一種基于動態(tài)行為分析的有害廣告件檢測方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種基于動態(tài)行為分析的有害廣告件檢測方法及系統(tǒng)，首先，識別移動終端應(yīng)用程序中的廣告件，獲取廣告件相關(guān)信息；利用現(xiàn)有動態(tài)行為分析環(huán)境，在預(yù)設(shè)時間內(nèi)執(zhí)行所述移動終端應(yīng)用程序，并記錄執(zhí)行過程中的行為信息；利用所述廣告件代碼信息過濾所述行為信息，只獲取與廣告件相關(guān)的行為信息；分析和處理所述與廣告件相關(guān)的行為信息，并形成廣告件的行為規(guī)則，與正常廣告件行為規(guī)則庫和有害廣告件行為規(guī)則庫進行匹配，最終得到廣告件檢測結(jié)果。本發(fā)明可以更準(zhǔn)確、更高效地辨識出具有惡意行為的廣告件。
【專利說明】一種基于動態(tài)行為分析的有害廣告件檢測方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及移動終端惡意代碼檢測【技術(shù)領(lǐng)域】，尤其涉及一種基于動態(tài)行為分析的有害廣告件檢測方法及系統(tǒng)。
【背景技術(shù)】
[0002]隨著移動互聯(lián)網(wǎng)的發(fā)展和智能移動終端的大范圍使用，惡意代碼對智能移動終端的系統(tǒng)安全及信息安全的威脅也日益增加。移動終端惡意代碼在形態(tài)上，技術(shù)利用上和惡意行為上都在不斷的衍生和變化，并在移動互聯(lián)網(wǎng)應(yīng)用開發(fā)模式和技術(shù)的發(fā)展下衍生出了許多新式的形態(tài)。在移動互聯(lián)網(wǎng)的快速發(fā)展中，隨著開發(fā)者數(shù)量和規(guī)模的逐步的擴大，衍生出了許多用于向開發(fā)者提供各種服務(wù)的SDK工具和中間件，例如有提供廣告推廣服務(wù)的SDK中間件，有提供消息和數(shù)據(jù)推送的SDK中間件，也有提供應(yīng)用推廣和分發(fā)的SDK中間件等等。這些SDK中間件通過開發(fā)接口開放的形式，向開發(fā)者提供了各種常用的功能，極大的方便了開發(fā)者，可以用于快速的在應(yīng)用中通過集成這些SDK來使得移動應(yīng)用程序具備廣告推廣能力從而為開發(fā)者謀取開發(fā)收益。
[0003]在這種背景下，就形成了一種新型的有害移動互聯(lián)網(wǎng)程序的形態(tài)，即基于公開的正當(dāng)?shù)膹V告件SDK開發(fā)的有害移動互聯(lián)網(wǎng)惡意程序，通過對廣告SDK的封裝，惡意代碼作者可以基于SDK提供的功能開發(fā)出有害用戶的代碼，例如通過對廣告推廣服務(wù)的SDK的封裝，惡意代碼作者可以在應(yīng)用退出后繼續(xù)在后臺在用戶不知情的情況下訪問廣告鏈接，在后臺在用戶不知情的情況下私自下載和安裝推廣應(yīng)用等等來達(dá)到惡意非法牟利的目的。
[0004]目前安全廠商都在積極的進行這類新型惡意程序的檢測方法和對抗方法的設(shè)計和研究，目前主要有以下幾種方法和策略:
第一種方法是在移動終端上采取主動防御的技術(shù)和手段，通過對應(yīng)用的網(wǎng)絡(luò)行為，通信行為，應(yīng)用安裝等行為進行行為攔截和控制，在應(yīng)用的相關(guān)行為觸發(fā)時向用戶進行提示和詢問是否授權(quán)來進行行為控制，并進一步達(dá)到對廣告件所產(chǎn)生的有害行為進行控制的目的。這種方法的缺點在于需要對用戶移動終端進行提權(quán)，即獲得ROOT權(quán)限，而提權(quán)行為本身極大的損害了移動終端自有的安全保護機制，并對用戶移動終端造成了不可逆的影響，同時并不是所有移動終端系統(tǒng)都能有效穩(wěn)定的完全提權(quán)過程，部分移動終端在提權(quán)后還會出現(xiàn)運行緩慢，死機甚至無法啟動的情況。與此同時，這種方法要求用戶對所有廣告件和應(yīng)用的正常行為都進行判斷和授權(quán)，對于用戶來說，難以對正常的廣告件行為和惡意廣告件行為進行有效區(qū)分，因此在實際中并沒有妥善的解決有害廣告件的問題。
