[发明专利]多层级Android系统恶意行为监控方法

说明书

技术领域

本发明涉及一种在Android系统中对恶意行为进行监控的方法，属于计算机与信息科学技术领域。

背景技术

随着智能手机的快速普及，移动互联网逐渐成为人们的主流上网媒介，正是因为其使用人数众多，传输于移动互联网上的信息量大且重要，因此移动互联网的安全已成为目前的主流安全威胁之一。在目前的移动智能平台中，苹果公司的iOS系统和谷歌公司的Android系统是最主流的智能手机操作系统，其中当属Android系统占有率最高，因此成为众多恶意代码攻击的目标。恶意代码产生的危害巨大，不仅对用户造成巨大的经济损失，而且可能会使用户的隐私、密码等关键信息遭到泄露。

自从谷歌公司2010年发布Android系统以来，其市场占有率迅速上升，现已超过八成份额。由于系统的开放性和应用的不规范性，导致大量恶意代码有机可趁，而且这些恶意代码的开发成本和难度往往都比较低。在Android系统自身方面，存在着一些内核漏洞、系统库和应用框架层缺陷，而且由于系统本身的碎片化问题和厂商处理问题的滞后性，导致这些潜在的安全问题会长期存在。其中，资费消耗、恶意扣费和隐私窃取等安全问题呈上升趋势。

在对移动互联网设备的安全保护过程中，对Android系统恶意行为的监控是保护设备用户的重要手段。移动终端的安全审计是对用户尝试的错误操作次数和与设备相关的安全事件进行分析的过程。当恶意代码向Android系统设备发起安全攻击时，系统安全审计将会阻止恶意代码的运行，同时将相关安全行为记录日志并通知用户告警。这样就能在很大程度上阻挡恶意代码，避免用户造成巨大的财产损失。

目前对Android系统中恶意行为监控的研究主要有五类方法，分别是系统定制法、字节码重构和重打包法、进程注入法、Linux内核法和虚拟化法。这些方法都能检测出恶意代码对于Android系统中某一层的攻击，有些能监控应用程序内部和跨应用的恶意行为，或者通过分析记录日志来监控恶意行为。

但目前常见的Android系统恶意行为监控方法都或多或少有一些不全面性或难以操作性。对于基于系统定制的行为监控方法，由于需要对Android系统进行一些改动，因此很难将其直接部署到已深度定制的Android系统中。对于字节码重构和重打包法，由于需要修改被监控软件，因为会对其运行造成不稳定，同时也无法对系统预装软件和系统Native层代码进行监控，等等。而且均存在反制技术对抗以上行为监控功能。

发明内容

本发明的目的是：针对目前Android系统恶意行为监控方法中的需要修改系统源码、需要修改被监控软件、监控全面性差、无法分析恶意代码的隐藏行为等问题，提出一种基于多层次交叉视图分析的Android系统恶意行为监控方法，该方法能够在不修改系统源码和被监控软件的基础上对恶意行为实施监控。

本发明的设计原理为：在Android系统的Java层、Native层、Kernel层分别对系统函数调用实施监控。其中，在Java层和Native层都采用进程注入技术，分别通过拦截Dalvik虚拟机和拦截Binder通信数据包方法监控恶意行为；在Kernel层采用可加载内核模块技术分析系统调用的参数，进而监控恶意行为。在对这三层进行恶意行为监控过程中，不仅阻止恶意行为的发生，记录安全日志并向用户告警，同时输出监控到的恶意行为监控列表1、2、3，而且还可通过相邻视图间的两两对比分析出存在的隐藏行为，输出隐藏行为列表。

本发明的技术方案是通过如下步骤实现的：

步骤1，采用进程注入技术监控处于Java层的恶意行为，输出恶意行为列表1，具体实现方法为：

步骤1.1，将自定义的动态库注入到系统进程中，执行动态库中的自定义函数。

步骤1.2，该自定义函数获取所要拦截的函数的对象。

步骤1.3，设置该函数对象的标志位。

步骤1.4，修改该函数对象的成员变量值。

步骤1.5，最后构建行为列表1。

步骤2，采用进程注入技术监控Native层的恶意行为，输出恶意行为列表2，具体实现方法为：

步骤2.1，将自定义动态库注入到系统进程中，执行动态库中的自定义函数。

步骤2.2，执行的自定义函数将进程中替换函数地址以及动态库中待替换的新函数地址信息传给注入程序。

步骤2.3，注入程序再次附加进程，定位，将待替换的新函数地址替换掉原始函数地址，最后解除附加目标进程让其重新运行。