[发明专利]一种基于多运行环境行为比对的安卓恶意应用检测系统

说明书

一种基于多运行环境行为比对的安卓恶意应用检测系统，包括：信息提取模块，对被检测的APK安装文件进行反编译，为后续日志分析提供数据支持；动态分析模块，使用沙盒技术对Android应用程序进行动态分析，并记录程序运行过程中执行的行为；环境检测对抗模块，实时检测程序运行过程中的环境检测行为，并针对不同层次的检测行为进行对抗，将应用程序中运行环境检测的结果修改为伪装的运行环境特征；行为记录分析模块，在某一待测应用程序多次重复运行全部结束后对所有的行为日志进行统一处理与分析；系统运行调度模块，在系统运行过程中控制整个运行流程。本发明可捕捉到应用程序的行为差异情况，并检测是否有恶意行为，适用于识别环境敏感恶意应用程序。

技术领域

本发明属于网络安全技术领域，特别涉及一种基于多运行环境行为比对的安卓恶意应用检测系统。

背景技术

当今互联网快速发展已经具有相当的规模。近些年随着智能移动终端设备的兴起，移动互联网也随之得到了快速发展，智能手机与平板电脑正在人们的生活中大量普及。随着智能移动终端操作系统的逐渐普及，Android系统平台凭借其操作的方便易用、优秀的可改造与扩展性以及系统开源等诸多优点，受到了众多移动设备研发与制造厂商的欢迎，同时也逐渐拥有了一批庞大的系统爱好者与用户群体。

也正是因为Android系统极高的用户占有率与其特有的开源性特点，Android系统成为了很多恶意软件制作者及黑色产业从事者的攻击目标，大量针对Android平台的恶意代码也随之出现。因此，研究对恶意代码实现快速而有效检测的成熟技术，不但能够对广大用户隐私与财产安全实施保护，减少用户的利益损失，而且也能够在很大程度上保护Android应用开发者的利益。目前对Android恶意代码进行检测的技术主要可以分为静态和动态两类。

传统的静态检测方法大多是针对在恶意代码中大量存在的重打包现象和针对恶意代码中的权限滥用现象进行分析,需要对Android应用程序的APK安装包进行分析，反编译其中可执行文件并分析其他资源文件来获取基础数据，然后进行进一步的挖掘和分类从而判定应用程序的性质。但是随着加密技术和混淆技术的不断发展，静态分析的方法很难获取到有效的信息细节。

现有的恶意代码动态检测技术主要是通过在各种模拟环境中真正地运行待检测的应用程序，在监控应用程序表现出的真实动态特征信息的基础上对恶意代码进行检测。目前的动态检测系统广泛使用的模拟运行环境主要基于QEMU、Virtual Box、VMWare等虚拟化技术，而无论采用哪种技术，其模拟运行环境与真实的物理设备始终存在一定的差别，而应用程序在运行的过程中可以从运行环境中获取到这些能够表明运行环境的信息。因此如果一个恶意的应用程序对运行环境十分敏感，发现其当前运行于一个模拟环境中，而且这种模拟环境有可能是一种动态检测系统的组成部分，那么该恶意应用就不会直接执行它的敏感行为，从而达到逃避检测的目的。这种检测模拟运行环境并改变运行状态的行为被称为反模拟器行为，这种情况是限制动态检测方法检测效果的一个重要因素。因此，目前需要一种能够应对应用程序的反模拟器行为，有效检测对环境敏感恶意应用程序的方法，来应对动态检测技术在这些方面所存在的不足。

发明内容

为了克服上述现有技术的缺点，本发明的目的在于提供一种基于多运行环境行为比对的安卓恶意应用检测系统，它依托动态分析隔离沙箱技术，通过检测应用程序运行过程中的运行环境检测行为，并采取针对性的对抗措施，将实际的运行环境伪装为多种不同的运行环境，把应用程序置于在这些不同运行环境中，采用应用行为动态捕捉方法，对应用在不同运行环境中的具体行为进行记录，分析对比应用程序表现行为，比对其在不同环境下的运行行为差异性，从而捕捉到应用程序的行为差异情况，并检测是否有恶意行为，适用于识别现有检测技术无法有效检测的环境敏感恶意应用程序。

为了实现上述目的，本发明采用的技术方案是：

一种基于多运行环境行为比对的安卓恶意应用检测系统，包括：