[发明专利]一种基于行为分析模板的动态分析优化方法及系统

说明书

技术领域

本发明涉及移动终端恶意代码动态行为分析技术，特别涉及一种基于行为模板的动态分析优化方法及系统。

背景技术

随着移动互联网的高速发展，移动互联网平台上的恶意代码越来越多，恶意代码的技术也越来越复杂。动态行为分析，即通过在模拟或仿真环境中运行恶意代码样本程序，并记录其运行过程中的行为来进行恶意代码行为分析的一种常用技术。对于这种技术，如何有效的触发恶意代码的恶意行为是非常关键的一个环节。

目前已经出现了较多的动态行为分析的技术，例如开源的DroidBox，开放式的框架Xposed等，都可以用来进行动态行为分析。在动态行为分析中，对恶意代码触发的解决技术上，目前存在这样一些方法，一种方法是通过随机的模拟用户点击，在应用启动之后进行应用行为触发，该方法的好处是实现快速，方法简单，但是效果并不理想，尤其是其随机点击和用户行为模拟的方式非常不精确，对应用的行为触发并没有起到太多实质性效果，另一种方法是，通过对当前应用的界面进行截图，并基于截图的图像进行分析，从而确认如何生成点击和用户行为，构造之后来进行触发。这种方法的好处是精准，但是实际使用中，其使用成本比较高，同时高度依赖于应用的截图图像分析的准确性，难以保持效果的稳定。

发明内容

本发明提供了一种基于行为模板的动态分析优化方法及系统，解决了移动终端应用程序动态行为分析触发成功率不高的问题，能够有效提高动态分析结果的质量。

一种基于行为模板的动态分析优化方法，包括：

将目标移动终端应用程序投放到自动化动态行为分析环境中；

加载用户行为模板库，并根据用户行为模板库中的用户行为记录，模拟用户操作行为；

对应用程序运行过程中的动态行为进行记录并分析。

所述的方法中，所述的用户行为模板为存储了用户操作行为规则的用户行为记录。用户行为模板主要通过对主流的应用的操作方法进行归纳形成，模板中的各种属性也都可以进行扩展和替换。

一种基于行为模板的动态分析优化系统，包括：

投放模块，用于将目标移动终端应用程序投放到自动化动态行为分析环境中；

加载模块，用于加载用户行为模板库，并根据用户行为模板库中的用户行为记录，模拟用户操作行为；

分析模块，用于对应用程序运行过程中的动态行为进行记录并分析。

所述的系统中，所述的用户行为模板为存储了用户操作行为规则的用户行为记录。

本发明提供了一种基于行为模板的动态分析优化方法及系统。其中方法主要为将目标移动终端应用程序投放到自动化动态行为分析环境中；加载用户行为模板库，并根据用户行为模板库中的用户行为记录，模拟用户操作行为；对应用程序运行过程中的动态行为进行记录并分析。本发明的方法及系统，能够对主流的应用的操作方法进行归纳形成模板，并引入到动态分析环境中，用于自动化动态行为分析时进行模拟用户正常行为，从而有效的提高动态行为分析中，对应用的主要行为进行触发，提高动态分析结果的数量和质量。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明基于行为模板的动态分析优化方法流程图；

图2为本发明基于行为模板的动态分析优化系统结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。

本发明提供了一种基于行为模板的动态分析优化方法及系统，解决了移动终端应用程序动态行为分析触发成功率不高的问题，能够有效提高动态分析结果的质量。

一种基于行为模板的动态分析优化方法，如图1所示，包括：

S101：将目标移动终端应用程序投放到自动化动态行为分析环境中；自动进行安装和启动操作，动态分析环境可以是目前任何一种自动化应用动态分析环境；

S102：加载用户行为模板库，并根据用户行为模板库中的用户行为记录，模拟用户操作行为；

S103：对应用程序运行过程中的动态行为进行记录并分析。