【技术实现步骤摘要】
恶意推送行为检测方法及装置
本专利技术涉及计算机
,尤其涉及一种恶意推送行为检测方法及装置。
技术介绍
随着移动互联网和智能终端技术的快速发展,移动应用开发成本降低,程序开发门槛降低,移动应用数量逐年呈指数增长。这也使得大量恶意应用流入软件市场,其中恶意推送软件是最为常见的恶意应用之一,恶意推送应用通过不可关闭的广告通知栏或不间断地推送行为,消耗内存资源并严重影响用户的软件使用体验。目前国内外对于移动应用软件恶意推送行为的检测技术较少,更多的是恶意推送行为的检测方法。对于恶意推送行为的检测方面,大部分通过动态运行应用程序并查看应用运行时状态,对应用的动态行为进行人工分析来确定一款应用是否有广告恶意推送行为。另一种方法是通过搜集大量含有广告恶意推送的应用构建样本库,获取其动态行为信息并作为输入利用算法构建检测模型,实现恶意推送应用的自动检测。综上可知目前应用较为广泛的广告恶意推送检测方法主要有基于应用动态行为人工检测和自动化检测。具体地,基于人工分析的检测方法具体为:检测人员将应用安装到手机上并运行应用,查看是否有不可关闭的广告通知栏信息或重复弹出含有广告通知栏等行为,对上述应用行为进行研判。或者对应用软件进行逆向获得其源码,进行静态分析。基于软件动态行为自动化检测方法具体为:对大量含有广告恶意推送行为的软件的运行状态进行记录,构建恶意推送应用软件的检测模型。将待检测应用的运行行为记录输入检测模型,得到检测结果。基于软件动态行为的自动化检测方法被大量用于恶意软件检测,动态行为的检测可以补偿静态分析 ...
【技术保护点】
1.一种恶意推送行为检测方法,其特征在于,包括:/n对应用程序进行过滤,筛选出带有系统通知栏推送的应用程序;/n对筛选出的应用程序分别进行动态分析和静态分析,获取动态分析结果和静态分析结果;/n对所述动态分析结果和所述静态分析结果进行研判,确定具有恶意推送行为的应用程序。/n
【技术特征摘要】
1.一种恶意推送行为检测方法,其特征在于,包括:
对应用程序进行过滤,筛选出带有系统通知栏推送的应用程序;
对筛选出的应用程序分别进行动态分析和静态分析,获取动态分析结果和静态分析结果;
对所述动态分析结果和所述静态分析结果进行研判,确定具有恶意推送行为的应用程序。
2.如权利要求1所述的方法,其特征在于,对应用程序进行过滤,筛选出带有系统通知栏推送的应用程序具体包括:
提取待检测应用程序的权限,根据所述应用程序是否具有显示系统窗口权限android.permission.SYSTEM_ALERT_WINDOW确定该应用程序是否进行系统通知栏推送;和/或,
获取应用程序运行时的控件信息,根据所述空间信息对控件的位置、大小及组件内容进行分析,判断该应用程序是否进行系统通知栏推送。
3.如权利要求1所述的方法,其特征在于,对筛选出的应用程序进行动态分析具体包括:
对筛选出的应用程序通过监听应用程序运行时的特定方法及参数记录应用运行状态,以检测应用程序运行时的恶意系统通知栏推送行为;
对应用程序反编译解包后产生的静态二进制代码文件进行分析,通过代码追踪定位特定代码段,通过对所述特定代码段的逻辑分析进行恶意系统通知栏推送行为的检测。
4.如权利要求3所述的方法,其特征在于,对筛选出的应用程序通过监听应用程序运行时的特定方法及参数记录应用运行状态,以检测应用程序运行时的恶意系统通知栏推送行为具体包括:
对应用程序运行过程中的系统通知栏Notification类的建立、notify()方法和setOngoing()方法进行监听,截获上述方法并提取参数;
对监听到的方法进行参数分析,当通知栏Notification类的提醒标志符flags参数设置为无法清除标识FLAG_NO_CLEAR、正在运行标识FLAG_ONGOING_EVENT、或通知循环标识FLAG_INSISTENT时,确定该应用程序存在恶意系统通知栏推送行为。
5.如权利要求3所述的方法,其特征在于,对应用程序反编译解包后产生的静态二进制代码文件进行分析,通过代码追踪定位特定代码段,通过对所述特定代码段的逻辑分析进行恶意系统通知栏推送行为的检测具体包括:
将待检测应用程序输入到应用反编译工具,通过应用反编译工具对应用程序进行解包,将包中的二进制代码或字节码反编译成反编译代码;
对所述反编译代码进行分析,找到调用系统通知栏Notification类的代码段;
对待检测代码段的寄存器参数进行分析,分析Notification类的flags参数的赋值逻辑,进而判断是存在恶意系统通知栏推送行为。
6.如权利要求1所述的方法,其特征在于,对所述动态分析结果和所述静态分析结果进行研判,确定具有恶意推送行为的应用程序具体包括:
对所述动态分析结果和所述静态分析结果进行研判,生成应用程序恶意推送测...
【专利技术属性】
技术研发人员:程光,钮艳,赵淳璐,潘进,杨博,王祥,张琳,刘晓辉,姚晓,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。