[发明专利]一种安卓应用恶意行为的检测方法及装置

说明书

本发明实施例公开了一种安卓应用恶意行为的检测方法和装置，所述方法包括：在内核中监听广播接收者BroadcastReceiver事件，监控安卓应用对系统应用程序编程接口API的调用；在响应事件中获取消息的意图Intent信息和上下文Context信息，依据所述信息构建API调用的特征向量；对所述特征向量进行检测，将所述API调用的特征向量与API调用行为的预设规则进行对比，判断所述API调用是否为安卓应用恶意行为。本发明实施例可以通过在应用运行时进行恶意行为检测，能够提高恶意行为检测准确率。

技术领域

本发明涉及移动通信技术领域，尤其涉及一种安卓应用恶意行为的检测方法及装置。

背景技术

随着移动互联网如火如荼的发展，手机应用软件的数量和种类正在日趋丰富。根据2017年8月4日中国互联网络信息中心（CNNIC）发布的第40次《中国互联网络发展状况统计报告》，我国网民总数占世界网民总数的五分之一，而如此众多的网民中，手机网民占比达到96.3%，大家在享受即时通信、网络新闻、网络游戏、搜索引擎、网络音乐、网络影视、电子邮件等应用带来的视听享受和生活便利的同时，也深受隐私泄露、恶意扣费及垃圾信息等危害。根据《中国移动互联网发展状况及其安全报告（2017）》，2016年境内感染移动恶意程序用户数量最多的手机操作系统是安卓操作系统。虽然在桌面操作系统下的防病毒技术层出不穷，但安卓系统在内部原理方面与桌面系统差别较大，且手机操作系统作为后起之秀，开发及应用时间较短，在基于安卓平台的应用突飞猛进发展的同时，安卓应用恶意行为的检测并没有跟上相应的节奏和步伐，还有很长的一段路要走。

现有的安卓应用恶意行为的检测方法主要包括静态检测和动态检测两种类型。其中静态检测方法主要是对安卓应用程序包，即APK文件进行分析。主要方法是将应用程序包通过反编译工具进行反编译，对其中的配置文件及源代码进行检测，通过匹配黑名单中的配置内容或者代码片段来识别恶意应用。静态检测的方法简便易行，但是由于这种方法依赖于黑名单的准确率及覆盖率，对于新出现的或者变种的恶意应用检出率很低，而且该方法对于混淆后的代码没有检测能力。动态检测的方法主要是通过沙箱模型，在测试环境下，将待检测应用放置在沙箱中虚拟运行，通过随机模拟的用户行为，触发应用的执行，分析执行过程中对系统的调用是否存在恶意行为，进而识别恶意应用。动态监测的方法主要依赖于用户行为的模拟是否全面，以及调用行为是否恶意行为的分析。由于用户行为模拟只是现实用户行为的一个抽样，并不能覆盖所有情况，再加上调用行为分析算法各异，恶意行为检测准确率也大不相同。对应用的运行日志及相关系统指标进行分析，进而对应用的威胁程度进行加权计算。

发明内容

为了解决上述技术问题，本发明实施例提供了一种安卓应用恶意行为的检测方法和装置，可以通过在应用运行时进行恶意行为检测，能够提高恶意行为检测准确率。

为了达到本发明目的，一方面，本发明实施例提供了一种安卓应用恶意行为的检测方法，包括：

在内核中监听广播接收者BroadcastReceiver事件，监控安卓应用对系统应用程序编程接口API的调用；

在响应事件中获取消息的意图Intent信息和上下文Context信息，依据所述信息构建API调用的特征向量；

对所述特征向量进行检测，将所述API调用的特征向量与API调用行为的预设规则进行对比，判断所述API调用是否为安卓应用恶意行为。

可选地，所述在响应事件中获取消息的意图Intent信息和上下文Context信息，依据所述信息构建API调用的特征向量包括：

获取所述Intent信息中的action、data、category、type、component、extra、referer信息，以及所述Context信息中的contextView、packageName、label信息，并将这些信息组成所述API调用的特征向量，以传递给检测模块进行检测。