[发明专利]一种基于信息流的Android隐私泄露行为检测方法和技术

说明书

本发明公开了一种基于信息流的Android隐私泄露行为检测方法及系统，方法为：1）从资源文件和Dex文件提取组件，权限，意图过滤器信息，生成过程内，过程间控制流图；2）分析应用程序的回调序列，构建CCFG（回调函数控制流图），并利用静态污点跟踪分析ICFG和CCFG检查潜在隐私泄露路径；3）通过在定制的沙箱中HOOK关键API，提取跨组件通信的上下文和属性值，优化静态分析构建的隐私信息流；4）运行程序进行动态污点跟踪分析，获取隐私信息流向的路径，同时提取所述路径上下文；5）根据监控日志和污点跟踪分析产生的隐私泄露路径，结合上下文信息去除冗余或添加新的隐私泄露路径；6）使用一般信息熵方法和可视化聚类方法对隐私信息泄露进行量化分析。

技术领域

本发明涉及一种基于信息流分析的Android隐私信息泄露行为检测方法和技术，属于移动安全隐私泄露行为检测技术及系统。

背景技术

由于无线网络和移动应用程序的兴起，移动设备的更新换代速度加快, 拥有特定功能的应用程序数量急剧增加。在移动生态系统中，几乎用户需要的所有东西都有对应的应用程序，由于市场门槛较低，吸引大量的开发人员甚至是别有动机的黑客。Android系统通过Binder完成进程间的数据共享，同时使用权限弹出框将应用程序申请的权限显示给用户，由于Android系统的开源特性和越来越多的第三方应用市场出现，Android系统上的恶意软件数量呈现爆炸式增长。

随着Android操作系统的发布，数百万的应用程序在应用市场发布，智能手机成为个人敏感信息无处不在的来源，应用程序在用户隐私方面的操作成为研究的热点。存储在移动设备中的个人信息可能被无意或有意泄露给第三方。如今的移动设备比功能强大的计算机相比拥有更多地计算能力，它允许用户进行网页浏览、发送和接收电子邮件、浏览社交网络、玩大型游戏、制作视频和音频通话、拍摄高质量的图片或视频等许多活动，为满足这种日益普及的需求，Google官方市场、豌豆荚、91助手等Android应用厂商已经在应用商店中投入数百万的应用程序。

截至目前，Android系统已经占据移动设备终端第一的市场份额。根据Android软件年度专题报告中国互联网安全报告2017年，360截获截获Android平台新增恶意软件样本757.3万个，相比于2016下降46.0%，显示了移动恶意软件总体进入平稳高发期。

大量的应用程序产生和存储用户的隐私信息，但是攻击者同样对这些隐私信息感兴趣，从而会危害用户的隐私。近年来，Android恶意软件利用Android系统的漏洞或运行在手机上的应用程序实施恶意攻击，由于Android中基于权限的敏感数据访问控制还不足以保护隐私信息的滥用。因此，正确识别哪个应用程序构成威胁是一个主要问题。

现有解决方案包括静态分析和动态执行监控，静态分析扫描字节码或源代码来检查敏感的隐私泄露路径。但是，静态分析不执行应用程序监控动态运行特征。而且，恶意软件往往被严重混淆以阻止静态分析。在这方面，动态分析在检测恶意行为时效果更好，因为动态分析监控程序的运行时行为。但是现有的动态分析技术需要构建良好的模拟事件，容易出现程序中断，最新的恶意软件已经能够很好的检测出运行时环境为虚拟机，这些都给动态分析带来限制。

所以，更全面的检测出Android系统下的隐私信息泄露，对于用户的隐私信息保护和财产安全以及加强移动互联网的健康生态环境具有重要的意义。

发明内容

本发明的目的在于改善现有检测方法的误报率高等弱点，提供一种基于信息流分析的Android隐私信息泄露行为检测方法和检测系统，采用了一种动静结合的分析检测方法，充分结合静态分析和动态分析的优势，可以实现较高的代码覆盖率，同时可以处理代码中的动态特征，并且该检测方案针对性很强，所以其检测的准确率也较基于传统隐私信息泄露行为检测技术的安全软件高，为了评估应用程序隐私信息泄露的严重程度和未来趋势，采用基于主观价值和组合信息的信息熵模型以及可视化聚类分析。