[0005]第二種方法則是通過對移動終端應(yīng)用程序進行靜態(tài)檢測來進行有害廣告件的檢測和判定，這種方法通常是采用了移動終端反病毒引擎的通用檢測方法來進行對有害廣告件進行檢測和識別，其通過對應(yīng)用中是否包含有廣告件SDK的相關(guān)的代碼符號信息和代碼結(jié)構(gòu)信息來進行廣告件識別。這種方法的缺點主要在于，極其容易導(dǎo)致大量的誤報和錯報。對于移動終端應(yīng)用程序和廣告件SDK來說，其本身是一種正常的用于開發(fā)者的開發(fā)中間件工具，其代碼和行為本身都并不具備危害性，而是由于開發(fā)者的不正當(dāng)使用或故意作惡而導(dǎo)致形成了有害的廣告應(yīng)用，因此通過這種方法來對廣告件進行檢測，極其容易導(dǎo)致正常的廣告件應(yīng)用被誤報為有害的，進而無法向用戶提供有效的判定和檢測信息。

【發(fā)明內(nèi)容】

[0006]針對上述技術(shù)問題，本發(fā)明提供了一種基于動態(tài)行為分析的有害廣告件檢測方法及系統(tǒng)，該發(fā)明利用了已經(jīng)成熟的動態(tài)行為分析技術(shù)，并篩選出廣告件相關(guān)的行為信息，通過與正常廣告件行為規(guī)則庫和有害廣告件行為規(guī)則庫進行匹配，從而判定廣告件是否惡意，從而準(zhǔn)確、聞效地檢測廣告件惡意行為。
[0007]本發(fā)明采用如下方法來實現(xiàn):一種基于動態(tài)行為分析的有害廣告件檢測方法，包括:
識別移動終端應(yīng)用程序中的廣告件，獲取廣告件相關(guān)信息，所述相關(guān)信息包括:廣告件名稱和廣告件代碼信息；
利用現(xiàn)有動態(tài)行為分析環(huán)境，在預(yù)設(shè)時間內(nèi)執(zhí)行所述移動終端應(yīng)用程序，并記錄執(zhí)行過程中的行為信息；所述動態(tài)行為分析環(huán)境可以選用現(xiàn)有的任何動態(tài)行為分析技術(shù)；
利用所述廣告件代碼信息過濾所述行為信息，只獲取與廣告件相關(guān)的行為信息；
分析和處理所述與廣告件相關(guān)的行為信息，并形成廣告件的行為規(guī)則，與正常廣告件行為規(guī)則庫和有害廣告件行為規(guī)則庫進行匹配，最終得到廣告件檢測結(jié)果；其中，匹配方法可以選用相似性比對或者差異性比對等算法來完成；
所述正常廣告件行為規(guī)則庫用來記錄廣告件正常行為的行為規(guī)則；所述有害廣告件行為規(guī)則庫用來記錄廣告件有害行為的行為規(guī)則。
[0008]其中，所述正常廣告件行為規(guī)則庫可以通過人工分析或者是自動化分析方法來獲取。
[0009]進一步地,所述行為信息包括:行為類型、行為內(nèi)容或者行為觸發(fā)的代碼調(diào)用位置，所述行為類型包括:網(wǎng)絡(luò)行為、系統(tǒng)行為或者通信行為。
[0010]進一步地，所述廣告件的行為規(guī)則包括:廣告件的單位時間上行流量、廣告件的單位時間下行流量、單位時間網(wǎng)絡(luò)連接次數(shù)、是否有IMEI泄露、是否有用戶號碼泄露，是否有用戶手機型號信息泄露或者是否有用戶隱私泄露。
