[发明专利]一种基于程序切片技术的安卓恶意软件检测方法

说明书

技术领域

本发明给出了一种基于程序切片技术的安卓恶意软件检测方法的设计方案，主要解决程序切片技术应用于安卓平台所涉及到的关键结点发现问题，属于安卓系统的信息安全领域。

背景技术

随着移动互联网的飞速发展，具有移动操作系统的智能手机已成为目前移动终端发展的主流。智能手机不再是传统的通讯工具，像掌上电脑一样，智能手机已具有独立的操作系统，可以由用户自行安装或卸载如QQ、百度地图、手机安全卫士等第三方开发商提供的应用，不断地对手机的功能进行扩充。其中，基于Linux内核的Android移动终端操作系统发展最为迅速，由于其开源性，任何组织或个人编写的软件都可以上传到系统的应用商店，供用户随意下载并安装使用。因此，恶意软件也把用户的智能终端作为潜在的攻击目标。目前，恶意扣费、隐私窃取、系统破坏成为恶意软件的主要危害。

目前恶意软件检测方案主要有，基于特征代码的检测方案和基于行为的检测方案。基于特征代码的检测方案，通过检测文件是否拥有已知恶意软件的特征代码(如，一段特殊代码或字符串)来判断其是否为恶意软件。而基于行为的检测方案则依靠监视程序的行为(如，通过动态拦截或静态分析的方法获取程序的系统调用序列)，与已知的恶意行为模式(如，恶意软件的系统调用序列)进行匹配，来判断目标文件是否具备恶意趋向。

根据检测时机的不同，基于行为的检测方法可分为动态、静态和混合三种。动态行为检测在程序运行的过程中执行，静态行为检测在程序运行之前执行，混合检测则包括动态检测和静态检测。

由于需要在程序运行时执行检测，动态检测对实时性要求较高，必须确保在恶意程序对系统产生损害前检测出威胁。通常的解决方法是利用沙盒、虚拟机来模拟执行程序，但这也带来更大的能耗。静态行为检测通过逆向工程手段，抽取程序的特征，如二进制序、操作码序列、函数调用序列等，在此基础上构建和还原程序的行为。与动态行为检测相比，静态行为检测能耗更低(无须沙盒、虚拟机)，风险更小，对实时性要求更低(在程序执行前进行检测)。

程序切片作为一种分析和理解程序的技术，通过分析程序语句之间的依赖性关系自动分解源程序。程序切片技术在软件工程领域有广泛的应用，例如程序理解、调试、维护、测试以及反向工程等，在信息安全方面也发挥着非常重要的作用。

参考文献：

[1]A-DSchmidt,R.Bye,H-GSchmidt,J.Clausen,O.Kiraz,K.A.Yüksel,S.A.Camtepe,S.Albayrak.StaticAnalysisofExecutablesforCollaborativeMalwareDetectiononAndroid[C].The9thIEEEInternationalConferenceonCommunications,Dresden,Germany,2009:1-5.

[2]ZhengqiangChen,BaowenXu.SlicingObject-OrientedJavaPrograms[M].ACMSIGPLANNotice,2001,33-40.

[3]ZhengqiangChen,BaowenXu.AnApproachtoAnalyzingDependencyofConcurrentPrograms[C].TheFirstAsia-PacificConferenceonQualitySoftware,APAQS2000HongKong,2000,34-39.

发明内容

技术问题：本发明提出一种基于程序切片技术的安卓恶意软件检测方法的设计方案。该方案从安卓应用的APK文件出发，利用程序切片技术对应用的源代码进行分析，找出影响该应用安全性的关键结点，检测安卓恶意软件，以达到减少人工操作的目的。最终目的是设计一种基于程序切片技术的安卓恶意软件检测方法。

技术方案：本发明结合程序切片技术，对Android应用的APK文件进行源代码分析。通过分析程序语句之间的依赖性关系，结合AndroidSDK类和函数字典，查询源代码中是否包含影响该应用安全性的API调用，并判断相应的函数调用参数，定义安全评价指标，寻找影响该应用安全性的关键结点，从而检测该Android应用中是否包含恶意行为，得出是否为恶意软件的结论。

该技术方案主要有如下几个步骤：

该检测方法从安卓应用的安装文件APK出发，利用程序切片技术分析应用的源代码，找出影响该应用安全性的关键结点，检测Android恶意软件，以达到减少人工操作的目的，该方法包含的步骤如下：