移动互联网 Android 应用恶意行为自动化检测系统
移动互联网将移动通信和互联网二者结合起来,成为当今世界发展最快、市场潜力最大、前景最诱人的产业发展方向。最新数据统计,中国移动互联网用户已达到 4.64 亿。各大应 用市场如 Google Play 有百万种应用,国内机锋市场、天翼等平台也具有大量的安卓应用。 这些应用在给人们带来巨大便利的同时,也带来巨大的信息安全隐患和风险。据统计,超过 九成的应用软件涉嫌窃取用户隐私、恶意扣费、恶意推广、恶意捆绑植入病毒/木马等恶意 行为。这些恶意行为不仅给用户带来经济损失,甚至涉及人身安全问题。因此迫切需要快速、 准确地自动化检测如此庞大的应用程序的恶意行为。传统手机杀毒软件基于 PC 时代检测特征序列的方式识别恶意软件/恶意行为,虽然这种 方式高效、易于同步检测,但是存在只能查杀已知威胁、反馈周期长、易于绕过等诸多问题。 为了解决上述问题,我们设计并实现一个 Android 应用恶意行为自动化检测系统。本系统提 供一个基于行为查杀的完整解决方案,可服务于第三方管控部门、高级大型企业(如电信运 营商)、Android 工程师与普通用户等三大类用户。本系统结合静态分析、动态追踪、网络 流量定位三种方法实现“数据流、控制流、网络流”三流融合分析技术,可提供自动化应用 软件爬取、自动化检测分析、自动化特征库更新、自动化恶意行为挖掘、恶意攻击训练、证 据留存等多项服务,达到爬取自动化、处理高效化、分析智能化、信息安全化的设计目标。 本系统主要的特点如下: 全平台部署更实用:跨平台语言设计,多重角度防护,可部署于 Windows XP/WIN7/WIN8 以及 Linux 主流版本。 自学习、更新更方便: 应用图论分析技术、自动化行为特征挖掘等技术,挖掘具有通用性的恶意行为链,无需频繁升级模型库。 智能网络爬虫更高效:针对第三方监控需求,本系统提供自动化网络爬取功能,可实现最优监控部署、最优更 新策略。 “3x3”立体更高维:“静态分析、动态追踪、网络流量三维度”,“数据流、控制流、网流”三层面,智能立 体分析模式,无懈可击的安全检测。 11类41种恶意行为检测更全面:可有效对隐私窃取、系统破坏、信息破坏等 41 种恶意行为进行检测,分类图如下图所示。 层级分析更迅速:系统依据层级分析结构,快速定位,快速甄别,快速分析。 “三流融合”更细致:本系统结合底层 API HOOK、动态污染分析、静态行为链识别、网络流量检测等方式,可分析恶意软件的函数调用关系、数据传播定位、恶意行为网络数据包。 恶意特征自动统计挖掘更可靠: 特征自动挖掘更节省人力与计算资源,标准处理流程无死角分析。 恶意攻击模拟更实战: 对官方发布系统与软件攻击模拟,自动化挖掘存在漏洞和风险。 分析数据更可观:行为统计、时间轴建模、应用权限分析、敏感函数展示、敏感数据分析、行为记录、运 行截图等多项数据展示,并支持数据导出功能。 测试项目更全面:课题组具有大量软件自动化测试经验,可支持适配测试、功能测试、可靠性测试、安全 性测试、环境测试、安全测试需求。性能参数: 准确性高,超过 97%的正确识别率; 完成一次普通测试任务不足30分钟,测量时间短,重现性好。
清华大学
2021-04-11