[发明专利]一种安卓应用恶意行为的检测方法

说明书

现代的反病毒技术体系前端是以反病毒引擎技术为核心，应用于主机和网络两个工作场景；而后端则依靠大规模的海量数据分析处理体系作为支持。传统的恶意行为检测就是依靠前端采集的恶意文件样本或即时触发的事件提交到后端系统中做分析、处理。基于恶意行为检测技术是在近年来反病毒技术不断演进中逐渐形成的，新病毒技术的产生往往会直接促使反病毒技术整个层次的提高，这种攻防对弈往往很被动。沙箱技术是为一些不可靠的程序提供实验而不影响系统运行的环境，其主要思想在于隔离机制与层级安全架构。本发明研究并提出一种基于SVM的恶意行为检测模型，并将其应用于基于沙箱技术的Android系统中。

技术领域

本发明涉及通信领域，具体涉及一种安卓应用恶意行为的检测方法。

背景技术

目前，针对恶意代码及行为的检测可大致分为以下几个方面：

基于网络通信流量的检测。类似在大型互联网企业中，传统通信流量是针对内容的分发逐渐转变为针对整体集群架构的分布式服务策略。在应用层级对负载流量进行检测，清洗并提取包含攻击的通信数据，然后在此基础上进行检测。目前，基于流特征的恶意代码检测技术,从网络中存在的各种己知和未知的异常流量,并配合历史数据对发现的异常流量进行分析，从而得知恶意行为的具体目的。

基于特征码的检测。基于特征码的检测技术可以追溯到80，90年代然后一直流行至今。反病毒软件采用特征匹配的方式去对病毒木马进行查杀。这对已知的病毒木马进行查杀非常有效，一般安全厂商会预先通过蜜罐、蜜网捕获收集大量的恶意样本，并这些样本提取特征码，建立一个巨大的特征库。放在云端，当用户触发一些行为比如说网站下载了一个文件、或者插入U盘时。则针对该敏感文件与特征数据库进行匹配，用来判断该文件是否为恶意文件。目前，一种基于主机异常行为的分布式恶意代码检测技术它是对传统的基于主机特征码的恶意行为检测无法对一些行为或特征时，采取将其提交到分布式恶意代码检测系统中，进行二次检测。从而提高恶意应用的检测准确率。但是这种针对未知的恶意应用采用特征匹配的方式就略显鸡肋。

完整性校验签名机制检测。当我们主机系统感染恶意代码时，有时会伴随一些类似破坏系统资源的状况，因此这些目标的完整性被破坏，因此我们可以对信息资源做完整性校验。还有的一些安全机制会对系统提供保护，当攻击者拿到权限并被系统的安全机制捕获时，直接联动告警并拒绝攻击者的权限并限制对数据的访问。因此在完整性测量方面通过比对当前状态和先前状态即基线来进行确定。典型的完整性校验签名机制有Windows下的代码签名验证。然而基于证书窃取的攻击作业比较普遍，而且被窃取对象往往都是知名厂商，安全分析者们更是看到了专门进行签名证书窃取的恶意代码。同时，可信计算模型也没能有效地覆盖到能够应对格式溢出、脚本、Webshell等威胁。因此签名机制在证书保护上还有很长的路要走。

虚拟机技术。早期的恶意代码中，绝大多数病毒都是感染性病毒。这些病毒往往在干扰目标程序的会加入加密等形式进行病毒代码，可以躲过我们杀毒软件的特征识别，因为它们在静态特征上几乎跟原来完全不一样。我们通过对这些病毒的分析和研究，发现可以通过虚拟执行来还原这些被加密甚至很多被变形的病毒程序都可以还原这些病毒的本来面貌。仍然可以通过传统识别方式识别病症。随着互联网的发展，病毒在形态上通过加壳的方式来对抗特征识别。而虚拟机技术恰好可以解决这类问题，因此以虚拟机技术为根基而衍生出的更多恶意行为检测技术。