兼具动静态检测行动应用程序的方法技术

本发明专利技术关于一种兼具动静态检测行动应用程序的方法，主要是在目前普遍载入(包括下载、复制或写入等)的行动应用程序，得以进行安全检测，尤其本发明专利技术采用动态及双静态条规同步验测，并且自动自我修正以收敛判读精确度的模型与方法进行包括检测线索产生、确认度比对、共同线索集合、样态判别以及线索几何与乖离的修正等，达成一种有效检测的方法。

【技术实现步骤摘要】

本专利技术关于一种电脑程序与其结合的方法，尤指一种兼具动静态检测行动应用程序的方法。
技术介绍
载入(包括传输、下载、复制或写入等)行动应用以资运用，不仅是成为现代人生活中不可或缺的部分，而且也日渐转变为所有企业营运的一部分，尤其随着云端运算的出现，企业组织需要提升安全性来适应这个重大的转变。云端运算架构可以让应用程序能够实时的被使用，尤其是载入的行动应用程序，这个趋势赋予了企业在资讯化使用上的极大灵活性。伴随着这样的便利，包括所载入的行动应用程序在内，但是一般而言由于在部件及使用上缺乏透明度，因而导致程度不同的安全问题，这将会是行动风险管理方面的挑战。在资讯安全产业中，许多人基于上述问题亟思研发解决方案，而主要致力于建置一个行动应用程序(如APP)的验测平台，来验测并保护行动应用程序，经由建立系统验测的工程方法套用在应用程序的结构，设计测试与审查并且发证。整合并引进安全，质量控制，以及让行动应用开发和管理有依循的依据。惟，目前现阶段验测的方法有分成原始码检测及无原始码检测两种，可以追朔至原始开发时是否恶意或者疏忽，以至于开发时即已误用错误的函式库或者隐藏使用者不知情的活动，绝大多数的行动应用程序(如APP)检测产生一个很严重的问题，就是所谓的“安全”议题与恶意样态等，都是靠“经验”累积及技术分享得来，在“真实世界”中实际的恶意样态或条规远超过实际可以做到的验测，换而言之，精确度其实面临考验并且有待改善。曾有中国台湾专利技术专利I541669提出一种静态检测应用程序的检测系统及方法、以及电脑程序产品，主要由检测系统的一撷取器截取出经编译及加密的一待测应用程序中的至少一模组档头位元组码、至少一模组程序码及一使用权限档；由检测系统的一反组译及解密器对经编译及加密的至少一模组档头位元组码、至少一模组程序码及使用权限档进行反组译及解密；由检测系统的一验证器分析经反组译及解密的使用权限档、至少一模组程序码及至少一模组档头位元组码，以判断是否对智慧型装置执行不当的操作；以及由验证器根据判断是否对智慧型装置执行不当的操作的结果产生一检测报告。惟该先前技术仅能提供“静态检测”应用程序，但对于该应用程序在“执行时的动态状况”下，并未提出较佳的解决。
技术实现思路
有鉴于先前技术的问题，本专利技术者认为应有一种改善的技术产生，更进一步对于兼具动态与静态均能稽核与检测，为此设计一种兼具动静态检测行动应用程序的方法，对于行动应用程序进行其原始码是否有在开发时植入恶意程序或疏忽导致执行时资料外泄等行为结果的动态监测与静态检测进行混用，用于更精确判读行动应用程序检测安全疑虑结果，并且产生自我收敛精确度的参数修正模型，模型叙述如下。本专利技术关于一种兼具动静态检测行动应用程序的方法，由选自电脑或手持电子装置的检测系统实施，至少包括以下步骤：以载入该电脑或手持电子装置的应用程序进行静态的伫留分析，并与动态分析形成两个路径的比对性检测。且将静态分析的安全态样采集的资讯反馈回静态分析安全的资料，形成循环与自我修正比对检测的路径。