[发明专利]移动互联网操作系统第三方应用风险分析方法及系统

说明书

本发明属于移动互联网安全技术领域，特别涉及一种移动互联网操作系统第三方应用风险分析方法及系统，用于对恶意应用进行静态和动态评估检测，包含：针对危险权限风险源和敏感API函数风险源，利用危险权限和敏感API函数对第三方应用发生隐私泄露风险进行定量评估；依据定量评估结果，利用表征函数之间调用关系及多跳函数结点拓扑信息的函数调用图结构特征来识别并区分第三方应用类别；通过提取第三方应用系统调用之间的状态转移关系，基于系统调用序列指纹特征并利用卷积神经网络识别并区分第三方应用类别。本发明通过动静分析检测的结合、互补，补充Android操作系统安全机制，提升Android恶意应用检测准确率，为创造良好的Android软件生态环境提供技术支持。

技术领域

本发明属于移动互联网安全技术领域，特别涉及一种移动互联网操作系统第三方应用风险分析方法及系统。

背景技术

随着5G通信技术的成熟与普及，人类社会将进入一个万物互联的新时代，其中移动智能终端扮演了极其重要的角色。移动互联网能够如此迅速的发展，离不开移动操作系统的支持，而在众多的移动操作系统中Android已成为其中的佼佼者。但是，Android系统中丰富的第三方应用在方便人们生活的同时，使用户面临着日益严峻的信息安全问题。卡巴斯基实验室和INTERPOL联合发布的评估报告表明，超过98％的手机恶意软件的攻击目标是Android设备；而中国消费者协会的《APP个人信息泄露情况调查报告》指出，个人信息泄露总体情况较为严重，近九成的受访者表示遭遇过因APP使用造成个人信息泄露的情况。另据360网络安全响应中心发布的《2019年Android恶意软件专题报告》，2019年日均拦截手机恶意程序攻击超过107万次，主要攻击形式包括隐私窃取、资费消耗、流氓行为和远程控制等。因此，需要采取必要的防护措施来抵御恶意软件的侵害，对用户的个人隐私和财产安全进行有效的保护。

尽管Android系统自身提供了数字签名和权限控制等安全机制，但仅依靠系统提供的防护措施不足以全方位地保障系统安全，于是Android应用风险评估技术与Android恶意应用检测技术应运而生，它们是对Android系统现有安全机制的良好补充。Android应用风险评估旨在发现应用的隐私泄露风险，为应用进行安全等级评分，使普通用户能够知晓风险而做到防患于未然，使开发者能够根据风险提示改善和提高程序的健壮性。Android恶意应用检测技术能够提取恶意应用的模式特征，对良性应用与恶意应用作出区分并对恶意应用可以进一步进行家族分类，对于创建应用样本集以供后续研究具有重要意义。近年来，随着人工智能技术的不断发展，机器学习和深度学习在移动应用安全分析领域得到广泛使用，十分具有应用前景。根据机器学习特征的获取方式，静态分析和动态分析是其中最主要的分析和提取应用特征的手段，其中静态分析在不运行应用的情况下，对应用的组件或代码特征进行提取；动态分析则在虚拟机或真机环境下实地运行应用，对应用的行为特征进行提取。通过对静态分析或动态分析得到的各类特征进行学习和训练，利用机器学习算法对数据规律的精准把握，能够在极大减少人力投入的同时而获得更高的检测精度，构建出更加客观和灵敏的Android应用安全检测模型，对于创造一个健康可持续的Android生态环境具有重要意义。

现有Android应用风险评估中，基于概率分析的方法被指出不够可靠，而基于机器学习的方法通常使用单一机器学习方法对应用进行定性评估，评估结果完全取决于该分类器训练的好坏，评估性能有待提升。在基于静态分析的Android恶意应用检测中，使用简单权限组合和API组合的方法虽然在区分Android良性应用与恶意应用方面取得了较高的检测精度，但仅使用这些浅层信息刻画应用程序的行为还不够精确和完整，因为良性应用和恶意应用在一定程度上使用的权限或API会有重叠，导致无法很好地区分它们。在基于动态分析的Android恶意应用检测中，应用运行时的系统调用序列是常用的特征之一，但已有研究针对系统调用序列处理时更多的关注于系统调用的组合和出现频率，而没有考虑相邻系统调用之间的逻辑语义关系，此外由于动态分析得到的系统调用序列是长度不一的文本序列，以往使用自然语言处理的方法对系统调用序列进行化简时计算复杂度较高。

发明内容