[发明专利]基于动态激活及行为监测的Android恶意代码检测装置和方法

摘要

一种基于动态激活及行为监测的Android恶意代码检测装置和方法，该装置控制手机终端自动安装与启动准备检测的应用，自动激活应用的行为，同时在应用运行的整个过程中，实时监控手机终端包括文件访问、短信发送、网络连接及其流量、系统资源占用和硬件资源访问等多个信息，检测恶意代码进行的恶意行为，并生成检测报告提供给用户，完成对所检测的应用的行为的动态检测。该装置设有三个组成模块：应用行为动态激活模块、应用行为实时监控模块和检测结果分析处理模块。其创新特点是：利用软件交互技术完成对应用中所有控件和界面的操作，动态激活所有应用的行为，在完成自身功能基础上，对应用实现全功能覆盖的自动监控检测，且确保检测的全面性和完整性。

主权项

一种基于动态激活及行为监测的Android恶意代码检测装置，其特征在于：所述检测装置控制手机终端自动安装与启动准备检测的应用，自动激活应用的行为；同时在应用运行的整个过程中，实时监控该手机终端包括文件访问、短信发送、网络连接及其流量、系统资源占用和硬件资源访问的信息，检测恶意代码进行的恶意行为，并生成检测报告提供给用户，完成对所检测的应用的行为的动态检测；设有应用行为动态激活模块、应用行为实时监控模块和检测结果分析处理模块共三个组成模块：其中：应用行为动态激活模块，负责对待检测的Android应用自动完成应用的安装、启动和运行，乃至卸载；且在运行过程中，自动激活应用的操作行为，以便对其行为执行后台监控，再将应用的执行结果发送给检测结果分析处理模块；设有：安装启动单元、自动化运行单元和截图分析单元共三个组件；应用行为实时监控模块，负责根据对常见的入侵操作过程以及Android操作系统工作原理的分析，从各种系统调用中甄别可能产生恶意行为的系统调用函数并重写，且增加监控功能后，被推送到手机终端，使其在完成动态激活应用行为的同时，对手机终端进行实时监控；还在应用程序自动运行的整个过程中，分别监控该手机终端文件是否被访问、网络连接及其流量、短信发送、系统资源占用和硬件资源访问的多种信息，检测恶意代码是否产生恶意行为；再把应用行为的监控结果送到检测结果分析处理模块；设有下述六个组件：文件监控单元、联网监控单元、短信发送监控单元、系统资源占用监测单元、硬件资源访问监控单元和内核‑用户接口单元；检测结果分析处理模块，负责分别接收应用行为动态激活模块提交的截图和从截图中识别的文本，以及应用行为实时监控模块提交的各种监控记录文件，然后进行分析并生成检测报告；设有文本及记录分析单元和报告生成单元。