一种基于受控环境的移动应用敏感行为检测方法和系统技术方案

本发明专利技术提供了一种基于受控环境的移动应用敏感行为检测方法和系统，包括：遍历需要进行测试的移动应用的控件，通过程序脚本触发移动应用的行为；基于预先定制的受控环境，对移动应用的敏感行为进行捕获。该方法和系统实现了自动化的移动应用行为触发，整个过程无须人工干预；基于定制的受控环境，在内核层和框架层对移动应用敏感行为进行全面捕获。还对捕获的日志信息进行收集和处理，统一格式设计，包括内核系统调用、框架层应用程序编程接口API以及壳shell命令，为高效提取移动应用行为特征提供数据支撑，便于下一步进行恶意软件定性判别。

【技术实现步骤摘要】
一种基于受控环境的移动应用敏感行为检测方法和系统
本专利技术属于移动应用安全
，具体涉及一种基于受控环境的移动应用敏感行为检测方法和系统。
技术介绍
当前Android系统的安全问题与日俱增，其中各种恶意应用泛滥、恶意行为难以及时发现成为其中一个主要问题，所以移动应用的敏感行为检测成为了主要的研究方向。移动应用市场带有恶意代码的移动应用种类繁多，单单依靠Android本身自带的安全机制或一些事后防护手段是远远不够的，需要在移动应用的运行过程中，能够动态的拦截和获取移动应用的行为或者移动终端的实时状态，并将拦截到的信息进行进一步分析以达到检测恶意软件的目的。移动应用敏感行为检测的研究可分为两个方向：基于程序插桩的移动应用敏感行为检测和基于受控环境的移动应用敏感行为检测。基于程序插桩的移动应用敏感行为检测方法通过直接或间接修改应用程序源码或反编译源码的方式对应用进行插桩，从而达到监控应用行为的目的，这种方式对行为分析环境没有很高的要求，但需要对单个应用进行特定化插桩，且无法保证应用升级后的持续化动态监控。基于受控环境的移动应用敏感行为检测方法通过修改Android系统源码、定制受控环境，提供移动应用敏感行为检测的分析环境，避免了对多个应用进行一对一的修改，适用于兼容该环境的应用。现有基于受控环境的移动应用敏感行为检测方法还存在几点不足：(1)缺乏在受控环境下自动化的行为触发技术，目前移动应用的行为触发还需要人工干预，触发效率和深度需要提升；(2)移动应用敏感行为捕获不够全面，大部分行为检测只能够捕获对系统底层的一些应用程序接口调用，对系统框架层的一些操作失去效用；(3)对捕获的日志信息格式没有统一规定，不能高效提取行为特征，为进一步对恶意软件进行定性判别提供数据支撑。
技术实现思路
为克服上述现有技术的不足，本专利技术提出一种基于受控环境的移动应用敏感行为检测方法和系统。该方法和系统通过控件遍历的行为触发方式，能够自动化地实现全面深度触发移动应用行为，采用对Framework层和Kernel层共同Hook的方式修改Android内核及定制受控环境进行移动应用敏感行为的捕获，摆脱了对特定应用的修改，适用于兼容该环境的应用，并对捕获到的敏感行为日志格式进行统一规定，为移动应用进一步的安全评估提供数据支撑。实现上述目的所采用的解决方案为：一种基于受控环境的移动应用敏感行为检测方法，其改进之处在于，包括：遍历需要进行测试的移动应用的控件，通过程序脚本触发所述移动应用的行为；基于预先定制的受控环境，对所述移动应用的敏感行为进行捕获。本专利技术提供的第一优选技术方案，其改进之处在于，所述遍历需要进行测试的移动应用的控件，通过程序脚本触发所述移动应用的行为，包括：获取所述移动应用的界面信息，所述界面信息包括界面中的控件和控件的坐标；基于所述控件、所述控件的坐标以及设定的触发操作，生成触发所述控件的程序脚本；调用所述程序脚本，对所述移动应用的行为进行触发；所述触发操作包括：安装、启动、触摸和卸载所述移动应用。本专利技术提供的第二优选技术方案，其改进之处在于，所述获取所述移动应用的界面信息，包括：与所述移动应用所在的设备终端进行套接字通信，获取所述移动应用界面的窗口列表和各窗口界面布局控件元素信息；根据所述控件元素信息，获得各控件及控件的坐标。本专利技术提供的第三优选技术方案，其改进之处在于，所述遍历需要进行测试的移动应用的控件之前，还包括对移动应用进行预处理，包括：当所述移动应用所在设备的连接状态正常时，获得所述移动应用启动页面的包和活动，并将所述移动应用推入所述设备的终端文件夹。本专利技术提供的第四优选技术方案，其改进之处在于，所述受控环境的定制，包括：在内核层面，通过注入监测代码对zygote进程进行挂钩，监测所述移动应用的敏感系统调用行为并进行记录；在框架层面，通过注入监测代码对系统特有模块的应用程序编程接口进行挂钩，监测所述移动应用调用所述特有模块的应用程序编程接口的行为并记录；其中，所述特有模块包括蓝牙模块、WiFi模块和GPS模块。本专利技术提供的第五优选技术方案，其改进之处在于，所述对所述移动应用的敏感行为进行捕获之后，还包括：按照预设的格式，记录敏感行为的信息；将所述信息以设定的格式存储为日志信息；所述信息包括：内核层面调用的库函数名称及参数、框架层面调用的应用程序编程接口名称及所属的类，以及壳命令。一种基于受控环境的移动应用敏感行为检测系统，其改进之处在于，包括：应用触发模块和行为捕获模块；所述应用触发模块，用于遍历需要进行测试的移动应用的控件，通过程序脚本触发所述移动应用的行为；所述行为捕获模块，用于基于预先定制的受控环境，对所述移动应用的敏感行为进行捕获。本专利技术提供的第六优选技术方案，其改进之处在于，所述应用触发模块包括：信息获取单元、脚本生成单元和行为触发单元；所述信息获取单元，用于获取所述移动应用的界面信息，所述界面信息包括界面中的控件和控件的坐标；所述脚本生成单元，用于基于所述控件、所述控件的坐标以及设定的触发操作，生成触发所述控件的程序脚本；所述行为触发单元，用于调用所述程序脚本，对所述移动应用的行为进行触发；所述触发操作包括：安装、启动、触摸和卸载所述移动应用。本专利技术提供的第七优选技术方案，其改进之处在于，还包括预处理模块；所述预处理模块，用于当所述移动应用所在设备的连接状态正常时，获得所述移动应用启动页面的包和活动，并将所述移动应用推入所述设备的终端文件夹。本专利技术提供的第八优选技术方案，其改进之处在于，还包括用于定制受控环境的受控环境定制模块，所述受控环境定制单元包括内核定制单元和框架定制单元；所述内核定制单元，用于在内核层面，通过注入监测代码对zygote进程进行挂钩，监测所述移动应用的敏感系统调用行为并进行记录；所述框架定制单元，用于在框架层面，通过注入监测代码对系统特有模块的应用程序编程接口进行挂钩，监测所述移动应用调用所述特有模块的应用程序编程接口的行为并记录；其中，所述特有模块包括蓝牙模块、WiFi模块和GPS模块。本专利技术提供的第九优选技术方案，其改进之处在于，还包括记录模块；所述记录模块，用于按照预设的格式，记录敏感行为的信息，将所述信息以设定的格式存储为日志信息；所述信息包括：内核层面调用的库函数名称及参数、框架层面调用的应用程序编程接口名称及所属的类，以及壳命令。与最接近的现有技术相比，本专利技术具有的有益效果如下：(1)本专利技术通过遍历需要进行测试的移动应用的控件，通过程序脚本触发移动应用的行为，基于预先定制的受控环境，对移动应用的敏感行为进行捕获，实现了自动化的移动应用行为触发，整个过程无须人工干预。(2)基于定制的受控环境，在内核层和框架层对移动应用敏感行为进行全面捕获。...