[0011]本發(fā)明采用如下系統(tǒng)來實現(xiàn):一種基于動態(tài)行為分析的有害廣告件檢測系統(tǒng)，包括:
廣告件識別模塊，用于識別移動終端應(yīng)用程序中的廣告件，獲取廣告件相關(guān)信息，所述相關(guān)信息包括:廣告件名稱和廣告件代碼信息；
動態(tài)行為分析模塊，用于利用現(xiàn)有動態(tài)行為分析環(huán)境，在預(yù)設(shè)時間內(nèi)執(zhí)行所述移動終端應(yīng)用程序，并記錄執(zhí)行過程中的行為信息；
過濾模塊，用于利用所述廣告件代碼信息過濾所述行為信息，只獲取與廣告件相關(guān)的行為信息；
判定模塊，用于分析和處理所述與廣告件相關(guān)的行為信息，并形成廣告件的行為規(guī)則，與正常廣告件行為規(guī)則庫和有害廣告件行為規(guī)則庫進行匹配，最終得到廣告件檢測結(jié)果；所述正常廣告件行為規(guī)則庫用來記錄廣告件正常行為的行為規(guī)則；所述有害廣告件行為規(guī)則庫用來記錄廣告件有害行為的行為規(guī)則。[0012]進一步地，所述行為信息包括:行為類型、行為內(nèi)容或者行為觸發(fā)的代碼調(diào)用位置，所述行為類型包括:網(wǎng)絡(luò)行為、系統(tǒng)行為或者通信行為。
[0013]進一步地，所述廣告件的行為規(guī)則包括:廣告件的單位時間上行流量、廣告件的單位時間下行流量、單位時間網(wǎng)絡(luò)連接次數(shù)、是否有IMEI泄露、是否有用戶號碼泄露，是否有用戶手機型號信息泄露或者是否有用戶隱私泄露。
[0014]綜上所述，本發(fā)明提供了一種基于動態(tài)行為分析的有害廣告件檢測方法及系統(tǒng)，本發(fā)明所給出的技術(shù)方案基于動態(tài)行為分析技術(shù)，所述動態(tài)行為分析技術(shù)是一種非常普遍的行為分析技術(shù)。目前，已經(jīng)出現(xiàn)了較多的移動終端應(yīng)用的動態(tài)行為分析技術(shù)和成熟系統(tǒng)。通過對于應(yīng)用程序中的廣告件進行識別，獲取廣告件相關(guān)信息，利用廣告件相關(guān)信息提取出動態(tài)分析中獲得的與廣告件相關(guān)的行為信息。將所述與廣告件相關(guān)的行為信息標(biāo)準(zhǔn)化后與準(zhǔn)備好的正常廣告件行為規(guī)則庫和有害廣告件行為規(guī)則庫進行匹配，從而給出檢測結(jié)果。本發(fā)明可以有效檢測和判定移動終端應(yīng)用程序中的有害廣告件。
【專利附圖】

【附圖說明】
[0015]為了更清楚地說明本發(fā)明的技術(shù)方案，下面將對實施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0016]圖1為本發(fā)明提供的一種基于動態(tài)行為分析的有害廣告件檢測方法流程圖；
圖2為本發(fā)明提供的一種基于動態(tài)行為分析的有害廣告件檢測系統(tǒng)結(jié)構(gòu)圖。
【具體實施方式】
[0017]本發(fā)明給出了一種基于動態(tài)行為分析的有害廣告件檢測方法及系統(tǒng)，為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明實施例中的技術(shù)方案，并使本發(fā)明的上述目的、特征和優(yōu)點能夠更加明顯易懂，下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進一步詳細(xì)的說明:
本發(fā)明首先提供了一種基于動態(tài)行為分析的有害廣告件檢測方法，如圖1所示，包括: SlOl識別移動終端應(yīng)用程序中的廣告件，獲取廣告件相關(guān)信息，所述相關(guān)信息包括:廣告件名稱和廣告件代碼信息；