至少包括以下步骤：步骤A：载入待测应用程序；步骤B：静态分析工作伫列：以Queue伫列方式排候与进行送至步骤C、步骤D静态分析引擎准备进行静态分析；步骤C：以静态分析引擎A进行静态分析：接收来自于步骤B的静态分析工作伫列指派工作，进行静态分析；步骤D：以静态分析引擎B进行静态分析：接收来自于步骤B的静态分析工作伫列指派工作，进行静态分析；步骤H：静态分析安全线索条规集合A：接收来自于步骤C的静态分析引擎A拆解与分析条规吻合的结果，进行静态分析结果的安全线索条规集合；步骤I：静态分析安全线索条规集合B：接收来自于步骤D的静态分析引擎B拆解与分析条规吻合的结果，进行静态分析结果的安全线索条规集合；步骤J：安全样态采集：接收来自于步骤H、步骤I的分析结果的线索并进行比对工作；步骤K：共同安全线索：接收来自于步骤J的安全样态采集结果中恶意样态吻合及程序出处位置的交集的线索并进行以下工作：(1).暂定判读该恶意样态为共同安全线索，该线索可以判定受测的应用APP有该恶意样态或者数个以上；(2).共同安全线索同时间合并步骤L辅助安全线索做为确认或发布恶意样态的依据：共同安全线索有显示恶意样态，且该恶意样态在动态检测的步骤L辅助安全线索中亦出现，则该线索为恶意样态的主样态，可被视为可靠的安全线索；共同安全线索有显示恶意样态，且该恶意样态在动态检测的步骤L辅助安全线索中未出现，则该恶意样态将被归类至修正样态中，但不发布或者做为确认；共同安全线索未显示恶意样态，但该恶意样态在动态检测的步骤L辅助安全线索中出现，则该恶意样态将被归类至确认的样态规则中，在进行盲测后才做为检测发布确认；步骤M：移动应用安全检测可信结果：接收来自于步骤K共同安全线索与步骤L辅助安全线索比对结果并进行步骤K共同安全线索说明中三种样态比对结果并确认其可靠度再决定；步骤N：非共同线索：接收来自于步骤J安全样态采集结果中恶意样态吻合但静态分析引擎A与B无交集结果的联集资料及程序出处位置的联集的线索，并进行比对工作；步骤O：线索几何样态判读：接收来自于步骤N非共同线索进行线索资料几何(DataGeo)距离的判读；判读线索几何样态与前述步骤N非共同线索样态乖离，将会被列入条规集合(O1)，并且进行更新静态分析引擎的静态分析安全线索条规集合的步骤(O5)，完成一自动更新线索循环；判读线索几何样态与前述步骤N非共同线索样态相近，将会被检索条规集合加以去除(O4)，并且进行更新静态分析引擎的静态分析安全线索条规集合的步骤(O5)，完成一自动更新线索循环；步骤E：动态模拟器分析引擎：建立一模拟环境，并且接收来自于步骤A应用程序，进行模拟环境的作业执行并且在模拟器中介接管道，以观察运行阶段揭露的资讯或设备资料；步骤G：动态分析安全线索集合：动态模拟以产出可以辅助作为动态分析安全线索集合的步骤L辅助安全线索，已经确化判读结果。附图说明图1为本专利技术的流程图。具体实施方式本专利技术的步骤，由选自电脑或手持电子装置(例如但不限于手机、平板电脑)的检测系统实施，请参阅图1所示：步骤A：载入待测应用程序：将Android操作系统的APK应用程序，或者iOS操作系统的IPA应用程序(合称为应用程序)，以载入(例如但不限于传输、下载、复制、写入等)置入待测的工作区域或者服务器的特定储存区域中，等待其他步骤进行后续验测分析的工作。步骤B：静态分析工作伫列：将前述的该等应用程序行为待测工作，以Queue伫列方式排候与进行送至步骤C、步骤D静态分析引擎准备进行静态分析。静态分析工作伫列可以包括先进先出伫列(Sequence)，也就是当一个应用程序，例如APK或者IPA应用程序送至静态分析工作伫列时依照送达顺序先进就先出送检，以及另一种伫列方式，定义为时间伫列方式，将应用程序，例如送达的APK或者IPA应用程序，附加标注时间标签(TimeStamp)，依照时间标签进行“预约”式送检。步骤C：以静态分析引擎A进行静态分析：接收来自于步骤B的静态分析工作伫列指派工作，进行静态分析，静态分析方式采取以下方式进行：(1).被定义检测的条规(RULE)A，代表一连串检测原始程序内容的表头(Header)以及测试码(Te本文档来自技高网...

