恶意推送行为检测方法及装置制造方法及图纸

本发明专利技术公开了一种恶意推送行为检测方法及装置，所述方法包括：对应用程序进行过滤，筛选出带有系统通知栏推送的应用程序；对筛选出的应用程序分别进行动态分析和静态分析，获取动态分析结果和静态分析结果；对所述动态分析结果和所述静态分析结果进行研判，确定具有恶意推送行为的应用程序。

Detection method and device of malicious push behavior

【技术实现步骤摘要】
恶意推送行为检测方法及装置
本专利技术涉及计算机
，尤其涉及一种恶意推送行为检测方法及装置。
技术介绍
随着移动互联网和智能终端技术的快速发展，移动应用开发成本降低，程序开发门槛降低，移动应用数量逐年呈指数增长。这也使得大量恶意应用流入软件市场，其中恶意推送软件是最为常见的恶意应用之一，恶意推送应用通过不可关闭的广告通知栏或不间断地推送行为，消耗内存资源并严重影响用户的软件使用体验。目前国内外对于移动应用软件恶意推送行为的检测技术较少，更多的是恶意推送行为的检测方法。对于恶意推送行为的检测方面，大部分通过动态运行应用程序并查看应用运行时状态，对应用的动态行为进行人工分析来确定一款应用是否有广告恶意推送行为。另一种方法是通过搜集大量含有广告恶意推送的应用构建样本库，获取其动态行为信息并作为输入利用算法构建检测模型，实现恶意推送应用的自动检测。综上可知目前应用较为广泛的广告恶意推送检测方法主要有基于应用动态行为人工检测和自动化检测。具体地，基于人工分析的检测方法具体为：检测人员将应用安装到手机上并运行应用，查看是否有不可关闭的广告通知栏信息或重复弹出含有广告通知栏等行为，对上述应用行为进行研判。或者对应用软件进行逆向获得其源码，进行静态分析。基于软件动态行为自动化检测方法具体为：对大量含有广告恶意推送行为的软件的运行状态进行记录，构建恶意推送应用软件的检测模型。将待检测应用的运行行为记录输入检测模型，得到检测结果。基于软件动态行为的自动化检测方法被大量用于恶意软件检测，动态行为的检测可以补偿静态分析方法中因代码混淆加固导致的不可行性。目前主流的广告恶意推送应用的检测技术主要基于软件的动态行为，具体不足如下：1、客观正确性不足人工分析判断恶意推送行为，其过程存在一定主观因素，由此可能产生误判行为，使用这种方法客观正确性不足。2、人工分析效率低人工判断恶意推送行为，需将应用安装到测试平台并对应用运行的全状态进行研判，这需要花费大量时间，使得检测效率变低。
技术实现思路
本专利技术实施例提供一种恶意推送行为检测方法及装置，用以解决现有技术中的上述问题。本专利技术实施例提供一种恶意推送行为检测方法，包括：对应用程序进行过滤，筛选出带有系统通知栏推送的应用程序；对筛选出的应用程序分别进行动态分析和静态分析，获取动态分析结果和静态分析结果；对所述动态分析结果和所述静态分析结果进行研判，确定具有恶意推送行为的应用程序。本专利技术实施例还提供一种恶意推送行为检测装置，具体包括：应用过滤模块，用于对应用程序进行过滤，筛选出带有系统通知栏推送的应用程序；应用分析模块，用于对筛选出的应用程序分别进行动态分析和静态分析，获取动态分析结果和静态分析结果；结果分析模块，用于对所述动态分析结果和所述静态分析结果进行研判，确定具有恶意推送行为的应用程序。本专利技术实施例还提供一种恶意推送行为检测装置，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现上述恶意推送行为检测方法的步骤。采用本专利技术实施例，具有如下有益效果：1、客观正确性强本专利技术实施例的技术方案其全部检测分析流程可由自动化工具自行完成，没有人工主观成分参与，因此检测结果保证了客观正确性。2、效率高本专利技术实施例的技术方案先进行样本过滤，筛选出含有系统通知栏且内容为广告的应用，有效压缩了应用检测样本的规模之后对过滤出的应用的运行时状态进行自动监测，对应用运行时调用的特殊方法实现自动化监听，对应用反编译源码进行定位和逻辑分析。因此本专利技术比一般人工分析有更高的效率。3、适应性强本专利技术实施例的技术方案通过对应用的运行时状态和静态二进制代码进行综合分析，并用已知的存在恶意推送行为的应用建立样本库，可以对新的恶意推送行为和相关的新变化有较高的适应性。上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本专利技术的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：图1是本专利技术实施例的恶意推送行为检测方法的流程图；图2是本专利技术实施例的恶意推送行为检测方法的流程示意图；图3是本专利技术实施例的恶意推送行为检测方法的详细处理流程图；图4是本专利技术一个实施例的恶意推送行为检测装置的示意图；图5是本专利技术实施的恶意推送行为检测装置的详细示意图；图6是本专利技术另一个实施例的恶意推送行为检测装置的示意图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。对于广告恶意推送软件，以及现有检测方法的不足，本专利技术实施例提出一种新的用于检测应用恶意推送行为的方法，目的是通过对系统通知栏方法调用参数的监听对应用运行时状态进行监测，并通过对待检测应用进行反编译，对调用系统通知栏方法的代码段进行代码逻辑分析和统计，对恶意推送应用进一步判断，从而解决恶意推送应用的检测问题。根据本专利技术实施例，提供了一种恶意推送行为检测方法，图1是本专利技术实施例的恶意推送行为检测方法的流程图，如图1所示，根据本专利技术实施例的恶意推送行为检测方法具体包括：步骤101，对应用程序进行过滤，筛选出带有系统通知栏推送的应用程序；具体包括如下处理：提取待检测应用程序的权限，根据所述应用程序是否具有显示系统窗口权限android.permission.SYSTEM_ALERT_WINDOW确定该应用程序是否进行系统通知栏推送；和/或，获取应用程序运行时的控件信息，根据所述空间信息对控件的位置、大小及组件内容进行分析，判断该应用程序是否进行系统通知栏推送。步骤102，对筛选出的应用程序分别进行动态分析和静态分析，获取动态分析结果和静态分析结果；具体包括如下处理：1、对筛选出的应用程序通过监听应用程序运行时的特定方法及参数记录应用运行状态，以检测应用程序运行时的恶意系统通知栏推送行为；具体地：对应用程序运行过程中的系统通知栏Notification类的建立、notify()方法和setOngoing()方法进行监听，截获上述方法并提取参数；对监听到的方法进行参数分析，当通知栏Notification类的提醒标志符flags参数设置为无法清除标识FLAG_NO_CLEAR、正在运行标识FLAG_ONGOING_EVE本文档来自技高网...

