[发明专利]基于行为特征抽取的安卓软件动态分析检测法

说明书

本发明涉及一种基于行为特征抽取的安卓软件动态分析检测法，在动态运行待测安卓app软件时，记录各执行模块之间的行为，然后根据特征抽取法对行为日志进行分析，得到行为特征，根据行为特征分析结果，导出测试用例到安卓执行模拟器，并通过模拟器执行后记录下执行结果，通过对应的行为特征和对应的执行结果，判断软件是否出现漏洞和恶意行为。从而解决了现有的分析方法中，静态分析误报率高，而动态分析对系统压力大、人员要求高，动静结合分析法的分步分析、测试时间长、步骤不可颠倒等缺点。

技术领域

本发明涉及一种安卓软件的动态分析检测法，具体的说是一种基于行为特征抽取的安卓软件动态分析检测法，属于移动通信安全技术领域。

背景技术

随着社会的迅猛发展，越来越多的人们正依赖于从互联网上查询获取自己需要的信息，同时人们也不再完全依靠个人计算机来进行一些互联网操作，以智能手机、平板电脑为代表的移动互联网设备正成为人们随时随地进行网络互联并获取信息的便捷通道。

网络的开放性和安卓系统的开源性，使得互联网上的安卓软件成为了恶意攻击的首选目标，而通过移动终端连网的用户数与日俱增，安卓机上储存的个人信息越来越多，使得终端上软件的安全性问题进一步被扩大。伴随着不良信息的同时，移动互联网用户还面临着信息骚扰、病毒破坏、恶意程序欺诈等诸多安全隐患，如今，手机病毒种类繁多，已经由简单的系统毁坏、恶意收费扩展到信息盗取、金融盗号等诸方面。

对Android应用程序漏洞和恶意行为挖掘技术的研究以及实施，一方面可以有效的解决移动设备用户所面临的安全问题并为其提供安全的应用环境；另一方面可以在一定程度上进一步推动智能移动终端信息安全技术的发展和应用研究，具有明显的应用价值和学术价值。

现在国内外对安卓软件的检测方法，总体上分为三类，分别为静态分析法、动态分析法和动静结合分析法。静态分析法的中心思想，在于扫描安卓app软件的代码，分析语句之间的关系和函数之间的调用关系，根据分析结果判断软件是否有病毒或者漏洞的嫌疑。动态分析方法与静态不同的点在于，使用模拟器对安卓app软件模拟运行，并且使用一定的参数对app进行测试，记录各组件的运行输出结果，从而进行判断软件的行为。但这二者都各具缺点。

而采用了动静结合方法的综合测试法，先使用静态分析对安卓app进行语句分析，再使用动态法对安卓app进行模拟运行，综合两者的分析结果从而判断软件的行为。现有的动静结合的安卓app软件分析方法，需要首先对app进行代码级的静态扫描，得出分析结果后，然后再进行动态的分析，综合两者的到最终的分析结果。除了静态和动态分析法各有的缺点外，综合分析法还有一些缺点，包括了动态和静态分析的步骤不可颠倒，还需要对分析的结果进行整合分析，对测试人员的要求较高等。

发明内容

本发明的目的在于：针对现有技术存在的缺陷，提出一种基于行为特征抽取的安卓软件动态分析检测法，在动态分析检测app的时候，进行软件特征行为的抽取，根据抽取结果和行为特征库进行对比，最终判断安卓app软件的漏洞和恶意性，提高了测试的正确率及分析效率。

为了达到以上目的，本发明提供了基于行为特征抽取的安卓软件动态分析检测法，包括以下步骤：

步骤1.使用安卓执行模拟器对待测安卓app进行动态运行；

步骤2.抽取待测安卓app在执行过程中的行为组合及权限申请日志数据；

步骤3.使用权限和行为分析组件对前述步骤中输出的数据进行分析比对；若在现有特征库内找到相对应的特征号，则在下述步骤中使用已有的特征号及测试用例；若未找到相对应的特征号，则生成新的特征号及测试用例，并保存特征结果至特征库内；

步骤4.将测试用例发送至执行模拟器，当执行模拟器接收到测试用例后对待测安卓app采取动态测试，观察并记录待测安卓app的执行返回结果；