[发明专利]Android App漏洞的零误报检测方法

说明书

一种AndroidApp漏洞的零误报检测方法，其包括如下步骤：步骤1)分析AndroidApp漏洞的经验知识(如漏洞攻击路径，CVE报告等)，总结检测和触发漏洞的综合描述；步骤2)App特征提取，静态搜索漏洞属性以及构造测试用例和触发器需要用到的字段值；步骤3)采用符号执行探索路径约束，过滤步骤2)中无效的字段值；步骤4)动态生成测试用例和触发器，并触发目标App；步骤5)对目标App的入口函数和目标函数进行动态二进制插桩；步骤6)如果目标函数的行为与漏洞行为匹配，则判定漏洞存在。本发明通过分析漏洞的经验知识总结出检测和触发漏洞的信息，同时结合静态分析、符号执行和动态二进制插桩技术对漏洞进行检测和验证，实现了零误报的检测效果。

技术领域

本发明涉及一种Android App漏洞的零误报检测方法，主要应用于Android App的漏洞检测系统开发中。

背景技术

静态分析技术：简称静态分析或静态检测，是一种白盒测试技术。这种检测技术，不需要在系统运行时进行，而只是通过对应用程序的源代码进行词法分析、语法分析、数据流分析等操作，根据各项分析结果来检测目标应用的源代码是否规范、应用程序是否存在安全威胁以及应用程序的可靠性和可维护性是否达到一定的标准等等。较为常用的静态代码分析技术包括：词法分析和语法分析、控制流分析和数据流分析等等。静态代码分析技术的一大优点是，它不需要运行应用程序，只要有程序源代码即可对该应用程序进行检测。然而，在不运行程序的情况下，依靠单纯的代码分析，会产生较高的误报率，无法证明漏洞真实存在，最终影响漏洞检测的准确性。

动态分析技术：在不改变源代码或者在源代码不可见的情况下对已经在运行的目标应用程序进行自动化检测的一种漏洞检测技术。这种分析技术主要是通过改变应用程序的运行环境来完成的。动态分析技术主要是通过构造非法输入数据或者构造具有攻击目的的用户输入数据，对目标应用系统进行调试运行，然后根据目标系统的运行结果来判断被检测系统是否存在安全漏洞威胁。动态分析技术的优点是准确性较高，缺点是运行效率较低。这种技术之所以效率低下，是因为动态分析只能分别对应用程序的各个功能模块进行单独的扫描检测，而不能将其作为整个系统来进行统一扫描。

符号执行技术：符号执行是一种对程序变量进行精确计算的技术。符号执行采用抽象符号代替程序变量，并模拟程序执行。最终所有程序变量都是由符号组成的表达式构成，再通过约束求解引擎对其进行求解，获得深度语义信息。符号执行能够在复杂的数据依赖关系中发现变量之间本质的约束关系，比污点传播分析精度高，这种精确的数据流分析能帮助理解程序的内在逻辑；在模拟程序运行的过程中，符号执行还会精确记录执行路径上所有的约束条件，可以提高控制流分析中路径可达性问题判定的精确性。符号执行的劣势在于：执行路径空间爆炸问题难以解决；需要功能强大的符号计算系统支撑，对硬件计算能力要求较高；符号执行很难处理循环或者递归，因为很多时候对结束条件的取值的判定并不总能得到精确解；符号执行对基础数据类型较为有效，对于复杂结构的数据类型(比如数组等)处理难度较高。

动态二进制插桩技术：动态二进制插桩是在运行的程序中的特定位置附加指令的技术，它并不修改二进制文件本身，而是在运行时修改映射到进程地址空间的内存映像。它的优势在于，不需要目标程序做任何准备工作(如重新编译或重新链接等)；静态插桩难以区分二进制码中的代码和数据，动态插桩可以很容易做到。动态插桩的不足是：插桩的开销发生在程序运行时，使程序的执行变得很慢；而且动态插桩更难实现———重写运行时的可执行代码并不容易，在附加指令的同时要避免对程序本身执行的干扰。

现有的大部分Android App漏洞检测工具使用静态分析和动态分析技术，静态分析工具无法在运行状态下验证漏洞，存在很高的误报率；动态分析工具能够验证漏洞，但生成的测试用例盲目性较大，运行效率低。

发明内容

鉴于上述原因，本发明的主要目的是提供一种Android App漏洞的零误报检测方法。该方法针对特定漏洞类型生成有效的测试用例和触发器，通过动态触发目标App来验证漏洞是否存在，从而实现零误报且高效的漏洞检测效果。