模擬用戶行為的安卓軟件惡意行為觸發系統及方法技術方案

本發明專利技術公開了一種模擬用戶行為的安卓軟件惡意行為觸發系統及方法，增加模擬真實用戶手機環境變化的技術，對在動態檢測技術中對惡意軟件行為的觸發更加有效率，并且對惡意軟件在識別模擬器環境上造成困難；所述系統包括用戶信息采集模塊、用戶數據挖掘模塊、遍歷引擎模塊三大模塊；具體步驟為：手機端收集用戶行為特征量、服務器存儲并分析用戶行為特征量、生成行為特征量的關聯數據組、用戶上傳待測APK文件、對APK文件進行預處理、利用軟件進行應用控件分析、生成控件樹遍歷策略、利用遍歷引擎開始進行控件樹遍歷、判斷是否觸發完畢、保存每個不同界面的截圖。本發明專利技術遍歷覆蓋率更高，對惡意行為的觸發更全面，遍歷速度更高。

Android software malicious behavior triggering system and method for simulating user behavior

System and method for triggering Android software malicious behavior of the invention discloses a simulation of user behavior, increased to simulate the real user environment change of mobile phone technology in dynamic detection technology to trigger malicious software behavior more efficiently, and the malicious software is difficult to environment in the recognition mode; the system comprises a user the information collection module, data mining module, user traversal engine module three modules; the specific steps are as follows: mobile phone terminal to collect user behaviors, server storage and analyze user behavior characteristics, formation behavior features of the associated data sets, users upload sample APK files, APK files on the pretreatment, by using the software application of control analysis, control strategy, using the generated tree traversal traversal engine start control tree traversal, determine whether the trigger is completed, save Screenshot of each different interface. The invention has higher traversal coverage rate, more complete triggering of malicious behavior and faster traversal speed.