【技术保护点】
一种兼具动静态检测行动应用程序的方法，其特征在于，由选自电脑或手持电子装置的检测系统实施，至少包括以下步骤：以载入该电脑或手持电子装置的应用程序进行静态的伫留分析，并与动态分析形成两个路径的比对性检测，且将静态分析的安全态样采集的资讯反馈回静态分析安全的资料，形成循环与自我修正比对检测的路径。

【技术特征摘要】
1.一种兼具动静态检测行动应用程序的方法，其特征在于，由选自电脑或手持电子装置的检测系统实施，至少包括以下步骤：以载入该电脑或手持电子装置的应用程序进行静态的伫留分析，并与动态分析形成两个路径的比对性检测，且将静态分析的安全态样采集的资讯反馈回静态分析安全的资料，形成循环与自我修正比对检测的路径。2.如权利要求1所述的兼具动静态检测行动应用程序的方法，其特征在于，具体步骤包括：步骤A：载入待测应用程序；步骤B：静态分析工作伫列：以Queue伫列方式排候与进行送至步骤C、步骤D静态分析引擎准备进行静态分析；步骤C：以静态分析引擎A进行静态分析：接收来自于步骤B的静态分析工作伫列指派工作，进行静态分析；步骤D：以静态分析引擎B进行静态分析：接收来自于步骤B的静态分析工作伫列指派工作，进行静态分析；步骤H：静态分析安全线索条规集合A：接收来自于步骤C的静态分析引擎A拆解与分析条规吻合的结果，进行静态分析结果的安全线索条规集合；步骤I：静态分析安全线索条规集合B：接收来自于步骤D的静态分析引擎B拆解与分析条规吻合的结果，进行静态分析结果的安全线索条规集合；步骤J：安全样态采集：接收来自于步骤H、步骤I的分析结果的线索并进行比对工作；步骤K：共同安全线索：接收来自于步骤J安全样态采集结果中恶意样态吻合及程序出处位置的交集的线索并进行以下工作：(1).暂定判读该恶意样态为共同安全线索，该线索可以判定受测的应用APP有该恶意样态或者数个以上；(2).共同安全线索同时间合并步骤L辅助安全线索做为确认或发布恶意样态的依据：共同安全线索有显示恶意样态，且该恶意样态在动态检测的步骤L辅助安全线索中亦出现，则该线索为恶意样态的主样态，可被视为可靠的安全线索；共同安全线索有显示恶意样态，且该恶意样态在动态检测的步骤L辅助安全线索中未出现，则该恶意样态将被归类至修正样态中，但不发布或者做为确认；共同安全线索未显示恶意样态，但该恶意样态在动态检测的步骤L辅助安全线索中出现，则该恶意样态将被归类至确认的样态规则中，在进行盲测后才做为检测发布确认；步骤M：移动应用安全检测可信结果：接收来自于步骤K共同安全线索与步骤L辅助安全线索比对结果进行步骤K共同安全线索说明中三种样态比对结果并确认其可靠度再决定；步骤N：非共同线索：接收来自于步骤J安全样态采集结果中恶意样态吻合但静态分析引擎A与B无交集结果的联集资料及程序出处位置的联集的线索，并进行比对工作；步骤O：线索几何样态判读：接收来自于步骤N非共同线索进行线索资料几何距离的判读；判读线索几何样态与前述步骤N非共同线索样态乖离，将会被列入条规集合(O1)，并且进行更新静态分析引擎的静态分析安全线索条规集合的步骤(O5)，完成一自动更新线索循环；判读线索几何样态与前述步骤N非共同线索样态相近，将会被检索条规集合加以去除(O4)，并且进行更新静态分析引擎的静态分析安全线索条规集合的步骤(O5)，完成一自动更新线索循环；步骤E：动态模拟器分析引擎：建立一模拟环境，并且接收来自于步骤A应用程序，进行模拟环境的作业执行并且在模拟器中介接管道，以观察运行阶段揭露的资讯或设备资料；步骤G：动态分析安全线索集合：动态模拟以产出可以辅助作为动态分析安全线索集合的步骤...

【专利技术属性】
技术研发人员：王明贤，
申请(专利权)人：青岛天龙安全科技有限公司，王明贤，
类型：发明
国别省市：山东;37