[发明专利]一种安卓应用流氓行为的识别方法及系统

说明书

本发明公开了一种安卓应用流氓行为的识别方法及系统，动态运行和遍历待识别的安卓应用，获取安卓应用运行时的界面状态转换图后，通过对安卓应用中流氓广告的特点进行分析，通过对携带有广告的界面上各广告中的文字进行识别，判断界面上的广告是否为包含诱导点击内容的广告；与此同时，基于界面状态转换图，结合启发式规则，实现了包含覆盖可点击组件的广告的识别以及应用退出时的广告的识别，从而能够精确的识别安卓应用中的流氓广告；另外，本发明训练基于随机森林的界面分类器区分安卓应用界面中的弹框界面和非弹框界面，根据识别到的弹框界面，基于启发式规则，能够精确的识别安卓应用中的流氓弹框。

技术领域

本发明属于安卓应用安全技术领域，更具体地，涉及一种安卓应用流氓行为的识别方法及系统。

背景技术

安卓系统是一个开源的用于移动设备的操作系统，安卓应用是运行在安卓操作系统上的应用，用户可以选择在第三方市场下载和安装安卓应用，安卓应用第三方市场需要提高自己的应用质量来提升用户满意度，然而，当前安卓应用市场中的应用依然广泛存在流氓行为。根据通信行业标准YD/T2439-2012《移动互联网恶意程序描述格式》，对于执行后对系统没有直接损害，也不对用户个人信息、资费造成侵害的其它恶意行为统称为流氓行为。流氓广告和流氓弹框是两种常见的流氓行为；其中，流氓广告有三种，包括诱导点击广告，覆盖可点击组件广告和应用退出时广告；而流氓弹框是指强制用户升级且点击安卓设备上回退按键无法退出的弹框。这些安卓应用中的流氓行为在影响用户使用体验的同时，也存在着潜在的安全隐患，故研究一种面向安卓应用流氓行为的识别方法及系统存在重要的意义。

现有的安卓应用行为识别的方法主要有静态分析方法和动态分析方法。其中，静态方法分析速度快，但是目前应用越来越多采用反射机制和混淆技术等，导致静态分析无法进行。动态分析是采用动态运行应用，收集运行过程中的一些信息用于识别特定行为。目前的动态安卓应用行为识别方法主要在应用运行的过程中采集应用运行过程中的CPU和内存使用情况、网络流量、函数调用、意图以及数据流信息等，然后根据行为特征匹配的方式或提取特征采用机器学习等方法进行特定行为的识别。这些行为识别方法能够有效地识别具有泄露信息、窃取用户资费等行为的恶意应用。因为这些行为具有较为明显的资源消耗异常、函数调用模式以及明确的数据流特征。然而，流氓行为执行后对系统没有直接损害，也不对用户个人信息、资费造成侵害，危险后果主要表现为间接地对用户手机造成影响，使用户不能方便地使用手机。因而，大多数流氓行为并不具备一些特定的函数调用模式和数据流方面的特征，更适合从界面视图的角度进行分析和识别，上述方法均不适用。

另外，针对安卓应用流氓行为中的流氓广告的识别，识别并获取安卓应用中展示给用户的广告是十分关键的一个步骤。目前针对安卓应用中广告的获取，主要采用流量分析技术，从流量中识别接收到的广告，然而这种方法收集的广告不能保证是展示给用户的广告，因为应用接收到的广告不一定会呈现给用户。另一种安卓应用中的广告获取方法不直接收集广告，而是根据界面发出的请求中是否含有获取和接收广告的相关函数名，并结合界面组件特征识别广告界面，然而这种方法仅仅能够识别包含广告的界面，不能将界面中的非全屏广告提取出来，即只能够检测到应用界面中包含广告，但是不能检测到广告所在的位置，也不能把广告从应用界面上截取出来进行分析，因而不适用于针对诱导用户点击广告的识别。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种安卓应用流氓行为的识别方法及系统，其目的在于解决由于安卓应用流氓行为不具备一些特定的函数调用模式和数据流方面的特征，而导致的现有技术不能精确识别影响用户体验的流氓行为的技术问题。

为实现上述目的，第一方面，本发明提供了一种安卓应用流氓广告的识别方法，包括以下步骤：

S11、动态运行和遍历待识别的安卓应用，获取安卓应用运行时的界面状态转换图；其中，界面状态转换图包括：安卓应用运行过程中的界面、触发界面状态转换的操作事件和界面组件树信息；

S12、从界面状态转换图中选取一个未识别的界面作为当前界面；