[发明专利]基于二进制动态插桩的Android恶意行为动态检测方法

说明书

本发明涉及基于二进制动态插桩的Android恶意行为动态检测方法，属于计算机与信息科学技术领域。本发明首先将通过Android动态检测框架触发被测软件的所有潜在恶意行为；然后通过动态二进制插桩技术，构建程序对系统API的调用序列，使用N‑Gram模型提取函数的调用时序关系特征；最后，将生成的时序关系特征输入到训练好的GBDT(Gradient Boosting Decision Tree，梯度提升决策树)多分类算法检测模型中，识别恶意软件并将该软件存在的恶意行为进行细粒度分类。本发明使用动态二进制插桩技术，在不需要知道程序源码的情况下提取软件的系统函数调用时序特征，不仅对Android恶意行为检测具有较高的准确率，而且可以将软件的恶意行为分为六类，具有更细致的检测结论粒度，有效提升Android恶意软件的检测效率。

技术领域

本发明涉及基于二进制动态插桩的Android恶意行为动态检测方法，属于计算机与信息科学技术领域。

背景技术

随着移动互联网的快速发展，智能手机在人们的生活中越来越普及，移动智能终端上的各类应用程序影响着人们生活的方方面面。Android操作系统自推出以来就因其高度的开放性成为当前最主流的智能手机操作系统之一。同时，因为Android系统的高度开放性，对于应用程序的安全性审查也较为宽松，黑客可以很容易的通过篡改正常软件、捆绑恶意代码等方式开发恶意应用并投放到应用市场。随着互联网上各类非官方的应用电子市场层出不穷，各类Android恶意软件的数量也在高速增长，Android系统的安全性问题正日益凸显，恶意软件的隐私窃取、流氓行为等恶意行为对用户的隐私和财产安全带来了严重威胁。

综合现有Android恶意行为检测方法，通常使用的方法有：

1.基于特征库比对的静态检测方法

该方法通常先对Android应用安装包APK文件进行解压和反编译操作，对反编译后的代码进行分析，提取出软件代码的语义特征或者权限调用等特征，并与已有的恶意样本特征库进行比对分析，从而检测出软件是否包含恶意行为。

2.基于字节码插桩技术的动态检测方法

该方法通常先对Android应用的APK文件进行反编译，在反编译后的代码中插入用于监控系统API调用的函数代码，再将插入后的代码进行重打包和签名生成新的APK文件，然后将新生成的应用软件安装到Android测试模拟器中，在软件运行过程中通过记录敏感API调用来实现对恶意行为的检测。

综上所述，目前常见的Android恶意行为检测方法都存在一些局限性。对于基于特征库比对的静态检测方法，由于当前很多Android恶意软件在编译时会对恶意代码进行混淆、加壳操作来对抗检测，导致无法从反编译后的代码中提取出软件的行为特征，从而无法检测出软件中的恶意行为；对于基于字节码插桩技术的动态检测方法，该方法无法将监控代码插入进行了恶意代码加壳的应用，同时，通常使用的动态检测方法仅能判断软件是否存在恶意行为，无法检测出恶意软件所执行的具体恶意行为，对恶意行为的检测粒度较粗。所以本发明提出一种基于二进制动态插桩的Android恶意行为动态检测方法。

发明内容

本发明的目的是为了提高Android恶意行为检测的准确率并对恶意行为进行更细粒度的识别与分类，提出一种基于二进制动态插桩的Android恶意行为动态检测方法。