一种聚合多维的Android平台隐私窃取类应用自动识别方法技术

技术编号:18367604 阅读:25 留言:0更新日期:2018-07-05 09:07
本发明专利技术提供了一种聚合多维的Android平台隐私窃取类应用自动识别方法,包括:对待检测的应用程序进行反编译,获取待检测的应用程序的源代码;利用代码检测规则对源代码进行代码维过滤,筛选出疑似隐私窃取类应用;利用行为检测规则对疑似隐私窃取类应用进行行为维分析,若疑似隐私窃取类应用符合行为检测规则中的任意一条规则,则确定疑似隐私窃取类应用为隐私窃取类应用。本发明专利技术通过代码检测规则过滤出疑似窃取隐私恶意应用,通过行为检测规则进行分析确定应用属性,从而实现大规模样本的自动筛选,改进了Android恶意应用检测的方法,根据规则进行全自动扫描识别,实现大规模样本的自动分析。

An automatic recognition method for privacy stealing applications based on aggregated multi-dimensional Android platform

The invention provides an automatic identification method for Android platform privacy stealing class application, which includes decomcompiling and obtaining the source code of the application program to be detected; using code detection rules to filter the source code, and screen out the application of suspected privacy stealing class application; Behavior detection rules are used to analyze the behavior dimension of suspected privacy theft applications. If the suspected privacy stealing class is in conformity with any rule in the behavior detection rule, it is determined that the suspected privacy stealing class is applied to the privacy stealing class application. Through the code detection rules, this invention filters out suspected privacy malicious applications, analyzes and determines the application properties through the behavior detection rules, thus realizes the automatic screening of large scale samples, improves the method of Android malicious application detection, carries out automatic scanning recognition according to the rules, and realizes automatic classification of large-scale samples. Analysis.

