一种面向移动互联网的Android恶意软件检测平台的利记博彩app

一种面向移动互联网的Android恶意软件检测平台的利记博彩app
【专利摘要】本发明公开了一种面向移动互联网的Android恶意软件检测平台，本发明属于信息安全【技术领域】；目的在于克服现有Android恶意软件检测缺少动态检测的不足，实现Android恶意软件静态检测和动态检测的有机结合，通过把应用程序安装到Android沙盒中，自动启动并操纵Android应用程序，模拟用户对应用程序的各种实际操作，通过对应用程序运行情况的监视，可以获得应用程序的API调用信息以及各种动态行为，以此达到检测应用程序恶意行为的目的；本发明通过在Android沙盒中模拟用户对应用程序的操作，真实的还原了应用程序的实际行为，提高了Android恶意软件检测的效率和准确率。
【专利说明】—种面向移动互联网的Android恶意软件检测平台
【技术领域】
[0001]本发明属于信息安全【技术领域】，更为具体地讲，涉及一种面向移动互联网的Android恶意软件检测平台。
【背景技术】
[0002]当前，在使用Android系统的移动设备中，恶意软件泛滥严重。这些应用程序包含各种恶意行为，引发用户的隐私泄漏、经济损失等安全问题。
[0003]腾讯移动安全实验室最新发布的《2013年第一季度手机安全报告》显示，从软件样本池中抽取了近470万个软件包进行代码扫描后发现，有读取用户隐私权限的相关操作的软件比例达到71%。其中，读取设备识别信息与手机号码的占61.75%与28.33% ;读取地理位置信息的占28.27% ;读取通讯录的占10.29% ;读取短信的占4.22% ;打开手机摄像头与录音器的分别占4.15%与3.75%的比例；读取通话记录的占2.86% ;读取浏览器书签的占
7.93%。
[0004]本平台旨在利用Android虚拟机沙盘实现自动化分析恶意软件。通过监控软件在运行时所调用的系统函数，判断待测软件是否含有恶意行为，帮助用户识别出恶意软件，避免损失。

【发明内容】

[0005]本发明的目的在于克服现有Android恶意软件检测缺少动态检测的不足，提供一种面向移动互联网的Android恶意软件检测平台，实现Android恶意软件静态检测和动态检测的有机结合，通过把应用程序安装到Android沙盒中，自动启动并操纵Android应用程序，模拟用户对应用程序的各种实际操作，通过对应用程序运行情况的监视，可以获得应用程序的API调用信息以及各种动态行为，以此达到检测应用程序恶意行为的目的。
[0006]为了实现上述目的，本发明面向移动互联网的Android恶意软件检测平台，其特征在于，包括:
[0007]—客户端任务接收和HTTP请求模块，该模块用于给用户提供一个可以设置任务URL和HME0UT的界面，用户可以输入待检测软件的下载地址，设置任务的超时时间，然后向服务端发起任务的HTTP请求；
[0008]一客户端结果解析和展示模块，该模块等待服务器端返回JSON格式的数据，涉及JSON格式的数据解析以及对数据的组织管理；
[0009]一服务器端任务处理模块，该模块响应客户端的HTTP任务请求，根据参数URL获取完整的APPJf APP文件传到服务器端控制台模块；
[0010]一服务器端控制台模块，该模块接收到任务之后，开启一个新的线程，设置任务的参数，启动Android虚拟机快照；
[0011]—服务器端自动化扫描模块,本模块解压APP包，获得AndroidManifest.xml文件，将反编译后获得的明文文件发送给APP静态分析模块处理；在解压后的APP包中插入监视代码使其在运行时可被监视并重新打包，新的APP包发送给APP动态分析模块处理；
[0012]一APP动态分析模块，在上一模块开启Android虚拟机之后，本模块实现对Android虚拟机的控制，使APP可在沙盘中自动安装和运行，最终得到APP运行的日志信息；
[0013]一APP静态分析模块，本模块通过分析AndroidManifest.xml文件,获得APP的应用权限、组件及敏感函数，以此来判断程序本身可能含有的恶意行为；
[0014]服务器端控制台模块对Android虚拟机进行控制，当任务被提交到服务器端后，控制台会创建一个线程，控制虚拟机的运行；控制台支持多线程，可以同时处理多个任务；控制台会记录虚拟机的实时运行信息，生成运行日志。
[0015]服务器端自动化扫描模块解压APP包,获得AndroidManifest.xml文件,将反编译后获得的明文文件发送给APP静态分析模块处理；在解压后的APP包中插入监视代码并重新打包，新的APP包发送给APP动态分析模块处理；
[0016]APP动态分析模块将APP安装到Android虚拟机沙盘环境中；模拟用户启动并操作APP，自动控制APP的运行，仿真用户的操作，来达到暴露APP的行为的目的；通过对APP运行情况的监视，可以获得APP的API调用信息，并保存为JSON格式的结果，供接下来对该APP行为的动态分析。
[0017]APP静态分析模块从AndroidManifest.xml明文文件中获取APP的基本信息，包括应用权限、组件、触发函数等，并保存为JSON格式的结果。
