移动互联网 Android 应用恶意行为自动化检测系统

移动互联网将移动通信和互联网二者结合起来，成为当今世界发展最快、市场潜力最大、

前景最诱人的产业发展方向。最新数据统计，中国移动互联网用户已达到 4.64 亿。各大应 用市场如 Google Play 有百万种应用，国内机锋市场、天翼等平台也具有大量的安卓应用。 这些应用在给人们带来巨大便利的同时，也带来巨大的信息安全隐患和风险。据统计，超过 九成的应用软件涉嫌窃取用户隐私、恶意扣费、恶意推广、恶意捆绑植入病毒/木马等恶意 行为。这些恶意行为不仅给用户带来经济损失，甚至涉及人身安全问题。因此迫切需要快速、 准确地自动化检测如此庞大的应用程序的恶意行为。传统手机杀毒软件基于 PC 时代检测特征序列的方式识别恶意软件/恶意行为，虽然这种 方式高效、易于同步检测，但是存在只能查杀已知威胁、反馈周期长、易于绕过等诸多问题。 为了解决上述问题，我们设计并实现一个 Android 应用恶意行为自动化检测系统。本系统提 供一个基于行为查杀的完整解决方案，可服务于第三方管控部门、高级大型企业(如电信运 营商)、Android 工程师与普通用户等三大类用户。

本系统结合静态分析、动态追踪、网络 流量定位三种方法实现“数据流、控制流、网络流”三流融合分析技术，可提供自动化应用 软件爬取、自动化检测分析、自动化特征库更新、自动化恶意行为挖掘、恶意攻击训练、证 据留存等多项服务，达到爬取自动化、处理高效化、分析智能化、信息安全化的设计目标。 本系统主要的特点如下:

 全平台部署更实用:

跨平台语言设计，多重角度防护，可部署于 Windows XP/WIN7/WIN8 以及 Linux 主流版本。

 自学习、更新更方便: 应用图论分析技术、自动化行为特征挖掘等技术，挖掘具有通用性的恶意行为链，无需

频繁升级模型库。

 智能网络爬虫更高效:

针对第三方监控需求，本系统提供自动化网络爬取功能，可实现最优监控部署、最优更 新策略。

 “3x3”立体更高维:

“静态分析、动态追踪、网络流量三维度”，“数据流、控制流、网流”三层面，智能立 体分析模式，无懈可击的安全检测。

 11类41种恶意行为检测更全面:

可有效对隐私窃取、系统破坏、信息破坏等 41 种恶意行为进行检测，分类图如下图所示。

 层级分析更迅速:

系统依据层级分析结构，快速定位，快速甄别，快速分析。

 “三流融合”更细致:

本系统结合底层 API HOOK、动态污染分析、静态行为链识别、网络流量检测等方式，

可分析恶意软件的函数调用关系、数据传播定位、恶意行为网络数据包。  恶意特征自动统计挖掘更可靠: 特征自动挖掘更节省人力与计算资源，标准处理流程无死角分析。  恶意攻击模拟更实战: 对官方发布系统与软件攻击模拟，自动化挖掘存在漏洞和风险。

 分析数据更可观:

行为统计、时间轴建模、应用权限分析、敏感函数展示、敏感数据分析、行为记录、运 行截图等多项数据展示，并支持数据导出功能。

 测试项目更全面:

课题组具有大量软件自动化测试经验，可支持适配测试、功能测试、可靠性测试、安全 性测试、环境测试、安全测试需求。

性能参数:

 准确性高，超过 97%的正确识别率;

 完成一次普通测试任务不足30分钟，测量时间短，重现性好。