或拒絕安裝軟件���。然而即使用戶在安裝陌生軟件前收到警告信息�,手機上的惡意軟件傳播依然迅速��。這是因為惡意軟件件通常采用欺騙用戶的方式�����,使用戶相信其所有應用的可靠性,并在手機上進行安裝��。
[0011]還有一種辦法是分別提取官方和第三方應用的作者信息和代碼指令�����,計算他們的哈希值��,通過比較他們的相似度來判斷是否為惡意軟件�。然而�,一旦無法區(qū)分官方或第三方應用,則無法進行有效判斷���。
[0012](2)動態(tài)分析誤差大
[0013]進行動態(tài)分析時���,需要用戶先手動運行一些惡意軟件樣本以及對應的官方應用,利用均值算法將收集的數(shù)據(jù)分為常規(guī)和惡意兩組���,以作為應用程序的特征庫�����。但是在該方法中�,找到惡意軟件樣本和對應的官方應用本身就是一件很困難的事����。
[0014]另外����,還可以利用一些惡意樣本����,將其調(diào)用系統(tǒng)函數(shù)的名字和參數(shù)提取出來建立一個規(guī)則庫,然后在運行時收集應用軟件的調(diào)用信息�,通過與規(guī)則庫的比較來檢測是否是未知的惡意樣本。然而���,該方法的缺點是檢測結果不夠精確�,誤差較大����。
【發(fā)明內(nèi)容】
[0015]鑒于以上所述現(xiàn)有技術的缺點,本發(fā)明的目的在于提供一種基于動態(tài)監(jiān)控的Android惡意軟件的檢測方法及系統(tǒng)�����,通過模擬運行第三方應用軟件����、監(jiān)視敏感數(shù)據(jù)流����、分析應用軟件的敏感數(shù)據(jù)泄露��,并在敏感數(shù)據(jù)被篡改時發(fā)出安全警報����,從而達到有效監(jiān)控惡意軟件的目的���。
[0016]為實現(xiàn)上述目的及其他相關目的�,本發(fā)明提供一種基于動態(tài)監(jiān)控的Android惡意軟件的檢測方法包括以下步驟:步驟S1��、建立移動終端的各類信息的規(guī)則庫����;步驟S2、查找到目標函數(shù)地址后���,替換目標函數(shù)地址為包含監(jiān)控代碼的函數(shù)地址�;步驟S3�、當移動終端的應用啟動時,對應用的行為進行監(jiān)控;步驟S4�����、判斷應用的行為是否是Android惡意軟件所執(zhí)行的敏感行為���。
[0017]根據(jù)上述的基于動態(tài)監(jiān)控的Android惡意軟件的檢測方法�����,其中:所述步驟SI包括:
[0018]I)收集各移動終端的信息�����;
[0019]2)針對每一種類型的信息�,建立規(guī)則庫作為樣本��。
[0020]根據(jù)上述的基于動態(tài)監(jiān)控的Android惡意軟件的檢測方法�,其中:所述步驟S2中,通過ELF文件解析查找到目標函數(shù)地址后�����,通過嵌入監(jiān)控代碼替換目標函數(shù)地址為包含監(jiān)控代碼的函數(shù)地址����。
[0021]根據(jù)上述的基于動態(tài)監(jiān)控的Android惡意軟件的檢測方法��,其中:所述步驟S3中����,對應用的行為進行監(jiān)控時�����,如果允許應用的服務請求通過����,則對該行為進行記錄����;如果拒絕應用的服務請求,則終止應用的服務請求�����。
[0022]根據(jù)上述的基于動態(tài)監(jiān)控的Android惡意軟件的檢測方法�,其中:所述步驟S4中,所述敏感行為是指獲取敏感數(shù)據(jù)的行為�����;所述敏感數(shù)據(jù)包括用戶的個人隱私數(shù)據(jù),包括地理位置��、手機短信�����、手機通訊錄�、手機信息和個人數(shù)據(jù)。
[0023]同時����,本發(fā)明還提供一種基于動態(tài)監(jiān)控的Android惡意軟件的檢測系統(tǒng),包括規(guī)則庫建立模塊��、地址替換模塊�、行為監(jiān)控模塊和行為判斷模塊;
[0024]所述規(guī)則庫建立模塊用于建立移動終端的各類信息的規(guī)則庫�;
[0025]所述地址替換模塊用于在查找到目標函數(shù)地址后,替換目標函數(shù)地址為包含監(jiān)控代碼的函數(shù)地址�����;
[0026]所述行為監(jiān)控模塊用于在移動終端的應用啟動時對應用的行為進行監(jiān)控����;
[0027]所述行為判斷模塊用于判斷應用的行為是否是Android惡意軟件所執(zhí)行的敏感行為�。
[0028]根據(jù)上述的基于動態(tài)監(jiān)控的Android惡意軟件的檢測系統(tǒng)�,其中:所述規(guī)則庫建立模塊包括信息收集模塊和樣本建立模塊;所述信息收集模塊用于收集各移動終端的信息�;所述樣本建立模塊用于針對每一種類型的信息,建立規(guī)則庫作為樣本����。
