[发明专利]基于动态激活及行为监测的Android恶意代码检测装置和方法

说明书

技术领域

本发明涉及一种Android应用恶意行为的检测技术，确切地说，涉及一种基于动态激活及行为监测的Android恶意代码检测装置和方法，属于信息安全中的应用安全的技术领域。

背景技术

目前，针对Android恶意应用程序进行检测分析的技术，国内外已经研究多年，常见的检测工具有：DroidRange、TaintDroid和AppInspector等，下面分别对这些工具进行简介：

DroidRanger总结了十种已知的Android恶意软件的行为特征和两种启发式规则，用来检测未知的应用程序。该方法可以快速地检测出已知恶意行为，但其对于新出现的应用程序则大多采用人工分析方式，故检测结果存在一定滞后。

TaintDroid是一个系统级的动态实时分析工具，采用动态数据流分析方法，监控应用程序的后台数据流，以期发现应用可能存在的恶意行为。

AppInspector是采用动态分析方法，可以自动生成输入，并在程序执行过程中记录日志，通过分析记录的日志信息来检测应用程序当中是否存在恶意行为。该工具依赖于特定的触发条件，但是其对于如何触发逻辑较为复杂的应用程序的恶意行为，存在明显的不足。

目前，对Android应用程序恶意行为的检测方法主要有下述两种：

(A)按照病毒查杀的方式进行检测：通过分析源程序或者反汇编后的程序的语法、结构、过程和接口等，对关键函数、关键变量的控制流和数据流进行追踪，再与恶意应用程序的行为规则进行分析匹配，分析检查程序中的敏感行为和恶意行为。该方法除了能够发现已知的恶意应用程序以外，还能通过一系列恶意特征行为发现可疑的恶意样本，以供深度分析，进一步研究确认基于对象的智能识别技术。

按照病毒查杀的方式是对Android应用程序可能存在的恶意行为进行静态检测、提取特征，再与应用程序的恶意行为规则进行特征匹配。这种方法严重依赖于一个恶意行为规则库：只有已经被发现并加入该规则库的恶意行为才能被检测出来，而对于尚未添加入恶意行为规则库的新型恶意行为，就无法使用特征匹配技术进行甄别；只能根据已有的经验和知识，采用人工分析方式，因此检测结果存在一定的滞后期。

(B)采用动态监控的方法，动态、实时地监控应用程序的执行，并对该应用程序与外部环境的交互进行检测，然后，采用动态数据流的分析方法，监控应用程序的后台数据流，以期发现该应用可能存在的恶意行为。

采用动态监控的方法是通过动态实时监控应用程序的执行过程，以及检测该应用与其外部环境的交互。但应用程序通常都是基于给定脚本执行的，即程序的执行顺序步骤被写进脚本。然而，大多数恶意行为往往比较隐蔽，其执行依赖于特定的触发条件。如何发觉触发逻辑较为复杂的恶意行为，该方法同样存在明显的不足。

目前Android应用程序的安全问题得到越来越多的关注。Android应用可能存在的安全威胁(包括后台自动联网、自动收发短信和访问用户隐私文件等)也非常多，严重损害了用户利益。因此，业内科技人员非常关心如何解决Android应用程序的这些安全威胁，并将其作为一项研发的焦点课题。

发明内容

有鉴于此，本发明的目的是提供一种基于动态激活及行为监测的Android恶意代码检测装置及其检测方法，本发明是一种自动化的检测工具，通过控制手机终端，能够自动安装与启动准备检测的应用，自动激活应用的行为，同时对手机终端进行实时监控，并在应用运行的整个过程中，从文件访问、短信发送、网络连接及其流量、系统资源占用和硬件资源访问等多方面信息进行终端监控，检测发现恶意代码进行的恶意行为。

为了达到上述目的，本发明提供了一种基于动态激活及行为监测的Android恶意代码检测装置，其特征在于：所述检测装置控制手机终端自动安装与启动准备检测的应用，自动激活应用的行为；同时在应用运行的整个过程中，实时监控该手机终端包括文件访问、短信发送、网络连接及其流量、系统资源占用和硬件资源访问的信息，检测恶意代码进行的恶意行为，并生成检测报告提供给用户，完成对所检测的应用的行为的动态检测；设有应用行为动态激活模块、应用行为实时监控模块和检测结果分析处理模块共三个组成模块：其中：

应用行为动态激活模块，负责对待检测的Android应用自动完成应用的安装、启动和运行，乃至卸载；且在运行过程中，自动激活应用的操作行为，以便对其行为执行后台监控，再将应用的执行结果发送给检测结果分析处理模块；设有：安装启动单元、自动化运行单元和截图分析单元共三个组件；