【技术实现步骤摘要】
一种聚合多维的Android平台隐私窃取类应用自动识别方法
本专利技术涉及移动互联网安全领域,尤其涉及一种聚合多维的Android平台隐私窃取类应用自动识别方法。
技术介绍
目前,绝大部分Android隐私窃取类应用都是基于“隐私获取+发送”的模式,其中由隐私获取方法和发送方式的不同而衍生出多种不同的窃取方式。部分此类应用在此基础上演变为“隐私获取+发送+远程控制”的模式,造成更严重的安全隐患。目前对Android应用隐私窃取的检测分为三种检测方式:人工检测、静态检测和动态检测。人工检测是由技术人员在运行程序的条件下,通过运行恶意程序时所监测到此应用触发的异常行为,从而对隐私窃取的表现有具体了解。人工检测一般配合静态检测或动态检测作为辅助检测。静态检测是在不执行程序的条件下,将恶意程序还原为Java源码进行分析,由于静态检测不依赖程序的执行并对整个程序代码进行扫描,所以检测的覆盖率要高于动态检测,漏报率也低于动态检测。动态检测通过将恶意程序在可监控环境下运行,并对其应用操作进行监控。动态检测可以有效绕过代码动态加密解密、代码混淆等干扰手段,并且检测时间短。现有技术中的人工检测消耗时间较多,而且通常会严重依赖于技术人员的个人能力,无法做到快速、高效、全面的分析。动态检测的结果依赖于程序的具体执行,没有在检测中执行到的功能无法被检测到,这使得动态检测会有漏报的情况发生。
技术实现思路
本专利技术的目的在于提供一种聚合多维的Android平台隐私窃取类应用自动识别方法以自动识别应用程序是否有隐私窃取的恶意行为。一方面,本专利技术实施例提供一种聚合多维的Android平台隐私窃取类应用自动识别方法,包括以下步骤:步骤S1:对待检测的应用程序进行反编译,获取所述待检测的应用程序的源代码;步骤S2:利用代码检测规则对所述源代码进行代码维过滤,筛选出疑似隐私窃取类应用;步骤S3:利用行为检测规则对所述疑似隐私窃取类应用进行行为维分析,若所述疑似隐私窃取类应用符合所述行为检测规则中的任意一条规则,则确定所述疑似隐私窃取类应用为隐私窃取类应用。优选地,在所述步骤S3之后还包括:步骤S4:利用数据特征对所述隐私窃取类应用进行数据维匹配,确定所述隐私窃取类应用的病毒族群类型。优选地,所述数据特征包括邮箱帐号、登录密码、远程控制端地址、远程控制手机号码。优选地,在所述步骤S4之后还包括:步骤S5:生成检测结果报告,所述检测结果报告包括代码维度匹配到的代码检测规则、行为维度匹配到的行为检测规则、数据维度匹配到数据特征、代码文件位置以及匹配规则的代码片段。优选地,所述步骤S2包括:判断所述待检测的应用程序的所述源代码的特定属性字段中是否包含敏感权限获取代码和敏感API代码,如果包含,则判定所述待检测的应用程序为所述疑似隐私窃取类应用。优选地,所述特定属性字段包括短信代码、网络连接代码和远程控制代码。优选地,在所述步骤S1之前还包括:步骤S0:根据手机病毒类型提取隐私窃取类应用的手机恶意行为典型特征行为,按照其功能类别进行整理和分类,设定隐私窃取类应用的敏感API数据集。优选地,所述敏感API数据集包括与电话、短信、照片、GPRS、通讯录相关的API函数。优选地,所述步骤S3包括:将所述敏感API数据集和所述源代码进行比对,以确定所述疑似隐私窃取类应用是否符合所述行为检测规则。优选地,所述行为检测规则包括:分析待测应用代码中敏感API,如果发现待测应用向特定手机号码发送包含待测手机IMEI/IMSI信息的点对点短信,则判定待测应用存在窃取用户手机基础信息行为;分析待测应用代码中敏感API,如果发现待测应用向特定手机号码发送包含待测手机短信、通讯录的点对点短信,则判定待测应用存在上报用户通讯录和短信行为;分析待测应用反编译后的源代码,如果发现有敏感API涉及手机监听手机短信、静默将短信进行拦截,并转发短信到指定手机号,则判定待测应用存在隐私窃取行为;分析待测应用反编译后的源代码,如果存在隐私窃取规则库中的向指定邮箱发送用户短信和通讯录行为,则判定待测应用存在窃取用户短信和通讯录行为;分析待测应用反编译后的源代码,如果发现有敏感API涉及手机接收特定号码发送的远程指令并执行该命令的行为,且静默将指令短信删除,则判定待测应用存在远程控制行为。实施本专利技术实施例,具有如下有益效果:本专利技术提供的聚合多维的Android平台隐私窃取类应用自动识别方法,通过代码检测规则过滤出疑似窃取隐私恶意应用,通过行为检测规则进行分析确定应用属性,通过数据特征匹配确定病毒族群,从而实现大规模样本的自动筛选,改进了Android恶意应用检测的方法,根据规则进行全自动扫描识别,实现大规模样本的自动分析。降低了人工参与程度,从而提高了Android平台下窃取隐私类恶意应用的检测效率,能够为普通用户检测其使用的Android平台下的应用程序是否为隐私窃取类的恶意应用,还可以提供丰富的行为信息给分析人员,方便其进行更深层次的分析。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术实施例一提供的一种聚合多维的Android平台隐私窃取类应用自动识别方法的流程图;图2是本专利技术实施例二提供的一种聚合多维的Android平台隐私窃取类应用自动识别方法的流程图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。实施例一本专利技术实施例提供了一种聚合多维的Android平台隐私窃取类应用自动识别方法。参见图1,该聚合多维的Android平台隐私窃取类应用自动识别方法包括以下步骤:步骤S1:对待检测的应用程序进行反编译,获取所述待检测的应用程序的源代码;步骤S2:利用代码检测规则对所述源代码进行代码维过滤,筛选出疑似隐私窃取类应用;具体地,在本实施例中,通过自动化检测工具的代码检测规则对恶意应用进行过滤。由于隐私窃取类应用一定会获取相关读取和操作权限,因此,代码检测规则主要检测Manifest敏感权限获取、smali敏感代码、smali敏感字符串等,根据反编译出来的manifest文件和smali文件提取关键点,之后对过滤结果进行整理,代码维的处理时间不超过2秒/每样本。步骤S3:利用行为检测规则对所述疑似隐私窃取类应用进行行为维分析,若所述疑似隐私窃取类应用符合所述行为检测规则中的任意一条规则,则确定所述疑似隐私窃取类应用为隐私窃取类应用;具体地,在本实施例中,根据手机病毒八大类型可以提炼出隐私窃取类的手机恶意行为的典型特征行为,按照其功能类别进行整理和分类,设定应用程序隐私窃取行为的敏感API数据集;根据设定敏感API数据集和反编译后代码进行比对,若符合,则判断应用程序为隐私窃取类恶意应用,处理时长不超过5秒/每样本。本专利技术实施方式提供的Andr本文档来自技高网...
一种聚合多维的Android平台隐私窃取类应用自动识别方法

