[发明专利]Android恶意应用程序检测方法、系统及设备

权利要求书

1.一种安卓(Android)恶意应用程序检测方法，其特征在于，该方法包括：

服务器模拟执行Android应用程序，将应用程序调用的系统函数的敏感特征信息与敏感数据引入规则库中存储的敏感特征信息进行匹配，将匹配成功的系统函数的变量标记为敏感数据；

将含有敏感数据的函数与恶意行为检测规则库中存储的恶意行为特征信息进行匹配，将匹配成功的函数参数标记为恶意行为。

2.根据权利要求1所述的方法，其特征在于，该方法还包括：

待服务器模拟Android应用程序的执行结束后，根据与恶意行为检测规则库匹配的结果生成危险行为的详细说明，输出检测报告，并向客户端报告检测结果。

3.根据权利要求1所述的方法，其特征在于，所述服务器模拟Android应用程序的执行之前，该方法还包括：

客户端将待测的Android应用程序的APK文件发送给服务器，服务器解压APK文件，提取出Dalvik字节码文件和AndroidManifest.xml配置文件。

4.根据权利要求3所述的方法，其特征在于，该方法还包括：

服务器反汇编Dalvik字节码文件，并根据Dalvik字节码文件信息构建程序结构，包括：指令结构、基本结构、函数结构、类结构、函数调用图、控制流图；

服务器解析AndroidManifest.xml配置文件获取入口函数名，并从构建的程序结构中找出对应的函数结构，作为模拟执行的入口函数。

5.根据权利要求1或4所述的方法，其特征在于，所述服务器模拟执行Android应用程序的包括：

服务器从入口函数开始，根据构建出的程序结构，模拟函数的调用序列和函数内指令的执行顺序，并按指令的执行顺序，按顺序模拟每条指令的执行。

6.根据权利要求5所述的方法，其特征在于，该方法还包括：

在模拟指令的执行过程中，服务器收集函数变量的程序状态信息，并利用收集到的变量的程序状态信息，判断动态机制函数实际的调用对象，根据当前对象查找相关响应函数。

7.一种Android恶意应用程序检测系统，其特征在于，该系统包括客户端和服务器；其中：

所述客户端，用于将待测的Android应用程序的APK文件发送给服务器；

所述服务器，用于根据客户端发来的APK文件模拟Android应用程序的执行，将Android应用程序调用的系统函数的敏感特征信息与敏感数据引入规则库中存储的敏感特征信息进行匹配，将匹配成功的系统函数的变量标记为敏感数据；同时将含有敏感数据的函数参数与恶意行为检测规则库中存储的恶意行为特征信息进行匹配，将匹配成功的函数参数标记为恶意行为。

8.根据权利要求7所述的系统，其特征在于，所述客户端包括第一通讯模块，用于将待测的Android应用程序的APK文件发送给服务器。

9.根据权利要求7所述的系统，其特征在于，所述服务器包括第二通讯模块、流敏感分析引擎、敏感数据引入规则库和恶意行为检测规则库；其中：

所述第二通讯模块，用于接收客户端发来的APK文件，并将APK文件发送给流敏感分析引擎；

所述流敏感分析引擎，用于根据收到的APK文件模拟Android应用程序的执行，将Android应用程序调用的系统函数的敏感特征信息与敏感数据引入规则库中存储的敏感特征信息进行匹配，将匹配成功的系统函数的变量标记为敏感数据；还用于将含有敏感数据的函数参数与恶意行为检测规则库中存储的恶意行为的检测规则进行匹配，将匹配成功的函数参数标记为恶意行为；

所述敏感数据引入规则库，用于存储敏感特征信息；

所述恶意行为检测规则库，用于存储恶意行为特征信息。

10.根据权利要求9所述的系统，其特征在于，所述流敏感分析引擎包括匹配模块和恶意行为检测器；其中：

所述匹配模块，用于将Android应用程序调用的系统函数的敏感特征信息与敏感数据引入规则库中的敏感特征信息进行匹配，将匹配成功的系统函数的变量标记为敏感数据，将匹配后的数据送入恶意行为检测器进行恶意行为检测；

所述恶意行为检测器，用于将含有敏感数据的函数参数与恶意行为检测规则库中存储的恶意行为特征信息进行匹配，将匹配成功的函数参数标记为恶意行为。