一种面向移动互联网的Android恶意软件检测平台

摘要

本发明公开了一种面向移动互联网的Android恶意软件检测平台，本发明属于信息安全技术领域；目的在于克服现有Android恶意软件检测缺少动态检测的不足，实现Android恶意软件静态检测和动态检测的有机结合，通过把应用程序安装到Android沙盒中，自动启动并操纵Android应用程序，模拟用户对应用程序的各种实际操作，通过对应用程序运行情况的监视，可以获得应用程序的API调用信息以及各种动态行为，以此达到检测应用程序恶意行为的目的；本发明通过在Android沙盒中模拟用户对应用程序的操作，真实的还原了应用程序的实际行为，提高了Android恶意软件检测的效率和准确率。

主权项

一种面向移动互联网的Android恶意软件检测平台，其特征在于，包括：—客户端任务接收模块，该模块用于给用户提供一个可以设置任务URL和TIMEOUT的界面，用户可以输入待检测软件的下载地址，设置任务的超时时间，然后向服务端发起检测任务的HTTP请求；—客户端结果解析与展示模块，该模块等待服务器端返回JSON格式的数据，涉及JSON格式的数据解析以及对数据的组织管理；—服务器端任务处理模块，该模块响应客户端的HTTP请求，根据参数URL获取完整的APP，将APP包上传到服务器端控制台模块；—服务器端控制台模块，该模块接收到任务之后，开启一个新的线程，设置任务的参数，启动Android虚拟机快照；—服务器端自动化扫描模块，本模块解压APP包，获得AndroidManifest.xml文件，将反编译后获得的明文文件发送给APP静态分析模块处理；在解压后的APP包中插入监视代码使其在运行时可被监视并重新打包，新的APP包发送给APP动态分析模块处理；—APP动态分析模块，本模块实现对Android虚拟机的控制，使APP可在沙盒中自动安装和运行，最终得到APP运行的日志信息；—APP静态分析模块，本模块通过分析AndroidManifest.xml文件，获得APP的应用权限、组件及敏感函数，以此来判断程序本身可能含有的恶意行为；服务器端控制台模块对Android虚拟机进行控制，当任务被提交到服务器端后，控制台会创建一个线程，控制虚拟机的运行；控制台支持多线程，可以同时处理多个任务；控制台会记录虚拟机的实时运行信息，生成运行日志；服务器端自动化扫描模块解压APP包，获得AndroidManifest.xml文件，将反编译后获得的明文文件发送给APP静态分析模块处理，在解压后的APP包中插入监视代码并重新打包，新的APP包发送给APP动态分析模块处理；APP动态分析模块将APP安装到Android虚拟机沙盒中；模拟用户启动并操作APP，自动控制APP的运行，仿真用户的操作，来达到暴露APP的行为的目的；通过对APP运行情况的监视，可以获得APP的API调用信息，并保存为JSON格式的结果，供接下来对该APP行为的动态分析；APP静态分析模块从AndroidManifest.xml明文文件中获取APP的基本信息，包括应用权限、组件、触发函数，并保存为JSON格式的结果；APP动态分析模块和APP静态分析模块的JSON格式结果最终都经过服务器端控制台模块发送给客户端结果解析与展示模块进行处理和展示；客户端结果解析与展示模块分析APP检测的JSON格式的数据，与数据库中已知的恶意行为进行匹配，保存经过分析处理后的检测结果，最后向用户展示检测结果。