例如:廣告件代碼信息選用廣告件代碼的位置信息，獲取結(jié)果為:
Struct Adffare
{ char氺 AdffareName;
char林 AdffareLocationList;
}
其中，AdffareName為廣告件名稱，AdffareLocationList為廣告件的代碼位置信息列
表;
S102利用現(xiàn)有動態(tài)行為分析環(huán)境，在預(yù)設(shè)時間內(nèi)執(zhí)行所述移動終端應(yīng)用程序，并記錄執(zhí)行過程中的行為信息；
目前，已經(jīng)出現(xiàn)了較多的移動終端應(yīng)用程序的動態(tài)行為分析的技術(shù)和成熟系統(tǒng)，例如:開源的Android動態(tài)行為分析系統(tǒng)DroidBox,開源的Android行為攔截框架Xposed等等，同時利于Android系統(tǒng)的開源的特性，也比較容易形成應(yīng)用程序的自動化的動態(tài)行為的分析沙箱環(huán)境；
S103利用所述廣告件代碼信息過濾所述行為信息，只獲取與廣告件相關(guān)的行為信息；
S104分析和處理所述與廣告件相關(guān)的行為信息，并形成廣告件的行為規(guī)則，與正常廣告件行為規(guī)則庫和有害廣告件行為規(guī)則庫進行匹配，最終得到廣告件檢測結(jié)果；
所述正常廣告件行為規(guī)則庫用來記錄廣告件正常行為的行為規(guī)則；所述有害廣告件行為規(guī)則庫用來記錄廣告件有害行為的行為規(guī)則。
[0018]其中，所述正常廣告件行為規(guī)則庫，包括但不限于，廣告件的每小時網(wǎng)絡(luò)上行流量，每小時網(wǎng)絡(luò)下行流量，每小時網(wǎng)絡(luò)連接次數(shù)，是否有IMEI泄露，是否有用戶號碼泄露，是否有用戶移動終端型號信息泄露，是否有用戶隱私泄露等；
所述有害廣告件行為規(guī)則庫，包括但不限于，廣告件的每小時網(wǎng)絡(luò)上行流量危害閾值，每小時網(wǎng)絡(luò)下行流量危害閾值，每小時網(wǎng)絡(luò)連接次數(shù)危害閾值，是否有IMEI泄露危害閾值，是否有用戶號碼泄露危害閾值，是否有用戶移動終端型號信息泄露危害閾值，是否有用戶隱私泄露等危害閾值。
[0019]優(yōu)選地，所述行為信息包括:行為類型、行為內(nèi)容或者行為觸發(fā)的代碼調(diào)用位置，所述行為類型包括:網(wǎng)絡(luò)行為、系統(tǒng)行為或者通信行為。
[0020]例如:對移動終端應(yīng)用程序在一段時間內(nèi)的執(zhí)行過程中所觸發(fā)的各種行為信息進行記錄，其獲取的結(jié)果為:
Struct AppBehavior
{int BehaviorType
Char氺 BehaviorContent;
Char* BehaviorLocation;
}
其中，BehaviorType為行為類型，包括但不限于網(wǎng)絡(luò)行為，系統(tǒng)行為，通信行為等，BehaviorContent為行為內(nèi)容，BehaviorLocation為行為觸發(fā)的代碼調(diào)用位置；
Struct AppBehaviorList
{
AppBehavior^ BehaviorList;
}
其中，BehaviorList為移動終端應(yīng)用程序行為信息列表；
其次，通過廣告件代碼位置來對動態(tài)行為分析的結(jié)果進行過濾篩選，并獲取與廣告件相關(guān)的行為信息結(jié)果，獲取到AdWareBehaviorList中。
[0021 ] Struct AdWareBehavior
{int BehaviorType
