[发明专利]一种基于多运行环境行为比对的安卓恶意应用检测系统

权利要求书

1.一种基于多运行环境行为比对的安卓恶意应用检测系统，包括：

信息提取模块，对被检测的APK安装文件进行反编译，分析反编译后生成的smali文件中各个类的相关信息，为后续的日志分析提供数据支持；

动态分析模块，使用沙盒技术对Android应用程序进行动态分析，包括基于安卓原生系统修改的具有系统调用记录功能的系统运行镜像和经过定制的模拟器运行文件系统，组合成模拟器沙箱运行环境，在应用程序运行过程中对其所执行的一系列行为进行记录，由对被检测应用程序运行时所表现行为进行记录的子模块组成；

环境检测对抗模块，实时检测应用程序运行过程中的环境检测行为，并针对不同层次的检测行为进行对抗，将应用程序中运行环境检测的结果修改为伪装的运行环境特征，包括分别对应用层、安卓系统层、Linux系统层和模拟器体系结构层特征进行动态修改的动态修改子模块；

行为记录分析模块，在某一待测应用程序多次重复运行全部结束后对所有的行为日志进行统一处理与分析，包括应用行为日志预处理子模块，行为序列提取子模块，行为分析对比子模块和报告生成子模块；

系统运行调度模块，在系统运行过程中控制整个运行流程，包括模拟器运行调度子模块、待分析应用管理子模块、系统事件模拟子模块以及用户接口事件触发子模块；

其特征在于，所述行为日志预处理子模块对原始的行为日志文件进行整理，提取出所有该日志中出现的系统调用，并整理为一个列表，每个系统调用对应一个唯一的整数编号；

所述行为序列提取子模块根据上一步生成的系统调用与编号的对应关系转换为每一个单独的行为日志行为序列；

所述行为分析对比子模块采用比对算法对各个行为序列进行比较，计算两两之间的相似度，生成一致性矩阵，同时统计各个行为记录中API调用的数目；

所述报告生成子模块根据一致性矩阵的特征判断该应用是否存在隐藏的恶意行为，标明其恶意性，并输出检测报告。

2.根据权利要求1所述基于多运行环境行为比对的安卓恶意应用检测系统，其特征在于，所述动态分析模块工作流程如下：

步骤1：启动模拟器，等待模拟器启动完毕后解锁屏幕；

步骤2：如果当前分析状态下bugNum小于2则继续从正在分析的应用程序列表或者待分析队列中获取APK文件；

步骤3：设置模拟器状态为busy，安装应用程序，打开应用程序，将应用程序在前后台间进行切换，调用模拟系统事件操作，关闭并卸载应用程序，如果这整个过程中出现任何错误，则直接将bugNum加1，进入下一步骤；

步骤4：取消模拟器busy状态后，使用telnet命令关闭模拟器，如果失败，则使用kill命令直接关闭模拟器进程。

3.根据权利要求2所述基于多运行环境行为比对的安卓恶意应用检测系统，其特征在于，在发现sys.boot_completed系统属性已经为1之后，还判断目前模拟器屏幕是否还仍然为全黑，如果仍然黑屏说明模拟器还没有启动完全；当模拟器屏幕出现画面之后还需要判断系统中进程数目是否还在增加，当进程数目在一段时间内都不再增加后则表明模拟器完全启动完成；在模拟器完全启动，向其中安装被检测的应用程序并设定运行环境特征之后，启动应用程序，输入一系列系统事件来触发应用程序的响应行为，并记录第一次发送系统事件序列的顺序以及间隔时间，后续运行时按照这个记录在相同的时间点发送相同的系统事件。

4.根据权利要求1所述基于多运行环境行为比对的安卓恶意应用检测系统，其特征在于，所述环境检测对抗模块中，按照应用程序检测模拟运行环境方法的不同，能够表明运行环境类别的特征分别如下：

(1)应用层

通过检测设备中是否存在使用痕迹特征来判断该运行环境为模拟环境还是真实环境；

(2)安卓系统层

通过检测设备状态信息、设备硬件信息、系统属性信息来判断运行环境为模拟环境还是真实环境；

(3)Linux系统层

通过检测设备驱动信息、设备特征文件、getprop命令来判断运行环境为模拟环境还是真实环境；

(4)模拟器体系结构层

通过检测设备CPU信息特征文件、设备特征进程来判断运行环境为模拟环境还是真实环境。