[0029]根據(jù)上述的基于動態(tài)監(jiān)控的Android惡意軟件的檢測系統(tǒng),其中:所述地址替換模塊通過ELF文件解析查找到目標函數(shù)地址后��,通過嵌入監(jiān)控代碼替換目標函數(shù)地址為包含監(jiān)控代碼的函數(shù)地址�����。
[0030]根據(jù)上述的基于動態(tài)監(jiān)控的Android惡意軟件的檢測系統(tǒng)���,其中:所述行為監(jiān)控模塊對應用的行為進行監(jiān)控時,如果允許應用的服務請求通過��,則對該行為進行記錄�����;如果拒絕應用的服務請求,則終止應用的服務請求�����。
[0031]根據(jù)上述的基于動態(tài)監(jiān)控的Android惡意軟件的檢測系統(tǒng)����,其中:所述敏感行為是指獲取敏感數(shù)據(jù)的行為;所述敏感數(shù)據(jù)包括用戶的個人隱私數(shù)據(jù)��,包括地理位置��、手機短信����、手機通訊錄、手機信息和個人數(shù)據(jù)��。
[0032]如上所述��,本發(fā)明的基于動態(tài)監(jiān)控的Android惡意軟件的檢測方法及系統(tǒng)�,具有以下有益效果:
[0033](I)基于動態(tài)分析技術,對應用軟件的行為進行監(jiān)控����,利用動態(tài)注入內(nèi)存�����,對目標函數(shù)進行替換��,實現(xiàn)對惡意行為的檢測和攔截處理�,從而實現(xiàn)對惡意軟件行為的監(jiān)控�;
[0034](2)根據(jù)應用軟件敏感行為和文件對象的訪問跟蹤,生成實時監(jiān)控日志和檢測報告����,使得檢測更加靈活和便捷。
【附圖說明】
[0035]圖1顯示為本發(fā)明的基于動態(tài)監(jiān)控的Android惡意軟件的檢測方法的流程圖�����;
[0036]圖2顯示為本發(fā)明的基于動態(tài)監(jiān)控的Android惡意軟件的檢測系統(tǒng)的整體框架圖�����;
[0037]圖3顯示為本發(fā)明的基于動態(tài)監(jiān)控的Android惡意軟件的檢測系統(tǒng)的結構示意圖�。
[0038]元件標號說明
[0039]I規(guī)則庫建立模塊
[0040]2地址替換模塊
[0041]3行為監(jiān)控模塊
[0042]4行為判斷模塊
【具體實施方式】
[0043]以下通過特定的具體實例說明本發(fā)明的實施方式�,本領域技術人員可由本說明書所揭露的內(nèi)容輕易地了解本發(fā)明的其他優(yōu)點與功效。本發(fā)明還可以通過另外不同的【具體實施方式】加以實施或應用��,本說明書中的各項細節(jié)也可以基于不同觀點與應用,在沒有背離本發(fā)明的精神下進行各種修飾或改變����。
[0044]需要說明的是,本實施例中所提供的圖示僅以示意方式說明本發(fā)明的基本構想�,遂圖式中僅顯示與本發(fā)明中有關的組件而非按照實際實施時的組件數(shù)目、形狀及尺寸繪制��,其實際實施時各組件的型態(tài)�����、數(shù)量及比例可為一種隨意的改變�����,且其組件布局型態(tài)也可能更為復雜�。
[0045]參照圖1,本發(fā)明的基于動態(tài)監(jiān)控的Android惡意軟件的檢測方法包括以下步驟:
[0046]步驟S1�、建立移動終端的各類信息的規(guī)則庫。
[0047]其中��,規(guī)則庫設置在Android系統(tǒng)的Native層�。需要說明的是,本發(fā)明中所涉及的移動終端包括并不限于智能手機、平板電腦��、PDA,以及其他具有數(shù)據(jù)處理功能的手持設備��。通常��,移動終端是指具有獨立的操作系統(tǒng)�����,可以由用戶自行安裝軟件��、游戲等第三方服務商提供的程序����,通過此類程序來不斷對終端的功能進行擴充,并可以通過移動通訊網(wǎng)絡來實現(xiàn)無線網(wǎng)絡接入的這樣一類移動終端��。
[0048]當移動終端上有應用程序啟動后臺服務時����,Android系統(tǒng)會產(chǎn)生監(jiān)控提醒給框架層,進而上報給用戶���。用戶便可以瀏覽到本移動終端中有哪些應用及相應應用的具體信息,如應用的使用的權限�����、CPU的使用率等。
[0049]具體地�����,包括以下步驟:
[0050]I)收集各移動終端的信息�,如用戶地理位置、通訊錄�、短信、用戶賬號等�;
[0051]2)針對每一種類型的信息,建立規(guī)則庫作為樣本�����。
[0052]優(yōu)選地����,規(guī)則庫采用C語言來實現(xiàn)。
[0053]步驟S