[发明专利]一种基于信息流的Android隐私泄露行为检测方法和技术

权利要求书

1.一种基于信息流分析的Android隐私信息泄露行为检测技术，其步骤为：

A、从资源文件和Dex文件提取组件、权限、意图过滤器信息，生成过程内、过程间控制流图；

B、分析应用程序的回调序列，构建CCFG（回调函数控制流图），并利用静态污点跟踪分析ICFG（组件控制流图）和CCFG，检查潜在隐私泄露路径；

C、通过在定制的沙箱中HOOK关键API，提取跨组件通信的上下文和属性值，优化静态分析构建的隐私信息流；

D、运行程序进行动态污点跟踪分析，获取程序内和程序间隐私信息流向的路径，同时提取所述路径上的上下文；

E、根据监控日志和污点跟踪分析产生的隐私泄露路径，结合上下文信息去除冗余或添加新的隐私泄露路径；

F、使用一般信息熵方法和可视化聚类方法对隐私信息泄露进行量化分析，评定隐私泄露程度和趋势。

2.根据权利要求1所述的一种基于信息流分析的Android隐私信息泄露行为检测技术，其特征在于，所述步骤A中，通过反汇编APK文件，提取组件通信属性值、所需权限、过滤器规则、触发条件；分析其中的信息流流向，在组件内控制流图上匹配被调用组件，添加组件调用边缘，然后将控制流图所需的权限和生成的组件通信链路写入到基本行为模型日志中。

3.根据权利要求2所述的一种基于信息流分析的Android隐私信息泄露行为检测技术，其特征在于，生成所述基本行为模型日志的方法为：利用Apktool和dex2jar的分析结果，获取组件匹配规则和组件调用的参数；利用优化的FlowDroid的分析结果，获取应用的可执行路径；利用API调用和相应权限的关系，获取可执行路径的所需权限；利用组件通信API对应的方法参数和过滤规则，获取跨组件，跨应用的通信链路；利用预定义的隐私调用API和网络出口，通过污点跟踪分析，获取潜在的隐私泄露路径和相关的上下文信息。

4.根据权利要求2或3所述的一种基于信息流分析的Android隐私信息泄露行为检测技术，其特征在于，所述步骤B中，Android系统中上千个回调函数频繁出现在应用程序代码中，每一次Callback函数调用决定了应用程序的状态转移和交互组件，Callback函数调用对应一个控制流的回调边缘，或对应一个可执行的trigger-avoid路径；隐私泄露相关的回调函数很多，其中生命周期相关的回调函数对应四大组件的生命周期管理，GUI事件相关的回调对应于用户操作，其中每一个回调函数对应一个事件驱动，每一个事件驱动对应一次隐私信息泄露攻击；所述步骤B中，各应用程序回调序列及其上下文信息生成过程如下：

B1、首先确定待分析窗口的生命周期，事件处理程序回调节点，分支/汇聚节点；

B2、若在一系列回调函数中，含有从回调函数的入口节点到出口节点的trigger-avoid路径，如果该呼叫节点是能够被触发的，相应的返回节点可达；

B3、若在窗口中分析路径查找时，存在一条以上的trigger-avoid路径，则将生成该窗口的一条入口节点到出口节点的信息流边缘，反之，应用程序发生状态转移创建窗口销毁的信息流边缘，将产生的可执行回调函数信息流边缘加入对应应用程序的信息流路径中；

B4、针对窗口中出现的视图可能对应的事件处理程序，若窗口是一个弹出菜单，用户响应将会销毁当前窗口，反之，用户响应不会发生上下文的改变；

B5、若当前窗口能够触发事件处理程序且拥有一条以上trigger-avoid路径，事件处理程序的执行不会销毁当前窗口，创建的回调函数边缘上下文信息不变，反之，对话启动调用触发新的窗口并产生销毁当前窗口的回调边缘；

B6、添加回调函数信息流路径边缘到对应应用程序的信息流图中，尝试用污点跟踪分析应用程序的控制流序列并产生上下文敏感的隐私信息泄露路径，针对恶意代码采取的动态加载，字符串混淆等动态特性造成的隐私信息泄露，利用动态分析应用程序的运行时特征。

5.根据权利要求3或4所述的一种基于信息流分析的Android隐私信息泄露行为检测技术，其特征在于，所述的步骤C通过插桩技术监控组件通信的关键API，提取组件通信，文件通信的方法调用参数和上下文，用于完善静态分析中隐私信息泄露检测中生成的应用程序基本行为模型。