Char氺 BehaviorContent;
Char* BehaviorLocation;
}
其中，BehaviorType為行為類型，包括但不限于網(wǎng)絡(luò)行為，系統(tǒng)行為，通信行為等，BehaviorContent為行為內(nèi)容，BehaviorLocation為行為觸發(fā)的代碼調(diào)用位置。
[0022] Struct AdWareBehaviorList{
char氺 AdffareName;
AdffareBehavior* BehaviorList;
}
其中，AdffareName為廣告件的名稱，BehaviorList為與廣告件相關(guān)的行為信息列表。
[0023]優(yōu)選地，所述廣告件的行為規(guī)則包括:廣告件的單位時間上行流量、廣告件的單位時間下行流量、單位時間網(wǎng)絡(luò)連接次數(shù)、是否有MEI泄露、是否有用戶號碼泄露，是否有用戶手機型號信息泄露或者是否有用戶隱私泄露。
[0024]本發(fā)明還提供了一種基于動態(tài)行為分析的有害廣告件檢測系統(tǒng)，如圖2所示，包括:
廣告件識別模塊201，用于識別移動終端應(yīng)用程序中的廣告件，獲取廣告件相關(guān)信息，所述相關(guān)信息包括:廣告件名稱和廣告件代碼信息；
動態(tài)行為分析模塊202，用于利用現(xiàn)有動態(tài)行為分析環(huán)境，在預(yù)設(shè)時間內(nèi)執(zhí)行所述移動終端應(yīng)用程序，并記錄執(zhí)行過程中的行為信息；
過濾模塊203，用 于利用所述廣告件代碼信息過濾所述行為信息，只獲取與廣告件相關(guān)的行為信息；
判定模塊204，用于分析和處理所述與廣告件相關(guān)的行為信息，并形成廣告件的行為規(guī)貝U，與正常廣告件行為規(guī)則庫205和有害廣告件行為規(guī)則庫206進行匹配，最終得到廣告件檢測結(jié)果；
正常廣告件行為規(guī)則庫205，用來記錄廣告件正常行為的行為規(guī)則；
有害廣告件行為規(guī)則庫206，用來記錄廣告件有害行為的行為規(guī)則。
[0025]進一步地,所述行為信息包括:行為類型、行為內(nèi)容或者行為觸發(fā)的代碼調(diào)用位置，所述行為類型包括:網(wǎng)絡(luò)行為、系統(tǒng)行為或者通信行為。
[0026]進一步地，所述廣告件的行為規(guī)則包括:廣告件的單位時間上行流量、廣告件的單位時間下行流量、單位時間網(wǎng)絡(luò)連接次數(shù)、是否有IMEI泄露、是否有用戶號碼泄露，是否有用戶手機型號信息泄露或者是否有用戶隱私泄露。
[0027]如上所述，本發(fā)明給出了一種基于動態(tài)行為分析的有害廣告件檢測方法及系統(tǒng)的具體實施例，其與傳統(tǒng)方法的區(qū)別在于，傳統(tǒng)方法需要提權(quán)，從而獲得ROOT權(quán)限，但是提權(quán)本身損害了移動終端自有的安全保護機制；如果通過對移動終端應(yīng)用程序進行靜態(tài)檢測的方法來檢測有害廣告件，可能會導(dǎo)致大量的誤報和錯報。本發(fā)明給出的技術(shù)方案通過對移動終端應(yīng)用程序進行動態(tài)行為分析，并提取出與廣告件相關(guān)的行為信息，處理所述與廣告件相關(guān)的行為信息形成廣告件的行為規(guī)則，再與準(zhǔn)備好的正常廣告件行為規(guī)則庫和有害廣告件行為規(guī)則庫進行匹配，從而完成廣告件的檢測過程，從而本發(fā)明所給出的方法和系統(tǒng)可以對一些廣告件的有害行為進行辨識，并可以提供更多與廣告件相關(guān)的行為信息。
