[发明专利]安卓系统中应用程序恶意行为检测方法和设备

说明书

本发明提供一种安卓系统中应用程序恶意行为检测方法和设备用于解决通过叠加窗口的盗取用户信息的恶意程序的检测问题。其中若检测到输入指令，则检测是否存在窗口覆盖，若存在，则根据预设的检测内容，检测顶层显示的窗口W及所述顶层显示的窗口W所对应的应用程序X；根据检测结果判断窗口覆盖是否是恶意的。根据窗口W和应用程序X的属性和行为判断窗口W的出现是否是恶意的，从而解决通过叠加窗口的盗取用户信息的恶意程序的检测问题。

技术领域

本发明涉及计算机技术，具体涉及一种安卓系统中应用程序恶意行为检测方法和设备。

背景技术

Android的system Overlay可以在应用当前view的前面叠加一个view，view可以分为可见和不可见两种，如果在叠加View的时候如果人为将叠加的View不设置任何内容，并将背景透明，这些View就能成为一个不可见的对象，这样的不可见View可以通过添加另外一些属性而具备一定的功能，比如说可以为它添加一个永远前置的type属性而让其处于当前Android系统的所有应用窗口之前；同样也可以为其添加一个捕获其界面以外事件的flag属性而让其可以捕获用户在屏幕上的点击事件等等。

于是在目前流行的Android系统中，存在着这样一种关于Overlay的安全隐患，显示界面的Overlay与接收事件的Overlay相互配合可以影响用户对当前正在前台交互应用程序的判断，从而造成用户的一些误操作，而恶意程序可以利用用户的误操作打开一些敏感权限和功能从而窃取用户隐私，甚至是达到骗取用户钱财的目的。

因此需要提供一种检测方法，解决通过恶意窗口盗取用户信息的恶意程序检测问题。

发明内容

鉴于上述问题，本发明提出了克服上述问题或者至少部分地解决上述问题的一种安卓系统中应用程序恶意行为检测方法和设备。

为此目的，第一方面，本发明提出一种安卓系统中应用程序恶意行为检测方法，包括：

若检测到输入指令，则检测是否存在窗口覆盖，若存在，则根据预设的检测内容，检测顶层显示的窗口W及所述顶层显示的窗口W所对应的应用程序X；根据检测结果判断窗口覆盖是否是恶意的。

可选的，所述预设的检测内容至少包括下述的一个或多个内容：

a、系统是否已经root；

b、应用程序X是否在root的手机上获得了root权限；

c、应用程序X是否调用截屏接口；

d、应用程序X是否调用无障碍功能服务；

e、应用程序X是否查看应用程序活动历史记录；

f、顶层显示的窗口W覆盖显示屏幕的情况。

可选的，在若检测到输入指令，则检测是否存在窗口覆盖之前，包括步骤：

判断是否开启安卓系统中应用程序恶意行为检测方法，若开启则执行下一步。

可选的，在根据预设的检测内容，检测顶层显示的窗口W及所述顶层显示的窗口W所对应的应用程序X之前，包括：

根据预设的白名单，判断应用程序X是否属于白名单，若不属于白名单，则执行下一步。

可选的，所述根据预设的检测内容，检测顶层显示的窗口W及所述顶层显示的窗口W所对应的应用程序X，包括：

可选的，在根据检测结果判断窗口覆盖是否是恶意的之后，还包括：

对样本库中的样本运用随机森林或者GBDT进行目标为0或者1的分类建模，使用训练好的模型判断当前需要预测的顶层显示窗口是否恶意的；