【技術實現步驟摘要】
模擬用戶行為的安卓軟件惡意行為觸發系統及方法
本專利技術屬于計算機
，尤其涉及一種模擬用戶行為的安卓軟件惡意行為觸發系統及方法。
技術介紹
隨著手機智能化的發展，各式各樣的應用軟件出現在各大應用商店中，而對應的手機操作系統也在不斷的更新換代。如今，手機操作系統的全球市場份額幾乎被安卓操作系統和IOS操作系統所占領，而安卓操作系統的使用率毫無疑問的位居榜首。安卓系統的開源性一直是各大用戶和手機制造商所津津樂道的優點，但是正因為這種特性，安卓系統不得不面臨比IOS系統嚴峻的多的安全性問題。據統計，如今每5到6臺運行安卓操作系統的手機就有1臺被感染了病毒，每年給用戶造成的損失難以估計，為了檢測出手機惡意軟件的行為，國內外的研究者展開了系統而深入的研究。現今主流的手機軟件惡意行為檢測的方法有兩種：靜態分析方法和動態分析方法。靜態分析方法主要通過逆向分析APK文件的源代碼或者AndroidManifest文件的權限特征來檢測惡意軟件的行為，該方法的優點是分析速度快，適用于大規模的惡意軟件分析。但是，隨著代碼混淆和加固技術的發展，獲取APK文件的源代碼或者特征變得越來越困難，同時市場上的絕大部分軟件存在過度申請權限的行為，這造成了靜態分析方法對惡意軟件進行分析的困難。動態分析方法是一個還在發展中的惡意軟件檢測方法，主要通過一個沙盒來模擬軟件的運行環境，監控和分析軟件的行為，進而判斷該軟件是否為惡意軟件。它包括三個方面的內容：軟件惡意行為的觸發，軟件惡意行為的監控，軟件惡意行為的分析。其中，軟件惡意行為的觸發是國內外研究較少的一個領域，大部分的觸發方式停留在單純的調用MonkeyRunner工具生成的偽隨機事件流，隨機的點擊操作無法有效的觸發惡意軟件的行為，所以如何能夠更加全面和快速的對待測應用進行遍歷是一個亟待解決的問題。北京奇虎科技有限公司申請的專利“一種安卓應用UI控件精準遍歷方法和裝置”(申請號CN201510940069.7申請公布號CN105468529A)公開了一種基于Activity控件遍歷的技術。該方法由測試進程在監控到目標應用啟動后，獲取Activity棧頂的Activity對象的Activity名稱；根據所述Activity名稱，從策略庫中獲取對應所述Activity的點擊條件策略；根據所述點擊條件策略，對所述Activity對象中的各UI控件進行點擊操作；根據所述點擊操作記錄測試結果并輸出。該方法存在的不足之處是遍歷操作發生在手機端，由于移動終端性能的影響導致遍歷的效率不高。其次，該方法僅僅是單純的UI控件遍歷技術，并沒有與移動安全這個特殊背景相結合。深圳數字電視國家工程實驗室股份有限公司申請的專利“一種應用程序的自動化動態檢測方法及裝置”(申請號CN201410836820.4申請公布號CN104462979A)提供了一種應用程序的自動化動態檢測方法及裝置，利用軟件分析當前窗口所包含的多個控件，并在多個控件中篩選出關鍵控件，及關鍵控件的位置坐標和關鍵屬性，并自動在位置坐標處執行關鍵屬性的輸入操作，整個過程自動完成無需人工參與，從而降低了人工成本，并且僅對多個控件中較為重要的關鍵控件執行輸入操作，對作用不大的其余控件，則不執行輸入操作，因此大大提高了檢測效率。該方法存在的不足之處是：(1)關鍵控件的數量太少導致遍歷的覆蓋率不高。(2)無法應對在測試過程中惡意軟件對虛擬機環境的辨別。綜上，現有的動態檢測技術對于惡意軟件行為觸發方面還存在有以下幾點不足：(1)控件的遍歷覆蓋率較低，某些特殊的控件無法進行有效的觸發操作。(2)控件的遍歷效率較低。(3)不能抵御惡意軟件對模擬器環境的檢測，有可能在軟件觸發過程中無法有效的激活軟件的惡意行為。
技術實現思路
本專利技術的目的在于提供一種模擬用戶行為的安卓軟件惡意行為觸發系統及方法，旨在解決現有移動終端用戶身份認證系統存在控件的遍歷覆蓋率較低，不能抵御惡意軟件對虛擬機環境的檢測，單純的進行控件點擊來觸發軟件的惡意行為，容易導致檢測失敗的問題。本專利技術是這樣實現的，一種模擬用戶行為的安卓軟件惡意行為觸發方法，該方法預先收集用戶的行為信息來建立一個模擬用戶行為的模型，該模型用于在動態分析過程中抵御惡意軟件對模擬器環境的檢測；同時，該方法針對不同類型的控件采取不同的觸發策略來提高遍歷覆蓋率，比如對于TextView類型的控件將會填入預先設定好的文本內容，對于ListView類型的控件將會補充滑動操作，對于視頻播放或WebView等無法有效操作的控件采取忽略等。所述改進的模擬用戶行為的安卓軟件惡意行為觸發方法增加模擬真實用戶手機環境變化，本專利技術中手機環境變化因素具體為應用啟動時間、手機定位信息、手機所處的網絡環境這三點。具體步驟如下：手機端收集用戶行為特征量，當應用啟動時，在用戶手機上收集啟動應用的基本信息，應用的啟動時間，手機的定位信息，手機所處的網絡環境；服務器存儲并分析用戶行為特征量，將收集到的信息上傳至服務器進行存儲，利用FP-Growth算法進行數據分析并比對已存儲的數據，找出不同種類的應用所對應的啟動時間-定位信息改變量制定用戶行為模擬策略；生成行為特征量的關聯數據組。進一步，所述生成行為特征量的關聯數據組之后：步驟一，用戶上傳待測APK文件，用戶將需要進行惡意檢測的軟件上傳至指定服務器；步驟二，對APK文件進行預處理，服務器利用軟件對APK文件中的XML類型文件進行分析，提取出應用名信息；步驟三，利用軟件進行應用控件分析，服務器利用軟件對上傳的應用進行界面分析，生成界面樹和對應的控件樹；界面樹中每一個界面為一個樹節點，控件樹中每一個控件為一個樹節點；步驟四，生成控件樹遍歷策略，對于不同的控件需要有不同的觸發策略，同時需要添加所生成的關聯數據組進行遍歷；步驟五，利用遍歷引擎開始進行控件樹遍歷，在模擬器中開啟模擬用戶行為進程，按照策略進行用戶行為模擬；樹的遍歷方式采用廣度遍歷；步驟六，判斷是否觸發完畢，如果控件觸發完畢，則進行步驟七；若程序中斷或者崩潰，則進行步驟五；步驟七，保存每個不同界面的截圖。進一步，所述生成行為特征量的關聯數據組的關聯數據組應為一組數組，包括應用使用時間，應用種類，使用應用時手機的位置信息變化量，網絡狀態。位置信息變化量的計算方法為：設位置1的經度為M1，緯度為N1，位置2的經度為M2，緯度為N2，則位置信息變化為：T2＝N22+M22-(N12+M12)。本專利技術的另一目的在于提供一種所述模擬用戶行為的安卓軟件惡意行為觸發方法的安卓軟件惡意行為觸發系統，所述安卓軟件惡意行為觸發系統包括：用戶信息采集模塊、用戶數據挖掘模塊、遍歷引擎模塊。進一步，所述用戶信息采集模塊包括：應用上傳子模塊：用于上傳待測應用APK文件；應用監聽子模塊：用于獲取用戶在使用不同種類應用時的手機狀態信息；結果反饋子模塊：用于將檢測結果反饋給用戶。進一步，所述用戶數據挖掘模塊包括：用戶數據存儲子模塊：用于存儲采集到的用戶數據；用戶數據分析子模塊：用于分析用戶數據，得到模擬用戶行為的特征量。進一步，所述遍歷引擎模塊包括：應用界面分析子模塊：用于分析應用的界面和控件信息；應用控件觸發策略生成子模塊：用于生成控件的觸發策略，包括但不限于對特殊控件進行處理；控件本文檔來自技高網...

