[发明专利]一种基于动态行为分析的有害广告件检测方法及系统

说明书

技术领域

本发明涉及移动终端恶意代码检测技术领域，尤其涉及一种基于动态行为分析的有害广告件检测方法及系统。

背景技术

随着移动互联网的发展和智能移动终端的大范围使用，恶意代码对智能移动终端的系统安全及信息安全的威胁也日益增加。移动终端恶意代码在形态上，技术利用上和恶意行为上都在不断的衍生和变化，并在移动互联网应用开发模式和技术的发展下衍生出了许多新式的形态。在移动互联网的快速发展中，随着开发者数量和规模的逐步的扩大，衍生出了许多用于向开发者提供各种服务的SDK工具和中间件，例如有提供广告推广服务的SDK中间件，有提供消息和数据推送的SDK中间件，也有提供应用推广和分发的SDK中间件等等。这些SDK中间件通过开发接口开放的形式，向开发者提供了各种常用的功能，极大的方便了开发者，可以用于快速的在应用中通过集成这些SDK来使得移动应用程序具备广告推广能力从而为开发者谋取开发收益。

在这种背景下，就形成了一种新型的有害移动互联网程序的形态，即基于公开的正当的广告件SDK开发的有害移动互联网恶意程序，通过对广告SDK的封装，恶意代码作者可以基于SDK提供的功能开发出有害用户的代码，例如通过对广告推广服务的SDK的封装，恶意代码作者可以在应用退出后继续在后台在用户不知情的情况下访问广告链接，在后台在用户不知情的情况下私自下载和安装推广应用等等来达到恶意非法牟利的目的。

目前安全厂商都在积极的进行这类新型恶意程序的检测方法和对抗方法的设计和研究，目前主要有以下几种方法和策略：

第一种方法是在移动终端上采取主动防御的技术和手段，通过对应用的网络行为，通信行为，应用安装等行为进行行为拦截和控制，在应用的相关行为触发时向用户进行提示和询问是否授权来进行行为控制，并进一步达到对广告件所产生的有害行为进行控制的目的。这种方法的缺点在于需要对用户移动终端进行提权，即获得ROOT权限，而提权行为本身极大的损害了移动终端自有的安全保护机制，并对用户移动终端造成了不可逆的影响，同时并不是所有移动终端系统都能有效稳定的完全提权过程，部分移动终端在提权后还会出现运行缓慢，死机甚至无法启动的情况。与此同时，这种方法要求用户对所有广告件和应用的正常行为都进行判断和授权，对于用户来说，难以对正常的广告件行为和恶意广告件行为进行有效区分，因此在实际中并没有妥善的解决有害广告件的问题。

第二种方法则是通过对移动终端应用程序进行静态检测来进行有害广告件的检测和判定，这种方法通常是采用了移动终端反病毒引擎的通用检测方法来进行对有害广告件进行检测和识别，其通过对应用中是否包含有广告件SDK的相关的代码符号信息和代码结构信息来进行广告件识别。这种方法的缺点主要在于，极其容易导致大量的误报和错报。对于移动终端应用程序和广告件SDK来说，其本身是一种正常的用于开发者的开发中间件工具，其代码和行为本身都并不具备危害性，而是由于开发者的不正当使用或故意作恶而导致形成了有害的广告应用，因此通过这种方法来对广告件进行检测，极其容易导致正常的广告件应用被误报为有害的，进而无法向用户提供有效的判定和检测信息。

发明内容

针对上述技术问题，本发明提供了一种基于动态行为分析的有害广告件检测方法及系统，该发明利用了已经成熟的动态行为分析技术，并筛选出广告件相关的行为信息，通过与正常广告件行为规则库和有害广告件行为规则库进行匹配，从而判定广告件是否恶意，从而准确、高效地检测广告件恶意行为。

本发明采用如下方法来实现：一种基于动态行为分析的有害广告件检测方法，包括：

识别移动终端应用程序中的广告件，获取广告件相关信息，所述相关信息包括：广告件名称和广告件代码信息；

利用现有动态行为分析环境，在预设时间内执行所述移动终端应用程序，并记录执行过程中的行为信息；所述动态行为分析环境可以选用现有的任何动态行为分析技术；

利用所述广告件代码信息过滤所述行为信息，只获取与广告件相关的行为信息；

分析和处理所述与广告件相关的行为信息，并形成广告件的行为规则，与正常广告件行为规则库和有害广告件行为规则库进行匹配，最终得到广告件检测结果；其中，匹配方法可以选用相似性比对或者差异性比对等算法来完成；

所述正常广告件行为规则库用来记录广告件正常行为的行为规则；所述有害广告件行为规则库用来记录广告件有害行为的行为规则。

其中，所述正常广告件行为规则库可以通过人工分析或者是自动化分析方法来获取。