[0028]以上實施例用以說明而非限制本發(fā)明的技術(shù)方案。不脫離本發(fā)明精神和范圍的任何修改或局部替換，均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。
【權(quán)利要求】
1.一種基于動態(tài)行為分析的有害廣告件檢測方法，其特征在于，包括: 識別移動終端應(yīng)用程序中的廣告件，獲取廣告件相關(guān)信息，所述相關(guān)信息包括:廣告件名稱和廣告件代碼信息； 利用現(xiàn)有動態(tài)行為分析環(huán)境，在預(yù)設(shè)時間內(nèi)執(zhí)行所述移動終端應(yīng)用程序，并記錄執(zhí)行過程中的行為信息； 利用所述廣告件代碼信息過濾所述行為信息，只獲取與廣告件相關(guān)的行為信息； 分析和處理所述與廣告件相關(guān)的行為信息，并形成廣告件的行為規(guī)則，與正常廣告件行為規(guī)則庫和有害廣告件行為規(guī)則庫進行匹配，最終得到廣告件檢測結(jié)果； 所述正常廣告件行為規(guī)則庫用來記錄廣告件正常行為的行為規(guī)則；所述有害廣告件行為規(guī)則庫用來記錄廣告件有害行為的行為規(guī)則。
2.如權(quán)利要求1所述的方法，其特征在于，所述行為信息包括:行為類型、行為內(nèi)容或者行為觸發(fā)的代碼調(diào)用位置，所述行為類型包括:網(wǎng)絡(luò)行為、系統(tǒng)行為或者通信行為。
3.如權(quán)利要求1所述的方法，其特征在于，所述廣告件的行為規(guī)則包括:廣告件的單位時間上行流量、廣告件的單位時間下行流量、單位時間網(wǎng)絡(luò)連接次數(shù)、是否有頂EI泄露、是否有用戶號碼泄露，是否有用戶手機型號信息泄露或者是否有用戶隱私泄露。
4.一種基于動態(tài)行為分析的有害廣告件檢測系統(tǒng)，其特征在于，包括: 廣告件識別模塊，用于識別移動終端應(yīng)用程序中的廣告件，獲取廣告件相關(guān)信息，所述相關(guān)信息包括:廣告件名稱和廣告件代碼信息； 動態(tài)行為分析模塊，用于利用現(xiàn)有動態(tài)行為分析環(huán)境，在預(yù)設(shè)時間內(nèi)執(zhí)行所述移動終端應(yīng)用程序，并記錄執(zhí)行過程中的行為信息； 過濾模塊，用于利用所述廣告件代碼信息過濾所述行為信息，只獲取與廣告件相關(guān)的行為信息； 判定模塊，用于分析和處理所述與廣告件相關(guān)的行為信息，并形成廣告件的行為規(guī)則，與正常廣告件行為規(guī)則庫和有害廣告件行為規(guī)則庫進行匹配，最終得到廣告件檢測結(jié)果； 所述正常廣告件行為規(guī)則庫用來記錄廣告件正常行為的行為規(guī)則；所述有害廣告件行為規(guī)則庫用來記錄廣告件有害行為的行為規(guī)則。
5.如權(quán)利要求4所述的系統(tǒng),其特征在于,所述行為信息包括:行為類型、行為內(nèi)容或者行為觸發(fā)的代碼調(diào)用位置，所述行為類型包括:網(wǎng)絡(luò)行為、系統(tǒng)行為或者通信行為。
6.如權(quán)利要求4所述的系統(tǒng)，其特征在于，所述廣告件的行為規(guī)則包括:廣告件的單位時間上行流量、廣告件的單位時間下行流量、單位時間網(wǎng)絡(luò)連接次數(shù)、是否有頂EI泄露、是否有用戶號碼泄露，是否有用戶手機型號信息泄露或者是否有用戶隱私泄露。
【文檔編號】H04L29/06GK103905423SQ201310725005
【公開日】2014年7月2日 申請日期:2013年12月25日 優(yōu)先權(quán)日:2013年12月25日
【發(fā)明者】潘宣辰, 肖新光 申請人:武漢安天信息技術(shù)有限責(zé)任公司