【技術保護點】
一種模擬用戶行為的安卓軟件惡意行為觸發方法，其特征在于，所述模擬用戶行為的安卓軟件惡意行為觸發方法增加模擬真實用戶手機環境變化；手機端收集用戶行為特征量，當應用啟動時，在用戶手機上收集啟動應用的基本信息，應用的啟動時間，手機的定位信息，手機所處的網絡環境；服務器存儲并分析用戶行為特征量，將收集到的信息上傳至服務器進行存儲，利用FP?Growth算法進行數據分析并比對已存儲的數據，找出不同種類的應用所對應的啟動時間?定位信息改變量制定用戶行為模擬策略；生成行為特征量的關聯數據組。

【技術特征摘要】
1.一種模擬用戶行為的安卓軟件惡意行為觸發方法，其特征在于，所述模擬用戶行為的安卓軟件惡意行為觸發方法增加模擬真實用戶手機環境變化；手機端收集用戶行為特征量，當應用啟動時，在用戶手機上收集啟動應用的基本信息，應用的啟動時間，手機的定位信息，手機所處的網絡環境；服務器存儲并分析用戶行為特征量，將收集到的信息上傳至服務器進行存儲，利用FP-Growth算法進行數據分析并比對已存儲的數據，找出不同種類的應用所對應的啟動時間-定位信息改變量制定用戶行為模擬策略；生成行為特征量的關聯數據組。2.如權利要求1所述的模擬用戶行為的安卓軟件惡意行為觸發方法，其特征在于，所述生成模擬用戶行為的行為特征量的關聯數據組的關聯數據組應為一組數組，包括應用使用時間，應用種類，使用應用時手機的位置信息變化量，網絡狀態；位置信息變化量的計算方法為：設位置1的經度為M1，緯度為N1，位置2的經度為M2，緯度為N2，則位置信息變化為：T2＝N22+M22-(N12+M12)。3.一種如權利要求1所述模擬用戶行為的安卓軟件惡意行為觸發方法的安卓軟件惡意行為觸發系統，其特征在于，所述安卓軟件惡意行為觸發系統包括：用戶信息...

【專利技術屬性】
技術研發人員：李暉，李代琛，趙興文，朱輝，
申請(專利權)人：西安電子科技大學，
類型：發明
國別省市：陜西,61