[0018]APP动态分析模块和APP静态分析模块的JSON格式结果最终都经过服务器端控制台模块发送给客户端结果解析和展示模块进行处理和展示。
[0019]客户端结果解析和展示模块分析APP检测的JSON格式的数据，与数据库中已知的恶意行为进行匹配，保存经过分析处理后的检测结果，最后向用户展示检测结果。
[0020]本发明的发明目的是这样实现的:
[0021]本发明公开了一种面向移动互联网的Android恶意软件检测平台，在进行Android恶意软件检测时，首先通过客户端任务接收模块接收任务，设置任务的参数，然后向服务器端任务接收模块发送HTTP任务请求。服务器端任务处理模块响应请求，根据任务参数获取完整的APP，并将APP传到服务器端控制台模块，服务器端控制台模块创建一个线程用于控制Android虚拟机的运行，并记录虚拟机的实时运行信息。服务器端自动化扫描模块解压APP包，获得AndroidManifest.xml文件，将反编译后获得的明文文件发送给APP静态分析模块处理；在解压后的APP包中插入监视代码并重新打包，新的APP包发送给APP动态分析模块处理；APP动态分析模块将APP安装到Android虚拟机沙盘环境中；模拟用户启动并操作APP，自动控制APP的各种行为，仿真用户的操作，达到检测APP恶意行为的目的；APP静态分析模块从AndroidManifest.xml明文文件中获取APP的基本信息，包括应用权限、组件、触发函数等。APP动态分析扫描模块和APP静态分析模块的结果最终都经过服务器端控制台模块发送给客户端结果解析和展示模块进行处理和展示。客户端结果解析和展示模块分析APP检测的JSON格式的数据，与数据库中已知的恶意行为进行匹配，保存经过分析处理后的检测结果，最后向用户展示检测结果。
[0022]本发明具有检测Android软件动态行为和静态特征的功能，通过动态检测和静态检测的有机结合，提闻恶意软件检测的准确率和效率，暴露恶意软件的真实行为。【专利附图】

【附图说明】
[0023]图1是本发明面向移动互联网的Android恶意软件检测平台的【具体实施方式】原理框图；
[0024]图2是图1所示的服务器端控制台模块的原理框图。
【具体实施方式】
[0025]下面结合附图对本发明的【具体实施方式】进行描述，以便本领域的技术人员更好地理解本发明。需要特别提醒注意的是，在以下的描述中，当已知功能和设计的详细描述也许会淡化本发明的主要内容时，这些描述在这里将被忽略。
[0026]图1是本发明面向移动互联网的Android恶意软件检测平台的【具体实施方式】原理框图。
[0027]在本实施例中，如图1所示，本发明面向移动互联网的Android恶意软件检测平台包括客户端任务接收模块1、服务器端任务处理模块2、服务器端控制台模块3、服务器端自动化扫描模块4、客户端结果解析和展示模块5 ;服务器端自动化扫描模块4又包括APP静态分析模块401以及APP动态分析模块402。
[0028]客户端任务接收模块I接收用户的检测任务，构造检测任务的各项参数，向服务器发送HTTP请求；服务器端任务处理模块2响应客户端的HTTP请求，根据参数URL获取完整的APP，将APP文件传到服务器端控制台模块3，服务器端控制台模块3接收到任务之后，开启一个新的线程，设置任务的参数，启动Android虚拟机快照；服务器端自动化扫描模块4解压APP包,获得AndroidManifest.xml文件,将反编译后获得的明文文件发送给APP静态分析模块401处理，在解压后的APP包中插入监视代码使其在运行时可被监视并重新打包，新的APP包发送给APP动态分析模块402处理；APP动态分析模块402实现对Android虚拟机的控制，使APP可在沙盘中自动安装和运行，最终得到APP运行的日志信息；APP静态分析模块401通过分析AndroidManifest.xml文件,获得APP的应用权限、组件及敏感函数，以此来判断程序本身可能含有的恶意行为。APP静态分析模块401和APP动态分析模块402的结果在服务器端自动化扫描模块4中合并后经过服务器端控制台模块3发送到客户端结果解析与展示模块5进行数据解析与展示，向用户呈现检测的结果。
[0029]图2是图1所示的服务器自动化扫描模块的原理框图。
[0030]服务器自动化扫描模块，用于实现APP动态分析和静态分析，整个过程无需人为的干预，分析结果更为客观准确。通过APP动态分析，模拟用户对APP的操作，可以还原实际环境中APP的使用场景，暴露APP真实的行为，有效地解决APP静态分析中获取不到的APP动态行为的缺陷，结合APP动态分析和静态分析的结果，可以更全面的反应APP的行为特征，更容易发现APP的恶意行为；
[0031 ] 如图2所示，在本实施例中，服务器自动化扫描模块4分为APP静态分析模块401和APP动态分析模块402。
