[发明专利]对手机应用进行风险评估的方法

摘要

本发明一种对手机应用进行风险评估方法，将手机应用安装到安卓沙盒中，自动启动并操纵该手机应用，模拟用户对手机应用的各种实际操作，通过对手机应用运行情况的监视，获得手机应用程序各种API的调用信息以及各种动态行为，从中提取动态行为特征向量，同时对手机应用APK的静态代码提取静态特征向量，构建由动态行为/静态特征向量所组成的特征向量库，然后将基于该动态行为/静态特征向量进行机器学习而分别得到预测模型关联叠加，能准确率高且快速地检测和识别出手机应用程序的恶意行为。

主权项

1.一种对手机应用进行风险评估方法，其特征在于：通过包括安卓沙盒、虚拟机控制器、虚拟机解析器、静态代码helper和动态行为/静态特征向量库的手机应用风险评估系统对手机应用进行风险评估，包括如下步骤：步骤1、修改安卓沙盒内安卓操作系统的子模块，该修改包括如下内容：（1）在时钟模块中增加时钟加速模块time machine，用于加速手机应用的运行时间，使得需要长时间运行才能显现的病毒行为，可以在缩短后的时间内被检测到；（2）增加UI自动测试模块UI automation，用于模拟用户触动UI界面的每个功能模块，模拟手机应用的用户使用状态和场景，以触发病毒的运行从而被截获；（3）增加钩子操作器hook manipulator，用于启动钩子函数，用于截获处理window消息或特定事件；（4）增加人机交互界面模块Genymotion，可通过该模块对安卓沙盒进行参数配置；（5）增加枚举器Enumerator+，用于依次启动手机应用APK中的每个Activity组件，模拟手机应用每个功能的运行状态，以触发病毒的运行从而被截获；（6）增加防止病毒的反沙盒模块Anti‑defeat，用于防止病毒识别出沙盒环境，从而不被触发；步骤2、通过安卓沙盒的网页浏览器接口装载待测试的至少一个手机应用程序，通过调度管理器与虚拟机控制器进行交互，对通过虚拟机控制器所传入的手机应用的config文件，提取该config文件里配置的参数，来得到测试总时间、时钟加速器的加速方法、跨进程的希望关联的相关信息，依据该信息对安卓沙盒操作系统进行系统配置；步骤3、虚拟机控制器通过日志读取器Log Fetcher读取安卓沙盒的日志库中的手机应用的运行数据，并把该读取的运行数据发送给虚拟机解析器；步骤4、虚拟机解析器将上述手机应用的运行数据封装成Json格式，作为手机应用的动态行为数据存入日志仓库Log repdsitory中，解析日志仓库中的动态行为数据，做成动态行为特征向量，并且对解析出来的特征做2‑gram的特征提取，将提取出来的这些特征汇同上述动态行为特征向量一起存到动态行为特征向量库中；步骤5、通过静态代码查看器helper针对手机应用的APK进行查看，提取AndroidManifest.xml文件、特征向量规范器feature normalizor、API接口信息、包括动态库So/静态库lib的函数库信息,从手机应用的APK里提取出字符串，构建用于判断是哪一种病毒或恶意行为的词典，所述特征向量规范器可以把向量字符串转化为哈希值；步骤6、静态代码查看器负责把 API调用函数、代码里的字符串、manifest配置方式、以及app环境设置参数变成静态特征向量，汇总到静态特征向量库中；步骤7、将动态行为/静态特征向量库的动态行为/静态特征向量分别用于机器学习得到预测模型，并将这两种预测模型做成合成的关联叠加预测模型，通过该关联叠加预测模型检测和识别出手机应用程序的病毒或恶意行为，完成对手机应用的风险评估。