[发明专利]对手机应用进行风险评估的方法

说明书

本发明一种对手机应用进行风险评估方法，将手机应用安装到安卓沙盒中，自动启动并操纵该手机应用，模拟用户对手机应用的各种实际操作，通过对手机应用运行情况的监视，获得手机应用程序各种API的调用信息以及各种动态行为，从中提取动态行为特征向量，同时对手机应用APK的静态代码提取静态特征向量，构建由动态行为/静态特征向量所组成的特征向量库，然后将基于该动态行为/静态特征向量进行机器学习而分别得到预测模型关联叠加，能准确率高且快速地检测和识别出手机应用程序的恶意行为。

技术领域

本发明涉及一种对手机应用进行风险评估的方法。

背景技术

当前，在使用Android系统的移动设备中，恶意软件泛滥严重。这些应用程序包含各种恶意行为，引发用户的隐私泄漏、经济损失等安全问题。

有在先技术对Android恶意软件进行静态和动态结合的检测，通过把应用程序安装到Android沙盒中，自动启动并操纵Android应用程序，模拟用户对应用程序的各种实际操作，通过对应用程序运行情况的监视，可以获得应用程序的API调用信息以及各种动态行为，以此达到检测应用程序恶意行为的目的。

新漏洞不断出现被发现，黑客和恶意软件会判断沙箱，在虚拟环境里不触发；黑客和恶意软件已经把恶意行为多线程化，一个攻击需要多个进程来完成，传统方法没法关联出恶意行为，黑客和恶意软件有各种方法延长恶意行为多触发，传统沙箱在几分钟的自动化检测中没法触发恶意行为。传统的恶意软件检测和评估方法，无法解决上述存在的问题。

发明内容

本发明的目的在于提供一种对手机应用进行风险评估的方法，可以在很短时间能检测出需要长时间运行才能显现的病毒行为，能防止病毒识别出沙盒环境，从而不被触发的情形，将基于动态/静态特征向量进行机器学习而得到预测模型关联叠加，大大提高了识别病毒行为的准确率和速度。

本发明一种对手机应用进行风险评估方法，通过包括安卓沙盒、虚拟机控制器、虚拟机解析器、静态代码查看器helper和动态行为/静态特征向量库的手机应用风险评估系统对手机应用进行风险评估，包括如下步骤：

步骤1、修改安卓沙盒内安卓操作系统的子模块，该修改包括如下内容：

（1）在时钟模块中增加时钟加速模块time machine，用于加速手机应用的运行时间，使得需要长时间运行才能显现的病毒行为，可以在缩短后的时间内被检测到；

（2）增加UI自动测试模块UI automation，用于模拟用户触动UI界面的每个功能模块，模拟手机应用的用户使用状态和场景，以触发病毒的运行从而被截获；

（3）增加钩子操作器hook manipulator，用于启动钩子函数，用于截获处理window消息或特定事件；

（4）增加人机交互界面模块Genymotion，可通过该模块对安卓沙盒进行参数配置；

（5）增加枚举器Enumerator+，用于依次启动手机应用APK中的每个Activity组件，模拟手机应用每个功能的运行状态，以触发病毒的运行从而被截获；

（6）增加防止病毒的反沙盒模块Anti-defeat，用于防止病毒识别出沙盒环境，从而不被触发；

步骤2、通过安卓沙盒的网页浏览器接口装载待测试的至少一个手机应用程序，通过调度管理器与虚拟机控制器进行交互，对通过虚拟机控制器所传入的手机应用的config文件，提取该config文件里配置的参数，来得到测试总时间、时钟加速器的加速方法、跨进程的希望关联的相关信息，依据该信息对安卓沙盒操作系统进行系统配置；

步骤3、虚拟机控制器通过日志读取器Log Fetcher读取安卓沙盒的日志库中的手机应用的运行数据，并把该读取的运行数据发送给虚拟机解析器；