[发明专利]加壳应用的恶意行为检测方法和系统

说明书

技术领域

本发明涉及移动应用安全领域，尤其涉及一种加壳应用的恶意行为检测方法和系统。

背景技术

我国目前有30多家主流应用商店，主流的网盘、论坛和下载站点超过100家，2015年检测到的感染移动恶意程序的用户达到2292万，其中Android平台1575万。2.2％的恶意程序样本经过加壳处理，加大了检测难度。传统的Android应用恶意行为检测解决方案中，人们多倾向于利用静态检测和反编译技术查看代码的方式解决。事实上，现在国内主流应用市场的Android应用很多经过了手机应用加壳服务商如360，爱加密等的加壳处理。此类加壳应用需要引入一种新的恶意行为检测方法和系统。

发明内容

本发明要解决的一个技术问题是提供一种加壳应用的恶意行为检测方法和和系统，能够提高加壳应用的检测效率和覆盖率。

根据本发明一方面，提出一种加壳应用的恶意行为检测方法，包括：通过恶意行为检测插件获取待测加壳应用的基本参数；根据待测加壳应用的基本参数，利用应用程序编程接口API检测插件动态检测待测加壳应用的API是否被恶意调用；若待测加壳应用的API被恶意调用，则调用应用插件支撑系统获取恶意行为的参数及调用信息；将恶意行为的参数及调用信息发送至应用检测平台，以便应用检测平台输出检测报告。

进一步地，将恶意行为的参数及调用信息发送至应用检测平台，以便应用检测平台输出检测报告包括：应用检测平台根据调用信息调用恶意行为仓库，基于恶意行为的参数通过恶意行为仓库对恶意行为进行序列识别和匹配，根据识别和匹配结果输出检测报告。

进一步地，该方法还包括：若待测加壳应用的API未被恶意调用，API检测插件则向应检测平台发送无恶意行为触发消息，以便应用检测平台输出正常通过指令。

进一步地，该方法还包括：通过插桩模块设定应用插件支撑系统的基本参数和加壳应用的基本参数，实现加壳应用的注册。

进一步地，该方法还包括：通过靶向应用仓库获取待测安装包APK文件；恶意行为检测插件基于加壳应用的注册信息对APK文件进行动态修改和配置。

根据本发明的另一方面，还提出一种加壳应用的恶意行为检测系统，包括：恶意行为检测插件，用于获取待测加壳应用的基本参数；API检测插件，用于根据待测加壳应用的基本参数，动态检测待测加壳应用的应用程序编程接口API是否被恶意调用；应用插件支撑系统，用于若待测加壳应用的API被恶意调用，则获取恶意行为的参数及调用信息，并将恶意行为的参数及调用信息发送至应用检测平台；应用检测平台，用于接收应用插件支撑系统发送的恶意行为的参数及调用信息，并输出检测报告。

进一步地，该系统还包括恶意行为仓库；恶意行为仓库用于存储加壳应用的恶意行为序列；应用检测平台用于根据调用信息调用恶意行为仓库，基于恶意行为的参数通过恶意行为仓库对恶意行为进行序列识别和匹配，根据识别和匹配结果输出检测报告。

进一步地，API检测插件用于若待测加壳应用的API未被恶意调用，则向应用检测平台发送无恶意行为触发消息，以便应用检测平台输出正常通过指令。

进一步地，该系统还包括插桩模块；插桩模块用于设定应用插件支撑系统的基本参数和加壳应用的基本参数，实现加壳应用的注册。

进一步地，该系统还包括靶向应用仓库；靶向应用仓库用于获取待测安装包APK文件；恶意行为检测插件用于基于加壳应用的注册信息对APK文件进行动态修改和配置。

与现有技术相比，本发明结合动态插桩技术获取待测加壳应用的基本参数，利用API检测插件动态检测待测加壳应用的API调用信息，若恶意行为被触发，则获取相应的恶意行为的参数及调用信息，反馈到应用检测平台汇总输出检测报告，由于不需要源码分析，本发明适用于加壳应用的检测，大大提高了加壳应用的检测效率和覆盖率。

通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得清楚。

附图说明

构成说明书的一部分的附图描述了本发明的实施例，并且连同说明书一起用于解释本发明的原理。

参照附图，根据下面的详细描述，可以更加清楚地理解本发明，其中：

图1为本发明加壳应用的恶意行为检测方法的一个实施例的流程示意图。

图2为本发明加壳应用的恶意行为检测方法的另一个实施例的流程示意图。

图3为本发明加壳应用的恶意行为检测方法的一个具体实施例的流程示意图。