【技术保护点】
1.一种恶意推送行为检测方法，其特征在于，包括：/n对应用程序进行过滤，筛选出带有系统通知栏推送的应用程序；/n对筛选出的应用程序分别进行动态分析和静态分析，获取动态分析结果和静态分析结果；/n对所述动态分析结果和所述静态分析结果进行研判，确定具有恶意推送行为的应用程序。/n

【技术特征摘要】
1.一种恶意推送行为检测方法，其特征在于，包括：
对应用程序进行过滤，筛选出带有系统通知栏推送的应用程序；
对筛选出的应用程序分别进行动态分析和静态分析，获取动态分析结果和静态分析结果；
对所述动态分析结果和所述静态分析结果进行研判，确定具有恶意推送行为的应用程序。


2.如权利要求1所述的方法，其特征在于，对应用程序进行过滤，筛选出带有系统通知栏推送的应用程序具体包括：
提取待检测应用程序的权限，根据所述应用程序是否具有显示系统窗口权限android.permission.SYSTEM_ALERT_WINDOW确定该应用程序是否进行系统通知栏推送；和/或，
获取应用程序运行时的控件信息，根据所述空间信息对控件的位置、大小及组件内容进行分析，判断该应用程序是否进行系统通知栏推送。


3.如权利要求1所述的方法，其特征在于，对筛选出的应用程序进行动态分析具体包括：
对筛选出的应用程序通过监听应用程序运行时的特定方法及参数记录应用运行状态，以检测应用程序运行时的恶意系统通知栏推送行为；
对应用程序反编译解包后产生的静态二进制代码文件进行分析，通过代码追踪定位特定代码段，通过对所述特定代码段的逻辑分析进行恶意系统通知栏推送行为的检测。


4.如权利要求3所述的方法，其特征在于，对筛选出的应用程序通过监听应用程序运行时的特定方法及参数记录应用运行状态，以检测应用程序运行时的恶意系统通知栏推送行为具体包括：
对应用程序运行过程中的系统通知栏Notification类的建立、notify()方法和setOngoing()方法进行监听，截获上述方法并提取参数；
对监听到的方法进行参数分析，当通知栏Notification类的提醒标志符flags参数设置为无法清除标识FLAG_NO_CLEAR、正在运行标识FLAG_ONGOING_EVENT、或通知循环标识FLAG_INSISTENT时，确定该应用程序存在恶意系统通知栏推送行为。


5.如权利要求3所述的方法，其特征在于，对应用程序反编译解包后产生的静态二进制代码文件进行分析，通过代码追踪定位特定代码段，通过对所述特定代码段的逻辑分析进行恶意系统通知栏推送行为的检测具体包括：
将待检测应用程序输入到应用反编译工具，通过应用反编译工具对应用程序进行解包，将包中的二进制代码或字节码反编译成反编译代码；
对所述反编译代码进行分析，找到调用系统通知栏Notification类的代码段；
对待检测代码段的寄存器参数进行分析，分析Notification类的flags参数的赋值逻辑，进而判断是存在恶意系统通知栏推送行为。


6.如权利要求1所述的方法，其特征在于，对所述动态分析结果和所述静态分析结果进行研判，确定具有恶意推送行为的应用程序具体包括：
对所述动态分析结果和所述静态分析结果进行研判，生成应用程序恶意推送测...

【专利技术属性】
技术研发人员：程光，钮艳，赵淳璐，潘进，杨博，王祥，张琳，刘晓辉，姚晓，
申请(专利权)人：国家计算机网络与信息安全管理中心，
类型：发明
国别省市：北京;11