【技术保护点】
1.一种基于受控环境的移动应用敏感行为检测方法，其特征在于，包括：/n遍历预设需要进行测试的移动应用的控件，通过程序脚本触发所述移动应用的行为；/n基于预先定制的受控环境，对所述移动应用的敏感行为进行捕获。/n

【技术特征摘要】
1.一种基于受控环境的移动应用敏感行为检测方法，其特征在于，包括：
遍历预设需要进行测试的移动应用的控件，通过程序脚本触发所述移动应用的行为；
基于预先定制的受控环境，对所述移动应用的敏感行为进行捕获。


2.如权利要求1所述的方法，其特征在于，所述遍历需要进行测试的移动应用的控件，通过程序脚本触发所述移动应用的行为，包括：
获取所述移动应用的所有界面信息，所述界面信息包括界面中的控件和控件的坐标；
基于所述控件、所述控件的坐标以及设定的触发操作，生成触发所述控件的程序脚本；
调用所述程序脚本，对所述移动应用的行为进行触发；
所述触发操作包括：安装、启动、触摸和卸载所述移动应用。


3.如权利要求2所述的方法，其特征在于，所述获取所述移动应用的界面信息，包括：
与所述移动应用所在的设备终端进行套接字通信，获取所述移动应用界面的窗口列表和各窗口界面布局控件元素信息；
根据所述控件元素信息，获得各控件及控件的坐标。


4.如权利要求1所述的方法，其特征在于，所述遍历需要进行测试的移动应用的控件之前，还包括对移动应用进行预处理，包括：
当所述移动应用所在设备的连接状态正常时，获得所述移动应用启动页面的包和活动，并将所述移动应用推入所述设备的终端文件夹。


5.如权利要求1所述的方法，其特征在于，所述受控环境的定制，包括：
在内核层面，通过注入监测代码对zygote进程进行挂钩，监测所述移动应用的敏感系统调用行为并进行记录；
在框架层面，通过注入监测代码对系统特有模块的应用程序编程接口进行挂钩，监测所述移动应用调用所述特有模块的应用程序编程接口的行为并记录；
其中，所述特有模块包括蓝牙模块、WiFi模块和GPS模块。


6.如权利要求1所述的方法，其特征在于，所述对所述移动应用的敏感行为进行捕获之后，还包括：
按照预设的格式，记录敏感行为的信息；
将所述信息以设定的格式存储为日志信息；
所述信息包括：内核层面调用的库函数名称及参数、框架层面调用的应用程...

【专利技术属性】
技术研发人员：陈璐，李尼格，马媛媛，邵志鹏，陈牧，戴造建，李勇，席泽生，方文高，
申请(专利权)人：全球能源互联网研究院有限公司，国网浙江省电力有限公司电力科学研究院，国家电网有限公司，国网浙江省电力有限公司，
类型：发明
国别省市：北京;11