[0032] 服务器端自动化扫描模块4解压APP包,获得AndroidManifest.xml文件,将反编译后获得的明文文件发送给APP静态分析模块401处理；在解压后的APP包中插入监视代码并重新打包，新的APP包发送给APP动态分析模块402处理；APP动态分析模块402将APP安装到Android虚拟机沙盘环境中，通过APP自动控制4021模拟用户启动并操作APP，获取APP的API调用日志，形成APP的运行日志，交给服务器端自动化扫描模块4 ；APP静态分析模块401通过XML信息提取4011从AndroidManifest.xml明文文件中获取APP的基本信息，包括应用权限、组件、触发函数等，形成静态分析报告，交给服务器端自动化扫描模块4 ；服务器端自动化扫描模块4整合APP静态分析模块401和APP动态分析模块402的结果，形成最终分析结果。
[0033]本发明面向移动互联网的Android恶意软件检测平台具有以下特点:
[0034]I)、实现Android恶意软件静态检测和动态检测的合理结合，整个检测过程无需人为的干预，分析结果更为客观准确。
[0035]2)、通过APP动态分析，模拟用户对APP的操作，可以还原实际环境中APP的使用场景，暴露APP真实的行为，有效地解决APP静态分析中获取不到的APP动态行为的缺陷，结合APP动态分析和静态分析的结果，可以更全面的反应APP的行为特征，更容易发现APP的恶意行为。
[0036]尽管上面对本发明说明性的【具体实施方式】进行了描述，以便于本技术领的技术人员理解本发明，但应该清楚，本发明不限于【具体实施方式】的范围，对本【技术领域】的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。
【权利要求】
1.一种面向移动互联网的Android恶意软件检测平台，其特征在于，包括: 一客户端任务接收模块，该模块用于给用户提供一个可以设置任务URL和HME0UT的界面，用户可以输入待检测软件的下载地址，设置任务的超时时间，然后向服务端发起检测任务的HTTP请求； 一客户端结果解析与展示模块，该模块等待服务器端返回JSON格式的数据，涉及JSON格式的数据解析以及对数据的组织管理； 一服务器端任务处理模块，该模块响应客户端的HTTP任务请求，根据参数URL获取完整的APPJf APP文件传到服务器端控制台模块； 一服务器端控制台模块，该模块接收到任务之后，开启一个新的线程，设置任务的参数，启动Android虚拟机快照； 一服务器端自动化扫描模块，本模块解压APP包，获得AndroidManifest.xml文件，将反编译后获得的明文文件发送给APP静态分析模块处理；在解压后的APP包中插入监视代码使其在运行时可被监视并重新打包，新的APP包发送给APP动态分析模块处理； -APP动态分析模块，本模块实现对Android虚拟机的控制，使APP可在沙盒中自动安装和运行，最终得到APP运行的日志信息； 一APP静态分析模块，本模块通过分析AndroidManifest.xml文件,获得APP的应用权限、组件及敏感函数，以此来判断程序本身可能含有的恶意行为； 服务器端控制台模块对Android虚拟机进行控制，当任务被提交到服务器端后，控制台会创建一个线程，控制虚拟机的运行；控制台支持多线程，可以同时处理多个任务；控制台会记录虚拟机的实时运行信息，生成运行日志。 服务器端自动化扫描模块解压APP包，获得AndroidManifest.xml文件，将反编译后获得的明文文件发送给APP静态分析模块处理；在解压后的APP包中插入监视代码并重新打包，新的APP包发送给APP动态分析模块处理； APP动态分析模块将APP安装到Android虚拟机沙盒中；模拟用户启动并操作APP，自动控制APP的运行，仿真用户的操作，来达到暴露APP的行为的目的；通过对APP运行情况的监视，可以获得APP的API调用信息，并保存为JSON格式的结果，供接下来对该APP行为的动态分析。 APP静态分析模块从AndroidManifest.xml明文文件中获取APP的基本信息，包括应用权限、组件、触发函数等，并保存为JSON格式的结果。 APP动态分析模块和APP静态分析模的JSON格式结果最终都经过服务器端控制台模块发送给客户端结果解析和展示模块进行处理和展示。 客户端结果解析和展示模块分析APP检测的JSON格式的数据，与数据库中已知的恶意行为进行匹配，保存经过分析处理后的检测结果，最后向用户展示检测结果。
2.根据权利要求1所述的一种面向移动互联网的Android恶意软件检测平台，其特征在于，所述的服务器端控制台模块在接收到任务之后，开启一个新的线程，设置任务的参数I1ME0UT，启动Android虚拟机快照，将APP传入Android虚拟机中； APP动态分析模块分为模拟用户操作和获取APP运行日志两部分。通过模拟用户操作，使APP自动运行，达到获取APP动态行为的目的； 模拟用户操作部分，通过模拟用户对手机屏幕的点击操作，实现对APP的控制，从而使APP如同在真实环境中运行一样；此时，通过获取APP运行日志部分，可以把模拟用户操作时， APP调用的各种API信息记录下来，从而得到APP在此次模拟操作中的所有动态行为。
【文档编号】H04L29/06GK103685251SQ201310646562
【公开日】2014年3月26日 申请日期:2013年12月4日 优先权日:2013年12月4日
【发明者】秦志光, 赵洋, 王瑞锦, 刘昺侯, 胡龙, 巩晓波 申请人:电子科技大学