【技术保护点】
1.一种聚合多维的Android平台隐私窃取类应用自动识别方法,其特征在于,包括以下步骤:步骤S1:对待检测的应用程序进行反编译,获取所述待检测的应用程序的源代码;步骤S2:利用代码检测规则对所述源代码进行代码维过滤,筛选出疑似隐私窃取类应用;步骤S3:利用行为检测规则对所述疑似隐私窃取类应用进行行为维分析,若所述疑似隐私窃取类应用符合所述行为检测规则中的任意一条规则,则确定所述疑似隐私窃取类应用为隐私窃取类应用。

【技术特征摘要】
1.一种聚合多维的Android平台隐私窃取类应用自动识别方法,其特征在于,包括以下步骤:步骤S1:对待检测的应用程序进行反编译,获取所述待检测的应用程序的源代码;步骤S2:利用代码检测规则对所述源代码进行代码维过滤,筛选出疑似隐私窃取类应用;步骤S3:利用行为检测规则对所述疑似隐私窃取类应用进行行为维分析,若所述疑似隐私窃取类应用符合所述行为检测规则中的任意一条规则,则确定所述疑似隐私窃取类应用为隐私窃取类应用。2.根据权利要求1中所述的聚合多维的Android平台隐私窃取类应用自动识别方法,其特征在于,在所述步骤S3之后还包括:步骤S4:利用数据特征对所述隐私窃取类应用进行数据维匹配,确定所述隐私窃取类应用的病毒族群类型。3.根据权利要求2中所述的聚合多维的Android平台隐私窃取类应用自动识别方法,其特征在于,所述数据特征包括邮箱帐号、登录密码、远程控制端地址、远程控制手机号码。4.根据权利要求2中所述的聚合多维的Android平台隐私窃取类应用自动识别方法,其特征在于,在所述步骤S4之后还包括:步骤S5:生成检测结果报告,所述检测结果报告包括代码维度匹配到的代码检测规则、行为维度匹配到的行为检测规则、数据维度匹配到数据特征、代码文件位置以及匹配规则的代码片段。5.根据权利要求1中所述的聚合多维的Android平台隐私窃取类应用自动识别方法,其特征在于,所述步骤S2包括:判断所述待检测的应用程序的所述源代码的特定属性字段中是否包含敏感权限获取代码和敏感API代码,如果包含,则判定所述待检测的应用程序为所述疑似隐私窃取类应用。6.根据权利要求5中所述的聚合多维的Android平台隐私窃取类应用自动识别方法,其特征在于,所述特定属性字段包括短信代码、网络连接代码和远程控制代码...

【专利技术属性】
技术研发人员:杨颖张林
申请(专利权)人:卓望数码技术深圳有限公司
类型:发明
国别省市:广东,44

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1